機能安全の概要 -...
TRANSCRIPT
機能安全の概要機能安全の概要
日本認証株式会社
セーフティアセッサー
丹羽 邦幸
1. 機能安全(IEC61508)・概要
機能安全の概要
機能安全の概要1 機能安全(IEC61508) 概要
31. ハードウェアの故障許容(HFT)レベル32. SIL達成について(1/2)
1. 機能安全(IEC61508)・概要2. 日本認証㈱と他の工業会との関連3. 日本認証㈱(略称:JC)の業務内容4. 出資会社 ⇒ 日本認証㈱5. 機能安全とは何のこと(1/2)6. 機能安全とは何のこと(2/2)
33. SILの達成について(2/2)34. 安全故障率:SFF(Safe Failure Fraction)35. SILの決め方(FMEDA)36. 普通の回路はどれくらいのSILになるのか?37. 共通原因故障(CCF)38 ス ア表評価項目7. 機能安全・初期の規格とガイドライン
8. IEC 61508の出発点(1/3)9. IEC 61508の出発点(2/3)10. IEC 61508の出発点(3/3)11. 機能安全規格の歴史まとめ12. 機能安全規格「IEC 61508」と派生規格
38. スコア表評価項目39. IEC61508のCCF評価のスコア表の例40. 全安全ライフサイクル41. ソフトウェア安全ライフサイクル42. IEC61508 の概要・Vモデル43 SILへの対応 (ソフトウェア)(1/2)
13. 国際規格:機械安全規格ピラミッド構造14. 機械安全規格:ISO/IECとJIS比較表15. IEC 61508規格の特徴16. 日本と欧米の安全に対する考え方の違い17. 安全と機能安全の概念18 機能安全の概念
43. SILへの対応 (ソフトウェア)(1/2)44. SILへの対応(ソフトウェア)(2/2)45. ソフトウェア妥当性確認テスト文書46.ソフトウェアの妥当性確認テスト文書47. 表B.5の適切な技法48. 妥当性確認試験18. 機能安全の概念
19. 機能安全の概念20. IEC61508 の概要(1/2)21. IEC61508の概要(2/2)22. IEC61508の要求事項23. 全安全ライフサイクル
機能安全の要素
49.妥当性確認テストツール50.改修/改造の要求事項51. グローバル化時代における規格と認証52.機能安全の理解を深めよう53.これからの製造業が目指す生産現場54 認証申請と認証機関との関連24. 機能安全の要素
25. 機能安全管理の必要事項2 6 . 安 全 度 水 準 要 求 仕 様27 リスクアセスメント28. 安全関連系(SRS)と安全度水準(SIL)2 9 . 安 全 要 求 仕 様 項 目
54. 認証申請と認証機関との関連55. 認証申請への心準備56.安全認証について57. 世界の認証機関及びマーク58. 世界の認証機関59 機能安全認証業務のステップ(実例)
ⓒ 2010 Japan Certification Corporation
安 要 求 仕 様 項 目30. 安全度(SIL(Safety Integrity Level))とは
59.機能安全認証業務のステップ(実例)60. JCのサポート
2. 日本認証㈱と他の工業会との関連
METI
経済産業省 産業技術環境局
METI
経済産業省 産業技術環境局
n MachineryJMF
日本機械工業連合会
経済産業省 産業技術環境局
JEMA
日本電機工業会
NECA
日本制御機器工業会
NECA
日本電気制御機器工業会 JC
IEC
本制御機器 業会
IEC
日本電気制御機器工業会 JC
国際電気標準会議
SC17B
国際電気標準会議
TC44TC44TC44TC65TC65 TC94
2002 年 11 月 独にて
Mr. Kjellnas, Chairman
Mr. M. Delaplace , Secretary
2003 年 5 月 米国にて
Mr. F . Harless ,Chairman
Mr. H. von Krosigk
Mr. F . Harless ,Chairman
Mr. H. von Krosigk
Mr. F . Harless ,Chairman
Mr. H. von Krosigk
Mr. O. Ulrichs, Chairman
Mr. B . Dumortier , Secretary
Mr. O. Ulrichs, Chairman
Mr. B . Dumortier , Secretary
青木氏:Chairman加藤氏:幹事
2003年9月 国内にて
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
NECA - IE/TCC44 & TC65 会議実施 NECA - IEC/SC17BWG3 会議実施
3. 日本認証㈱(略称:JC)の業務内容
日本認証(JC)は、製造業の要となる制御機器・制御システムの専門企業で構成される (社)日本電気制御機器工業会(NECA)会員有志企業の出資により設立された国際規格関連の さまざまな認証業務やコンサルティングを行う専門会社です。 社員は知識・経験豊かな専門家。世界各国の認証機関と連携するとともに、国内の機評価・試験機関とも連携し、ご満足いただけるサービスをお届けしてまいります。日本認証株式会社(略称:JC)英文社名 : JAPAN CERTIFICATION CORPORATION 所在地 : 〒532-0004 大阪市淀川区西宮原2丁目7番53号 Marutaビル8F創 業 : 2003年9月8日出 資 : (社)日本電気制御機器工業会(NECA)会員会社21社
事業内容●IEC規格及びこれに類する各種規格に関する各国の認証取得申請代行業務●IEC規格及びこれに類する各種規格に関する各国の認証取得申請代行業務●各種規格に関する認証試験業務及び認証申請業務●各種規格及び認証に関するコンサルティング●各種規格及び認証に関する人材育成並びに教育訓練●各種規格及び認証に関する情報サービス、調査業務●各種規格及び認証に関する情報サ ビス、調査業務●その他、付帯する一切の関連業務
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
4. 出資会社 ⇒ 日本認証㈱
1 相原電機㈱ 11 ㈱東電社1、相原電機㈱ 11、㈱東電社2、IDEC㈱ 12、東洋技研㈱3、大阪自動電機㈱ 13、日本開閉器工業㈱4 オムロン㈱ 14 布目電機㈱4、オムロン㈱ 14、布目電機㈱5、春日電機㈱ 15、富士電機機器制御㈱6、キムラ電機㈱ 16、不二電機工業㈱7、ケージーエス㈱ 17、北陽電機㈱8、光洋電子工業㈱ 18、パナソニック電工㈱9、㈱サンミューロン 19、マルヤス電業㈱10、㈱タイコーデバイステクノ 20、安川コントロール㈱
21、㈱山武
資本金=6,000万円
ⓒ 2010 Japan Certification Corporation
5. 機能安全とは何のこと(1/2)
・IEC61508(電気・電子・プログラマブル電子安全関連系の機能安全) に規格化されている格化されている。
・2000年にIEC61508が策定された。その後、原子力や鉄道、プロセス産業、産業機械などの各分野ごとにIEC61508を取その後、原子力や鉄道、プロセス産業、産業機械などの各分野ごとにIEC61508を取り入れた機能安全のサブ規格が次々と策定されている。
現在は自動車分野におけるサブ規格が審議中。 (近々にロボットへの取り組み)
・機能安全とは故障(部品故障やバグ)が発生してもシステムや機器の安全性を確保できるような機能を実装しておく、と言う考え方え方。
(IEC61508が規定するシステム開発技術)
年に第 版が策定された・2010年に第2版が策定された。
ASICについて規定が追加、ソフトウェアの手法が見直された。
ⓒ 2010 Japan Certification Corporation
6. 機能安全とは何のこと(2/2)
1 ものは壊れ 故障する
考え方の背景1.ものは壊れ、故障する。
2.また、完全なソフトウエアはありえない。(バグがある。)
3.ひとはミスをする。
故障しても、エラーになっても人に危害を与えないようにしたい
転換
・【品質向上】の発想から【機能安全】へ。
・【本質安全】
危害事象、危害要因、原因をはじめから除去したものを作る
【機能安全】・【機能安全】
「本質安全達成出来ない部分をカバー」
危害が発現しても 極力安全を確保すると言う概念
ⓒ 2010 Japan Certification Corporation
危害が発現しても、極力安全を確保すると言う概念。
7. 機能安全・初期の規格とガイドライン
初期の規格とガイドライン
(以下はIEC61508 国際委員会委員長 Ron Bell Consulting 社長のセミナーからの抜粋)
初期の規格とガイドライン
1980年代の初頭に「プログラマブル電子システム」(PES)として知られるようになったものに対するガイドラインを複数の組織が開発した。ようになったものに対するガイドラインを複数の組織が開発した。
○ UK:Programmable electronic systems in safety-related applications.
