【白皮書】工業(yè)設(shè)備的功能安全（下）

前篇請點擊查看：【白皮書】工業(yè)設(shè)備的功能安全（上）

四

功能安全系統(tǒng)開發(fā)中遇到的問題

功能安全系統(tǒng)的開發(fā)分為規(guī)格研究（介紹&概念階段），詳細設(shè)計/評估（詳細設(shè)計與試生產(chǎn)評估階段），第三方認證（主要檢測&認證階段）等三個開發(fā)認證階段進行，并對傳統(tǒng)開發(fā)流程中沒有的技術(shù)條件和流程提出了要求。

圖3顯示了功能安全系統(tǒng)開發(fā)的典型流程。在第一階段——介紹&概念階段，在學(xué)習(xí)了功能安全標準MCU規(guī)格等基礎(chǔ)性知識之后，對危險進行分析（被稱為安全分析），確定避免危險的方法，研究設(shè)定作為具體安全系統(tǒng)規(guī)格研究的概念。此外，還要創(chuàng)建必要的文檔，并接受認證機構(gòu)的概念審查。這里的安全系統(tǒng)規(guī)格應(yīng)該是接下來的原型機詳細設(shè)計，試作評估階段的詳細設(shè)計以及試生產(chǎn)評估階段中可實現(xiàn)的規(guī)格。通過認證機構(gòu)的審查后，進入第二階段——原型機詳細設(shè)計，試作評估階段的詳細設(shè)計以及試生產(chǎn)評估階段，根據(jù)在概念設(shè)計階段確定的規(guī)格進行詳細的軟硬件設(shè)計評估。這一系列設(shè)計流程需要按照功能安全標IEC61508所要求的開發(fā)流程進行。在設(shè)計時，必須在準確把握功能安全標準的內(nèi)容之后進行開發(fā)。此外，還需要分析硬件故障，研究故障的診斷方法，并執(zhí)行適當?shù)拈_發(fā)流程以避免軟件出現(xiàn)問題。這些工作要求各設(shè)計流程中實現(xiàn)文檔化以及基于系統(tǒng)故障率和診斷率的達成安全等級的計算等，并需要加入傳統(tǒng)開發(fā)過程中沒有的工作。

詳細設(shè)計和評估完成后，在第三階段——主檢和認證階段，向認證機構(gòu)提交至今為止的設(shè)計和評估內(nèi)容，視需要安排現(xiàn)場測試，如果這些內(nèi)容得到批準就能獲得認證。

圖3 功能安全系統(tǒng)的開發(fā)流程

五

瑞薩對功能安全系統(tǒng)開發(fā)的提案

在推進系統(tǒng)功能安全標準認證獲取流程時，開發(fā)者面臨的技術(shù)問題列舉如下。

１）獲得認證時的各種文檔的記述方法，用于系統(tǒng)安全分析（FMEA），SIL等級達成的各種參數(shù)計算方法

２）在由2個SafetyMCU構(gòu)成的雙配置系統(tǒng)結(jié)構(gòu)中實現(xiàn)MCU自我診斷，交互監(jiān)測等用于故障診斷的軟件

３）雙配置SafetyMCU系統(tǒng)的硬件結(jié)構(gòu)（交互監(jiān)測的通信，輸入輸出電路診斷，電源診斷的結(jié)構(gòu)等）

４）實現(xiàn)符合應(yīng)用的功能安全機構(gòu)（實現(xiàn)電機關(guān)閉機構(gòu)，用于檢測電機轉(zhuǎn)速的編碼器，安全網(wǎng)絡(luò)等）

針對這些實現(xiàn)功能安全系統(tǒng)的過程中遇到的課題，瑞薩的功能安全解決方案提供了各種解決方案，以解決這些課題。下面我們將介紹與這些開發(fā)者面對的課題相對應(yīng)的解決方案。

