P89LPC915/916/917看门狗与Flash IAP-Lite实战配置与避坑指南

1. 项目概述：深入理解P89LPC915/916/917的看门狗与Flash编程

在嵌入式开发领域，尤其是面对像P89LPC915/916/917这类资源紧凑但功能强大的8位微控制器时，两个功能模块的深入理解与正确应用，往往是项目成败的关键：一个是守护系统稳定运行的“忠诚卫士”——看门狗定时器（Watchdog Timer, WDT），另一个则是赋予系统“自我进化”能力的Flash存储器编程，特别是其IAP-Lite功能。很多开发者对这两个模块的认知停留在“知道怎么用”的层面，但在实际项目中，尤其是在工业控制、智能仪表等对可靠性和数据非易失性有严苛要求的场景下，仅仅“会用”是远远不够的。你必须清楚时钟源切换的时序陷阱、喂狗操作的临界条件、Flash页编程的原子性保障，以及安全位配置的深远影响。本文将结合我多年在8051内核MCU上的开发经验，为你拆解P89LPC915/916/917数据手册中的关键细节，并补充大量官方文档未曾明说，但在实际调试中会让你“踩坑”的实战要点。

2. 看门狗定时器（WDT）核心机制与实战配置

看门狗的本质是一个独立的递减计数器。当它使能后，会从预设值开始向下计数，如果计数到零（即“超时”）之前，软件没有通过特定的“喂狗”序列（向WFEED1和WFEED2寄存器依次写入0xA5和0x5A）来重置计数器，它就会触发一个系统复位，强制程序从初始状态重新开始运行。这个机制是为了从软件跑飞、死循环或任务阻塞等异常状态中恢复系统。

2.1 时钟源选择：精度与功耗的权衡

P89LPC915/916/917的看门狗提供了两个时钟源选项，通过WDCON寄存器的WDCLK位选择：

• 内部看门狗振荡器（~400 kHz）：这是一个独立的RC振荡器，精度相对较低（典型值±20%/-30%），但它最大的优势是不依赖于系统主时钟（CCLK）。这意味着即使你的主CPU因为进入了某种低功耗模式（如Power-down）而停止了系统时钟，只要看门狗使能且选择了此振荡器，它依然在运行，能够持续监控系统。
• 外设时钟（PCLK）：PCLK通常由系统主时钟CCLK分频而来（默认是CCLK/2）。使用PCLK作为时钟源可以获得更精确的超时时间，因为其频率稳定。但致命缺点是：一旦CPU进入Power-down模式，CCLK停止，PCLK也随之停止，看门狗定时器将完全失效，失去监控作用。

配置实战与避坑指南：选择时钟源不仅仅是配置一个位那么简单。手册中一个极易被忽略的细节是时钟切换的同步机制。当你修改WDCLK位后，新的时钟源并不会立即生效。如图50所示，这个切换动作要等到下一次有效的喂狗序列完成后才会被加载。并且，由于内部时钟同步逻辑，从旧时钟源失效到新时钟源稳定工作，中间最多可能经历“2个旧时钟周期 + 2个新时钟周期”的延迟。

注意：这个延迟会导致预分频器的计数出现误差，最大可能达到上述的4个时钟周期。如果你的超时时间设置得比较极限（例如，刚好在两次喂狗的间隙），这个误差可能导致意外的复位。因此，在计算超时窗口时，建议预留至少10%的余量。

更关键的一点是手册中的警告：在切换时钟源后，必须确保旧时钟源在喂狗完成后至少再保持两个时钟周期有效。举个例子，如果你当前使用PCLK（WDCLK=0），现在想切换到看门狗振荡器（WDCLK=1），你需要在设置WDCLK=1并执行喂狗操作后，等待至少2个PCLK周期（即4个CCLK周期），才能让CPU进入Power-down模式。如果过早进入Power-down，CCLK关闭，PCLK消失，此时看门狗定时器可能因为旧时钟源被禁用而意外停止工作，即使你已切换到看门狗振荡器，它也永远不会被真正选为时钟源，除非系统再次被唤醒，CCLK恢复。这个坑在低功耗应用设计中非常隐蔽。

2.2 超时周期计算：寄存器配置详解

看门狗的超时时间由两个因素决定：时钟源频率和WDCON寄存器中的预分频器设置（PRE2:PRE0）以及WDL寄存器的值。WDL是一个8位递减计数器，其初始值可软件设置（0-255）。超时所需的时钟周期数计算公式为：超时周期 = (预分频器输出周期) × (WDL + 1)

