今天我們來聊聊功能安全。了解功能安全之前，首先我們來重新認(rèn)識下安全這個(gè)概念。

安全可以說是無處不在，信息安全（Security），財(cái)產(chǎn)安全，生命安全…… 我們無時(shí)無刻不暴露在安全的威脅下，安全的風(fēng)險(xiǎn)永遠(yuǎn)無法降低到零。

而功能安全著重關(guān)注如何去避免電氣/電子/可編程化系統(tǒng)（E/E/PE）方面的威脅所造成的人員傷亡、財(cái)產(chǎn)損失或是環(huán)境污染等不可接受的風(fēng)險(xiǎn)。

“不可接受”并不意味著系統(tǒng)100%不出問題，而是同時(shí)要考慮到最終的應(yīng)用場合、可容忍級別等等安全需求。

下圖也同時(shí)羅列了大家很容易搞混的功能安全和信息安全兩個(gè)概念的區(qū)別。

摘自工業(yè)控制系統(tǒng)信息安全專刊

這些功能安全的風(fēng)險(xiǎn)可以是系統(tǒng)性的，比如規(guī)范制定和設(shè)計(jì)過程中的人為因素，NASA當(dāng)年因?yàn)椴患训墓芾砹鞒蹋瑢?dǎo)致高層急于發(fā)射“挑戰(zhàn)號”航天飛船，而忽視工程師的警告，最終導(dǎo)致機(jī)毀人亡；

也可能是隨機(jī)性的硬件故障，比如受宇宙射線的影響，F(xiàn)lash/RAM發(fā)生了數(shù)據(jù)翻轉(zhuǎn)0<->1。

為了應(yīng)對上述的兩類風(fēng)險(xiǎn)，國際組織IEC頒發(fā)了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計(jì)標(biāo)準(zhǔn)。作為母標(biāo)準(zhǔn)的IEC 61508衍生出了一系列適用不同行業(yè)的功能安全標(biāo)準(zhǔn)。

在認(rèn)證符合IEC61804要求的產(chǎn)品開發(fā)過程中，無法回避的兩個(gè)問題就是

1.哪些地方可能會有的風(fēng)險(xiǎn)及后果？

2.哪些風(fēng)險(xiǎn)規(guī)避是必要的？

同樣的制動(dòng)失靈對于兒童玩具車可能是無關(guān)緊要，而對于汽車卻是致命的。由此我們對安全需求有了不同級別的定義（SIL等級）。

下圖可以看出，SIL等級從最低要求的1到最高要求的4，就算不同的操作頻率，也對應(yīng)了不同的可容忍平均失效概率。

以上我們談的都是產(chǎn)品級別的認(rèn)證，那ST作為芯片供應(yīng)商又能在哪些方面幫助安全產(chǎn)品開發(fā)者拿到IEC61508的認(rèn)證呢？

建立在STM32 MCU本身的硬件安全特色基礎(chǔ)上，ST還提供了自檢測軟件庫X-CUBE-STL和安全文檔（安全手冊、FMEA、FMEDA）。其中除了安全手冊可以直接在X-CUBE-STL的鏈接下載外，其他資料需要簽訂NDA。