設計者は、機器やシステムの開発にあたって、より高い安全性を達成できるよう十分に配慮しなければならない。しかし、全ての機器やシステムにおいて、完全に安全な状態を作り出すことはかなり難しい。そこで、許容できるリスクの基準を決め、それに基づいた安全性を達成しようというのが「機能安全」の考え方である。産業オートメーションや自動車などの分野で、開発の期間やコストを抑えつつ「機能安全」規格に対応していくことが強く求められている。

求められる安全性を達成

 電気、電子、プログラマブル電子機器向けの安全システムを設計するために、国際電気標準会議(IEC)は機能安全規格「IEC61508」を定めた。この規格は、もともと石油化学プラントなどのアプリケーションを対象に策定されたものだが、現在ではIEC61508をベースに特定の市場や用途に合わせた派生規格も整備されている。例えば、プロセス・オートメーション(IEC 61511)、マシン・オートメーション(IEC 62061)、医療(IEC 62304)、自動車(ISO 26262)などである。「機能安全」規格に関して、ここでは詳細な解説を省くが、基礎的な知識などについて確認したい方は「いまさら聞けない機能安全入門」などを参照されたい。

 欧州では、IEC61508を欧州機械指令「2006/42/EG」として定め、2009年末に発行された。これによって、欧州の工場などに出荷される全ての機械や装置は、この指令を遵守するために必要な対策を講じなければならなくなった。しかし、実際は機械や装置メーカーの対応が十分ではなかったため、その適用は当初の予定より遅れることとなったが、2012年1月までに全ての機械・装置が、2006/42/EGによる承認を受けなければならなくなった。

 製品やシステムを開発・販売する上で、高い水準の安全性を実現していくことは、とても重要なことである。その安全性は、民生電子機器だけでなく、多くの産業機器/システムにおいても同様に求められている。現在でも、機械の誤動作および暴走、人的な操作ミスさらには危険エリアへの進入などがあった場合、安全な運用(人的被害の防止)ができるよう、さまざまな対策が講じられている。

 例えば、機械などが稼働している領域に、間違って作業者などが入り込んでも、設置されたセンサーなどで危険を察知して、安全に機械を停止させるなどの工夫がなされている。しかしながら、さまざまな安全対策を施しても、完全に危険(リスク)を取り除くことは不可能だといわれている。

 現実的に100%の安全性を確保するのは難しい。そうした中で注目を集めているのが「機能安全」という考え方である。発生しうる危険事象に対して、許容できるリスクの基準(安全の達成目標)を定めて、それをクリアするための対策を講じていく。つまり、何らかの機能を付加することによって、「求められる安全性」を達成しようというものである。

 機能安全への適合承認を得る際、装置の開発者は設計の手法や開発に用いた開発ツール、実装したデバイスなどについても、それぞれが機能安全規格に準拠していることを証明し、第三者機関で認証を受けなければならない。機能安全規格に準拠した製品であれば、製造物責任が問われるケースであっても、その責任範囲内で法的な保障(免責など)を得ることもできる。

 装置やシステムの安全性を高めていくことは、装置メーカーにとって必須である。一方で、機能安全規格に準拠した装置やシステムを開発して行くためのプロセスは、認証機関への申請など新たな工数が増えることとなる。求められる安全性を効率よく達成するためには、半導体ベンダーなどから提供されている支援ツールを活用することも有効な手法である。

開発期間を最大24カ月短縮

 機能安全規格の承認作業に関わる時間を削減して設計工程の効率を高められるよう、FPGAベンダーなどから「機能安全データ・パッケージ」が提供されている。図1にアプリケーション開発における開発フローを示す。(a)は機能安全の対応を必要としない標準的な開発フローである。これに対して(b)は機能安全規格の認証取得に必要なステップを追加したフローだ。(c)は、アルテラが提供している「機能安全データ・パッケージ」を活用した場合のケースである。このパッケージを活用することで、機能安全規格の認証に向けたプロセスを簡素化することができる。アルテラは「開発期間を18~24カ月も短縮可能」と試算している。

図1 標準的な開発フローの比較
図1 標準的な開発フローの比較

収益性の向上にも貢献

 機能安全への準拠と、その装置を導入したユーザーにおける収益性についても簡単に触れておく。機能安全に準拠した装置やシステムは、求められる安全性を達成している。そのために、万が一トラブルが発生しても作業者はメンテナンス時に機械を安全に取り扱うことが可能となり、短時間で保守作業が行える。このため、生産ラインなどの停止期間を最小限に抑えることができる。システムダウンから復旧するまでの時間を示すMTTR(Mean Time To Recovery)を削減することができれば企業の収益性も改善されることとなる。

 MTTRに関するアルテラの試算を紹介する。一例だが自動車産業の製造現場における1分間の相当価値は1万米ドルといわれている。ある自動車工場では年平均3000回ダウン(1日当たり8回)している。この場合に、1件当たりのMTTRを2分間短縮することができれば、1年間に6000万米ドルの生産性向上が期待できる。つまり、機能安全規格に準拠した装置/システムを導入した製造現場は、再稼働までの時間を短縮することで、収益性の改善につながることが分かった。

TUV認証済みの設計手法などを提供

 こうした中で、さまざまな設計要求に応じたFPGAソリューションを供給しているアルテラは、「機能安全」に関してもIEC61508で要求される品質を持った、認定済みの設計ツールやデータ、設計手法を「機能安全データ・パッケージ」として提供している。

 アルテラが提供する機能安全データ・パッケージの第1世代品は、2010年に出荷が始まった。2012年8月より、第2世代のバージョンの出荷を始めた(ニュースリリース参照)。第2世代版は開発環境が「Quartus® II 開発ソフトウェアVersion 11.0 SP1」で、FPGAチップは従来製品に加え、「Cyclone® IV FPGA」と「Stratix® IV FPGA」が新たに追加された。引き続き2013年も新バージョンを投入していく考えである。

図2 Cyclone IVファミリ
図2 Cyclone IVファミリ

 機能安全に対する取り組みや、機能安全規格の取得は、欧州を中心に盛んとなってきた。欧州の産業機器や自動車分野では、IEC61508あるいはISO26262に準拠した装置やシステムを提供しなければ、事業機会すら与えてもらえなくなった。アルテラが提供する「機能安全データ・パッケージ」は、TUV Rheinland社による認証を受けたパッケージである。このため、システム設計者はFPGAの設計手法などについて、認定機関への申請に関わる作業を大幅に簡素化できる。このことは、IEC61508規格認証が必要となる装置やシステムの開発期間を短縮するための有用なツールとなろう。後編では機能安全データ・パッケージの概要を紹介する。

この記事は、アイティメディア社『FPGA Insights』に掲載されていたコンテンツを、アイティメディア/EDN Japanの許可を得て転載しています。

目次