G l t h i l id li:General technical guidelines.
○ Germany:Din v VDE0801:Principles for computers in safety-rerated systems(1990)
○ USA:ISA and CCPS developed guidelines for the process chemical sector.
○ Nordic countries: Produced “Personal safety in microprocessor control systems.
○ 研究努力は、主として、安全上重要なシステムのソフトウエアコンポーネントに焦点を当てる事であった。
注)上記は、ヨーロッパ・米国での動向であってそれ以外の地域の国では様々な構想があったかも知れない。
ⓒ 2010 Japan Certification Corporation
8. IEC 61508の出発点(1/3)
★ 1985年9月12 13日 IECは国際規格の実現性を評価する為に
ちょっと歴史を振り返ってみると
★ 1985年9月12・13日:IECは国際規格の実現性を評価する為に、「プログラマブル電子システムの機能安全;一般的な概念」と言うタスクグループを作る決定をした言うタスクグル プを作る決定をした。
★ 安全機能を実行するプログラマブル電子システム(PES)の国際規格を開発するために 上記のタスクグル プとワ キンググ際規格を開発するために、上記のタスクグループとワーキンググループが作られた。
PES⇒Programmable Electronic SystemPES⇒Programmable Electronic System
★ 新ワーキンググループ(WG10)は1988年6月6・7日にロンドンで初めて開催されたで初めて開催された。
決定から開催まで3年もかかっている
ⓒ 2010 Japan Certification Corporation
9. IEC 61508の出発点(2/3)
★ 提案された国際規格の主要な特徴は、それが一般性を持ち産業機械 プ は原子力などと言 た特定分野、産業機械、プロセス又は原子力などと言った特定分野のみ
関係するものではないことにある
★ 提案された国際規格が一般的なものであるという事実は、関連する全ての分野からの合意を得ると言う大変なチャレンジとな たとなった。
★ 他のIECワーキンググループは、1984年頃から安全関連ソフトウ の規格を開発し いた( )トウエアーの規格を開発していた(WG9)
★ 1992年に、最良の方法は、システム、ハードウエア、ソフトウエアを扱う一つの規格を持つことであることが合意された。
ⓒ 2010 Japan Certification Corporation
10. IEC 61508の出発点(3/3)
★ 提案された規格のスコープは、PES(ProgrammableEl t i S t )だけではなく ハ ドウエアとソフトウエアElectronic System )だけではなく、ハードウエアとソフトウエアを 含む電気・電子・プログラマブル電子安全関連系をカバーするように拡大された。するように拡大された。
これがIEC61508となる。
★ 多くの国がIEC61508の開発に参加した★ 多くの国がIEC61508の開発に参加した。Australia,Finland,France,Germany,Netherland,Japan,Russia,UK,USA
そして多くの国が審議プロセスに参加したそして多くの国が審議プロセスに参加した。
★ IEC61508の制定までには、第一回のWGから10年を要した。
★ IEC61508-3の「ソフトウエア要求事項は」、約14年かけて開発された。
ⓒ 2010 Japan Certification Corporation
この間、各国とも殆ど同じメンバーで審議されてきた (日本では・・・?)
11. 機能安全規格の歴史まとめ
★ 1985年9月12・13日:IECは国際規格の実現性を評価する為に、「プログラマブル電子システムの機能安全;一般的な概念」と言うタスクグループを作る決定をした。
★ 安全機能を実行するプログラマブル電子システム(PES)の国際規格を開発するために、上記のタスクグループとワーキンググループが作られた。
★ 新ワ キンググル プ(WG10)は1988年6月6★ 新ワーキンググループ(WG10)は1988年6月6・7日にロンドンで初めて開催された。
IEC61508 1998年欧州各国のPESガイドライン IEC61508 1998年
JISC0508 1999年
欧州各国のPESカ イト ライン
1992:統合
1980 1990 2000 2010
ソフトは1984頃から規格を開発 IEC61508 ED2 2010年
ⓒ 2010 Japan Certification Corporation
1980 1990 2000 2010PES ⇒ Programmable Electronic System
12. 機能安全規格「IEC 61508」と派生規格
防衛Defense Standard 00-56
航空機JAR/FAR25 1309
自動車ISO 26262MISRA-SA
医療機器IEC 62304
機械ISO 13849-1
IEC 62304IEC 60601
鉄道IEC 62278
原子力IEC 61513 ロボット
ISO 10218IEC 62278
プロセス産業
産業機械IEC 62061
SO 0 8
フィールドバスIEC 61784
IEC 61511 電子制御モータIEC 61800
IEC 61508 機能安全規格IEC 61508 機能安全規格
対象:プロセス産業、機械製造、交通運輸、医療器械など
全分野の基本規格 分野別が存在しない場合は、IEC 61508を適用
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
13. 国際規格:機械安全規格ピラミッド構造
ISO/IECガイド51
ISO 機械系 IEC 電気系ISO:機械系 IEC:電気系
機械類の安全性-基本概念,一般設計原則規格 (ISO 12100-1,-2)
A基本安全規格:
全ての規格類で共通に般設計原則規格リスクアセスメント規格
( , )(ISO 14121)
全ての規格類で共通に利用できる基本概念,設計原則を扱う規格
インタロック規格ガ ドシステム規格
(ISO 14119)(ISO 14120)
電気設備安全規格 (IEC 60204-1)Bガードシステム規格
システム安全規格安全関連部品規格安全距離規格突然の起動防止規格
(ISO 14120)(ISO 13849-1)(ISO 13849-2)(ISO 13852)(ISO 14118)
センサ一般安全規格センサ応用規格機能安全規格スイッチ類規格
( IEC 61496-1,-2,-3)(IEC 62046)(IEC 61508-1~-7)(IEC 60947-1~-8)
Bグループ安全規格:
広範囲の機械類で利用できるような安全,又は安
突然の起動防止規格両手操作制御装置規格非常停止規格マットセンサ規格階段類の規格
(ISO 14118)(ISO 13851)
(ISO 13850)(ISO 13856)(ISO 14122) 1 2 3
EMC規格トランス規格防爆安全規格
(IEC 61000-1~-6)(IEC 60076)(IEC 60079-1~27)
全装置を扱う規格
階段類の規格 (ISO 14122)-1,-2,-3
C個別機械安全規格:
特定の機械に対する詳細な安全要件を規定する規格
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
20101220東京 22日大阪
特定の機械に対する詳細な安全要件を規定する規格製品例 : 工作機械,産業用ロボット,鍛圧機械,無人搬送車,化学プラント,輸送機械など
注:生活支援ロボット国際規格(ISO13482)もC規格に位置づけされて発行予定。
14. 機械安全規格:ISO/IECとJIS比較表
ISO / IECLatest Edition JIS
Latest Edition
対応するIEC/ISOのEdition 和文標題
【IEC】
IEC 60204 1 Ed5 1 JIS B 9960 1 2008 IEC 60204 1:Ed 機械類の安全性 機械の電気装置IEC 60204-1 Ed5.1 2009-02
