あの事故はなぜ起きたのか!!(5) ―― マネージメント規格IEC61508に基づく安全度水準の求め方

安全に関するマネジメント規格「IEC 61508」に関する連載の第5回目である．今回はハードウェア設計およびソフトウェア設計における安全性の定量的尺度である「安全度水準」の求め方を解説する．（編集部）

1．ハードウェア設計における安全度水準の求め方

　まず，IEC 61508^{（1）,（2）}に基づく安全関連系のハードウェア設計についてお話します．ハードウェアの設計は，本連載の第1回（2008年5月号，pp.140-143）で述べた全安全ライフサイクルの9番目のフェーズ（E/E/PESの実現）に当たるものです．従ってフェーズ9以外は，既に実施されているか，あるいは今後実施されるものとします．また関連する機能安全マネジメントも実施されているとします．
　さてIEC 61508の第1部では，「当該システムの本質安全設計を検討することが最も重要である」と述べています．そもそも安全系が不要となるような，例えば，高圧系であれば低圧にしたり，危険物質を安全な物質に置き換えたりして，「ハザード（潜在危険）を排除することを考慮しなければならない」と述べています．そして，それが不可能であれば，リスクを低減するために安全系を設置する，つまり本規格に基づいて機能安全設計を行う，という手順になります．IEC 61508自身が機能安全よりもっと大事なものがある，としていることは意義深いことと思います．
　2007年10月に，平塚市内のエスカレータで，男児がエスカレータと防護板に挟まれて重傷を負うという事故がありました^（3）．エスカレータの事故は東京都内だけで年間1000件以上起きているとされています．このエスカレータが，2006年にエレベータでの死亡事故を起こした会社の製品だったこともあり，身近な危険として大きな関心を集めました．この例でいえば，そもそもエスカレータと壁との間を完全にふさぐという本質安全構造にしておけば，事故は防げたはずです．それを防護板などという一時しのぎの対策で防止しようという考え方が間違っています．
　本稿ではIEC 61508に基づく安全関連系のハードウェア設計について，図1のように6段階に分けて説明します．

図1　ハードウェア設計の流れ

●ステップ①：ハードウェアの安全要求仕様を作成

　安全関連系ハードウェアの設計において，最初に必要となるのが安全要求仕様書です．安全要求仕様は，ハードウェア設計以前のフェーズ，つまり本連載の第4回（2008年10月号，pp.137-141）で紹介したリスク評価の結果，得られるものです．しかし潜在危険抽出やリスク評価は困難な作業です．なぜなら潜在危険やリスクは未来の出来事であり，人間が予測するのが困難だからです．従って安全工学の専門家などとチームを組んで，定量的あるいは半定量的な手法を使用する必要があります．定量的手法にはHAZOP（潜在危険・運転性評価手法）やFMEA（故障モードとその影響度分析）のほか，ETA（事象の木解析）やFTA（故障の木解析）などがあります．半定量的な手法にはIEC 61508で例示しているリスク・グラフやリスク・マトリックスなどがあります．
　さて安全要求仕様とは，具体的には安全系が果たすべき機能，つまり安全機能は何かということと，リスク軽減のために安全系が必要とするSIL（Safety Integrity Level；安全度水準）の値です．なお安全機能とは，要求されたことを実行するだけでは不十分で，意図しない機能が実行されて危険な事態を招かないようにしなければなりません．
 

●ステップ②：ハードウェア設計技法の選択

　IEC 61508では，安全にかかわる故障を，決定論的原因故障と確率論的なランダム・ハードウェア故障とに分類しています．
　決定論的原因故障の対策としてIEC 61508では，設計プロセスにおいてフォールト・アボイダンス技術（故障が起きにくいような仕組み）を採用し，さらに，それでも故障が起きた場合のフォールト・トレランス技術（故障耐性を上げるための仕組み）の採用を規定しています．
　フォールト・アボイダンス技術とは，構造化設計や操作者のミスに対する保護設計，電磁干渉テストなど，十分な設計やテストにより故障が起きにくい設計となるような仕組みを規定しています．
　フォールト・トレランス技術とは，多重化によって1系統が故障しても耐えられる仕組み，あるいはデータ通信におけるビット・エラーを訂正する仕組みなど，故障耐性を上げるための技法を規定しています．　IEC 61508では安全関連系ハードウェアの実装設計に当たります．自己診断技法，決定論的原因故障を抑制する技法，環境による故障を抑制する技法，運用による故障を抑制する技法，共通原因故障への対策技法を選択する必要があります．その一部を紹介しましたが，全部で約200個のベスト・プラクティス（最良技法）が提示されています．そしてこれらの中から設計に応じて，また，SILに応じて選択しなければなりません．
　一方，ランダム・ハードウェア故障の対策としては，冗長化や多様化によるシステムの信頼性向上や自己診断装置などが必要です．なお冗長化については，以下に述べるアーキテクチャ制約と危険側ランダム故障確率評価が同時に要求されます．
 

●ステップ③：アーキテクチャ制約

　アーキテクチャ制約とは，表1に示すようにシステム構成の冗長度（2重系や3重系）と自己診断装置による安全側故障割合によって規定されるSILの値です．具体的にはまず，安全系の故障モードを調べます．その故障が安全側であるか，あるいは故障しても検出可能であると評価された割合を安全側故障割合とし，さらに，故障しても安全機能を喪失しない系統数（フォールト・トレランス；以下FT）を決定すれば，その安全系のSILが決定されます．なお，表1は新規設計の場合で，十分な実績がある場合は別の表がIEC 61508に示されています．
　安全側故障割合（SFF：Safe Failure Fraction）とは，次の式で表される数値です．
 

（ただし安全側故障率λS＝λSD＋λSUとする．）
　故障モードを図2のように4種類に分類した場合，全体の故障率において右下を除く残り3領域の故障が占める割合を意味しています．
　一方，フォールト・トレランス（FT）については，例えば，1系統しかない時はFT＝0です．2重系でそのうち1系統でも生きていれば機能を果たす場合はFT＝1となります．さらに3系統の場合はFT＝2となります．ここで注意すべきは，いわゆる「2-out-of-3」つまり，3系統のうち2系統が作動している時だけ機能を果たすという場合はFT＝1になるということです．
　一般に多重化設計，例えば2重系といっても，片側は通常停止していて非常時に起動するものや，片側が故障した時にもう一方に切り替えるものなどが考えられます．しかし安全系における2重化とは，常に両側が同時に作動するものを意味していると考えられます．

表1 アーキテクチャ制約によるSIL値（新規設計の場合）
SILはシステム構成の冗長度（2重系や3重系）と自己診断装置による安全側故障割合によって規定される．

図2 4種類の故障モード
安全側故障割合（Safe Failure Fraction ; 以下SFF）とは，故障モードを図のように4種類に分類した場合，全体の故障率において右下を除く残り3領域の故障が占める割合を意味する．