痞子衡嵌入式：恩智浦i.MX RT1xxx系列MCU啟動那些事（5）- 再聊eFUSE及其燒寫方法

---

　　大家好，我是痞子衡，是正經搞技術的痞子。今天痞子衡給大家介紹的是恩智浦i.MX RT1xxx系列MCU的eFUSE。

　　在i.MXRT1xxx啟動系列第二篇文章 Boot配置(BOOT Pin, eFUSE) 里痞子衡提到了eFUSE，部分Boot配置都存儲在eFUSE memory里，但是對eFUSE的介紹僅僅淺嘗輒止，沒有深入，今天痞子衡就為大家再進一步介紹eFUSE。

　　eFUSE是i.MXRT1xxx里一塊特殊的存儲區域，用於存放全部芯片配置信息，其中有一部分配置信息和Boot相關。這塊特殊存儲區域並不在ARM的4G system address空間里，需要用特殊的方式去訪問（讀/寫），如何訪問eFUSE是本篇文章的重點。

一、eFUSE基本原理

1.1 eFUSE屬性（OTP, Lock）

　　eFUSE本質上就是i.MXRT1xxx內嵌的一塊OTP（One Time Programmable） memory，僅可被燒寫一次，但可以被多次讀取。eFUSE memory的燒寫是按bit進行的（RT10xx都是按bit進行，RT1170大部分是按Word進行的），初始狀態下所有eFUSE bit均為0，通過特殊的燒寫時序可以將bit從0改成1，一旦某bit被燒寫成1后便再也無法被修改（可理解為硬件熔絲燒斷了無法恢復）。
　　i.MXRT1050的eFUSE memory總地址空間有1.5Kbit（地址范圍為0x400 - 0x6F0，低4bit地址位無效），分為6個BANK，每個BANK含8個word（1word = 4bytes）。下圖中0x00 - 0x2F是eFUSE的bank word索引地址（也叫index地址），其與eFUSE空間地址對應關系是：

fuse_address = fuse_index * 0x10 + 0x400

　　上述可讀寫的eFUSE memory空間除了OTP特性外，還有Lock控制特性，Lock控制是OTP memory的標配，Lock控制有三層：第一層是WP，即寫保護，被保護的eFUSE區域只可讀，不可寫；第二層是OP，即覆蓋保護，被保護的eFUSE區域只能被寫一次（用於保護eFUSE Word里那些不需要被燒寫成1的eFUSE bit）；第三層是RP（WP+OP+RP），即訪問保護，被保護的eFUSE區域及其對應的shadow register均不能被讀寫。
　　Lock控制在eFUSE的BANK0_word0，如下是RT1050上具體Lock bit定義：

關於可讀寫eFUSE空間所有bit定義詳見Reference Manual里的Table 5-9. Fusemap Descriptions。

1.2 OCOTP控制器與Shadow Register

　　i.MXRT1xxx內部有一個硬件IP模塊叫OCOTP_CTRL，即OCOTP控制器，對eFUSE memory的讀寫控制操作其實都是通過這個OCOTP控制器實現的，下圖是OCOTP_CTRL模塊圖：

　　OCOTP_CTRL模塊寄存器一共分兩類：一類是IP控制寄存器，用於實現對OTP memory的讀寫操作時序控制；一類是Shadow register，用於上電時自動從eFUSE memory獲取數據並緩存，這樣我們可以直接訪問Shadow register而不用訪問eFUSE memory也能獲取eFUSE內容（注意：當芯片運行中燒寫eFUSE，Shadow register的值並不會立刻更新，需要執行IP控制器的reload命令或者將芯片reset才能同步）。

　　RT1050上IP控制寄存器偏移地址范圍是0x000 - 0x3FF(下圖僅截取部分):

　　Shadow register寄存器偏移地址范圍是0x400 - 0x6FF（下圖僅截取部分），看到0x400 - 0x6FF的地址范圍，有沒有感覺很熟悉？是的，這跟上一節講的可讀寫操作eFUSE空間偏移地址范圍是一致的。

二、使用blhost燒寫eFUSE

　　eFUSE memory的燒寫是通過OCOTP_CTRL模塊來實現的，我們當然可以在Application中集成OCOTP_CTRL的驅動程序，然后在Application調用OCOTP_CTRL的驅動程序完成eFUSE的燒寫，但這種方式並不是痞子衡要介紹的重點，痞子衡要介紹的是通過Flashloader配套的blhost.exe上位機工具實現eFUSE的燒寫。
　　痞子衡在上一篇文章里介紹過如何引導啟動Flashloader並且使用blhost與Flashloader通信，此處假設你已經使用blhost與Flashloader建立了通信。讓我們再來回顧一下blhost的命令help，可以得知efuse-program-once這個命令就是我們想要的命令。

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win> .\blhost.exe -?
usage: C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win\blhost.exe
                       [-p|--port <name>[,<speed>]]
                       [-u|--usb [[[<vid>,]<pid>]]]
                       -- command <args...>

Command:
  efuse-program-once <addr> <data>
                               Program one word of OCOTP Field
                               <addr> is ADDR of OTP word, not the shadowed memory address.
                               <data> is hex digits without prefix '0x'
  efuse-read-once <addr>
                               Read one word of OCOTP Field
                               <addr> is ADDR of OTP word, not the shadowed memory address.

