機能安全 機能安全の概要

ウィキペディア

機能安全

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/11/27 00:11 UTC 版)

電気・電子・プログラマブル電子（Electrical・Electronic・Programmable Electronic）は、E/E/PE（またはE/E/PES）という略号を使用している。

機能安全は、本質安全という考え方と対比して説明される事が多い。例えば踏切では、列車と道路を通行する車輌等との事故の危険があるが、安全を確保する為に立体交差にするというのは、踏切そのものが無くなるので、本質安全の考え方を適用したものと言える。一方、踏切に警報機や遮断機を設置するというのは、事故の可能性は無くなりはしないが、これらの機能や装置の働きにより、許容可能なまでに危険を低減できるので、機能安全の考え方が適用されたものと言える^[4]。

概要

プラント、発電所、機械、鉄道､医療機器、家電やシステムの安全を担保するためには、先ずは人間、財産、環境などへ危害を及ぼすハザード(危険源)を特定し、リスクを見積りし、リスクを評価する。その結果、リスクが許容できない場合はリスクを許容可能なまでに低減することが必要である。リスク低減の手順は、一般に3ステップメソッドと呼ばれる手順を踏んで行われる^[5]。

• ステップ１：本質的安全設計によるリスク低減
  • 構造の変更などによるリスク低減（本質安全）
• ステップ２：ガード及び保護装置によるリスク低減
  • 監視装置や防護装置などの付加機能によるリスク低減（機能安全）
• ステップ３：使用上の注意喚起やオペレータの訓練などによるリスク低減
  • 警告標識、表示、警告信号、警告装置
  • 使用のための指示（取扱説明書、使用情報、訓練情報）

多くの危険源は、形状・材質、熱、電気、騒音、衝撃、振動、化学的（化学物質）、生物学的（微生物など）、放射線などである。これら危険源を構造的変更によって小さくすることによって、人や環境、財産へのリスクを低減することが本質安全である。また、プラント、発電所、機械、鉄道、医療機器、家電やシステムなどは、摩耗や劣化によって、いつかは必ず故障する。故障を低減するために、信頼性の高い部品を使ったり、保全（保守）を行うことが品質マネジメント（品質管理）である。

一方、監視装置や防護機能などの付加機能により危険源から人や環境を空間的・時間的に遠ざけることによって､リスクを低減することが機能安全である。しかし、監視装置や防護装置などの付加機能も、いつかは必ず故障する。故障してもリスクが小さくなるようにコントロールすることも機能安全のリスク低減策の１つである。例えば、誤動作の防止や機能不全の防止がこれにあたる。この誤動作の防止や機能不全の防止に対して、故障したら止まるというようなフェイルセーフが対策の１つとなる。 このように、機能安全には２つの側面がある。前者を「機能による安全」、後者を「機能の安全」と分類している例がある^[4]

また、監視装置や防護装置にハードウェア・ソフトウェアの故障（バグ）が入り込むことを回避することも、機能安全のリスク低減策の１つである。マネジメントしたり、第三者へ客観的説明を可能とする証拠として文書を残したり、アセスメントしたり、監査することが製品の全ライフサイクルで要求される。これらを機能安全マネジメントという。

この監視装置や防護装置などの付加機能は、E/E/PE(マイコンとソフトウェア、ASIC、FPGAも含む)で実現される場合が一般的である。つまり、機能安全とは、狭い意味では、E/E/PEによるリスク低減策である^[6]。言い換えると、機能安全とは、システムの安全を確保する機能を持つ安全系をE/E/PEによって構成する場合に、リスクを許容目標へ軽減する考え方である^[7]。

機能安全の基本的な考え

機能安全規格は、ISO/IEC GUIDE 51及びIEC GUIDE 104を筆頭として、E/E/PEに関する機能安全規格IEC 61508がある。またこれを元に、いくつかの分野に適用した規格がそれぞれ策定されている^[4]。→#機能安全規格一覧

機能安全は、ハザード分析(危険源の分析)の結果として特定された安全関連システム(安全関連系)による危害に対する抑制を目的として「安全機能」を実装することと、リスク分析の結果として導かれる「安全度」の目標レベルを達成することを実施しなければならない。

「危険源」、「危害」、および「リスク分析」も参照

安全機能

安全機能とは、IEC 61508では「E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は、特定の危険事象に関して、EUC に関わる安全な状態を達成又は保持する。」と定義されている。IEC 61508のJIS版JIS C 0508:2014の付録（解説）^[8]では、「プリクラッシュシステム（衝突予防機構）は車両が障害物と衝突する危険事象を回避するために、自動車に搭載したレーダ、カメラなどからの情報をコンピュータが分析して運転手に警告し、さらにブレーキを作動させるという安全機能」、「エアバッグは車両衝突時に開となり、乗員がハンドルなどで強打するリスクを緩和する安全機能」と紹介されている。なお、安全関連機能は、IEC 61508では、安全機能との独立性を証明できない安全以外の機能を含むものである。安全機能と安全関連機能は同義語ではなく、安全関連機能に安全機能を含む可能性がある類義語である。

一方、機械類の安全規格であるISO 12100やISO 13849-1では、安全機能は「故障がリスクの低減につながるような機械の機能」と定義されており、安全機能と安全関連機能は類義語として使われている。

自動車の機能安全規格 ISO 26262では、安全機能という用語は使用していない。代わりに、安全機構（安全メカニズム）を使用している。

「安全機能」も参照

安全度

安全度とは、IEC 61508では「あるE/E/PE安全関連系が、指定した期間内に、全ての指定した条件下で、規定する安全機能を果たす確率」である。

脚注

1. ^ JIS C 0508-4:2012(IEC 61508-4)
2. ^ ^{a b} ISO 26262:2011
3. ^ 日本自動車研究所 機能安全(ISO 26262)
4. ^ ^{a b c} いまさら聞けない 機能安全入門
5. ^ ISO/IEC GUIDE 51:2014
6. ^ IEC 61508
7. ^ 日本規格協会 機能安全
8. ^ JIS C 0508-2:2014
9. ^ 機能安全の基礎、日本規格協会
10. ^ ^{a b c} 一般財団法人　日本電子部品信頼性センター，平成25年度 電子部品信頼性調査研究委員会研究成果報告書　機能安全規格の解説とSIL(ASIL)評価のための電子部品故障率予測ガイドライン，平成26年3月