機能安全
機能安全とは、監視装置や防護装置といった付加機能を用いてリスクを低減させる安全対策の一つです。これは、人、財産、環境への危害を、機能や装置の働きによって許容可能なレベルまで減らすことを目指します。JIS C 0508(IEC 61508)では、「被制御機器(EUC)及び被制御機器制御系の全体に関する安全のうち、電気・電子・プログラマブル電子安全関連系及び他のリスク軽減措置の正常な機能に依存する部分」と定義されています。一方で、自動車の機能安全規格であるISO 26262では、対象を「電気電子(E/E)システムの機能不全のふるまい」に限定しています。
機能安全は、本質安全という考え方と対比して語られることが多いです。例えば、踏切事故を防ぐために立体交差を設けるのは本質安全の考え方ですが、警報機や遮断機を設置するのは機能安全の考え方に基づいています。これらの装置は事故の可能性を完全にはなくせないものの、その機能によってリスクを低減させます。
プラント、発電所、機械、鉄道、医療機器、家電製品などの安全を確保するためには、まず危険源を特定し、リスクを見積もり、評価する必要があります。もしリスクが許容できない場合は、リスクを許容可能なレベルまで低減することが必要です。このリスク低減は、一般的に以下の3つのステップで行われます。
1. 本質的安全設計によるリスク低減:構造的な変更によってリスクを低減します。
2. ガード及び保護装置によるリスク低減:監視装置や防護装置などの付加機能によってリスクを低減します(機能安全)。
3. 使用上の注意喚起やオペレータの訓練などによるリスク低減:警告標識や取扱説明書、訓練情報などによってリスクを低減します。
多くの危険源は、形状、材質、熱、電気、騒音、衝撃、振動、化学物質、微生物、放射線などです。これらを構造的に変更することでリスクを低減するのが本質安全です。また、製品の故障を減らすために信頼性の高い部品を使用したり、保全を行うことは品質マネジメント(品質管理)の一環です。
機能安全では、監視装置や防護機能などの付加機能によって、人や環境を危険源から空間的・時間的に遠ざけることでリスクを低減します。しかし、これらの装置も故障する可能性があるので、故障してもリスクが小さくなるように制御することが重要です。例えば、誤動作の防止や機能不全の防止のために、フェイルセーフなどの対策を講じます。
機能安全には、「機能による安全」と「機能の安全」という2つの側面があります。また、監視装置や防護装置にハードウェア・ソフトウェアの故障(バグ)が入り込まないように管理することも機能安全のリスク低減策の一つです。これらを管理し、第三者への客観的な説明を可能とするために、文書化、アセスメント、監査が製品のライフサイクル全体で求められます。この活動を機能安全マネジメントと呼びます。
多くの場合、監視装置や防護装置などの付加機能は、E/E/PE(マイコンとソフトウェア、ASIC、FPGAを含む)で実現されます。つまり、機能安全とは、狭義にはE/E/PEによるリスク低減策と言えます。
機能安全規格は、ISO/IEC GUIDE 51、IEC GUIDE 104、IEC 61508などを基盤としています。機能安全は、ハザード分析の結果として特定された安全関連システムによって危害を抑制し、「安全機能」を実装することと、リスク分析の結果として導かれる「安全度」の目標レベルを達成することを目的としています。
安全機能
IEC 61508では、安全機能を「E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は、特定の危険事象に関して、EUC に関わる安全な状態を達成又は保持する。」と定義しています。例えば、プリクラッシュシステムやエアバッグが安全機能の例として挙げられます。一方、機械類の安全規格であるISO 12100やISO 13849-1では、安全機能を「故障がリスクの低減につながるような機械の機能」と定義しており、安全機能と安全関連機能を類義語として扱います。また、自動車の機能安全規格ISO 26262では安全機能という用語は使用せず、代わりに安全機構(安全メカニズム)を使用します。
安全度
安全度とは、IEC 61508では「あるE/E/PE安全関連系が、指定した期間内に、全ての指定した条件下で、規定する安全機能を果たす確率」です。安全度が目標レベルを達成したことを確認するために、安全分析が行われます。
機能安全では、ランダムハードウェア故障とシステマティック故障という2つの原因別の故障を考慮します。
単一障害と多重障害
IEC 61508ではシングルフォールト(単一障害)のみを対象としていますが、機械の安全規格であるISO 13849や自動車の機能安全ISO 26262では二重障害まで考慮する必要があります。また、鉄道では三重障害まで考慮する例もあります。
