【導讀】人工智能（AI）和機器學習（ML）技(ji)術(shu)在(zai)自(zi)主(zhu)性(xing)日(ri)益(yi)增(zeng)強(qiang)的(de)係(xi)統(tong)中(zhong)的(de)應(ying)用(yong)越(yue)來(lai)越(yue)普(pu)遍(bian)

，這(zhe)將(jiang)提(ti)高(gao)各(ge)行(xing)各(ge)業(ye)對(dui)更(geng)智(zhi)能(neng)的(de)安(an)全(quan)係(xi)統(tong)的(de)要(yao)求(qiu)。關(guan)注(zhu)重(zhong)點(dian)已(yi)經(jing)從(cong)節(jie)約(yue)成(cheng)本(ben)轉(zhuan)向(xiang)給(gei)用(yong)戶(hu)帶(dai)來(lai)便(bian)利(li)性(xing)和(he)安(an)全(quan)性(xing)。這(zhe)需(xu)要(yao)一(yi)個(ge)完(wan)整(zheng)的(de)功(gong)能(neng)安(an)全(quan)（FuSa）層，其中包括安全協處理器與可信的輸入/輸出控製器，兩者協同工作來保護係統。單片機（MCU）為實現這些安全協處理器提供了低成本的解決方案，是當今新一代自主係統的核心。

人工智能（AI）和機器學習（ML）技(ji)術(shu)在(zai)自(zi)主(zhu)性(xing)日(ri)益(yi)增(zeng)強(qiang)的(de)係(xi)統(tong)中(zhong)的(de)應(ying)用(yong)越(yue)來(lai)越(yue)普(pu)遍(bian)，這(zhe)將(jiang)提(ti)高(gao)各(ge)行(xing)各(ge)業(ye)對(dui)更(geng)智(zhi)能(neng)的(de)安(an)全(quan)係(xi)統(tong)的(de)要(yao)求(qiu)。關(guan)注(zhu)重(zhong)點(dian)已(yi)經(jing)從(cong)節(jie)約(yue)成(cheng)本(ben)轉(zhuan)向(xiang)給(gei)用(yong)戶(hu)帶(dai)來(lai)便(bian)利(li)性(xing)和(he)安(an)全(quan)性(xing)。這(zhe)需(xu)要(yao)一(yi)個(ge)完(wan)整(zheng)的(de)功(gong)能(neng)安(an)全(quan)（FuSa）層，其中包括安全協處理器與可信的輸入/輸出控製器，兩者協同工作來保護係統。單片機（MCU）為實現這些安全協處理器提供了低成本的解決方案，是當今新一代自主係統的核心。

自主安全功能和規範

安全協處理器可以執行部署的ML模型
，這種模型用於接收視頻、音頻、環境和操作員數據等外部數據流，而在某些情況下，也可以同時接收所有這些數據流。這些數據流必須具有固有的可信度。

同樣重要的是，安全協處理器必須信任它們為電機、繼電器

、指示器和其他執行器產生的輸出狀態的真實再現。如果發生故障，主處理器也應該能夠依靠這些輸入/輸出（邊帶）控製器快速做出明智的決策。

使用MCU作為安全協處理器

在全麵的開發生態係統的支持下
，8位和32位MCU主要用於四大功能安全領域，業內為此製定了下列工業標準規範：

• ISO 26262：汽車安全完整性等級（ASIL），適用於汽車應用

• IEC 61508：安全完整性等級（SIL），適用於工業應用

• IEC 60730：家用電器功能安全標準

• IEC 60730：醫療設備功能安全標準

• 
  

圖1. 工業機器人正在焊接大型重物

kaifagongjushengtaixitongyoulianggezhongyaodehouduanyaoqiu。diyigeyaoqiushizaikaifaguochengzhongyijizaibianyichengjiqimaguochengzhongcaiyongwenjiandebianma。shiyonggongnenganquanbianyiqikemanzuciyaoqiu，zhexiebianyiqitongguoTÜV SÜD（一家國際認可的測試機構）等組織獲得ISO或IECgongnenganquanbiaozhunrenzheng。diergehouduangongnengshixiangxifenxizaiyigedianxingdeceshizhouqizhong
，naxiedaimabeizhixing

