故障cpu的作用

2018年12月UM2331Rev1[EnglishRev2]1/11UM2331用户手册STM32H7系列安全手册引言本文档描述如何在安全相关系统的背景下使用STM32H7系列微控制器,并指定了为达到目标安全完整性等级,用户需承担的安装和操作责任.
本手册适用于属于STM32H7系列和X-CUBE-STL产品编号的STM32H743/753微控制器.
如果遵循本手册的指示,则系统设计者无需了解STM32H7系列功能安全标准应用的详情.
本手册按照IEC61508标准编写.
它描述了如何在其他功能安全标准(例如,机械安全指示ISO13849)的背景下使用STM32H7系列微控制器.
本手册中收集的安全分析考虑了基于ArmCortex-M7的STM32H7系列微控制器的不同产品编号中存储器大小、内部外设编号和封装的变化.
本手册必须与相关产品编号的技术文档(例如参考手册和数据手册)一起阅读,这些技术文档可以在www.
st.
com上获取.
www.
st.
com目录UM23312/131UM2331Rev1[EnglishRev2]目录1关于本文档101.
1目的和范围101.
2术语和缩略语101.
3参考标准112STM32H7系列微控制器开发过程132.
1STMicroelectronics标准开发过程133参考安全架构153.
1引言153.
2合规项153.
2.
1合规项的定义153.
2.
2合规项执行的安全功能163.
2.
3参考安全架构-1oo1163.
2.
4参考安全架构-1oo2173.
3假定要求183.
3.
1假定安全要求183.
4电气规范和环境限制203.
5系统安全完整性203.
6硬件和软件诊断说明213.
6.
1ArmCortex-M7CPU223.
6.
2嵌入式Flash283.
6.
3内部SRAM333.
6.
4系统总线架构373.
6.
5EXTI控制器393.
6.
6直接存储器访问控制器(DMA、MDMA、BDMA)403.
6.
7Chrom-ArtAccelerator控制器(DMA2D)433.
6.
8硬件信号量(HSEM)453.
6.
9单线协议主接口(SWPMI)463.
6.
10FD控制器局域网络(FDCAN)483.
6.
11通用同步/异步收发器(USART1/2/3/4/5/6/7/8,LPUART1)493.
6.
12内部集成电路(I2C1/2/3/4)523.
6.
13串行外设接口(SPI)1/2/3/4/5/654UM2331Rev1[EnglishRev2]3/131UM2331目录43.
6.
14USBon-the-go高速(OTG_HS)573.
6.
15模数转换器(ADC)593.
6.
16数模转换器(DAC)613.
6.
17基本定时器TIM6/7623.
6.
18高级、通用、高分辨率和低功耗定时器(TIM1/2/3/4/5/8/12/13/14/15/16/17、HRTIM和LPTIM)633.
6.
19通用输入/输出(GPIO)-端口A/B/C/D/E/F/G/H/I/J/K663.
6.
20实时时钟模块(RTC)683.
6.
21电源控制703.
6.
22复位和时钟控制(RCC)子系统723.
6.
23独立看门狗(IWDG),系统窗口看门狗(WWDG)743.
6.
24调试753.
6.
25循环冗余校验模块(CRC)763.
6.
26系统配置控制器(SYSCFG)763.
6.
27SD/SDIO/MMC卡主机接口(SDMMC)773.
6.
28灵活的静态存储控制器(FMC)793.
6.
29Quad-SPI接口(QUADSPI)813.
6.
30串行音频接口(SAI)823.
6.
31以太网(ETH):通过DMA控制器进行介质访问控制(MAC)843.
6.
32JPEG编解码器(JPEG)853.
6.
33HDMI-CEC模块873.
6.
34管理数据输入/输出(MDIOS)883.
6.
35SPDIF接收器接口(SPDIFRX)903.
6.
36真随机数发生器(RNG)913.
6.
37加密处理器(CRYP)923.
6.
38HASH处理器(HASH)943.
6.
39∑调制器数字滤波器(DFSDM)953.
6.
40数字摄像头接口(DCMI)973.
6.
41LCD-TFT显示控制器(LTDC)983.
6.
42比较器(COMP)993.
6.
43运算放大器(OPAMP)1013.
6.
44延迟模块(DLYB)1023.
6.
45禁用并定期交叉检查未使用外设的意外激活1023.
7使用条件1044安全结果1114.
1随机硬件故障安全结果111目录UM23314/131UM2331Rev1[EnglishRev2]4.
1.
1安全分析结果自定义1114.
1.
2免受干扰(FFI)的一般要求1124.
1.
3关于多故障情景的说明1134.
2从属故障分析1134.
2.
1电源1134.
2.
2时钟1134.
2.
3DMA1144.
2.
4内部温度1145证据列表115附录A其他安全标准的变更影响分析116A.
1ISO13849-1/ISO13849-2.
116A.
1.
1架构类别116A.
1.
2安全指标计算119A.
1.
3工作成果120A.
2IEC62061:2005/AMD1:2012121A.
2.
1架构类别122A.
2.
2安全指标计算124A.
2.
3工作成果124A.
3IEC61800-5-2:2007126A.
3.
1架构类别126A.
3.
2安全指标计算126A.
3.
3工作成果126A.
4ISO26262:2010127A.
4.
1架构类别128A.
4.
2安全指标计算128A.
4.
3工作成果129版本历史130UM2331Rev1[EnglishRev2]5/131UM2331表格索引8表格索引表1.
术语和缩略语10表2.
本文档内容与IEC61508-2附录D要求之间的对应关系12表3.
SS1和SS2安全状态详细信息20表4.
安全机制字段说明21表5.
CPU_SM_0.
22表6.
CPU_SM_1.
22表7.
CPU_SM_2.
23表8.
CPU_SM_3.
23表9.
CPU_SM_4.
24表10.
CPU_SM_5.
25表11.
CPU_SM_6.
25表12.
CPU_SM_7.
26表13.
CPU_SM_9.
26表14.
CPU_SM_10.
27表15.
MPU_SM_027表16.
FLASH_SM_0.
28表17.
FLASH_SM_1.
28表18.
FLASH_SM_2.
29表19.
FLASH_SM_3.
29表20.
FLASH_SM_4.
30表21.
FLASH_SM_5.
30表22.
FLASH_SM_6.
31表23.
FLASH_SM_7.
31表24.
FLASH_SM_8.
32表25.
FLASH_SM_9.
32表26.
RAM_SM_033表27.
RAM_SM_233表28.
RAM_SM_334表29.
RAM_SM_435表30.
RAM_SM_535表31.
RAM_SM_636表32.
RAM_SM_736表33.
RAM_SM_837表34.
BUS_SM_037表35.
BUS_SM_138表36.
LOCK_SM_0.
38表37.
NVIC_SM_039表38.
NVIC_SM_139表39.
DMA_SM_040表40.
DMA_SM_141表41.
DMA_SM_241表42.
DMA_SM_342表43.
DMA_SM_442表44.
DMA2D_SM_043表45.
DMA2D_SM_143表46.
DMA2D_SM_244表47.
HSEM_SM_045表48.
HSEM_SM_145表格索引UM23316/131UM2331Rev1[EnglishRev2]表49.
SWPMI_SM_046表50.
SWPMI_SM_146表51.
SWPMI_SM_247表52.
SWPMI_SM_347表53.
CAN_SM_0.
48表54.
CAN_SM_1.
48表55.
CAN_SM_2.
49表56.
UART_SM_0.
49表57.
UART_SM_1.
50表58.
UART_SM_2.
50表59.
UART_SM_3.
51表60.
IIC_SM_052表61.
IIC_SM_152表62.
IIC_SM_253表63.
IIC_SM_353表64.
IIC_SM_454表65.
SPI_SM_0.
54表66.
SPI_SM_1.
55表67.
SPI_SM_2.
55表68.
SPI_SM_3.
56表69.
SPI_SM_4.
56表70.
USB_SM_057表71.
USB_SM_157表72.
USB_SM_258表73.
USB_SM_358表74.
ADC_SM_0.
59表75.
ADC_SM_1.
59表76.
ADC_SM_2.
60表77.
ADC_SM_3.
60表78.
ADC_SM_4.
61表79.
DAC_SM_0.
61表80.
DAC_SM_1.
62表81.
GTIM_SM_062表82.
GTIM_SM_163表83.
ATIM_SM_063表84.
ATIM_SM_164表85.
ATIM_SM_264表86.
ATIM_SM_365表87.
ATIM_SM_466表88.
GPIO_SM_066表89.
GPIO_SM_167表90.
GPIO_SM_267表91.
GPIO_SM_368表92.
RTC_SM_068表93.
RTC_SM_169表94.
RTC_SM_269表95.
RTC_SM_370表96.
VSUP_SM_0.
70表97.
VSUP_SM_1.
71表98.
VSUP_SM_2.
71表99.
VSUP_SM_3.
72表100.
CLK_SM_072UM2331Rev1[EnglishRev2]7/131UM2331表格索引8表101.
CLK_SM_173表102.
CLK_SM_273表103.
CLK_SM_374表104.
WDG_SM_074表105.
WDG_SM_175表106.
DBG_SM_0.
75表107.
CRC_SM_0.
76表108.
SYSCFG_SM_076表109.
DIAG_SM_077表110.
SDIO_SM_077表111.
SDIO_SM_178表112.
SDIO_SM_278表113.
FSMC_SM_079表114.
FSMC_SM_179表115.
FSMC_SM_280表116.
FSMC_SM_380表117.
QSPI_SM_081表118.
QSPI_SM_181表119.
QSPI_SM_282表120.
SAI_SM_0.
82表121.
SAI_SM_1.
83表122.
SAI_SM_2.
83表123.
ETH_SM_084表124.
ETH_SM_184表125.
ETH_SM_285表126.
JPEG_SM_085表127.
JPEG_SM_186表128.
JPEG_SM_286表129.
HDMI_SM_087表130.
HDMI_SM_187表131.
HDMI_SM_288表132.
MDIO_SM_088表133.
MDIO_SM_189表134.
MDIO_SM_289表135.
SPDF_SM_0.
90表136.
SPDF_SM_1.
90表137.
SPDF_SM_2.
91表138.
RNG_SM_091表139.
RNG_SM_192表140.
AES_SM_092表141.
AES_SM_193表142.
AES_SM_293表143.
HASH_SM_094表144.
HASH_SM_194表145.
DFS_SM_095表146.
DFS_SM_195表147.
DFS_SM_296表148.
DFS_SM_396表149.
DCMI_SM_097表150.
DCMI_SM_197表151.
LCD_SM_098表152.
LCD_SM_198表格索引UM23318/131UM2331Rev1[EnglishRev2]表153.
COMP_SM_099表154.
COMP_SM_199表155.
COMP_SM_2100表156.
COMP_SM_3100表157.
COMP_SM_4101表158.
AMP_SM_0.
101表159.
DLB_SM_0102表160.
FFI_SM_0102表161.
FFI_SM_1103表162.
安全机制列表105表163.
整体可达到的安全完整性等级111表164.
FFI的一般要求列表112表165.
ISO13849架构分类117表166.
ISO13849工作成果列表120表167.
SIL分类与HFT.
122表168.
IEC62061架构分类123表169.
IEC62061工作成果列表125表170.
IEC61800工作成果列表126表171.
IEC26262工作成果列表129表172.
文档版本历史130表173.
中文文档版本历史130UM2331Rev1[EnglishRev2]9/131UM2331图片索引9图片索引图1.
STMicroelectronics产品开发过程14图2.
合规项的定义15图3.
1oo1参考架构17图4.
1oo2参考架构18图5.
STM32PST的分配和目标.
19图6.
ISO13849B类和1类的框图117图7.
ISO138492类的框图118图8.
ISO138493类和4类的框图118图9.
SRECS高层图.
124图10.
SIL和ASIL之间的相关矩阵128关于本文档UM233110/130UM2331Rev1[EnglishRev2]1关于本文档1.
1目的和范围本文档描述如何在安全相关系统的背景下使用基于Arm(a)Cortex-M7的STM32H7系列,并指定了为达到所需安全完整性等级,用户需承担的安装和操作责任.
对于内置一个或多个STM32H7系列微控制器的解决方案,系统设计者可使用本文档评估该解决方案的安全性.
1.
2术语和缩略语STM32H7系列硬件模块的相关缩略语(例如,DMA、GPIO等)与STM32H7系列技术文档中使用的相同.
参见表1获取本文档中所用缩略语的列表.
a.
Arm是ArmLimited(或其子公司)在美国和/或其他地区的注册商标.
表1.
术语和缩略语缩略语定义CCF共因故障CM连续模式COTS商用现成品CoU使用条件CPU中央处理器CRC循环冗余校验DC诊断覆盖率DMA直接存储器访问DTI诊断测试间隔ECM发动机控制模块ECU电子控制单元EUC受控设备FIT故障率FMEA故障模式影响分析FMEDA故障模式影响诊断分析HD高需求HFT硬件容错HW硬件ITRS国际半导体技术发展路线图UM2331Rev1[EnglishRev2]11/130UM2331关于本文档130另请阅读本手册中使用的以下定义:终端用户:STM32H7系列的最终用户,负责将MCU集成到实际应用(例如,电子控制板)中.
应用软件:在STM32H7系列MCU上运行并实现安全功能的实际软件.
1.
3参考标准本文档按照适用于电气、电子和可编程电子安全相关系统的功能安全的IEC61508国际标准编写.
所参考的版本为IEC61508:1-7IEC:2010.
本手册中考虑的其他功能安全标准如下:ISO26262-1,2,3,4,5,6,7,8,9:2011(E),ISO26262-10:2012(E)ISO13849-1:2006,ISO13849-2:2010IEC62061:2012-11,版本1.
1IEC61800-5-2:2007,版本1.
0表2列出了本文档内容与IEC61508-2附录D中所列要求的对应关系.
LD低需求MCU微控制器单元MTBF平均故障间隔时间MTTFd平均故障前时间NA不可用PDS(SR)功率驱动系统(安全相关)PEc可编程电子设备-核心PEd可编程电子设备-诊断PFH每小时故障概率PL性能等级PST过程安全时间SFF安全故障分数SIL安全完整性等级SRCF安全相关控制功能SRECS安全相关电气控制系统SRP/CS控制系统的安全相关部件SW软件表1.
术语和缩略语(续)缩略语定义关于本文档UM233112/130UM2331Rev1[EnglishRev2]本手册中报告的安全故障分数是在本文档所述假设下特别根据第3.
7:使用条件中所述使用条件计算而得出.
表2.
本文档内容与IEC61508-2附录D要求之间的对应关系IEC61508要求(第2部分附录D)参考D2.
1a)能够执行的功能的功能说明第3节D2.
1b)合规项硬件和/或软件配置的识别第3.
2节D2.
1c)合规项的使用限制或项目行为或故障率分析所基于的假设第3.
2节D2.
2a)随机硬件故障导致的合规项故障模式,造成功能故障且不会被合规项内部诊断检测到第3.
7节D2.
2b)a)中所述每一种故障模式的估计故障率D2.
2c)随机硬件故障导致的合规项故障模式,造成功能故障并被合规项内部诊断检测到D2.
2d)随机硬件故障导致的合规项内部诊断故障模式,造成检测功能故障的诊断失败D2.
2e)c)和d)中所述每一种故障模式的估计故障率D2.
2f)合规项内部诊断检测到的c)中的每一种故障模式的诊断测试间隔第3.
2.
2节D2.
2g)c)中每一种故障模式的内部诊断指示的合规项输出第3.
6节D2.
2h)任何定期的验证测试和/或维护要求第3.
7节D2.
2i)就指定功能而言,对于能够被内部诊断检测到的这些故障模式,必须提供充足的信息以便开发外部诊断能力D2.
2j)硬件容错第3节D2.
2k)提供功能的合规项该部分的A型或B型分类(参见7.
4.
4.
1.
2和7.
4.
4.
1.
3)UM2331Rev1[EnglishRev2]13/130UM2331STM32H7系列微控制器开发过程1302STM32H7系列微控制器开发过程对于严格要求安全性的应用所使用的微电子器件,它们的开发过程考虑了适当的管理,以降低设计阶段引入系统故障的可能性.
IEC61508:2附录F(ASIC技术和措施-避免系统故障)充当按照IEC61508的要求定制微控制器标准设计和制造商过程的指导原则.
附录F中报告的核查表有助于收集给定实际过程的所有相关证据.
2.
1STMicroelectronics标准开发过程STMicroelectronics(ST)服务于四个工业领域:标准产品.
汽车产品:ST汽车产品符合AEC-Q100标准.
它们将接受特定的压力测试和处理指令,以达到要求的质量级别和产品稳定性.
汽车安全:汽车领域的一个子集.
ST以ISO26262道路车辆功能安全标准为参考.
ST支持客户查询产品故障率和FMEDA,为使硬件系统符合既定安全目标提供支持.
ST提供可安全应用于预定用途的产品,与客户一起分析任务资料,采用常用方法并为残余风险制定对策.
医用品:ST遵守适用的医用品规范,并在这些产品的开发和确认过程中执行尽职调查.
STMicroelectronics产品开发过程符合ISO/TS16949标准,是一组专用于将客户说明和市场或工业领域要求转化为半导体器件及其所有相关要素(封装、模块、子系统、应用、硬件、软件和文档)的相关活动,符合ST内部程序并能使用ST内部或分包技术进行制造.
图1是对意法半导体产品开发过程的总结.
STM32H7系列微控制器开发过程UM233114/130UM2331Rev1[EnglishRev2]图1.
STMicroelectronics产品开发过程MS33637V312僂3ф亼θ亯θIPδDFDDFTDFRDFM……εθ亯θ人θθθ人〃θAPQPDFMDFTDFMEAFMKM从θぁδESεθθ人δεрθθθθδESDεθθぁδεUM2331Rev1[EnglishRev2]15/130UM2331参考安全架构1303参考安全架构本节提供STM32H7系列安全架构的详细描述.
3.
1引言本文档中分析的STM32H7系列微控制器可用作不同安全应用中的合规项.
本节的目的是识别此类合规项,从而根据参考概念定义的相关假设定义分析背景.
因此,此概念定义还包含参考安全要求作为已定义合规项之外的设计的假设.
因此,合规项方法的目的不是提供微控制器所属系统的详尽危险和风险分析,而是列出分析期间考虑的系统相关信息.
此类信息包括危险因素的应用相关假设、故障频率和应用已保证的诊断覆盖率等.
3.
2合规项本节包含与合规项的定义相关的所有信息,包括其在不同安全架构模式中的使用.
3.
2.
1合规项的定义根据IEC61508:1第8.
2.
12款,合规项是按照IEC61508条款声明的任何项目(例如元件).
在其开发结束时,其用户必须通过安全手册描述合规项.
在本文档中,合规项被定义为包含一个或两个STM32微控制器(MCU)的系统(参见图2).
通信总线直接或间接连接到传感器和执行器.
图2.
合规项的定义MS33681V2SSAA亯ぁぁぁぁSTMMCU(s)参考安全架构UM233116/130UM2331Rev1[EnglishRev2]为保证STM32H7系列的功能(外部存储器、时钟石英等)或其安全性(例如,外部看门狗、电压监控器),需要其他可能与合规项有关的元件(例如,外部硬件元件).
定义的合规项可按照IEC61508-4第3.
4.
5款分类为"元件".
3.
2.
2合规项执行的安全功能本质上,合规项架构可以描述为由执行安全功能或部分安全功能的以下过程组成:输入处理元件(PEi)从连接到传感器的远程控制器读取安全相关数据,并将其传输至以下计算元件;计算处理元件(PEc)执行安全功能所需的算法,并将结果传输至以下输出元件;输出处理元件(PEo)将安全相关数据传输至连接到执行器的远程控制器;对于1oo2架构,可能还存在投票处理元件(PEv);为了保证安全完整性,考虑合规项外部处理,例如看门狗(WDTe)和电压监控器(VMONe).
在详述CoU(安全机制的定义)的章节中阐明了PEv以及外部处理WDTe和VMONe的角色:WDTe:参见"独立看门狗"–VSUP_SM_2和"应用软件中的控制流监控"–CPU_SM_1,VMONe:参见"电源电压监控"–VSUP_SM_1.
