こんにちは。この度は、STが提供する汎用マイコンに汲むことが用意な、認定済みソプトウェアで開発できる技能安全システムのプレゼンテーションにアクセスいただき、ありがとうございます。このプレゼンテーションでは、STM8並びにSTM32ファミリーで実現できる技能安全について紹介します。本プレゼンテーションのアジェンダです。STの機能安全パッケージの説明について、機能安全の簡単な紹介から始めます。その後にSTM8およびSTM32マイコン向けパッケージについて、およびClass Bソリューションを紹介いたします。それでは機能安全の導入から始めます。STのマイクロコントローラーを使用したセーフティーアプリケーションに対して、STは機能安全パッケージを提供しています。安全とは何でしょうか?ISO国際標準化機構とIC国際電気技術委員会は、安全面を企画に含めるためのガイドライン、ガイド51をリリースしました。このアプローチは、製品やシステムの使用に存在する可能性のあるリスクを提言することです。人、財産、環境に対する許容リスクを達成し、環境への悪影響を最小限に抑えることを目的としています。ここで、安全とは許容できないリスクからの解放、リスクとは機械の発生確率と深刻度の組み合わせ、機械とは人の健康への障害、または損害、または物や環境への損害。許容可能なリスクとは、現在の価値観に基づいて特定の状況で受け入れられるリスクのレベルのことを言います。また、安全、セーフティーとは許容できるリスクという言葉の定義から、機械の発生確率と深刻度の組み合わせが、現在の価値観、特定の状況において受け入れられるリスクのレベルのことを言います。安全機能の信頼性要件は、安全要件を維持または満たす必要があり、それを機能安全と言います。ところで、セーフティーもセキュリティーも翻訳すると日本語では安全となります。このプレゼンテーションで取り上げている安全とは、セーフティーとなりセキュリティーのことではありません。機能安全、ファンクショナルセーフティーとは、自分自身の誤差度や故障などの障害に対して安全を定義しています。それでは、安全基準について見てみましょう。IEC-6108は、異なるアプリケーションに幅広く適用される機能安全のメタスタンダードです。そのため、一般的長い年と定義は、一般にIEC-6108から適用されます。例えば、IEC-62061はマシナリー用と専用ですが、IEC-6108を再利用しています。IEC-62061は、専用のマシナリー安全企画であり、マシナリー関連の安全統合レベルを実現するため、安全関連制御システムの設計、統合、検証に関する推奨事項が含まれています。さて、SIL、シルトも呼ばれる安全度水準について見てみましょう。機能安全を定義するには、安全性の達成を測定して説明する方法が必要です。それが、安全度水準、シルです。これは、1から最高の機能安全レベル4までのレベルを持ち、ハードウェアとシステムの両方の整合性のために適用されます。代表的な産業用アプリケーションは、SIL-2またはSIL-3レベルです。許容できるリスクという定義からもわかるように、システムのリスクはゼロではありませんし、ゼロにはなりません。全てのシステムは独自の低量化されたリスクを持っており、リスクゼロでシステムを構築することは不可能です。そのため、全てのリスクを見つけ出し、出てくる危険に対応する必要があります。もし、この作業で目標である許容範囲までリスクを減らすことができるのであれば問題ないのですが、届かなければ電気、電子、プログラマブル電子安全関連システムの機能安全を持ち、残りのリスクを定義させなくてはいけません。リスク低減は単一の安全系総システムに依存する必要はありません。異なるデバイスと組織の対策を組み合わせてリスクを低減することもできます。先ほどのシルは安全装置を使用して達成できるリスク低減のレベルを示しています。STはSTM8及びSTM3人用の機能安全パッケージを提供しています。これは、機能安全企画の認定を達成するための開発行数、時間、コストを削減するための認定済みのソフトやライブラリーとドキュメントの包括的なセットとなります。主に、産業適用のためのSTM3人シルパッケージ、自動車用アプリケーションSTM8栄養Aシルパッケージ、STM8及びSTM3人の家電製品向けクラスB対応パッケージの3つの機能安全パッケージが存在します。STM3人向け機能安全パッケージの中身を詳しく見ていきます。STM3人は、他期にわたるアプリケーションに向けて開発された汎用マイクロコントローラーです。