JIS B 9960-1 2008-05
IEC 60204-1:Ed 5.0:2005
機械類の安全性 機械の電気装置第一部:一般要求事項
IEC 61496-1 Ed 2.0 2008-01
JIS B 9704-1 2006-05
IEC 61496-1 Ed2.0:2004
機械類の安全性 電気感光性保護機器第一部:一般要求事項及び試験
IEC 61496-2 Ed 2.0 2006-04
JIS B 9704-2 2008-04
IEC 61496-2 Ed1.0:197
機械類の安全性 電気感光性保護機器第二部:能動的光電子保護装置を使用する機器の特定要求事項2006 04 04 Ed1.0 197 第二部:能動的光電子保護装置を使用する機器の特定要求事項
IEC 61496-3 Ed 2.0 2008-02
JIS B 9704-3 2004-04
IEC 61496-3 Ed1.0:2001
機械類の安全性 電気感光性保護機器第三部:拡散反射に応答する能動的光電子保護装置に関する特定要求事項
IEC 61508-1 Ed.2.0 2010
JIS C 0508-1 1999 IEC/FDIS 1508-1:1998-7
電気・電子・プログラマブル 電子安全関連系の機能安全第一部:一般要求事項
IEC 61508-2 Ed 2 0 JIS C 0508-2 2000 IEC/CDV 61508- 電気・電子・プログラマブル 電子安全関連系の機能安全IEC 61508 2 Ed.2.0 2010
JIS C 0508 2 2000 IEC/CDV 615082:1998-4
電気・電子・プログラマブル 電子安全関連系の機能安全第二部:電気・電子・プログラマブル電子 安全関連系に対する要求事項
IEC 61508-3 Ed.2.0 2010
JIS C 0508-3 2000 IEC/FDIS 1508-3:1998-8
電気・電子・プログラマブル 電子安全関連系の機能安全第三部:ソフトウェア要求事項
IEC 61508-5 Ed.2.0 2010
JIS C 0508-5 1999 IEC/FDIS 1508-5:1998-7
電気・電子・プログラマブル 電子安全関連系の機能安全第五部:安全度水準決定方法の事例
【ISO】ISO 12100-1 2003-11 JIS B 9700-1 2004-
12ISO 12100-1:Ed1.0:2003
機械類の安全性 基本概念・設計の一般原則第一部:基本用語・方法論
ISO 13849-1 2006-10 JIS B 9705-1 2000-11
ISO 13849-1 Ed1.0: 1999
機械類の安全性 制御システムの安全性関連部第一部:設計のための一般原則
ISO 13850 2006 11 JIS B 9703 2000 ISO 13850 機械類の安全性 非常停止 設計原則ISO 13850 2006-11 JIS B 9703 2000-11
ISO 13850 Ed1.0:1996
機械類の安全性 非常停止 設計原則
ISO 13856-3 2006-10 - - 機械類の安全性 感圧保護装置 第三部:感圧バンパ・プレート・ワイヤ及び類似のデバイスの設計及び試験の一般原則
ISO 14118 2000-09 JIS B 9714 2006-2
ISO 14118 Ed 0 2000
機械類の安全性 予期しない起動の防止
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
12 Ed1.0:2000ISO 14121-1 2007-08 JIS B 9702 2000 ISO 14121-1:1999 機械類の安全性 リスクアセスメント 第一部:原則
15. IEC 61508規格の特徴
● システム全体の機能安全 (確率論)
● 電気・電子・プログラマブル電子の安全技術指針
● 全ての産業に適用した安全ライフサイクル活動● 全ての産業に適用した安全ライフサイクル活動
● 安全度水準(SIL1~4)に応じた技法
SIL⇒Safety Integrity Level
● 機能安全マネジメント● 機能安全 ネジメント
もともと機能安全は個々の機器の認証をする目的ではないが 顧客の要求
としてはコンポ ネント単体の認証要求がある (不十分な認識)としてはコンポーネント単体の認証要求がある。(不十分な認識)
(大手ユーザーからの誤った要求に端を発しているケースがある)
新しいコンセプトの商品を開発する場合のCSR( C t S i l
ⓒ 2010 Japan Certification Corporation
新しいコンセプトの商品を開発する場合のCSR( Corporate Social Responsibility:企業の社会的責任)を全うするための手段
16. 日本と欧米の安全に対する考え方の違い
日本の考え方 欧米の考え方
・災害は努力で防ぐ ・災害は技術レベルにより起こる災害は努力で防ぐ 災害は技術レベルにより起こる
・災害の主な原因は人 ・人的な対策より技術で対策
・管理・教育・規制強化で安全の確保 ・人は必ず間違いを犯す技 向 安全確保⇒ 技術力向上で安全確保
・災害が発生したら規制を強化 ・事故が発生しても重大災害に至らない技術対策
・安全は基本的に「ただ」 ・安全は基本的に「コスト」がかかる・安全は基本的に「ただ」 ・安全は基本的に「コスト」がかかる
・安全にコストを認め難にくい ・安全にコストをかける
・目に見える「具体的危険」に対して ・危険源を洗い出し,そのリスクを評価し,最低限のコストで対応。起こらないはずの災害対策に,技術的対策をしない
評価に応じてコストをかけて対策をする。⇒ 起こるはずの災害低減に努力をする
・《危険検出型技術》 ・ 《安全検出型技術》見つけた危険をなくす技術 論理的に安全を立証する技術
・度数率(発生件数)重視 ・強度率(重大災害)重視
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
17. 安全と機能安全の概念
機能安全の概念Functional safety:Functional safety:直訳的には、「機能する安全、又は安全を機能させる」意味になります。
安全の概念安全
1.日本の安全の概念は、危険ゼロである。「危害または損傷・損害を被る危険がなく安心な状態」
2 欧州の安全の概念は 危害や危険から保護されていること 安全安全
危険
2.欧州の安全の概念は、危害や危険から保護されていること。「すべての危険を除くことは難しく、高価になる。安全とは、怪我や物的損害の危険性が低く、管理可能であること。」
安全安全塀は、壊れれば修理する (維持管理)。塀を乗り越える危険は、対応できない。(レンガ
は
このことから、「我慢できる危険は残る」と言うことになります。
(を常に積み増す)
Functional Safetyは、「人が危険な状態にならないようにする機能を作り、常にその機能を作動できる状態に保つこと」ということになります
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
能を作動できる状態に保つこと」ということになります。
18. 機能安全の概念
機能安全
F i l f 機能安全と訳されたFunctional safety⇒機能安全と訳された。
NECAの理解
本質安全=機械が人間に危害を及ぼす原因そのものを低減、あるいは除去。(例:鉄道と道路の立体交差)(例 鉄道 道路 体交差)
機能安全=機能的な工夫(安全を確保する機能)を導入して許容できるレベル安全を確保すの安全を確保する。
(例:踏み切りの警報機・遮断機)絶対安全ではないが許容出来るレベル
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
19. 機能安全の概念
機能による安全危険となる事象から守るための機能を追加し 機能による危険となる事象から守るための機能を追加し、機能による安全を確保。 (踏み切りの警報機の例)初版のIEC61508は機能による安全 Functional Safetyを初版の は機能 よる安全 yを
示している。
機能の安全製品の機能が壊れないこと。
が 故障し も安全が維持 きる対策万が一故障しても安全が維持できる対策。第2版では、Safety integrity function と言う用語が追加。
つまり「機能による安全」と「機能の安全」の両方が求められる。