瑞薩準備了圖4所示的1.~7.的解決方案，用來支持功能安全系統(tǒng)的開發(fā)。接下來說明這些解決方案將如何解決課題。

圖4 瑞薩的功能安全解決方案

獲得認證時的各種文檔記述方法：參考文檔

開發(fā)功能安全系統(tǒng)時，在首要工作即研究規(guī)格的概念階段中，會制作SRS、SC、SP、V&V等必要文檔，但是在沒有認證獲取經(jīng)驗的情況下，這些文檔的記載事項和記述方法不得不需要工作人員自行摸索，對時間和成本造成嚴重的浪費。5.的參考文檔以實現(xiàn)電機驅(qū)動裝置安全系統(tǒng)為例，具體記述了概念階段中所需要的文檔。將這些文檔作為模板，根據(jù)每位用戶的規(guī)格進行修改，可以恰當?shù)赜涗洷匾?a target="_blank">信息。

實現(xiàn)雙配置系統(tǒng)的診斷軟件：SIL3系統(tǒng)軟件套件，自檢軟件套件

在功能安全系統(tǒng)中，為了避免安全功能因硬件故障無法正常工作的狀態(tài)，必須執(zhí)行故障診斷。在故障診斷中，除了對每個設(shè)備進行故障檢測，還必須檢測動作期間因放射線，干擾等而發(fā)生軟件錯誤繼而導(dǎo)致的誤動作，并在異常時立即轉(zhuǎn)移到電機停止等安全動作。在對每個設(shè)備執(zhí)行故障診斷時，必須分析各設(shè)備的故障模式，研究用于檢測故障的故障檢測方法，以及定義該檢測方法的故障檢測率（診斷率）。此外，檢測軟件錯誤也需要監(jiān)控程序執(zhí)行順序，并通過用雙配置SafetyMCU交互比較等方法對系統(tǒng)性動作進行檢測。但是，如果是像SafetyMCU這樣復(fù)雜的設(shè)備，故障檢測方法及其診斷率定義成為了裝置開發(fā)者的沉重工作負擔(dān)。

而且，還必須根據(jù)功能安全標準的要求采用適當?shù)腟afetyMCU間通信方法，用于程序順序監(jiān)控和交互比較，這同樣令開發(fā)者感到頭疼。

1.自測試軟件套件提供了用于檢測SafetyMCU故障的自我診斷程序，滿足IEC61508標準中SIL3所要求的90%診斷率。2.的SIL3系統(tǒng)軟件套件預(yù)先安裝了實現(xiàn)雙配置系統(tǒng)所需的交互監(jiān)測和程序順序監(jiān)控等軟件。它提供了主要的SafetyMCU診斷，程序順序監(jiān)控，雙配置 SafetyMCU 間交互監(jiān)測所需的軟件，并取得了IEC61508的SIL3認證，因此開發(fā)者可以直接拿來使用。

通過應(yīng)用這些解決方案，開發(fā)者只需要在自檢軟件，SIL3系統(tǒng)軟件套件上構(gòu)建安全系統(tǒng)所需的應(yīng)用程序，就能開發(fā)功能安全系統(tǒng)，從繁瑣的SafetyMCU診斷和雙配置SafetyMCU控制部開發(fā)中解放出來。

此外，還要求證明這些軟件所使用的編譯器能夠用于功能安全系統(tǒng)的開發(fā)。瑞薩提供已取得IEC61508SIL3認證的7.的CC-RX編譯器。另由IAR Systems公司提供已取得SIL3認證的編譯器。

實現(xiàn)雙配置系統(tǒng)的硬件：參考文檔 參考硬件評估板

為了實現(xiàn)雙配置結(jié)構(gòu)，必須有特定的硬件，比如在2個SafetyMCU間交互監(jiān)測的通信手段，電源分離和電源監(jiān)控，輸入輸出電路的診斷等。6.的參考硬件提供了包括雙配置SafetyMCU電源電路在內(nèi)的參考數(shù)據(jù)。此外，使用雙配置結(jié)構(gòu)的優(yōu)點，是可以通過相互交換處理數(shù)據(jù)，在不使用特殊診斷硬件的情況下正常動作。這一系列硬件結(jié)構(gòu)和診斷方法都記載在5.的參考文檔中。

