CN112099412B - 一种微控制单元的安全冗余架构 - Google Patents

Abstract

本发明涉及一种微控制单元的安全冗余架构至少包括分别与功能模块连接的第一MCU和第二MCU，以及分别与所述第一MCU和所述第二MCU连接的看门狗电路，在所述第一MCU异常而向所述看门狗电路发送第一异常信号的情况下，所述看门狗电路基于所述第一异常信号向所述第二MCU发送第二异常信号，并且所述第二MCU基于所述第二异常信号向功能模块发送至少一个第一控制信号。本发明通过看门狗监测第一MCU的工作状态，通过设计看门狗的工作原理来实现MCU的实时监测，并覆盖MCU的多种失效模式；监测设备的副MCU也可具有输出功能，在监测到MCU故障后，发出后级功能模块的关断信号，做到及时启动故障保护，从而提高了安全功能性能。

Description

一种微控制单元的安全冗余架构

技术领域

本发明涉及芯片安全技术领域，尤其涉及一种微控制单元的安全冗余架构。

背景技术

微控制单元(Microcontroller Unit,MCU)，又称单片微型计算机(Single ChipMicrocomputer)或者单片机，是把中央处理器(Central Process Unit；CPU)的频率与规格做适当缩减，并将内存(memory)、计数器(Timer)、USB、A/D转换、UART、PLC、DMA等周边接口，甚至LCD驱动电路都整合在单一芯片上，形成芯片级的计算机，为不同的应用场合做不同组合控制。诸如手机、PC外围、遥控器，至汽车电子、工业上的步进马达、机器手臂的控制等，都可见到MCU的身影。

在安全功能标准中微控制单元(MCU)不被认为是等效于经验证的元件，在应用中MCU需要进行冗余设计以得到更高的安全功能等级，并选用合适的指定结构。对于d级的安全等级，采用2类就可实现，在两次检查之间出现故障会导致系统安全功能的损失，MCU作为控制核心元件，在此期间出现故障会导致最大损失。

现有技术中，通常采用两种方式监测微控制单元的状态，一是第二MCU的状态通过串口通信监测MCU的状态；二是第一MCU使用一个I/O，作为状态指示给第二MCU轮询的方式。例如，中国发明(CN109324501A)公开了一种双MCU的电池管理系统，包括与锂电池组相连的BMS从控，与BMS从控通过CAN总线相连的主MCU和备用MCU。备用MCU与主MCU相连并监听主MCU的异常信号。优选地，主MCU向备用MCU发送生命信号。还包括与锂电池组相连的Zigbee模块，Zigbee模块分别与主MCU和备用MCU相连。当系统发生MCU或BMS从控、CAN总线其中单一故障时，可针对故障由备用MCU或Zigbee无线传输模块实现故障重构，当MCU和BMS从控或MCU和CAN总线共同发生故障时，备用MCU与Zigbee无线传输模块共同完成系统故障的重构。有效提升了BMS的稳定性与可靠性。但是，该专利采用主MCU给备用MCU发送生命信号，即采用第一MCU使用一个I/O轮询第二MCU，而如果在轮询之间发生故障会导致安全功能失效。通常I/O的物理失效模式有高电平、低电平和高阻态三种，而轮询备用MCU从而检测得到的模式也可能是高电平、低电平、高阻态，因此当失效模式与检测模式相同时，则检测失效，导致无法监测到故障。

发明内容

针对现有技术之不足，本发明提供一种微控制单元的安全冗余架构。对MCU的状态检测由一个周期的开始改为实时检测，出现故障可以立即被侦测到，减小故障响应时间。MCU的状态检测通过外部看门狗电路实现，而看门狗电路只有在MCU正常时其功能才能实现，具体如下：选用第一MCU的定时器I/O作为看门狗电路的输入控制，例如发出1KHz的方波。看门狗电路输出高电平给第二MCU。第一MCU出现故障时，第二MCU监测到看门狗电路信号变化后，产生控制信号关闭后级的功能模块。

优选地，一种微控制单元的安全冗余架构，至少包括与功能模块连接的第一MCU和第二MCU。所述安全冗余架构还包括分别与所述第一MCU和所述第二MCU连接的看门狗电路。在所述第一MCU异常而向所述看门狗电路发送第一异常信号的情况下，所述看门狗电路基于所述第一异常信号向所述第二MCU发送第二异常信号。所述第二MCU基于所述第二异常信号向功能模块发送至少一个第一控制信号。