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
20. IEC61508 の概要(1/2)
電気・電子・プログラマブル電子安全関連系の機能安全
第0部:機能安全とIEC61508機能安全に関する考え方を例で解説している。更に、安全関連システム、技法、
SILについて概説している。(規格に含まない)
第1部:一般要求事項機能安全に関する基本的な考え方がまとめられている。管理及び技術上の要求
SILについて概説している。(規格に含まない)
機能安全に関する基本的な考え方がまとめられている。管理及び技術上の要求事項をまとめた、機能安全管理、理念、設計、改修、廃却にわたる全安全ライフサイクル、リスク管理、安全度水準、適合性確認などを規定している。第2版では、「セキュリティ脅威に関し、その脅威が危惧される場合は、分析が必要」が追記された。
第2部:電気・電子・プログラマブル電子安全関連に関する要求事項E/E/PESのハードウエアに対する要求事項を規定しているE/E/PESのハ ドウエアに対する要求事項を規定している。
・ルート1H(SFFとHFT方式)、ルート2H(十分信憑性のある信頼性データ使用)の方
法のどちらかの遵守を規定
・ASICの要求事項を規定
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
21. IEC61508の概要(2/2)
第3部:ソフトウエア要求事項・E/E/PESのソフトウエアに対する要求事項をまとめている。OSからアプリケーションまE/E/PESのソフトウ アに対する要求事項をまとめている。OSからアプリケ ションま
で安全度水準に応じたソフトウエアの利用を要求している。
・ルート1S(決定論的故障を回避する要求事項に準拠),2S(使用実績のあるものを流用
),3S(既存のソフトを使用)の3方法への準拠を規定
ビ・安全要求事項のトレーサビリティを規定
第4部:用語の定義および略語・機能安全に関する用語の定義をしている・機能安全に関する用語の定義をしている。
第5部:安全度水準決定方法の事例・安全関連系の信頼度、すなわち安全水準(SIL)を解析 で求める事例を紹介している。
第6部:第2部、第3部の適用指針・プログラムブル電子系の信頼度を、アーキテクチャ構成を基に算出している 例を紹介している介している。
第7部:技術および手法の概念第2部 第3部に関係する安全技術 手法の説明と紹介をしている
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
第2部、第3部に関係する安全技術・手法の説明と紹介をしている。
22. IEC61508の要求事項
機能安全管理:設計 製造の工程内で安全が作りこまれること。設計、製造の工程内で安全が作りこまれること。文書管理、組織管理、安全監査、工程管理、コミニュケーションなど
ハードウェア要求事項:安全要求事項を達成できるハードウェアであること。冗長化、多様化、安全度に応じた危険側故障率の低減、妥当性確認等
ソフトウェア要求事項:安全要求事項を達成できるソフトウェアの作り方であること.。安全要求事項を達成できるソフトウ アの作り方である と 。Vモデルに従った検証や妥当性確認の実施、安全度に応じた技法の採用、異常発生時安全状態に移行できる仕組み等
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
23. 全安全ライフサイクル
1 概 念
2 全般的適用範囲の定義システムの把握とリスク分析
3 危険及びリスク解析
4 全般的安全要求事項
リスク分析
安全要求仕全ての計
安全要求仕様を達成する開発
5 安全要求事項の割当て
全般的計画 安全関連外部のリスク
様の設定全ての計画の作成
6 全般的
運転及び
保守計画
7 全般的
安全有効性
確認計画
8 全般的
据付け及び
立ち上げ計画
9 システム:
E/E/PES
10 実現
( E/E/PES安全性
ライフサイクルを
11外部のリスク
軽減設備
実現
第2版では 全安全ライフ参照)
12 全般的据付け及び立ち上げ
適切な全般的安全性
設置から廃却
第2版では、全安全ライフサイクルに入れられた。
13 全般的安全妥当性確認
14 全般的運転、保守及び修理 15 全般的変更及びレトロフィット
適切な全般的安全性ライフサイクルフェーズに戻る
全ての工程において文書で
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
16 廃止措置又は廃棄処理
全般的安全ライフサイクル(IEC61508-1:1998より抜粋)
注:10と11は、IEC61508の適用範囲外
全ての工程において文書で明確化することで安全性を向上。
しかし非常に大変な作業。
24. 機能安全の要素
要素 主な実施事項要素 主な実施事項
1 管理 全安全ライフサイクルの管理運営
文書管理:安全に関係する必要情報 仕様書の管理運営:
組織の運営、人員配置、機能安全監査
安全に関係する必要情報・仕様書、ハードウェア・ソフトウェアの検証、妥当性確認関する計画書、仕様書・試験結果
2 資質 経験 技術的知識 教育訓練2 資質 経験、技術的知識、教育訓練
3 技術 リスク評価、安全度水準(SIL)と割り当て方法、回路設計、ソフウ 設計 キ ク ダ 故障対策 決定論的トウェア設計、アーキテクチャ、ランダム故障対策、決定論的
故障対策、
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
25. 機能安全管理の必要事項
機能安全管理(6章)
1 機能安全達成方針、方策は、その達成度評価方法、組織内コミュニケーションの確立
2 E/E/PE安全関連系、ソフトウェアの安全ライフサイクル各フェイズ実施、見直し担当の明確化(人員・部門・組織)
3 関連部署間のコミニュケーションの手順とその内容の明確化
4 迅速なフォローと推奨方策(危険源 危険解析 機能安全評価 検証 妥当性確認 など)の手順の確立4 迅速なフォローと推奨方策(危険源、危険解析、機能安全評価、検証、妥当性確認、など)の手順の確立
5 検出された全危険源事象を解析し、その最少発現頻度を提示。
6 定期機能安全監査は、監査の周期、独立性、必要文書とフォローする事象の明示する
7 修正開始のやり方、承認、権限の手順の確立
8 危険源と危険事象と安全関連系にかかわる正確な情報の保守手順の確立
9 ライフサイクルにおけるE/E/PE安全関連系の構成管理の手順(特に、形式手順、独自方法、無権限事項の対応)の確立
10 緊急時の訓練及び情報に関する規定運用
11 E/E/PE安全関連系、ソフトのライフサイクルの担当は、規格記載の管理手法、技法、評価法を選択実施する。
12 関連する担当者の訓練、技術的力量、知識が適切であること。
13担当者の適切な能力は、特定のアプリケーションで考慮。(信頼度、管理度、経歴、指摘能力、結果の大きな潜在危険、安全度水準、新設計の問題点、使用実績)、技術知識、安全技術知識
14 責任をもつすべての人の能力は、文書化する。
15 方針 方策の達成度 担当者の能力は 監視される
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
15 方針、方策の達成度、担当者の能力は、監視される
16安全関連系、ソフトのライフサイクルの工程にモノ、サービスを提供するサプライヤーは適切な品質管理システムが必要機能安全の管理に関する活動は、全E/E/PEシステムとソフトウェア安全性ライフサイクルの関連した段階で適用される。
26. 安全度水準要求仕様
ISO9000シリーズ 安全関連のプロセスを含めるシリ ズ準拠のプロセス
安全関連のプロセスを含める。例えば・安全要求事項の抽出、仕様書・リスクアセスメントの実施、文書化リスクアセスメントの実施、文書化・人員の割り当て、技量の把握、教育訓練計画、文書化・安全関連機器開発の手順書、関連業務の規定の整備・安全監査の手順、位置づけ・・
始動、自動運転、再設定 運転停止
更に・異常時の動作、処置・運転条件、制限・EUCと設備機器とのタイミング
手動運転、---再設定、運転停止、保守保全
使用のための準備
合理的に予見可能な異常状態の想定ハードとソフトの関連を文書化
1.----2.*****3.+++++
と設備機器とのタイミング・---
ⓒ 2010 Japan Certification Corporation
