機能安全とは何か 機能安全規格の体系
機能安全規格制定の経緯と思想的特徴 日本における安全設計
安全なものづくりの文化風土 ソフトウェアの安全性・信頼性
ビジネスとしての機能安全 アメリカの安全規制
形式手法 日本企業のジレンマ
企業の反応 リスク分析

機能安全とは何か

機能安全(Functional Safety)とは「監視装置や防護装置などの付加機能による リスク低減策」であり、安全を確保する為の考え方の1つです。

人間、財産、環境などに危害を及ぼすリスクを、機能や装置の働きにより、許容可能な程度に迄、低減するというアプローチを指します。 日本の産業界では実はあまりなじみのないコトバですが、最近欧米特に欧州市での自動車、鉄道などの事業展開を際に、この考え方 に沿ったものづくりをすることを要請されるようになって注目を集めるようになりました。


機能安全規格の体系

機能安全には国際規格があり以下の様な体系となっています。IEC61508が大元の規格になりますが 、これを受けて、各産業・製品領域ごとにより具体的にその内容を定めています。

近年自動車業界がISO26262への対応が大きな話題になっていて、自動車メーカおよびここに部品やコンポーネントを提供する1次サプライヤー(Tier1と呼ばれる) メーカはこぞってこのISO26262の認証取得を行っています。

自動車業界以外では、機械の機能安全や医療、鉄道、原子力やプロセス制御用の電気・電子制御システムの規格があります。


機能安全規格制定の経緯と思想的特徴

機能安全規格は古くは18世紀、19世紀のヨーロッパにその源流を見出すことができます。当時のヨーロッパは産業革命 の活況を呈しており、蒸気機関が作られるようになりました。ところが、各国、各地域でそれぞれ作られるうちに事故も多く発生しました。欧州大陸を横断する鉄道 において、その規格、基準、品質などがバラバラだと安定した運用も難しくなります。そこで鉄道の蒸気機関に関する品質や安全性の統一基準を定めようという機運 が出てきました。

こうした下地がある中で、1974年に英国フリックスボローの化学工場で大きな爆発事故が発生しました。その後イタリアのセベソの農薬工場で爆発事故がおき、 猛毒のダイオキシンが飛散する事態が発生しました。また1980年代になると、インドのボパール工場で大惨事がおき、イギリス北海油田で事故が起きます。 これらの反省と教訓から今日のIEC61508が制定されることになったわけです。

機能安全ではリスクアセスメントを行って、危険源を特定しその低減を図るという手順を踏みます。ここで重要なのが、低減するということでリスクをゼロにすることはできない という考え方に立っていることです。


日本における安全設計

ところで冒頭に日本では機能安全はあまりなじみのない概念であると書きましたが、では日本ではどうなっているのでしょう。 日本の産業界には安全の概念がないのでしょうか。いいえ、そんなことはありません。それどころか、実際の品質、信頼性、安全性の実力は我が国はトップレベルの 実力があるといって差し支えないでしょう。

しかし問題なのが、文化の違い、思想の相違というものがあり機能安全規格の認証取得を行っている企業は皆そのギャップに戸惑ってきました。どういうことかというと、まず第一にリスクに対する考え方が根本的に違う点です。

  欧米『リスクをゼロにはできないので、許容できる程度に低減させることが重要』
  日本『リスクはゼロにはならない、リスクを許容すると公言できないので、品質を
     上げて限りなくゼロに近づけることが重要』

日本の製造業はQC活動や、TQMなどに力を入れていますが、おおむねこのような背景動機があると推測されます。これが故に原子力や鉄道などの分野を除き ”安全性” 特に機能安全の概念が 希薄だったわけです。次に挙げられるのが、「以心伝心」「建前と本音」「性善説」などの日本人固有の民族性でしょう。

欧米は古くから多くの異民族が異なる言葉と慣習でせめぎあってきた社会であり、性悪説に立脚しながら明確かつ詳細に決めた上で厳格に監督しなければうまくゆくはずがないという考えに立っている ため、

  ロジカルなアカウンタビリティ

が強く要求されるわけです。近年ある自動車会社がアメリカで訴訟を受けましたが、この件からの学びはこのアカウンタビリティにあったと思われます。


安全なものづくりの文化風土

IEC61508やISO26262で要求している根本的なことは一言でいうと『安全文化』の構築と維持に尽きます。もちろん、技術的なことや手法、ドキュメントを 揃えるというようなことも当然行うことになるのですが、最も重要視されるのがこの文化風土です。しかし、安全なものづくりの文化風土を作るとは何をすればいいのか という疑問が出てくることと思います。

機能安全が今日のように喧伝される以前から、人命にかかわるようなものを作っている組織はどうなのか。私自身長らく一般産業に属していて、そうした組織に所属してみるまで実感を持てませんでしたが、実際にそこで仕事をしてみると文化風土が まるで違うと感じました。以下は感想です。

