瑞萨SIL3功能安全软件平台介绍

1.概述

瑞萨电子的IEC61508功能安全解决方案提供了以下7个组件，本文主要介绍下图中描述的组件2：SIL3 System Software Kit软件套件。

针对不同的MCU/MPU型号，功能安全解决方案套件提供相应的符合SIL3标准的软件平台，简称PLSW软件。本文主要介绍该LSW软件的基本功能和工作流程，为后续客户基于开发板开发自己的SIL3应用软件打好基础。

PLSW软件针对冗余系统的安全处理器设计，部署于双安全MCU硬件平台，实现MCU/MPU内部自诊断和双MCU之间的交叉监控功能，实现应用层的任务调度功能，实现各个应用以及各应用与PLSW软件的分区功能。

2.软件介绍

2.1诊断功能

诊断功能包括MCU自诊断和双MCU之间的交叉监控功能，PLSW软件集成了自检软件代码，自检软件可对CPU，ROM，RAM进行永久失效诊断，诊断覆盖率达到90%，同时PLSW软件的MCU诊断功能，支持对PLSW所使用的RAM和外设进行瞬时失效诊断，自检软件代码的使用具体可以参考自检软件套件说明文档。

除了诊断覆盖率，IEC61508标准中还要求支持“combination of temporal and logical monitoring”，PLSW软件的MCU/MPU的交叉监控功能经过认证符合该要求。

2.2任务调度功能

PLSW软件支持注册多达16种共计50个用户应用，支持安全应用和非安全应用混合部署，任务的调度时序可以通过系统配置文件设置。

PLSW软件工作流程分三个阶段，包括Startup processing阶段，PLSW cycle processing阶段和Safety control阶段。

在Startup processing阶段中，首先PLSW软件自身初始化，然后对注册的应用软件初始化，最后进行双MCU之间的同步处理，然后进入PLSW的循环阶段。

PLSW cycle processing阶段中，PLSW执行zi'jian自检/交叉监控，调度应用程序执行，各个应用程序都可以自行接受中断请求。

Safety control阶段，表示当系统出现错误时，PLSW进入安全错误状态，进行安全错误处理。

2.3分区功能

PLSW软件分区功能，支持各个应用之间的分区以及应用与PLSW软件的分区。

分区的好处是使得安全应用和非安全应用可以在同一个安全MCU/MPU上部署，当非安全软件改变时，并不需要重新认证。另外也保证了不同分区之间不会相互影响，保证了系统的安全性。

3.PLSW软件流程图

熟悉PLSW软件流程是非常有必要的，这将为在后续基于安全开发板应用开发建立良好基础。

4.PLSW系统配置文件

系统配置文件PSW_user_setting.h可以配置整个PLSW软件，配置项包应用包括：应用的窗口时间，时间片的轮询顺序规则，单MCU/双MCU调试设置，交叉监控使用的串口资源和通讯速率等等；

配置示例如下

分别打开RX72N-A和RX72N-B的 PSW_user_setting.h文件：

将RX72N-A设置为Master MCU，将RX72N-B设置为Slave MCU

SCI12作为Master MCU和Slave MCU的交互通道（固定设置，用于交叉互检）

设置PLSW的窗口时间

关于如何确定Master MCU和Slave MCU的PL-SW 的窗口时间，请参考用户手册5.11 PL-11：PL-SW Window Time

为了方便对时序进行设计以及直观查看时序图，提供了GUI工具对系统配置文件PSW_user_setting.h进行编辑。编辑生成新的配置文件PSW_user_setting.h，可导入到对应的工程文件中。

总结

上述是功能安全软件平台的介绍，客户获取到SIL3软件包，了解SIL3功能安全软件平台基本信息之后，就可以结合瑞萨的双处理器开发板进行功能安全应用开发，可关注后续技术文章。