・プログラム作成・パラメータ設定・----
関連を文書化
安全要求仕様書安全要求事項
27 リスクアセスメント
機能安全のSILは,が
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
リスクアセスメントが出発点
28. 安全関連系(SRS)と安全度水準(SIL)
潜在危険/リスク評価
E/E/PES安全関連系にSIL割り当て
安全関連系の実現安全関連系の実現
ハードウェア設計 ソフトウェア設計
ランダム故障 決定論的故障 決定論的故障
ハ ドウェア設計 ソフトウ ア設計
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
29. 安全要求仕様項目
1. リスクアセスメントより安全機能と目標SILを決める。2. 安全機能実施のハードウェア/ソフトウェア分担と実現方法を決める。
ア キテクチ 冗長化 多様化 耐久試験間隔 平均修理時間アーキテクチャ:冗長化,多様化、耐久試験間隔、平均修理時間
3. 危険側故障の起きた時安全状態へ移行する方法
4. 妥当性試験の計画立案 (試験方法を考慮した設計をする。)使用環境を想定した極端な環境状態(電磁環境、温湿度、機械的、電気的)条件を考慮する。
5. 安全管理に必要となる品質保証/品質管理の明確化部品 装置の供給者(サプライヤ)も対応必要
安全要求仕様書
部品、装置の供給者(サプライヤ)も対応必要
安全度水準(SIL)
「低頻度」作動要求モ ド
「高頻度」作動要求モ ドまたは連続
安全機能の・安全度レベル・目標とする故障率
安全度(SIL)
環境による外乱の強さの
・安全度;SIL3・故障率: 10-8~10-7
高需要モ ド準(SIL) モード モードまたは連続モードPFD(Probability of
Failure on Demand)
1 ≧10-2 to <10-1 ≧10-6 to <10-5
2 ≧10-3 to <10-2 ≧10-7 to <10-6
3 ≧10-4 to <10-3 ≧10-8 to <10-7
耐久試験をする条件・Max:AC120V
・温度;外気温;45度C
1
環境による外乱の強さの分布
想定できる極端な条件を設定:
・高需要モード極端な環境
夏、盤内温度 70度
4 ≧10-5 to <10-4 ≧10-9 to <10-81.----2.****
3.+++++
試験水準1
定共通原因故
障による故障の最小化
アーキテクチャ HFT
ⓒ 2010 Japan Certification Corporation
使用環境を想定した極端な環境状態試験水準2
30. 安全度(SIL(Safety Integrity Level))とは
SIL(Safety Integrity Level)とは、安全度と呼ばれています。これは、システムの安全性を表す尺度で、SIL1からSIL4まで4段れは、シ テ の安全性を表す尺度で、 から まで 段階定められ、SIL4が最高の安全度です。
安全度レベル 「低頻度」作動要求モード 「高頻度」作動要求モードまたは連続モード(SIL) (PFH :Average frequency of a dangerous
failure of the safety function [h-1])PFD(Probability of Failure on Demand)
1 ≧10-2 t <10-1 ≧10-6 t <10-51 ≧10 2 to <10 1 ≧10 6 to <10 5
2 ≧10-3 to <10-2 ≧10-7 to <10-6
3 ≧10-4 to <10-3 ≧10-8 to <10-7
4 ≧10-5 to <10-4 ≧10-9 to <10-8
例えば車ブレーキ
エアバッグ単位;回数
単位;1/時間
人が被る危害、その結果の障害の酷さの程度に対し、人を守る機能(安
エアバッグSILは、
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
全機能)を組み込んだ機器、設備の達成すべき信頼性レベルのことです。
31. ハードウェアの故障許容(HFT)レベル
安全関連要素やサブシステムに適用できる最大のSIL値
故障が起きた時に正常であるハ ドウ アチハードウェアチャンネル数
ⓒ 2010 Japan Certification Corporation
32. SIL達成について(1/2)
故障:ランダム故障、決定論的原因故障、共通原因故障
回路設計
ハードウェア ソフトウェア
組み込みソフトウ ア シス回路設計、
ASIC等部品、材料等
ランダム故障 決定論的原因
組み込みソフトウェア、システムソフトウェア等
安全側故障 危険側故障
達成 方策
ランダム故障 決定論的原因
故障決定論的原因故障
SIL達成の方策
危険側故障を減らす ソフトウェアに求められる技法を採用する。ウ 求 る技法を採用する。
1.冗長化、多様化 1.Vモデルによる検証、妥当性確認
2.自己診断率の向上 2.文書化による誤仕様の防止
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
3.信頼性の高い部品の採用 3.管理による誤仕様、ミスの防止
33. SILの達成について(2/2)
回路設計、ASIC等
ソフトウェア
組み込みソフトウェア、システムソフトウェア等
部品、材料等
ハードウェア
等
安全側故障 危険側故障
ソ トウ ア等
決定論的故障ランダム故障
決定論的故障
ハードウェア/ソフトウェアハードウェアのSILはランダム故障低減方策で対応する
ハ ドウェア/ソフトウェアの決定論的原因故障に
対応するSILは全安全ライフサイクルで対応する
ソフトウェアによる
ドウSIL 低頻度作動要求モ-ト 高頻度作動要求又は連続モード
4 10-5以上10-4未満 10-9以上10-8未満
3 10-4以上10-3未満 10-8以上10-7未満
2 10-3以上10-2未満 10-7以上10-6未満
1 10-2以上10-1未満 10-6以上10-5未満
ハードウェア故障の診断
1 10 以上10 未満 10 以上10 未満
リスクアセスメントで目標値を決める
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
34. 安全故障率割合:SFF(Safe Failure Fraction)
SFFとは、安全関連系装置の故障の内、発見できない危険側故障率を除いた故障率の割合である障率を除いた故障率の割合である
SFF=(λs+λDD)/(λs+λDD+λDU)(λ )/(λ λ )DC=(λDD)/(λDD+λDU)
SFFを大きくすればSFFを大きくすれば、SIL2,3にしやすくなる
SFFは危険側故障のλs=λSD+λSU
S は危険側故障のλDUを少なくすれば、大きくなる
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
35. SILの決め方(FMEDA) (Failure Modes, Effects and Diagnostic Analysis)
FMEDA表 λDU=if(10列=“D”,5列×6列×7列×9列,0)
tcE:チャンネル等価平均不
1 2 3
1oo2D
PFHG = 2(1−β)λDU(1−β)λDU+(1−βD)・
λDD+λSD tCE'+2(1−β)λDD+βλDU
MooNM≦N
N
1 PFH = λPFHG = 6(1−βD)λDD+(1−β)・
tcE:チャンネル等価平均不動作時間
tcE’:選択グループ等価平均不動作時間
1oo2
PFHG = 2((1−βD)λDD+(1−β)λDU)・
(1−β)λDUtCE+βλDU
2 - PFHG = 2λDU
PFHG = 6((1−βD)λDD+(1−β)・
λDU(1−β)λDUtCE+βλDU
M
1 PFHG = λDUλDU )
2(1−β)λDU tCEtGE +βλDUtcE’:チャンネル等価平
均不動作時間
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
ハードウェアフォルトトレランス(HFT)を加味し、PHD,PFH値をSILに換算
3 - - PFHG = 3λDUT1:プルーフテスト間隔(H) MTTR:平均修復時間 MRT:平均修理時間
36. 普通の回路はどれくらいのSILになるのか?
