工業(yè)自動化的急劇增長導(dǎo)致操作人員與自動化機器之間會發(fā)生不可預(yù)見的交互。工程師有責(zé)任實施適當(dāng)且經(jīng)常重疊的安全措施，以避免生產(chǎn)中斷、傷害甚至死亡的各種后果。工廠的安全環(huán)境是一個多方面的問題，需要組織各個層面的關(guān)注，應(yīng)該從工廠底層開始到管理層。理想情況下，從一開始就需設(shè)計一個安全的工廠，但許多工廠早于自動化的廣泛采用，包括使用工業(yè)物聯(lián)網(wǎng)（IIoT）、人工智能和其他工業(yè)4.0技術(shù)。功能安全已成為開發(fā)人員不可或缺的一部分，因為它可以避免系統(tǒng)故障、預(yù)測其影響或減輕未知風(fēng)險，并改變工程師對設(shè)計系統(tǒng)的思維方式。

通常，產(chǎn)品開發(fā)和流程運營工程師會執(zhí)行“故障模式和影響分析（FMEA）”，以根據(jù)嚴(yán)重性和概率分析系統(tǒng)中的潛在故障風(fēng)險。這是基于類似產(chǎn)品或運營的經(jīng)驗，其目的是從系統(tǒng)中排除已識別的故障，從而最大限度地降低相關(guān)風(fēng)險。FMEA將術(shù)語“故障模式”定義為識別設(shè)計或運營中的潛在或?qū)嶋H缺陷，重點關(guān)注那些影響最終用戶的缺陷，而“故障影響”則是由操作員感知的產(chǎn)品或系統(tǒng)功能故障模式的結(jié)果。

圖1. 什么是FMEA？

故障的影響可以根據(jù)最終用戶的感知和體驗來解釋。對已識別故障的調(diào)查結(jié)果稱為影響分析。FMEA根據(jù)故障的嚴(yán)重性、頻率和可檢測性對故障進行優(yōu)先級排序。FMEA還包含有關(guān)當(dāng)前殘疾風(fēng)險的知識文件，并力求降低所有級別的風(fēng)險。因此，優(yōu)先采取措施以防止故障，或者至少降低故障的嚴(yán)重性和發(fā)生的可能性。這反過來又有助于定義和選擇修復(fù)以減輕故障的影響和后果。在FMEA中，圖2所示的7步法可用于從初始設(shè)計和概念階段到開發(fā)和測試過程，以及在整個產(chǎn)品或系統(tǒng)生命周期中控制連續(xù)操作過程。

圖2. FMEA方法（來源:2019年AIAG和VDA FMEA手冊）

通過遵守功能安全標(biāo)準(zhǔn)IEC 61508，成為保障自主系統(tǒng)各項功能安全的基準(zhǔn)。如圖3所示，廣泛的功能安全系統(tǒng)開發(fā)在不同的開發(fā)驗證階段進行：簡介/概念階段，包括規(guī)范審查；詳細的設(shè)計/測試階段，包括功能評估；以及主要的認證階段，包括第三方檢驗和驗證。整個流程有常規(guī)開發(fā)所不具備的技術(shù)要求和流程?？紤]到上述限制，瑞薩電子的功能安全開發(fā)解決方案包括系統(tǒng)故障模式和影響分析（FMEA），作為緩解客戶挑戰(zhàn)的一個組成部分，如圖4所示。

圖3. 能安全系統(tǒng)開發(fā)階段

圖4. 獲得功能安全標(biāo)準(zhǔn)認證的技術(shù)挑戰(zhàn)

開發(fā)功能安全系統(tǒng)的第一步是概念階段，即審查規(guī)范，這也需要各種文件。沒有任何認證經(jīng)驗的開發(fā)人員將不得不經(jīng)歷填寫每個條目和描述的過程，這是一個耗時且成本高昂的步驟。

圖5. Renesas功能安全解決方案環(huán)境

圖5顯示了瑞薩電子為支持IEC61508標(biāo)準(zhǔn)的功能安全系統(tǒng)開發(fā)而提供的七個解決方案的構(gòu)建模塊。

功能安全系統(tǒng)需要進行故障診斷，以避免硬件故障導(dǎo)致安全功能無法正常運行。除了檢測單個設(shè)備故障（永久性故障），故障診斷還必須檢測運行期間由輻射、噪聲等引起的軟錯誤故障（瞬時故障），并立即轉(zhuǎn)入安全運行，例如在出現(xiàn)異常時停止電機。單個設(shè)備的故障診斷需要分析每個設(shè)備的故障模式，檢查故障檢測方法以檢測這些模式，并根據(jù)該檢測方法定義故障檢測率（診斷率）。還需要使用系統(tǒng)功能來檢測軟錯誤，例如監(jiān)控程序執(zhí)行序列，或使用冗余MCU進行相互比較，以確保安全。

1

我們的“自測軟件套件”提供了一個基于通用MCU的自我診斷程序來檢測錯誤，該程序可實現(xiàn)90%的永久故障診斷率，滿足IEC61508標(biāo)準(zhǔn)要求的SIL 3級別。

