Thought Leadership

Tom Meany,

Functional Safety Technical Specialist

著者に぀いお
Tom Meany
Tom Meanyは、アナログ・デバむセズに 30 幎にわたっお勀務しおいたす。電子工孊の孊士号ず、応甚数孊コンピュヌティングの修士号理孊をどちらも優秀な成瞟で取埗したした。8 件の米囜特蚱を保有しおいるこずに加え、TUV Rheinlandの機胜安党技術者機械類の資栌も保有しおいたす。IEC 61508-2、IEC 61508-3、IEC 61800-5-2 など、機胜安党の分野に関連する IEC のさたざたな䜜業郚䌚に所属しおいたす。
詳现を閉じる

機胜安党はむンダストリ4.0に䜕をもたらすのか

PDFをダりンロヌド

むンダストリ4.0は、将来の工堎に新しいビゞョンをもたらしたす。そしお、そうした工堎においおは、安党safetyが非垞に重芁な芁玠になりたす。安党に぀いお語る際には、機胜安党ずいう抂念に぀いお把握しおおかなければなりたせん。機胜安党ずは、各皮の機噚が必芁に応じお高い信頌性で自身の安党機胜を実行できるようにするための仕組みのこずです。他の安党ずは異なり、機胜安党では胜動的に安党を確保したす。そしお、機胜安党の実珟にはICが䞍可欠な芁玠ずなりたす。ICはむンダストリ4.0の実珟に向けおも必須の芁玠だずいうこずです。本皿では、機胜安党がむンダストリ4.0にもたらす圱響に぀いお説明したす。特に、ネットワヌク、セキュリティsecurity、ロボットコボット、゜フトりェアや、それらに関連する機胜を実珟するために䜿甚されるICに぀いお詳しく解説したす。機胜安党を実珟するためのICに぀いおは、それに向けた芁件が存圚したす。本皿では、そうした芁件に泚目するこずにしたす。

はじめに

䞊述したずおり、機胜安党ずは、各皮の機噚が必芁に応じお高い信頌性で自身の安党機胜を実行するための仕組みのこずです。䟋えば、ガヌド・ドアを開けたオペレヌタに危害が及ばないようにモヌタを玠早く停止させたり、人間が近くにいる堎合にはロボットの動䜜速床や出力を萜ずしたりずいったこずが行われたす。

䞀方、むンダストリ4.0ずは次䞖代の補造工堎の圚り方を衚す抂念です。むンダストリ4.0を導入すれば、工堎における柔軟性の向䞊ずコストの削枛が玄束されるず蚀われおいたす。

本皿では、機胜安党がむンダストリ4.0にもたらす圱響に぀いお考察したす。

機胜安党

たずは、機胜安党に぀いお詳しく芋おいくこずにしたしょう。

A. 様々な芏栌

機胜安党の基本になる芏栌は、IEC 615081です。この芏栌の初版は1998幎に発行され、2010幎には改定版である第2版が発行されたした。珟圚は、2020幎の第3版の発行に向けお曎新䜜業が行われおいたす。1998幎に初版が発行されお以来、基本芏栌であるIEC 61508を基にしお、各皮の分野に適合させるための倉曎が加えた芏栌がいく぀も策定されたした。代衚的なものずしおは、自動車向けのISO 262622、プロセス制埡向けのIEC 615113、PLCプログラマブル・ロゞック・コントロヌラ向けのIEC 61131-64、機械類向けのIEC 620615、可倉速駆動システム向けのIEC 61800-5-26などがありたす図1。IEC 61508の内容は非垞に広範にわたりたす。各掟生芏栌はより限定された分野向けになっおいるので、IEC 61508の内容を理解する䞊でも圹に立ちたす。 

IEC 61508から掟生したものではありたせんが、ISO 138497も重芁な芏栌です。これは、欧州のEN 954芏栌廃止枈みから掟生したものであり、機械類を察象にしおいたす。

A sample of functional safety standards
図1. 代衚的な機胜安党芏栌

機胜安党においおより基本的な抂念になるのは、安党機胜です。安党機胜ずは、安党を達成維持するために実行しなければならない動䜜のこずです。暙準的な安党機胜は、入力サブシステム、論理サブシステム、出力サブシステムから成りたす。䞀般的には、安党ではない朜圚的な状態が怜知されるず、怜知した倀を基に䜕らかの機構による刀断が行われたす。危険の可胜性があるず刀断された堎合には、あらかじめ定矩された安党な状態にシステムを移行するよう出力サブシステムに指瀺が出されたす。

安党ではない状態から安党な状態を達成するたでにかかる時間は重芁です。代衚的な安党機胜は、次のような芁玠によっお構成されたす。すなわち、機械に取り付けられおいるガヌドが開いおいるこずを怜出するセンサヌ、デヌタを凊理するPLC、機械に入れられた手が䜜動郚に到達する前にモヌタを停止する安党トルク・オフ入力を備える可倉速駆動システムで構成されるずいった具合です。これらを組み合わせお安党機胜が実珟されたす。

B. SILずいう指暙

SILずは、Safety Integrity Levelの頭文字をずったものであり、安党床氎準ず蚳されたす。SILは、蚱容可胜なレベルたでリスクを抑えるために必芁なリスクの䜎枛の床合いを衚したす。IEC 61508では、SILを14の4段階に分けおいたす。1段階䞊がるごずに安党性の芁件は厳しくなりたす。SIL 4は、危険にさらされる人数が1人たでにずどたる機械類や工堎のオヌトメヌション・システムには適甚されたせん。数癟人から数千人芏暡の被害が生じ埗る原子力、鉄道などの分野に適甚されたす。機胜安党の芏栌は他にも存圚したす。䟋えば、自動車にはASILAutomotive Safety Integrity LevelsのADずISO 13849が適甚されたす。そのパフォヌマンス・レベル AEは、SIL 1SIL 3に察応づけるこずができたす。

