Engagiert in einer Vielzahl von Designteams für Verbrauchergeräte, die vor der Herausforderung standen, die relevanten Sicherheitsstandards, einschließlich der europäischen IEC 60730-Normen, zu erfüllen. Die meisten Unternehmen möchten Produkte für den globalen Markt entwickeln, daher ist das Designteam normalerweise dafür verantwortlich, die strengsten weltweiten Standards für das gesamte Gerätedesign zu erfüllen. Sie können selbstverständlich jeden beliebigen Mikrocontroller (MCU) und die entsprechenden unterstützenden IC-Entwicklungskompatiblen Produkte verwenden. Eine zunehmende Anzahl von MCUs enthält jedoch hardwarespezifische Funktionen, ohne dass externe Komponenten erforderlich sind, um die Konformität zu erreichen. Mal sehen, ob Sie Sicherheits-Compliance benötigen, sowie einige, die den Weg für die Compliance der MCU ebnen sollen.
Insbesondere lösen die Normen IEC 60730-1 die Verwendung von MCU-basierten Steuerungssystemen gemäß Anhang H dieser Spezifikation. Die meisten elektrischen Verbrauchergeräte wie Waschmaschinen, Kühlschränke und ähnliche Produkte gehören zur Klasse B. Der Zweck dieser Norm besteht darin, sicherzustellen, dass der Systemausfall nicht zu einem unsicheren Betrieb des Geräts führt. Zum Beispiel sollte der Systemausfall keine unsichere Temperatur verursachen, die dem Bediener schaden oder einen Brand verursachen könnte.
Beachten Sie auch, dass das Konzept hinter der IEC 60730 und die Technologie, die hier besprochen wird, auch außerhalb der Verbrauchergeräteanwendungen angewendet werden kann. Tatsächlich müssen viele Arten von eingebetteten Systemen (die nicht unbedingt dem Management von behördlichen Standards unterliegen) vor Systemausfällen geschützt werden.
Normalerweise hängt die IEC-60730-Konformität in MCU-basierten Systemen von Ihrem Anwendungscode ab, der der Firmware hinzugefügt wurde. Um jedoch das Zentrum der MCU-Hardwarefunktionen zu sichern, können durch Eliminieren externer Komponenten die Firmware-Entwicklung vereinfacht, die Leistung verbessert und die Kosten gesenkt werden.
Konformitätsmethoden Es gibt drei Hauptmethoden, um MCU-basierte Systeme in Übereinstimmung mit den IEC 60730-Standards zu entwerfen. Die komplexeste Architektur mit einem sogenannten Dual-Channel, Dual-MCU parallel und einer Steuerschaltung sowie einer Vergleichsfunktion stellt sicher, dass die beiden Kanäle die gleichen Ergebnisse liefern. Diese Methode wird jedoch im Allgemeinen als zu teuer für den Verbrauchermarkt angesehen. Dann haben wir uns entschieden, die Kosten der beiden Einkanalverfahren zu begrenzen. Sie können das System zum Zeitpunkt der Herstellung des Produkts testen, um zu verhindern, dass die Konformität nicht erreicht wird. In der Vergangenheit wird meist das Herstellungsprüfverfahren gewählt, es ist die einfachste und kostengünstigste Alternative. Heutzutage entscheiden sich immer mehr Produkthersteller dafür, regelmäßige Selbsttestfunktionen hinzuzufügen, um sicherzustellen, dass das Produkt im Feld nicht versagt. Dies ist der Ansatz, auf den wir uns hier konzentrieren werden.
