瑞萨功能安全IEC61508解决方案介绍（1）

今天主要针对的是IEC61508这个广泛用于工厂自动化和过程自动化领域的、基于半导体或者MCU设计的功能安全。在IEC61508标准提到的SIL是指，安全完整性等级的英文缩写。安全完整性等级细分为SIL1、SIL2、SIL3、SIL4四个等级，SIL4等级最高（如火车、基础设施）。IEC61508需要根据数据分析来证明安全的可能性，而且也需要开发过程的验证。汽车级IO26262客户需要根据最终产品申请认证，但不需要认证机构认证，瑞萨作为供应商根据标准提供自认证。

那人们为什么需要功能安全呢？大家都知道，人总是会犯错误的，机器也有可能损坏。随着越来越多的工业应用使用自动化，越来越需要将安全措施纳入到设备中，以防止或尽量减少人的生命和社会财产等损失。

IEC61508是行业使用的代表性安全标准，由SIL1至SIL4的安全完整性等级（SIL）定义。最近，认证机构制定的SIL3标准已成为工业设备的标准。在工业类应用当中，第三方认证是必须的，不允许自我声明。

由于IEC61508侧重于使用电气/电子/可编程电子设备的系统，对于使用MCU等组件开发这些应用程序的客户来说，这是一个很好的指标。所以，除了MCU在工厂自动化当中的应用，我们也看到MCU作为功能安全也可以应用于其他各种的应用，比如，我们最近也发现其他的一些行业或应用也部分开始研究IEC61508标准，并作为开发功能安全系统的参考。如医疗、楼宇自动化系统、电池系统和服务机器人。所以，我们也不断收到一些客户对这些行业或应用的一些咨询，即使目前还没有看到非工业自动化应用将大规模的采用IEC61508的大浪潮，但是我们一直持续在关注这一点。

这里显示的就是一个典型的工业自动化安全系统，这里包括了远传输入输出模块（与传感器通讯部分），电机驱动，网络通讯三大部分。如今，机器通过工业以太网连接在传感器、PLC和电机之间。由于每个子系统都通过网络进行控制和监控，因此应用程序上的安全机制以及网络本身都应该是安全的。

工业应用需要停止系统或能够在异常情况下安全运行应用程序，因此冗余是这些安全系统的关键。如下图所示，安全功能的实现，基本都是配备了两个符合SIL3安全完整性水平的MCU/MPU的冗余系统。除此之外，通过工业以太网网络发送数据，为了确保网络传输数据的安全，我们在标准协议的更高层采用了网络安全协议，如FSoE。在安全网络中，安全协议通过数据损坏检查、ID检查和时间监控来验证安全性。瑞萨的功能解决方案可以与我们的MCU一起用于所有这些应用案例。

（1）基于MCU的安全功能系统配置示例

（2）基于MPU的安全功能系统配置示例