IEC61508とは

/システム

IEC61508

IEC 61508とは、プラントや機械、鉄道、自動車、医療機器などの産業における電気・電子・プログラマブル電子(E/E/PE、Electrical Electronic Programmable Electronic)の機能安全に関する国際規格です。

IEC 61508では、システムのコンセプトからシステムの実現、運用・保守から廃棄に至るまでの過程を、16段階のフェーズに分けて安全ライフサイクルを定義し、各フェーズでの要求事項を規定しています。

IEC 61508は、2000年に第1.0版が制定され、2010年に第2.0版が制定されました。

国際規格

安全に関する国際規格の体系は以下になります。国際規格での安全とは、一般的な感覚でのリスクが存在しないということではなく、対象となるリスクが安心して受け入れられる程度に抑制された状態を指します。

[A規格]
基本安全規格		 広範囲の製品、プロセス及びサービスに適用する一般的な安全に関する基本概念、原則及び要求事項 ISO12100:機械類の安全性
ISO14121:リスクアセスメントの原則
[B規格]
グループ安全規格		 いくつかの類似の製品、プロセス及びサービスに適用する安全を含む規格 IEC61508:プログラマブル電子制御システムの安全性、他
[C規格]
製品安全規格		 特定の製品、プロセスまたはサービスの安全を含む規格 ISO26262:自動車、
IEC62278:鉄道、他

機能安全

機能安全(functional safety)とは、監視装置や防護装置などの付加機能により、システム全体の安全上のリスクを許容可能まで低減する技術の総称です。機能安全は、「State of the Art(最新技術)」の考え方に基づいています。

本質安全と機能安全

本質安全とは、安全の確保を人の行動に頼るのではなく、本質的、原理的に安全が確保されるような仕組み・設計にしておくべきという考え方です。本質安全は、安全確保のためには有用ですが、現実には本質安全で全ての問題が解決するわけではありません。

機能安全は、安全を確保する機能に加え、付加的な機能によって安全を実現します。但し、本質安全の限界を補うという意味ではなく、機能安全により、従来の想定範囲を超えるほどの高度なシステムの運用が可能になるという積極的な意味を持ちます。

尚、リスクとは、危害の発生確率および度合いの組み合わせと定義されます。発生確率には、ハザードへの暴露、危険事象の発生、および、危害の回避または制限の可能性などが含まれます。ハザードとは、危害の潜在的な源、またはその状態です。

故障の種類

故障原因での分類では、決定論的なシステマティック故障と確率論的なランダムハードウェア故障に分かれます。ソフトウェアの故障はすべてシステマティック故障であり、ランダム故障は存在しないと考えます。

  • システマティック故障
    設計開発における仕様の曖昧さやテスト漏れなど、ヒューマンエラーを原因とした不具合による故障です。この故障は、設計や製造過程、運転手順などの改修による回避と、故障コントロール(管理または制御)などの対策を実施します。
  • ランダムハードウェア故障
    主に部品や材料の劣化、製品のばらつきなど、ハードウェアの劣化を原因とした不具合による故障です。この故障は回避できないため、システムの冗長化による信頼性向上や診断機能設置、および故障コントロール(管理または制御)などの対策を実施します。

さらに、ランダムハードウェア故障は、安全側故障/危険側故障、検知できない故障/検知できる故障に分類されます。最も危険である「危険側故障かつ検知できない故障」が目標とする安全度水準(SIL)で規定するPFD、PFH未満であることを示す必要があります。

安全度水準(SIL)

安全度水準(SIL、Safety Integrity Level)とは、リスク分析により決定され、安全性の目標として以下のように定義されています。システム全体のリスクがこれを下回るように低減策を実施します。

  • 低頻度作動要求モード運用における安全度水準(SIL)
SIL 作動要求当たりの設計上の機能失敗平均確率(PFD)
SIL 4 10−5 以上 10−4 未満
SIL 3 10−4 以上 10−3 未満
SIL 2 10−3 以上 10−2 未満
SIL 1 10−2 以上 10−1 未満
  • 高頻度モードにおける安全度水準(SIL)
SIL 安全機能の危険側失敗の平均頻度(PFH)
SIL 4 10−9 以上 10−8 未満
SIL 3 10−8 以上 10−7 未満
SIL 2 10−7 以上 10−6 未満
SIL 1 10−6 以上 10−5 未満

EUCと安全関連システム

被制御機器(EUC)とは、製造や運用など業務に供される機械や装置などを指します。被制御機器制御系(制御装置)とは、機械や運転員からの入力信号に応答して、被制御機器(EUC)を望ましい方法で運転させるための出力信号を生成するシステムを指します。

また、安全関連システムとは、機械の目的のための被制御機器(EUC)制御系以外に付加される、機能安全の役割を担う制御システム(E/E/PE制御)の部分を指します。

リスクアセスメント

リスクアセスメントは、どのようなリスクがあるかを分析して、リスクレベルを決定するプロセスです。以下の手順によって実現されます。

  1. 使用制限の決定
    機械の使用上の制限、設置場所の制限、時間的な制限、意図する使用方法、合理的に予見可能な誤使用などを明記します。
  2. 危険源の特定
    危険源や危険状態の同定し、それらから導かれる障害など全ての状況を洗い出します。
  3. リスク見積り
    危険源や危険状態などのリスク(発生確率×被害の度合い)を見積ります。
  4. 安全性確認
    リスクを評価し、安全方策を施したことによるリスクの低減を判断します。許容可能なリスクレベルに低減されるまで、リスクアセスメントと安全方策を繰り返します。

