特集
» 2009年06月15日 00時00分 UPDATE

機能安全規格基礎:いまさら聞けない 機能安全入門 (3/4)

[服部博行(ヴィッツ),@IT MONOist]

具体的な内容

 ここでは、IEC 61508の具体的な内容について説明します。

 IEC 61508は、製品の企画から廃棄までのライフサイクルを対象とし、それぞれの過程で何をどのように管理し、安全を担保する活動を行うべきかを規定しています。

 そのため、IEC 61508規格対応の重要点は、

  • 製品安全のコンセプト
  • 全安全ライフサイクル
  • 人・組織・技術の管理

の3つになります。

 以降でそれぞれのポイントについて見ていきましょう。

製品安全のコンセプト

 開発する製品の利用環境などを考慮し、人が危険な状態にならないための対策やその対策が不能状態に陥らないような処置を実施するための、基本となる「安全コンセプト」を立案します。

 この安全コンセプトに従い、安全ライフサイクルでの各フェイズで実施する内容や各種管理項目の内容を決定します。安全コンセプトでは、開発製品の安全に関連する範囲や安全度水準を定めるため、定め方の範囲やその度合いにより、機能安全対応の難易度が大きく左右されます。

全安全ライフサイクル

全安全ライフサイクルについて 図4 全安全ライフサイクルについて

 この全安全ライフサイクルは、製品の概念やリスク分析などをフェイズ1から5までで行い、製品に必要な安全度水準を決定します。安全度水準の決定には明確な指標がありませんが、多くの方の意見として一度の故障および事故で多くの人命にかかわるような製品、および機能は安全度水準が最も高い「SIL-4」を適用し、一度の故障および事故で1名程度の人命にかかわるようなものは「SIL-3」程度と考えられているようです。しかし、安全度水準はこのような考え方、リスク(頻度と重大度の掛け算)や製品としての価値などを考慮して決定されるので、前述した基準で決定されるわけではありません。

 フェイズ6から8は、設置や運用などの計画を作成するフェイズになります。このフェイズではプラントの設置、試運転、運用などには適用しやすいのですが、ほかの製品には要求項目が当てはまらないケースも多く見られます。

 フェイズ9は、電気・電子の制御装置の開発やソフトウェアの開発フェイズになります。電気・電子の制御装置に関する規定は「IEC 61508-2」に、ソフトウェアは「IEC 61508-3」に規定されています。機能安全開発を行う場合、このフェイズが対応の中心となります。

 フェイズ10と11は、機械装置や安全に直接関連しない技術分野の開発になり、機能安全対策を検討する場合、範囲外として扱えるフェイズといえます。

 フェイズ12から16は、対象製品の開発が終了し、顧客への引き渡し、安全に関する各種マニュアルや訓練、運用方法・保守・定期点検、改修などを規定しています。また、安全に製品を破棄するための手順などを規定しています。

 開発対象が最終製品であれば当然これらのフェイズを実施しなければなりません。しかし、開発対象が製品の一部(例えば、部品など)の場合、これらすべてのフェイズを実施できない場合もあります。そのため、機能安全対応する対象物により実施するフェイズは異なり、どのフェイズを実施するかどうかを明確にしておかなければなりません。

人・組織・技術の管理

 「IEC 61508-1」の一般要求事項 第6章に「機能安全マネジメント」の章があります。ここに“人”“組織”“技術”の管理や運用に関する要求項目が規定されています。

 機能安全に合致した製品を開発・運用するためには、この章に記載されている管理要求項目の実施方法を検討し、機能安全管理計画を策定・実施する必要があります。

 以下に第6章で規定されている管理項目を列挙します。

a.機能安全達成の方針と戦略、達成評価を高める意思疎通を図る方法
・組織トップのコミットメント
・機能安全の達成方針および戦略(規格への準拠、活動の進め方、リスク目標)
・その達成を評価する方法(プロジェクト管理手法)
・組織内のコミュニケーション手段

b.安全ライフサイクルのフェイズ担当者および組織の特定
・機能安全活動の実施とフェイズ担当組織および責任者の特定(組織図、業務分掌規定など)

c.適用されるライフサイクルのフェイズ特定
・対象製品に適用するフェイズを規定する

d.情報の構成方法と文書化する情報の範囲(IEC 61508-1 5参照)
・文書体系の規定
・文書化の範囲の規定

e.要求事項に適合するための方法と技術
・規格が要求する手法の選択(要求手法を使用しなくてもよい。ただし、使用しない理由は必要)

f.機能安全評価業務(IEC 61508-1 8参照)
・機能安全評価業務(評価者が担当するので省略)

g.迅速な対応と満足できる解決方法
・潜在危険およびリスク管理、機能安全評価、適合確認、妥当性検証、構成管理などで指摘される事項への対応方法の規定

h.業務関係者の業務遂行適合手順
・担当者が責任を遂行できるコンピテンシーを持っていることを保証する手順(力量診断、教育、定期的な診断と教育)

i.危険事象の解析と再発防止手順
・危険事象の分析を行い、再発防止手順を規定する(日々の活動でデータを収集する方法や利用方法)

j.運用と保全性能の解析手順
・決定論的原因故障を認識する手段(定期点検など)
・設計時の想定故障率と運用時の故障率が合致しているかなどを評価する方法

k.機能安全監査
・計画に基づいた手順が効果的に実施されているか、定められた目的の達成に適切であるかを調査する
・監査項目:実施頻度、監査者に要求される独立性、文書化など

l.部分改修手順(安全関連系の)
・改修時の手順書規定と手順書に従った改修活動
・評価内容:影響を受ける可能性のある潜在危険、変更の提案、変更の理由など

m.部分改修の手順と権限
・改修実施の可否を審査、承認する手順とその権限者の規定

n.潜在危険と安全関連系の情報保守手順
・情報を維持するための分析報告書などの規定および作成
・文書の更新、承認、保管

o.構成管理
・すべての構成要素を個別に識別する手段
・ソフトウェアはIEC 61508-3 6.2.3にて詳細を定義
・ソフトウェアの管理項目:安全解析、安全要求項目、仕様書、設計文書、ソースコード、テスト計画、テスト結果、使用する既存ソフトウェア、ツール、開発環境、変更管理、監査に必要な情報、リリース結果など

p.非常時の訓練と情報保守手順
・対象となる要員:システムの利用者
・活動:危険物の取り扱い、救急処置、緊急事態対応計画など

 これらの管理要求項目は、IEC 61508特有のものではありません。中には特有な項目とも見て取れるものもありますが、その多くは品質規定などに含まれている項目です。また、ソフトウェア開発に限定すると管理要求事項の多くは、独立行政法人 情報処理推進機構 ソフトウェア・エンジニアリングセンター作成の以下の資料で管理例が記載されています。

Copyright © ITmedia, Inc. All Rights Reserved.