一、簡介
故障採集與控制單元(FCCU)檢測到設備發生故障時,FCCU提供硬體通道來收集錯誤並將設備置於安全狀態。故障收集或控制操作不需要CPU干預。
ST SPC584B FCCU提供了一種系統的故障檢測和控制方法。該模塊的顯著特點是:
•1 ~ 128個可恢復故障管理
•硬體或軟體故障恢復管理
•故障檢測採集
•故障注入(假故障;請參閱特定於實現的詳細信息)
•雙穩定,雙軌和時間開關輸出協議的EOUT
•重新配置階段的看門狗定時器
•硬體檢查器(例如RCCU)結果的冗餘收集
•冗餘收集來自設備安全相關模塊的錯誤信息
•收集測試結果
•可配置和分級故障控制
•內部(SoC)反應 - ALARM狀態:中斷請求, - FAULT狀態:長功能復位請求脈衝,短功能復位請求脈衝,NMI
•內部反應(每個RF獨立配置) -無復位反應, - IRQ, -短功能復位, -長功能復位, - NMI
•外部反應(故障通過一個或多個輸出引腳報告給外界)
•外部反應(故障狀態): EOUT信號。通過引腳的故障指示由FCCU控制
•配置鎖: FCCU的配置可通過兩種方式鎖定: 永久鎖定,直到下一次重置或短暫鎖定,直到寫入特定密鑰。如果將無效鍵寫入FCCU_TRANS_LOCK寄存器(與0xBC不同的值),FCCU將再次被瞬時鎖定。永久鎖定FCCU的鍵是0xFF,寫入FCCU_PERMNT_LOCK寄存器中
•其中一個故障指示引腳高,以指示操作(OK)狀態(在雙穩定操作模式下)。如果將故障指示協議配置為雙軌和時間切換的切換協議,則上述情況不成立
•上電後,誤差輸出引腳具有高阻抗(u)。只有在軟體要求下,FCCU才會進入運行狀態
•在故障事件或軟體請求錯誤引腳指示的情況下,引腳(s)被設置為故障狀態的最小時間T_min,即使SW之前試圖釋放它(錯誤引腳配置在雙穩定模式的情況下)。T_min = 250µs + delta_T,其中delta_T參數可通過SW配置,最高可達10 ms
•總體誤差檢測、處理和指示時間小於10ms
故障採集與控制單元(FCCU)檢測到設備發生故障時,FCCU提供硬體通道來收集錯誤並將設備置於安全狀態。故障收集或控制操作不需要CPU干預。
ST SPC584B FCCU提供了一種系統的故障檢測和控制方法。該模塊的顯著特點是:
•1 ~ 128個可恢復故障管理
•硬體或軟體故障恢復管理
•故障檢測採集
•故障注入(假故障;請參閱特定於實現的詳細信息)
•雙穩定,雙軌和時間開關輸出協議的EOUT
•重新配置階段的看門狗定時器
•硬體檢查器(例如RCCU)結果的冗餘收集
•冗餘收集來自設備安全相關模塊的錯誤信息
•收集測試結果
•可配置和分級故障控制
•內部(SoC)反應 - ALARM狀態:中斷請求, - FAULT狀態:長功能復位請求脈衝,短功能復位請求脈衝,NMI
•內部反應(每個RF獨立配置) -無復位反應, - IRQ, -短功能復位, -長功能復位, - NMI
•外部反應(故障通過一個或多個輸出引腳報告給外界)
•外部反應(故障狀態): EOUT信號。通過引腳的故障指示由FCCU控制
•配置鎖: FCCU的配置可通過兩種方式鎖定: 永久鎖定,直到下一次重置或短暫鎖定,直到寫入特定密鑰。如果將無效鍵寫入FCCU_TRANS_LOCK寄存器(與0xBC不同的值),FCCU將再次被瞬時鎖定。永久鎖定FCCU的鍵是0xFF,寫入FCCU_PERMNT_LOCK寄存器中
•其中一個故障指示引腳高,以指示操作(OK)狀態(在雙穩定操作模式下)。如果將故障指示協議配置為雙軌和時間切換的切換協議,則上述情況不成立
•上電後,誤差輸出引腳具有高阻抗(u)。只有在軟體要求下,FCCU才會進入運行狀態
•在故障事件或軟體請求錯誤引腳指示的情況下,引腳(s)被設置為故障狀態的最小時間T_min,即使SW之前試圖釋放它(錯誤引腳配置在雙穩定模式的情況下)。T_min = 250µs + delta_T,其中delta_T參數可通過SW配置,最高可達10 ms
•總體誤差檢測、處理和指示時間小於10ms
•實際最大時間為五個安全(IRCOSC)時鐘周期
二、FCCU的功能框圖
| FCCU子模塊 | 描述 |
| REG intf | 包括針對配置寄存器的寄存器文件、IPS總線接口、IRQ接口和奇偶校驗塊(PB); |
| HNSHK blocks (master and slave blocks) | 包括FSM由於使用了2個異步時鐘(IPS系統時鐘和RC振盪器時鐘)而支持REG接口和FSM單元之間的握手的能力; |