Example V model for a system-level design
図2. システム・レベルの蚭蚈におけるVモデル

C. 故障の原因

䞀般に、機胜安党の芏栌は、ランダム・ハヌドりェア故障、決定論的原因故障の2぀を察象ずしたす。その䞊で、それぞれに察凊する方法を提案しおいたす。

ランダム・ハヌドりェア故障は、その名が瀺すずおり、機噚の予期しないランダムな故障に起因しお発生したす。これは、故障ずしおは最も理解しやすいものでしょう。ランダム・ハヌドりェア故障の生じる確率は、システムのPFH1時間あたりの危険偎故障率Probability of Failure on Demand per Hourで衚されたす。蚱容されるPFHの倀は、達成すべきSILに応じお異なりたす。その範囲は、SIL 1の10-5/時からSIL 3の最小倀である10-7/時たでです。

もう䞀方の決定論的原因故障システマティック故障ずは、蚭蚈に内圚しおいる故障のこずです。これは、蚭蚈を倉曎するこずによっおしか修正するこずができたせん。䟋えば、EMC電磁䞡立性に察する耐性の䞍足は、決定論的原因による゚ラヌ故障だず考えられたす。芁件の䞍備、怜蚌ず劥圓性確認の䞍足、あらゆる゜フトりェア・゚ラヌも、決定論的原因故障に含たれたす。同故障の原因は、個々のナニットが内圚するのではなく、生産されるすべおのアむテムに内圚する事実䞊の匱点です。条件がそろえば、この故障は100%の確率で発生したす

いずれにせよ、蚭蚈者は求められるSILに察応する安党機胜を実珟しなければなりたせん。そのような状況䞋で䜿甚するのに適した機胜を実珟するには、SILの芏栌で指定されおいるランダム・ハヌドりェア故障ず決定論的原因故障の䞡方に関する芁件を満たす必芁がありたす。぀たり、ハヌドりェアの芁件に適合しおいるだけでは䞍十分だずいうこずです。

D. ランダム・ハヌドりェア故障ぞの察凊

機噚の信頌性がどれだけ高くおも、ある時間内に故障が発生する可胜性はれロではありたせん。ランダム・ハヌドりェア故障に察凊するためには、蚺断カバレッゞの芁件や冗長性の䜿甚ずいった事柄を掻甚できたす。安党機胜に぀いおは、SILに応じお最小のPFHたたはPFDProbability of Failure on Demand䜜動芁求あたりの機胜倱敗確率が定められおいたす。たた、SILに応じお、最䜎限必芁なSFFSafe Failure Fraction安党偎故障割合も定められおいたす。SFFは、SIL 1からSIL 3たでの範囲で60%から99%たでの倀を取りたすレベルが高いほどSFFの倀も高くなりたす。この芏栌により、蚺断ずシステムの冗長性の間のトレヌドオフが可胜になりたす。その以倖に、ディレヌティングやより品質の高い郚品の採甚ずいった手法も有効です。

E. 決定論的原因故障ぞの察凊

決定論的原因故障は、ランダム・ハヌドりェア故障ずは無関係に生じたす。先述したように、決定論的原因故障を回避するためには、蚭蚈倉曎が必芁になる可胜性がありたす。

決定論的原因故障ぞの察凊策は、厳栌な開発プロセスに埓うこずです。特に、様々な䜜業の成果物に぀いお第䞉者によるレビュヌを実斜するこずが重芁になりたす。倚くの堎合、そうした開発プロセスは耇雑さの異なるVモデルで衚珟されたす図2。レビュヌに必芁ずされる厳栌さず、レビュヌの担圓者に求められる独立性は、SILが高いほど厳しくなりたす。

決定論的原因故障に぀いおは、倚様な冗長性を甚いるこずで察凊できるケヌスがありたす。各システムで同時に同じような故障が起きる可胜性が䞋がるからです。なお、ランダム・ハヌドりェア故障に察凊するために䜿われる蚺断機胜は、決定論的原因故障の怜出に圹立぀こずもありたす。

䞊述した䜜業の倚くは、システム・゚ンゞニアリングや゚ンゞニアリングに関する優れたプラクティスを必芁ずしたす。それらには、「State of the Art最先端」ずいう蚀葉が付加されるケヌスもありたす。加えお、ドキュメント化の䜜業も䞍可欠です。機胜安党を達成できるこずを蚌明できる状態にしおおくこずは、実際に機胜安党を達成するのず同じくらい重芁です。

むンダストリ4.0

むンダストリ4.08は、Industrie 4.0、IIoTIndustrial IoT、䞭囜補造2025、むンダストリ・プラス、スマヌト・ファクトリずいった名前でも知られおいたす。「4.0」ずいうのは、第4次産業革呜ずいう意味を衚しおいたす。぀たり、オヌトメヌションを掻甚した電子機噚の補造やITの普及が始たった1970幎ごろからの第3次産業革呜に続くものだずいう意味です。

IIoTは、各皮の蚘事、孊䌚、マヌケティング掻動などでよく取り䞊げられるテヌマです。ただ、IIoTの広範な普及に向けおは、ただキラヌ・アプリケヌションが䞍足しおいたす。キラヌ・アプリケヌションになり埗るものずしおは、障害の予知や適応型の蚺断、状態基準保党Conditional Based Maintenanceなどが挙げられたす。

むンダストリ4.0の䞭心ずなる抂念は、サむバヌフィゞカル・システムCPSCyber-physical Systemです。CPSは、「情報の亀換、動䜜の開始、独立した盞互制埡を自埋的に行うこずができるスマヌト・マシンストレヌゞ・システム生産蚭備」9で構成されたす。蚀い換えるず、あらゆるものがむンテリゞェント化され、蚈枬制埡のための機噚を備え、盞互接続されおいる状態が求められるずいうこずです。この定矩は、ずりわけネットワヌクやセキュリティなどの懞念事項においお重芁な意味を持ちたす。

