PDF《UM2305 用户手册》

2018年10月DocID031169 Rev

1 [English Rev 2] 1/130

1 UM2305 用户手册 STM32L4系列安全手册 引言 本文档描述如何在安全相关系统的背景下使用STM32L4系列微控制器,并指定了为达到目标 安全完整性等级,用户需承担的安装和操作责任.

本手册适用于STM32L4系列和STM32-SafeSIL微控制器. 如果遵循本手册的指示,则系统设计者无需了解STM32L4系列的功能安全标准应用详情. 本手册按照IEC 61508标准编写.它描述了如何在其他功能安全标准(例如,安全机器指示 ISO 13849)的背景下使用STM32L4系列微控制器. 本手册中收集的安全分析考虑了基于Arm? Cortex?-M4的STM32L4系列微控制器的不同产品 编号中存储器大小、内部外设编号和封装的变化. 本手册必须与相关产品编号的技术文档(例如参考手册和数据手册)一起阅读,这些技术文 档可以在www.st.com上获取. www.st.com 目录 UM2305 2/130 DocID031169 Rev

1 [English Rev 2] 目录

1 关于本文档

10 1.1 目的和范围

10 1.2 术语和缩略语

10 1.3 参考标准

11 2 STM32L4系列微控制器开发过程

13 2.1 STMicroelectronics标准开发过程

13 3 参考安全架构

15 3.1 引言

15 3.2 合规项

15 3.2.1 合规项的定义

15 3.2.2 合规项执行的安全功能

16 3.2.3 参考安全架构 - 1oo1

16 3.2.4 参考安全架构 - 1oo2

17 3.3 假定要求

18 3.3.1 假定安全要求

18 3.4 电气规范和环境限制

20 3.5 系统安全完整性

21 3.6 硬件和软件诊断说明

21 3.6.1 Arm? Cortex? -M4 CPU

22 3.6.2 嵌入式FLASH

28 3.6.3 内部 SRAM

34 3.6.4 系统总线架构

38 3.6.5 EXTI控制器

40 3.6.6 直接存储器访问控制器 (DMA)42 3.6.7 控制器局域网络 (bxCAN)45 3.6.8 通用同步/异步收发器 (USART)1/2/3/4/5/6/7/8,低功耗通用异步收发 器(LPUART)

47 3.6.9 内部集成电路(I2C)1/2

49 3.6.10 串行外设接口(SPI)1/2

51 3.6.11 USB on-the-go全速(OTG_FS)54 3.6.12 触摸感应控制器(TSC)56 3.6.13 模数转换器 (ADC)58 DocID031169 Rev

1 [English Rev 2] 3/130 UM2305 目录

4 3.6.14 数模转换器 (DAC)60 3.6.15 比较器 (COMP)61 3.6.16 基本定时器TIM 6/7

64 3.6.17 高级、通用和低功耗定时器TIM1/2/3/4/5/8/15/16/17 LPTIM1/2

65 3.6.18 通用输入/输出(GPIO)- 端口A/B/C/D/E/F/G/H/I

68 3.6.19 实时时钟模块(RTC)70 3.6.20 电源控制

72 3.6.21 复位和时钟控制(RCC)子系统

74 3.6.22 独立看门狗(IWDG),系统窗口看门狗(WWDG)76 3.6.23 调试

77 3.6.24 循环冗余校验模块(CRC)77 3.6.25 系统配置控制器 (SYSCFG)78 3.6.26 单线协议主接口(SWPMI)79 3.6.27 SD/SDIO/MMC 卡主机接口 (SDMMC)81 3.6.28 灵活的静态存储控制器 (FSMC)83 3.6.29 Quad-SPI 接口 (QUADSPI)85 3.6.30 串行音频接口 (SAI)86 3.6.31 真随机数发生器 (RNG)88 3.6.32 高级加密标准硬件加速器(AES)89 3.6.33 HASH处理器(HASH)90 3.6.34 运算放大器(OPAMP)91 3.6.35 ∑? 调制器数字滤波器 (DFSDM)92 3.6.36 防火墙 (FW)94 3.6.37 数字摄像头接口 (DCMI)94 3.6.38 液晶显示控制器 (LCD)95 3.6.39 禁用并定期交叉检查未使用外设的意外激活

