符合IEC 60730安全合規(guī)標(biāo)準(zhǔn)的微控制器控制系統(tǒng)的設(shè)計(jì)

從事各種消費(fèi)類(lèi)設(shè)備的設(shè)計(jì)團(tuán)隊(duì)面臨著滿足相關(guān)安全標(biāo)準(zhǔn)的挑戰(zhàn)，包括歐洲IEC 60730規(guī)范。大多數(shù)公司都希望為全球市場(chǎng)設(shè)計(jì)產(chǎn)品，因此設(shè)計(jì)團(tuán)隊(duì)通常負(fù)責(zé)滿足所有設(shè)備設(shè)計(jì)的最嚴(yán)格的全球標(biāo)準(zhǔn)。您當(dāng)然可以使用任何微控制器（MCU）以及相應(yīng)的支持IC開(kāi)發(fā)兼容產(chǎn)品。然而，越來(lái)越多的MCU包括硬件中的特定功能，無(wú)需外部組件即可實(shí)現(xiàn)合規(guī)性。讓我們來(lái)看看是否需要安全合規(guī)性，以及一些為合規(guī)設(shè)計(jì)鋪平道路的MCU。

具體而言，IEC 60730-1標(biāo)準(zhǔn)解決了本規(guī)范附錄H中基于MCU的控制系統(tǒng)的使用問(wèn)題。大多數(shù)消費(fèi)類(lèi)電器，如洗衣機(jī)，冰箱和類(lèi)似產(chǎn)品屬于B類(lèi)。該標(biāo)準(zhǔn)的目的是確保系統(tǒng)故障不會(huì)導(dǎo)致設(shè)備的不安全操作。例如，系統(tǒng)故障不應(yīng)導(dǎo)致不安全的溫度，可能會(huì)傷害操作員或引起火災(zāi)。

另請(qǐng)注意，IEC 60730背后的概念以及我們將在此討論的技術(shù)可以應(yīng)用于消費(fèi)者設(shè)備應(yīng)用之外。實(shí)際上，許多類(lèi)型的嵌入式系統(tǒng)（不一定受監(jiān)管標(biāo)準(zhǔn)管理）需要防范系統(tǒng)故障。

通常在基于MCU的系統(tǒng)中，IEC-60730合規(guī)性取決于您添加到應(yīng)用程序代碼中的固件。但是，以安全為中心的MCU硬件功能可以通過(guò)消除外部組件來(lái)簡(jiǎn)化固件開(kāi)發(fā)，提高性能并降低成本。

合規(guī)方法

有三種主要方法可以設(shè)計(jì)符合IEC 60730標(biāo)準(zhǔn)的基于MCU的系統(tǒng)。最復(fù)雜的是使用所謂的雙通道架構(gòu)，雙MCU和控制電路并行工作，并具有比較功能，可確保兩個(gè)通道產(chǎn)生相同的結(jié)果。然而，這種方法通常被認(rèn)為對(duì)于消費(fèi)者市場(chǎng)來(lái)說(shuō)太昂貴。然后，成本限制了我們對(duì)兩種單通道方法的選擇。您可以通過(guò)在制造產(chǎn)品時(shí)測(cè)試系統(tǒng)以防止故障來(lái)實(shí)現(xiàn)合規(guī)性。在過(guò)去，制造測(cè)試通常是選擇的方法，是最簡(jiǎn)單和成本最低的替代方案。如今，越來(lái)越多的產(chǎn)品制造商選擇添加定期的自檢功能，以確保產(chǎn)品在現(xiàn)場(chǎng)不發(fā)生故障，這就是我們將在此重點(diǎn)關(guān)注的方法。

實(shí)際安全認(rèn)證是在終端設(shè)備上進(jìn)行的，但附錄H中的潛在故障適用于MCU。實(shí)際上，附件包括MCU內(nèi)部元素的詳細(xì)列表以及必須在定期自檢中測(cè)試的相關(guān)故障，并以某種方式進(jìn)行了緩解。例如，自檢必須檢測(cè)卡在故障值的寄存器或程序計(jì)數(shù)器（PC），檢測(cè)內(nèi)存中的單比特錯(cuò)誤，并檢測(cè)不正確的中斷操作 - 包括沒(méi)有發(fā)生中斷的情況，中斷發(fā)生得太頻繁的情況。附加元件解決了正確的時(shí)鐘操作，操作順序的定時(shí)和通信故障。

洗衣機(jī)示例

現(xiàn)在讓我們看一下MCU（特別是通常稱(chēng)為數(shù)字信號(hào)控制器（DSC）的DSP支持的MCU）如何簡(jiǎn)化合規(guī)性的一些示例。圖1描繪了基于Texas Instruments（TI）DSC的洗衣機(jī)設(shè)計(jì)的框圖。該框圖適用于TMS320C24x定點(diǎn)DSC系列，TMS320F282x定點(diǎn)DSC系列和TMS320F2802x/2806x Piccolo系列固定和浮點(diǎn)DSC。所有DSC都依賴(lài)于32位TI C2000內(nèi)核，該內(nèi)核可在單處理器設(shè)計(jì)中處理DSP（主要是電機(jī)控制）和系統(tǒng)控制任務(wù)?；贑2000的DSC也可以與單獨(dú)的系統(tǒng)控制器MCU組合，但在任何一種情況下，IEC-60730元件都在DSC中捕獲。

圖1：德州儀器C2000系列DSC實(shí)現(xiàn)獨(dú)立時(shí)鐘等功能，以簡(jiǎn)化符合IEC-60730標(biāo)準(zhǔn)的系統(tǒng)設(shè)計(jì)。

