スポンサーリンク

ソフトウェア設計における機能安全とRisk Assessment

スポンサーリンク
  1. 概要
  2. そもそも規格とは?
    1. 規格の遵守性
  3. IEC61508
    1. JIS C 0508
    2. 安全規格のJIS対応性
    3. IEC 61508 と ISO 26262 の違い
  4. ISO12100と IEC 61508 の関係性
    1. ISO12100
    2. ISO12100と IEC 61508の関係性は?
  5. IEC 61508 とISO13849の関係性は?
  6. IEC 61508 と IEC 62061 の違い
  7. IEC 62061 とISO13849 の違い
    1. 技術的な違い
  8. 安全規格の意味するところ
      1. ISO13849は IEC 61508-3のannexAを参照しているか?
  9. 要求安全度水準ごとのシステム例
      1. 実施例
  10. 安全機能
  11. ISO 21448 SOTIF(Safety of the intended functionality) と機能安全の関係性
  12. 言語
    1. リスク類
      1. リスク(risk)
      2. 許容リスク(tolerable risk)
      3. 残存リスク(residual risk)
    2. 安全類
      1. 安全(safety)
      2. 機能安全(functional safety)
    3. SIL
    4. ASIL
      1. 合理的に予見可能な誤使用(reasonably foreseeable misuse)
    5. フォールト、故障類
      1. フォールト(fault)
      2. 故障(機能失敗)(failure)
      3. ランダムハードウェア故障(random hardware failure)
      4. 決定論的原因故障(systematic failure)
      5. 危険側故障(dangerous failure)
      6. 安全側故障(safe failure)
      7. フォールトアボイダンス(fault avoidance)
      8. フォールトトレランス(fault tolerance)
      9. フェールセーフ
      10. フェールオペラブル
      11. 共通原因故障(common cause failure, CCF)
  13. リスク分析
    1. 安全状態の定義
    2. HAZOP
    3. LOPA
    4. FTA
    5. FMEA
    6. 3手法の違い
  14. その他参考になる資料
    1. 自動運転の安全性評価フレームワーク Ver 3.0
  15. 組込み系技術者のための安全設計入門

概要

自動運転システム等,物理システムと連携するソフトウェア開発においては,人的被害・生産性への影響,特に人的被害について綿密なRisk Assessmentが求められます.

Risk Assessmentにおいては,ランダムハードウェア故障に対してSIL(Safety Integrity Level) / ASIL( Automotive Safety Integrity Level)評価を実施することが一般的です.ともに主要な概念は同様で,リスクレベルとリスク確率に基づいてランクを決定します.ASIL / SILランクが所望の値となるように安全設計を施します.どの指標を採用するかはどの規格に準拠するかによって変化します

そもそも規格とは?

IEC / ISO / JIS等様々な国際・ローカル規格が存在します。

規格は産業界がリードして様々な目的を以て策定した標準です。目的としては、

  • 機能要件、品質、その他様々な水準の規定
  • 認証、監査による品質保証
  • 標準化によるコミュニケーションコストの低減
  • interoperability (相互運用性)の向上

等が挙げられます。

規格の遵守性

規格=法律ではありません。そのため、あるカテゴリの商品を開発する際に、そのカテゴリのISOを満たさなければならない、ということはありません。

一方で、あるカテゴリを販売する際に、ある規格に準拠することを要請する法律が存在する可能性があります。その場合には、その商品を販売する場合には規格への準拠が必須となります。

この、”ある規格に準拠する”というのは各国ごとに異なります。例えば、A国はISOxxxに、B国はIECxxxに、C国はC国独自規格に、というように異なることがあり得ます。そのため、ある商品を開発する際にどの国に展開するか、とは、どの規格に準拠しなければならないか、を決定することを意味します。

IEC61508

機能安全の基本安全規格である。全ての分野における機能安全の根幹をなす規格であり、本規格を元にして他分野にチューニングされた規格が作成されている

上記イメージは下記より引用

https://www.jstage.jst.go.jp/article/essfr/13/2/13_118/_pdf

IEC / ISO原文は有料で,個人が入手するには少々割高なので,所属企業が購入したものを閲覧するのがよい。

なお,IEC61508に基づいた機能安全については,経済産業省が公開している以下の文書がまとめられておりよい.

