有功能安全认证相关需求的客户越来越多，需要认证的产品越来越多，如下“SIL安全设计包NDA的需求趋势”及“SIL认证的典型产品”。

  

▲ SIL安全设计包NDA需求趋势

SIL认证的典型产品：

• 安全阀门、执行器
• 铁路用各类控制、防护等电子、电气产品
• 安全变送器、安全继电器等
• 安全光幕，安全开关等
• 控制器，包括伺服、PLC等
• 安全仪表系统
• 其他有安全要求的电子、电气、可编程电子产品
  ; I8 o2 e1 i5 h" H$ A& g

STM32生态有完备的功能安全设计包资源，可以简化、加快客户功能安全认证。

01功能安全简介

• 识别出潜在的，可能导致人身伤害或者物品毁坏事故发生的危险条件，情况或者事件
• 通过一些改善或者预防的措施，来降低或避免这些事故的影响
• 当失效出现时，系统能监测到并进入一个可知的安全状态
• 主动发现系统故障，降低风险（减少伤害发生的概率和严重性）
• 使系统始终处于“安全状态”
  

: t* M5 }0 c: S; G7 J
& O4 p+ w' W+ y8 A! A+ ?& p+ k* n" [

以滚筒洗衣机门锁控制逻辑举例：在正常工作时，需要按照预定功能正常处理，操作人员的安全能够得到保护；在异常时，如若未充分考虑功能安全，随着传感器数据错误或门锁控制单元故障或者主控本身的bug、硬件故障等的出现，则可能造成门锁在非安全状态下打开，进而带来伤害操作人员安全的风险；在异常时，如若充分考虑功能安全机制，对各部分异常能够主动发现并作出有效处理，则可以确保系统始终处于安全状态。

, o" E7 }  Y+ @* m+ c' i

功能安全和信息安全不同，但二者有重叠的部分，通过两个板块分别进行阐述

9 c7 c2 B2 L) c) v

4 ^& Q9 q2 g) ?  l+ K0 B

02功能安全标准
+ f$ \/ e- t; ?: w: j9 e& ]3 B: h' P
4 F( U" Q5 j: d) A2 @8 I

功能安全资源主要覆盖面向家电应用的IEC60730（CLASSB）认证相关标准及以IEC61508为基础的SIL认证相关标准。
, T$ x6 f& x! U; p" A

IEC61508是基础标准，又延展到了不同应用的细分标准。

03相关术语

一、故障、错误、失效

• 故障（Fault）是指可引起要素或相关项失效的异常情况，可以分为永久故障和非永久故障。
• 错误（Error）指计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。错误可由未预见的工作条件引起或由所考虑的系统、子系统或组件的内部故障引起。故障可表现为所考虑要素内的错误，该错误可最终导致失效。
• 失效（Failure）针对的是功能的丧失或者终止。
  

可以看出故障，错误和失效的大概关系是故障可引起错误，错误再导致失效。

二、风险

风险（Risk）评定的三个维度：严重度，暴露度，可控度。

$ i; @7 N& P3 y/ e3 h三、安全状态设备始终需要处于“安全状态”，有以下两种情况：

• 系统处于正常工作状态。
• 系统出现故障，再不能保证安全功能，所以关闭系统以降低存在的风险。从功能安全的角度，这是可以接受的。
  

# l0 s" m3 E/ T& S5 K, }7 C4 I& K四、随机硬件失效和系统失效

• 随机硬件失效：系统出现物理损坏（永久性的或瞬时的）造成原有功能失效。比如：芯片的寄存器，SRAM受EMI（电磁干扰）影响而失效。
• 系统失效：由于设计和开发时错误，使得系统的行为违背了设计的初衷。比如：工厂生产流程不合理，软件开发流程有漏洞导致有遗漏的bugs没解决。
  9 W9 V1 C* i- s

- ]& v- ^: |, T: s( t# p2 w% N9 n五、“软”错误

“软”错误不是软件错误，是发生在半导体和存储器件中可以恢复的瞬态错误。例SRAM里读出来的数据是错的，但对出错地址重新写值又工作正常。

7 H  q7 E! a2 s* \% ?