アップタイムが収支を保護する

同様の記事がドイツにおいて｢Elektronik Informationen｣誌の2012年11月号に掲載されています。

事業や産業に従事してきた人なら、事業の健全性と拡大を維持するための投資利益率(ROI)の最大化について聞いたことがあるはずです。これはシンプルな目標ですが、達成するのは容易ではありません。ROIを最大化するには、産業施設を1日24時間/週7日/年365日にわたって最大能力で稼働させ続ける必要があります。今や｢アップタイム｣こそがキーワードであり、性能指数です。｢ファイブナイン｣または｢シックスナイン｣ (｢ファイブナイン｣は99.999%の可用性を意味し、1年当り約5分のダウンタイムに相当)に適合するのはクラウドサーバーや重要な軍用セキュリティシステムのみではなくなり、工場、商業施設、発電所など、設備投資とコミュニティのニーズに応えるため所有者および運用者が最大能力での最大アップタイムを追求することになるすべての設備に対してこのようなアップタイムが求められています。

我々は皆、｢時は金なり｣という成句を聞いたことがあります。今日の産業施設には、かつてなかったほどこの言葉が当てはまります。生産が停止すると収益に直接的なマイナスの影響が出るため、施設の予期せぬダウンタイムは非常に高コストとなります。さらに、工場の予期せぬ操業停止によって、仕掛品(WIP)の喪失、資源の浪費、および(生産ラインの再開時に直ちに仕様通りの製品が生産されない場合に)将来的な損失が発生する可能性があります¹。生産施設によっては、再スタート後に安定状態に達し、出荷基準を満たす製品ができるまでに何日もかかる場合があります。ダウンタイムの原因が重大な障害である場合、それに伴う環境汚染、副次的損害、法的問題、負傷事故、さらには人命が失われる可能性さえあります。

ディスクリート生産方式では、生産ライン上で各パーツが組み合わされ、組み立てられます。これには、携帯電話から自動車まで含まれます。当然これらのラインには非常に高速で動作するものがあるため、アップタイムが重要になります。

公共施設のダウンタイムは、さまざまな、しかし同様に有害な結果をもたらします。照明システムの故障で空港が閉鎖されたら、数千人の人が多大な被害を受けることになります。

そのため、産業施設の運営者と、それらの施設の顧客という両方の立場で、今日我々が100%のアップタイムを期待するのは当然です。アップタイムを増大し生産効率を最大化するには、最高の信頼性を備えた機器を選択し、その機器を最大性能で動作させ続けるために適切な保守プログラムを実施する必要があります。

産業界では、通常はさまざまな方式を使用して機器の保守が行われます。

事後保守(Reactive maintenance)または｢故障するまで稼働｣方式は、初期コストが最も低くなります。基本的に、保守の努力は行わず、単に故障するまで機器を動作させます。これは間違いのように聞こえるかも知れませんが、保守が不可能またはコストがかかり過ぎる場合、および故障モードが予測可能であり想定済みのアプリケーションには、この方式が使用されます。重要性の低いシステム、一部の冗長システム、または故障の可能性が低いシステムには、この方式が適しています。

予防保守(Preventive maintenance)は多くの施設で使用されている標準的な方式ですが、最も高コストな方式の1つであることが実証されています。にもかかわらず、これが最適な場合もあります。この方式は、単に使用時間、稼働時間、さらに大ざっぱには前回の保守活動からの日数に基づくものです。自動車が良い例で、走行距離を使用してエンジンオイルの交換時期を判断します。この方式では、他の自動車と比べてあまり過酷な運転条件で使用されない自動車もあるという事実を考慮しません。ほとんどの運転のシナリオでは、オイルは必要以上に早く交換されている可能性が高く、時間、オイル、および代金が無駄になっています。我々はこの出費を｢保険証券｣として受け入れており、実際にオイルの交換が必要な時期を示すものがないことから、金額に見合う価値があると考えています。それを前提とした上で、機器(およびそれに付随する潤滑剤)が予測可能な形で摩耗または消耗する場合が多数存在します。腐食やその他の材質特性の変化は、サービス時間と直接相関する場合または単に経年劣化と相関する場合があります。これらの状況では、予防保守の適切性が認められます²。