总之,STM32H7系列微控制器为实现包含以下三项操作的终端用户安全功能提供支持:从输入外设安全采集安全相关数据.
应用软件程序的安全执行和相关数据的安全计算.
结果或决策到输出外设的安全传输.
使用这三种基础操作完成合规项声明与安全指标计算.
根据上文报告的已实现安全功能的定义,可将该合规项(即元件)视为B类(根据IEC61508-2第7.
4.
4.
1.
2款的定义).
尽管对STM32H7系列执行了精确、彻底且详细的故障分析,还必须考虑该器件的内在复杂性,因此分类为B类是合适的.
因此,确定了两种主要的安全架构:1oo1(使用一个MCU)和1oo2(使用两个MCU).
3.
2.
3参考安全架构-1oo1在1oo1参考架构(如图3所示)中,通过STM32H7系列内部处理(已实现安全机制)和外部处理WDTe与VMONe的组合来保证合规项的安全完整性.
1oo1参考架构的目标是SIL2.
UM2331Rev1[EnglishRev2]17/130UM2331参考安全架构130图3.
1oo1参考架构3.
2.
4参考安全架构-1oo21oo2参考架构(如图4所示)包含两个独立通道,二者均以与1oo1参考架构相同的方式来实现.
通过STM32H7系列内部处理(已实现安全机制)和外部处理WDTe与VMONe的组合来保证每个通道的安全完整性.
通过允许声明HFT=1的外部表决器PEv保证整个合规项的安全完整性.
因此,可以达到IEC61508-2表3中规定的更高安全完整性等级.
须在两个通道间实现适当隔离(包括电源隔离),避免共因故障的巨大影响(参见第4.
2:从属故障分析).
无论如何,都需要进行βD计算.
1oo2参考架构的目标是SIL3.
MSv46030V1PEcWDTeVMONePEoPEiPEd参考安全架构UM233118/130UM2331Rev1[EnglishRev2]图4.
1oo2参考架构3.
3假定要求本节总结了STM32H7系列微控制器安全分析期间作出的所有假设3.
3.
1假定安全要求概念说明、危险和风险分析、整体安全要求说明和结果分配决定了下列合规项要求(ASR:假定安全要求).
注意:最终用户负责检查最终应用是否符合这些假设.
ASR1:根据第4部分第3.
5.
16款,合规项可用于四种类型的安全功能操作模式:连续模式或高需求SIL3安全功能(CM3),或者低需求SIL3安全功能(LD3),或者连续模式或高需求SIL2安全功能(CM2),或者低需求SIL2安全功能(LD2).
MSv46031V1VMONePEcPEoPEiPEdWDTeVMONePEvPEcPEoPEiPEdWDTeUM2331Rev1[EnglishRev2]19/130UM2331参考安全架构130ASR2:合规项用于实现允许10ms(最坏情况)时间预算的安全功能,以便STM32MCU检测和响应故障.
在系统层面的错误响应链中,这段时间相当于分配给STM32H7系列MCU的过程安全时间(图5所示"STM32微控制器职责").
图5.
STM32PST的分配和目标ASR3:合规项用在可连续通电超过8小时的安全功能中.
假设不需要任何验证测试且产品的生命周期被认为不小于10年.
ASR4:假定只执行一项安全功能,或者如果很多,则将所有功能划分为相同SIL,从而使其在安全要求方面不可区分.
ASR5:如果有多重安全功能实现,则假定终端用户负责保证其需要的相互独立性.
ASR6:假设应用软件中没有已实现并与安全功能共存的"非安全相关"功能.
ASR7:假设已实现的安全功能不依赖于STM32H7MCU至/从低功耗状态的过渡.
ASR8:合规项的局部安全状态是指以下任何一种状态通知应用软件存在故障且可通过应用软件本身响应(SS1),或无法通知应用软件存在故障或应用软件无法执行响应(a)SS2.
表3提供了安全状态SS1和SS2的详细信息.
a.
终端用户必须考虑到,影响STM32的随机硬件故障可能危害MCU正常工作的能力(例如,影响程序计数器的故障模式会妨碍软件的正确执行).
PSTMCUFWSWSTM32….
MS49031V1ㄥ参考安全架构UM233120/130UM2331Rev1[EnglishRev2]ASR9:假定终端用户在系统层面定义的安全状态与合规项的假定局部安全状态(SS1、SS2)兼容.
ASR10:假定按照IEC61508-2的方法1H和1S分析合规项.
(a)ASR11:假设按照IEC61508:2第7.
4.
4.
1.
2款将合规项视为B类.
ASR12:假定在最终系统的维护状态下使用双闪存区擦除和重新编程功能.
3.
4电气规范和环境限制为保证STM32H7系列的安全完整性,用户不得逾越STM32H7系列用户手册中报告的下列电气规范和环境限制:绝对最大额定值容量工作条件.
由于存在大量STM32H7系列产品,本文档中没有列出相关用户手册和数据手册;用户有责任仔细检查相关产品编号的技术文档(参见www.
st.
com)中的上述限制.
3.
5系统安全完整性根据IEC61508-2第7.
4.
2.
2款的要求,STM32H7系列的开发过程中考虑了方法1S.
根据IEC61508-2第7.
4.
6.
1款的明确认可,可将STM32MCU系列视为标准的大量生产的电子集成器件-严格的开发程序、严谨的测试和丰富的使用经验最大限度降低了设计故障发生的可能性.
总之,已使用IEC61508-2附录F中建议的技术和措施执行了STM32MCU开发流程的内部合规评估.
安全案例数据库(第5:证据列表)保存了符合规范的证据.
表3.
SS1和SS2安全状态详细信息安全状态条件合规项操作系统过渡到安全状态1oo1架构1oo2架构SS1通知应用软件存在故障且可通过应用软件本身响应.
向应用软件报告故障应用软件在安全状态下驱动整个系统.
两个通道之一的应用软件在安全状态下驱动整个系统.
SS2无法通知应用软件存在故障或应用软件无法执行响应.
WDTe发出复位信号WDTe在安全状态("安全关闭")下驱动整个系统(1).
PEv在安全状态下驱动整个系统.
1.
这里的安全状态达成符合IEC61508-2第7.
4.
8.
1款a)项的相关注释.
a.
请参见第3.
5:系统安全完整性和第3.
6:硬件和软件诊断说明.
UM2331Rev1[EnglishRev2]21/130UM2331参考安全架构1303.
6硬件和软件诊断说明本节列出了STM32H7系列微控制器的安全分析中考虑的所有安全机制(硬件、软件和应用层面).
用户应熟悉STM32H7系列的架构,并将本文档与相关器件的数据手册、用户手册和参考信息结合使用.
因此,为避免发生错误并减少要显示的信息量,本文档中只包含了最低限度的功能细节.
在下面的描述中,"安全机制"、"方法"或"要求"将作为同义词使用.
请注意,STM32H7系列功能的各个产品编号拥有不同的外设组合(例如,其中的一些没有配备USB外设).
为了减少文档数量并避免无意义的重复,本手册(以及本节)适用于目标产品编号的所有可用外设.
用户必须选择他们设备上实际提供的外设,并相应地忽略剩余的建议.
本节中提供的实现指导原则仅供参考.
STM32H7系列安全分析期间ST执行的安全验证和本手册(或其附录)中记录的相关诊断覆盖率数据都基于此类指导原则.
为了清晰起见,针对MCU基础功能对安全机制进行了分组.
以表格的形式提供信息(每种安全机制一个).
表4提供了每个字段的说明.
表4.
安全机制字段说明SM代码唯一的安全机制代码/标志符,也使用在FMEA文档中.
标识符使用方案mmm_SM_x,其中,mmm是三个或四个字母模块的首字母缩写词,"x"是递增编号.
请注意,模块缩写和编号可能不按顺序和/或不同于通过原始文档获得的模块实际名称.
说明简短的助记说明.
所有权ST:表示硅片上提供该方法.
终端用户:终端用户必须通过应用软件修改、硬件解决方案或这两种方式实现方法.
具体实现具体实现有时包括引入安全机制后的安全理念说明.
错误报告描述如何向应用软件报告故障检测.
故障检测时间安全机制检测硬件故障所需的时间.
已解决故障模型报告通过诊断解决的故障模式(永久、瞬时或二者兼有)以及其他信息:–如果归类用于故障避免:有助于降低故障发生概率的方法.
–如果归类用于系统故障:设计用于缓解应用软件设计中的系统错误(问题)的方法.
取决于MCU配置报告STM32H7系列的不同产品编号的安全机制实现或特性是否有所不同.
初始化为了激活安全机制的作用要执行的特定操作.
周期性–连续:安全机制以连续模式激活–定期:定期执行安全机制.
请注意,仅当每PST至少执行一次时,安全机制才会影响诊断覆盖率–按需:在发生指定事件(例如,数据消息的接收)时激活安全机制–启动:应只在上电或离线维护期间执行安全机制.
诊断测试报告特定程序(如果有并已推荐)以便在线测试安全机制的效力.
多故障保护报告相关的安全机制以便正确管理多故障情景(参见第4.
1.
3:关于多故障情景的说明).
建议和已知限制其他字段中没有提供的额外建议或限制(如果有).
参考安全架构UM233122/130UM2331Rev1[EnglishRev2]3.
6.
1ArmCortex-M7CPU表5.
CPU_SM_0SM代码CPU_SM_0说明ArmCortex-M7CPU的定期核心自测软件所有权终端用户或ST具体实现软件测试围绕IEC61508:7第A.
3.
2款(软件自检:走位单通道)已论述的常见技术进行构建.
软件测试的范围为ArmCortex-M7CPU,包括L1缓存.
为了达到要求的覆盖率,通过具体分析所有CPU故障模式和相关故障模式的分布来指定自检软件.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化无周期性定期诊断测试可根据选择的测试实现设计策略,在软件中嵌入自诊断功能.
建议采用结果变量校验和保护和防御性编程.
多故障保护CPU_SM_5:外部看门狗建议和已知限制该方法是STM32H7系列安全理念的主要内容.
由于MCU外设的已定义诊断的主要部分以软件为基础,因此CPU完整性是一个关键因素.
表6.
CPU_SM_1SM代码CPU_SM_1说明应用软件中的控制流监控所有权终端用户具体实现对于永久故障,CPU核心的故障分布的主要部分和与程序计数器失控或终止直接相关的故障模式有关.
它们的内在本质决定了不能通过标准软件测试方法(例如,SM_CPU_0)解决此类故障模式.
因此,必须实现应用软件流的运行时间控制,以便监控和检测此类故障导致的与预期行为的偏差.
将该机制链接到看门狗触发可确保严重失控(或者在最坏情况下,程序计数器终止)能够被检测到.
方法实现的指导原则如下:–充分记录并描述应用软件的不同内部状态(鼓励使用动态转换图).
–实现对应用软件每次不同状态间转换的正确性的监控.
–检查异常应用软件程序循环期间所有预期状态之间的转换.
–实现负责触发系统看门狗的功能,以便将触发(防止发生看门狗复位CPU的问题)限制在上述程序流监控方法的正确执行.
–使用独立看门狗(IWDG)(或外部看门狗)的窗口功能有助于实现通过不同时钟源馈给的更稳健控制流机制.
注:安全指标均与使用的看门狗类型无关(采用独立或外部看门狗有助于缓解从属故障,参见第4.
2.
2:时钟)错误报告取决于具体实现UM2331Rev1[EnglishRev2]23/130UM2331参考安全架构130故障检测时间取决于具体实现.
看门狗超时间隔为上限.
已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试NA多故障保护CPU_SM_0:核心定期自检软件建议和已知限制-表6.
CPU_SM_1(续)表7.
CPU_SM_2SM代码CPU_SM_2说明应用软件中的双重计算所有权终端用户具体实现考虑安全相关计算的时序冗余,以检测影响ArmCortex-M7CPU子部件(专用于数学计算和数据存取)的瞬时故障.
方法实现的指导原则如下:–如果错误结果可能干扰系统安全功能,则只需将要求应用于安全相关计算.
因此,必须在原始应用软件源代码中仔细识别此类计算.
–将数学运算和比较都当做计算.
–使用第二次计算的原始数据的副本,并使用当量公式(如可能)实现数学计算的冗余计算.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型瞬态取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制终端用户有责任小心地避免所用编译器优化功能的干预导致按照该使用条件引入的时序冗余被抵消.
表8.
CPU_SM_3SM代码CPU_SM_3说明ArmCortex-M7HardFault异常所有权ST参考安全架构UM233124/130UM2331Rev1[EnglishRev2]具体实现HardFault异常生成是一种在ArmCortex-M7核心中实现的本安机制,主要致力于拦截软件限制或软件设计中的错误导致的系统故障(例如,导致执行未定义的操作或未对齐的地址访问).
该安全机制还能检测CPU中导致上述异常操作的硬件随机故障.
错误报告高优先级中断事件故障检测时间取决于具体实现,参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化无周期性连续诊断测试可以编写测试程序来验证HardFault异常的生成;总之,鉴于在硬件随机故障检测方面的预期作用不大,不建议进行此类实现.
多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表8.
CPU_SM_3(续)表9.
CPU_SM_4SM代码CPU_SM_4说明应用软件的堆栈加固所有权终端用户具体实现为了解决影响CPU寄存器组的故障(主要是瞬时故障),需使用堆栈加固方法.
该方法基于源代码修改,在寄存器传递至被调用函数的信息中引入信息冗余.
方法实现的指导原则如下:–传递已传递参数值的冗余副本(可能反向)并在函数中执行一致性检查.
–传递已传递指针的冗余副本并在函数中执行一致性检查.
–对于无冗余保护的参数,实施防御性编程技术(已传递值的真实性检查).
例如,检查枚举字段的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法与适用于软件开发的IEC61508标准要求的防御性编程技术存在部分重叠.
因此,如果应用软件的安全完整性等级高于或等于SC2,则可以优化UM2331Rev1[EnglishRev2]25/130UM2331参考安全架构130表10.
CPU_SM_5SM代码CPU_SM_5说明外部看门狗所有权终端用户具体实现使用链接到控制流监控方法(参见CPU_SM_1)的外部看门狗可解决CPU程序计数器或控制结构的故障模式.
可将外部看门狗设计为能够生成最终系统达到安全状态所需的信号组合.
建议仔细检查第3.
3.
1节中列出的系统安全状态的相关假定要求.
它还有助于显著减少潜在的共因故障,因为将从STM32H7系列单独为外部看门狗提供时钟和供电错误报告取决于具体实现故障检测时间取决于具体实现(看门狗超时间隔)已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试将从系统层面定义(合规项分析范围之外)多故障保护CPU_SM_1:应用软件中的控制流监控建议和已知限制如果使用窗口看门狗,终端用户必须考虑应用软件执行中可能存在的容差,以避免伪错误报告(影响系统可用性).
表11.
CPU_SM_6SM代码CPU_SM_6说明独立看门狗所有权ST具体实现采用链接到控制流监控方法(参见CPU_SM_1)的IWDG看门狗可解决CPU程序计数器或控制结构的故障模式.
错误报告复位信号生成故障检测时间取决于具体实现(看门狗超时间隔)已解决故障模型永久取决于MCU配置无初始化IWDG激活.
建议在选项字节设置中使用"硬件看门狗"(在复位后自动使能IWDG)周期性连续诊断测试WDG_SM_1:启动时的看门狗软件测试多故障保护CPU_SM_1:应用软件中的控制流监控WDG_SM_0:配置寄存器的定期回读建议和已知限制IWDG干预能够达到潜在"不完全"的局部安全状态,因为它只能保证CPU复位,而不保证仍能继续执行应用软件以生成外部系统达到最终安全状态可能需要的输出信号组合.
如果此限制变为阻塞点,则终端用户必须采用CPU_SM_5.
参考安全架构UM233126/130UM2331Rev1[EnglishRev2]表12.
CPU_SM_7SM代码CPU_SM_7说明MPU-存储器保护单元所有权ST具体实现CPU存储器保护单元能够按照终端用户设定的标准检测对受保护存储区的非法访问.
错误报告异常生成(MemManage)故障检测时间参见功能文档已解决故障模型系统(软件错误)永久和瞬时(仅程序计数器和存储器存取故障)取决于MCU配置无初始化应在启动时设定MPU寄存器周期性在线诊断测试不需要多故障保护MPU_SM_0:配置寄存器的定期回读建议和已知限制当在应用软件中实现了多重安全功能时,强烈建议使用存储分区并通过MPU功能提供保护.
MPU具体可用于–执行权限规则–单独处理–执行访问规则MPU的硬件随机故障检测功能仅限于主要影响程序计数器和存储器访问CPU功能的少数几种故障模式.
因此,在STM32H7系列安全理念的框架内,相关的诊断覆盖率预期将不那么重要表13.
CPU_SM_9SM代码CPU_SM_9说明ArmCortex-M7缓存的定期自测软件所有权终端用户或ST具体实现软件测试围绕IEC61508:7第A.
3.
2款(软件自检:走位单通道)已论述的常见技术进行构建.
软件测试的范围为影响ArmCortex-M7L1缓存控制器的故障模式.
达到的诊断覆盖率与测试实现的复杂度和已处理缓存故障模式的百分比密切相关.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试N/A多故障保护CPU_SM_5:外部看门狗建议和已知限制-UM2331Rev1[EnglishRev2]27/130UM2331参考安全架构130表14.
CPU_SM_10SM代码CPU_SM_10说明ArmCortexM7-L1缓存上的ECC所有权ST具体实现ArmCortexM7-L1缓存存储器(数据和指令)上的ECC受到ECC(纠错码)冗余的保护,以双字(64位)层面实现保护功能:–一位错误:纠正–两位错误:检测错误报告请参阅Arm文档.
故障检测时间在缓存使用期间检查ECC位.
已解决故障模型永久/瞬时取决于MCU配置无初始化无周期性连续诊断测试不需要多故障保护CPU_SM_9:ArmCortexM7-L1缓存的定期自测软件(1)建议和已知限制参见脚注(1)1.
FMEDA快照文档包含有关CPU_SM_0建议频率的信息.
表15.
MPU_SM_0SM代码MPU_SM_0说明MPU配置寄存器的定期回读所有权终端用户具体实现必须对MPU配置寄存器(同样未被终端用户应用软件使用)应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5:EXTI控制器中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0参考安全架构UM233128/130UM2331Rev1[EnglishRev2]3.
6.
2嵌入式Flash表16.
FLASH_SM_0SM代码FLASH_SM_0说明闪存的定期软件测试所有权终端用户或ST具体实现影响系统闪存、存储单元和地址解码器的永久故障通过专用软件测试来解决,该测试使用基于签名的技术检查存储单元内容是否符合预期值.
根据IEC61508:2表A.
5,此类技术的有效诊断覆盖率取决于签名相对于要保护的信息块长的宽度-因此,要仔细选择签名计算方法.
请注意,简单签名方法(IEC61508:7-A.
4.
2改进校验和)还不够,它只能达到低覆盖率.
无需使用该测试处理信息块,因为在正常操作期间不使用信息块(无数据或程序提取).
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置闪存大小因产品编号而异初始化存储器签名也必须保存在闪存中.
周期性定期诊断测试可根据选择的测试实现设计策略,在软件中嵌入自诊断功能.
多故障保护CPU_SM_1:应用软件中的控制流监控CPU_SM_0:核心定期自检软件建议和已知限制该测试预期会有较长的持续时间-因此必须考虑测试集成对应用软件执行的影响.
建议使用内部CRC模块.
原则上,可以使用DMA功能进行数据传输.
注:可以从测试中排除未使用的闪存区.
表17.
FLASH_SM_1SM代码FLASH_SM_1说明应用软件中的控制流监控所有权终端用户具体实现影响系统闪存、存储单元和地址解码器的永久和瞬时故障可能干扰CPU的存取操作,从而导致错误的数据或指令提取.
通过在从闪存加载的应用软件中实现控制流监控技术,可以检测此类故障.
有关实现的详细信息,参见CPU_SM_1的说明.
错误报告取决于具体实现故障检测时间取决于具体实现.
看门狗超时间隔为上限.
