一、简介
故障采集与控制单元(FCCU)检测到设备发生故障时,FCCU提供硬件通道来收集错误并将设备置于安全状态。故障收集或控制操作不需要CPU干预。
ST SPC584B FCCU提供了一种系统的故障检测和控制方法。该模块的显著特点是:
•1 ~ 128个可恢复故障管理
•硬件或软件故障恢复管理
•故障检测采集
•故障注入(假故障;请参阅特定于实现的详细信息)
•双稳定,双轨和时间开关输出协议的EOUT
•重新配置阶段的看门狗定时器
•硬件检查器(例如RCCU)结果的冗余收集
•冗余收集来自设备安全相关模块的错误信息
•收集测试结果
•可配置和分级故障控制
•内部(SoC)反应 - ALARM状态:中断请求, - FAULT状态:长功能复位请求脉冲,短功能复位请求脉冲,NMI
•内部反应(每个RF独立配置) -无复位反应, - IRQ, -短功能复位, -长功能复位, - NMI
•外部反应(故障通过一个或多个输出引脚报告给外界)
•外部反应(故障状态): EOUT信号。通过引脚的故障指示由FCCU控制
•配置锁: FCCU的配置可通过两种方式锁定: 永久锁定,直到下一次重置或短暂锁定,直到写入特定密钥。如果将无效键写入FCCU_TRANS_LOCK寄存器(与0xBC不同的值),FCCU将再次被瞬时锁定。永久锁定FCCU的键是0xFF,写入FCCU_PERMNT_LOCK寄存器中
•其中一个故障指示引脚高,以指示操作(OK)状态(在双稳定操作模式下)。如果将故障指示协议配置为双轨和时间切换的切换协议,则上述情况不成立
•上电后,误差输出引脚具有高阻抗(u)。只有在软件要求下,FCCU才会进入运行状态
•在故障事件或软件请求错误引脚指示的情况下,引脚(s)被设置为故障状态的最小时间T_min,即使SW之前试图释放它(错误引脚配置在双稳定模式的情况下)。T_min = 250µs + delta_T,其中delta_T参数可通过SW配置,最高可达10 ms
•总体误差检测、处理和指示时间小于10ms
故障采集与控制单元(FCCU)检测到设备发生故障时,FCCU提供硬件通道来收集错误并将设备置于安全状态。故障收集或控制操作不需要CPU干预。
ST SPC584B FCCU提供了一种系统的故障检测和控制方法。该模块的显著特点是:
•1 ~ 128个可恢复故障管理
•硬件或软件故障恢复管理
•故障检测采集
•故障注入(假故障;请参阅特定于实现的详细信息)
•双稳定,双轨和时间开关输出协议的EOUT
•重新配置阶段的看门狗定时器
•硬件检查器(例如RCCU)结果的冗余收集
•冗余收集来自设备安全相关模块的错误信息
•收集测试结果
•可配置和分级故障控制
•内部(SoC)反应 - ALARM状态:中断请求, - FAULT状态:长功能复位请求脉冲,短功能复位请求脉冲,NMI
•内部反应(每个RF独立配置) -无复位反应, - IRQ, -短功能复位, -长功能复位, - NMI
•外部反应(故障通过一个或多个输出引脚报告给外界)
•外部反应(故障状态): EOUT信号。通过引脚的故障指示由FCCU控制
•配置锁: FCCU的配置可通过两种方式锁定: 永久锁定,直到下一次重置或短暂锁定,直到写入特定密钥。如果将无效键写入FCCU_TRANS_LOCK寄存器(与0xBC不同的值),FCCU将再次被瞬时锁定。永久锁定FCCU的键是0xFF,写入FCCU_PERMNT_LOCK寄存器中
•其中一个故障指示引脚高,以指示操作(OK)状态(在双稳定操作模式下)。如果将故障指示协议配置为双轨和时间切换的切换协议,则上述情况不成立
•上电后,误差输出引脚具有高阻抗(u)。只有在软件要求下,FCCU才会进入运行状态
•在故障事件或软件请求错误引脚指示的情况下,引脚(s)被设置为故障状态的最小时间T_min,即使SW之前试图释放它(错误引脚配置在双稳定模式的情况下)。T_min = 250µs + delta_T,其中delta_T参数可通过SW配置,最高可达10 ms
•总体误差检测、处理和指示时间小于10ms
•实际最大时间为五个安全(IRCOSC)时钟周期
二、FCCU的功能框图
| FCCU子模块 | 描述 |
| REG intf | 包括针对配置寄存器的寄存器文件、IPS总线接口、IRQ接口和奇偶校验块(PB); |
| HNSHK blocks (master and slave blocks) | 包括FSM由于使用了2个异步时钟(IPS系统时钟和RC振荡器时钟)而支持REG接口和FSM单元之间的握手的能力; |