预分频器对输入时钟进行分频，PRE2:PRE0的值决定了分频系数（N），具体对应关系手册中的表格92已列出，例如000对应33分频，111对应4097分频。

实战计算示例：假设我们需要一个约1秒的看门狗超时时间，且系统CCLK为12 MHz（PCLK为6 MHz）。

1. 选择时钟源：若对功耗不敏感，追求精度，可选PCLK（6 MHz）。若系统需在Power-down下被看门狗唤醒，则必须选择400 kHz内部振荡器。
2. 选择预分频值和WDL：
   • 若用PCLK（6 MHz），周期为1/6 us ≈ 0.167 us。要达到1秒（1,000,000 us），需要约6,000,000个时钟周期。
   • 查看手册表92，PRE2:PRE0=111时，预分频系数为4097。则预分频器输出周期 = 4097 * 0.167 us ≈ 683 us。
   • 所需WDL值 = (目标时间 / 预分频器输出周期) - 1 = (1,000,000 us / 683 us) - 1 ≈ 1463。这远超255，说明单次预分频无法达到。我们需要更长的预分频。
   • 实际上，使用内部400 kHz振荡器更易实现长定时。400 kHz周期为2.5 us。PRE2:PRE0=111时，预分频器输出周期 = 4097 * 2.5 us = 10242.5 us ≈ 10.24 ms。
   • 则所需WDL值 = (1,000,000 us / 10,240 us) - 1 ≈ 96.6。我们可以设置WDL = 97（十进制）。此时超时时间 ≈ 10.24 ms * (97+1) ≈ 1003.5 ms，非常接近1秒。

配置代码示例（汇编风格）：

; 假设选择内部400kHz振荡器，预分频111，WDL=97，使能看门狗复位 MOV WDCON, #0C7h ; 设置：WDCLK=1 (内部振荡器), PRE[2:0]=111, WDRUN=1, WDTE=1 MOV WDL, #61h ; 设置WDL为97 (0x61) ; 喂狗操作（需在超时前周期性执行） MOV WFEED1, #0A5h MOV WFEED2, #05Ah

2.3 看门狗模式与定时器模式

WDCON寄存器的WDTE位决定了看门狗的工作模式：

• 看门狗模式（WDTE = 1）：此模式下，超时会引发系统复位。这是最常用的“死机恢复”模式。任何对WDCON的修改都会在一个看门狗时钟周期后更新到影子寄存器。
• 定时器模式（WDTE = 0）：此模式下，超时不会复位系统，而是置位WDTOF（看门狗超时标志）位，并可配置为产生中断（需使能IEN0.6）。这允许你将看门狗当作一个普通的周期性中断定时器使用，例如用于从Power-down模式中定时唤醒。在此模式下，不正确的喂狗序列会被忽略，只有正确的0xA5/0x5A序列才能将WDL值重载入递减计数器。

模式选择心得：在绝大多数需要高可靠性的应用中，都应使用看门狗模式。定时器模式通常用于特定的低功耗唤醒场景。需要注意的是，即使在看门狗模式下，你也可以通过查询WDTOF位来判断上次复位是否由看门狗超时引起，这对于系统故障诊断非常有用。

3. Flash存储器IAP-Lite编程深度解析

IAP-Lite是P89LPC915/916/917提供的一项强大功能，允许运行中的用户程序对自身的Flash代码存储器进行读、擦、写操作。这为固件在线升级、参数保存、数据日志等应用打开了大门。

3.1 Flash内存组织与操作原理

该系列MCU的Flash被组织成256字节的扇区（Sector），每个扇区又可细分为16字节的页（Page）。支持三种擦除操作：

1. 扇区擦除：擦除整个256字节扇区。
2. 页擦除：擦除一个16字节的页。
3. 芯片擦除：擦除整个程序存储器。

IAP-Lite的核心是一个16字节的页寄存器（Page Register）和对应的16个更新标志（Update Flag）。这个设计巧妙之处在于它支持非对齐、非连续的字节编程。你不需要为了修改一个字节而擦除整个扇区或页，只需将目标字节及其地址加载到页寄存器中，然后执行一次“擦除-编程”命令，只有那些被标记为“更新”的字节位置才会在Flash中被擦写，同页的其他字节保持不变。

3.2 IAP-Lite操作流程与关键SFR

操作涉及四个特殊功能寄存器（SFR）：

• FMCON (Flash Memory Control Register, 地址E4h)：这是一个命令/状态寄存器。写入时是命令寄存器，发送如LOAD(0x00)、ERASE-PROGRAM(0x68)等指令。读取时是状态寄存器，返回操作状态（如OI操作中断、SV安全违规、HVE高压错误等）。
• FMDATA (Flash Data Register)：用于向页寄存器写入要编程的数据。
• FMADRH 和 FMADRL (Flash Memory Address High/Low)：用于指定地址。其位功能在加载和编程阶段有所不同：
  • 加载页寄存器阶段：FMADRL[3:0]用于选择页寄存器内的字节位置（0-15）。写入FMDATA后，FMADRL[3:0]会自动递增，方便连续加载。
  • 执行擦除-编程阶段：FMADRH和FMADRL[7:4]共同指定目标Flash中的页地址（哪一页，共12位，可寻址4096字节，覆盖2KB Flash）。