已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续UM2331Rev1[EnglishRev2]29/130UM2331参考安全架构130诊断测试NA多故障保护CPU_SM_0:核心定期自检软件建议和已知限制CPU_SM_1的正确实现消除了此要求表17.
FLASH_SM_1(续)表18.
FLASH_SM_2SM代码FLASH_SM_2说明ArmCortex-M7HardFault异常所有权ST具体实现影响系统闪存(存储单元、地址解码器)的硬件随机故障(永久和瞬时)可导致错误的指令码提取,并最终产生ArmCortex-M7HardFault异常.
参见CPU_SM_3获取详细说明错误报告参见CPU_SM_3故障检测时间参见CPU_SM_3已解决故障模型永久和瞬时取决于MCU配置无初始化参见CPU_SM_3周期性连续诊断测试参见CPU_SM_3多故障保护参见CPU_SM_3建议和已知限制无表19.
FLASH_SM_3SM代码FLASH_SM_3说明选项字节写保护所有权ST具体实现该安全机制防止对选项字节的意外写入.
鼓励使用该方法增强终端应用在发生系统故障时的稳健性.
错误报告写保护异常故障检测时间不适用已解决故障模型无(仅系统故障)取决于MCU配置无初始化不需要(默认使能)周期性连续诊断测试不需要参考安全架构UM233130/130UM2331Rev1[EnglishRev2]多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法解决软件应用中的系统故障,在解决运行时间内影响选项字节值的硬件随机故障方面功效为零.
因此,没有相关的DC值.
表19.
FLASH_SM_3(续)表20.
FLASH_SM_4SM代码FLASH_SM_4说明静态数据封装所有权终端用户具体实现如果静态数据保存在闪存中,必须使用具有编码功能(例如,CRC)的校验和字段对其进行封装.
在使用静态数据之前,通过应用软件检查校验和有效性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表21.
FLASH_SM_5SM代码FLASH_SM_5说明具有负载验证的选项字节冗余所有权ST具体实现在每次上电复位后的选项字节加载期间,将进行选项字节的按位互补并验证其相应的互补选项字节.
如不匹配,将报告错误.
错误报告生成选项字节错误(OPTERR)故障检测时间不适用已解决故障模型永久取决于MCU配置无初始化无(始终使能)周期性起振诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无UM2331Rev1[EnglishRev2]31/130UM2331参考安全架构130表22.
FLASH_SM_6SM代码FLASH_SM_6说明未使用闪存区填充码所有权终端用户具体实现已使用的闪存区必须填充确定数据.
这种情况下,当程序计数器因影响CPU的瞬时故障跳出应用程序区时,系统将以确定的方式演进.
错误报告NA故障检测时间NA已解决故障模型无(避错)取决于MCU配置无初始化NA周期性NA诊断测试NA多故障保护NA建议和已知限制填充代码可以是NOP指令或会导致HardFault异常的非法代码.
表23.
FLASH_SM_7SM代码FLASH_SM_7说明闪存上的ECC所有权ST具体实现通过ECC(纠错码)保护内部闪存,在双字(64位)层面实现保护功能:–一位错误:纠正–两位错误:检测错误报告纠正:–在FLASH_SR1/2寄存器(FLASH_ECCR)中设置SNECCERR11/2(ECC纠正)标志–生成中断检测:–在FLASH_SR1/2寄存器中设置DBECCERR1/2(ECC检测)标志–生成NMI–错误双字的地址保存在FLASH_ECC_FA1/2R寄存器中.
故障检测时间在存储器读取期间检查ECC位.
已解决故障模型永久/瞬时取决于MCU配置无初始化无周期性连续诊断测试不需要参考安全架构UM233132/130UM2331Rev1[EnglishRev2]多故障保护–FLASH_SM_0:闪存的定期软件测试(1)–DIAG_SM_0:硬件诊断配置寄存器的定期回读建议和已知限制参见脚注(1)1.
FMEDA快照文档包含有关FLASH_SM_0建议频率的信息.
表23.
FLASH_SM_7(续)表24.
FLASH_SM_8SM代码FLASH_SM_8说明读保护(RDP),写保护(WRP),专有代码读出保护(PCROP)所有权ST具体实现可使用这些保护功能保护闪存,防止非法读/写或擦除.
通过这些技术与相关的不同保护级别的组合,终端用户能够构建有效的访问保护政策.
错误报告参见功能文档-某些情况下会生成HardFault错误故障检测时间参见功能文档已解决故障模型系统取决于MCU配置无初始化不需要周期性连续诊断测试不需要多故障保护不需要建议和已知限制闪存访问策略的硬件随机故障检测功能仅限于主要影响程序计数器和闪存接口功能的少数几种边际故障模式.
因此,在STM32H7系列安全理念的框架内,相关的诊断覆盖率预期将不那么重要表25.
FLASH_SM_9SM代码FLASH_SM_9说明通过软件定期测试闪存地址解码器所有权ST或终端用户具体实现影响系统闪存接口地址解码器的永久故障通过专用软件测试来处理,该测试检查存储单元内容是否符合预期值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置闪存密度取决于RPN初始化不需要周期性定期诊断测试不需要UM2331Rev1[EnglishRev2]33/130UM2331参考安全架构1303.
6.
3内部SRAM多故障保护CPU_SM_0:核心定期自检软件建议和已知限制可能与FLASH_SM_0实现存在重叠表25.
FLASH_SM_9(续)表26.
RAM_SM_0SM代码RAM_SM_0说明SRAM的定期软件测试所有权终端用户或ST具体实现为了提高SRAM数据单元的覆盖率并确保对影响地址解码器的永久故障的充分覆盖,需要对系统RAM存储器执行定期软件测试.
算法的选择必须确保对RAM单元和地址解码器的目标SFF覆盖率.
还必须收集所选方法覆盖有效性的证据.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置RAM大小因产品编号而异初始化取决于具体实现周期性定期诊断测试可根据选择的测试实现设计策略,在软件中嵌入自诊断功能.
多故障保护CPU_SM_0:核心定期自检软件建议和已知限制建议使用March测试C-.
由于该测试属于破坏性测试,必须实现RAM内容恢复.
还必须考虑测试执行期间可能发生的对中断服务例程的干扰(例如例程可能访问RAM中的无效内容).
注:可以从测试中排除未使用的RAM区,由终端用户负责获取最终应用软件的实际RAM使用情况.
表27.
RAM_SM_2SM代码RAM_SM_2说明应用软件的堆栈加固所有权终端用户具体实现堆栈加固方法用于增强应用软件在发生影响地址解码器的SRAM故障时的稳健性.
该方法基于源代码修改,在堆栈传递至被调用函数的信息中引入信息冗余.
如果最终的应用软件结构与编译器设置之间的组合要求大量使用堆栈来传递函数参数,则方法的作用十分重要.
实现过程与方法CPU_SM_4相同错误报告参见CPU_SM_4故障检测时间参见CPU_SM_4已解决故障模型参见CPU_SM_4参考安全架构UM233134/130UM2331Rev1[EnglishRev2]取决于MCU配置参见CPU_SM_4初始化参见CPU_SM_4周期性参见CPU_SM_4诊断测试参见CPU_SM_4多故障保护参见CPU_SM_4建议和已知限制参见CPU_SM_4表27.
RAM_SM_2(续)表28.
RAM_SM_3SM代码RAM_SM_3说明应用软件中安全相关变量的信息冗余所有权终端用户具体实现为了解决影响SRAM控制器的瞬时故障,要求对保存在RAM中的安全相关系统变量实现信息冗余.
该方法实现的指导原则如下:–充分识别并记录安全相关系统变量(就RAM读取故障导致的错误值会影响安全功能这一点而言).
–对于基于此类变量的算术计算或决策,执行两次并比较两个最终结果.
–在两个冗余位置保存和更新安全相关变量,并在使用数据之前检查比较结果.
–枚举字段必须使用非平凡值,每PST至少进行一次一致性检查–必须通过编码校验和(例如,CRC)保护SRAM中保存的数据向量错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该安全方法的实现与Cortex-M7的已预见方法(CPU_SM_1)存在部分重叠;因此,两种方法的实现都可以进行优化.
UM2331Rev1[EnglishRev2]35/130UM2331参考安全架构130表29.
RAM_SM_4SM代码RAM_SM_4说明应用软件中的控制流监控所有权终端用户具体实现如果从SRAM执行终端用户应用软件,则影响存储器(存储单元和地址解码器)的永久和瞬时故障可能干扰程序执行.
为了解决此类故障,需要实施该方法.
有关实现的详细信息,参见CPU_SM_1的说明.
错误报告取决于具体实现故障检测时间取决于具体实现.
看门狗超时间隔为上限.
已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试NA多故障保护CPU_SM_0:核心定期自检软件建议和已知限制仅在从SRAM执行应用软件时需要.
CPU_SM_1的正确实现消除了此要求表30.
RAM_SM_5SM代码RAM_SM_5说明RAM中应用软件的定期完整性测试所有权终端用户具体实现如果在RAM中执行应用软件或诊断库,则需要保护代码本身的完整性,防止软错误损坏和相关代码突变.
该方法必须定期通过校验和计算技术检查所保存代码的完整性(每PST至少一次).
关于实现详情,参见类似方法FLASH_SM_0错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性定期诊断测试可根据选择的测试实现设计策略,在软件中嵌入自诊断功能.
多故障保护CPU_SM_0:核心定期自检软件CPU_SM_1:应用软件中的控制流监控建议和已知限制只能在从RAM执行应用软件或诊断库时实现该方法.
参考安全架构UM233136/130UM2331Rev1[EnglishRev2]表31.
RAM_SM_6SM代码RAM_SM_6说明读保护(RDP),写保护(WRP)所有权ST具体实现可使用这些保护功能保护SRAM2存储器,防止非法读/写或擦除.
通过这些技术与相关的不同保护级别的组合,终端用户能够构建有效的访问保护政策.
错误报告参见功能文档-某些情况下会生成HardFault错误故障检测时间参见功能文档已解决故障模型系统取决于MCU配置SRAM2大小因产品编号而异初始化不需要周期性连续诊断测试不需要多故障保护不需要建议和已知限制SRAM2访问政策的硬件随机故障检测功能仅限于主要影响程序计数器和SRAM2接口功能的少数几种边际故障模式.
因此,在STM32H7系列安全理念的框架内,相关的诊断覆盖率预期将不那么重要表32.
RAM_SM_7SM代码RAM_SM_7说明SRAM上的ECC所有权ST具体实现通过ECC(纠错码)保护内部SRAM,在双字(64位)层面实现保护功能:–一位错误:纠正–两位错误:检测错误报告参见功能文档故障检测时间在存储器读取期间检查ECC位.
已解决故障模型永久/瞬时取决于MCU配置无初始化无周期性连续诊断测试不需要多故障保护–RAM_SM_0:闪存的定期软件测试(1)–DIAG_SM_0:硬件诊断配置寄存器的定期回读建议和已知限制参见脚注(1)1.
FMEDA快照文档包含有关FLASH_SM_0建议频率的信息.
UM2331Rev1[EnglishRev2]37/130UM2331参考安全架构1303.
6.
4系统总线架构表33.
RAM_SM_8SM代码RAM_SM_8说明通过软件定期测试SRAM地址解码器所有权ST或终端用户具体实现影响SRAM接口地址解码器的永久故障通过专用软件测试来处理,该测试检查存储单元内容是否符合预期值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置SRAM大小因RPN而异初始化不需要周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制可能与RAM_SM_0实现存在重叠.
表34.
BUS_SM_0SM代码BUS_SM_0说明互连的定期软件测试所有权终端用户具体实现需定期测试片内连接资源(总线矩阵、AHB或APB桥)进行永久故障检测.
请注意,STM32H7系列MCU没有用于保护这些结构的硬件安全机制.
测试执行这些共享资源的连接测试,包括外设之间仲裁机制的测试.
根据IEC61508:2表A.
8和A.
7.
4,该方法被认为能够达到高覆盖率错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制可将实现视为与一些外设要求的广泛使用的"配置寄存器的定期回读"存在大部分重叠.
参考安全架构UM233138/130UM2331Rev1[EnglishRev2]表35.
BUS_SM_1SM代码BUS_SM_1说明片内数据交换中的信息冗余所有权终端用户具体实现该方法要求为MCU内部交换的每条数据消息添加某种冗余(例如,数据包层面的CRC校验和).
在使用数据之前,通过应用软件使用校验和验证消息完整性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制实现可能与要求为通信外设提供数据消息信息冗余的其他安全机制存在大部分重叠.
因此,可以进行优化.
表36.
LOCK_SM_0SM代码LOCK_SM_0说明配置选项的锁定机制所有权ST具体实现STM32H7系列MCU提供扩展保护,防止某些外设和系统寄存器发生意外的配置更改(例如,PVD_LOCK、定时器);扩展保护检测软件应用中的系统故障.
鼓励使用该方法增强终端应用在发生系统故障时的稳健性.
错误报告未生成(被锁定时,将忽略寄存器重写)故障检测时间NA已解决故障模型无(仅系统故障)取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护不需要建议和已知限制无相关DC,因为该测试处理系统故障.
UM2331Rev1[EnglishRev2]39/130UM2331参考安全架构1303.
6.
5EXTI控制器表37.
NVIC_SM_0SM代码NVIC_SM_0说明配置寄存器的定期回读所有权终端用户具体实现通过定期检查配置寄存器以确定是否有系统外设不符合其预期值来实现该测试.
预期值之前被保存在RAM中,并在每次配置更改后及时更新.
该方法主要通过检测寄存器内容中的位翻转来解决影响配置寄存器的瞬时故障.
它还解决寄存器上的永久故障,因为会在外设更新后在PST中至少执行一次该方法.
对于在设置错误时其内容可能干扰NVIC或EXTI行为的任何配置寄存器,都必须实现该方法.
检查对象包括NVIC向量表.
根据先进的汽车安全标准ISO26262,该方法可获得高诊断覆盖率(参见ISO26262:5,表D.
4)在签名概念的基础上,可以实现一种对SRAM空间要求更低的备选有效实现:–连续读取要检查的外设寄存器,计算CRC校验和(鼓励使用硬件CRC)–将获得的签名与标准值进行比较(在每次寄存器更新后以相同方式计算,并保存在SRAM中)–通过应用软件检查签名的一致性-将签名不匹配视为检测失败.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化必须在自举后执行首次检查之前读取配置寄存器的值.
周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法只解决影响配置寄存器的故障,而不是外设核心逻辑或外部接口.
必须注意包含配置与状态位的混合组合的寄存器.
在保存影响签名的寄存器内容之前,必须使用掩码,并执行相关检查以避免假阳性检测.
表38.
NVIC_SM_1SM代码NVIC_SM_1说明预期和意外中断检查所有权终端用户参考安全架构UM233140/130UM2331Rev1[EnglishRev2]3.
6.
6直接存储器访问控制器(DMA、MDMA、BDMA)具体实现根据IEC61508:2表A.
1的建议,必须实现针对中断连续、缺失或交叉的诊断措施.
在应用软件层面实现预期和意外中断检查方法.
方法实现的指导原则如下:–充分记录MCU的已实现中断列表,并尽可能报告每个请求的预期频率(例如与ADC转换完成相关的中断,因此是一种确定的方式).
–为服务的每种中断请求提供单独的计数器,以便检测给定时间帧内的中断请求a)是否一个中断也没有b)是否过多中断("乱语"中断源).
必须按照具体的中断预期频率调整对时间帧持续时间的控制.
–与未使用的中断源相关的中断向量指向默认处理程序,它会在触发时报告故障情况(意外中断).
–如果不同的源之间共享中断服务例程,则实现对调用者身份的真实性检查.
–使用此处描述的相同方法处理与非安全相关外设相关的中断请求,不考虑它们的发起者安全分类.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为了降低方法实现的复杂性,建议使用轮询技术(如可能)而不是中断来实现终端系统.
表38.
NVIC_SM_1(续)表39.
DMA_SM_0SM代码DMA_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对DMA配置寄存器和通道地址寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0UM2331Rev1[EnglishRev2]41/130UM2331参考安全架构130多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表39.
DMA_SM_0(续)表40.
DMA_SM_1SM代码DMA_SM_1说明通过DMA传输的数据包的信息冗余所有权终端用户具体实现通过使用编码功能为DMA传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
完整数据包冗余是一种过度行为.
校验和编码功能必须足够稳健,以保证数据包中单个位翻转的发现概率至少为90%在使用数据之前,必须通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
表41.
DMA_SM_2SM代码DMA_SM_2说明通过DMA传输的数据包的信息冗余,包括发送者和接收者标识符所有权终端用户具体实现该方法有助于识别MCU内部通过DMA交换的消息的来源和发起者.
通过为受保护消息添加额外字段来实现,MCU层面有固定的编码约定用于识别消息类型.
识别字段的指导原则如下:–DMA事务的每一对可能的发送者或接收者必须具有不同的识别字段值–选择的值必须是枚举型非平凡值–在使用数据之前,通过应用软件检查识别字段值与消息类型是否相符.
当与DMA_SM_4一起实现时,该方法在源和目标实体之间提供一种"虚拟通道"错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现参考安全架构UM233142/130UM2331Rev1[EnglishRev2]周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表41.
DMA_SM_2(续)表42.
DMA_SM_3SM代码DMA_SM_3说明DMA的定期软件测试所有权终端用户具体实现该方法要求定期测试DMA基础功能,通过从一个源到另一个源(例如,从存储器到存储器)的数据包确定传输和在目标上检查消息传输的正确性来实现.
数据包由非平凡模式构成(避免使用值0x0000、0xFFFF),且其组织方式允许在检查以下故障期间进行检测:–不完全打包传输–单个传输字中发生错误–打包传输数据中的顺序错误错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表43.
DMA_SM_4SM代码DMA_SM_4说明DMA事务感知所有权终端用户具体实现DMA事务是非确定性事务,因为它通常由外部事件驱动,例如通信消息接收.
总之,设计周密的安全系统必须尽可能全面地控制事件-例如可参考IEC61508:3表格2第13项要求了解软件架构.
该方法建立在系统已知预期DMA事务的频率和类型的基础上.
例如,外接传感器应定期向STM32外设发送某些消息.
通过专用状态机监控DMA事务,将能够检测缺失或意外的DMA活动.
错误报告取决于具体实现故障检测时间取决于具体实现UM2331Rev1[EnglishRev2]43/130UM2331参考安全架构1303.
6.
7Chrom-ArtAccelerator控制器(DMA2D)已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制由于DMA事务终止通常与中断生成有关,可将该方法的实现与安全机制NVIC_SM_1(预期和意外中断检查)合并表43.
DMA_SM_4(续)表44.
DMA2D_SM_0SM代码DMA2D_SM_0说明配置寄存器的定期回读所有权终端用户具体实现应对DMA2D配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表45.
DMA2D_SM_1SM代码DMA2D_SM_1说明DMA2D功能的定期软件测试所有权终端用户参考安全架构UM233144/130UM2331Rev1[EnglishRev2]具体实现此方法需要定期测试DMA2D基本功能,这包括对不同存储器之间的一组"测试图像"进行确定性传输和处理,检查是否正确执行(输出图像必须按照规范生成).
可以通过诸如CRC指纹计算等快速方法来执行输出图像的正确性检查.
测试定义必须能够涵盖以下DMA2D基本功能:–完整的图像副本–可使用特定颜色进行图像填充–图像部分的复制–像素格式转换–两种不同图像的混合模块上实现的诊断覆盖率取决于所执行的测试的数量和方差.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制原则上,此测试套件实施可以排除安全性应用程序未使用的DMA2D基本功能.
表45.
DMA2D_SM_1(续)表46.
DMA2D_SM_2SM代码DMA2D_SM_2说明DMA处理和中断感知所有权终端用户具体实现此方法建立在系统已知预期DMA事务的频率和类型的基础上.
一般情况下,图像处理系统基于图像成帧到达和处理的确定性时序.
因此,本方法需要监控图像处理的预期执行;在使用中断生成的情况下,还需要监控其正确时序和顺序.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制实施本方法时可以合并安全机制NVIC_SM_1:预期和意外中断检查UM2331Rev1[EnglishRev2]45/130UM2331参考安全架构130注:如果DMA2D执行的图像处理用于实现安全功能,则从系统层面上进行综合考虑(作为对象识别结果的一致性检查)可以保证额外的诊断覆盖率.
