高性能の電圧監視ICにより、産業分野向け機能安全規格への準拠度を高める【Part 2】SILのレーティングに対応するコンポーネントの活用

2025年03月02日

要約

この連載では、高性能の電圧監視ICを利用して、産業分野向けの機能安全規格に準拠する方法について解説しています。Part 1で説明したとおり、IEC 61508は「電気・電子・プログラマブル電子安全関連系（E/E/PE SRS：Electrical/Electronic/Programmable Electronic Safety-Related System）の機能安全」という名称でも知られています。この規格が対象とするE/E/PE SRSの危険な障害を特定する上では、電源モニタICなどが提供する診断機能が重要な役割を果たします。ただ、IEC 61508（現在の改訂版）に準拠する上で、機能安全の認証を取得したコンポーネントを使用することが義務づけられているわけではありません。とはいえ、SRSを設計する際には、機能安全規格に準拠した部品を使用することでいくつかのメリットを得ることができます。もちろん、産業分野向けのSRSについても同じことが言えます。今回は、安全度水準（SIL：Safety Integrity Level）のレーティング（格付け）を得ている電源モニタICを使用することで得られる6つのメリットについて説明します。なお、以下ではSILのいずれかのレーティングを得ていることを、SILに準拠すると表現することにします。

はじめに

今回は、機能安全規格に準拠するためには、その種の規格に準拠した診断機能を採用することが重要であるということを明らかにします。そのポイントとしては以下に示す6つの事柄が挙げられます。

FMEDA（Failure Modes Effects and Diagnostics Analysis）の情報を利用できる可能性
統合（IC化）された安全機能
オンチップの診断機能
IEC 61508の今後の改訂への対応
他の規格の考慮
外部認証機関の見解

本稿では、これらのポイントについて詳しく説明します。それを通じ、「MAX42500」のようなSILに準拠した電源モニタICを使用することで得られるメリットを明らかにします。

機能安全規格についてのおさらい

本連載のPart 1では、基本的な機能安全規格の定性的な要求と定量的な要求の両方を満たす上で診断機能が果たす役割について説明しました（図1）。定性的に考えると、SIL 1～SIL 4に準拠しているかどうかにかかわらず電源モニタの導入は必須です。一方、定量的な要件の面では、信頼性の予測とアーキテクチャ制約の2つについて考慮する必要があります。信頼性を予測するためには、システムの危険側故障確率の平均値を評価します。その値としては、次の2つのうちいずれかを使用します。1つは、低頻度作動要求モードにおける危険側故障確率の平均値（PFD_AVG）です。もう1つは、高頻度作動要求モードにおける1時間当たりの危険側故障確率の平均値（PFH）です。以下の説明では主にPFHに注目することにします。一方、アーキテクチャ制約は安全側故障割合（SFF：Safe Failure Fraction）と冗長性の要件の影響を受けます。診断機能が統合されたICを採用すれば、ランダム・ハードウェア故障を特定し、上記の各指標の値を改善することができます。SILのレーティングはシステム・レベルで決定されるので、必要な仕様を満たす監視ICが存在するのであればそれを使用することが可能です。

図1. IEC 61508:20101の観点からの診断 — 図1. IEC 61508:2010¹の観点からの診断

安全に関するプロジェクトでは、それ以外のプロジェクトと比べてより多くの労力が必要になることがよくあります。なぜなら、安全ライフサイクルの要求が厳しいからです。ただ、プロジェクトのスケジュールと機能安全への準拠の両方を満たすための効果的な戦略は存在します。その1つが、IEC 61508に従って開発されたコンポーネントを採用することです。このことは、IEC61508において必須の要件にはなっていません。しかし、この戦略を採用すれば、基本的な機能安全規格の要件を満たすだけでなく、それ以外のメリットも享受できます。以下では、そうしたメリットについて詳しく説明します。

【メリット1】FMEDAの結果が得られている

IEC 61508に準拠する電源モニタには、FMEDAの結果について詳しく説明した安全マニュアルが付属しています。FMEDAのプロセスでは、システムの故障モードについて調査し、潜在的な故障の原因とそれらがシステムに及ぼす影響を特定する必要があります（図2）。FMEDAは、コンポーネントのレベルとシステムのレベルのどちらにも適用できます。どちらの場合でも、FMEDAを実施することで、IEC 61508などの機能安全規格に準拠していることを実証するのが容易になります。また、定性的／定量的な要件の両方に対応可能です。

