機能安全編

株式会社制御システム研究所　森本　賢一

2010.07.22
※記事執筆時は、三菱重工業株式会社　原動機事業本部に在籍

（機能安全IEC-61508とは）

連載第一回の今回は、まずは機能安全IEC-61508がどのようなものか、その規格の背景を交えてご紹介します。

この規格は1980年代から90年代での油田爆発事故や航空機の事故などを経験する中で、安全なシステムの設計指針は何か、という課題に対応することを背景に2000年に欧州で制定されました。
IEC-61508は単に具体的なハードウェアやソフトウェアの開発手法、技法について述べているだけではなく、Hazard（害となる事象）の定義からはじまる、設計業務の管理体系のルールをも包含した規格です。 このため、電子機器を搭載する極めて幅広い分野に考え方を適用することができ、このIEC-61508をベースに様々な安全規格が分野ごとに作られ改訂されています。

通常「規格」と称するものには、その分野の製品が守るべき事柄、機能や設計条件、設計時の素材の選定基準や、電子回路であればピンの間の距離などの具体的な設計条件や制約が詳細に取り決められています。

一方IEC-61508は、その規格書自体には具体的なことが書いてありません。勿論Part2以降の詳細設計パートでは、様々な技法や計算方法が例示されていますし、参考図書も沢山参照されています。しかし、具体的に「じゃあ、何をすればいいのか？どんな設計をすれば、SIL3なのか？」ということについては、対象を開発する私たち側の判断に全て任されている点が、いわゆる通常の「規格」と称するものと異なっています。

このことが、この規格が様々な広い分野に適用されることを可能にしている側面でもありますが、この規格に準拠した製品を開発しようとするメーカにとっては、「何をすればいいのかさっぱり判らない」というハードルの高さを感じさせる要因にもなっています。

国内のプラントメーカでも、海外で建設するプラントの多くは、この規格に基づいた危険分析や設計手順が求められるのが当たり前になってきています。

プラントやインフラ設備の多くは様々な機器の集合体です。そして、弁やポンプといった個々の機器は他のプラントと同じものを使ったとしても、全体としての動きや仕組み役割は、おのおののプラントで異なっています。また非常に複雑です。このため設計制約や設計ガイドラインを「プラントのポンプはこう設計しなさい」と一概に作ることは困難です。

構成要素が多く、複雑で、かつ構造がケースによって異なるシステムが、全体として一定の信頼性や安全性を担保されるためには、単純な設計制約を取り決め、それを積み上げることだけでは不十分といえます。対象とする設備全体を詳細に分析し、個々の構成機器の故障がどのような影響を持つのか、かつ安全に対して考慮すべき事項は何なのかを、できるだけ洗い出し、それをまた新たに設計に反映させなければなりません。

機能安全規格IEC-61508は、まさにこの設計アプローチを示しています。対象が引き起こすHazard（害となる事象／たとえば「火災」「爆発」など）にはどんなものがあるのか？を定義することからはじまります。

しかし規格自体には「○○プラント設備はこういう災害を想定しなさい」などの具体的な指示はありません。それは対象ごとに、製造者または場合によっては使用者が考えなければなりません。そしてそのHazardがどのような理由で発生するのか分析し、構成要素の異常や故障がどのようなHazardにつながるのか、またその故障がHazardにつながらないようにするための打ち手は何か、防御策はなにか、製造者が詳細設計の前に考えなければなりません。それをこれから開発する製品の「仕様」「設計制約」として明文化し、具体的な設計に反映してゆく仕様を明確にしてゆきます。