一种二取一架构的功能安全控制器制造技术

本申请公开了一种二取一架构的功能安全控制器，其能够实现高可靠性和安全性。其包括第一安全MCU芯片(U1)，第二安全MCU芯片(U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)，两个热插拔芯片(U11，U12)，一个冗余芯片(U13)，第一电源管理芯片(U14)，第二电源管理芯片(U15)。

【技术实现步骤摘要】

本专利技术属于工业过程控制系统功能安全产品的
，尤其涉及一种二取一架构的功能安全控制器。
技术介绍
在以往的对安全性不高的设计中，很多模块或电路板都是通过一个MCU完成数据处理的功能，这个MCU可能会检测到板卡内部其他电路的故障，但是当这个仅有的MCU发生故障时，MCU本身可能自己不知道已经故障，而继续发送错误的数据或者命令，这在安全性较高的场合就会造成严重的后果。这时就需要两个MCU或者更多的MCU，对板卡内部电路进行比较，来共同完成安全性较高的任务。
技术实现思路
本专利技术要解决的技术问题是克服现有技术的缺陷，提供一种二取一架构的功能安全控制器，其能够实现高可靠性和安全性。解决上述问题的技术方案是：这种二取一架构的功能安全控制器，其包括第一安全MCU芯片(U1)，第二安全MCU芯片(U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)，两个热插拔芯片(U11，U12)，一个冗余芯片(U13)，第一电源管理芯片(U14)，第二电源管理芯片(U15)；两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护，冗余芯片使两路5V变成一路5V；第一电源管理芯片给两个安全MCU芯片(U1，U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)供电；第二电源管理芯片给两个安全MCU芯片(U1，U2)的1.2V供电，系统输入的5V给四个隔离CAN收发器(U4，U5，U6，U7)，第一电源管理芯片(U14)，第二电源管理芯片(U15)供电；两个安全MCU芯片(U1，U2)分别通过EMIF接口与双口RAM芯片(U3)相接；两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口；另两个隔离CAN收发器分别接到第二安全MCU芯片(U2)的CAN1控制器接口和CAN2控制器接口；站地址读取芯片(U8)通过IIC接口与一个安全MCU芯片相连；第一温度采集芯片(U9)通过IIC接口与一个安全MCU芯片相连；第二温度采集芯片(U10)通过SPI接口与另一个安全MCU芯片相连。本专利技术通过电源安全保护、MCU模块、CAN通讯、站地址读取、温度采集，能够实现高可靠性和安全性。附图说明图1是根据本专利技术的二取一架构的功能安全控制器的电路方框图。具体实施方式如图1所示，这种二取一架构的功能安全控制器，其包括第一安全MCU芯片(U1)，第二安全MCU芯片(U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)，两个热插拔芯片(U11，U12)，一个冗余芯片(U13)，第一电源管理芯片(U14)，第二电源管理芯片(U15)；两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护，冗余芯片使两路5V变成一路5V；第一电源管理芯片给两个安全MCU芯片(U1，U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)供电；第二电源管理芯片给两个安全MCU芯片(U1，U2)的1.2V供电，系统输入的5V给四个隔离CAN收发器(U4，U5，U6，U7)，第一电源管理芯片(U14)，第二电源管理芯片(U15)供电；两个安全MCU芯片(U1，U2)分别通过EMIF接口与双口RAM芯片(U3)相接；两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口；另两个隔离CAN收发器分别接到第二安全MCU芯片(U2)的CAN1控制器接口和CAN2控制器接口；站地址读取芯片(U8)通过IIC接口与一个安全MCU芯片相连；第一温度采集芯片(U9)通过IIC接口与一个安全MCU芯片相连；第二温度采集芯片(U10)通过SPI接口与另一个安全MCU芯片相连。本专利技术通过电源安全保护、MCU模块、CAN通讯、站地址读取、温度采集，能够实现高可靠性和安全性。另外，从连接器输入两路5V电源，分别为5V1和5V2，5V1、5V2分别经过热插拔芯片(U11，U12)变为5V_H1、5V_H2，5V_H1和5V_H2通过冗余芯片(U13)形成一路5V电源，经过第一电源管理芯片(U14)转变为3.3V，经过第二电源管理芯片(U15)转变为1.2V。热插拔芯片具有过压监控，欠压监控，过流保护等功能，使5V电源在正常的工作范围内，如果不在正常的范围内，将断开热插拔芯片所控制的NMOS开关，如果发生过流，也会热插拔芯片也会断开它所控制的NMOS开关，保证后面的电路不会被损坏。另外，本专利技术采用安全MCU，它具有多种诊断方法：1，内部双核锁步比较；2，内部ECC；3，内部BIST自检；4，电压和时钟监控等诊断方法。该MCU已经通过SIL3认证，诊断覆盖率≧90％。MCU的1OO2，指的是本设计采用两个安全MCU，即RM48L952(U1)和RM48L952(U2)。第一安全MCU芯片(U1)通过双口RAM芯片(U3)获得第二安全MCU芯片(U2)的数据，第二安全MCU芯片(U2)通过双口RAM芯片(U3)获得第一安全MCU芯片(U1)的数据，第一安全MCU芯片(U1)比较自己的数据和从第二安全MCU芯片(U2)获得的数据，第二安全MCU芯片(U2)比较自己的数据和从第一安全MCU芯片(U1)获得的数据，比较一致后将继续执行后面的程序，如果比较不一致，两个MCU芯片将会报错，停止后面的代码执行。另外，MCU芯片外围有带独立时基和带时间窗的看门狗，来监控程序的执行和晶振的漂移，如果有一个MCU芯片的程序执行发生错误或晶振发生漂移，另一个MCU芯片就会检查出这种故障，从而采取故障安全原则，不会向外输出任何的数据和控制命令。另外，通过CAN1总线和CAN2总线与IO模块通讯，采用4个CAN收发器实现总线冗余通讯机制；第一安全MCU芯片(U1)通过CAN1总线接收和发送一个隔离CAN收发器数据，第一安全MCU芯片(U1)通过CAN2总线接收和发送一个隔离CAN收发器数据；第二安全MCU芯片(U2)通过CAN1总线接收和发送一个隔离CAN收发器数据，第二安全MCU芯片(U2)通过CAN2总线接收和发送一个隔离CAN收发器数据。RM48L952(U1)和RM48L952(U2)可以通过一条总线与IO模块通讯，比如都是CAN1或者CAN2，也可以通过不同的总线与IO模块通讯，CAN1和CAN2，如下说的是两条不同的总线通讯。ADM3053(U4)的数据通过CAN1控制器进入RM48L952(U1)，ADM3053(U7)的数据通过CAN2控制器进入RM48L952(U2)，ADM3053(U5)和ADM3053(U6)热备冗余，RM48L952(U1)的数据和RM48L952(U2)的数据通过CY7C024AV(U3)来表决，如果表决一致，则上报给上位机或现场工程师站；ADM3053(U5)本文档来自技高网...

