機能安全の重要性
Posted 02/06/2018 by Jatinder (JP) Singh
休暇中、車のファームウェアを更新していて、12歳の子供が近づいてきて、なぜ車のソフトウェアを更新しているのか聞いてきました。私は、ソフトウェアは古いバージョンで、更新されたソフトウェアは一部の安全機能が改良されていると話しました。最近、ラティスDiamondソフトウェアがISO26262の路上走行車の機能安全認定を取得したことで、 “機能安全”という言葉が頭をよぎったのだと思います。エンジニアとして、機能安全という言葉に行き着くまでどれくらいかかったかを考えずにはいられません。
機能安全はいつも存在はしていましたが、人間と機械間の相互作用が増え、工場のフロアや車の機械に自律的な技術が実装されるにつれて、専門的な技術分野と工学分野に変わっていきました。機能安全は、人間の命にいかなるリスクも与えない、安全な機械と車両性能に関するものです。子供に機能安全について説明することは、全体的な安全システムの重要性を理解のに役立ちました。
大きい(そして危険な)旋盤機械を搭載した古い車や工場を見たとき、自動ブレーキ、レーダー、ナノ秒でシャットダウンする安全ソーを備えた現代の車と比べてみると、私たちは素晴らしい進歩を遂げたことは明らかです。機械と車が進化し続けるにつれて、機能安全の複雑度も進化しています。工場フロアにおける自律型ロボットは、目的外の使用でも正しく動作することが期待されています。安全措置の欠陥は、機械の損傷や操作する人間にとって危険になる可能性があります。
機能安全とは?
産業機能安全規格(IEC 61508)の詳述によると正確な定義は“EUCとEUC制御系の全体に関する安全のうち、E/E/PE安全関連系、他技術安全関連系及び外的リスク軽減施設の正常な機能に依存する部分”とされています。被制御系の機器、すなわちEUCは、問題となっている機械または車を指し、E / E / PEは、現代の機械である電気・電子・プログラマブル電子系の機能安全を指します。機能安全は、システム(機械または車)の全体的な安全性の部分であり、システムで使われる個々のコンポーネントも設計された機能を実行することが期待されます。
機能安全はどのシステムまで及ぶのか?
機能安全の概念は動いてるシステムにのみ適用されます。入り口のドアの鍵は安全を提供しますが、積極的に故障を回避するわけではありません。ドアは受動的安全の例えです。機能安全は安全メカニズムを備えたアクティブシステムに適用されます。これらのメカニズムは、故障を検出し、回避し、制御し、それらの悪影響を軽減するための動作または技術的なソリューションです。これらの多くは、機能、要素、もしくは大きな商品を移動するときに物体を検知し、回避するフルフィルメントセンターの自律型ロボットのような、冗長化技術を実装することで実現します。安全メカニズムは商品を安全な状態に切り替え(待機中の組み立てロボットが物体を道を封鎖していると検知した場合など、必要ならば停止し)に維持したり、もしこのように機械が意図する機能を実行できない場合、故障の原因になります。
故障のメカニズム
ハードウェアおよびソフトウェアの故障は、システム起動中に予期せぬ発生するエラー、システム障害によって起こる場合と、開発、製造、メンテナンス中に決定的な方法によって起こる要因、また、商品の故障によって引き起こされる場合とがあります。故障の原因は以下のようなものがあります。
- ハードウェアやソフトウェアにおける無作為もしくはシステム上の故障
- 人的ミス
- 温度や天気、電磁干渉や機械などの環境要因
- 電力の損失
現代の機械はソフトウェアとハードウェアの合流点です。つまり、ソフトウェアはハードウェアの様々な側面や動作を制御します。ソフトウェアのOSも機能安全要件の影響を受けることを意味します。
安全度水準
安全度水準(SIL)は安全機能によってもたらされるリスク低減の相対的な尺度で、リスク削減の目標水準を定めています。つまり、SILは安全計装機能(SIF)に必要な性能の測定値です。
機能安全の対象となるシステムは、危険な故障を自動的に防止したり、起こったときに制御するために設計されました。それは、目的外の使用(時には誤用)のときでも、特定の機能を正しく実行できるシステムを設計するのに役立ちます。メーカーは危険につながる可能性のある目的外のシステム動作を特定し、リスクアセスメントを実行する必要があります。
このシステムに関連するリスクは、産業アプリケーションの場合はSIL(Safety Integrity Level)、車載機器アプリケーションの場合はASIL(Safety Safety Integrity Level)と呼ばれます。これらは、システムに関連するリスクや危険の重大性を評価するのに役立ちます。それぞれSILとASILにはレベルがあり、レベルが高いほどリスクは低くなります。
下記のテーブルは、異なるSIL(IEC 61508準拠)とASIL(ISO 26262準拠)向けの、オンデマンドでの失敗確立(PFD)と低需要動作でのリスク軽減ファクタ(RRF)を示したものです。
機能安全の目的はリスクを許容範囲まで下げ、ネガティブな影響を軽減することにあります。
ゼロリスクのデバイスというのをよく耳にしますが、ゼロリスクのデバイスはありません。リスクは軽減できますが、完全に排除することはできません。各システムメーカは、明確で包括的で、かつ擁護的な議論(証拠によって裏付けられている)を通信し、そのシステムは特定の状況で安全に動作することができます。これは、安全要件のリファレンスも含まれ、どのように安全要件が解釈され、割り当てられ、分解されたかなど、議論の証拠を裏付け、その証拠で示されるように履行したかどうかを説明しています。
IEC 61508およびISO 26262 規格
