符合IEC 60730安全合規(guī)標準的微控制器控制系統(tǒng)的設(shè)計

從事各種消費類設(shè)備的設(shè)計團隊面臨著滿足相關(guān)安全標準的挑戰(zhàn)，包括歐洲IEC 60730規(guī)范。大多數(shù)公司都希望為全球市場設(shè)計產(chǎn)品，因此設(shè)計團隊通常負責滿足所有設(shè)備設(shè)計的最嚴格的全球標準。您當然可以使用任何微控制器（MCU）以及相應的支持IC開發(fā)兼容產(chǎn)品。然而，越來越多的MCU包括硬件中的特定功能，無需外部組件即可實現(xiàn)合規(guī)性。讓我們來看看是否需要安全合規(guī)性，以及一些為合規(guī)設(shè)計鋪平道路的MCU。

具體而言，IEC 60730-1標準解決了本規(guī)范附錄H中基于MCU的控制系統(tǒng)的使用問題。大多數(shù)消費類電器，如洗衣機，冰箱和類似產(chǎn)品屬于B類。該標準的目的是確保系統(tǒng)故障不會導致設(shè)備的不安全操作。例如，系統(tǒng)故障不應導致不安全的溫度，可能會傷害操作員或引起火災。

另請注意，IEC 60730背后的概念以及我們將在此討論的技術(shù)可以應用于消費者設(shè)備應用之外。實際上，許多類型的嵌入式系統(tǒng)（不一定受監(jiān)管標準管理）需要防范系統(tǒng)故障。

通常在基于MCU的系統(tǒng)中，IEC-60730合規(guī)性取決于您添加到應用程序代碼中的固件。但是，以安全為中心的MCU硬件功能可以通過消除外部組件來簡化固件開發(fā)，提高性能并降低成本。

合規(guī)方法

有三種主要方法可以設(shè)計符合IEC 60730標準的基于MCU的系統(tǒng)。最復雜的是使用所謂的雙通道架構(gòu)，雙MCU和控制電路并行工作，并具有比較功能，可確保兩個通道產(chǎn)生相同的結(jié)果。然而，這種方法通常被認為對于消費者市場來說太昂貴。然后，成本限制了我們對兩種單通道方法的選擇。您可以通過在制造產(chǎn)品時測試系統(tǒng)以防止故障來實現(xiàn)合規(guī)性。在過去，制造測試通常是選擇的方法，是最簡單和成本最低的替代方案。如今，越來越多的產(chǎn)品制造商選擇添加定期的自檢功能，以確保產(chǎn)品在現(xiàn)場不發(fā)生故障，這就是我們將在此重點關(guān)注的方法。

實際安全認證是在終端設(shè)備上進行的，但附錄H中的潛在故障適用于MCU。實際上，附件包括MCU內(nèi)部元素的詳細列表以及必須在定期自檢中測試的相關(guān)故障，并以某種方式進行了緩解。例如，自檢必須檢測卡在故障值的寄存器或程序計數(shù)器（PC），檢測內(nèi)存中的單比特錯誤，并檢測不正確的中斷操作 - 包括沒有發(fā)生中斷的情況，中斷發(fā)生得太頻繁的情況。附加元件解決了正確的時鐘操作，操作順序的定時和通信故障。

洗衣機示例

現(xiàn)在讓我們看一下MCU（特別是通常稱為數(shù)字信號控制器（DSC）的DSP支持的MCU）如何簡化合規(guī)性的一些示例。圖1描繪了基于Texas Instruments（TI）DSC的洗衣機設(shè)計的框圖。該框圖適用于TMS320C24x定點DSC系列，TMS320F282x定點DSC系列和TMS320F2802x/2806x Piccolo系列固定和浮點DSC。所有DSC都依賴于32位TI C2000內(nèi)核，該內(nèi)核可在單處理器設(shè)計中處理DSP（主要是電機控制）和系統(tǒng)控制任務?；贑2000的DSC也可以與單獨的系統(tǒng)控制器MCU組合，但在任何一種情況下，IEC-60730元件都在DSC中捕獲。

