あの事故はなぜ起きたのか!!(6) ―― 機能安全の認証
安全マネジメント規格「IEC 61508」に関する解説の最終回である.今回は製品がIEC 61508に適合していることを証明する方法・過程について述べる. (編集部)
これまで5回にわたって機能安全国際規格IEC 61508に基づく安全ライフサイクル,リスク分析,ハードウェア設計,ソフトウェア設計などについて解説をしてきました.これらは安全な製品を作るための取り組み方を紹介するものでした.
それでは,本当に安全な製品ができたことを証明するにはどうしたらよいでしょうか.今回は連載の締めくくりとして,機能安全の認証について解説します.
現在,IEC 61508に基づいて機能安全の認証をしてくれるのは,海外の認証機関に限られているようです.中には日本法人を置いているところもありますが,認証を取得する場合には,関連する文書や記録を英語で整備し,アセスメント(Assessment)にも英語で対応するなどの手間がかかることも考えておかねばなりません.認証の具体的方法は,認証機関がそれぞれ定めていますので,そこに直接確認していただく必要があります.ここでは認証の一般的な方法および考え方について解説します.
● 認証は必要なのか?
IEC 61508の適用は法律で要求されているものではありません.従ってIEC 61508を適用するのは,顧客から要求された場合,あるいは競合他社との差別化を図るなど営業戦略上の必要性がある場合ということになります.またIEC 61508には,「機能安全が達成されているかどうかのアセスメントを行え」という要求はありますが,「認証を取得せよ」という要求はありません.このことから,製品がIEC 61508に適合していることを証明するためには,二つの方法が考えられます.
- 自己宣言:自社でアセスメントして証明する.
- 認証取得:認証機関のアセスメントを受けて認証書の交付を受ける.
自己宣言をした場合には,顧客がそれをどのように受け止めてくれるかが問題になります.専門性のある第三者機関のアセスメントを受けている場合の方が,より信用されるかもしれません.
● 部品のSIL認証
IEC 61508は安全度水準としてSIL(Safety Integrity Level)を1から4まで規定しています(本誌2008年10月号,pp.137-141の連載第4回を参照).ここで注意していただきたいのは,SILはシステム〔センサからアクチュエータ(踏切の遮断機などのように安全状態を作るための機器)までを含む〕について定義されるということです.
例えば単一チャネルのシステムでは,センサがSIL 3であっても,アクチュエータがSIL 2ならば,そのシステムはSIL 2になってしまいます.このように部品レベルのSILをシステムのSILと区別して考える必要があります.
最近は部品レベルの認証には,SIL capableという言葉が使われるようになりました.SIL capableは,IEC 61508が推奨する決定論的な危険側故障を回避し,制御する要求を満たしていることを認証する際に使われる表現です.
● 認証取得のプロセス
筆者が推奨する認証取得までの大まかなプロセスを図1に示します.
- 認証取得の方針決定
認証取得には組織のマネジメント活動が不可欠なので,組織のトップが認証取得の必要性を認識して,組織内に方針として示す必要があります. - 現状分析
従来の設計・開発活動とIEC 61508が要求する活動とのギャップを分析して認識します. - 実施計画
IEC 61508の要求を満たす製品の開発および現状分析で認識したギャップを埋める活動を計画します. - 文書およびデータの整備
実施計画に基づいた活動を実施します. - 認証機関の決定
認証機関との打ち合わせなどを行って,認証の契約を行います. - アセスメント
認証機関のアセスメントを受けます.ここで行われるアセスメントの概要については,後で詳しく説明します. - 認証書
アセスメントの結果,IEC 61508の要求事項を満たしていることが確認されると,認証機関から認証書が発行されます.
図1 筆者が推奨する認証取得までの大まかなプロセス