概要
安全関連システム(SRS:Safety-related System)を設計する際、機能安全(FS:Functional Safety)規格に準拠したコンポーネントを使用すれば多くのメリットが得られます。しかし、実際のSRSではFS規格に基づいて開発されたわけではないICが使われるケースがほとんどです。というのも、既存のICのうちFS規格に準拠しているものはごくわずかであるからです。結果として、FSを実現しなければならないケースでも、一般的なコンポーネントを使用してSRSの設計が行われています。そのような条件の下でも、システム・レベルの観点から対応を図ることによってFS規格への準拠を達成できるということです。本稿は、本連載の3回目の記事(Part 3)です。今回は、一般的なソリューションとして提供されている監視ICの中から、FSの実現に不可欠なものを選択する方法について説明します。製品の選択に当たっては、安全性を確保するために役立つ価値の高い機能を備えているか否かに注目する必要があります。
はじめに
本連載のPart 1では、FS規格への準拠に向けて診断機能がどのような役割を果たすのかを明らかにしました。SRSでは、電圧監視ICをはじめとする監視回路が診断を実施するための重要な要素になります。FS規格に準拠するためには、システマティック故障への対応能力、信頼性の予測、アーキテクチャ制約の3つが主要な要件になります。それらの要件を満たすことで、FS規格への準拠度を高めることができます。システマティック故障への対応能力は、概念化から廃止まで、製品/サービスのライフサイクル全体にわたって品質管理が有効に機能するか否かを評価するために役立ちます。システマティック故障の発生を回避するためには、厳格な開発プロセスを採用することが1つの目標になります。また、そのような障害を制御する上では診断が非常に重要な意味を持ちます。一方、信頼性の予測は、時間に対するSRSの故障の可能性を判断するために利用されます。そして、アーキテクチャ制約は、ハードウェア・フォルト・トレランス(HFT:Hardware Fault Tolerance)と安全側故障割合(SFF:Safe Failure Fraction)のトレードオフを明らかにする上で役に立ちます。その中でも診断が重要な要素として活用されます。ここで、HFTとは障害を許容する能力のことです。一方、SFFは安全な状態において安全機能が故障する傾向を表す指標です。
また、本連載のPart 2では、FS規格に準拠する診断機能を用いることでSRSの設計を改善する方法について説明しました。その中で、以下に示す6つをポイントになる事柄として挙げました。
- 独自のFMEDA(Failure Modes Effects and Diagnostics Analysis)の情報を備えている
- 複数の診断機能を網羅する統合型の(IC化された)安全機能を備えて
- ランダム・ハードウェア故障を検出するための独自の診断機能をオンチップの形で備えている
- IEC 61508の今後の改訂に対応できる
- 他の国/地域の安全規格や指令について考慮されている
- FSの評価を容易化できる
FS規格に準拠する診断機能には、このような多くの長所があります。それにもかかわらず、システム設計者はFS規格に準拠していないコンポーネントを選択するケースが少なくありません1。そうしたコンポーネントには、アナログ・デバイセズが提供するFS対応の製品や、評価済みのFS機能を備えた製品も含まれています。ただ、市場で提供されている監視回路のソリューションは数多く存在します。そのため、その中から適切なものを選択するのは容易ではありません。したがって、コンポーネントがFS規格に準拠しているか否かにかかわらず、どの診断機能がFSの実現に不可欠なのかを明確にすることが重要です。そこで、今回(Part3)はSRS向けの診断機能を設計する際に役立つ、安全性を高めるための4つの重要な機能を紹介します。その上で、FS規格の準拠に向けて、それぞれの機能がどのような役割を果たすのかを明らかにします。
電源の監視
IEC 61508:2010は、非常に基本的なFS規格です。その第2部には、電源に関連する2つの重要な要件が示されています2。1つ目の要件は、診断カバレッジ(DC:Diagnostic Coverage)とSFFに関するものであり、IEC 61508:2010の表A.1に示されています。具体的には、ランダム・ハードウェア故障の影響を定量化する場合、またはSFFを計算する場合に考慮すべき障害または故障について規定されています。また、表A.9には達成可能な最大DCと共に、推奨される診断テストの手段が示されています。もう1つの要件は、表A.15から表A.17に提示されています。それらの表は、各安全度水準(SIL:Safety Integrity Level)に対応し、システマティック故障の制御に用いるべき手法/手段についてまとめたものです。例えば、表A.16には、電圧のブレークダウン、電圧の変動、過電圧(OV:Overvoltage)、低電圧(UV:Undervoltage)などに関する診断の手段が提示されています。
