功能安全

首先，我們將簡單介紹符合IEC61508標準的功能安全，其次是功能安全應用示例，以及工程師在功能安全設計上所面臨的挑戰，最后分享瑞薩功能安全解決方案如何應對這些挑戰。

功能安全定義范圍

瑞薩有三種基于標準的功能安全解決方案：

1

汽車級 ISO26262

2

家用電器 IEC60730

3

工業自動化 IEC61508

本系列文章將主要針對廣泛用于工廠自動化和過程自動化領域的IEC61508，基于半導體或MCU設計的功能安全。

在IEC61508標準提到的SIL，是指安全完整性等級的英文縮寫。安全完整性等級細分為SIL1、SIL2、SIL3、SIL4四個等級，SIL4等級最高（如火車、基礎設施）。而IEC60730標準則是通過系統診斷的方法來避免危險情況的發生，需要我們根據數據分析來證明安全的可能性，而且也需要開發過程的驗證（這點與IEC60730 class C也需要軟件開發過程驗證一樣），但與其他功能安全標準不同，IEC60730的診斷只要用軟件或其他方式說明錯誤偵測的方法即可，所以這個標準通常針對消費類產品。ISO26262客戶需要根據最終產品申請認證，但不需要認證機構認證，瑞薩作為供應商則需要做的是，根據標準提供自認證。

IEC 61508是功能安全的基本安全標準，參考了機械、電器、機器人、電機驅動等各個領域的安全標準。ISO13849-1則是控制系統機器安全相關部件的安全功能設計總則，ISO13849應用范圍更廣泛，不僅電氣電子，液壓、氣動、機械等均可適用。這兩個標準都對相關部件的安全功能進行了定義和要求，但是兩者也有所不同。比如標準組織定義不同，IEC（國際電工委員會）和ISO（國際標準化組織）雖然都是國際標準化組織，但它們的主要區別在于它們制定標準的領域和范圍不同。

以下是幾個不同標準之間，根據不同的安全指數的一些區別與定義：

IEC61508由7卷標準組成并詳細列明具體的要求。比如61508-1: 一般要求；61508-3: 對軟件的要求等。

為什么功能安全對市場和我們都很重要？

IEC61508基于這樣一種理解，即人會犯錯，機器會壞。功能安全標準規定了安全功能失效時發生的危險，并定義了將失效風險降低到可容忍水平。重要的是，這些設備制造商，即我們的客戶，必須采取措施防止或最大限度地減少危險情況。對我們來說，IEC61508標準是針對使用可編程、電氣和電子系統，即MCU、MPU、ASIC或FPGA等其他控制器IC的安全系統。IEC61508規定了當安全功能失效時發生的危險，并定義了將失效風險降低到可容忍水平。因此，每當客戶為了功能安全而使用MCU設計他們的系統時，客戶都需要我們的支持來實現他們的系統，并在發布到市場之前獲得認證機構的認證。

幾個基本安全術語概念

在定義安全完整性的時候，人們通常根據IEC61508-2010標準，對安全設備的硬件安全完整性都有明確的量化并要求來計算SIL（安全完整性）級別：即，結構約束和硬件隨機失效。結構約束和隨機失效同屬于硬件安全完整性的內容。如，結構約束的安全完整性由兩個因素共同決定：一是SFF（安全失效分數），另外一個是HFT（硬件故障裕度）且都有相應的計算公式。

而硬件隨機失效也有相應的指標進行量化跟計算，如失效率λ，診斷覆蓋率DC，平均故障概率PFD avg或每小時危險故障頻率PFH等。

結構約束跟硬件隨機失效對于不同的指標的計算都有相互參考的重大意義。

怎么定義安全等級

IEC61508中規定了安全功能所聲明的最高安全完整性等級（如下圖所示），該安全功能使用了一個考慮了硬件故障裕度和安全失效分數的子系統。所以，我們有兩個提高SIL等級的辦法：

1

提高硬件故障裕度：HFT > 0 = 并聯的獨立元件

2

提高故障診斷率 (DC > SFF)

硬件故障裕度是體現系統硬件容錯能力；而安全失效分數SFF體現的是子系統在線診斷的能力，兩者共同從硬件結構上對安全完整性等級進行驗證。

當然，我們還有其他的安全指標或術語，比如FIT、MTTF、FEMA、MTBF等，這里暫不一一論述。

審核編輯：劉清