引言

本文檔描述如何在安全相關系統的背景下使用 STM32G0 Series 微控制器，并指定了為達到目標安全完整性等級，用戶需承擔的安裝和操作責任。本手冊適用于 STM32G0 Series 微控制器和 X-CUBE-STL 產品編號。

目錄預覽

1. 關于本文檔

2.STM32G0 Series 微控制器開發過程

3. 參考安全架構

4.安全結果

5.證據列表

2.STM32G0 Series 微控制器開發過程

對于嚴格要求安全性的應用所使用的微電子器件，它們的開發過程考慮了適當的管理，以降低設計階段引入系統故 障的可能性。

IEC 61508:2 附錄 F（ASIC 技術和措施 - 避免系統故障）作為按照 IEC 61508 的要求定制微控制器標準設計和制造 商過程的指導原則。附錄 F 中報告的核查表有助于收集給定實際過程的所有相關證據。

2.1STMicroelectronics 標準開發過程

STMicroelectronics（ST）服務于四個工業領域：

? 標準產品。

? 汽車產品：ST 汽車產品符合 AEC-Q100 標準。它們將接受特定的壓力測試和處理指令，以達到要求的質量級別和產品穩定性。

? 汽車安全：汽車領域的一個子集。ST 以 ISO 26262 道路車輛功能安全標準為參考。ST 支持客戶查詢產品故障率和 FMEDA，為使硬件系統符合既定安全目標提供支持。ST 提供可安全應用于預定用途的產品，與客戶一起分析任務資料，采用常用方法并為殘余風險制定對策。

? 醫用品：ST 遵守適用的醫用品規范，并在產品的開發中嚴格執行這一標準。

STMicroelectronics 產品開發過程符合 ISO/TS 16949 標準，且這一標準專用于將客戶說明和市場或工業領域要求轉化為半導體器件及其所有相關元件（封裝、模塊、子系統、應用、硬件、軟件和文檔）的相關活動，符合ST內部程序并能使用 ST 內部或分包技術進行制造。

圖 1 xxx 是對意法半導體產品開發過程的總結。

3.參考安全架構

本節提供 STM32G0 Series 安全架構的詳細描述。

3.1安全架構簡介

本文檔中分析的 STM32G0 Series 微控制器可用作不同安全應用中的合規項。本節的目的是識別此類合規項，從而根據參考概念定義的相關假設定義分析背景。因此，此概念定義還包含參考安全要求作為已定義合規項之外的設計的假設。

因此，合規項方法的目的不是提供微控制器所屬系統的詳盡危險和風險分析，而是列出分析期間考慮的系統相關信息。此類信息包括危險因素的應用相關假設、故障頻率和應用已保證的診斷覆蓋率等。

3.2 合規項

本節包含與合規項的定義相關的所有信息，包括其在不同安全架構模式中的使用。

3.2.1 合規項的定義

根據 IEC 61508:1 第 8.2.12 款，合規項是按照 IEC 61508 系列條款聲明的任何項目（例如元件）。在其開發結束時，其用戶必須通過安全手冊對其進行描述。

在本文檔中，合規項被定義為包含一個或兩個 STM32 微控制器（MCU）的系統（參見圖 2）。通信總線直接或間接連接到傳感器和執行器。

圖2.合規項的定義

為保證 STM32G0 Series 的功能（外部存儲器、時鐘石英等）或其安全性（例如，外部看門狗、電壓監控器），需 要其他可能與合規項有關的元件（例如，外部硬件元件）。

定義的合規項可按照 IEC61508-4 第 3.4.5 款分類為“元件”。

3.2.2 合規執行的安全功能

本質上，合規項架構可以描述為由執行安全功能或部分安全功能的以下過程組成：

? 輸入處理元件（PEi）從連接到傳感器的遠程控制器讀取安全相關數據，并將其傳輸至以下計算元件；

? 計算處理元件（PEc）執行安全功能所需的算法，并將結果傳輸至以下輸出元件；

? 輸出處理元件（PEo）將安全相關數據傳輸至連接到執行器的遠程控制器；

? 對于 1oo2 架構，可能還存在投票處理元件（PEv）；

? 為了保證安全完整性，考慮合規項外部處理，例如看門狗（WDTe）和電壓監控器（VMONe）。

在詳述 CoU（安全機制的定義）的章節中闡明了 PEv 以及外部處理 WDTe 和 VMONe 的角色：

? WDTe：參見“獨立看門狗”– VSUP_SM_2 和“應用軟件中的控制流監控”– CPU_SM_1，

? VMONe：參見“電源電壓監控”– VSUP_SM_1。總之，STM32G0 Series 微控制器為實現包含以下三項操作的終端用戶安全功能提供支持：

? 從輸入外設安全采集安全相關數據。

? 應用軟件程序的安全執行和相關數據的安全計算。

? 結果或決策到輸出外設的安全傳輸。

使用這三種基礎操作完成合規項聲明與安全指標計算。根據上文報告的已實現安全功能的定義，可將該合規項（即元件）視為 B 類（根據 IEC61508-2 第 7.4.4.1.2 款的定義）。盡管對 STM32G0 Series 執行了精確、徹底且詳細的故障分析，還必須考慮該器件的內在復雜性，因此分類為 B 類是合適的。

因此，確定了兩種主要的安全架構：1oo1（使用一個 MCU）和 1oo2（使用兩個 MCU）。

3.2.3參考安全架構 - 1oo1

在 1oo1 參考架構（如下文圖 3 所示）中，通過 STM32G0 Series 內部處理（已實現安全機制）和外部處理 WDTe與 VMONe 的組合來保證合規項的安全完整性。

1oo1 參考架構的目標是 SIL2。

圖3.1oo1 參考架構

3.2.4參考安全架構 - 1oo2

1oo2 參考架構（如下文圖 4 所示）包含兩個獨立通道，二者均以與 1oo1 參考架構相同的方式來實現。通過STM32G0 Series 內部處理（已實現安全機制）和外部處理 WDTe 與 VMONe 的組合來保證每個通道的安全完整性。

通過允許聲明 HFT=1 的外部表決器 PEv 保證整個合規項的安全完整性。因此，可以達到 IEC61508-2 表 3 中規定的更高安全完整性等級。應在兩個通道間實現適當隔離（包括電源隔離），以避免共因故障的巨大影響（參見第 4.2 節 從屬故障分析）。無論如何，都需要進行 βD 計算。

1oo2 參考架構的目標是 SIL3。

圖4.1oo2 參考架構

本文檔描述如何在安全相關系統的背景下使用基于 Arm Cortex -M0+的 STM32G0 Series，并指定了為達到所需安全完整性等級，用戶需承擔的安裝和操作責任。對于內置一個或多個 STM32G0 Series 微控制器的解決方案，系統設計者可使用本文檔評估該解決方案的安全性。由于文章篇幅有限，僅展示部分內容，完整文檔請點擊文末“閱讀原文”下載閱讀。

長按掃碼關注公眾號

更多資訊，盡在STM32

▽點擊“閱讀原文”，可下載原文檔