，naxiedaimabeiyilou。zhexuyaoyigedaimafugailvfenxichajian。

自主安全功能的工作原理

與外界的主要交互是通過硬件層實現的，首先需要支持FuSa的MCU（位於邊緣）提供的直接傳感器和執行器接口。請參見下麵的圖2。

圖2. 8位單片機的自主安全功能

主要功能包括：

欠壓檢測（BOD）

yongyoulixiangdianyuandegongzuohuanjingshifenshaojian。weiboluhejiguangdayinjihuidaozhidengguangshanshuo
，daxingdiandonggongjuhuichufaduanluqi。zizhuxitongbixutiqianyuzhiqidianyuanyaofashengguzhang，congerkeyiqiyongbeiyongdianyuan
，huozheshezhiguanjianshujuheshuchuzhuangtaiyiquebaoganjingdediaodian。

這些MCU中的BOD電路可以持續監視電源電壓，並以兩種特定方式對下降的電壓作出反應。首先，當電壓超過某個可選閾值時，電壓監視（VLM）功能將觸發中斷
，從而在超過實際BOD電壓閾值之前立即執行緊急關斷任務。超過BOD電dian壓ya後hou
，設she備bei將jiang保bao持chi在zai複fu位wei狀zhuang態tai，直zhi到dao消xiao除chu此ci條tiao件jian。同tong時shi，也ye可ke以yi確que定ding複fu位wei事shi件jian的de原yuan因yin，以yi確que保bao采cai取qu適shi當dang的de恢hui複fu策ce略lve，這zhe可ke能neng與yu第di一yi次ci的de上shang電dian周zhou期qi不bu同tong。

窗口化看門狗定時器

現代MCU使用看門狗定時器作為故障恢複機製，旨在終止無限循環（又稱“自旋鎖”）條(tiao)件(jian)，這(zhe)種(zhong)條(tiao)件(jian)除(chu)了(le)采(cai)取(qu)嚴(yan)厲(li)的(de)措(cuo)施(shi)外(wai)沒(mei)有(you)任(ren)何(he)解(jie)決(jue)方(fang)法(fa)。早(zao)期(qi)版(ban)本(ben)設(she)置(zhi)了(le)以(yi)秒(miao)或(huo)毫(hao)秒(miao)為(wei)單(dan)位(wei)的(de)超(chao)時(shi)閾(yu)值(zhi)，然(ran)後(hou)需(xu)要(yao)在(zai)達(da)到(dao)此(ci)閾(yu)值(zhi)之(zhi)前(qian)對(dui)運(yun)行(xing)代(dai)碼(ma)進(jin)行(xing)某(mou)種(zhong)類(lei)型(xing)的(de)“刺激”。確(que)認(ren)後(hou)
，超(chao)時(shi)閾(yu)值(zhi)重(zhong)置(zhi)
，倒(dao)計(ji)時(shi)重(zhong)新(xin)開(kai)始(shi)。懶(lan)惰(duo)的(de)程(cheng)序(xu)員(yuan)使(shi)用(yong)周(zhou)期(qi)性(xing)中(zhong)斷(duan)服(fu)務(wu)程(cheng)序(xu)來(lai)更(geng)新(xin)定(ding)時(shi)器(qi)，但(dan)是(shi)即(ji)使(shi)係(xi)統(tong)的(de)其(qi)他(ta)部(bu)分(fen)卡(ka)在(zai)某(mou)個(ge)無(wu)限(xian)循(xun)環(huan)中(zhong)，這(zhe)些(xie)程(cheng)序(xu)仍(reng)會(hui)自(zi)行(xing)繼(ji)續(xu)執(zhi)行(xing)，不(bu)會(hui)通(tong)過(guo)係(xi)統(tong)複(fu)位(wei)來(lai)解(jie)決(jue)這(zhe)種(zhong)情(qing)況(kuang)。

