あの事故はなぜ起きたのか!!(6) ―― 機能安全の認証
● 認証のアセスメント
アセスメントの詳細は,認証機関に確認していただく必要がありますが,おおむね次のように行われます.
6-1. 機能安全マネジメント計画のレビュー
製品を開発する体制およびプロセスを説明する文書が機能安全マネジメント計画(安全計画と呼ばれることもある)です.この文書のレビューを受けます.
6-2. 製品の要求事項と設計文書のレビュー
機能安全マネジメント計画に従って作成した文書のレビューを受けます.文書の適合確認を行った記録も必要になります.
6-3. 従事者へのインタビュ
関係資料のレビューと,主要な要員とのインタビュが行われます.文書レビューで未解決な事項を確認するとともに,文書で規定された通りの活動が実施されているかどうかを確認する目的で行われます.
6-4. テストへの立ち会い
フォールト挿入テストを含む妥当性確認テストの立ち会いが行われることがあります.
すべての活動が正確で完全であると判断されると,アセスメント報告書が作成されます.認証機関内部の規定に従ってこの報告書がレビューされて,アセスメントが完全であることが確認されたら認証書が発行されます.
● 認証の準備に重要な活動
認証のアセスメントで重要になると思われる代表的な活動とそのポイントを説明します.
- 機能安全マネジメント計画
製品の開発に固有な計画として,安全ライフサイクル・フェーズと各フェーズの活動,その組織および要員の役割と責任,各フェーズへのインプットおよびアウトプットなどを規定します.IEC 61508にはハードウェアおよびソフトウェア設計の決定論的原因故障を回避し,抑制する技法の使用が推奨されていますが,実際に適用する技法を決定します. - 教育訓練
製品開発に参加する個人が機能安全を理解し,ツールや技法を使いこなすコンピテンシ(力量)を持っていることの証拠になる訓練やセミナなどの実施記録を整備します. - 構成管理
下記を含めてハードウェアおよびソフトウェア構成の状態と変更の履歴を明確にする仕組みを構築します.
・ 構成管理の対象
・ 管理の対象に入れる時期
・ ユニークな識別の方法
・ 未承認な状態で使用されることを防止する手段 - ハザード分析およびリスク評価
安全要求事項の根拠になるリスクを決定する活動です.この報告はライフサイクルを通じて得た情報に基づいて,常に最新の状態に維持する必要があります. - 安全要求仕様
安全要求仕様は設計・開発の元になる重要な文書であり,リスク評価の結果に基づいて作成します.IEC 61508には,安全要求仕様に規定しなければならない事項が定められています. - 設計変更管理
設計変更管理で重要なのは変更が安全に及ぼす影響を評価することです.影響評価の結果に基づいて変更を承認するプロセスを確立します. - ハードウェアおよびソフトウェア設計文書
安全仕様の要求事項が設計で実現できたことを確認しなければならないので,要求事項へのトレーサビリティを維持することが重要です.設計活動は機能安全マネジメント計画に従って実行します.IEC 61508が要求するPFD(Probability of Failure on Demand)またはPFH(Probability of Failure per Hour),SFF(Safe Failure Fraction)などの安全パラメータが,規定された安全度を満たしていることを確認しなければなりません.設計のアウトプットが適切であることを示すために適合確認の計画を立て,その記録を残すことが必要になります. - 安全妥当性確認
安全要求仕様を満たすことを保証するために,安全妥当性確認が必要です.そのためには安全要求仕様の各要求事項とのトレーサビリティがなければなりません. - 安全マニュアル
製品の機能安全が運転および改修後にも維持されることを保証するために必要な,ハードウェアおよびソフトウェアに関する情報と手順を規定します. - 使用実績による証明(Proven-in-use)
新製品を開発するといっても,全体を新しく設計しないで,一部に既存の設計を残してそこに新しい機能を追加したい場合もあると思います.この場合,既存の設計部分については,使用実績から機能安全の達成を認めてもらえれば好都合です.IEC 61508は条件付きでこれを許容しています.
このルールを使って認証を受ける場合には,安全機能,アプリケーション,ハードウェアおよびソフトウェアの構成,使用条件,運用時間,運用中に生じた故障を具体的に示して新製品への要求と同じか同等であることを示す必要があります.
過去の使用条件や構成が,新製品のそれと全く同じとは限りません.その相違点が機能安全に及ぼす影響は分析またはテストで評価してください.
故障記録は,要求される安全度水準(SIL)を満足できるかどうかを判断する重要なデータです.IEC 61508は,使用実績から求める故障率が70%以上の信頼度を持つために必要な運転時間を要求しています.つまり,短い運転時間では信頼できる故障データが得られないということです.その詳細はここでは紹介しきれないので,IEC 61508 Part 2の7.4.7.9項およびそこで引用されている文書で確認してください.製品の故障データは通常,製品を使っている顧客からフィードバックしてもらう必要があります.認証を受ける際には,製品を使っている現場からの故障情報を漏れなく受け取って分析する仕組みを構築して,それが適切に運用されていることを説明できるようにしてください.顧客から100%のフィードバックを受けることは期待できないことが多いので,認証審査では,例えば発生した故障の50%だけフィードバックされているとみなして評価されることもあるようです.
このように,使用実績があることを主張するためのハードルは低くありませんが,設計根拠書が十分に残っていない製品の再利用には効果があります.また,今後使用実績による証明を活用したい場合には,その仕組みをあらかじめ構築しておくことを推奨します.
* * *
皆さんの会社では,これまでも安全な製品作りに努力されていると思います.一方,IEC 61508の認証を受けるためには多くの文書を準備することになります.しかし,これまでの努力をないがしろにして,認証の形作りのために文書をそろえればよいという考えは本末転倒です.従来の仕組みを生かして,そこに規格要求事項を合理的に反映させていくことが安全性の向上につながると思います.
参考・引用*文献
(1 )IEC 61508, Functional Safety of Electrical/ Electronic/Programmable Electronic Safety Related Systems,1998~2000年.
きたむら・くにあき
(株)日本機能安全