用戶手冊|STM32G0 系列安全手冊

引言

本文檔描述如何在安全相關(guān)系統(tǒng)的背景下使用 STM32G0 Series 微控制器，并指定了為達到目標(biāo)安全完整性等級，用戶需承擔(dān)的安裝和操作責(zé)任。本手冊適用于 STM32G0 Series 微控制器和 X-CUBE-STL 產(chǎn)品編號。

目錄預(yù)覽

1. 關(guān)于本文檔

2.STM32G0 Series 微控制器開發(fā)過程

3. 參考安全架構(gòu)

4.安全結(jié)果

5.證據(jù)列表

2.STM32G0 Series 微控制器開發(fā)過程

對于嚴(yán)格要求安全性的應(yīng)用所使用的微電子器件，它們的開發(fā)過程考慮了適當(dāng)?shù)墓芾?，以降低設(shè)計階段引入系統(tǒng)故 障的可能性。

IEC 61508:2 附錄 F（ASIC 技術(shù)和措施 - 避免系統(tǒng)故障）作為按照 IEC 61508 的要求定制微控制器標(biāo)準(zhǔn)設(shè)計和制造 商過程的指導(dǎo)原則。附錄 F 中報告的核查表有助于收集給定實際過程的所有相關(guān)證據(jù)。

2.1STMicroelectronics 標(biāo)準(zhǔn)開發(fā)過程

STMicroelectronics（ST）服務(wù)于四個工業(yè)領(lǐng)域：

? 標(biāo)準(zhǔn)產(chǎn)品。

? 汽車產(chǎn)品：ST 汽車產(chǎn)品符合 AEC-Q100 標(biāo)準(zhǔn)。它們將接受特定的壓力測試和處理指令，以達到要求的質(zhì)量級別和產(chǎn)品穩(wěn)定性。

? 汽車安全：汽車領(lǐng)域的一個子集。ST 以 ISO 26262 道路車輛功能安全標(biāo)準(zhǔn)為參考。ST 支持客戶查詢產(chǎn)品故障率和 FMEDA，為使硬件系統(tǒng)符合既定安全目標(biāo)提供支持。ST 提供可安全應(yīng)用于預(yù)定用途的產(chǎn)品，與客戶一起分析任務(wù)資料，采用常用方法并為殘余風(fēng)險制定對策。

? 醫(yī)用品：ST 遵守適用的醫(yī)用品規(guī)范，并在產(chǎn)品的開發(fā)中嚴(yán)格執(zhí)行這一標(biāo)準(zhǔn)。

STMicroelectronics 產(chǎn)品開發(fā)過程符合 ISO/TS 16949 標(biāo)準(zhǔn)，且這一標(biāo)準(zhǔn)專用于將客戶說明和市場或工業(yè)領(lǐng)域要求轉(zhuǎn)化為半導(dǎo)體器件及其所有相關(guān)元件（封裝、模塊、子系統(tǒng)、應(yīng)用、硬件、軟件和文檔）的相關(guān)活動，符合ST內(nèi)部程序并能使用 ST 內(nèi)部或分包技術(shù)進行制造。

圖 1 xxx 是對意法半導(dǎo)體產(chǎn)品開發(fā)過程的總結(jié)。

3.參考安全架構(gòu)

本節(jié)提供 STM32G0 Series 安全架構(gòu)的詳細描述。

3.1安全架構(gòu)簡介

本文檔中分析的 STM32G0 Series 微控制器可用作不同安全應(yīng)用中的合規(guī)項。本節(jié)的目的是識別此類合規(guī)項，從而根據(jù)參考概念定義的相關(guān)假設(shè)定義分析背景。因此，此概念定義還包含參考安全要求作為已定義合規(guī)項之外的設(shè)計的假設(shè)。

因此，合規(guī)項方法的目的不是提供微控制器所屬系統(tǒng)的詳盡危險和風(fēng)險分析，而是列出分析期間考慮的系統(tǒng)相關(guān)信息。此類信息包括危險因素的應(yīng)用相關(guān)假設(shè)、故障頻率和應(yīng)用已保證的診斷覆蓋率等。

3.2 合規(guī)項

本節(jié)包含與合規(guī)項的定義相關(guān)的所有信息，包括其在不同安全架構(gòu)模式中的使用。

3.2.1 合規(guī)項的定義

根據(jù) IEC 61508:1 第 8.2.12 款，合規(guī)項是按照 IEC 61508 系列條款聲明的任何項目（例如元件）。在其開發(fā)結(jié)束時，其用戶必須通過安全手冊對其進行描述。

在本文檔中，合規(guī)項被定義為包含一個或兩個 STM32 微控制器（MCU）的系統(tǒng)（參見圖 2）。通信總線直接或間接連接到傳感器和執(zhí)行器。

