一

概要

近年來，“功能安全”正在成為工業設備領域中實現系統安全性的可靠方法。除了向來重視安全的汽車領域之外，在工業設備領域，也會因為機器故障和事故的發生以及人身傷害事件對工廠運轉造成影響或引起社會關注，而且還導致了經濟損失。為了避免這些情況，“功能安全”的重要性與日俱增。在通過人與機器人協同作業來提高作業效率的進程中，設備安全性越發受到關注。因此，越來越多的設備制造商以滿足社會與用戶的要求和提高商品競爭力為目的，開始研究功能安全設備。

在本文章中，我們將對功能安全的定義和必要性，實際系統結構，開發中存在的課題以及瑞薩為解決這些課題而提供的功能安全解決方案進行說明。

二

什么是功能安全

功能安全的目的是，通過“功能”把因裝置誤動作，誤操作而造成的人身傷害，財產損害或社會危害等風險控制在容許限度以內。

下面將以在機器人等電機控制裝置中為避免出現危險狀況而使電機停止工作的情況為例，進行具體說明。

圖1是以通過MCU控制電機旋轉的系統作為采取功能安全措施的例子。為了實現功能安全，首先要分析與裝置相關的風險，并研究相應的措施。這被稱為風險評估，而功能安全的裝置（安全裝置）能夠通過電子電路等，實現以風險評估結果為基礎制定的安全措施。在這里，功能安全與傳統安全裝置之間存在很大差異，即“安全裝置”需要根據IEC61508等國際標準進行標準化，使“安全裝置”規格的合理性能夠通過客觀，定量的方法來實現。

圖1 功能安全的電機驅動裝置結構示例

功能安全規格的要求事項有許多，如通過分析因安全裝置故障造成的誤動作的影響，設計基于診斷功能的，在安全裝置故障時也能引導至安全狀態的措施；通過做出設計方法和設計流程的相關規定，避免因軟硬件設計缺陷等原因導致的誤動作等。通過這些要求事項，便可更加客觀地判斷其安全規格以及作為安全裝置的動作準確性（可靠性）。另外，此類FA系統還要求采用類似圖1所示的雙配置MCU結構，在系統結構上實現即使一個MCU在動作期間出現故障等動作不良，也能通過正常動作的另一個MCU執行可靠的安全動作。

三

工業領域功能安全系統的具體示例

下面將用FA系統來說明實際應用中的功能安全系統結構示例。

圖2是功能安全相關系統結構示例。該FA系統由以下部分構成：檢測是否有人進入危險區域的安全傳感器等輸入設備，由整體控制安全系統的安全PLC等構成的控制設備，驅動具體設備的驅動設備以及連接以上設備的網絡。其內部結構如圖2下半部分所示，是由2個MCU構成的雙配置MCU結構。采用這種機構的目的是，即使在安全功能的某處發生故障，也能通過正常動作的MCU準確執行用于避免危險的動作，從而使設備能夠可靠地執行安全動作。

圖2 FA系統的結構示例

接下來將說明構成該FA系統的各類設備，即安全驅動設備，安全IO設備以及安全網絡設備。

安全驅動設備

驅動設備的基本安全規格是通過監控電機是否安全受控來實現的。在開頭的圖1中也已經對它的結構作了說明，一般采用在使電機旋轉的機構外側加裝監控單元的結構，用于監控電機安全動作。該監控單元通過雙配置SafetyMCU監控電機轉速以及用于在緊急等時候緊急停止裝置的緊急停止信號，并在這些狀態被判斷為危險狀態時，執行向電機控制端發送電機停止信號的動作。設計這些動作時采用了雙配置結構，因此即使監控單元內發生故障，也可以通過其中一個正常動作的SafetyMCU轉移到安全動作。此外，根據FA系統的用途，有多種電機的監控方法和停止方法，其規格已在電機驅動設備的安全標準IEC61800-5-2中定義。

安全遠程I/O設備

安全遠程I/O設備是傳輸信號的設備，這些信號包括根據安全傳感器等的輸入信號向需要緊急停止的設備輸出的信號等。它的內部結構是雙配置MCU結構，即使安全裝置發生故障，也能可靠地執行安全動作。此外，通過用雙SafetyMCU執行用于安全控制程序，也能以同樣結構實現安全PLC（主要是低端型）。

安全網絡設備

安全網絡設備是可以通過工業網絡實現安全數據通信的設備。這里也采用了2個SafetyMCU，除了安全IO處理，還能根據安全網絡標準進行通信安全數據處理。右側的網絡設備被稱為“黑色通道（Black Channel）”，是非安全處理的一部分。黑色通道意味著不安全，不過安全網絡中的標準化安全協議有方法確認從黑色通道接收的數據是否被正確傳送，即通過用2個SafetyMCU進行確認來實現。

未完待續