質問:
高性能の監視回路を使用して、産業分野向け機能安全規格への準拠度を高めたいと考えています。具体的にはどのようにすればよいのでしょうか?
回答:
高性能の電圧監視ICの中には、非常に有用な安全機能を内蔵しているものがあります。IEC 61508に準拠したシステムを設計したい場合には、その種の製品が役に立ちます。IEC 61508は、プロセス産業向けの機能安全規格です。同規格は、定量的な信頼性、アーキテクチャ制約、システマティック安全度に関する要求事項(要件)を定めています。安全機能を備える電圧監視ICを採用すれば、それらの要件を満たしてシステムの性能を高めることができます。
はじめに
産業分野で運用されるアプリケーションの場合、何らかの故障が生じると、人、財産、環境に危害が及ぶ可能性があります1。そのため、機能安全規格に準拠したセーフティ・クリティカル(安全性が非常に重要)なアプリケーションの実現が求められます。実際、多くの技術者は、機能安全規格の認証を得られるように製品の設計を行っています。その目的は、顧客が自信を持ってその製品を使用できるようにすることです。また、メーカーの立場から言えば、安全規制のある国でその製品を販売できるようにすることも重要です。更に、機能安全の市場動向を先導する企業としての立場を確立することも目的の1つだと言えるでしょう。本稿では、IEC 615083のような機能安全規格への準拠度を高める方法について説明します。特に、高性能の監視回路2を採用することで得られるメリットについて詳しく解説します。なお、この連載では、産業分野向けの機能安全規格に準拠するための監視回路の活用方法を解き明かしていきます。本稿はその1回目の記事(Part 1)です。
機能安全規格とは何なのか?
IEC 615083は、「電気・電子・プログラマブル電子安全関連系(E/E/PE SRS:Electrical/Electronic/Programmable Electronic Safety-Related System)の機能安全」という名称でも知られています。この規格は、あらゆる種類のE/E/PE SRSの仕様や設計、運用に関する全般的な要件を明確にすることを目的としたものです。図1に示すように、このIEC 61508を基盤として様々な分野別規格が策定されています。そのため、あらゆる産業分野でIEC61508への準拠が求められることになります。具体的には、プロセス産業(IEC 615114)、機械(IEC 620615)、原子力発電(I EC615136)、自動車(ISO 262627)、鉄道輸送(IEC 622798)、医療用機器10(IEC 623049)などの分野が対象になります。
それぞれの分野別規格は、常にIEC 61508よりも優先されます。ただ、多くのSRSでは、機能安全規格への準拠が証明されたコンポーネントを使用することが求められるはずです。この要求に応えるためには、以下のうちいずれかの手法を採用することになるでしょう。
- ISO 262627のような分野別規格に従ってコンポーネントを開発する
- Proven-In-Use3(使用実績による証明)を論拠として使用する
- IEC 61511などの基盤になるIEC 61508に従う11
- 標準的なコンポーネントを使用しつつ、アーキテクチャの面で追加の策を講じる
SISとは何なのか?
IEC 61508のE/E/PE SRSは、分野ごとに異なる名前で呼ばれています。例えば、プロセス産業分野では安全計装システム(SIS:Safety Instrumented System)という名称が使われます。同様に、機械分野では安全関連電気制御システム(SRECS:Safety-related Electrical Control System)、原子力発電分野では計装制御(I&C:Instrumentation and Control)システムと呼ばれています。本稿では、これらのシステムの総称としてSISという用語を使用することにします11。
図2は、一般的なSISのブロック図です。このように、SISは少なくとも1つの安全計装機能(SIF:Safety Instrumented Function)を備えています。SIFは、IEC 61508では安全機能(Safety Function)とも呼ばれますが、本稿ではSIFという用語を使用することにします。SIFは、入力サブシステム、ロジック・ソルバ・サブシステム、操作端サブシステムによって構成されます。これらのサブシステムは、必要に応じて被制御機器を安全な状態に移行させることを目的としたものです。ここで、被制御機器(EUC:Equipment Under Control)とは、SISによって保護されるシステムのことを指します。図3は、一般的なSIFのブロック図です。入力サブシステムは、少なくとも1つのセンサーを内蔵しています。そして、同サブシステムは故障を検出するための監視システムとして機能し、監視の結果となる信号をロジック・ソルバ・サブシステムに送信します。ロジック・ソルバ・サブシステムは、受信した信号を処理し、次に行う処理を決定します。その決定に即して、操作端サブシステムに対し、回路ブレーカ、リレー、遮断弁などの作動装置によってSISを安全な状態に移行させることを要求します11。