仮定条件1.工作機械のモータドライブを制御している。2.非常停止が入力していて、非常停止の時、ドライブ信号を遮断する機能がある。2.非常停止が入力していて、非常停止の時、ドライブ信号を遮断する機能がある。3.A4くらいの電子制御プリント板4.部品点数は、約500個(抵抗、コンデンサ、トランジスタ、IC、マイコン、メモリ等)5.安全対策は行っていない。(アーキテクチャ:1oo1)6 自己診断は行 ていない DC 06.自己診断は行っていない。DC=0
a.プリント板内の部品が壊れた時(ランダム故障)、ドライブ信号を遮断するかしないかは50%の確率である。
b.部品の寿命は、すべて5FITと仮定する。FIT=10-9/Hc.高頻度作動要求又は連続モードでの使用
PFH=λDU であるので
診断回路がないので、危険側故障はすべて発見できな
PFH=λDU であるので、λDU=5FIT×500個×50%=1250×10-9=1.3×10-6
SIL2:10-7以上10-6未満 この値の改善は、λDU値を小さくする。
い故障。即ちλDU
SIL2:10 以上10 未満SIL1:10-6以上10-5未満 1.自己診断率を向上する。
2.回路を冗長化する。3.信頼性の高い部品を使用する。
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
共通原因故障(CCF)の対策が必要
37. 共通原因故障(CCF)
チャンネルA:λ
λI= 3λ2TP
チャンネルA:λ
チャンネルB:λ 共通原因故障(CCF)2oo3TP:プルーフテスト間隔
チャンネルC:λ
共通原因故障(CCF)2oo3
IEC61508-6:Table D.1 – Scoring programmable electronics or sensors/final elementsのスコアでβ値を求める
冗長系を組んでいても、ある特定の原因で複数のチャンネル
or sensors/final elementsのスコアでβ値を求める
定 原因 複数 ャに同時に故障を引き起こすことがある。これを共通原因故障(Common Cause Failure:CCF)という。Ex.直接的故障原因としては、電源不良、ノイズ、温湿度などがあり、それらを引き起こす要因としては、設計のやり方、試
構成 通常値 典型的な範囲
同一チャンネんルによる冗長系 β=20% 5~25%
部分的に異なる冗長系 β
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
起こす要因としては、設計のやり方、試験の確認方法、機器の配置、設計者、保守者の資質などがある。
部分的に異なる冗長系 β=2% 0.1~10%
完全に異なる冗長系 β=0.2%
38. スコア表評価項目
評価項目 論理部得点
I/O部得点
コメント 設計方法
装置関連
運用関連
1 分離/隔離 10 10 配線分離/制御盤収納 10
2 多様性/冗長性 20 20 設計の方式、試験方法、保守方法、制御方式の2重化、多重化
16 4
3 複雑さ/設計/運用/成熟度/経験
10 10 安全情報の分離、使用実績、安全機器の単純性、定格の余裕度
4 6
4 評価データの解析とフィ ドバック
10 10 故障情報の再利用度、再発防止の仕組み
10フィードバック 防止の仕組み
5 手順ヒューマンインターフェース
10 10 故障検出の仕組みの完全度、保守手順の完成度、ポカよけの程度、診断率の程度
10
6 適正/訓練/セーフ 10 10 設計者、保守者の訓練、理解 106 適正/訓練/セ フティカルチャー
10 10 設計者、保守者の訓練、理解度向上
10
7 環境制御 10 10 要員の機密管理、環境試験と実環境の差、信号配線の独立性
3 7
8 環境試験 20 20 EMC,EMI、ESDのレベルの適正
10
機器の特性や性能評価ではない。機 設計方法 防 方策対応
ⓒ 2010 Japan Certification Corporation
1.機器の設計方法やヒューマンエラー防止の方策対応2.運用、使い方、エラーの再発防止の仕組みなど、プロセスの評価
39
39. IEC61508のCCF評価のスコア表の例
ⓒ 2010 Japan Certification Corporation
100点満点:スコアの点数で共通原因故障の起こりにくさを評価
40. 全安全ライフサイクル
1 概 念
2 全般的適用範囲の定義システムの把握とリスク分析
3 危険及びリスク解析
4 全般的安全要求事項
リスク分析
安全要求仕全ての計
安全要求仕様を達成する開発
5 安全要求事項の割当て
全般的計画 安全関連外部のリスク
様の設定全ての計画の作成
6 全般的
運転及び
保守計画
7 全般的
安全有効性
確認計画
8 全般的
据付け及び
立ち上げ計画
9 システム:
E/E/PES
10 実現
( E/E/PES安全性
ライフサイクルを
11外部のリスク
軽減設備
実現
第2版では 全安全ライフ参照)
12 全般的据付け及び立ち上げ
適切な全般的安全性
設置から廃却
第2版では、全安全ライフサイクルに入れられた。
13 全般的安全有効性確認
14 全般的運転、保守及び修理 15 全般的変更及びレトロフィット
適切な全般的安全性ライフサイクルフェーズに戻る
全工程の作業の計画、結果を文書で
ⓒ 2010 Japan Certification Corporation
16 廃止措置又は廃棄処理
全般的安全ライフサイクル(IEC61508-1:1998より抜粋)
注:10と11は、IEC61508の適用範囲外
全工程の作業の計画、結果を文書で明確化することで工程内安全性を維持、しかし非常に大変な地道な作業。
41. ソフトウェア安全ライフサイクル
フェーズ10内のソフトウェア実現フェーズ
ⓒ 2010 Japan Certification Corporation
12 全般的据付け及び立ち上げ 14 全般的運転、保守及び修理
42. IEC61508 の概要・Vモデル
OUT
ININ
検証、適合確認
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
43. SILへの対応 (ソフトウェア)(1/2)
ソフトウェアのSILは形式手法目標とするSILに応じた手法を実施する。目標とする に応じた手法を実施する。その技術的手法は、IEC61508-3,7に記述されている。
安全関連系のE/E/PESでSIL3が必要であれば、このSIL3のHRの技法を実施する
Software safety requirements specification(See 7.2)
Ref. SIL1 SIL2 SIL3 SIL41a Semi-formal methods TablTable B 7 R R HR HR
Technique/Measure*技法
SIL3のHRの技法を実施する。
1a Semi-formal methods TablTable B.7 R R HR HR1b Formal methods B.2.2,C.2.4 --- R R HR
2
3 C.2.11 R R HR HR
C.2.11 R R HR HRForward traceability between the system safetyrequirements and the software safetyBackward traceability between the safetyrequirements and the perceived safety needs
4 B.2.4 R R HR HR
NOTE 2 The table reflects additional requirements for specifying the software safety requirements clearly and
requirements and the perceived safety needsComputer-aided specification tools to supportappropriate techniques/measures above
NOTE 1 The software safety requirements specification will always require a description of the problem innatural language and any necessary mathematical notation that reflects the application.
