tuv-jp-blog-banner

機能安全IEC61508について(1)

Posted by TUV Rheinland Japan on 2017/06/12 9:17:32
TUV Rheinland Japan

<要求のポイントと認証プロセス>
出典:「計測技術」(2016年10月号) 日本工業出版株式会社

テュフ ラインランド ジャパン株式会社
(TUV Rheinland Japan Ltd.)
和田 昌士

はじめに

制御系のエンジニアに必要とされる知識として“機能安全“はすでに定着している。その必要性を感じ始めたのはEU関係のエンドユーザからの要求か、もしくは競合他社の動向がきっかけかも知れないが早急な対応が求められているということで相談の依頼が年々多くなっている。

しかしながら、その相談者に機能安全の予備知識がまったくない状態で打ち合わせを行うと議論がほとんど噛み合わないことがある。その原因は”最低限どんなことをすればよいか“と安易な答えだけを期待し”何をどのように設計するべきか“を自ら考える必要性を理解していないからである。自ら考えようとしない、つまり指示待ちタイプの人には機能安全要求を何度説明しても理解しにくいようである。規格書には適合を証明するための”決められた唯一の具体的方法”は指示されていない、その代わりに“取り入れるべき方策・技法”について示している。これは規格書の記述があいまいなのではなく意図的に明記を避けていると言った方が正しい。つまり“安全度水準”の定義を明確にし、その達成のために取り入れるべき方策・技法のガイダンスのみは示しているが具体的な解決方法はあえて示さず設計者に考えさせるようにしている。このことによりメーカー・設計者は技術的解決方法を自ら考え、その方法の合理性を理論的に立証することを求められる当然そこには設計責任も伴う。それこそが現在の国際安全規格の意図することでもある。(図1参照)この本質を理解していない人ほど”機能安全規格の要求はあいまい“とよく言うのである、あいまいどころか”積極的に”使いこなせば非常に便利な合理性証明ツール(安全性立証手段)になるはずである。

 

wada1.png

 

1.要求全般と考え方

安全ライフサイクルに基づき、まずは目標とするSIL(安全度水準)の決定が必要だがリスクグラフもしくは半定量的(FTA,ETAなど)手法を用いてSILを決定する。一般的にはそもそもエンドユーザからの要求、業界内でSILが自ずと特定されている、あるいは既に製品規格のなかで機能ごとにSILが特定されている場合もある。

 

目標SILが決定すると次はそのアプリケーションの“安全状態”の定義を明確にしなければならない。つまりアプリケーションの特性・使用方法によって“安全状態”の定義は様々であり大きくは“止まる安全”か“止まらない安全”ということである。機械であれば多くの場合、駆動エネルギーの除去による停止が安全状態であるがプロセス産業、自動車などは状況が異なり故障発生時には冗長構成による運転の継続と故障箇所修理のための許容時間が計算上特定される。また、安全機能の役割は“安全状態への遷移“だが実はそれだけではない、“安全状態の維持“つまり安全状態に遷移した後は危険要因が除去され、かつ個別で意図的な起動要求がない限り自動復帰しないという状態維持機能も安全機能に求められる重要な役割である。

 

2.フォールトの分類と対処方策について

 

フォールトつまり安全機能を喪失させる可能性のある起因にはSystematic(決定論的)要因とRandom(偶発的)要因とがある。それらへの対処方策として以下の二種類の両方かもしくはどちらかを合理的に使用することになる。(図2参照)

 

wada2.png

 

Fault avoidance(フォールト回避)

フォールトが導入されないよう事前に回避するための方策・技法を用いることである。要するにSystematic(決定論的)要因は因果関係が明確な現象であるからフォールトの原因をできるだけ減少させる方策を意図する。具体的には設計プロセスの厳格なマネジメント、有効なテストプランの作成や独立性が確保された者によるレビューなどがある。その方策については規格内に表形式で記載されておりSILに応じて方策の厳格さが変わる。

 

Fault control(フォールト制御)

複雑なシステム(半導体集積回路など)の場合、上記のようなフォールト回避方策だけでは全ての故障を防ぐのは現実的には不可能である。なのでもし何らかのフォールトが発生しても安全機能が喪失しないか、あるいは危険な状態にならないような設計が求められる。つまり冗長構成もしくは十分な外部・内部の診断機能によって対処する方策・技法を用いることである。これらも規格内に表形式で記載されておりSILに応じて使用すべき技法の厳格度が変わる。

 

それ以外にも多重チャンネルの場合に考慮されなければならない現象がCommon cause failure(共通原因故障)である。つまり単一事象(電源、EMC, 温度、湿度、振動、衝撃など)の原因によって冗長チャンネルが同時に安全機能を喪失する、つまり冗長性がなくなる現象であり対応策として以下が考えられる。

 

Diversity(多様性)と Decoupling(分離)

“多様性”とは各チャンネルごとに違う技術・部品・アルゴリズム・製造工程などを用いることで、冗長化されたチャンネルごとに異なった動作特性を持たせる考え方である。また同時にチャンネル間で故障が連鎖しないように電気的・機能的・温度的な“分離”についても十分な検討が必要である。要するに冗長性を成立させるためにはチャンネルごとの独立性が確保されなければならない。

 

IEC 61508認証に関するお問い合わせ:

テュフ ラインランド ジャパン株式会社
産業サービス部 機能安全
Eメール: fsjapan@jpn.tuv.com (機能安全グループ代表アドレス)
TEL: 06-6355-5191

Topics: 機能安全