図3に含まれる監視回路2は、SISにとって特に重要なものです。まず、入力サブシステムの監視回路は異常を検出する役割を果たします。また、ロジック・ソルバ・サブシステムの監視回路は、電源やマイクロコントローラの機能/信号の障害を検出します。あるいは、監視回路がSIFそのものとして機能し、リセット信号によってシステムを安全な状態に移行させることもあります。
高性能の監視回路を活用し、機能安全規格への準拠を実現する
IEC 61508に対する準拠の度合いは、安全度水準(SIL:Safety Integrity Level)によって定量化することができます。各SIFは、SILによってレーティング(格付け)されます。つまり、各SIFがリスク管理の観点から見てどの程度適切に役割を果たすのかということがSILによって示されます。IEC 61508では、SIL 1からSIL 4までの4つのレベルを規定しています。最も信頼性が高いのはSIL 4です。通常、最初に行われるのは、ハザード(潜在的な危険)に関する分析とリスクの評価です。それにより、必要なSIFを把握します。続いて、リスク低減係数、つまりは必要なSILのレーティングを把握します。この方法については、稿末に参考資料12として示した「Process Safebook 1」を参照するとよいでしょう。この資料には、リスクマトリックス(評価表)のキャリブレーションに関する情報などが記載されています。
特定のSILには、3つの要因に依存する独自の要件が存在します3、11、13。3つの要因とは、定量的な信頼性に関する要件、アーキテクチャ制約、システマティック安全度です。以下では、これらの要因について詳しく説明します。特に、診断に関する要件を通して、IEC 61508への準拠を実現する上で監視回路がどのように役立つのか解説していきます。
定量的な信頼性に関する要件
IEC 61508-1の7.6.2.9項では、SIFの目標故障指標に関するSILが規定されています。表1は、その規定における安全度の要件についてまとめたものです。表中のPFDavgは、低頻度作動要求モードにおいて安全機能が要求される際の危険側故障確率の平均値を表しています。一方、PFHは、高頻度作動要求モードまたは連続モードにおいて安全機能が要求される際の危険側故障確率の平均値(単位時間当たり)です。
SIL | 低頻度作動要求モード(PFDavg) | 高頻度作動要求モードまたは連続モード(PFH) |
SIL 4 | 10-5以上、10-4未満 | 10-9以上、10-8未満 |
SIL 3 | 10-4以上、10-3未満 | 10-8以上、10-7未満 |
SIL 2 | 10-3以上、10-2未満 | 10-7以上、10-6未満 |
SIL 1 | 10-2以上、10-1未満 | 10-6以上、10-5未満 |
ランダム・ハードウェア故障の平均確率には、いくつかの要因からの影響が及びます。いくつかの要因というのは、診断テストのカバレッジ、診断テストの間隔、検出されない危険側故障率(λDU)のことです3、14、15。ここで、検出されない危険側故障というのは、システムの診断では検出できず、プルーフ・テスト(図4)だけによって特定できる故障のことを指します。この故障に対する有効な手段になるのが監視回路です。すなわち、監視回路は診断の手段として機能し、危険側故障の検出に貢献します。それにより、その種の故障に起因する問題の発生確率を低減することが可能になります。監視回路は、検出されない危険側故障を、検出可能な故障に変換するものだと言えるでしょう。
アーキテクチャ制約
定量的な信頼性に関する要件に加え、IEC 61508ではSISの堅牢性と構造に関する要件も規定しています。設計者は、ハードウェアのアーキテクチャを選択する際、このアーキテクチャ制約について検討しなければなりません。IEC 61508-2の7.4.4項によれば、SILへの準拠を示すために使用できるルートの1つはRoute 1Hです。このルートは、ハードウェア・フォルト・トレランス(HFT:Hardware Fault Tolerance)と安全側故障割合(SFF:Safe Failure Fraction)の概念に基づいています。
アーキテクチャ制約については、要素の複雑さと種類(タイプ)を考慮する必要があります。タイプAの要素、つまり単純なコンポーネントについては、故障モードが明確に定義されています。フォルト状態における挙動を予想可能であり、検出されない危険側故障率として求められる値を満たすことを示す信頼できるデータが存在します。これに該当しない複雑なコンポーネントは、タイプBの要素だと見なされます。
表2は、タイプBの要素に関する要件をまとめたものです。この表では、ICなどの電子システムを例にとっています。SFFは、安全な方向に向かって故障する要素の傾向を表す指標です。それに対し、HFTがNであるということは、安全機能の喪失を引き起こす可能性があるフォルトの最小数がN + 1だということを意味します。つまり、一定の量の冗長性が求められています。仮にシステムのHFTが0であるとすると、1つの故障によって安全機能が失われる可能性があります。HFTが1の場合、2つの故障が発生したときに安全機能が失われる可能性があります。
SFF | HFT | ||
0 | 1 | 2 | |
60%未満 | 不可 | SIL 1 | SIL 2 |
60%以上、90%未満 | SIL 1 | SIL 2 | SIL 3 |
90%以上、99%未満 | SIL 2 | SIL 3 | SIL 4 |
99%以上 | SIL 3 | SIL 4 | SIL 4 |
SFFは、数学的には以下の式で表すことができます。
ここで、λは故障率、SDは検出可能な安全側(前掲の図4)、SUは検出されない安全側、DDは検出可能な危険側、DUは検出されない危険側を表します。
もう1つ診断カバレッジと呼ばれる指標があります。これは、以下の式で表されます。
この診断カバレッジという指標は、危険側故障について明らかにする上でSISの診断手段がどのくらい有効なのかを評価するためのものです。そして、これは前述したシステムの信頼性の定量化に影響を及ぼします。また、式(1)、式(2)からSFFとの関連性が存在することがわかります。IEC 61508-2の付録Aには、最大診断カバレッジとして主張(表明)できる許容値を決定する方法が示されています。これについては、ランダム・ハードウェア故障を検出するための様々な手法/手段を使用することにより主張することが可能になります。
表3は、IEC 61508で定められた診断カバレッジの区分(レベル)についてまとめたものです。
診断カバレッジ | 指定 |
60%未満 | なし |
60%以上、90%未満 | 低 |
90%以上、99%未満 | 中 |
99%以上 | 高 |
一方、表4はIEC 61508-2付録Aの表A.1から一部抜粋したものです。この表では、ランダム・ハードウェア故障の影響を定量化する際に想定すべきフォルトや故障、またはSFFの導出において考慮すべきフォルトや故障について説明しています。診断カバレッジの高さを主張するには、診断カバレッジのフォルト・モデルが必要になることに注意してください。診断カバレッジのフォルト・モデルには、閉固着フォルト、開固着、開放/高インピーダンス出力、信号ライン間の短絡といった故障モードが含まれます。これらは、すべて過電圧(OV)モニタや低電圧(UV)モニタといった監視回路によって検出することが可能です。
ディスクリートのハードウェア | 診断カバレッジに関連する要素に対する要件 | ||
低(60%) | 中(90%) | 高(99%) | |
デジタル入出力 | 閉固着 | 診断カバレッジのフォルト・モデル | 診断カバレッジのフォルト・モデル、ドリフトと発振 |
アナログ入出力 | 閉固着 | 診断カバレッジのフォルト・モデル、ドリフトと発振 | 診断カバレッジのフォルト・モデル、ドリフトと発振 |
電源 | 閉固着 | 診断カバレッジのフォルト・モデル、ドリフトと発振 | 診断カバレッジのフォルト・モデル、ドリフトと発振 |
ここまでに説明したように、IEC 61508ではSIFのHFTとSFFに応じてSILの要件を規定しています。SFFと診断カバレッジのパラメータは、システムのフォルト検出能力に強く依存します。そのため、監視回路の追加といった形で診断の手段を改善することにより、SIFにおけるSILのレーティングを高めることができます。
システマティック安全度
システマティック安全度に関する要件は、その性質上、定性的なものになります。故障を排除する上で、システムの開発プロセスがどの程度優れているのかを評価することになるからです。その評価のためには、ハードウェア/ソフトウェアの設計、製造、テストの手順について徹底的に精査しなければなりません。SILが高くなるほど厳しい精査が必要です。また、規格への準拠を証明するためにコンポーネントのメーカーが提供しなければならないドキュメントの数もより多くなります。
SISの安全ライフサイクルでは、様々な段階でシステマティック故障を排除するための策を講じるべきです。IEC 61508では、設計者が、適用可能であるなら実施しなければならない複数の手法/対策を示しています。これについては、IEC 61508-2の表A.16にまとめられています。表5は、その一部を抜粋したものです。この表は、環境からのストレスや影響によって引き起こされるシステマティック故障を抑制するために必要な手法/対策について説明しています。表中のMは「必須」、HRは「強く推奨」、Rは「推奨」を意味します。それらの下に記載されているのは、こうした診断手段を取り入れるために必要な労力のレベルです。例えば、SIL3のレーティングでは、電圧モニタなどの電圧変動対策を採用することが「必須」です。一方、診断カバレッジが90%以上でなければならない場合には、ウォッチドッグ・タイマーなどによるプログラムされたシーケンスに基づく監視機能を適用することが「強く推奨」されます。
手法/対策 | SIL 1 | SIL 2 | SIL 3 | SIL 4 |
電圧のブレークダウン、電圧の変動、過電圧、低電圧、危険側故障につながる可能性があるAC電源の周波数変動などの現象に対する対策 | M 低 |
M 中 |
M 中 |
M 高 |
プログラムされたシーケンスに基づく監視 | HR 低 |
HR 低 |
HR 中 |
HR 高 |
温度上昇への対策 | HR 低 |
HR 低 |
HR 中 |
HR 高 |
信号ラインの断線や短絡を検出するための対策 | R | R | R | R |
コードの保護 | R 低 |
R 低 |
R 中 |
R 高 |
システマティック安全度の要件については、もう1つ鍵になる事柄があります。それは優れた品質マネージメント・システム(QMS:Quality Management System)です。これについては、ISO 9001:2015で定められたQMSの認証を得ることにより、適切であることを証明できます16。IEC 61508は、安全ライフサイクルの全体と機能安全の評価に関する要件を定義しています。その大部分は、安全ライフサイクル全体に対するISO 9001の要件と一致しています。このことから、QMSの認証を取得していれば、認証を得るためのプロセスを加速できるということになります17。組織によっては、IEC 61508のような機能安全規格に独自に適応するといった形で機能安全に対する戦略を立案しているところもあるでしょう。QMSの認証取得は、それに並ぶレベルのものです。
統合型のソリューションにより、機能安全対応の設計を改善する
機能安全規格に準拠したシステムを設計するには、ここまでに説明した要件について慎重に検討する必要があります。その上で適切な安全対策を講じ、故障が発生した際に信頼性の高い安全な動作を確保できるようにすることが重要です。但し、そうすると回路コンポーネントの数が増加し、コストの増大を招く可能性があります。この問題に対応するための有効な策は、安全を確保するための機能を統合したコンポーネントを採用することです。そうすれば、システム・レベルの実装を簡素化することができます。また、必要なコンポーネントの数が減るので、システムの信頼性が向上します。更に、診断テストの間隔を狭めつつ診断カバレッジを高めることができます13。ここで図5をご覧ください。この回路では、ディスクリート構成の監視回路ではなく、安全を確保するための複数の機能を1つのパッケージに統合したICを使用しています。具体的には、統合型のソリューションとして、アナログ・デバイセズのパワー・システム・モニタ「MAX42500」を採用しています。それにより、セーフティ・クリティカルな回路において十分な診断カバレッジを得ることができます。同ICは、電圧のブレークダウン、電圧の変動、過電圧、低電圧、危険側故障につながる可能性があるAC電源の周波数変動などの現象、プログラムされたシーケンスに基づく監視機能に関する要件に対応しています。そのため、同ICは、機能安全規格に準拠した設計の実現に大きく貢献します。IEC 61508では、1つ目の重要な要件として、すべてのセーフティ・クリティカルな電圧レールにUV/OVの検出機能を設けることを求めています。また、強調すべき2つ目の要件として、シングルチャンネルのシステムにおける標準的なマイクロコントローラにはウォッチドッグ・タイマーを別途用意する必要があるとしています。MAX42500を適用すれば、これら2つの重要な要件を満たすことができます。同ICは、7つの電源モニタとI2Cベースの通信に対応するウォッチドッグ・タイマーを備えているからです。
もう1つ考慮すべきことがあります。機能安全規格の認証を得るためには、規格に準拠していることを証明する安全ドキュメントが必要になります。MAX42500など、IEC 61508に準拠している(または認証を得ている)製品であれば、既にこれに対応していることになります。すなわち、安全マニュアルや、FMEDA(Failure Modes Effects and Diagnostics Analysis)に関するドキュメント、優れたQMSに関するドキュメントなどが入手可能な状態にあるということです。図5の回路で使われている電圧モニタ「LTC2965」や保護用コントローラ「LTC4365」は、IEC 61508には準拠していません。ただ、これらの製品も、IEC 61508の最新版の内容を踏まえてシステムの診断カバレッジと堅牢性を向上するために使用できるようになっています。但し、開発したシステムについて機能安全規格の認証を得るためには、安全ドキュメントを別途取得する必要があります。
まとめ
本稿では、産業分野向けの機能安全規格への準拠を目指す上で、高性能の電圧監視ICが果たす重要な役割について解説しました。重要なのは、基本的な機能安全規格であるIEC 61508と、それが分野別規格に与える影響について深く理解することです。本稿では、この点を重視して解説を進めたので、規格に準拠するための素地が整ったはずです。また、本稿では、SIS、SIF、SILといった重要な用語の定義を明確化しました。加えて、定量的な信頼性、アーキテクチャ制約、システマティック安全度など、IEC 61508で順守が求められる要件についても掘り下げました。それにあたっては、電源モニタやウォッチドッグ・タイマーといった高性能の監視回路を採用する場合の効果に重点を置いて解説を進めました。更には、システム設計のより広範な側面について考慮できるよう、MAX42500に代表される統合型ソリューションの活用方法も紹介しました。それらのICは、機能安全規格に準拠するための手段になるだけでなく、システムの信頼性を高めるための有用なソリューションにもなります。産業用システムの安全性と信頼性を確保するためには、高性能の電圧監視ICを積極的に活用するべきです。本稿により、その理由をご理解いただけたでしょう。