機能安全活用テキスト

https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf

JIS C 0508

一方で、IEC61508に限っては、JIS規格が日本国内での開発にあたって、IEC 61508が適用できるように、 IEC 61508を日本語訳した規格が存在する。それがJIS C0508である。

JISC0508-1:2012 電気・電子・プログラマブル電子安全関連系の機能安全-第1部:一般要求事項
この規格は,電気・電子・プログラマブル電子(以下,E/E/PEという。)系を,安全機能の履行に使用する場合に必要となる考え方について規定する。

下記説明があるので、内容的には同一とみなすことが可能です。

この規格は,2010年に第2版として発行されたIEC 61508-1を基に,技術的内容及び構成を変更することなく作成した日本工業規格である。

https://kikakurui.com/c0/C0508-1-2012-01.html

JIS規格は無料で公開されているので大変助かります。IEC / ISO規格を購入する余裕がない中小企業もIEC / ISOに準拠可能なように、ひいては国内の産業発展のために日本語訳として出版してくださっているのでしょうね。

規格の対応表は以下となっているとのことです。

表2-1

https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf
規格番号規格タイトル対応 JIS
IEC 61508-1電気・電子・プログラマブル電子安全関連系の機能安全 – 第1部:一般要求事項JIS C 0508-1
IEC 61508-2電気・電子・プログラマブル電子安全関連系の機能安全 – 第2部:電気・電子・プログラマブル電子安全関連系の要求事項JIS C 0508-2
IEC 61508-3電気・電子・プログラマブル電子安全関連系の機能安全 – 第3部:ソフトウェア要求事項JIS C 0508-3
IEC 61508-4電気・電子・プログラマブル電子安全関連系の機能安全 – 第4部:用語の定義及び略語JIS C 0508-4
IEC 61508-5電気・電子・プログラマブル電子安全関連系の機能安全 – 第5部:安全度水準の決定方法の例JIS C 0508-5
IEC 61508-6電気・電子・プログラマブル電子安全関連系の機能安全 – 第6部:IEC 61508-2 及び IEC 61508-3 の適用の指針JIS C 0508-6
IEC 61508-7電気・電子・プログラマブル電子安全関連系の機能安全 – 第7部:技法及び措置の概要JIS C 0508-7

安全規格のJIS対応性

以下にテーブル形式でIEC / ISO ⇔ JIS規格の対応表が記載されている。JIS規格は無料で閲覧でき、安全規格については原則としてIEC / ISOと内容齟齬がないように訳文化されたものであるため、技術者にとってありがたい内容である

機械安全分野の安全規格の体系化

https://www.jstage.jst.go.jp/article/safety/45/5/45_296/_pdf/-char/ja

主要なもののみ切り出すと以下

規格番号 規格タイトル 対応 JIS
ISO 12100:2010 機械類の安全性−設計のための一般原則− 
リスクアセスメント及びリスク低減 
JIS B 9700:2013
IEC 62061:2005 機械類の安全性−安全関連の電気・電子・ 
プログラマブル電子制御システムの機能安全
JIS B 9961:2008
ISO 13849-1:2015 機械類の安全性−制御システムの安全関連部− 第1部:設計のための一般原則 JIS B 9705-1:2019

IEC 61508 と ISO 26262 の違い

ISO 26262.後述するSILによる機能安全評価を行う IEC 61508の下位規格という位置づけであり,自動車に特化している.

詳細な違いは以下に詳述されている

https://www.jstage.jst.go.jp/article/reajshinrai/33/8/33_KJ00007731666/_pdf/-char/ja

ISO12100と IEC 61508 の関係性

ISO12100

ISO 12100:2010,Safety of machinery−General principles for design−Risk assessment and risk reduction(IDT)

IEC61508と同様にJIS規格にも翻訳される形で規定されています。JIS B 9700:2013。ISO12100の定義は以下として記述されています。

この規格は,機械類の設計において安全性を達成するときに適用される基本用語及び方法論について規定する。また,設計者がこの目的を達成することを支援するため,リスクアセスメント及びリスク低減の原則を規定する

https://kikakurui.com/b9/B9700-2013-01.html

ISO12100と IEC 61508の関係性は?