| FSM unit | 实现了FCCU的主要功能。FSM还包括:看门狗计时器(WDG),报警计时器(ALRT); |
| FAULT intf | 实现了故障调节和管理的接口; |
| EOUTx units | 实现输出阶段来管理EOUT接口; |
三、FCCU的状态机
FCCU的功能由FSM图描述,如下图所示:
基本上有以下4种状态:
1.CONFIG: 配置状态仅用于修改FCCU的默认配置。
FCCU寄存器的一个子集,专门用于定义FCCU配置(全局配置、对故障的反应、超时、可恢复的故障屏蔽),只能在CONFIG状态下以写模式访问。CONFIG状态只能在NORMAL状态下访问,并且配置没有被锁定。永久配置锁可以通过FCCU的复位来禁用,临时锁寄存器通过写入0xBC来解锁。如果将无效键写入FCCU_TRANS_LOCK寄存器(与0xBC不同的值),FCCU将再次被瞬时锁定。永久锁定FCCU的键是0xFF,写入FCCU_PERMNT_LOCK寄存器中。复位解除后,状态为暂锁状态(永久锁→解锁,暂锁→锁定)。CONFIG到NORMAL的状态转换可以由SW执行,也可以根据看门狗的超时条件自动执行。如果超时信息和SW将模式更改为NORMAL的请求同时出现,则看门狗超时具有优先级,因此配置寄存器(仅在CONFIG模式下可写的寄存器)被重置为其默认值。此外,FCCU_CFG_TO和FCCU_EINOUT被重置为它们的默认值,尽管它们不满足作为配置寄存器的条件。移动到NORMAL。根据新的配置,在配置阶段(配置状态)发生的传入故障无论如何都会被锁住,以便在FCCU移动到NORMAL状态时处理它们。
2.NORMAL:
当没有故障发生时,这是FCCU的工作状态。它也是重置出口的默认状态。发生以下事件后:
—未被屏蔽的可恢复故障,且未设置超时时间→FCCU进入FAULT状态。
—未屏蔽的可恢复故障,启用超时→FCCU进入ALARM状态。
—屏蔽可恢复故障→FCCU保持NORMAL状态。
3.ALARM: 当出现未被屏蔽的可恢复故障并使能超时时,FCCU进入ALARM状态。如果启用了中断请求(ALARM状态),则转换到ALARM状态。根据定义,该故障在生成到FAULT状态的过渡之前,可以在可编程超时期间内恢复。如果FCCU状态移动到NORMAL状态,则重新初始化超时。从FAULT状态恢复后,超时重启。
4.FAULT:当出现以下情况之一时,FCCU进入FAULT状态:
—ALARM状态下,与可恢复故障相关的超时。
—在禁用超时的情况下,揭开可恢复的故障。
从NORMAL/ALARM状态的转换伴随着:
— NMI 中断(可选)。
—EOUT信号(可选)。
—SW选项:软反应(如果配置短功能复位请求脉冲)。
—SW选项:硬反应(如果配置长功能复位请求脉冲)。
不可屏蔽中断(NMI)只路由到安全核心。
四、FCCU 输出信号到SBC
FCCU提供多达两个双向信号(EOUT接口)作为故障指示给外界。这些信号需要映射到适当的引脚,输出到外部SBC。
EOUT频率由IRCOSC时钟除以2^18的固定因子产生。使用16 MHz的IRCOSC时钟,这在EOUT上驱动61 Hz的信号。EOUT协议的外部监视器应该对EOUT信号进行采样,以便在双轨或时间交换模式下定期同步外部时钟(监视器使用)和检测EOUT协议边缘转换的IRCOSC时钟。
在发生故障事件或软件请求错误引脚指示的情况下,引脚(s)被设置为故障状态的最小时间T_min,即使SW之前试图释放它。如果SW将错误引脚配置为OK(1),并且如果出现故障试图将引脚驱动到NOK(0),则优先考虑故障指示,错误引脚指示NOK,即当SW将错误引脚设置为高时,不会屏蔽传入故障。在非SW故障的T_min期间,FCCU FSM独立于这个引脚状态(低)移动,一旦定时器到期,引脚行为由FSM发现自己所处的状态决定,并且不可能通过SW将FCCU移动到CONFIG状态将引脚设置为OK,只要这个定时器正在运行。不需要SW干预将引脚从低状态中取出。SW可以通过清除故障并等待T_min过期,将引脚恢复到OK状态,之后FCCU自动进入NORMAL状态,错误引脚指示OK。
在FAULT状态下,输出引脚FCCU Error输出引脚置低。
注意:上图显示所有四个阶段(重置、正常、错误和配置)中的行为,而不是暗示在一个阶段到另一个阶段之间的转换。特别是,从错误阶段过渡到配置阶段是不可能的。
以上为ST SPC584B FCCU的整体功能介绍。
评论