静电放电固件和软件设计原则

分享到:
点击量: 255326

  看到这个题目后,许多读者会吃惊,在对付静电放电方面,除了众所周知的硬件方法以外,固件和软件也起着重要的作用。

  虽然固件设计不能防止系统中器件的损坏,,但是能够有效地避免一些非**性的损坏。通过适当写入的固件,不可恢复的设备故障(死锁)通常可以避免,可恢复的故障也可以减少10倍。

  如同硬件上的静电放电措施一样,抗静电放电的固件也是有代价的。通常,程序会更大一些,这意味着需要更长的编程时间和存储单元。权衡得失时,要将这种代价与单纯依靠硬件解决静电放电问题时的成本做对比。在许多微处理器的应用中,固件措施的成本要比硬件低。

  在编写静电放电抗扰性强的固件时一定要树立的的一个观念是“不确定性”。也就是,一定不能认为端口、寄存器等的状态是一定的。例如,当使用一个索引寄存器时,应该问一下,如果这个索引发生错误时,会发生什么问题。如果仅是仅发生一些暂时的或无关紧要的问题,如发光二极管闪烁,则不需要什么特殊的处理。如果会发生很严重的问题,例如系统发生死锁,则必须采取措施来避免问题的发生。

  固件(软件)静电放电措施可以分为两类:

  * 刷新

  * 检验和重新写入

  下面从概念上讨论每种措施,并给出一些例子。由于不可能预见到所有的特殊情况,要使固件能够抵抗静电放电,设计人员必须对整个系统有一个**的了解。虽然下面的讨论主要针对固件,但是其中的许多概念对于软件设计也是适用的。

  刷新:

  进行刷新时,程序员不关心过去的情况,而仅是用确定的数据来保证今后的状态。例如,在从8409的端口读取数据时,一定要先向端口写入数据。即使这个端口从上次更新以后一直没有改写,也要进行这个步骤。绝不要认为端口上还保留着上次写入的数据。刷新时需要考虑的其它因素包括:

  A) 按照一定的时间间隔打开中断使能端(在8049中是RETR,在8051中是RETI)

  B) 当端口用于串行数据输出时,刷新停止位的电平。

  C) 刷新锁存器和端口输出状态。

  D) 定期读取控制和选择输入,保证系统工作在适当状态。

  E) 对于8049和8051处理器,每个程序环路中至少有一条寄存器选择指令。

  在进行刷新时,另一个需要考虑的因素是刷新的顺序。有时,刷新的顺序十分重要。例如,在同步输入/输出中,数据线一定要在时钟线之前刷新。否则,经过刷新的时钟会使数据位丢失。如前所述,一定要考虑在错误条件下每条指令的顺序。

  检验和复位:

  有时,单纯刷新还是不够的。在有些情况下,刷新甚至会掩盖一些严重的问题。在这些情况下,寄存器、端口等需要通过检验来确认其状态。如果状态不对,程序应该试图对其进行更正。

  进行复位(或初始化)时一定要非常谨慎。虽然系统的状态可能有疑问,但是将系统彻底初始化并不是一个好方法。这会丢失所有过去的数据。应该遵守的原则是,使系统处于*可能的状态,而这个状态应该使问题的危害*小。如果有些关键的项目没有*可能的状态,则应该将其状态保留起来。这便于以后采用投票的方式来确定当前状态。通常,“3取2”的投票方式就可以了。

  检验函数通常可以分为3类。特别要做以下检验,如果发现错误,需要初始化。

  A) 检验程序流是否正确:

  1) 在主程序中,在子程序返回前,要定期检验子程序堆栈指针,以确认子程序在预定的范围内运行。

  2)如果不检查堆栈指针(或在检查堆栈指针的基础上),可以使用“标牌”来帮助发现程序运行中的问题。当进入一个子程序时,保存标牌,当离开子程序时,检查这个标牌。

  3)在禁用区域中安排“陷阱”码,例如编码表或无用的中断矢量。当程序要执行这些码时,就被抓住(例如在未使用的表格中安排返回指令)。

  为了检查程序流是否正常,在程序中还应该包含以下两个子程序:

  4) 为了确认主程序运行正常,应该有一个永远不会停止和失效的计时程序。

  5)主程序应定时检查上面的定时程序,确认其是否运行正常(如果微处理器没有内置的计时器,可以使用外置的硬件“看门狗”电路。当处理器没有按时将计时器复位时,外置电路会将处理器复位)。

  B) 检验存储的数据和信息是否正确

  1)定期对保留的项目进行表决,如果没有一致性,进行初始化。特别,状态标志(特别是使能标志)要保留有备份。除了备份以外,还可以使用纠错码。

  2) 对于索引和其它一些十分重要的寄存器,在使用其所存储的数据之前,要对其数值或范围先进行检查。

  3) 如果关键数据很多而不适合备份,或者无法检验所有信息时,可以用检验和或周期性冗余检验(CRC)来对数据块检验。

  C) 对输入和输出进行检验

  1) 利用各种方法,如奇偶校验、检验和等,对输入进行检验

  2) 确认输入数据的合理性,有些数据可能有明显的错误。

  3) 对所有输入级电平至少取样两次以实现对噪声的“软件滤波”

  4) 通过使接收机响应输出级来进行校验输出端

  5) 接收装置应能识别所有有效的输入信号,如果接收装置不能识别,那么发送装置应具有再传输能力。

  如果以上措施均不能正确检查,则要求能自动恢复。当然,这种恢复能力通常不能与加电(或硬件)复位过程中的初始化程序不同,RAM不应**掉。实际上,由于静电放电(ESD)而使错误程序反向复位时,执行硬件初始化程序不应妨碍处理器的工作。这通常可以通过检查执行硬件复位程序的标志寄存器的优先级来完成。如果已经设定标志,则应避免完全复位。当主程序执行时,此标将被重新设定,一般仅被处理器的实际硬件复位所**。特别地,通常应按以下步骤来完成复位:

  1、复位子程序堆栈指针。

  2、复位FIFO指针。

  3、复位计数器

  4、阻止可疑码的传输。

  5、在复位完成时才允许中断,然后再重新启动计数器。

  6、复位中断不确定的标志

  7、刷新输出。

  8、如果主机系统接受复位,*好使其发磅一代码以通知复位已完成。那么,主机就可以采取措施来确保系统的

  所有部分都谐调一致地工作。

  9、当然,复位程序必须**引起复位动作的具体问题。

  上述大部分讨论假定系统正处于执行程序的状态中(尽管不一定正确),`如果程序包括表格,处理器可能会尽力去执行这些单元值并将其作为指令。从理论上讲,内存单元值可能会引起看门狗计数器停止计数,从而使处理器进入死循环。对于这种情况,可将逻辑分析仪接到地址总线,这样有可能找到问题的症结所在。循环期间的一个内存单元值应由一个返回指令来代替。这一般会使处理器跳出循环,于是程序可能会发生变化,因此,被替换的单元值便经过特殊方式进行了处理。(如果有可能的话,空闲的内存单元地址应用于控制这个返回操作码。实际上,如前处述,将返回码填满所有空闲地址是极有可能的。)当然,这个逻辑分析仪也能够发现程序其他部分的死循环。然而,如利用带有伪程序的单片微处理器来进行设计,那么地址总线将变得无效。这种情况下,在调试后,程序可以在仿真系统中具有“静电放电加固”的性质。一旦程序被调试好且运行正常的话,它就可随意改变寄存器的值以模拟静电放电效果。

  程序计数器是很关键的,应被设置成随意值。而且,子程序堆栈指针应设置成变量值。通过在仿真过程中作这些变化且不影响结果,许多潜在的问题都可以得以发现。这种方法并不总是有效的,但带有特殊问题的系统是不允许的。应用这些原理,与固件相关的静电放电问题相对来说会很少的。