在判斷設(shè)計的軟硬件是否達到目標安全等級時，必須定義硬件故障率，故障診斷方法以及診斷率，使用以可靠性理論為基礎(chǔ)的復(fù)雜計算公式計算各種參數(shù)，并表明是否滿足安全等級所對應(yīng)的基準值。這些認證文檔的記述樣本，各種參數(shù)的計算方法也在參考文檔中有詳細記載，并以Excel格式提供了計算公式。通過這些方法，即使是開發(fā)新手，也能在表格中輸入故障率，診斷率等數(shù)據(jù)，切實地開展工作。此外，SafetyMCU的周邊功能因各用例而有不同方法，參考文檔中記載了與用例對應(yīng)的診斷方法。

實現(xiàn)與應(yīng)用對應(yīng)的安全功能：參考文檔FSoE應(yīng)用軟件套件，PROFIsafe應(yīng)用軟件套件

除MCU診斷的解決方案之外，瑞薩還在應(yīng)用級別為安全驅(qū)動設(shè)備，安全IO設(shè)備，安全網(wǎng)絡(luò)設(shè)備提供有效的解決方案。參考文檔以樣本文檔的形式，提供了符合驅(qū)動系統(tǒng)安全標準IEC61800-5-2所需的硬件結(jié)構(gòu)，安全控制方法以及將這些作為安全概念記述下來的內(nèi)容。其中用針對驅(qū)動裝置的功能安全的例子進行了說明，不過該結(jié)構(gòu)由“安全輸入-安全控制-安全輸出”這種一般功能安全設(shè)備的處理塊構(gòu)成，在具有相同結(jié)構(gòu)的安全傳感器，安全遠程IO設(shè)備開發(fā)中也可以作為參考。參考文檔中還記述了網(wǎng)絡(luò)安全化。關(guān)于面向安全網(wǎng)絡(luò)的軟件，為了支持EtherCAT的安全版 FSoE（Functional Safety over EtherCAT），瑞薩提供了3.FSoE應(yīng)用軟件套件。另外，為了支持PROFINET的安全版PROFIsafe，瑞薩還開始提供全新的4.PROFIsafe應(yīng)用軟件套件。

六

總結(jié)

如圖5所示，瑞薩的功能安全解決方案可提供向認證機構(gòu)提交資料時的文檔記錄方法等，這些資料包括概念階段的規(guī)格研究，關(guān)于MCU的功能安全的相關(guān)故障分析和診斷程序，雙配置結(jié)構(gòu)和周邊診斷，網(wǎng)絡(luò)等系統(tǒng)級診斷軟件。這些解決方案能夠支持60%～70%的功能安全系統(tǒng)開發(fā)工作。由此，開發(fā)者就可以通過設(shè)計，開發(fā)設(shè)備固有部分來完成安全系統(tǒng)。

圖5 瑞薩功能安全解決方案覆蓋范圍

通過應(yīng)用瑞薩的功能安全解決方案，系統(tǒng)開發(fā)者能夠從SafetyMCU診斷等設(shè)備固有軟件開發(fā)，認證工作中解放出來，有效利用系統(tǒng)開發(fā)所花費的時間和成本。瑞薩的功能安全解決方案為不得不摸索著嘗試開發(fā)功能安全系統(tǒng)的開發(fā)認證工作提供可靠，便捷的路徑。

七

參考資料

IEC的Functional Safety and IEC 61508

https://www.iec.ch/functional-safety

面向工業(yè)設(shè)備的功能安全解決方案

https://www.renesas.com/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution

瑞薩RX系列MCU（32-bit MCUs）

https://www.renesas.com/cn/zh/products/microcontrollers-microprocessors/rx-32-bit-performance-efficiency-mcus

1

END

1