單片機應用系統(tǒng)可靠性的軟件技術研究

1、提高單片機應用系統(tǒng)可靠性的軟件技術盧作援 胡家安（南方冶金學院機電工程學院，江西 贛州 341000）摘要：可靠性是單片機控制器能否成功應用的關鍵問題。本文首先建立單片機應用系統(tǒng)的可靠性設計模型，從多項應用工程中歸納出提高單片機應用系統(tǒng)可靠性的軟件技術與方法，并列舉實例以供參考。關鍵詞：單片機；可靠性； 軟件技術Software Technology of Improving the ReliabilityOf Single Chip Computer Application SystemLU Zuoyuan HU Jiaan（Institude of Mechatronics Enginee

2、ring ,Southern Inst.of Metallurgy,Ganzhou 341000,China）Abstract：Reliability is the most important problem of single chip computer application system。To begin with,this paper creates the reliability model of single chip computer application system. Then,it includes the techniques and methods of impro

3、ving the reliability of single chip computer application system and several examples are presented. Keywords：single chip；reliability； software technology 1 可靠性設計模型與概述正常激勵非正常激勵激勵端輸入通道輸出通道過程空間響應端安全性包容干 擾干 擾正常響應圖1 單片機應用系統(tǒng)可靠性設計模型可靠性設計模型表達了單片機應用系統(tǒng)從激勵到響應的唯一性過程?？煽啃栽O計模型如圖1所示，按照可靠性設計模型，軟件設計最主要任務是保證在過程空間中，應用系

4、統(tǒng)程序按照給定的順序有序地運行。軟件設計的可靠性保障是軟件設計中的本質可靠性與可靠性控制。它保障了最少的軟件錯誤以及在軟件出錯后仍保證系統(tǒng)正常運行或安全運行。2 本質可靠性的軟件設計2.1 最大限度地減少錯誤及缺陷在應用軟件中,唯一的有序性(編程指定的)與無限的激勵因素,導致了軟件測試仿真的不完全性,其結果是軟件的缺陷與軟件并存。軟件的缺陷與錯誤通?？煞譃轱@性與隱性兩大類。顯性缺陷與錯誤發(fā)生在程序正常運行中。這些缺陷和錯誤大部分都可通過仿真調試進行糾正；隱性缺陷與錯誤通常都在系統(tǒng)非正常運行中顯露出來。容錯能力弱的系統(tǒng)中會存在較多的隱性錯誤。2.2 要有足夠的時序余度時序是程序設計中必須考慮的問

5、題。在應用程序設計應考慮的時序有系統(tǒng)復位時序、狀態(tài)時序、器件工作時序及總線運行時序。(1) 系統(tǒng)復位時序 MCU復位時序要求。MCU有上電復位（冷啟動復位，如開機）與信號復位（熱啟動，如按鍵復位）。上電復位有電源建立及時鐘系統(tǒng)起振過程和電路狀態(tài)復位。信號復位是在MCU工作狀態(tài)下的復位，沒有電源建立及時鐘起振過程的時序要求。 應用系統(tǒng)中多個復位端的時序要求。當一個系統(tǒng)中，除單片機外，還有其他可編程外圍器件，如8155有復位要求時，系統(tǒng)中便出現(xiàn)了多個復位控制要求。解決系統(tǒng)中多個器件復位時序的原則是：保證MCU在系統(tǒng)中最后復位或MCU對外圍可編程器件的初始化，必須確保在該器件復位后進行。 程序設計中

6、的復位處理原則。·MCU上電后延遲片刻，確保外圍器件復位完畢，再對外圍器件初始化。·在確保MCU對有復位控制端口的外圍器件初始化是完全初始化操作時，可將外圍器件的復位端接成非復位狀態(tài)。(2) 器件工作時序器件工作時序是器件應用程序設計的基礎。程序設計中必須保證時序工作的正確性，而且要有足夠的余度。在考慮器件運行時序時，MCU的操作必須保證時序信號的銜接控制和時序信號的時序余度。(3) 狀態(tài)轉換時序在狀態(tài)轉換的程序設計中，應根據狀態(tài)轉換的時序特點，進行精心的時序控制設計。通常，MCU本身的狀態(tài)轉換，如復位、ID、PD方式的進入或退出，片內外圍集成電路單元的關斷與運行，都有自動

