「機能安全と第三者認証機関」が、月刊「計測技術」2024年10月号の特集:機能安全と安全計装に掲載されました。
機能安全と第三者認証機関
<機能安全規格の認証プロセスと要点>
テュフ ラインランド ジャパン株式会社
(TUV Rheinland Japan Ltd.)
前川 貴昭
| 1. はじめに
機能安全規格IEC 61508 second editionが発行されてから約14年が経過した。その間、機械類に適用されるISO 13849-1等、IEC 61508の概念を基盤とする機能安全規格は、産業界への浸透を続けている。機能安全認証においては、安全 PLC(Programmable Logic Controller)等の完成品に留まらず、診断ソフトウェアやFPGAに用いるIP(Intellectual Property)等、完成品内部に組み込まれるコンポーネントに至るまで多種多様な認証品を目にする様になった。また、リチウム二次電池の規格IEC 62619においては、機能安全の実現についてIEC 61508が参照され、さらに、重機械の規格ではISO 13849-1への適合要求の追加が検討されている等、機能安全の広がりは益々加速している。これに伴ってか、近年、初めて機能安全規格への適合を検討する企業から、認証プロセスに関する相談をより一層受ける様になった。
本稿では、TÜV Rheinlandの機能安全認証における認証プロセスの概要と、検査員の立場から重要と考える点を述べる。
| 2.機能安全認証取得のプロセス
本稿では、当社の認証プロセスを、IEC 61508への適合における一般的なモデルケースにて概要を述べる。認証対象の規模や複雑度等によって調整される場合もあるが、当社の認証プロセスは、基本的に以下の四つフェーズ(第1図)で構成されている。
- コンセプトフェーズ
- テストプランフェーズ
- メインインスペクションフェーズ
- 認証フェーズ
各フェーズの審査過程で指摘となった事項は、当社によって指摘事項一覧(LOP:List Of Open Points)にまとめられ、適宜解決が求められる。
では、各フェーズにおいて、どのようなことが必要か順を追って説明していく。
2-1.コンセプトフェーズ
コンセプトフェーズは、機能安全管理計画、安全機能の仕様から診断を含む安全方策の要件に至るまで、規格の要求事項を満たす為の全方針を決定する重要なフェーズである。このフェーズでは、通常、コンセプト文書と呼ばれる以下の四つの文書の作成が必要となる。
(1)安全計画書(SP:Safety Plan)
安全ライフサイクルに関わる活動計画を記述する。安全ライフサイクルにおける各フェーズの定義や、フェーズ毎のインプット・アウトプットを決定する。また、要員、部署、組織の責任割り当てや、その適正能力の正当性、構成管理の方法などの記載も必要となる。
(2)検証・妥当性確認計画書(Verification and Validation Plan)
安全ライフサイクルの過程で、いつ、だれが、どのような検証・妥当性活動を実施するのかを記述する。IEC 61508では、主に人的ミスが要因となって発生するソフトウェアバグ・設計書の記載ミス等、原因と結果(故障)の因果関係が明確な故障を決定論的原因故障と呼ぶ。検証・妥当性確認活動は、この決定論的原因故障の回避において非常に重要な役割を持ち、例えば IEC 61508 Part 2 のAnnex BやIEC 61508 Part 3のAnnex Aに記載されている技法を考慮しながら、適切な活動計画を記載する必要がある。
(3)安全要求仕様書(SRS:Safety Requirement Specification)
安全要求仕様書は、機能安全に関わる前提条件、目標、仕様を記述する文書である。例えば、想定するシステム構成、EMCを含む動作環境の要件、安全機能の定義や反応時間の制約、インターフェース、達成すべき目標安全度水準を明確に記述する必要がある。一般的な開発では、外部仕様書がイメージとして近いかもしれない。
(4)安全コンセプト(SC:Safety Concept)
安全コンセプトは、安全要求仕様書に定義さ れた要求事項の実現方法を具体的に記述した文書である。例えば、内部アーキテクチャ、安全機能の実現方法、診断・過電圧保護・安全部と非安全部の分離方策の実現手段、各々の要件におけるハードウェア・ソフトウェアの役割分担を記載する。