ISO12100は基本安全規格(A規格)であり、IEC61508はグループ安全規格 (B規格)です。

ISO 12100 は機械の全体的な安全設計のフレームワークを提供しており、IEC 61508 は電気や電子システムの機能安全に焦点を当てています。例えば、機械に含まれる制御システムや安全関連機能が電気・電子・プログラマブル技術に依存している場合、ISO 12100 のリスクアセスメントに加えて、IEC 61508 のガイドラインが適用されることがあります。

産業用ロボットや自動化された生産ラインでは、機械自体の安全性(ISO 12100)の評価と同時に、それを制御するPLCやその他の電子システムの機能安全性(IEC 61508)が評価されます。

以下の図が分かりやすかったので引用します

国際安全規格 p7

https://www.jsa.or.jp/datas/media/10000/md_2436.pdf

IEC 61508 とISO13849の関係性は?

IEC 61508 とISO13849はともに ISO 12100 を頂点とした安全規格のグループ安全規格(B規格)ですが、対象が異なります。

IEC61508の対象は表題通り ”電気・電子・プログラマブル電子系”(Functional safety of electrical/electronic/programmable electronic safety related systems)の安全規格という包括的な規格であり、機械に限定した規格がIEC62061( Safety of machinery – Functional safety of safety-related control systems )です。

ISO13849は”Safety of machinery — Safety-related parts of control systems“。

IEC62061は” Safety of machinery – Functional safety of safety-related control systems “です。

したがって、 ISO13849と IEC62061は対を成す規格となります。

なお、ISO / IECの関係性の煩雑さについてはJStage論文にて以下の記述を見つけることができました

この規格に類似のものに ISO 13849 2)がある.後述 するように,両規格の適用範囲には重複があり,現場 の混乱を招いていることは事実である.しかし,昨今 の電子制御技術の発展,プログラム可能な制御器 (PLC)の使用の拡大を考慮すると,本 IEC 62061 も ISO 13849 改訂版も必然性を持って誕生した規格とい えよう.つまり、IEC 62061 は多くの産業分野で機能 安全の規格の必要性から生まれた包括的な IEC 61508 を機械分野で適用するというようにトップダウン的に 制定されたのに対して、ISO 13849 の改訂は既往の規 格を電子技術を用いた安全制御部にも適用できるよう にボトムアップ的に改訂されたと見ることができる.

https://www.jstage.jst.go.jp/article/safety/48/6/48_379/_pdf/-char/ja

IEC 61508 と IEC 62061 の違い

IEC61508 = Functional safety of electrical/electronic/programmable electronic safety related systems

IEC62061 = Safety of machinery – Functional safety of safety-related control systems

62061は61508の機械限定版です。そのため、以下のような記述の通りとなります。

機械安全分野の規格 である IEC 62061 は IEC 61508 の基本的な方法論を引 き継ぎながら,機械類に適用することに特化して,不 要な部分を削り使いやすくしたもので,例えば SIL に ついては 1~3 のみが規定され,SIL 4 は規定されてい ない.これは,プロセスプラントとは異なり,多数の 死者が発生する災害が想定しにくいためである.この ように,この規格は IEC 61508 に比してコンパクトで あり,使い勝手がよくなっている.ページ数も大幅に 減っている.

https://www.jstage.jst.go.jp/article/safety/48/6/48_379/_pdf/-char/ja

IEC 62061 とISO13849 の違い

IEC62061とISO13849の違いは以下の論文が詳しい

https://www.jstage.jst.go.jp/article/safety/48/6/48_379/_pdf/-char/ja

変遷としては以下の記述が分かりやすい。ISO13849がIEC61508に影響を受ける形で制定されている。

 2000 年に、電子・電気機器製造、設計者のための基本規格として IEC61508 が発行され、 2005 年に、機械安全に特化した規格として IEC62061 が発行されました。2006 年の改正に より、ISO13849ー1 は、従来の制御システムのカテゴリに IEC61508 の信頼性の概念を取り入 れたパフォーマンスレベル(PL)を導入しました

https://www.mhlw.go.jp/file/06-Seisakujouhou-11200000-Roudoukijunkyoku/0000117706.pdf