标准单字节/多字节编程流程（务必按顺序）：

1. 发送LOAD命令：向FMCON写入0x00。此操作会清空页寄存器及其所有更新标志。这是每次编程操作前必须的第一步。
2. 设置地址与加载数据： a. 将目标字节在页内的偏移地址（0-15）写入FMADRL[3:0]，同时也可以提前将目标页地址的高位写入FMADRH和FMADRL[7:4]。 b. 将要编程的数据写入FMDATA。硬件会自动将数据存入页寄存器FMADRL[3:0]指定的位置，并置位该位置的更新标志，然后FMADRL[3:0]自动加1。 c. 如果要编程多个字节（必须在同一页内），重复步骤a和b。你可以通过修改FMADRL[3:0]来跳着地址写，但每个页寄存器位置在一次LOAD命令后只能写入一次，重复写入同一位置的行为应避免。
3. 设置目标页地址：如果之前没设置，此时将目标Flash页地址写入FMADRH和FMADRL[7:4]。
4. 启动擦除-编程：向FMCON写入擦除-编程命令0x68。这个命令一旦执行，CPU会进入“编程空闲状态”，直到操作完成（约4ms）或被中断打断。
5. 检查状态：读取FMCON。如果OI位为1，说明操作被中断，需要从第1步LOAD命令开始重试。其他位（SV,HVE,HVA）指示了安全错误、硬件错误等。

重要提示：整个擦除-编程周期固定为4ms（2ms擦除 + 2ms编程），与你编程1个字节还是16个字节无关。这意味着为了效率，应尽量凑满一页进行批量写入。此外，在擦除-编程的4ms期间，CPU被挂起，中断会被阻塞。如果应用允许中断，则必须在操作后检查OI位，并在中断发生时做好重试逻辑。

3.3 实战代码剖析与优化

手册提供了汇编和C语言的示例代码，但其中有些细节值得推敲。以C语言示例为例：

bit PGM_USER (unsigned char page_hi, unsigned char page_lo) { #define LOAD 0x00 #define EP 0x68 unsigned char i; FMCON = LOAD; // 1. 发送LOAD命令 FMADRH = page_hi; // 2. 设置页地址高位 FMADRL = page_lo; // 3. 设置页地址低位（同时包含了页内偏移？这里有问题！） for(i=0; i<64; i=i+1) { // 4. 循环写入64字节数据 FMDATA = dbytes[i]; } FMCON = EP; // 5. 启动擦除-编程 Fm_stat = FMCON; // 6. 读取状态 if ((Fm_stat & 0x0F) != 0) prog_fail=1; else prog_fail=0; return(prog_fail); }

这段示例代码存在一个严重问题！它错误地试图一次编程64个字节（i<64），但页寄存器只有16字节。写入第16个字节后，FMADRL[3:0]会从15翻转到0（回绕），但FMADRL[7:4]不会变，这会导致数据被错误地覆盖到页寄存器的开头，并且最终编程的Flash页地址是page_hi和page_lo[7:4]决定的，而page_lo[3:0]在循环中被自动递增覆盖了，失去了指定页内起始偏移的作用。

修正后的稳健流程代码示例（C语言）：

/** * @brief 向指定Flash页的指定偏移处编程多个字节 * @param page_addr 页地址（字节地址的高12位，即 addr >> 4） * @param offset 页内起始偏移 (0-15) * @param *data 源数据指针 * @param len 数据长度 (1 到 (16-offset)) * @return bit 0:成功, 1:失败（包括中断、安全错误等） */ bit Flash_ProgramPage(unsigned int page_addr, unsigned char offset, unsigned char *data, unsigned char len) { unsigned char i; bit result = 0; // 参数检查 if (offset > 15 || len == 0 || (offset + len) > 16) { return 1; // 参数错误 } EA = 0; // 建议关闭全局中断，防止编程过程被中断 FMCON = 0x00; // 1. LOAD命令，清空页寄存器 // 2. 设置地址：高12位为页地址，低4位为页内起始偏移 FMADRH = (unsigned char)(page_addr >> 4); FMADRL = (unsigned char)((page_addr << 4) & 0xF0) | (offset & 0x0F); // 3. 加载数据到页寄存器 for (i = 0; i < len; i++) { FMDATA = data[i]; // 注意：写入FMDATA后，FMADRL[3:0]会自动递增。 // 如果数据不是连续写入，需要在此处重新设置FMADRL[3:0]。 } // 4. 启动擦除-编程周期 FMCON = 0x68; // 5. 等待操作完成（可选，或依赖中断处理） // 一个简单的延时等待，但更好的做法是检查状态或使用中断 // 注意：在此期间CPU暂停，任何代码都不会执行，直到操作完成或中断发生。 // 因此，实际项目中这里通常是一个状态查询循环或直接处理后续逻辑。 // 6. 读取并检查状态 if ((FMCON & 0x0F) != 0) { // 检查低4位状态标志 result = 1; // 操作失败 } EA = 1; // 恢复全局中断 return result; }