高いレベルの現労性を提供するために、すべてのSTM3人ファミリーのハードウェアにいくつかの安全機能を組み込みました。その上で、機能安全アプリケーションに対応するSTM3人用の安全ライブラリーを開発しました。最新のSTM3人世代には、フラッシュ用のECCエラーコードの修正があります。先ほど紹介した3行向け機能安全のライブラリー、XCube STLを例に取りコンセプトを説明します。基本的にIC61508は、システムベースで取得する機能安全の企画になり、反動体単体で取得可能な企画ではありません。ですが、それぞれのフェイラーモードに対して詳細に分析する必要があります。フェイラーモードとは、安全な状態のフェイル政府の状態になるか、危険な障害の状態と2つに分けることができます。フェイル政府の状態とは、障害の発生後、常に安全な状態に移行できる状態を言います。危険な障害とは、プロセスからの要求に応答しない状態で、フェイル政府の状態に移行できない場合です。また、それぞれを検出されるまたは検出されない障害と2つに分けることができます。この検出できない危険な障害になるリスクを計算し、見積まらなくてはいけません。これは、ハードウェアだけでなく、それを動かすためのソフトウェアに対しても求められ、結果、ユーザーアプリケーションレベル、システムレベルでリスクを見積む必要があります。STM32のための機能安全パッケージは、全てのSTM32シリーズがサポートされています。内容物は、セーフティーマニュアル、FMEA、FMEDAと呼ばれるドキュメントと、セーフティーの認証を受けたSTM32ファミリーごとのセルフテストライブラリーになります。このドキュメントパッケージでは、全てのSTM32シリーズがサポートされており、機能安全パッケージ全体を無料で提供しています。STM32機能安全パッケージの一般ドキュメントは、STのウェブサイトで入手でき、特定のドキュメントと、各STM32用のセルフテストライブラリーは保養房に応じて提供されています。STのウェブサイト上の、各STM32ファミリーのセーフティーマニュアルでは、IEC-6158に準拠した安全性の整合性レベルの認証を実現するために、安全性要求、使用条件と例を記述しています。また、FMEAと呼ばれる故障モード影響解析は、故障モードを活用した信頼性解析手法、FMEAと呼ばれる故障モード影響診断解析は、FMEAをベースにして、故障モードの発生確率と故障影響を記述して、安全側故障率と危険側故障率を分析する手法となり、それぞれ入手可能です。これら2つのドキュメントは、NDA秘密保持契約証明後のリクエストに応じて提供されます。XCube STLはSTM32マイコンのカードウェアのランダムな故障、障害を検出するために、考慮されたソフトウェアベースの診断ライブラリーです。お客様のアプリケーションに依存しないため、お客様のアプリケーションにおいても単独で使用可能です。STM32のセーフティコンセプトのための主要な診断の測定を行います。これはIC61508シル3のプロセスに従って開発され、TUFラインランドによって認定されています。このライブラリーはオブジェクトコードとして配布されるため、コンパイラーに依存しません。セーフティインテグリティレベルシル2は、関連するセーフティマニュアルに含まれるセルフテストライブラリーの実行含む要件を満たすことにより、シングルのSTM32で達成の可能性があります。セーフティインテグリティレベルシル3は、シル2ケースに対して求められる同じ要件かつ、2つのSTM32で達成することが必要で、上調性を持って実行されます。過去アプリケーションにおいて、STM32機能安全パッケージを統合する方法を見てみましょう。まずはIC-615-08の開発フローを書いたものです。XCube-STLでは、認証不足のために有益なドキュメントを各種準備しています。これらはSTM32を使った機能安全アプリケーションシステムを作るために必要なドキュメントとなります。ここで注意していただきたいのは、実際に提供されるSTM32機能安全パッケージでは、ST-615-08の一部分のサポートになることに注意してください。これはIC-615-08がシステムレベルでの認証を取得する企画になるためです。また、PART-3では、認証されたコンパイラーなどのツールに対しての要求もあります。STの提案する機能安全パッケージなしでも、認証を取得することは不可能ではありませんが、このために要する時間を少しでも削減することが可能になるため、このパッケージは認証不足のためには必要不可欠なものとなります。