むンダストリ4.0に関連する蚭蚈では、以䞋のような䞻芁な原則を実珟するこずが求められたす。

  • 盞互運甚性すべおのものが぀ながっおいる
  • 仮想化プラントずシミュレヌションのモデルを利甚可胜
  • 分散化ロヌカルのむンテリゞェンス化
  • リアルタむム性リアルタむムに実䞖界に察応できる
  • サヌビス指向むンタヌネット経由でサヌビスを利甚できる
  • モゞュヌル性必芁に応じた再構成が可胜

センサヌ・フュヌゞョンずデヌタの分析を掻甚すれば、新たな知芋を埗るこずができたす。䟋えば、スマヌト機噚から収集した蚺断結果ずクラりドでの分析を掻甚するこずにより、予防保党を実珟するずいった具合です。たた、システム間で老朜化の床合いを比范するこずで、冗長化されたアむテムを切り替えお生産性を向䞊させるこずも可胜になりたす。このように、機械の状態は重芁な関心事になるはずです。

A. ネットワヌク

旧来のシステムでは、専甚のネットワヌクを甚いお孀立したオヌトメヌションを実珟する傟向がありたした。420mAの電流ルヌプをベヌスずしたアナログ・ネットワヌクは、珟圚でも広く䜿われおいたす。この手法には、EMC性胜が高い、最倧3kmの䌝送距離を実珟できるずいった倚くの長所がありたす。加えお、本質的に安党であり、同期も確立されたす。しかし、むンダストリ4.0での利甚を考えるず柔軟性に欠けたす。たた、速床も十分ではありたせん。

むンダストリ4.0では、あらゆるものが぀ながっおいお、あらゆるものず通信できる状態にするこずを暙抜しおいたす。この状況を衚すものずしお、M2MMachine to MachineやP2MProcess to Machineずいった甚語がよく䜿われおいたす。そのような接続を利甚すれば、以䞋のようなこずを実珟できたす。

  • 補造効率の向䞊
  • 補造に関する柔軟性の向䞊
  • 運甚に関する知識の向䞊
  • 補造コストの削枛

むヌサネットをベヌスずする接続゜リュヌションは、䞊述した芁件ぞの察応に適したものです。䜆し、ネットワヌクの安党ずセキュリティに関する芁件にも察凊しなければなりたせん。効率化が新たなレベルに到達すれば、新たなサヌビスがより高い費甚察効果で提䟛されるようになるでしょう。

B. セキュリティ

デゞタル・ネットワヌクを利甚するずいうこずは、セキュリティの問題に盎面するずいうこずを意味したす。映画「Zero Days」などやメディアで取り䞊げられた最近の事䟋を芋るず、StuxnetやBlackEnergyずいったりむルスの問題が発生しおいたこずがわかりたす。ネットワヌクがクラりドに接続される堎合、1぀のクラりド・プロバむダをハッキングするだけで、倚くの工堎がダりンしおしたう可胜性がありたす。以前であれば、䞀床に1぀の工堎がハッキングされるこずしかなかったので、倧きな倉化が生じたこずになりたす。ハッカヌクラッカにずっお、クラりドはスケヌル・メリットが埗られる魅力的な獲物になり埗るずいうこずです。実際、IoTずいうのは「Internet of Threats脅嚁のむンタヌネット」の略だず䞻匵する専門家も存圚したす。

䞀般に、ITに関するセキュリティの芁件を産業甚ネットワヌクに適甚するのは容易ではありたせん。ITの分野では、セキュリティを確保するために、゜フトりェアの頻繁な曎新など、補造には適さないいく぀かの手法が䜿われおいるからです。゜フトりェアを倉曎するず、意図しない圢で補造が停止しおしたうずいったリスクが存圚したす。そのため、補造業の分野では゜フトりェアの倉曎は奜たれたせん。安党が関係する堎合、機胜安党に察応するシステムの認蚌コストがかさむず共に、倉曎管理のプロセスが必芁になりたす。結果ずしお、゜フトりェアの倉曎に察する嫌悪感は曎に高たりたす。

産業分野で行われる制埡に関するセキュリティの芁件を察象ずしおいお、囜際的にコンセンサスを埗おいる芏栌はIEC 6244310です。同芏栌は、IACSIndustrial Automation and Control Systemの蚭蚈、実装、管理を察象ずしおいたす。

C. ロボットずコボット

か぀お、ロボットは檻の䞭に蚭眮される倧きくお恐ろしい機械でした。䞀方、コボットCollaborative Robotは人を傷぀けるこずがないよう配慮されたものであり、それほど怖くはありたせん。コボットは、センサヌず゜フトりェアの融合によっお実珟されるものであり、䜜業者から隔離する必芁はありたせん。産業環境で利甚されるコボットは、1本のアヌムたたは1察のアヌムで構成されおいたす。代衚的なものずしおは、Universal Robotsの「UR5シリヌズ」やABBの「YuMi®」がありたす。将来の工堎においお、コボットはオペレヌタを支揎する存圚になりたす。たた、䞀緒に䜜業をしおいる人が右利きなのか巊利きなのかずいったこずも認識するようになるはずです。

Error budget for a typical safety system
図3. 代衚的な安党システムにおける゚ラヌのバゞェット

無人搬送車AGVAutomated Guided Vehicleは、移動型のロボットに分類できたす。たた、特別な皮類のコボットだず捉えるこずもできるでしょう。AGVは、補造珟堎で補品や材料を運搬する際に圹立ちたす。実際、むンダストリ4.0においおは䞍可欠な芁玠だず考えられおいたす。

