【白皮书】工业设备的功能安全（下）-电子发烧友网

前篇请点击查看：【白皮书】工业设备的功能安全（上）

四

功能安全系统开发中遇到的问题

功能安全系统的开发分为规格研究（介绍&概念阶段），详细设计/评估（详细设计与试生产评估阶段），第三方认证（主要检测&认证阶段）等三个开发认证阶段进行，并对传统开发流程中没有的技术条件和流程提出了要求。

图3显示了功能安全系统开发的典型流程。在第一阶段——介绍&概念阶段，在学习了功能安全标准MCU规格等基础性知识之后，对危险进行分析（被称为安全分析），确定避免危险的方法，研究设定作为具体安全系统规格研究的概念。此外，还要创建必要的文档，并接受认证机构的概念审查。这里的安全系统规格应该是接下来的原型机详细设计，试作评估阶段的详细设计以及试生产评估阶段中可实现的规格。通过认证机构的审查后，进入第二阶段——原型机详细设计，试作评估阶段的详细设计以及试生产评估阶段，根据在概念设计阶段确定的规格进行详细的软硬件设计评估。这一系列设计流程需要按照功能安全标IEC61508所要求的开发流程进行。在设计时，必须在准确把握功能安全标准的内容之后进行开发。此外，还需要分析硬件故障，研究故障的诊断方法，并执行适当的开发流程以避免软件出现问题。这些工作要求各设计流程中实现文档化以及基于系统故障率和诊断率的达成安全等级的计算等，并需要加入传统开发过程中没有的工作。

详细设计和评估完成后，在第三阶段——主检和认证阶段，向认证机构提交至今为止的设计和评估内容，视需要安排现场测试，如果这些内容得到批准就能获得认证。

图3 功能安全系统的开发流程

五

瑞萨对功能安全系统开发的提案

在推进系统功能安全标准认证获取流程时，开发者面临的技术问题列举如下。

１）获得认证时的各种文档的记述方法，用于系统安全分析（FMEA），SIL等级达成的各种参数计算方法

２）在由2个SafetyMCU构成的双配置系统结构中实现MCU自我诊断，交互监测等用于故障诊断的软件

３）双配置SafetyMCU系统的硬件结构（交互监测的通信，输入输出电路诊断，电源诊断的结构等）

４）实现符合应用的功能安全机构（实现电机关闭机构，用于检测电机转速的编码器，安全网络等）

针对这些实现功能安全系统的过程中遇到的课题，瑞萨的功能安全解决方案提供了各种解决方案，以解决这些课题。下面我们将介绍与这些开发者面对的课题相对应的解决方案。

瑞萨准备了图4所示的1.~7.的解决方案，用来支持功能安全系统的开发。接下来说明这些解决方案将如何解决课题。

图4 瑞萨的功能安全解决方案

获得认证时的各种文档记述方法：参考文档

开发功能安全系统时，在首要工作即研究规格的概念阶段中，会制作SRS、SC、SP、V&V等必要文档，但是在没有认证获取经验的情况下，这些文档的记载事项和记述方法不得不需要工作人员自行摸索，对时间和成本造成严重的浪费。5.的参考文档以实现电机驱动装置安全系统为例，具体记述了概念阶段中所需要的文档。将这些文档作为模板，根据每位用户的规格进行修改，可以恰当地记录必要的信息。

实现双配置系统的诊断软件：SIL3系统软件套件，自检软件套件

在功能安全系统中，为了避免安全功能因硬件故障无法正常工作的状态，必须执行故障诊断。在故障诊断中，除了对每个设备进行故障检测，还必须检测动作期间因放射线，干扰等而发生软件错误继而导致的误动作，并在异常时立即转移到电机停止等安全动作。在对每个设备执行故障诊断时，必须分析各设备的故障模式，研究用于检测故障的故障检测方法，以及定义该检测方法的故障检测率（诊断率）。此外，检测软件错误也需要监控程序执行顺序，并通过用双配置SafetyMCU交互比较等方法对系统性动作进行检测。但是，如果是像SafetyMCU这样复杂的设备，故障检测方法及其诊断率定义成为了装置开发者的沉重工作负担。

