極海功能安全設(shè)計套件滿足客戶不同產(chǎn)品功能安全認證需求

安全是人們持續(xù)關(guān)注的話題，而功能安全的設(shè)計理念首次針對安全給出了相對定量的衡量指標，使得安全不再是一個模糊概念。隨著一系列功能安全標準的頒布，不僅對安全做了定量等級劃分，還對如何達到相應(yīng)安全等級制定了管理和技術(shù)上的實施辦法。

理論完善推動了功能安全在實際中的應(yīng)用，而實踐的檢驗也驗證了功能安全對保障系統(tǒng)穩(wěn)定可靠的重要性。隨著產(chǎn)品應(yīng)用的不斷拓展創(chuàng)新，功能安全型產(chǎn)品必將成為未來的發(fā)展趨勢。

APM32功能安全生態(tài)系統(tǒng)

為了幫助客戶快速通過行業(yè)安全認證，減少客戶投入認證的時間和成本，助力用戶聚焦產(chǎn)品應(yīng)用的研發(fā)與創(chuàng)新，針對不同行業(yè)、不同標準，極海可提供多種功能安全設(shè)計套件，滿足客戶不同產(chǎn)品功能安全認證需求。

針對工業(yè)領(lǐng)域：

SIL 功能安全設(shè)計套件 符合IEC61508 標準 覆蓋APM32F103系列MCU

針對家電領(lǐng)域：

Class B 功能安全設(shè)計套件 符合IEC60730-1/60335-1 標準，覆蓋 APM32F030 系列MCU

針對汽車領(lǐng)域：

ASIL 功能安全設(shè)計條件 符合ISO26262 標準，覆蓋未來將推出的G32A系列車規(guī)級MCU新品

下面將對功能安全設(shè)計套件進行具體描述：

安全文檔：

安全手冊，主要描述如何在安全相關(guān)背景下正確使用APM32 MCU，并達到所需安全完整性等級。

使用指南，主要描述如何將安全軟件庫和底層驅(qū)動外加特定產(chǎn)品的設(shè)置一起納入最終產(chǎn)品目標。

MINI板：

APM32F103VB MINIBOARD，用來實現(xiàn)運行軟件安全庫的評估板。

APM32F030R8 MINIBOARD，用來實現(xiàn)軟件運行安全庫的評估板。

固件包：

GEEHY.APM32F0XX_DFP.1.0.7.PACK，F(xiàn)0系列芯片支持包。

GEEHY.APM32F1XX_DFP.1.0.8.PACK，F(xiàn)1系列芯片支持包。

安全庫：

APM32F1_IEC61508_V1.0

APM32F0_IEC60730_V1.0

認證證書：

APM32F103 IEC61508 SIL2/SIL3功能安全認證證書

APM32F030 IEC60730-1 CLASS B 軟件安全認證證書

本地資源：

用戶手冊，主要描述該系列MCU的功能信息，各模塊內(nèi)部結(jié)構(gòu)和寄存器配置信息等。

數(shù)據(jù)手冊， 主要描述該系列MCU的特征信息，基本配置，引腳分配，電器特性，封裝信息等。

· 功能安全程序包

軟件安全庫只是實現(xiàn)功能安全所需的安全機制的子集，并不能作為整個產(chǎn)品的功能安全系統(tǒng)，用戶可將安全庫的文件添加到實際工程中，結(jié)合硬件功能，利用安全文檔，開發(fā)符合自己實際需求的安全認證代碼。

該軟件安全庫針對APM32內(nèi)核的關(guān)鍵部分進行自檢，此檢測與應(yīng)用無關(guān)，可用在任何終端應(yīng)用中，主要包括：

1.CPU寄存器自檢

2.時鐘自檢

3.不變存儲器FLASH自檢

4.可變存儲器RAM自檢

5.看門狗自檢

6.流程控制自檢

軟件流程是通過啟動自檢和運行自檢對上述模塊進行檢測：

關(guān)于APM32 MCU安全等級

安全完整性等級：（safety integrity level， SIL）

源自 IEC 61508-4-2010 3.5.8 部分。一種離散的等級對應(yīng)安全完整量值的范圍，用于規(guī)定分配該E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。SIL認證一共分為4個等級，SIL1、SIL2、SIL3、SIL4，包括對產(chǎn)品和對系統(tǒng)兩個層次，數(shù)字越大，安全完整性等級越高。

安全架構(gòu)：MooN

源自 IEC 61508-6-2010 附錄B 部分。N取M通道架構(gòu)，如1oo2是2取1架構(gòu)，此架構(gòu)由兩個并聯(lián)通道構(gòu)成，兩個通道中任意一個通道都可執(zhí)行安全功能。若兩個通道都存在危險失效，則在要求時安全功能失效。前提為，假設(shè)任何診斷測試僅報告發(fā)現(xiàn)故障，不改變?nèi)魏屋敵鰻顟B(tài)或者輸出表決。

硬件故障裕度：（Hardware Fauit Tolerance， HFT）

源自 IEC 61508-2-2010 7.4.4 部分。N意味著N+1個故障會導(dǎo)致全部功能喪失，在確定硬件故障裕度時不考慮其他可能控制故障影響的措施，如診斷。關(guān)于診斷覆蓋率和安全失效分數(shù)詳看IEC 61508-2-2010 附錄C部分。

HFT的值根據(jù)安全架構(gòu)來判斷，計算公式為：

HFT = N – M （總通道數(shù) – 最少通道數(shù)）

硬件安全完整性的安全功能所申明的最高安全完整性等級，受限于硬件故障裕度和執(zhí)行安全功能子系統(tǒng)的安全失效分數(shù)。下圖為硬件安全完整性B類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束：

APM32 MCU配合軟件安全庫可達到SIL2/SIL3安全等級。

用戶可根據(jù)安全等級需求進行架構(gòu)選擇：

單通道（1顆MCU）屬于1oo1架構(gòu)，其HFT = 0，故能達到SIL2;

雙通道（2顆MCU）屬于1oo2 架構(gòu)，其HFT = 1，故能達到SIL3。