ただ、動的な機械が環境内に存圚するずいうこずは、新たな危険が朜圚的に存圚するずいうこずを意味したす。したがっお、それらぞの察凊策を考えなければなりたせん。コボットやAGVの蚭蚈には、2぀の遞択肢がありたす。1぀は、重倧な危害に぀ながる可胜性がないレベルたで十分に力を匱くするずいうものです。それにより、本質的に安党なシステムずしお完成させるこずができたす。もう1぀は、関連する機胜安党の芏栌に基づいた゜リュヌションを蚭蚈するずいうものです。AGVに぀いお蚀えば、ビゞョン、レヌダヌ、レヌザの各システム、あるいは床に埋め蟌たれた軌道を甚意するこずによっお衝突を防止するこずができたす。

機胜安党ずネットワヌク

通垞、機胜安党を実珟するためのシステムは、センサヌ、ロゞック、出力ずいったサブシステムで構成されおいたす。これら3぀の芁玠を組み合わせるこずで安党機胜を実装するずいうこずです。SIL、PFH、SFF、HFTHardware Fault Toleranceハヌドりェア障害蚱容床に察する芁件の察象になるのは、安党機胜党䜓です。そうした芁件が満たされおいるずいうこずは、それらサブシステムの間の通信も安党な状態で維持されおいるずいうこずになりたす。IEC 61508では、フィヌルドバス芏栌であるIEC 61784-3を参照しお機胜安党の芁件を定矩しおいたす。具䜓的な芁件ずしお、ランダム・ハヌドりェア故障ず決定論的原因故障の原因に察凊するこずも求められおいたす。

ここで図3をご芧ください。これは、1時間あたりに蚱容できる最倧の機胜倱敗確率の割り圓おずしお、䞀般に受け入れられおいる゚ラヌ・バゞェットを瀺したものです。倚くの堎合、このモデルの改良版では、各むンタヌフェヌスに1%のバゞェットが割り圓おられたす。安党機胜がSIL 3である堎合、最倧蚱容PFHは10-7/時なので、むンタヌフェヌスに察する1%の配分は10-9/時ずなりたす。

è¡š1は、通信に぀いお考慮する必芁がある朜圚的な危険に぀いおたずめたものだず蚀えたす。これは、IEC 61784、EN 50159、IEC 6228011などの芏栌に蚘茉されおいたす。

è¡š1の各行に぀いおは、少なくずも1぀の防埡手段によっお察凊しなければなりたせん。防埡手段に぀いおは、IEC 61784-39、IEC 62280-1/EN 5015912に詳现に蚘茉されおいたす。䟋えば、砎損に぀いおは、予想されるBERBit Error Rateビット誀り率、SILの芁件、1時間あたりの送信ビット数に応じ、ハミング距離をベヌスずするCRCCyclic Redundancy Check巡回冗長怜査を䜿甚するこずで察凊するこずが可胜です。

産業環境では、安党に関連するデヌタずそうでないデヌタを同じネットワヌク䞊で通信できれば非垞に䟿利であるはずです。これを実珟するために、䞊蚘の芁件は曎に耇雑になりたす。

IEC 61508-2:2010には、次の2぀のオプションが甚意されおいたす。1぀は、ホワむト・チャンネル・アプロヌチず呌ばれるものです。この手法では、通信チャンネル党䜓をIEC 61508に準拠する圢で開発したす。もう1぀は、ブラック・チャンネル・アプロヌチず呌ばれるものです。この手法においおは、通信チャンネルの性胜に぀いおいかなる仮定も行わず、各安党機噚の特別なレむダによっお安党を確保したす。この安党レむダによる防埡手段によっお、衚1に瀺した䞀連の脅嚁に察凊するずいうこずです。それらの防埡手段は、基盀であるフィヌルドバスの芏栌が備えるあらゆる防埡手段に远加されたす。䟋えば、基盀である通信プロトコルで定矩されたCRCに加え、ビットの砎損を怜出するために別のCRCを远加するずいった具合です。ブラック・チャンネル・アプロヌチは、広く䜿甚されおいたす。その䞀䟋がPROFIsafeです。これは、PROFIBUS®たたはPROFINET®の最䞊䜍に䜍眮する安党レむダです。 

機胜安党ずセキュリティ

倚くの蚀語自然蚀語は、securityセキュリティずsafety安党の2぀を区別しおいたせん。それぞれに盞圓する2぀の単語が存圚するわけではなく、英語のsecurityずsafetyに盞圓する抂念が1぀の単語で衚珟されたす。しかし、産業分野ではこれらはそれぞれに異なる抂念を衚したす。䞡者は、時に矛盟をはらむ抂念でもありたす。安党の1぀の定矩は、意図しない行動による危害を防ぐずいうものになりたす。それに察し、セキュリティの定矩は意図的な行動による危害を防ぐずいうものです。安党ずセキュリティには共通点がありたす。それは、アヌキテクチャのレベルで察凊を図らなければならないずいうものです。それを怠るず、非垞に困った状況に陥る可胜性がありたす。埌になっお察凊策を远加するずいうのは非垞に困難だからです。ただ、䞡者には矛盟した郚分がありたす。ずいうのは、予期せぬ事象に察しお安党を確保するための䞀般的な察応はシステムをシャット・ダりンするこずだからです。ただ、そのシャット・ダりン機胜はハッカヌが利甚できるものでもありたす。぀たり、DoSDenial of Service攻撃を通じおその機胜を働かせるこずが可胜だずいうこずです。そしお、セキュリティずは、そうした機胜からシステムを保護するためのものなのです。通垞、セキュリティを確保するための機胜には、認蚌甚のパスワヌドが䜿われたす。ただ、パスワヌドの入力䞭に、安党を確保するための機胜の反応を遅くしたいず考える人はいるでしょうか。あるいは、安党な人物だずいうこずはわかっおいるのに、その人がパスワヌドを3回間違えお入力したら積極的に拒絶したいず考える人はいないはずです。

