メインコンテンツに移動

IEC61508 機能安全ソリューション、どこから始めますか?

画像
Makiko Seki
Senior Specialist, Segment Marketing
掲載: 2020年9月26日

製造現場で、人と機械が協働する場面が増え、それらの機械がさまざまなスピードで、さまざまな動きをするとき、人と機械の間で十分な安全を確保する必要があります。 機能安全規格は、世界中で幅広くその適用が求められ、対応する産業機器市場は、年平均8%のペースで拡大しています。これは産業機器全体の成長とほぼ同じペースです。 新型コロナウイルスのパンデミックにより市場が低迷しても、安全な製造現場の環境は、ますます必要とされています。 
産業機器分野で、営業とマーケティングの両方を経験している立場から、多くのお客様が直面している課題と解決策をこのブログで共有したいと思います。

お客様の課題

ルネサスは 2014 年からこのテーマに携わり、今日までたくさんの質問を受けてきました。 以下は、私がお客様から頻繁に聞かれたコメントです。 皆さんにも、似た経験がありませんか?

  1. どこから始めたらいいの?
  2. ガイドブックがあったらいいのに。
    • どうすれば認証を取得できるの?。
    • 認証プロセスの概要とどのような書類が必要なんだろう? 認証機関から要求されたときはいつも大量の書類を提出したけれど、それらがなぜ必要とされ、どのように使用されたのかわからなかった。 次のプロジェクトを開始するとき、何が必要なのかもわからない状態で、開発アセットをどう管理したらいいんだろう? 
  3. 規格を満たすハードウェアの設計って難しい。 ゼロから始める時間がない。

ルネサスがお手伝いします。

IEC61508 が求める要件を理解していても、実際のシステムでどう実現するかが問題です。 ルネサスは、MCUと、複数の認証ソフトウェアとコンパイラ、検証済みリファレンスボード、IEC61508 の実装に関するガイドブックを提供しています。 これらすべてが、お客様での認証工程を短縮するのに役立ちます。 どんな利点があるか、見てみましょう。

MCU の故障診断や二重化システムに関するソフトウェア開発の負担が軽減されるとともに、認証用書類のテンプレートに沿って作業できるので、お客様は、効率よく確実にシステム開発を進めることができます。 

  • TÜV Rheinland 認証済みセルフテストソフトウェアおよび SIL3 システムソフトウェア が MCU の自己診断、および、二重化システムに必要な相互監視や安全制御タスクの実行監視を行います。これにより、MCUの診断・二重化構成に求められる作業が不要となり、お客様はアプリケーションの開発に注力できます。
  • 安全システムの設計開発が、簡単です。 
  • リファレンスハードウェアボード、規格で要求される診断・監視機能が満たされる、認証機関検証済みのボードです。 この、ノウハウが詰め込まれているボード設計は、御社の安全システムに、そのまま置き換えて頂けます。

コンセプトフェーズの準備が、わかりやすく、簡単にできます。 

  • リファレンスドキュメントは、お客様がIEC61508 認証取得をサポートするためのガイドブックです。 また、安全システム、例えば、セーフティ・ドライブ、セーフティI/O、セーフティネットワークなどの IEC61800-5-2 (モータ安全) と IEC13849 (機械安全) を参照しています。 ドキュメントセットに含まれるテンプレートを入手すれば、自社の製品仕様をテンプレートに当てはめるだけで、ほら、もうコンセプトフェーズのドキュメントが出来てしまいました。 また、リファレンスドキュメントにはソフトウエア・ハードウエアの詳細設計時の参考になる情報が記載されているので、コンセプトフェーズ以降にも活用できます。

このように、必要なタイミングで、適切なアウトプットが出せると、認証取得の準備がスムーズになります。そのために、ルネサスの機能安全ソリューションがあります。 

安全アプリケーションの使用事例

ここでは、ルネサスのソリューションを利用して開発したアプリケーション例として、ACドライブのモータ制御を紹介します。 図1はシステム全体の概要、図2は安全モータ制御にフォーカスしています。 ホワイト ・ペーパーの中でも、異なるアプリケーション例をご紹介しています。

図1:安全システムの概要

画像
安全システムの概要

図2:安全モータ制御システムの構成

画像
安全モータ制御システムの構成

この安全システムでは、2種類のMCUを使っています。モータ制御用のRX66T/RX72Tと、それを監視する RX72Nです。 RX72N は、認証済みソフトウェアと共に、安全 MCU として、2 つの安全機能をサポートしています。 

  1. 安全モータ制御 (STO、SS1、SS2) 
  2. FSoE (Functional Safety ove EtherCAT) による安全ネットワーク通信

仕組みはこうです;モータの異常な速度、安全センサから発せられる非常停止信号など、産業システム全体(図 1)のなかで非安全状態が認識された場合、2個の 安全MCUがモータの電源を遮断して、システムを安全状態に移行させます。 ここでは、安全 PLCが FSoEによる安全ネットワークを介して、安全センサからの非常停止信号を安全MCUのRX72N(図2)に緊急停止信号として届けます。さらに、RX72Nがモータの回転速度を段階的に下げて停止させる指示(SS1制御)をPLCに出し、緊急停止信号が発生してから一定時間が経過した時点で、モータの電源を遮断、停止させ(STO制御)、システムを安全状態にします。

現実世界での例

私が機能安全ソリューションを担当するようになってから今まで、お客様から多くのコメントをいただきました。 
あるお客様は、 1 年以上安全システムの開発がうまく進まず悩んでいました。 もう諦めようかと考えていたときに、私から機能安全ソリューションの提案をさせて頂き、ご採用頂くことになり、そしてルネサスからのサポートにより開発が完了し、、無事に認証を取得しました。 
別のケースでは、お客様の責任者から、「ルネサスの認証済みソフトウェア、ツール、ドキュメント、ボードのおかげで安全システムの開発が本当にスムーズに運び、システムの市場投入を早めることが出来た」と、たいへん喜んで頂きました。それを聞いて、この機能安全ソリューションは、まさにお客様が求めているものだと感じることが出来ました。

詳細については、ルネサスの産業機能安全のウェブサイト か、ソリューション概要を紹介しているオンラインセミナーをご覧ください。 お客様と、お話しできることを楽しみにしています。

この記事をシェアする