  ・手続きやプロセスが(極めつけに)重たく保守的
  ・行う理由、行わない理由、何故OKなのかの根拠、証明が必要
  ・国や行政の法令、規制への厳格な適合
  ・ルール、規程の作成・厳守・メンテナンス
  ・コスト、期間を要する
  ・設計、製造、運用の各段階での審査
  ・膨大なドキュメント量(紙が多い)
  ・言葉の意味することの常識的解釈の相違
  ・安全性≫信頼性 (冗長化、ダイバーシティ等)

こう見てみるととんでもない仕事かと思うかもしれませんが、人命の損傷が発生したり、万人単位に影響を及ぼし社会生活に多大なインパクトを与えるとなると 必然的にそのようなことになるのだとしばらくして理解できました。(それにしてもとてつもない労力がかかります)

最近、IECやISOの規格を読んで実態もしらずにセーフティ・ケースを作成したり、形式手法の適用を生業にする自称機能安全コンサルタント、専門家が多いですが、全くもってお金と時間のムダ使いと感じます。


ソフトウェアの安全性・信頼性

機能安全は元は化学工場の事故などプラントの安全性に根ざしており、機械構造物などのハードウェアを対象にして作られてきたものです。 自動車のISO26262が制定された際にも従来のIEC61508は、ハードウェアの確率論的故障に偏重しているという批判もあり、近年のソフトウェア制御の実態に合っていないと言われてきました。

IEC61508もEd2でかなり改訂され、確率論だけでなく決定論的な考え方が取り入れられてきました。ソフトウェアもこの部類に入ります。なぜならソフトウェアの故障(つまりバグ)は確率論的に 発生するわけではないからです。そこでIEC61508などの規格では、プロセスをきちんと定めそれを確実に行うことで保証しようということになっています。

これはそう書く以外に言いようがなかったからとも受け取れますが、実際問題ソフトウェアの信頼性、安全性はどうとらえられるのか。学者や研究者の間ではいろいろなことが言われていますが、実際のセーフティクリティカル なものづくりの現場では、

  ソフトウェアはどんなにテストしても信用できないもの

との前提で扱われています。同じプログラムで制御されるのであれば、ハードウェアのように冗長構成をとっても同じようにバグが現出するはずであり、同じプログラムを並べても無意味なので、 Nバージョンプログラムやハードウェアとの組合せによるダイバーシティ(多様性)で考えることになります。が、全ての産業・製品で現実的ではないことから、これが要求されるものは限られています。


ビジネスとしての機能安全

機能安全は認証機関が中身を検査してお墨付きを与えるというスキームになっていて、ヨーロッパのTUV(ドイツ)、SGS(スイ)、DNV(ノルウェー)などが知られています。 これは国の法令や規制というわけではなく、あくまでも専門機関としての認証なのですが、欧州では事実上の公的なものとして扱われつつあるもので、万が一事故などで訴訟沙汰になった場合に備えた一種の保険のような意味合いもあります。

一方この機能安全の認証には長い時間と高額な費用が発生するため、こうした認証機関としては有力なビジネスにもなっていて、一説によれば数兆円規模になっていると言われています。最近、日本国内にもこうした認証機関 の国内代理組織のようなものが増えてきましたが、問題もでています。ある会社は日本のコンサルとだけ話をし認証をとろうとしていたのですが、最後にきてドイツ本国のアセッサーがOKせず、それまでかけてきた億単位のコストがパーになってしまったというのです。

最初からドイツ人を入れた認証取得の体制にしないといけないというのは、ドイツ本国にお金が落ちないのでは無意味だということなのでしょう。業界の方々は、「どうみても日本企業はカモにされている」とヒソヒソ話をする向きもあるようですが、取得しなければ 欧州市場や欧州規格をエンドースする地域(例えば東南アジア)ではビジネスにならないのも事実。これも機能安全の現実の一つです。


アメリカの安全規制

機能安全の認証機関はヨーロッパが中心といいましたが、アメリカでは機能安全はどうなっているのでしょうか。アメリカは産業領域ごとに省庁が定める法律と規制当局による認定の仕組みがあり、これに適合しなければなりません。 アメリカでは従来IEC61508のような国際規格ではなく、アメリカの標準や規制を中心とした対応が求められてきており、現在もあまり大きな変化はありません。例えば、

  <産業領域>   <規制当局> 
   航空機        FAA 
   医療         FDA 
   原子力        NRC 

などがあります。法律は連邦規制法(CFR)が中心になっていて、これにMIL規格なども含めた業界標準などがエンドースされる体系になっています。従って機能安全のIECやISOは関係がなく、あくまでもアメリカの定めるものに適合することが要求されます。

アメリカの規制とIEC/ISOの規格を比べるとどうかといえば、アメリカの規制に適合する方がハードルが高く厳しいといえます。但し業種によって事情は異なり、例えば鉄道や自動車については欧州の方が厳しい内容になっています。IEC61508については当初アメリカは 確率論に偏重していると批判していましたが、近年では雰囲気が変わってきました。とはいえ、やはりアメリカの市場と技術的な支配力は大きく、我が道を行くというところでしょうか。


