一种二取一架构的功能安全控制器的制造方法
【专利摘要】本申请公开了一种二取一架构的功能安全控制器,其能够实现高可靠性和安全性。其包括第一安全MCU芯片(U1),第二安全MCU芯片(U2),一个双口RAM芯片(U3),四个隔离CAN收发器(U4,U5,U6,U7),一个站地址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10),两个热插拔芯片(U11,U12),一个冗余芯片(U13),第一电源管理芯片(U14),第二电源管理芯片(U15)。
【专利说明】
一种二取一架构的功能安全控制器
技术领域
[0001]本发明属于工业过程控制系统功能安全产品的技术领域,尤其涉及一种二取一架构的功能安全控制器。【背景技术】
[0002]在以往的对安全性不高的设计中,很多模块或电路板都是通过一个MCU完成数据处理的功能,这个MCU可能会检测到板卡内部其他电路的故障,但是当这个仅有的MCU发生故障时,MCU本身可能自己不知道已经故障,而继续发送错误的数据或者命令,这在安全性较高的场合就会造成严重的后果。这时就需要两个MCU或者更多的MCU,对板卡内部电路进行比较,来共同完成安全性较高的任务。
【发明内容】
[0003]本发明要解决的技术问题是克服现有技术的缺陷,提供一种二取一架构的功能安全控制器,其能够实现高可靠性和安全性。
[0004]解决上述问题的技术方案是:这种二取一架构的功能安全控制器,其包括第一安全MCU芯片(U1),第二安全M⑶芯片(U2),一个双口RAM芯片(U3),四个隔离CAN收发器(U4, U5,U6,U7),一个站地址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10), 两个热插拔芯片(U11,U12),一个冗余芯片(U13),第一电源管理芯片(U14),第二电源管理芯片(U15);
[0005]两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护,冗余芯片使两路5V变成一路5V;第一电源管理芯片给两个安全M⑶芯片(U1,U2),一个双口 RAM芯片(U3), 四个隔离CAN收发器(U4,U5,U6,U7),一个站地址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10)供电;第二电源管理芯片给两个安全MCU芯片(U1,U2)的1.2V供电,系统输入的5V给四个隔离CAN收发器(1]4,1]5,1]6,1]7),第一电源管理芯片(1]14),第二电源管理芯片(U15)供电;两个安全MCU芯片(U1,U2)分别通过EMIF接口与双口 RAM芯片(U3)相接;两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口;另两个隔离CAN收发器分别接到第二安全M⑶芯片(U2)的CAN1控制器接口和CAN2控制器接口; 站地址读取芯片(U8)通过IIC接口与一个安全M⑶芯片相连;第一温度采集芯片(U9)通过 IIC接口与一个安全MCU芯片相连;第二温度采集芯片(U10)通过SPI接口与另一个安全MCU 芯片相连。
[0006]本发明通过电源安全保护、M⑶模块、CAN通讯、站地址读取、温度采集,能够实现高可靠性和安全性。【附图说明】
[0007]图1是根据本发明的二取一架构的功能安全控制器的电路方框图。【具体实施方式】
[0008]如图1所示,这种二取一架构的功能安全控制器,其包括第一安全MCU芯片(U1),第二安全M⑶芯片(U2),一个双口 RAM芯片(U3),四个隔离CAN收发器(U4,U5,U6,U7),一个站地址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10),两个热插拔芯片(U11, U12),一个冗余芯片(U13),第一电源管理芯片(U14),第二电源管理芯片(U15);
