付4-8 プログラマブル電子系の安全
―機能安全と国際規格IEC61508/JISC0508におけるプログラムソフトの解説―
電気・電子系は、多くの分野において安全機能を果たすために長年使用されている。コンピュータを用いたプログラマブル電子系(Programmable Electronic System: PES)は、当初、安全機能以外の制御機能などの遂行のために使用されていた。しかし、身近な例では、自動車におけるエアーバッグ、ABS(Anti-Lock Braking System)又は車間距離警報装置の様に、最近では安全機能の履行にも使用され始めている。PESを用いた安全装置は、その卓越した応答処理速度、自己診断機能等の多機能化によって、従来の電気・機械式リレー回路を用いた安全装置では、考えられなかった安全機能の実現を可能にしつつある。
従って、PESの技術が効果的かつ安全に活用されなければならず、PESの設計・管理等に関する安全の基本的手引きが必要となった。そこで、国際電気標準会議(IEC)の技術委員会企画作業グループは、PESを含んだ電気・電子・プログラマブル電子系(Electrical/Electronic/Electronic Programmable System: E/E/PES)を策定し、後IEC規格が発行された。日本ではIEC61508の翻訳で、JISC05081〜7として発行された。この規格は、E/E/PESを用いた安全関連系に関する規格である。E/E/PES安全関連系(SRS)とは、設備や機器、及びそれを制御するものでE/E/PESから成る安全関係を司る部分をいう。この規格は、機械の個々の部分の安全を規定するのではなく、システム全体の安全の在り方を規定している(従来は、この様なシステム全体を考えた規格はなかった)。主要な目的の一つとしては、適用個別分野(例えば:プロセス産業、機械製造業、交通運輸、医療機器など)の制定を促進する基本安全規格(ガイド51で言う最上位の基本規格)である。電気系以外の技術に基礎をおく安全関連系の安全のフレームワークも提供する。つまり、システムのライフサイクル(仕様検討、設計、製造、保守等)をとおしての包括的な方法論であり、E/E/PES安全関連系の機能安全を、安全機能とその遂行確率(Probability)で規定している。
機能安全とは、EUC(Equipment Under Control:設備、機器)とこれを制御するEUC制御系から成る全体システムにおいてE/E/PE安全関連系、他技術安全関連系、あるいは外部リスク軽減施設の正常な働きによる部分を言う。システムにおいては、危険源と危険源のある環境下で発生する危害があり、危害発生の経過を示すのが潜在危険であり、潜在危険を分析することで、危険回避の対応が図られる。
潜在危険は「何(危険源及び潜在危険を構成するその他の要因)によって、何(災害及びその結果)が起きうるか」を特定する特別な概念を持つ。危険源がそのまま危険であるのではなく、危険源がある状態、条件で変化し、危害が発生するが、その過程は多様である。従って、その過程で、ある潜在危険を把握して対応すれば危害発生を止めることができる。複雑なシステムでは潜在危険の生成機構も複雑で多様であり、特に新しいシステムでは潜在危険が明白でない。この様な潜在危険を解析する手法に、FTA(Fault Tree Assessment)等がある。
リスク(risk)は、「危険発生の蓋然性と危害の過酷さの組み合わせ」と定義される。リスクは個々の潜在危険から発主するもの、又は、それらのリスクを合計されたもので表され、複雑なシステムではリスクがどの潜在危険群に属しているかを述べる必要がある。リスクの定義で、蓋然性は定量的には(含む主観的な推定値)ある期間で1回(又は複数回)発生する確率、又は、発生回数の統計的期待値(頻度)で表す。又、定性的には「しばしば、たまに、めったに、信じられない」等で表すが、できれば、裏付けとして、ある程度の定量的な解析を入れた方が、客観性を持たせることができる。つまり定量的な表現が適切でない場合は、定性的な表現でもよい。リスクの頻度と危険度をマトリックスで示めし、リスクの取り扱いを分かり易くできる。