後述するが、 この段階でFMEA (Failure Mode and Effects Analysis)などの適切な故障分析を行い、その分析結果に基づいて安全方策を記述する事が、安全コンセプトが規格要求への適合を論証する上で非常に重要となる。
2-2.テストプランフェーズ
テストプランフェーズでは、メインインスペクションフェーズにて実施される当社立ち合いの故障挿入試験(FIT:Fault Insertion Test)の試験プランや、EMC試験プラン、温湿度・振動衝撃などの環境試験プランの合意を行う。
(1)故障挿入試験プラン
故障挿入試験とは、想定されるハードウェアの故障を実際に模擬し、その際の挙動が問題ないか確認する試験である。CPUの故障など、ハードウェア基板の改造で模擬できない場合は、ソフトウェアにて故障を模擬する場合がある。
当社に回路図・部品表などの設計に関する文書を送付し、当社にて立ち合い試験で実施する故障挿入試験プランを作成する。この立ち合い試験は、安全ライフサイクルにおける妥当性確認の一環としてメーカー自ら実施する故障挿入試験の実施方法や、結果の確からしさをアセスメントする目的もある為、前述の資料に加えて、メーカーが作成した故障挿入試験プラン・レポートの提出が必要になる場合が多い。
(2)EMC試験・環境試験プラン
安全要求仕様にて定義されたEMC・環境条要件に基づいて、試験条件、判定基準、試験セットアップ等が記載されたEMC試験・環境試験プランの合意を実施する。
これら試験プランは、メーカーが作成した試験プランをレビューする方法と、メーカーから提供された情報を基に当社で試験プランを作成する方法の二つの手段があり、検査員とメーカーとの間で協議しながら、柔軟に選択可能である。
2-3.メインインスペクションフェーズ
メインインスペクションフェーズでは、コンセプトフェーズで決定した計画・コンセプトに基づいて実現された設計及び検証・妥当性確認結果を当社がアセスメントする。
(1)故障挿入試験
当社検査員がメーカーを訪問し、テストプランフェーズで合意した試験プランに沿って試験を行い、実機の挙動を確認する。
(2)ソフトウェア検査
当社検査員がメーカーを訪問し、ソフトウェアのアーキテクチャや、機能安全観点における重要な実装コードが、安全コンセプトや規格要求等に適合できているかの検査を行う。これに加えて、コーディング規約への準拠や複雑度(McCabe)の解析等、検証活動の適切性なども考慮される。
(3)機能安全マネジメント監査
当社検査員がメーカーを訪問し、安全計画書及び検証・妥当性確認計画書に従って、安全ライフサイクルの実現やマネジメントが行われたか監査を行う。例えば、計画した検証活動のエビデンスの確認が行われる。
(4)安全パラメータ計算結果審査
IEC 61508には、 安全パラメータ (SFF、 PFDavg、PFHなど)という定量化された数値の要求が存在する。これらの計算結果を、計算の根拠を示した文書と共に当社に提出し、机上検査を実施する。
(5)各種テスト結果の審査
テストプランフェーズで合意したEMC・環境試験の試験結果や、その他妥当性確認試験結果など、プロジェクトの複雑度や認証プロセスの過程で審査が必要と判断された各種試験結果の机上審査が行われる。この際、必要に応じて電気安全に関する安全性の証明も考慮する必要がある。
(6)ユーザーマニュアル審査
ユーザーに提供されるマニュアル類が、IEC 61508 Part 2/Part 3 Annex Dに記載されている要求事項への考慮も含め、適切な情報が記載されているかを机上審査する。
2-4.認証フェーズ
メインインスペクションフェーズまで全て完了し、各種審査結果に問題がなく、LOP内の全て指摘事項が解決されると認証フェーズに移行する。認証フェーズでは、当社検査員が審査結果のまとめた最終レポートを作成し、認証書の発行となる。
出典:「計測技術」(2024年10月号) 日本工業出版株式会社
また、機能安全エンジニア資格トレーニングなどさなざまなセミナーやトレーニングを多数実施してまいりました。詳しくはこちらをご覧ください。