【連載】安全設計を失敗しないために
テュフ ラインランドは、機能安全技術について40年以上前から研究をはじめ、その成果の多くが現在の規格書に採用されています。この長年の知見をもとに、世界中で数多くの機能安全認証や試験、教育などを実施してきました。
十数年にわたり、認証・評価業務、技術講師、執筆等を務めてきた機能安全認証検査員が、読者の皆さまに「失敗しない安全設計」を実現していただくために、機能安全やサイバーセキュリティの正しい理解や誤解を解くヒントなどをお伝えします。実践的な内容ですので、ぜひ業務にお役立てください。
安全設計は俯瞰することが大切
機能安全の規格、特にIEC 61508の要求事項は非常に多く、またその内容も複雑です。几帳面な設計者は規格要求の一つ一つをチェックするために詳細な独自のチェックリストを作成し、我々との技術ミーティングで長い時間を使って一つ一つの要求事項について自分の設計が適合しているかを確認されます。実は昔の規格、つまり機能安全が使われだす前の製品安全規格では、こういった確認方法でも可能でした。しかし、現在の機能安全規格においては、規格要求の適合性を確認するのにこの方法はまったく相応しくありません。手間と時間をかけるだけ無駄と言ってよいでしょう。例えるなら「木を見て森を見ず」のような状態に陥るからです。つまり、昔の製品安全規格というものは、安全システムの全体像(森)を俯瞰することより、部分的なところ(木)について詳細な数値基準を設定して合否を判定していました。ところが、規格の基準を満たしているにもかかわらず世の中の事故は一向に減らず、かつ規格への適合確認の手間だけが増え続けました。それと並行して世の中の技術進歩により、規格で設定している数値基準そのものが意味をなさなくなり、意味がないだけならまだ良いのですが、逆に危険が増してしまうようなシステムもありました。これらの反省の上に、現在の機能安全という考えと規格が生み出されたわけです。ですから、現在では「木も見る前に森を見る」という安全設計が大切です。
これから安全設計を行う上で、このような背景をよく知っておく必要があります。そうしないと、冒頭のような詳細なチェックリストを作成することで、出口のない迷路に迷い込むことになります。現在の機能安全規格は、明確な数値基準を使った表現を極力減らそうとしています。そうしなければ時代と共に進歩する設計技術に、安全技術が追い付けなくなるからです。しかし、設計者は明確な数値基準がないと規格に適合しているかの判断ができないと考えるでしょう。
設計努力を無駄にしないために
では、ここで少し視点を変えて、それらを検査・評価する認証検査員はどう考えているか、どのように判断・審査をしているかをお話ししたいと思います。
はじめに、機能安全認証では、設計者が作成したコンセプト文書というものを我々の視点でレビューします。コンセプト文書とは、SRS(安全要求仕様書)、次にSC(安全設計仕様書*)という技術関連の文書で、これらの記述内容が非常に重要です。SRSは「安全要求」について記述され、設計者が認識している安全要求の項目・レベルについて述べたものですが、それらが正しく十分であるかという点について、認証検査員は慎重に確認をします。これは非常に重要なステップで、もし設計者が要求事項を見落としているか、あるいは認識すらしていないとなると、その次のSC 「安全設計」が全く無意味な努力に終わるからです。そうならないためには、設計者の安全設計の認識が合っているか、そして十分かという点についてしっかりと見極める必要があります。それらに問題がなければ、次に「安全設計」の具体的仕様について詳細に分析します。
*SCは一般的に「安全コンセプト」と呼ばれていますが、実際の成果物として意味が近い「安全設計」として、ここではご説明します。
安全の基本原則に則って設計されているか、そして関連する安全規格が要求している仕様を実現可能かどうかについて、順次確認していきます。上記で述べたように、現在の機能安全規格では明確な数値基準がほとんど示されていません。つまり、そのシステムごとに必要な安全数値は違うはずなので、設計者自身が理論的に決めなければなりません。検査員は、その妥当性を議論し確認します。非常に時間と知識・経験を要する作業で、チェックリストだけで済む作業であれば簡単なのですが、それでは安全なものにはならないことはすでに述べた通りです。
機能安全認証は手間と時間がかかるものですが、それは可能な限り安全なシステムを設計するためには必要不可欠なのです。旧来型の製品安全規格のように、与えられた数値基準に依存する設計から、自分で導き出す安全数値による設計が今は求められているということです。
検査員は設計者をよく見ています
最後に、認証検査員が設計者と対話をするときに、どのようなことを考えているかを少しお教えします。実は、その設計者がどの程度の安全に関する知識があり、理解をしているかをじっくり見ています。それらが十分だと分かれば、その設計者の設計ならばある程度信用しながら議論を進めても良さそうだと考えます。しかし、知識・理解ともに不十分もしくは他者依存的だと感じれば、徹底的に調べなければと考えます。認証プロセスをスムーズに進めるためには、設計者自身の安全の知識・理解を深めておくことが必要不可欠です。
執筆:テュフ ラインランド機能安全 認証検査員
- 実践版、機能安全とサイバーセキュリティ ~認証検査員の視点~
- 機能安全トレーニングは認証取得への早道「急がば回れ」
- 機能安全の認証取得のポイントは「受け身」ではなく「積極的な主張」
- 「この設計はどのようにすれば良いですか?」という質問はなぜNG?
機能安全エンジニア資格トレーニングコース(フライヤーPDF)
機能安全 IEC 61508についてわかりやすく解説しています。出典:「計測技術」(2016年10月号) 日本工業出版株式会社
機能安全 IEC 61508 について<要求のポイントと認証プロセス>(1/3)
機能安全 IEC 61508 について(2/2)
機能安全 IEC 61508 について(3/3)
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 09/20/2022
photo by Joshua Webb on Unsplash