JAJY136A October   2023  – March 2024 RM57L843

 

  1.   1
  2.   概要
  3.   概要
  4.   機能安全への準拠の定義
  5.   機能安全システム設計の 2 つの属性
  6.   機能安全のモータ制御システムと駆動システムを設計するための推奨アプローチ
  7.   機能安全システムの設計をサポートする テキサス・インスツルメンツ製品

機能安全システム設計の 2 つの属性

機能安全規格は、すべてのシステムが故障することを想定しており (起きることはもはや確実で問題はいつ起きるか)、ゼロ・リスクというものは存在しません。

機能安全システム設計の 2 つの属性は、意図した機能を実現するためのシステム開発と、特定の SIL または車載 SIL (ASIL) のような安全機能に対応するための同じシステムの開発です。

設計者は多くの場合、これら 2 つの側面に個別に、または順次アプローチします。設計予算要件を満たすと同時に、大量生産アプリケーション向けの機能安全システムを設計することは困難です。表 1 に、制御 / 駆動アプリケーションで意図される機能と安全機能の例を示します。

この概念をより的確に説明できるように、表 1 のエレベータ・モータの例をご覧ください。

エレベータが意図する機能は、ユーザーの入力に基づいて人を上下に動かすことです。5 階に行くためにボタンを押せば、エレベータで行くことができます。

エレベータの安全機能はさらに一歩先を行き、以下を含むことができます。

  • 階から階までスムーズに移動する。
  • 各階で踊り場と同じ高さで停止する。
  • エレベータが安全速度を超えた場合に自動的にブレーキをかける。
表 1 制御 / 駆動アプリケーションにおける、意図した安全機能の例。
機能安全アプリケーション 意図した機能の例 安全機能の例 (および対応する SIL または ASIL ターゲット)
産業用:エレベータ・モータ ユーザーの要求に応じてエレベータを上下に移動
  • エレベータの安全な始動 / 停止 (ガタついた動きを回避) (SIL 2)
  • エレベータの速度が速すぎる場合に自動ブレーキをかける (SIL 3)
車載:電気自動車 (EV) のトラクション・モータ アクセルまたはブレーキによる運転者の命令に従って EV を前後に移動
  • 加速時のトルク不足またはトルク超過を防止 (ASIL C)
  • 強すぎる制動力を防止 (リアエンドを回避するため) (ASIL D)
産業用:スチール・プレス 工場の生産性を低下させずにスチール・プレスを動作させる制御サーボ・ドライブ・システム
  • トルク超過または速度超過が発生した場合に駆動コントローラの電源をオフにするセーフ・トルク・オフ (STO) (SIL 3)
  • 安全制限速度 (SLS) により、オペレータが近接している場合でもモータ速度を許容範囲内に維持 (SIL 2)
  • SLS が境界チェックを超えた場合に STO をトリガする (SIL-3 など、生産性と安全性のバランスを取ってより高い SIL を駆動するため)

意図した機能と安全機能がどのように連携して動作するかをより的確に理解するために、20 階建てのビル内にあるエレベータにプッシュ・ボタン回路 (図 1 を参照) があり、エレベータのモータ・コントローラがエレベータを 25 階または 30 階 (つまり、建物内に存在しない階) に送ると解釈している障害が発生していると想定します。境界チェックでは、エラーが発生する前、または最終的に故障が発生する前に障害が検出されます。これは、機能安全の分野で受け入れられている進歩です。「障害」は「エラー」につながり、一部のエラーは「故障」につながる可能性があります。

GUID-20231002-SS0I-VSB2-SB3Z-XQTDFBSSGRGN-low.svg図 1 最新のエレベータのプッシュ・ボタンの例。

意図した機能設計と安全機能設計のプロセスを確認してみましょう。

モータ・ドライブの意図した機能設計プロセスでは、システム・エンジニアは意図した機能の要件を満たすマイクロコントローラ (MCU) を選択します。その後、回転子の位置、ライン電流、位相電圧、システム温度を監視するための内蔵 A/D コンバータ (ADC) チャネルなどのセンス機能を割り当てます。その後、システム・エンジニアはマイコンで利用できる処理機能を活用します。たとえば、マイコンの CPU にある MIPS (Million Instructions Per Second、毎秒数百万個の命令) を使用してモータ制御アルゴリズムを実行したり、PWM (パルス幅変調器) など利用可能な作動ペリフェラルを使用してモータ・ドライバ回路を駆動したりします。このプロセスには通常、数か月かかります。また、プリント基板 (PCB) の設計、モータ制御アルゴリズムの開発、すべての組み込みソフトウェアの開発とデバッグも含まれます。

独立した、ややサイロ化されたチームが安全機能設計プロセスを担当している組織では、独立した機能安全のエキスパートが同行し、システム・エンジニアが最初に選択したマイコンの機能安全マニュアルをレビューします。場合によっては、機能安全のエキスパートは、SEooC (Safety-Element-out-of-Context) 安全コンセプトで、エラー・テスト、ハードウェア冗長性、D/A コンバータ (DAC) から ADC へのループバック・チェックを含む機能の SW テストの使用、または拡張キャプチャによる拡張 PWM の監視が必要になると気付くことがあります。前述のエレベータの例を思い出すと、複数の ADC チャネルを使用して各階にあるレベル・センサを監視し、マイコンの ADC 内に存在する「固着」障害から保護する必要性が生じることがあります。

ADC と PWM のチャネル数が不十分な場合や、機能安全を実現するための CPU MIPS が不十分な場合、図面ボードに戻って、機能安全システムを実現するために別のマイコンを選択する必要性が生じることがあります。これまでにその個別のシステム設計チームが実施してきた作業が取り消される可能性があります。

設計ステップが連続的に実施されない場合でも、それらは多くの場合、別々の組織のサイロで実施されます。つまり、システム・エンジニアは通常、機能安全に関する専門知識を何も持っておらず、機能安全のエキスパートはシステム・エンジニアではありません。このサイロ化されたアプローチは、最終的には同じ問題をもたらします。つまり、システム・コストの増加と、市場投入までの数か月の遅延です。