瑞薩電子功能安全I(xiàn)EC61508解決方案介紹（2）

01

瑞薩功能安全I(xiàn)EC61508解決方案介紹（1）

在介紹瑞薩電子功能安全解決方案之前，我們來(lái)看一下IEC61508功能安全系統(tǒng)是如何根據(jù)IEC61508標(biāo)準(zhǔn)進(jìn)行概念設(shè)計(jì)、詳細(xì)開(kāi)發(fā)和認(rèn)證的。在研究安全系統(tǒng)開(kāi)發(fā)時(shí)，從開(kāi)發(fā)開(kāi)始到認(rèn)證還有很長(zhǎng)的路要走。根據(jù)我們的經(jīng)驗(yàn)，有些客戶(hù)從引進(jìn)階段到認(rèn)證階段花了3年時(shí)間才完成整個(gè)過(guò)程。所以，如何將符合功能安全系統(tǒng)的產(chǎn)品加快上市時(shí)間，縮短整個(gè)上市、研發(fā)過(guò)程將是系統(tǒng)開(kāi)發(fā)人員的關(guān)鍵課題之一。

IEC61508認(rèn)證流程圖

然而，除了這個(gè)漫長(zhǎng)的過(guò)程之外，客戶(hù)還面臨著其他更多意想不到的問(wèn)題。與非安全系統(tǒng)相比，功能安全系統(tǒng)不僅需要認(rèn)證和安全電路組件的成本，而且還顯著增加了產(chǎn)品開(kāi)發(fā)時(shí)間。如開(kāi)發(fā)時(shí)間成本：安全功能標(biāo)準(zhǔn)的理解、對(duì)自檢方法驗(yàn)證的理解、認(rèn)證文檔的編寫(xiě)等。認(rèn)證成本：跟認(rèn)證機(jī)構(gòu)的協(xié)商、討論；安全軟件/硬件的審查檢驗(yàn)；開(kāi)發(fā)過(guò)程的審查檢驗(yàn)。安全電路的物料成本：如冗余雙MCU架構(gòu)。

功能安全系統(tǒng)開(kāi)發(fā)中存在的問(wèn)題

瑞薩功能安全解決方案解決了這些問(wèn)題。接下來(lái)我來(lái)給大家介紹一下我們?nèi)鹚_的功能安全解決方案。瑞薩提出將硬件，如我們的MCU和我們的MCU的認(rèn)證軟件相結(jié)合。瑞薩提出了雙MCU架構(gòu)。

這對(duì)由MCU控制的安全系統(tǒng)有如下的好處：

簡(jiǎn)單的安全驗(yàn)證，因?yàn)榘踩K的硬件和客戶(hù)的非安全系統(tǒng)可以單獨(dú)控制或隔離。優(yōu)化或降低診斷頻率，因?yàn)槿哂嘞到y(tǒng)的診斷可以在8～24小時(shí)內(nèi)完成。

提高了系統(tǒng)性能，如左側(cè)的單個(gè)MCU配置將無(wú)法達(dá)到SIL3，并且HFT（HFT是硬件故障容錯(cuò)，指部件或子系統(tǒng)在出現(xiàn)一個(gè)或幾個(gè)硬件故障的情況下，功能單元繼續(xù)執(zhí)行所要求的安全功能的能力）=0，這不適用于工業(yè)自動(dòng)化系統(tǒng)。

如果是右邊的雙核單芯片，從硬件角度是可以的，但是如果沒(méi)有必要的功能安全軟件支持，認(rèn)證機(jī)構(gòu)也不接受此系統(tǒng)是冗余的，也就是無(wú)法通過(guò)認(rèn)證標(biāo)準(zhǔn)。

瑞薩的功能安全解決方案基于之前提出的雙MCU架構(gòu)的硬件平臺(tái)相結(jié)合，瑞薩提供經(jīng)認(rèn)證的安全軟件、文檔、參考板和經(jīng)認(rèn)證的編譯器，以支持縮短和簡(jiǎn)化安全系統(tǒng)開(kāi)發(fā)。有了瑞薩認(rèn)證的軟件和硬件，系統(tǒng)開(kāi)發(fā)人員或客戶(hù)可以縮短MCU的認(rèn)證過(guò)程，并專(zhuān)注于客戶(hù)的應(yīng)用領(lǐng)域。根據(jù)我們的經(jīng)驗(yàn)，一些客戶(hù)成功地將其安全系統(tǒng)開(kāi)發(fā)時(shí)間縮短到了過(guò)去的三分之一?？蛻?hù)只需要集中應(yīng)用層的開(kāi)發(fā)即可，減少整個(gè)研發(fā)時(shí)間成本。

下圖是瑞薩針對(duì)RA，RX MCU，RZ MPU的功能安全解決方案圖。中間的框圖是電機(jī)控制安全系統(tǒng)的系統(tǒng)示例，您可以從這個(gè)應(yīng)用案例，看到我們的解決方案涵蓋了各個(gè)方面。

1、自檢軟件包：是包括診斷軟件在內(nèi)的基本軟件包，用于實(shí)現(xiàn)對(duì)片上CPU、ROM和RAM的測(cè)試。

2、SIL 3系統(tǒng)軟件包：該軟件包包括功能安全平臺(tái)軟件，該軟件使用雙MCU實(shí)現(xiàn)、開(kāi)發(fā)冗具有余功能的安全系統(tǒng)，包括MCU診斷、調(diào)度、分區(qū)功能等。

3&4、FSOE&Profisafe應(yīng)用軟件套件：是與功能安全平臺(tái)軟件一起使用的安全網(wǎng)絡(luò)堆棧包，客戶(hù)可以根據(jù)其所需的網(wǎng)絡(luò)通訊協(xié)議，來(lái)選擇這些軟件包。

5、參考文件是一套文件，為功能安全系統(tǒng)的認(rèn)證文件和設(shè)計(jì)提示提供了指南。該參考文件包特別適用于新開(kāi)發(fā)IEC61508安全系統(tǒng)的用戶(hù)。

6、參考板硬件：這是一個(gè)具有冗余架構(gòu)的評(píng)估板。

7、編譯器認(rèn)證套件：該套件包括瑞薩自己的CC-RX編譯器（只針對(duì)RX MCU）或者支持認(rèn)證的編譯器IAR的使用手冊(cè)和功能安全證書(shū)。