4. 安全机制、配置字节与Bootloader

4.1 硬件写使能与配置保护

为了防止程序跑飞后意外修改Flash，P89LPC915/916/917引入了多级保护：

1. 硬件写使能（WE）标志：这是一个内部锁。当BOOTSTAT.7（AWE）为1时，WE标志可由软件通过特定命令序列控制：
   • 设置WE：MOV FMCON, #08Hfollowed byMOV FMDATA, #96H
   • 清除WE：MOV FMCON, #0BHfollowed byMOV FMDATA, #96H或任何系统复位。 只有在WE标志被置位时，才能进行IAP-Lite编程操作。这为关键数据段提供了额外的软件保护层。
2. 配置字节写保护（CWP）：BOOTSTAT.6位。当CWP=1时，禁止通过IAP-Lite模式对配置字节（UCFG1, BOOTVEC, BOOTSTAT）进行写操作。这个保护只能通过ICP编程模式下的“清除配置保护”命令来解除。这防止了应用程序意外修改关键的启动和配置参数。
3. 扇区安全字节（SECx）：每个Flash扇区都有三个安全位（MOVCDISx,SPEDISx,EDISx），用于控制对该扇区的读（MOVC指令）、写/擦除（IAP-Lite）以及擦除（ICP）的权限。例如，将MOVCDISx置1可以防止代码被外部读取，增强知识产权保护。

4.2 用户配置字节（UCFG1）与Boot流程

UCFG1是一个在芯片上电时被读取的Flash字节，它决定了MCU的一些根本性行为：

• FOSC[2:0]：选择系统时钟源。这是最重要的配置之一，错误设置会导致芯片无法启动。选项包括外部晶振、内部RC振荡器（7.373MHz）、看门狗振荡器（400kHz）等。例如，如果你板子上没有焊接晶振，就必须选择内部RC或看门狗振荡器。
• WDTE：看门狗定时器复位使能。如果此位在芯片编程时被清除，那么即使程序运行时设置了WDCON中的WDTE，看门狗超时也不会引发复位，只能产生中断。这常用于开发调试阶段，避免频繁复位。
• RPE：复位引脚使能。当RPE=0时，P1.5引脚可作为普通I/O口使用，而不是复位引脚。但需注意：上电复位期间，该引脚功能被强制为复位输入，只有上电复位结束后，RPE位的配置才生效。

Boot流程：上电后，硬件首先检查BOOTSTAT.0（BSB，Boot Status Bit）。

• 如果BSB=0，CPU从用户程序存储器的0x0000地址开始执行（正常模式）。
• 如果BSB=1，CPU将从由BOOTVEC寄存器内容作为高8位、0x00作为低8位组成的地址开始执行。这为自定义Bootloader提供了可能。例如，你可以将Bootloader代码放在Flash的高地址区（如0x0700），设置BOOTVEC=0x07和BSB=1。这样上电后先运行Bootloader，Bootloader再根据条件（如检测某个按键）决定是跳转到用户应用程序（0x0000）还是进入固件升级流程。

5. 常见问题排查与实战经验

在实际项目中使用这些功能时，会遇到各种各样的问题。下面是一个常见问题速查表：

最后分享一个关键经验：Flash编程的电压依赖性。数据手册提到“使用VDD作为编程/擦除算法的供电电压”。这意味着Flash操作对VDD的稳定性非常敏感。在进行IAP-Lite操作（尤其是擦除）时，务必确保系统电压处于芯片规定的操作范围（例如2.4V-3.6V）内，并且没有大的毛刺。在电池供电或电源质量较差的应用中，建议在启动Flash写操作前，先读取一下电源电压（如果MCU有ADC），或者确保系统处于一个已知的稳定状态（如刚上电、未开启大功率外设时）。我曾在一个项目中，因为电机启动瞬间的电压跌落，导致Flash参数区偶尔写入错误数据，排查了许久才发现是电源问题。