7、監(jiān)視、自動運行管理功能。程序設計只須按MCU數據手冊及指令系統(tǒng)的操作要求進行程序設計即可。對于有較長過度時間的外圍狀態(tài)轉換過程，可采取足夠的延時等待或設置提前轉換狀態(tài)的辦法。(3) 總線時序在單片機應用系統(tǒng)中，有并行總線與串行總線。串行總線中又有通信總線和擴展總線。這些總線在規(guī)劃化操作時，其時序由數據通信協(xié)議保證。在非規(guī)范運行，例如在虛擬總線方式下，其虛擬總線運行的可靠性在于時序的準確模擬。在并行總線中要保證讀、寫操作指令運行下的讀、寫時序；同步串行總線要保證時鐘線控制下的同步運行時序；串行異步時序則要考慮波特率對數據傳送的影響。2.3 足夠的容錯設計 (1) 超時管理的容錯設計在系統(tǒng)程序中,

8、除了專門設置的循環(huán)等待程序外,系統(tǒng)中的許多操作都是時間有界的。由于非正常激勵的入侵，導致任務操作無法結束，形成超時現(xiàn)象。解決措施：在程序設計中采用超時管理辦法，使程序從非正常激勵造成的“死機”中退出。(2) 超界管理的容錯設計系統(tǒng)中實際運行的參數都是有界的。系統(tǒng)運行中要考慮的超界管理參數有：物理參數。這些參數主要是系統(tǒng)的輸入參數，它包括激勵參數、采集處理中的運行參數和處理結束的結果參數。合理設定這些邊界，將超出邊界的參數都視為非正常激勵或非正常響應進行出錯處理。資源參數。這些參數主要是系統(tǒng)中的電路、器件、功能單元的資源，如存儲器容量、存儲單元長度、堆棧深度。在程序設計中，對資源參數不允許超界使

9、用。應用參數。這些應用參數常表現(xiàn)為一些器件、功能單元的應用條件。如E2PROM的擦寫次數與數據存儲時間等應用參數界限。過程參數。指系統(tǒng)運行中的有序變化的參數。(3) 有序化的容錯設計有序化是程序正常運行的重要標志,是程序設計人員賦予的。有序化的容錯設計是要保證在眾多的非正常激勵和出現(xiàn)非正常響應時，要最大限度地保證原來程序設計時給定的有序的正常程序操作。3 可靠性控制的軟件設計3.1 噪聲失敏控制技術 (1) 噪聲失敏與噪聲失敏率NTOUT =TLOP TOPTLOP噪聲失敏是利用CPU停止運行或關閉MCU外圍電路,使其對外界噪聲干擾失去響應的能力的可靠性控制技術。噪聲失敏率NTOUT 是在實際

10、系統(tǒng)中，采取噪聲控制后，系統(tǒng)或電路對噪聲失敏的時間概率，NTOUT可由下式估算：TLOP 為系統(tǒng)運行總時間，通常為系統(tǒng)開機時間。TOP為MCU中CPU的運行時間或電路系統(tǒng)的工作狀態(tài)時間。TLOPTOP為單片機CPU停止運行或外圍電路被關斷的時間。 (2) 噪聲失敏控制的軟件技術 按噪聲失敏設計最有效的程序結構。盡量減少應用程序中的循環(huán)等待；盡量集中安排任務和任務中的有效運行時間；及時關斷不在有效運行的電路單元。 MCU的休閑與掉電。通常，與CPU停止運行的低功耗方式主要有關斷CPU時鐘的休閑ID方式和關斷系統(tǒng)時鐘的掉電PD方式。 外圍電路關斷。外圍電路可通過電源供電的關斷控制。具有關斷功能的外

11、圍電路，可采取引腳控制關斷或編程控制的辦法，使之進入失敏狀態(tài)。3.2 程序失控的回復技術(1) 程序失控后的快速凍結與回復 WDT（Watch Dog Timer）的失控回復。如圖2所示。在程序失控后，程序跳逸出正常路徑，無法對WDT清零，致使WDT溢出，溢出端輸出信號使MCU復位。WDTMCU溢出端清除端RSTI/O圖2 WDT的失控回復 指令的失控恢復。如89C51中采用LJMP 0000H的軟件陷阱時，將輸入陷阱的失控程序強行跳轉到復位入口0000H處。(2) 失控回復后的處理 回復狀態(tài)檢測?；貜褪侵赋绦蚴Э睾笥洲D回到正常路徑的起點，即復位入口地址。程序失控回復后要進行回復狀態(tài)檢測，以判