Die eigentliche Sicherheitsauthentifizierung wird auf dem Endgerät durchgeführt, aber die potentiellen Fehler in Anhang H gelten für die MCU. Tatsächlich enthält das Zubehör eine detaillierte Liste der internen MCU-Elemente und die damit verbundenen Fehler müssen in einem regelmäßigen Selbsttest getestet werden, und die Leichtigkeit in irgendeiner Weise. Zum Beispiel muss das Selbsttestregister in der Karte oder der Programmzähler (PC) Wert des Fehlers erkannt werden, Einzelbit-Speicherfehlererkennung und erkennt fehlerhafte Interrupt-Operationen - einschließlich Unterbrechung tritt nicht auf, die Unterbrechung tritt zu häufig auf . Zusätzliche Elemente zur Behebung des Kommunikationsfehlers und zur korrekten Taktung des Taktbetriebs, der Betriebssequenz.
Beispiele für Waschmaschinen Lassen Sie uns nun einen Blick auf die MCU werfen (insbesondere wird sie allgemein als digitaler Signalcontroller (DSC) bezeichnet und wird von der DSP-MCU unterstützt) Einige Beispiele, wie die Einhaltung vereinfacht werden kann. Abbildung 1 zeigt ein Blockschaltbild eines auf der Texas Instruments (TI) DSC-Waschmaschine basierenden Designs. Dieses Diagramm gilt für Festkomma-DSC der Serie TMS320C24x, TMS320F282x mit der Bezeichnung Serie DSC und TMS320F2802x / 2806x Piccolo-Serie für Fest- und Gleitkomma-DSC. Alle setzen auf die DSC 32 TI C2000-Kerne, die in einem einzigen DSP-Prozessor-Design (hauptsächlich Motorsteuerung) und Systemsteuerungsaufgaben verarbeitet werden können. Es kann sein, aber in jedem Fall werden IEC-60730 C2000 DSC-Elemente auf einer separaten MCU in Kombination mit dem Systemcontroller im DSC erfasst.
Abbildung 1: Die DSC TI C2000-Serie erreicht unabhängige Takt- und andere Funktionen, um das Systemdesign zu vereinfachen und entspricht dem IEC-60730-Standard.
TI DSC bietet mehrere Elemente zur Unterstützung der Compliance. Zum Beispiel umfasst der IC-Chip-Oszillator ein Doppel. Ansteuerung einer Haupt-MCU und Betriebssysteme. Das zweite Mal kann als Kontrollgruppe verwendet werden, die periodisch unabhängig von dem implementierten Selbsttest durchgeführt wird. IC umfasst ferner eine Überwachungsschaltung, die die Versorgungsspannung überwacht, was zu einer in der Norm beschriebenen Fehlfunktion führen kann. Darüber hinaus enthält DSC auch Schreibschutzregister.
Natürlich erfordern viele Anwendungen keine 32-Bit-Geräteverarbeitungsfähigkeiten, die von DSC bereitgestellt werden. Glücklicherweise bieten die MCU-Anbieter die Standardfunktion nach IEC-60730 für die traditionellen 8-Bit- und 16-Bit-MCU-Familien an.
Freescale Echtzeit-Interrupt Freescale unterstützt diese Funktionen beispielsweise auf seiner MC9S08AWx MCU, die MCU ist Teil einer breiten Palette der MC9S08 8-Bit-Familie. 9S08AW MCU enthält eine Echtzeit-Interrupt (RTI)-Funktion, Sie können viele Selbsttestfunktionen erreichen. Abbildung 2 zeigt die RTI-Funktion. Im oberen Teil der Figur umfasst das Echtzeit-Interrupt-Statussteuerregister (das SRTISC) 3 – Auswahl der Echtzeit-Interrupt-Verzögerung (das RTIS) – Einstellen des periodischen CPU-Interrupt-Intervalls. Der Abstand kann zwischen 8 ms und 1.04 Sekunden variieren. Integrierter Interrupt vom 1-KHz-RC-Oszillator, unabhängig vom CPU-Takt.
Abbildung 2: Verwenden Sie die von Freescale genannte Echtzeit-Interrupt-Funktion (RTI), wenn ein Interrupt-Dienstprogramm gestartet wird, ein System zur Überprüfung, ob ein von IEC-60730 definierter Fehler vorliegt.