IEC 61508-2の表A.1によれば、ランダム・ハードウェア故障の影響を定量化する際に縮退故障を想定した場合には60%の(低い)DCを主張できます。それに対し、DCのフォルト・モデルやドリフト/振動を想定すると99%の(高い)DCを主張できます。ここで、縮退故障とは、ICのピンから0(ロー)または1(ハイ)が継続して出力される故障のことを指します。DCのフォルト・モデルには、縮退故障、スタック・オープン故障、オープン故障、高インピーダンス出力、信号線間の短絡といった故障モードが含まれています。
IEC 61508-2の表A.9には、電源の欠陥に起因する故障を検出したり、それに耐えたりするために推奨される診断の手段について記載されています。例えば、安全な遮断や第2の電源ユニットへの切り替えといったOV保護技術を用いた場合、低いDCを主張できます。また、安全な遮断や第2の電源ユニットへの切り替えを伴うパワーダウン技術を用いれば、高いDCを主張することが可能です。このような形で、表A.9には様々な事柄が記されています。表1に、その一例を示しました。
| 診断の手段 | 達成可能な最大DC |
| 安全な遮断機能によるOV保護 | 低 |
| 電圧の制御(2次) | 高 |
| 安全な遮断機能による電源の停止 | 高 |
そうした診断用の推奨手段では、電源を監視するための適切な機能を使用することが重視されています。例えば、必要な時間内にOVやUVの状態を適切に検出し、システムを安全に停止させるためのトリガ信号を提供する機能などが重要になります。システムを停止する際には、パワーダウンのルーチンを実行するか、第2の電源ユニットへの切り替えを実施する必要があります。
監視の精度
OV/UVの検出機構を設計する際には、電源の監視に使用するパラメータを設定する必要があります。最初に検討すべきことは、許容範囲を表すウィンドウと閾値の精度についてです。ウィンドウ電圧監視ICの許容誤差(許容範囲ウィンドウ)は、公称値に対するパーセンテージの形でUV/OVの閾値を設定することにより規定します。例えば、ウィンドウ電圧監視ICの公称電圧が1Vで許容範囲ウィンドウがその±3%であったとします。その場合、UVの閾値は1V×0.97、OVの閾値は1V×1.03に設定されることになります。但し、実際の監視ICでは、UV/OVの閾値に対して閾値精度と呼ばれる許容範囲の仕様が設けられています。この閾値の精度は、監視ICが公称閾値(理想的な閾値)からどれだけ逸脱した状態を許容するのかということを表します。
図1は、上記のパラメータについてまとめたものです3。電源監視IC「MAX16193」を例にとり、その閾値の精度について説明しています。この精度は、SRSの設計に影響を及ぼします。この例では、FPGAを正常に動作させるためのコア電圧VCOREの公称電圧が1.1Vであると想定しています。このFPGAを正しく動作させるためには、VCOREの値を1.07V~1.13Vの範囲に収めなければなりません。実際の供給電圧が仕様の範囲を外れる(1.07V未満になるか1.13Vを超える)前に、MAX16193はコア電圧のリセットをアサートする必要があります。図1に示すように、MAX16193のOV/UVの閾値は±2.4%という許容誤差の範囲に設定されています。ここで、MAX16193の閾値の精度は±0.3%です。そのため、同ICはOV側では1.1231V、UV側では1.0769Vの電圧レベルでトリップする可能性があります。なお、電圧監視ICの精度が±1%と低い場合には、OV側では1.1151V、UV側では1.0843Vというはるかに早い段階でトリップしてしまいます。そのような設計では、より高精度の電源が必要になるでしょう。また、誤ったトリップが発生する可能性も否定できません。逆に、電圧監視ICの閾値の精度が高ければ、電源の仕様が緩和されます。それだけでなく、誤ったトリップの発生を最小限に抑えることが可能になります。
出力のメカニズム
OV/UVを検出するためのパラメータの値を決定したら、続いては電圧監視ICの出力応答について検討します。図2に示すような回路により、システムを安全に遮断するための処理をトリガする出力信号について考える必要があるということです。例えば、ステータス信号をアサートしてパワーダウンのルーチンを開始したり、第2の電源ユニットに切り替えたり、トランジスタ(スイッチ)のゲートを駆動して安全性の面で重要な後段の回路への電源のパスを遮断したりするといった具合です。TÜV SÜDによれば、OVのイベントが発生した後にマイクロコントローラ(MCU)をリセットするのは適切ではありません。そうではなく、UVのイベントが発生し、それが持続しない場合にだけマイクロコントローラをリセットすることを推奨しています4。OVのイベントは、マイクロコントローラの一部を目立たない形で損傷させる可能性があります。そのため、スイッチのオフ、動作範囲の拡大など、OVのイベントに対処するための追加の手段を設けることが推奨されます。
障害の状態を表す信号
ここで、出力メカニズムの最初の例を紹介します。それは、監視の対象となる電源(または信号)の状態を伝えるために使用されるステータス信号です。例えば、図2に示した回路では、12Vの入力(電源電圧)の異常が検出されると、POKの信号がアサートされます。それにより、異常を検出したことを表す信号がマイクロコントローラに送信されます。その結果、マイクロコントローラのリセットが必要になります。
ゲートの駆動
続いて、出力メカニズムの例をもう1つ紹介します。それは、保護/絶縁を目的としてトランジスタを制御するために使用されるゲートの駆動信号です。図2の回路は、このゲートの駆動信号も出力できます。通常の状態では、同信号によってトランジスタをオンにすることで電源電圧を後段の回路に供給します。一方、OVが発生した際には、後段の回路を保護するためにトランジスタをオフにして電源回路の入力を遮断します。このようにして、システムの安全性を確保します。最適な性能を得るには、ゲートの駆動に関連するパラメータの値を適切に設定する必要があります。それだけでなく、適切なMOSFET5を選択することも重要です6。
出力動作
機能安全(FS)を実現するための設計においては、出力動作も重要な要素になります。出力動作は障害が発生した際のシステムの動作に影響を及ぼすからです。ここで言う出力動作には、ラッチ型と非ラッチ型の2種類があります。ラッチ型のモードでは、電源の再投入が行われるか、他の監視回路のようにクリア・ラッチ信号がトリガされない限り、出力が永続的にアサートされます。ロード・ダンプ/逆電圧保護IC「MAX16126」はラッチ型の製品であり、このように動作します。それに対し、非ラッチ型のモード(常に自動リトライが実行されるモード)では、障害の問題が解消されると、システムが自動的にデアサートされます。
それ以外に考慮すべき事柄
FSを実現するためには、出力のトポロジと極性についても検討する必要があります。多くのICでは、それらのオプションによって動作が異なるので注意しなければなりません。例えば、障害の状態を表すステータス信号用にオープンドレインのトポロジを採用すれば、電圧監視ICの入力(電源電圧)と後段の回路を分離できます。極性についても配慮が必要です。例えば、ブレーキや緊急停止といった安全性の面で重要な機能向けには、アクティブ・ローのリセット信号を使用するとよいでしょう。そうすれば、制御信号に障害が発生した場合でも、システムはデフォルトで安全な状態に維持されます。それに対し、極性がアクティブ・ハイである場合、電源に障害が発生すると大きな問題が生じる可能性があります。
オンチップの診断機能
オンチップの診断機能とは、ICが自身の内部で発生している故障を検出する機能のことです。これは、例えばBIST(Built in Self Test)7、8、9のように、ICが内蔵する安全機構によって実現されます。そうした安全機構を活用することで、自己テストや定期テストを実施することが可能になります。例えば、電圧監視IC「MAX16138」のBIST機能は、電源の投入時にも通常動作時にも起動できます。その機能によって、同ICは内部のコンパレータやデジタル回路のチェックを自動的に実施します。結果として、ランダム・ハードウェア故障の発生確率が低減されます。また、同ICにおける危険側故障の発生確率も低減することが可能になります8。
基本的なFS規格であるIEC 61508-2では、DFT(Design for Testability)の導入を推奨しています。その目的は、SRSの設計/開発中に、検出しにくい障害の原因が作り込まれるのを防ぐことです。上述したBISTのハードウェア構造もDFTの一種です。BISTでは、テスト用のデータを生成し、それをテストの対象となる回路 (CUT:Circuit under Test) に入力します。それによって得られる出力応答を収集し、その内容が適切であるか否かを検証します9。図3に示したのは、BIST用の回路構成の一例です7。IEC 62566、IEC 60987、IEEE 379、IEEE 7-4.3.2、NUREG/CR-7006といった他の標準規格でも、同様のDFTを導入することを求めています。特にNUREG/CR-7006では、FPGAベースのシステムの健全性を監視するためにBISTを組み込むことが推奨されています9。計測/制御システム向けのBIST用ロジックを使用すれば、バスの動作、エラー・データの発生、タイムアウトなどの機能全体を監視することが可能になるからです。
オンチップの診断機能は、RAMのテスト、フラッシュ・メモリのCRC(Cyclic Redundancy Check)、出力テストなどにも適用できます。これらのテストは、システムが起動する度に実行されます。診断の手段の妥当性検証や、安全性の分析における故障検出時間の検証などにも用いられる重要な機能です4。したがって、このような診断手段の動作に関する情報は、すべて安全マニュアルに記載する必要があります。
BISTをはじめ、オンチップの診断機能を備えるコンポーネントは、コンポーネント・レベルおよびシステム・レベルの実装の改善に貢献します。結果として、FS規格への準拠度を高めることができます。
ウォッチドッグ・タイマーのアーキテクチャ
電源やSRSでは、マイクロコントローラが広く使われています。そうしたなか、高性能の電圧の監視に関連してもう1つの安全機能に注目が集まるようになりました。それがウォッチドッグ・タイマー(WDT:Watchdog Timer)です。WDTは、システムのフェイルセーフ機構または他の手段が働かなくなった場合の最後の防御手段として機能します。このことは歴史的に証明されています。安全性が重視されるアプリケーションでマイクロコントローラを使用する場合、WDTは特に役に立ちます。
WDTは、ハードウェアの設計や、環境からのストレスあるいはその影響によって引き起こされるシステマティック故障を対象とした診断の手段として利用できます。それによる効果は、プログラムのシーケンスの監視に関するIEC 61508の要件に合致します。IEC 61508-2:2010の表A.15、表A.16を見ると、SILやDCにかかわらずWDTの活用が強く推奨されていることがわかります。
マイクロコントローラが内蔵するWDTだけでなく、外付けまたは独立したWDT(通常は監視ICの形態)も安全性を高めるために広く使われます。その目的は、CCF(Common Cause Failure)を排除すると共に、マイクロコントローラが故障した場合でも安全機能が確実に作動するようにすることです。図4に、SRSにおけるWDTの活用例を示しました。この構成は、WDTとマイクロコントローラに関するTÜV SÜDの見解とも一致しています4。
表2、表3は、それぞれIEC 61508-2の表A.10、表A.11に対応するものです。これらの表には、プログラムのシーケンスとクロックのそれぞれに対してWDTを適用した場合に達成可能だと考えられる最大DCが示されています。WDTの種類ごとに、個別の時間ベースがある場合、時間ウィンドウがある場合とない場合についてまとめられています。これらの表によれば、シンプルなWDTを使用してプログラムのシーケンスとクロックの障害を診断する場合、最大60%~90%のDCを主張できることになります。一方、ウィンドウを備えるWDTを使用してプログラムのシーケンスを診断する場合は90%~99%、クロックを診断する場合には少なくとも99%のDCを主張することが可能です。このような主張は、安全性の分析とメトリックスの計算にDCを用いるFMEDAを実施する際に役立ちます。
| 診断の手法/対象 | 達成可能な最大DC |
| 時間ウィンドウがなく個別の時間ベースを備えるWDT | 低 |
| 個別の時間ベースと時間ウィンドウを備えるWDT | 中 |
| プログラムのシーケンスの論理的な監視中 | 中 |
| プログラムのシーケンスの時間的な監視と論理的な監視の組み合わせ | 高 |
| オンラインのチェックによる時間的な監視中 | 中 |
| 診断の手法/対象 | 達成可能な最大DC |
| 時間ウィンドウがなく個別の時間ベースを備えるWDT | 低 |
| 個別の時間ベースと時間ウィンドウを備えるWDT | 高 |
| プログラムのシーケンスの論理的な監視 | 中 |
| プログラムのシーケンスの時間的な監視と論理的な監視 | 高 |
| オンラインのチェックによる時間的な監視中 | 中 |
