从事各种消费类设备的设计团队面临着满足相关安全标准的挑战,包括欧洲IEC 60730规范。大多数公司都希望为全球市场设计产品,因此设计团队通常负责满足所有设备设计的最严格的全球标准。您当然可以使用任何微控制器(MCU)以及相应的支持IC开发兼容产品。然而,越来越多的MCU包括硬件中的特定功能,无需外部组件即可实现合规性。让我们来看看是否需要安全合规性,以及一些为合规设计铺平道路的MCU。
具体而言,IEC 60730-1标准解决了本规范附录H中基于MCU的控制系统的使用问题。大多数消费类电器,如洗衣机,冰箱和类似产品属于B类。该标准的目的是确保系统故障不会导致设备的不安全操作。例如,系统故障不应导致不安全的温度,可能会伤害操作员或引起火灾。
另请注意,IEC 60730背后的概念以及我们将在此讨论的威廉希尔官方网站 可以应用于消费者设备应用之外。实际上,许多类型的嵌入式系统(不一定受监管标准管理)需要防范系统故障。
通常在基于MCU的系统中,IEC-60730合规性取决于您添加到应用程序代码中的固件。但是,以安全为中心的MCU硬件功能可以通过消除外部组件来简化固件开发,提高性能并降低成本。
合规方法
有三种主要方法可以设计符合IEC 60730标准的基于MCU的系统。最复杂的是使用所谓的双通道架构,双MCU和控制电路并行工作,并具有比较功能,可确保两个通道产生相同的结果。然而,这种方法通常被认为对于消费者市场来说太昂贵。然后,成本限制了我们对两种单通道方法的选择。您可以通过在制造产品时测试系统以防止故障来实现合规性。在过去,制造测试通常是选择的方法,是最简单和成本最低的替代方案。如今,越来越多的产品制造商选择添加定期的自检功能,以确保产品在现场不发生故障,这就是我们将在此重点关注的方法。
实际安全认证是在终端设备上进行的,但附录H中的潜在故障适用于MCU。实际上,附件包括MCU内部元素的详细列表以及必须在定期自检中测试的相关故障,并以某种方式进行了缓解。例如,自检必须检测卡在故障值的寄存器或程序计数器(PC),检测内存中的单比特错误,并检测不正确的中断操作 - 包括没有发生中断的情况,中断发生得太频繁的情况。附加元件解决了正确的时钟操作,操作顺序的定时和通信故障。
洗衣机示例
现在让我们看一下MCU(特别是通常称为数字信号控制器(DSC)的DSP支持的MCU)如何简化合规性的一些示例。图1描绘了基于Texas Instruments(TI)DSC的洗衣机设计的框图。该框图适用于TMS320C24x定点DSC系列,TMS320F282x定点DSC系列和TMS320F2802x/2806x Piccolo系列固定和浮点DSC。所有DSC都依赖于32位TI C2000内核,该内核可在单处理器设计中处理DSP(主要是电机控制)和系统控制任务。基于C2000的DSC也可以与单独的系统控制器MCU组合,但在任何一种情况下,IEC-60730元件都在DSC中捕获。
图1:德州仪器C2000系列DSC实现独立时钟等功能,以简化符合IEC-60730标准的系统设计。
TI DSC提供了几个支持合规性的元素。例如,IC包括双片上振荡器。一个驱动MCU和系统的主要操作。第二个可以用作控制周期性自测实现的执行的独立时基。 IC还包括监控电源电压的监控电路,这可能导致标准中描述的故障。此外,DSC还包括寄存器的写保护功能。
当然,许多设备应用程序不需要32位DSC提供的处理能力。幸运的是,MCU厂商也在传统的8位和16位MCU系列上提供符合IEC-60730标准的功能。
飞思卡尔实时中断
例如,飞思卡尔在其MC9S08AWx MCU上支持这些功能,这些MCU是广泛的MC9S08 8位系列的一部分。 9S08AW MCU包含一个实时中断(RTI)功能,可以实现许多自检功能。图2描绘了RTI功能。在图的顶部,系统实时中断状态和控制寄存器(SRTISC)包括3位 - 实时中断延迟选择(RTIS) - 设置周期性CPU中断的间隔。间隔可以在8毫秒到1.04秒之间变化。中断源自集成的1-KHz RC振荡器,独立于CPU时钟。
图2:飞思卡尔使用称为实时中断的功能( RTI)作为中断服务程序的启动器,用于检查系统是否存在IEC-60730定义的故障。
自测功能在RTI生成的中断服务程序(ISR)中实现。例如,ISR可以在每次迭代期间检查PC的值。如果PC在连续三次迭代中保持不变,则ISR可以假设MCU卡在软件循环中并采取预防措施。
RTI还可以让ISR监控时钟频率。 ISR只是利用一个积分时间在每次中断服务时取一个时间戳,并验证每个连续读数是否有效。另外,芯片上实现的内部时钟发生器具有内置功能,可测试慢速或快速CPU时钟或时钟丢失。 RTI启动的ISR可以监视时钟锁定和丢失检测器功能的寄存器。
飞思卡尔支持许多不同的安全导向功能,包括检查内存精度的方法。此外,该公司还支持MC56Fx系列16位DSC上以IEC-60730为中心的功能。
跨越MCU体系结构的IEC 60730
与此同时,瑞萨在MCU领域可能拥有最广泛的不同架构,这主要是因为该公司销售的是具有前日立,三菱和NEC传统的MCU。微电子业务。但是,该公司在整个产品组合中具有非常一致的安全合规性功能。
看门狗定时器(WDT)是满足安全标准时大多数情况下使用的关键部件。瑞萨在成熟的8位和16位R8C,M16C,8位和16位H8以及32位SuperH MCU系列中实现了独立于CPU时钟源的WDT。
瑞萨继续保持稳健WDT支持较新的16位RL78 MCU系列和32位RX系列。此外,该公司还随着时间的推移在硬件中添加了其他功能。例如,M16C引入了CRC(循环冗余校验)计算块,该块独立于CPU工作。 CRC可用于检测存储器和通信错误。
RL78和RX系列还支持CRC功能并添加其他功能。例如,RL78包括RAM奇偶校验检测,存储器访问控制功能集和时钟频率监视功能。 RX系列包括类似的功能和数据转换器的自诊断功能。
安全设计
如果您的下一个设计规定了一种确保安全退出故障情况的方法,请务必考虑MCU供应商如何遵守IEC-60730标准。实际上,所有MCU供应商都采用IEC-60730策略,选择具有安全合规性硬件功能的MCU可以减少系统材料清单,从而产生成本,功耗和性能优势。此外,MCU供应商通常提供满足IEC-60730要求的示例代码,该代码将极大地加速您的终端产品设计,可以安全地承受代码或系统硬件中的故障。
-
微控制器
+关注
关注
48文章
7552浏览量
151417 -
控制器
+关注
关注
112文章
16361浏览量
178031 -
控制系统
+关注
关注
41文章
6618浏览量
110605
发布评论请先 登录
相关推荐
评论