Die Selbsttestfunktion ist in der von RTI generierten Interrupt-Service-Routine (ISR) implementiert. ISR kann beispielsweise den Wert des PCs bei jeder Iteration überprüfen. Bleibt der PC bei drei aufeinanderfolgenden Iterationen unverändert, kann der ISR die MCU-Karte übernehmen und im Softwarezyklus Vorkehrungen treffen.
RTI ermöglicht auch die Überwachung der Taktfrequenz durch ISR. ISR verwendet einfach eine Integrationszeit, um einen Zeitstempel für jeden Interrupt-Dienst zu erstellen und zu überprüfen, ob alle nachfolgenden Messwerte gültig sind. Darüber hinaus kann der Test, der auf dem Chip mit integrierter Funktionalität des internen Taktgenerators implementiert ist, langsam oder schnell sein oder der CPU-Takt verloren gehen. ISR aktivierte RTI-Sperre und kann die Register der Taktverlusterkennungsfunktion überwachen.
Freescale unterstützt eine Reihe verschiedener sicherheitsorientierter Funktionen, einschließlich der Methode zur Überprüfung der Speichergenauigkeit. Darüber hinaus unterstützt das Unternehmen auch die 16-Bit-DSC-MC56Fx-Serie mit IEC-60730-zentrierten Funktionen.
Über die MCU-Architektur IEC 60730 Gleichzeitig verfügt die MCU von Renesas im Feld möglicherweise über die umfangreichste Architektur, hauptsächlich weil das Unternehmen eine ehemalige traditionelle MCU von Hitachi, Mitsubishi und NEC verkauft. Geschäft mit Mikroelektronik. Das Unternehmen verfügt jedoch über sehr konsistente Sicherheits-Compliance-Funktionen im gesamten Produktportfolio.
Der Watchdog-Timer (WDT) ist eine Schlüsselkomponente, in der in den meisten Fällen die Sicherheitsstandards eingehalten werden. Renesas ausgereifte 8 und 16 R8C, M16C, 8 und 16 Bit 32-Bit H8-Familie und SuperH MCU erreichten unabhängig von der CPU-Taktquelle WDT.
Renesas unterstützt weiterhin die solide WDT-Unterstützung der neueren 16-Bit- und 32-Bit-RL78-MCU-Familie der RX-Serie. Darüber hinaus hat das Unternehmen im Laufe der Zeit weitere Funktionen in der Hardware hinzugefügt. Zum Beispiel die Einführung des Rechenbausteins M16C CRC (Cyclic Redundancy Check), der unabhängig vom CPU-Betrieb ist. CRC kann verwendet werden, um Kommunikationsfehler und Speicher zu erkennen.
Die Serien RL78 und RX unterstützen auch CRC und fügen weitere Funktionen hinzu. Zum Beispiel der RL78 inklusive RAM-Paritätserkennung, die Speicherzugriffskontrollfunktion stellt die Taktfrequenz und Überwachungsfunktionen ein. RX enthält eine ähnliche Reihe von Selbstdiagnosefunktionen und die Funktion des Datenkonverters.
Sicherheitsdesign Wenn Ihre nächsten Designanforderungen eine sichere Ausgangsfehlerbedingungsmethode gewährleisten, sollten Sie sich überlegen, wie die MCU-Lieferanten den IEC-60730-Standard erfüllen. Tatsächlich haben alle MCU-Anbieter die IEC-60730-Richtlinie übernommen. Die Auswahl der MCU mit einer Funktion zur Einhaltung der Hardwaresicherheit kann die Systemstückliste reduzieren, was zu Kosten-, Leistungs- und Leistungsvorteilen führt. Darüber hinaus stellen MCU-Anbieter in der Regel Beispielcode zur Verfügung, um die Anforderungen von IEC-60730 zu erfüllen. Der Code beschleunigt Ihr Endprodukt, das dem Fehlercode oder der Systemhardware sicher standhält, erheblich.
Unsere anderen Produkt:
