理解を助けるために、IEC 61508の概要を以下に紹介する。
IEC 61508の安全の基本的な考え方はISO/IEC Guide 51の「絶対安全は存在し得ない、多少のリスクは残る」に基づいている。ISO/IEC Guide 51はプラント・装置には災害の大きさと災害の発生頻度の組合せであるリスクが存在することを前提としており、IEC 61508ではリスクの大小を判断して設計を行なう確率論的又は定性的設計に関する基本的な考えを示している。
IEC 61508は、全体の考え方、ソフトウェア/ハードウェアに対する要求事項、信頼度の解析方法、信頼度の算出方法、信頼性の評価手法等を7分冊としてまとめている。
主な概念は以下の通りである。
(1) 機能安全とリスク
リスクそのものをなくす事により達成される安全を「固有安全」と呼んでいるが、リスクは事故の被害の大きさと発生頻度の組合せとして定義される。リスクには許容されるリスクがあり、許容リスク以下にするには、発生頻度を小さくする方法や事故時の被害の大きさを低減する方法がある。このようにリスクを相対的に軽減しライフサイクルにわたって許容されるリスク以下にして安全度水準を保持・達成される安全のことを機能安全と呼んでいる。従って、機能安全は、当該安全機能とその安全度によって示すことが出来る。安全度は安全機能を遂行する確率であり、安全関連系の性能として安全度水準(SIL)を用いて表現する。
(2) ALARPとリスク等級
許容リスクには「誰もが受け入れることの出来る水準」と費用と便益の評価の必要な「ALARP(As Low As Reasonably Practicable)水準」がある。ALARPはこれ以上リスクを軽減しても実際的でないか、投資効果が得られない水準である。この領域のリスクを容認するのではなく、何らかのブレークスルー技術によりリスクを軽減し、十分な許容水準に持って行くことを目的としている。
プラントやシステムの達成すべき安全の尺度であるリスク目標は各産業分野・各システムで決定すべきである。リスクによって起こり得る結果を想定し、それらの許容頻度との組合せでリスクを分類し、リスク等級として示す方式を採用している。リスク等級は許容出来ないリスクから無視できるリスクまでを何段階かに分けて表すことが多いが、ALARPの領域の等級分けには各産業分野の特性が大きく影響する。
(3) 決定論的原因故障とランダムハードウェア故障
規格では決定論的原因故障とランダムハードウェア故障を背景としている。
(a) 決定論的故障は(安全)要求仕様、ハードウェアの設計・製造・設置・運転、及びソフトウェアの設計・実施などにおけるヒューマンエラーなどのように「ある種の原因に決定論的に関連する故障、この原因は設計変更、製造過程、文書化またはその他の関係する要員の修正によってだけ除かれる」ものであり、発生して始めてわかる故障であるから、設計変更や製造過程の変更を行なって故障の芽を摘み取ることが安全達成の方策になる。規格では更に文書化を重要視している。あらゆるステージで安全評価の記録を残すことが重要視される。