根据一种优选实施方式，在所述看门狗电路的复位周期内所述第一MCU异常而未向所述看门狗电路发送喂狗信号的情况下，所述看门狗电路向所述第二MCU发送第三异常信号。所述第二MCU基于所述第三异常信号向所述功能模块发送至少一个第二控制信号。

根据一种优选实施方式，所述第二MCU在第一时间第一次接收到所述看门狗发送的第三异常信号且所述第二MCU在始于第一时间的第二时间内再一次接收到第三异常信号的情况下，所述第二MCU向所述功能模块发送第一控制信号。

根据一种优选实施方式，所述第二MCU在第一时间接收到第三异常信号，并在始于第一时间的第二时间内未接收到第二次第三异常信号的情况下，所述第二MCU配置为处于静默状态。

根据一种优选实施方式，所述看门狗电路在复位周期内未接收到信号的情况下，所述看门狗电路配置为向所述第一MCU反馈复位信号并进入下一计数周期。

根据一种优选实施方式，所述第二时间以保证所述看门狗周期给所述第一MCU反馈至少一次复位信号的方式设置为大于所述看门狗复位周期。

根据一种优选实施方式，所述安全冗余架构还包括第一信号通路。所述第一MCU通过所述第一信号通路向所述功能模块传递控制信号。所述第一控制信号和第二控制信号按照所述功能模块优先执行关断信号以保护功能模块的方式被设置为优先级高于所述第一信号通路传递的控制信号。

根据一种优选实施方式，所述第一信号通路上设置有阻断单元。所述阻断单元与所述第二MCU连接。所述第二MCU配置为基于所述第三异常信号向所述功能模块发送第二控制信号。所述第二MCU按照避免第一MCU向所述功能模块发送异常控制信号的方式向所述阻断单元发送阻断信号以阻断所述第一信号通路。

根据一种优选实施方式，所述功能模块配置为接收到所述第一控制信号后进入关机模式。所述功能模块配置为接收到所述第二控制信号后进入待机模式。

根据一种优选实施方式，所述第二MCU还连接有报警模块。当所述第二MCU接收到所述看门狗电路发送的第二异常信号的情况下，所述第二MCU配置为向所述报警模块发送报警信号。所述报警模块基于所述报警信号发出警报提示。

本发明的有益之处至少包括以下一项或几项：

第一，通过设置看门狗电路，第一MCU连接看门狗电路，用以检测主MCU的功能状态，看门狗电路与第二MCU模块相连接，第二MCU模块被配置为带有输出功能，能够检测看门狗电路的输出脉冲。能够在第一MCU出现故障时，通过第二MCU控制功能模块停止工作，避免第一MCU发送错误的控制信号导致功能模块执行错误的指令，而造成损失，提高了电路的可靠性。

第二，通过连接看门狗电路实时监测第一MCU的工作状态代替串口通信和I/O连接的监测模式，覆盖MCU程序紊乱和I/O物理层的高电平、低电平和高阻态失效等多种失效模式，提高了安全功能性能。

第三，通过看门狗电路第二时间的设置，使得当第一MCU出现程序跑飞并通过看门狗电路进行复位时，当复位不成功时再向所述第二MCU输出第二异常信号，从而使得当第一MCU出现程序跑飞并被快速复位时，第二MCU不会关闭功能模块造成工作过程的耽误，功能模块能够在第一MCU复位的时间内保持正常工作；而当第一MCU出现程序紊乱并且复位失败，第一MCU无法恢复正常工作状态时，第二MCU向功能模块发送第一控制信号，使得功能模块停止工作，得到保护。提高了微控制单元的容错性。

第四，第二MCU还连接有报警模块，报警模块能够根据第二MCU发送的第二异常信号产生警报提示，提示电路的故障情况。使得微控制单元能够自检而不需要工作人员再进行复杂的故障情况排查工作。