[0009]两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护,冗余芯片使两路5V变成一路5V;第一电源管理芯片给两个安全M⑶芯片(U1,U2),一个双口 RAM芯片(U3), 四个隔离CAN收发器(U4,U5,U6,U7),一个站地址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10)供电;第二电源管理芯片给两个安全MCU芯片(U1,U2)的1.2V供电,系统输入的5V给四个隔离CAN收发器(1]4,1]5,1]6,1]7),第一电源管理芯片(1]14),第二电源管理芯片(U15)供电;两个安全MCU芯片(U1,U2)分别通过EMIF接口与双口 RAM芯片(U3)相接;两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口;另两个隔离CAN收发器分别接到第二安全M⑶芯片(U2)的CAN1控制器接口和CAN2控制器接口; 站地址读取芯片(U8)通过IIC接口与一个安全M⑶芯片相连;第一温度采集芯片(U9)通过 IIC接口与一个安全MCU芯片相连;第二温度采集芯片(U10)通过SPI接口与另一个安全MCU 芯片相连。
[0010]本发明通过电源安全保护、M⑶模块、CAN通讯、站地址读取、温度采集,能够实现高可靠性和安全性。
[0011]另外,从连接器输入两路5V电源,分别为5V1和5V2,5V1、5V2分别经过热插拔芯片 (U11,U12)变为5V_H1、5V_H2,5V_H1和5V_H2通过冗余芯片(U13)形成一路5V电源,经过第一电源管理芯片(U14)转变为3.3V,经过第二电源管理芯片(U15)转变为1.2V。热插拔芯片具有过压监控,欠压监控,过流保护等功能,使5V电源在正常的工作范围内,如果不在正常的范围内,将断开热插拔芯片所控制的NM0S开关,如果发生过流,也会热插拔芯片也会断开它所控制的NM0S开关,保证后面的电路不会被损坏。
[0012]另外,本发明采用安全MCU,它具有多种诊断方法:1,内部双核锁步比较;2,内部 ECC; 3,内部BIST自检;4,电压和时钟监控等诊断方法。该M⑶已经通过SIL3认证,诊断覆盖率兰90%。
[0013]MCU 的 1002,指的是本设计采用两个安全 MCU,SPRM48L952(UlWPRM48L952(U2)。[〇〇14]第一安全MCU芯片(U1)通过双口 RAM芯片(U3)获得第二安全MCU芯片(U2)的数据,第二安全M⑶芯片(U2)通过双口 RAM芯片(U3)获得第一安全M⑶芯片(U1)的数据,第一安全 M⑶芯片(U1)比较自己的数据和从第二安全MCU芯片(U2)获得的数据,第二安全MCU芯片 (U2)比较自己的数据和从第一安全MCU芯片(U1)获得的数据,比较一致后将继续执行后面的程序,如果比较不一致,两个MCU芯片将会报错,停止后面的代码执行。
[0015]另外,MCU芯片外围有带独立时基和带时间窗的看门狗,来监控程序的执行和晶振的漂移,如果有一个MCU芯片的程序执行发生错误或晶振发生漂移,另一个MCU芯片就会检查出这种故障,从而采取故障安全原则,不会向外输出任何的数据和控制命令。
[0016]另外,通过CAN1总线和CAN2总线与10模块通讯,采用4个CAN收发器实现总线冗余通讯机制;第一安全M⑶芯片(U1)通过CAN1总线接收和发送一个隔离CAN收发器数据,第一安全M⑶芯片(U1)通过CAN2总线接收和发送一个隔离CAN收发器数据;第二安全MCU芯片 (U2)通过CAN1总线接收和发送一个隔离CAN收发器数据,第二安全MCU芯片(U2)通过CAN2总线接收和发送一个隔离CAN收发器数据。
[0017]RM48L9520J1)和RM48L9520J2)可以通过一条总线与10模块通讯,比如都是CAN1或者CAN2,也可以通过不同的总线与10模块通讯,CAN1和CAN2,如下说的是两条不同的总线通讯。ADM3053OJ4)的数据通过CAN1控制器进入1?1481952(1]1)401〇053(1]7)的数据通过0八呢控制器进入 RM48L952(U2),ADM3053(U5)和 ADM3053OJ6)热备冗余,RM48L9520J1)的数据和 RM48L952(U2)的数据通过CY7C024AV(U3)来表决,如果表决一致,则上报给上位机或现场工程师站;ADM3053OJ5)的数据CAN2控制器进入RM48L952(U1),ADM3053(U6)的数据可以通过 CAN1 控制器进入 RM48L952(U2),ADM3053(U4)和 ADM3053(U7)热备冗余,RM48L952(U1)的数据和RM48L9520J2)的数据通过CY7C024AVOJ3)来表决,如果表决一致,则上报给上位机或现场工程师站;[〇〇18]主控接收到上位机或现场工程师站的命令后,主控的RM48L952(U1)的数据和 RM48L952(U2)的数据也要通过CY7C024AV(U3)来表决,表决一致后,才发给相应的10模块。 