機能安全
機能安全(きのうあんぜん、英: functional safety)は「監視装置や防護装置などの付加機能によるリスク低減策」であり、安全方策(安全を確保する為の考え方)の1つである。人間、財産、環境などに危害を及ぼすリスクを、機能や装置の働きにより、許容可能なまでに低減する一つのやり方である。JIS C 0508(IEC 61508)は「被制御機器(EUC)及び被制御機器制御系の全体に関する安全のうち、電気・電子・プログラマブル電子安全関連系及び他のリスク軽減措置の正常な機能に依存する部分[1]」と定義している。自動車の機能安全規格ISO 26262は、機能安全の対象を「電気電子(E/E)システムの機能不全のふるまい」 に限定している[2][3]。→#自動車の機能安全
電気・電子・プログラマブル電子(Electrical・Electronic・Programmable Electronic)は、E/E/PE(またはE/E/PES)という略号を使用している。
機能安全は、本質安全という考え方と対比して説明される事が多い。例えば踏切では、列車と道路を通行する車輌等との事故の危険があるが、安全を確保する為に立体交差にするというのは、踏切そのものが無くなるので、本質安全の考え方を適用したものと言える。一方、踏切に警報機や遮断機を設置するというのは、事故の可能性は無くなりはしないが、これらの機能や装置の働きにより、許容可能なまでに危険を低減できるので、機能安全の考え方が適用されたものと言える[4]。
概要
[編集]プラント、発電所、機械、鉄道、医療機器、家電やシステムの安全を担保するためには、先ずは人間、財産、環境などへ危害を及ぼすハザード(危険源)を特定し、リスクを見積りし、リスクを評価する。その結果、リスクが許容できない場合はリスクを許容可能なまでに低減することが必要である。リスク低減の手順は、一般に3ステップメソッドと呼ばれる手順を踏んで行われる[5]。
- ステップ1:本質的安全設計によるリスク低減
- 構造の変更などによるリスク低減(本質安全)
- ステップ2:ガード及び保護装置によるリスク低減
- 監視装置や防護装置などの付加機能によるリスク低減(機能安全)
- ステップ3:使用上の注意喚起やオペレータの訓練などによるリスク低減
- 警告標識、表示、警告信号、警告装置
- 使用のための指示(取扱説明書、使用情報、訓練情報)
多くの危険源は、形状・材質、熱、電気、騒音、衝撃、振動、化学的(化学物質)、生物学的(微生物など)、放射線などである。これら危険源を構造的変更によって小さくすることによって、人や環境、財産へのリスクを低減することが本質安全である。また、プラント、発電所、機械、鉄道、医療機器、家電やシステムなどは、摩耗や劣化によって、いつかは必ず故障する。故障を低減するために、信頼性の高い部品を使ったり、保全(保守)を行うことが品質マネジメント(品質管理)である。
一方、監視装置や防護機能などの付加機能により危険源から人や環境を空間的・時間的に遠ざけることによって、リスクを低減することが機能安全である。しかし、監視装置や防護装置などの付加機能も、いつかは必ず故障する。故障してもリスクが小さくなるようにコントロールすることも機能安全のリスク低減策の1つである。例えば、誤動作の防止や機能不全の防止がこれにあたる。この誤動作の防止や機能不全の防止に対して、故障したら止まるというようなフェイルセーフが対策の1つとなる。 このように、機能安全には2つの側面がある。前者を「機能による安全」、後者を「機能の安全」と分類している例がある[4]
また、監視装置や防護装置にハードウェア・ソフトウェアの故障(バグ)が入り込むことを回避することも、機能安全のリスク低減策の1つである。マネジメントしたり、第三者へ客観的説明を可能とする証拠として文書を残したり、アセスメントしたり、監査することが製品の全ライフサイクルで要求される。これらを機能安全マネジメントという。
この監視装置や防護装置などの付加機能は、E/E/PE(マイコンとソフトウェア、ASIC、FPGAも含む)で実現される場合が一般的である。つまり、機能安全とは、狭い意味では、E/E/PEによるリスク低減策である[6]。言い換えると、機能安全とは、システムの安全を確保する機能を持つ安全系をE/E/PEによって構成する場合に、リスクを許容目標へ軽減する考え方である[7]。
機能安全の基本的な考え
[編集]機能安全規格は、ISO/IEC GUIDE 51及びIEC GUIDE 104を筆頭として、E/E/PEに関する機能安全規格IEC 61508がある。またこれを元に、いくつかの分野に適用した規格がそれぞれ策定されている[4]。→#機能安全規格一覧
機能安全は、ハザード分析(危険源の分析)の結果として特定された安全関連システム(安全関連系)による危害に対する抑制を目的として「安全機能」を実装することと、リスク分析の結果として導かれる「安全度」の目標レベルを達成することを実施しなければならない。
安全機能
