見出し画像

はじめての機能安全(その2)


2. 機能安全の基本概念

2.1 危険とリスクの区別

危険とリスクは似たような意味を持つ言葉ですが、微妙に異なる意味を持っています。

危険とは、事故や災害が起こる可能性がある状態や要因を指します。例えば、火災や地震などの自然災害、あるいは、化学物質や高温なオーブンなど、人体に直接危害を与える要因を指します。

一方、リスクとは危険が実際に現れる場合に、その結果として生じる損失や被害の程度を指します。例えば、自然災害が起こること自体は危険ですが、その被害の程度や範囲がリスクです。どのくらいの人数の死亡者や負傷者が発生したり、どのくらいの大きさの被害が社会資本などに対して発生したりするかです。また、ある化学物質が人体に有害であること自体は危険ですが、その物質を摂取することで生じる健康被害の程度がリスクです。簡単に言うと、危険は「人体に何が起こりうるか」という危害の可能性を表し、リスクは「人体に危害が加わった場合にどの程度の被害になるか」という被害の程度を表します。

リスクの評価では、危険性の程度とさらにその発生確率も考慮する必要があります。たとえば、地震がよく発生する地域に住んでいる人は、地震が危険であることを知っていますが、その被害の大きさと発生頻度も考慮してその地域で生活するリスクがどの程度あるかを評価する必要があります。

まとめますと、リスクと危険は密接に関連していますが、異なる意味を持つ言葉です。危険性だけでなく、その被害の程度と発生確率も考慮することが重要です。

2.2 安全とは

国際的には、「安全」とは「許容できないリ スクがないこと」と定義されています(ISO / IEC ガイド 51:2014)。わかりにくい定義ですが、分かり易く説明しますと、安全とは人や物が大きな危険やリスクに晒されず、健康や生命、財産などが守られる状態のことです。

労働や交通、食品、製品に対して従来から言われてきた安全に加えて、昨今は情報、医療など多くの分野において安全への関心が高まっています。そのため、安全を確保するには予防的な取り組みや危険やリスクに対する備えが必要です。

しかし、リスクは時代や社会の情勢、環境によっても変化するため、絶対的な安全を定義することはできません。つまり、完全に安全な状態を保証することはできないということです。

ただし、安全を確保するために、適切な対策や管理を行うことによって被害を最小限にくいとめたり、リスクを減らしたりすることができます。そのため、安全に関する意識を高め、適切な対策をよく考えて実行することが大切です。

2.3 機能安全とは何か

安全とは「受容できないリスクがないこと」とISOに定義されています。欠陥や故障による危険により、受け入れられない被害や損失がないということで、欠陥や故障による危険が全く発生しないということではありません。日本人は長い間、「安全とは、欠陥や故障による危険が全くないこと」と思ってきましたが、機能安全を正しく理解するためには、まずISOの安全の定義をしっかりと理解する必要があります。

機能安全とは、製品やシステムが想定される状況下で、安全に機能することを保証するための技術的・組織的な手法や規格、プロセスのことを指します。言い換えると、製品やシステムが想定される危険状況下において、図 1のALARPダイアグラムの「許容可能なリスク領域で機能する」ことを保証するための技術、手法、規格、プロセスのことです。

機能安全は、人々の健康と安全や環境の保護を確保するために非常に重要な概念です。高速道路での車両の自動運転、航空機の自動着陸、医療機器の安全性、産業設備の安全性など、私たちが日常的に使用する多くの製品やシステムにおいて機能安全の重要性が高まっています。

機能安全を達成するためには、産業別の規制や規格に従い、機能安全に関する要件を満たすことが必要です。

図1 ALARP(as low as reasonably practicable)ダイアグラム

2.4 機能安全の目的と重要性

機能安全は、人命や財産を守るために必要な技術、手法、規格及びプロセスであり、製品やシステムの設計、製造、および操作に関する重要な要求であることを2.3で述べました。機能安全の目的は、機械や電気・電子システムの故障や誤作動が発生することにより人命や財産などに対する危害を防ぐことです。車、鉄道、航空機、医療機器、原子力発電所など、高いレベルの機能安全が必要とされる分野では特に重要な方法です。