96 3.7 使用条件

97 4 安全结果

103 4.1 随机硬件故障安全结果

103 4.1.1 安全分析结果自定义

104 4.1.2 免受干扰(FFI)的一般要求

104 4.1.3 关于多故障情景的说明

105 4.2 从属故障分析

105 4.2.1 电源

105 4.2.2 时钟

105 目录 UM2305 4/130 DocID031169 Rev

1 [English Rev 2] 4.2.3 DMA

106 4.2.4 内部温度

106 5 证据列表

107 附录A 其他安全标准的变更影响分析

108 A.1 ISO 13849-1 / ISO 13849-2.108 A.1.1 架构类别

108 A.1.2 安全指标计算

110 A.1.3 工作成果

111 A.2 IEC 62061:2012-11

113 A.2.1 架构类别

114 A.2.2 安全指标计算

116 A.2.3 工作成果

117 A.3 IEC 61800-5-2:2007

118 A.3.1 架构类别

118 A.3.2 安全指标计算

118 A.3.3 工作成果

118 A.4 IEC 60730-1:2010

119 A.4.1 架构类别

119 A.4.2 安全指标计算

120 A.4.3 工作成果

124 A.5 ISO 26262:2010

127 A.5.1 架构类别

127 A.5.2 安全指标计算

127 A.5.3 工作成果

128 版本历史

129 DocID031169 Rev

1 [English Rev 2] 5/130 UM2305 表格索引

8 表格索引 表1. 术语和缩略语

10 表2. 本文档内容与IEC 61508-2附录D要求之间的要求

12 表3. SS1和SS2安全状态详细信息

20 表4. 安全机制字段说明

21 表5. CPU_SM_0.22 表6. CPU_SM_1.22 表7. CPU_SM_2.23 表8. CPU_SM_3.24 表9. CPU_SM_4.24 表10. CPU_SM_5.25 表11. CPU_SM_6.25 表12. CPU_SM_7.26 表13. CPU_SM_8.27 表14. MPU_SM_0

27 表15. FLASH_SM_0.28 表16. FLASH_SM_1.29 表17. FLASH_SM_2.30 表18. FLASH_SM_3.30 表19. FLASH_SM_4.31 表20. FLASH_SM_5.31 表21. FLASH_SM_6.32 表22. FLASH_SM_7.32 表23. FLASH_SM_8.33 表24. FLASH_SM_9.33 表25. RAM_SM_0

34 表26. RAM_SM_1

35 表27. RAM_SM_2

35 表28. RAM_SM_3

36 表29. RAM_SM_4

36 表30. RAM_SM_5

37 表31. RAM_SM_6

38 表32. BUS_SM_0

38 表33. BUS_SM_1

39 表34. LOCK_SM_0.39 表35. NVIC_SM_0

40 表36. NVIC_SM_1

41 表37. DMA_SM_0

42 表38. DMA_SM_1

42 表39. DMA_SM_2

43 表40. DMA_SM_3

43 表41. DMA_SM_4

44 表42. CAN_SM_0.45 表43. CAN_SM_1.45 表44. CAN_SM_2.46 表45. UART_SM_0.47 表46. UART_SM_1.47 表47. UART_SM_2.48 表48. UART_SM_3.48 表格索引 UM2305 6/130 DocID031169 Rev

