前篇請點(diǎn)擊查看：【白皮書】工業(yè)設(shè)備的功能安全（上）

四

功能安全系統(tǒng)開發(fā)中遇到的問題

功能安全系統(tǒng)的開發(fā)分為規(guī)格研究（介紹&概念階段），詳細(xì)設(shè)計(jì)/評估（詳細(xì)設(shè)計(jì)與試生產(chǎn)評估階段），第三方認(rèn)證（主要檢測&認(rèn)證階段）等三個(gè)開發(fā)認(rèn)證階段進(jìn)行，并對傳統(tǒng)開發(fā)流程中沒有的技術(shù)條件和流程提出了要求。

圖3顯示了功能安全系統(tǒng)開發(fā)的典型流程。在第一階段——介紹&概念階段，在學(xué)習(xí)了功能安全標(biāo)準(zhǔn)MCU規(guī)格等基礎(chǔ)性知識之后，對危險(xiǎn)進(jìn)行分析（被稱為安全分析），確定避免危險(xiǎn)的方法，研究設(shè)定作為具體安全系統(tǒng)規(guī)格研究的概念。此外，還要?jiǎng)?chuàng)建必要的文檔，并接受認(rèn)證機(jī)構(gòu)的概念審查。這里的安全系統(tǒng)規(guī)格應(yīng)該是接下來的原型機(jī)詳細(xì)設(shè)計(jì)，試作評估階段的詳細(xì)設(shè)計(jì)以及試生產(chǎn)評估階段中可實(shí)現(xiàn)的規(guī)格。通過認(rèn)證機(jī)構(gòu)的審查后，進(jìn)入第二階段——原型機(jī)詳細(xì)設(shè)計(jì)，試作評估階段的詳細(xì)設(shè)計(jì)以及試生產(chǎn)評估階段，根據(jù)在概念設(shè)計(jì)階段確定的規(guī)格進(jìn)行詳細(xì)的軟硬件設(shè)計(jì)評估。這一系列設(shè)計(jì)流程需要按照功能安全標(biāo)IEC61508所要求的開發(fā)流程進(jìn)行。在設(shè)計(jì)時(shí)，必須在準(zhǔn)確把握功能安全標(biāo)準(zhǔn)的內(nèi)容之后進(jìn)行開發(fā)。此外，還需要分析硬件故障，研究故障的診斷方法，并執(zhí)行適當(dāng)?shù)拈_發(fā)流程以避免軟件出現(xiàn)問題。這些工作要求各設(shè)計(jì)流程中實(shí)現(xiàn)文檔化以及基于系統(tǒng)故障率和診斷率的達(dá)成安全等級的計(jì)算等，并需要加入傳統(tǒng)開發(fā)過程中沒有的工作。

詳細(xì)設(shè)計(jì)和評估完成后，在第三階段——主檢和認(rèn)證階段，向認(rèn)證機(jī)構(gòu)提交至今為止的設(shè)計(jì)和評估內(nèi)容，視需要安排現(xiàn)場測試，如果這些內(nèi)容得到批準(zhǔn)就能獲得認(rèn)證。

圖3 功能安全系統(tǒng)的開發(fā)流程

五

瑞薩對功能安全系統(tǒng)開發(fā)的提案

在推進(jìn)系統(tǒng)功能安全標(biāo)準(zhǔn)認(rèn)證獲取流程時(shí)，開發(fā)者面臨的技術(shù)問題列舉如下。

１）獲得認(rèn)證時(shí)的各種文檔的記述方法，用于系統(tǒng)安全分析（FMEA），SIL等級達(dá)成的各種參數(shù)計(jì)算方法

２）在由2個(gè)SafetyMCU構(gòu)成的雙配置系統(tǒng)結(jié)構(gòu)中實(shí)現(xiàn)MCU自我診斷，交互監(jiān)測等用于故障診斷的軟件

３）雙配置SafetyMCU系統(tǒng)的硬件結(jié)構(gòu)（交互監(jiān)測的通信，輸入輸出電路診斷，電源診斷的結(jié)構(gòu)等）

４）實(shí)現(xiàn)符合應(yīng)用的功能安全機(jī)構(gòu)（實(shí)現(xiàn)電機(jī)關(guān)閉機(jī)構(gòu)，用于檢測電機(jī)轉(zhuǎn)速的編碼器，安全網(wǎng)絡(luò)等）

針對這些實(shí)現(xiàn)功能安全系統(tǒng)的過程中遇到的課題，瑞薩的功能安全解決方案提供了各種解決方案，以解決這些課題。下面我們將介紹與這些開發(fā)者面對的課題相對應(yīng)的解決方案。

