近年、組込み機器でも機能安全への意識が高まっています。機能の安全を評価する方法の一つとして、機能安全規格があります。
前回の記事では機能安全における必要な評価軸である「信頼性」と「安全性」について解説しました。今回は、組込み機器における主要な機能安全規格である「IEC61508」と「SIL(ASIL)」について解説します。
組込み機器における機能安全規格
基本安全規格「IEC 61508」について
プロセス産業における電気・電子・プログラマブル電子(以下、E/E/PE)の機能安全に関する国際規格として、IEC(International Electrotechnical Commission:国際電気標準会議)が制定した基本安全規格「IEC 61508」があります。
IEC 61508は、製造、プロセス、輸送、医療、その他の業務に供される機器、機械類、装置、プラントなどにおけるリスクを軽減するために使用されるコンピュータ・ソフトウェアを含むE/E/PEによる安全性を高めるための機能安全規格です。
機能安全という考え方は、このIEC 61508を策定する段階で導入されています。化学プラントや原子力発電所の事故は、1986年に旧ソビエト連邦で起きたチェルノブイリ原子力発電所事故のように甚大な被害をもたらす可能性が高いです。しかし、電子システムは常に故障するリスクがあり、開発・操作する人間がミスを犯すこともあり得ます。このような条件では、本質安全の考え方だけで、安全を達成することはできません。そこで、電子システムに機能を追加し、何らかの故障やミスが発生した場合でも重大な被害の発生につながらないようにするという考え方が、機能安全の基礎になっています。
出典:株式会社リベルワークス「IEC61508」
出典:アイティメディア株式会社「「機能安全」の導入で何が変わるのか?」
各分野の下位規格
また、IEC 61508は各分野に共通する機能安全の規定を取り扱うため、各分野で要求される事項を個別に規定する下位規格が必要になってきます。そこで、産業機械に機能安全を適用するための「IEC 62061」、自動車分野の「ISO 26262」、医療分野の「IEC 60601」、家電分野の「IEC 60335」など、IEC 61508から派生した規格もつくられています。
出典:佐藤吉信、川島 興「機能安全規格 IEC 61508 の課題と改訂動向」
SILとASIL
機能安全規格の「IEC 61508」や「ISO 26262」などでは、リスクを許容可能なレベルに低減させる機能の実装に対して、実施すべき内容を示した指標があります。
IEC 61508では「SIL」、ISO 26262では「ASIL」を指標として用い、システム/ハードウェア/ソフトウェアの各作業における要求を確認していきます。
SILとは?
SILとは、安全度合いを決める尺度である安全度水準(Safety Integrity Level)のことです。
安全設計をおこなうためには、「ハザードの特定→リスクの見積・評価→リスク低減策決定」というサイクルを回して、許容可能なレベルまでリスクを低減していく必要があります。
実際の作業としては、安全関連系(SRS:Safety Related System、安全関連システム)の要件定義や設計をおこないます。安全関連系とは、制御対象の機器(EUC:Equipment Under Control)を安全な状態に移行したり、安全機能(safety function)を実行するサブシステムのことです。
システム全体に要求される安全機能を実現するため、各安全関連系には、それぞれに必要なSILが割り当てられます。SILは4段階で定められており、SIL4の要求が一番高く、最も安全性が高いといえます。
出典:ハートランド・データ株式会社「ハートランド・ザ・ワールド:「SIL」「ASIL」とは?機能安全規格の開発を始めるにあたり知っておきたいこと。
出典:社団法人 組込みシステム技術協会「組込み系技術者のための安全設計入門」
ASILとは?
ASILとは、自動車安全水準(Automotive Safety Integrity Level)のことです。ISO 26262規格で定義されたリスク分類システムで、車の機能安全に関して安全性要件を定めています。
ASILは、暴露の確率、コントローラビリティ、シビアリティの3種のパラメータにより決定され、A~Dの4段階で表されます。自動車のハザードの程度が最も低いのがASIL-A、最も高いことを示すのがASIL-Dです。エアバッグ、アンチロック・ブレーキ、パワーステアリングなど、そのシステムが故障するとリスクが非常に高くなるものには、最も厳しい要件であるASIL-Dグレードが求められます。
暴露の確率(Exposure):ハザードに関連する動作の実行頻度を表すパラメータ
コントローラビリティ(Controllability):ハザードが発生したときにハザード回避、制御の可能性を表すパラメータ
シビアリティ(Severity):運転者や周辺の人命にどのような影響があるのかを表すパラメータ
出典:ハートランド・データ株式会社「ハートランド・ザ・ワールド:「SIL」「ASIL」とは?機能安全規格の開発を始めるにあたり知っておきたいこと。
出典:シノプシス「ASILとは」
RTOS認証について
近年の組込み機器への機能安全意識の高まりに対し、弊社イー・フォースでは自社製品のRTOS「μC3」の機能安全認証取得に向けて準備しています。
2022年10月現在、一般的にはまだ(RTOSを使用しない)ベアメタルでの取得が多いですが、「なぜ、イー・フォースは機能安全認証の取得をするのか」「機能安全認証の取得は実際にどのように進んでいるのか」について、アーキテクトLLCの支援をうけながら、全3回の動画で紹介していきます。
第1回『機能安全認証にRTOSって必要なの?』~機能安全RTOSが今後の機能安全認証のキーになる~
第2回『機能安全認証にRTOSって必要なの?』~機能安全RTOSと一般的なRTOSの違い~
機能安全認証RTOSと一般的なRTOSの機能面の違いは?
機能安全認証RTOSと一般的なRTOSについて、ユーザーにとっては、使いやすさなどの機能面における違いはほとんどありません。ただし機能安全認証RTOSでは危険側故障への対応が必要となるため、認証機関と一緒に相談しながら進めていくことになります。
この内容について、詳しくはこちら
第2回『機能安全認証にRTOSって必要なの?』~機能安全RTOSと一般的なRTOSの違い~ ③機能安全認証RTOSと一般的なRTOSの機能面の違いは?
いつ機能安全認証RTOSの導入を検討すべきか?
将来的に機能安全認証を取りたいと考えている場合、予め機能安全認証を取得しているRTOSを導入し、それを組込んだ機器の認証は追って取得することで、全体の認証取得期間を短縮することができます。認証を取得したいタイミングの1年前には機能安全認証RTOS導入をはじめるのがよいでしょう。
機能安全認証取得のポイントとして、設計自体が認証の対象になります。設計を始める前のコンセプト段階において、システムの安全性や信頼性を計画することも非常に重要です。
OS利用による危険側故障に対して、安全性に影響が出そうなものには事前のシステム設計が必要です。実際に設計をおこなう半年前、遅くとも2~3か月前にはOSを含めたシステム検討をおすすめします。認証機関と技術検証をして、確実にすすめていきましょう。
この内容について、詳しくはこちら
第2回『機能安全認証にRTOSって必要なの?』~機能安全RTOSと一般的なRTOSの違い~ ④いつ機能安全認証RTOSの導入を検討すべきか?
