采用瑞萨电子快速部署功能安全-电子发烧友网

工业自动化的急剧增长导致操作人员与自动化机器之间会发生不可预见的交互。工程师有责任实施适当且经常重叠的安全措施，以避免生产中断、伤害甚至死亡的各种后果。工厂的安全环境是一个多方面的问题，需要组织各个层面的关注，应该从工厂底层开始到管理层。理想情况下，从一开始就需设计一个安全的工厂，但许多工厂早于自动化的广泛采用，包括使用工业物联网（IIoT）、人工智能和其他工业4.0技术。功能安全已成为开发人员不可或缺的一部分，因为它可以避免系统故障、预测其影响或减轻未知风险，并改变工程师对设计系统的思维方式。

通常，产品开发和流程运营工程师会执行“故障模式和影响分析（FMEA）”，以根据严重性和概率分析系统中的潜在故障风险。这是基于类似产品或运营的经验，其目的是从系统中排除已识别的故障，从而最大限度地降低相关风险。FMEA将术语“故障模式”定义为识别设计或运营中的潜在或实际缺陷，重点关注那些影响最终用户的缺陷，而“故障影响”则是由操作员感知的产品或系统功能故障模式的结果。

图1. 什么是FMEA？

故障的影响可以根据最终用户的感知和体验来解释。对已识别故障的调查结果称为影响分析。FMEA根据故障的严重性、频率和可检测性对故障进行优先级排序。FMEA还包含有关当前残疾风险的知识文件，并力求降低所有级别的风险。因此，优先采取措施以防止故障，或者至少降低故障的严重性和发生的可能性。这反过来又有助于定义和选择修复以减轻故障的影响和后果。在FMEA中，图2所示的7步法可用于从初始设计和概念阶段到开发和测试过程，以及在整个产品或系统生命周期中控制连续操作过程。

图2. FMEA方法（来源:2019年AIAG和VDA FMEA手册）

通过遵守功能安全标准IEC 61508，成为保障自主系统各项功能安全的基准。如图3所示，广泛的功能安全系统开发在不同的开发验证阶段进行：简介/概念阶段，包括规范审查；详细的设计/测试阶段，包括功能评估；以及主要的认证阶段，包括第三方检验和验证。整个流程有常规开发所不具备的技术要求和流程。考虑到上述限制，瑞萨电子的功能安全开发解决方案包括系统故障模式和影响分析（FMEA），作为缓解客户挑战的一个组成部分，如图4所示。

图3. 能安全系统开发阶段

图4. 获得功能安全标准认证的技术挑战

开发功能安全系统的第一步是概念阶段，即审查规范，这也需要各种文件。没有任何认证经验的开发人员将不得不经历填写每个条目和描述的过程，这是一个耗时且成本高昂的步骤。

图5. Renesas功能安全解决方案环境

图5显示了瑞萨电子为支持IEC61508标准的功能安全系统开发而提供的七个解决方案的构建模块。

功能安全系统需要进行故障诊断，以避免硬件故障导致安全功能无法正常运行。除了检测单个设备故障（永久性故障），故障诊断还必须检测运行期间由辐射、噪声等引起的软错误故障（瞬时故障），并立即转入安全运行，例如在出现异常时停止电机。单个设备的故障诊断需要分析每个设备的故障模式，检查故障检测方法以检测这些模式，并根据该检测方法定义故障检测率（诊断率）。还需要使用系统功能来检测软错误，例如监控程序执行序列，或使用冗余MCU进行相互比较，以确保安全。

我们的“自测软件套件”提供了一个基于通用MCU的自我诊断程序来检测错误，该程序可实现90%的永久故障诊断率，满足IEC61508标准要求的SIL 3级别。

“SIL 3系统软件套件”预装了用于交叉监控的软件，在安全和非安全应用之间划分功能，以实现安全软件和非安全软件的共存，能够在具有多个时钟源的两个MCU上进行同步处理，以及实现冗余系统的其他功能。开发人员可以按原样使用该解决方案，因为它已经通过了IEC61508 SIL3认证。

应用这些解决方案，开发人员只需配置自测软件和SIL3系统软件套件，就能构建冗余功能安全系统，将他们从繁琐的安全MCU诊断和冗余安全系统控制部分的开发中解放出来。

此外，当系统通过工业网络连接和控制时，功能安全网络协议是必要的。FSoE应用软件套件和PROFIsafe应用软件套件是在每个从属设备中执行安全协议的认证套件。

进一步讲，还需要特定的硬件来实现冗余结构，例如用于两个安全MCU之间的交叉监控、电源隔离和监控以及输入/输出电路诊断的通信手段。我们为客户提供两种参考解决方案。

在参考硬件方面，Renesas提供了参考数据，包括冗余安全MCU的电源电路。使用冗余配置的另一个优点是，通过在每一方之间交换处理数据，可以确认正常运行，而无需使用任何特殊的诊断硬件。这些硬件配置和诊断技术系列将在解决方案5参考文件中详实。确定正在设计的硬件/软件是否已经达到目标安全水平，需要定义硬件故障率、诊断方法和诊断率，使用基于可靠性理论的复杂公式计算各种参数，并显示它们是否满足目标安全级别的标准值。参考文件包含所有验证文件的完整样本，以及所有参数计算方法的详细说明和以Excel格式提供的公式。有了这些工具，即使是第一次开发人员，也可以通过简单地输入数据（如故障率和诊断率）来获得保证。由于与外设安全MCU功能相关的方法因使用情况而异，参考文件根据不同的使用情况描述了不同的诊断方法。

参考文件包括概念阶段所需文件的具体示例，基于实施电机驱动安全系统的示例。使用它们作为模板，开发人员可以根据需要修改每个条目以适应使用规范，因此只需要包含必要的信息。

最后，在开发功能安全系统时，用于该软件的编译器必须被证明是有效的。Renesas还提供CC-RX认证套件，这是一个IEC61508 SIL3认证套件，可与编译器配合使用。IAR系统也提供SIL 3认证的编译器。

同样如图6所示，Renesas提供全面的解决方案构建模块，可加速功能安全系统的开发。我们的解决方案包括从概念阶段到基于MCU的功能安全所需的故障分析和诊断程序的规格审查，以及冗余结构和外设诊断、网络的系统级诊断软件和加速认证的文档。此外，Renesas提供广泛的预认证软件包，包括安全编译器选项、经验证的开发板/参考设计，以及完整的IEC61508实施指南。所有这些都将通过缩短整个系统认证过程而使客户受益。

图6. Renesas解决方案概述，它如何支持系统示例

极具竞争力的Renesas功能安全套件确保开发人员只需专注于系统开发，因为基于MCU的软件包和认证文件可随时进行整合。我们由德国莱茵TÜV认证的自测和SIL3系统软件套件提供了MCU所需的所有诊断和安全任务。最后，IEC61508功能安全系统开发的参考文件《文件指南》为获得系统认证提供了额外的帮助。

总之，使用Renesas功能安全解决方案包可以为用户提供更多的时间来完成系统开发，从而降低整体成本并缩短上市时间。识别下方二维码即刻访问瑞萨IEC61508功能安全解决方案产品页了解更多详情，您还可以联系您当地的瑞萨销售代表讨论您的下一个功能安全解决方案需求。