针对单片机的干扰分析MCU的改进

2 Watchdog不能解决软件可靠性问题

Vcc的跌落会引起MCU的误动作。MCU里每一个读/写操作都是由门电路实现的，门的开关依赖于门的阈值和信号的时序。电源跌落时阈值发生变化，振荡器产生的信号时序也会变形。下面以8051单片机为例，考察如果干扰发生在执行指令"MOV dir1, dir2"时会产生什么后果。假定错误发生在指令的第1字节，最坏的情形是每个bit都反转，而最大的概率是只有一个bit发生反转。一个bit发生反转的情况如表1所列。

表1

从表1可见，一个bit的变化完全改变了指令的意义，程序流或数据产生不可预测的变化。例如，表中的跳转部分（bit 0, 2或5发生变化）可能不转入死循环，不引起Watchdog动作，也有可能跳到非正常指令处，直至死循环。表中非跳转指令则有可能改变累加器(bit 0, 1, 3, 4，6或7发生变化)，数据RAM(bit 1,3, 6或7发生变化)或状态寄存器(bit 0, 1, 3, 4,6或7发生变化)。如果错误发生在指令的第2或第3字节，数据的源或目的地址就错了。因此，即使Watchdog没动作，也不表示程序运行正常。对8051其他指令作分析可得到类似的结果。由此可见，Watchdog至多保证系统不死机，却有可能掩盖了数据的错误。

F0设计中，在关键点大量采用了"MOV dir1,tmp"，"MOV tmp, dir2"的形式将数据从dir1送到dir2，而不采用"MOV A,@R1"类指令，以减小对原始数据破坏的可能性，从而为程序复执创造条件。例如在备份数据Treh到Tbkh时，先将Treh送tmp1，然后将数据由tmp1送到备份Tbkh，再校验Tbkh与Treh是否一样。若不一样，就重作备份。采用的部分程序如下：

MOVtmp1, Tbkh85 53 19
MOVA, tmp1E5 19
XRLA, Treh65 4C
JNZtbkp70 F1

其中"MOV A, tmp1"仍有破坏tmp1的可能性，但tmp1是Treh的拷贝，坏了可重做；"XRL A, Treh"有可能破坏Treh，但已无法作其他选择。

在硬件抗干扰方面，有许多专用的电源监控芯片，如TL7705等，但是它们只适合在较慢的电源扰动下使用。对于直流电源的跌落干扰，MCU根本来不及作现场的保护工作，所以它不是解决快速干扰问题的办法。

在F0中使用的办法也不尽完善，一般单片机线路中还有很多外围线路，例如F0中的光耦，3个光耦同时导通时要消耗约50 mA的电流，它们形成的动态电阻很小，发生电源跌落时，并联于MCU的解耦电容对此电阻放电，无法保证MCU正常工作的额定电压。如在MCU电源中串接高频二极管，就会引起额外的电源消耗，在低功耗的应用中也会形成新的缺点。有些功能强大的MCU本身功耗就大，容许的电源变化范围小，能否依靠解耦电容对抗电源跌落还需要检验。综上所述，软件解决办法不彻底，硬件解决办法也有很多缺点与限制。

3 MCU要增加的功能

由于干扰而使指令出错的问题不是Watchdog能解决的，特别是造成源数据错时，程序复执也不能纠正错误的结果。程序设计者要在现成的指令体系中找到对源数据危害性概率最小的指令不容易。即使找到，也不能保证指令在有多bit跳变时源数据不错。另外，有些指令错误也可能破坏其他处的数据。利用破坏数据概率最小的指令设计程序也不是好办法，它既耗ROM空间，又费运行时间。

增大指令的Hamming距离可以改善这一情况。例如，给指令增加一到数位校验位，一旦指令通不过校验，就不执行，并重新取指。这样，问题就有可能在产生后果前解决。就目前MCU的设计与生产水平而言，在技术与成本上这种增加不会有很大困难。虽然这一办法在添加的校验位有限时仍会有一定出错概率，但这种概率可以小到能接受的程度。

为了更为可靠，作校验的线路可有某种冗余。连续重取指可能反映有其他故障，应通过某种方式通知应用层。为了不打扰程序设计者，这些指令的添加位应该在写入ROM时自动生成，这样就不会产生与现有产品的兼容性问题。

在早期的MCU应用中，Watchdog是外置的，后来都集成到MCU里面去了。如果实现上述功能，MCU的抗干扰能力会更强，Watchdog可能就不需要了。软件的可靠性分析就可以将程序走飞和数据的完整性问题分割出来加以处理，软件部分更专注于逻辑分析，意义深远。