　産業機器は、機能安全の国際規格IEC 61508に準拠し、第三者機関の認証を受けることが欧州を中心に必須となりつつある。しかし、機能安全を導入した経験が浅い産業機器メーカーにとっては、規格の解釈や認証機関との折衝、開発費や製品コストの増大などが課題となる。新規に認証を取得するには3～4年かかるケースが多い。さらに、製品の改良などでソフトウェアを変更した際の認証の取り直しも負担となる。

　こうした状況を受けてルネサスエレクトロニクスは、機能安全対応でマイコンに求められる自己診断や二重化、相互診断のソフトウェアキット、マイコン二重化の評価ボード、レファレンスドキュメントをソリューションとして提供する。提供するソフトウェアは、同社の「RX」シリーズとの組み合わせでIEC 61508の2番目に厳しい安全要求レベルSIL3の認証をテュフラインランドから取得済みで、産業機器メーカーはマイコンの機能安全対応に関するソフトウェア開発を行うことが不要になる。

　このソリューションの提供により、従来は3～4年かかっていた認証取得期間を2～3年に短縮するという。認証取得における導入フェーズ、コンセプトフェーズ、詳細設計や試作、機能評価で必要となる規格の理解、認証機関との妥当性確認などの開発負担を軽減する。

認証取得期間を大幅に短縮する（クリックして拡大）出典：ルネサスエレクトロニクス

機能安全と協働ロボット

　機能安全規格は、機械は故障するという前提に立ち、故障によって発生する人的、社会的な被害を未然に防いだり最小限にとどめたりする仕組みを機器に組み込むことを求める。具体的には、機器の故障を確実に検知し、機器の稼働を安全に停止したり、安全を確保できるまで稼働を続けたりすることを意味する。

　産業機器では、協働ロボットを中心に機能安全に対応することが求められている。ロボットはこれまで柵で囲うことで安全を確保できていたが、人が近くで作業するようになる。そのため、人間が近づきすぎていることを検知するセンサーと、緊急時にロボットの稼働を止める仕組みの両方で安全を担保する必要があり、協働ロボットに関するシステム全体で機能安全に対応する重要性が高まっているという。また、PLC（プログラマブルロジックコントローラー）や、産業用イーサネットなど工場内のネットワークとロボットの接続に関しても同様に機能安全対応が求められている。

　機能安全で認証を取得するには、システムに起こりうる故障を開発前に社内で定義し、認証機関に対して何をもって安全とするかを説明し、証明しなければならない。安全要求レベルはシステムの故障検出率の高さによって定められているが、被害が発生した場合の大きさによっても分けられる。産業機器では2番目に厳しいSIL3への対応が求められている。また、最も厳しいSIL4は、相当多数の人の死がもたらされるものが対象と定義されており、プラントや鉄道が該当。SIL4は故障検出率99％が要求される。

　機器の故障を検知するには、異常がないか常時監視する仕組みが必要だ。モーターを例にとると、モーターとモーター制御用マイコンの「非安全部」を、モーターなどの状態を検知するセンサー、センサーの情報を基に必要に応じてモーターと制御用マイコンを遮断するための安全用マイコンからなる「安全部」で監視する。安全部に故障が発生すると非安全部の監視がままならないので、安全部は、安全用マイコンが故障を自己診断することが求められる。

　安全部の構成は、非安全部の機能が工場内のネットワークにつながるなど高度化することで複雑化する。これにより使用するマイコンの数が増え、ソフトウェア開発の負担が増すだけでなく、認証の新規取得や再認証の負担も重くなる。