1 [English Rev 2] 表49. IIC_SM_0

49 表50. IIC_SM_1

49 表51. IIC_SM_2

50 表52. IIC_SM_3

50 表53. IIC_SM_4

51 表54. SPI_SM_0.51 表55. SPI_SM_1.52 表56. SPI_SM_2.52 表57. SPI_SM_3.53 表58. SPI_SM_4.53 表59. USB_SM_0

54 表60. USB_SM_1

54 表61. USB_SM_2

55 表62. USB_SM_3

55 表63. TSC_SM_0

56 表64. TSC_SM_1

56 表65. TSC_SM_2

57 表66. ADC_SM_0.58 表67. ADC_SM_1.58 表68. ADC_SM_2.59 表69. ADC_SM_3.59 表70. ADC_SM_4.60 表71. DAC_SM_0.60 表72. DAC_SM_1.61 表73. COMP_SM_0

61 表74. COMP_SM_1

62 表75. COMP_SM_2

62 表76. COMP_SM_3

63 表77. COMP_SM_4

63 表78. GTIM_SM_0

64 表79. GTIM_SM_1

64 表80. ATIM_SM_0

65 表81. ATIM_SM_1

65 表82. ATIM_SM_2

66 表83. ATIM_SM_3

66 表84. ATIM_SM_4

67 表85. GPIO_SM_0

68 表86. GPIO_SM_1

68 表87. GPIO_SM_2

69 表88. GPIO_SM_3

69 表89. RTC_SM_0

70 表90. RTC_SM_1

70 表91. RTC_SM_2

71 表92. RTC_SM_3

71 表93. VSUP_SM_0.72 表94. VSUP_SM_1.72 表95. VSUP_SM_2.73 表96. VSUP_SM_3.73 表97. VSUP_SM_4.74 表98. CLK_SM_0

74 表99. CLK_SM_1

75 表100. CLK_SM_2

75 DocID031169 Rev

1 [English Rev 2] 7/130 UM2305 表格索引

8 表101. CLK_SM_3

75 表102. WDG_SM_0

76 表103. WDG_SM_1

76 表104. DBG_SM_0.77 表105. CRC_SM_0.77 表106. SYSCFG_SM_0

78 表107. DIAG_SM_0

78 表108. SWPMI_SM_0

79 表109. SWPMI_SM_1

79 表110. SWPMI_SM_2

80 表111. SWPMI_SM_3

80 表112. SDIO_SM_0

81 表113. SDIO_SM_1

82 表114. SDIO_SM_2

82 表115. FSMC_SM_0

83 表116. FSMC_SM_1

83 表117. FSMC_SM_2

84 表118. FSMC_SM_3

84 表119. QSPI_SM_0

85 表120. QSPI_SM_1

85 表121. QSPI_SM_2

86 表122. SAI_SM_0.86 表123. SAI_SM_1.87 表124. SAI_SM_2.87 表125. RNG_SM_0

88 表126. RNG_SM_1

88 表127. AES_SM_0

89 表128. AES_SM_1

89 表129. AES_SM_2

90 表130. HASH_SM_0

90 表131. HASH_SM_1

91 表132. AMP_SM_0.91 表133. DFS_SM_0

92 表134. DFS_SM_1

92 表135. DFS_SM_2

93 表136. DFS_SM_3

93 表137. FWR_SM_0

94 表138. DCMI_SM_0

94 表139. DCMI_SM_1

95 表140. LCD_SM_0

95 表141. LCD_SM_1

96 表142. FFI_SM_0

96 表143. FFI_SM_1

97 表144. 安全机制列表

98 表145. 整体可达到的安全完整性等级

103 表146. FFI的一般要求列表

104 表147. IEC 13849架构类别

109 表148. IEC 13849工作成果列表

111 表149. SIL分类与HFT.114 表150. IEC 62061架构分类

