Participó en una variedad de equipos de diseño de equipos de consumo que se enfrentaron al desafío de cumplir con los estándares de seguridad relevantes, incluidas las normas europeas IEC 60730. La mayoría de las empresas desean diseñar productos para el mercado global, por lo que el equipo de diseño suele ser responsable de cumplir con los estándares mundiales más estrictos para el diseño de todos los equipos. Por supuesto, puede utilizar cualquier microcontrolador (MCU) y los productos compatibles con el desarrollo de IC de soporte correspondiente. Sin embargo, un número creciente de MCU incluye funciones específicas de hardware sin la necesidad de componentes externos para lograr el cumplimiento. Veamos si necesita cumplimiento de seguridad, así como algunos diseñados para allanar el camino para el cumplimiento de la MCU.
Específicamente, los estándares IEC 60730-1 resuelven el uso de sistemas de control basados en MCU basados en el Apéndice H de esta especificación. La mayoría de los aparatos eléctricos de consumo, como lavadoras, refrigeradores y productos similares, pertenecen a la Clase B. El propósito de esta norma es garantizar que la falla del sistema no cause un funcionamiento inseguro del dispositivo. Por ejemplo, la falla del sistema no debe causar una temperatura peligrosa, que puede dañar al operador o causar un incendio.
También tenga en cuenta que el concepto detrás de IEC 60730 y la tecnología que se discutirá aquí se puede aplicar fuera de las aplicaciones de dispositivos de consumo. De hecho, muchos tipos de sistemas integrados (no necesariamente sujetos a la gestión de estándares regulatorios) deben protegerse contra fallas del sistema.
Por lo general, en los sistemas basados en MCU, el cumplimiento de IEC-60730 depende del código de aplicación agregado al firmware. Sin embargo, para asegurar el centro de las funciones de hardware de MCU se pueden simplificar eliminando el desarrollo de firmware de componentes externos, mejorar el rendimiento y reducir los costos.
Métodos de cumplimiento Hay tres formas principales de diseñar sistemas basados en MCU de acuerdo con las normas IEC 60730. La arquitectura más compleja que utiliza un MCU dual de doble canal en paralelo y un circuito de control, y que tiene una función de comparación, garantiza que los dos canales produzcan los mismos resultados. Sin embargo, este método generalmente se considera demasiado caro para el mercado de consumidores. Luego, optamos por limitar el costo de los dos métodos de un solo canal. Puede probar el sistema en el momento de la fabricación del producto para evitar el incumplimiento. En el pasado, generalmente se elige el método de prueba de fabricación, es la alternativa más simple y de menor costo. Hoy en día, un número creciente de fabricantes de productos opta por agregar una función de autoprueba regular para garantizar que el producto no falle en el campo; este es el enfoque en el que nos centraremos aquí.
La autenticación de seguridad real se realiza en el aparato terminal, pero los posibles fallos del Apéndice H se aplican a la MCU. De hecho, los accesorios incluyen una lista detallada de los elementos internos de la MCU y la falla asociada debe probarse en una autoprueba regular, y la facilidad de alguna manera. Por ejemplo, el registro de autoprueba debe ser detectado en la tarjeta o el valor del contador de programa (PC) de la falla, detección de error de memoria de un solo bit, y detecta operación de interrupción incorrecta, incluida la interrupción no ocurre, la interrupción ocurre con demasiada frecuencia . Elementos adicionales para resolver la falla de comunicación y el correcto funcionamiento del reloj temporizador, la secuencia de operación.
Ejemplos de lavadora Ahora echemos un vistazo al MCU (en particular, el DSP MCU es compatible con el controlador de señal digital (DSC)). Algunos ejemplos de cómo simplificar el cumplimiento. La Figura 1 muestra un diagrama de bloques de un diseño basado en la lavadora DSC de Texas Instruments (TI). Este diagrama se aplica a la serie DSC TMS320C24x de punto fijo, la serie DSC designada TMS320F282x y la serie Piccolo TMS320F2802x / 2806x de DSC de punto fijo y flotante. Todos se basan en los núcleos DSC 32 TI C2000, que se pueden procesar en un solo diseño de procesador DSP (principalmente control de motor) y tareas de control del sistema. Puede ser, pero en cualquier caso, el elemento DSC IEC-60730 C2000 se captura en una MCU separada en combinación con el controlador del sistema en el DSC.
Figura 1: La serie DSC TI C2000 logra un reloj independiente y otras funciones, para simplificar el diseño del sistema conforme al estándar IEC-60730.
