機械の安全とは何か?どのように実現すべきかを考えます。

機能安全

技術情報へ戻る

機能安全

機能安全を用いた安全方策も必ず壊れるということ

機械安全では、「機械は壊れる、人はミスをする」といいます。
機能安全による安全方策も同じです。必ず壊れるし、それを使う人は必ずミスをします。
ところが、規格に書いてある10のマイナス何乗という数字を満足すれば規格の要求を満たしたことになるので、「これで安全」と判断し、それ以上の対策をとらない人が増えてきているように思えます。この風潮は変えなければなりません。機能安全による方策は必ず壊れます。大事なことは、壊れた後でもどのように安全を確保するか、もし確保できない場合は、如何に被害を最小限に抑えるかを考え実行することです。

この数字はどこから来たのか?

現在多くの機能安全の規格で「10のマイナス何乗」の故障率といった要求が書かれています。この数字はどこから来たのでしょうか?
全ては過去の経験からです。
過去における同様の安全方策の故障率です。これまで使われた安全制御回路の統計的な故障率や、計算による故障率を基にしています。
機能安全方策を採ったから安全性が増したと思ってはいけません。しっかり作っても、これまでとトントンといったところでしょうか。

機能安全はE/E/PEに限らないこと

機能安全というと、電気制御やコンピュータによる制御を用いた安全制御だけだと思っている人が多く見受けられます。
これは間違いです。例えば、防波堤の波を防ぐという機能を使って津波という危険エネルギーから町や施設を隔離している訳です。あるいは、安全柵という分離機能を使って危険エネルギーから隔離している訳です。
機能安全と本質安全の比較という意味で、立体交差と踏み切りのたとえが書かれていることがあり、立体交差を本質安全だと説明していますが、あれは間違いです。立体交差は、“立体交差という手法”を用いて、交通(危険エネルギー)を隔離(分離)するという機能により安全を確保していることになります。
このように考えると、身の回りは機能安全だらけということになります。機能安全が特別なものであるという認識を捨てましょう

なぜE/E/PEにだけ規格が存在するのか

ではなぜE/E/PEによる制御だけを機能安全だとする誤解が生じてきたのでしょうか?
例えば、安全柵など構造物は、多くの場合、計算により強度などが分かります。また、その劣化や損傷の多くは人間の五感により検出でき修理や補修などの是正措置をとることができ(理論上の)安全を確保できます。人間の五感で劣化を検出できるということは、その故障率を気にする必要が無いということです。従って故障率や信頼性を規定する必要はありません。
ところが現在の技術では、多くの電子部品の劣化を人間の五感で検出することは出来ません。特別な装置を用いて電子部品の内部を監視すれば可能なのかもしれませんが、実際にはそのようなことは、監視回路の信頼性も問題になり、行われていません。部品一つ一つの故障率を求めたり、ユニットの使用実績による故障率を用いて安全関連系の故障率を推定し、従来の安全関連系と同等の信頼性を確保しようとしている訳です。このような理由で、安全関連系の故障率や信頼度を規定する必要があるわけです。
このようにして今や機能安全の基本規格とも呼ばれるIEC61508が制定されました。その表題は"Functional safety of electrical/electronic/programmable electronic safety-related systems"で、この時点では、“E/E/PEシステムの機能安全”で電子・電気制御による安全確保に限定していましたが、このFunctional safetyという言葉が“機能安全”と訳され、その後一人歩きを始め、“機能安全=E/E/PE制御による安全確保”という誤解を生んだものと思われます。ですから、狭い意味では、機能安全はE/E/PEシステムによる安全確保ですが、広い意味では違います。
そして、機能安全に共通のことは、必ず壊れることと、危険エネルギーは減少していないので機能安全の故障は事故につながるということです。
このことから、(繰り返しになりますが)機能安全による手法で安全を確保しようとする場合は、いかなる手法であっても、必ず機能安全が壊れることを前提として、壊れても安全を確保する、あるいは、壊れても被害を最小限に留めることを考慮する必要があります。

毎時10のマイナス4乗の故障率って?

1日は8時間、1年間は365日ですから、1年は8760時間です。大きくまとめると、約9000時間、もっと大きくまとめると約10000時間になります。毎時10のマイナス4乗の故障率とは、「1年間に1度くらいは故障する」程度の確率です。
機械の制御回路のPLを規定しているISO13849-1の一番低いレベルPLaに要求される故障確率が10のマイナス4乗ですから、PLaの回路は「1年に1度くらい危険側故障が起きても当然」とも言えます。
IEC61508が要求している一番低い値のSIL1の場合、10のマイナス5乗ですから、ISO13489-1に比べれば10倍の信頼性を要求しているとも言えます。IEC61508の数字をそのまま使っている、IEC62061もSILの定義は同じなので機械にとっては使いにくいのかもしれません。
現在これらISO13849-1とIEC62061の合体が進められているようです。根本の思想が違う規格同士が一つになれるのでしょうか?今後の動きに注目しましょう。

技術情報へ戻る

powered by Quick Homepage Maker 4.27
based on PukiWiki 1.4.7 License is GPL. QHM

最新の更新 RSS  Valid XHTML 1.0 Transitional

ISO26262, IEC61508