STM32 MCU内置的一些主要硬件安全属性

发布时间:2023-01-12  

对于功能安全,ST MCU从芯片内置的硬件安全属性,经过认证的软件自检库和完备的安全文档三个层面来支持STM32用户在系统级进行开发,达到要求的功能安全等级。

下表中列出了STM32MCU内置的一些主要硬件安全属性。下面我们一起来看看这些属性在功能安全中的用处。

双看门狗:独立看门狗和窗口看门狗

看门狗是我们常用到的针对CPU运行状态监测的手段之一。它本质上就是一个定时器,启动之后,需要不断的去刷新(我们通常把这个动作叫做“喂狗”),否则当看门狗的定时器减到规定的值后,就会引起系统复位。我们可以利用它来检测程序是否跑飞,并通过芯片复位,来让系统恢复到正常状态。

STM32 MCU提供两个看门狗,独立看门狗和窗口看门狗。

从独立看门狗的名字可以看出,它的特点是拥有独立于系统时钟的时钟。独立看门狗使用LSI时钟,这样使得它与系统时钟分离开,即使系统时钟出现故障,独立看门狗也能正常工作。 独立看门狗还支持“硬件看门狗”功能,通过选项字使能该功能后,MCU只要一上电,就会启动运行,开启对系统的保护。

窗口看门狗使用的是系统时钟,它的特点是必须在一个窗口时间内完成“喂狗”的动作,否则就会引起系统复位,所以窗口看门狗对“喂狗”的要求更精确了。

窗口看门狗还有一个EWI(early wakeup interrupt)的功能, 这个功能使能后,可以在窗口看门狗引起系统复位之前,先产生一个EWI中断,在这个中断里,给了系统软件一个机会去完成一些必要的安全动作或者数据保存的工作。

部分MCU系列的窗口看门狗也支持“硬件看门狗”的功能。

独立看门狗和窗口看门狗都支持在调试模式下“冻结”计数,以及在低功耗模式下继续工作的功能。

看门狗可以用在内核检测,时钟检测和电源检测中。

电源监测

关于电源检测,STM32MCU的可编程电压监测(PVD),模拟电压监测(AVD)和电池电压监测等功能可以用来检测VDD,VDDA和电池电压是否在正常的电压范围内。

时钟安全系统CSS

关于时钟的检测,MCU内部的时钟安全系统(CSS)可以用来检测外部高速时钟(HSE)和外部低速时钟(LSE)是否丢失。

当检测到HSE时钟丢失后,CSS可以触发定时器的“刹车”功能和系统中断,并自动切换到内部高速时钟,软件可以根据这些触发的事件,制定相应的保护措施。

LSE是RTC的时钟源,当检测到LSE丢失后,RTC不能再使用LSE时钟源,并产生CSS中断,在中断中需要将RTC切换到其他时钟源。

CSS只能检测时钟是否丢失。对于时钟存在但发生偏移的情况,可以通过下图所示的时钟交叉测试来进行检测。

该测试利用了MCU的TIMER模块的输入捕获功能,LSI时钟内部连接到TIMER的一个输入捕获通道,当分别使用HSE或者HSI作为计数时钟时,通过检测LSI的频率是否在正常范围内,从而间接的检测了HSE/HSI的频率。

不同STM32系列用到TIMER模块不一样,具体请查看相应的参考手册。

SRAM奇偶校验位

部分STM32系列支持带奇偶校验的SRAM。

奇偶校验可以用来检测SRAM的瞬时和永久性故障。比如由于电磁干扰导致的SRAM中的数据错误。由于奇偶校验的检测原理,使得它只能检测出奇数个的比特位错误,并且也不能对错误数据进行纠正。

STM32 MCU带奇偶校验的SRAM每个字节增加了一位奇偶校验位,所以SRAM的数据总线是36位。在对SRAM进行写操作时,硬件自动计算并存储奇偶校验;当进行读操作时,硬件自动进行校验。

如果检测到错误,会立刻产生不可屏蔽中断(NMI),并且可以配置成可以触发定时器的“刹车”功能。

硬件ECC

ECC全称Error Checking and Correcting,是一种错误检查和纠正的技术。跟奇偶校验一样,它也需要额外的空间来存储校验码。比奇偶校验更强的是,ECC可以做到单比特位错误校正和双比特位错误检测。对于由于电磁干扰等原因造成的内存瞬时故障或者永久性故障,ECC都可以检测。

ECC检测在读操作时进行,当检测到一个比特位的错误时,读出来的数据就是已经纠正后的数据,当检测到两个比特位的错误时,ECC无法纠正,但是可以告诉应用程序该位置的数据有错。

STM32部分MCU系列(STM32H7/L4/G0/G4/L5)支持Flash ECC,现在只有H7支持SRAM ECC和Cache ECC。

当检测到单比特/双比特ECC错误时,出错地址会被自动保存到寄存器中(需要使能该功能),并且可以通过寄存器配置产生对应的错误中断。

检测到双比特错误时,还将触发NMI中断,并可以将出错信号连接到TIMER的“刹车”功能。

请参考AN5342了解更多关于ECC的操作细节。

硬件CRC

在Flash自检的程序中会用到CRC来检测Flash内容的完整性。其检测思路一般是:在程序编译完成后,计算整个程序的CRC值(第一次计算CRC值),然后将这个CRC值添加到可执行文件末尾。再将带有CRC校验值的可执行文件烧录到MCU中。在程序启动后,由程序中的自检代码重新根据当前Flash里内容(不包括预存的CRC校验值)计算一次CRC值(第二次计算CRC值),再与之前预先计算并烧录到Flash中的CRC校验值(第一次计算的值)进行比较,如果一致就通过检测。

