用户手册|STM32G0 系列安全手册

引言

本文档描述如何在安全相关系统的背景下使用 STM32G0 Series 微控制器，并指定了为达到目标安全完整性等级，用户需承担的安装和操作责任。本手册适用于 STM32G0 Series 微控制器和 X-CUBE-STL 产品编号。

目录预览

1. 关于本文档

2.STM32G0 Series 微控制器开发过程

3. 参考安全架构

4.安全结果

5.证据列表

2.STM32G0 Series 微控制器开发过程

对于严格要求安全性的应用所使用的微电子器件，它们的开发过程考虑了适当的管理，以降低设计阶段引入系统故 障的可能性。

IEC 61508:2 附录 F（ASIC 技术和措施 - 避免系统故障）作为按照 IEC 61508 的要求定制微控制器标准设计和制造 商过程的指导原则。附录 F 中报告的核查表有助于收集给定实际过程的所有相关证据。

2.1STMicroelectronics 标准开发过程

STMicroelectronics（ST）服务于四个工业领域：

• 标准产品。

• 汽车产品：ST 汽车产品符合 AEC-Q100 标准。它们将接受特定的压力测试和处理指令，以达到要求的质量级别和产品稳定性。

• 汽车安全：汽车领域的一个子集。ST 以 ISO 26262 道路车辆功能安全标准为参考。ST 支持客户查询产品故障率和 FMEDA，为使硬件系统符合既定安全目标提供支持。ST 提供可安全应用于预定用途的产品，与客户一起分析任务资料，采用常用方法并为残余风险制定对策。

• 医用品：ST 遵守适用的医用品规范，并在产品的开发中严格执行这一标准。

STMicroelectronics 产品开发过程符合 ISO/TS 16949 标准，且这一标准专用于将客户说明和市场或工业领域要求转化为半导体器件及其所有相关元件（封装、模块、子系统、应用、硬件、软件和文档）的相关活动，符合ST内部程序并能使用 ST 内部或分包技术进行制造。

图 1 xxx 是对意法半导体产品开发过程的总结。

3.参考安全架构

本节提供 STM32G0 Series 安全架构的详细描述。

3.1安全架构简介

本文档中分析的 STM32G0 Series 微控制器可用作不同安全应用中的合规项。本节的目的是识别此类合规项，从而根据参考概念定义的相关假设定义分析背景。因此，此概念定义还包含参考安全要求作为已定义合规项之外的设计的假设。

因此，合规项方法的目的不是提供微控制器所属系统的详尽危险和风险分析，而是列出分析期间考虑的系统相关信息。此类信息包括危险因素的应用相关假设、故障频率和应用已保证的诊断覆盖率等。

3.2 合规项

本节包含与合规项的定义相关的所有信息，包括其在不同安全架构模式中的使用。

3.2.1 合规项的定义

根据 IEC 61508:1 第 8.2.12 款，合规项是按照 IEC 61508 系列条款声明的任何项目（例如元件）。在其开发结束时，其用户必须通过安全手册对其进行描述。

在本文档中，合规项被定义为包含一个或两个 STM32 微控制器（MCU）的系统（参见图 2）。通信总线直接或间接连接到传感器和执行器。

图2.合规项的定义

为保证 STM32G0 Series 的功能（外部存储器、时钟石英等）或其安全性（例如，外部看门狗、电压监控器），需 要其他可能与合规项有关的元件（例如，外部硬件元件）。

定义的合规项可按照 IEC61508-4 第 3.4.5 款分类为“元件”。

3.2.2 合规执行的安全功能

本质上，合规项架构可以描述为由执行安全功能或部分安全功能的以下过程组成：

• 输入处理元件（PEi）从连接到传感器的远程控制器读取安全相关数据，并将其传输至以下计算元件；

• 计算处理元件（PEc）执行安全功能所需的算法，并将结果传输至以下输出元件；

• 输出处理元件（PEo）将安全相关数据传输至连接到执行器的远程控制器；

• 对于 1oo2 架构，可能还存在投票处理元件（PEv）；

• 为了保证安全完整性，考虑合规项外部处理，例如看门狗（WDTe）和电压监控器（VMONe）。

在详述 CoU（安全机制的定义）的章节中阐明了 PEv 以及外部处理 WDTe 和 VMONe 的角色：

• WDTe：参见“独立看门狗”– VSUP_SM_2 和“应用软件中的控制流监控”– CPU_SM_1，

• VMONe：参见“电源电压监控”– VSUP_SM_1。总之，STM32G0 Series 微控制器为实现包含以下三项操作的终端用户安全功能提供支持：

• 从输入外设安全采集安全相关数据。

• 应用软件程序的安全执行和相关数据的安全计算。

• 结果或决策到输出外设的安全传输。

使用这三种基础操作完成合规项声明与安全指标计算。根据上文报告的已实现安全功能的定义，可将该合规项（即元件）视为 B 类（根据 IEC61508-2 第 7.4.4.1.2 款的定义）。尽管对 STM32G0 Series 执行了精确、彻底且详细的故障分析，还必须考虑该器件的内在复杂性，因此分类为 B 类是合适的。

因此，确定了两种主要的安全架构：1oo1（使用一个 MCU）和 1oo2（使用两个 MCU）。

3.2.3参考安全架构 - 1oo1

在 1oo1 参考架构（如下文图 3 所示）中，通过 STM32G0 Series 内部处理（已实现安全机制）和外部处理 WDTe与 VMONe 的组合来保证合规项的安全完整性。

1oo1 参考架构的目标是 SIL2。

图3.1oo1 参考架构

3.2.4参考安全架构 - 1oo2

1oo2 参考架构（如下文图 4 所示）包含两个独立通道，二者均以与 1oo1 参考架构相同的方式来实现。通过STM32G0 Series 内部处理（已实现安全机制）和外部处理 WDTe 与 VMONe 的组合来保证每个通道的安全完整性。

通过允许声明 HFT=1 的外部表决器 PEv 保证整个合规项的安全完整性。因此，可以达到 IEC61508-2 表 3 中规定的更高安全完整性等级。应在两个通道间实现适当隔离（包括电源隔离），以避免共因故障的巨大影响（参见第 4.2 节 从属故障分析）。无论如何，都需要进行 βD 计算。

1oo2 参考架构的目标是 SIL3。

图4.1oo2 参考架构

本文档描述如何在安全相关系统的背景下使用基于 Arm Cortex -M0+的 STM32G0 Series，并指定了为达到所需安全完整性等级，用户需承担的安装和操作责任。对于内置一个或多个 STM32G0 Series 微控制器的解决方案，系统设计者可使用本文档评估该解决方案的安全性。