---------------------------------------------------------------------- SWEST/DAS共同招待講演 テーマ:機能安全規格の意図と動向について 田邊 安雄(日本機能安全) ---------------------------------------------------------------------- ○IEC61508 日本語では JIS C 0508 電気電子、プログラマブル電子安全関連系の機能安全という本がある。 350ページぐらい。 7つの章に分けられています。 第1部 一般要求事項 第2部 電気電子プログラマブル電子安全関連系に対する要求事項 第3部 ソフトウェア要求事項 第4部 用語の定義及び略語 第5部 安全度水準決定方法の事例 第6部 第2部及び第3部の適用指針 第7部 技術及び手法の概観 ○課題 ハードウェアは使用すれば故障する。 ソフトウェアは完全なものはない。 バグがある。 使用すれば、良くなる。 ○安全関連系の構成 センサー − プログラマブルコントローラ − 弁 ハードウェアは、安全系が動作しなと最悪の場合事故になる。 ○機能安全規格策定の歴史 イギリスでは1980年代から始まっている 2000年 IEC61508 一般(安全装置) 2001年 IEC61513 原始力 2002年 IEC62788 鉄道 2003年 IEC61511 プロセス 2005年 IEC61511 産業機械 2008年 ISO26262 自動車(審議中) ○規格概要 絶対安全はありえない。 残存リスクは残る。 それ故、製品、プロセス、または、サービスは相対的な安全しかありえない。 ○IEC61508の特徴 リスク(災害の頻度と規模)を評価 故障(ハード、ソフト)時に安全を確保 4段階の確率または頻度で定義された安全度水準SIL 品質企画を補完 製品+マネージメント(人、組織、プロセス)規格 ○機能安全とリスク IEC:全体の安全の一部であり、入力に対して正しく動作するシステムや機器に依存したもの 安全関連系が正しくその機能を発揮することによって達成される安全のこと。 リスクとは、危害の発生のがい然性と危害の過酷さの組み合わせある。 安全規格なのでもともと人命のため どこまでリスクとしてみとめるか? リスク許容の考え方 ALARP 受容できない領域 許容水準(がまん) ALARP領域(費用と便益の評価が必要) 充分な許容水準(十分な満足) 広く受容される領域 リスク等級の説明 Ⅱ 好ましくないリスク。リスク軽減にかかる費用対効果比が著しく不均衡であるときだけ許容しなければならない。 Ⅲ リスク軽減にかかる費用が、得られる改善効果を超えるときに許容できるリスク Ⅳ 無視できるリスク 災害に関するリスクの等級比 決定論的原因故障とランダムハードウェアの故障2つに分類する。 決定論的原因故障 H/W、S/W ↓ 安全ライフサイクルの導入 ランダムハードウェア故障 時間に関して無秩序に発生 故障劣化のメカニズム H/Wのみ ↓ 安全水準(SIL)の導入 この2つが重要な役割をしている。 システムの定義 全体システムの構成 被制御装置ECU(制御される側)+ECU制御系と 安全関連系を分離する。 安全関連系 ECUを安全な状態に移行させるため、または維持するために必要な安全機能を実装して必要なリスク軽減を達成するシステム 安全の仕組みは、設計の技術、それを管理するもの、人の問題で成り立っている。 全安全ライフサイクルは リスクを分析する作業 その結果から、システムに割り当てる 要求された安全を実現する 安全系の運用計画 機能安全評価と監査 機能安全評価実施者は、IEC61508の要求事項に適合していることを評価する。 評価者は受容、条件受容、拒否のいずれかを勧告を行う。 機能安全評価者は機能安全監査者をかねることできる。 機能安全評価(必須) 第1部8項 ○障害の程度 A 一時的な機能損失 B 1名以上の深刻な永久障害又は1名の死亡 C 数名の死亡 D かなり多数の人命の損失 NR 推奨されない HR 推奨される ○SILの割り当て 安全度標準の割り当て法 リスクの割り当てを行う必要がある。 リスクの低減率を安全に置き換える。 できないこともある。 リスクグラフでその代わりをする ○安全度基準(SIL)についてもっと詳しく。 目標機能失敗確率 低頻度 エアバックなど 高頻度 エンジンなど エアバックはSIL4 高頻度のほうが失敗率の制約が厳しい ○運用モード 分け方 作動要求頻度とプルーフテストの頻度が両方2以下なら低頻度 残りは高頻度。 ○プルーフテスト間隔の検討 点検の頻度を求める事ができる。 