次回は、セーフティ・クリティカルなアプリケーションで使用する電源システムの話題を取り上げます。機能安全規格への準拠を目指して電源システムを設計する際には、SILのレーティングに対応する電圧監視ICをぜひ採用すべきです。Part 2では、これについて詳しく説明します。
参考資料
1Tom Meany「機能安全はインダストリ4.0に何をもたらすのか?」Analog Devices、2018年3月
2 Noel Tenorio、Anthony Serquiña「高性能の電圧監視IC【Part 1】」Analog Dialogue、Vol. 58、No. 2、2024年4月
3 IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems(IEC 61508 電気・電子・プログラマブル電子安全関連系の機能安全 - 全パート)、国際電気標準会議(IEC:International Electrotechnical Commission)、2010年
4 IEC 61511 All Parts, Functional Safety - Safety Instrumented Systems for the Process Industry Sector(IEC 61511 プロセス産業分野の安全計装システム - 全パート)、IEC(国際電気標準会議)、2016年
5 IEC 62061 - Safety of Machinery - Functional Safety of Safety-Related Electrical, Electronic, and Programmable Electronic Control Systems(IEC 62061 機械類の安全性 - 電気・電子・プログラマブル電子安全関連系の機能安全)、IEC(国際電気標準会議)、2005年
6 IEC 61513 - Nuclear power plants-Instrumentation and control important to safety-General requirements for systems(IEC 61513 - 原子力発電所 - 安全に向けた重要な計測と制御 - システムに関する一般的な要求事項))、IEC(国際電気標準会議)、2011年
7 ISO 26262 All Parts, Road Vehicles Functional Safety(ISO 26262 自動車の機能安全 - 全パート)、IEC(国際電気標準会議)、2011年
8 「IEC 62279. Railway Applications-Communication, Signaling and Processing Systems: Software for Railway Control and Protection Systems(IEC 62279 鉄道分野 - 通信、信号、プロセス・システム:鉄道の制御/保護システム用のソフトウェア)」IEC(国際電気標準会議)、2015年
9 IEC 62304 - Medical Device Software - Software life cycle processes(IEC 62304 医療用機器のソフトウェア - ソフトウェアのライフサイクル・プロセス)、IEC(国際電気標準会議)、2006年
10 FAQs: Functional Safety for Medical Devices(FAQ:医療用機器の機能安全)、TÜV SÜD、2024年
11 Marvin Rausand「Reliability of Safety Critical Systems: Theory and Applications(セーフティ・クリティカルなシステムの信頼性:理論と応用)」Wiley、2014年1月
12 Process Safebook 1: Functional Safety in the Process Industry(Process Safebook 1:プロセス産業分野の機能安全)、Rockwell Automation、2013年3月
13 Tom Meany「ICにおける機能安全」Analog Devices、2018年2月
14 Loren Stewart「Back to Basics 16 PFDavg(基本に立ち返る 16:PFDavg)」Exida、2019年10月
15 Loren Stewart「Back to Basics 17 PFH(基本に立ち返る 17:PFH)」Exida、2019年11月
16 ISO 9001:2015 Quality Management Systems - Requirements(ISO 9001:2015 品質マネジメントシステム - 要求事項)、2015年
17 「Functional Safety: A Total Quality Approach(機能安全:総合的な品質アプローチ)」RTP Corp.、2021年