産業向け機能安全に対応する電源の設計【Part 1】IEC 61508が教えてくれること
要約
電源ユニットは、電子システムにおいて特に重要なコンポーネントだと言えます。なぜなら、その動作はシステム全体の機能に影響を及ぼす可能性があるからです。本稿で取り上げるIEC 61508はプロセス産業向けの機能安全(FS:Functional Safety)規格であり、電源についても様々なことが規定されています。この規格において、電源は「電気・電子・プログラマブル電子安全関連系とその他のサブシステムに対する要素/支援サービス」だと見なされます。この機能安全規格に準拠するためには、3つの主要な要件と推奨される診断手法について考慮する必要があります。そのため、産業向け機能安全に対応する電源を開発するのは容易だとは言えません。そこで、本連載ではその設計を行う上で留意すべき事柄について詳しく解説します。今回(Part1)は、IEC 61508では電源に関してどのようなことを規定しているのかを明らかにします。
はじめに
本連載では、産業分野向けの機能安全規格に対応する電源の設計方法について解説します。今回は、電気・電子・プログラマブル電子(E/E/PE:Electrical/Electronic/Programmable Electronic)安全関連系(SRS:Safety-Related System)に対して求められる要件について説明します。特に、IEC 61508では電源に関してどのようなことが規定されているのかを明らかにします。
E/E/PE SRSで使用される電源
IEC 61508-4では、E/E/PEシステムとは、1つ以上のE/E/PEデバイスをベースとして制御、保護、監視を実現するシステムのことだと定義しています。このシステムには、電源、センサーなどの入力デバイス、データ・ハイウェイなどの通信経路、アクチュエータなどの出力デバイスといったあらゆる要素が含まれます。一方、IEC 61508-4では、SRSを次のように定義しています。まず、SRSには制御の対象となる装置(EUC:Equipment Under Control)の安全な状態を達成/維持するために必要な安全機能が実装されています。そのSRS自体により、または他のE/E/PESRSやリスクを低減するためのその他の手段と併用することにより、求められる安全機能に必要な安全度を達成します。SRSとは、そのようなことを意図した特定のシステムのことを指します。ここで図1をご覧ください。この図には、特定の安全機能を実行するために必要なハードウェア/ソフトウェアに加え、E/E/PE SRSに対する支援サービス(supporting service)の例として電源が示されています。
電源とCCF
IEC 61508では、CCF(Common Cause Failure)について定義しています。それによれば、CCFとは1つ以上の事象を原因とする故障のことであり、複数のチャンネルを備えるシステムの分離された2つ以上のチャンネルに同時に故障を生じさせ、システム故障を引き起こします。その一例が電源の故障です。電源の故障は、E/E/PE SRSの複数の危険側故障につながる可能性があります。ここで図2をご覧ください。この電源において、24Vの入力電圧が出力電圧である12VCCと5VCCに短絡した場合、後段の回路に危険側故障が生じます。
CCFは、機能安全規格への準拠を目指す場合に考慮すべき重要な要素です。IEC 61508では、3つの主要な要件としてシステマティック安全度、ハードウェア安全度、アーキテクチャ制約について規定しています。そして、これらに対してはCCFの影響が及びます。そのため、CCFはIEC 61508に準拠する上で重要な意味を持つのです。同規格に示されている特定の状況において、CCFと電源に関して求められる要件を以下に示します。
- IEC 61508-1の7.6.2.7項では、安全に関する全体的な要件を割り当てる際にCCFが生じる可能性について考慮しています。この項では、割り当てを行う際、EUC制御システム、E/E/PE SRS、リスクを軽減するためのその他の手段を独立したものとして扱う場合、それらが故障したことによって全システムの危険側故障が生じる可能性があるなら、それらは共通電源を使用してはならない(1つの電源を共有してはならない)と規定しています。
- 同様に、IEC 61508-2の7.4.3.4項の注記1では、求められるシステマティック故障への対応能力(SC:Systematic Capability)の達成に向けて要素を組み合わせる場合に、十分な独立性を達成するためにとり得る手法について説明しています。その手法とは、全システムに危険側故障をもたらす共通電源で障害が発生しないことを保証するというものです。
