前篇請點擊查看：【白皮書】工業設備的功能安全（上）

四

功能安全系統開發中遇到的問題

功能安全系統的開發分為規格研究（介紹&概念階段），詳細設計/評估（詳細設計與試生產評估階段），第三方認證（主要檢測&認證階段）等三個開發認證階段進行，并對傳統開發流程中沒有的技術條件和流程提出了要求。

圖3顯示了功能安全系統開發的典型流程。在第一階段——介紹&概念階段，在學習了功能安全標準MCU規格等基礎性知識之后，對危險進行分析（被稱為安全分析），確定避免危險的方法，研究設定作為具體安全系統規格研究的概念。此外，還要創建必要的文檔，并接受認證機構的概念審查。這里的安全系統規格應該是接下來的原型機詳細設計，試作評估階段的詳細設計以及試生產評估階段中可實現的規格。通過認證機構的審查后，進入第二階段——原型機詳細設計，試作評估階段的詳細設計以及試生產評估階段，根據在概念設計階段確定的規格進行詳細的軟硬件設計評估。這一系列設計流程需要按照功能安全標IEC61508所要求的開發流程進行。在設計時，必須在準確把握功能安全標準的內容之后進行開發。此外，還需要分析硬件故障，研究故障的診斷方法，并執行適當的開發流程以避免軟件出現問題。這些工作要求各設計流程中實現文檔化以及基于系統故障率和診斷率的達成安全等級的計算等，并需要加入傳統開發過程中沒有的工作。

詳細設計和評估完成后，在第三階段——主檢和認證階段，向認證機構提交至今為止的設計和評估內容，視需要安排現場測試，如果這些內容得到批準就能獲得認證。

圖3 功能安全系統的開發流程

五

瑞薩對功能安全系統開發的提案

在推進系統功能安全標準認證獲取流程時，開發者面臨的技術問題列舉如下。

１）獲得認證時的各種文檔的記述方法，用于系統安全分析（FMEA），SIL等級達成的各種參數計算方法

２）在由2個SafetyMCU構成的雙配置系統結構中實現MCU自我診斷，交互監測等用于故障診斷的軟件

３）雙配置SafetyMCU系統的硬件結構（交互監測的通信，輸入輸出電路診斷，電源診斷的結構等）

４）實現符合應用的功能安全機構（實現電機關閉機構，用于檢測電機轉速的編碼器，安全網絡等）

針對這些實現功能安全系統的過程中遇到的課題，瑞薩的功能安全解決方案提供了各種解決方案，以解決這些課題。下面我們將介紹與這些開發者面對的課題相對應的解決方案。

瑞薩準備了圖4所示的1.~7.的解決方案，用來支持功能安全系統的開發。接下來說明這些解決方案將如何解決課題。

圖4 瑞薩的功能安全解決方案

獲得認證時的各種文檔記述方法：參考文檔

開發功能安全系統時，在首要工作即研究規格的概念階段中，會制作SRS、SC、SP、V&V等必要文檔，但是在沒有認證獲取經驗的情況下，這些文檔的記載事項和記述方法不得不需要工作人員自行摸索，對時間和成本造成嚴重的浪費。5.的參考文檔以實現電機驅動裝置安全系統為例，具體記述了概念階段中所需要的文檔。將這些文檔作為模板，根據每位用戶的規格進行修改，可以恰當地記錄必要的信息。

實現雙配置系統的診斷軟件：SIL3系統軟件套件，自檢軟件套件

在功能安全系統中，為了避免安全功能因硬件故障無法正常工作的狀態，必須執行故障診斷。在故障診斷中，除了對每個設備進行故障檢測，還必須檢測動作期間因放射線，干擾等而發生軟件錯誤繼而導致的誤動作，并在異常時立即轉移到電機停止等安全動作。在對每個設備執行故障診斷時，必須分析各設備的故障模式，研究用于檢測故障的故障檢測方法，以及定義該檢測方法的故障檢測率（診斷率）。此外，檢測軟件錯誤也需要監控程序執行順序，并通過用雙配置SafetyMCU交互比較等方法對系統性動作進行檢測。但是，如果是像SafetyMCU這樣復雜的設備，故障檢測方法及其診斷率定義成為了裝置開發者的沉重工作負擔。

