IEC 61508 機能安全入門講座

IEC 61508 機能安全入門講座

電気/電子/プログラマブル電子安全関連システムの機能安全性

久保博史(エヌ・シー・エス株式会社)

2026 久保博史
IEC 61508 機能安全入門講座

1. はじめに

〜機能安全とは何か? なぜ重要なのか?〜

2026 久保博史
IEC 61508 機能安全入門講座

機能安全とは何か?

身近な例から考える

自動車の自動ブレーキ、工場のロボットの非常停止、エレベーターの安全装置... これらはすべて「機能安全」の考え方を適用できます。

機能安全の定義

「システムや機器が、与えられた入力に対して正しく安全機能を実行することに依存する、全体的な安全の一部」 (IEC 61508-4より)

ポイント : 単に「壊れにくい」だけでなく、「もし壊れた場合でも、安全な状態を保つ」ことが重要です。

2026 久保博史
IEC 61508 機能安全入門講座

なぜ重要なのか?

  • 人命と環境保護: 重大な事故を防ぎ、人々の命と環境を守るため
  • 社会的な要請: 製品の安全性に対する社会的な要求が高まっているため
  • 法的責任: 多くの国で、機能安全に関する法規制が整備されているため
  • 企業の信頼性: 安全な製品を提供することで、企業の信頼性を高めるため
2026 久保博史
IEC 61508 機能安全入門講座

2. 機能安全の基本概念

2026 久保博史
IEC 61508 機能安全入門講座

機能安全の基本概念(1/2)

リスク: 「危害の発生確率」×「危害の重大さ」

例: 高い場所での作業は、落下する確率(発生確率)は低いかもしれませんが、落下した場合の怪我の程度(重大さ)は大きいため、リスクが高いと言えます。

安全機能: 危険な状態を回避したり、軽減したりするために、システムが実行する機能

例: 自動車のエアバッグは、衝突を検知し(入力)、乗員を保護する(安全機能)ために作動します。

2026 久保博史
IEC 61508 機能安全入門講座

機能安全の基本概念(2/2)

安全関連システム: 安全機能を実行するシステム。電気、電子、プログラマブル電子(E/E/PE)技術を使用。

フェールセーフ: 故障が発生した場合でも、システムを安全な状態に移行させる設計思想

例: 信号機が故障した場合、すべての信号を赤にする。

2026 久保博史
IEC 61508 機能安全入門講座

3. IEC 61508とは?

〜機能安全の国際規格〜

2026 久保博史
IEC 61508 機能安全入門講座

IEC 61508とは?

機能安全に関する国際規格:様々な産業分野で広く利用されている、機能安全の「共通言語」

目的:

  • 危険な故障の防止・制御: システムを、危険な故障が発生しにくいように設計し、万が一発生した場合でも、安全に制御できるようにする
  • リスクベースのアプローチ: リスクの大きさに応じて、適切な安全対策を講じる
  • 体系的な開発プロセス: 安全要件の定義から、設計、実装、テスト、運用、保守まで、一貫したプロセスを確立する
2026 久保博史
IEC 61508 機能安全入門講座

IEC 61508の特徴

対象: 電気/電子/プログラマブル電子(E/E/PE)安全関連システム

特徴:

  • 汎用性: 特定の産業分野に限定されず、幅広い分野で利用可能
  • SIL (安全インテグリティレベル): 安全性の要求レベルを4段階で定義(SIL1~SIL4)
  • 安全ライフサイクル: 安全関連システムの開発から廃棄までの全工程をカバー
2026 久保博史
IEC 61508 機能安全入門講座

4. なぜIEC 61508が必要なのか?

〜現代のシステムの課題〜

2026 久保博史
IEC 61508 機能安全入門講座

現代のシステムの課題

  • 複雑化: ソフトウェアの増加により、システムがますます複雑になっている
  • 自動化: 人間の介入が減り、システムが自律的に動作する場面が増えている
  • 予測の難しさ: 複雑なシステムの故障を完全に予測することは不可能
  • 多様な故障原因: ハードウェア、ソフトウェア、人的ミス、環境要因など、様々な原因で故障が発生する
2026 久保博史
IEC 61508 機能安全入門講座

5. 危険な故障の原因と具体例

2026 久保博史
IEC 61508 機能安全入門講座

危険な故障の原因と具体例(1/2)

原因カテゴリ 説明 具体例
仕様の不備 安全要件の漏れ、誤り、曖昧さ エレベーターの過負荷検知機能の仕様漏れ、非常停止ボタンの応答時間規定の欠如
ハードウェア故障 部品の劣化、環境ストレス、製造上の欠陥 センサーの断線、リレーの接点溶着、コンデンサの劣化
環境影響 電磁波、温度、湿度、振動、衝撃 電磁ノイズによる誤動作、高温による半導体素子の劣化、振動による配線の断線
2026 久保博史
IEC 61508 機能安全入門講座

危険な故障の原因と具体例(2/2)

原因カテゴリ 説明 具体例
ソフトウェア故障 プログラミングミス、設計ミス、タイミング問題 データ競合による制御異常、無限ループ、スタックオーバーフロー
共通原因故障 同じ原因による複数の要素の同時故障 電源異常による複数の制御装置の同時停止、温度異常による複数のセンサーの誤動作
人的ミス 設計、運用、保守作業でのミス パラメータ設定ミス、配線ミス、保守作業時の部品の取り違え
2026 久保博史
IEC 61508 機能安全入門講座

6. Safety Integrity Level(SIL)

2026 久保博史
IEC 61508 機能安全入門講座

Safety Integrity Level(SIL)

  • 定義: 安全関連システムが、要求される 安全機能 をどれだけ確実に実行できるかを示す指標
  • 4つのレベル: SIL1(最も低い)から SIL4(最も高い)まで
  • SILの決定: リスクアセスメントの結果に基づいて決定
  • SILと要求事項: IEC 61508では、各SILに応じて、開発プロセス、技術、対策に関する詳細な要求事項が規定
2026 久保博史
IEC 61508 機能安全入門講座

ハードウェアの故障確率の目標値

レベル 危険側故障確率(/時) 適用例 主な要求事項
SIL 4 10⁻⁸ ~ 10⁻⁹ 原子力設備の緊急停止系 完全な冗長性、厳格な開発プロセス
SIL 3 10⁻⁷ ~ 10⁻⁸ 化学プラントの緊急遮断系 高度な冗長性、詳細な検証
SIL 2 10⁻⁶ ~ 10⁻⁷ 産業用ロボットの安全機能 基本的な冗長性、体系的な検証
SIL 1 10⁻⁵ ~ 10⁻⁶ 一般産業機械の警報系 基本的な安全機能の実装

【high demand, continuous modeのオペレーション】
危険側故障確率(/時) = (1時間あたりの危険側故障確率)

2026 久保博史
IEC 61508 機能安全入門講座

7. 安全ライフサイクル

2026 久保博史
IEC 61508 機能安全入門講座

安全ライフサイクルとは

  • システムの誕生から廃棄までの全過程を管理
  • 安全性を体系的に確保するためのフレームワーク
  • 各段階での検証と文書化を重視
2026 久保博史
IEC 61508 機能安全入門講座

ライフサイクルの主要フェーズ

  1. 概念設計
  2. リスク分析
  3. 安全要求仕様: Safety Requirement Specification (SRS)
  4. 設計要求仕様: Design Requirement Specification (DRS)
  5. 設計実装
  6. 検証確認
  7. 運用保守
  8. 変更管理
  9. 廃棄
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ1:概念設計

  • システムの目的定義
    • 要求される機能の明確化
    • 運用環境の特定
  • 安全目標の設定
    • 達成すべき安全レベルの決定
    • 許容リスクの定義
  • 全体範囲の決定
    • システム境界の明確化
    • 外部インターフェースの特定
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ2:リスク分析

  • HAZOP分析の実施
    • プロセスの危険源の特定
    • 運転偏差の影響評価
  • FMEA/FTAの実施
    • 故障モードの分析
    • 故障の影響度評価
  • リスクの評価と文書化
    • リスクマトリクスによる評価
    • 対策の優先順位付け
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ3:安全要求仕様

  • 機能要求の定義
    • 安全機能の詳細化
    • 動作条件の明確化
  • 性能要求の特定
    • 応答時間要件
    • 信頼性目標
  • SILの割り当て
    • 安全度水準の決定
    • 要求される信頼性の定量化
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ4:設計実装(1/2)

  • アーキテクチャ設計
    • システム構造の決定
    • コンポーネント間の関係定義
  • ハードウェア設計
    • 機器の選定と構成
    • 冗長性の実装
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ4:設計実装(2/2)

  • ソフトウェア開発
    • 安全関連機能の実装
    • テスト計画の立案
  • 統合実装
    • コンポーネントの結合
    • インターフェース検証
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ5:検証確認(1/2)

  • 単体テスト
    • コンポーネント個別の動作確認
    • 機能要件の充足確認
  • 統合テスト
    • インターフェースの検証
    • 相互作用の確認
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ5:検証確認(2/2)

  • システムテスト
    • 全体機能の検証
    • 性能要件の確認
  • 妥当性確認
    • 安全要求の充足確認
    • 実環境での検証
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ6:運用保守(1/2)

  • 運用手順の確立
    • 標準操作手順の作成
    • 異常時対応手順の整備
  • 定期検査の実施
    • 点検計画の策定
    • 性能維持確認
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ6:運用保守(2/2)

  • 故障対応
    • トラブルシューティング
    • 復旧手順の実行
  • 保守記録
    • 作業内容の文書化
    • 履歴の管理
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ7:変更管理

  • 変更影響の分析
    • 安全性への影響評価
    • リスク再評価
  • 再検証の実施
    • 変更箇所の確認
    • 影響範囲のテスト
  • 文書更新
    • 設計文書の改訂
    • 手順書の更新
2026 久保博史
IEC 61508 機能安全入門講座

フェーズ8:廃棄

  • 安全な廃棄計画
    • 手順の策定
    • リスク評価
  • 記録の保管
    • 履歴の保存
    • トレーサビリティの維持
2026 久保博史
IEC 61508 機能安全入門講座

重要な考慮事項

各フェーズでの文書化

  • 活動内容の記録
  • 判断根拠の明確化
  • トレーサビリティの確保

フェーズ間の検証

  • 前フェーズ成果物の確認
  • 次フェーズへの適切な入力
  • 一貫性の維持
2026 久保博史
IEC 61508 機能安全入門講座

8. Vモデルによる開発プロセス

2026 久保博史
IEC 61508 機能安全入門講座

Vモデルによる開発プロセス

安全ライフサイクルを具体化した開発モデル:設計と検証を対応させ体系的に開発

【設計】                                      【検証】
  安全要求仕様(SRS) <---------------------------> 4. 安全妥当性確認
      システム設計 <----------------------> 3. システム検証
          モジュール設計 <------------> 2. 統合テスト
                  実装   <-------> 1. モジュールテスト
  • 左側(設計): 上位の設計から詳細な設計へと段階的に進める
  • 右側(検証): 下位のテストから上位のテストへと段階的に進める
  • 各段階で、対応する設計と検証を確実に行う
2026 久保博史
IEC 61508 機能安全入門講座

9. 機能安全の実践的アプローチ

2026 久保博史
IEC 61508 機能安全入門講座

9.1 リスクアセスメント

  • 目的: 潜在的な危険源を特定し、そのリスクを評価する
  • 主な手法:
    • HAZOP (Hazard and Operability Study): システムの設計図や手順書を詳細に検討し、潜在的な危険源を特定する
    • FMEA (Failure Mode and Effects Analysis): 個々のコンポーネントの故障モードを洗い出し、その影響を評価する
    • FTA (Fault Tree Analysis): 望ましくない事象(トップ事象)を定義し、その原因となる事象をツリー状に展開する
2026 久保博史
IEC 61508 機能安全入門講座