TI DSC proporciona varios elementos para respaldar el cumplimiento. Por ejemplo, el oscilador de chip IC comprende un doble. Conducir una MCU principal y sistemas operativos. La segunda vez se puede utilizar como un grupo de control que se realiza periódicamente independientemente de la autocomprobación implementada. El IC comprende además un circuito de monitorización que supervisa la tensión de alimentación, lo que puede provocar un mal funcionamiento descrito en la norma. Además, DSC también incluye registro de protección contra escritura.
Por supuesto, muchas aplicaciones no requieren las capacidades de procesamiento de dispositivos de 32 bits proporcionadas por DSC. Afortunadamente, los proveedores de MCU están ofreciendo en línea con la característica estándar IEC-60730 en las familias tradicionales de MCU de 8 y 16 bits.
Interrupción en tiempo real de Freescale Por ejemplo, Freescale admite estas funciones en su MCU MC9S08AWx, la MCU es parte de una amplia gama de la familia MC9S08 de 8 bits. 9S08AW MCU contiene una función de interrupción en tiempo real (RTI), puede lograr muchas funciones de autoprueba. La figura 2 muestra la función RTI. En la parte superior de la figura, y el registro de control de estado de interrupción en tiempo real (El SRTISC) comprende 3 - Selección de retardo de interrupción en tiempo real (el RTIS) - Establecer intervalo de interrupción periódica de la CPU. El espaciado puede variar entre 8 ms y 1.04 segundos. Interrupción integrada del oscilador RC de 1 KHz, independiente del reloj de la CPU.
Figura 2: Utilice Freescale llamada función de interrupción en tiempo real (RTI) cuando se inicia un programa de servicio de interrupción, un sistema para verificar si una falla definida por IEC-60730 está presente.
La función de autoprueba se implementa en la rutina de servicio de interrupción generada por RTI (ISR) en. Por ejemplo, ISR puede verificar el valor de la PC durante cada iteración. Si la PC permanece sin cambios en tres iteraciones sucesivas, el ISR puede asumir la tarjeta MCU y tomar precauciones en el ciclo del software.
RTI también permite al ISR monitorear la frecuencia del reloj. ISR solo usa un tiempo de integración para tomar una marca de tiempo en cada servicio de interrupción y verificar que cada lectura sucesiva sea válida. Además, implementado en el chip con un generador de reloj interno de funcionalidad incorporada, la prueba puede ser lenta o rápida, o con pérdida del reloj de la CPU. Bloqueo RTI activado por ISR y puede monitorear los registros de la función de detección de pérdida de reloj.
Freescale admite una serie de características diferentes orientadas a la seguridad, incluido el método para verificar la precisión de la memoria. Además, la empresa también admite la serie DSC MC16Fx de 56 bits con funciones centradas en IEC-60730.
A través de la arquitectura de MCU IEC 60730 Al mismo tiempo, la MCU de Renesas en el campo puede tener la más amplia de las arquitecturas diferentes, principalmente porque la compañía vende una MCU tradicional de Hitachi, Mitsubishi y NEC anterior. Negocio de microelectrónica. Sin embargo, la compañía tiene características de cumplimiento de seguridad muy consistentes en toda la cartera de productos.
El temporizador de vigilancia (WDT) es un componente clave en la mayoría de los casos cuando se cumplen los estándares de seguridad. Renesas madura de 8 y 16 R8C, M16C, 8 y 16 bits de la familia H32 de 8 bits y SuperH MCU logrados independientemente de la fuente de reloj de la CPU WDT.
Renesas continúa manteniendo un sólido soporte WDT para la nueva serie RX de la familia de MCU RL16 de 32 y 78 bits. Además, a lo largo del tiempo la empresa ha agregado otras funciones en hardware. Por ejemplo, la introducción del bloque de cálculo M16C CRC (Cyclic Redundancy Check), que es independiente del funcionamiento de la CPU. CRC se puede utilizar para detectar errores de comunicación y memoria.
Las series RL78 y RX también son compatibles con CRC y agregan otras funciones. Por ejemplo, el RL78 incluye detección de paridad de RAM, la función de control de acceso a la memoria establece la frecuencia del reloj y las funciones de monitoreo. RX incluye una serie similar de funciones de autodiagnóstico y la función del convertidor de datos.
Diseño de seguridad Si sus próximos requisitos de diseño para garantizar un método de condición de falla de salida segura, asegúrese de considerar cómo los proveedores de MCU deben cumplir con la norma IEC-60730. De hecho, todos los proveedores de MCU han adoptado la política IEC-60730, seleccionar la MCU con una función de cumplimiento de seguridad de hardware puede reducir la lista de materiales del sistema, lo que resulta en ventajas de costo, potencia y rendimiento. Además, los proveedores de MCU generalmente proporcionan código de muestra para cumplir con los requisitos de IEC-60730, el código acelerará en gran medida su producto final diseñado para resistir de manera segura el código de falla o el hardware del sistema.
Nuestro otro producto:
