從事各種消費類設備的設計團隊面臨著滿足相關安全標準的挑戰，包括歐洲IEC 60730規范。大多數公司都希望為全球市場設計產品，因此設計團隊通常負責滿足所有設備設計的最嚴格的全球標準。您當然可以使用任何微控制器（MCU）以及相應的支持IC開發兼容產品。然而，越來越多的MCU包括硬件中的特定功能，無需外部組件即可實現合規性。讓我們來看看是否需要安全合規性，以及一些為合規設計鋪平道路的MCU。

具體而言，IEC 60730-1標準解決了本規范附錄H中基于MCU的控制系統的使用問題。大多數消費類電器，如洗衣機，冰箱和類似產品屬于B類。該標準的目的是確保系統故障不會導致設備的不安全操作。例如，系統故障不應導致不安全的溫度，可能會傷害操作員或引起火災。

另請注意，IEC 60730背后的概念以及我們將在此討論的技術可以應用于消費者設備應用之外。實際上，許多類型的嵌入式系統（不一定受監管標準管理）需要防范系統故障。

通常在基于MCU的系統中，IEC-60730合規性取決于您添加到應用程序代碼中的固件。但是，以安全為中心的MCU硬件功能可以通過消除外部組件來簡化固件開發，提高性能并降低成本。

合規方法

有三種主要方法可以設計符合IEC 60730標準的基于MCU的系統。最復雜的是使用所謂的雙通道架構，雙MCU和控制電路并行工作，并具有比較功能，可確保兩個通道產生相同的結果。然而，這種方法通常被認為對于消費者市場來說太昂貴。然后，成本限制了我們對兩種單通道方法的選擇。您可以通過在制造產品時測試系統以防止故障來實現合規性。在過去，制造測試通常是選擇的方法，是最簡單和成本最低的替代方案。如今，越來越多的產品制造商選擇添加定期的自檢功能，以確保產品在現場不發生故障，這就是我們將在此重點關注的方法。

實際安全認證是在終端設備上進行的，但附錄H中的潛在故障適用于MCU。實際上，附件包括MCU內部元素的詳細列表以及必須在定期自檢中測試的相關故障，并以某種方式進行了緩解。例如，自檢必須檢測卡在故障值的寄存器或程序計數器（PC），檢測內存中的單比特錯誤，并檢測不正確的中斷操作 - 包括沒有發生中斷的情況，中斷發生得太頻繁的情況。附加元件解決了正確的時鐘操作，操作順序的定時和通信故障。

洗衣機示例

現在讓我們看一下MCU（特別是通常稱為數字信號控制器（DSC）的DSP支持的MCU）如何簡化合規性的一些示例。圖1描繪了基于Texas Instruments（TI）DSC的洗衣機設計的框圖。該框圖適用于TMS320C24x定點DSC系列，TMS320F282x定點DSC系列和TMS320F2802x/2806x Piccolo系列固定和浮點DSC。所有DSC都依賴于32位TI C2000內核，該內核可在單處理器設計中處理DSP（主要是電機控制）和系統控制任務。基于C2000的DSC也可以與單獨的系統控制器MCU組合，但在任何一種情況下，IEC-60730元件都在DSC中捕獲。

圖1：德州儀器C2000系列DSC實現獨立時鐘等功能，以簡化符合IEC-60730標準的系統設計。

TI DSC提供了幾個支持合規性的元素。例如，IC包括雙片上振蕩器。一個驅動MCU和系統的主要操作。第二個可以用作控制周期性自測實現的執行的獨立時基。 IC還包括監控電源電壓的監控電路，這可能導致標準中描述的故障。此外，DSC還包括寄存器的寫保護功能。

當然，許多設備應用程序不需要32位DSC提供的處理能力。幸運的是，MCU廠商也在傳統的8位和16位MCU系列上提供符合IEC-60730標準的功能。

飛思卡爾實時中斷

例如，飛思卡爾在其MC9S08AWx MCU上支持這些功能，這些MCU是廣泛的MC9S08 8位系列的一部分。 9S08AW MCU包含一個實時中斷（RTI）功能，可以實現許多自檢功能。圖2描繪了RTI功能。在圖的頂部，系統實時中斷狀態和控制寄存器（SRTISC）包括3位 - 實時中斷延遲選擇（RTIS） - 設置周期性CPU中斷的間隔。間隔可以在8毫秒到1.04秒之間變化。中斷源自集成的1-KHz RC振蕩器，獨立于CPU時鐘。

圖2：飛思卡爾使用稱為實時中斷的功能（ RTI）作為中斷服務程序的啟動器，用于檢查系統是否存在IEC-60730定義的故障。

自測功能在RTI生成的中斷服務程序（ISR）中實現。例如，ISR可以在每次迭代期間檢查PC的值。如果PC在連續三次迭代中保持不變，則ISR可以假設MCU卡在軟件循環中并采取預防措施。

RTI還可以讓ISR監控時鐘頻率。 ISR只是利用一個積分時間在每次中斷服務時取一個時間戳，并驗證每個連續讀數是否有效。另外，芯片上實現的內部時鐘發生器具有內置功能，可測試慢速或快速CPU時鐘或時鐘丟失。 RTI啟動的ISR可以監視時鐘鎖定和丟失檢測器功能的寄存器。

飛思卡爾支持許多不同的安全導向功能，包括檢查內存精度的方法。此外，該公司還支持MC56Fx系列16位DSC上以IEC-60730為中心的功能。

跨越MCU體系結構的IEC 60730

與此同時，瑞薩在MCU領域可能擁有最廣泛的不同架構，這主要是因為該公司銷售的是具有前日立，三菱和NEC傳統的MCU。微電子業務。但是，該公司在整個產品組合中具有非常一致的安全合規性功能。

看門狗定時器（WDT）是滿足安全標準時大多數情況下使用的關鍵部件。瑞薩在成熟的8位和16位R8C，M16C，8位和16位H8以及32位SuperH MCU系列中實現了獨立于CPU時鐘源的WDT。

瑞薩繼續保持穩健WDT支持較新的16位RL78 MCU系列和32位RX系列。此外，該公司還隨著時間的推移在硬件中添加了其他功能。例如，M16C引入了CRC（循環冗余校驗）計算塊，該塊獨立于CPU工作。 CRC可用于檢測存儲器和通信錯誤。

RL78和RX系列還支持CRC功能并添加其他功能。例如，RL78包括RAM奇偶校驗檢測，存儲器訪問控制功能集和時鐘頻率監視功能。 RX系列包括類似的功能和數據轉換器的自診斷功能。

安全設計

如果您的下一個設計規定了一種確保安全退出故障情況的方法，請務必考慮MCU供應商如何遵守IEC-60730標準。實際上，所有MCU供應商都采用IEC-60730策略，選擇具有安全合規性硬件功能的MCU可以減少系統材料清單，從而產生成本，功耗和性能優勢。此外，MCU供應商通常提供滿足IEC-60730要求的示例代碼，該代碼將極大地加速您的終端產品設計，可以安全地承受代碼或系統硬件中的故障。