次はIC-615-08向けの導入です。www.st.com-xcubestlはSTM32の機能安全パッケージへのエントリーポイントになります。各STM32ファミリー専用のセーフティーマニュアルなど、安全に関する多くのドキュメントがご覧いただけます。セーフティーマニュアルでは、すべてのSTM32安全機構を組み込み、セーフティーアプリケーションを開発する方法を説明しています。また、STM32用Xcubestlライブラリーを実装する方法についても説明します。これらのドキュメントは、すべてSTM32ユーザーが自由に活用できます。STM32XcubestlのSTのライブラリーについてのお問い合わせは、STか各代理定にお問い合わせください。セーフティーSTLライブラリーXcubestlを含むセーフティーパッケージは、NDAを事前に決定する必要があります。安全パッケージに含まれるすべてのドキュメントは、次のスライドで詳しく説明いたします。この表がSTM32機能安全パッケージに含まれる内容物となります。先ほどのURLからダウンロードすることができるドキュメントは、表の一番上に書かれているMCU機能安全マニュアルとなり、各シリーズごとに準備されています。NDA締結後には、MCUFMEA、FMEDAのドキュメント、STLライブラリーが入手することが可能で、STMライブラリーにはSTLユーザーガイド、機能安全マニュアルといったドキュメントが含まれています。STLライブラリーを入手、インストールするとこのような構成になっています。上から、ボードサポートパッケージやシムシス、ハードウェア中小化レイヤーなどのドライバー群、セーフティーのライブラリー本体が確認されているミドルウェア。最後に、プロジェクトというホルダーは、各評価用ボード上で動作するサンプルプロジェクトが収められています。このサンプルプロジェクトを使い、該当するデバイスに一番近い評価用ボードを流用することによって、お客様のアプリケーションに一早く導入することが可能になっています。機能安全パッケージには、STM8及びSTM32マイクロコントローラー用のクラスBソリューションも提供しています。クラスBの機能安全パッケージでは、火電企画の安全企画のIC-60335及び60730向けに認定され、STM32及びSTM8ベースのシステムを構築するための時間とコストを提言します。クラスBパッケージには、認定されたセルフテストライブラリーを含むSTM32専用のデバイスドライバーに基づいた最適化されたコードやガイドライン、エクザンプルが記載されたセーフティーマニュアルが含まれており、IAR、カエル、STM32キューブIDEのようなSTM32の個数の開発環境がサポートされています。STM32、STM8のクラスB機能安全パッケージは、全シリーズでサポートされています。また、UR、IEC、CSAの認定を受けています。ガイドラインは、各アプリケーションノートを参照してください。セーフティーパッケージの認証についてです。これは、トゥフラインランドから発行された認定書になります。すでに10以上のセーフティーライブラリーパッケージがカバーされています。最新のSTM32シリーズのセーフティーパッケージがすぐにカバーされる予定です。機能安全エコシステムとSTのセーフティー認定パートナーについては、STのウェブサイトを参照してください。ST認定のパートナーは、安全要求から、ハードウェア・ソフトウェアのデザインの検証、または、認証取得のサポートに対して開発のコストや時間を削減するために、機能安全のエキスパートがお客様をサポートいたします。最後にまとめです。この表はSTM8やSTM32がサポートされている機能安全パッケージの一覧になります。STM8およびSTM32には多くの機能安全パッケージが認定されており、無料で入手可能です。ご自身のアプリケーションに合わせて該当するパッケージを選びください。各アプリケーションに対して次の項目を選択できます。自動車関連であればSTM8Aが対応するISO26262向けのSTM8AセーフAシルが必要になります。また、家電系であればXCUBE ClassBもしくはSTM32 ClassB SPLを産業系であればXCUBE STLが必要になります。XCUBE STLとSTM8AセーフAシルはベッド、セーフTNDAが必要になります。以上で、本プレゼンテーションの説明を終わります。ご清聴ありがとうございました。