産業界におけるオートメーションの急増は、人と自動機器との間に想定外の相互作用を生じさせることとなりました。この流れを受けて、エンジニアは現在、生産の中断、怪我や死傷者の発生といった最悪な結果を回避するために、適切かつ万全な安全対策を施すことが必要となっています。工場の安全環境を守ることは、組織の全レベルが関与する必要があるほど多面的な問題であり、工場現場から経営陣に至るまで取りかかるべきものです。ゼロから設計される安全な工場が理想ですが、多くの工場は、産業用モノのインターネット(IIoT)、人工知能、その他インダストリー4.0による新技術によるオートメーションが普及する以前から存在しています。そこで現在、系統的な故障を回避し、その影響を予測し、将来のリスクを軽減するために機能安全という考え方が開発者にとって不可欠な要素となっており、システム設計を一変させています。
通常、製品開発およびプロセス運用に関わるエンジニアは、「故障モード影響解析(FMEA)」を行い、重大性と確率の観点からシステムにおける潜在的な故障リスクを分析します。類似した製品やプロセスでの知見に基づき、特定された故障をシステムから排除し、リスクを最小化することを目的とします。FMEAでは、設計やプロセスにおける潜在的または実際の欠陥を列挙して故障モードを定義します。中でもエンドユーザーに影響を与えるものに焦点が当てられます。その故障モードによる製品や機器、人への影響を、故障影響として定義します。
図1 FMEAとは何か
故障の影響は、エンドユーザーが実際に気づき、経験するものという観点から説明されます。ここで、特定された故障の結果を調べることを影響解析と呼びます。FMEAでは、故障の重大性、頻度、検出可能性に応じて、対策すべき故障に優先順位をつけます。また、故障リスクに関するあらゆるレベルのリスクを軽減する為に文書化します。その結果、故障の予防、または少なくともその重大性と発生可能性を低減するための優先的な措置がとられるのです。故障の影響と結果を緩和するための対策の定義と、選択に役立つと言ってもいいでしょう。図2に示すように、FMEAは7段階のアプローチに分かれ、初期設計、コンセプト段階から開発、試験工程まで、さらには製品やシステムのライフサイクルを通した継続的な運用プロセス管理において使用することができます。
図2 FMEAアプローチ(出典:AIAG & VDA FMEA ハンドブック 2019)
機能安全規格IEC61508に準拠した自律システムは、あらゆるベースラインを満たすことにつながります。広義の機能安全システム開発は、図3のように様々な開発検証フェーズを経て行われます。仕様検討を含む導入・コンセプトフェーズ、機能評価を含む詳細デザイン・トライアルフェーズ、第三者による検査・検証を含むメイン審査フェーズといったものです。ここには、従来の開発にはない技術的要件やプロセスが存在しています。そこで、ルネサスの機能安全ソリューションは、図4のようにお客様の課題を解決するよう構成されています。
図3 機能安全システムの開発プロセス
図4 機能安全基準認証における技術的課題
機能安全システムの開発における最初のステップは、仕様を検討するコンセプトフェーズから始まり、様々なドキュメントが必要となります。ここで、認証経験のない開発者は一つひとつの項目や記述を記入していかなくてはならず、長い時間と労力がかかります。
図5 ルネサスの機能安全ソリューション
図5は、ルネサスエレクトロニクスが提供する、IEC61508規格の機能安全システム開発を支援する7つのソリューションを示したものです。
機能安全システムでは、ハードウェアの故障により安全機能が正常に動作しなくなることを回避するために故障診断が必要です。故障診断では、機器単体の故障(永久故障)だけでなく、運転中の放射線やノイズなどによるソフトエラーの誤動作(一時故障)を検出し、異常が発生した際にモータを停止させるなどの安全状態に直ちに移行する必要があります。個々の機器の故障診断では、それぞれの機器の故障モードの分析、それを検出する故障検出方法の検討、その検出方法による故障検出率(診断率)を定義します。また、プログラムの実行シーケンスの監視や、安全のための冗長MCUによる相互比較など、システム機能によるソフトエラーの検出も必要です。
- 当社の「セルフテストソフトウェアキット」は、汎用MCUをベースにしたエラー検出用の自己診断プログラムで、IEC61508規格で要求されるSIL3レベルを満たす永久故障診断率90%を達成しています。