NOTE 3 See Table C.1.
NOTE 2 The table reflects additional requirements for specifying the software safety requirements clearly andprecisely.
NOTE 4 The references (which are informative, not normative) “B.x.x.x”, “C.x.x.x” in column 3 (Ref.) indicatedetailed descriptions of techniques/measures given in Annexes B and C of IEC 61508-7.* Appropriate techniques/measures shall be selected according to the safety integrity level Alternate or
形式的手法とは,数学における論理学・集合論・代数学などを基盤としたシステムの記述手法や検証手法などの総称
ⓒ 2010 Japan Certification Corporation
* Appropriate techniques/measures shall be selected according to the safety integrity level. Alternate orequivalent techniques/measures are indicated by a letter following the number. It is intended the only one of thealternate or equivalent techniques/measures should be satisfied. The choice of alternative technique should bejustified in accordance with the properties, given in Annex C, desirable in the particular application.
手法などの総称LDRAなどのチェックソフトで実行することになる。
44. SILへの対応(ソフトウェア)(2/2)
T bl C 1 R d i f ifi i l
IEC61508-7にSILに対応したソフトウェア言語の指針がある。下の表のHRが使用した方がよい言語である。
No. Programming language SIL1 SIL2 SIL3 SIL4
1 ADA HR HR R 2 ADA with subset HR HR HR HR3 Java NR NR NR NR
Table C.1 – Recommendations for specific programming languages
3 Java NR NR NR NR
4
Java with subset (including either no garbage collection orgarbage collection which will not cause the application code tostop for a significant period of time). See Annex G for guidance onuse of object oriented facilities.
R R NR NR
5 PASCAL ( N 1) HR HR R R5 PASCAL (see Note 1) HR HR R R6 PASCAL with subset HR HR HR HR7 FORTRAN 77 R R R R8 FORTRAN 77 with subset HR HR HR HR9 C R - NR NR
10 C with subset and coding standard and use of static analysistools
HR HR HR HR
11 C++ (see Annex G for guidance on use of object orientedfacilities)
R - NR NR
C++ with subset and coding standard, and use of static analysis12
C with subset and coding standard, and use of static analysistools (see Annex G for guidance on use of object orientedfacilities)
HR HR HR HR
13 Assembler R R - -14 Assembler with subset and coding standard R R R R15 Ladder diagrams R R R R
ⓒ 2010 Japan Certification Corporation
15 Ladder diagrams R R R R16 Ladder diagram with defined subset of language HR HR HR HR
45. ソフトウェア妥当性確認テスト文書
次の結果を文書化する次の結果を文書化する
1. 妥当性確認活動の時系列記録;1. 妥当性確認活動の時系列記録;2. 実施中のソフトウェア安全妥当性確認の計画仕
様のバージョン様の ジョン3. ソフトウェア安全確認計画に従った妥当性確認中
(テストや解析により)の安全機能(テストや解析により)の安全機能4. 使われているツール及び機器とその校正データ5. 妥当性確認活動の結果;5. 妥当性確認活動の結果;6. 予想された結果と実際の結果の違い
ⓒ 2010 Japan Certification Corporation
46.ソフトウェアの妥当性確認テスト文書
妥当性確認結果における要求事項:
1. テストはソフトウェアの安全要求事項の全てが正しく実行され ソフトウェアシステムが意図されない機能実行され、ソフトウェアシステムが意図されない機能を実行しないことを示さねばならない;
2 テストケ ス及びその結果はSILで要求されているよ2. テストケース及びその結果はSILで要求されているような解析や独立的査定によって文書化する
3 ソフトウェア安全妥当性確認の結果の文書化は 以3. ソフトウェア安全妥当性確認の結果の文書化は、以下を記載する。ソフトウェアが妥当性確認をパスしたこと 又は- ソフトウェアが妥当性確認をパスしたこと、又は
- その失敗の理由
ⓒ 2010 Japan Certification Corporation
47. 表B.5の適切な技法
IEC61508-2のB.5表機能試験環境条件下での機能試験妨害的サージ耐性試験妨害的サ ジ耐性試験故障埋め込み試験(診断率が90%の時)
ⓒ 2010 Japan Certification Corporation
48. 妥当性確認試験
1. 設置後にしかできないこともあるが、原則、設置の前に行う。2. プログラム可能な電子安全関連システムの確認は、ハードとソフトの両方を行う。3 テストに使用される測定機器はトレーサビリティが必要である3. テストに使用される測定機器はトレーサビリティが必要である。4. 個々の安全機能は、安全要求事項通りか、テストや分析、機能の動作で確認する。5. 文書は、以下の項目を入れて作成される。
a)現在の妥当性認計画のバージョンb)妥当性認計画に従ったテストが行われた安全機能c)データ較正された、使用したれたツールと装置d)各々の試験結果e)期待と実際の結果の相違e)期待と実際の結果の相違
6. 結果が期待と違った時、分析結果とテストの続行、変更、前段階に戻るかの決定を文書化する。7. 妥当性確認試験結果をEUCやEUCを使った設備開発者が利用できるようにする。8. 妥当性確認の誤りを避けるため、表B.5の適切な技法を使用する。
安全要求仕様書に従った耐久試験M AC120V
妥当性確認試験に必要な機器類、校正確認、試験機器のトレーサビリティ、試験手順、合格範囲、合否判定、試験できなかった部分の対応等
単体試験 結合試験 統合試験
妥当性確認計画仕様通りか確認する
・Max:AC120V・音頭;外気温;45度C・安全度;SIL3
・故障限度: 10-8~10-7
・高需要モード極端な環境
夏、盤内温度 70度
単体試験 結合試験 統合試験試験機器 安全機能や他の機能との連結
ⓒ 2010 Japan Certification Corporation
安全要求仕様書 システムとして総合運転
単一安全機能
試験機器
49.妥当性確認テストツール
ツール適正化要求事項
1. 妥当性確認に使用されている全ての機器は(もし可能であれば)国際基準、又は(もし可能であれば)国内基準に、又は良く知られた手順に従って適格なト
ビレーサビリティが必要である2. ソフトウェア妥当性確認に使用される機器はその確
び認に適切であると判定でき、またハードウェア及びソフトウェア共に使われるいかなるツールもその目的
適 ばに適切であることを示さねばならない
ⓒ 2010 Japan Certification Corporation
50.改修/改造の要求事項
文書化要求事項:
1. 改修や旧型装置の改造要求(何を改造するのか;改造仕様 文書化)造仕様の文書化)
2 機能安全に関するソフトウェア改修の影響度の解析2. 機能安全に関するソフトウェア改修の影響度の解析の結果、及び正しいと判断した根拠と関連事項
3 ソフトウェア構成管理の履歴3. ソフトウェア構成管理の履歴
4. 通常の運用や状態からの逸脱;
5. 改修活動に影響される全ての文書情報
ⓒ 2010 Japan Certification Corporation
51. グローバル化時代における規格と認証
格規格国際規格国際規格
認証国際認証
ⓒ 2010 Japan Certification Corporation
52.機能安全の理解を深めよう
【絶対安全は存在しない】【絶対安全は存在しない】
○ 事故は何故起きる?○ 事故は何故起きる?