而且，还必须根据功能安全标准的要求采用适当的SafetyMCU间通信方法，用于程序顺序监控和交互比较，这同样令开发者感到头疼。

1.自测试软件套件提供了用于检测SafetyMCU故障的自我诊断程序，满足IEC61508标准中SIL3所要求的90%诊断率。2.的SIL3系统软件套件预先安装了实现双配置系统所需的交互监测和程序顺序监控等软件。它提供了主要的SafetyMCU诊断，程序顺序监控，双配置 SafetyMCU 间交互监测所需的软件，并取得了IEC61508的SIL3认证，因此开发者可以直接拿来使用。

通过应用这些解决方案，开发者只需要在自检软件，SIL3系统软件套件上构建安全系统所需的应用程序，就能开发功能安全系统，从繁琐的SafetyMCU诊断和双配置SafetyMCU控制部开发中解放出来。

此外，还要求证明这些软件所使用的编译器能够用于功能安全系统的开发。瑞萨提供已取得IEC61508SIL3认证的7.的CC-RX编译器。另由IAR Systems公司提供已取得SIL3认证的编译器。

实现双配置系统的硬件：参考文档参考硬件评估板

为了实现双配置结构，必须有特定的硬件，比如在2个SafetyMCU间交互监测的通信手段，电源分离和电源监控，输入输出电路的诊断等。6.的参考硬件提供了包括双配置SafetyMCU电源电路在内的参考数据。此外，使用双配置结构的优点，是可以通过相互交换处理数据，在不使用特殊诊断硬件的情况下正常动作。这一系列硬件结构和诊断方法都记载在5.的参考文档中。

在判断设计的软硬件是否达到目标安全等级时，必须定义硬件故障率，故障诊断方法以及诊断率，使用以可靠性理论为基础的复杂计算公式计算各种参数，并表明是否满足安全等级所对应的基准值。这些认证文档的记述样本，各种参数的计算方法也在参考文档中有详细记载，并以Excel格式提供了计算公式。通过这些方法，即使是开发新手，也能在表格中输入故障率，诊断率等数据，切实地开展工作。此外，SafetyMCU的周边功能因各用例而有不同方法，参考文档中记载了与用例对应的诊断方法。

实现与应用对应的安全功能：参考文档FSoE应用软件套件，PROFIsafe应用软件套件

除MCU诊断的解决方案之外，瑞萨还在应用级别为安全驱动设备，安全IO设备，安全网络设备提供有效的解决方案。参考文档以样本文档的形式，提供了符合驱动系统安全标准IEC61800-5-2所需的硬件结构，安全控制方法以及将这些作为安全概念记述下来的内容。其中用针对驱动装置的功能安全的例子进行了说明，不过该结构由“安全输入-安全控制-安全输出”这种一般功能安全设备的处理块构成，在具有相同结构的安全传感器，安全远程IO设备开发中也可以作为参考。参考文档中还记述了网络安全化。关于面向安全网络的软件，为了支持EtherCAT的安全版 FSoE（Functional Safety over EtherCAT），瑞萨提供了3.FSoE应用软件套件。另外，为了支持PROFINET的安全版PROFIsafe，瑞萨还开始提供全新的4.PROFIsafe应用软件套件。

六

总结

如图5所示，瑞萨的功能安全解决方案可提供向认证机构提交资料时的文档记录方法等，这些资料包括概念阶段的规格研究，关于MCU的功能安全的相关故障分析和诊断程序，双配置结构和周边诊断，网络等系统级诊断软件。这些解决方案能够支持60%～70%的功能安全系统开发工作。由此，开发者就可以通过设计，开发设备固有部分来完成安全系统。