機能安全に対応したソフトウェア開発とは？

日本企業の強みと弱みは？

該当する規格は？規格書を見ても解読が難しい。

機能安全導入における自社リソースの配分は？

ソフトウェア開発で気をつけるべき点は？

日本企業の強みと弱みは？

・技術力・独自性・高品質・高性能

・意思決定・規格解読・進め方・Software経験値

機能安全を導入する上での課題

従来製品の強み

該当する規格は？規格書を見ても解読が難しい。

基本安全規格(Type A 規格)共通概念など

グループ安全規格(Type B 規格)

各産業分野等の規格

個別製品安全規格(Type C 規格)

ISO/IEC Guide 51 IEC Guide 104IEC 61508-1～4 E/E/PE安全関連系の機能安全

IEC 61511-1 機能安全-プロセス産業の安全計装

システム

ISO 12100 機械類の安全性-リスクアセスメント

ISO 26262 自動車の機能安全

IEC 61800-5-2 可変駆動装置

IEC 61784-3 機能安全フィールドバス

IEC 62061 機械類の安全性-E/E/PE安全系制御システムの機能安全

ISO 13849-1 機械類の安全性-制御システムの安全部-設計

IEC 61496-1機械類の安全性-電気的検知保護設備

機能安全国際規格の体系例

EU(欧州連合)加盟国規格

WTO加盟国国内規格

国際規格

日：JIS

米：ANSI

中：GB/T

豪：AS

WTO(

TBT協定)

IEC規格

ISO規格

ドレスデン

協定

ウィーン

協定

EN規格

英：BS

独：DIN

仏：NF

その他

EU法

EU指令

規格整合化の義務 規格連携 各指令の整合規格

反映する義務採用

認定した認証機関 (Notified bodies)

国際規格と各国規格の関係

機能安全規格の強制力EU(欧州連合)

勧告・意見遵守が望まれる

指令(Directive)・機械指令(整合規格に適合させる)

・RoHS指令・○○指令

規則(Regulation)

決定(Decision)

強制力あり

遵守が望まれる

JIS 規格

労働安全衛生法

指針

日本

・ボイラー機能安全による安全確保

・〇〇〇〇

機能安全による機械等に係る安全確保に関する技術上の指針

機械指令と機能安全規格DIRECTIVE 2006/42/EC

（機械指令）対象装置：機械類、安全コンポーネント

適合評価：

審査機関：認定機関(Notified bodies)

証明書：EC型式審査証明書

適合宣言：EC適合宣言書、CEマーク

Official Journal of the European Union(欧州連合官報)

欧州委員会は、欧州連合官報に整合規格を公開している。一例として紹介すると

EN ISO 13849-1:2015Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design (ISO 13849-1:2015)

EN 61800-5-2:2007Adjustable speed electrical power drive systems — Part 5-2: Safety requirements — FunctionalIEC 61800-5-2:2007

機械指令の整合規格(Harmonized European Standards) に適合することで証明できる

機能安全導入における自社リソースの配分は？

組込みソフトウェアの機能安全要求

CPU メモリ 周辺機能

アプリケーションSW

HWMPU IEC 61508-2 Annex A

デバイス故障を検出できる診断機能を要求している。ランダムハードウェア故障の診断率が危険側故障確率に影響を与える。

IEC 61508-3システマチック故障を防止するため、Vモデル開発プロセス や各フェーズ毎に要求SILに応じた技法を強く推奨している。仕様書やテスト報告書も要求。

次にソフトウェアに於ける

□Vモデル各フェーズでの技法□MPUハードウェア故障診断

を紹介します。

←デカップリング

Ch 1

Ch 2

機能安全ソフトウェア開発を自社だけで進めるのは、結構ハードルが高いのが実情です。

それは、どのような考え方で進めるのが良いか？

ソフトウェア開発の自社工数を削減するには？

開発工数の削減例• 製品の構成品すべてを社内開発

• 一部をアウトソーシングしても良い• 運用ルールに則り開発すること• 開発ドキュメントをアウトプットすること

• 機能安全適合品を購入品して組込む• Compliant item 扱いとなる• 入出力仕様を満たすこと• 機能安全パッケージを活用する

機能安全パッケージ活用例

センサーA【制御】HW設計 アクチェータ

通信デバイスCPU,I/O

通信デバイスCPU,I/O

【制御】HW設計SW設計

Input

Output

Input

Output

Logic

Logic

センサーB

センサーC

機能安全製品の構成例

製品A

製品B

認証品を購入する。Compliant item扱いとする

組込みSW設計

つまり自社でやるべき部分とやらない部分を明確化することが重要です。

ソフトウェア開発で気をつけるべき点は？

安全機能

アプリ(SW)

デバイス(HW)

アプリの多様化スケジュールの複雑化

ソフトウェア領域の拡大/複雑化安全機能

アプリ(SW)

デバイス(HW)

FileSystem

Network

→ この現実に対して、現場の根性論で解決しますか？

1つの解決策自社でやるべき部分とやらない部分を明確化するのが重要

認証済パッケージの活用がある

安全機能

アプリ(SW)

デバイス(HW)

FileSystem

Network

OS

• ソフトウェアコンポーネント認証を取得したソフトウェアを利用しないと、認証に必要な要求をお客様自ら立証しないといけなくなる。

• 認定時に要求される設計書を始め、テスト仕様書、テスト結果などドキュメントが提供されることにより、お客様での認証手続きが大幅に軽減される。

認証済み製品のメリット

ExpressLogic社の認証済み製品

※THREADX/SMP認証取得

◎取得済み認証規格IEC 61508 SIL 4IEC 62304 Class CISO 26262 ASIL DEN 50128 SW-SIL 4UL 60730-1 Annex HCSA E60730-1 Annex HIEC 60730-1 Annex HIEC 60335-1 Annex RIEC 60335-1 Annex R, UL 1998

※ 2019年末 認証取得予定

EL社 認証取得状況

A製品

アセンブラ

C ソースコード(約95%)

C ソースコード部分に変更なし

RX/CS+(Renesas C)

B製品

アセンブラ

C ソースコード(約95%)

STM32/EWARM(IAR C)

※THREADXの場合

• Generic Codeで取得• 機能安全版としての特別な製品/バージョンは用意していない。• 個別対応が必要な、CPUコア＆コンパイラ依存部分は対象外。

共通で利用可能

※同一バージョンの場合

EL社 機能安全製品パッケージ

1.通常のライセンス販売2.TUV/UL Certification for ThreadX• 各単体製品の認証取得時のドキュメントパッケージ。• Generic Code を対象としたドキュメントを提供。• 費用はライセンスに応じて決定。3.Certification Pack™ for ThreadX• 顧客ターゲット毎に認証をとるサービス。• 顧客ターゲットを対象としたドキュメントを提供。• 費用は、別途ご相談。

※全ての形態において、製品ライセンスは別途必要。