包括制造商在内的各种组织为自动和半自动设备的安全使用提供了针对性的指南。引入寿命概念的IEC 61508是首个衡量电气控制系统安全性能的国际标准。其主要目标是减少所有电气、电子和可编程电子安全相关系统的故障,无论其用途或运作模式如何。
SIL(安全完整性等级)是对安全系统性能的一种衡量,用按需失效概率(PFD)来表示。选择这一惯例是出于数字原因,因为它更容易表达故障率,而不是正确性能的概率。SIL与四个不同的完整性等级相关联:SIL 1至4。SIL级别越高,相关的安全级别就越高,系统无法正常运行的可能性就越低。随着SIL水平的提高,安装和维护成本以及系统的复杂性也在增加。它还使用为硬件和系统类别的要求来定义SIL。适用的SIL是根据几个定量因素结合定性因素确定的,如开发过程和安全生命周期管理。
硬件安全完整性的SIL需要基于设备的概率分析。为了达到SIL目标,设备必须满足最大危险故障概率和最小安全故障率。安全仪表功能(SIF)是一种具有指定SIL的安全功能,由SIS(安全仪表系统)实施,以达到或保持安全状态,其中SIS是负责操作安全并确保在被认为安全的范围内紧急停止的系统。SIF有三种操作模式: 低需求模式,仅在需要时执行SIF,以将过程转换到指定的安全状态,并且需求频率不超过一年一次;高需求模式,仅在需要时执行SIF,以将流程转换到指定的安全状态,且需求频率大于一年一次;和连续模式,其中SIF将过程保持在安全状态,作为正常操作的一部分。其特征值如下所示:
| SIL | 低需求模式:按需故障的平均概率 | 高需求或连续模式:每小时危险故障的概率 | 定性后果 |
|---|---|---|---|
| 1 | ≥ 10-2 to <10-1 | ≥ 10-6 to <10-5 | 潜在造成现场的轻微伤害 |
| 2 | ≥ 10-3 to <10-2 | ≥ 10-7 to <10-6 | 潜在的重大现场伤害或死亡 |
| 3 | ≥ 10-4 to <10-3 | ≥ 10-8 to <10-7 | 有可能发生多起现场死亡事件 |
| 4 | ≥ 10-5 to <10-4 | ≥ 10-9 to <10-8 | 社区中潜在的死亡风险 |
工业系统的危害必须通过风险分析进行识别和分析,其中进行持续的缓解措施,直到危险的整体影响被认为可以接受。这些风险的容许水平被规定为安全要求,其形式是在给定时期内的目标“危险故障概率”,以离散的SIL表示。通常,认证方案用于确定设备是否符合特定的SIL。根据IEC 61508的规定,工业设备需要经过认证才能用于功能安全应用。这就要求开发人员拿出必要的证据,证明包括设备在内的应用程序也是兼容的。应当注意的是,总体安全标准IEC 61508对行业特定用例中类似设备的应用有具体的原则(参见图1)。例如,IEC 61511对安全仪表系统的规范、设计、安装、操作和维护提出了要求。本标准是作为IEC 61508的过程部门实施而制定的。
图一。特定行业的功能安全标准
图二。FMEA的方法
安全关键系统中的电子模块的设计过程采用功能安全标准IEC 61508,并作为其基础适用于自主系统的整个生命周期。该标准分为7个不同部分,为SIL分析的实施提供全面支持:
图3。IEC 61508支持SIL分析
总体而言,SIL专用系统开发在不同的开发验证阶段进行:引入/概念阶段,包括规范审查;详细设计/试验阶段,包括功能评估;以及主要的认证阶段,包括第三方检查、验证和认证。整个过程具有常规非安全系统开发中所没有的技术要求和流程。此外,系统开发涉及多供应商组件集成。从开发人员的角度来看,有一系列与实现一定程度的SIL有关的技术问题(参见图4)。SIL校准的功能安全系统需要进行故障诊断,以避免硬件故障,这些故障会妨碍安全功能的正常运行。除了检测单个设备故障之外,故障诊断还必须检测运行期间由辐射、噪声等引起的软错误故障,并立即转移到安全运行,例如在出现异常时停止电机。单个设备的故障诊断需要分析每个设备的故障模式,检查故障的检测方法以检测这些模式,并根据该检测方法定义故障检测率(诊断率)。还需要使用系统功能检测软错误,例如监控程序执行序列,或使用冗余安全MCU进行相互比较。然而,对于安全 MCU 等复杂设备,寻找故障检测方法并确定其诊断率给设备开发人员带来了相当大的工作量。 此外,用于程序序列监控和比对的安全 MCU 之间的通信方法也必须以适合功能安全标准的方式运行,这是开发人员的另一个主要负担。