如果数据不一致,直接抛弃这个数据,被认为是发生通讯故障,两个M⑶都会报错,同时不会执行后面的程序,从而采取故障安全原则,不会向外输出任何的数据和控制命令。[〇〇19]另外,站地址数据是被认为是安全性相关的数据,要对它采用1002的架构,来保证数据的可靠性和安全性。读取站地址为:第一安全M⑶芯片(U1)通过IIC接口读取站地址读取芯片(U8)的数据,第二安全MCU芯片(U2)读取5位高低电平信号,第一安全MCU芯片(U1)的数据和第二安全M⑶芯片(U2)的数据通过双口 RAM芯片(U3)来表决,如果读取到的两个数据比较一致,认为是正确的站地址,继续执行后面的代码,如果比较不一致,则认为是错误的, 两个MCU都会报错,不会执行后面的程序,从而采取故障安全原则,不会向外输出任何的数据和控制命令。
[0020]另外,现场温度采集是被认为是安全性相关的数据,要对它采用1002的架构,来保证数据的可靠性和安全性。第一安全MCU芯片(U1)通过IIC接口读取第一温度采集芯片(U9) 的数据,第二安全M⑶芯片(U2)通过SPI接口读取温度采集芯片第二温度采集芯片(U10)的数据,第一安全M⑶芯片(U1)的数据和第二安全M⑶芯片(U2)的数据通过双口 RAM芯片(U3) 来表决,如果读取到的两个数据在误差允许的范围,认为是正确的温度采集,继续执行后面的代码,如果误差不在允许的范围,则认为是错误的,两个MCU都会报错,不会执行后面的程序,从而采取故障安全原则,不会向外输出任何的数据和控制命令。
[0021]另外,安全M⑶芯片是RM48L952芯片,双口 RAM芯片是CY7C024AV芯片,隔离CAN收发器是ADM3053芯片,站地址读取芯片是PCF8574APW芯片,第一温度采集芯片是LM75AHME芯片,第二温度采集芯片是ADT7302ARTZ芯片,热插拔芯片是LTC4231IUD芯片,冗余芯片是 LTC4353IDE芯片,第一电源管理芯片是LM2852XMXA-3.3芯片,第二电源管理芯片是 LM2852XMXA-1.2 芯片。[〇〇22]以上所述,仅是本发明的较佳实施例,并非对本发明作任何形式上的限制。本领域的普通技术人员应该理解,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属本发明技术方案的保护范围。
【主权项】
1.一种二取一架构的功能安全控制器,其特征在于:其包括第一安全M⑶芯片(U1),第 二安全M⑶芯片(U2),一个双口 RAM芯片(U3),四个隔离CAN收发器(U4,U5,U6,U7),一个站地 址读取芯片(U8),第一温度采集芯片(U9),第二温度采集芯片(U10),两个热插拔芯片(U11, U12),一个冗余芯片(U13),第一电源管理芯片(U14),第二电源管理芯片(U15);两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护,冗余芯片使两路5V 变成一路5V;第一电源管理芯片给两个安全M⑶芯片(U1,U2),一个双口RAM芯片(U3),四个 隔离04叫父发器(1]4,1]5,1]6,1]7),一个站地址读取芯片〇]8),第一温度采集芯片(1]9),第二温 度采集芯片(U10)供电;第二电源管理芯片给两个安全MCU芯片(U1,U2)的1.2V供电,系统输 入的5V给四个隔离CAN收发器(1]4,1]5,1]6,1]7),第一电源管理芯片(1]14),第二电源管理芯片 (U15)供电;两个安全M⑶芯片(U1,U2)分别通过EMIF接口与双口 RAM芯片(U3)相接;两个隔 离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口;另两个 隔离CAN收发器分别接到第二安全MCU芯片(U2)的CAN1控制器接口和CAN2控制器接口;站地 址读取芯片(U8)通过IIC接口与一个安全M⑶芯片相连;第一温度采集芯片(U9)通过IIC接 口与一个安全M⑶芯片相连;第二温度采集芯片(U10)通过SPI接口与另一个安全M⑶芯片相 连。