安全是人們持續(xù)關(guān)注的話題，而功能安全的設(shè)計(jì)理念首次針對(duì)安全給出了相對(duì)定量的衡量指標(biāo)，使得安全不再是一個(gè)模糊概念。隨著一系列功能安全標(biāo)準(zhǔn)的頒布，不僅對(duì)安全做了定量等級(jí)劃分，還對(duì)如何達(dá)到相應(yīng)安全等級(jí)制定了管理和技術(shù)上的實(shí)施辦法。

理論完善推動(dòng)了功能安全在實(shí)際中的應(yīng)用，而實(shí)踐的檢驗(yàn)也驗(yàn)證了功能安全對(duì)保障系統(tǒng)穩(wěn)定可靠的重要性。隨著產(chǎn)品應(yīng)用的不斷拓展創(chuàng)新，功能安全型產(chǎn)品必將成為未來(lái)的發(fā)展趨勢(shì)。

APM32功能安全生態(tài)系統(tǒng)

為了幫助客戶快速通過(guò)行業(yè)安全認(rèn)證，減少客戶投入認(rèn)證的時(shí)間和成本，助力用戶聚焦產(chǎn)品應(yīng)用的研發(fā)與創(chuàng)新，針對(duì)不同行業(yè)、不同標(biāo)準(zhǔn)，極海可提供多種功能安全設(shè)計(jì)套件，滿足客戶不同產(chǎn)品功能安全認(rèn)證需求。

針對(duì)工業(yè)領(lǐng)域：

SIL 功能安全設(shè)計(jì)套件 符合IEC61508 標(biāo)準(zhǔn) 覆蓋APM32F103系列MCU

針對(duì)家電領(lǐng)域：

Class B 功能安全設(shè)計(jì)套件 符合IEC60730-1/60335-1 標(biāo)準(zhǔn)，覆蓋 APM32F030 系列MCU

針對(duì)汽車領(lǐng)域：

ASIL 功能安全設(shè)計(jì)條件 符合ISO26262 標(biāo)準(zhǔn)，覆蓋未來(lái)將推出的G32A系列車規(guī)級(jí)MCU新品

下面將對(duì)功能安全設(shè)計(jì)套件進(jìn)行具體描述：

安全文檔：

安全手冊(cè)，主要描述如何在安全相關(guān)背景下正確使用APM32 MCU，并達(dá)到所需安全完整性等級(jí)。

使用指南，主要描述如何將安全軟件庫(kù)和底層驅(qū)動(dòng)外加特定產(chǎn)品的設(shè)置一起納入最終產(chǎn)品目標(biāo)。

MINI板：

APM32F103VB MINIBOARD，用來(lái)實(shí)現(xiàn)運(yùn)行軟件安全庫(kù)的評(píng)估板。

APM32F030R8 MINIBOARD，用來(lái)實(shí)現(xiàn)軟件運(yùn)行安全庫(kù)的評(píng)估板。

固件包：

GEEHY.APM32F0XX_DFP.1.0.7.PACK，F(xiàn)0系列芯片支持包。

GEEHY.APM32F1XX_DFP.1.0.8.PACK，F(xiàn)1系列芯片支持包。

安全庫(kù)：

APM32F1_IEC61508_V1.0

APM32F0_IEC60730_V1.0

認(rèn)證證書(shū)：

APM32F103 IEC61508 SIL2/SIL3功能安全認(rèn)證證書(shū)

APM32F030 IEC60730-1 CLASS B 軟件安全認(rèn)證證書(shū)

本地資源：

用戶手冊(cè)，主要描述該系列MCU的功能信息，各模塊內(nèi)部結(jié)構(gòu)和寄存器配置信息等。

數(shù)據(jù)手冊(cè)， 主要描述該系列MCU的特征信息，基本配置，引腳分配，電器特性，封裝信息等。

· 功能安全程序包

軟件安全庫(kù)只是實(shí)現(xiàn)功能安全所需的安全機(jī)制的子集，并不能作為整個(gè)產(chǎn)品的功能安全系統(tǒng)，用戶可將安全庫(kù)的文件添加到實(shí)際工程中，結(jié)合硬件功能，利用安全文檔，開(kāi)發(fā)符合自己實(shí)際需求的安全認(rèn)證代碼。

該軟件安全庫(kù)針對(duì)APM32內(nèi)核的關(guān)鍵部分進(jìn)行自檢，此檢測(cè)與應(yīng)用無(wú)關(guān)，可用在任何終端應(yīng)用中，主要包括：

1.CPU寄存器自檢

2.時(shí)鐘自檢

3.不變存儲(chǔ)器FLASH自檢

4.可變存儲(chǔ)器RAM自檢

5.看門狗自檢

6.流程控制自檢

軟件流程是通過(guò)啟動(dòng)自檢和運(yùn)行自檢對(duì)上述模塊進(jìn)行檢測(cè)：

關(guān)于APM32 MCU安全等級(jí)

安全完整性等級(jí)：（safety integrity level， SIL）

源自 IEC 61508-4-2010 3.5.8 部分。一種離散的等級(jí)對(duì)應(yīng)安全完整量值的范圍，用于規(guī)定分配該E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。SIL認(rèn)證一共分為4個(gè)等級(jí)，SIL1、SIL2、SIL3、SIL4，包括對(duì)產(chǎn)品和對(duì)系統(tǒng)兩個(gè)層次，數(shù)字越大，安全完整性等級(jí)越高。

安全架構(gòu)：MooN

源自 IEC 61508-6-2010 附錄B 部分。N取M通道架構(gòu)，如1oo2是2取1架構(gòu)，此架構(gòu)由兩個(gè)并聯(lián)通道構(gòu)成，兩個(gè)通道中任意一個(gè)通道都可執(zhí)行安全功能。若兩個(gè)通道都存在危險(xiǎn)失效，則在要求時(shí)安全功能失效。前提為，假設(shè)任何診斷測(cè)試僅報(bào)告發(fā)現(xiàn)故障，不改變?nèi)魏屋敵鰻顟B(tài)或者輸出表決。

硬件故障裕度：（Hardware Fauit Tolerance， HFT）

源自 IEC 61508-2-2010 7.4.4 部分。N意味著N+1個(gè)故障會(huì)導(dǎo)致全部功能喪失，在確定硬件故障裕度時(shí)不考慮其他可能控制故障影響的措施，如診斷。關(guān)于診斷覆蓋率和安全失效分?jǐn)?shù)詳看IEC 61508-2-2010 附錄C部分。

HFT的值根據(jù)安全架構(gòu)來(lái)判斷，計(jì)算公式為：

HFT = N – M （總通道數(shù) – 最少通道數(shù)）

硬件安全完整性的安全功能所申明的最高安全完整性等級(jí)，受限于硬件故障裕度和執(zhí)行安全功能子系統(tǒng)的安全失效分?jǐn)?shù)。下圖為硬件安全完整性B類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束：

APM32 MCU配合軟件安全庫(kù)可達(dá)到SIL2/SIL3安全等級(jí)。

用戶可根據(jù)安全等級(jí)需求進(jìn)行架構(gòu)選擇：

單通道（1顆MCU）屬于1oo1架構(gòu)，其HFT = 0，故能達(dá)到SIL2;

雙通道（2顆MCU）屬于1oo2 架構(gòu)，其HFT = 1，故能達(dá)到SIL3。