技術的な違い

安全性尺度として、SIL / PLを使用する点が異なるが、どちらもリスクに応じた要求安全尺度を決定し、要求安全尺度を満たすように機械を設計することを求めている。なお、 1時間当たりの危険側故障の平均確率という点で、実質的にSIL / PLは同等である。SIL⇔PLの変換表はISO13849-1で公開されている。

IEC 62061 SILSafety Integrity Level = 安全度水準PFHd ( Probability of dangerous failure per hour)
ISO13849 PLPerformance Level1時間当たりの危険側故障の平均確率

以下の表1は引用

https://www.jstage.jst.go.jp/article/safety/48/6/48_379/_pdf/-char/ja

安全規格の意味するところ

ISO / IECで類似の規格が存在したり、階層構造を持った規格群と少々ややこしい所ではありますが、結局以下という理解です。

・設計時にRiskAssessmentを実施し、リスクを許容可能なレベルまで低減する

・ハードウェア故障については、ランダム故障であるが故に定量化可能なので、SIL / PLに基づいて危険側故障確率の定量化を実施し、定量的にリスクを目標水準以下とする

・ソフトウェア故障については、定量化不可能であるため、目標安全水準に対して求められる設計プロセスを規定し、そのプロセスの遵守性でもって、安全水準の達成とみなす

日立スライドのp6 – 9が分かりやすい

https://www.jpcert.or.jp/present/2019/ICS2019_05_HITACHI.pdf

ISO13849は IEC 61508-3のannexAを参照しているか?

IEC 61508-3のannexAにて、安全度水準ごとに満たすべきソフトウェア設計技法が規定されている。ISO13849も同様にソフトウェア設計時にこれらを参照しているのかどうか?

⇒ ISO13849 原文を読まないと分からない。明記されている検索結果を見つけることができなかった

要求安全度水準ごとのシステム例

SIL1
SIL2鉄道の運行管理システム、建設機械の操作、プロセス産業、エレベータ、医療機器、自動車のエンジン(ASIL B)
SIL3建設機械の操舵(公道)、原子力プラント、生活支援ロボット
SIL4鉄道の信号システム、無線式列車制御システム、自動車のブレーキ(ASIL D)

リンクがないものについては、p5より引用

https://www.jpcert.or.jp/present/2019/ICS2019_05_HITACHI.pdf

以下のニュースリリース記事も確認

SIL3は火力発電・化学・環境などのプラント設備で求められる最高水準の安全性

https://www.mhi.com/jp/news/130827207.html

実施例

IEC 61508-5 の 附属表Eに要求SILの計算方法(リスクグラフ法)が定義されている。

リスクの大きさでまずは大まかに分類が可能である。

軽傷で済む場合 (C1) 、SILには該当せず、安全要求事項はない。

最大一人の死亡の場合(C2)、SIL1 ~ 3。頻度・回避・発生確率による。

多数死亡の場合(C4)、SIL4(W1の場合SIL3となるが)

W1/W2/W3の取り方でどうとでもできてしまう指標と言える。各安全規格で規定されているSIL値を参照することが推奨される。

なお、Fは定義としては以下である。すなわち、危険事象が発生する頻度を説いているわけではなく、”危険事象が発生した場合に、その危険事象に晒される頻度”を考慮している。例えばプレス機等であれば通常オペレーションではメンテナンス時期のみ以外では接近しないことが想定される。そのため、頻度としては稀としてFaを選択してよい。一方で、装着して使用する器具については危険に常に晒されていると言えるので、頻度は高いとしてFbを選択すべきである。乗り物系も同等と考えられる。

危険域にさらされる頻度及び時間

安全関連系を備えていない場合の危険事象の頻度

https://kikakurui.com/c0/C0508-5-2019-01.html

安全機能

ISO 13849-1 や IEC 61508 に”安全機能”という章が存在し、安全機能についての要求事項が記載されている。これらを安全機能を実装すべきかどうかは、C規格にて規定されていれば必須であるが、規定がなければどの安全機能によりリスクを低減するかは設計者に委ねられる。