2.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:从连接器输入两 路5V电源,分别为5V1和5V2,5V1、5V2分别经过热插拔芯片(U11,U12)变为5V_H1、5V_H2,5V_ HI和5V_H2通过冗余芯片(U13)形成一路5V电源,经过第一电源管理芯片(U14)转变为3.3V, 经过第二电源管理芯片(U15)转变为1.2V。3.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:第一安全MCU芯 片(U1)通过双口 RAM芯片(U3)获得第二安全M⑶芯片(U2)的数据,第二安全MCU芯片(U2)通 过双口 RAM芯片(U3)获得第一安全M⑶芯片(U1)的数据,第一安全M⑶芯片(U1)比较自己的 数据和从第二安全MCU芯片(U2)获得的数据,第二安全MCU芯片(U2)比较自己的数据和从第 一安全MCU芯片(U1)获得的数据,比较一致后将继续执行后面的程序,如果比较不一致,两 个MCU芯片将会报错,停止后面的代码执行。4.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:MCU芯片外围有 带独立时基和带时间窗的看门狗,来监控程序的执行和晶振的漂移,如果有一个MCU芯片的 程序执行发生错误或晶振发生漂移,另一个MCU芯片就会检查出这种故障,从而采取故障安 全原则,不会向外输出任何的数据和控制命令。5.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:通过CAN1总线和 CAN2总线与10模块通讯,采用4个CAN收发器实现总线冗余通讯机制;第一安全MCU芯片(U1) 通过CAN1总线接收和发送一个隔离CAN收发器数据,第一安全MCU芯片(U1)通过CAN2总线接 收和发送一个隔离CAN收发器数据;第二安全MCU芯片(U2)通过CAN1总线接收和发送一个隔 离CAN收发器数据,第二安全MCU芯片(U2)通过CAN2总线接收和发送一个隔离CAN收发器数 据。6.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:第一安全MCU芯 片(U1)通过IIC接口读取站地址读取芯片(U8)的数据,第二安全M⑶芯片(U2)读取5位高低 电平信号,第一安全M⑶芯片(U1)的数据和第二安全M⑶芯片(U2)的数据通过双口RAM芯片 (U3)来表决,如果读取到的两个数据比较一致,认为是正确的站地址,继续执行后面的代码,如果比较不一致,则认为是错误的,两个MCU都会报错,不会执行后面的程序,从而采取 故障安全原则,不会向外输出任何的数据和控制命令。7.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:第一安全MCU芯 片(U1)通过IIC接口读取第一温度采集芯片(U9)的数据,第二安全MCU芯片(U2)通过SPI接 口读取温度采集芯片第二温度采集芯片(U10)的数据,第一安全MCU芯片(U1)的数据和第二 安全M⑶芯片(U2)的数据通过双口 RAM芯片(U3)来表决,如果读取到的两个数据在误差允许 的范围,认为是正确的温度采集,继续执行后面的代码,如果误差不在允许的范围,则认为 是错误的,两个MCU都会报错,不会执行后面的程序,从而采取故障安全原则,不会向外输出 任何的数据和控制命令。8.根据权利要求1所述的二取一架构的功能安全控制器,其特征在于:安全MCU芯片是 RM48L952芯片,双口 RAM芯片是CY7C024AV芯片,隔离CAN收发器是ADM3053芯片,站地址读取 芯片是PCF8574APW芯片,第一温度采集芯片是LM75AIMME芯片,第二温度采集芯片是 ADT7302ARTZ芯片,热插拔芯片是LTC4231IUD芯片,冗余芯片是LTC4353IDE芯片,第一电源 管理芯片是LM2852XMXA-3.3芯片,第二电源管理芯片是LM2852XMXA-1.2芯片。
【文档编号】G05B19/042GK106094629SQ201610487426
【公开日】2016年11月9日
【申请日】2016年6月28日
【发明人】俞凌, 卢铭, 丁鹏
【申请人】北京安控科技股份有限公司