| FSM unit | 實現了FCCU的主要功能。FSM還包括:看門狗計時器(WDG),報警計時器(ALRT); |
| FAULT intf | 實現了故障調節和管理的接口; |
| EOUTx units | 實現輸出階段來管理EOUT接口; |
三、FCCU的狀態機
FCCU的功能由FSM圖描述,如下圖所示:
基本上有以下4種狀態:
1.CONFIG: 配置狀態僅用於修改FCCU的默認配置。
FCCU寄存器的一個子集,專門用於定義FCCU配置(全局配置、對故障的反應、超時、可恢復的故障屏蔽),只能在CONFIG狀態下以寫模式訪問。CONFIG狀態只能在NORMAL狀態下訪問,並且配置沒有被鎖定。永久配置鎖可以通過FCCU的復位來禁用,臨時鎖寄存器通過寫入0xBC來解鎖。如果將無效鍵寫入FCCU_TRANS_LOCK寄存器(與0xBC不同的值),FCCU將再次被瞬時鎖定。永久鎖定FCCU的鍵是0xFF,寫入FCCU_PERMNT_LOCK寄存器中。復位解除後,狀態為暫鎖狀態(永久鎖→解鎖,暫鎖→鎖定)。CONFIG到NORMAL的狀態轉換可以由SW執行,也可以根據看門狗的超時條件自動執行。如果超時信息和SW將模式更改為NORMAL的請求同時出現,則看門狗超時具有優先級,因此配置寄存器(僅在CONFIG模式下可寫的寄存器)被重置為其默認值。此外,FCCU_CFG_TO和FCCU_EINOUT被重置為它們的默認值,儘管它們不滿足作為配置寄存器的條件。移動到NORMAL。根據新的配置,在配置階段(配置狀態)發生的傳入故障無論如何都會被鎖住,以便在FCCU移動到NORMAL狀態時處理它們。
2.NORMAL:
當沒有故障發生時,這是FCCU的工作狀態。它也是重置出口的默認狀態。發生以下事件後:
—未被屏蔽的可恢復故障,且未設置超時時間→FCCU進入FAULT狀態。
—未屏蔽的可恢復故障,啟用超時→FCCU進入ALARM狀態。
—屏蔽可恢復故障→FCCU保持NORMAL狀態。
3.ALARM: 當出現未被屏蔽的可恢復故障並使能超時時,FCCU進入ALARM狀態。如果啟用了中斷請求(ALARM狀態),則轉換到ALARM狀態。根據定義,該故障在生成到FAULT狀態的過渡之前,可以在可編程超時期間內恢復。如果FCCU狀態移動到NORMAL狀態,則重新初始化超時。從FAULT狀態恢復後,超時重啟。
4.FAULT:當出現以下情況之一時,FCCU進入FAULT狀態:
—ALARM狀態下,與可恢復故障相關的超時。
—在禁用超時的情況下,揭開可恢復的故障。
從NORMAL/ALARM狀態的轉換伴隨著:
— NMI 中斷(可選)。
—EOUT信號(可選)。
—SW選項:軟反應(如果配置短功能復位請求脈衝)。
—SW選項:硬反應(如果配置長功能復位請求脈衝)。
不可屏蔽中斷(NMI)只路由到安全核心。
四、FCCU 輸出信號到SBC
FCCU提供多達兩個雙向信號(EOUT接口)作為故障指示給外界。這些信號需要映射到適當的引腳,輸出到外部SBC。
EOUT頻率由IRCOSC時鐘除以2^18的固定因子產生。使用16 MHz的IRCOSC時鐘,這在EOUT上驅動61 Hz的信號。EOUT協議的外部監視器應該對EOUT信號進行採樣,以便在雙軌或時間交換模式下定期同步外部時鐘(監視器使用)和檢測EOUT協議邊緣轉換的IRCOSC時鐘。
在發生故障事件或軟體請求錯誤引腳指示的情況下,引腳(s)被設置為故障狀態的最小時間T_min,即使SW之前試圖釋放它。如果SW將錯誤引腳配置為OK(1),並且如果出現故障試圖將引腳驅動到NOK(0),則優先考慮故障指示,錯誤引腳指示NOK,即當SW將錯誤引腳設置為高時,不會屏蔽傳入故障。在非SW故障的T_min期間,FCCU FSM獨立於這個引腳狀態(低)移動,一旦定時器到期,引腳行為由FSM發現自己所處的狀態決定,並且不可能通過SW將FCCU移動到CONFIG狀態將引腳設置為OK,只要這個定時器正在運行。不需要SW干預將引腳從低狀態中取出。SW可以通過清除故障並等待T_min過期,將引腳恢復到OK狀態,之後FCCU自動進入NORMAL狀態,錯誤引腳指示OK。
在FAULT狀態下,輸出引腳FCCU Error輸出引腳置低。
注意:上圖顯示所有四個階段(重置、正常、錯誤和配置)中的行為,而不是暗示在一個階段到另一個階段之間的轉換。特別是,從錯誤階段過渡到配置階段是不可能的。
以上為ST SPC584B FCCU的整體功能介紹。
評論