機能的に安全なRTDシステムの設計と認証方法

測温抵抗体（RTD）は、トランスデューサとそのアナログフロントエンド（AFE）信号調整回路で構成されており、正確で信頼性が高いため広く使用されています。しかし、ミッションクリティカルで高信頼性のアプリケーションでは多くの場合、ルート1Sまたはルート2Sのコンポーネント認証プロセスを通じて、機能的に安全なシステムを設計し、保証する必要があります。

機能安全のためのシステム認証は複雑なプロセスであり、システム内のすべてのコンポーネントについて、潜在的な故障モードや故障メカニズムをレビューする必要があります。故障の診断にはさまざまな方法がありますが、すでに認証されている部品を使用することで、認証プロセスとともにこの作業負担も軽減されます。

「信頼性」は機能安全と関係しますが、同じではないことに注意してください。最も単純な言葉で言えば、「信頼できる」とは、設計や実装が問題や故障なく仕様どおりに機能することであり、「機能的に安全である」とは、いかなる故障も設計によって検出できなければならないことを意味します。重要なアプリケーションには、信頼性と機能安全の両方が必要です。

この記事では、機能安全認証という観点から、RTDとその信号調整回路の基本について見ていきます。その上で、信頼性と故障認定のさまざまなレベル、そして両ルートを通じてそれらを満たすために何が必要かを論じます。Analog Devicesの2つのマルチチャンネルRTD AFE ICであるAD7124のペアと関連する評価ボードを使用して、重要なポイントを説明します。

機能安全の役割

機能安全の役割は、1つまたは複数の自動保護/安全機能を適切に実行することで、傷害や人々の健康に対する損害の許容できないリスクから解放することです。これは、製品、装置、またはシステムに不具合が生じた場合に、安全に機能し続けることを保証するものです。産業用、商業用、そして一部の消費者用など、次のような幅広い用途で必要とされています。

• 自律走行車両
• 機械の安全性とロボティクス
• 産業用制御システム（ICS）
• 消費者向けスマートホーム製品
• スマート工場とサプライチェーン
• 安全計装システムおよび危険区域制御システム

たとえば、機能的に安全な設計では、システム内の他のコンポーネントが故障しても、マスター電源オン/オフスイッチの機能が電源遮断をサポートします（図1）。

図1：機能的に安全なシステムでは、このスイッチが設計されたとおりに動作することに疑問や曖昧さはありません。（画像提供：Pilla via City Electric Supply Co.）

RTDの基礎

なぜ温度と機能安全に注目するのでしょうか。その理由のひとつは、温度が最も一般的に測定される物理的パラメータだからです。安全性や重要なアプリケーションに関連することが多く、幅広い種類のトランスデューサにサポートされています。これらに含まれるのがRTDで、その概念はシンプルです。ニッケル、銅、白金などの金属の抵抗温度係数（TCR）が既知で再現性があることを利用します。0°Cでの抵抗値が100Ωと1000Ωの白金RTDが最も広く使用されており、-200°Cから+850°Cの範囲で使用できます。

これらのRTDは、この温度範囲において、温度と抵抗値の関係が極めて直線的です。超高精度が必要な場合には、適用可能な補正・補償テーブルおよび補正・補償ファクタがあります。公称100Ωの抵抗値を持つ白金RTD（PT100と呼ばれます）は、-200°Cで18Ω、+850°Cで390.4Ωの標準抵抗値を持ちます。

RTDを使用する際は、自己発熱を最小限に抑えるため、通常1mA程度に抑えた既知の電流で励磁する必要があります。公称RTD抵抗値に応じて、その他の電流値も使用されます。

RTDを横切る電圧降下は、プログラマブルゲインアンプ（PGA）と、ほとんどの場合、マイクロコントローラユニット（MCU）と連携したA/Dコンバータ（ADC）で構成されるAFEを介して同時に測定されます（図2）。

図2：温度を測定するためにRTDを使用するには、RTDに既知の電流を流し、それを横切る電圧降下を測定してから、オームの法則を適用する必要があります。（画像提供：Digi-Key）

この基本スキームの回路トポロジは、負荷を流れる電流を判断するためのセンス抵抗の使用と同じですが、ここでは既知の変数と未知の変数が入れ替わります。電流センシングの場合、抵抗は既知ですが電流は未知であるため、計算式はI = V/Rとなります。RTDの場合、電流は既知ですが抵抗は未知であるため、計算式はR = V/Iとなります。

PGAは、信号の完全性を維持してダイナミックレンジを最大化するために必要です。RTDの電圧レベルは、RTDの種類と温度によって、数十ミリボルトから数百ミリボルトの範囲に及ぶことがあるためです。

励起源、RTD、PGAの間の物理的な接続は、2線、3線、または4線のインターフェースとすることができます。原理的には2本のリード線で十分ですが、他のアーティファクトとともに、接続リード線のIRドロップに関連する問題があります。より高度なケルビン接続に3線式や4線式のトポロジを使用することで、配線コストは増えるものの、より正確で安定した性能が得られます（図3）。

図3：RTDは、2本のワイヤ（左）だけで駆動およびセンシングできますが、3本のリード線（中央）、さらには4本のリード線（右、ケルビン接続）を使用することで、リード線に起因するさまざまなエラー源を排除できます。（画像提供：Analog Devices）

用語と規格

多くの専門分野と同様に、機能安全にも多くの独特な用語、データセット、頭字語があり、関連する議論で広く使われています。以下に例を挙げます。

• 故障率（FIT）：10億（10⁹）時間のデバイス動作で予想される故障の数です。
• 故障モード影響解析（FMEA）：システムの潜在的な故障モードおよびその原因と影響を特定するために、できるだけ多くのコンポーネント、アセンブリ、サブシステムを検討するプロセスです。
• 故障モード影響診断分析（FMEDA）：サブシステム/製品レベルの故障率、故障モード、診断能力を得るための体系的な解析手法です。

完全な解析を行うためには、システム内のさまざまなコンポーネントの故障モード影響診断分析（FMEDA）とともにFITデータが必要です。FMEAは定性的な情報しか提供しませんが、FMEDAは定性的および定量的な情報を提供するため、ユーザーは故障モードに対する重大性のレベルを測定し、重要度に応じて故障モードを整理することができます。FMEDAは、リスク、故障モード、影響および診断分析、信頼性情報を追加します。

• 安全度水準（SIL）：SILには、SIL 1、SIL 2、SIL 3、SIL 4という4種類の完全性水準があります。SILレベルが高いほど、関連する安全レベルが高くなり、システムが適切に動作しない確率が低くなります。

SIL 2の等級付けは、システム内の故障の90%以上が診断可能であることを示します。設計を認証するために、システム設計者は認証機関に対し、潜在的な故障、それらが安全な故障か危険な故障か、故障を診断する方法に関するエビデンスを提出しなければなりません。

• IEC 61508は、正式名称を「Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems（電気/電子/プログラム可能電子安全関連システムの機能安全）」（非公式には「Electronic Functional Safety（電子機能安全）」）といい、機能安全設計に関する仕様です。SIL認証部品の開発に必要な設計フローを文書化したものです。コンセプトや定義から、設計、レイアウト、製造、組み立て、テストに至るまで、各段階で文書を作成する必要があります。

このプロセスはルート1Sと呼ばれ、複雑です。しかし、ルート1Sに代わるルート2Sというフローもあります。これは「使用実績のある」場合のルートであり、大量の製品が最終製品/システムの設計に組み込まれ、何千時間もの累積運転時間にわたり現場で使用されている場合に適用されます。

ルート2Sのフローでは、認証機関に以下のエビデンスを提出することで、製品を認証することができます。

• 現場での使用量
• 現場からの返品の分析結果と、返品がコンポーネント自体の不具合によるものではないことの詳細な説明
• 診断と対応範囲の詳細を含む安全データシート
• ピンとダイのFMEDA

SILルート2SのフローとRTDインターフェース

システムを構成するすべてのコンポーネントに潜在的な故障メカニズムがないか検討する必要があり、故障の診断にはさまざまな方法があるため、システムの認証には長い時間がかかります。すでに認証されている部品を使用することで、必要な労力を削減し、認証プロセスを短縮することができます。

高度に統合されて成熟したRTDインターフェースコンポーネントは、完全なソリューションパッケージを定義し、現場での使用や故障に関連するデータで完全に特徴付けることができるため、ルート2Sの認証を容易にするための鍵となります。これは、使用する特定の相互接続構成に合わせて、それらのさまざまなインターフェースや相互作用を解析する必要がある複数の小さなビルディングブロックICを使用する場合とは異なります。