类似地,系统级数据冗余方案(例如,基于处理多个图像帧序列的算法)可使瞬态故障率相应降低.
3.
6.
8硬件信号量(HSEM)表47.
HSEM_SM_0SM代码HSEM_SM_0说明配置寄存器的定期回读所有权终端用户具体实现应对HSEM配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表48.
HSEM_SM_1SM代码HSEM_SM_1说明并发任务的控制流监控所有权终端用户具体实现此方法旨在监控使用HSEM信号量方法进行同步的软件任务是否正确执行.
通过软件,借助系统看门狗(内部或外部),实现上述方法.
必须将看门狗定期复位功能限制在信号量同步的各个软件任务的正确时序执行方面.
错误报告取决于具体实现故障检测时间取决于具体实现.
看门狗超时间隔为上限.
已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试N/A参考安全架构UM233146/130UM2331Rev1[EnglishRev2]3.
6.
9单线协议主接口(SWPMI)多故障保护CPU_SM_0:核心定期自检软件建议和已知限制此方法必须扩展到使用HSEM信号量功能进行同步的所有软件任务上,无论软件性质如何(安全相关或非安全相关).
此实现方法必须考虑使用CPU_SM_1带来的潜在重叠/优化.
表48.
HSEM_SM_1(续)表49.
SWPMI_SM_0SM代码SWPMI_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对SWPMI配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表50.
SWPMI_SM_1SM代码SWPMI_SM_1说明协议错误信号和信息冗余,包括硬件CRC所有权ST具体实现SWPMI通信基于帧处理理念,包含硬件同步信号、帧结构组成和硬件计算的CRC字段的组合.
实现该机制的主要目的是管理现场通信干扰,它能够在多个SWMPI模块故障模式下达到相当高的诊断覆盖率.
错误报告在相关寄存器中通过标志位报告错误状态故障检测时间取决于外设配置和检测到的违规类型,参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试N/AUM2331Rev1[EnglishRev2]47/130UM2331参考安全架构130多故障保护SWPMI_SM_0:SWPMI配置寄存器的定期回读.
SWPMI_SM_2:SWMPI环回测试建议和已知限制该方法不能处理与各方之间的时间握手相关的所有IEC61508故障模式(例如,重新排序和重复),因此需要引入SWPMI_SM_3.
表50.
SWPMI_SM_1(续)表51.
SWPMI_SM_2SM代码SWPMI_SM_2说明SWMPI环回测试所有权终端用户具体实现通过使用SWPMI模块环回功能,可以模拟SWPI帧的发送和在接收时交叉检查预期结果.
错误报告在相关寄存器中通过标志位报告错误状态故障检测时间取决于外设配置和检测到的违规类型,请参见功能文档已解决故障模型永久取决于MCU配置无初始化应使能环回模式周期性定期诊断测试N/A多故障保护SWPMI_SM_0:SWPMI配置寄存器的定期回读.
建议和已知限制-表52.
SWPMI_SM_3SM代码SWPMI_SM_3说明消息的信息冗余技术,用于实现全面的端到端安全所有权终端用户具体实现该方法旨在保护外设与其外部对等体之间的通信,建立一种"受保护"通道.
其目的是专门解决IEC61508:2第7.
4.
11.
1款中描述的通信故障模式.
方法实现的指导原则如下:–在有效负载中添加的额外字段报告发送者/接收者的唯一标识和唯一的增序数据包号.
–消息交换的时序监控(例如,检查消息是否在预期时间窗内到达),从而检测缺失的消息到达条件–应用软件应在使用数据包之前验证其一致性(CRC检查)、合法性(发送者/接收者)和顺序正确性(序号检查,包未丢失).
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现参考安全架构UM233148/130UM2331Rev1[EnglishRev2]3.
6.
10FD控制器局域网络(FDCAN)周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程SWMPI对等体具有执行所述检查的同等能力.
SWMPI_SM_1的存在简化了该方法.
该方法的要求与事务安全保护的实现之间可能存在大部分重叠.
表52.
SWPMI_SM_3(续)表53.
CAN_SM_0SM代码CAN_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对CAN配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表54.
CAN_SM_1SM代码CAN_SM_1说明协议错误信号所有权ST具体实现CAN通信模块内置协议错误检查(例如,错误计数器),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
通常在标准通信软件中处理连接到这些检查器的错误信号,从而减少开销.
错误报告在相关CAN寄存器中通过标志位报告若干错误状态.
故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无UM2331Rev1[EnglishRev2]49/130UM2331参考安全架构1303.
6.
11通用同步/异步收发器(USART1/2/3/4/5/6/7/8,LPUART1)初始化取决于具体实现周期性连续诊断测试NA多故障保护CAN_SM_2:消息的信息冗余技术,包括端到端安全建议和已知限制无表54.
CAN_SM_1(续)表55.
CAN_SM_2SM代码CAN_SM_2说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护外设与其外部对等体之间的通信,建立一种"受保护"通道.
其目的是专门解决IEC61508:2第7.
4.
11.
1款中描述的通信故障模式.
方法实现的指导原则如下:–必须通过信息冗余检查保护(封装)数据包,例如计算数据包的CRC校验和并添加到有效负载.
校验和编码功能必须足够稳健,以保证数据包中单个位翻转的发现概率至少为90%.
–在有效负载中添加的额外字段报告发送者或接收者的唯一标识和唯一的增序数据包号–消息交换的时序监控(例如,检查消息是否在预期时间窗内到达),从而检测缺失的消息到达条件–应用软件必须在使用数据包之前验证其一致性(CRC检查)、合法性(发送者或接收者)和顺序正确性(序号检查,包未丢失)错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程CAN对等体具有执行所述检查的同等能力.
该方法的要求与复杂通信软件协议的实现之间可能存在大部分重叠.
由于工业应用中大量采用这些协议,因此可以进行优化.
表56.
UART_SM_0SM代码UART_SM_0说明配置寄存器的定期回读所有权终端用户参考安全架构UM233150/130UM2331Rev1[EnglishRev2]具体实现必须对UART配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表56.
UART_SM_0(续)表57.
UART_SM_1SM代码UART_SM_1说明协议错误信号所有权ST具体实现USART通信模块内置协议错误检查(例如,额外校验位检查、上溢和帧错误),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
通常在标准通信软件中处理连接到这些检查器的错误信号,从而减少开销.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护UART_SM_2:消息的信息冗余技术建议和已知限制USART通信模块具备多种不同配置-通信错误检查的实际构成取决于选择的配置.
表58.
UART_SM_2SM代码UART_SM_2说明消息的信息冗余技术所有权终端用户UM2331Rev1[EnglishRev2]51/130UM2331参考安全架构130具体实现通过使用编码功能为UART传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能必须足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,必须通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程UART对等体具有执行所述检查的同等能力.
不应使用传输完全冗余(消息重复),因为其检测能力仅限于通信单元故障模式的一个子集.
举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
表58.
UART_SM_2(续)表59.
UART_SM_3SM代码UART_SM_3说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护外设与其外部对等体之间的通信.
参见CAN_SM_2说明获取详细信息.
错误报告参见CAN_SM_2故障检测时间参见CAN_SM_2已解决故障模型参见CAN_SM_2取决于MCU配置参见CAN_SM_2初始化参见CAN_SM_2周期性参见CAN_SM_2诊断测试参见CAN_SM_2多故障保护参见CAN_SM_2建议和已知限制假定远程UART对等体具有执行所述检查的同等能力.
参见CAN_SM_2获取更多信息.
参考安全架构UM233152/130UM2331Rev1[EnglishRev2]3.
6.
12内部集成电路(I2C1/2/3/4)表60.
IIC_SM_0SM代码IIC_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对I2C配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表61.
IIC_SM_1SM代码IIC_SM_1说明协议错误信号所有权ST具体实现I2C通信模块内置协议错误检查(例如,上溢、下溢、数据包等),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护IIC_SM_2:消息的信息冗余技术建议和已知限制采用SMBus选项将授权激活更高效的协议层面硬件检查,例如CRC-8数据包保护UM2331Rev1[EnglishRev2]53/130UM2331参考安全架构130表62.
IIC_SM_2SM代码IIC_SM_2说明消息的信息冗余技术所有权终端用户具体实现通过使用编码功能为I2C传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能必须足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,必须通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程I2C对等体具有执行所述检查的同等能力.
不得使用传输完全冗余(消息重复),因为其检测能力仅限于通信单元故障模式的一个子集.
举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
如果能够通过硬件插入CRC,则以IIC_SM_3取代该方法表63.
IIC_SM_3SM代码IIC_SM_3说明CRC数据包层面所有权ST具体实现I2C通信模块能够为特定操作模式(SMBus)激活向包数据自动插入(和检查)CRC校验和.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护IIC_SM_2:消息的信息冗余技术建议和已知限制无参考安全架构UM233154/130UM2331Rev1[EnglishRev2]3.
6.
13串行外设接口(SPI)1/2/3/4/5/6表64.
IIC_SM_4SM代码IIC_SM_4说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护I2C外设与其外部对等体之间的通信.
参见CAN_SM_2说明获取详细信息.
错误报告参见CAN_SM_2故障检测时间参见CAN_SM_2已解决故障模型参见CAN_SM_2取决于MCU配置参见CAN_SM_2初始化参见CAN_SM_2周期性参见CAN_SM_2诊断测试参见CAN_SM_2多故障保护参见CAN_SM_2建议和已知限制假定远程I2C对等体具有执行所述检查的同等能力.
参见CAN_SM_2获取更多信息.
表65.
SPI_SM_0SM代码SPI_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对SPI配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0UM2331Rev1[EnglishRev2]55/130UM2331参考安全架构130表66.
SPI_SM_1SM代码SPI_SM_1说明协议错误信号所有权ST具体实现SPI通信模块内置协议错误检查(例如,上溢、下溢、超时等),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试NA多故障保护SPI_SM_2:消息的信息冗余技术建议和已知限制无表67.
SPI_SM_2SM代码SPI_SM_2说明消息的信息冗余技术所有权终端用户具体实现通过使用编码功能为SPI传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能必须足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,必须通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程SPI对等体具有执行所述检查的同等能力.
不应使用传输完全冗余(消息重复),因为其检测能力仅限于通信单元故障模式的一个子集.
举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
如果能够通过硬件插入CRC,则以SSP_SM_3取代该方法.
参考安全架构UM233156/130UM2331Rev1[EnglishRev2]表68.
SPI_SM_3SM代码SPI_SM_3说明CRC数据包层面所有权ST具体实现SPI通信模块能够激活向包数据自动插入(和检查)CRC-8或CRC-18校验和错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护SPI_SM_2:消息的信息冗余技术建议和已知限制无表69.
SPI_SM_4SM代码SPI_SM_4说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护SPI外设与其外部对等体之间的通信.
参见CAN_SM_2说明获取详细信息.
错误报告参见CAN_SM_2故障检测时间参见CAN_SM_2已解决故障模型参见CAN_SM_2取决于MCU配置参见CAN_SM_2初始化参见CAN_SM_2周期性参见CAN_SM_2诊断测试参见CAN_SM_2多故障保护参见CAN_SM_2建议和已知限制假定远程SPI对等体具有执行所述检查的同等能力.
参见CAN_SM_2获取更多信息.
UM2331Rev1[EnglishRev2]57/130UM2331参考安全架构1303.
6.
14USBon-the-go高速(OTG_HS)表70.
USB_SM_0SM代码USB_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对USB配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表71.
USB_SM_1SM代码USB_SM_1说明协议错误信号所有权ST具体实现USB通信模块内置协议错误检查(例如,上溢、下溢、NRZI、比特填充等),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护USB_SM_2:消息的信息冗余技术建议和已知限制无参考安全架构UM233158/130UM2331Rev1[EnglishRev2]表72.
USB_SM_2SM代码USB_SM_2说明消息的信息冗余技术所有权ST或终端用户具体实现实现所需消息信息冗余,USB通信模块具备硬件功能.
它本质上能够激活向包数据自动插入(和检查)CRC校验和.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化错误报告配置(如果计划了中断事件)周期性连续诊断测试不需要多故障保护USB_SM_2:消息的信息冗余技术建议和已知限制无表73.
USB_SM_3SM代码USB_SM_3说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护USB外设与其外部对等体之间的通信.
参见CAN_SM_2说明获取详细信息错误报告参见CAN_SM_2故障检测时间参见CAN_SM_2已解决故障模型参见CAN_SM_2取决于MCU配置参见CAN_SM_2初始化参见CAN_SM_2周期性参见CAN_SM_2诊断测试参见CAN_SM_2多故障保护参见CAN_SM_2建议和已知限制当使用了USB批量或同步传输时,该方法适用.
对于其他传输模式,USB硬件协议已实现该要求的多个特性.
参见CAN_SM_2获取更多说明UM2331Rev1[EnglishRev2]59/130UM2331参考安全架构1303.
6.
15模数转换器(ADC)表74.
ADC_SM_0SM代码ADC_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对ADC配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表75.
ADC_SM_1SM代码ADC_SM_1说明通过应用软件进行多重采集所有权终端用户具体实现该方法通过对同一输入信号执行多重采集来实现时序信息冗余.
然后,通过滤波器算法组合多重采集数据以确定信号的正确值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制通常通过终端用户应用软件的设计来满足该建议.
在工业应用中,在使用多重采集后进行平均操作是一种常用技术,用于克服传感器线上的伪EMI干扰.
参考安全架构UM233160/130UM2331Rev1[EnglishRev2]表76.
ADC_SM_2SM代码ADC_SM_2说明通过应用软件进行范围检查所有权终端用户具体实现方法实现的指导原则如下:–调查并充分记录要获取的数据的预期范围.
请注意,在设计良好的应用中,正常操作期间的输入信号不大可能十分接近或超过上轨和下轨限值(信号采集饱和).
–如果应用软件识别出系统状态,将在范围检查实现中使用该信息.
例如,如果ADC值是通过功率负载的电流测量值,读取到异常值(例如电流与负载供应反向)可能表示采集模块中存在故障.
–由于ADC模块是可能在不同外部源之间共享的,组合采集的不同信号的真实性检查可能有助于以十分高效的方式覆盖整个输入范围.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该安全机制的实现(和相关诊断效率)严重依赖于应用.
表77.
ADC_SM_3SM代码ADC_SM_3说明ADC的定期软件测试所有权终端用户具体实现该方法的实现方式是采集多个信号并将读出值与已知的预期值进行比较.
方法实现可能有不同复杂度级别:–基础复杂度:上轨或下轨(VDD或VSS)以及内部参考电压的采集与检查–高复杂度:除了基础复杂度测试,还采集连接到ADC输入的DAC输出并检查所有电压偏移和线性度错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要UM2331Rev1[EnglishRev2]61/130UM2331参考安全架构1303.
6.
16数模转换器(DAC)多故障保护CPU_SM_0:核心定期自检软件建议和已知限制可使用两种不同复杂度方法的组合来更好地优化高需求安全功能的测试频率.
表77.
ADC_SM_3(续)表78.
ADC_SM_4SM代码ADC_SM_4说明ADC输入的1oo2方案所有权终端用户具体实现该安全机制的实现方法是,使用两个不同SARADC通道采集相同输入信号.
应用软件检查两个读数是否一致.
建议使用属于不同ADC模块的两个不同ADC通道.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护ADC_SM_0:ADC配置寄存器的定期回读建议和已知限制该方法可与ADC_SM_0/ADC_SM_2/ADC_SM_3结合使用,以达到最高ADC模块诊断覆盖率.
表79.
DAC_SM_0SM代码DAC_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对DAC配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0参考安全架构UM233162/130UM2331Rev1[EnglishRev2]3.
6.
17基本定时器TIM6/7多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表79.
DAC_SM_0(续)表80.
DAC_SM_1SM代码DAC_SM_1说明ADC通道上的DAC输出环回所有权终端用户具体实现通过将激活的DAC输出路由到一个ADC通道并检查输出电流值是否符合其预期值来实现.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续或按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制处理瞬时故障的效率与最终应用的特性有关.
我们将Tm定义为触发相关安全功能所需的DAC错误信号的最短持续时间.
执行测试频率高于1/Tm时效率最高.
表81.
GTIM_SM_0SM代码GTIM_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对通用计数器定时器TIM6或TIM7配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0UM2331Rev1[EnglishRev2]63/130UM2331参考安全架构1303.
6.
18高级、通用、高分辨率和低功耗定时器(TIM1/2/3/4/5/8/12/13/14/15/16/17、HRTIM和LPTIM)注:由于定时器配备许多不同通道,这些通道彼此独立,并能设定用于执行不同任务,因此要为每个通道单独选择安全机制.
多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表81.
GTIM_SM_0(续)表82.
GTIM_SM_1SM代码GTIM_SM_1说明计数定时器的1oo2所有权终端用户具体实现该方法通过软件在两个计数资源之间实现1oo2方案.
方法实现的指导原则如下:–使用相同时基或频率设定两个定时器.
–对于用作时基的定时器:在应用软件中使用一个定时器作为时基源,另一个仅用于检查.
在应用层面执行1oo2的一致性检查,在每次使用定时器值时比较两个计数器值以影响安全功能.
–在中断生成时使用:使用第一个定时器作为服务例程的主要中断源,并使用第二个定时器作为中断例程开始时要检查的"参考".
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为避免得到假阳性诊断结果,建议在定时器检查中实现容差.
表83.
ATIM_SM_0SM代码ATIM_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对高级、通用、高分辨率和低功耗定时器TIM1/2/3/4/5/8/12/13/14/15/16/17、HRTIM和LPTIM配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0参考安全架构UM233164/130UM2331Rev1[EnglishRev2]已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表83.
ATIM_SM_0(续)表84.
ATIM_SM_1SM代码ATIM_SM_1说明计数定时器的1oo2所有权终端用户具体实现该方法通过软件在两个计数资源之间实现1oo2方案.
方法实现的指导原则如下:–使用相同时基或频率设定两个定时器.
–对于用作时基的定时器:在应用软件中使用一个定时器作为时基源,另一个仅用于检查.
在应用层面执行1oo2的一致性检查,在每次使用定时器值时比较两个计数器值以影响安全功能.
–在中断生成时使用:使用第一个定时器作为服务例程的主要中断源,并使用第二个定时器作为中断例程开始时要检查的"参考".
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为避免得到假阳性诊断结果,建议在定时器检查中实现容差.
该方法适用于只用作经过时间计数器的定时器通道.
表85.
ATIM_SM_2SM代码ATIM_SM_2说明输入捕获定时器的1oo2所有权终端用户UM2331Rev1[EnglishRev2]65/130UM2331参考安全架构130具体实现该方法设计用于保护用于外部信号捕获和测量(例如"输入捕获"和"编码器读取")的定时器.
方法实现要求将外部信号也连接到冗余定时器,并在应用层面对测得的数据执行一致性检查.
定时器之间的一致性检查将在每次应用软件使用读数时执行.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为减少共因故障的潜在影响,建议对属于不同定时器模块并映射到器件封装上非相邻引脚的通道使用冗余检查.
表85.
ATIM_SM_2(续)表86.
ATIM_SM_3SM代码ATIM_SM_3说明PWM输出的环回方案所有权终端用户具体实现通过将PWM连接到单独的定时器通道以获取生成的波形特性来实现该方法.
指导原则如下:–测量PWM频率和占空比并检查是否符合预期值.
–为减少共因故障的潜在影响,建议对属于不同定时器模块并映射到器件封装上非相邻引脚的通道使用环回检查.
该措施可以由终端用户负责用最终应用中已有的评级相同的其他环回方案来取代.
例如,如果使用PWM驱动外部功率负载,可以使用在线电流值的读数而不是PWM占空比测量值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制处理瞬时故障的效率与最终应用的特性有关.
我们将Tm定义为触发相关安全功能所需的PWM错误信号(错误频率、错误占空比或二者兼有)的最短持续时间.
执行测试频率高于1/Tm时效率最高参考安全架构UM233166/130UM2331Rev1[EnglishRev2]注:这里没有单独提及IRTIM,它主要通过TIM16和TIM17功能实现.