2

“SIL 3系統(tǒng)軟件套件”預(yù)裝了用于交叉監(jiān)控的軟件，在安全和非安全應(yīng)用之間劃分功能，以實現(xiàn)安全軟件和非安全軟件的共存，能夠在具有多個時鐘源的兩個MCU上進行同步處理，以及實現(xiàn)冗余系統(tǒng)的其他功能。開發(fā)人員可以按原樣使用該解決方案，因為它已經(jīng)通過了IEC61508 SIL3認證。

應(yīng)用這些解決方案，開發(fā)人員只需配置自測軟件和SIL3系統(tǒng)軟件套件，就能構(gòu)建冗余功能安全系統(tǒng)，將他們從繁瑣的安全MCU診斷和冗余安全系統(tǒng)控制部分的開發(fā)中解放出來。

3

此外，當(dāng)系統(tǒng)通過工業(yè)網(wǎng)絡(luò)連接和控制時，功能安全網(wǎng)絡(luò)協(xié)議是必要的。FSoE應(yīng)用軟件套件和PROFIsafe應(yīng)用軟件套件是在每個從屬設(shè)備中執(zhí)行安全協(xié)議的認證套件。

進一步講，還需要特定的硬件來實現(xiàn)冗余結(jié)構(gòu)，例如用于兩個安全MCU之間的交叉監(jiān)控、電源隔離和監(jiān)控以及輸入/輸出電路診斷的通信手段。我們?yōu)榭蛻籼峁﹥煞N參考解決方案。

4

在參考硬件方面，Renesas提供了參考數(shù)據(jù)，包括冗余安全MCU的電源電路。使用冗余配置的另一個優(yōu)點是，通過在每一方之間交換處理數(shù)據(jù)，可以確認正常運行，而無需使用任何特殊的診斷硬件。這些硬件配置和診斷技術(shù)系列將在解決方案5參考文件中詳實。確定正在設(shè)計的硬件/軟件是否已經(jīng)達到目標(biāo)安全水平，需要定義硬件故障率、診斷方法和診斷率，使用基于可靠性理論的復(fù)雜公式計算各種參數(shù)，并顯示它們是否滿足目標(biāo)安全級別的標(biāo)準(zhǔn)值。參考文件包含所有驗證文件的完整樣本，以及所有參數(shù)計算方法的詳細說明和以Excel格式提供的公式。有了這些工具，即使是第一次開發(fā)人員，也可以通過簡單地輸入數(shù)據(jù)（如故障率和診斷率）來獲得保證。由于與外設(shè)安全MCU功能相關(guān)的方法因使用情況而異，參考文件根據(jù)不同的使用情況描述了不同的診斷方法。

5

參考文件包括概念階段所需文件的具體示例，基于實施電機驅(qū)動安全系統(tǒng)的示例。使用它們作為模板，開發(fā)人員可以根據(jù)需要修改每個條目以適應(yīng)使用規(guī)范，因此只需要包含必要的信息。

6

最后，在開發(fā)功能安全系統(tǒng)時，用于該軟件的編譯器必須被證明是有效的。Renesas還提供CC-RX認證套件，這是一個IEC61508 SIL3認證套件，可與編譯器配合使用。IAR系統(tǒng)也提供SIL 3認證的編譯器。

同樣如圖6所示，Renesas提供全面的解決方案構(gòu)建模塊，可加速功能安全系統(tǒng)的開發(fā)。我們的解決方案包括從概念階段到基于MCU的功能安全所需的故障分析和診斷程序的規(guī)格審查，以及冗余結(jié)構(gòu)和外設(shè)診斷、網(wǎng)絡(luò)的系統(tǒng)級診斷軟件和加速認證的文檔。此外，Renesas提供廣泛的預(yù)認證軟件包，包括安全編譯器選項、經(jīng)驗證的開發(fā)板/參考設(shè)計，以及完整的IEC61508實施指南。所有這些都將通過縮短整個系統(tǒng)認證過程而使客戶受益。

圖6. Renesas解決方案概述，它如何支持系統(tǒng)示例

極具競爭力的Renesas功能安全套件確保開發(fā)人員只需專注于系統(tǒng)開發(fā)，因為基于MCU的軟件包和認證文件可隨時進行整合。我們由德國萊茵TüV認證的自測和SIL3系統(tǒng)軟件套件提供了MCU所需的所有診斷和安全任務(wù)。最后，IEC61508功能安全系統(tǒng)開發(fā)的參考文件《文件指南》為獲得系統(tǒng)認證提供了額外的幫助。

總之，使用Renesas功能安全解決方案包可以為用戶提供更多的時間來完成系統(tǒng)開發(fā)，從而降低整體成本并縮短上市時間。識別下方二維碼即刻訪問瑞薩IEC61508功能安全解決方案產(chǎn)品頁了解更多詳情，您還可以聯(lián)系您當(dāng)?shù)氐娜鹚_銷售代表討論您的下一個功能安全解決方案需求。

https://www.renesas.cn/cn/zh/application/industrial/factory-automation/safety/iec-61508-functional-safety-solution