图4。开发商获得SIL一致的功能安全认证的技术问题
考虑到上述限制因素,Renesas的功能安全开发套件主张提供七种解决方案,以支持符合SIL的功能安全系统开发(图5)。开发功能安全系统的第一步是概念阶段,即审查规范,这也需要各种文档。没有任何认证经验的开发人员将不得不经历填写每个条目和描述的过程,这是一个耗时且成本高昂的步骤。Renesas提供的产品本质上是迭代的,具体取决于最终用户的需求。
图5。Renesas功能安全解决方案环境
- 我们的“自检软件套件”基于安全MCU自诊断应用,永久性故障诊断率高达90%,满足IEC 61508标准要求的SIL3等级。
- “SIL3 系统软件套件”具有实现交叉监控功能、程序顺序监控和冗余系统的必要功能。 它包含安全 MCU 诊断、程序序列监控和冗余安全 MCU 交叉监控所需的关键软件,并根据 IEC 61508 标准通过 SIL3 认证,提供开发人员就绪的解决方案。 借助这些解决方案,您只需设置自检软件和 SIL3 系统软件即可构建功能安全系统,将您从冗余安全 MCU 诊断和冗余安全 MCU 控制开发中解放出来。
- 我们还为RX提供“适用于 RX 编译器的 IEC61508 认证套件”。 IAR Systems 还为 Renesas MCU 提供经过 SIL3 认证的编译器。
- “参考文档”包含设计和构思阶段所需的具体文件,以电机驱动安全系统的实施为例。 开发人员可以将其用作模板,仅输入所需信息,并根据自己的规范轻松修改。 通过判断硬件/软件是否达到目标安全水平,定义硬件故障率、诊断方法、诊断率,并根据可靠性理论用复杂的公式计算各种参数,表明是否达到了目标安全阈值。 作为参考资料,所有验证资料的完整样本、各参数的计算方法、计算公式的详细解释均以Excel格式发布。
- “参考硬件板”提供了各种有用的数据,例如冗余安全MCU的电源电路。 双工配置可实现两者之间的过程数据交换,因此还具有无需使用特殊诊断硬件即可检查操作的优势。 有了这些工具,即使是初次开发的人,只要输入故障率、诊断率等数据,就可以安心地进行开发。 此外,参考资料中描述了各种诊断方法,因为 MCU 外围功能的方法因用例而异。
Renesas 针对IEC61508功能安全解决方案 通过提供图 5 支持大多数功能安全系统开发。 这包括概念阶段的规范研究、故障分析、围绕 MCU 的功能安全所需的故障分析和诊断程序、冗余结构和外围设备诊断、网络系统级诊断软件,以及将这些提交给认证机构。的文档 这允许设计人员和开发人员自行完成安全系统。
工业自动化运动强调了 IEC 61508 中定义的 SIL 在制造车间的重要性,但它可能很难应用于现实世界的系统。 但是,瑞萨电子为各种 RX 和 RA 系列 MCU 提供经过认证的软件、参考板和文档,使其变得更加容易。
所有这些都旨在帮助加快您的认证过程。 通过采用瑞萨的解决方案,开发人员和设计人员可以专注于自己的系统开发,例如,因为他们不需要准备与 MCU 相关的软件开发或认证文件。 这将您从安全 MCU 诊断等特定于设备的软件开发和认证工作中解放出来,让您可以将更多时间花在系统开发、更快的 SIL 合规性上,最重要的是,降低总成本。
点此查看往期文章:
[1] 工业功能安全 值得信赖的合作伙伴
[2] 采用Renesas电子快速部署功能安全
[3] Meet the Risk Buster: Functional Safety in Industries
[4] Accelerate Your Functional Safety Design by Leveraging Renesas’ Portfolio of Certified SIL3 Solutions