请参见相关指示.
3.
6.
19通用输入/输出(GPIO)-端口A/B/C/D/E/F/G/H/I/J/K表87.
ATIM_SM_4SM代码ATIM_SM_4说明定时器的锁定位保护所有权ST具体实现该安全机制使终端用户能够锁定指定的配置选项,避免应用软件进行意外修改.
因此,它解决软件开发的系统故障.
错误报告NA故障检测时间NA已解决故障模型无(避错)取决于MCU配置无初始化必须使用TIMx_BDTR寄存器中的LOCK位使能锁定保护.
周期性连续诊断测试NA多故障保护NA建议和已知限制该方法不解决软错误导致的定时器配置变化.
表88.
GPIO_SM_0SM代码GPIO_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对GPIO配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置GPIO可用性因产品编号而异初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0UM2331Rev1[EnglishRev2]67/130UM2331参考安全架构130表89.
GPIO_SM_1SM代码GPIO_SM_1说明输入GPIO线的1oo2所有权终端用户具体实现该方法适用于将GPIO线用作输入的情况.
通过将外部的安全相关信号连接到两个独立的GPIO线来实现.
在每次使用信号影响应用软件的行为时,应用软件比较两个GPIO值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为了减少共因故障的潜在影响,建议使用GPIO线:–属于不同I/O端口(例如,端口A和B)–具有不同位号(例如,端口A.
1和端口B.
5)–映射到器件封装上的不相邻引脚表90.
GPIO_SM_2SM代码GPIO_SM_2说明输出GPIO线的环回模式所有权终端用户具体实现该方法适用于将GPIO线用作输出的情况.
通过环回方案(将输出连接到设定为输入的不同GPIO线)和使用输入线检查输出端口的预期值来实现.
应用软件定期执行并在每次更新输出时执行比较.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要参考安全架构UM233168/130UM2331Rev1[EnglishRev2]3.
6.
20实时时钟模块(RTC)多故障保护CPU_SM_0:核心定期自检软件建议和已知限制为了减少共因故障的潜在影响,建议使用GPIO线:–属于不同I/O端口(例如,端口A和B)–具有不同位号(例如,端口A.
1和端口B.
5)–映射到器件封装上的不相邻引脚处理瞬时故障的效率与最终应用的特性有关.
我们将Tm定义为触发相关安全功能所需的GPIO输出错误信号的最短持续时间.
执行测试频率高于1/Tm时效率最高表90.
GPIO_SM_2(续)表91.
GPIO_SM_3SM代码GPIO_SM_3说明GPIO端口配置锁定寄存器所有权ST具体实现该安全机制防止GPIO寄存器发生配置变化;因此,它解决软件应用中的系统故障.
鼓励使用该方法增强终端应用在发生系统故障时的稳健性错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型无(仅系统故障)取决于MCU配置无初始化在应用软件写入最终的GPIO配置后,必须对GPIOx_LCKR的位16(LCKK)应用正确的写序列.
周期性连续诊断测试不需要多故障保护不需要建议和已知限制该方法不解决可能在运行时间导致GPIO寄存器上位翻转的瞬时故障(软错误).
表92.
RTC_SM_0SM代码RTC_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对RTC配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0UM2331Rev1[EnglishRev2]69/130UM2331参考安全架构130周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表92.
RTC_SM_0(续)表93.
RTC_SM_1SM代码RTC_SM_1说明运行RTC的应用检查所有权终端用户具体实现应用软件对RTC日历或时序数据实施某种真实性检查,主要在上电后和RTC执行后续日期读取后.
方法实现的指导原则如下:–使用RTC备份寄存器保存编码信息,以便检测掉电期间是否缺失VBAT.
–使用RTC备份寄存器按当前日期或时间定期保存压缩信息–应用软件在上电后执行最低限度的日期读数一致性检查(检测"过去"日期或时间检索).
–应用软件定期检查RTC是否真正在运行,方法是读取RTC时间戳进度并与基于STM32内部时钟或定时器的经过时间测量值进行比较.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法为RTC故障模式提供有限的诊断覆盖率.
对于RTC时间戳精度可能严重影响安全功能(例如,医疗数据存储设备)的终端用户应用,强烈建议采用更有效的系统层面措施.
表94.
RTC_SM_2SM代码RTC_SM_2说明备份寄存器的信息冗余所有权终端用户具体实现必须通过具有编码功能的校验和(例如,CRC)保护RTC备份寄存器中保存的数据.
在使用保存的数据之前,应用软件必须检查校验和.
该方法将保证数据不会因备用电池故障而被擦除.
错误报告取决于具体实现参考安全架构UM233170/130UM2331Rev1[EnglishRev2]3.
6.
21电源控制故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该安全方法的实现与Cortex-M7的已预见方法(CPU_SM_1)存在部分重叠;因此,两种方法的实现都可以进行优化.
表94.
RTC_SM_2(续)表95.
RTC_SM_3SM代码RTC_SM_3说明用于检测时间戳/事件捕获中的故障的应用层面措施所有权终端用户具体实现该方法必须能够检测影响RTC功能的故障,以便正确执行时间戳/事件捕获功能.
由于该解决方案严格取决于应用,此处未给出其实现方式的详细指导原则.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性定期/按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制仅当在安全功能实现中使用了时间戳/事件捕获功能时,才必须使用该方法.
请注意,假定要求ASR7(参考第3.
3.
1节)禁止在MCU处于睡眠或停止模式的安全相关应用中使用时间戳/事件捕获.
表96.
VSUP_SM_0SM代码VSUP_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0UM2331Rev1[EnglishRev2]71/130UM2331参考安全架构130故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表96.
VSUP_SM_0(续)表97.
VSUP_SM_1SM代码VSUP_SM_1说明电源电压内部监控(PVD)所有权ST具体实现该器件还有一个嵌入式可编程电压检测器(PVD),用于监视VDD电源并将其与VPVD阈值进行比较.
当VDD低于VPVD阈值或VDD高于VPVD阈值时,将产生中断.
错误报告中断事件生成故障检测时间取决于阈值设定,参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化通过功率控制寄存器(PWR_CR)中的PVDE位和阈值设定使能保护周期性连续诊断测试VSUP_SM_0:配置寄存器的定期回读多故障保护CPU_SM_5:外部看门狗建议和已知限制内部监控PVD解决影响STM32H7系列内部调压器的故障的能力有限.
参见设备FMEA了解详情.
表98.
VSUP_SM_2SM代码VSUP_SM_2说明独立看门狗所有权ST具体实现独立看门狗通过VDD直接馈给;因此,数字逻辑(核心或外设)电源的重大故障不会影响其行为,但可能导致IWDG超时违规.
错误报告复位信号生成故障检测时间取决于具体实现(看门狗超时间隔)已解决故障模型永久取决于MCU配置无参考安全架构UM233172/130UM2331Rev1[EnglishRev2]3.
6.
22复位和时钟控制(RCC)子系统初始化IWDG激活.
建议在选项字节设置中使用"硬件看门狗"(在复位后自动使能IWDG).
周期性连续诊断测试不需要多故障保护CPU_SM_1:应用软件中的控制流监控建议和已知限制外部看门狗(参见CPU_SM_5)可保证相同保护级别表98.
VSUP_SM_2(续)表99.
VSUP_SM_3SM代码VSUP_SM_3说明内部温度传感器检查所有权终端用户具体实现必须定期测试内部温度传感器,以便检测模温的异常上升-电源电压系统中的硬件故障可能导致功耗过高,进而引起温度上升.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化无周期性定期诊断测试不需要多故障保护VSUP_SM_3:电源电压内部监控(PVD)建议和已知限制该方法还降低了影响MCU和导致温度过高的共因发生的可能性.
参见数据手册以设置温度阈值.
表100.
CLK_SM_0SM代码CLK_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对时钟和复位系统的配置寄存器应用该方法(参见RCC寄存器映射).
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0UM2331Rev1[EnglishRev2]73/130UM2331参考安全架构130周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表100.
CLK_SM_0(续)表101.
CLK_SM_1SM代码CLK_SM_1说明时钟安全系统(CSS)所有权ST具体实现时钟安全系统(CSS)检测HSE时钟活动的丧失并执行相应的恢复操作,例如:–关闭HSE–切换到HSI–相关NMI生成错误报告NMI故障检测时间取决于具体实现(时钟频率值)已解决故障模型永久和瞬时取决于MCU配置无初始化自举稳定后必须在时钟中断寄存器(RCC_CIR)上使能CSS保护周期性连续诊断测试CLK_SM_0:配置寄存器的定期回读多故障保护CPU_SM_5:外部看门狗建议和已知限制建议仔细阅读关于NMI生成的参考手册说明,以便通过应用软件功能正确管理故障情况.
表102.
CLK_SM_2SM代码CLK_SM_2说明独立看门狗所有权ST具体实现独立看门狗IWDG能够检测内部主要MCU时钟(低频)的故障.
错误报告复位信号生成故障检测时间取决于具体实现(看门狗超时间隔)已解决故障模型永久取决于MCU配置无初始化IWDG激活.
建议在选项字节设置中使用"硬件看门狗"(在复位后自动使能IWDG)周期性连续诊断测试不需要参考安全架构UM233174/130UM2331Rev1[EnglishRev2]3.
6.
23独立看门狗(IWDG),系统窗口看门狗(WWDG)多故障保护CPU_SM_1:应用软件中的控制流监控建议和已知限制如果使用IWDG窗口选项,终端用户必须考虑应用软件执行中可能存在的容差,以避免伪错误报告(影响系统可用性).
表102.
CLK_SM_2(续)表103.
CLK_SM_3SM代码CLK_SM_3说明内部时钟交叉测量所有权终端用户具体实现使用TIM14功能实现该方法,TIM14功能将由32KHzRTC时钟或外部时钟源(如果有)提供.
将TIM14计数器进度与另一个计数器(通过内部时钟馈给)进行比较.
因此,可以检测振荡器频率的异常值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_1:应用软件中的控制流监控CPU_SM_5:外部看门狗建议和已知限制处理瞬时故障的效率可忽略不计.
在永久时钟相关故障模式覆盖率下,其效率仅为中等水平.
表104.
WDG_SM_0SM代码WDG_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对WDG或WDG配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0UM2331Rev1[EnglishRev2]75/130UM2331参考安全架构1303.
6.
24调试诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表104.
WDG_SM_0(续)表105.
WDG_SM_1SM代码WDG_SM_1说明启动时的看门狗软件测试所有权终端用户具体实现该安全机制确保所使用内部看门狗的正常工作.
启动时,软件测试为看门狗设定需要的过期超时,在SRAM中保存特定非平凡代码并等待复位信号.
在看门狗复位后,软件获悉看门狗已正确触发,因此不再执行该程序.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性启动(参见下文)诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制在典型的终端用户应用中,只能在启动时以及维护或离线期间执行该测试.
这与IEC61508中的"验证测试"概念有关,因此在操作时间内其诊断覆盖率贡献不能计算在内.
表106.
DBG_SM_0SM代码DBG_SM_0说明独立看门狗所有权ST具体实现硬件随机故障导致的调试意外激活将造成CPU操作的巨大干扰,引起独立看门狗或其他系统看门狗WWGDG或外部看门狗的干预.
错误报告复位信号生成故障检测时间取决于具体实现(看门狗超时间隔)已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性连续参考安全架构UM233176/130UM2331Rev1[EnglishRev2]3.
6.
25循环冗余校验模块(CRC)3.
6.
26系统配置控制器(SYSCFG)诊断测试不需要多故障保护CPU_SM_1:应用软件中的控制流监控建议和已知限制无表106.
DBG_SM_0(续)表107.
CRC_SM_0SM代码CRC_SM_0说明CRC自我覆盖所有权ST具体实现该模块中实现的CRC算法(CRC-32以太网多项式:0x4C11DB7)提供出色的消息错误检测功能.
因此,通过任何使用模块重新计算预期签名的操作,都可以容易地检测到影响CRC计算的永久和瞬时故障.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表108.
SYSCFG_SM_0SM代码SYSCFG_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对系统配置控制器配置寄存器应用该方法.
强烈建议使用该方法保护与硬件诊断激活和错误报告链相关功能有关的寄存器.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0UM2331Rev1[EnglishRev2]77/130UM2331参考安全架构1303.
6.
27SD/SDIO/MMC卡主机接口(SDMMC)周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制该方法主要与其他MCU外设所需的多个其他"配置寄存器回读"存在重叠.
记录在这里是出于完整性的考虑.
表108.
SYSCFG_SM_0(续)表109.
DIAG_SM_0SM代码DIAG_SM_0说明硬件诊断配置寄存器的定期回读所有权终端用户具体实现在STM32H7系列中,有多个基于硬件的高效安全机制(例如,闪存上的ECC)可供使用.
应对与诊断措施操作(包括错误报告)相关的任何配置寄存器应用该方法.
因此,终端用户应区别对待与以下内容有关的配置寄存器:–硬件诊断使能–中断/NMI使能(如果用于诊断错误管理)错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表110.
SDIO_SM_0SM代码SDIO_SM_0说明SDIO/SMMC配置寄存器的定期回读所有权终端用户具体实现必须对SDIO/SMMC配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0参考安全架构UM233178/130UM2331Rev1[EnglishRev2]初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表110.
SDIO_SM_0(续)表111.
SDIO_SM_1SM代码SDIO_SM_1说明包含硬件CRC的协议错误信号所有权ST具体实现SDIO/SMMC通信模块内置协议错误检查(例如,上溢、下溢、超时等)和CRC数据包检查,用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试N/A多故障保护SDIO_SM_2:消息的信息冗余技术建议和已知限制-表112.
SDIO_SM_2SM代码SDIO_SM_2说明消息的信息冗余技术所有权终端用户具体实现通过使用编码功能为SDIO/SMMC传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能应足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,应通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需UM2331Rev1[EnglishRev2]79/130UM2331参考安全架构130注:上述安全机制处理STM32MCU中包含的SDIO/SMMC接口.
对于影响连接到SDIO/SMMC端口的外部存储器的硬件随机故障,本手册中没有关于缓解此类故障的声明.
3.
6.
28灵活的静态存储控制器(FMC)诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
该安全机制与在系统层面实现的信息冗余技术(用于处理连接到SDIO/SMMMC端口的物理设备的故障)之间可能存在重叠.
表112.
SDIO_SM_2(续)表113.
FSMC_SM_0SM代码FSMC_SM_0说明应用软件中的控制流监控所有权终端用户具体实现如果使用FSMC连接外部存储器,而该外部存储器包含要由CPU执行的软件代码,则影响FSMC存储器控制器的永久和瞬时故障能够干扰CPU的存取操作,导致错误的数据或指令提取.
当此类故障干扰应用软件的预期流时,连接到系统看门狗的强控制流机制能够检测到此类故障.
该方法的实现与CPU_SM_1报告的相同,参见CPU_SM_1了解详情.
错误报告取决于具体实现故障检测时间取决于具体实现.
看门狗超时间隔为上限.
已解决故障模型永久和瞬时取决于MCU配置FSMC接口只对某些产品编号可用初始化取决于具体实现周期性连续诊断测试N/A多故障保护CPU_SM_0:核心定期自检软件建议和已知限制仅当使用FSMC外部存储器保存可执行程序时,才能使用该机制.
表114.
FSMC_SM_1SM代码FSMC_SM_1说明连接到FSMC的外部存储器上的信息冗余所有权终端用户具体实现如果使用FSMC接口连接保存了安全相关数据的外部存储器,已保存数据的信息冗余技术能够处理影响FSMC接口的故障.
可能的技术为:使用安全相关数据的冗余副本并在使用前执行一致性检查.
在使用前组织阵列中的数据并计算要检查的校验和字段.
错误报告取决于具体实现参考安全架构UM233180/130UM2331Rev1[EnglishRev2]故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置FSMC接口只对某些产品编号可用初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制仅当使用FSMC外部存储器保存安全相关数据时,才能使用该机制.
该安全机制与在系统层面实现的信息冗余技术(用于处理连接到FSMC端口的物理设备的故障)之间可能存在重叠.
表114.
FSMC_SM_1(续)表115.
FSMC_SM_2SM代码FSMC_SM_2说明FSMC配置寄存器的定期回读所有权终端用户具体实现必须对FSMC配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置FSMC接口只对某些产品编号可用初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表116.
FSMC_SM_3SM代码FSMC_SM_3说明FSMC模块的NAND接口上的ECC引擎所有权ST具体实现FMCNAND卡控制器包括两个纠错码计算硬件模块,每个存储区域各有一个.
这些模块可在软件处理ECC时减少主机CPU工作负载.
ECC机制保护连接到NAND端口的外部存储器上的数据完整性错误报告参见功能文档故障检测时间在存储器读取期间检查ECC位.
UM2331Rev1[EnglishRev2]81/130UM2331参考安全架构1303.
6.
29Quad-SPI接口(QUADSPI)已解决故障模型永久和瞬时取决于MCU配置FSMC接口只对某些产品编号可用初始化无周期性连续诊断测试不需要多故障保护FSMC_SM_2:FSMC配置寄存器的定期回读建议和已知限制在检测影响FSMC接口的硬件随机故障方面,该方法的效力可忽略不计.
在STM32H7MCU之外进行存储器寻址时,它可以是终端用户安全理念的一部分.
表116.
FSMC_SM_3(续)表117.
QSPI_SM_0SM代码QSPI_SM_0说明QUADSPI配置寄存器的定期回读所有权终端用户具体实现必须对QUADSPI配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表118.
QSPI_SM_1SM代码QSPI_SM_1说明包含硬件CRC的协议错误信号所有权ST具体实现QUADSPI通信模块内置协议错误检查(例如,上溢、下溢、超时等),用于检测通信相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时参考安全架构UM233182/130UM2331Rev1[EnglishRev2]3.
6.
30串行音频接口(SAI)取决于MCU配置无初始化取决于具体实现周期性连续诊断测试N/A多故障保护QSPI_SM_2:消息的信息冗余技术建议和已知限制-表118.
QSPI_SM_1(续)表119.
QSPI_SM_2SM代码QSPI_SM_2说明消息的信息冗余技术所有权终端用户具体实现通过使用编码功能为QSPI接口传输的数据包(非指令)添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能应足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,应通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
该安全机制与在系统层面实现的信息冗余技术(用于处理连接到QSPI端口的物理设备的故障)之间可能存在重叠.
表120.
SAI_SM_0SM代码SAI_SM_0说明SAI配置寄存器的定期回读所有权终端用户具体实现必须对SAI配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0UM2331Rev1[EnglishRev2]83/130UM2331参考安全架构130已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表120.
SAI_SM_0(续)表121.
SAI_SM_1SM代码SAI_SM_1说明SAI输出环回模式所有权终端用户具体实现该方法使用环回模式检测用于串行音频帧生成的输出通道上的永久和瞬时故障.
它的实现方法是连接第二个串行音频接口作为主输出生成的输入.
因此,应用软件能够识别错误或缺失的音频帧生成.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续/按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制处理瞬时故障的效率与最终应用的特性有关.
我们将Tm定义为触发相关安全功能所需的串行音频错误信号的最短持续时间.
执行测试频率高于1/Tm时效率最高.
在SAI接口安全相关用途为"音频流生成"时使用该方法.
表122.
SAI_SM_2SM代码SAI_SM_2说明SAI模块的1oo2方案所有权终端用户具体实现该安全机制的实现方法是,使用两个SAI接口解码/接收相同输入流音频.
应用软件检查接收的数据是否一致.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无参考安全架构UM233184/130UM2331Rev1[EnglishRev2]3.
6.
31以太网(ETH):通过DMA控制器进行介质访问控制(MAC)初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制与该方法有关的MCU性能过载和实现复杂度可能相关.
在SAI接口安全相关用途为"音频流接收"时使用该方法.
表122.
SAI_SM_2(续)表123.
ETH_SM_0SM代码ETH_SM_0说明以太网配置寄存器的定期回读.
所有权终端用户具体实现必须对以太网配置寄存器(包括与未使用的模块功能相关的寄存器)应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表124.