　　讓我們試一下efuse-program-once這個命令，開始試之前要解決2個問題：
　　addr參數到底是什么地址？幫助里說是OTP word address，其實這個地址就是1.1節里介紹的fuse_index，index范圍為0x00 - 0x2F，對應48個可讀寫操作的eFUSE Word。
　　data參數到底是什么格式？幫助里說是hex digits without prefix '0x'，但是似乎沒有指明長度，我們知道每一個index對應的是4byte，那就應該是8位16進制數據（實測下來必須要填8位，如果是非8位會返回Error: invalid command or arguments）。
　　弄清了問題，那我們做一個小測試：要求將eFUSE里的SRK_REVOKE word的最低byte燒寫成0x5A，然后再將最高byte燒寫成0xFE，分兩步進行。
　　翻看OTP Memory Footprint表，找到SRK_REVOKE的index地址是0x2F（對應Shadow register地址是0x401F46F0），命令搞起來：

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win> .\blhost.exe -u -- efuse-program-once 0x2F 0000005A

Inject command 'efuse-program-once'
Successful generic response to command 'efuse-program-once'
Response status = 0 (0x0) Success.

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win> .\blhost.exe -u -- efuse-program-once 0x2F FE000000

Inject command 'efuse-program-once'
Successful generic response to command 'efuse-program-once'
Response status = 0 (0x0) Success.

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win> .\blhost.exe -u -- efuse-read-once 0x2F

Inject command 'efuse-read-once'
Response status = 0 (0x0) Success.
Response word 1 = 4 (0x4)
Response word 2 = -33554342 (0xfe00005a)

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\blhost\win> .\blhost.exe -u -- read-memory 0x401F46F0 4

Inject command 'read-memory'
Successful response to command 'read-memory'
5a 00 00 fe
(1/1)100% Completed!
Successful generic response to command 'read-memory'
Response status = 0 (0x0) Success.
Response word 1 = 4 (0x4)
Read 4 of 4 bytes.

　　看起來命令執行正常，但你是不是會有幾個疑問：
　　為何執行第二條命令將0xFE000000燒寫進eFUSE時沒有報錯？顯然第一條命令已經將0x0000005A燒寫進eFUSE，而0xFE000000的最低byte是0x00，看起來它跟已經燒寫進去的0x5A是沖突的，而前面介紹過eFUSE bit只能從0燒寫為1，其實這不是問題，OCOTP controller會自動過濾將eFUSE bit從1燒寫為0的操作。
　　為何eFUSE被燒寫后，並沒有reset操作，用read-memory去獲取Shadow register可以立即看到數據同步更新了？其實blhost里的efuse-program-once命令不僅包含program命令，也自動集成了reload命令。

　　雖然只有blhost可以實現eFUSE燒寫功能，但要獲取eFUSE狀態並不是只有blhost可以做到，sdphost也可以做到，因為sdphost提供了讀寫Shadow register的命令。

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\sdphost\win> .\sdphost.exe -u 0x1fc9,0x0130 -- read-register 0x401F46F0

5a 00 00 fe
Status (HAB mode) = 1450735702 (0x56787856) HAB disabled.

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\sdphost\win> .\sdphost.exe -u 0x1fc9,0x0130 -- write-register 0x401F46F0 32 0x00000000

Status (HAB mode) = 1450735702 (0x56787856) HAB disabled.
Reponse Status = 311069202 (0x128a8a12) Write complete.

PS C:\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\sdphost\win> .\sdphost.exe -u 0x1fc9,0x0130 -- read-register 0x401F46F0

00 00 00 00
Status (HAB mode) = 1450735702 (0x56787856) HAB disabled.

　　至此，恩智浦i.MX RT1xxx系列MCU的eFUSE痞子衡便介紹完畢了，掌聲在哪里~~~

歡迎訂閱

文章會同時發布到我的 博客園主頁、CSDN主頁、微信公眾號 平台上。

微信搜索"痞子衡嵌入式"或者掃描下面二維碼，就可以在手機上第一時間看了哦。