圖1：德州儀器C2000系列DSC實現(xiàn)獨立時鐘等功能，以簡化符合IEC-60730標準的系統(tǒng)設(shè)計。

TI DSC提供了幾個支持合規(guī)性的元素。例如，IC包括雙片上振蕩器。一個驅(qū)動MCU和系統(tǒng)的主要操作。第二個可以用作控制周期性自測實現(xiàn)的執(zhí)行的獨立時基。 IC還包括監(jiān)控電源電壓的監(jiān)控電路，這可能導致標準中描述的故障。此外，DSC還包括寄存器的寫保護功能。

當然，許多設(shè)備應用程序不需要32位DSC提供的處理能力。幸運的是，MCU廠商也在傳統(tǒng)的8位和16位MCU系列上提供符合IEC-60730標準的功能。

飛思卡爾實時中斷

例如，飛思卡爾在其MC9S08AWx MCU上支持這些功能，這些MCU是廣泛的MC9S08 8位系列的一部分。 9S08AW MCU包含一個實時中斷（RTI）功能，可以實現(xiàn)許多自檢功能。圖2描繪了RTI功能。在圖的頂部，系統(tǒng)實時中斷狀態(tài)和控制寄存器（SRTISC）包括3位 - 實時中斷延遲選擇（RTIS） - 設(shè)置周期性CPU中斷的間隔。間隔可以在8毫秒到1.04秒之間變化。中斷源自集成的1-KHz RC振蕩器，獨立于CPU時鐘。

圖2：飛思卡爾使用稱為實時中斷的功能（ RTI）作為中斷服務程序的啟動器，用于檢查系統(tǒng)是否存在IEC-60730定義的故障。

自測功能在RTI生成的中斷服務程序（ISR）中實現(xiàn)。例如，ISR可以在每次迭代期間檢查PC的值。如果PC在連續(xù)三次迭代中保持不變，則ISR可以假設(shè)MCU卡在軟件循環(huán)中并采取預防措施。

RTI還可以讓ISR監(jiān)控時鐘頻率。 ISR只是利用一個積分時間在每次中斷服務時取一個時間戳，并驗證每個連續(xù)讀數(shù)是否有效。另外，芯片上實現(xiàn)的內(nèi)部時鐘發(fā)生器具有內(nèi)置功能，可測試慢速或快速CPU時鐘或時鐘丟失。 RTI啟動的ISR可以監(jiān)視時鐘鎖定和丟失檢測器功能的寄存器。

飛思卡爾支持許多不同的安全導向功能，包括檢查內(nèi)存精度的方法。此外，該公司還支持MC56Fx系列16位DSC上以IEC-60730為中心的功能。

跨越MCU體系結(jié)構(gòu)的IEC 60730

與此同時，瑞薩在MCU領(lǐng)域可能擁有最廣泛的不同架構(gòu)，這主要是因為該公司銷售的是具有前日立，三菱和NEC傳統(tǒng)的MCU。微電子業(yè)務。但是，該公司在整個產(chǎn)品組合中具有非常一致的安全合規(guī)性功能。

看門狗定時器（WDT）是滿足安全標準時大多數(shù)情況下使用的關(guān)鍵部件。瑞薩在成熟的8位和16位R8C，M16C，8位和16位H8以及32位SuperH MCU系列中實現(xiàn)了獨立于CPU時鐘源的WDT。

瑞薩繼續(xù)保持穩(wěn)健WDT支持較新的16位RL78 MCU系列和32位RX系列。此外，該公司還隨著時間的推移在硬件中添加了其他功能。例如，M16C引入了CRC（循環(huán)冗余校驗）計算塊，該塊獨立于CPU工作。 CRC可用于檢測存儲器和通信錯誤。

RL78和RX系列還支持CRC功能并添加其他功能。例如，RL78包括RAM奇偶校驗檢測，存儲器訪問控制功能集和時鐘頻率監(jiān)視功能。 RX系列包括類似的功能和數(shù)據(jù)轉(zhuǎn)換器的自診斷功能。

安全設(shè)計

如果您的下一個設(shè)計規(guī)定了一種確保安全退出故障情況的方法，請務必考慮MCU供應商如何遵守IEC-60730標準。實際上，所有MCU供應商都采用IEC-60730策略，選擇具有安全合規(guī)性硬件功能的MCU可以減少系統(tǒng)材料清單，從而產(chǎn)生成本，功耗和性能優(yōu)勢。此外，MCU供應商通常提供滿足IEC-60730要求的示例代碼，該代碼將極大地加速您的終端產(chǎn)品設(shè)計，可以安全地承受代碼或系統(tǒng)硬件中的故障。