工業(yè)自動(dòng)化的急劇增長導(dǎo)致操作人員與自動(dòng)化機(jī)器之間會(huì)發(fā)生不可預(yù)見的交互。工程師有責(zé)任實(shí)施適當(dāng)且經(jīng)常重疊的安全措施，以避免生產(chǎn)中斷、傷害甚至死亡的各種后果。工廠的安全環(huán)境是一個(gè)多方面的問題，需要組織各個(gè)層面的關(guān)注，應(yīng)該從工廠底層開始到管理層。理想情況下，從一開始就需設(shè)計(jì)一個(gè)安全的工廠，但許多工廠早于自動(dòng)化的廣泛采用，包括使用工業(yè)物聯(lián)網(wǎng)（IIoT）、人工智能和其他工業(yè)4.0技術(shù)。功能安全已成為開發(fā)人員不可或缺的一部分，因?yàn)樗梢员苊庀到y(tǒng)故障、預(yù)測其影響或減輕未知風(fēng)險(xiǎn)，并改變工程師對設(shè)計(jì)系統(tǒng)的思維方式。

通常，產(chǎn)品開發(fā)和流程運(yùn)營工程師會(huì)執(zhí)行“故障模式和影響分析（FMEA）”，以根據(jù)嚴(yán)重性和概率分析系統(tǒng)中的潛在故障風(fēng)險(xiǎn)。這是基于類似產(chǎn)品或運(yùn)營的經(jīng)驗(yàn)，其目的是從系統(tǒng)中排除已識(shí)別的故障，從而最大限度地降低相關(guān)風(fēng)險(xiǎn)。FMEA將術(shù)語“故障模式”定義為識(shí)別設(shè)計(jì)或運(yùn)營中的潛在或?qū)嶋H缺陷，重點(diǎn)關(guān)注那些影響最終用戶的缺陷，而“故障影響”則是由操作員感知的產(chǎn)品或系統(tǒng)功能故障模式的結(jié)果。

圖1. 什么是FMEA？

故障的影響可以根據(jù)最終用戶的感知和體驗(yàn)來解釋。對已識(shí)別故障的調(diào)查結(jié)果稱為影響分析。FMEA根據(jù)故障的嚴(yán)重性、頻率和可檢測性對故障進(jìn)行優(yōu)先級排序。FMEA還包含有關(guān)當(dāng)前殘疾風(fēng)險(xiǎn)的知識(shí)文件，并力求降低所有級別的風(fēng)險(xiǎn)。因此，優(yōu)先采取措施以防止故障，或者至少降低故障的嚴(yán)重性和發(fā)生的可能性。這反過來又有助于定義和選擇修復(fù)以減輕故障的影響和后果。在FMEA中，圖2所示的7步法可用于從初始設(shè)計(jì)和概念階段到開發(fā)和測試過程，以及在整個(gè)產(chǎn)品或系統(tǒng)生命周期中控制連續(xù)操作過程。

圖2. FMEA方法（來源:2019年AIAG和VDA FMEA手冊）

通過遵守功能安全標(biāo)準(zhǔn)IEC 61508，成為保障自主系統(tǒng)各項(xiàng)功能安全的基準(zhǔn)。如圖3所示，廣泛的功能安全系統(tǒng)開發(fā)在不同的開發(fā)驗(yàn)證階段進(jìn)行：簡介/概念階段，包括規(guī)范審查；詳細(xì)的設(shè)計(jì)/測試階段，包括功能評估；以及主要的認(rèn)證階段，包括第三方檢驗(yàn)和驗(yàn)證。整個(gè)流程有常規(guī)開發(fā)所不具備的技術(shù)要求和流程?？紤]到上述限制，瑞薩電子的功能安全開發(fā)解決方案包括系統(tǒng)故障模式和影響分析（FMEA），作為緩解客戶挑戰(zhàn)的一個(gè)組成部分，如圖4所示。

圖3. 能安全系統(tǒng)開發(fā)階段

圖4. 獲得功能安全標(biāo)準(zhǔn)認(rèn)證的技術(shù)挑戰(zhàn)

開發(fā)功能安全系統(tǒng)的第一步是概念階段，即審查規(guī)范，這也需要各種文件。沒有任何認(rèn)證經(jīng)驗(yàn)的開發(fā)人員將不得不經(jīng)歷填寫每個(gè)條目和描述的過程，這是一個(gè)耗時(shí)且成本高昂的步驟。

圖5. Renesas功能安全解決方案環(huán)境

圖5顯示了瑞薩電子為支持IEC61508標(biāo)準(zhǔn)的功能安全系統(tǒng)開發(fā)而提供的七個(gè)解決方案的構(gòu)建模塊。

功能安全系統(tǒng)需要進(jìn)行故障診斷，以避免硬件故障導(dǎo)致安全功能無法正常運(yùn)行。除了檢測單個(gè)設(shè)備故障（永久性故障），故障診斷還必須檢測運(yùn)行期間由輻射、噪聲等引起的軟錯(cuò)誤故障（瞬時(shí)故障），并立即轉(zhuǎn)入安全運(yùn)行，例如在出現(xiàn)異常時(shí)停止電機(jī)。單個(gè)設(shè)備的故障診斷需要分析每個(gè)設(shè)備的故障模式，檢查故障檢測方法以檢測這些模式，并根據(jù)該檢測方法定義故障檢測率（診斷率）。還需要使用系統(tǒng)功能來檢測軟錯(cuò)誤，例如監(jiān)控程序執(zhí)行序列，或使用冗余MCU進(jìn)行相互比較，以確保安全。