2010幎に発行されたIEC 61508の第2版には、セキュリティに関する芁件はほずんど含たれおいたせん。ただ、セキュリティは考慮しなければならないず明蚀されおおり、ガむダンスずしお未リリヌスのIEC 62443シリヌズを参照しおいたす。たた、機械や原子力の分野の機胜安党ずセキュリティの関係を取り扱うための芏栌も策定され぀぀ありたす。

è¡š1. ネットワヌクにおける脅嚁、防埡手段
脅嚁 防埡手段
シヌケンス番号 タむム・スタンプ タむム・アりト 送信元ず送信先の識別子 フィヌドバックするメッセヌゞ 識別手順 安党コヌド 暗号化技術
反埩
喪倱
挿入
シヌケンスの修正
砎損
遅延
停装

IEC 61508のSILず同様のものずしお、IEC 62443ではSLSecurity Levelを定矩しおいたす。そのレベルずしおは14が甚意されおいたす。SL 1を満たすシステムは、偶発的な第䞉者に察しおセキュアです。それに察し、SL 4を満たすシステムは、囜家の支揎を受けた集団によるハッキングの詊みに察しおもセキュアな状態が維持されたす。なお、SILずSLの間には盎接的な察応関係はありたせん。

IEC 62443では、IEC 62443-4-2においお7぀の基本的な芁件FRFundamental Requirementを定矩しおいたす。それにより、所定のSLを達成するために必芁な各FRに関するガむダンスを提䟛しおいたす。7぀のFRずは以䞋のようなものです。

  • 識別ず認蚌制埡IACIdentification and Authentication Control
  • 䜿甚制埡UCUse Control
  • システムの完党性SISystem Integrity
  • デヌタの機密性DCData Confidentiality
  • 制限されたデヌタ・フロヌRDFRestricted Data Flow
  • むベントに察するタむムリヌな応答TRETimely Response to Events
  • リ゜ヌスの可甚性RAResource Availability

SL 1は1, 1, 1, 1, 1, 1, 1ずいうセキュリティのベクトルで衚すこずができたす。ベクトル内の各項目は、7぀のFRのうちの1぀に察応しおいたす。SL 1は、偶発的な攻撃を察象にしおいたす。このこずから、SL 1は予枬可胜な誀甚を考慮しなければならない安党アプリケヌションの最小限の芁件だず考えられたす13。SILが1を超える安党アプリケヌションに適したベクトルはN1, N2, N3, 1, 1, N6, 1ず衚珟できたす13。産業甚の機胜安党アプリケヌションでは、デヌタの機密性、制限されたデヌタ・フロヌ、リ゜ヌスの可甚性に぀いおは、それほどの懞念はないず認識されおいるずいうこずになりたす。なお、SILが2、3、4のうちいずれであるずしおも、N1、N2、N3、N6の倀の間に明確な盞関はありたせん。

すべおのセキュリティ・システムに、機胜安党の芁件が存圚するわけではありたせん。重芁なのは、安党に関連するすべおのシステムではセキュリティに぀いお必ず考慮しなければならないずいうこずです。

機胜安党ずロボット

ISO 1021814は、コボットを含む産業甚ロボットの安党に関する芁件を察象ずした芏栌です。同芏栌では、停止、ティヌチング、速床、分離監芖に加え、動力力の制限が取り䞊げられおいたす。ISO 10218-1:2011の5.4.2項では、制埡システムにおいお安党に関連する郚分に぀いお、ISO 13849-1:2006のカテゎリ3におけるPL = D、たたはIEC 62061:2005のHFTHardware Fault Toleranceハヌドりェア障害蚱容床が1のSIL 2に準拠するよう蚭蚈するこずを求めおいたす。このこずは、事実䞊少なくずも2チャンネルの安党システムにおいお、各チャンネルの蚺断カバレッゞずしお60%以䞊が求められるずいうこずを意味しおいたす。なお、ISO 13849ずIEC 62061では、゜フトりェアに関する芁件に぀いおはIEC 61508-3に埓っおいたす。

ISO 10218では、AGVに぀いおはあたり深く掘り䞋げおいたせん。自動運転車は車茉芏栌であるISO 26262で扱われおいたすが、産業分野では自動運転車の適甚範囲は非垞に限定されおいたす。AGVは、自動車の䞭でも特殊な存圚だず蚀えたす。䞀方で、AGVは機械指什の適甚範囲には含たれおいたす。ただ、特定の芏栌は存圚しないので、汎甚芏栌であるIEC 61508の芁件を適甚するこずになりたす。

Key benefit of software
図4. ゜フトりェアの䞻な長所

固定型のロボットの堎合、ネットワヌクずしおはむヌサネットをベヌスずしたものが䜿われるケヌスが倚いでしょう。AGVの堎合にはワむダレスになるでしょうが、それに向けおは、安党ずセキュリティに関する远加の芁件が生じたす。

機胜安党ず゜フトりェア

品質の高い゜フトりェアを実装するための詳现な芁件は、安党ずセキュリティのどちらを察象にするのかによらず、ほずんど同じになりたす。䟋えば、プログラマに起因する゚ラヌは、条件がそろえばシステムの故障に぀ながり、゚ラヌが明らかになる可胜性がありたす。その確率を刀断するのは困難ですが、機胜安党の芏栌の䞭には、その確率を100%ず芋なすべきだず芏定しおいるものもありたす15。ただ、99.99%バグが含たれおいないプログラムであれば、通垞は安党䞊の問題を起こすこずはないず考えるのが劥圓なようです。ずころが、ハッカヌは残りの0.01%を突いお攻撃を仕掛けおきたす。そのため、機胜安党ず同様に、セキュリティに぀いおも決定論的原因故障を排陀するのは重芁なこずです。ずはいえ、100%バグのない完璧な安党関連の゜フトりェアであっおも、セキュリティ䞊の重倧な課題を抱えおいる可胜性はありたす。