この例として、4チャンネルのAD7124-4（図4）、および同様の8チャンネルのAD7124-8（以後、これらに共通する多くの機能について説明する際に、総称して「AD7124」と呼びます）があります。これらのコンポーネントは、セルフテストと診断機能が組み込まれており、現場での「実績」もあるため、ルート2Sのフローに適しています。

図4：4チャンネルのAD7124-4は、機能的に完全なRTDセンサからプロセッサへの信号チェーンです。（画像提供：Analog Devices）

これらのICは、マルチチャンネルRTD測定のための完全なソリューションであり、センサ、デジタル化された出力、関連するマイクロコントローラとの通信に必要なすべてのビルディングブロックを含みます。また、マルチチャンネルマルチプレクサ、PGA、24ビットシグマデルタADC、RTD用電流源、内部動作用電圧リファレンス、システムクロック、アナログ/デジタルフィルタリングおよび、SPI、QSPI、MICROWIRE、DSP互換相互接続用の3線式または4線式シリアルインターフェースも含みます。

しかし、これらの機能があるからといって、本質的にSILルート2S認証の根拠となるわけではありません。機能的に安全な設計には、RTDシステムを構成する多くの機能に対し、さまざまな組み込み診断が必要となります。AD7124に組み込まれた複数の診断機能により、設計の複雑さと設計時間の両方が最小化され、診断範囲のために信号チェーンを二重化する必要性が排除されます。

これらの診断には、電源、基準電圧、アナログ入力のモニタリング、RTDへの開配線の検出、変換および較正性能のチェック、信号チェーンの機能チェック、読み取り/書き込み機能のモニタリング、レジスタ内容のモニタリングが含まれますが、これらに限定されません。

これらの「ハイレベルな」内容は、必要なオンチップ診断にどのように変換されるのでしょうか。その答えには、以下を含む多くの側面があります。

SPI診断：AD7124に書き込むごとに、プロセッサは巡回冗長検査（CRC）値を生成し、ADCに送られる情報にその値が付加されます。その後、ADCは受信した情報から独自のCRC値を生成し、プロセッサから受信したCRC値と比較します。両方の値が一致すれば、情報は完全なままであり、関連するオンチップレジスタに書き込まれます。

値が一致しない場合は、伝送中に破損が発生したことを意味し、ICはデータ破損が発生したことを示すエラーフラグを設定します。AD7124は、破損した情報をレジスタに書き込まない事によって自己保護も行います。

AD7124からシステムプロセッサに情報が読み出される時も、同様のCRC手順が使用されます。最後に、このインターフェースはクロックパルスもカウントし、各読み取りまたは書き込みデータフレームにちょうど8つのパルスがあることを確認することで、クロックグリッチが発生していないことを保証します。

メモリチェック：CRCは、電源投入時やオンチップレジスタが変更された時（ゲイン変更時など）に、レジスタの内容を検証するためにも使用されます。また、CRCプロセスを定期的に実行し、ノイズやその他の原因によってメモリのビットが「反転」していないことを確認します。もし変更があり、その後レジスタ設定が壊れているというフラグをプロセッサに立てられたら、ADCをリセットしてレジスタを再ロードすることができます。

信号チェーンのチェック：電源レール、低ドロップアウト（LDO）レギュレータ出力、基準電圧など、すべての重要な静的電圧をADC経由でチェックできます。LDO全体の外部コンデンサの有無も確認できます。また、ADCとゲイン機能の設定をチェックするために、既知の電圧をADC入力に印加することができます。さらに、既知の電流をアナログ入力に注入して、RTDの開または短絡をチェックすることも可能です。

変換と較正：ADCの変換結果を継続的にチェックし、すべてゼロまたはフルスケールになるかどうかを確認します。どちらであっても問題が示されます。ADCの中核にある変調器からのビットストリームは、飽和していないことを確認するために監視され、飽和が発生した場合（変調器出力に20個の連続した1または0が含まれていた場合）は、エラーフラグが設定されます。

マスタークロック周波数：このクロックの周波数は、変換レートを制御するだけでなく、50/60Hzのデジタルフィルタのノッチ周波数も確立します。AD7124の内部レジスタにより、コンパニオンプロセッサがマスタークロックの時間を計り、その精度をチェックすることができます。

追加機能：AD7124は温度センサを内蔵しており、ダイ温度を監視するためにも使用できます。どちらのバージョンも、4kVの静電気放電（ESD）定格を備えて堅牢な性能を実現し、本質安全設計に適した5 × 5mmのLFCSPパッケージに収められています。