IEC61508の達成水準 SILのレベルでアーキテクチャーの構成を決める ○資質 コンピテンシー指針 IEC61508ライフサイクルに必要なコンピテンシー ○約140のコンピテンシー すべてもつのは難しいので、組み合わせて使用する。 または、参考にする。 ○事例(プレント) 安全関連系の安全度水準の割り当てと実現 潜在危険、リスク評価 ↓ 安全関連系にSILの割り当て ↓ 安全関連系の実現 H/Wの設計は、危険側故障確率の評価、決定論的故障抑制、ライフサイクル故障回避を実現する必要がある。 S/Wの設計は、決定論的故障抑制、ライフサイクル故障回避を実現する必要がある。 ○SILの割り当て 化学プラントの安全設計の例 プロセス安全目標(例) 「一年に10のマイナス3乗の発生頻度」 =1000年に1回 起因事象は10年に1回 アラームは10回に1回作動せず 運転員は10回に1回、アラームに気づかない。 逃し安全弁は10回に1回、固着する。 これらを、計算して、プロセス安全目標を満たすかチェックする。 ○リスクを評価して 安全性の信頼性をきちんと考えることが大事である。 ○SILの実現 安全関連系(SRS)の構成 センサー - ロジック - 最終要素 このような直列の要素で構成される。 ○ハードウェア安全水準要求事項 ハードウェア安全度水準に対するアーキテクチュア制約と 危険側ランダムハードウェア故障確率の要求事項 ○アーキテクチュア制約 全体システム 個々のサブシステム ○最低のSILで制約 安全側故障割合をあらかじめ計算して ハードウェアフォールトトレランスで分類する。 ○アーキテクチュア制約 タイプA すべての部品の故障モードが十分に定義 故障したサブシステムの挙動が完全に決定 検出可能/不能な危険故障割合の十分なフィールドデータ タイプB タイプA以外 危険側ランダムハードウェア故障確率 λ 故障率 β 共通原因故障割合 βD 診断試験で検知される故障の共通原因故障割合 DC 自己診断率 全体システムのPFDを求める事でSILを満たすか判断できる。 ○決定的論的原因故障対策 ハードウェア決定論的故障対策には、技術的なもの、環境上のもの、運用上のもの、管理的なものがある。 ○Proven in Use 使用証明 IEC 61508第2部の文章で証明されている。 IEC 61508の達成水準 機能安全認証 英国認証 国をあげて機能安全保障を行っている。 まず、機能安全能力を見る それからシステム ドイツでは、枠組みが違う 製品、マネージメント、人に分類している。 ○まとめ IEC 61508は、リスクベースの規格である。 マネージメント規格と製品の両方の側面をもつ。 ライフサイクルをカバーする 英国(CASS認証)、ドイツ等で認証を開始している。 コンピュータ技術を安全に用いる様々な産業が、IEC61508の影響を受ける。 ---------------------------------------------------------------------- 質疑応答 ---------------------------------------------------------------------- Q1:品質規格と安全規格の本質的な違いは? A1:分析技術の違い。 私の考えているところでは、やり方、程度の違いだと思う。 あと、規格の適応するところの違い。 Q2:具体的な精度 (程度)とは? A2:分析を徹底的にあるのか、組み合わせの違い。 規格をもっているのであれば、それを徹底的にやる。 Q3:ボタンの掛け違いの具体的な例は? A3:周期と安全性が理解しづらい所がある 例えば、10回に1回の失敗では、10回に9回は成功しているわけで、リスクは10分の1に下がっているという事。 Q4: ソフトウェアに事前に予測する方法はある? A4: システムの観点から言うと、ソフトウェアにも同じように適用できるはず。 海外では、適応例がある。安全と安全でないところを切り分けて、安全でないところをどう対処するかを考える。有効性についてはまだまだ。 Q5:ソフトウェアでは品質を管理する技法があるか? A5:明確なものはない。 安全上からみたソフトウェアの管理をみていけばよい。 Q6:制御系と安全関連系の線引きは? A6:絶対に分離する必要はないが、情報系などでは、安全関連系が足を引っ張ることがある。評価して良ければよいが、制御系と安全関連系の分離することは望ましい。 Q7:どこからが安全か安全でないか?大きいシステムでは判断はむずかしい。分けたほうがよいのでは? A7:なるべく分けるべき。 Q8:タイプAは項目が3つあるが、すべて満たすべきなのか? A8:すべて満たす必要がある。