瑞薩準(zhǔn)備了圖4所示的1.~7.的解決方案，用來支持功能安全系統(tǒng)的開發(fā)。接下來說明這些解決方案將如何解決課題。

圖4 瑞薩的功能安全解決方案

獲得認(rèn)證時(shí)的各種文檔記述方法：參考文檔

開發(fā)功能安全系統(tǒng)時(shí)，在首要工作即研究規(guī)格的概念階段中，會(huì)制作SRS、SC、SP、V&V等必要文檔，但是在沒有認(rèn)證獲取經(jīng)驗(yàn)的情況下，這些文檔的記載事項(xiàng)和記述方法不得不需要工作人員自行摸索，對時(shí)間和成本造成嚴(yán)重的浪費(fèi)。5.的參考文檔以實(shí)現(xiàn)電機(jī)驅(qū)動(dòng)裝置安全系統(tǒng)為例，具體記述了概念階段中所需要的文檔。將這些文檔作為模板，根據(jù)每位用戶的規(guī)格進(jìn)行修改，可以恰當(dāng)?shù)赜涗洷匾?a target="_blank">信息。

實(shí)現(xiàn)雙配置系統(tǒng)的診斷軟件：SIL3系統(tǒng)軟件套件，自檢軟件套件

在功能安全系統(tǒng)中，為了避免安全功能因硬件故障無法正常工作的狀態(tài)，必須執(zhí)行故障診斷。在故障診斷中，除了對每個(gè)設(shè)備進(jìn)行故障檢測，還必須檢測動(dòng)作期間因放射線，干擾等而發(fā)生軟件錯(cuò)誤繼而導(dǎo)致的誤動(dòng)作，并在異常時(shí)立即轉(zhuǎn)移到電機(jī)停止等安全動(dòng)作。在對每個(gè)設(shè)備執(zhí)行故障診斷時(shí)，必須分析各設(shè)備的故障模式，研究用于檢測故障的故障檢測方法，以及定義該檢測方法的故障檢測率（診斷率）。此外，檢測軟件錯(cuò)誤也需要監(jiān)控程序執(zhí)行順序，并通過用雙配置SafetyMCU交互比較等方法對系統(tǒng)性動(dòng)作進(jìn)行檢測。但是，如果是像SafetyMCU這樣復(fù)雜的設(shè)備，故障檢測方法及其診斷率定義成為了裝置開發(fā)者的沉重工作負(fù)擔(dān)。

而且，還必須根據(jù)功能安全標(biāo)準(zhǔn)的要求采用適當(dāng)?shù)腟afetyMCU間通信方法，用于程序順序監(jiān)控和交互比較，這同樣令開發(fā)者感到頭疼。

1.自測試軟件套件提供了用于檢測SafetyMCU故障的自我診斷程序，滿足IEC61508標(biāo)準(zhǔn)中SIL3所要求的90%診斷率。2.的SIL3系統(tǒng)軟件套件預(yù)先安裝了實(shí)現(xiàn)雙配置系統(tǒng)所需的交互監(jiān)測和程序順序監(jiān)控等軟件。它提供了主要的SafetyMCU診斷，程序順序監(jiān)控，雙配置 SafetyMCU 間交互監(jiān)測所需的軟件，并取得了IEC61508的SIL3認(rèn)證，因此開發(fā)者可以直接拿來使用。

通過應(yīng)用這些解決方案，開發(fā)者只需要在自檢軟件，SIL3系統(tǒng)軟件套件上構(gòu)建安全系統(tǒng)所需的應(yīng)用程序，就能開發(fā)功能安全系統(tǒng)，從繁瑣的SafetyMCU診斷和雙配置SafetyMCU控制部開發(fā)中解放出來。

此外，還要求證明這些軟件所使用的編譯器能夠用于功能安全系統(tǒng)的開發(fā)。瑞薩提供已取得IEC61508SIL3認(rèn)證的7.的CC-RX編譯器。另由IAR Systems公司提供已取得SIL3認(rèn)證的編譯器。

