STM32生态系统第六期——STM32/STM8功能安全概览（二）

[复制链接]

STMCU-管管发布时间：2019-12-30 13:14

文章
文章封面:	-
文章简介:	-

STM32 SIL功能安全设计包

（1）安全文档

STM32 SIL功能安全设计包的安全文档，有两大类：一类是前面提到过的安全手册，里面详细列出了在硬件层面，软件层面和应用层面可以采取的安全机制，来指导STM32用户设计出达到符合IEC61508标准的安全完整性等级的产品。每个STM32系列对应一份独立的安全手册，可以从ST官网（www.st.com/x-cube-stl）免费下载。

还有一类安全文档，包括FMEA和FMEDA。这两个文档是需要用户签NDA后才能拿到的。FMEA里列出了MCU失效模式和相关可以采取的检测方法。FMEDA里列出整个MCU和各个基本功能模块的失效率数据，它里面提供的失效数据与具体MCU的型号对应。在FMEDA文档中列出了适用的MCU型号，以及计算的条件假设。

（2）X-CUBE-STL自检库

SIL功能安全设计包中的X-CUBE-STL自检库，检测了STM32内核的关键安全部件（CPU+SRAM+Flash）的随机硬件失效。该部分检测与应用无关，可以用在任何终端用户应用中。这里再强调一下，自检库只是产品获得认证最终需要实现的全部安全机制的子集，客户还需要根据实际情况，参考安全手册的说明自行开发其他部分的代码。并且该自检库是通过库文件形式提供，独立于编译器，这意味着你可以选择你想要的编译环境。

（3）SIL2/SIL3安全级别

X-CUBE-STL符合IEC61508 SIL3 标准，所声称达到的诊断覆盖率都经过了ST独有的故障注入机制验证，并已经取得TÜV 莱茵认证，证书随自检库的压缩包提供。随自检库一起还提供了STL安全手册和用户指南，给用户提供在具体应用中使用该STL库的说明。该X-CUBE-STL 自检库也需要签NDA才能获得。

使用X-CUBE-STL 自检库，单个STM32最高可以满足SIL2的要求，要达到SIL3系统必须是两颗STM32的1OO2架构，保证当一颗MCU出现故障后，系统还可以正常工作。

除了最新推出的STM32L5, STM32WB和STM32MP1以外，其他的STM32系列基本都可以提供对应的安全文档（安全手册，FMEA,FMEDA）。X-CUBE-STL库现在已经支持五个STM32系列的MCU：F0,F3,F4,L4,G0。后续我们会陆续推出其他系列的X-CUBE-STL库并不断完善相关文档。

（4）以STM32F0为例

前面我们多次提到安全手册，FMEA等文档。这里以STM32F0为例，再为大家梳理一下STM32 SIL功能安全设计包中包含的五种文档：

- STM32F0系列安全手册，描述了如何在安全相关系统的背景下使用STM32F0系列微控制器，并说明了为达到目标安全完整性等级，可以实施的安全机制，以及如何去符合其他的安全标准的说明

- STM32F0自检库安全手册，包含了用户在安全相关系统里使用STL自检库的相关说明

- STM32F0自检库用户手册，介绍X-CUBE-STL-F0自检库的结构及API使用等

- FMEA，提供针对STM32F0系列的失效模式与影响分析

- FMEDA，提供对具体MCU型号进行的，在已经实施给定安全机制的条件下得到的失效率数据

这五个文档除了第一个STM32F0系列安全手册以外，其他的都需要联系MCU市场人员申请。

STM8A-SafeASIL功能安全设计包

（1）总体说明

对于ISO26262标准，我们有STM8A-SafeASIL功能安全设计包，为使用STM8AF系列MCU进行开发的客户提供了支持，可以降低项目开发的成本和减少开发时间。现在STM8A-SafeASIL功能安全设计包中主要提供的是安全文档，通过该文档可以指导客户进行安全相关代码的开发。在明年3月左右，ST会推出更加详细的自检库实现规范，可以联系MCU市场人员申请。

（2）安全文档

STM8A-SafeASIL 安全文档也包括安全手册和FMEA,FMEDA报告。与STM32的安全手册一样，其中详细列出了在硬件层面，软件层面和应用层面可以采取的安全机制，支持使用 STM8AF的应用最高可以达到ISO 26262标准ASIL B等级的功能安全要求。FMEA对STM8AF的失效模式进行了分析，FMEDA中列出了在实施一定的安全检测措施的条件下，具体某个MCU型号的失效率数据。

同样安全手册可以从官网免费下载，而FMEA和FMEDA需要联系MCU市场人员申请。