基于MCS－96單片機控制系統的程序失控防范

1　引言

單片機構成控制系統時，在滿足了各項控制功能后，為了使系統投入實用，必須提高其可靠性。但是，由于工業現場環境惡劣，常會受到電磁設備啟動、停止、電源波形畸變等因素的影響，各種干擾不可避免，若只靠避錯設計很難滿足要求，而且也很難確保這些硬件萬無一失，必須為系統配備容錯功能。所以，抗干擾設計、容錯設計（包括故障檢測與診斷技術）和功能設計成為單片機系統設計缺一不可的重要內容。

在工業現場，大多數情況下干擾不會造成單片機系統硬件的損壞，主要是對軟件運行造成不良影響。其主要特征是：指令碼或數字碼受干擾，使程序的執行出現錯誤。最典型的錯誤有：1）CPU的程序計數器PC的值發生跳變，使程序跑飛，轉去執行一個毫無意義或錯誤的程序段，使系統出現混亂或失控，嚴重時可能會造成設備損壞，甚至危及人身安全；2）輸出口被失控程序非法操作，使控制量發生波動或使系統出現“死機”；3）RAM區域受干擾，造成數據被沖毀，使系統出現運行不正常，輸出出錯。下面以MCS－96系列單片機所組成的實時控制系統為例，提出一些有效、實用的程序失控防范措施。

2　捕捉跑飛程序的方法

2．1　指令冗余

單片機最易受干擾的是內部程序計數器——PC的值。在受到強干擾時，PC的值被改變，改變后的值是隨機的不確定值。這可使CPU將程序從正確的位置跑飛到ROM中的任何一個地址，當PC值飛到用戶工作程序ROM區內時，可采用指令冗余的方法使程序走上正軌。具體方法是：1）在一些對程序流向起決定性作用的指令，如SJMP、 LJMP、LCALL、CALL等之前插入幾條NOP指令；2）在某些對系統工作至關重要的指令，如中斷、堆棧等之前插入幾條NOP指令；3）在程序中每隔若干條指令，插入一條NOP指令；4）在多字節指令前插入一條或兩條NOP指令。

由于單片機指令大多數為單字節指令，在一個程序中，其中斷和堆棧指令使用的次數也很有限，因此，采用這種方法增加存儲單元的數量不會太多。區，如EPROM中未被使用的空間或程序中的數據表格區時，常采用軟件陷阱的方法來使程序納入正軌。

所謂軟件陷阱，就是一條引導指令，利用這條指令強行將程序引向一個指定的地址，在指定的地址上有一個專門的出錯處理程序。假設該程序的入口標號為EPROM，則軟件陷阱由以下3條指令構成：
　　NOP
　　NOP
　　LJMP　　ERROR

該軟件陷阱除了安裝在未使用的用戶EPROM區外，還常常安置在未使用的中斷向量區、表格區的最后和程序的斷裂點后（斷裂點是指象LJMP、SJMP、RET等類指令）。

2．3　看門狗（WATCHDOGTIMER）

當跑飛的程序既沒有落入軟件陷阱，又沒有遇到冗余指令，而是在用戶程序之間或用戶根本未使用的地址空間內跳來跳去，自動形成一個死循環，解決這一問題的辦法是利用軟件啟動單片機的監視定時器，俗稱“看門狗”。當出現上述情況時，利用它來使系統復位。這種方法簡單、直觀，只需不超過64K狀態周期（16ms）的時間（用12M晶振時），計算機就可恢復正常。但此時，一定要通過軟件每隔一定時間（如15ms）使WATCHDOG TIMER復位一次。

3　無擾動重恢復

上述各項措施，只解決了如何發現系統被干擾和如何捕捉到失控的程序，這對于巡回檢測、顯示之類的普通單片機應用系統已經足夠了。但是，在一些關鍵的工業控制系統中，由于工作過程和生產工藝的邏輯性和順序性，當程序失控后，希望引導系統恢復執行剛才失控發生時的那個程序模塊，不希望，甚至不允許程序從入口處重新執行。更重要的是，失控程序往往會亂涂亂寫，不僅會破壞一些重要的信息，而且會對輸出口進行非法操作。在此情況下前述方法就顯得太不完整了。因此，如何恢復系統的重要信息，盡量無擾動地重新進入正常工作狀態，是一個必須解決的問題，同時也是一個比較難解決的問題。

3．1　利用軟件選擇啟動方式的方法

復位有兩種方式：即初始復位和再次復位。習慣上稱前者為“冷啟動”，后者為“熱啟動”。“冷啟動”時，系統的狀態全部無效，需進行徹底的初始化操作。而 “熱啟動”僅對系統的當前狀態進行修復和有選擇的初始化，從而使系統盡可能快的恢復正常。系統初次上電投入運行時，必須是“冷啟動”。運行過程中，由于抗干擾措施引起的復位，一般均為“熱啟動”。為了使系統能正確地決定采用何種啟動方式，往往由軟件用“上電標志”來區分。系統入口程序設計策略如圖3—1 所示。

為使“熱啟動”順利進行，首先要關中斷，重新設置堆棧，將所有的I／O口設置為安全狀態，封鎖I／O操作，以免事態擴大，然后進行信息的恢復和狀態的重入工作。

3．2　使受擾程序快速重入正常運行狀態的方法

系統軟件是由完成各種功能的程序組成的，因此可分成若干個功能模塊。為了能使程序快速重入系統的正常運行狀態，首先要將系統軟件編制成模塊化結構，并盡可能的將其細分為若干功能模塊，每個功能模塊在運行中需具有寫入和記錄功能，即設置RAM區的有效標志；記錄編號和首地址；記錄關鍵的又不可重新獲得的數據；模塊還應具有給運行監視系統發脈沖的功能等。為判斷程序是否跑飛，要求在每個功能模塊的結尾處將指定單元中保存的標志與本功能模塊預先設置的標志進行對比。若不同，則程序跑飛，然后將它恢復到指定單元中保存的標志所對應的功能模塊去重新執行；若相同，則運行正常。對于功能模塊中的程序跑飛，可根據具體情況對結果的合理性進行分析和判斷。若不合理，則返回重新執行；若合理，則進入下一個功能模塊。具有這種功能的程序流程圖如圖3—2所示。