TI DSC提供了幾個(gè)支持合規(guī)性的元素。例如，IC包括雙片上振蕩器。一個(gè)驅(qū)動(dòng)MCU和系統(tǒng)的主要操作。第二個(gè)可以用作控制周期性自測(cè)實(shí)現(xiàn)的執(zhí)行的獨(dú)立時(shí)基。 IC還包括監(jiān)控電源電壓的監(jiān)控電路，這可能導(dǎo)致標(biāo)準(zhǔn)中描述的故障。此外，DSC還包括寄存器的寫(xiě)保護(hù)功能。

當(dāng)然，許多設(shè)備應(yīng)用程序不需要32位DSC提供的處理能力。幸運(yùn)的是，MCU廠商也在傳統(tǒng)的8位和16位MCU系列上提供符合IEC-60730標(biāo)準(zhǔn)的功能。

飛思卡爾實(shí)時(shí)中斷

例如，飛思卡爾在其MC9S08AWx MCU上支持這些功能，這些MCU是廣泛的MC9S08 8位系列的一部分。 9S08AW MCU包含一個(gè)實(shí)時(shí)中斷（RTI）功能，可以實(shí)現(xiàn)許多自檢功能。圖2描繪了RTI功能。在圖的頂部，系統(tǒng)實(shí)時(shí)中斷狀態(tài)和控制寄存器（SRTISC）包括3位 - 實(shí)時(shí)中斷延遲選擇（RTIS） - 設(shè)置周期性CPU中斷的間隔。間隔可以在8毫秒到1.04秒之間變化。中斷源自集成的1-KHz RC振蕩器，獨(dú)立于CPU時(shí)鐘。

圖2：飛思卡爾使用稱(chēng)為實(shí)時(shí)中斷的功能（ RTI）作為中斷服務(wù)程序的啟動(dòng)器，用于檢查系統(tǒng)是否存在IEC-60730定義的故障。

自測(cè)功能在RTI生成的中斷服務(wù)程序（ISR）中實(shí)現(xiàn)。例如，ISR可以在每次迭代期間檢查PC的值。如果PC在連續(xù)三次迭代中保持不變，則ISR可以假設(shè)MCU卡在軟件循環(huán)中并采取預(yù)防措施。

RTI還可以讓ISR監(jiān)控時(shí)鐘頻率。 ISR只是利用一個(gè)積分時(shí)間在每次中斷服務(wù)時(shí)取一個(gè)時(shí)間戳，并驗(yàn)證每個(gè)連續(xù)讀數(shù)是否有效。另外，芯片上實(shí)現(xiàn)的內(nèi)部時(shí)鐘發(fā)生器具有內(nèi)置功能，可測(cè)試慢速或快速CPU時(shí)鐘或時(shí)鐘丟失。 RTI啟動(dòng)的ISR可以監(jiān)視時(shí)鐘鎖定和丟失檢測(cè)器功能的寄存器。

飛思卡爾支持許多不同的安全導(dǎo)向功能，包括檢查內(nèi)存精度的方法。此外，該公司還支持MC56Fx系列16位DSC上以IEC-60730為中心的功能。

跨越MCU體系結(jié)構(gòu)的IEC 60730

與此同時(shí)，瑞薩在MCU領(lǐng)域可能擁有最廣泛的不同架構(gòu)，這主要是因?yàn)樵摴句N(xiāo)售的是具有前日立，三菱和NEC傳統(tǒng)的MCU。微電子業(yè)務(wù)。但是，該公司在整個(gè)產(chǎn)品組合中具有非常一致的安全合規(guī)性功能。

看門(mén)狗定時(shí)器（WDT）是滿足安全標(biāo)準(zhǔn)時(shí)大多數(shù)情況下使用的關(guān)鍵部件。瑞薩在成熟的8位和16位R8C，M16C，8位和16位H8以及32位SuperH MCU系列中實(shí)現(xiàn)了獨(dú)立于CPU時(shí)鐘源的WDT。

瑞薩繼續(xù)保持穩(wěn)健WDT支持較新的16位RL78 MCU系列和32位RX系列。此外，該公司還隨著時(shí)間的推移在硬件中添加了其他功能。例如，M16C引入了CRC（循環(huán)冗余校驗(yàn)）計(jì)算塊，該塊獨(dú)立于CPU工作。 CRC可用于檢測(cè)存儲(chǔ)器和通信錯(cuò)誤。

RL78和RX系列還支持CRC功能并添加其他功能。例如，RL78包括RAM奇偶校驗(yàn)檢測(cè)，存儲(chǔ)器訪問(wèn)控制功能集和時(shí)鐘頻率監(jiān)視功能。 RX系列包括類(lèi)似的功能和數(shù)據(jù)轉(zhuǎn)換器的自診斷功能。

安全設(shè)計(jì)

如果您的下一個(gè)設(shè)計(jì)規(guī)定了一種確保安全退出故障情況的方法，請(qǐng)務(wù)必考慮MCU供應(yīng)商如何遵守IEC-60730標(biāo)準(zhǔn)。實(shí)際上，所有MCU供應(yīng)商都采用IEC-60730策略，選擇具有安全合規(guī)性硬件功能的MCU可以減少系統(tǒng)材料清單，從而產(chǎn)生成本，功耗和性能優(yōu)勢(shì)。此外，MCU供應(yīng)商通常提供滿足IEC-60730要求的示例代碼，該代碼將極大地加速您的終端產(chǎn)品設(shè)計(jì)，可以安全地承受代碼或系統(tǒng)硬件中的故障。