瑞萨RX MCU功能安全解决方案简介（4-2）SIL3系统软件包

前篇回顾：

瑞萨RX MCU功能安全解决方案简介（1）参考文档

瑞萨RX MCU功能安全解决方案简介（2）硬件参考板

瑞萨RX MCU功能安全解决方案简介（3）Self-Test自检软件包

瑞萨RX MCU功能安全解决方案简介（4-1）SIL3系统软件包

03

主要功能

功能1 MCU诊断

■ 根据IEC61508标准进行诊断

经证明，功能安全平台软件执行的自我诊断和交叉监测的诊断覆盖率可以达到90%。

■ 交叉监控

不需要外部WDT设备

在IEC61508文件中，您可以看到MCU实现功能安全所需要的许多诊断。

功能安全平台软件具有符合IEC61508的自检和交叉监测功能，所有这些功能的设计都具有90%的诊断覆盖率。

对于交叉监控功能，它符合IEC61508中关于“程序序列的时间和逻辑监控相结合”的要求。该功能的可靠性已经得到了认证，因此您不需要额外的MCU监控设备，如外部看门狗定时器。

■诊断目标区域

功能安全平台软件执行诊断

用户只需要执行以下MCU诊断：

*1 : 用户应用程序完成RAM的瞬态失效检测

*2 : 用户应用程序完成的外设的永久和瞬态失效

功能安全平台软件不仅对其自身使用的存储区域进行永久失效诊断，也对用户应用程序使用的存储区进行永久失效诊断。

因此用户只需要对用户应用程序使用的RAM区域的瞬态失效进行诊断，以及用户应用程序使用的外设模块进行永久失效和瞬态失效的检测。

功能2 调度器

■ 用户应用软件的执行控制

功能安全平台软件与用户应用程序结合使用，例如，电机转速监测、传感器输入监测、安全网络协议处理、外部电路诊断等等。

用户应用程序示例:

- 电机转速监测

- 传感器输入监测

- 安全网络协议控制

- 外部电路诊断

最多可以向功能安全平台软件注册16个用户应用程序。此外，不仅可以注册与功能安全相关的“安全软件”，还可以注册与功能安全无关的“非安全软件”。

功能安全平台软件通过使用调度器来控制这些用户应用程序的执行。用户应用程序的执行顺序在专用配置文件中指定。

■ 安全控制

功能安全平台软件的操作流程。PL-SW是安全平台软件的简称。

首先当MCU复位释放时，功能安全平台软件执行初始设置和初始诊断。用户应用程序执行初始设置和初始诊断。

初始处理结束后，功能安全平台软件同步两个MCU的操作，然后进入功能安全平台软件的循环操作阶段。

进入功能安全平台软件循环运行阶段，功能安全平台软件进行交叉监控，各种诊断、用户应用程序的执行控制等等。

如果检测到错误，则操作进入安全控制阶段。在安全控制阶段，功能安全平台软件执行处理，使设备处于安全状态。一旦操作进入安全控制阶段，该状态将保持，并且永远不会进入其他阶段。

操作总结：

1

执行启动处理（初始设定/功能安全平台软件和用户应用程序1~n的诊断/MCU之间的同步）

2

重复PL-SW循环处理（功能安全平台软件和用户应用程序的过程）。可以在用户应用程序处理过程中接受来自其他用户应用程序的中断请求。

3

如果检测到任何错误或故障，则执行安全控制处理并保持状态.

■ 配置工具

SIL3系统软件包与“配置工具”捆绑在一起，该工具可在PC监控软件上显示配置文件中设置的内容。

该工具可以降低编译和下载数量，这样可以节约开发时间并提高开发效率。

波形显示

配置文件编辑器

可以看到，可以在GUI中对用户应用程序进行相关配置，也可以以图形的形式，显示功能安全平台软件、安全的用户应用程序和非安全的用户应用程序的运行时序

■ 用户应用程序执行期间的中断

可以在用户应用程序执行期间进行中断处理。

中断在用户应用程序运行期间也是支持的。

例如示例中，包含了三个用户程序1,2,3，在用户程序1和3的运行期间，发生中断请求，那么在执行完中断处理程序后，返回到相应的用户程序中继续执行。