従属故障
カスケード故障、共通原因故障、ソフトエラー(中性子線や電磁波、磁場などによるメモリ化け)などが従属故障として考慮されます。
設計においては、電磁両立性(EMC)、合理的に予測できる誤使用、単一のロジックエラー、電源の遮断や変動などによる危険源の暴露を防ぐ必要があります。また、予期しないスタートやストップ、停止できない故障なども考慮する必要があります。
以下は、機能安全関連の主な規格です。
ISO/IEC GUIDE 51: 安全側面
IEC GUIDE 104: 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
ISO 12100: 機械類の安全性 ‐設計のための一般原則-
IEC 61508: E/E/PEの機能安全
IEC 62061: 機械類の機能安全
ISO 13849: 機械類の安全性
IEC 62278: 鉄道
IEC 61513: 原子力
ISO 26262: 自動車の機能安全
ISO 15998: 土工機械
* IEC 60335: 家電
自動車の機能安全規格であるISO 26262は、IEC 61508をベースとしていますが、自動車産業の独自性からいくつかの相違点があります。特に、E/E/PE安全関連系に人の操作機能を含むかどうかは、安全要求事項に大きな影響を与えます。IEC 61508では、基本制御システムと安全関連システムを分離することが求められていますが、自動車では分離が難しく、安全機能のみを独立させて安全度を評価することが困難です。そのため、ISO 26262では機能安全の定義を「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」としています。これは、機能不全(誤動作)を対象としており、例えば衝突予防機構の機能不全の防止に焦点を当てています。しかし、機能不全が発生しない場合でも安全ではない状況も存在します。
規格適合のためには、ギャップ・アセスメントという手法が用いられます。これは、規格の要求事項と組織の規定や製品開発におけるエビデンスとの差分を明らかにするものです。この差分を埋めるために、社内規定などを改訂します。
機能安全は、システムや機器の安全性確保において非常に重要な役割を果たします。規格を遵守し、適切なリスク評価と対策を実施することで、人、財産、環境への被害を最小限に抑えることが可能となります。
機能安全は、本質安全という考え方と対比して語られることが多いです。例えば、踏切事故を防ぐために立体交差を設けるのは本質安全の考え方ですが、警報機や遮断機を設置するのは機能安全の考え方に基づいています。これらの装置は事故の可能性を完全にはなくせないものの、その機能によってリスクを低減させます。
機能安全の概要
プラント、発電所、機械、鉄道、医療機器、家電製品などの安全を確保するためには、まず危険源を特定し、リスクを見積もり、評価する必要があります。もしリスクが許容できない場合は、リスクを許容可能なレベルまで低減することが必要です。このリスク低減は、一般的に以下の3つのステップで行われます。
1. 本質的安全設計によるリスク低減:構造的な変更によってリスクを低減します。
2. ガード及び保護装置によるリスク低減:監視装置や防護装置などの付加機能によってリスクを低減します(機能安全)。
3. 使用上の注意喚起やオペレータの訓練などによるリスク低減:警告標識や取扱説明書、訓練情報などによってリスクを低減します。
多くの危険源は、形状、材質、熱、電気、騒音、衝撃、振動、化学物質、微生物、放射線などです。これらを構造的に変更することでリスクを低減するのが本質安全です。また、製品の故障を減らすために信頼性の高い部品を使用したり、保全を行うことは品質マネジメント(品質管理)の一環です。
機能安全では、監視装置や防護機能などの付加機能によって、人や環境を危険源から空間的・時間的に遠ざけることでリスクを低減します。しかし、これらの装置も故障する可能性があるので、故障してもリスクが小さくなるように制御することが重要です。例えば、誤動作の防止や機能不全の防止のために、フェイルセーフなどの対策を講じます。
機能安全には、「機能による安全」と「機能の安全」という2つの側面があります。また、監視装置や防護装置にハードウェア・ソフトウェアの故障(バグ)が入り込まないように管理することも機能安全のリスク低減策の一つです。これらを管理し、第三者への客観的な説明を可能とするために、文書化、アセスメント、監査が製品のライフサイクル全体で求められます。この活動を機能安全マネジメントと呼びます。
多くの場合、監視装置や防護装置などの付加機能は、E/E/PE(マイコンとソフトウェア、ASIC、FPGAを含む)で実現されます。つまり、機能安全とは、狭義にはE/E/PEによるリスク低減策と言えます。
機能安全の基本的な考え方
機能安全規格は、ISO/IEC GUIDE 51、IEC GUIDE 104、IEC 61508などを基盤としています。機能安全は、ハザード分析の結果として特定された安全関連システムによって危害を抑制し、「安全機能」を実装することと、リスク分析の結果として導かれる「安全度」の目標レベルを達成することを目的としています。
安全機能
IEC 61508では、安全機能を「E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は、特定の危険事象に関して、EUC に関わる安全な状態を達成又は保持する。」と定義しています。例えば、プリクラッシュシステムやエアバッグが安全機能の例として挙げられます。一方、機械類の安全規格であるISO 12100やISO 13849-1では、安全機能を「故障がリスクの低減につながるような機械の機能」と定義しており、安全機能と安全関連機能を類義語として扱います。また、自動車の機能安全規格ISO 26262では安全機能という用語は使用せず、代わりに安全機構(安全メカニズム)を使用します。
安全度
安全度とは、IEC 61508では「あるE/E/PE安全関連系が、指定した期間内に、全ての指定した条件下で、規定する安全機能を果たす確率」です。安全度が目標レベルを達成したことを確認するために、安全分析が行われます。
原因別故障
機能安全では、ランダムハードウェア故障とシステマティック故障という2つの原因別の故障を考慮します。
単一障害と多重障害
IEC 61508ではシングルフォールト(単一障害)のみを対象としていますが、機械の安全規格であるISO 13849や自動車の機能安全ISO 26262では二重障害まで考慮する必要があります。また、鉄道では三重障害まで考慮する例もあります。
従属故障
カスケード故障、共通原因故障、ソフトエラー(中性子線や電磁波、磁場などによるメモリ化け)などが従属故障として考慮されます。
その他
設計においては、電磁両立性(EMC)、合理的に予測できる誤使用、単一のロジックエラー、電源の遮断や変動などによる危険源の暴露を防ぐ必要があります。また、予期しないスタートやストップ、停止できない故障なども考慮する必要があります。
機能安全規格一覧
以下は、機能安全関連の主な規格です。
ISO/IEC GUIDE 51: 安全側面
IEC GUIDE 104: 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
ISO 12100: 機械類の安全性 ‐設計のための一般原則-
IEC 61508: E/E/PEの機能安全
IEC 62061: 機械類の機能安全
ISO 13849: 機械類の安全性
IEC 62278: 鉄道
IEC 61513: 原子力
ISO 26262: 自動車の機能安全
ISO 15998: 土工機械
* IEC 60335: 家電
自動車の機能安全
自動車の機能安全規格であるISO 26262は、IEC 61508をベースとしていますが、自動車産業の独自性からいくつかの相違点があります。特に、E/E/PE安全関連系に人の操作機能を含むかどうかは、安全要求事項に大きな影響を与えます。IEC 61508では、基本制御システムと安全関連システムを分離することが求められていますが、自動車では分離が難しく、安全機能のみを独立させて安全度を評価することが困難です。そのため、ISO 26262では機能安全の定義を「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」としています。これは、機能不全(誤動作)を対象としており、例えば衝突予防機構の機能不全の防止に焦点を当てています。しかし、機能不全が発生しない場合でも安全ではない状況も存在します。
ギャップ・アセスメント(差分分析)
規格適合のためには、ギャップ・アセスメントという手法が用いられます。これは、規格の要求事項と組織の規定や製品開発におけるエビデンスとの差分を明らかにするものです。この差分を埋めるために、社内規定などを改訂します。
まとめ
機能安全は、システムや機器の安全性確保において非常に重要な役割を果たします。規格を遵守し、適切なリスク評価と対策を実施することで、人、財産、環境への被害を最小限に抑えることが可能となります。
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。