- 「SIL3システムソフトウェアキット」は、クロスモニタリング機能、安全ソフトと非安全ソフトの共存を可能にする安全・非安全アプリケーション間のパーティショニング機能、複数のクロックソースを持つ2つのMCUでの同期処理機能など、二重化システムを実現するためのソフトウェアです。IEC61508規格のSIL3認証を既に取得しているため、開発者は本ソリューションをそのままお使いいただけます。
これらのソリューションを使うことで、開発者は単にセルフテストソフトウェアとSIL3システムソフトウェアキットを設定するだけで二重化による機能安全システムを構築でき、面倒なセーフティMCU診断や制御開発から解放されます。 - さらに、産業用ネットワークで接続・制御されるシステムでは、機能安全ネットワークプロトコルが必要となります。FSoEアプリケーションソフトウェアキットとPROFIsafeアプリケーションソフトウェアキットは、各スレーブデバイスで安全プロトコルを実行するための認証済みソフトウェアです。
また、二重化システムを実現するためには2つのセーフティMCU間の相互監視のための通信手段、電源の分離と監視、入出力回路の診断など、特定のハードウェアが必要になります。そこで、ルネサスでは2つのリファレンスソリューションをご用意しています。 - リファレンスドキュメントは、モータドライブの安全システム実装を例に、コンセプトフェーズで必要となる具体的文書を含んでいます。開発者はこれをテンプレートとして、必要な情報のみを記載し、仕様に合わせて各項目を修正できます。開発中のハードウェア/ソフトウェアが目標の安全レベルに達しているかどうかを判断するには、ハードウェアの故障率、診断方法、診断率を定義し、信頼性理論に基づく複雑な数式で各種パラメータを計算し、目標の安全レベルに対する基準値を満たしているかどうかを示す必要があります。リファレンスドキュメントには、すべての検証資料の完成見本と、各パラメータの計算方法、提供される計算式の詳細解説がExcel形式で載っています。これらのツールにより、初めて開発される方でも、故障や診断率などのデータを入力するだけで、安心して開発を進めることができます。また、MCUの周辺機能に関する手法は、ユースケースによって異なるため、参考資料には多様な診断方法を記載しています。
- リファレンスハードウェアは、2つのMCUを搭載し、電源回路を含むリファレンスデータを提供しています。二重化構成にすることで、相互監視が可能となるため、特別な診断用ハードウェアを使わずに動作を確認できるメリットもあります。これらのハードウェア構成や診断手法については、ソリューション4:リファレンスドキュメントに記載しています。
- 最後に、ソフトウェアと使われるコンパイラが、機能安全システムを開発する際に妥当であることを証明する必要があります。ルネサスでは、コンパイラ向けにIEC61508 SIL3認証キットである「CC-RX用認証キット」も提供しています。また、IARシステムズ社でもSIL3認証コンパイラを提供しています。
図6でまとめているように、ルネサスは機能安全システム開発の短縮を可能にする包括的なソリューションを提供しています。私たちのソリューションパッケージには、コンセプト段階の仕様検討から、MCUベースの機能安全に必要な故障解析と診断プログラム、さらに二重化構造や周辺診断、ネットワークのシステムレベル診断ソフトウェア、認証取得を短縮可能なドキュメントが含まれています。さらに、機能安全コンパイラ、リファレンスハードウェア、IEC61508実装ガイドブックなど、認証済みソフトウェアパッケージなども幅広くご用意しています。これらによって、システム認証プロセスの短縮というメリットをお客様にもたらします。
図6 ルネサスのソリューション全体図:システムでの対応例
ルネサスの機能安全パッケージは、MCUベースのソフトウェアパッケージと認証書類を容易に統合できるため、開発者はシステム開発のみに注力することができます。テュフ ラインランド認証済みセルフテストソフトウェアキットとSIL3システムソフトウェアキットが、MCUに必要なすべての診断と安全タスクを提供します。また、IEC61508に基づく機能安全システム開発のためのリファレンスドキュメントはシステム認証取得に役立ちます。
ルネサスの機能安全ソリューションパッケージを活用することで、システム開発期間により多くの時間を割くことができ、結果として全体コストと市場参入までの時間削減を達成することができます。詳細については、当社のウェブサイトIEC61508向け機能安全ソリューションをご覧いただき、お近くのルネサス販売代理店までお客様の機能安全ソリューションのニーズをお気軽にお問い合わせください。
過去の投稿はこちら: Meet the Risk Buster: Functional Safety in Industries