STM32提醒您：功能不安全，亲人两行泪

今天我们来聊聊功能安全。了解功能安全之前，首先我们来重新认识下安全这个概念。

安全可以说是无处不在，信息安全（Security），财产安全，生命安全…… 我们无时无刻不暴露在安全的威胁下，安全的风险永远无法降低到零。

而功能安全着重关注如何去避免电气/电子/可编程化系统（E/E/PE）方面的威胁所造成的人员伤亡、财产损失或是环境污染等不可接受的风险。

“不可接受”并不意味着系统100%不出问题，而是同时要考虑到最终的应用场合、可容忍级别等等安全需求。

下图也同时罗列了大家很容易搞混的功能安全和信息安全两个概念的区别。

摘自工业控制系统信息安全专刊

这些功能安全的风险可以是系统性的，比如规范制定和设计过程中的人为因素，NASA当年因为不佳的管理流程，导致高层急于发射“挑战号”航天飞船，而忽视工程师的警告，最终导致机毁人亡；

也可能是随机性的硬件故障，比如受宇宙射线的影响，Flash/RAM发生了数据翻转0<->1。

为了应对上述的两类风险，国际组织IEC颁发了成套的功能安全相关产品指令和设计标准。作为母标准的IEC 61508衍生出了一系列适用不同行业的功能安全标准。

在认证符合IEC61804要求的产品开发过程中，无法回避的两个问题就是

1. 哪些地方可能会有的风险及后果？

2. 哪些风险规避是必要的？

同样的制动失灵对于儿童玩具车可能是无关紧要，而对于汽车却是致命的。由此我们对安全需求有了不同级别的定义（SIL等级）。

下图可以看出，SIL等级从最低要求的1到最高要求的4，就算不同的操作频率，也对应了不同的可容忍平均失效概率。

以上我们谈的都是产品级别的认证，那ST作为芯片供应商又能在哪些方面帮助安全产品开发者拿到IEC61508的认证呢？

建立在STM32 MCU本身的硬件安全特色基础上，ST还提供了自检测软件库X-CUBE-STL和安全文档（安全手册、FMEA、FMEDA）。其中除了安全手册可以直接在X-CUBE-STL的链接下载外，其他资料需要签订NDA。