工業自動化的急劇增長導致操作人員與自動化機器之間會發生不可預見的交互。工程師有責任實施適當且經常重疊的安全措施，以避免生產中斷、傷害甚至死亡的各種后果。工廠的安全環境是一個多方面的問題，需要組織各個層面的關注，應該從工廠底層開始到管理層。理想情況下，從一開始就需設計一個安全的工廠，但許多工廠早于自動化的廣泛采用，包括使用工業物聯網（IIoT）、人工智能和其他工業4.0技術。功能安全已成為開發人員不可或缺的一部分，因為它可以避免系統故障、預測其影響或減輕未知風險，并改變工程師對設計系統的思維方式。

通常，產品開發和流程運營工程師會執行“故障模式和影響分析（FMEA）”，以根據嚴重性和概率分析系統中的潛在故障風險。這是基于類似產品或運營的經驗，其目的是從系統中排除已識別的故障，從而最大限度地降低相關風險。FMEA將術語“故障模式”定義為識別設計或運營中的潛在或實際缺陷，重點關注那些影響最終用戶的缺陷，而“故障影響”則是由操作員感知的產品或系統功能故障模式的結果。

圖1. 什么是FMEA？

故障的影響可以根據最終用戶的感知和體驗來解釋。對已識別故障的調查結果稱為影響分析。FMEA根據故障的嚴重性、頻率和可檢測性對故障進行優先級排序。FMEA還包含有關當前殘疾風險的知識文件，并力求降低所有級別的風險。因此，優先采取措施以防止故障，或者至少降低故障的嚴重性和發生的可能性。這反過來又有助于定義和選擇修復以減輕故障的影響和后果。在FMEA中，圖2所示的7步法可用于從初始設計和概念階段到開發和測試過程，以及在整個產品或系統生命周期中控制連續操作過程。

圖2. FMEA方法（來源:2019年AIAG和VDA FMEA手冊）

通過遵守功能安全標準IEC 61508，成為保障自主系統各項功能安全的基準。如圖3所示，廣泛的功能安全系統開發在不同的開發驗證階段進行：簡介/概念階段，包括規范審查；詳細的設計/測試階段，包括功能評估；以及主要的認證階段，包括第三方檢驗和驗證。整個流程有常規開發所不具備的技術要求和流程。考慮到上述限制，瑞薩電子的功能安全開發解決方案包括系統故障模式和影響分析（FMEA），作為緩解客戶挑戰的一個組成部分，如圖4所示。

圖3. 能安全系統開發階段

圖4. 獲得功能安全標準認證的技術挑戰

開發功能安全系統的第一步是概念階段，即審查規范，這也需要各種文件。沒有任何認證經驗的開發人員將不得不經歷填寫每個條目和描述的過程，這是一個耗時且成本高昂的步驟。

圖5. Renesas功能安全解決方案環境

圖5顯示了瑞薩電子為支持IEC61508標準的功能安全系統開發而提供的七個解決方案的構建模塊。

功能安全系統需要進行故障診斷，以避免硬件故障導致安全功能無法正常運行。除了檢測單個設備故障（永久性故障），故障診斷還必須檢測運行期間由輻射、噪聲等引起的軟錯誤故障（瞬時故障），并立即轉入安全運行，例如在出現異常時停止電機。單個設備的故障診斷需要分析每個設備的故障模式，檢查故障檢測方法以檢測這些模式，并根據該檢測方法定義故障檢測率（診斷率）。還需要使用系統功能來檢測軟錯誤，例如監控程序執行序列，或使用冗余MCU進行相互比較，以確保安全。

1

我們的“自測軟件套件”提供了一個基于通用MCU的自我診斷程序來檢測錯誤，該程序可實現90%的永久故障診斷率，滿足IEC61508標準要求的SIL 3級別。

2

“SIL 3系統軟件套件”預裝了用于交叉監控的軟件，在安全和非安全應用之間劃分功能，以實現安全軟件和非安全軟件的共存，能夠在具有多個時鐘源的兩個MCU上進行同步處理，以及實現冗余系統的其他功能。開發人員可以按原樣使用該解決方案，因為它已經通過了IEC61508 SIL3認證。

應用這些解決方案，開發人員只需配置自測軟件和SIL3系統軟件套件，就能構建冗余功能安全系統，將他們從繁瑣的安全MCU診斷和冗余安全系統控制部分的開發中解放出來。

3

此外，當系統通過工業網絡連接和控制時，功能安全網絡協議是必要的。FSoE應用軟件套件和PROFIsafe應用軟件套件是在每個從屬設備中執行安全協議的認證套件。

進一步講，還需要特定的硬件來實現冗余結構，例如用于兩個安全MCU之間的交叉監控、電源隔離和監控以及輸入/輸出電路診斷的通信手段。我們為客戶提供兩種參考解決方案。

4

在參考硬件方面，Renesas提供了參考數據，包括冗余安全MCU的電源電路。使用冗余配置的另一個優點是，通過在每一方之間交換處理數據，可以確認正常運行，而無需使用任何特殊的診斷硬件。這些硬件配置和診斷技術系列將在解決方案5參考文件中詳實。確定正在設計的硬件/軟件是否已經達到目標安全水平，需要定義硬件故障率、診斷方法和診斷率，使用基于可靠性理論的復雜公式計算各種參數，并顯示它們是否滿足目標安全級別的標準值。參考文件包含所有驗證文件的完整樣本，以及所有參數計算方法的詳細說明和以Excel格式提供的公式。有了這些工具，即使是第一次開發人員，也可以通過簡單地輸入數據（如故障率和診斷率）來獲得保證。由于與外設安全MCU功能相關的方法因使用情況而異，參考文件根據不同的使用情況描述了不同的診斷方法。

5

參考文件包括概念階段所需文件的具體示例，基于實施電機驅動安全系統的示例。使用它們作為模板，開發人員可以根據需要修改每個條目以適應使用規范，因此只需要包含必要的信息。

6

最后，在開發功能安全系統時，用于該軟件的編譯器必須被證明是有效的。Renesas還提供CC-RX認證套件，這是一個IEC61508 SIL3認證套件，可與編譯器配合使用。IAR系統也提供SIL 3認證的編譯器。

同樣如圖6所示，Renesas提供全面的解決方案構建模塊，可加速功能安全系統的開發。我們的解決方案包括從概念階段到基于MCU的功能安全所需的故障分析和診斷程序的規格審查，以及冗余結構和外設診斷、網絡的系統級診斷軟件和加速認證的文檔。此外，Renesas提供廣泛的預認證軟件包，包括安全編譯器選項、經驗證的開發板/參考設計，以及完整的IEC61508實施指南。所有這些都將通過縮短整個系統認證過程而使客戶受益。

圖6. Renesas解決方案概述，它如何支持系統示例

極具競爭力的Renesas功能安全套件確保開發人員只需專注于系統開發，因為基于MCU的軟件包和認證文件可隨時進行整合。我們由德國萊茵TüV認證的自測和SIL3系統軟件套件提供了MCU所需的所有診斷和安全任務。最后，IEC61508功能安全系統開發的參考文件《文件指南》為獲得系統認證提供了額外的幫助。

總之，使用Renesas功能安全解決方案包可以為用戶提供更多的時間來完成系統開發，從而降低整體成本并縮短上市時間。識別下方二維碼即刻訪問瑞薩IEC61508功能安全解決方案產品頁了解更多詳情，您還可以聯系您當地的瑞薩銷售代表討論您的下一個功能安全解決方案需求。

https://www.renesas.cn/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution