機械の安全とは何か?どのように実現すべきかを考えます。

IEC 61508

MenuBar

IEC 61508

成り立ち

IEC 61508の成り立ちに関しては、JIS C 0511-1の解説に良くまとまって書かれていますので興味のある方はお読みください。それをまた要約すると、1980年ごろにいくつかの工場(化学プラントなど)において事故があり、多くの人々が亡くなりました。それを機に「これではいかん!」と工場で使われていた電気・電子・プログラマブル電子安全関連システム(electrical/electronic/programmable electronic safety-related systems )による機能安全の規格であるIEC 61508作成のきっかけとなりました。また、この時期は丁度マイコンが身近になりつつあり、それが近々工場の制御に使われるよることが予測されたことも、IEC 61508の規格作成の動機のひとつになったと思われます。

機能安全とは(この項、他と重複してます)

IEC 61508の表題はFunctional safety of electrical/electronic/programmable electronic safety-related systems です。日本語に訳すと「電気・電子・プログラマブル電子による機能安全」です。この「電気・電子・プログラマブル電子による」の部分が省略されて、「機能安全」という言葉だけが独り歩きを始め、昨今では「機能安全」=「電気・電子・プログラマブル電子による機能安全」と理解されています。しかしながら、機能安全とは、何らかの機能により安全を実現しようとするものです。したがって、電気・電子・プログラマブル電子に限定されません。例えば、堤防という波を防ぐ機能を用いて町を守ることも機能安全のひとつです。このように考えると、機能安全は身の回りに沢山あります。そしてそられ全てに共通することは、「機能安全は必ず壊れる」あるいは、「機能安全では危害の頻度や程度を下げることは出来るが危害そのものを無くすことはできない」ということです。
インターネットで「機能安全」を調べると、踏み切りと立体交差の例を見かけます。そして、立体交差を「本質安全」としています。果たしてそうでしょうか?広い意味での機能安全で考えると、立体交差は鉄道とその他の交通を分離するという機能で安全を確保しているに過ぎません。立体交差の上を走る自動車がガードレールを飛び越して、下を走る鉄道に衝突することが「絶対に起こらない」と誰が言えるでしょうか?
IEC 61508は、身の回りに沢山ある機能安全のうち「電気・電子・プログラマブル電子による機能安全」に限った標準(standard)であるということを再認識してください。IEC 61508では、電気・電子・プログラマブル電子以外の安全方策に関してOther risk reduction measuresとして認識し、他の方式による機能安全の存在を認めたうえで、当規格では取り扱わない旨宣言しています。

本質安全とは

かえって、「本質安全」とは何か?本質安全による安全確保を実現するということは、リスクの元になる危険源のエネルギー、言い換えれば危険エネルギーを無くしてしまうか安全なレベルにまで減少させることです。従って安全制御そのものが不要になり、どのような状況においても安全が確保されることになります。

故障の種類

故障は大きく分けると部品の破損などに伴う偶発故障と、幾つかの条件が重なると必ず起こるような決定論的原因故障(systematic failure: 系統的故障)があります。これらを更に分類すると、故障が危険な状況をもたらさない安全側故障と、危険な状態をもたらす危険側故障。さらに、何らかの症状や監視回路の働きにより検出される故障と検出されない故障があります。IEC 61508で考える故障の種類はこの程度ですが、他の規格ではもっと多くの故障モードを考えていることもあります。
偶発故障は、システムを構成する部品の故障率に依存しますので、部品の故障率をもとにシステムの故障率を推測することになります。
IEC 61508が示している故障確率は全てこの偶発故障の確率です。
決定論的原因故障に関しては、偶発故障確率のような定量的な分析が不可能です。開発段階において考えられる組合せを全て検証し不具合が生じないことを確認すればいい事になりますが、実際には全ての組合せを検証することは不可能ですから、開発工程の各段階で、例えば、仕様を明確にしその検証を行い、仕様にしたがって設計が行われることを明確にし、成果物が仕様にしたがって設計されていることを検証することにより 決定論的原因故障を防止することが要求されます。言い換えれば、検証漏れが起きないような仕組みを作り管理するという機能安全のマネジメントが必要になります。

ハードウェアの故障

ハードウェアの故障に関しては、上記、偶発故障と決定論的原因故障に対応することになります。
偶発故障に対しては、高頻度モードでは、時間当たりの危険側故障確率(PFHd)、低頻度モードでは、機能要求時の故障確率(PFD)の規定値が出てきます。数字は規格に載ってますのでそれをご覧ください。規定されている一番低い時間当たり故障率が10年に1回程度の故障確率であることは覚えておいてもいいのかもしれません。偶発故障に関しては、更に、安全側故障割合(SFF)やハードウェア故障耐性(HFT)の規定値も満たす必要があります。
決定論的原因故障に対しては、系統的耐性(Systematic Capability)を有することを示す必要があります。IEC61508第2部の付属書AやBにSILに応じて取るべき手法や方策が書かれていますから、その各項に対応することになります。

ソフトウェアの故障

ソフトウェアそのものが突然壊れるということはありません。ビット落ちなどの不具合はあくまでハードの問題です。また、ある条件化で起きる不具合、いわゆるバグは、決定論的原因故障になります。このことからソフトウェアには決定論的原因故障しかないということになります。したがって、決定論的原因故障対策である機能安全のマネジメントにより対応します。IEC61508のパート3にはいろいろな表が載っていてそこにSILに応じた解析方法や開発手法が書かれていますので、基本的に機能安全マネジメントに加えて要求されるSILに応じた方法や手法を用いていることを確認することになります。

SIL

Safety Integrity Levelの略です。JISでは安全度と訳しています。安全関連システムがどれくらい信頼性が高く完成度が高いかといった感じです。SILは1から4までの4種類があり、各々に対して規定事項があります。SIL4はプラントなど一度事故を起こすと数百人、数千人の被害が出るような場合です。SILには、システムに要求されるSILとシステムが実現するSILがあります。
これまで述べてきた、ハードウェアやソフトウェアの故障に関する記述は全てシステムが実現するSILの評価に関しています。システムに要求されるSILは、IEC 61508のパート5にSILの求め方の例が書かれていますので、それにしたがって求めることも出来ます。また、ウェブサイトにも多くの例があります。最適と思われる方法を用いるようにしてください。
IEC 61508では、時間当たりの危険側故障率がSIL1の上限である10の-5乗より大きな場合や、逆に、SIL4の下限である10の-9乗より小さな安全関連システムは取り扱いません。

安全ライフサイクル

揺りかごから墓場まで・・・製品寿命を通じて安全確保しようとする考えです。詳しくは、安全ライフサイクルのページをご覧ください。

機能安全のマネジメント

(作成中)
製品のライフサイクルを通じて、決定論的原因故障に対応する手段の一つです。

3088

powered by Quick Homepage Maker 4.27
based on PukiWiki 1.4.7 License is GPL. QHM

最新の更新 RSS  Valid XHTML 1.0 Transitional

ISO26262, IEC61508