機能安全
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/11/27 00:11 UTC 版)
安全分析
安全度が目標レベルを達成したことを確認するために、安全分析を行う。IEC GUIDE 104では電気安全と機能安全の安全分析のための基本的な考えが述べられている。
原因別故障
機能安全では、次の2つの原因別の故障を対象としている。
- ランダムハードウェア故障
- システマティック故障
単一障害と多重障害
IEC GUIDE 104では、シングルフォールト(単一障害)のみを対象とし、2つの独立した無関係なフォールト(障害)の同時発生の可能性は非常に低いので考慮の対象外としている。IEC 61508も、シングルフォールト(単一障害)のみを対象としている。 一方、機械の安全ISO 13849や自動車の機能安全ISO 26262では二重障害まで考慮しなければならない。鉄道では三重障害まで考慮する例もある。
従属故障
- カスケード故障
- 共通原因故障
ソフトエラー
- 中性子線や電磁波、磁場などによるメモリ化け
その他
設計において次の内容を考慮しなければならない。
また、次を考慮する。
- 予期しないスタートとストップ
- 停止できない故障
機能安全規格一覧
機能安全関連規格の一覧を以下に示す[9]。
- ISO/IEC GUIDE 51: 安全側面
- IEC GUIDE 104: 安全出版物の作成並びに基本安全出版物(基本安全規格)及びグループ安全出版物(グループ安全規格)の使用
- ISO 12100: 機械類の安全性 ‐設計のための一般原則-
- IEC 61508: E/E/PEの機能安全
- IEC 62061: 機械類の機能安全
- ISO 13849: 機械類の安全性
- IEC 62278: 鉄道
- IEC 61513: 原子力
- ISO 26262: 自動車の機能安全
- ISO 15998: 土工機械
- IEC 60335: 家電
自動車の機能安全
自動車の機能安全規格「ISO 26262:2011」は、IEC 61508の分野規格であり、IEC 61508の基本的考えと枠組みを踏襲している。しかし、自動車産業の発展の経緯に基づく独自の用語やリスクアセスメント手法などに起因する相違が存在する[10]。 E/E/PE安全関連系に人の操作機能を含むか含まないかは,安全要求事項に大きな影響を与える。IEC 61508は,基本制御システムと安全関連システムを分離することが要求されているが,自動車などではそれらを分離することは難しい[10]。E/E/PE安全関連システムの安全機能のみを独立させて安全度を評価することが難しい。さらに、自動車の制御システムが複雑なため、全体システムの定量的リスク評価は困難である[10]。
そのため、自動車の機能安全規格「ISO 26262:2011」の機能安全の定義は、IEC 61508の定義より狭く、「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」[2]となっている。つまり、機能不全のふるまい(誤動作)を対象にしている。例えば、衝突予防機構の機能不全のふるまい(誤動作)防止のみが対象である。しかし、機能不全のふるまい(誤動作)が発生しない場合でも、安全な状態ではない場合がある。豪雨などの運転状況下で衝突予防機構によって横滑りや追突が起きることはある。このように、ISO 26262:2011では、豪雨などの天候の影響や、交通法規を著しく逸脱するような運転手の危険運転を監視装置や防護装置によって防ぐという観点がない。
- 機能安全のページへのリンク
