X-CUBE-STL：支持所有STM32工业功能安全

功能安全计划现在包括几乎所有STM32器件的文档和新的X-CUBE-STL自检库，从而创建了最广泛的通用微控制器系列，能够在安全完整性2级和3级认证系统中运行。

国际电工委员会将安全定义为“免于不可接受的人身伤害或损害人员健康的风险”。在设计嵌入式系统时，功能安全涵盖了依赖于该系统的安全的各个方面。例如，在制造工厂中，功能安全可确保控制机器人的电路正常失效，而不是伤害其操作员。在医疗应用中，标准保证用户通过使用警报来了解故障，以防止有害使用。由于STM32微控制器无处不在，因此必须看到所有微控制器都能直接通向工业应用的IEC 61508标准。

在 X-CUBE-STL 之前：开始处理 IEC 61508 的所有文档
IEC 61508 规定了各种行业和应用中电气和电子系统的功能安全。然而，许多STM32用户在风险更高、要求更严格的工业环境中工作时寻求认证。该标准的第一个重要方面是安全生命周期。首先，工程师必须记录他们将采取的所有步骤和措施，以实现功能安全，从最初的设计操作一直到产品的退役。该过程包括风险分析、安全协议和验证、维护以及许多其他方面。

功能安全计划对工程师来说是一个很好的起点，因为它为所有STM32微控制器提供了“安全手册”，确保他们能够开始定义产品的生命周期。该文档可在每个STM32系列的ST页面上下载，它描述了用户在安装和操作方面的责任。这些手册侧重于IEC 61508合规性，但也可以帮助希望扩展到其他安全认证（如ISO 13849）的安全机器的工程师。ST提供故障模式和影响分析（FMEA），其中列出了所有MCU故障模式以及如何缓解它们。ST还提供故障模式效应和诊断分析（FMEDA），它是前者的扩展，可计算MCU和功能级别的故障率。

X-CUBE-STL：自检库可更快地获得 SIL 2 或 SIL 3 认证
IEC 61508的第二个方面是分配安全完整性等级或SIL。在危害分析之后，确定可能出错的内容以及它对人或环境造成的损害有多严重，然后进行风险评估以确定危害发生的频率或可能性。从这些分析中，功能安全标准得出安全要求或SIL。有四个级别，第一个级别是最严格的标准，第四个级别代表最严格的标准。SIL 4 传统上用于铁路或核应用。SIL 1 更宽松，倾向于应用于代码，而 SIL 2 和 3 在为工业应用设计的硬件中更为常见，两者之间的主要区别在于需要在 SIL 3 中执行冗余测量。

要开始获得SIL 2或SIL 3认证，团队首先要选择具有符合其应用要求的硬件安全功能的STM32。例如，ST所有的MCU都有一个双看门狗，但只有STM32G0、STM32G4、STM32H7、STM32L4/L4+和STM32L5具有ECC闪存，其中只有STM32H7具有ECC SRAM，这传统上只是需要高性能MCU的应用的要求。

团队还可以使用 X-CUBE-STL 中提供的自检库来开始实施故障检测机制。例如，它们可以帮助发现CPU，SRAM或闪存中的随机故障。X-CUBE-STL的诊断能力通过故障注入方法验证，以提高客户对ST解决方案的信心。为了使这些库更易于访问，ST将它们作为目标代码提供，这意味着它们可以集成到潜在的任何应用程序中，开发人员可以使用任何编译器。

功能安全：STM32和STM8系列MCU的独特地位
X-CUBE-STL 存在于意法半导体的生态系统中，旨在帮助工程师获得比简单的IEC 61508更多的认证。例如，ST更新了STM8A-SafeASIL，增加了新的安全文档和自检库规范。ST不提供库本身，而是提供规范，包括实现它们的一组要求，因为该软件包主要针对那些无论如何都会自己编写库代码的客户。ST还有针对家用电器的IEC 60335-1/60730-1封装。X-CUBE-CLASSB 适用于 STM32 MCU，而 STM8-SafeCLASSB 适用于 STM8。它们都包含安全文档和自检库，以及它们的源代码。由于这些认证远不如IEC 61508严格，因此ST提供源代码来帮助希望研究ST实施的开发人员。

所有这些封装使ST的STM32和STM8通用微控制器成为最复杂协议的理想之选。传统上，针对这些标准的MCU是定制产品，这意味着它们要贵得多，并且使用的硬件规格有时以一种或另一种方式更加令人望而却步。因此，ST的方法之所以独一无二，是因为ST使这些标准更易于访问，并提供了一个重要的合作伙伴网络。许多团队往往低估了获得认证带来的困难，这就是为什么ST有合作伙伴，他们了解ST的设备，可以确保工程师通过运送认证产品来冲过终点线。