機能安全

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

機能安全(きのうあんぜん、:functional safety)とは「監視装置や防護装置などの付加機能によるリスク低減策」であり、安全を確保する為の考え方の1つである。人間、財産、環境などに危害を及ぼすリスクを、機能や装置の働きにより、許容可能なまでに低減するというアプローチをいう。JIS C 0508(IEC 61508)では「被制御機器(EUC)及び被制御機器制御系の全体に関する安全のうち、電気・電子・プログラマブル電子安全関連系及び他のリスク軽減措置の正常な機能に依存する部分[1]」と定義されている。自動車の機能安全規格ISO 26262は、機能安全の対象を「電気電子(E/E)システムの機能不全のふるまい」 に限定している[2][3]。→#自動車の機能安全

電気・電子・プログラマブル電子(Electrical・Electronic・Programmable Electronic)は、E/E/PE(またはE/E/PES)という略号が一般的に使用される。

機能安全は、本質安全という考え方と対比して説明される事が多い。例えば踏切では、列車道路を通行する車輌等との事故の危険があるが、安全を確保する為に立体交差にするというのは、事故の原因そのものが無くなるので、本質安全の考え方を適用したものと言える。一方、踏切に警報機遮断機を設置するというのは、事故の可能性は無くなりはしないが、これらの機能や装置の働きにより、許容可能なまでに危険を低減できるので、機能安全の考え方が適用されたものと言える[4]

概要[編集]

プラント発電所機械鉄道医療機器家電システム安全を担保するためには、先ずは人間、財産、環境などへ危害を及ぼすリスクを特定し、リスクを見積りし、リスクを評価する。その結果、リスクが許容できない場合はリスクを許容可能なまでに低減することが必要である。リスク低減の手順は、一般に3ステップメソッドト呼ばれる手順を踏んで行われる[5]


  • ステップ1:本質的安全設計によるリスク低減
    • 構造の変更などによるリスク低減(本質安全)


  • ステップ2:ガード及び保護装置によるリスク低減
    • 監視装置や防護装置などの付加機能によるリスク低減(機能安全)


  • ステップ3:使用上の注意喚起やオペレータの訓練などによるリスク低減
    • 警告標識、表示、警告信号、警告装置
    • 使用のための指示(取扱説明書、使用情報、訓練情報)


多くの危険源は、形状・材質、電気騒音、衝撃、振動、化学的(化学物質)、生物学的(微生物など)、放射線などである。これら危険源を構造的変更によって小さくすることによって、人や環境、財産へのリスクを低減することが本質安全である。また、プラント発電所機械鉄道医療機器家電システムなどは、摩耗劣化によって、いつかは必ず故障する。故障を低減するために、信頼性の高い部品を使ったり、保全保守)によって、品質マネジメント(品質管理)で行われる。

一方、監視装置や防護防止などの付加機能により危険源から人や環境を空間的・時間的に遠ざけることによって、リスクを低減することが機能安全である。しかし、監視装置や防護装置などの付加機能も、いつかは必ず故障する。故障してもリスクが小さくなるようにコントロールすることも機能安全のリスク低減策の1つである。例えば、誤動作の防止や機能不全の防止がこれにあたる。この誤動作の防止や機能不全の防止に対して、故障したら止まるというようなフェイルセーフが対策の1つとなる。 このように、機能安全には2つの側面がある。前者を「機能による安全」、後者を「機能の安全」と分類している例がある[4]

また、監視装置や防護装置にハードウェア・ソフトウェアのバグが入り込むことを低減するために、マネジメントしたり、第三者へ客観的説明を可能とする証拠として文書を残したり、アセスメントしたり、監査することが製品の全ライフサイクルで要求される。これらを機能安全マネジメントという。

この監視装置や防護装置などの付加機能は、E/E/PE(マイコンとソフトウェア、ASIC、FPGAも含む)で実現される場合が一般的である。つまり、機能安全とは、狭い意味では、E/E/PEによるリスク低減策である[6]。言い換えると、機能安全とは、システムの安全を確保する機能を持つ安全系をE/E/PEによって構成する場合に、リスクを許容目標へ軽減する考え方である[7]