附图说明

图1是本发明的微控制单元的结构示意图。

附图标记列表

1：第一MCU 2：看门狗电路 3：第二MCU

4：功能模块 5：第一信号通路

具体实施方式

下面结合附图进行详细说明。

本发明涉及一种微控制单元的安全冗余架构，至少包括第一MCU 1、第二MCU 3和看门狗电路2。安全冗余架构被配置为设置第一MCU 1连续地向看门狗电路2发送脉冲信号，维持看门狗电路2的输出。第二MCU 3检测看门狗电路2的输出电平，同时产生后级功能模块4的控制信号。当所述第一MCU 1出现程序紊乱或者I/O物理层损坏时，无法输出设置的脉冲信号或者输出的脉冲信号的波形发生变化。优选地，可以通过振幅、频率、相位、周期、占空比等参数角度检测波形发生的变化。看门狗电路2输出产生变化；第二MCU 3检测到看门狗电路2的输出变化后发出控制信号，使得后级功能模块停止工作。第二MCU 3在监测到第一MCU故障时立即启动故障保护。第一MCU 1被配置为实时看门狗电路2发送脉冲信号，维持看门狗的输出。第一MCU 1出现故障可以立即被侦测到，减小故障响应时间。第一MCU的状态检测通过外部看门狗电路实现，例如选用第一MCU 1的定时器I/O作为看门狗电路2的输入控制，以1KHz的方波发出。看门狗电路2输出高电平给第二MCU 3。当第一MCU 1出现故障时，第二MCU 3监测到看门狗信号变化后，产生关断信号关闭后级的功能模块4。

根据一种优选地实施方式，第一MCU 1和第二MCU 3与功能模块4连接。看门狗电路2分别与第一MCU 1和第二MCU 3连接。当第一MCU 1出现I/O接口物理层失效时，第一MCU 1向看门狗电路2发送第一异常信号。看门狗电路2接收到第一异常信号，并基于第一异常信号向第二MCU 3发送第二异常信号。第二MCU 3接收到第二异常信号，向功能模块4发送至少一个第一控制信号。功能模块4接收到第一控制信号，进入关机状态。第一异常信号为第一MCU 1出现I/O接口异常时，产生的高电平、低电平或高阻态信号。

根据一种优选地实施方式，在第一MCU 1程序紊乱而在看门狗电路的喂狗周期内未向看门狗电路2发送喂狗信号及其他脉冲信号的情况下，看门狗电路2向第二MCU发送第三异常信号。第二MCU 3接收到第三异常信号，并基于第三异常信号向功能模块4发送至少一个第二控制信号。功能模块4接收到第二控制信号，进入待机状态，等待第一MCU 1发送的下一个控制信号，以保证在故障时保护后级功能模块。

根据一种优选地实施方式，第二MCU 3在第一时间接收到第一次第三异常信号，并且在从第一时间开始的第二时间内，第二MCU 3接收到第二次第三异常信号。在上述情况下，第二MCU 3在接收到第二次第三异常信号时向功能模块4发送至少一个第一控制信号。第二MCU 3在第一时间接收到第一次第三异常信号，并且在从第一时间开始的第二时间内，第二MCU 3未接收到第二次第三异常信号或第二异常信号的情况下，第二MCU 3不产生动作，即不向功能模块4发送第一控制信号。第二时间大于看门狗电路2的复位周期，以保证在第二时间以内，看门狗电路2至少向第一MCU反馈了一个复位信号。使得当第一MCU 3出现系统紊乱故障并且无法复位时，通过第二MCU 3控制功能模块进入关机模式，不再接收第一MCU 1发送的错误控制信号。能够保证在一个第二时间内，当看门狗电路2检测到第一MCU 1被复位而恢复正常工作的状态时，功能模块不会接收到第一控制信号或第二控制信号而导致工作进程被暂停。在第二时间内重新接收到第一MCU发送的正确控制信号时，需要重新启动功能模块而耽误工作进程。并且，能够有效避免第一MCU 1出现程序紊乱并且无法复位时向功能模块4发送错误的指令信息，损伤功能模块。

根据一种优选地实施方式，看门狗电路2在复位周期内未接收到信号的情况下，向第一MCU 1反馈复位信号。看门狗电路2反馈复位信号后计时清零进入下一计数周期。使得当第一MCU 1出现程序紊乱而无法向看门狗电路发送脉冲信号时，向第一MCU 1反馈复位信号，使得第一MCU 1程序重启。