實(shí)現(xiàn)雙配置系統(tǒng)的硬件：參考文檔 參考硬件評估板

為了實(shí)現(xiàn)雙配置結(jié)構(gòu)，必須有特定的硬件，比如在2個(gè)SafetyMCU間交互監(jiān)測的通信手段，電源分離和電源監(jiān)控，輸入輸出電路的診斷等。6.的參考硬件提供了包括雙配置SafetyMCU電源電路在內(nèi)的參考數(shù)據(jù)。此外，使用雙配置結(jié)構(gòu)的優(yōu)點(diǎn)，是可以通過相互交換處理數(shù)據(jù)，在不使用特殊診斷硬件的情況下正常動(dòng)作。這一系列硬件結(jié)構(gòu)和診斷方法都記載在5.的參考文檔中。

在判斷設(shè)計(jì)的軟硬件是否達(dá)到目標(biāo)安全等級時(shí)，必須定義硬件故障率，故障診斷方法以及診斷率，使用以可靠性理論為基礎(chǔ)的復(fù)雜計(jì)算公式計(jì)算各種參數(shù)，并表明是否滿足安全等級所對應(yīng)的基準(zhǔn)值。這些認(rèn)證文檔的記述樣本，各種參數(shù)的計(jì)算方法也在參考文檔中有詳細(xì)記載，并以Excel格式提供了計(jì)算公式。通過這些方法，即使是開發(fā)新手，也能在表格中輸入故障率，診斷率等數(shù)據(jù)，切實(shí)地開展工作。此外，SafetyMCU的周邊功能因各用例而有不同方法，參考文檔中記載了與用例對應(yīng)的診斷方法。

實(shí)現(xiàn)與應(yīng)用對應(yīng)的安全功能：參考文檔FSoE應(yīng)用軟件套件，PROFIsafe應(yīng)用軟件套件

除MCU診斷的解決方案之外，瑞薩還在應(yīng)用級別為安全驅(qū)動(dòng)設(shè)備，安全I(xiàn)O設(shè)備，安全網(wǎng)絡(luò)設(shè)備提供有效的解決方案。參考文檔以樣本文檔的形式，提供了符合驅(qū)動(dòng)系統(tǒng)安全標(biāo)準(zhǔn)IEC61800-5-2所需的硬件結(jié)構(gòu)，安全控制方法以及將這些作為安全概念記述下來的內(nèi)容。其中用針對驅(qū)動(dòng)裝置的功能安全的例子進(jìn)行了說明，不過該結(jié)構(gòu)由“安全輸入-安全控制-安全輸出”這種一般功能安全設(shè)備的處理塊構(gòu)成，在具有相同結(jié)構(gòu)的安全傳感器，安全遠(yuǎn)程IO設(shè)備開發(fā)中也可以作為參考。參考文檔中還記述了網(wǎng)絡(luò)安全化。關(guān)于面向安全網(wǎng)絡(luò)的軟件，為了支持EtherCAT的安全版 FSoE（Functional Safety over EtherCAT），瑞薩提供了3.FSoE應(yīng)用軟件套件。另外，為了支持PROFINET的安全版PROFIsafe，瑞薩還開始提供全新的4.PROFIsafe應(yīng)用軟件套件。

六

總結(jié)

如圖5所示，瑞薩的功能安全解決方案可提供向認(rèn)證機(jī)構(gòu)提交資料時(shí)的文檔記錄方法等，這些資料包括概念階段的規(guī)格研究，關(guān)于MCU的功能安全的相關(guān)故障分析和診斷程序，雙配置結(jié)構(gòu)和周邊診斷，網(wǎng)絡(luò)等系統(tǒng)級診斷軟件。這些解決方案能夠支持60%～70%的功能安全系統(tǒng)開發(fā)工作。由此，開發(fā)者就可以通過設(shè)計(jì)，開發(fā)設(shè)備固有部分來完成安全系統(tǒng)。

圖5 瑞薩功能安全解決方案覆蓋范圍

通過應(yīng)用瑞薩的功能安全解決方案，系統(tǒng)開發(fā)者能夠從SafetyMCU診斷等設(shè)備固有軟件開發(fā)，認(rèn)證工作中解放出來，有效利用系統(tǒng)開發(fā)所花費(fèi)的時(shí)間和成本。瑞薩的功能安全解決方案為不得不摸索著嘗試開發(fā)功能安全系統(tǒng)的開發(fā)認(rèn)證工作提供可靠，便捷的路徑。

七

參考資料

IEC的Functional Safety and IEC 61508

https://www.iec.ch/functional-safety

面向工業(yè)設(shè)備的功能安全解決方案

https://www.renesas.com/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution

瑞薩RX系列MCU（32-bit MCUs）

https://www.renesas.com/cn/zh/products/microcontrollers-microprocessors/rx-32-bit-performance-efficiency-mcus

1

END

1