瑞萨基于IEC61508的功能安全解决方案介绍（2）

安全功能应用、业务模式及系统配置

我们可以看到功能安全最开始是应用在工厂的自动化设备当中，比如伺服系统、光栅、远程IO通讯模组等。

由于IEC61508侧重于使用电气/电子/可编程电子设备的系统，对于使用MCU等组件开发这些应用程序的客户来说，这是一个很好的指标。所以，除了MCU在工厂自动化当中的应用，MCU作为功能安全，也可以应用于其他各种的应用，比如我们最近也发现其他的一些行业或应用也部分开始研究IEC61508标准，并作为开发功能安全系统的参考。如医疗、楼宇自动化系统、电池系统和服务机器人。所以，我们也不断收到一些客户对这些行业或应用的一些咨询，即使目前还没有看到非工业自动化应用大规模的采用IEC61508的大浪潮，但是我们一直持续在关注这一点。

下面为您讲述MCU安全功能系统配置示例：

工业应用需要停止系统或能够在异常情况下安全运行应用程序，因此冗余是这些安全系统的关键。如您所见，安全功能的实现，基本都是配备了两个符合SIL3安全完整性水平的MCU的冗余系统。

除此之外，通过工业以太网网络发送数据，为了确保网络传输数据的安全，我们在标准协议的更高层采用了网络安全协议，如FSoE、Profisafe、CIP等。在安全网络中，安全协议通过数据损坏检查、ID检查和时间监控来验证安全性。

请记住，我们今天介绍的解决方案可以与瑞萨MCU一起用于所有这些应用案例。

与此同时，瑞萨专门针对工业自动化领域的RZ/T与RZ/N系列产品，也有相应的功能安全系统配置示例，以RZ/T2M安全电机控制应用为例：

由于RZ/T2M是带有两个CR52内核的MPU，所以，其中的一个内核也可以与额外的MPU/MCU构成一个完整的安全冗余系统，并充分利用了RZ/T2M的高性能CPU和外设来定义各自的业务逻辑，如电机控制、网络通讯和功能安全。

功能安全的设计所面临的挑战

上面我们讨论了很多基于工业自动化行业的功能安全应用，那么我们的工程师在安全功能设计上，将面临上面样的的挑战呢？

在介绍瑞萨功能安全解决方案之前，我想谈谈安全系统是如何根据IEC61508标准设计、开发和认证的。在研究安全系统开发时，从开发开始到认证还有很长的路要走。根据我们的经验，有些客户从引进阶段到认证阶段花了3年时间才完成整个过程。所以，如何将符合功能安全系统的产品加快上市时间，缩短整个上市、研发过程将是系统开发人员的关键课题之一。然而，除了这个漫长的过程之外，客户还面临着其他更多意想不到的问题。

与非安全系统相比，功能安全系统不仅需要认证和安全电路组件的成本，而且还显著增加了产品开发时间，如：

开发时间成本：安全功能标准的理解、对自检方法验证的理解、认证文档的编写等；

认证成本：跟认证机构的协商、讨论；安全软件/硬件的审查检验；开发过程的审查检验；

安全电路的物料成本：如冗余双MCU架构；

功能安全系统开发中存在的问题

安全系统流程可能导致整个产品开发的成本大幅增加。

而瑞萨电子的功能安全解决方案则是为了解决上述这些问题而生的。

审核编辑：刘清