この箇条は,SRP/CSによって提供できる安全機能のリスト及び詳細について規定する。設計者(又はタイプC規格作成者)は,特定の用途の制御システムで要請される安全方策を達成するために必要な安全機能を組み込まなければならない

https://kikakurui.com/b9/B9705-1-2019-01.html

ISO 21448 SOTIF(Safety of the intended functionality) と機能安全の関係性

ISO21448はISO26262と安全に対して補完し合う規格です。

以下引用です

既に広く普及しているISO 26262(Functional safety:機能安全)は、システム自体の故障による危険事象の発生を防止することを目的とした安全規格です。それに対してISO 21448は図表2で示すとおり、システムの故障がない状態における危険事象の発生を防ぐことを目的とした安全規格であり、ISO 26262を補完する関係にあります。

https://www.pwc.com/jp/ja/knowledge/column/automotive-research-and-development/iso-sotif.html

言語

言語の定義はIEC 61508 / JISC0508-4に記載されています。

JISC0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全-第4部:用語の定義及び略語
この規格は,この規格群で使用する主な用語及び定義について規定する。

本章の定義は上記より引用します。

リスク類

リスク(risk)

危害の発生頻度及び過酷度の組合せ

許容リスク(tolerable risk)

現今の社会的価値観から受容されるリスク

残存リスク(residual risk)

安全措置が取られた後でも残存するリスク

安全類

安全(safety)

受容できないリスクから免れている状態

残存リスクが許容リスク以下であることが安全の必要条件である。

機能安全(functional safety)

EUC及びEUC制御系の全体に関する安全のうち,E/E/PE安全関連系及び他リスク軽減措置の正常な機能に依存する部分

よくある例ですが、踏切が機能安全で、高架線が本質安全です。踏切が正常に動作している限り、安全な状態を確保できます。一方で、正常な動作を実施していたとしても、また、異常時には依然としてリスクが存在します。それらが許容リスクと判断された上で、踏切というシステムが十分な安全を確保するための機能安全システムとして採用されています。

機能安全テキストp59に記載された以下の文と図が分かりやすいです

機能安全は、リスクアセスメントの結果行われるリスク低減のための3ステップメ ソッドのステップ2の安全防護及び付加保護方策において電気・電子制御を用いた方策 が該当する。この方策の一部は、安全機能と呼ばれる。

https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf

SIL

安全度水準(SIL)(safety integrity level, SIL)

IEC 61508. 日本語訳は以下。

安全度の値の範囲に対応する離散的水準(4水準のうちの一つ)。安全度水準4は最高の安全度水準であり,1は最低である。 

注記1 四つの安全度水準に関わる目標機能失敗尺度(3.5.17参照)は,JIS C 0508-1の表2及び表3に規定している。 

注記2 安全度水準は,E/E/PE安全関連系に割り当てられた安全機能の安全要求事項を規定するために用いる。 

注記3 安全度水準(SIL)は,システム,サブシステム,要素又はコンポーネントの特性ではない。“SIL n安全関連系”(ここで,nは1,2,3又は4)という表現の正しい解釈は,その系がnまでの安全度水準をもつ安全機能に潜在的に対応できるということである。

https://kikakurui.com/c0/C0508-4-2012-01.html

https://www.mhlw.go.jp/file/05-Shingikai-11201000-Roudoukijunkyoku-Soumuka/gaiyou_1.pdf

なお,要求動作が高頻度なのか低頻度なのかで,確率の定義が異なります.高頻度は定常的に動作する機能に対して,故障側に至る確率であるのに対して,低頻度モードでは非常時のみ動作するような要求ケースが低頻度である機能に対して,その機能が故障側に至る確率です.

高頻度モードにおいては,10^-9 ~ 10^-8という値で最高評価のSIL4になりますので,10万年に1回発生するかどうか,という値が指標になります.

勿論,この値に対して生産数が影響を与えますので,企業は予定生産数に対して,SIL4以上の機能安全を求める必要となる可能性もあります.

