著者:Michal Brychta
プロセス制御やファクトリ・オートメーション(FA)の分野では、機能安全を実現するために多くのフィールド機器が使用されます。機能安全を実現するには、計測器だけでなく、計測器と制御システムの間の接続も要件を満たすようにしなければなりません。ここでは、4~20mAの電流ループと10BASE-T1Lを例にとり、フィールド計測器の機能安全(IEC 61508)を実現するために検討すべき重要な事柄について説明します。
4~20mAの電流ループ
4~20mAの電流ループ(以下、4~20mAループ)は、50年以上にわたりフィールド計測器をコントローラに接続するための手段として使用されてきました。4~20mAループの原理は非常にシンプルです。4mAの電流が測定値の0%を表し、20mAの電流が100%を表します。その間のアナログ電流値によって、様々な測定値を表現します。このようなシステムにおいて、診断の対象になる最も単純なケースは次のようなものです。すなわち、電流が0mAの場合にはケーブルの断線が生じていることが想定されます。一方、電流が20mAを超えている場合には短絡が発生している可能性があります。
機能安全に対応した4~20mAループ
機能安全の要件が加わると、上述したものよりも状況がもう少し複雑になります。その主な要因としては、電流値をベースとするアナログ伝送を使用していることが挙げられます。つまり、4~20mAの間のすべての電流値はレシーバーによって測定値として解釈される可能性があるということです。図1に示したのは、4~20mAループを使用する場合の一般的なシグナル・チェーンの例です。制御システムには、4~20mAループを使用してフィールド計測器が接続されています。このシステムでは、マイクロコントローラによって、D/Aコンバータ(DAC)に適切な値を設定します。そして、出力ドライバ(ならびにフィードバック・ループ内の出力トランジスタと検出抵抗)が所望の出力電流を設定します。
図1. 4~20mAループを使用するフィールド機器の例。機能安全に関する部分を黄色で示しています。
ここで、DACに書き込まれたデータが破損したり、検出抵抗が(大きな電磁障害などによって)部分的にダメージを受けてしまったりするとどうなるでしょうか。つまり、それらが本来の値とは異なる値に変化してしまった場合です。本来、その場合の出力電流は無効にすべきですが、4~20mAの有効な範囲内に収まっていることもあるでしょう。そうすると、レシーバーは、コントローラが意図したのとは異なる値としてその電流の意味を解釈してしまいます。このような問題を回避するために、通常、4~20mAループの出力には高度な診断機能が設けられます。例えば、2つ目の検出抵抗とA/Dコンバータ(ADC)が(コントローラに戻るデータ・パスと共に)追加されるといった具合です。それにより、実際の出力電流が意図した値を表したものかどうかという確認が行われます。同様の対策はレシーバー側にも必要です。そのため、レシーバーには2つ目の独立した検出抵抗と2つ目のADCが設けられることになります。コントローラは、追加の比較処理を行うことにより、入力電流が正しく測定され、正しく解釈されていることを確認します。
上述したように、4~20mAループのアナログ通信チャンネルについては、その全体に対して、必要なSIL(Safety Integrity Level)に応じた診断機能を適用しなければなりません。また、IEC 61508や特定用途向けのその他の機能安全規格に基づき、それらの機能の設計、評価、認証取得を行う必要があります。フィールド計測器は、何らかの異常が生じたことを示すために、電流量を意図的に4mAよりも少なくしたり、20mAよりも多くしたりすることができるように設計することになるでしょう。そして、計測器の内部の障害が検出された場合には、必ずそのような処理を行う必要があります。診断機能については、NAMUR NE 43などの規格で定義されています。例えば、3.6mA~3.8mAと20.5mA~21mAの電流は診断結果を表し、3.6mA未満または21mAを超える電流は障害を表すといった具合です。確かに、そうした電流値を使って何らかの異常が生じたことをコントローラに通知することは可能です。しかし、問題の原因に関する詳しい情報は何も得られません。
機能安全に対応した10BASE-T1Lの実装
ここで、図2をご覧ください。これは、先ほどと同じフィールド計測器に10BASE-T1L/APL(Advanced Physical Layer)のインターフェースを付加したものです。この場合、計測器とコントローラの間の通信リンクはデジタル方式で実現されます。そのため、制御データの通信に、PROFINET、Ethernet/IP、HART-IPといった産業用イーサネットのプロトコルを使用できます。
図2. 10BASE-T1L/APLを追加したフィールド機器
機能安全の観点からは、計測器そのものが備える診断機能やその他の安全関連機能に変更を加える必要はありません。安全関連機能というのは、センサーとそれに関連するアナログ・フロントエンドや、センサーからの信号を解釈するファームウェアのことです。この構成であれば、イーサネットを介した通信は必ず十分なレベルの信頼性を提供する「ブラック・チャンネル」であると見なすことができます。その信頼性について、10BASE-T1Lではビット誤り率(BER:Bit Error Rate)が10-9 T未満でなければならないと定められています。加えて、データ・リンク層では各イーサネット・フレームにCRC(Cyclic Redundancy Check)が適用されます。更に、プロトコルのより上位の層では、安全に関連するデータに対して様々なチェックが行われます(PROFIsafeなど)。従って、データの有効性が曖昧になることはありません。
結論として、10BASE-T1L/APLを利用した接続を実装し、ブラック・チャンネルの通信リンクを実現することで、機能安全についての定義がより明確になります。加えて、実装が格段に容易になると共に、より大量のデータをはるかに高速に伝送することが可能になります。
産業用オートメーションにおける機能安全については、アナログ・デバイセズの機能安全のエキスパートであるTom Meanyが様々な記事を執筆しています。その興味深い洞察について知りたい方は、以下の記事をご覧ください。
https://ez.analog.com/ez-blogs/b/engineerzone-spotlight/posts/functional-safety-of-4-20ma-networks
https://ez.analog.com/ez-blogs/b/engineerzone-spotlight/posts/functional-safety-and-networking