産業機能安全IEC 61508、自動車機能安全のISO 26262などの機能安全基準は、システムメーカにガイドラインを提供しています。IEC 61508シリーズは、安全関連システムの国際規格です。ISO 26262は、道路上の車両または自動車システムに、この規格を適用させたものです。これらの基準は、どこでどのように使用されているかに関わらず、システム障害を最小限に抑えるためのリスクの評価に対応しています。
IEC 61508は、必要な安全完全性レベル(SIL)を提供するためにシステムを設計、実装、運用、メンテナンスするための要件を定めています。これらの規格はそれぞれ、部品構成とも呼ばれるいくつかのセクションに分かれています。
これらの規格は7つの部分で成り立っています:
- lIEC 61508-1:一般要件
- lIEC 61508-2: 電気・電子・プログラマブル安全関連システム要件
- lIEC 61508-3: ソフトウェア要件
- lIEC 61508-4: 定義・用語説明
- lIEC 61508-5: 安全・完全性レベルの決定方法
- lIEC 61508-6: IEC 61508-2 およびIEC 61508-3適用ガイドライン
- lIEC 61508-7: 技術と対策の概要
これらの構成は、システム要件が検討されていた当初から、システムメーカーが安全性を検討するためのガイダンスを提供しています。下記のダイアグラムはラティスのDiamond機能安全マニュアルで、企画段階(要件)、設計(アーキテクチャ、モデリング、FPGA開発)、テスト、検証、検証ステージの間でどのように機能安全がFPGA設計に適用されるかを紹介しています。安全性が欠かせないアプリケーション向けにFPGAを使用して製品を開発しているメーカーの、プロセスフローについて説明します。
機能安全に取り組むシステム
電気・電子・プログラマブル電子(E/E/PE)システムについて話しました。これらはセンサー、制御ロジック、通信システムもしくはネットワーク、作動装置、自律システムや人間のオペレータによる重要なアクションなど、全てを含んでいます。電気機械技術または固体電子工学を使用していたこれらの安全関連システムは、今では代わりにプログラマブル電子回路を使用しています。プログラマブルコントローラ、ロジックコントローラ(PLC)、デジタル通信システム(バスシステムなど)のようなデバイスはトレンドの一部です。ASSPでさえ、FPGAとプロセッサの組み合わせに置き換えられました。とくにFPGAは、具体的には実装されたシステム機能(設計者がそれらに実装された機能やアルゴリズムを更新できるようにすることを含む)のテスト、検証、および柔軟性を提供します。
プロセッサやセンサーなどの実現可能な技術の多くは、より信頼性と安全性の高いシステムに統合されるようになっています。プログラマブルデバイスの低コストと柔軟性により、安全で安全かつ包括的な方法で、エッジシステムにインテリジェンスな機能を実装できるようになりました。
安全に関するシステム
機能安全の概念は、毎日の暮らしと全ての産業に当てはまります。下記は様々な産業での機能安全の例です。
車載機器
車内における機能安全は、エアバッグが運転中ではなく、衝撃のあった時にのみ瞬時に展開することを保証します。また、燃料の噴射システム制御は、指令が与えられたときにのみに車が加速することを保証します。ブレーキシステムは必要に応じて作動します。近代的な車両では、機能安全により、制御ソフトウェアを含むすべての車載電子機器の正しい動作が保証されます。
製造
機能安全とは、工場のフロア、化学工場、倉庫などの危険な工業環境でのリスクを低減することです。私の過去に発電所システムの制御システムで働いたことがあります。自動バルブ機構は、危ない化学薬品や高圧蒸気システムが確実に隔離されるようにします。世界中の倉庫では、クレーンの安全な荷重インジケータが、労働者や第三者にケガをさせる可能性のあるオーバーロードを回避します。人や物がその稼動範囲に入ると、レーザーバリアは自動車製造施設内のロボットを自動的にシャットダウンします。これらのシステムはすべて、怪我や機械の損傷を防ぐのに役立ちます。
交通
電車で移動するときは、動く前にドアが閉じていることを確認し、動いている間はドアが開かないように機能的な安全性が確保されています。飛行機が最も安全な輸送手段であると聞いたことがあるかもしれませんが、これは、航空業界が世界で最も安全であることが理由です。進行方向や高度、航空機の縦揺れ、横揺れ、偏揺れを制御する自動飛行操作システムを考えてみましょう。緊急時には、制御を引き継ぐように訓練されたパイロットに警告を発します。
医療
医療は最も安全要件の厳しい業界の1つです。患者の生死がかかっているからです。X-rayやMRI装置における機能安全は、装置が電気的および機械的に正しく動作し、人間が許容できる範囲内で光線を生成することを保証しなければなりません。輸液ポンプが誤動作を起こした場合、機能安全プロトコルによって、アラームが作動して誤動作を知らせ、ポンプを停止させて患者を保護します。
最後に
過去10年間で、機能安全はすべての製造業者にとって必要になり、ますます重要になってきています。ソフトウェアとハードウェアシステムの一貫性のある統合でそのようなシステムをカバーする必要があるため、規格への依存度はますます高まっています。すべての進歩の中でも、私は機能安全に関してはまだ初期段階にあると感じています。例えば、自律走行車やコンパニオンロボットでの安全面についてです。共に成長してきたSF小説のように、機能安全の重要性は急激に増加するでしょう。
今後、エレベーターに乗ったり、車を運転するときは、安全な製品にするためにどれほどの努力がされているかを、一度考えてみてください。