図2. FMEDAに関するブロック図2 — 図2. FMEDAに関するブロック図²

IEC 61508-2:2010は、同規格に準拠するアイテムの安全マニュアルに求められる要件を規定しています。その情報を活用すれば、ICのメーカーはFMEDAをより容易に完了させられます。

IEC 61508の附属書DのD.2.2項によれば、安全マニュアルにはすべての機能について次の内容が記載されていなければなりません。

(d) ランダム・ハードウェア障害が原因で、診断によって機能の障害を検出できなくなる、規格に準拠するアイテム内部の診断機能の障害モード（出力の挙動の観点から）を含める。

(e) （c ）と（d）におけるすべての故障モードに対する推定故障率。

7.4.9.4項の(j)を見ると、E/E/PEシステムを実装する際、ランダム・ハードウェア故障の要件の影響を受けるおそれがある安全関連の要素については、ハードウェアの故障による診断機能の故障率の情報を利用できるようにしなければならないと規定されています。

この情報を利用すれば、システム設計者は安全に関する分析のプロセスを効率化することができます。システム・レベルのFMEDAを実施する際、安全マニュアルに記載されている故障率の値を直接適用できるからです。ここで、コンポーネントのFMEDAを実施する際に用いられた仮定が、システム設計者の使用条件と異なったとします。その場合でも、解析に関する既存のドキュメントの内容を調整しながら、システム・レベルでの再計算や更なる分析を実施することができます。

【メリット2】いくつかの診断機能を含む安全機能が統合されている

アプリケーションに適した部品を選定する際には何をするのでしょうか。通常はコンポーネントのコスト、基板のサイズ、システムの動作、機能などの要素について検討することになるでしょう。ただ、機能安全の規格に準拠することを念頭に置くと、もう1つの複雑な作業に直面します。それは、FMEDAのような安全性の分析を行わなければならないというものです。ここで図3をご覧ください。これを見ると、集積度の高い監視ICを採用することにより、基板のサイズと部品点数を削減できることがわかります。それだけでなく、この図は、集積度の高いICを採用することで、システムのFMEDAも簡素化されるということを表しています。ディスクリートのソリューションでは、より多くのコンポーネントが使用されます。そのため、分析を実施する際には、より広い範囲にわたって故障モードと故障率の検討を行わなければなりません。一方、機能安全の規格に準拠したICソリューションを採用すると、FMEDAに対応するドキュメントの分量が少なくなる傾向があります。例えば、図3（右）ではMAX42500を使用しています。このICは、図3（左）の3つの部品の機能を統合したものです。SIL 3に対応するデバイスなので、FMEDAで利用可能なラムダ値をもともと備えています。そのため、システムのFMEDAを実施する際に必要な分析や計算が簡素化されます。

【メリット3】自身のランダム・ハードウェア故障を検出するための独自の診断機能を備えている

IEC 61508に準拠するコンポーネントは、特定のSFF、λ_DU（検出されない危険側故障）、システマティック故障への対応能力（SC：Systematic Capability）を備えていることになります。また、オンチップの診断機能により、特にPFD_AVGやPFHの面で規格に準拠していないデバイスと比べて信頼性が大幅に向上します。それらの診断機能は、SILへの準拠を目標とした考察の結果、検出されない危険側故障を最小限に抑えられるように設計／開発されています。そのような診断機能を備えていない部品は、通常、内部の障害を検出して問題を軽減するメカニズムを備えていません。そのため、信頼性の予測結果が著しく低くなる傾向があります。

図4に示したMAX42500について考えてみましょう。この高度に統合されたICは、複数のブロックとピンを備えています。また、それらのコンポーネントに影響を及ぼす可能性があるランダム・ハードウェア故障を特定するための診断機能を内蔵しています。本連載のPart 1では、電源モニタをはじめとする高性能の電圧監視ICが、機能安全規格への準拠に向けてどのように役立つのか解説しました。実際、その種のICを利用して故障の検出方法を改善することで、システムの完全性、PFH、SFFを向上することが可能になります。それと同様に、規格に準拠したデバイスを採用すれば、検出されない危険側故障率が低下して性能が向上します。