予測保守(Predictive maintenance、PdM)または状態ベースの保守(Condition-based maintenance、CbM)は、故障が一般にランダムである場合、または損耗率の予測が困難である場合に効果的です。これらの方式は、どちらも長時間にわたる状態変化の追跡管理に基づいています。ほとんどの場合、アップタイムを増大しつつ長期的なコストを削減する上で、これらの方式のいずれかが予防保守よりも効果的です。しかし、機器の状態データを集めて有益な情報に変換するには、人的にも機器の面でもより多くのリソースが必要になるため、実装時の先払いコストは高くなります。

継続的状態監視(Continuous condition monitoring、CCM)は、永続的に設置されたセンサーとデータ収集システム(DAS)を使用して、最大の保護を提供しアップタイムを確保します。追加機器のコストおよびプログラムを実施するための関連トレーニング費用または契約料金は、比較的高い初期セットアップコストに相当します。見返りとして、予期せぬ機器の故障を防止することができます。故障がランダムなタイミングで発生し、状態変化を検出するためのセンサーを設置してシャットダウンの計画に必要な警告を得ることが可能な場合、通常はCCMが最良の方式となります。

事前保守(Proactive maintenance)は、先のことを考える保守哲学です。この方式の要点は、保守履歴から得た知識を使用することです。故障の根本原因分析に重点を置くことによって、将来の保守の必要性を低減するための変更を導入します。この場合の目標は、最終的に機器またはその動作環境を改善し、可能な限り故障を防止することです。

自己保守(Self-maintenance)は、最も進歩的な方式です。この方式では、機械またはシステムがそれ自体を監視します。自己診断を行い、自己較正を行って、停止に適したタイミングまで動作を継続します。この方式には、機器が高度なインテリジェンスを備え、より多くの機能を自己監視し、ループを閉じて自動的に適切な量で調整を行うことができる必要があります。最後に、機器はこれらの自動調整範囲の限界に達したことを検出し、その時点で(対応までのある程度の時間を見込んで)保守を要求する必要があります。自己保守の結果として、アップタイムが増大するのは明らかです。これらのシステムは、すでに一部の機器に導入されています。たとえば、現在のハイエンドの自動車は、単なるエンジン動作時間の記録に対する監視ではなく、実際のオイルの状態の検出に基づいてエンジンオイルの状態を表示することができます。より多くの産業機器に対してこれらの機能の追加コストが容認されるのは、単に時間の問題です。

信頼性重視保全(Reliability-centered maintenance、RCM)は、さまざまな機器および特定の施設ごとのさまざまな使用法によって適切な方式は異なるという認識に基づいて、上記のすべての保守タイプを利用します。この場合、保守方式の最適な組合せによってプラントの効率を最大化することが重視されます。

産業のアップタイムおよびその結果の収支改善に必要なものは、機器の保守のみではありません。アップタイムに関する決定の要因となるのが、保守作業のコストではない場合もあります。たとえば、醸造や製薬などのバッチプロセスでは、バッチとバッチの間で保守を行うことが可能です。しかし、1つのバッチの途中でプロセスを停止するのは非常に高コストであり、さらに重要な点として、危険を伴う可能性があります。この場合、システムのアップタイムにとって安全監視機器およびフェイルセーフシステムが非常に重要になります。

生産施設では、高電圧過渡、ケーブルの損傷、変更や修理の際の誤配線、極度の高温/低温、過酷な電磁干渉(EMI)/無線周波数干渉(RFI)、腐食性または爆発性のガス、激しい振動、湿度、および塵埃など、多数の一般的な環境条件に機器が晒される場合があります。これらの条件によって機器のセンサーおよびセンサー信号コンディショニング電子回路の精度が低下すると、読み値や制御信号の誤りが生じる可能性があります。それによって、最良の場合でも結果が劣化し、最悪の場合は重大な障害につながります。これらは、明らかに通常の機器の保守を超えた問題です。

産業環境において冗長システムの使用が許容されない場合は、高信頼性システムを設計する必要があります。機器の設計および開発プロセスの中で、FMEA (故障モード影響分析)、FMECA (故障モード影響および致命度分析)、またはFMEDA (故障モード影響および検出分析)を使用して、すべての故障モードが予想されていることを保証することができます³。FMEAの結果が合格である場合、システム内で発生する可能性のあるすべての障害をシステムが検出し、適切に対応し、致命度を低減することが確認されます。危険なプロセスを監視して問題が検出された場合に停止するために使用されるプログラマブルロジックコントローラ(PLC)など、安全性機能の実行に使用される機器には、IEC 61508などの業界標準規格も適用されます。多くの場合、これらの要件によって本来の信号経路や電源システムを監視する追加の電子回路が必要になります。これは信頼性、堅牢性、安全性、およびセキュリティの面では良いことですが、この追加回路によって、サイズの小型化、消費電力の削減、および最終的には設計の簡素化という常に存在する課題の困難さが増すことになります。