機能安全性を達成するためには、リスクを評価し、その評価結果に基づいて適切な安全性の要件を策定し、製品やシステムを設計・開発・製造する際に安全性を確保する必要があります。また、製品やシステムのライフサイクル全体、たとえば、販売後の保守や廃棄時も含め安全性を維持し、改善することが必要です。

機能安全を考慮した製品やシステムは、顧客や市場の信頼性を高め、経済的な成果をもたらすことも期待できます。すでに述べた通り、高速道路での車両の自動運転、列車の無人運転、航空機の自動着陸、医療または介護機器、産業用ロボットなど、機能安全は既に人々の命や健康を守るために欠かせないものになっています。そのため、人の命や健康に関わる製品やシステムを開発するエンジニアが機能安全について学び、機能安全のプロセスや技術を理解することは大変重要なことです。機能安全を理解する上で非常に大切な指標を2.5で説明します

2.5 安全インテグリティレベル(SIL)の概要

安全インテグリティレベル(SIL:Safety Integrity Level)は、機能安全の評価指標の一つで、システム、製品、サービスなどがどの程度信頼性が高く安全であるかを示す指標です。SILは、機能安全の要件に基づいて決定され、潜在的な危険を特定し、それに対する脅威の評価、およびリスクを軽減するための対策を講じることによって定義されます。

図2 SILを損害の重大性と発生の可能性から説明した図

SILは、機能安全の観点から、SIL1からSIL4までの4つのレベルに分類されます。SIL4が最高の安全性を示しています。

・SIL1は、基本的な安全性要件を満たすレベルで、重大な損害を引き起こす可能性が低い場合に適用されます。

・SIL2は、SIL1よりも高い安全性が必要で、より重大な損害の可能性が少し高い場合に適用されます。

・SIL3は、SIL2よりも高い安全性が必要で、さらに重大な損害の可能性が高い場合に適用されます。

・SIL4は、SIL3よりも高い安全性が必要で、極めて重大な損害を引き起こす可能性がより高い場合に適用されます。

言葉で説明したことを図にすると図2の様になります。
許容できる損害の場合の安全性はSIL1より低くなります。この場合は、機能安全規格の対象になりません。
SIL4よりも高い安全性が要求される製品またはシステムを設計については、実現の可能性やコストの観点から機能安全規格では扱いません。

SILの厳密な定義は、安全に関する機能が仕様通り動作しない確率でレベル分けしたものです。IEC 61508に記載に記載されているSILの定義を表 1に示します。

表 1 安全機能の目標機能失敗確率(IEC 61508-1:7.6.2.9)

Low Demand Mode:作動要求があるときにのみ、安全機能を作動させ安全状態にする。作動要求頻度が1回/年より大きくない場合。
High Demand Mode:作動要求があるときにのみ、安全機能を作動させ安全状態にする。作動要求頻度が1回/年より大きい場合。
Continuous Mode:通常運転時に安全機能を作動させ、連続的に安全状態を保持する。

SILの評価は、機能安全に関する規格であるIEC 61508や、自動車産業向けの機能安全規格であるISO 26262などで使用されています。自動車の機能安全規格ではASILと呼びます。要求されるSILを達成することはその製品またはシステムによる損害を防止するために必要な要件です。したがって、SILは製品やシステムの信頼性と安全性を評価するために非常に重要な役割を果たします。また、機能安全規格には、SILを達成するための設計、検証、評価、監視に関する要求が記載されており、これらを遵守する必要があります。

コラム:ChatGPTとの対話2

ChatGPTに、SIL2とSIL4の製品事例の提示をお願いしました。
製品またはシステムを、発注または開発する企業がリスクを評価してSILを決めるため、A製品のSILはSILxと一概には言えませんが、人的被害の大きさはその人数がかかわってくるため、下の回答は参考になると思います。ただし「SIL4以上」が気になります。

この記事が気に入ったらサポートをしてみませんか?