根据一种优选地实施方式，该安全冗余架构还包括第一信号通路5。第一MCU 1通过第一信号通路5向功能模块4传递控制信号。第一控制信号和第二控制信号优先级高于第一信号通路传递的控制信号。当第一MCU 1异常，第一MCU 1通过第一信号通路5向功能模块4发送错误的指令信号，同时第二MCU 3向功能模块4发送第一控制信号或第二控制信号时，功能模块4优先响应第一控制信号或第二控制信号进入关机或待机状态，而不响应第一MCU1发送的错误指令信号，以达到保护功能模块4的作用。

根据一种优选地实施方式，第一信号通路5上设置有阻断单元。阻断单元与第二MCU 3连接。第二MCU 3基于第三异常信号首先向功能模块4发送第二控制信号，然后向阻断单元发送阻断信号。阻断单元接收到阻断信号，阻断第一信号通路5。从而阻断了第一MCU 1向功能模块4发送控制信号，使得当第一MCU 1处于程序紊乱时，产生的错误指令信息不会传递到功能模块4中。避免功能模块4执行错误的控制指令造成损失。

根据一种优选地实施方式，第二MCU 3还连接有报警模块。当第二MCU 3接收到看门狗电路2发送的第二异常信号的情况下，第二MCU向报警模块发送第一报警信号。报警模块接收到第一报警信号，发出第一警报，提示微控制单元I/O物理层失效。第一警报可以是发出声音或产生颜色变化。当第二MCU 3接收到看门狗电路2发送的第三异常信号的情况下，第二MCU 3向报警模块发送第二报警信号。报警模块接收到第二报警信号，发出第二警报，提示微控制单元第一MCU 1程序紊乱。第二警报可以是发出声音或产生颜色变化。以提示微控制单元的故障情况。使用者可以根据报警模块发送的第一报警提示和第二报警提示明确微控制单元的故障情况，而不需要再进行反复的故障排除工作。

根据一种优选地实施方式，看门狗电路2的复位周期被设置为较第一MCU 1的脉冲发送周期略大，能够在第一MCU 1出现问题时及时检测并快速向第二MCU 3发送脉冲信号，而不会导致错误的重启进程。

看门狗电路包括计数脉冲发生模块以及连接到计数脉冲发生模块的计数模块。计数脉冲发生模块的输入端连接到主MCU喂狗信号输出端。计数模块的输出端连接到主MCU复位信号输入端。计数脉发生模块的计时信号输出端连接到计数模块的计数信号输入端。计数脉冲发生模块产生的周期计数信号传输至计数模块。当达到计数模块设定步数后计数模块输出MCU复位信号至主MCU。计数脉冲发生模块的清零信号输出端连接到计数模块的清零信号输入端。当计数脉冲发生模块在设定周期内接收到喂狗信号，计数脉冲发生模块产生清零信号并传输至计数模块，计数模块接收并响应于该清零信号，计时清零，进入下一计数周期。当计数脉冲发生模块在设定周期内未接收到喂狗信号，计数脉冲发生模块不产生清零信号，计数模块计时持续。当计数时间溢出时，计数模块输出复位信号，复位第一MCU 1，并清零计数模块，计数模块进入下一计数周期。第一MCU 1功能混乱的情况可能是受到来自外界电磁场的干扰，造成各种寄存器和内存的数据混乱，会导致程序指针错误，不在程序区，取出错误的程序指令，程序的正常运行被打断，系统无法继续正常工作，导致整个系统的陷入停滞状态。第一MCU 1正常工作时，第一MCU 1喂狗信号输出端主动复位计数模块，如果在设定时间内第一MCU 1喂狗信号输出端输出清零信号，主动清零计数模块，则计数模块重新计时，不会输出第一MCU 1复位信号，确保在第一MCU 1在正常运作情况下产品不会自我复位。

根据一种优选地实施方式，第二MCU 3还可配置为分担第二MCU 3的一些功能。在第二副MCU 3中设置led灯控制的功能、lcd背光控制的功能、按键识别的功能、加密的功能、硬件版本号管理的功能以及红外接收解码的功能，从而来分担主芯片的功能。

