IEC 61508 SIL(アイイーシーロクイチゴゼロハチシル)
英語表記: IEC 61508 SIL
概要
IEC 61508 SILは、電気・電子・プログラマブル電子安全関連システム(E/E/PE安全関連システム)の機能安全を定める国際規格「IEC 61508」において、安全要求レベルを示す指標です。この規格は、特に産業オートメーションや交通システムなど、人命や環境に重大な影響を及ぼす故障が許されない分野で使用されます。
この概念は、私たちが扱う半導体技術が組み込まれたシステム全体の信頼性・安全性を担保するための最重要のセーフティ規格の一つと位置づけられます。特に、FPGAやASICといったカスタム設計の半導体を用いる際、その設計がどれだけ故障に対して安全であるかを定量的に評価するために欠かせない指標なのです。
詳細解説
IEC 61508は、機能安全(Functional Safety)を確保するための国際的な枠組みを提供します。機能安全とは、システムが故障した場合でも、許容できるリスクレベルまで安全を維持する能力を指します。この規格が半導体技術の文脈で重要となるのは、現代の安全関連システムの多くが、マイクロコントローラ、FPGA、ASICといった半導体デバイスに依存しているためです。
SIL(Safety Integrity Level:安全度水準)の構造
SIL(シル)は、システムが要求される安全機能を、どれだけ高い確率で実行できるかを示す4段階のレベル(SIL 1からSIL 4)で構成されています。SIL 4が最も安全度が高く、要求される故障率が最も低くなります。
この安全度水準は、システムが危険な状態に陥る平均的な故障確率(PFDavg: Probability of Failure on Demand Average)に基づいています。例えば、化学プラントの緊急シャットダウンシステムが「SIL 3」を要求される場合、そのシステムを構成するすべての要素――センサー、ロジックソルバー(FPGAやASICが該当)、アクチュエータ――は、その厳しい故障確率の目標を達成しなければなりません。
| SILレベル | 要求される安全度 | 許容される故障確率 (PFDavg) |
| :—: | :—: | :—: |
| SIL 4 | 最高 | 10^-9 ~ 10^-8 |
| SIL 3 | 高 | 10^-8 ~ 10^-7 |
| SIL 2 | 中 | 10^-7 ~ 10^-6 |
| SIL 1 | 低 | 10^-6 ~ 10^-5 |
ここで注目すべきは、この故障確率が、システムを構成する半導体デバイスの信頼性に直結する点です。FPGAやASICの設計者は、単に機能が正しいだけでなく、故障が発生した場合に安全側に動作することを保証するアーキテクチャを採用する必要があります。
セーフティライフサイクルと半導体設計の課題
IEC 61508は、設計、実装、運用、保守、廃止に至るまでの「セーフティライフサイクル」全体を通じて安全性を確保することを求めています。これは、半導体技術の開発プロセス全体に影響を与えます。
- ランダムハードウェア故障への対策: 半導体チップは物理的な影響(温度、電圧変動、経年劣化)により故障します。SILを達成するためには、冗長性の導入が必須です。例えば、FPGA内部の制御ロジックを二重化(2 out of 2)や三重化(2 out of 3)し、常に相互監視させることで、単一の故障が発生しても安全機能を維持できるように設計します。この設計手法は、チップ面積や消費電力が増加するというトレードオフを伴いますが、信頼性・安全性を最優先するために避けられません。
- 系統的故障の防止: 設計ミスや仕様の誤解など、人間が原因で発生する故障を防ぐため、厳格な開発プロセス、レビュー、検証(Verification)が要求されます。特にASICやFPGAの検証フェーズでは、通常の機能テストに加え、故障注入テスト(Fault Injection Test)など、セーフティ規格に特化した非常に厳しいテストが義務付けられています。
- 診断カバレッジの確保: デバイス内部に自己診断機能(例:ウォッチドッグタイマー、エラー訂正コード/ECC)を組み込み、故障を検知する割合(診断カバレッジ)を最大化する必要があります。SILレベルが高くなるほど、この診断カバレッジの要求値も厳しくなります。
この規格に準拠することは、単なる技術的な