12、斷是上電復位還是WDT復位或指令拉回。通常采用的檢測方法是利用上電標志。有些單片機內沒有上電標志，可利用上電復位時SRAM的隨機態(tài)與信號復位或程序拉回時，SRAM中數據不變的特點來判別。系統(tǒng)上電后，在SRAM區(qū)寫入特殊上電標志數據。待回復后先檢查上電標志是否存在，若存在即為WDT復位或指令拉回。 回復后的初始化處理。圖3是上電復位與程序失控回復初始化處理框圖。0000H是MCU的復位入口，程序啟動后，首先判斷是上電復位（冷啟動），還是程序失控回復（熱啟動）。上電復位是開機操作，要建立上電標志，并進行系統(tǒng)的完全初始化。程序失控回復應進行相關資源的檢查與修復，以防止運行出錯。另外根據系統(tǒng)的特點，需

13、要保留一些過程數據。不得進行完全初始化時，只進行部分初始化。復位入口檢查上電復位標志建立上電標志完全初始化系統(tǒng)檢查與修復部分初始化0000H冷啟動NY熱啟動圖3 程序啟動后的初始化處理3.3 安保、自檢與修復技術在高可靠性等級的單片機應用系統(tǒng)中，軟件設計中應有安保、自檢與自修復軟件。(1) 安保程序設計。安保設計要求有非正常響應時，對象的完全性保障和系統(tǒng)的可持續(xù)運行。為了能在系統(tǒng)出現(xiàn)非正常響應時，立即獲得安全保護，應設置關鍵部位的失控檢測，如I/O口輸出狀態(tài)實時檢測；機器人軌跡檢測等。從檢測到非正常響應后，應快速進入安保狀態(tài)設置，首先使系統(tǒng)進入安全態(tài)，然后保護系統(tǒng)的關鍵資源不受侵害，以保證系統(tǒng)

14、具有后續(xù)運行的操作的能力。(2) 實際系統(tǒng)中的自檢。在實際的單片機應用軟件中，應充分利用其智能化特點，設置各種自檢程序以提高其可靠性與安全性。通常，應用系統(tǒng)中的自檢程序有自診斷，失控后的回復檢查和程序關鍵處的查驗。程序自診斷通常是開機后對系統(tǒng)的例行檢查；失控回復后的檢查重點是數據區(qū)，I/O狀態(tài)，SFR狀態(tài)，外圍電路的狀態(tài)等。程序關鍵處的查驗有界限檢查、冗余性檢查與邏輯性檢查。3.4 系統(tǒng)的結構冗余輸入邏輯MCU比較器（A）信發(fā)器MCU比較器（B）輸出邏輯1機數據2機數據1機就緒2機就緒故障信號圖4 雙機容錯系統(tǒng)的獨立仲裁器由于系統(tǒng)結構的簡化，電路的集成趨勢，器件成本的下降，邏輯控制能力的提高，在關鍵部位可采取冗余的備份結構來提高系統(tǒng)的可靠性。圖4為實際應用中某監(jiān)控系統(tǒng)的具有獨立仲裁器的雙機冗余系統(tǒng)。仲裁器的輸入邏輯接收兩個系統(tǒng)的輸出數據與故障信息；輸出邏輯接收比較器A、B的比較結果和故障處理信號發(fā)生器的切換信號。仲裁器的故障判斷原理如下：對兩個同步工作系統(tǒng)輸出的數據進行比較，比較結果一致表明兩個系統(tǒng)均無故障；比較不同時，必有一個系統(tǒng)出現(xiàn)故障，然后強令兩個系統(tǒng)進入自檢程序，用預先設定的參數進行測試，并與預定結果比較，相符者為正常開機，不符者為故障機。若為暫時性故障，重新復位即可排除，若為永久性故障則輸出故障信號并進入單機運行。4 結束語可靠性是一個綜合性、經驗