あなたは、人に「機能安全」を正しく説明できるだろうか? 機能安全基本規格「IEC 61508」を基に機能安全の基礎とその概要について解説する
「機能安全規格」とは、安全な製品を開発するために有効と考えられる管理や手法適用を定めたもので、安全に関係する事項を極力網羅的に検討・考慮し、安全な製品の開発を促すために考えられた規格です。
機能安全規格は1990年代末に欧州を中心に策定され、2005年ごろから日本国内でも注目されはじめました。この機能安全規格は国際規格である「IEC 61508」をベースとしており、製品カテゴリごとに“専用の規格”が策定されています(製品カテゴリごとに内容は多少異なります)。本稿では、機能安全基本規格IEC 61508を基に『機能安全』の基礎について解説していきたいと思います。
なお、本稿は経済産業省 独立行政法人 中小企業基盤整備機構の戦略的基盤技術高度化支援事業の採択テーマとして実施中の「機能安全対応自動車制御プラットフォームの開発」の成果内容を基にしています。
(株)ヴィッツ(サブリーダー兼管理法人)、(株)サニー技研、東海ソフト(株)、名古屋大学(プロジェクトリーダー)、産業技術総合研究所(CVS)、名古屋市工業研究所、北海道立工業試験場
トヨタ自動車(株)、アイシン精機(株)、(株)東海理化、アイシン・エイ・ダブリュ(株)、(株)ルネサステクノロジ、(株)豊通エレクトロニクス、筑波大学
“機能安全”という言葉だけを聞いて、その内容を正しく説明できる人はほとんどいないと思います。機能安全は、欧州規格名称“Functional Safety”をそのまま日本語に置き換えた言葉です。“安全に関する言葉である”ことは容易に想像できますが、内容まで理解できるほど日本語として適切な(正しい意味を持つ)言葉とは思えません。
というわけで、まずは機能安全の概念について紹介していきたいと思います。
「NECA 技術委員会報告 第3の波『機能安全』の概要(注)」では、機能安全を『本質安全』と対比する言葉として説明しています。その違いについて簡単にまとめたものを以下に示します。
<本質安全>
・機械が人間や環境に危害を及ぼす原因そのものを低減、あるいは除去する
→鉄道を例にすると、線路と道路の交差部を立体交差にすれば、踏み切り上で事故に遭遇する可能性はない。
<機能安全>
・機能的な工夫(安全を確保する機能:以下、安全機能)を導入して、許容できるレベルの安全を確保すること
→鉄道を例にすると、踏み切りの警報機や遮断機の設置(これらが設置されていても絶対的に安全とはいえないが、許容できるレベルの安全は確保している)。
すなわち、踏み切りにおける安全を考えた場合、立体交差(注)にして踏み切りそのものを取り除くことにより、安全を確保する対応を本質安全(本質的に問題原因を取り除く方法)としています(図1)。
また、踏み切りそのものは取り除かないが、遮断機、警報装置などの“機能装置”を取り付けて、あるレベルの安全を確保することを機能安全と定義しています(図2)。
さて、冒頭で紹介したIEC 61508は、もともと発電所などの大型プラントなどを対象としており、危険となる事象から守るための“機能”を追加し、危害を加えることのないような、いわゆる防火壁のような手法により、安全を確保する考え方です。例えば、安全を確保するために人を近づけないようにする製品(工作機械、産業ロボットなど)にはシックリとくる考え方ではないでしょうか? この場合の機能安全は『機能による安全』を意味します。
しかし、機能安全を上記のような意味でとらえていない(とらえられない)分野もあります。
ある技術者の方は、「機能安全とは、製品に取り入れられた機能が壊れないことであり、さらに、万が一故障しても安全が維持できるような対策を施した設計をしていることが重要。これが機能安全である」といっていました。
この考え方は、機械と人が一体となる、もしくは機械の中に人が入るような製品(例えば、エレベータ、自動車、介護ロボットなど)の場合に当てはまります。これらは、何か特別な機能を追加して安全を得るわけではなく、製品そのものに取り込まれたすべての機能が正しく動作することで安全を得ています。このケースにおける機能安全は『機能の安全』を意味します。
この『機能による安全』と『機能の安全』の扱いについて、IEC 61508策定に携わる方に確認したところ、「現版のIEC 61508では、機能安全(Functional Safety)とは“機能による安全”を示しています。しかし、次の第2版で、Functional Safetyのほかに、Safety integrity functionsという用語が追加されました。この用語のnoteを参照すると“機能の安全”を表すような説明が記載されています」と説明してくれました。
つまり、第2版のIEC 61508では『機能による安全』と『機能の安全』を分けて扱っており、どちらも重要な考え方であるということを示しています。以上のことから、どちらも(機能による安全と機能の安全)機能安全に含まれると考えてよいでしょう。
品質マネジメントシステム関連の国際規格群として知られる「ISO 9000」は、一般的に“品質”を維持・向上させるための規格であり、高品質な製品を作る際の組織の管理や開発・製造時の仕組み(QM:Quality Management)などについて規定されています。一方、機能安全規格は“安全性”を確保・向上させるための規格であり、一般的に“製品を対象としている”といわれていますが、“安全な製品の開発・生産”もその対象として考えると、当然ISO 9000が規定する品質管理に関する項目も重要になってきます。そのため、IEC 61508ではISO 9000などの品質規格が要求する品質管理についても求められています。
次に『システムの安全性』の定義を確認し、その類似語である『システムの信頼性』との違いについて説明していきたいと思います。
<システムの信頼性の定義>
機能単位が、要求された機能を与えられた条件の下で、与えられた期間実行する能力(規格番号:JIS X 0014)
<システムの安全性の定義>
システムが規定された条件の下で、人の生命、健康、財産またはその環境を危険にさらす状態に移行しない期待度合い(規格番号:JIS X 0134)
システムの信頼性とは、“要求された機能を与えられた期間満たしていること”であり、安全については言及されていません。そのため、要求機能を与えられた期間満たしていれば、安全でなくても“信頼性”があるといえます。
一方、システムの安全性とは、“危険な状態に移行しないこと”であり、そのシステムが機能要求を満たしているかどうかは言及されていません。極端なことをいえば、動かない自動車、飛ばない飛行機などは“安全”といえますが、それではシステム本来の目的を満たしません。
このように、信頼性と安全性はそれぞれまったく異なる点を注視していますが、双方の要求を満たさないとわれわれ人間にとって便利なシステムは成り立たないことになります。信頼性と安全性は対象としている事象が異なるため、その意味も異なりますが、安全を必要とする製品開発には安全性も信頼性もともに必要です。
国内メーカーが開発する機器のほとんどは、安全性も信頼性も有していると思います。機能安全規格はこの安全性と信頼性への対応が正しく実施されているかどうかを判断する基準を定めているにすぎません。規格が要求する多くの観点は、すでに各メーカーで実施されていることですので、後は「実施内容を正確に示し、安全な製品を開発している」ということを証明できればよいことになります。
Copyright © ITmedia, Inc. All Rights Reserved.