【自動車機能安全】ISO 26262寄稿シリーズ(2) : とりあえず、知っておこう!機能安全–本質安全と機能安全

松土 達哉 LRQA ジャパン機能安全グループ・マネジャー

松土 達哉
LRQA ジャパン機能安全グループ・マネジャー 


ISO 26262寄稿シリーズでは、ISO 26262に関する一般的な解説や注意点、多くの方が抱く、ちょっとした疑問点などを痒いところに手が届くような解説していきたいと思っています。もし、これを読んで頂いている方で、痒いところ(ちょっとした疑問点など)がありましたら、ご気軽にご連絡ください。また、弊社あるいは外部団体で実施したセミナー、教育研修、イベントの情報など、ISO 26262や機能安全などに関連する記事を載せたいと思います。

今回は、ISO 26262への導入として、いまさらですが機能安全について解説したいと思います。


実は、先日、とある団体が主催するの「機能安全の基礎」というセミナーに参加してきました。各分野で著名なメーカーのエンジニアの方や、著名な大学教授の方々が、ご講演されました。各講演者が「機能安全とは、・・・・。」と解説され、どれも、なるほどこういう考え方・捉え方もあるのかと、非常に興味深かったです。 

一方で、「機能安全は、非常に難しく、理解が大変…。」、「機能安全は、そんなに難しいことではない…。」、「機能安全は、おなじみの踏み切りと立体交差の例の通りです…。」という方など、「機能安全って何?」と感じてしまうような場面もありました。 

私も、前職でIEC 61508、LRQAでISO 26262に関わり、多少、機能安全や機能安全規格に対して自分なりの理解をもっていますので、それをご紹介します。(といっても私の理解は、他の著名な方の味わい深く高度なものではなく、単純なあっさりしたものです。) 

機能安全を理解する前に、その逆の意味となる本質安全について考えます。

本質安全とは 

「危険源が人間や環境に危害を及ぼす原因、そのものを低減、隔離、あるいは除去して安全を確保すること。」と定義します。

危険源は、危害を与える元を指します。危害を及ぼす原因は、一般的にはハザード(hazard)と言いますが、ここでは、危険源が持っている物理エネルギーやエネルギー密度、エネルギー場を指し、単位、定義など違いますが、ここでは、あえて危険エネルギーと呼びます。表1を見てください。(注意:学問的な厳密な定義とは多少、違います。)

表1 危害を及ぼす原因の種類と低減方法の例 

表1 危害を及ぼす原因の種類と低減方法の例

位置エネルギーとは、例えば、高いところにあるモノは、位置エネルギーが高いため、落下により危害を及ぼす可能性があります位置エネルギーが高い。本質安全的には、低い位置に移せば安全になります。水害という観点で安全を考えると、堤防あるいは、川底より低い場所は、河川の氾濫により水が流入してくる可能性があるので、本質安全的には、堤防あるいは、川底より高い位置に住めば安全になります。 

運動エネルギーに関しては、速度は遅く、重さは軽くすれば、運動エネルギーを小さくすることができます。 

熱エネルギーは、単純に温度を下げれば、本質的に安全になります。

エネルギー密度に関して、本質安全的には、密度を下げればよいので、鋭利な部分を滑らかにしたり、力(衝撃)が加わる時間を長くしたりすることでエネルギー密度を下げることができます。 

(危険)エネルギー場に関しては、危険な場所から離れたり、隔離したりすることで、安全になります。上記の熱エネルギーのような場合、必ずしも、温度を下げることが出来ない場合は、作業者が直接触れることが出来ないように覆いを付加したり、防護柵などを付加したりすることで、隔離して本質的に安全にします。正に、『君子、危うきに近寄らず』です。 以上が、危害を及ぼす原因である危険エネルギーから本質安全を確保する方法の例です。


では、「自動車で本質安全を得る為にはどうすれば良いでしょか?」自動車の場合、もっとも危険な状態は衝突なので、衝突に対する本質安全を得る方法を考えましょう。

簡単ですよね、上記の例の通り、軽くして、速度を落としてやれば良いことになります。

!?

ところで、ヒトやモノに危害を与えない程度の軽さや速度はどの程度でしょうか?

多分、発砲スチロール製の自動車か、歩く速度程度しか出せない自動車になってしまうと思います。そんな自動車は嫌ですよね。

じゃ、どうやって安全な自動車にするか?ここで、やっと機能安全の登場です。

機能安全とは 

「機能的工夫(安全を確保する機能:以下、安全機能)を導入して、許容できるレベルの安全を確保すること。」と定義します。 

前振りが長かった割には、なんか普通ですね。でも、機能安全を語る上で大事なキーワード「許容できるレベルの安全」が登場しました。でも、まだ不十分です。 

私は、機能安全とは、 

「(1)事故(危険事象)による危害の程度、(2)事故(危険事象)の発生頻度、(3)経済性、(4)利便性、(5)現在の技術レベル、(6)商品性を勘案して、機能的工夫(安全を確保する機能:以下、安全機能)を導入して、許容できるレベルの安全を確保すること。」と定義します。

(1)~(6)の事柄を勘案すること、機能的工夫を実施すること、及び許容できるレベルを決めることが重要なポイントとなります。

(1)事故(危険事象)による危害の程度と(2)事故(危険事象)の発生頻度を勘案することは、ハザード分析とリスクアセスメントを実施することを意味します。(3)経済性は、安全対策の実施に必要なお金と時間、及び安全対策自体の開発に必要なお金と時間を意味します。(4)利便性はユーザビリティ を意味します。(6)商品性は商品価値を意味します。(5)現在の技術レベルは、現実的に利用可能な技術を意味します。

次回、(1)~(6)についてもう少し詳しく説明したいと思います。

掲載日:2014年10月20日

Hint

ISO 26262 自動車機能安全

ISO 26262は、機能安全規格の大元であるIEC 61508から派生した自動車分野向けの機能安全規格です。プロセスも製品もISO 26262認証の対象になります。規格説明ページはこちらから。

続きを読む

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【自動車機能安全】ISO 26262寄稿シリーズ(5): ISO 26262の欧州の現状

先日、LRQAの横浜オフィスにLRQAのサポートを受けアジアでのサービスを展開しているMIRA社のデイビッド氏(写真左)と、組込みソフトウェア開発や機能安全規格教育研修の共同開発や実施にご協力頂いている株式会社東陽テクニカの二上氏(写真右)にお越し頂き、ISO 26262関連及びMISRA(Motor Industry Software Reliability Association)に関するミーティングを実施しました。

【鉄道】鉄道産業の現状と国際標準(2):IRIS規格、要求事項の概要

IRIS規格は認証のプロセスと審査方法に特徴があるため、これらの内容を各々第1章及び第2章で説明し、最後の第3章でシステム要求事項(0項~8項)を述べています。さらに、鉄道製品分類を示した『IRIS適用範囲』や、『IRIS審査工数』など、7件の附属書を加えて規格は構成されています。

【自動車】QMSファミリー セクター規格(1): ISO/TS 16949解説

自動車産業では、製品が安全と直結していることから、不良品ゼロが至上命題となっています。ISO 9001に比べ、より高度かつ多角的な品質管理が行える、自動車産業セクター規格ISO/TS 16949の認証取得が求められるようになっているのです。


お問合せ

ロイド レジスター  Lloyd's Register
マネジメントシステム
ジャパン マーケティング チーム  
Tel: 045-670-7447 Fax: 045-682-5289 
E-mail:   LRQA-Japan-Marketing@lrqa.com