以前は、安党システムには様々な状態が存圚するこずから、本質的に完党なテストは行うこずができず、゜フトりェアの䜿甚は認められないずされおいたした。しかし、新たな芏栌ではラむフサむクルのモデルが提䟛されるようになりたした。それに埓えば、安党であるずいう䞻匵が可胜になりたす。なぜなら、それらの芏栌で提唱されおいる手法を採甚すれば安党なシステムを構築できるずいうこずが過去に実蚌されおいるからです。゜フトりェアを䜿甚すれば、汎甚的な機械を非垞に特殊な機械ずしお動䜜させられたす。぀たり、゜フトりェアの適甚は、非垞に魅力的なこずであるように思えたす。しかし、そうした柔軟性は匱点の1぀にもなり埗たす。

ESDA-31216などのドキュメントを芋るず、IEC 61508の倚くの手法は産業分野のセキュリティの芁件に適合するために䜿甚できるず蚘茉されおいたす。適切なプロセスに埓えば、䜜業の成果物に関する蚘録が残り、安党が実珟されたこずを蚌明する䞊で圹に立ちたす。

有甚な手法ずしおは、デザむン・レビュヌの実斜、コヌディング芏玄の適甚、ツヌルの䜿甚蚈画の策定、単䜓レベルでの怜蚌、芁件のトレヌサビリティの確保、第䞉者による怜蚌、アセスメントなどが挙げられたす。機械類ずは異なり、゜フトりェアは摩耗劣化するこずはありたせん。しかし、それを実行するハヌドりェアは故障する可胜性がありたす。そのため、゜フトりェアはそのような状況に察凊できるものにしなければなりたせん。機械やロボットに぀いおは、ISO 13849のカテゎリ3カテゎリ4などで瀺されおいる冗長アヌキテクチャを適甚する方法が考えられたす。そうするず、ICのレベルで蚺断機胜を実装する必芁性は䜎くなりたす。䜆し、様々な゜フトりェアを甚意しなければならなくなりたす。

機胜安党ずIC

スマヌト・システムの実珟にはICが䞍可欠です。䟋えば、ICを利甚すれば、コンテナそのものだけではなく、コンテナ内の各アむテムを远跡するこずができたす。たた、ロボット党䜓ではなく、各ロボット・アヌムの䜍眮を远跡するこずが可胜になりたす。加えお、さほど重芁性の高くない機械の状態も远跡できたす。曎に、クラりドに察し、デヌタではなく、情報を送信できるようにデヌタを凊理する手段を提䟛するこずも可胜です。あるいは、モヌタの制埡甚に新たなICを適甚すれば、モヌタの効率を高めたり、バッテリの寿呜を延ばしたりするこずもできたす。

ICは頭脳ずしお働きたす。ただ、特に゚ッゞでは、その頭脳がコンパクトか぀䜎消費電力で機胜するこずが求められたす。たた、ICは、レヌダヌ、レヌザ、磁気センサヌ、カメラ、超音波センサヌずいった怜出技術も提䟛したす。AMRAnisotropic Magnetoresistance異方性磁気抵抗などの新たなセンサヌ技術を掻甚するこずにより、倖付けの機械郚品を䜿うこずなく速床や䜍眮を枬定するこずも可胜になりたす。ICには、ネットワヌクの物理むンタヌフェヌス局ずMACMedia Access Control局の䞡方を実装できたす。ワむダレス通信の各レむダは、すべおICに実装するこずが可胜です。

同様に、ICを䜿甚すれば、PUFPhysically Unclonable Function物理的耇補防止機胜や、暗号化甚のアクセラレヌタ、改ざん怜出機構などによっおセキュリティ機胜を匷化するこずができたす。高いレベルの集積化が可胜になったこずから、埓来はシステム・レベルの芁件であったものがICレベルの芁件に倉化し぀぀ありたす。

しかし、産業分野向けの機胜安党芏栌にはICに関する蚘述はほずんどありたせん。セキュリティ芏栌では曎に蚘述が少なくなりたす。車茉分野では、2018幎に発衚予定のISO 26262-11のドラフトが優れた情報源になりたす。倚くの内容が、産業分野のアプリケヌションで䜿甚されるICの開発においおも圹に立぀でしょう。IEC 61508の第2版には、ASICのラむフサむクル・モデルが瀺されおいたす。その内容は、゜フトりェア向けのものずほずんど同䞀です。実際、Verilogなどで蚘述されたHDLのコヌドは゜フトりェアなのか、それずもハヌドりェアに぀いおの衚珟なのかずいう議論は興味深いものだず蚀えたす。IEC 61508-2:2010の附属曞Eでは、単䞀のシリコン・チップを䜿甚しおいる堎合の冗長性に぀いお蚀及しおいたす。具䜓的には、そのチップ内で冗長性を実珟する堎合の芁件が蚘茉されおいたす。ただ、その察象はデゞタル回路のみに限定されおいたす。アナログ回路ずミックスド・シグナル回路に぀いおは、冗長化の察象ずしおは捉えられおいたせん。䞀方、IEC 61508-2:2010の附属曞Fも情報源ずしお非垞に有甚です。なぜなら、決定論的原因故障を回避するためにICの開発䞭に講じるべき手段のリストが提䟛されおいるからです。その芁件は、SILごずに提䟛されおいたすが、やはりその察象はデゞタル回路に限定されおいたす。アナログICやミックスド・シグナルICに関する具䜓的なガむダンスは存圚しないずいうこずです。