ここで図5をご覧ください。これは、IEC 61508への準拠を目指すSRSにおいて、安全機能に対するPFHの要件の標準的なバジェットの配分を示したものです。この図を見ればわかるように、検出されない危険側故障率が低い診断用のコンポーネントを採用すればシステムの信頼性が向上します。それだけでなく、他のシステム・コンポーネントとの間でPFHのバジェットをより柔軟に配分できるようになります。

【メリット4】IEC 61508の今後の改訂に対応できる

現在、基本的な機能安全規格であるIEC 61508:2010は、冗長化されていないシステムの診断に関する機能や、診断のための安全機能に必要なレベルより1段低いSCを必須とはしていません³。しかし、この規格の次回の改訂では、以下のような部分でいくつかの重要な変更が行われることが予想されます。

IEC 61508に準拠していないICについて、そのICの障害を検出するためにオンチップの診断機能を使用することを求める明示的な警告
潜在的な故障の指標に関する要件を、自動車向けの機能安全規格ISO 26262に適合させる
診断機能に固有のSFF
診断用の回路に対するSCの要件

MAX42500のようなIEC 61508に準拠するICを採用すれば、上記のような更新の可能性を見越し、将来にわたって使用できるように設計を行うことが可能になります。

【メリット5】各国の安全規格／指令が考慮されている

製品が特定の国で使用されることを想定している場合、設計者はシステムがその国の法律や規制に準拠していることを確認する必要があります。各国は、安全についてそれぞれに独自の規制を行っています。そして、多くの国は既にIEC 61508をベースとする独自の規格を採用しています。オーストラリアのAS 61508⁴、英国のBS EN 61508⁵、カナダのCSA 61508⁶などが代表的な例です。基本的な機能安全規格が改訂されれば、それに関連する分野別の規格や各国の法令も更新されることが予想されます。

一部の国、特にEU（欧州連合）内では、SILに準拠するモニタの使用が義務づけられています。この要件は、機械指令2006/42/ECの推奨事項⁷に由来しており、シングルチャンネルのシステムにおいてSILに準拠するモニタを使用することを求めています。この指令では、診断機能の障害は、安全機能または要素の障害の直接的な原因になる可能性があるので、安全機能または要素の障害であるかのように扱う必要があると規定しています。また、安全機能または要素に関連する危機的な状況を引き起こす故障が2つ以上存在する場合には、以下の手法のうちいずれかを適用しなければなりません。

1. 診断機能を個別の機能として扱い、表1に示す基準を満たすようにしなければならない

表1. 診断機能のアプリケーションに対するSCの要件⁷
安全機能	診断機能
SIL 1	安全に関する基本的な原則
SIL 2	SIL 1
SIL 3	SIL 2

2. 必要なときに安全機能が正常に動作しない確率を高める診断機能の障害は、IEC 61508-4:2010の3.6.7項に従って危険側故障として分類する必要がある。安全な状態に直結する診断機能の障害は、IEC 61508-4:2010の3.6.8項⁷に従って安全側故障として分類しなければならない

様々な分野別の規格でSILに準拠する診断機能がどのように認識されているのかについては、Tom Meanyのブログ記事「Diagnostics on Your Diagnostics（診断機能の診断）」をご覧ください。

【メリット6】機能安全に関する評価が容易になる

SILのレベルがより高いことが求められるアプリケーションでは、より高い独立性も必要になります。これについては、IEC61508-1:2010において表4、表5で説明されています。これらの表を見ると、独立した人員から独立した組織までにわたり、機能安全の評価に必要な独立性の度合いは結果またはSIL/SCの要件に基づいて異なるとされています。最高レベルの独立性を実現するには、外部評価機関などの独立した組織によって機能安全規格に準拠しているか否かを検証してもらう必要があります。また、同規格では、機能安全に関する外部評価機関の考え方を理解することの重要性が強調されています。