【技术保护点】
一种二取一架构的功能安全控制器，其特征在于：其包括第一安全MCU芯片(U1)，第二安全MCU芯片(U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)，两个热插拔芯片(U11，U12)，一个冗余芯片(U13)，第一电源管理芯片(U14)，第二电源管理芯片(U15)；两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护，冗余芯片使两路5V变成一路5V；第一电源管理芯片给两个安全MCU芯片(U1，U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)供电；第二电源管理芯片给两个安全MCU芯片(U1，U2)的1.2V供电，系统输入的5V给四个隔离CAN收发器(U4，U5，U6，U7)，第一电源管理芯片(U14)，第二电源管理芯片(U15)供电；两个安全MCU芯片(U1，U2)分别通过EMIF接口与双口RAM芯片(U3)相接；两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口；另两个隔离CAN收发器分别接到第二安全MCU芯片(U2)的CAN1控制器接口和CAN2控制器接口；站地址读取芯片(U8)通过IIC接口与一个安全MCU芯片相连；第一温度采集芯片(U9)通过IIC接口与一个安全MCU芯片相连；第二温度采集芯片(U10)通过SPI接口与另一个安全MCU芯片相连。...

【技术特征摘要】
1.一种二取一架构的功能安全控制器，其特征在于：其包括第一安全MCU芯片(U1)，第二安全MCU芯片(U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)，两个热插拔芯片(U11，U12)，一个冗余芯片(U13)，第一电源管理芯片(U14)，第二电源管理芯片(U15)；两个热插拔芯片分别提供各自的输入5V的监控和各自的过流保护，冗余芯片使两路5V变成一路5V；第一电源管理芯片给两个安全MCU芯片(U1，U2)，一个双口RAM芯片(U3)，四个隔离CAN收发器(U4，U5，U6，U7)，一个站地址读取芯片(U8)，第一温度采集芯片(U9)，第二温度采集芯片(U10)供电；第二电源管理芯片给两个安全MCU芯片(U1，U2)的1.2V供电，系统输入的5V给四个隔离CAN收发器(U4，U5，U6，U7)，第一电源管理芯片(U14)，第二电源管理芯片(U15)供电；两个安全MCU芯片(U1，U2)分别通过EMIF接口与双口RAM芯片(U3)相接；两个隔离CAN收发器分别接到第一安全MCU芯片(U1)的CAN1控制器接口和CAN2控制器接口；另两个隔离CAN收发器分别接到第二安全MCU芯片(U2)的CAN1控制器接口和CAN2控制器接口；站地址读取芯片(U8)通过IIC接口与一个安全MCU芯片相连；第一温度采集芯片(U9)通过IIC接口与一个安全MCU芯片相连；第二温度采集芯片(U10)通过SPI接口与另一个安全MCU芯片相连。2.根据权利要求1所述的二取一架构的功能安全控制器，其特征在于：从连接器输入两路5V电源，分别为5V1和5V2，5V1、5V2分别经过热插拔芯片(U11，U12)变为5V_H1、5V_H2，5V_H1和5V_H2通过冗余芯片(U13)形成一路5V电源，经过第一电源管理芯片(U14)转变为3.3V，经过第二电源管理芯片(U15)转变为1.2V。3.根据权利要求1所述的二取一架构的功能安全控制器，其特征在于：第一安全MCU芯片(U1)通过双口RAM芯片(U3)获得第二安全MCU芯片(U2)的数据，第二安全MCU芯片(U2)通过双口RAM芯片(U3)获得第一安全MCU芯片(U1)的数据，第一安全MCU芯片(U1)比较自己的数据和从第二安全MCU芯片(U2)获得的数据，第二安全MCU芯片(U2)比较自己的数据和从第一安全MCU芯片(U1)获得的数据，比较一致后将继续执行后面的程序，如果比较不一致，两个MCU芯片将会报错，停止后面的代码执行。4.根据权利要求1所述的二取一架构的功...

【专利技术属性】
技术研发人员：俞凌，卢铭，丁鹏，
申请(专利权)人：北京安控科技股份有限公司，
类型：发明
国别省市：北京;11