在第二MCU 3中设置led灯控制的功能可通过led灯直接连到副MCU的引脚上控制，或通过矩阵扫描方式控制。该led灯直接连到第二MCU 3的引脚上，控制具体为：第一MCU 1程序要控制led灯时，第一MCU 1下发led灯的控制命令和控制数据给第二MCU 3。第二MCU 3根据接收到的控制命令和控制数据，将点亮或熄灭对应的led灯。在第二MCU 3中设置lcd背光控制的功能可采用模拟的PWM控制方式，或采用硬件的PWM控制方式。该采用模拟的PWM控制方式具体为：第一MCU 1程序要控制lcd背光的等级时，第一MCU 1下发lcd背光的控制命令和控制数据给第二MCU 3，第二MCU 3根据收到控制命令和控制数据，把lcd背光的控制数据写入到对应的PWM控制变量或寄存器中，第二MCU 3根据写入的控制数据输出PWM波形。

为了便于理解，阐述本发明的工作过程。

本发明通过看门狗电路2监测第一MCU 1的工作状态，通过设计看门狗的工作原理来实现第一MCU 1的实时监测，并覆盖第一MCU 1的多种失效模式。当第一MCU 1出现程序紊乱时，第一MCU 1不会向看门狗电路发送脉冲信号，此时看门狗信号在喂狗周期内未接收到喂狗信号，从而向第一MCU 1反馈一个喂狗信号，同时向第二MCU 3发送第三异常信号。第三MCU 3接收到第三异常信号。当第三MCU 3未被预设第二时间时，第二MCU 3接收到第三异常信号并基于第三异常信号向功能模块4发送第二控制信号。功能模块4接收并相应与第二控制信号。第二控制信号的优先级高于第一MCU 1通过第一信号通路5向功能模块发送的控制信号。功能模块4优先响应第二控制信号，进入待机状态。当第二MCU 3预设有第二时间时。从第二MCU 3接收到第一次第三异常信号的第一时间开始，当第二MCU 3预设的第二时间内未接收到第二次第三异常信号或第二异常信号时，第二MCU 3不向功能模块4发送第一控制信号或第二控制信号。功能模块4未接收到第一控制信号或第二控制信号，从而保持正常工作状态。预设的第二时间大于看门狗电路2的复位周期，因此在预设的第二时间内，看门狗电路2向第一MCU发送了至少一次复位信号。第二MCU 3在第二时间内未收到第二次第三异常信号或第二异常信号，第二MCU 3认为第一MCU 1复位成功，保持正常工作状态。此时第一MCU 1向功能模块发送正常的控制信号。功能模块接收正常控制信号，保持正常工作状态，因此不需要关断功能模块。保证了当第一MCU 1出现程序紊乱并且能够被快速复位时，功能模块不会停止工作状态，也不需要在第一MCU 1复位成功后浪费时间重新启动，节约工作时间。

从第二MCU 3接收到第一次第三异常信号的第一时间开始，当第二MCU 3预设的第二时间内接收到第二次第三异常信号时，第二MCU 3向功能模块4发送第一控制信号。预设的第二时间大于看门狗电路2的复位周期，因此在预设的第二时间内，看门狗电路2向第一MCU发送了至少一次复位信号。而第二MCU 3在预设的第二时间内接收到第二次第三异常信号，故而判定第一MCU 1复位失败，第一MCU 1无法被重新复位，从而向功能模块4发送第一控制信号。功能模块4接收并响应于第一控制信号进入关机状态，从而达成对功能模块的保护，提高了微控制单元的可靠性。

当第一信号通路5上设置有阻断单元时，当第一MCU 1出现程序紊乱或I/O物理失效时，第二MCU 3根据看门狗电路2输出的异常信号先产生功能模块4的控制信号，使得功能模块4处于停止工作状态。此时，第二MCU 3再向阻断单元发送阻断信号，阻断第一信号通路5上的信号传递。从而，第一MCU 1向功能模块4发送的错误控制信号将由于通路的阻断而无法发送到功能模块4。功能模块4将由于未接收到错误的控制信号而不会进入异常工作状态导致损失。

第二MCU 3还连接有报警模块，第二MCU 3根据接收到的看门狗电路2发送的第一异常信号向报警模块发送第一报警信号，报警模块根据第一报警信号产生第一警报，提示微控制单元I/O物理层失效。第二MCU 3根据接收到的看门狗电路2发送的第二异常信号向报警模块发送第二报警信号，报警模块根据第二报警信号产生第二警报，提示微控制单元第一MCU 1程序紊乱。