○ 事故の根本原因は?○ 事故の根本原因は
技術的要因
ば安全組織的要因
個人的要因
これらを規定しなければ安全は守れない
○ 事故を防ぐ最善の方策は?
ⓒ 2010 Japan Certification Corporation
○ 事故を防ぐ最善の方策は?
53.これからの製造業が目指す生産現場
災害ゼロ ⇒ 危険ゼロ・作業者責任・教育訓練・指示徹底
・企業責任・本質安全・リスクアセスメント
安全の考え方
・指示徹底 ・リスクアセスメント
今まで
これから 移行中
ⓒ 2010 Japan Certification Corporation
54. 認証申請と認証機関との関連
国ISOIEC
登録 認定
認証機関
認証機関 例:
認証機関(第三者)
TÜV Rheinland
TÜV SUD
BVBV (Bureau Veritas)
JQA *1
認証取得の為のンサル及び
JC
認証依頼提供
認証依頼情報提供
JET *2
Etc.
コンサル及び各種試験の指導
情報提供 情報提供
メーカー(第一者) 製品提供
ユーザー(第二者)
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
(第 者) 製品提供 (第 者)
*1:JQA 財団法人日本品質保証機構 (Japan Quality Assurance Organization)
*2:JET 財団法人電気安全環境研究所 (Japan Electrical Safety & Environment Technology Laboratories)
55. 認証申請への心準備
1、規格書の要求事項と自社製品との整合が必要。
規格書に記述されていない背景を読みとること。(木を見るか森を見るか)
2 日本 規定 規制は上から強制力を持 て指示 (慣れ)2、日本⇒規定・規制は上から強制力を持って指示。(慣れ)
EUなど⇒任意規格・制度などが各国の代表者によって審議後 に規格化される。
3、安全関連機器においては安全要求を満足する為、可能な限り
最新技術を取り入れ、最大限の設計、製作努力を要求される。
4 事故が発生した場合 その努力の度合いがPL訴訟の軽重を4、事故が発生した場合、その努力の度合いがPL訴訟の軽重を
決める。 (努力が怠っていると判断されると責任回避が困難)
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
56.安全認証について
回路設計、ASIC等
ソフトウェア
組み込みソフトウェア、システムソフトウェア等
部品、材料等
ランダム故障
ハードウェア
安全側故障 危険側故障 決定論的故障決定論的故障
検出不可危険側故障:λDU
検出可危険側故障:λDD
安全関連機器のハードウェアの検出できない危険側故障率を求める。危険側故障率= Σλ
安全関連1.ソフト開発工程管理(Vモデル)2 文書管理危険側故障率= ΣλDU , 2.文書管理3.組織
FMEDAで達成すべき安全レベルが決まる ソフトウェア開発工程
SIL 低頻度作動要求モ-ト 高頻度作動要求又は連続モード
4 10-5以上10-4未満 10-9以上10-8未満
3 10-4以上10-3未満 10-8以上10-7未満
2 10-3以上10-2未満 10-7以上10-6未満
FMEDAで達成すべき安全レベルが決まる
PFD、PFHの算出
ⓒ 2010 Japan Certification Corporation
2 10 3以上10 2未満 10 7以上10 6未満
1 10-2以上10-1未満 10-6以上10-5未満の算出
PFD:低頻度作動要求モード PFH:高頻度・連続作動 要求モード
文章管理
57
57. 世界の認証機関及びマーク
【中国】【フィンランド】【スウェーデン】【ノルウェー】【デンマーク】【英国】
【オランダ】
Lloyd’s China
Compulsory C ifi i
NEMKO SEMKO FIMKODEMKODNV【カナダ】
CSA
Certification
【デンマーク】
UL
【デンマーク】
FM ABS
【米国】
ⓒ 2010 Japan Certification Corporation
TUVSUD TÜV Rheinland VDE BG Germanischer Lloyd【ドイツ】
SUVA
【スイス】
BV【仏】
58. 世界の認証機関
ChinaFinlandSwedenNorwayDenmarkUK The Netherlands
Lloyd’sChina Compulsory Certification
NEMKO SEMKO FIMKODEMKODNVCanada
CSA
FM ABS
UL 日本には世界に通用する認証機関がない!FM S
USA
認証機関 な
TÜV TÜV Rheinland VDE BG Germanischer Ll d
SUVA BV
ⓒ 2010 Japan Certification Corporation
PRODUCT SERVICE
Lloyd
GermanySwitzerland France
59.機能安全認証業務のステップ(実例)
1,KOM (Kick off Meeting) 初回会議:進め方と認証内容の確認
2,SRS (Safety Requirement Step) 安全関連系の仕様(書)の説明2,SRS (Safety Requirement Step) 安全関連系の仕様(書)の説明
3,SC (Safety Concept) 安全方針と展開方法
4,Verification Test Report Plan 検証試験計画, p 検
5,FMEA (Failure Mode Effect Analysis ) FMEAによる故障解析とPFD,PFH算出
6,FMS (Functional Safety Management) 機能安全管理、方法、関連組織説明
7,Test Plan (この段階で故障解析などを提起する) 検証、及び妥当性確認試験計画
8,Test Set Up 試験の開始(試験装置、試験制御方法)
9,Test 試験の実施(試験結果の再現性)
10,機能安全分析 試験結果不適合時の安全機能の分析
11,VaridationTest Report 妥当性確認試験結果の文書化
12,工場監査 製造工程、品質管理の監査
ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation
12,Certficate 認証書発行
60. JCのサポート
( ) 認証(4) 認証
証明書(3) 試験
試験レポート(2) 代行
(1) 製品レビュー(製品仕様 チェック)
が現在提供出来るサ ビ
認証機関で実施されている
試験業務を取り込む
特定分野においては試験プラン(試験認証用資料作成)
:JCが現在提供出来るサービス
:JC提供予定のサービス
特定分野においてはすでにJCが100%
のサポートをしている。
:認証機関業務
。Ex=船級
ⓒ 2010 Japan Certification Corporation
認証の流れ
維持の場合、(1)→(2)→(3)→(4)…のサイクルを回す。
お疲れ様でしたお疲れ様でした。
ご静聴
ありがとう
ございましたございました。
日本認証株式会社日本認証株式会社http://www.japan-certification.com/
Japan Certification Corporation 62Japan Certification Corporation 62