システマチックな障害の防止や、将来リスクの予測と軽減のどちらを目的にしているかにかかわらず、機能安全という概念が、エンジニアのシステムの設計に対する考え方に変化をもたらしてきました
大切な通話の最中にスマートフォンが故障したのはなぜでしょうか?それは、経年劣化または過熱した部品が故障の原因かもしれません。あるいは、最近、スマートフォンを落としたときに、知らず知らずのうちにプロセッサの重要な部品を損傷してしまい、システム全体がランダムに再起動してしまったのかもしれません。
そのようなプロセッサがスマートフォンの中で使用されている場合、最悪の場合には、数秒から数十秒かけ再起動をする必要がでてくるでしょう。もし、自動車のアクティブ・クルーズ (限定的な条件下での自動運転) の制御システム内で使用されていたとしたら、結果はスマートフォンの場合よりはるかに深刻なものになっていたかもしれません。
「あらゆる電子部品は、最終的にどこかのタイミングで故障します。これは単純に寿命の問題です」と、TI の機能安全ディレクターを務める Bharat Rajaram は語ります。このような事実を受け止め、TI の部品で発生する可能性のあるあらゆる状況を予測することになります。「最近では、化学プラントの液面検出モニタから、自動運転車のナビゲーションや航空機の離着陸制御まで、非常に広い分野で重要な機能を実行する電子部品の普及が進んでいます」
時間の経過を止める、あるいは恒星の爆発を阻止することができる電気技術者は事実上存在しませんが、そのような偶発的現象が生命の危機を招く事態を確実に阻止できるように、TI の部品を活用しているシステム設計者を支援するには何をすればよいでしょうか?電子部品の誤動作を引き起こす可能性のある要因が多数存在することを前提として、障害が頻繁に発生する事態を防止していくことが重要です。
あらゆる偶発的事態への準備
その答えは、TI の ADAS 責任者である Miro Adzan が述べる、機能安全という考え方です。
「私たちは偶発的故障を阻止することはできません。したがって機能安全は、監視や軽減を実施する安全性メカニズムをシステムの一部として採用し、これらの事態に対処できるようにします」と、Miro は語ります。「機能安全メカニズムは、自動車の中でブレーキングの信号を常に監視し、予期される範囲からその信号が逸脱していないことを確認する、などの考え方を実践に移します。仮に逸脱した場合、安全性メカニズムは『何か異常が発生した可能性があり、チェックが必要である』というフラグを立てます」
機能安全への懸念は、家庭や職場など身近なところでも高まっています。これまでに、直射日光の下にスマートフォンを放置し、自動的に電源がオフになったという経験をしたことがあるでしょう。その理由はおそらく、高熱が原因でバッテリが発火する事態を防止するために、機能安全メカニズムが機能したことが考えられます。また、皆さんは、安全バリアのない状況化で、ロボット・アームの近くで働いた経験はありますか。アームが移動したときに人間に衝突する事態を防止するために、目に見えないレーダー・センサが動作して、事故を事前に阻止しているのです。
これらの潜在的な危険を予測するために、システム設計技術者は前述のような危険な故障を引き起こす可能性のある原因を回路レベルで理解し、その発生確率と、危険な事態が実際に発生する前に防止する方法を考慮したうえで、機安全をサポートする各種部品を使用して設計を進めていく必要性があります。TI の機能安全対応製品のうち、LED ドライバやサーミスタなど、よりシンプルな部品の場合、機能安全システムにそれらの部品を搭載するための情報をエンジニア向けに提供しています。TI の機能安全の品質管理製品や、機能安全準拠製品のうち、より複雑な部品の場合、部品自体に一連の安全性メカニズムを組み込んでおり、故障モード、影響、および診断分析 (FMEDA) で各製品の診断機能の網羅範囲を規定しています。
たとえば、TI の Hercules™ マイコンは 2 個の CPU を内蔵しています。これらの CPU はロックステップ・モードで互いに連携して動作し、両者の出力を継続的に比較してエラーの有無を確認しています。職場で協働する人間とロボットのシステムの制御から、電気自動車 (EV) のバッテリ管理まで、さまざまな種類の電子システムで、これに似た手法が見つかる可能性があります。
システマチックな故障の防止
ただし、偶発的現象に対処できる準備をするのは、製品が確実に機能安全の要件を満たすようにする業務の半分にすぎません。リスクの別の原因は、開発プロセス自体の一部として存在しているシステマチックな故障です。
開発プロセスの実施中に、TI のすべての製品は会社全体の厳格な品質管理開発ワークフローを適用されています。TI の最も複雑な各種機能安全準拠デバイスは、国際電気標準会議が策定した機能安全規格 (IEC 61508) と、国際標準化機構が策定した自動車固有の機能安全規格 (ISO 26262) に基づいて、決定論的な能力に準拠した具体的な推奨機能を搭載しています。TI は、これら両方の規格の策定に協力しています。
それらに加え、TI の機能安全開発プロセスは、技術検査機関である TÜV (Technischer Überwachungsverein、技術的監査組合) SÜD によって独立した形で継続的に認証を受けており、すべての推奨事項にこれまで適合してきたことをさらに実証しています。
これらすべてが意味しているのは、会社から車で帰宅する際、その自動車が TI の Jacinto™ プロセッサを採用した自動的なクルーズ・コントロール (限定的な条件下での自動運転など) 機能を搭載している場合、プロセッサの管理対象になっているセンサとソフトウェアとアクチュエータで構成されたシステムや、各部品が搭載している安全性機能すべてが、第三者機関によって独立した形ですでに評価および検証されたものである、という事実です。これは安心感につながります。
将来のリスクの予測
これらの規格は、テールライトやインフォテインメント・システムのような既存のシステムの設計に関する業界の考え方に変化をもたらし、機能安全の手法採用が進んできました。ただし、これだけで業務が完了するわけではありません。
現在、IEC の一般機能安全規格の改定にも取り組んでいるBharat は「現在、多くの人々が機能安全の重要性を認めるようになっています。一方、さまざまな重要アプリケーションへの電子システムやプログラマブル・システムの導入が進み、最新の技術が継続的に変化する状況では、TI はこれらの規格を継続的にアップデートする支援をする必要があります」と語っています。
