機能安全編

印刷用表示 | テキストサイズ 小 | 中 | 大 |


clubZ_info_renewal.jpg

| HOME | 機能安全 | 第6回 | P1 |

更新日 2016-01-20 | 作成日 2007-12-03


☑機能安全 ~上流で設計すべきもうひとつの品質

第6回:通信とBlack Channel

株式会社制御システム研究所 森本 賢一

2011.09.29
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍

最近3Dアニメーションとして春に再び劇場上映されたアニメ「攻殻機動隊」では、人々はエレクトロニクスで強化された「電脳」を持ち、いながらにして、意識や思考を直接世界中の人々とネットワークする世界が描写されています。主人公の所属する公安9課でもほぼ全員が電脳化されていますから、離れていてもメンバー同士はテレパシーのように、思考を交換し議論することができます。

作品では、この電脳ネットワークを介して、相手の脳に進入し、その体や思考を乗っ取る行為「電脳ハッキング」がしばしば登場します。それを防御するファイアーウォールを「防壁」と呼んでいますが、うっかり他人に進入しようとした際、逆にその防壁から反撃をうけるようなケースもあります。「攻性防壁」です。このような電脳ネットワーク上の駆け引きが作品の中心に据えられ、未来における個と社会の関係を描いてゆきます。

未来といっても、これが連載漫画として登場したのが1989年。劇場化アニメ化されたのが1995年ですから、携帯電話や携帯端末がネットワークに接続された現代、攻殻機動隊が示そうとした世界やその課題は、もう既に私たち自身の身の回りの日常の一部になっています。国を越えインターネット上のサービスが攻撃されたり、本人に成りすまし金融情報にアクセスしたり、日々様々な事件が新聞に登場します。それはとりもなおさず、現代社会がネットワーク、つまり通信を前提に様々な仕組みが作られているからに他なりません。これは人がもはや「個」としてだけでは存在できないとも言い換えることができます。

このことは機械の世界でも同様です。機械やそれを制御するコンピュータも、現代では「個」として存在できず、何らかの形で通信を介して互いにつながっています。人間同士のつながりでは、そこに悪意が入り込む場合があります。では、機械同士のつながりには、どんな配慮が必要でしょうか?

今回は機能安全と「通信」についてお話します。


(前回の振り返り)
作り上げた青写真を様々な手法で分析し、弱点を抽出し、さらにそれに対する打ち手を考える。これを繰り返すことが、豊かな構想設計には必要である、というお話をしました。その打ち手は、Safety Measureと呼ばれ、安全機能がちゃんと働くための要件、すなわちSafety Integrity Requirements(安全完全性要求)LinkIconとして、構想設計だけではなく、下流の詳細設計に引き継がれてゆかなくてはなりません。

またSafety Measureの中には、システムの自己診断(Diagnostics、またはSelf Tests)と呼ばれるものがありました。これによって故障率の割り当ての際LinkIcon、λ DU をλ DD として扱えるようにすることで、システムのPFDave/PFH(システムの不動作確率)、およびSFF(安全側故障割合)LinkIconといった指標の数値をより望ましい値にできました。これらのSafety Measureは、詳細設計段階でのλ DU との戦いを有利に進めるための大切な要求仕様であることもお話しました。

これまでのところで、おおよそ機能安全における構想設計段階での議論は終わりになりますが、冒頭のお話の通り、現代のシステムには不可欠で大切な議論についてお話します。「通信」についてです。



(通信のモデル化)
現代のシステムは、どのようなものであれ、通信技術と切り離して議論することは極めて困難です。物理的に離れた場所に計測器と演算装置がある場合も当然ですが、移動体などシステムの重量が問題になるケースでは、光ファイバーで軽量化を図ることが不可欠な場合もあります。

このような場合、通信機構もサブシステムの一部として捉えられ、その安全性について評価されなくてはなりません。今回はまず、通信というものを機能安全でどう捉えるべきなのか、そのお話から始めます。

safe_110929_1.jpg

下記の様な装置を考えてみましょう。装置Aから装置Bに通信媒体Cで信号が送られ、全体で一つの機能安全対応のシステムを構築しているものと考えてみましょう。
ここで通信媒体Cは、通信装置などの機器や、経路のケーブル、HUBなど通信に必要な機材をすべて包含した部分だと考えてください。

safe_110929_2.jpg

この場合、装置Aおよび装置Bそのものの故障については、これまでお話してきた構想設計を行います。PFDやPFHを割り当て、Safety Measureを組み込み、System FMEAやFTAで、その信頼性を評価します。

同じように、通信媒体Cについても、これまでお話してきた「構想設計」を行うことが必要となります。たとえば全体のPFD/PFHの目標が決められているならば、当然通信媒体Cには、それ相応のPFD/PFHが割り当てられます。そしてそれを実現するため、様々な機能安全としての仕様を通信媒体Cは満たさなければなりません。

とはいえ、温度や圧力信号の計測装置や、数値演算装置とは異なり、一般に通信装置はそれ自体がとても複雑な構造や原理で出来ています。内在する部品もすごく沢山あります。System FMEALinkIconやFTA(Fault Tree Analysis)を行うにしても、その内部の動作原理を全て理解して故障解析することはとても困難な場合が多くなるでしょう。

まして市販品を購入して使用する場合では、その内部の原理や構造を解読して、FMEAやFTAを行って弱点が見つかったとしても、それを補う特別な自己診断機能を搭載するなど出来るでしょうか? 市販品の構造を後から変更することは無理というものです。そんな特別製品を作れば(作ってもらうとすれば)、一体いくらお金がかかるかわかりません。

そこでまず、「通信とはなにか?」と、根本に立ち返り、それらの機器は「通信」を実現する単なる経路に過ぎないと考えてみたいと思います。つまり、内部の個々コンポーネントや素子がどう壊れるのか、という観点から解析するのではなく、なにかの異常があった場合、「通信とはどのような障害が発生する可能性があるものなのか」と考え、その対処を考えることで機能安全の要求にこたえよう、ということです。

このことは、「通信」という漠然としたものに対して、可能性のあるFailure Mode(=障害の発生の状況)をすべて想定する、といえるでしょう。このことによって、その通信機構が同軸ケーブルを用いた10Mbpsのイーサネットであろうと、スイッチングHUBを用いた100Mbpsイーサネットであろうと、同列に扱えるようになります。

このように考えると、「通信」を用いた信号伝達経路を持つシステムを構想設計する際は、物理的なコンポーネントに基づく「青写真」のほかに、メッセージの流れを示す「青写真」も必要となります。これを通信のモデル化といいます。前述の装置A,Bと通信を示す図をモデル化してみましょう。

safe_110929_3.jpg


プロトコルLow LayersやHigh Layersの区分に特に意味はありません。OSIの7階層モデルで表現しても結構です。ここでは、単に「物理的なデータ列を生成して送り出すところ」をLow Layersとし、参入離脱やフロー制御などに関するところをHigh Layersとしている、程度に見てください。
大切なことは、この絵でわかるように、安全に関する処理から見れば、「通信」とは、物理的な装置としてのHUBやケーブルのような「通信媒体C」だけを指し示すのではなく、装置A、Bの中に含まれる、プロトコルスタックなどのソフトウェアも、「通信」の一部だということです。この全体像が表現できれば、まずは通信についてのモデル化が出来たことになります。