用户手册|STM32G0 系列安全手册

发布时间:2023-06-28  

引言


本文档描述如何在安全相关系统的背景下使用 STM32G0 Series 微控制器,并指定了为达到目标安全完整性等级,用户需承担的安装和操作责任。本手册适用于 STM32G0 Series 微控制器和 X-CUBE-STL 产品编号。


目录预览


1. 关于本文档

2.STM32G0 Series 微控制器开发过程

3. 参考安全架构

4.安全结果

5.证据列表


2.STM32G0 Series 微控制器开发过程


对于严格要求安全性的应用所使用的微电子器件,它们的开发过程考虑了适当的管理,以降低设计阶段引入系统故 障的可能性。


IEC 61508:2 附录 F(ASIC 技术和措施 - 避免系统故障)作为按照 IEC 61508 的要求定制微控制器标准设计和制造 商过程的指导原则。附录 F 中报告的核查表有助于收集给定实际过程的所有相关证据。


2.1STMicroelectronics 标准开发过程


STMicroelectronics(ST)服务于四个工业领域:

• 标准产品。


• 汽车产品:ST 汽车产品符合 AEC-Q100 标准。它们将接受特定的压力测试和处理指令,以达到要求的质量级别和产品稳定性。


• 汽车安全:汽车领域的一个子集。ST 以 ISO 26262 道路车辆功能安全标准为参考。ST 支持客户查询产品故障率和 FMEDA,为使硬件系统符合既定安全目标提供支持。ST 提供可安全应用于预定用途的产品,与客户一起分析任务资料,采用常用方法并为残余风险制定对策。


• 医用品:ST 遵守适用的医用品规范,并在产品的开发中严格执行这一标准。


STMicroelectronics 产品开发过程符合 ISO/TS 16949 标准,且这一标准专用于将客户说明和市场或工业领域要求转化为半导体器件及其所有相关元件(封装、模块、子系统、应用、硬件、软件和文档)的相关活动,符合ST内部程序并能使用 ST 内部或分包技术进行制造。


图 1 xxx 是对意法半导体产品开发过程的总结。


78044188-b123-11ed-bfe3-dac502259ad0.png



3.参考安全架构


本节提供 STM32G0 Series 安全架构的详细描述。



3.1安全架构简介


本文档中分析的 STM32G0 Series 微控制器可用作不同安全应用中的合规项。本节的目的是识别此类合规项,从而根据参考概念定义的相关假设定义分析背景。因此,此概念定义还包含参考安全要求作为已定义合规项之外的设计的假设。


因此,合规项方法的目的不是提供微控制器所属系统的详尽危险和风险分析,而是列出分析期间考虑的系统相关信息。此类信息包括危险因素的应用相关假设、故障频率和应用已保证的诊断覆盖率等。



3.2 合规项


本节包含与合规项的定义相关的所有信息,包括其在不同安全架构模式中的使用。


3.2.1 合规项的定义

根据 IEC 61508:1 第 8.2.12 款,合规项是按照 IEC 61508 系列条款声明的任何项目(例如元件)。在其开发结束时,其用户必须通过安全手册对其进行描述。


在本文档中,合规项被定义为包含一个或两个 STM32 微控制器(MCU)的系统(参见图 2)。通信总线直接或间接连接到传感器和执行器。


图2.合规项的定义

78462a6c-b123-11ed-bfe3-dac502259ad0.png

为保证 STM32G0 Series 的功能(外部存储器、时钟石英等)或其安全性(例如,外部看门狗、电压监控器),需 要其他可能与合规项有关的元件(例如,外部硬件元件)。


定义的合规项可按照 IEC61508-4 第 3.4.5 款分类为“元件”。



3.2.2 合规执行的安全功能

本质上,合规项架构可以描述为由执行安全功能或部分安全功能的以下过程组成:

• 输入处理元件(PEi)从连接到传感器的远程控制器读取安全相关数据,并将其传输至以下计算元件;


• 计算处理元件(PEc)执行安全功能所需的算法,并将结果传输至以下输出元件;


• 输出处理元件(PEo)将安全相关数据传输至连接到执行器的远程控制器;


• 对于 1oo2 架构,可能还存在投票处理元件(PEv);


• 为了保证安全完整性,考虑合规项外部处理,例如看门狗(WDTe)和电压监控器(VMONe)。


在详述 CoU(安全机制的定义)的章节中阐明了 PEv 以及外部处理 WDTe 和 VMONe 的角色:

• WDTe:参见“独立看门狗”– VSUP_SM_2 和“应用软件中的控制流监控”– CPU_SM_1,


• VMONe:参见“电源电压监控”– VSUP_SM_1。总之,STM32G0 Series 微控制器为实现包含以下三项操作的终端用户安全功能提供支持:


• 从输入外设安全采集安全相关数据。


• 应用软件程序的安全执行和相关数据的安全计算。


• 结果或决策到输出外设的安全传输。


使用这三种基础操作完成合规项声明与安全指标计算。根据上文报告的已实现安全功能的定义,可将该合规项(即元件)视为 B 类(根据 IEC61508-2 第 7.4.4.1.2 款的定义)。尽管对 STM32G0 Series 执行了精确、彻底且详细的故障分析,还必须考虑该器件的内在复杂性,因此分类为 B 类是合适的。


因此,确定了两种主要的安全架构:1oo1(使用一个 MCU)和 1oo2(使用两个 MCU)。


3.2.3参考安全架构 - 1oo1

在 1oo1 参考架构(如下文图 3 所示)中,通过 STM32G0 Series 内部处理(已实现安全机制)和外部处理 WDTe与 VMONe 的组合来保证合规项的安全完整性。


1oo1 参考架构的目标是 SIL2。


图3.1oo1 参考架构

7858de8c-b123-11ed-bfe3-dac502259ad0.png


3.2.4参考安全架构 - 1oo2

1oo2 参考架构(如下文图 4 所示)包含两个独立通道,二者均以与 1oo1 参考架构相同的方式来实现。通过STM32G0 Series 内部处理(已实现安全机制)和外部处理 WDTe 与 VMONe 的组合来保证每个通道的安全完整性。


通过允许声明 HFT=1 的外部表决器 PEv 保证整个合规项的安全完整性。因此,可以达到 IEC61508-2 表 3 中规定的更高安全完整性等级。应在两个通道间实现适当隔离(包括电源隔离),以避免共因故障的巨大影响(参见第 4.2 节 从属故障分析)。无论如何,都需要进行 βD 计算。


1oo2 参考架构的目标是 SIL3。


图4.1oo2 参考架构

786f4474-b123-11ed-bfe3-dac502259ad0.png

本文档描述如何在安全相关系统的背景下使用基于 Arm Cortex -M0+的 STM32G0 Series,并指定了为达到所需安全完整性等级,用户需承担的安装和操作责任。对于内置一个或多个 STM32G0 Series 微控制器的解决方案,系统设计者可使用本文档评估该解决方案的安全性。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>