表2、表3に示すように、WDTのアーキテクチャ10とアプリケーションに応じて最大DCは異なります。特に、ウィンドウを備えるWDTを使用すれば、シンプルなWDT(ウィンドウは使わない)を使用する場合と比べて故障カバレッジ11が高くなります。結果として、ウィンドウを備えるアーキテクチャを採用したWDTを使用する方が最大DCも高くなります。
まとめ
本稿の主な目的は、FS規格に準拠しているかどうかにかかわらず、SRSを設計する際に重要な電圧監視ICのいくつかの機能についての知見を提供することです。今回は、FS規格と外部評価者の観点から、電源の監視精度、出力メカニズム、オンチップの診断機能、WDTのアーキテクチャの重要性について解説しました。また、SRSの設計に必要な各診断機能について、それに対応するアーキテクチャの例を示した上で設計時に考慮すべき事柄を指摘しました。
次回は、プログラムのシーケンスを監視するためにWDTを使用する方法について説明します。
参考資料
1 Bryan Borres、Rachele Diane Yco「Power You Can Trust: Supervisory Circuits for Industrial Functional Safety Systems(信頼できる電源 - 産業分野向けの機能安全システムに最適な監視回路)」Analog Devices、2024年11月
2 「IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems(IEC 61508 電気・電子・プログラマブル電子安全関連系の機能安全 - 全パート)」International Electrotechnical Commission、2010年
3 Noel Tenorio、Camille Bianca Gomez「Optimize Power-Supply Performance with a High-Accuracy Window Monitor(高精度のウィンドウ電圧監視ICにより、電源の性能の最適化を図る)」 ElectronicDesign、2025年1月
4「Top Misunderstandings About Functional Safety(機能安全に関するよくある誤解)」TÜV SÜD
5 「Selecting the Right N-Channel MOSFET for the MAX14922 for High-Side Industrial Output Applications(産業用のハイサイド出力アプリケーション向けに、MAX14922に最適なNチャンネルMOSFETを選択する)」Analog Devices、2021年4月
6 Sanket Sapre「絶縁型ゲート・ドライバとは何か、なぜ必要なのか、どう使うのか?」Analog Dialogue、Vol. 52、2018年6月
7 Brian Harrington「BIST for Analog Weenies(アナログ回路向けのBIST)」Analog Dialogue、Vol. 42、2008年2月
8 Lee Harrison「How to Meet Functional Safety Requirements With Built-In-Self-Test(BISTによって機能安全の要件を満たす方法)」Semiconductor Engineering、2020年6月
9 Zequn Lin、Lingzhi Wang、Yuanfeng Cai、Fanyu Wang、Yichun Wu「Implementation of a Built-in Self-Test for Nuclear Power Plant FPGA-Based Safety-Critical Control Systems(原子力発電所で使用する安全性が重要なFPGAベースの制御システムにBIST機能を実装する)」Annals of Nuclear Energy、Vol. 165、2022年1月
10 「Basics of Windowed Watchdog(ウィンドウを備えるウォッチドッグの基本)」Analog Devices、2021年12月
11 Ashraf M. El-Attar、Gamal Fahmy「A Study of Fault Coverage of Standard and Windowed Watchdog Timers(標準型/ウィンドウ型ウォッチドッグ・タイマーの故障検出率に関する研究)」IEEE International Conference on Signal Processing and Communications、2007年