第二次计算CRC值的时候是由运行在MCU中的自检程序完成的,这部分工作可以利用软件代码完成,也可以利用MCU的硬件CRC完成。STM32的全系列都提供了硬件CRC的功能,默认使用CRC32多项式0x4C11DB7。

请参考AN4187了解更多关于CRC的使用细节。

存储器保护单元MPU

存储器保护单元MPU是Cortex-M内部的组件。Cortex-M0不支持MPU,所以除了基于Cortex-M0内核的STM32F0以外,其他STM32产品都支持存储器保护单元 (MPU)。

MPU可以用来设置部分数据只能被一些特权任务访问或者是只读;可以将SRAM空间定义为“不可执行代码”,从而防止注入攻击代码;可以用来检测堆栈溢出和数组越界;还可以通过MPU设置存储器的缓冲,缓存,共享等属性。

在功能安全的应用中,我们可以利用MPU来对安全相关的关键数据进行隔离,从而防止其被其他程序意外修改。

关于MPU的使用细节,请参考AN4838。

其他

除了前面介绍的这些硬件的功能外,还有:GPIO,Timer,比较器等外设的寄存器锁定功能,可以配置参数不会被软件意外修改;定时器PWM输出的“刹车”功能,它的目的是保护由PWM信号驱动的功率开关,就是当系统出现故障时,可以触发该功能,关闭PWM输出,保证系统处于安全状态。而触发“刹车”功能的输入信号,既可以是来自MCU内部的系统级故障(比如CSS检测到的时钟失效,SRAM的奇偶校验错误等),也可以是连接到特定引脚的外部信号。不同的STM32系列支持的输入信号来源不同,具体使用请见相应的参考手册。

部分STM32系列还支持“内核进入lockup状态”作为“刹车”功能的触发源。关于“内核进入lockup状态”是指,当MCU已经因为出错进入fault中断后,在fault中断服务程序中又触犯了fault条件,这时就会进入lockup状态。

还有一些外设比如串口,I2C,CAN等,也内置有协议错误检测,CRC校验等功能,可以用于该外设使用过程中的安全检测。

STM32内置安全属性还很多,这里就不一一列举了。

请参考各个STM32系列的安全手册,来获取详细的信息。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    地访问和使用,以保护系统的安全性。 通过使用安全启动固件,车规MCU可以提供更高的安全性和可靠性,防止恶意软件和未经授权的代码对汽车电子系统造成的潜在威胁。 硬件安全模块固件(HSM......
    汽车安全硬件安全策略的新方向;由于复杂设计和连接设备中的漏洞数量不断增加,考虑到硬件和软件中的潜在漏洞,以及扩展的全球供应链的完整性,硬件安全策略正在芯片设计流程中不断向前推进。 这些......
    OpenTitan联盟推出首款开源内置硬件安全功能的商用硅芯片;日前,OpenTitan联盟宣布了一个重大消息:他们成功推出了首款包含开源内置硬件安全功能的商用硅芯片。这一里程碑式的成就不仅代表了开放硬件......
    多云部署• 更快、更敏捷的安全支付方式近日,泰雷兹宣布推出一项基于订阅的数字支付安全服务——泰雷兹payShield云硬件安全模块服务。依托于其市场领先的payShield 10K支付硬件安全模块(HSM)技术......
    提高到最高级别。 硬件安全MCU:最安全的网络安全解决之道 在现有的各种安全强化策略中,与基于软件的方法相比,硬件安全系统为防止数据篡改和恶意攻击提供了更强大的保护。ST 硬件安全单元通过了 EAL6......
    提高到最高级别。 硬件安全MCU:最安全的网络安全解决之道 在现有的各种安全强化策略中,与基于软件的方法相比,硬件安全系统为防止数据篡改和恶意攻击提供了更强大的保护。ST 硬件安全......
    提高到最高级别。 硬件安全MCU:最安全的网络安全解决之道 在现有的各种安全强化策略中,与基于软件的方法相比,硬件安全系统为防止数据篡改和恶意攻击提供了更强大的保护。ST 硬件安全单元通过了 EAL6......
    防护能力,需要对汽车系统“软硬兼施”,从硬件安全芯片和软件安全防护两方面来入手。 一方面,硬件安全模块(Hardware Security Module,HSM)将加......
    汽车功能安全--ISO26262(2024-12-05 08:12:57)
    开发设计 1. 硬件安全的开发要求: 有了系统层面的安全要求、安全架构和安全......
    国产硬件安全再升级,海光开辟密码技术新方案;近日,龙蜥大会安全闭门会正式在北京召开,来自业内的40+位安全领域专家聚首,共同探讨软硬件安全生态建设。会上,海光全方位展示了CPU密码安全技术,凭借......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>