メインコンテンツに移動

IEC61508 SIL認証に向けてルネサスができる事

画像
Makiko Seki
Makiko Seki
Senior Staff Marketing Specialist
掲載: 2022年12月20日

自律型・半自律型の機器向けに、メーカーを含む様々な団体が具体的なガイドラインを提示しています。なかでも寿命という概念を導入したIEC 61508は、電気制御システムの安全性能を測定する最初の国際規格です。電気、電子、プログラマブル電子機器の安全関連システムにおいて、その用途や動作モードにかかわらず、故障を減らすことがその目的でした。

SIL(Safety Integrity Level)は、安全システムの性能を表す指標で、PFD(Probability of Failure on Demand)という確率で表されます。性能が正常に動く確率よりも、故障する確率の方が表しやすいという数値的な理由からこのような慣例が選ばれました。SILは、SIL1から4まで4段階のレベルで定められています。SILレベルが高いほど安全性が高く、システムが正常に機能しない可能性が低くなります。同時にSILレベルが高くなると、設置やメンテナンスのコスト、システムの複雑さが増していきます。SILはハードウェアとシステムのカテゴリーそれぞれの要求事項を用いて定義されます。適用されるSILは、開発プロセスや安全ライフサイクル管理などの定性的な要因に加え、定量的な要因に基づいて決定されるのです。

ハードウェアの安全度に関するSILの要件は、デバイスの確率論的分析に基づきます。ターゲットのSILを達成するためには、デバイスは危険な故障が起こる最大確率と、安全な故障が起こる最小割合の目標を満たさなければなりません。因みに、SIF(Safety Instrumented Function)とは、安全状態を達成または維持するSIS(Safety Instrumented Systems)に実装されるSILが指定された安全機能です。SISとは、動作や、安全と考えられる範囲で緊急停止させる責任を負う安全計装システムになります。さて、SIFには3つの動作モードがあります。まず、低需要モードとはプロセスを特定の安全状態に移行させる要求時のみSIFを実行し、その要求頻度が年1回以下となります。次に、高需要モードはプロセスを特定の安全状態に移行させる要求時のみSIFを実行し、その要求頻度が年1回以上です。最後に、連続モードはSIFが通常運転の一部としてプロセスを安全状態に保持します。以下がその特性値です。

SIL 低需要モード運用:作動要求当たりの機能失敗平均確率 高需要モード、または連続モード運用:1時間あたり危険側故障の平均確率 定性的な結果
1 ≥ 10-2 to <10-1 ≥ 10-6 to <10-5 現場で軽傷が出る可能性
2 ≥ 10-3 to <10-2 ≥ 10-7 to <10-6 現場で重傷もしくは死亡者が出る可能性
3 ≥ 10-4 to <10-3 ≥ 10-8 to <10-7 現場で複数の死亡者が出る可能性
4 ≥ 10-5 to <10-4 ≥ 10-9 to <10-8 地域で死亡事故が起きる可能性

産業システムの危険防止のためには、リスク分析によって特定・分析され、許容レベルに達するまで適切な対策を施す必要があります。これらリスクの許容レベルは、ある期間内に危険な故障が発生する確率という形で安全要件として規定され、SILで表されます。通常、デバイスが特定のSILを満たしているかどうかを確認するために認証制度が使われます。産業用デバイスでは、IEC 61508に準拠した機能安全アプリケーションで使用するための認証が必要であり、開発者はデバイスを含むアプリケーションも準拠していることを証明するために証拠を提示する必要があります。包括的な規格であるIEC 61508は、セグメント固有のユースケースに類似した機器へ適用するために、特定の原則を持っていることに留意する必要があります(図1参照)。たとえば、IEC 61511は安全計装システムの仕様、設計、設置、操作、および維持に関する要求事項を示しており、IEC 61508のプロセス産業向けの安全計装システム用として開発されています。

画像

図1 産業固有の機能安全規格

画像

図2 FMEAアプローチ

セーフティクリティカルなシステムに採用される電子デバイスの設計は、機能安全規格IEC 61508に準拠し、その基礎としてシステムのライフサイクル全体を通して行われます。この規格は7つのパートに分かれており、SIL分析の実施を完全にサポートします。

画像

図3 SIL分析をサポートするIEC 61508

SILを導入した専用安全システムの開発は、大きく分けて次に挙げる開発検証フェーズを経て行われます。仕様検討を含む導入・コンセプトフェーズ、機能評価を含む詳細デザイン・トライアルフェーズ、第三者による検査・検証・認証を含むメイン審査フェーズといったものです。ここには、従来の非安全システム開発にはない技術的要件やプロセスが存在しています。また、システム開発では、様々なマルチベンダーの部品が統合が使われます行われます。開発者の立場から見ると、SILの達成には一連の技術的な課題があります(図4参照)。SILに準拠した機能安全システムでは、ハードウェアの故障により安全機能が正常に動作しなくなることを回避するために故障診断が必要です。故障診断では、機器単体の故障だけでなく、運転中の放射線やノイズなどによるソフトエラーの誤動作を検出し、異常が発生した際にモータを停止させるなどの安全状態に直ちに移行する必要があります。個々の機器の故障診断では、それぞれの機器の故障モードの分析、それを検出する故障検出方法の検討、その検出方法による故障検出率(診断率)を定義します。また、プログラムの実行シーケンスの監視や、冗長セーフティMCUによる相互比較など、システム機能によるソフトエラーの検出も必要です。しかし、セーフティMCUのような複雑なデバイスでは、故障検出方法の検討やその診断率の定義が装置開発者にとって大きな負担となります。さらに、プログラムの実行シーケンスの監視や相互比較に使用するセーフティMCU間の通信方式も、機能安全規格に適した方式で実行する必要があり、これも開発者の大きな負担となっています。