ここで、機能安全の第三者評価機関として広く認められているTÜV SÜDを例に取りましょう。この組織は、安全機能全体に対するSILの要件を診断機能にも適用しなければならないと説明しています⁸。同様に、Exidaは、IEC 61508に準拠したプロセスによってセーフティ・クリティカル（安全性が非常に重要）なコンポーネントを開発することの重要性を強調しています⁹。機能安全規格に準拠するためには診断機能が重要になります。本連載のPart 1で説明したように、SILに準拠するモニタを選択すれば、機能安全規格に対する準拠度を改善できます。それだけでなく、外部機関による評価／認証のプロセスを迅速に進められるようになります。

まとめ

本稿で説明したように、機能安全規格への準拠を目指す場合には、同規格に準拠したモニタICを使用することが推奨されます。なぜなら、それによって6つの大きなメリットが得られるからです。本稿では、IEC 61508の基本的な要件を掘り下げた上で、それらのメリットに沿う形で6つの観点から解説を進めてきました。1つ目のポイントとしては、同規格に準拠する部品の安全マニュアルに記載されたFMEDAの情報の重要性を強調しました。続く2つ目のポイントとして、SILに準拠する電源モニタICを採用することで得られるメリットについて説明しました。このアプローチを採用すれば、基板のサイズを縮小できます。それだけでなく、ディスクリートのソリューションに比べて安全性に関する分析の作業が簡素化されます。3つ目のポイントとして、検出されない危険側故障率とそれがシステム全体のPFHのバジェットに与える影響を最小限に抑える上で、SILに準拠するICが備える多様な診断機能が重要な役割を果たすことを明らかにしました。4つ目としては、IEC 61508が今後改訂される可能性について指摘しました。そのような場合でも、同規格に準拠する部品を採用すれば、将来にわたって使用可能な設計を実現できるようになります。5つ目のポイントとしては、SILに対応するモニタの必要性を説明しました。その背景には、様々な国における基本的な機能安全規格の採用の拡大や機械指令など分野別の規格の存在があります。6つ目に、IEC 61508に準拠した診断機能の使用に関する主要な機能安全評価機関の見解を紹介しました。

次回は、SRSを設計する上で非常に重要な診断機能の特徴について説明します。

参考資料

¹ IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems（IEC 61508　電気・電子・プログラマブル電子安全関連系の機能安全 - 全パート）、International Electrotechnical Commission、2010年

² Marvin Rausand「Reliability of Safety Critical Systems:Theory and Applications（セーフティ・クリティカルなシステムの信頼性：理論と応用）」John Wiley & Sons、2014年1月

³ Brian Condell「SIL 2準拠のICにより、SIL 3の機能安全を実現可能なアナログ出力モジュールを設計する」Analog Devices、2023年9月

⁴AS 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems（AS 61508　電気・電子・プログラマブル電子安全関連システムの機能安全 - 全パート）、Australian Standard、2011年

⁵ BS EN 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems（BS EN 61508　電気・電子・プログラマブル電子安全関連システムの機能安全 - 全パート）、British Standards Document、2010年

⁶ CSA C22.2 No. 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems（CSA C22.2 No. 61508　電気・電子・プログラマブル電子安全関連システムの機能安全 - 全パート）、Standards Council of Canada、2017年

⁷ Coordination of Notified Bodies - Machinery Directive2006/42/EC - Recommendation for Use（公認機関の調整 -機械指令2006/42/EC - 使用に関する推奨事項）、2015年

⁸ 「Top Misunderstandings About Functional Safety（機能安全に関する最大の誤解）」TÜV SÜD、2024年

⁹ John Yozallinas「So What Does Interference-Free Mean? And Why Do We Care?（「干渉フリー」とはどういう意味なのか、なぜ配慮が必要なのか？）」exida、2017年2月

著者について

Bryan Borres

Bryan Angelo Borresは、アナログ・デバイセズのシニア・プロダクト・アプリケーション・エンジニアです。TÜV SÜD認定の機能安全エンジニアとして、産業分野向けの機能安全対応製品を開発する複数のプロジェクトに参画。また、システム・インテグレータがIEC 61508などの産業分野向け機能安全規格に準拠した電源のアーキテクチャを設計できるよう支援しています。これまで約7年間にわたり、効率が高く堅牢性に優れるパワー・エレクトロニク...