- 内部で冗長性が実現されているICについては、IEC61508-2の附属書Eで説明されています。同付属書には、電源などの入力と出力の分離、電源の障害によって生じる危険側故障を回避するための対策の適用など、いくつかの規範的な要件が挙げられています。
上記の条項では、その故障が全システムの危険側故障を引き起こす可能性がある共通電源の使用を禁じています。しかし、これを遵守してシステムを設計すると、基板のサイズとコストが増大し、フットプリントが大きくなってしまいます。そこで、共通電源を使用できるようにするための方法が求められることになります。その方法の1つは、電源を監視するための優れた手法を採用することです。そうすれば、電源によってE/E/PE SRSにもたらされる危険側故障を、完全には排除できないとしても、安全に関する要件に従って許容可能なレベルまで抑え込むことが可能になります。なお、電源の監視を効果的に実施してCCFを回避する方法については、ブログの記事「Functional Safety for Power(電源の機能安全)」をご覧ください。
電源の故障と診断
電源の故障を検出する必要があることから、IEC 61508では、システマティック・ハードウェア故障とランダム・ハードウェア故障の両方に対処するための要件と推奨事項を示しています。
まず、システマティック故障の制御に関する要件として、IEC61508-2の7.4.7.1項では、電磁妨害などの環境ストレスに対する耐性を備えるようにE/E/PE SRSを設計することを求めています。この条項は、IEC 61508-2の表A.16でも引用されています。表1に、それに関連する部分を示しました。ご覧のように、安全度水準(SIL:Safety Integrity Level)のレベルに依らず、電源の障害に対するいくつかの対策を施すことが必須事項になっています。電源の障害としては、電圧のブレークダウン、電圧の変動、過電圧(OV:Overvoltage)、低電圧(UV:Undervoltage)などが挙げられます。
| 手法/対策 | SIL 1 | SIL 2 | SIL 3 | SIL 4 |
| 電圧のブレークダウン、電圧の変動、過電圧、低電圧、危険側故障につながる可能性があるAC電源の周波数変動などの事象に対する対策 | 必須 低 |
必須 中 |
必須 中 |
必須 高 |
IEC 61508-2の表A.1では、個別のハードウェア・コンポーネントを取り上げています。その中で、ランダム・ハードウェア故障の影響を定量化する際に想定される電源の故障/障害について記しています。それに関する部分を表2として示しました。一方、IEC 61508-2の表A.9には、電源向けに推奨される診断の手法と、それぞれの手法によって主張可能な最大診断カバレッジが示されています。表3は、IEC 61508-2の表A.9に加え、IEC 61508-7のA.8項に記載された内容も踏まえて作成したものです。
表2、表3は、いずれも安全性に関する分析を行う際に有用なものです。コンポーネントごとの故障モードと使用する診断手法の診断カバレッジは、λ値、つまりSILの指標である危険側故障確率と安全側故障割合(SFF:Safe Failure Fraction)を計算する際の入力になるからです。
| コンポーネント | 低 (60%) |
中 (90%) |
高 (99%) |
| 電源 | 閉固着 | DC障害モデル ドリフトと発振 |
DC障害モデル ドリフトと発振 |
| 診断手法 | 目的 | 説明 | 達成可能だと考えられる最大診断カバレッジ |
| 安全なシャットオフによる過電圧保護 | SRSを過電圧から保護する | パワー・ダウンのルーチンによる全出力の安全な状態への切り替え、または2次電源ユニットへの切り替えが十分間に合うように過電圧を検出する。 | 低 (60%) |
| 電圧の制御(2次制御) | 2次電圧を監視し、その電圧が規定の範囲から外れた場合には安全な状態への移行を開始する。 | 2次電圧を監視し、その電圧が規定の範囲から外れた場合には、パワー・ダウンを開始するか、2次電源への切り替えを行う。 | 高 (99%) |
| 安全なシャットオフによるパワー・ダウン | 安全に関するすべての重要な情報を保存し、電源をシャットオフする。 | 必要に応じて内部の状態を不揮発性メモリに保存する。パワー・ダウンのルーチンによる全出力の安全な状態への切り替え、または2次電源ユニットへの切り替えが十分間に合うように過電圧または低電圧を検出する。 | 高(99%) |
