参考文献

有关文件及软件，请浏览:

//www.wsdof.com/雷电竞官网登录products/greenpak

下载我们的免费GreenPAK设计软件[1]，打开。gp文件[2]，并使用GreenPAK开发工具[3]在几分钟内将设计冻结到您自己的定制IC中。

雷竞技电竞平台Dialog Semiconductor提供了一个完整的应用笔记[4]库，包括设计示例以及Dialog IC内的功能和模块的说明。

1. GreenPAK设计软件，软件下载和用户指南，Dialog Semiconductor雷竞技电竞平台
2. AN-1135改进GreenPAK™.gp的气体阀门安全符合性，GreenPAK设计文件，对话框半导体雷竞技电竞平台
3. GreenPAK开发工具， GreenPAK开发工具网页，Dialog半导体雷竞技电竞平台
4. GreenPAK应用笔记，GreenPAK应用说明网页，对话框雷竞技电竞平台
5. SLG46531对话框数据表,半导体雷竞技电竞平台

介绍

可编程的基于电子的控制通常具有实现安全功能的能力。例如，在欧盟，符合IEC 60730和IEC 61508功能安全标准是强制性的。它甚至涵盖了由于安全机构本身的故障而可能造成的危险。

尽管市场上的许多MCU都有IEC 60730强制要求的B类软件(用于监控MCU的故障)，但有些用例需要双重检查机制以提高可靠性。

例如，考虑锅炉中燃气阀门执行器的开启和关闭操作。如果MCU控制它失败了，后果将是灾难性的。

本应用说明展示了Dialog的SLG46531V的能力，可以安全地驱动连接关键驱动器的5个输出引脚。SLG46531V监控一个“心跳”信号，以决定单片机的稳定性。

MCU通过I2C发送命令以打开/关闭输出引脚。

这些输出仅在稳定状态下运行，执行器在任何其他状态下都将始终关闭。

与运行在MCU中的B类软件例行程序相比，采用这种双重检查机制的优点如下:

• 在初始设计阶段或软件更新阶段(在为新组件或现有组件添加新设备驱动程序时)，软件可能会由于编码疏忽而崩溃。
• 每次软件更新(在硬件层)都需要重新认证。相反，如果该关键执行器直接与ASIC接口，则只需要一次认证。
• 尽管一些MCU制造商按照IEC 60730-1标准附录H的建议提供数字IO外设测试，但特定数字IO的最终应用通常是定制的，并且与测试时间相比行为有所不同。

应用程序

在该系统中，单片机与气阀驱动电路采用GreenPAK隔离。

单片机通过I2C命令发送一个命令来开关特定的IO引脚。单片机定期进行B类自检以检测其稳定状态，并发送一个频率小于23mSec的脉冲(心跳信号)。如果“自检”不正常，则MCU停止发送心跳信号。

GreenPAK监视心跳信号，以发现任何意外行为，如无信号或波动信号，如果检测到，它将关闭所有输出引脚。它服从I2C命令，只有当GreenPAK接收到良好稳定的心跳信号时，输出引脚才允许OK状态。所有这些操作都是由GreenPAK中基于硬件的ASM(异步状态机)驱动的。

自动锁定输出驱动器与安全复位

该ASM设计基于单片机的稳定性指示驱动所有5个输出引脚。它利用四个状态来完成任务。5个ASM RAM位连接到D0_OUT、D1_OUT、D2_OUT、D3_OUT和D4_OUT引脚，通过I2C输出命令值对应的STABLE_OUT状态。启动时，ASM进入STARTUP状态，在该状态下，它监测时间周期小于23mSec的稳定脉冲。

当有一个良好的健康脉冲时，它触发STABLE_LATCH状态，然后在STABLE_LATCH和STABLE_OUT状态之间切换。这种切换是必要的，以便将I2C命令对寄存器地址D1所做的内部ASM RAM表更改反映出来。

此寄存器是所有需要通过I2C命令修改的寄存器中唯一的一个。所有5个输出引脚在STABLE_OUT状态下使用DFF3、DFF4到DFF7锁存，在STABLE_LATCH状态下阻塞。

一旦ASM识别关于不稳定指示不是通过接收脉冲或脉冲波动，它触发RESET状态，在其中所有输出引脚是OFF。

它永远不会返回(STARTUP)正常状态，直到通过通过低信号(按下手动复位按钮)MANUAL_RESET_IN引脚进行手动复位操作。手动复位操作在所有状态下都是有效的，当启用时将立即强制STARTUP状态。