形式手法

形式手法(Formal Method)はヨーロッパでは1960年代位前からあるもので、近年機能安全の普及に伴って急速に話題にのぼるようになりました。ツールもいろいろなタイプのものが出回り VDM、アトリエB、SpinやNuSMVなどが知られています。トヨタ自動車の急加速問題で米国NASAがスロットル制御部分にSpinを適用したことも知られていますね。

日本では形式手法はどの業界でもこれまでほとんどなじみがなく、IEC61508やISO26262で形式手法を適用しないといけないということが盛んに喧伝されたため、多くの企業で形式手法の勉強に取り組んでいるようです。しかし、たぶんに数学的な内容でものづくりのエンジニアには ハードルは高く、全員が習得するものなのかという疑問も出されています。ISO26262でも当初は適用が必須と言われていましたが、現状では「推奨」にとどまっています。

形式手法は定義され記述されている仕様の中の矛盾や定義モレを検出したり、可能性として膨大な状態をとりえる対象物の到達可能性を机上で検証するには適していますが、そもそもどのような仕様のヌケがあるのかを教えてくれる魔法の杖ではありません。しかし、ロジカルな納得性を 得る上では有効だということで欧州では使われることが多いようです。アメリカはシミュレーションをより重視する傾向があり、欧州ほど形式手法を全面に押し出してくるかんじではありません。

規格には準形式手法(Semi Formal Method)としてデシジョンテーブルやフローチャートも挙げられており、これらはポピュラーなのでほとんどの場合これらは使用されているはずです。現実的には、認証機関のアセッサーからの強い要求があるとか、クリティカルで複雑な部位に適用するというようなやり方に落ち着くだろうと思います。


日本企業のジレンマ

日本では昔から原子力、鉄道、医療装置の領域では監督省庁の統制による厳格な安全性の担保が図られてきました。上記のアメリカの安全規制と同様です。こうした産業領域では 一般産業とは異なる枠組みのなかでの設計、製造、運用がなされてきましたので、近年の社会インフラのグローバル化対応の中で、とまどいとジレンマもあると推測されます。

日本メーカは国内の厳しい規制の中で世界でもトップレベルの技術対応力がありますが、ヨーロッパや米国はそれぞれがそれぞれのスキームを持っていて、それに従わないと事業できません。 やっかいなのは、日本的なやり方ではなくアメリカはアメリカ流、ヨーロッパはヨーロッパ流になっていて日本流は相手にされません。新規に参入する以上相手に合わせなくてはなりませんが、 日本メーカにとって3通りの対応を余儀なくされることになります。これは大変コスト、リソースを要することになり、QCDバランスを図ることがさらに容易でなくなっているのです。

安全であることをロジカルに証明する、エビデンスをきちんとそろえトレーサビリティをきちんと確保する、各国・地域の規制に適合するなど従来の日本国内のやり方を右左に持って行けないところが 大きな悩みどころといえます。


企業の反応

最近こういう声をよく聞きます。

  「IEC61508の認証を取得したのだからウチは大丈夫だ。今どき機能安全を
   知らないなんて問題外だ」
  「機能安全を取得したからといって、安全に作られているわけではない」
  「日本の摺り合わせ、高品質なものづくりを否定しようという欧州の策略だ」

どれも多少の真実は含んでいるようにも聞こえる反面、やはり今という時代を直視できていないように思えます。 機能安全の認証を取得する際には、アセッサーから対象製品について安全技術の実装や検証方法などの監査を受けるので、安全に関する技術が当然適用されることになりますから、 上記の2番目の指摘は間違いです。

一方、1番目の認証取得したらOKということではなく、それを持続的に運営できなければ無意味になります。3番目はやや厄介といいますか、日本的摺り合わせと欧米の組合せ的な やり方とのギャップは確かに存在し、日本メーカは矢面に立たされています。

日本企業の実力を知っている欧米では日本を脅威とみなして、機能安全やCEマーキング等の規制や認証取得を参入障壁にしようとしているきらいはあります。従来国内メーカの安全設計の努力とレベルに自負はあっても、欧米的感覚できちんと説明できないためこの ギャップを埋めてゆかなくてはなりません。


リスク分析

リスク分析は機能安全に限らず、安全設計では必ず行う必要があるプロセスです。使われ方も含め対象製品のどこにどのような危険源が潜んでいるかを抽出し その危険な状況は現出する頻度と、発生した場合の影響度合いの大きさを見積もります。もしある危険要素が頻度、影響度ともに大きい場合それを許容しうる程度まで低減させなくてはなりません。

左図はこの概念を示したものです。発生頻度と
発生時の深刻度が大きく許容できないレベルの
リスクを品質や機能安全の対策により許容範囲
に低減させるのですが、具体的には

 ・メカ機構による保護機構
 ・品質管理によりはずれ値製品を除外
 ・故障確率を低減可能なハード採用

などを組み合わせることになります。

ISO26262ではASILと呼ばれるメトリクスがあり(IEC61508のSILの自動車版)、自動車メーカが部品やアセンブリを提供するサプライヤと一緒になってASILの割り当て、リスク の低減策検討に取り組んでいます。