ETH_SM_1SM代码ETH_SM_1说明包含硬件CRC的协议错误信号所有权ST具体实现以太网通信模块内置协议错误检查(例如,上溢、下溢、超时、数据包构成违规等)和CRC数据包检查,用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现UM2331Rev1[EnglishRev2]85/130UM2331参考安全架构130注:为了在以太网模块中使用DMA功能,需采用为系统DMA定义的同一组安全机制(参见第3.
6.
6节).
3.
6.
32JPEG编解码器(JPEG)周期性连续诊断测试N/A多故障保护SDIO_SM_2:消息的信息冗余技术建议和已知限制-表124.
ETH_SM_1(续)表125.
ETH_SM_2SM代码ETH_SM_2说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护外设与其外部对等体之间的通信.
以太网局部安全理念中使用它处理ETH_SM_1检测不到的故障并提升与之相关的诊断覆盖率.
参见CAN_SM_2说明获取详细信息.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制在应用软件上实现基于以太网的复杂通信栈(例如,TCP/IP)能够满足该方法的要求.
表126.
JPEG_SM_0SM代码JPEG_SM_0说明JPEG编解码器配置寄存器的定期回读.
所有权终端用户具体实现必须对JPEG编解码器配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0参考安全架构UM233186/130UM2331Rev1[EnglishRev2]初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表126.
JPEG_SM_0(续)表127.
JPEG_SM_1SM代码JPEG_SM_1说明JPEG编码/解码功能的定期测试所有权终端用户具体实现通过比较对JPEG编解码器执行的JPEG编码/解码功能进行测试,方法是对保存在闪存中的一组参考图像执行这些功能,并检查输出图像是否正确.
该方法诊断覆盖率取决于用于检查的图像组的数量和构成.
既可以按位执行输出图像与预期结果的比较,也可以使用更快速的方法如CRC种子(通过DMA事务进行计算)进行检查.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试N/A多故障保护CPU_SM_0:核心定期自检软件建议和已知限制如果应用软件只使用一种功能进行编码和解码,则可以简化该方法以将测试仅限于使用的功能.
表128.
JPEG_SM_2SM代码JPEG_SM_2说明影响JPEG译码/编码的故障的应用层面检测所有权终端用户具体实现可以使用多种应用层面的方法来检测影响JPEG译码/编码的故障;无法给出关于其实现的详细信息,只提供高级指导原则/提示:–永久和瞬时故障:应用软件检查预期输出图像特性(例如,在通过图像识别算法进行处理后)–瞬时故障:应用软件检查图像冗余(如果顺序来自视频流)时可能丢弃处理错误的帧.
这一原理还可用于将部分瞬时故障率降级为"无影响".
错误报告取决于具体实现故障检测时间取决于具体实现UM2331Rev1[EnglishRev2]87/130UM2331参考安全架构1303.
6.
33HDMI-CEC模块已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性定期/按需诊断测试N/A多故障保护CPU_SM_0:核心定期自检软件建议和已知限制这些方法严格取决于应用;因此,它们的实现和任何相关的故障缓解声明都由终端用户负责.
表128.
JPEG_SM_2(续)表129.
HDMI_SM_0SM代码HDMI_SM_0说明HDMICEC配置寄存器的定期回读所有权终端用户具体实现应对HDMICEC配置寄存器应用该方法.
关于实现该方法的详细信息,可在NVIC_SM_0找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表130.
HDMI_SM_1SM代码HDMI_SM_1说明协议错误信号所有权ST具体实现HDMI通信模块内置协议错误检查(例如,上溢、下溢、位时序违规等),用于检测网络相关异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置(例如,波特率),参见功能文档已解决故障模型永久和瞬时取决于MCU配置无参考安全架构UM233188/130UM2331Rev1[EnglishRev2]3.
6.
34管理数据输入/输出(MDIOS)初始化取决于具体实现周期性连续诊断测试不需要多故障保护HDMI_SM_2:消息的信息冗余技术建议和已知限制-表130.
HDMI_SM_1(续)表131.
HDMI_SM_2SM代码HDMI_SM_2说明消息的信息冗余技术所有权终端用户具体实现通过使用编码功能为HDMI/CEC传输的数据包添加冗余检查(例如CRC或类似检查)来实现该方法.
校验和编码功能必须足够稳健,以保证数据包中单个位反转的发现概率至少为90%.
在使用数据之前,必须通过应用软件检查数据包的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定远程HDMI/CEC对等体必须具有执行所述检查的同等能力.
不应使用传输完全冗余(消息重复),因为其检测能力仅限于通信单元故障模式的一个子集.
举例来说,对于校验和的编码功能,只使用逐位相加是不合适的.
表132.
MDIO_SM_0SM代码MDIO_SM_0说明MDIO从设备配置寄存器的定期回读.
所有权终端用户具体实现必须对MDIO从设备配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0UM2331Rev1[EnglishRev2]89/130UM2331参考安全架构130取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表132.
MDIO_SM_0(续)表133.
MDIO_SM_1SM代码MDIO_SM_1说明协议错误信号所有权ST具体实现MDIO通信协议基于数据包处理理念,包括前导码/开始/停止的正确条件检查.
实现该机制的主要目的是管理现场通信干扰,它能够在多个MDIO模块故障模式下达到相当高的诊断覆盖率.
错误报告在相关寄存器中通过标志位报告错误状态,并生成中断故障检测时间取决于外设配置和检测到的违规类型,参见功能文档已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试N/A多故障保护DSI_SM_0:MDIO主机配置寄存器的定期回读.
建议和已知限制-表134.
MDIO_SM_2SM代码MDIO_SM_2说明MDIO寄存器内容的信息冗余技术,包括寄存器更新感知.
所有权终端用户具体实现必须通过冗余方案(编码数据值和可能有的"校验和"寄存器定义)保护由外方通过MDIO通信提供的信息.
应用软件必须能够感知外方执行的任何寄存器值更新,因此需实现"确认/取消确认"机制以便:–向外方报告更新数据已使用–标记任何已使用数据为"已取消确认"–允许外方通知应用软件有新数据可用错误报告取决于具体实现故障检测时间取决于具体实现参考安全架构UM233190/130UM2331Rev1[EnglishRev2]3.
6.
35SPDIF接收器接口(SPDIFRX)已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制假定负责通过MDIO通信链路更新/发送数据到应用软件的外部实体能够通过检测缺失或不完整数据的使用来帮助缓解MDIO故障.
表134.
MDIO_SM_2(续)表135.
SPDF_SM_0SM代码SPDF_SM_0说明SPDIF配置寄存器的定期回读所有权终端用户具体实现必须对SPDIF配置寄存器应用该方法.
关于实现该方法的详细信息,可在NVIC_SM_0部分找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表136.
SPDF_SM_1SM代码SPDF_SM_1说明协议错误信号所有权ST具体实现SPDIF接口中使用的IEC60598S/PDIF数据帧规格内置协议错误检查(例如,上溢、下溢、位时序违规、奇偶校验等),用于检测与传输相关的异常情况.
总之,这些机制能够检测影响模块本身的硬件随机故障的边际百分比.
错误报告生成错误标志和可选中断事件故障检测时间取决于外设配置,参见功能文档已解决故障模型永久和瞬时UM2331Rev1[EnglishRev2]91/130UM2331参考安全架构1303.
6.
36真随机数发生器(RNG)取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护SPDF_SM_0:SPDIF配置寄存器的定期回读建议和已知限制-表136.
SPDF_SM_1(续)表137.
SPDF_SM_2SM代码SPDF_SM_2说明消息的信息冗余技术所有权终端用户具体实现该方法的实现方法是向数据S/PDIF数据流添加某种形式的信息冗余(可能包括信息重复),以处理影响模块解码部分的故障模式.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制可通过应用层面的替代措施(检查接收的音频流的正确性)取代该方法.
例如,在后期数据加工后通过语音识别算法执行一组真实性检查.
表138.
RNG_SM_0SM代码RNG_SM_0说明RNG配置寄存器RNG_CR的定期回读所有权终端用户具体实现必须对RNG配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置RNG模块只对特定产品编号可用参考安全架构UM233192/130UM2331Rev1[EnglishRev2]3.
6.
37加密处理器(CRYP)初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表138.
RNG_SM_0(续)表139.
RNG_SM_1SM代码RNG_SM_1说明RNG模块熵在线测试所有权ST和终端用户具体实现RNG模块包含模拟源熵的内部诊断,可用于检测模块本身的故障.
此外,可以使用生成的随机数与上一个随机数之间的差异测试(按照FIPSPUB140-2的要求).
实现:–检查RNG错误条件–检查生成的随机数与上一个随机数之间的差异错误报告RNG状态寄存器(RNG_SR)中的CEIS、SEIS错误位导致FIPSPUB140-2测试失败的应用软件错误故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置RNG模块只对特定产品编号可用初始化取决于具体实现周期性连续诊断测试N/A多故障保护CPU_SM_0:核心定期自检软件建议和已知限制-表140.
AES_SM_0SM代码AES_SM_0说明CRYP配置寄存器的定期回读所有权终端用户具体实现必须对CRYP配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0UM2331Rev1[EnglishRev2]93/130UM2331参考安全架构130取决于MCU配置CRYP模块只对特定产品编号可用初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表140.
AES_SM_0(续)表141.
AES_SM_1SM代码AES_SM_1说明加密/解密辅助检测所有权ST具体实现CRYP模块执行的加密和解密操作由多种数据操作和检查构成,根据所选连接算法有不同的复杂度级别.
大部分影响CRYP模块的硬件随机故障会导致算法违规/错误从而导致接收器侧的解码错误错误报告可能发生多种错误状态,请参见功能文档故障检测时间取决于外设配置.
已解决故障模型永久和瞬时取决于MCU配置CRYP模块只对特定产品编号可用初始化取决于具体实现周期性连续诊断测试N/A多故障保护AES_SM_2:消息的信息冗余技术建议和已知限制-表142.
AES_SM_2SM代码AES_SM_2说明消息的信息冗余技术,包括端到端安全所有权终端用户具体实现该方法旨在保护外设与其外部对等体之间的通信.
AES局部安全理念中使用它处理加密/解密功能检测不到的故障.
参见CAN_SM_2说明获取详细信息.
错误报告参见CAN_SM_2故障检测时间参见CAN_SM_2已解决故障模型参见CAN_SM_2取决于MCU配置CRYP模块只对特定产品编号可用初始化参见CAN_SM_2参考安全架构UM233194/130UM2331Rev1[EnglishRev2]注:本手册中不分析硬件随机故障的潜在安全功能违规后果.
3.
6.
38HASH处理器(HASH)周期性参见CAN_SM_2诊断测试参见CAN_SM_2多故障保护参见CAN_SM_2建议和已知限制假定远程对等体具有执行所述检查的同等能力.
参见CAN_SM_2获取更多说明.
表142.
AES_SM_2(续)表143.
HASH_SM_0SM代码HASH_SM_0说明HASH配置寄存器的定期回读所有权终端用户具体实现必须对HASH配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置HASH模块只对特定产品编号可用初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表144.
HASH_SM_1SM代码HASH_SM_1说明HASH处理辅助检测所有权ST具体实现HASH模块执行的消息摘要计算由多种数据操作和检查构成.
大部分影响HASH模块的硬件随机故障会导致算法违规/错误,进而导致接收器侧的解码错误.
错误报告可能发生多种错误状态,请参见功能文档故障检测时间取决于外设配置.
已解决故障模型永久和瞬时取决于MCU配置HASH模块只对特定产品编号可用初始化取决于具体实现UM2331Rev1[EnglishRev2]95/130UM2331参考安全架构130注:本手册中不分析硬件随机故障的潜在安全功能违规后果.
3.
6.
39∑调制器数字滤波器(DFSDM)周期性连续诊断测试N/A多故障保护HASH_SM_0:HASH配置寄存器的定期回读CPU_SM_0:核心定期自检软件建议和已知限制-表144.
HASH_SM_1(续)表145.
DFS_SM_0SM代码DFS_SM_0说明DFSDM配置寄存器的定期回读所有权终端用户具体实现必须对DFSDM配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表146.
DFS_SM_1SM代码DFS_SM_1说明通过应用软件进行多重采集所有权终端用户具体实现该方法通过对同一输入信号执行多重采集来实现时序信息冗余.
然后,通过滤波器算法组合多重采集数据以确定信号的正确值.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型瞬态取决于MCU配置无初始化取决于具体实现参考安全架构UM233196/130UM2331Rev1[EnglishRev2]周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制通常通过终端用户应用软件的设计来满足该建议.
在工业应用中,在使用多重采集后进行平均操作是一种常用技术,用于克服传感器线上的伪EMI干扰.
表146.
DFS_SM_1(续)表147.
DFS_SM_2SM代码DFS_SM_2说明通过应用软件进行范围检查所有权终端用户具体实现按照ADC_SM_2所述实现该方法:通过应用软件执行范围检查,参见此类安全机制了解详情.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性连续诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该安全机制的实现在很大程度上依赖于应用.
表148.
DFS_SM_3SM代码DFS_SM_3说明DFSM输入的1oo2方案所有权终端用户具体实现该安全机制的实现方法是,使用两个不同DFSM模块采集相同输入信号.
应用软件检查两个读数是否一致.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需UM2331Rev1[EnglishRev2]97/130UM2331参考安全架构1303.
6.
40数字摄像头接口(DCMI)诊断测试不需要多故障保护DSF_SM_0:DFSDM配置寄存器的定期回读建议和已知限制该方法可与DFS_SM_0结合使用,以达到最高DFSM模块诊断覆盖率(取代DFS_SM1和DFS_SM_2).
表148.
DFS_SM_3(续)表149.
DCMI_SM_0SM代码DCMI_SM_0说明DCMI配置寄存器的定期回读所有权终端用户具体实现必须对DCMI配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置DCMI接口只对某些产品编号可用初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表150.
DCMI_SM_1SM代码DCMI_SM_1说明DCMI视频输入数据同步所有权ST具体实现根据接收的视频数据流的性质,DCMI模块实现从最简单(硬件同步)到最复杂(例如,内嵌数据同步模式)的同步控制.
因此,可以检测导致无法正确同步数据流的DCMI内部故障.
错误报告未提供明确的错误信号/消息生成(*)故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置DCMI接口只对某些产品编号可用初始化取决于具体实现周期性连续参考安全架构UM233198/130UM2331Rev1[EnglishRev2]3.
6.
41LCD-TFT显示控制器(LTDC)诊断测试N/A多故障保护DCMI_SM_0:DCMI配置寄存器的定期回读建议和已知限制(*)就其性质而言,该安全机制检测实际硬件故障与功能相关情景(例如,照相机设备断开或断电)可能产生混淆.
只要技术上可行,应用软件应能区分不同事件.
表150.
DCMI_SM_1(续)表151.
LCD_SM_0SM代码LCD_SM_0说明LTDC配置寄存器和缓冲存储器的定期回读.
所有权终端用户具体实现必须对LTDC配置寄存器和缓冲存储器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表152.
LCD_SM_1SM代码LCD_SM_1说明通过ADC通道执行LTDC采集所有权终端用户具体实现通过比较ADC读数和预期值检查是否正确生成了LTDC驱动信号.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化无周期性定期诊断测试不需要UM2331Rev1[EnglishRev2]99/130UM2331参考安全架构130注:上述安全机制处理STM32MCU中包含的LTDC接口.
由于该安全机制不处理在LTDC上正确生成图像的实际能力,当此类功能被认为与安全相关时,将警告终端用户评估是否采用充分的系统层面措施.
3.
6.
42比较器(COMP)多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法主要用于检测影响模拟部件的永久故障,因此可以接受定期执行.
可达到的诊断覆盖率取决于检查的LTDC信号的数量.
表152.
LCD_SM_1(续)表153.
COMP_SM_0SM代码COMP_SM_0说明配置寄存器的定期回读所有权终端用户具体实现必须对COMP配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表154.
COMP_SM_1SM代码COMP_SM_1说明比较器的1oo2方案所有权终端用户具体实现该安全机制的实现方法是,使用两个内部比较器做出相同决策.
这要求对比较器投票进行相应处理.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久和瞬时取决于MCU配置无初始化取决于具体实现周期性按需参考安全架构UM2331100/130UM2331Rev1[EnglishRev2]诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制该方法与"窗口"比较器功能不兼容表154.
COMP_SM_1(续)表155.
COMP_SM_2SM代码COMP_SM_2说明输入的真实性检查所有权终端用户具体实现该方法用于在专用ADC通道上冗余采集比较器功能的模拟输入,并通过测量值定期检查比较器输出的一致性.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型永久取决于MCU配置无初始化取决于具体实现周期性定期诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制无表156.
COMP_SM_3SM代码COMP_SM_3说明通过应用软件进行多重采集所有权终端用户具体实现该方法要求应用软件不按照比较器单脉冲转换进行决策,而是在多个事件后或比较器触发条件存在特定的时间段后进行决策.
错误报告取决于具体实现故障检测时间取决于具体实现已解决故障模型瞬态取决于MCU配置无初始化取决于具体实现周期性按需诊断测试不需要多故障保护CPU_SM_0:核心定期自检软件建议和已知限制通常在终端用户应用上通过设计满足该建议-在工业应用中,多重采集是一种常用技术,用于克服传感器线上的伪EMI干扰.
UM2331Rev1[EnglishRev2]101/130UM2331参考安全架构1303.
6.
43运算放大器(OPAMP)注:由于预期要在信号调节/放大时使用OPAMP模块,将其用于安全相关功能会导致应用层面出现状况.
因此,终端用户有责任缓解影响所使用OPAMP模块的模拟部分的故障模式.
表157.
COMP_SM_4SM代码COMP_SM_4说明比较器锁定机制所有权ST具体实现该安全机制防止比较器控制和状态寄存器发生配置变化;因此,它解决软件应用中的系统故障.
错误报告NA故障检测时间NA已解决故障模型无(避错)取决于MCU配置无初始化必须使用COMP_CSR寄存器中的COMPxLOCK位使能锁定保护.
周期性连续诊断测试NA多故障保护NA建议和已知限制该方法不解决软错误导致的比较器配置变化.
表158.
AMP_SM_0SM代码AMP_SM_0说明OPAMP配置寄存器的定期回读所有权终端用户具体实现必须对OPAMP配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0参考安全架构UM2331102/130UM2331Rev1[EnglishRev2]3.
6.
44延迟模块(DLYB)注:假设DLYB输出(若使用)将为STM32H7内部通信外设供电(例如,QUADSPI).
还假设,对于所有相连的外设而言,所有规定的安全机制(评定为++和+)均以正确实现.
3.
6.
45禁用并定期交叉检查未使用外设的意外激活本节描述针对安全应用未使用的外设或完全未使用的外设的安全机制.
表159.
DLB_SM_0SM代码DLB_SM_0说明DLYB配置寄存器的定期回读所有权终端用户具体实现必须对DLYB配置寄存器应用该方法.
关于实现该方法的详细信息,可在第3.
6.
5节中找到错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0表160.
FFI_SM_0SM代码FFI_SM_0说明禁用未使用的外设所有权终端用户具体实现该方法有助于降低软件应用未使用的外设导致交叉干扰的可能性,以防止硬件故障导致意外激活.
在系统自举后,应用软件必须通过以下程序禁用所有未使用的外设:–使能AHB和APB外设复位寄存器上的复位标志–禁用AHB和APB外设时钟使能寄存器上的时钟分配错误报告NA故障检测时间NA已解决故障模型NA取决于MCU配置无初始化NA周期性起振UM2331Rev1[EnglishRev2]103/130UM2331参考安全架构130诊断测试不需要多故障保护FFI_SM_1:干扰避免寄存器的定期回读建议和已知限制无表160.
FFI_SM_0(续)表161.
FFI_SM_1SM代码FFI_SM_1说明干扰避免寄存器的定期回读所有权终端用户具体实现该方法有助于降低外设间发生交叉干扰的可能性,外设可能在相同输入/输出引脚上发生冲突,包括未使用的外设等.
必须对以下寄存器应用该诊断措施:–时钟使能和禁用寄存器–备用功能编程寄存器关于实现该方法的详细信息,可在第3.
6.
5节中找到.
