tuv-jp-blog-banner

機能安全と第三者認証機関|月刊「計測技術 」2024年10月号掲載記事(2/2)

Posted by TUV Rheinland Japan on 2024/12/09 8:44:35
TUV Rheinland Japan

「機能安全と第三者認証機関」が、月刊「計測技術」2024年10月号の特集:機能安全と安全計装に掲載されました。本ブログは記事の後半部分です。

 

 


機能安全と第三者認証機関
<機能安全規格の認証プロセスと要点>



テュフ ラインランド ジャパン株式会社
(TUV Rheinland Japan Ltd.)
前川 貴昭

 

| 3. 認証プロセスにおける要点

これまで様々な機能安全認証プロジェクトに携わる中で、エンジニアが困難に直面する姿を何度も目にしてきた。その多くがコンセプトフェーズにおける、安全要求仕様書(SRS)や安全コンセプト(SC)を用いた規格適合性への論証である。その経験を踏まえ、本稿では、エンジニアが陥りやすい課題と解決する為に重要だと考える事柄の代表を二つ紹介する。

 

3-1.コンセプトフェーズにおける故障分析

機能安全規格に製品を適合させる上で何をすれば良いかと問われた時、本稿の読者を含めた多くの方が、真っ先に想像するのは診断の実現ではないだろうか。診断は、ハードウェア(HW:Hardware)故障を制御する上で重要な機能である。しかしながら、ここで誤解してならない事は『診断は手段であって、目的ではない』という事である。目的の認識を見失うと、思わぬ決定論的原因故障(設計ミス)を引き起こす。例えば、デジタル入力回路の場合、動的パルスを入力して回路を動作させる診断を良く目にするが、その目的は千差万別である。もしかすると、信号の固着を検出したいかもしれないし、信号線同士やケーブルとの短絡を検出したいのかもしれない。この目的によっては、診断実施のタイミングや、故障検出と断定する判定基準など、診断の実装は全く異なるものとなる。

しかしながら、例えば、競合他社製品がパルス診断を実施しているからといった理由で自社の診断を考察してしまうと、どうしても手段にばかり目が行ってしまい、何を検出したいのか不明確なまま安全コンセプトを記述してしまう場合が多い。その結果、主張したい診断率(DC: Diagnostic Coverage)や、診断の網羅性・正当性を示すことが難しくなる。

このような現象を避けるために重要な事の一つが、故障分析の実施である。本稿では、FMEAを代表例として紹介する。今回のFMEAは、コンセプトフェーズで行うHWブロックレベルの FMEAの為、ブロックFMEAと呼称する。では、ブロックFMEAの概略を時系列で説明する。ブロックFMEAは、以下の三つステップで実施する。

 

(1)前提条件の明確化

安全機能及び安全状態の定義や、分析対象の動作条件を明確にする。例えば、入出力配線の状態、接続される負荷状態、動作モードの設定条件等がある。これらの条件の組み合わせを考慮し、網羅的な分析を実施する必要がある。

(2)HWブロック図の定義

HWのブロック図を定義し、分析対象及び粒度を明確にする。

(3)故障モードの特定と影響分析

前のステップで定義したHWブロック図に対して、IEC 61508 Part 2 Table A.1などを参考にしながら、故障モードを考察し、それぞれに対して、安全関連機能に対する影響、安全側・危険側の分類、危険側の場合は付加する安全方策(例:診断機能)を明確にする。

ブロックFMEAの様な故障分析の実施は、安全方策の目的が明確になり、検出可能な故障モードの網羅性や、安全コンセプトに記述した診断の正当性を示す証拠にもなり得る為、非常に重要なのである。

 

3-2.明確な仕様記述

機能安全規格の認証プロセスにおいて、メーカーが最初に実施するのが、安全要求仕様書等のコンセプト文書の審査である。この際、コンセプト文書に記述されている仕様の不明瞭さ指摘する場合も多い。私の経験上、その原因で最も多いと感じるのは、自然言語による仕様表現である。これは、自然言語による記述を否定する訳ではない。寧ろ、自然言語による記述が適切な場合も存在する。しかしながら、自然言語には、使用される言葉によっては意味が曖昧になる恐れがある事や、長文を記述すると理解が困難になる等、明確な仕様記述に適さない事がある。例えば、製品の安全に関わる動作モードを自然言語で記述する場合、第2図の例の様に長文化してしまう事が多く、遷移条件に抜けが発生してしまう懸念がある。

 

TUV-Rheinland-JP-FSblog-article-2-JP

 

以下の例で言えば、電源投入時の初期状態の記述が不足している。これを自然言語の読解で発見するのは困難であろう。ここで、この様な懸念を解決する為の技法の一つが準形式手法による仕様記述である。準形式手法での記述は、IEC 61508でも推奨されている。準形式手法には、状態遷移図、シーケンス図、決定表等の様々な種類があるが、目的に応じて適切な技法を選択する事により、自然言語でデメリットであった曖昧さをある程度避ける事ができる。今回の例であれば、状態遷移図で記述する事により遷移条件の曖昧さを改善する事が可能である。

準形式手法の使用に限らないが、適切な技法による記述によって、仕様の曖昧さを取り除く事が重要である。

 

 

| 4. おわりに

冒頭にも述べた様に、今後、機能安全は様々な業界で益々の発展を遂げるであろう。また、発展と共に一層の複雑化が予想される。現在、欧州にてサイバーレジリエンス法(CRA: Cyber Resilience Act)の施行が迫っている事もあり、産業界も含めサイバーセキュリティの実現は、各メーカーの急務となっている。サイバーセキュリティは、セキュリティの脅威下においてもシステムの可用性が求められる。一方で、異常が発生した場合にシステムを安全な状態に制御する事を重要視するのが機能安全であり、安全状態の多くはシステムを停止状態にする事を意味する。したがって、両者の共存の実現は、非常に複雑な設計思想が求められる。
当社では、機能安全とサイバーセキュリティの両者の認証サービスを提供していると共に、日本語によるワークショップやトレーニングを随時開催している。これらのサービスを通じて、当社が微力ながら日本の機能安全とサイバーセキュリティの発展に貢献できれば幸いである。

 

出典:「計測技術」(2024年10月号) 日本工業出版株式会社


また、機能安全エンジニア資格トレーニングなどさなざまなセミナーやトレーニングを多数実施してまいりました。詳しくはこちらをご覧ください。

>>> 第一回目記事はこちら→ 機能安全と第三者認証機関|月刊「計測技術 」2024年10月号掲載記事(1/2)
 

 お問い合わせ:(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com
 
更新日 : 12/9/2024

Topics: Functional Safety, 機能安全, 製品安全