该第二MCU模块还可以被配置为具有一些辅助功能，通过通信模块与主MCU模块保持连接，分担主MCU模块的负担，保证电路的可靠性。

本发明说明书包含多项发明构思，申请人保留根据每项发明构思提出分案申请的权利。本发明说明书包含多项发明构思，诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思，申请人保留根据每项发明构思提出分案申请的权利。

需要注意的是，上述具体实施例是示例性的，本领域技术人员可以在本发明公开内容的启发下想出各种解决方案，而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白，本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。

Claims (1)

1.一种微控制单元的安全冗余架构，其特征在于，至少包括分别与功能模块(4)连接的第一MCU(1)和第二MCU(3)，以及分别与所述第一MCU(1)和所述第二MCU(3)连接的看门狗电路(2)，其中，

用第一MCU(1)的定时器I/O作为看门狗电路(2) 的输入控制，

在所述第一MCU(1)出现程序紊乱或所述I/O物理层损坏而无法输出设置的脉冲信号的情况下，或者

在所述第一MCU(1)出现程序紊乱或所述I/O物理层损坏而输出的脉冲信号的波形发生变化的情况下，

所述第二MCU(3)通过参数角度检测所述看门狗电路 (2)输出波形发生的变化而发出控制信号，从而使得所述功能模块(4)关闭，其中，

所述参数角度至少包括振幅、频率、相位、周期和占空比；

在所述第一MCU(1)异常而向所述看门狗电路(2)发送第一异常信号的情况下，所述看门狗电路(2)基于所述第一异常信号向所述第二MCU(3)发送第二异常信号，并且所述第二MCU(3)基于所述第二异常信号向功能模块(4)发送至少一个第一控制信号；

在所述看门狗电路(2)的喂狗周期内所述第一MCU(1)异常而未向所述看门狗电路(2)发送喂狗信号的情况下，所述看门狗电路(2)向所述第二MCU(3)发送第三异常信号，所述第二MCU(3)基于所述第三异常信号向所述功能模块(4)发送至少一个第二控制信号；

所述第二MCU(3)在第一时间第一次接收到所述看门狗电路(2)发送的第三异常信号且所述第二MCU(3)在始于第一时间的第二时间内再一次接收到第三异常信号的情况下，所述第二MCU(3)向所述功能模块(4)发送第一控制信号；

所述第二MCU(3)在第一时间接收到第三异常信号，并在始于第一时间的第二时间内未接收到第二次第三异常信号或第二异常信号的情况下，所述第二MCU(3)配置为处于静默状态；

所述看门狗电路(2)在复位周期内未接收到信号的情况下，所述看门狗电路(2)配置为向所述第一MCU(1)反馈复位信号并进入下一计数周期；

所述第二时间以保证所述看门狗周期给所述第一MCU(1)反馈至少一次复位信号的方式设置为大于所述看门狗电路(2)的复位周期；

所述安全冗余架构还包括第一信号通路(5)，所述第一MCU(1)通过所述第一信号通路(5)向所述功能模块传递控制信号，其中，所述第一控制信号和第二控制信号按照所述功能模块(4)优先执行关断信号以保护功能模块的方式被设置为优先级高于所述第一信号通路(5)传递的控制信号；

所述第一信号通路(5)上设置有阻断单元，所述阻断单元与所述第二MCU(3)连接，所述第二MCU(3)配置为基于所述第三异常信号向所述功能模块(4)发送第二控制信号，并且按照避免第一MCU(1)向所述功能模块(4)发送异常控制信号的方式向所述阻断单元发送阻断信号以阻断所述第一信号通路(5)；

所述功能模块(4)配置为接收到所述第一控制信号后进入关机模式；所述功能模块(4)配置为接收到所述第二控制信号后进入待机模式；

所述第二MCU(3)还连接有报警模块，当所述第二MCU(3)接收到所述看门狗电路(2)发送的第二异常信号的情况下，所述第二MCU(3)配置为向所述报警模块发送报警信号，所述报警模块基于所述报警信号发出警报提示。

Images