AD7124-4とAD7124-8には内部的な複雑さ、精巧さ、高度なセルフテスト機能があるため、ICを動作させて評価する手段があることは理にかなっています。

これを実現するため、Analog Devicesは、AD7124-4用のEVAL-AD7124-4SDZ評価ボード（図5）と、コンパニオンとなるEVAL-SDP-CB1Z SDP（システムデモンストレーションプラットフォーム）/インターフェースボード（図6）という、2つの接続ボードを提供しています。EVAL-AD7124-4SDZはAD7124-4専用であり、USBリンクを介してユーザーのPCや評価ソフトウェアと通信するEVAL-SDP-CB1Z SDPと連動して動作します。

図5：EVAL-AD7124-4SDZは、AD7124-4用の評価ボードです。（画像提供：Analog Devices）

図6：EVAL-SDP-CB1Z/インターフェースボードは、EVAL-AD7124-4SDZ評価ボードのコンパニオンであり、ホストPCへのUSB接続を提供します。（画像提供：Analog Devices）

この評価機器はAD7124-4 EVAL+ソフトウェアによってサポートされており、AD7124-4デバイスレジスタ機能を完全に設定してICを動作させます。また、波形グラフ、ヒストグラム、ADC性能評価のための関連ノイズ解析の形で、時間領域解析も提供します。

機能的に安全な設計への移行

AD7124-4とAD7124-8には、SILの等級付けが行われていません。つまり、IEC 61508規格で定義されている開発ガイドラインを使用して設計・開発されていないということを理解することが重要です。しかし、最終的な用途を理解し、さまざまな診断を適切に使用することで、SIL規格の設計に使用できるかどうかを評価することができます。

ルート1S認証取得までの道のりには、系統的またはランダムな故障を分析して対処するための考慮事項が複数あります。系統的故障は、外部割り込みピンのフィルタリングをしていないことによるノイズの多い割り込みや、信号のヘッドルーム不足など、設計や製造上の欠陥によるものです。一方、ランダム故障は、腐食、熱ストレス、磨耗などの物理的な原因によるものです。

重要な懸念は、検出されない危険な故障と呼ばれるもので、複数の技術によって対処されています。ランダム故障を最小限に抑えるために、設計者は以下3つの戦略のうちの1つ、あるいはすべてを用います。

• より信頼性が高く、負荷の少ないコンポーネント。
• ハードウェアまたはソフトウェアを介して実装された組み込み検出メカニズムによる診断。
• 冗長回路によるフォールトトレランス。冗長パスを追加することで、1つの故障を許容することができます。これはハードウェアフォールトトレランス1（HFT 1）システムと呼ばれるもので、1つの故障が原因でシステムが故障することはないという意味です。

SILレベルの範囲を理解するためのツールの1つに、安全側故障割合（SFF）（診断範囲）とハードウェアフォールトトレランス（冗長性）をプロットした表があります（図7）。

図7：この表は、安全側故障割合（SFF）とハードウェアフォールトトレランス（HFT）の関係を特徴付け、SILの範囲に関する洞察を提供します。（画像提供：Analog Devices）

各行は診断範囲を、各列はハードウェアフォールトトレランスを示しています。HFTが0ということは、システムに1つでも故障があれば安全機能が失われることを意味します。診断のレベルが高ければ高いほど、システムに必要な冗長性が減るか、同じレベルの冗長性を持つソリューションのSILレベルが向上します（表の下方に移動）。

これらのデバイスを使用した典型的な温度アプリケーションのFMEDAは、IEC 61508に従って90%以上の安全側故障割合（SFF）を示していることに注意してください。通常、冗長性によってこのレベルの範囲を提供するためには従来型のADCが2個必要ですが、AD4172は1個のADCしか必要としないため、部品表（BOM）コストと基板面積を大幅に節約できます。

SILの等級付けが行われた設計の文書化

ルート1Sの認証取得には、膨大な書類が必要となります。必要な資料には、以下のようなものがあります。

• 安全データシート（SILの等級付けが行われた部品の安全マニュアル）
• ピンFMEDAとダイFMEDA（両方の故障モード、影響、解析を含む）
• 附属書Fのチェックリスト（IEC 61508で定義）