圖2.合規(guī)項的定義

為保證 STM32G0 Series 的功能（外部存儲器、時鐘石英等）或其安全性（例如，外部看門狗、電壓監(jiān)控器），需 要其他可能與合規(guī)項有關(guān)的元件（例如，外部硬件元件）。

定義的合規(guī)項可按照 IEC61508-4 第 3.4.5 款分類為“元件”。

3.2.2 合規(guī)執(zhí)行的安全功能

本質(zhì)上，合規(guī)項架構(gòu)可以描述為由執(zhí)行安全功能或部分安全功能的以下過程組成：

? 輸入處理元件（PEi）從連接到傳感器的遠程控制器讀取安全相關(guān)數(shù)據(jù)，并將其傳輸至以下計算元件；

? 計算處理元件（PEc）執(zhí)行安全功能所需的算法，并將結(jié)果傳輸至以下輸出元件；

? 輸出處理元件（PEo）將安全相關(guān)數(shù)據(jù)傳輸至連接到執(zhí)行器的遠程控制器；

? 對于 1oo2 架構(gòu)，可能還存在投票處理元件（PEv）；

? 為了保證安全完整性，考慮合規(guī)項外部處理，例如看門狗（WDTe）和電壓監(jiān)控器（VMONe）。

在詳述 CoU（安全機制的定義）的章節(jié)中闡明了 PEv 以及外部處理 WDTe 和 VMONe 的角色：

? WDTe：參見“獨立看門狗”– VSUP_SM_2 和“應(yīng)用軟件中的控制流監(jiān)控”– CPU_SM_1，

? VMONe：參見“電源電壓監(jiān)控”– VSUP_SM_1?？傊?，STM32G0 Series 微控制器為實現(xiàn)包含以下三項操作的終端用戶安全功能提供支持：

? 從輸入外設(shè)安全采集安全相關(guān)數(shù)據(jù)。

? 應(yīng)用軟件程序的安全執(zhí)行和相關(guān)數(shù)據(jù)的安全計算。

? 結(jié)果或決策到輸出外設(shè)的安全傳輸。

使用這三種基礎(chǔ)操作完成合規(guī)項聲明與安全指標(biāo)計算。根據(jù)上文報告的已實現(xiàn)安全功能的定義，可將該合規(guī)項（即元件）視為 B 類（根據(jù) IEC61508-2 第 7.4.4.1.2 款的定義）。盡管對 STM32G0 Series 執(zhí)行了精確、徹底且詳細的故障分析，還必須考慮該器件的內(nèi)在復(fù)雜性，因此分類為 B 類是合適的。

因此，確定了兩種主要的安全架構(gòu)：1oo1（使用一個 MCU）和 1oo2（使用兩個 MCU）。

3.2.3參考安全架構(gòu) - 1oo1

在 1oo1 參考架構(gòu)（如下文圖 3 所示）中，通過 STM32G0 Series 內(nèi)部處理（已實現(xiàn)安全機制）和外部處理 WDTe與 VMONe 的組合來保證合規(guī)項的安全完整性。

1oo1 參考架構(gòu)的目標(biāo)是 SIL2。

圖3.1oo1 參考架構(gòu)

3.2.4參考安全架構(gòu) - 1oo2

1oo2 參考架構(gòu)（如下文圖 4 所示）包含兩個獨立通道，二者均以與 1oo1 參考架構(gòu)相同的方式來實現(xiàn)。通過STM32G0 Series 內(nèi)部處理（已實現(xiàn)安全機制）和外部處理 WDTe 與 VMONe 的組合來保證每個通道的安全完整性。

通過允許聲明 HFT=1 的外部表決器 PEv 保證整個合規(guī)項的安全完整性。因此，可以達到 IEC61508-2 表 3 中規(guī)定的更高安全完整性等級。應(yīng)在兩個通道間實現(xiàn)適當(dāng)隔離（包括電源隔離），以避免共因故障的巨大影響（參見第 4.2 節(jié) 從屬故障分析）。無論如何，都需要進行 βD 計算。

1oo2 參考架構(gòu)的目標(biāo)是 SIL3。

圖4.1oo2 參考架構(gòu)

本文檔描述如何在安全相關(guān)系統(tǒng)的背景下使用基于 Arm Cortex -M0+的 STM32G0 Series，并指定了為達到所需安全完整性等級，用戶需承擔(dān)的安裝和操作責(zé)任。對于內(nèi)置一個或多個 STM32G0 Series 微控制器的解決方案，系統(tǒng)設(shè)計者可使用本文檔評估該解決方案的安全性。由于文章篇幅有限，僅展示部分內(nèi)容，完整文檔請點擊文末“閱讀原文”下載閱讀。

長按掃碼關(guān)注公眾號

更多資訊，盡在STM32

▽點擊“閱讀原文”，可下載原文檔