本質安全の定義は、機能安全関係の規格を見ても、機械安全関連の規格を探しても、見つかりません。JIS B 9700 (ISO 12100)の本文中には、「危険源を除去する又は危険源に関連するリスクを低減する保護方策」と書かれています。一般的には、この前半の「危険源を除去する」のが本質安全と理解されていると思います。しかし、「リスクを低減する」保護方策も本質安全に含めているので、機能安全との境界が分からなくなります。
本質安全による安全の実現の例としては、危険エネルギーを受容可能なレベルにまで低くするか無くしてしまうことがあります。例えば、感電に関しては電圧を下げる、衝突に関しては質量や速度を小さくするといったことです。危険エネルギー自体を小さくしたり無くしたりしますので、たとえそのエネルギーが制御不能に陥っても、安全を確保することが出来ます。
片や、昨今脚光を浴びているかのような、機能安全や制御による安全確保があります。
まず、機能安全はE/E/PE(電気・電子・プログラマブル電子)システムによる安全確保だけではないことを理解してください。この件に関しては、機能安全の項をご覧ください。
電気的な制御まで行かなくても、例えば危険な動く部分を金属で覆ってしまうことを考えてみます。その覆いの固定がネジであれば、緩むことがあり、あるいは、故意に外されてしまうこともあり、危険源が現れて事故につながるかもしれません。覆いを溶接でくっつければ、故意に外されることもなく、危険源が表に現れる確率もぐっと減ってきますが、やはり、振動や腐食により危険源が表に現れてくるかもしれません。このように、危険源が有する危険エネルギーを無くすか減少させない限り、その危険源による危害の発生確率を減らすことは出来ても、その重大さを減らすことは出来ません。言い換えれば、「機能安全で危害の重大さを減少させることは出来ない」ということです。
危険源を覆う溶接の信頼性に比べれば、電気回路や電子回路の信頼性は低いと思われます。低いが故に、2重化して、片方が壊れた場合は残った片方で安全方向に移行し、その状態を維持する、あるいは、3重化して一つが壊れても 残った2つのチャンネルで動き続け その間に故障したチャンネルを修理するといった方法を取らざるを得なくなります。
「信頼性を上げれば、1チャンネルの電子回路で安全制御が出来る」といった考えがあります。このような制御を、一人の人間に重傷を負わせるような危害を及ぼす危険源に対して用いることには、反対します。なぜならば、(今後のマイクロマシンという“機械”を除き)従来の機械的な安全確保においては、点検や整備を通じて人間の五感を用いてその劣化を検出でき、事前に対応することにより安全確保できました。しかし、電子回路の劣化は多くの場合、人間の五感をもってしては検出できません。その結果、どんなに信頼性が高い回路でも予期しないときに故障が起き、事故につながります。今後、測定器の発達などにより、リレーやコンピュータを含む電子回路の劣化を検出できるようにならない限りは、1チャンネルの電子回路による安全確保には、反対せざるを得ません。
機能安全で安全を確保しようとする場合は、まず第1に、その機能がなくなり危険エネルギーが制御不能になることを覚悟しなければなりません。次に、更なる安全機能を用いて制御不能になった危険エネルギー何とか制御し危害を最小限に留めることを考えなければなりません。もし、危険エネルギーが非常に大きい場合は、3重、4重と追加の保護層により危害を押さえ込むことを考える必要があります。