功能安全

首先，我們將簡單介紹符合IEC61508標(biāo)準(zhǔn)的功能安全，其次是功能安全應(yīng)用示例，以及工程師在功能安全設(shè)計(jì)上所面臨的挑戰(zhàn)，最后分享瑞薩功能安全解決方案如何應(yīng)對(duì)這些挑戰(zhàn)。

功能安全定義范圍

瑞薩有三種基于標(biāo)準(zhǔn)的功能安全解決方案：

1

汽車級(jí) ISO26262

2

家用電器 IEC60730

3

工業(yè)自動(dòng)化 IEC61508

本系列文章將主要針對(duì)廣泛用于工廠自動(dòng)化和過程自動(dòng)化領(lǐng)域的IEC61508，基于半導(dǎo)體或MCU設(shè)計(jì)的功能安全。

在IEC61508標(biāo)準(zhǔn)提到的SIL，是指安全完整性等級(jí)的英文縮寫。安全完整性等級(jí)細(xì)分為SIL1、SIL2、SIL3、SIL4四個(gè)等級(jí)，SIL4等級(jí)最高（如火車、基礎(chǔ)設(shè)施）。而IEC60730標(biāo)準(zhǔn)則是通過系統(tǒng)診斷的方法來避免危險(xiǎn)情況的發(fā)生，需要我們根據(jù)數(shù)據(jù)分析來證明安全的可能性，而且也需要開發(fā)過程的驗(yàn)證（這點(diǎn)與IEC60730 class C也需要軟件開發(fā)過程驗(yàn)證一樣），但與其他功能安全標(biāo)準(zhǔn)不同，IEC60730的診斷只要用軟件或其他方式說明錯(cuò)誤偵測(cè)的方法即可，所以這個(gè)標(biāo)準(zhǔn)通常針對(duì)消費(fèi)類產(chǎn)品。ISO26262客戶需要根據(jù)最終產(chǎn)品申請(qǐng)認(rèn)證，但不需要認(rèn)證機(jī)構(gòu)認(rèn)證，瑞薩作為供應(yīng)商則需要做的是，根據(jù)標(biāo)準(zhǔn)提供自認(rèn)證。

IEC 61508是功能安全的基本安全標(biāo)準(zhǔn)，參考了機(jī)械、電器、機(jī)器人、電機(jī)驅(qū)動(dòng)等各個(gè)領(lǐng)域的安全標(biāo)準(zhǔn)。ISO13849-1則是控制系統(tǒng)機(jī)器安全相關(guān)部件的安全功能設(shè)計(jì)總則，ISO13849應(yīng)用范圍更廣泛，不僅電氣電子，液壓、氣動(dòng)、機(jī)械等均可適用。這兩個(gè)標(biāo)準(zhǔn)都對(duì)相關(guān)部件的安全功能進(jìn)行了定義和要求，但是兩者也有所不同。比如標(biāo)準(zhǔn)組織定義不同，IEC（國際電工委員會(huì)）和ISO（國際標(biāo)準(zhǔn)化組織）雖然都是國際標(biāo)準(zhǔn)化組織，但它們的主要區(qū)別在于它們制定標(biāo)準(zhǔn)的領(lǐng)域和范圍不同。

以下是幾個(gè)不同標(biāo)準(zhǔn)之間，根據(jù)不同的安全指數(shù)的一些區(qū)別與定義：

IEC61508由7卷標(biāo)準(zhǔn)組成并詳細(xì)列明具體的要求。比如61508-1: 一般要求；61508-3: 對(duì)軟件的要求等。

為什么功能安全對(duì)市場和我們都很重要？

IEC61508基于這樣一種理解，即人會(huì)犯錯(cuò)，機(jī)器會(huì)壞。功能安全標(biāo)準(zhǔn)規(guī)定了安全功能失效時(shí)發(fā)生的危險(xiǎn)，并定義了將失效風(fēng)險(xiǎn)降低到可容忍水平。重要的是，這些設(shè)備制造商，即我們的客戶，必須采取措施防止或最大限度地減少危險(xiǎn)情況。對(duì)我們來說，IEC61508標(biāo)準(zhǔn)是針對(duì)使用可編程、電氣和電子系統(tǒng)，即MCU、MPU、ASIC或FPGA等其他控制器IC的安全系統(tǒng)。IEC61508規(guī)定了當(dāng)安全功能失效時(shí)發(fā)生的危險(xiǎn)，并定義了將失效風(fēng)險(xiǎn)降低到可容忍水平。因此，每當(dāng)客戶為了功能安全而使用MCU設(shè)計(jì)他們的系統(tǒng)時(shí)，客戶都需要我們的支持來實(shí)現(xiàn)他們的系統(tǒng)，并在發(fā)布到市場之前獲得認(rèn)證機(jī)構(gòu)的認(rèn)證。

幾個(gè)基本安全術(shù)語概念

在定義安全完整性的時(shí)候，人們通常根據(jù)IEC61508-2010標(biāo)準(zhǔn)，對(duì)安全設(shè)備的硬件安全完整性都有明確的量化并要求來計(jì)算SIL（安全完整性）級(jí)別：即，結(jié)構(gòu)約束和硬件隨機(jī)失效。結(jié)構(gòu)約束和隨機(jī)失效同屬于硬件安全完整性的內(nèi)容。如，結(jié)構(gòu)約束的安全完整性由兩個(gè)因素共同決定：一是SFF（安全失效分?jǐn)?shù)），另外一個(gè)是HFT（硬件故障裕度）且都有相應(yīng)的計(jì)算公式。

而硬件隨機(jī)失效也有相應(yīng)的指標(biāo)進(jìn)行量化跟計(jì)算，如失效率λ，診斷覆蓋率DC，平均故障概率PFD avg或每小時(shí)危險(xiǎn)故障頻率PFH等。

結(jié)構(gòu)約束跟硬件隨機(jī)失效對(duì)于不同的指標(biāo)的計(jì)算都有相互參考的重大意義。

怎么定義安全等級(jí)

IEC61508中規(guī)定了安全功能所聲明的最高安全完整性等級(jí)（如下圖所示），該安全功能使用了一個(gè)考慮了硬件故障裕度和安全失效分?jǐn)?shù)的子系統(tǒng)。所以，我們有兩個(gè)提高SIL等級(jí)的辦法：

1

提高硬件故障裕度：HFT > 0 = 并聯(lián)的獨(dú)立元件

2

提高故障診斷率 (DC > SFF)

硬件故障裕度是體現(xiàn)系統(tǒng)硬件容錯(cuò)能力；而安全失效分?jǐn)?shù)SFF體現(xiàn)的是子系統(tǒng)在線診斷的能力，兩者共同從硬件結(jié)構(gòu)上對(duì)安全完整性等級(jí)進(jìn)行驗(yàn)證。

當(dāng)然，我們還有其他的安全指標(biāo)或術(shù)語，比如FIT、MTTF、FEMA、MTBF等，這里暫不一一論述。

審核編輯：劉清