画像
開発者が直面するSIL準拠機能安全認証取得における技術的問題

図4 開発者が直面するSIL準拠機能安全認証取得における技術的問題

以上の制約条件を踏まえ、ルネサスエレクトロニクスはSIL準拠機能安全システム開発を支援する、7つのソリューションをご用意しています(図5参照)。機能安全システムの開発における最初のステップは、仕様を検討するコンセプトフェーズとなり、様々なドキュメントが必要となります。ここで、認証経験のない開発者は一つひとつの項目や記述を記入していかなくてはならず、時間とコストがかかってしまいます。ここでルネサスのサポートは、エンドユーザーの要求に応じて段階的に行われます。

画像

図5 ルネサスの機能安全ソリューション環境

  1. 当社のセルフテストソフトウェアキットは、セーフティMCUをベースにしたエラー検出用の自己診断アプリケーションで、IEC 61508規格で要求されるSIL3レベルを満たす永久故障診断率90%を達成しています。
  2. SIL3システムソフトウェアキットは、クロスモニタリング機能、プログラムシーケンス監視、二重システムの実現に必要な機能を備えています。セーフティMCU診断、プログラムシーケンス監視、二重化セーフティMCUのクロスモニタリングに必要な主要ソフトウェアが含まれており、IEC 61508規格のSIL3認証を既に取得しているため、開発者は本ソリューションをそのままお使いいただけるのです。これらのソリューションを使い、単にセルフテストソフトウェアとSIL3システムソフトウェアキットを設定するだけで、機能安全システムを構築でき、面倒なセーフティMCU診断や二重化セーフティMCU制御開発から解放されます。さらに、ソフトウェアに使われるコンパイラが、機能安全システムを開発する際に妥当であることを証明する必要もあります。
  3. ルネサスは、ルネサスコンパイラ用のRXコンパイラIEC61508認証キット も提供しています。また、IARシステムズ社でもルネサスMCU用のSIL3認証コンパイラを提供しています。
  4. 「リファレンスドキュメント」は、モータドライブの安全システム実装を例に、設計とコンセプトフェーズで必要となる具体的文書を含んでいます。開発者はこれをテンプレートとして、必要な情報のみを記載し、仕様に合わせて容易に修正できます。ハードウェア/ソフトウェアが目標の安全レベルに達しているかどうかを判断するには、ハードウェアの故障率、診断方法、診断率を定義し、信頼性理論に基づく複雑な数式で各種パラメータを計算し、目標の安全レベルに対する基準値を満たしているかどうかを示す必要があります。リファレンスドキュメントには、すべての検証資料の完成見本と、各パラメータの計算方法、計算式の詳細解説がExcel形式で載っています。
  5. 「リファレンスハードウェア」は、二重化セーフティMCUの電源回路など、さまざまな役立つデータを提供しています。二重化構成にすることで、両者間でのプロセスデータ交換が可能となるため、特別な診断用ハードウェアを使わずに動作を確認できるメリットもあります。これらのツールにより、初めて開発される方でも、故障率や診断率などのデータを入力するだけで、安心して開発を進めることができます。また、MCUの周辺機能に関する手法は、ユースケースによって異なるため、参考資料には多様な診断方法を記載しています。

ルネサスのIEC61508向け機能安全ソリューション は、図5を提供する事で、機能安全システム開発の大部分をサポートしています。これには、コンセプトフェーズの仕様検討、故障分析、MCU周りの機能安全に必要な故障解析と診断プログラム、二重化構造と周辺診断、ネットワーク用のシステムレベルの診断ソフトウェア、これらを認証機関に提出するためのドキュメント作成が含まれます。これによって設計者や開発者は、安全システムをご自身で完成させることができます。

産業オートメーションの動きは、IEC 61508で定義されたSILが製造現場において重要であることを浮き彫りにしていますが、実際のシステムに適用するには難しい場合があります。しかしルネサスでは、RXおよびRAファミリという幅広いMCU向けに認証済みソフトウェア、リファレンスボードやドキュメント、を提供していますので、むしろ容易にする実現することができます。これらはすべて、お客様の認証プロセスの加速化を支援するために設計されています。開発者や設計者は、ルネサスのソリューションを採用することで、例えばMCUに関わるソフトウェア開発や認証書類の準備が不要になるため、ご自身のシステム開発のみに集中することができます。そのため、デバイス固有のソフトウェア開発やセーフティMCU診断などの認証作業から解放され、システム開発に時間を費やすことができ、SIL適合の迅速化、そして何よりも総コストの低減を実感じていただけます。

過去の投稿はこちら:

[1] 産業向け機能安全システム開発は信頼できるパートナーと
[2] ルネサスエレクトロニクスと機能安全システム開発を促進
[3] 導入ブログ: ルネサスのSIL3認証済みソリューションを活用して、機能安全設計を加速

この記事をシェアする