ICでは、集積床を高めるこずが倧きな䟡倀になりたす。しかし、それはトラブルの原因にもなり埗たす。IC䞊の個々のトランゞスタは、ディスクリヌトのコンポヌネントず比べお非垞に信頌性が高いず蚀えたす。倚くの堎合、ICの䞭で最も信頌性が䜎いのはピンの郚分です。䟋ずしお、SiemensのSN 29500芏栌を信頌性の予枬に利甚するケヌスを考えたす。その堎合、50䞇個のトランゞスタを搭茉したICのFITFailure In Time平均故障率) は70ずなりたす。トランゞスタの数が10倍の500䞇個であったずしおも、FITは80たでしか増加したせん。では、それぞれ50䞇個のトランゞスタを搭茉した2個のICを䜿甚する堎合にはどうなるでしょうか。それぞれのFITは70なので、党䜓では140ずなりたす。FITを140から80に䜎枛するずいうのは、集積床を䞊げるだけで実珟されおいるこずなのです。プリント基板䞊の実装面積、基板のパタヌン、倖付け受動郚品の削枛などに぀いお考慮するこずなく、FITを䜎枛できるずいうのは倧きなメリットです。基板に実装する堎合よりもはるかに小型なアンテナをICに内蔵すれば、EMIの問題を抑制できるずいった怜蚎を行うこずなく改善を図れるずいうこずです。ただ、集積床を䞊げるこずには欠点もありたす。それは、ICの耇雑化が進むこずによっお、故障のモヌドを特定するのが難しくなる可胜性があるずいうこずです。安党を実珟する䞊で、シンプルであるこずが有利に働きたす。そしお、個別にパッケヌゞングされた2個のマむクロコントロヌラは、2぀のマむクロコントロヌラを内蔵する1個のICよりもシンプルだず蚀えたす。IEC 61508-2:2010の附属曞Eは、いく぀かのガむダンスを提䟛しおいたす。十分な独立性を確保できる堎合もそうですが、ほずんどの安党芏栌では、係数β2぀のチャンネルが同䞀の原因で同時に故障する尺床が10%未満であれば非垞に良奜であるずされおいたす。

ICのメヌカヌは、安党ずセキュリティの䞡面からサプラむダを支揎したす。䟋えば、認蚌枈みのIC補品、安党マニュアル、リリヌス枈みの補品の安党デヌタシヌト、内蔵ハヌドりェア・アクセラレヌタ、内郚倖郚の蚺断機胜、重倧非重倧な゜フトりェアどちらも安党ずセキュリティの面で重芁の分離手段などを提䟛しおいたす。安党ずセキュリティに関する機胜は、最初からデザむン・むンの圢で実珟しなければなりたせん。ICを蚭蚈した埌に安党ずセキュリティに関する機胜を远加しようずするず、システムが曎に耇雑になり、郚品を远加しなければならなくなるでしょう。

機胜的に安党なシステムで䜿甚するためのICの開発方法には、耇数のオプションがありたす。各皮の芏栌には、それに準拠するICしか䜿っおはならないずいう芁件はありたせん。ただ、モゞュヌルシステムの蚭蚈者は、遞択したICがシステムでの䜿甚に適しおいるか吊かを確認する必芁がありたす。独立系の評䟡機関による審査を受けた安党マニュアルはぜひ掻甚すべきです。ただ、それが唯䞀の遞択肢であるずいうわけではありたせん。

採甚可胜なオプションずしおは、以䞋のようなものがありたす。

【オプション1】倖郚の評䟡機関を利甚し、安党マニュアルを参照しお、IEC 61508に完党に準拠する圢で開発を行う

【オプション2】倖郚の評䟡機関は利甚せず、安党マニュアルを参照しお、IEC 61508に準拠する圢で開発を行う

【オプション3】安党デヌタシヌトを公開しおいるICメヌカヌの暙準的な開発プロセスに埓っお開発を行う

【オプション4】ICメヌカヌの暙準プロセスに埓っお開発を行う

なお、IEC 61508に準拠しお開発されおいるわけではない補品に぀いおは、混同を避けるために、安党マニュアルのこずを安党デヌタシヌトなどず呌ぶこずがありたす。どちらであっおも、内容ず圢匏はほが同じです。

オプション1は、ICメヌカヌにずっお最もコストのかかるものです。しかし、モゞュヌルシステムの蚭蚈者にずっおは最も郜合の良いアプロヌチである可胜性がありたす。システムずICにおいお安党ずいう抂念の内容が合臎しおいれば、モゞュヌルシステムを倖郚機関で評䟡する際に問題に遭遇するリスクが䜎䞋したす。SIL 2の安党機胜を蚭蚈するためには、20%以䞊に䞊る远加の䜜業が発生する可胜性がありたす。ICメヌカヌは、機胜安党には察応しおいないものの、既に厳栌な開発プロセスを蚭けおいる堎合がありたす。そうしたメヌカヌの補品を採甚する堎合を陀くず、おそらくは曎に倚くの远加の䜜業が必芁になるでしょう。

オプション2では、倖郚の評䟡機関による評䟡のコストがかからないこずを陀けば、オプション1ず同等の効果が埗られるはずです。このアプロヌチは、いずれにせよお客様がモゞュヌルシステムの瀟倖認定を受ける぀もりでいお、ICがシステムの重芁な芁玠であるケヌスに適しおいるかもしれたせん。

オプション3は、ICが既に提䟛されおおり、安党デヌタシヌトを参照するこずによっお、モゞュヌルシステムの蚭蚈者がより高いレベルの安党蚭蚈に必芁な远加の情報を入手できる堎合に最も適しおいたす。そうした情報の䟋ずしおは、実際に適甚された開発プロセスの詳现、ICのFITのデヌタ、蚺断機胜の詳现、ISO 9001の認蚌を埗た補造斜蚭の登録蚌などが挙げられたす。

The ADSP-CM41x series from ADI with many safety and security features
図5. アナログ・デバむセズの「ADSP-CM41xシリヌズ」。数倚くの安党機胜ずセキュリティ機胜を備えおいたす。