文書は、さまざまな情報源から提供されます（図8）。

• データシートの診断データは、その部品で利用可能なすべての診断機能を含みます。
• 設計データとは、内部データのことです。たとえば、ダイ面積や部品の各内部ブロックの影響などです。
• さまざまなコンポーネントのFIT率は、データブックから入手できます。
• 故障挿入試験は、設計データや診断データでは解析できないブロックに対して行われます。これらの試験はアプリケーションの要件に基づいて計画され、故障挿入試験の結果はFMEDAとFMEAの文書を補強するために使用されます。

図8：多様な文書ソースが集約され、SIL認証に必要な完全な情報パッケージが提供されます。（画像提供：Analog Devices）

具体的内容を詳しく見てみましょう。

• 安全マニュアルまたは安全データシートは、集約されたすべての情報を使用し、AD7124-4またはAD7124-8の統合を可能にするために必要な要件を提供します。さまざまな文書やデータセットから得られるすべての診断や解析が照合されます。
• AD7124-4とAD7124-8のダイFMEDAは、アプリケーション回路図の主要ブロックを分析し、故障モードと影響を特定し、特定の安全機能に対する診断と解析をチェックします。たとえば、クロックモジュールの解析では、故障モード、各出力への影響、診断範囲、影響の解析が示されます（図9）。

図 9：この表は、マスタークロックブロックの故障モード、影響、診断、解析を定義したものです。（画像提供：Analog Devices）

このダイFMEDAの結果では、安全な故障、検出された危険な故障、検出されない危険な故障に対する故障率が定量的に示されます。これらはすべて、SFFの計算に使われます。

ピンFDEMAは、故障を別の視点から見たものです。これは、AD7124-4とAD7124-8のピンのさまざまなタイプの故障と、RTDアプリケーションに対するそれらの結果を分析します。個々のピンについて分析し、ピンがオープン、電源/グランドへのショート、または隣接するピンへのショートの場合の結果が示されます。

附属書Fのチェックリストは、系統的故障を回避するための設計対策チェックリストです。その構成を以下に示します。

• 製品概要
• アプリケーション情報
• 安全コンセプト
• ライフタイム予想
• FIT
• FMEDA計算 - SFFとDC
• ハードウェアの安全機構
• 診断の説明
• EMC堅牢性
• 冗長構成での動作
• 附属書および文書リスト

まとめると、ルート1Sを用いた新たに導入されるコンポーネントの機能安全認証は、長く、複雑で、時間がかかり、厳しく、包括的なものとなります。幸いなことに、前述のルート2Sは、一部のコンポーネントで実行可能な代替アプローチです。

ルート2S：代替パス

ルート2Sと呼ばれるパスは、現場での経験とデータがあるリリース済みの部品に適用され、「使用実績あり」と指定されます。これは、顧客からの返品とデバイスの出荷台数の分析に基づきます。実際に使用された「実績」がほとんどない、あるいはまったくない新品部品には使用できません。

ルート2Sでは、IEC 61508規格の下で部品が完全に分析されたかのようにSIL認証を受けることができます。モジュールやシステムの設計者は、過去にそのICの使用に成功しており、現場での故障率を知っていれば利用できるのです。組み込みテストと検証機能および性能データにより、AD7214-4とAD7214-8はルート2Sの良い候補となります。

ルート2Sを利用するには、現場からの返品や故障に関する詳細かつ統計的に有意なデータが必要です。ICベンダーがこの要件を満たすことは、基板やモジュールのサプライヤよりもはるかに難しくなります。その理由は、ICベンダーは一般的に、最終的な用途や、現場から故障ユニットの何割が分析のために返品されているかについて十分な知識を持っていないためです。

まとめ

新製品の機能安全認証に用いるルート1Sは、徹底的で包括的、かつ詳細なプロセスです。技術的にも難しく、間違いなく時間もかかります。対照的に、ルート2Sプロセスでは、リリース済みの製品を現場での経験、故障、分析データに基づいて認証することができます。これは、必要な履歴を有するAD7214-4とAD7214-8 RTDインターフェースICに適用できる便利なルートです。同様に重要なこととして、これらのICには多くの診断機能やセルフテスト機能が組み込まれているため、このような認証の候補として適しているのです。

関連コンテンツ

1. 機能的に安全な測温抵抗体（RTD）システムの設計および認証方法
2. 4線式RTDに対応する集積型の温度計測システム、高精度の計測用途に最適
3. RTDインターフェースと線形化