符合IEC 60730安全合规标准的微控制器控制系统的设计

从事各种消费类设备的设计团队面临着满足相关安全标准的挑战，包括欧洲IEC 60730规范。大多数公司都希望为全球市场设计产品，因此设计团队通常负责满足所有设备设计的最严格的全球标准。您当然可以使用任何微控制器（MCU）以及相应的支持IC开发兼容产品。然而，越来越多的MCU包括硬件中的特定功能，无需外部组件即可实现合规性。让我们来看看是否需要安全合规性，以及一些为合规设计铺平道路的MCU。

具体而言，IEC 60730-1标准解决了本规范附录H中基于MCU的控制系统的使用问题。大多数消费类电器，如洗衣机，冰箱和类似产品属于B类。该标准的目的是确保系统故障不会导致设备的不安全操作。例如，系统故障不应导致不安全的温度，可能会伤害操作员或引起火灾。

另请注意，IEC 60730背后的概念以及我们将在此讨论的技术可以应用于消费者设备应用之外。实际上，许多类型的嵌入式系统（不一定受监管标准管理）需要防范系统故障。

通常在基于MCU的系统中，IEC-60730合规性取决于您添加到应用程序代码中的固件。但是，以安全为中心的MCU硬件功能可以通过消除外部组件来简化固件开发，提高性能并降低成本。

合规方法

有三种主要方法可以设计符合IEC 60730标准的基于MCU的系统。最复杂的是使用所谓的双通道架构，双MCU和控制电路并行工作，并具有比较功能，可确保两个通道产生相同的结果。然而，这种方法通常被认为对于消费者市场来说太昂贵。然后，成本限制了我们对两种单通道方法的选择。您可以通过在制造产品时测试系统以防止故障来实现合规性。在过去，制造测试通常是选择的方法，是最简单和成本最低的替代方案。如今，越来越多的产品制造商选择添加定期的自检功能，以确保产品在现场不发生故障，这就是我们将在此重点关注的方法。

实际安全认证是在终端设备上进行的，但附录H中的潜在故障适用于MCU。实际上，附件包括MCU内部元素的详细列表以及必须在定期自检中测试的相关故障，并以某种方式进行了缓解。例如，自检必须检测卡在故障值的寄存器或程序计数器（PC），检测内存中的单比特错误，并检测不正确的中断操作 - 包括没有发生中断的情况，中断发生得太频繁的情况。附加元件解决了正确的时钟操作，操作顺序的定时和通信故障。

洗衣机示例

现在让我们看一下MCU（特别是通常称为数字信号控制器（DSC）的DSP支持的MCU）如何简化合规性的一些示例。图1描绘了基于Texas Instruments（TI）DSC的洗衣机设计的框图。该框图适用于TMS320C24x定点DSC系列，TMS320F282x定点DSC系列和TMS320F2802x/2806x Piccolo系列固定和浮点DSC。所有DSC都依赖于32位TI C2000内核，该内核可在单处理器设计中处理DSP（主要是电机控制）和系统控制任务。基于C2000的DSC也可以与单独的系统控制器MCU组合，但在任何一种情况下，IEC-60730元件都在DSC中捕获。

图1：德州仪器C2000系列DSC实现独立时钟等功能，以简化符合IEC-60730标准的系统设计。

TI DSC提供了几个支持合规性的元素。例如，IC包括双片上振荡器。一个驱动MCU和系统的主要操作。第二个可以用作控制周期性自测实现的执行的独立时基。 IC还包括监控电源电压的监控电路，这可能导致标准中描述的故障。此外，DSC还包括寄存器的写保护功能。

当然，许多设备应用程序不需要32位DSC提供的处理能力。幸运的是，MCU厂商也在传统的8位和16位MCU系列上提供符合IEC-60730标准的功能。

飞思卡尔实时中断

例如，飞思卡尔在其MC9S08AWx MCU上支持这些功能，这些MCU是广泛的MC9S08 8位系列的一部分。 9S08AW MCU包含一个实时中断（RTI）功能，可以实现许多自检功能。图2描绘了RTI功能。在图的顶部，系统实时中断状态和控制寄存器（SRTISC）包括3位 - 实时中断延迟选择（RTIS） - 设置周期性CPU中断的间隔。间隔可以在8毫秒到1.04秒之间变化。中断源自集成的1-KHz RC振荡器，独立于CPU时钟。

图2：飞思卡尔使用称为实时中断的功能（ RTI）作为中断服务程序的启动器，用于检查系统是否存在IEC-60730定义的故障。

自测功能在RTI生成的中断服务程序（ISR）中实现。例如，ISR可以在每次迭代期间检查PC的值。如果PC在连续三次迭代中保持不变，则ISR可以假设MCU卡在软件循环中并采取预防措施。

RTI还可以让ISR监控时钟频率。 ISR只是利用一个积分时间在每次中断服务时取一个时间戳，并验证每个连续读数是否有效。另外，芯片上实现的内部时钟发生器具有内置功能，可测试慢速或快速CPU时钟或时钟丢失。 RTI启动的ISR可以监视时钟锁定和丢失检测器功能的寄存器。

飞思卡尔支持许多不同的安全导向功能，包括检查内存精度的方法。此外，该公司还支持MC56Fx系列16位DSC上以IEC-60730为中心的功能。

跨越MCU体系结构的IEC 60730

与此同时，瑞萨在MCU领域可能拥有最广泛的不同架构，这主要是因为该公司销售的是具有前日立，三菱和NEC传统的MCU。微电子业务。但是，该公司在整个产品组合中具有非常一致的安全合规性功能。

看门狗定时器（WDT）是满足安全标准时大多数情况下使用的关键部件。瑞萨在成熟的8位和16位R8C，M16C，8位和16位H8以及32位SuperH MCU系列中实现了独立于CPU时钟源的WDT。

瑞萨继续保持稳健WDT支持较新的16位RL78 MCU系列和32位RX系列。此外，该公司还随着时间的推移在硬件中添加了其他功能。例如，M16C引入了CRC（循环冗余校验）计算块，该块独立于CPU工作。 CRC可用于检测存储器和通信错误。

RL78和RX系列还支持CRC功能并添加其他功能。例如，RL78包括RAM奇偶校验检测，存储器访问控制功能集和时钟频率监视功能。 RX系列包括类似的功能和数据转换器的自诊断功能。

安全设计

如果您的下一个设计规定了一种确保安全退出故障情况的方法，请务必考虑MCU供应商如何遵守IEC-60730标准。实际上，所有MCU供应商都采用IEC-60730策略，选择具有安全合规性硬件功能的MCU可以减少系统材料清单，从而产生成本，功耗和性能优势。此外，MCU供应商通常提供满足IEC-60730要求的示例代码，该代码将极大地加速您的终端产品设计，可以安全地承受代码或系统硬件中的故障。