リスク軽減:複雑なシステムでは、系統的にリスクの軽減措置が必要
(1) 潜在危険構成要素の排除
EUCに含まれる危険源を排除し、また、それらに含まれるエネルギーや化学的性質が潜在危険とならないようにして使用する。
(2) 変化の抑制
潜在危険の抑制であり、安全余裕、高信頼性部品の使用等(教育によるヒューマンエラーの防止も含まれる)
(3) 変化の許容
故障・異常・エラーが発生しないということは事実上不可能である。従って、望ましくない変化が発生した条件下で、システムの安全な状態を保持するメカニズム、又当該条件下でシステムを安全な状態に移行させる方法の2つの方法に分類できる。
(4) 保護・救護措置
最終的な危害の防御
1) 機能安全の遂行
リスクの発生は、機器を構成する部品の故障で、故障が確率的に予測可能なもので、発生がランダムに起こる故障(ランダムハードウェア故障)と安全要求仕様、設計、製造等で把握できなかった安全対応やヒューマンエラーによるもので、後日の修正のみによってしか排除できない故障(決定論的原因故障)に分けられる。ランダムハード故障は、システムの機能失敗確率で精度が示されるが、決定論的原因故障による機能失敗の確率は、その性格上推定できない。従って、決定論的原因故障については安全全ライフサイクルによる安全設計、管理、保全等の規定を経た方法論をとおした検討段階で明らかにする必要がある。
次に、フェールセーフという概念は、無条件で全ての故障が安全側に収束するものという希望、楽観そして錯覚が付随している。全ての故障に対して、安全側が保証できるシステムは原理的に存在しない。つまり、全ての故障を同定したという証明ができないからである。従って、機能安全規格でフェールサーフの概念を用いない理由は、フェールセーフについて一般的に信じられている概念そのものの曖昧性にある。しかし、部分的にはフェールセーフとすることができると考えられるが、非常に限定されたものとなると考えられる。
2) 機能安全とSIL(Safety Integrity Level:安全度水準)
踏切の警報・遮断機の安全機能は、歩行者やドライバーのぼんやり侵入潜在危険の抑制である。踏切の警報・遮断機は危険源の列車を停止させるものでもなければ、侵入者の侵入を防止するものでもない。ここでの警報・遮断機の安全度は、2つのケースが考えられる。つまり、田舎の鉄道で、列車が1日に1回しか通らない踏切と、1日に頻繁に通る踏切では、同じ故障率の警報遮断機を使用しても、事故の発生する確率は異なるであろう。つまり、低頻度の踏切では、警報機の時間当たりの故障率に点検回数を積算し踏切の安全度を出し、一方、頻度の高い踏切では、警報機の時間当たりの故障率を使用するように規定する。
低頻度 故障率×T/2(T:点検間隔(年当たりの時間、約1万時間)
高頻度 故障率
これを安全度水準(SIL)で表す。機能に対する機能失敗平均確率(低頻度)/危険側故障確率(1/時間)と安全度水準との関係を表し、安全度がどの程度かを見ることができる。