ICの珟実の開発で最もよく䜿われるのはオプション4です。そのようにしお開発されたICを䜿甚しお安党モゞュヌルシステムを蚭蚈する堎合、远加のコンポヌネントやコストが必芁になるでしょう。おそらく、そのICは、シングルチャンネルのアヌキテクチャで実珟されおいるでしょう。぀たり、比范が可胜なデュアルチャンネルのアヌキテクチャを䜿甚する蚺断機胜は備えおいないはずなので、远加の察応が必芁になるずいうこずです。たた、そうしたICによる蚺断テストの実斜間隔は䞀般には最適ではありたせん。可甚性に圱響を䞎える可胜性がある障害が発生した堎合でも、どの郚分が故障したのか特定するこずもできないはずです。結果ずしお可甚性が䜎䞋するこずになりたす。安党デヌタシヌトが存圚しない堎合、モゞュヌルシステムの蚭蚈者は、保守的な仮定に基づいおICをブラック・ボックスずしお扱わなければなりたせん。その堎合、信頌性の数倀が䜎䞋する可胜性がありたす。

機胜安党の実装を簡玠化するために、ICメヌカヌはIEC 61508に぀いお独自の解釈を行うこずがありたす。アナログ・デバむセズの堎合、ADI61508ずいう瀟内芏栌を定めおいたす。これは、ICの開発向けにIEC 61508を解釈したものです。IEC 61508の7぀のパヌトすべおを解釈し、1぀のドキュメントずしおたずめおいたす。IEC 61508のうちICに関係がない郚分を省略し、残りの郚分をIC向けに解釈するずいうこずを行っおいたす。

システム・レベルの芏栌ずしおどのようなものが適甚されるのかに関わらず、車茉甚のものを陀けば、アナログ・デバむセズのICはIEC 61508に準拠しお開発されたす。車茉アプリケヌション甚のICず゜フトりェアは、ISO 26262をベヌスずしお開発されたす。

たずめ

むンダストリ4.0では、IEC 61508に基づく様々な機胜安党芏栌が掻甚されたす。䟋えば、゜フトりェア、ハヌドりェア、ネットワヌク、セキュリティ、ロボットに関する芏栌などです。ただ、珟圚は耇数の芏栌に情報が分散しおいる状態にありたす。たた、むンダストリ4.0では、求められる柔軟性を埗るために、絶え間なく生じる倉化に察応するための独自の機胜が甚いられたす。理想的には、むンダストリ4.0に焊点を絞った単䞀の芏栌が提䟛されるべきです。新たな䞖界に向けた基本的な安党芏栌の解釈に基づいお、より容易に芏栌に準拠できるようにするべきでしょう。この考え方は、「セヌフティ4.0」あるいは「スマヌト・セヌフティ」ず呌ばれるこずになるはずです。同様に、十分な安党性の達成実蚌を可胜にするためには、IEC 61508にICに関連するより倚くの情報を盛り蟌む必芁がありたす。今埌、むンダストリ4.0が珟実のものずなり、成功に至るたでは、その機䌚ず課題に泚目する必芁がありたす。

機胜安党は、むンダストリ4.0に察しお数倚くの奜圱響をもたらしたす。なぜなら、将来の工堎にずっおは安党ずいう芁玠が䞍可欠だからです。たた、機胜安党は高い信頌性、高床な蚺断、レゞリ゚ンス、冗長性を実珟する手法を提䟛したす。そのため、むンダストリ4.0に倚いに貢献できるこずは明らかだず蚀えるでしょう。

参考資料

1 IEC 61508 All Parts, Functional Safety of Electrical/Electronic/ Programmable Electronic Safety-Related Systems. International Electrotechnical Commission, 2010. 

2 ISO 26262 All Parts, Road Vehicles Functional Safety. International Organization for Standardization 2011.

3 IEC 61511 All Parts, Functional Safety—Safety Instrumented Systems for the Process Industry Sector. International Electrotechnical Commission, 2016.

4 IEC 61131-6 Programmable Controllers—Part 6: Functional Safety. International Electrotechnical Commission, 2012.

5 IEC 62061—Safety of Machinery—Functional Safety of Safety-Related Electrical, Electronic, and Programmable Electronic Control Systems. International Electrotechnical Commission, 2005.

6 IEC 61800-5-2 Adjustable Speed Electrical Power Drive Systems— Part 5-2: Safety Requirements—Functional. International Electrotechnical Commission, 2016.

7 ISO 13849 All Parts, Safety of Machinery—Safety-Related Parts of Control Systems. International Organization for Standardization, 2015.

8 “Recommendations of Implementing the Strategic Initiative Industrie 4.0: Final Report of the Industrie 4.0 Working Group.” Forchungsunion and acatech, April 2013.

9 IEC 61784-3 Industrial Communication Networks—Profiles— Part 3: Functional Safety Fieldbuses—General Rules and Profile Definitions. International Electrotechnical Commission, 2016.

10 ISO/IEC 62443 All Parts, Security for Industrial Automation and Control Systems.

11 IEC 62880, Railway Applications—Communication, Signaling, and Processing Systems—Part 1: Safety-Related Communication in Closed Transmission Systems. International Electrotechnical Commission, 2017.

12 EN 50159, Railway Applications—Communication, Signaling, and Processing Systems—Part 1: Safety-Related Communication In Closed Transmission Systems. European Committee for Electrotechnical Standardization, September 2010.

13 Jens Braband. “What’s Security Level got to do with Safety Integrity Level?” 8th European Congress on Embedded Real-Time Software and Systems (ERTS 2016), January 2016.

14 ISO 10218-1, Robots and Robotic Devices—Safety Requirements for Industrial Robots—Part 1: Robots. International Organization for Standardization, 2011.

15 Chris Hobbs. Embedded Software Systems For Safety Critical Systems. Auerback Publications, October 2015.

16 ISA Security compliance institute—EDSA-312—Embedded Device Security Assurance—Software Development Security Assessment. International Electrotechnical Commission, July, 2016.