低電壓時(shí)防止寄存器崩潰 - 飛思卡爾防篡改特性MCU強(qiáng)勁智能電表解決方案

　　低電壓時(shí)防止寄存器崩潰

　　黑客或許會(huì)想要降低電壓以寫(xiě)入RTC寄存器，從而改變?cè)O(shè)置或更改數(shù)值（因?yàn)閿?shù)字邏輯在低電壓狀態(tài)下也許不會(huì)工作），這樣也會(huì)帶來(lái)時(shí)間上的錯(cuò)誤。iRTC可以檢測(cè)出電壓的下降在某一特定閾值以下，所有RTC寄存器寫(xiě)入入口都會(huì)自動(dòng)關(guān)閉，直到電壓回到正常運(yùn)行水平。CPU在這一事件中也會(huì)中斷。

　　強(qiáng)大單向計(jì)數(shù)器的單調(diào)計(jì)數(shù)

　　iRTC還整合了一個(gè)單向或單調(diào)計(jì)數(shù)器，當(dāng)寫(xiě)入條件為true時(shí)，CPU的寫(xiě)入周期就會(huì)增加。這是一個(gè)32位計(jì)數(shù)器，可以用來(lái)保持電能脈沖的數(shù)目，如采用kWh計(jì)算，它就是終端客戶的計(jì)量單位。

　　單調(diào)計(jì)數(shù)器對(duì)付篡改的能力非常強(qiáng)大，因?yàn)橛?jì)數(shù)器只在POR上清除，除非電表重置，否則是不可能被重新加載的。在它上面的每一次寫(xiě)入都會(huì)使值增加，因此惡意代碼是不會(huì)對(duì)其數(shù)值有所減少的。作為RTC寄存器空間的一部分，它還使其免受誤寫(xiě)入的困擾，正如在前面所介紹的一樣。

　　強(qiáng)大的固件代碼更新

　　MCF512EM256提供高效和遠(yuǎn)程的代碼替換，如需要，還可選擇返回舊代碼。微控制器中有兩塊128kB的閃存，順序排列。每一組陣列都有單獨(dú)繪制的閃存寄存器?；趇RTC內(nèi)部的控制位，這兩組陣列的地址可以交換。這就使得用戶可以在第一個(gè)閃存陣列中執(zhí)行任務(wù)時(shí)又能更新第二個(gè)閃存陣列中的固件。所有的更新都可以在微控制器運(yùn)行期間發(fā)生。這就讓公共事業(yè)公司可以遠(yuǎn)程更新代碼而無(wú)需進(jìn)行電能估算。例如，如果一家電力公司想要更新LCD軟件，更新的軟件在未保護(hù)的情況下下載到了未使用的閃存陣列中（Block 1）。而在閃存陣列（Block 0）上保護(hù)還是啟用的，即代碼執(zhí)行地。在更新后，被更新陣列（Block 1）的保護(hù)重新啟用，而iRTC內(nèi)的控制位會(huì)指出閃存陣列（Block 1）擁有更新過(guò)的代碼。舊的代碼或被擦除或是作為回退選項(xiàng)。系統(tǒng)重置會(huì)致使最新更新過(guò)的代碼被執(zhí)行。在這種情況下，重置是不被推薦的，而核心代碼必須出現(xiàn)在兩種陣列中，并獲得塊保護(hù)。核心代碼不會(huì)被遠(yuǎn)程更改，且需要進(jìn)入后臺(tái)調(diào)試模式。

　　圖5 – 固件在MCF51EM256中升級(jí)

　　圖5展示了這一更新過(guò)程的高水準(zhǔn)運(yùn)行（更多詳情請(qǐng)參閱MCF51EM256參考手冊(cè)2）

　　自動(dòng)讀表（AMR）

　　AMR技術(shù)指的是電表使用有線或無(wú)線網(wǎng)絡(luò)設(shè)置對(duì)數(shù)據(jù)自動(dòng)收集并與通信中心通信的能力。AMR技術(shù)在世界上得到廣泛應(yīng)用，包括Radio Frequency （RF）， ZigBee? 協(xié)議、數(shù)據(jù)調(diào)制解調(diào)器 （通過(guò)標(biāo)準(zhǔn)電話網(wǎng)絡(luò)） 和電力線通信（PLC）。它一些通信可能包括通過(guò)一個(gè)“電子讀數(shù)器”設(shè)備的光學(xué)端口讀取數(shù)據(jù)。后者可能會(huì)基于串行端口（RS-485）或是紅外線路。

　　有了AMR技術(shù)的協(xié)助，任何登錄MCF51EM256存儲(chǔ)器的篡改事件都會(huì)通過(guò)AMR網(wǎng)絡(luò)提交給變電站。MCF51EM256通過(guò)專用SPI/SCI可用引腳來(lái)實(shí)現(xiàn)AMR的運(yùn)行。

　　安全運(yùn)行失敗時(shí)的多重時(shí)鐘來(lái)源

　　MCU可以由三種獨(dú)立的時(shí)鐘源來(lái)計(jì)時(shí)，如圖6所示的32.768 kHz iRTC晶體， 外部1-16 MHz晶體， 或是內(nèi)部32 kHz振蕩器。在時(shí)鐘故障的情況下，計(jì)算機(jī)正確操作（COP）會(huì)同內(nèi)部獨(dú)立時(shí)鐘協(xié)作，這有可能自動(dòng)改變時(shí)鐘源并自動(dòng)保持正常運(yùn)行。振蕩器會(huì)有失靈的時(shí)候，如焊點(diǎn)失效、篡改短路晶體等，在以上這些情況下，系統(tǒng)有可能就會(huì)死機(jī)。但是COP則會(huì)繼續(xù)以其獨(dú)立時(shí)鐘運(yùn)行并就超時(shí)做出重置。系統(tǒng)可以選擇改變時(shí)鐘源，如在重置后的重啟過(guò)程中轉(zhuǎn)至內(nèi)部時(shí)鐘源。

　　盡管內(nèi)部振蕩器的精確度會(huì)降低，但是精確度降低比無(wú)法測(cè)量要好。任何時(shí)鐘失敗都會(huì)在讀表時(shí)（AMR或手動(dòng)）報(bào)告出來(lái)。同時(shí)也會(huì)產(chǎn)生篡改日志，并點(diǎn)亮篡改LED提示燈。

　　圖6 –為失敗安全運(yùn)行準(zhǔn)備的多重時(shí)鐘來(lái)源圖6 –為失敗安全運(yùn)行準(zhǔn)備的多重時(shí)鐘來(lái)源

　　總結(jié)

　　在智能電網(wǎng)中，能源表產(chǎn)品都可與能源公司進(jìn)行雙向溝通，而且遠(yuǎn)程接入并控制這些設(shè)備也成為了可能。隨著人力監(jiān)測(cè)/控制的（電力公司方）減少，這些設(shè)備的抗篡改性也變得最為重要，設(shè)備也應(yīng)能感知消費(fèi)者的信息。MCF51EM256微控制器是一個(gè)有效的解決方案，不管今天還是未來(lái)都可以滿足智能電表的需求。

　　MCF51EM256非常適合電表應(yīng)用，尤其是單相和多相電表，對(duì)聯(lián)網(wǎng)的和非聯(lián)網(wǎng)的同樣適用。所有以上提到的特色都基于MCF51EM256被應(yīng)用到了多相電表參考設(shè)計(jì)中。