章構成

IEC 61508は、Part1 から Part7 で構成され、Part1 から Part4 が規定、Part5 から Part7 が参考となっています。

IEC61508-1 一般要求事項
IEC61508-2 ハードウェア要求事項
IEC61508-3 ソフトウェア要求事項
IEC61508-4 用語の定義及び略語
IEC61508-5 安全度水準決定方法の事例
IEC61508-6 Part2 及び Part3 の適用指針
IEC61508-7 技術及び手法の概観

Part1:一般要求事項

一般要求事項では、安全確保に対する組織の運営と評価方法について記載されています。例えば、機能安全管理、安全ライフサイクル、潜在危険およびリスク解析、安全度水準(SIL)、適合性確認、機能安全評価などが定められています。

Part2:ハードウェア要求事項

ハードウェア要求事項では、E/E/PE系安全ライフサイクル全体に渡り、機能安全に関連する全ての情報を文書化することを目的としています。

7.2 設計要求仕様 各E/E/PE安全関連系の設計要求事項を規定する。
7.3 安全妥当性確認計画 E/E/PE安全関連系の安全妥当性確認を計画する。
7.4 設計及び開発 E/E/PE系設計要求仕様を満たすために、E/E/PE安全関連系を設計および開発する。

7.4.3 必要な決定論的対応能力を達成するための要素の合成
7.4.4 ハードウェア安全度アーキテクチャ制約
7.4.5 ランダムハードウェア故障の影響を定量化
7.4.6 決定論的原因フォールトの回避
7.4.7 決定論的原因フォールト
7.4.8 フォールト検出時のシステム動作
7.4.9 E/E/PE系実現
7.4.10 使用実績による証明がある要素
7.4.11 データ通信
7.5 統合 E/E/PE安全関連系を統合してテストする。
7.6 運用及び保全の手順 E/E/PE安全関連系が、必要とする機能安全を確実に維持する手順を開発する。
7.7 安全妥当性確認 E/E/PE安全関連系が、必要とする安全機能及び安全度に関して、全ての点で要求事項を満たしていることを確認する。
7.8 部分改修 E/E/PE安全関連系の修正、機能強化または改造を行い、必要な安全度を確実に達成する。
7.9 適合確認 当該フェーズに対する引継ぎ事項として与えられる製品および規格に関して適合することを確認する。

Part3:ソフトウェア要求事項

ソフトウェア要求事項では、ソフトウェアの開発を、定義したフェーズ及び業務に組み込むことを目的としています。ソフトウェア開発のV字プロセスは以下になります。

7.2 安全要求仕様 E/E/PE安全関連系のソフトウェア安全機能要求事項を規定し、安全度水準を達成するために必要なソフトウェアの決定論的対応能力要事項を指定する。
7.3 システム安全の妥当性確認計画 システム安全のソフトウェアの妥当性確認を実施するための計画を作成する。
7.4 設計
及び開発		 7.4.3
ソフトウェアアーキテクチャ設計		 要求安全度水準に関して、安全関連ソフトウェアに規定している要求事項を満たすソフトウェアアーキテクチャを設計する
7.4.4
プログラミング言語を含む支援ツール		 ソフトウェアの安全ライフサイクル全体において、要求安全度水準の適合確認、妥当性確認、評価および部分改修を支援するためのツール群を選択する。
7.4.5
詳細設計及び開発		 要求安全度水準に対する安全関連ソフトウェアの要求事項を満たし、解析および検証が可能で安全に部分改修できるソフトウェアの設計と実装を行う。
7.4.6
コード実装		 要求安全度水準に対する安全関連ソフトウェアの要求事項を満たし、解析および検証が可能で安全に部分改修できるソフトウェアの設計と実装を行う。
7.4.7
ソフトウェアモジュールテスト		 ソフトウェア安全機能要求事項およびソフトウェアの決定論的対応能力に関する要求事項を満たすことを検証する。
全てのソフトウェアモジュールが意図する機能を持つことを示す。
7.4.8
ソフトウェア統合テスト		 ソフトウェア安全機能要求事項およびソフトウェアの決定論的対応能力に関する要求事項を満たすことを検証する。
全てのソフトウェアモジュールが意図する機能を持つことを示す。
7.5 プログラマブル電子装置統合 安全関連プログラマブル電子装置のソフトウェア及びハードウェアを、目標とする安全度水準の要求事項を満たすようにして組み合わせる。
7.6 運用及び部分改修手順 運用および部分改修中の機能安全の維持を保証するため、ソフトウェアに関する必要な情報と手順を提供する。
7.7 システム安全妥当性確認 統合システムが、安全関連ソフトウェアに規定する目標安全度水準の要求事項に適合していることを確認する。
7.8 部分改修 要求するソフトウェアの決定論的対応能力の保持を保証するソフトウェアの修正、拡張などを行う。
7.9 適合確認 所定のソフトウェア安全ライフサイクルフェーズの引渡し事項のテスト及び評価を行い、そのフェーズの引渡し基準に関して適合することを確認する。

       

      IT
      マネジメント、セキュリティ、ネットワーク、システム
      www.sansakuro.com
      2021.04.25
      散策路TOP
      数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
      www.sansakuro.com
      2021.03.24

       

      タイトルとURLをコピーしました