燃烧器控制器安全性能的提升

软件的计时准确性关系着各个安全时间，所以EN298要求周期性的检测MCU时钟的准确性。

MCU时钟变慢了，会使第一安全时间、故障响应时间等拉长，造成燃气泄漏过量。

检测时钟的准确性需要有一个标准的时钟源。我们通常采用市电频率作为频率的标准源，如果我们软件采用到的市电频率和所在地区的市频率不符，则应立即关闭气阀切断燃气。

在测试时，我们可以使用振荡频率不同的晶振去替换原来的标准晶振，如果可以识别故障并进入安全状态，则说明我们的软件是具备处理时钟故障的功能的。

EN298要求我们的软件需要处理中断太频繁这一失效形式。因为中断太频繁时，MCU的时间大部分都用去响应中断了，使得别的任务的处理不及时，从而影响安全功能的响应。

例如我们做过的一次测试，利用水流传感器的频率信号作为中断事件，在不加入识别“中断太频繁”的功能前，我们在通过信号发生器不断地增大水流信号的频率，并测量第一安全时间。

在正常的水流频率范围（<500Hz)时，测得的第一安全时间非常接近我们的设定值-5秒。而当水流信号的频率增大到1000Hz时，第一安全时间变为了6秒；再把水流信号频率增大到5000Hz时，第一安全时间变为了15秒，大大长于我们的设定值，产生了较为严重的安全隐患。

我们在软件中通过盾门狗定时器进行“中断太频繁”识别后，当水流信号频率超过500Hz时，就不再响应这个中断源产生的中断，从而保证了安全代码能过正常执行。

EN298所引用的EN60730对RAM的失效形式定义为“cross link”，也就是说RAM中的任意两位都有可能粘连。

RAM中的数据粘连是很危险的。我们通过软件调试器使RAM中表示“风机状态”的位与表示“风压开关”的位连在一起，即风机状态为“开”时，无论外接的风压开关状态如何，软件识别到的风压开关状态都为“闭合”；风机状态为“关”时，无论外接的风压开关状态如何，软件识别到的风压开关状态都为“断开”。这样，外接的风压开关根本就起不到保护作用，具有很大的安全隐患。

我们采用了March C算法对RAM进行扫描检测，能100%识别出这种位粘连的失效，从而能在3秒内切断气阀，进入安全状态。