【導讀】人工智能（AI）和機器學習（ML）技ji術shu在zai自zi主zhu性xing日ri益yi增zeng強qiang的de係xi統tong中zhong的de應ying用yong越yue來lai越yue普pu遍bian
，這zhe將jiang提ti高gao各ge行xing各ge業ye對dui更geng智zhi能neng的de安an全quan係xi統tong的de要yao求qiu。關guan注zhu重zhong點dian已yi經jing從cong節jie約yue成cheng本ben轉zhuan向xiang給gei用yong戶hu帶dai來lai便bian利li性xing和he安an全quan性xing。這zhe需xu要yao一yi個ge完wan整zheng的de功gong能neng安an全quan（FuSa）層，其中包括安全協處理器與可信的輸入/輸出控製器

，兩者協同工作來保護係統。單片機（MCU）為實現這些安全協處理器提供了低成本的解決方案，是當今新一代自主係統的核心。

人工智能（AI）和機器學習（ML）技ji術shu在zai自zi主zhu性xing日ri益yi增zeng強qiang的de係xi統tong中zhong的de應ying用yong越yue來lai越yue普pu遍bian
，這zhe將jiang提ti高gao各ge行xing各ge業ye對dui更geng智zhi能neng的de安an全quan係xi統tong的de要yao求qiu。關guan注zhu重zhong點dian已yi經jing從cong節jie約yue成cheng本ben轉zhuan向xiang給gei用yong戶hu帶dai來lai便bian利li性xing和he安an全quan性xing。這zhe需xu要yao一yi個ge完wan整zheng的de功gong能neng安an全quan（FuSa）層
，其中包括安全協處理器與可信的輸入/輸出控製器，兩者協同工作來保護係統。單片機（MCU）為實現這些安全協處理器提供了低成本的解決方案，是當今新一代自主係統的核心。

自主安全功能和規範

安全協處理器可以執行部署的ML模型，這種模型用於接收視頻、音頻、環境和操作員數據等外部數據流，而在某些情況下
，也可以同時接收所有這些數據流。這些數據流必須具有固有的可信度。

同樣重要的是，安全協處理器必須信任它們為電機、繼電器、指示器和其他執行器產生的輸出狀態的真實再現。如果發生故障，主處理器也應該能夠依靠這些輸入/輸出（邊帶）控製器快速做出明智的決策。

使用MCU作為安全協處理器

在全麵的開發生態係統的支持下
，8位和32位MCU主要用於四大功能安全領域，業內為此製定了下列工業標準規範：

• ISO 26262：汽車安全完整性等級（ASIL），適用於汽車應用

• IEC 61508：安全完整性等級（SIL），適用於工業應用

• IEC 60730：家用電器功能安全標準

• IEC 60730：醫療設備功能安全標準

• 
  

圖1. 工業機器人正在焊接大型重物

開(kai)發(fa)工(gong)具(ju)生(sheng)態(tai)係(xi)統(tong)有(you)兩(liang)個(ge)重(zhong)要(yao)的(de)後(hou)端(duan)要(yao)求(qiu)。第(di)一(yi)個(ge)要(yao)求(qiu)是(shi)在(zai)開(kai)發(fa)過(guo)程(cheng)中(zhong)以(yi)及(ji)在(zai)編(bian)譯(yi)成(cheng)機(ji)器(qi)碼(ma)過(guo)程(cheng)中(zhong)采(cai)用(yong)穩(wen)健(jian)的(de)編(bian)碼(ma)。使(shi)用(yong)功(gong)能(neng)安(an)全(quan)編(bian)譯(yi)器(qi)可(ke)滿(man)足(zu)此(ci)要(yao)求(qiu)，這(zhe)些(xie)編(bian)譯(yi)器(qi)通(tong)過(guo)TÜV SÜD（一家國際認可的測試機構）等組織獲得ISO或IEC功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)認(ren)證(zheng)。第(di)二(er)個(ge)後(hou)端(duan)功(gong)能(neng)是(shi)詳(xiang)細(xi)分(fen)析(xi)在(zai)一(yi)個(ge)典(dian)型(xing)的(de)測(ce)試(shi)周(zhou)期(qi)中(zhong)，哪(na)些(xie)代(dai)碼(ma)被(bei)執(zhi)行(xing)
，哪(na)些(xie)代(dai)碼(ma)被(bei)遺(yi)漏(lou)。這(zhe)需(xu)要(yao)一(yi)個(ge)代(dai)碼(ma)覆(fu)蓋(gai)率(lv)分(fen)析(xi)插(cha)件(jian)。

自主安全功能的工作原理

與外界的主要交互是通過硬件層實現的，首先需要支持FuSa的MCU（位於邊緣）提供的直接傳感器和執行器接口。請參見下麵的圖2。

圖2. 8位單片機的自主安全功能

主要功能包括：

欠壓檢測（BOD）

擁yong有you理li想xiang電dian源yuan的de工gong作zuo環huan境jing十shi分fen少shao見jian。微wei波bo爐lu和he激ji光guang打da印yin機ji會hui導dao致zhi燈deng光guang閃shan爍shuo
，大da型xing電dian動dong工gong具ju會hui觸chu發fa斷duan路lu器qi。自zi主zhu係xi統tong必bi須xu提ti前qian預yu知zhi其qi電dian源yuan要yao發fa生sheng故gu障zhang
，從cong而er可ke以yi啟qi用yong備bei用yong電dian源yuan，或huo者zhe設she置zhi關guan鍵jian數shu據ju和he輸shu出chu狀zhuang態tai以yi確que保bao幹gan淨jing的de掉diao電dian。