而且，還必須根據功能安全標準的要求采用適當的SafetyMCU間通信方法，用于程序順序監控和交互比較，這同樣令開發者感到頭疼。

1.自測試軟件套件提供了用于檢測SafetyMCU故障的自我診斷程序，滿足IEC61508標準中SIL3所要求的90%診斷率。2.的SIL3系統軟件套件預先安裝了實現雙配置系統所需的交互監測和程序順序監控等軟件。它提供了主要的SafetyMCU診斷，程序順序監控，雙配置 SafetyMCU 間交互監測所需的軟件，并取得了IEC61508的SIL3認證，因此開發者可以直接拿來使用。

通過應用這些解決方案，開發者只需要在自檢軟件，SIL3系統軟件套件上構建安全系統所需的應用程序，就能開發功能安全系統，從繁瑣的SafetyMCU診斷和雙配置SafetyMCU控制部開發中解放出來。

此外，還要求證明這些軟件所使用的編譯器能夠用于功能安全系統的開發。瑞薩提供已取得IEC61508SIL3認證的7.的CC-RX編譯器。另由IAR Systems公司提供已取得SIL3認證的編譯器。

實現雙配置系統的硬件：參考文檔 參考硬件評估板

為了實現雙配置結構，必須有特定的硬件，比如在2個SafetyMCU間交互監測的通信手段，電源分離和電源監控，輸入輸出電路的診斷等。6.的參考硬件提供了包括雙配置SafetyMCU電源電路在內的參考數據。此外，使用雙配置結構的優點，是可以通過相互交換處理數據，在不使用特殊診斷硬件的情況下正常動作。這一系列硬件結構和診斷方法都記載在5.的參考文檔中。

在判斷設計的軟硬件是否達到目標安全等級時，必須定義硬件故障率，故障診斷方法以及診斷率，使用以可靠性理論為基礎的復雜計算公式計算各種參數，并表明是否滿足安全等級所對應的基準值。這些認證文檔的記述樣本，各種參數的計算方法也在參考文檔中有詳細記載，并以Excel格式提供了計算公式。通過這些方法，即使是開發新手，也能在表格中輸入故障率，診斷率等數據，切實地開展工作。此外，SafetyMCU的周邊功能因各用例而有不同方法，參考文檔中記載了與用例對應的診斷方法。

實現與應用對應的安全功能：參考文檔FSoE應用軟件套件，PROFIsafe應用軟件套件

除MCU診斷的解決方案之外，瑞薩還在應用級別為安全驅動設備，安全IO設備，安全網絡設備提供有效的解決方案。參考文檔以樣本文檔的形式，提供了符合驅動系統安全標準IEC61800-5-2所需的硬件結構，安全控制方法以及將這些作為安全概念記述下來的內容。其中用針對驅動裝置的功能安全的例子進行了說明，不過該結構由“安全輸入-安全控制-安全輸出”這種一般功能安全設備的處理塊構成，在具有相同結構的安全傳感器，安全遠程IO設備開發中也可以作為參考。參考文檔中還記述了網絡安全化。關于面向安全網絡的軟件，為了支持EtherCAT的安全版 FSoE（Functional Safety over EtherCAT），瑞薩提供了3.FSoE應用軟件套件。另外，為了支持PROFINET的安全版PROFIsafe，瑞薩還開始提供全新的4.PROFIsafe應用軟件套件。

六

總結

如圖5所示，瑞薩的功能安全解決方案可提供向認證機構提交資料時的文檔記錄方法等，這些資料包括概念階段的規格研究，關于MCU的功能安全的相關故障分析和診斷程序，雙配置結構和周邊診斷，網絡等系統級診斷軟件。這些解決方案能夠支持60%～70%的功能安全系統開發工作。由此，開發者就可以通過設計，開發設備固有部分來完成安全系統。

圖5 瑞薩功能安全解決方案覆蓋范圍

通過應用瑞薩的功能安全解決方案，系統開發者能夠從SafetyMCU診斷等設備固有軟件開發，認證工作中解放出來，有效利用系統開發所花費的時間和成本。瑞薩的功能安全解決方案為不得不摸索著嘗試開發功能安全系統的開發認證工作提供可靠，便捷的路徑。

七

參考資料

IEC的Functional Safety and IEC 61508

https://www.iec.ch/functional-safety

面向工業設備的功能安全解決方案

https://www.renesas.com/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution

瑞薩RX系列MCU（32-bit MCUs）

https://www.renesas.com/cn/zh/products/microcontrollers-microprocessors/rx-32-bit-performance-efficiency-mcus

1

END

1