これからプラント分野の機能安全に取り組む方を対象に、この規格がどのような取り組みなのかを知っていただくための連載です。要件の背景や具体的な取り組み例を知っていただき、本格的な勉強につなげていただければ幸甚です。
本記事は工業技術社月刊「計装」2017年4月号から連載した記事に一部追記し、編集部ご了解のもと掲載しています。掲載記事は本誌をご覧ください。#2回は規格の目標と構成です。
規格の目標と構成
当たり前のことを改めて言えば、機能安全とは設備や機械の安全のための規格です。電子システムの商品価値をランク付けするものではありません。さらにいえば機能安全ではリスクの根源はなくなりません。機能安全が安全技術の最先端だ集大成だ、という表現は強めに言えば誤解です。しかしインフラのみならず家庭でつかう製品でもコンピュータが安全を担うケースが増えています。機能安全の取り組みなくして製造物責任のリスク低減が難しくなっていることは事実です。今回まずは規格の全体像を駆け足でご説明します。そのうえで次回から機能安全のポイントを具体的に解説してゆきたいと思います。
設備や機械の安全性を達成するためのアプローチは、ISO12100にある本質的安全設計です(図1)。
Step-1)対象物の設計そのものを安全に設計とすること
Step-2)安全保護の仕組みを加える
Step-3)警告や運用上の注意を行う。
3つのステップでリスクを低減するアプローチです。このアプローチの原則の上に機能安全も存在します。
リスクは危害のひどさと頻度で評価します。電圧を下げる、自然原理に基づいて安全状態になる、などのリスク対策が(Step-1)の本質的安全設計です(図2)。機能安全規格はこれと取って替わるものではありません。
(Step-1)の一部(図2の6.2.11、6.2.12)に、制御システムの安全設計があります。これは異常があっても安全な状態になる制御系設計を指します。本質的安全設計アプローチの一部ですが、コンピュータで実現した場合は、機能安全の範囲になります。ISO12100にも、IEC61508およびISO13849、IEC62061を参照するように記載されています。回転体やロボットなど、機械そのものの制御系設計はこの部分に相当します。
設備エンジニアリングでは、圧力や温度制御のシステムとは別に保護システムを別に設置しているかもしれません。これは(Step-2)の領域になります。ここでも機能安全規格ISO13849またはIEC62061を参照するように記載されています。このように機能安全は、本質的安全設計アプローチを置き換えるものではなく、安全を構成する一部です。自然原理に基づくリスク低減が優先的に設計(デザイン)に盛り込まれるべきものであることは今後も変わりません。
近年では、コンピュータや通信システムが制御や保護を担うケースが増えてきています。両者の組み合わせで設備を保護するケースも増えています。コンピュータを用いた仕組みによってリスク低減を図る場合には、自然原理に基づく仕組みとは異なる設計や評価のアプローチが必要です。電子部品そのものは自然原理に従いますが、制御システム・保護システム全体をみれば、その信頼性はアーキテクチャに依存するからです。それが不適切であれば、万一の部品故障の際に安全機能が損なわれる可能性があります。機能安全とは、言い換えれば、人の作ったしくみの確からしさを評価する規格といえます。
一般に機能安全の話題では「確率」が主にフォーカスされますが、それはその評価の一部分です。このため、機能安全に類する規格は、「マネージメント」から始まります。マネージメントとは、その設備や機械および保護の仕組み作りに関与する全ての人に対する管理ルールです。間違いを犯すのが人であるという立場に立ち、活動ルールを事前に制定し、遵守した記録を残しながら開発設計を進めることを求めています。このため、技術規格なのにIEC61508 Part1には、物理量が1つも出てきません。規格を学び始めて、最初にくじけそうになるポイントです。しかし前述の背景から、避けて通れるものではないことは納得いただけると思います。これをまとめた図書をFSMS(Functional Safety Management Sysmte)と称し、機能安全の認証プロセスでは最初に審査します。
FSMの次にアーキテクチャの設計段階に移ります。これまでの安全規格には、具体的な設計数値や試験クライテリア明記されている規定が一般的でした。これを「仕様規定」と呼びます。一方機能安全ではどのような設計が安全なのか、具体的な設計目標の規定は開発者にゆだねられます。これを「性能規定」と呼び、機能安全やサイバーセキュリティ規格など近年制定される国際規格の傾向です。国内の電気用品安全法なども性能規定の導入を計画しています。リスクを洗い出す作業とアーキテクチャ設計は一体で取り組むことになります。このためこの段階を、両者合わせて構想設計とか、コンセプト設計と呼びます。
設備のリスクを下げるためのシステムが動作不能の状態になった状態を、ややかしこまって「対象設備のリスクが高まった状態」といいます。機能安全は、「頻度は少ないながらも、絶対に発生しないとは言えない故障やエラー」が万一発生した瞬間でも、対象の設備や機械のリスクが高まらないようにするためのアーキテクチャづくりとそのエビデンスを求めます。
よく機能安全が品質向上の活動と何が違うのかを問われます。機能安全でも品質は大切です。前述のアーキテクチャを正確に製品化するには品質が重要となります。リスク分析やシステムの障害解析を十分に行い、想定外をなくす努力に基づき目標を設定します。その目標に向かって品質を高めるイメージです。想定できる故障やエラーすべてに、コスト度外視で対応せよというのではありません。効果を確率やスコアで表し、許容できる値になっていれば良しとします。
FSMSとコンセプトの審査を経て、ようやくモノづくり(Realization)の段階に進みます。FSMSとコンセプト段階の活動およびその記録が十分でないと、機能安全の審査は後々とても大変になります。目標設定の活動が疑われた場合、後段のすべての活動の意味が失われる、または疑われるからです。
製品化後、変更が発生した場合の処置はとても大切です。そのルールも予めFSMSの計画に含めておかなければなりません。危険につながる改造や変更を防止するルールが必要だからです。このように最初のリスク分析から保守や未来の変更を含めた全体を、安全ライフサイクルといいます(図3)。
機能安全は人が作り上げる安全の仕組みを、そのライフサイクル全体を通し評価することで、自然原理に基づくリスク低減に負けない確からしさを目指します。機能安全規格の全体像はこのようになりますが、なかなかイメージがつかないかと思います。次回は実際に発生した事故やインシデントから、FSMS、および安全ライフサイクルの必要性を確認してゆきます。
(株)制御システム研究所は、TUV-SUDの公式パートナー/機能安全エキスパートです。