1

我們的“自測軟件套件”提供了一個(gè)基于通用MCU的自我診斷程序來檢測錯(cuò)誤，該程序可實(shí)現(xiàn)90%的永久故障診斷率，滿足IEC61508標(biāo)準(zhǔn)要求的SIL 3級別。

2

“SIL 3系統(tǒng)軟件套件”預(yù)裝了用于交叉監(jiān)控的軟件，在安全和非安全應(yīng)用之間劃分功能，以實(shí)現(xiàn)安全軟件和非安全軟件的共存，能夠在具有多個(gè)時(shí)鐘源的兩個(gè)MCU上進(jìn)行同步處理，以及實(shí)現(xiàn)冗余系統(tǒng)的其他功能。開發(fā)人員可以按原樣使用該解決方案，因?yàn)樗呀?jīng)通過了IEC61508 SIL3認(rèn)證。

應(yīng)用這些解決方案，開發(fā)人員只需配置自測軟件和SIL3系統(tǒng)軟件套件，就能構(gòu)建冗余功能安全系統(tǒng)，將他們從繁瑣的安全MCU診斷和冗余安全系統(tǒng)控制部分的開發(fā)中解放出來。

3

此外，當(dāng)系統(tǒng)通過工業(yè)網(wǎng)絡(luò)連接和控制時(shí)，功能安全網(wǎng)絡(luò)協(xié)議是必要的。FSoE應(yīng)用軟件套件和PROFIsafe應(yīng)用軟件套件是在每個(gè)從屬設(shè)備中執(zhí)行安全協(xié)議的認(rèn)證套件。

進(jìn)一步講，還需要特定的硬件來實(shí)現(xiàn)冗余結(jié)構(gòu)，例如用于兩個(gè)安全MCU之間的交叉監(jiān)控、電源隔離和監(jiān)控以及輸入/輸出電路診斷的通信手段。我們?yōu)榭蛻籼峁﹥煞N參考解決方案。

4

在參考硬件方面，Renesas提供了參考數(shù)據(jù)，包括冗余安全MCU的電源電路。使用冗余配置的另一個(gè)優(yōu)點(diǎn)是，通過在每一方之間交換處理數(shù)據(jù)，可以確認(rèn)正常運(yùn)行，而無需使用任何特殊的診斷硬件。這些硬件配置和診斷技術(shù)系列將在解決方案5參考文件中詳實(shí)。確定正在設(shè)計(jì)的硬件/軟件是否已經(jīng)達(dá)到目標(biāo)安全水平，需要定義硬件故障率、診斷方法和診斷率，使用基于可靠性理論的復(fù)雜公式計(jì)算各種參數(shù)，并顯示它們是否滿足目標(biāo)安全級別的標(biāo)準(zhǔn)值。參考文件包含所有驗(yàn)證文件的完整樣本，以及所有參數(shù)計(jì)算方法的詳細(xì)說明和以Excel格式提供的公式。有了這些工具，即使是第一次開發(fā)人員，也可以通過簡單地輸入數(shù)據(jù)（如故障率和診斷率）來獲得保證。由于與外設(shè)安全MCU功能相關(guān)的方法因使用情況而異，參考文件根據(jù)不同的使用情況描述了不同的診斷方法。

5

參考文件包括概念階段所需文件的具體示例，基于實(shí)施電機(jī)驅(qū)動(dòng)安全系統(tǒng)的示例。使用它們作為模板，開發(fā)人員可以根據(jù)需要修改每個(gè)條目以適應(yīng)使用規(guī)范，因此只需要包含必要的信息。

6

最后，在開發(fā)功能安全系統(tǒng)時(shí)，用于該軟件的編譯器必須被證明是有效的。Renesas還提供CC-RX認(rèn)證套件，這是一個(gè)IEC61508 SIL3認(rèn)證套件，可與編譯器配合使用。IAR系統(tǒng)也提供SIL 3認(rèn)證的編譯器。

同樣如圖6所示，Renesas提供全面的解決方案構(gòu)建模塊，可加速功能安全系統(tǒng)的開發(fā)。我們的解決方案包括從概念階段到基于MCU的功能安全所需的故障分析和診斷程序的規(guī)格審查，以及冗余結(jié)構(gòu)和外設(shè)診斷、網(wǎng)絡(luò)的系統(tǒng)級診斷軟件和加速認(rèn)證的文檔。此外，Renesas提供廣泛的預(yù)認(rèn)證軟件包，包括安全編譯器選項(xiàng)、經(jīng)驗(yàn)證的開發(fā)板/參考設(shè)計(jì)，以及完整的IEC61508實(shí)施指南。所有這些都將通過縮短整個(gè)系統(tǒng)認(rèn)證過程而使客戶受益。

圖6. Renesas解決方案概述，它如何支持系統(tǒng)示例

極具競爭力的Renesas功能安全套件確保開發(fā)人員只需專注于系統(tǒng)開發(fā)，因?yàn)榛贛CU的軟件包和認(rèn)證文件可隨時(shí)進(jìn)行整合。我們由德國萊茵TüV認(rèn)證的自測和SIL3系統(tǒng)軟件套件提供了MCU所需的所有診斷和安全任務(wù)。最后，IEC61508功能安全系統(tǒng)開發(fā)的參考文件《文件指南》為獲得系統(tǒng)認(rèn)證提供了額外的幫助。

總之，使用Renesas功能安全解決方案包可以為用戶提供更多的時(shí)間來完成系統(tǒng)開發(fā)，從而降低整體成本并縮短上市時(shí)間。識(shí)別下方二維碼即刻訪問瑞薩IEC61508功能安全解決方案產(chǎn)品頁了解更多詳情，您還可以聯(lián)系您當(dāng)?shù)氐娜鹚_銷售代表討論您的下一個(gè)功能安全解決方案需求。

https://www.renesas.cn/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution