浅谈安全应用感兴趣的微控制器

　　我列出了关键系统工程师在其设计职业生涯中可能遇到的 84 项单独的安全标准。我已将这个有些令人生畏的清单缩减为本文将讨论的五个基本标准。这些是：

• 　　IEC 61508
• 　　ISO 26262
• 　　IEC 60730 和 IEC 60335
• 　　在 ISO 13849 中

　　这些较新的标准认识到需要保护安全关键系统中的随机和系统故障。随机故障通常是组件故障，与可靠性和 FIT 数有关。系统故障通常是软件和硬件设计方法故障。简单地说，这些故障是由不完善的设计引起的。

　　用于减轻这两种类型故障的主要方法是自我测试。一些有助于针对这些标准进行设计的处理器特性包括 CPU 自检模块、复制的、安全增强的看门狗定时器、外设/DMA/中断存储器上的存储器 ECC 奇偶校验、所有通信通道上的奇偶校验或 CRC 检查、内置存储器- 内置自测 （BIST）、时钟和电源电压监控、片上时钟或双时钟、结温传感器和带共享通道的双 A/D。

　　使用硬件（处理器）而不是代码来处理安全性可以加速开发、加速错误检测、提高安全性并简化认证工作。有一些自动化代码审查设计工具专注于安全，可能对工程师有帮助，尽管有些人将它们比作拼写检查器。在这个领域还有一些自动代码生成器需要考虑，也许还有一个采用基于模型的开发的 IDE。当然，如果您有操作系统，则需要具有安全意识，并且高质量的 C++ 编译器对于更高的抽象级别和对面向对象编程的支持将是必不可少的。

　　标准

　　IEC 61508 - 电气/电子/可编程电子安全相关系统的功能安全

　　IEC 61508 涵盖硬件和软件。它可以分为三个领域：业务流程、硬件开发和软件开发。该标准提供了管理和减少系统故障和随机故障的措施。

图 1：IEC 61508 安全生命周期。

　　ISO 26262 - 道路车辆功能安全

　　ISO 26262 是 IEC 61508 对汽车电气/电子系统的改编。它提供了汽车安全生命周期（管理、开发、生产、运营、服务、退役），并支持在这些生命周期阶段定制必要的活动（图 1）。它还提供了一种特定于汽车的、基于风险的方法来确定风险等级（汽车安全完整性等级或 ASIL）。

　　IEC 60730 和 IEC 60335 - 安全标准

　　IEC/UL 60730 安全标准是针对交流电器的电气、电子、机械、EMC 和其他功能的既定测试规范。该规范的附录 H 阐明了与电器中使用的 MCU 硬件和软件的安全操作最相关的安全方面。IEC 60335-1 的附录 Q 中进一步定义了软件要求。这些安全标准需要证明符合标准并显示系统稳健性的认证。为了简化合规性，OEM 要求组件可以被认证为兼容或兼容 IEC 60730。专门针对 MCU，60730 附件 H - 电子控制要求详细说明了测试和诊断方法。

　　60730 允许制造商采用三种方法之一来解决基于 MCU 的系统的安全问题。

　　具有两个 MCU 的双通道架构，每个 MCU 都以锁步执行相关任务，一个检查另一个。

　　单通道架构伴随着制造点的功能测试（当今最常用的选项）。这种方法的缺点是一旦设备出厂就无法解决问题。

　　具有定期自检架构的单通道通过具有定期检查电子控制关键功能的固件来解决运行中的问题

　　支持单通道自检选项的微控制器可能以最低的成本提供最高级别的消费者保护。一个好主意是在 MCU 上安装两个准确的振荡器——一个用于操作设备，另一个用于为执行定期测试提供独立的时基。