错误报告参见NVIC_SM_0故障检测时间参见NVIC_SM_0已解决故障模型参见NVIC_SM_0取决于MCU配置参见NVIC_SM_0初始化参见NVIC_SM_0周期性参见NVIC_SM_0诊断测试参见NVIC_SM_0多故障保护参见NVIC_SM_0建议和已知限制参见NVIC_SM_0参考安全架构UM2331104/130UM2331Rev1[EnglishRev2]3.
7使用条件表162对第3.
6节中报告的安全理念建议进行了总结.
要应用于STM32H7系列MCU的使用条件以安全机制要求的形式记录.
例外情况是为了正确解决特定的故障模式而通过FMEA分析引入的一些使用条件.
这些使用条件记录在表162的末尾.
"等级"栏记录了如何在分析过程中考虑了相关安全机制,符号的含义如下:表162中"永久"和"瞬时"列中的"X"标记表示相关安全机制对此类故障模式有效.
M:安全机制总是在正常操作期间工作–没有任何终端用户活动能够将其停用.
++:强烈建议作为常规做法且本手册中考虑用于计算安全指标,以便在单个MCU上达到SIL2.
+:建议作为额外的安全措施,但本手册中未考虑用于计算安全指标.
如果与功能要求相矛盾或与另一种被标记为"++"的安全机制发生重叠,STM32H7系列可以跳过该实现.
o:可选,不需要或与特定MCU配置相关UM2331Rev1[EnglishRev2]105/130UM2331参考安全架构130表162.
安全机制列表(1)STM32H7系列的功能诊断说明等级永久瞬时ArmCortex-M7CPUCPU_SM_0解决ArmCortex-M7CPU核心中永久故障的定期软件测试++X-CPU_SM_1应用软件中的控制流监控++XXCPU_SM_2应用软件中的双重计算++-XCPU_SM_3ArmCortex-M7HardFault异常MXXCPU_SM_4应用软件的堆栈加固+XXCPU_SM_5外部看门狗+(2)XXCPU_SM_6独立看门狗++(2)XXCPU_SM_7MPU-存储器保护单元++(3)XXCPU_SM_9ArmCortex-M7缓存的定期自测软件++X-CPU_SM_10ArmCortex-M7L1缓存上的ECC++XXMPU_SM_0MPU配置寄存器的定期回读++(3)XX嵌入Flash存储器FLASH_SM_0闪存的定期软件测试+X-FLASH_SM_1应用软件中的控制流监控++XXFLASH_SM_2ArmCortex-M7HardFault异常MXXFLASH_SM_3选项字节写保护M--FLASH_SM_4静态数据封装+XXFLASH_SM_5具有负载验证的选项字节冗余MXXFLASH_SM_6未使用闪存区填充码+--FLASH_SM_7闪存上的ECC++XXFLASH_SM_8读/写/专有代码保护+--FLASH_SM_9通过软件定期测试闪存地址解码器++X-内部SRAMRAM_SM_0SRAM的定期软件测试+X-RAM_SM_2应用软件的堆栈加固+XXRAM_SM_3应用软件中系统变量的信息冗余++XXRAM_SM_4应用软件中的控制流监控o(4)XXRAM_SM_5RAM中应用软件的定期完整性测试o(4)XXRAM_SM_6读保护(RDP),写保护(WRP)+--RAM_SM_7SRAM上的ECC++XXRAM_SM_8通过软件定期测试SRAM地址解码器++X-系统架构BUS_SM_0互连的定期软件测试++X-BUS_SM_1片内数据交换中的信息冗余++XXEXTI控制器NVIC_SM_0配置寄存器的定期回读++XXNVIC_SM_1通过应用软件执行预期和意外中断检查++XX参考安全架构UM2331106/130UM2331Rev1[EnglishRev2]DMA、MDMA、BDMADMA_SM_0配置寄存器的定期回读++XXDMA_SM_1通过DMA传输的数据包的信息冗余++XXDMA_SM_2通过DMA传输的数据包的信息冗余,包括发送者和接收者标识符++XXDMA_SM_3DMA的定期软件测试++X-DMA_SM_4DMA事务感知++XXDMA2DDMA2D_SM_0DMA2D配置寄存器的定期回读++XXDMA2D_SM_1DMA2D功能的定期软件测试++X-DMA2D_SM_2DMA处理和中断感知++XXHSEMHSEM_SM_0HSEM配置寄存器的定期回读++XXHSEM_SM_1并发任务的控制流监控++XX单线协议主接口SWPMI_SM_0SWPMI配置寄存器的定期回读++XXSWPMI_SM_1协议错误信号和信息冗余,包括硬件CRC++XXSWPMI_SM_2SWMPI环回测试+X-SWPMI_SM_3消息的信息冗余技术,用于实现全面的端到端安全++XXFDCANCAN_SM_0配置寄存器的定期回读++XXCAN_SM_1协议错误信号++XXCAN_SM_2消息的信息冗余技术,包括端到端安全++XXUSART,LPUARTUART_SM_0配置寄存器的定期回读++XXUART_SM_1协议错误信号++XXUART_SM_2消息的信息冗余技术++XXUART_SM_3消息的信息冗余技术,包括端到端安全++XXI2CIIC_SM_0配置寄存器的定期回读++XXIIC_SM_1协议错误信号++XXIIC_SM_2消息的信息冗余技术++XXIIC_SM_3CRC数据包层面+XXIIC_SM_4消息的信息冗余技术,包括端到端安全+XXSPISPI_SM_0配置寄存器的定期回读++XXSPI_SM_1协议错误信号++XXSPI_SM_2消息的信息冗余技术++XXSPI_SM_3CRC数据包层面+XXSPI_SM_4消息的信息冗余技术,包括端到端安全+XX表162.
安全机制列表(1)(续)STM32H7系列的功能诊断说明等级永久瞬时UM2331Rev1[EnglishRev2]107/130UM2331参考安全架构130USBOTGUSB_SM_0配置寄存器的定期回读++XXUSB_SM_1协议错误信号++XXUSB_SM_2消息的信息冗余技术++XXUSB_SM_3消息的信息冗余技术,包括端到端安全+XXADCADC_SM_0配置寄存器的定期回读++XXADC_SM_1通过应用软件进行多重采集++-XADC_SM_2通过应用软件进行范围检查++XXADC_SM_3ADC的定期软件测试++X-ADC_SM_4ADC输入的1oo2方案+XXDACDAC_SM_0配置寄存器的定期回读++XXDAC_SM_1ADC通道上的DAC输出环回++XX基本定时器(TIM6/7)GTIM_SM_0配置寄存器的定期回读++XXGTIM_SM_1计数定时器的1oo2++XX高级、通用和低功耗定时器(TIM1/2/3/4/5/8/12、TIM13/14/15/16/17、HRTIM和LPTIM)ATIM_SM_0配置寄存器的定期回读++XXATIM_SM_1计数定时器的1oo2++XXATIM_SM_2输入捕获定时器的1oo2++XXATIM_SM_3PWM输出的环回方案++XXATIM_SM_4定时器的锁定位保护+--CRCCRC_SM_0CRC自我覆盖++XXGPIOGPIO_SM_0配置寄存器的定期回读++XXGPIO_SM_1输入GPIO线的1oo2++XXGPIO_SM_2输出GPIO线的环回模式++XXGPIO_SM_3GPIO端口配置锁定寄存器+--RTCRTC_SM_0配置寄存器的定期回读++XXRTC_SM_1运行RTC的应用检查++XXRTC_SM_2备份寄存器的信息冗余+XXRTC_SM_3用于检测时间戳或事件捕获中的故障的应用层面措施oXX电源控制VSUP_SM_0配置寄存器的定期回读++XXVSUP_SM_1电源电压监测++X-VSUP_SM_2独立看门狗++X-VSUP_SM_3内部温度传感器检查o--表162.
安全机制列表(1)(续)STM32H7系列的功能诊断说明等级永久瞬时参考安全架构UM2331108/130UM2331Rev1[EnglishRev2]时钟和复位CLK_SM_0配置寄存器的定期回读++XXCLK_SM_1CSS时钟安全系统++X-CLK_SM_2独立看门狗++X-CLK_SM_3内部时钟交叉测量+X-IWDG/WWDGWDG_SM_0配置寄存器的定期回读++XXWDG_SM_1启动时的看门狗软件测试oX-调试DBG_SM_0独立看门狗++XX系统或外设控制LOCK_SM_0配置选项的锁定机制+--SYSCFG_SM_0配置寄存器的定期回读++XXDIAG_SM_0硬件诊断配置寄存器的定期回读++XXSDMMCSDIO_SM_0SDIO/SMMC配置寄存器的定期回读++XXSDIO_SM_1包含硬件CRC的协议错误信号++XXSDIO_SM_2消息的信息冗余技术++XX灵活的静态存储控制器(FMC)FSMC_SM_0应用软件中的控制流监控++(5)XXFSMC_SM_1连接到FSMC的外部存储器上的信息冗余++(5)XXFSMC_SM_2FSMC配置寄存器的定期回读.
++XXFSMC_SM_3FSMC模块的NAND接口上的ECC引擎oXXQUADSPIQSPI_SM_0QUADSPI配置寄存器的定期回读.
++XXQSPI_SM_1包含硬件CRC的协议错误信号++XXQSPI_SM_2消息的信息冗余技术++XX(SAI)SAI_SM_0SAI配置寄存器的定期回读.
++XXSAI_SM_1SAI输出环回模式++XXSAI_SM_2SAI模块的1oo2方案++XX以太网(ETH):通过DMA控制器进行介质访问控制(MAC)ETH_SM_0以太网配置寄存器的定期回读.
++XXETH_SM_1包含硬件CRC的协议错误信号++XXETH_SM_2消息的信息冗余技术,包括端到端安全++XXJPEG编解码器JPEG_SM_0JPEG编解码器配置寄存器的定期回读.
++XXJPEG_SM_1JPEG编码/解码功能的定期测试++X-JPEG_SM_2影响JPEG译码/编码的故障的应用层面检测++XXHDMICECHDMI_SM_0HDMICEC配置寄存器的定期回读++XXHDMI_SM_1协议错误信号++XXHDMI_SM_2消息的信息冗余技术++XX表162.
安全机制列表(1)(续)STM32H7系列的功能诊断说明等级永久瞬时UM2331Rev1[EnglishRev2]109/130UM2331参考安全架构130MDIOSMDIO_SM_0MDIO从设备配置寄存器的定期回读++XXMDIO_SM_1协议错误信号++XXMDIO_SM_2MDIO寄存器内容的信息冗余技术,包括寄存器更新感知++XXSPDIFRXSPDF_SM_0SPDIF配置寄存器的定期回读++XXSPDF_SM_1协议错误信号++XXSPDF_SM_2消息的信息冗余技术++XXRNGRNG_SM_0RNG配置寄存器RNG_CR的定期回读++XXRNG_SM_1RNG模块熵在线测试++X-CRYPAES_SM_0CRYP配置寄存器的定期回读++XXAES_SM_1加密/解密辅助检测++XXAES_SM_2消息的信息冗余技术,包括端到端安全++XXHASHHASH_SM_0HASH配置寄存器的定期回读++XXHASH_SM_1HASH处理辅助检测++XXDFSDMDFS_SM_0DFSDM配置寄存器的定期回读++XXDFS_SM_1通过应用软件进行多重采集++-XDFS_SM_2通过应用软件进行范围检查++XXDFS_SM_3DFSM输入的1oo2方案+XXDCMIDCMI_SM_0DCMI配置寄存器的定期回读++XXDCMI_SM_1DCMI视频输入数据同步++XXLCDLCD_SM_0LCD配置寄存器和缓冲存储器的定期回读.
++XXLCD_SM_1通过ADC通道执行LCD采集++X-COMPCOMP_SM_0配置寄存器的定期回读++XXCOMP_SM_1比较器的1oo2方案++XXCOMP_SM_2输入的真实性检查+X-COMP_SM_3通过应用软件进行多重采集+-XCOMP_SM_4比较器锁定机制+--OPAMPAMP_SM_0OPAMP配置寄存器的定期回读++XXDLYBDLB_SM_0DLYB配置寄存器的定期回读部件隔离(无干扰)FFI_SM_0禁用未使用的外设++--FFI_SM_1干扰避免寄存器的定期回读++--ArmCortex-M7CPUCoU_1ArmCortex-M7CPU的复位状态必须与系统层面的有效安全状态兼容++--调试CoU_2不得在安全功能实现中使用STM32H7系列调试功能++--表162.
安全机制列表(1)(续)STM32H7系列的功能诊断说明等级永久瞬时参考安全架构UM2331110/130UM2331Rev1[EnglishRev2]上述安全机制或使用条件根据其性质设计有不同抽象级别:实现的安全机制越是独立于应用,它在各种终端用户应用上的可能用途越广泛.
安全分析突出了MCU中的两个主要部分:系统关键型MCU模块.
从安全角度来看,每个终端用户应用都会受到这些模块上的故障的影响.
由于每个终端用户应用都使用这些模块,相关方法或安全机制的设计大体上独立于应用.
STM32H7系列微控制器的系统关键型模块为:CPU、复位、功耗、时钟、总线矩阵与互联、RAM与Flash存储器(包括其接口)外设模块.
此类模块无法被应用使用,或者可以用于非安全相关任务.
因此,相关安全方法主要在应用层面作为应用软件解决方案或架构解决方案来实现.
ArmCortex-M7/电源系统CoU_3不得在安全功能实现中使用低功耗模式状态++--STM32H7系列外设CoU_4终端用户必须为安全功能实现中使用的每个STM32外设实现要求的安全机制/CoU组合.
++XXFlash子系统CoU_5在闪存区批量擦除和重新编程期间,STM32H7MCU不能执行任何安全功能.
++--Flash子系统CoU_6通过双闪存系统执行的现场应用软件实时更新必须包括如FLASH_SM_0等方法执行的代码/数据完整性检查.
++XXCPU子系统CoU_7如果实现多重安全功能,用于保证其相互独立性的方法必须包含MPU的使用.
++--CRSCoU_8不得在安全功能实现中使用CRS功能++--1.
为了正确理解表162中提供的实现分级,强烈建议阅读第4.
1.
1节中关于"非安全相关"外设管理的指导原则.
2.
为了在单个MCU上达到SIL2,将CPU_SM_5评级为"+".
总之,针对系统层面安全状态的特殊定义,可能必需将CPU_SM_5评级为"++";这种情况下,可以将CPU_SM_6评级为"+".
更多详细信息,请参见表11:CPU_SM_6的"建议"一行.
3.
如果没有实现多重安全功能,可考虑评级为"+".
4.
如果在RAM上执行应用软件,必需考虑评级为"++".
5.
根据连接到FSMC的外部存储器的预定用途,可考虑评级为"o".
表162.
安全机制列表(1)(续)STM32H7系列的功能诊断说明等级永久瞬时UM2331Rev1[EnglishRev2]111/130UM2331安全结果1304安全结果本节报告按照IEC61508和ST方法流程执行的与硬件随机和从属故障相关的STM32H7系列MCU安全分析结果.
4.
1随机硬件故障安全结果本安全手册中报告的STM32H7系列器件随机硬件故障分析按照ST的半导体器件安全分析方法流程执行(依据IEC61508).
通过三个因素保证所得结果的准确性:ST方法流程严格符合IEC61508的要求和指示在分析关于微控制器设计的详细可靠信息期间的使用用于安全指标验证的先进故障注入法和工具的使用因此,STM32H7系列安全分析能够探索MCU故障模式的完整详尽列表,并对其中的每一种分别采取充分的缓解措施(安全机制).
相关FMEA文档中提供了STM32H7系列故障模式的完整列表.
STM32H7系列FMEA文档可按需提供,请咨询您当地的ST销售联系人.
总之,通过采用第3.
7:使用条件中报告的安全机制和使用条件,可以达到表163中总结的完整性等级.
本节没有记录得到的相对安全指标(DC和SFF)和绝对安全指标(PFH和PFD),但其在FMEDA快照中,原因如下:STM32H7系列产品编号的数量很大,声明非安全相关未使用外设的可能性,以及使能或不使能不同的可用安全机制的可能性.
FMEDA快照是一种静态文档,它报告给定安全机制组合和给定产品编号的以不同细节水平计算的安全指标(在微控制器层面并针对微控制器基础功能).
如需FMEDA计算表,请尽快联系当地的意法半导体销售代表,以获取特定MCU目标产品编号的预期交付日期的相关信息.
注:安全指标计算仅限于STM32H7系列,因此不包括WDTe、PEv和VMONe(第3.
2节中对它们进行了描述)4.
1.
1安全分析结果自定义为STM32H7系列器件执行的并包含在本安全手册中的安全分析考虑了所有与安全相关的微控制器模块,因此能够干预安全功能,无一例外.
这与通用微控制器分析期间要遵循的保守方法相一致,目的是实现相对于最终应用的独立性.
这意味着按照IEC61508-4第3.
6.
8款,没有任何微控制器模块被声明为"安全",因此SFF计算中包含所有微控制器模块.
表163.
整体可达到的安全完整性等级使用的MCU安全架构目标安全分析结果11oo1/1oo1DSIL2LD可达到SIL2HD/CM可达到并可能存在性能影响(1)1.
与上文报告的某些目标达成相关的潜在性能影响主要与基于软件的定期诊断的执行需求有关(参见安全机制说明了解详情).
因此,影响与系统层面PST的"积极"程度紧密相关(参见第3.
3.
1:假定安全要求).
21oo2SIL3LD可达到SIL3HD/CM可达到并可能存在性能影响安全结果UM2331112/130UM2331Rev1[EnglishRev2]在实际的终端用户应用中,并非所有STM32H7系列部件或模块都被用于安全功能的实现.
这可能发生在其他两种可能的情况下:部件根本未被使用(禁用).
部件用于实现非安全相关(例如,驱动电子板上"上电"LED指示灯的GPIO线)的功能.
要求对这些未使用部件实现相应的安全机制可导致过度杀伤.
因此,可以自定义安全分析结果.
终端用户可以将所选的处于以下条件下的STM32H7系列部件定义为"非安全相关"(由终端用户负责):收集这些部件在安全功能实现中不发挥作用的理由和证据.
收集这些部件在正常操作期间因最终系统设计决策导致其不干预安全功能的理由和证据.
满足缓解MCU内部干扰的一般条件(表164).
因此,终端用户允许"非安全相关"部件执行以下操作:从FMEDA的指标计算中舍弃部件贡献;不实施表162:安全机制列表中列出的相关安全机制.
就SFF计算而言,该程序等同于按照IEC61508-4第3.
6.
13/14款(已舍弃模块的任何故障定义)声明"无部件/无影响".
4.
1.
2免受干扰(FFI)的一般要求专用分析突出了在发生内部故障时为缓解STM32H7系列内部模块之间的潜在干扰需要遵循的一般要求清单(免受干扰,FFI).
这些预防措施是STM32H7系列安全理念的组成部分,当终端用户如第4.
1.
1节所述将多个微控制器模块声明为"非安全相关"时,这些预防措施可以发挥重要作用.
对终端用户的要求是实现表164中列出的安全机制(实现详情可以在硬件和软件诊断说明中找到),不考虑关于它们对安全指标计算所做贡献的任何评估.
表164.
FFI的一般要求列表诊断说明FFI_SM_0禁用未使用的外设FFI_SM_1干扰避免寄存器的定期回读BUS_SM_0互连的定期软件测试NVIC_SM_0配置寄存器的定期回读NVIC_SM_1通过应用软件执行预期和意外中断检查DMA_SM_0配置寄存器的定期回读DMA_SM_2通过DMA传输的数据包的信息冗余,包括发送者和接收者标识符(1)1.
仅在实际使用了DMA时实现.
DMA_SM_4DMA事务感知(1)GPIO_SM_0配置寄存器的定期回读UM2331Rev1[EnglishRev2]113/130UM2331安全结果1304.
1.
3关于多故障情景的说明原则上,IEC61508需要分析多故障情景,因此仅限于一次一种故障是不可接受的.
STM32H7系列的安全分析相应地考虑了多故障情景.
此外,根据ISO26262(集成电路安全分析的参考和先进标准规范)的精神,该分析调查了会"禁用"规定的安全机制的故障,以便为此类情况提供个性化的缓解措施.
