功能安全可增强 24/7/365 工业设计的安全性

工业环境中的设备通常 24/7/365 全年无休运行，因此安全性和可靠性至关重要。这意味着无论电源是否接通，当系统关闭或启动时，任务关键型工业设计都必须得到充分保护。

虽然关于故障安全嵌入式系统设计的机制已有详尽的文献记录，但工业领域有新要求，那就是增加功能安全合规性。功能安全技术为注重可靠性的工业设计带来了完全标准化的全新安全保护层。

从自主式机器人到对生命至关重要的医疗设备再到智能交通，大量工业设计都受到功能安全技术的影响。具有功能安全性的元器件包括 CPU、SRAM 和闪存芯片。利用通过安全认证的元器件，系统开发人员可以证明所声称的特定安全完整性等级 (SIL)。

支持功能安全的 MCU

功能安全是开发人员在工业设计中常常要全力解决的一项复杂而耗时的任务。一个很好的例子是处理机器人与人交互的系统。若要按照最新的功能安全规范设计系统，不仅需要解读严苛的标准，还要选择第三方提供软件支持。

在这样的例子中，双 MCU 配置可以在使用诊断软件的同时实现简单的安全验证。因此，嵌入式设计人员将无需开发 MCU 专用功能安全软件。

Renesas Electronics 的 RX 系列微控制器就是例证。该系列微控制器与 IEC 60730 功能安全标准兼容，并能在所服务的工业设备中帮助实现故障安全操作。最重要的是，Renesas 最近为其 RX 系列 MCU 增加了经 IEC 61508 SIL3 认证的功能安全软件。这项新的安全特性将为基于该公司 RXv2 内核的所有 Renesas MCU 提供服务。

该功能安全解决方案带有 SIL3 系统软件套件，后者具有相互诊断功能（以双 MCU 结构为前提），并实现了安全和非安全功能之间的软件隔离（图 1）。双结构 MCU 设计围绕 RX71M 和 RX651 微控制器构建。

图 1：Renesas 声称，通过在双 MCU 架构中执行相互诊断，获得世界上第一个 SIL3 认证。（图片来源：Renesas Electronics）

另一种提供工业应用所需功能安全能力的微控制器是 Texas Instruments 的 Hercules RM57Lx。采用该器件，设计人员可以轻松快速地符合 IEC 61508 标准，并为航空防滑、可编程逻辑控制器 (PLC)、电机和驱动器、铁路信号等各种工业应用提供多种安全特性。

RM57Lx 微控制器以 Hercules MCU 的安全特性为基础，具有单比特纠错和双比特错误检测功能，且指令和数据高速缓存以及精选外设 RAM 缓冲器采用纠错码 (ECC)。

功能安全的闪存

功能安全通常与汽车设计联系在一起，但如上面的 MCU 例子所示，它也与工业设计高度相关，尤其是 24/7/365 全年无休运行的工业设备。鉴于这一点，对闪存必须认真考虑，因为它是任务关键型工业系统中的另一个关键构建块。它也必须符合适用的功能安全标准。在工业设计中，这一要求将闪存推到最前沿，以提供安全存储以及可靠访问复杂的系统代码和算法。

有些闪存架构具有多个分区，这些分区经过独立优化，可实现高耐久性和长期数据保留。高耐久性和数据保留能力对于保护工业设计免受系统故障影响至关重要。

例如，Cypress Semiconductor 的 Semper™ NOR 闪存是围绕该公司的 EnduraFlex 架构而构建（图 2）。在 -40°C 至 +125°C 的极端温度下，其耐久性超过一百万次编程/擦除周期，数据保留期限至少为 25 年。针对频繁的数据写入，EnduraFlex 架构提供了一个可以配置的分区，其 512 Mb 密度部分可提供多达 128 万次编程-擦除周期，1 Gb 部分可提供多达 256 万次编程-擦除周期。

图 2：Semper NOR 闪存架构框图重点显示了嵌入式功能安全性和可靠性构建块。（图片来源：Cypress Semiconductor）

Semper NOR 闪存提供安全启动 (SafeBoot ) 和纠错特性，以确保工业运行安全可靠。此外，它能在存储器阵列编程期间生成嵌入式 ECC，从而也支持单 ECC 和双 ECC。请注意，MCU 供应商 NXP Semiconductors 就在其工业 MCU 产品中运用了 Semper NOR 闪存。

功能安全工具集

这是难题的最后一部分——安全关键型工业系统和设备的工具集。现在，服务于工业嵌入式系统的工具集正赶上功能安全的潮流。

具有功能安全要求的嵌入式系统的数量正在稳步增长，与此同时，对安全分析工具的需求也在增长。这类工具能够在功能安全认证的元器件上运行并分析常见故障等问题。

诸如故障模式影响和诊断分析 (FMEDA) 之类的定量分析技术，可帮助确定元器件（例如 MCU 的安全集成）的有效性。然后，还有诊断软件工具，可填补硬件安全措施与已明确的安全要求之间的空白。

例如，Renesas 一直使用 IAR Systems 的认证工具套件来开发嵌入式应用的诊断软件。如图 3 所示，用于 RX MCU 的 IAR Embedded Workbench 包含一个高性能编译器和调试器，其已整合到易于使用的集成开发环境 (IDE) 中。

图 3：此图显示 IAR Embedded Workbench 如何促进 Renesas RX 微控制器的安全相关软件开发。（图片来源：IAR Systems Software）

为了提高工业设计的可靠性，用来验证安全关键型系统的工具集可以仅聚焦于相关的安全方面。工具集通常带有丰富的图形内容以及警告指示符和文字。

最重要的是，安全性设计必须“软硬兼施”。幸运的是，这两个部分现在都可供开发人员使用。