ASIL

ISO 26262.後述するSILによる機能安全評価を行う IEC 61508の下位規格という位置づけであり,自動車に特化している.

ISO 26262 is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production passenger cars with a maximum gross vehicle mass up to 3 500 kg. ISO 26262 does not address unique E/E systems in special purpose vehicles such as vehicles designed for drivers with disabilities.

3.5t以下の乗用車が適用範囲である.

下記ページが分かりやすい.

https://www.jqa.jp/service_list/fs/file/techdata_26262.pdf

合理的に予見可能な誤使用(reasonably foreseeable misuse)

供給者が意図しない状態又は目的による製品,プロセス又はサービスの使用法。ただし,それらの使用法は,通常考えられる人の挙動と関連し,その挙動は容易に予測できるものとする

フォールト、故障類

フォールト(fault)

機能ユニットに要求される機能遂行能力の低下又は喪失を引き起こす可能性がある異常状態

故障(機能失敗)(failure)

ある機能ユニットの要求機能の遂行能力の終結,又は要求された以外の機能の誤運用

注記4 故障は,(ハードウェアでの)ランダム故障と(ハードウェア又はソフトウェアでの)決定論的原因故障とのどちらかである。3.6.5及び3.6.6参照。

ランダムハードウェア故障(random hardware failure)

時間に関して無秩序に発生し,ハードウェアの多様な劣化メカニズムから生じる故障

注記1 異なる部品ごとに異なる率で生じる多くの劣化メカニズムが存在し,製造上の許容誤差がそれらのメカニズムによって部品の故障を運転中の異なる時刻に引き起こす。したがって,多くの部品から成る装置全体の故障は,予測可能な率で生じるが予測不可能な(ランダムな)時刻で発生する。

決定論的原因故障(systematic failure)

正しい知識,認識,対策の欠如などの原因の決定的に関連する想定外の故障又は失敗。この原因は,設計の部分改修,製造過程,運転手順,文書化又はその他の関係する要因の修正によってだけ除くことができる

注記3 決定論的原因故障の原因事例には,次のような項目中のヒューマンエラーがある。 − 安全要求仕様(中のヒューマンエラー)
− ハードウェアの設計,製造,設置及び運転(中のヒューマンエラー) 
− ソフトウェアの設計,実施,その他(中のヒューマンエラー)

そもそも決定論とは何か?

あらゆる出来事は、その出来事に先行する出来事のみによって決定している、とする哲学的な立場

https://ja.wikipedia.org/wiki/%E6%B1%BA%E5%AE%9A%E8%AB%96

ランダムハードウェア故障以外は、その事前の仕様決定、実装、手順に従って発生する故障ということだと言えます。ランダムハードウェア故障は定量的に発生確率を評価できますが、決定論的故障は発生確率を定量評価することはできない。

例えば、ある安全機能の仕様の一部の欠落に起因して発生する故障に対して、そもそもその仕様が欠落する確率は?と問うことは不可能でしょう。仕様が欠落がした後に、その仕様が欠落している場合に故障へと至る事象が発生する確率は、その事象頻度が定量化可能であれば、ある種合理的に見込むことができますが、欠落したという情報なしに見込むことはできません。このようなことから決定論的故障は定量化できないと言われています。

危険側故障(dangerous failure)

安全機能を実行するときにある役割を果たす,要素及び/又はサブシステム及び/又はシステムに関する次のような故障。

a) EUCが危険状態又は危険になり得る状態に陥るように,作動要求モードで要求された場合に安全機能の作動を阻止する,又は連続モードで安全機能を失敗させる。
b) 要求された場合に安全機能が正しく作動する確率を下げる。

安全側故障(safe failure)

安全機能を実行するときに役割を果たす,要素,サブシステム及び/又はシステムに関する次のような故障
a) 安全機能の誤作動が,EUC(又はその部品)を安全状態にする,又は安全状態を維持する結果となる。
b) EUC(又はその部品)を安全状態に置く,又は安全状態を維持するように安全機能が誤作動する確率を上げる。