ICに自己監視機能を実装することによって、新しいデバイスは問題を通知し、異常の発生をシステムに警告することができます。これらの警告への対応はシステムプログラマまたは運用者が自由に決めることができますが、少なくともイベントのデータがキャプチャされます。さらに、新しいパワーマネージメントICは、できる限り多くの場面で消費電力を削減します。これらの高集積ソリューションのリファレンスデザインを使用すると、必要な設計時間を短縮し、迅速な市場投入を実現することができます。以下にいくつかの例を示します。

今日の一般的な問題として、デジタル入力モジュールは24Vの信号方式レベルを扱うことができるように大量の電力を消費する必要があります。これらのモジュールを小型化しようとすると、筐体内の消費電力によって熱が蓄積されるため、最大動作温度範囲が制限されます。一方で、機器が機械の近くに設置される場合は、高い動作温度範囲が要求されます。そのため、より低電力のソリューションが必要です。

インダストリアル、オクタル(8回路)、デジタル入力トランスレータ/シリアライザのMAX31911は、従来の個別部品の抵抗分圧器方式と比べて入力モジュールの消費電力を最大60%低減します。このデバイスは、IEC 61131-2 PLC規格のデジタル入力タイプ1、2、および3に適合します。このデバイスは8つの入力をシリアライズし、それらをCMOS互換の5Vレベルに変換します。調整可能なローパスフィルタによって、フレキシブルなデバウンスが可能です。シリアルSPI出力は、フォトカプラの数を削減することによって、電力、サイズ、およびコストをさらに低減します。SPIインタフェース上で有効なデータを保証するために、8ビットのデータごとにCRCコードが生成されます。同様のデバイスであるMAX31910は、高度な手法を使用してさらに低電力の入力を提供します。このデバイスは、すでに低電力であるMAX31911よりも消費電力を最大40%低減します。

8つ以上の入力を備えたシステムの場合、複数のMAX31910およびMAX31911を容易にデイジーチェーン可能です。図1は、2つのMAX31911を使用した16チャネルのソリューションを示します。追加の絶縁チャネルやSPIチップセレクトは不要であることに注意してください。

図1. デイジーチェーン構成では、EMC堅牢性を強化するために使用される外付け部品を回路基板上の各デバイスごとに備える必要はありません。ここでは16入力アプリケーション回路を示します。

あらゆるパラレル入力-シリアル出力システムに関する第1の質問は、｢有効なデータおよびスループットを維持したまま、どのくらいの速度で入力チャネルをサンプリング可能か？｣です。最も高速のモードは、デバウンスなしを選択した場合です。0sのデバウンスでは、フィルタ処理が存在しないため、8つの内蔵コンパレータの出力はチップセレクト(CS)の立下りエッジでシリアライザにラッチされます。その後の各クロックエッジで、各入力に対応する1ビットがクロックアウトされます。この場合、速度は1MHzの入力帯域幅によって制限されるため、シリアライザを8MHzのクロックで駆動すると、チャネル当り1Mbpsのスループットが実現します(8ビットモード時)。4つのチップをデイジーチェーンして32入力のアプリケーションにした場合は、シリアライザの最大クロック速度によってスループットが制限されます。これは、25MHzの最大SPIクロックレートでシリアライザから32ビットをクロックアウトすると、チャネル当りのスループットは(上記の例の1Mbpsではなく) 25MHz/32 = 0.8Mbpsになるためです。フィルタ処理をイネーブルした場合は、使用されるデバウンス時間によってスループットがさらに制限されます。

産業アプリケーションに対応するため、MAX31911はすべてのフィールド入力に±15kVの高ESD保護(HBM)を内蔵し、最大+150℃の接合部温度での動作が保証されています。このデバイスは、28ピンTSSOP-EPパッケージ(6.5mm x 9.8mm x 1.1mm)で提供されます。