機能安全規格は、ISO/IEC GUIDE 51及びIEC GUIDE 104を筆頭として、E/E/PEに関する機能安全規格IEC 61508がある。またこれを元に、いくつかの分野に適用した規格がそれぞれ策定されている[4]

特にIEC GUIDE 104では電気安全と機能安全の基本的な考えが述べられており、シングルフォールト(単一障害)のみを対象とし、2つの独立した無関係なフォールト障害の同時発生の可能性は非常に低いので考慮の対象外としていることが記載されおり、IEC 61508シングルフォールト(単一障害)を対象としている。 一方、機械の安全ISO 13849や自動車の機能安全ISO 26262では二重障害まで考慮しなければならない。鉄道などでは三重故障まで考慮する例もある。

機能安全では、ランダムハードウェア故障とシステマティック故障の2つの原因別の故障を対象としており、設計において次の内容を考慮しなければならない。

  • 電磁両立性(電気的・磁気的・電磁気的な妨害への耐性)
  • 合理的に予測できる誤使用
  • 一度に一つのロジックエラーで危険源の暴露をしない
  • 電源の遮断や通常予測できる変動では危険源の暴露をしない

また、次を考慮する。

  • 予期しないスタートとストップ
  • 停止できない故障

機能安全関連規格の一覧[編集]

機能安全関連規格の一覧を以下に示す[8]

自動車の機能安全[編集]

自動車の機能安全規格「ISO 26262:2011」の機能安全の定義は、IEC 61508の定義より狭く、「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」[2]となっている。このため、JIS C 0508:2014の付録(解説)[9]によれば、例えばプリクラッシュシステム(衝突予防機構)は「車両が障害物と衝突する危険事象を回避するために、自動車に搭載したレーダ、カメラなどからの情報をコンピュータが分析して運転手に警告し、さらにブレーキを作動させるという安全機能」と紹介されているが、ISO 26262:2011によれば、衝突予防機構の機能不全(誤動作)防止のみが安全機能であり、機能不全(誤動作)ではない通常機能は非安全機能(QM)となる。 例えば、豪雨などの運転状況下で衝突予防機構によって横滑りや追突が起きることは、「機能不全」が原因ではないのであれば機能安全の対象外となる。エアバッグは「車両衝突時に開となり、乗員がハンドルなどで強打するリスクを緩和する安全機能」であるが、機能不全(誤動作)ではない通常機能は、非安全機能(QM)となる。高速運転などの急加速でエアバッグが不用意に開いたとしても、「機能不全」が原因ではないのであれば機能安全の対象外となる。

ギャップ・アセスメント(差分分析)[編集]

規格適合するためには、一般には、ギャップ・アセスメントという手法を用いる。ギャップ分析では、適合させる規格の要求事項と、対象プロセスの社内規定や社内ガイドライン、対象製品の製品開発におけるエビデンスとの差分を明らかにする。 明らかになった差分を社内規定や社内ガイドラインに追加する。

脚注[編集]

  1. ^ JIS C 0508-4:2012(IEC 61508-4)
  2. ^ a b ISO 26262:2011
  3. ^ 日本自動車研究所 機能安全(ISO 26262)
  4. ^ a b c いまさら聞けない 機能安全入門
  5. ^ ISO/IEC GUIDE 51:2014
  6. ^ IEC 61508
  7. ^ 日本規格協会 機能安全
  8. ^ 機能安全の基礎、日本規格協会
  9. ^ JIS C 0508-2:2014

参考文献[編集]

  • ISO/IEC GUIDE 51 安全側面
  • IEC GUIDE 104 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
  • IEC 61508 電気・電子・プログラマブル電子の機能安全
  • 佐藤吉信、機能安全の基礎、一般財団法人 日本規格協会

外部リンク[編集]