フォールトアボイダンス(fault avoidance)

安全関連系の安全ライフサイクルの任意のフェーズで,フォールトを導き入れないようにするための技法及び手続きの使用。

フォールトトレランス(fault tolerance)

フォールト又はエラーの存在下で,要求される機能を遂行し続ける機能ユニットの能力

フェールセーフ

なんらかの装置・システムにおいて、誤操作・誤動作による障害が発生した場合、常に設計時に想定した安全側に動作するようにすること。またはそう仕向けるような設計手法で信頼性設計のひとつ。

https://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A7%E3%82%A4%E3%83%AB%E3%82%BB%E3%83%BC%E3%83%95

フェールオペラブル

故障が発生したとしても要求機能を実現する能力を維持すること

A Fail Operational System is a system which after failure of any single component, is capable of completing an approach, flare and touchdown, or approach, flare, touchdown and rollout by using the remaining operating elements of the Fail Operational system

共通原因故障(common cause failure, CCF)

一つ以上の事象を原因とする故障で,それが複数チャネル系の二つ以上の分離したチャネルそれぞれに故障を同時に引き起こし,システムの故障を生じさせるもの。

https://kikakurui.com/c0/C0508-4-2012-01.html

リスク分析

安全状態の定義

リスクを分析する上で重要なのは,何がリスクなのか関係者各位で共通認識を共有することです.そのため,まず初期段階で実施すべきは”安全状態の定義”です.

どのような状態が安全な状態かを定義することなしに,ハザードを定義できません.

HAZOP

Hazard and Operability Studies

HAZOP - Wikipedia

未知のリスクを抜け漏れなく割り出すための手法です.

誘導語(guide word)として、無(no)逆(reverse)他(other than)大(more)小(less)類(as well as)部(part of)早(early)遅(late)前(before)後(after)という11語で分析する。

誘導後を利用して,あらゆるフローにおけるリスクを洗い出します.ここで導出したリスクに対して,後述するFTA / FMEAを実施します

LOPA

HAZOPとFTA / FMEAの中間に位置する手法で,リスク発生の確率を見積もる際に,レイヤー思考を取り入れた手法です.

Layers of protection analysis (LOPA)—A method of analyzing the likelihood (frequency) of a harmful outcome event based on an initiating event frequency and on the probability of failure of a series of independent layers of protection capable of preventing the harmful outcome.

https://www.sciencedirect.com/topics/earth-and-planetary-sciences/layer-of-protection-analysis#:~:text=Layers%20of%20protection%20analysis%20(LOPA,of%20preventing%20the%20harmful%20outcome.

FTA

Fault Tree Analysis 故障木分析

故障木分析と呼称される手法.ある故障の要因を解析し,本質的な要因を究明する手法です.

FMEA

Failure Mode and Effect Analysis

故障モード影響分析です.ある故障モードが発生した場合に,派生する影響を網羅し,その影響度合いをRPN,SIL,ASILで推定します.最終的にどの機能安全を批准することを目的とするかで,用いる指標は決定されます

3手法の違い

そもそもFTAではリスクが,FMEAでは故障モードに気付いていなければ,実施することが出来ません.

各ユースケース・動作において,どのようなリスク・故障モードが存在するかを抜け漏れなく検討するために,HAZOPを利用することが推奨されます.

また,FTAはトップダウン(リスク⇒故障モード)であるのに対し,FMEAはボトムアップ(故障モード⇒リスク)形式です.そのため,FTA / FMEAはどちらか,あるいは両方を選択する必要があります.

個人的にはHAZOP * FMEAで想定される故障モードに対するリスクを洗い出した後に,防ぎたい最上位リスクについてFTAを実施し,実施したFMEAで網羅されていることを検証し,FMEAにフィードバックを加えることが重要だと思います.

その他参考になる資料

自動運転の安全性評価フレームワーク Ver 3.0

https://www.jama.or.jp/operation/safety/automated_driving/pdf/framework_ver_3_0.pdf

組込み系技術者のための安全設計入門

https://www.jasa.or.jp/wp-content/uploads/2020/03/H20_SafetyReport.pdf
タイトルとURLをコピーしました