心跳信号监测

通过测量PIN2处小于23毫秒的信号周期，推断MCU心跳信号的稳定性。CNT2/DLY2块配置在具有上升沿的频率模式下。

计数器值设置为179，捕获周期小于或等于23mSec的信号。

当时间周期小于或等于所述周期时，此块的输出是活跃的高。然后在编程的LUT0块的帮助下补充它，作为一个非门，作为RESET状态的过渡信号。

直接的非反向输出被传送到2-L2和LUT3块，负责在时钟的帮助下从STABLE_LATCH到STABLE_OUT创建切换信号，反之亦然。

扩展IO外设锁定使用ASM

PIN15至PIN19分别使用DFF7至DFF3与ASM的连接矩阵输出RAM连接。每个DFF通过从CNT/DLY4生成的一次反转脉冲信号在稳定输出状态期间锁存数据。当接收到来自2-L2的下降沿时，该CNT/DLY4被配置为单次发生器。

安全的手动复位

当由于无心跳或脉动而出现不稳定情况时，GreenPAK会关闭5个输出引脚，将所有对应的引脚都设置为LOW，并需要手动复位以解锁输出接口和安全复位。

PIN12连接到下拉按钮，寻找按下按钮超过或等于5秒。CNT0/DLY0/FSM0配置为延时模式，检测上升沿5秒。一旦按下按钮，由于引脚处于上拉模式，LUT6处于倒逻辑，引脚接受低到高过渡。如果信号处于高电平5秒，它触发CNT5/DLY5块，然后激活宽度为30毫秒的单个脉冲。该单脉冲作为STARTUP的过渡信号，通过输出引脚13路由到单片机。

在系统启动时监测稳定的心跳信号

在系统启动时，接收到的心跳信号就像来自使用GreenPAK设计器模拟的MCU一样。

SCL和SDA信号用于I2C通道。心跳信号是启动时稳定的脉冲信号。D0_OUT至D4_OUT是指D0_OUT开启的输出驱动器引脚。此接通状态是由于ASM输出RAM矩阵表中存在初始值所致。

仿真器的配置如下:TP2作为信号发生器，用于生成稳定和不稳定的心跳信号。输出ON/OFF接口为TP15、TP16、TP17、TP18、TP19。

这个设计支持五个输出驱动器。TP12设置为下拉按钮。

TP13是单片机的一次复位信号，对ASM进行解锁。

基于I2C的输出接口控制

地址为0xD1的ASM RAM表的输出矩阵包含了该字节中从第0位到第5位的所有5个输出驱动器的值。打开所有输出引脚的I2C命令为[0x08 0xD1 0x1F]。接收到I2C命令后，D0_OUT到D4_OUT的开关变为ON。[设备地址:0x08注册地址:0xD1取值:0x1F]。

自动锁定

当没有心跳信号或来自MCU的不稳定心跳信号变化时，所有输出引脚自动切换到关闭状态。下图12.A显示，当MCU停止发送心跳信号时，D0_OUT到D4_OUT被关闭。

可以理解，当由DEBUG_STABLE_OUT引脚显示的心跳信号(如图12.B所示)出现波动时，ASM在第一次检测自身时锁定为RESET状态。DEBUG_STABLE_OUT为频率检测单元输出。

使用手动复位安全解锁系统

ASM处于重置状态后，需要通过按下下拉模式下连接的按钮手动重置。RESET_OUT是开关产生的波形中的信号；RESET_IN是发送至MCU复位引脚的信号的信号名称。

手动复位，安全操作，避免输出驱动器自动触发。图13。A表示在心跳信号不稳定的情况下，当按键按下超过5秒时，RESET_IN信号中一次脉冲触发复位，由RESET_OUT表示。

(D4_OUT波形没有显示，但它是明确测试的)。

图13.B显示了接收到稳定心跳信号后的手动复位操作。在这种情况下，所有输出引脚将反映通过I2C通道发送的最后一个值。

单片机复位

一旦按下复位按钮超过5秒，它将发送一次脉冲（参考以下波形中名为reset_的信号），以从复位状态解锁ASM。该信号用于主机MCU复位。当需要重置MCU时，无论是否存在任何锁定错误，都可以使用此信号进行重置。

结论

在石油和天然气行业、机械行业等领域，功能安全是一个首要考虑的问题。相对于软件方法，基于硬件的GreenPAK ASM具有安全优势。在这种情况下，它是一个由SLG46531V IC驱动的开/关驱动器，SLG46531V IC在脉冲周期接近23 mSec时捕捉到不希望出现的情况，并安全锁定输出驱动器而不发生故障。Dialog的GreenPAK IC有助于隔离驱动器，最大限度地减少危险，并占用非常小的PCB板面积。