第3.
6:硬件和软件诊断说明表格中的"多故障保护"字段描述了正确管理多故障情景所需的相关安全机制,包括针对安全机制禁用的缓解措施.
强烈建议在安全理念中包括此类缓解措施的实现.
对于必须考虑错误累积问题的长期操作系统,这一点尤为重要.
4.
2从属故障分析微控制器的故障分析十分重要.
从属故障的主要子类是共因故障(CCF).
其分析按照IEC61508:2附录E进行判定,该附录列出了待验证的设计要求,以允许对具有一个共用半导体衬底的IC使用片上冗余.
但是,附录E.
1和E.
2适用于HFT=1,而附录E.
3必须应用于每个片上冗余,在同一硅晶上实现的诊断也是如此.
由于STM32H7系列器件无片上冗余,因此无需通过BetaIC计算法实现CCF量化.
请注意,对于1oo2安全架构实现,要求终端用户评估参数βD,即PFH计算中使用的两个通道间共因的量度.
STM32H7系列器件的架构和结构可能是从属故障的潜在源头.
下面几节将对这些情况进行分析.
所述安全机制的详细描述见第第3.
6:硬件和软件诊断说明节.
4.
2.
1电源电源是从属故障的潜在源头,因为功率的任何变化都可能影响许多部件,导致非独立故障.
以下安全机制可解决和缓解这些从属故障:VSUP_SM_1:电源电压异常值的检测;VSUP_SM_2:独立看门狗拥有来自MCU数字核心的不同电源,这种多样性有助于缓解与主电源变化相关的从属故障.
因此,强烈建议采用此类安全机制,尽管它们对达到安全完整性等级所需的安全指标贡献不大.
参见第3.
6.
21:电源控制获取详细的安全机制说明.
4.
2.
2时钟系统时钟是从属故障的潜在源头,因为时钟特性(频率、抖动)的变化可能影响许多部件,导致非独立故障.
以下安全机制可解决和缓解这些从属故障:CLK_SM_1:时钟安全系统能够检测系统时钟的硬改变(停止)并激活适当的恢复操作.
CLK_SM_2:独立看门狗具有专用时钟源.
系统时钟的频率改变会通过触发应用软件上的例程引起看门狗窗口违规,导致看门狗执行MCU复位.
因此,强烈建议采用此类安全机制,尽管它们对达到安全完整性等级所需的安全指标贡献不大.
参见第3.
6.
22:复位和时钟控制(RCC)子系统获取详细的安全机制说明.
安全结果UM2331114/130UM2331Rev1[EnglishRev2]4.
2.
3DMADMA是主要由所有外设操作的数据传输中一种被广泛共享的资源.
DMA故障可能干扰系统外设或应用软件的行为,导致非独立故障.
解决此类从属故障的安全机制如下:DMA_SM_0、DMA_SM_1、DMA_SM_2.
因此,强烈建议采用此类安全机制.
值得注意的是,如果不使用DMA进行数据传输,则只能实现DMA_SM_0.
参见第3.
6.
6:直接存储器访问控制器(DMA、MDMA、BDMA)获取详细的安全机制说明.
4.
2.
4内部温度内部温度异常上升是从属故障的潜在源头,因为它可能影响许多MCU部件,从而导致非独立故障.
用于缓解此潜在影响的安全机制如下:VSUP_SM_3:内部温度读取和检查使用户能够快速检测潜在风险条件,防止其导致一系列内部故障.
参见第3.
6.
21:电源控制获取详细的安全机制说明.
UM2331Rev1[EnglishRev2]115/130UM2331证据列表1305证据列表安全案例数据库保存了为获得本手册中报告的结果和结论而执行的安全分析的所有相关信息.
安全案例数据库具体包含以下内容:具有所有安全分析相关文档完整列表的安全案例ST内部FMEDA工具数据库用于计算安全指标,包括估计值和实测值安全报告是指详细描述在STM32H7系列器件上按照IEC61508逐条执行的安全分析的文档ST内部故障注入活动数据库包含工具配置和设置、故障注入日志和结果由于存在ST机密信息,上述内容未公开提供,只提供给可能的合格验证机构用于审计和检查.
这符合IEC61508:2第7.
4.
9.
7款注释2的说明.
其他安全标准的变更影响分析UM2331116/130UM2331Rev1[EnglishRev2]附录A其他安全标准的变更影响分析本手册中描述的安全分析按照IEC61508安全标准执行.
本附录报告不同安全标准的变更影响分析的结果.
针对处理的每个新安全标准考虑以下主题:推荐硬件架构(架构类别)的差异以及如何映射到IEC61508的安全架构.
安全完整性等级定义和指标计算方法的差异,以及如何按照新标准重新计算和判断STM32H7系列器件的安全性能.
新安全规范所需的工作成果,以及如何重新映射或再加工(如果需要)作为IEC61508合规活动输出的现有工作成果.
此变更影响分析中检查的安全标准如下:ISO13849-1:2006和ISO13849-2:2010–控制系统的机械和安全相关部件的安全性,IEC62061:2012-11,版本1.
1–安全相关电气、电子和可编程电子控制系统的机械安全和功能安全,IEC61800-5-2:20071.
0版–调速电气传动系统–第5-2部分:安全要求-功能,ISO26262:2010–道路车辆-电气或电子(EE)系统.
A.
1ISO13849-1/ISO13849-2ISO13849-1是B1类标准.
它为包括可编程电子设备、硬件和软件在内的机械控制系统安全相关部件(SRP或CS)的开发提供指南.
A.
1.
1架构类别ISO13849的第§6.
2节确定了基础参数、DC、MTTFd和CCF的五个类别,反映了正在设计的SRP或CS的和达到要求的PLr所需的预期容错能力.
该标准为每个类别推荐了一种满足相关要求的典型架构.
考虑到§6.
2中定义的ISO13849架构类别并以微控制器为中心,表165总结了愿意开发适合安全关键型通道的逻辑解算器单元并执行指定安全功能的终端用户.
相关假设如下:1.
通过元件(SRP或CS)输入系统、信号处理单元和输出系统的系列组合实现安全功能.
2.
可将SRP或CS元件分配给一个或多个不同的类别和不同PL.
3.
安全功能完全处于终端用户应用的范围内.
4.
采用本手册中所述安全机制的STM32H7系列MCU作为单个合规项,本身就适合最高PLd级(相当于SIL2)的CM应用.
逻辑解算器的ISO13849架构类别如表165所示.
UM2331Rev1[EnglishRev2]117/130UM2331其他安全标准的变更影响分析130图6.
ISO13849B类和1类的框图表165.
ISO13849架构分类仅限参考总结指定逻辑架构框图B6.
2.
3主要类别;发生一次故障可导致安全功能丧失.
无需DC和CCF(通常为单通道),MTTFd为低或中等.
可达到的最高PL=b单通道架构,1oo1中一个MCU请参见第3节.
合规项的MTTFd=高图616.
2.
4通过采用以安全关键型应用的"充分试验的组件"为基础的解决方案和"充分试验的"安全原则来实施B类要求.
微控制器未被划分为"充分试验的"组件.
无需DC和CCF(通常为单通道),MTTFd为高.
可达到的最高PL=c.
单通道架构,1oo1中一个MCU请参见第3节.
合规项的MTTFd=高图626.
2.
5就类别1而言,架构中应包含测试设备,用于执行安全功能检查和报告其损失.
总体DC为低,必须评估CCF,MTTFd的范围从低到高,最高PL=d.
单通道架构,1oo1d中一个MCU请参见第3节.
合规项的MTTFd=高TE由终端用户负责,PL=d图736.
2.
6就1类而言,应具有故障检测机制,并且任何单个故障都不会导致安全功能丧失.
总体DC为低,必须评估CCF,MTTFd的范围从低到高,最高PL=d双通道架构,1oo2中两个相同MCU请参见第3节.
连续测试或监控合规项的MTTFd=高图846.
2.
7就1类而言,应具有故障检测机制,并且任何单个故障都不会导致安全功能丧失.
总体DC为高,必须评估通道的CCF,MTTFd为高,最高PL=e双通道架构,1oo2中两个相同MCU请参见第3节.
连续测试或监控合规项的MTTFd=高可达到PLe图8ILOILOMS33692V2imimimθθ其他安全标准的变更影响分析UM2331118/130UM2331Rev1[EnglishRev2]图7.
ISO138492类的框图图8.
ISO138493类和4类的框图imILOmTEOTEMS33693V2imimOTETEimmILOθθTEI1L1ImI1,I2L1,L2O1,O2mcmMS33694V1imimO2L2cO1mimmI2imθθUM2331Rev1[EnglishRev2]119/130UM2331其他安全标准的变更影响分析130A.
1.
2安全指标计算ISO13849附录C提供了各种电气或电子元件的标准化MTTFd.
但是,在尝试对可编程IC的MTTFd进行分类的同时,ISO13849中的表C.
3指向IC制造商的数据.
因此,可以在ISO13849的范围内重新映射本手册的安全分析结果,因为即使按照IEC61508进行计算,它们在危险故障识别的定义方面也肯定会越来越准确.
对于PFH>λxT.
因此,由于PFHD=λDx1h,则PFHD=1/MTTF.
按照IEC61508对STM32H7系列执行的安全分析在危险故障识别的定义(可以在IEC62061的范围内重新映射)方面越来越准确.
因此,FMEDA中报告的λ和PFH值(参见第4:安全结果)仍然有效,可以用在上一段的公式中.
无需重新计算微控制器的SFF.
终端用户使用从本手册中得出的相同值.
如前文第4.
2:从属故障分析所述,在评估HFT=1的基础架构的CCF时,终端用户使用通过IEC61508方法获得的相同结果(如果有)(参见IEC61508:2010-6附录D).
或者,终端用户可以应用经过简化的标准方法(参见附录F),以便计算要在PFHD公式中使用的β因子值.
A.
2.
3工作成果表169列出了IEC62061标准要求的工作成果以及它们与IEC61508合规活动工作成果的对应关系:MS49061V1SRECSPEiPEoxxxPEcPEdSTM32H7UM2331Rev1[EnglishRev2]125/130UM2331其他安全标准的变更影响分析130表169.
IEC62061工作成果列表IEC620611.
1表8STM32H7系列IEC61508文档待提供的信息IEC62061-1.
1条款功能安全计划4.
2.
1终端用户责任SRCF要求说明5.
2SRCF的功能安全要求说明5.
2.
3SRCF的安全完整性要求说明5.
2.
4SRECS设计6.
2.
5STM32H7系列安全手册结构化设计过程6.
6.
1.
2终端用户责任SRECS设计文档6.
6.
1.
8功能块的结构6.
6.
2.
1.
1SRECS架构6.
6.
2.
1.
5STM32H7系列安全手册子系统安全要求说明6.
6.
2.
1.
7终端用户责任子系统实现6.
7.
2.
2子系统架构(元件及其相互关系)6.
7.
4.
3.
1.
2STM32H7系列安全手册估计容错或SFF时声明的故障排除6.
7.
6.
1c/6.
7.
7.
3终端用户责任软件安全要求说明6.
10.
1基于软件的参数化6.
11.
2.
4软件配置管理项6.
11.
3.
2.
2软件开发工具的适用性6.
11.
3.
4.
1应用程序文档6.
11.
3.
4.
5应用软件模块测试结果6.
11.
3.
7.
4应用软件集成测试结果6.
11.
3.
8.
2SRECS集成测试文档6.
12.
1.
3SRECS安装文档6.
13.
2.
2安装、使用和维护文档7.
2SRECS确认测试文档8.
2.
4SRECS配置管理文档9.
3.
1其他安全标准的变更影响分析UM2331126/130UM2331Rev1[EnglishRev2]A.
3IEC61800-5-2:2007该标准的范围是调速电气传动系统的功能安全.
IEC61800第5.
2部分在IEC61508第一版的框架内,定义了对设计、开发、集成和确认传动速度应用PDS(SR)的安全相关部件的要求.
更准确地说,IEC61800的这一部分将其应用限制为在HD或CM中工作的PSD(RS)(参见§3.
10注释1),它们实现目标完整性最高为SIL3的安全功能.
从架构的角度来看,此限制反映在两个表格中,它们是§6.
2.
2.
3的表3和表4,分别适用于两种不同类型的分类器件.
由于CPU或整个微控制器是复杂电子部件,所以被划分为B类.
HFT的概念实际上也来自于IEC61508.
A.
3.
1架构类别从架构的角度来看,IEC61800应用反映在两个表格中,它们是§6.
2.
2.
3的表3和表4,分别适用于两种不同类型的分类器件.
由于CPU或整个微控制器被视为复杂电子部件,所以被划分为B类.
此外,HFT的概念实际上也来自于IEC61508.
因此,IEC61508的架构重新映射十分直接.
A.
3.
2安全指标计算应用IEC61508-2评估由PDS(SR)执行的安全功能的PFH.
在IEC61800-5-2中,与IEC61508规范的密切关联还反映在采用相同的重要指标PFH(请参考§6.
2.
1)和SFF(请参考§6.
2.
3).
因此,本手册的结果(以及相关FMEA或FMEDA)可以在IEC61800域中重新映射.
A.
3.
3工作成果表170列出了IEC61800-5-2标准要求的工作成果以及它们与IEC61508合规活动工作成果的对应关系.
表170.
IEC61800工作成果列表IEC6180005.
2STM32H7系列IEC61508文档待提供的信息IEC61800-5.
2部分-条款PDS(SR)的安全要求说明(SRS)包括安全功能要求和安全完整性要求5.
4终端用户责任PDS(SR)安全要求说明的验证8.
2架构层面的硬件设计6架构层面的软件设计IEC61508-3功能框图层面的随机硬件故障导致安全功能故障的概率估计IEC61508-2STM32H7系列安全手册和FMEDA系统设计审核8.
2终端用户责任安全相关PDS(SR)的详细确认规划.
8.
3硬件设计6软件设计可靠性预测6STM32H7系列安全手册和FMEDAUM2331Rev1[EnglishRev2]127/130UM2331其他安全标准的变更影响分析130A.
4ISO26262:2010该国际标准是汽车领域功能安全的参考标准.
它源于IEC61508标准,包括相关修改.
ISO26262重新定义了汽车SIL(ASIL)的安全完整性等级,最低等级为A,最高等级为D.
图10描述了已按照TVSD进行实证的SIL和ASIL值之间的相关矩阵.
系统设计审核8.
2终端用户责任模块层面的功能测试安全相关PDS(SR)的集成和测试.
6.
5硬件或软件集成测试结果和文档的审核8.
2开发描述PDS(SR)安装、调试、操作和维护的用户文档7完整软件和相应文档8.
3确认测试结果文档符合确认计划的确认测试和程序确认测试结果文档子系统测试计划6.
2.
4.
1.
4集成测试计划确认测试计划配置测试计划每项测试的详细结果9.
2.
g)预期值与实际值之间的任何不一致9.
2.
h)测试结论:通过或失败原因9.
2.
i)表170.
IEC61800工作成果列表(续)IEC6180005.
2STM32H7系列IEC61508文档待提供的信息IEC61800-5.
2部分-条款其他安全标准的变更影响分析UM2331128/130UM2331Rev1[EnglishRev2]图10.
SIL和ASIL之间的相关矩阵A.
4.
1架构类别不适用(ISO26262没有定义任何类别).
A.
4.
2安全指标计算ISO26262标准从稍微有别于IEC61508标准的角度定义了硬件指标:单点故障指标(SPFm):使用IEC61508中SFF的相同公式定义,可能因安全故障的不同定义而有所不同(参见下文)诊断覆盖率(DC)的定义方式与IEC61508的相同;潜在故障指标(LFm):专用ISO26262安全指标,用于评估在发生影响诊断部件的故障时设计的稳健性.
IEC61508标准中无对等指标.
值得注意的是,一些故障在IEC61508标准中被分类为无部件/无影响,而在ISO26262标准中被分类为"安全故障".
因此,IEC61508标准中的SFF计算是"保守的",可以使用来自STM32H7系列FMEDA的SPF值.
对于此类商用现成品(COTS)微控制器(例如,STM32H7系列),ISO方案的物性指标是ASILB(永久和瞬时故障的SPF指标为90%,潜在故障为60%).
由于这些指标与1oo1SIL2方案的相同,可以假定同一组使用条件或安全机制适用.
STM32H7系列微控制器的FMEDA详细描述了指标计算;得到的PMHF值符合ASILBMCU的期望值.
我们可以得出结论,ASILB的目标可通过对最终应用施加一些限制来实现.
请注意,安全诊断措施的基础是在每个FTTI定期执行软件至少一次.
对于STM32H7系列器件,通过采用保证微控制器适用于SIL2应用的相同安全机制组合,可以满足ASILB潜在故障指标(60%).
注:由于IEC61508和ISO26262在微控制器模块或功能的局部目标解读上存在差异,SIL2情境中通过STM32H7系列实现的安全性能与基于ISO26262-5第9.
4.
3节的ISO26262应用无法兼容(即"割集"法).
如果您的ISO26262安全分析使用此类方法,请仔细检查STM32H7系列FMEDA功能层面的故障率.
MS33672V31234(QM)ABCD--ISOδASILεIECδ61508εδSILεUM2331Rev1[EnglishRev2]129/130UM2331其他安全标准的变更影响分析130A.
4.
3工作成果表171列出了ISO26262标准要求的工作成果以及它们与IEC61508合规活动工作成果的对应关系:注:应改写STM32H7系列FMEA以便将IEC61508参考故障模式映射到ISO26262参考故障模式中.
表171.
IEC26262工作成果列表IEC26262STM32H7系列IEC61508文档待提供的信息IEC26262部分-条款技术安全要求说明4-6.
5.
1STM32H7系列安全手册技术安全理念4-7.
5.
1从要求得出的安全分析报告4-7.
5.
6硬件安全要求验证报告5-6.
5.
3硬件安全分析报告5-7.
5.
2处理随机硬件故障的项目架构的有效性分析5-8.
5.
1处理随机硬件故障的项目架构的有效性评估审核报告5-8.
5.
2随机硬件故障所致安全目标违规的分析5-9.
5.
1随机硬件故障所致安全目标违规的评估审核报告5-9.
5.
3STM32H7系列FMEDA软件安全要求说明6-6.
5.
1终端用户责任软件架构设计规格6-7.
5.
1软件验证报告(精简)6-11.
5.
3安全分析结果9-8.
5.
1STM32H7系列安全手册,FMEA和FMEDA版本历史UM2331130/130UM2331Rev1[EnglishRev2]版本历史表172.
文档版本历史日期版本变更2017年12月18日1初始版本.
2018年4月19日2更新了引言、第1.
3:参考标准、第3.
3:假定要求、附录A:其他安全标准的变更影响分析、第A.
1.
3:工作成果和第A.
2:IEC62061:2005/AMD1:2012的标题.
更新了表165、表166、图6、图7和图8的标题.
更新了表3:SS1和SS2安全状态详细信息和表167:SIL分类与HFT.
删除了原A.
4节:IEC60730-1:2010.
对整个文档进行了少量文字修订.
表173.
中文文档版本历史日期版本变更2018年12月28日1中文初始版本.
UM2331Rev1[EnglishRev2]131/131UM2331131重要通知-请仔细阅读意法半导体公司及其子公司("ST")保留随时对ST产品和/或本文档进行变更、更正、增强、修改和改进的权利,恕不另行通知.
买方在订货之前应获取关于ST产品的最新信息.
ST产品的销售依照订单确认时的相关ST销售条款.
买方自行负责对ST产品的选择和使用,ST概不承担与应用协助或买方产品设计相关的任何责任.
ST不对任何知识产权进行任何明示或默示的授权或许可.
转售的ST产品如有不同于此处提供的信息的规定,将导致ST针对该产品授予的任何保证失效.
ST和ST徽标是ST的商标.
所有其他产品或服务名称均为其各自所有者的财产.
本文档中的信息取代本文档所有早期版本中提供的信息.
本文档的中文版本为英文版本的翻译件,仅供参考之用;若中文版本与英文版本有任何冲突或不一致,则以英文版本为准.
2018STMicroelectronics-保留所有权利