　　NXP、Fujitsu、Renesas、Microchip和Texas Instruments都提供用于 IEC/UL 60730/60335 实施的软件库。

　　60335 包括通过熔断器进行的防火 - 并与 60730 标准结合使用（Shurter有一份关于该主题的有用白皮书）。

　　EN ISO 13849 - 机械安全 - 控制系统的安全相关部件

　　EN ISO 13849 被称为机械指令。该标准取代了 EN 954-1，这是机械制造商熟悉的标准，并且大多数人已经符合该标准。954-1 是一个简单的标准，具有易于遵循的风险图，可以为其机器建立安全类别。安全类别是在定性的基础上制定的，因此过程也很快。新的 EN ISO 13849-1 遵循类似的过程，但用户必须执行一系列计算，包括诊断覆盖率、平均危险故障时间以及架构和常见故障，以验证是否已达到性能水平。

　　与 EN 954-1 不同，13849-1 涉及越来越多地用于机械的可编程电子安全设备，并且针对给定安全功能的计算风险评估将产生性能等级 （PL）。2009 年 12 月，从 EN 954-1 过渡到 EN ISO 13849-1 的最后期限延长至 2011 年 12 月 31 日（在欧洲经济区），并且正在被许多美国制造商采用。

　　安全应用感兴趣的微控制器

　　NXP LPC17xx 系列，例如LPC1769和LPC1788使用 Cortex M3，具有 512 KB 闪存、64 或 96 KB RAM、CAN、以太网、I²C、IrDA、Microwire、USB OTG、D /A 转换器和一个 8 通道 12 位 A/D 转换器。工作范围为 -40° ~ 85°C。

　　恩智浦将为这些和其他 Cortex M3 处理器提供 IEC60335 B 类认证库。使用此库不会授予您的项目作为认证应用程序的状态。仍然需要对完整的应用软件进行认证，但这无疑是一个很好的起点。

　　飞思卡尔 Kinetis K20 MCU，例如PK20N512VLQ100， 具有高速 USB 2.0 OTG 和设备充电检测能力，并提供基本的安全项目。它们为交叉开关上的所有主设备提供内存保护，以及验证内存内容和通信数据的硬件 CRC 引擎。独立时钟 COP 可防止故障安全应用（例如家用电器的 IEC 60730 安全标准）的时钟偏差或代码失控。MCU 还具有外部看门狗监视器以及安全存储和篡改检测。

　　Renesas V850 微控制器，例如V850ES/JG3， 支持启动交换机制，以确保即使在电源故障期间也能进行故障安全固件更新。芯片看门狗定时器使用内部专用振荡器。此外，它是一个窗口式看门狗定时器，可以捕捉异常频繁的看门狗复位。这些 IC 使用 2.85 至 3.6 V，运行频率高达 50 MHz，并具有 256 KB 的闪存和 64 KB 的 RAM。

　　该 MCU 的某些版本配备了带比较器的冗余内核、逻辑和存储器的自诊断功能以及其他实现功能安全的有效功能。基于 Cortex M3 的 Fujitsu FM3 系列 MCU，例如MB9B500，提供功能安全特性。富士通提供广泛的安全相关软件例程库，符合 IEC 安全标准。

　　富士通自检库 （STL） 涵盖 IEC 60730 和 IEC 60335 要求。B 类库例程包括应在系统启动时实施的操作前自检 （POST） 测试，涵盖 CPU、RAM/ROM 和 I/O 外围设备等项目。他们还有 BIST 的代码，应该在产品运行时定期运行。

　　这些处理器基于 Cortex M3，具有 256 或 512 KB 的 60-MHz 闪存和 32 或 64 KB 的 RAM。它们还具有 CAN 和 USB 2.0 接口、一个 8 通道 DMA、一个正交计数器和多达 16 个 12 位 A/D 转换通道。这些 IC 包括一个时钟超级监视器 （CSV）。CR 振荡器产生的时钟用于监控外部时钟的异常。如果检测到外部时钟故障，则置位复位，但如果检测到频率异常，则置位中断或复位。它们还具有低压检测器 （LVD），可对 VCC 上的电压进行两级监控，并通过中断和自动复位操作报告错误。

　　概括

　　本文总结了五项基本安全标准和微控制器样本，这些微控制器配备了对设计安全关键应用的工程师来说很重要的特性。