産業機器がインターネットに接続される傾向は多数の利点を提供しますが、セキュリティリスクが増大するのも事実です。実際に、サイバー戦争はアップタイムと収支に対する現実的な脅威となっています。

新しいセキュリティソリューションは、人間が複雑なデータ処理の規則や手順に従って施設のファイアウォールを維持する必要のない、シリコンレベルの、標準規格ベースの暗号化、認証、およびセキュアキーストレージを提供する必要があります。マキシム・インテグレーテッドの新しいソリューションは、不正な通信を防止し、ICの外部に晒される通信を暗号化します。これらのソリューションは、膨大な種類の物理的および電気的攻撃に対して有効に対応します。マルウェアに感染するリスク、暗号鍵を盗まれるリスク、および認定済み機器を複製されるリスクが大幅に低減されます。これらの実証済みソリューションは何年も前から現金自動預入支払機やPOS (Point of Sale)端末で使用されており、金融取引と個人IDの保護に成功してきました。これらのセキュアデバイスが組み込まれている場合、システムに対するハッキングはほぼ不可能です。

マスター用のセキュアコプロセッサのDS2465と、スレーブデバイス用の1-Wire^® SHA-256セキュア認証用ICのDS28E15の、2つのICで構成された新しいSHA-256認証ソリューションについて考えます。これらのデバイスは1本のワイヤー上で通信し、チャレンジ&レスポンス認証プロセスを実現します。このアルゴリズムは、新しく接続されたモジュールが正しい結果を計算しない場合、そのモジュールを拒否します。正しい結果を計算する唯一の方法は、内部の秘密鍵を知っていることです。マスターとスレーブの両方が、この鍵をハッシュアルゴリズム内で乱数のチャレンジとともに使用する必要があります。チャレンジ&レスポンスの結果が一致しない場合、認証は失敗し、新しく接続されたデバイスは通信を許可されません。

DS2465は、1-Wireバスタイミングを処理する1-Wireマスターを内蔵しています。また、ユーザーEEPROMおよび暗号業界によって検証済みのSHA-256ハッシュアルゴリズムを備えているため、システムホストプロセッサはこれらの作業から解放されます。簡素なI²Cインタフェースがデバイスをホストに接続します。1-Wire IOラインは±8kVの高ESD保護(HBM)を備え、デバイスは-40℃～+85℃での動作が保証されています。このデバイスは、小型6ピンTSOCパッケージ(4.0mm x 4.45mm x 1.5mm)に封止されています。

DS28E15は、FIPS180-3セキュアハッシュアルゴリズム(SHA-256)に基づくセキュアなチャレンジ&レスポンス認証を組み合わせています。このデバイスは512ビットのユーザーEEPROMを備え、追加のセキュアメモリに秘密鍵を保持します。各デバイスには、固有の64ビットROM ID番号が出荷時にチップにプログラムされています。2つのデバイスが同様になることはありません。デバイスデータ(必要に応じてシークレットを含む)を事前プログラムする、セキュアな、低コストの出荷時サービスが利用可能です。たとえ契約生産環境においても、シークレットを完全な制御下に保つためのさまざまな方式が存在します。図2は、この実装が非常に簡素であることを示します。

図2. 1-Wireバス上のDS2465 SHA-256コプロセッサと3つのDS28E15セキュアスレーブの標準的実装

図2において、各スレーブデバイスは1つのDS28E15のみを内蔵する必要があります。ホストとの接続時に、チャレンジ&レスポンスプロセスが開始されます。スレーブによって適正な結果が計算された場合のみ、モジュールはマスターとの通信を許可されます。

収支の最大化に役立てるため、プロセスオートメーション、ビルオートメーション、およびモーター制御アプリケーションのアップタイムを最大化することが絶対に必要です。この点に関しては、ここで検討したさまざまな保守方式が役に立ちます。それにもかかわらず、機器の保守のみでは、プラントの運用者が最大のアップタイムを達成することも、操業の最高の安全性とセキュリティを確保することもできません。

ここで、そしてこのために、機器の設計者が重要な役割を果たします。産業市場向けに製品を開発する場合、アップタイム、安全性、およびセキュリティの目標を常に意識する必要があります。上記で解説したような高集積ソリューションが産業界で利用可能になると、システムのコスト、複雑性、サイズ、および消費電力が明らかに低減します。最終的に、これらの集積システムはお客様のアップタイム増大を手助けする上で不可欠になります。そして、それによって収支が保護されます。