「安全関連システム」とその基本構成、2種類の故障について知ろう：これだけは知っておきたい機能安全（3）（2/4 ページ）

[株式会社セーフティイノベーション，MONOist]

入力／論理／出力の3部で構成される安全関連システム

　安全関連システムは「電気（E）」「電子（E）」「プログラマブル電子（PE）」によって制御されるシステムです。IEC 61508では、安全関連システムを「Functional safety of electrical/electronic/programmable electronic safety-related systems（電気／電子／プログラマブル電子を用いた安全関連システムの機能安全）」と表現しています。ただ非常に長いので、日本では「E／E／PE安全関連システム」、あるいは一般的な略称として「機能安全」と呼ばれています。

　ここで知っておきたいのは、安全関連システムの基本構成です。制御システムの安全関連部（安全関連システム）は、「安全関連入力信号に応答し、安全関連出力信号を生成する制御システムの部分」と定義されています。つまり、安全関連システムには、以下の3つが必要となります。

• a：人、モノの動きを伝える安全関連「入力信号部」
• b：入力信号と安全状態を確認してロボットの動作を許可してよいと判断する安全関連「論理部」
• c：安全関連論理部の判断を受けて、ロボット動作をオン／オフさせる安全関連「出力信号部」

　この「a：入力信号部」「b：論理部」「c：出力信号部」の3つが安全関連システムの基本構成となります。安全関連システムは「safety-related part of a control system」の略で、「SRP/CS」と呼ばれます。このため、「入力信号部」「論理部」「出力信号部」は、それぞれ「SRP/CSa」「SRP/CSb」「SRP/CSc」と表記されることもあります。

安全関連システムの基本構成［クリックで拡大］ 出所：セーフティイノベーション

　なお、ISO 13849-1:2015（制御システムの安全関連部）では、制御システムの安全関連部（安全関連システム）の適用範囲を、電気的技術を採用する安全関連部に限定するのではなく、油圧技術などの非電気技術を採用している安全関連部にも適用しています。

機能安全規格が定義する「故障」は2種類に分けられる

　機能安全規格では、故障の種類を原因別に定義しています。その種類は「システマチック故障」と「ランダムハードウェア故障」の2種類です。

システマチック故障（決定論的原因故障）

　システマチック故障は「決定論的原因故障」とも呼ばれます。この故障は、ハードウェアやソフトウェアの設計開発における仕様の曖昧さや想定外の設計、テスト漏れなどに起因するものです。やや乱暴な表現では「設計ミス」を原因とするものといえます。

　これらを原因とする不具合やバグは、設計開発において同じ手法をとった他のシステムにも存在し、問題を引き起こします。表現を変えれば、問題が起きるように設計されているということでもあります。

　JIS規格では、システマチック故障を「正しい知識、認識、対策の欠如などの原因の決定的に関連する想定外の故障または失敗」と定義しています。

ランダムハードウェア故障

　ランダムハードウェア故障は、ハードウェアの故障率曲線の中におけるランダム故障期間を対象としたものです。この故障はソフトウェアには存在しません。機械的な可動部分を持つ、ハードウェアに特有の故障となります。

　JIS規格では、ランダムハードウェア故障を「時間に関して無秩序に発生しハードウェアの多様なメカニズムから生じる故障」と定義しています。

　ランダムハードウェア故障は、ハードウェアを構成する部品や材料の劣化、稼働時における内部温度の上昇などによって発生します。これらに対しては、冗長化や多様化による信頼性の向上、自己診断機能による予兆検知などの対策が有効と考えられます。