瑞萨电子基于IEC61508的功能安全解决方案介绍（3）

前篇回顾

解决方案 | 瑞萨基于IEC61508的功能安全解决方案介绍（1）

解决方案 | 瑞萨基于IEC61508的功能安全解决方案介绍（2）

瑞萨功能安全解决方案 - 硬件（HW）

作为解决这些问题的方案，瑞萨提出将硬件，如我们的MCU和我们的MCU的认证软件相结合。

本章节关于硬件。除了客户的系统之外，瑞萨还提出了双MCU架构。虽然您可能认为这种架构会增加BOM成本，但这对由MCU控制的安全系统有三个好处。

一、简单的安全验证

因为安全模块的硬件和客户的非安全系统可以单独控制或隔离。优化或降低诊断频率，因为冗余系统的诊断可以在8～24小时内完成。

二、提高了系统性能

如下图左侧的单个MCU配置将无法达到SIL3，并且HFT=0，这不适用于工业自动化系统。HFT是硬件故障容错，指部件或子系统在出现硬件故障的情况下，有且还有一个或两个及以上的功能安全单元/通道继续执行所要求的安全功能的能力。

三、双核单芯片

从硬件角度是可以的，但是如果没有必要的功能安全软件支持，认证机构也不接受此系统是冗余的，也就是无法通过SIL3的认证标准。

所以，冗余系统的好处：

1

即使其中一个MCU发生故障，另一个MCU也可以继续安全操作，因为工业自动化安全系统需要冗余

2

通过冗余（HFT=1），所需的诊断覆盖范围适当放宽（SIL3要求的DC仅为90%）

3

诊断间隔可为8~24小时。它可以减少用户应用程序操作中的诊断开销

基于以上，我们认为，无论是单MCU架构或者双核的MCU架构的配置都是有风险的。

 

瑞萨功能安全解决方案 – 软件（SW）

与之前提出的双MCU架构的硬件平台相结合，Renesas提供经认证的安全软件、文档、参考板和经认证的编译器，以支持缩短和简化安全系统开发。有了瑞萨认证的软件和硬件，系统开发人员或客户可以缩短MCU的认证过程，并专注于客户的应用领域。

根据我们的经验，一些客户成功地将其安全系统开发时间缩短到了过去的三分之一。客户只需要集中应用层的开发即可，减少整个研发时间成本。

 

以下是瑞萨针对RA和RX MCU的一系列功能安全解决方案交付内容。包括：

1

自诊断/自检软件包：是包括诊断软件在内的基本软件包，用于实现对片上CPU、ROM和RAM的测试。

2

SIL3功能安全系统软件包：该软件包包括功能安全平台软件，该软件使用双MCU实现、开发冗具有余功能的安全系统，包括MCU诊断、调度、分区功能等。

3

FSOE应用软件套件，是与功能安全平台软件一起使用的安全网络堆栈包， 客户可以根据其所需的网络通讯协议，来选择这些软件包。

4

Profisafe应用软件套件，也是与功能安全平台软件一起使用的安全网络堆栈包。

5

参考文件是一套文件，为功能安全系统的认证文件和设计提示提供了指南。该参考文件特别适用于新开发IEC61508安全系统的用户。

6

参考板硬件：这是一个具有冗余架构的评估板，也是获得了TUV SIL3认证证书的。

7

编译器认证套件：该套件包括瑞萨自己的CC-RX编译器（只针对RX MCU）或者支持认证的编译器IAR的使用手册和功能安全证书。

 

功能安全参考板

前文我们已经介绍了几个软件的交付内容，但您也需要硬件作为评估、开发的基础。

瑞萨不仅提供安全软件的硬件评估板，而且是为功能安全标准规定的双MCU配置系统设计，并经过认证机构TUV SIL3认证证书认证的。所有的评估板包含安全设计专有技术，如标准要求的诊断、监控安全电路，方便您立即开始原型机的开发。

 

下面是结合FSOE协议栈以及FSoE参考评估套件，全面覆盖系统控制到EtherCAT网络通讯的功能安全需求的评估板套件（后续将发布该评估板的具体介绍文章，敬请持续关注）。

 

最后，让我们总结一下瑞萨的功能安全解决方案：

我们强调的是认证的安全解决方案会全面支持客户从开发到认证的整个过程，以更轻松、更快速地进入市场。

例如经过认证的软件将缩短MCU安全软件的开发时间，以便客户能够专注于应用软件开发，无需因为非安全功能应用软件的变更影响必要的认证。

再者，参考板将有助于缩短开发速度，快速建立原型机并投入市场。

当然，还有其他内容，如参考文件、IEC61508指南和设计诀窍、支持开发的认证编译器等，客户可以根据瑞萨功能安全解决方案灵活选择需要交付的成果。