窗(chuang)口(kou)看(kan)門(men)狗(gou)定(ding)時(shi)器(qi)通(tong)過(guo)允(yun)許(xu)指(zhi)定(ding)看(kan)門(men)狗(gou)服(fu)務(wu)窗(chuang)口(kou)解(jie)決(jue)了(le)部(bu)分(fen)問(wen)題(ti)。這(zhe)樣(yang)一(yi)來(lai)，看(kan)門(men)狗(gou)定(ding)時(shi)器(qi)的(de)服(fu)務(wu)速(su)度(du)不(bu)能(neng)太(tai)慢(man)，也(ye)不(bu)能(neng)太(tai)快(kuai)。這(zhe)使(shi)得(de)依(yi)賴(lai)已(yi)知(zhi)執(zhi)行(xing)時(shi)間(jian)短(duan)於(yu)最(zui)大(da)閾(yu)值(zhi)的(de)代(dai)碼(ma)變(bian)得(de)更(geng)加(jia)困(kun)難(nan)。

循環冗餘校驗（CRC）代碼掃描

CRC代碼掃描外設可確保已編程代碼映像的完整性。它比單純的校驗和更加強大

，因為校驗和很容易被數學操作欺騙。可將特定的MCU硬件模塊配置為在程序存儲器的自舉程序部分、應用程序部分或整個閃存陣列上運行掃描。然後，外設會將其CRC結果與附加在指定代碼空間末尾的正確校驗和進行比較。如果這兩個16位數字匹配，則證明代碼空間未遭到修改。可將匹配失敗配置為產生不可屏蔽中斷，以進一步處理該問題。

實際輸入路徑通用輸入/輸出（GPIO）外設

在早期的MCU中，如果將GPIO引腳配置為輸出，驗證引腳電壓（即5V）與控製位值（即1）相匹配的惟一方法是使用配置為輸入的單獨GPIO引腳來讀取電壓。配置為輸出的GPIO引腳不能回讀實際電壓，而隻能回讀寫入的值；因此，“輸入”值始終保持一致。

實際輸入路徑GPIO單元可以提供到離散的內部輸入寄存器的獨立電氣路徑，從而反映引腳上設置的實際電平。雖然該電平隻能以邏輯1或邏輯0的(de)方(fang)式(shi)讀(du)取(qu)，但(dan)它(ta)仍(reng)可(ke)提(ti)供(gong)足(zu)夠(gou)的(de)反(fan)饋(kui)來(lai)驗(yan)證(zheng)寫(xie)入(ru)輸(shu)出(chu)控(kong)製(zhi)寄(ji)存(cun)器(qi)的(de)內(nei)容(rong)。這(zhe)兩(liang)個(ge)值(zhi)應(ying)始(shi)終(zhong)保(bao)持(chi)一(yi)致(zhi)。如(ru)果(guo)兩(liang)者(zhe)之(zhi)間(jian)存(cun)在(zai)差(cha)異(yi)
，則(ze)表(biao)明(ming)該(gai)特(te)定(ding)GPIO引腳上存在短路或開路情況，需要適當的處理。

具有這些功能的MCU可為完整的FuSa層奠定基礎。隨著基於AI/ML的自動化將關注重點從係統生產和維護成本節約轉向用戶體驗的安全性和便利性

，FuSa層的重要性將不斷提高。

（來源：Microchip.作者：資深技術顧問Bob Martin）

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

推薦閱讀：

為什麼測量精度對 EV 性能至關重要

拆分和仲裁雙向串行總線

生成與模擬電壓的平方根成反比的脈衝寬度

串聯連接的 MOSFET 可提高電壓和功率處理能力

電源管理麵臨五大趨勢，產業界都是如何應對？