初期の安全要件と実装するアーキテクチャがわかったら、デバイスを選択します。一般的な出発点として、マイコンまたはプロセッサは他のデバイスよりも前に選択され、選択プロセスの際に安全機能や処理能力などの要素が重要な結果になります。

安全規格の中で、ISO 13849-1 はさまざまなタイミング要件を規定しており、システムが故障を検出し、定義されたプロセスの安全時間内に安全状態に到達できるようにしています。図 2-3 に、時間間隔の定義に使用される標準的な項目表記を示します。

図 2-3 機能安全関連のタイミングに関する考慮事項

診断時間間隔は、診断機能を実行し、それらから受け取った入力を処理するために利用できる時間の長さで構成されます。診断時間間隔が定義されている場合、診断範囲を拡大するとより強力なプロセッサが必要になります。

危険は予測不可能なため、AMR では診断を継続的に実行する必要があります。継続的に実行することで、故障を即座に検出し、必要なプロセス安全時間内にデバイスを安全状態に移行できます。

さらに、ISO 3691-4 では、物体との距離に応じて AMR の最大速度を定義することで、このテスト時間間隔をさらに制限しています。ワーストケースのシナリオを考慮することで、設計者はリスクを回避するために必要なプロセスの安全時間を計算し、物体の衝突前に安全状態に達していることを確認する必要があります。

ISO 3691-4 の表 A.1 に記載されている物体に対する最大速度と距離に基づき、安全プロセス時間は 415ms 未満でなければならないと推定されます。このタイミングでは、マイコンの診断機能を完了する必要があり、故障が検出された場合は、安全状態に達する必要があります。応答時間を十分に確保するには、診断時間間隔をプロセス全体の安全時間の 10% 未満にする必要があります。これは、システム機能の動作中に、完全な診断スイープに対して最大 41.5ms が許容されることを意味します。

これらのタイミング制約と Cat 2 アーキテクチャの選択により、モーター制御と安全要件の両方を満たすことができる安全性メカニズムを内蔵した強力なリアルタイム・マイコンを実現することが重要になります。テキサス・インスツルメンツの C2000 リアルタイム・コントローラと PMIC デバイスは、プロセスの安全時間と診断範囲の両方を満たし、PLD を実現するための優れた選択肢です。