図3(a)に示したのは、表2に挙げた「電圧の制御(2次制御)」を診断手法として利用する場合の例です。図中のロジック・コントローラのサブシステムは、マイクロコントローラやその他のロジック・デバイスで構成されています。このサブシステムへの給電を担う電源(通常はポスト・レギュレータまたはLDOレギュレータの形態)を「MAX16126」によって監視しています。この監視ICによって許容範囲外の電圧(過電圧または低電圧)が検出されたら、ロジック・コントローラのサブシステムが電源から切り離され、MAX16126のFLAGピンがアサートされます。それにより、同サブシステムを安全な状態に切り替えることができます。この回路は、低電圧を検出しない場合、表2に示した診断手法の1つである「安全なシャットオフによる過電圧保護」のために使用することが可能です。
一方、図3(b)に示したのは、診断手法として「安全なシャットオフによるパワー・ダウン」を利用する場合の例です。この例では、「LTC3351」のホット・スワップ・コントローラ機能によってロジック・コントローラのサブシステムに電源が接続されます。そして、同期式のスイッチング・コントローラ機能が降圧モードで動作し、スーパーキャパシタのスタックの充電が実行されます。電源が過電圧/低電圧のスレッショルド電圧を超えた場合、LTC3351は、ロジック・コントローラのサブシステムを電源から切り離します。また、同期式のスイッチング・コントローラ機能が昇圧コンバータとして動作し、スーパーキャパシタのスタックからロジック・コントローラのサブシステムへの給電が行われます。このような動作によって、ロジック・コントローラのサブシステムが内部の状態を不揮発性メモリに保存するための時間が十分に確保されます。また、パワー・ダウンのルーチンによって全出力を安全な状態に移行させることが可能になります。
電源の動作
CCF、電源の故障、推奨される診断手法に加え、IEC 61508にはE/E/PE SRSにおける電源の動作の重要性について記されています。同規格第6部の附属書B.3を見ると、信頼性ブロック図(reliability block diagram)によるアプローチについて説明されています。これは、一定の故障率を仮定してハードウェアの故障確率を評価するためのものです。その対象には、センサー、ロジック回路、終端の要素となるサブシステムに加え、電源も含まれています。その例として、以下のようなことが記載されています。
- 電源の故障により、無通電トリップ型のE/E/PE SRSに給電されなくなり、同システムが安全な状態へのトリップを開始する場合、電源はSRSのPFDavgに影響を与えない。
- システムが通電トリップ型である場合、またはE/E/PE SRSに非安全な動作を引き起こす可能性がある故障モードが電源に存在する場合、電源も評価の対象にする必要がある。
このような想定が成り立つことから、E/E/PE SRSにおける電源の動作(無通電トリップ型か、通電トリップ型か)が非常に重要であることがわかります。それにより、電源がIEC 61508の重要な要件の1つである危険側故障確率の計算に影響を及ぼすかどうかが決まるからです。
まとめ
IEC 61508は、産業分野向けの機能安全について定めた基本的な規格です。本稿では、E/E/PE SRSの電源に関する同規格の規範的な要件と参考になる要件について解説しました。最初に取り上げたのは、E/E/PE SRSにおける電源の役割についてです。続いて、共通電源の使用を禁止する理由となるCCFについて説明しました。また、電源を監視することによってCCFを排除する方法も示しました。更に、電源に関連するシステマティック・ハードウェア故障とランダム・ハードウェア故障に関する要件と推奨される診断手法についても説明しました。最後に、電源の動作(無通電トリップ型か、通電トリップ型か)に応じてE/E/PE SRSの危険側故障確率に影響が及ぶ可能性があることも明らかにしました。
参考資料
Tony Foord、Colin Howard「 Energise or De-Energiseto Trip?( 無通電トリップ型か、通電トリップ型か?)」Measurement and Control、Vol. 41、No. 9、2008年11月
「IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems(IEC 61508 電気・電子・プログラマブル電子安全関連系の機能安全 - 全パート)」、 International Electrotechnical Commission、2010年
Tom Meany「Functional Safety for Power(電源の機能安全)」Analog Devices、2019年3月
著者について
最新メディア 21
