機能安全編

株式会社制御システム研究所　森本　賢一

2010.07.22
※記事執筆時は、三菱重工業株式会社　原動機事業本部に在籍

これをいわゆるリスク分析と呼びます。このような分析を計画段階で行うことによって、これから設計するものが満たすべき安全上の要件を洗い出します。

この段階はまだ設備全体を大きく捉えることを目的としていますので、今回の読者の皆様の業務である、詳細なシステムの設計、回路設計やソフトウェアの設計の直接的な要件にまでは至ることはありません。

しかし、「安全」という漠然とした言葉に対して、明確に達成目標を与えるこの作業があってこそ、下流のシステムのための安全要求事項が明確になります。

したがって、どのような物品でも手放しで「安全な機器である」という言い方は出来ません。どのような機器やサブシステムであっても、それが組み込まれる全体設備の分析が適切でなければ、決して安全かどうかは決まりません。これが「機能安全」と呼ぶ考え方の基本的なスタンスです。

IEC-61508では、このリスク分析を行うことで、対象の部位ごとに、安全機能要求、安全完全性要求、ならびにその発生許容確率を明確にします。これらが下流のサブシステムの設計の際に割り当てられます。したがって、下流のあらゆる部位は、この目標を達成するように設計する、という流れになります。（この後の設計段階での進め方については次回以降見てゆきます。）

機能安全は設計段階でとどまるものではありません。作り上げたサブシステム、および組み上げた最終的な全体設備それぞれが、前述の仕様を満たしているのか試験や評価を積み上げてゆかなくてはなりません。

また、詳細な設計を経た最終的な部品故障率を積み上げた結果が、目標の発生確率を満たすのか改めて分析もします。さらに、最初に想定した異常を実際に発生させた試験を実施するなどし、詳細に評価する必要もあります。設計どおりに動作するのかどうか、わざと異常を起こして確認します。（Fault Insertion Testといいます。）



評価が完了し、設備が完成した後も機能安全の取組みは続きます。その出来上がった設備の運用についての訓練や、マニュアルなども適切に整備されているのかも重要なポイントです。さらに、設計過程や試験過程、ならびに完成後に発生する様々な改修、保守、変更などの際には、これまでご説明した設計プロセス全体を再度行いながら、適切なライフサイクルで設備が永続的に運用されることを目指します。

このようにIEC-61508および機能安全とは、構成要素が多く、仕組みが複雑で、かつ構造や動作の原理が対象によって異なる設備や機器が、全体として一定の信頼性を保ちながら運用保守する、そのようなライフサイクルを作り上げることを目標としています。

次回では、機能安全で求められる設計のプロセスについて、より具体的にみてゆきます。

Archive

• 機能安全　～上流で設計すべきもうひとつの品質