[編集]安全機能とは、IEC 61508では「E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は、特定の危険事象に関して、EUC に関わる安全な状態を達成又は保持する。」と定義されている。IEC 61508のJIS版JIS C 0508:2014の付録(解説)[8]では、「プリクラッシュシステム(衝突予防機構)は車両が障害物と衝突する危険事象を回避するために、自動車に搭載したレーダ、カメラなどからの情報をコンピュータが分析して運転手に警告し、さらにブレーキを作動させるという安全機能」、「エアバッグは車両衝突時に開となり、乗員がハンドルなどで強打するリスクを緩和する安全機能」と紹介されている。なお、安全関連機能は、IEC 61508では、安全機能との独立性を証明できない安全以外の機能を含むものである。安全機能と安全関連機能は同義語ではなく、安全関連機能に安全機能を含む可能性がある類義語である。
一方、機械類の安全規格であるISO 12100やISO 13849-1では、安全機能は「故障がリスクの低減につながるような機械の機能」と定義されており、安全機能と安全関連機能は類義語として使われている。
自動車の機能安全規格 ISO 26262では、安全機能という用語は使用していない。代わりに、安全機構(安全メカニズム)を使用している。
安全度
[編集]安全度とは、IEC 61508では「あるE/E/PE安全関連系が、指定した期間内に、全ての指定した条件下で、規定する安全機能を果たす確率」である。
安全分析
[編集]安全度が目標レベルを達成したことを確認するために、安全分析を行う。IEC GUIDE 104では電気安全と機能安全の安全分析のための基本的な考えが述べられている。
原因別故障
[編集]機能安全では、次の2つの原因別の故障を対象としている。
- ランダムハードウェア故障
- システマティック故障
単一障害と多重障害
[編集]IEC GUIDE 104では、シングルフォールト(単一障害)のみを対象とし、2つの独立した無関係なフォールト(障害)の同時発生の可能性は非常に低いので考慮の対象外としている。IEC 61508も、シングルフォールト(単一障害)のみを対象としている。 一方、機械の安全ISO 13849や自動車の機能安全ISO 26262では二重障害まで考慮しなければならない。鉄道では三重障害まで考慮する例もある。
従属故障
[編集]- カスケード故障
- 共通原因故障
ソフトエラー
[編集]- 中性子線や電磁波、磁場などによるメモリ化け
その他
[編集]設計において次の内容を考慮しなければならない。
また、次を考慮する。
- 予期しないスタートとストップ
- 停止できない故障
機能安全規格一覧
[編集]機能安全関連規格の一覧を以下に示す[9]。
- ISO/IEC GUIDE 51: 安全側面
- IEC GUIDE 104: 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
- ISO 12100: 機械類の安全性 ‐設計のための一般原則-
- IEC 61508: E/E/PEの機能安全
- IEC 62061: 機械類の機能安全
- ISO 13849: 機械類の安全性
- IEC 62278: 鉄道
- IEC 61513: 原子力
- ISO 26262: 自動車の機能安全
- ISO 15998: 土工機械
- IEC 60335: 家電
自動車の機能安全
[編集]自動車の機能安全規格「ISO 26262:2011」は、IEC 61508の分野規格であり、IEC 61508の基本的考えと枠組みを踏襲している。しかし、自動車産業の発展の経緯に基づく独自の用語やリスクアセスメント手法などに起因する相違が存在する[10]。 E/E/PE安全関連系に人の操作機能を含むか含まないかは,安全要求事項に大きな影響を与える。IEC 61508は,基本制御システムと安全関連システムを分離することが要求されているが,自動車などではそれらを分離することは難しい[10]。E/E/PE安全関連システムの安全機能のみを独立させて安全度を評価することが難しい。さらに、自動車の制御システムが複雑なため、全体システムの定量的リスク評価は困難である[10]。
そのため、自動車の機能安全規格「ISO 26262:2011」の機能安全の定義は、IEC 61508の定義より狭く、「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」[2]となっている。つまり、機能不全のふるまい(誤動作)を対象にしている。例えば、衝突予防機構の機能不全のふるまい(誤動作)防止のみが対象である。しかし、機能不全のふるまい(誤動作)が発生しない場合でも、安全な状態ではない場合がある。豪雨などの運転状況下で衝突予防機構によって横滑りや追突が起きることはある。このように、ISO 26262:2011では、豪雨などの天候の影響や、交通法規を著しく逸脱するような運転手の危険運転を監視装置や防護装置によって防ぐという観点がない。
ギャップ・アセスメント(差分分析)
[編集]規格適合するためには、一般には、ギャップ・アセスメントという手法を用いる。ギャップ分析では、適合させる規格の要求事項と、対象プロセスの社内規定や社内ガイドライン、対象製品の製品開発におけるエビデンスとの差分を明らかにする。 明らかになった差分を社内規定や社内ガイドラインに追加する。
脚注
[編集]参考文献
[編集]- ISO/IEC GUIDE 51 安全側面
- IEC GUIDE 104 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
- IEC 61508 電気・電子・プログラマブル電子の機能安全
- 佐藤吉信、機能安全の基礎、一般財団法人 日本規格協会