這些MCU中的BOD電路可以持續監視電源電壓，並以兩種特定方式對下降的電壓作出反應。首先，當電壓超過某個可選閾值時，電壓監視（VLM）功能將觸發中斷，從而在超過實際BOD電壓閾值之前立即執行緊急關斷任務。超過BOD電(dian)壓(ya)後(hou)
，設(she)備(bei)將(jiang)保(bao)持(chi)在(zai)複(fu)位(wei)狀(zhuang)態(tai)，直(zhi)到(dao)消(xiao)除(chu)此(ci)條(tiao)件(jian)。同(tong)時(shi)，也(ye)可(ke)以(yi)確(que)定(ding)複(fu)位(wei)事(shi)件(jian)的(de)原(yuan)因(yin)

，以(yi)確(que)保(bao)采(cai)取(qu)適(shi)當(dang)的(de)恢(hui)複(fu)策(ce)略(lve)，這(zhe)可(ke)能(neng)與(yu)第(di)一(yi)次(ci)的(de)上(shang)電(dian)周(zhou)期(qi)不(bu)同(tong)。

窗口化看門狗定時器

現代MCU使用看門狗定時器作為故障恢複機製，旨在終止無限循環（又稱“自旋鎖”）tiaojian，zhezhongtiaojianchulecaiquyanlidecuoshiwaimeiyourenhejiejuefangfa。zaoqibanbenshezhileyimiaohuohaomiaoweidanweidechaoshiyuzhi，ranhouxuyaozaidadaociyuzhizhiqianduiyunxingdaimajinxingmouzhongleixingde“刺激”。確que認ren後hou，超chao時shi閾yu值zhi重zhong置zhi，倒dao計ji時shi重zhong新xin開kai始shi。懶lan惰duo的de程cheng序xu員yuan使shi用yong周zhou期qi性xing中zhong斷duan服fu務wu程cheng序xu來lai更geng新xin定ding時shi器qi，但dan是shi即ji使shi係xi統tong的de其qi他ta部bu分fen卡ka在zai某mou個ge無wu限xian循xun環huan中zhong，這zhe些xie程cheng序xu仍reng會hui自zi行xing繼ji續xu執zhi行xing

，不bu會hui通tong過guo係xi統tong複fu位wei來lai解jie決jue這zhe種zhong情qing況kuang。

窗chuang口kou看kan門men狗gou定ding時shi器qi通tong過guo允yun許xu指zhi定ding看kan門men狗gou服fu務wu窗chuang口kou解jie決jue了le部bu分fen問wen題ti。這zhe樣yang一yi來lai，看kan門men狗gou定ding時shi器qi的de服fu務wu速su度du不bu能neng太tai慢man，也ye不bu能neng太tai快kuai。這zhe使shi得de依yi賴lai已yi知zhi執zhi行xing時shi間jian短duan於yu最zui大da閾yu值zhi的de代dai碼ma變bian得de更geng加jia困kun難nan。

循環冗餘校驗（CRC）代碼掃描

CRC代碼掃描外設可確保已編程代碼映像的完整性。它比單純的校驗和更加強大

，因為校驗和很容易被數學操作欺騙。可將特定的MCU硬件模塊配置為在程序存儲器的自舉程序部分、應用程序部分或整個閃存陣列上運行掃描。然後
，外設會將其CRC結果與附加在指定代碼空間末尾的正確校驗和進行比較。如果這兩個16位數字匹配
，則證明代碼空間未遭到修改。可將匹配失敗配置為產生不可屏蔽中斷
，以進一步處理該問題。

實際輸入路徑通用輸入/輸出（GPIO）外設

在早期的MCU中
，如果將GPIO引腳配置為輸出，驗證引腳電壓（即5V）與控製位值（即1）相匹配的惟一方法是使用配置為輸入的單獨GPIO引腳來讀取電壓。配置為輸出的GPIO引腳不能回讀實際電壓，而隻能回讀寫入的值；因此
，“輸入”值始終保持一致。

實際輸入路徑GPIO單元可以提供到離散的內部輸入寄存器的獨立電氣路徑，從而反映引腳上設置的實際電平。雖然該電平隻能以邏輯1或邏輯0的(de)方(fang)式(shi)讀(du)取(qu)
，但(dan)它(ta)仍(reng)可(ke)提(ti)供(gong)足(zu)夠(gou)的(de)反(fan)饋(kui)來(lai)驗(yan)證(zheng)寫(xie)入(ru)輸(shu)出(chu)控(kong)製(zhi)寄(ji)存(cun)器(qi)的(de)內(nei)容(rong)。這(zhe)兩(liang)個(ge)值(zhi)應(ying)始(shi)終(zhong)保(bao)持(chi)一(yi)致(zhi)。如(ru)果(guo)兩(liang)者(zhe)之(zhi)間(jian)存(cun)在(zai)差(cha)異(yi)，則(ze)表(biao)明(ming)該(gai)特(te)定(ding)GPIO引腳上存在短路或開路情況，需要適當的處理。

具有這些功能的MCU可為完整的FuSa層奠定基礎。隨著基於AI/ML的自動化將關注重點從係統生產和維護成本節約轉向用戶體驗的安全性和便利性，FuSa層的重要性將不斷提高。

（來源：Microchip.作者：資深技術顧問Bob Martin）

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

推薦閱讀：

為什麼測量精度對 EV 性能至關重要

拆分和仲裁雙向串行總線

生成與模擬電壓的平方根成反比的脈衝寬度

串聯連接的 MOSFET 可提高電壓和功率處理能力

電源管理麵臨五大趨勢，產業界都是如何應對
？