IEC 61508
出典: フリー百科事典『ウィキペディア(Wikipedia)』
IEC 61508は、電気・電子・プログラマブル電子安全関連での機能安全に関する国際規格である。その障害によって人命や社会に大きな影響を与えるものなどが対象となる。例えば、輸送機器、化学プラント、医療機器などが相当する。ただし、機械だけで構成された装置は対象外である。国際規格は調達の際の非関税障壁をなくすことと、生産性の向上のために用いるもので、製品単体や組織の認証が目的ではない。規格には、製品(product)、作業(process)及び資源(resource)としてその組織を構成する個人を含むのは他の国際規格と同様である。
IECとは国際電気標準会議のことで、電気関係の国際規格を制定する機関である。IECは、機能安全に関する国際規格IEC 61508を2000年頃に制定している。また,国内ではJIS C 0508「電気・電子・プログラマブル電子安全関連系の機能安全」をFDIS、CDV段階のものを2000年頃に制定している。しかし、JIS C 0508は国際規格と一致していないため、国際取引に用いる場合には、国際規格を参照する必要がある。
機能安全は(Functional Safetyとは),本質安全(固有安全)と対比する思想で,システムの安全を確保する機能を持つ安全系によって,危険(risk)を許容目標へ軽減する設計思想である。
機能安全規格IEC 61508は,プラントやシステムのリスクを軽減するために使用する電気・電子系ならびにコンピュータ(ソフトウェア)の安全性を高めるための規格である。また,これらの設計製造・運用保守・改修廃却に至るライフサイクルにおける安全評価の要求や,組織の機能安全能力審査,安全評価者の独立性及び従事者の資質(compitency)にも触れるなど,安全規格の全体についても記述している。
安全に関わる故障は,決定論的原因故障と,確率論的なランダムハードウェア故障に分類できる。
決定論的原因故障は,設計の誤りや製造ミスなど,主に人間のエラー(失敗)によるもので,これに対しては全安全ライフサイクルの16フェーズにおける安全評価・対策や文書化などによって防ぐこととしている。
一方,ランダムハードウェア故障は,主にハードウェアに関し,部品や材料の劣化などにより起こるものであり,これに対しては,冗長化や多様化によるシステムの信頼性向上や自己診断機能設置などの対策が必要である。また,確率論的リスク解析などによって,全体システムのリスクが許容リスクを下回るようにするために,当該安全装置の安全度水準(SIL=Safety Integrity Level)を決定することとしている。
さらに上記の対策を確実にするために,組織の機能安全評価能力の診断や,組織を構成する個人の資質あるいは行動特性(compitency)を包含する形となっている。
IEC 61508では,安全関連系のハードウェア設計に当って,自己診断技法や,各種故障を抑制する技法,さらに,共通原因故障への対策など多数の具体的な最良の経験(best practice)を提示していて,各々をSILに応じて採用するとよいとしている。
ソフトウェアの故障(不具合)は決定論的原因故障であると考える人たちがいる。ソフトウェアでは故障(不具合)は製作時に組み込まれており,一般のランダムハードウェア故障に対する確率論的なアプローチを採用できないと考える立場である。しかし、ソフトウェアの実行時間は確率論的であり、実行時間の指定が必要なソフトウェアでは決定論的な議論は成立しない。また、ソフトウェアがハードウェアの現象にどのように対応するかは、必ずしも決定論的ではない。例えば、ハードウェアの不具合により、データ、ソフトウェアが書き換わったり、別の番地に飛んだ場合のソフトウェアの挙動は確率論的である。
IEC61508では,ソフトウェアに対して,安全ライフサイクルの導入と共に,SILに応じて指定するソフトウェア技法の採用を要求しており,多くのソフトウェア技法を提示している。安全と関係のない品質指標をどれだけ高く設定しても、安全のためにはならない。安全のためにはソフトウェアが動かないことの方が大事なときもある。これは、システムの分析によってしか与えられない。安全に寄与しないソフトウェアは、どれだけ高品質でも意味がない。
