これからプラント分野の機能安全に取り組む方を対象に、この規格がどのような取り組みなのかを知っていただくための連載です。要件の背景や具体的な取り組み例を知っていただき、本格的な勉強につなげていただければ幸甚です。
本記事は工業技術社月刊「計装」2017年4月号から連載した記事に一部追記し、編集部ご了解のもと掲載しています。掲載記事は本誌をご覧ください。#1回は連載の概要です。
はじめに(本連載の概要)
実際のプロジェクトで、機能安全や制御セキュリティ対策を経験された方も多くいらっしゃると思います。そもそもこの規格が話題になる遥か昔から、設備の安全のかなめとしてフェールセーフやそれに基づく安全設計の積み重ねがあろうかと思います。制御ネットワークの制御セキュリティも1980年代から存在しているテーマです。このため「いまさら」の感想をお持ちの方も多いかもしれません。
一方で、言葉だけは聞いたことはあっても勉強や実際の取り組みは本当にこれから、という方もまだまだ多いようです。今号から12回を予定するこの連載では、これからプラント分野の機能安全に取り組む方を対象に、この規格がどのような取り組みなのかを知っていただくのが目標です。計算式や条文はできるだけ後回しにします。触れないかもしれません。要件の背景や具体的な取り組み例を知っていただき、本格的な勉強につなげてもらいたいと思っています。
機能安全(IEC61508)のアプローチは、インフラはもとより様々な製品の安全規格に影響を与え始めています。直接的に機能安全(IEC61508)を参照する分野もあれば、医療機器のように、直接は機能安全という言葉を使用していなくても同様な手法でシステムの安全性を評価する体系も増えています。機能安全はもはや特定の設備のための規格ではありません。自動車、ロボットはもとよりあらゆる製品に広がっています。本誌読者の皆様のうちプラントエンジニアリング業務の方にとってはIEC61511プラント向けセクター規格が必要になります。またプラントに機械や計装品を納入しているメーカの方にとっては、IEC62061の機械安全または基本規格IEC61508が必要になります。(図1)
コンピュータ制御の電化製品では、家庭機器でも機能安全に準拠した安全の対策が必要なケースが出てきています。スイッチングによって回転数制御するインバータ式のモータではパルス形状やレートで負荷が変わります。危険な運転状態なのかは様々な数値をマイコンが総合的に判断する場合があります。それが最終安全保護の役割を担うならば、そのソフトウェアにはIEC61508を起源にした要件が必要になります。IEC60730、IEC60335という以前からある電気安全の規格ですが、Annexに「必須要件」として組み込まれました。
当然それが必要かどうかは機器のリスク分析の結果次第です。このため家庭や商店で使用する電化製品であっても、構想設計段階でのFMEAやHAZOPが不可欠になっています。このような設計開発のアプローチを、リスクベースデザイン、またはリスクベースシンキングといいます。もしも装置がネットワークでつながるならば、IEC62443に基づく制御セキュリティリスクアセスメントも必要になってくるでしょう。機能安全の基本規格IEC-61508の2010年版では保護システムがネットワーク機能を持つならば、IEC62443に基づくセキュリティリスクアセスメントを求めています。
産業界ではIoT、Industrie4.0と称し、あらゆる装置のインターネット接続がベースとなって、QCDの改善に変革が起きようとしています。この潮流の中、制御セキュリティは、装置や設備の安全を維持するための大切な要素、一体のものだと国際規格の委員会もTUV-SUDをはじめ欧米の審査機関も考えています。保護システムがセキュリティインシデントのために無効化してはとても危険だからです。EUでは2016年に重要なインフラや設備には対策を行うよう、Directive(法令)を制定しました。今後2年ほど掛って具体的な格国の法律や規制につながってゆく予定です。(図2)
機能安全や制御セキュリティの国際規格の対応は、着手したいと思ってもどこから手を付けてよいのか途方に暮れることがおおいです。この連載を通じ、皆様の会社やチームの実態にあわせて、取り組みのイメージを持っていただければと思います。また直接的には規格への対応が必要ではない皆様にも、モノづくりや自社の設備管理の在り方を見直す一助になればと考えています。
次回の連載第二回は、規格を俯瞰しどのようなことが書いてあるのか簡単に紹介します。その範囲の広さを感じてもらうのが目的です。連載第三回は、インフラにおける事故災害やサイバーセキュリティインシデントの事例を確認しながら、第二回に紹介した規格に書かれていることが、実際の事件や事故と結びついていることを解説します。また機能安全とサイバーセキュリティが一体であることも事件例を確認しながら解説します。第四回では、機能安全と本質安全の違いのほか、コンピュータの進化がフェールセーフにもたらした影響を解説します。第五回以降は、機能安全を理解するために不可欠な、システマティック故障、ランダムハードウェア故障などの用語や概念の解説、リスク分析のリスクとは何か、リスクマネージメントについて解説してゆきます。
プラント分野の機能安全セクター規格IEC61511は、2016年改訂されました。従来のIEC61511では、計装機器単体の内部構造や開発についても混在して触れられていたため、安全計装の製品を開発し使用することがプラント設備の安全を達成することと誤解を招く恐れがありました。今回の改訂で、IEC61511はプラントエンジニアリングにフォーカスした規格であることが明確になりました。
たとえばソフトウェアという言葉は、機器の中に組み込まれるベースシステムのプログラムを指す言葉となり、ラダーなどのプラントエンジニアリングで作成するプログラムをアプリケーションプログラムと区分することとなりました。IEC61511で規定する開発設計プロセスは、後者のアプリケーションプログラムが対象であることが明記されました。その明確化の上でアプリケーションプログラムの変更管理や構成管理についての要件が増えていますのから、これは改訂というよりも、より機能安全の考え方を強調する意図があると思えます。また改訂前は「参考:Informative」だった保護システムのFAT(Factory Acceptance Test)が必須項目(Should→Shall)となったことも特徴的です。(図3)このような改訂についても連載のテーマに加えてゆく予定です。
(株)制御システム研究所は、TUV-SUDの公式パートナー/機能安全エキスパートです。