瑞萨基于IEC61508的功能安全解决方案介绍（1）

功能安全

首先，我们将简单介绍符合IEC61508标准的功能安全，其次是功能安全应用示例，以及工程师在功能安全设计上所面临的挑战，最后分享瑞萨功能安全解决方案如何应对这些挑战。

功能安全定义范围

瑞萨有三种基于标准的功能安全解决方案：

1

汽车级 ISO26262

2

家用电器 IEC60730

3

工业自动化 IEC61508

本系列文章将主要针对广泛用于工厂自动化和过程自动化领域的IEC61508，基于半导体或MCU设计的功能安全。

在IEC61508标准提到的SIL，是指安全完整性等级的英文缩写。安全完整性等级细分为SIL1、SIL2、SIL3、SIL4四个等级，SIL4等级最高（如火车、基础设施）。而IEC60730标准则是通过系统诊断的方法来避免危险情况的发生，需要我们根据数据分析来证明安全的可能性，而且也需要开发过程的验证（这点与IEC60730 class C也需要软件开发过程验证一样），但与其他功能安全标准不同，IEC60730的诊断只要用软件或其他方式说明错误侦测的方法即可，所以这个标准通常针对消费类产品。ISO26262客户需要根据最终产品申请认证，但不需要认证机构认证，瑞萨作为供应商则需要做的是，根据标准提供自认证。

IEC 61508是功能安全的基本安全标准，参考了机械、电器、机器人、电机驱动等各个领域的安全标准。ISO13849-1则是控制系统机器安全相关部件的安全功能设计总则，ISO13849应用范围更广泛，不仅电气电子，液压、气动、机械等均可适用。这两个标准都对相关部件的安全功能进行了定义和要求，但是两者也有所不同。比如标准组织定义不同，IEC（国际电工委员会）和ISO（国际标准化组织）虽然都是国际标准化组织，但它们的主要区别在于它们制定标准的领域和范围不同。

以下是几个不同标准之间，根据不同的安全指数的一些区别与定义：

IEC61508由7卷标准组成并详细列明具体的要求。比如61508-1: 一般要求；61508-3: 对软件的要求等。

为什么功能安全对市场和我们都很重要？

IEC61508基于这样一种理解，即人会犯错，机器会坏。功能安全标准规定了安全功能失效时发生的危险，并定义了将失效风险降低到可容忍水平。重要的是，这些设备制造商，即我们的客户，必须采取措施防止或最大限度地减少危险情况。对我们来说，IEC61508标准是针对使用可编程、电气和电子系统，即MCU、MPU、ASIC或FPGA等其他控制器IC的安全系统。IEC61508规定了当安全功能失效时发生的危险，并定义了将失效风险降低到可容忍水平。因此，每当客户为了功能安全而使用MCU设计他们的系统时，客户都需要我们的支持来实现他们的系统，并在发布到市场之前获得认证机构的认证。

几个基本安全术语概念

在定义安全完整性的时候，人们通常根据IEC61508-2010标准，对安全设备的硬件安全完整性都有明确的量化并要求来计算SIL（安全完整性）级别：即，结构约束和硬件随机失效。结构约束和随机失效同属于硬件安全完整性的内容。如，结构约束的安全完整性由两个因素共同决定：一是SFF（安全失效分数），另外一个是HFT（硬件故障裕度）且都有相应的计算公式。

而硬件随机失效也有相应的指标进行量化跟计算，如失效率λ，诊断覆盖率DC，平均故障概率PFD avg或每小时危险故障频率PFH等。

结构约束跟硬件随机失效对于不同的指标的计算都有相互参考的重大意义。

怎么定义安全等级

IEC61508中规定了安全功能所声明的最高安全完整性等级（如下图所示），该安全功能使用了一个考虑了硬件故障裕度和安全失效分数的子系统。所以，我们有两个提高SIL等级的办法：

1

提高硬件故障裕度：HFT > 0 = 并联的独立元件

2

提高故障诊断率 (DC > SFF)

硬件故障裕度是体现系统硬件容错能力；而安全失效分数SFF体现的是子系统在线诊断的能力，两者共同从硬件结构上对安全完整性等级进行验证。

当然，我们还有其他的安全指标或术语，比如FIT、MTTF、FEMA、MTBF等，这里暂不一一论述。

审核编辑：刘清