115 表151. IEC 62061工作成果列表

117 表152. IEC 61800工作成果列表

118 表格索引 UM2305 8/130 DocID031169 Rev

1 [English Rev 2] 表153. IEC

60730 B/C类的安全机制要求

120 表154. IEC 60730工作成果列表

125 表155. IEC 26262工作成果列表

128 表156. 文档版本历史

129 表157. 中文文档版本历史

129 DocID031169 Rev

1 [English Rev 2] 9/130 UM2305 图片目录

9 图片目录 图1. STMicroelectronics产品开发过程

14 图2. 合规项的定义

15 图3. 1oo1参考架构

17 图4. 1oo2参考架构

18 图5. STM32 PST的分配和目标.19 图6. IEC

13849 B类和1类的框图 1.109 图7. IEC

13849 2

110 图8. IEC

13849 3类和4类的框图

4 110 图9. SRECS高层图.116 图10. SIL和ASIL之间的相关矩阵

127 关于本文档 UM2305 10/130 DocID031169 Rev

1 [English Rev 2]

1 关于本文档 1.1 目的和范围 本文档描述如何在安全相关系统的背景下使用基于Arm? Cortex? -M4的STM32L4 Series,并 指定了为达到所需安全完整性等级,用户需承担的安装和操作责任. 对于内置一个或多个STM32L4系列微控制器的解决方案,系统设计者可使用本文档评估该解 决方案的安全性. 1.2 术语和缩略语 STM32L4系列硬件模块的相关缩略语(例如,DMA、GPIO等)与STM32L4系列技术文档中使 用的相同.参见下面的表 1获取本文档中所用缩略语的列表. 表1. 术语和缩略语 缩略语 定义 CCF 共因故障 CM 连续模式 COTS 商用现成品 CoU 使用条件 CPU 中央处理器 CRC 循环冗余校验 DC 诊断覆盖率 DMA 直接存储器访问 DTI 诊断测试间隔 ECM 发动机控制模块 ECU 电子控制单元 EUC 受控设备 FIT 故障率 FMEA 故障模式影响分析 FMEDA 故障模式影响诊断分析 HD 高需求 HFT 硬件容错 HW 硬件 ITRS 国际半导体技术发展路线图 LD 低需求 MCU 微控制器单元 MTBF 平均故障间隔时间 DocID031169 Rev

1 [English Rev 2] 11/130 UM2305 关于本文档

129 另请阅读本手册中使用的以下定义: ? 终端用户:STM32L4系列的最终用户,负责将MCU集成到实际应用(例如,电子控制板) 中. ? 应用软件:在STM32L4系列MCU上运行并实现安全功能的实际软件. 1.3 参考标准 本文档按照适用于电气、电子和可编程电子安全相关系统的功能安全的IEC 61508国际标准 编写. 所参考的版本为IEC 61508:1-7 ? IEC:2010. 本手册中考虑的其他功能安全标准如下: ? ISO 26262-1, 2, 3, 4, 5, 6, 7, 8, 9: 2011(E),ISO 26262-10: 2012(E), ? ISO 13849-1:2006,ISO 13849-2:2010, ? IEC 62061:2012-11,版本 1.1, ? IEC 61800-5-2:2007,版本1.0, ? IEC 60730-1:2010,版本 4.0. 表2列出了本文档内容与IEC 61508-2附录D中所列要求的对应关系. MTTFd 平均故障前时间 NA 不可用 PDS(SR) 功率驱动系统(安全相关) PEc 可编程电子设备 - 核心 PEd 可编程电子设备 - 诊断 PFH 每小时故障概率 PL 性能等级 PST 过程安全时间 SFF 安全失效分数 SIL 安全完整性等级 SRCF 安全相关控制功能 SRECS 安全相关电气控制系统 SRP/CS 控制系统的安全相关部件 SW 软件 表1. 术语和缩略语(续) 缩略语 定义 关于本文档 UM2305 12/130 DocID031169 Rev

1 [English Rev 2] 本手册中报告的安全故障分数是在本文档所述假设下并特别根据第 3.7节:使用条件中所述 使用条件计算得出. 表2. 本文档内容与IEC 61508-2附录D要求之间的要求 IEC 61508要求(第2部分附录D) 参考 D2.1 a) 能够执行的功能的功能说明 第 3节 D2.1 b) 合........