如何用低成本ARM Cortex-M微控制器讓家電變得更安全

自2007年起，家電廠商的所有新設計必須遵守IEC60335安全標準。為確保家電設備安全可靠，特別是設備故障不能威脅用戶的人身安全，這套新標準涉及十分廣泛的內(nèi)容，從機械系統(tǒng)到嵌入電子元器件均有明確規(guī)定。

電子部分參照另一個標準，即適用于各種應用領域的IEC60730自動電子控制標準。對于嵌入式系統(tǒng)開發(fā)人員，附件H對于嵌入式系統(tǒng)開發(fā)人員尤為重要，因為該附件是關于可編程器件。白色家電通常使用多個微控制器：一個微控制器負責管理控制臺，另一個管理閥門和電機控制。

根據(jù)設備故障導致的危險程度，該標準將軟件分為A、B、C三類。如果家電安全不依靠軟件，則該家電屬于A類，如室內(nèi)溫控器或照明控制器。相反，如果軟件用于防止安全隱患，如電子點火燃氣灶歸為C類。本文不探討C類。電子控制系統(tǒng)防止不安全操作的家電多數(shù)屬于B類，如洗衣機，其安全隱患與電控門鎖或電機熱關斷有關。

IEC60730附件H的表格 H.11.12.7 列出了B類和C類軟件需測試的微控制器元器件、需檢測的故障和接受的安全措施，檢測內(nèi)容包括監(jiān)視CPU(寄存器和程序計數(shù)器)、中斷(處理和執(zhí)行)和時鐘頻率，檢驗易失性存儲器(RAM) 、非易失性存儲器(閃存和 EEPROM)、外部通信以及外設。

這些檢測均在微控制器引導過程中甚至在系統(tǒng)執(zhí)行代碼前完成，主要原因是RAM測試具有‘破壞性’，可導致初始化的變量損壞。

在RAM檢測中，標準要求B類設備定期做單一位DC故障檢測(如嵌入存儲器固定故障或耦合故障)。因為多數(shù)入門級微控制器的SRAM無校驗位，所以該檢測必須由軟件來完成。March算法通過限定數(shù)量的測試來發(fā)現(xiàn)這些故障，March C測試最適合B類(使用10N次測試，N為被測試存儲地址的數(shù)量)，但是March X(6N次測試)在某些特定情況也被測試機構(gòu)接受。測試完成后，RAM存儲器內(nèi)容被清除(因此，又稱為‘破壞性測試’)。

復位后執(zhí)行March測試不會產(chǎn)生特別的問題。除略微降低開機速度外，沒有什么實際缺點，因為嵌入式SRAM很小，開機速度降低甚至都不會被注意到。

相反，如果在運行期間重復這個測試，可能會產(chǎn)生很大的問題。首先，測試必須透明：應用無需特定的協(xié)議即可處理RAM，好像沒有測試一樣。實際而言，這增加了下列條件：

· 測試必須是一個中斷處理程序(ISR)，且給予最高的處理優(yōu)先級，可禁止應用程序在測試過程中訪問數(shù)據(jù)。

· 必須配備緩存，以便提前備份被檢驗的RAM內(nèi)容，最后在應用任務重新運行前恢復RAM內(nèi)容。顯然，也必須定檢驗證緩存。

其次，應用任務暫停時間不宜過長。該測試通常分為若干個小測試，以限制占用頂層任務的時間。一次測試的地址不得少于3個連續(xù)地址(這是耦合故障測試覆蓋率的硬性要求)，這表示不少于30次連續(xù)的March C算法讀寫操作。

雖然實際應用證明該解決方案效果不錯，而且在業(yè)界十分流行，但還是存在不少的缺點。

我們先從軟件工程角度剖析這些問題。結(jié)構(gòu)化編程的優(yōu)點略過，只分析相關的局限性問題：

· 封裝問題：C模塊必須將部分內(nèi)部變量提高至全局變量，不再接受編譯器參照跨模塊訪問進行的完整校驗。

· 低任務隔離度和低模塊化：測試對每個安全關鍵的軟件模塊強制進行訪問測試，使增加新功能變得更加復雜。