今天我們來聊聊功能安全。了解功能安全之前，首先我們來重新認識下安全這個概念。

安全可以說是無處不在，信息安全（Security），財產安全，生命安全…… 我們無時無刻不暴露在安全的威脅下，安全的風險永遠無法降低到零。

而功能安全著重關注如何去避免電氣/電子/可編程化系統（E/E/PE）方面的威脅所造成的人員傷亡、財產損失或是環境污染等不可接受的風險。

“不可接受”并不意味著系統100%不出問題，而是同時要考慮到最終的應用場合、可容忍級別等等安全需求。

下圖也同時羅列了大家很容易搞混的功能安全和信息安全兩個概念的區別。

摘自工業控制系統信息安全專刊

這些功能安全的風險可以是系統性的，比如規范制定和設計過程中的人為因素，NASA當年因為不佳的管理流程，導致高層急于發射“挑戰號”航天飛船，而忽視工程師的警告，最終導致機毀人亡；

也可能是隨機性的硬件故障，比如受宇宙射線的影響，Flash/RAM發生了數據翻轉0<->1。

為了應對上述的兩類風險，國際組織IEC頒發了成套的功能安全相關產品指令和設計標準。作為母標準的IEC 61508衍生出了一系列適用不同行業的功能安全標準。

在認證符合IEC61804要求的產品開發過程中，無法回避的兩個問題就是

1.哪些地方可能會有的風險及后果？

2.哪些風險規避是必要的？

同樣的制動失靈對于兒童玩具車可能是無關緊要，而對于汽車卻是致命的。由此我們對安全需求有了不同級別的定義（SIL等級）。

下圖可以看出，SIL等級從最低要求的1到最高要求的4，就算不同的操作頻率，也對應了不同的可容忍平均失效概率。

以上我們談的都是產品級別的認證，那ST作為芯片供應商又能在哪些方面幫助安全產品開發者拿到IEC61508的認證呢？

建立在STM32 MCU本身的硬件安全特色基礎上，ST還提供了自檢測軟件庫X-CUBE-STL和安全文檔（安全手冊、FMEA、FMEDA）。其中除了安全手冊可以直接在X-CUBE-STL的鏈接下載外，其他資料需要簽訂NDA。