リスク評価

  • リスクグラフ: 危害の重大さ、発生頻度、回避可能性などのパラメータを用いて、リスクレベルを評価する
  • リスクマトリクス: 危害の重大さと発生確率の組み合わせで、リスクレベルを評価する

9.2 安全要求仕様の作成

  • 機能要求: 安全関連システムが実行すべき安全機能を具体的に記述する
    • 例: 「非常停止ボタンが押されたら、0.5秒以内にモーターを停止させる」
  • 性能要求: 安全機能の性能に関する要求事項(応答時間、精度など)を記述する
  • SILの割り当て: リスクアセスメントの結果に基づいて、各安全機能に適切なSILを割り当てる
2026 久保博史
IEC 61508 機能安全入門講座

10. 安全設計の基本原則

2026 久保博史
IEC 61508 機能安全入門講座

10.1 アーキテクチャ設計

  • 冗長性: 同じ機能を複数の独立した要素で実現する
    • 例:
      • 1oo2 (1 out of 2): 2つの要素のうち、少なくとも1つが正常であれば、安全機能が実行される
      • 2oo3 (2 out of 3): 3つの要素のうち、少なくとも2つが正常であれば、安全機能が実行される
  • 多様性: 異なる技術や設計手法を用いて、共通原因故障のリスクを低減する
    • 例: 異なるメーカーのセンサーを使用する、異なるプログラミング言語でソフトウェアを開発する
2026 久保博史
IEC 61508 機能安全入門講座

10.2 故障検出と診断

自己診断: システムが自身の故障を検出する機能

例:

  • ウォッチドッグタイマー: 定期的にリセットされない場合、システムが異常と判断する
  • メモリチェック: メモリの内容が正しいかどうかを定期的にチェックする

相互診断: 複数の要素が互いに監視し合い、故障を検出する

例:

  • クロスモニタリング: 2つのプロセッサが互いの計算結果を比較する
2026 久保博史
IEC 61508 機能安全入門講座

11. ソフトウェア開発のベストプラクティス

〜IEC 61508-3〜

2026 久保博史
IEC 61508 機能安全入門講座

11.1 設計原則

  • 単純化:
    • モジュール化: ソフトウェアを小さな独立したモジュールに分割する
    • インターフェースの最小化: モジュール間のインターフェースをシンプルにする
  • 防御的プログラミング: 予期しない入力やエラーに対処できるように、プログラムを作成する
2026 久保博史
IEC 61508 機能安全入門講座

防御的プログラミングの例

  • 境界チェック: 配列のインデックスが範囲外にならないようにチェックする
  • 入力値の検証: 入力値が想定される範囲内にあるかどうかをチェックする

11.2 コーディング規約

  • MISRA C: C言語のコーディング規約。安全性と信頼性を高めるためのルールが定められている。
2026 久保博史
IEC 61508 機能安全入門講座

コーディング規約の詳細

制限事項:

  • 動的メモリ割り当ての制限: メモリリークやバッファオーバーフローのリスクを低減する
  • 再帰呼び出しの制限: スタックオーバーフローのリスクを低減する

構造化:

  • 制御フローの制限: goto文の使用を禁止するなど、プログラムの構造を理解しやすくする
  • 複雑度制限: 関数の複雑度を一定のレベル以下に抑える
2026 久保博史
IEC 61508 機能安全入門講座

11.3 検証・妥当性確認

  • 単体テスト: 個々のモジュールが正しく動作することを確認する
    (例: 境界値分析、同値分割法)
  • 統合テスト: 複数のモジュールを組み合わせて、正しく連携することを確認する
  • システムテスト: システム全体が、安全要求仕様を満たしていることを確認する
    (例: ブラックボックステスト)
  • 静的解析: ソースコードを解析し潜在的バグを検出
    (例: データフロー解析、制御フロー解析)
2026 久保博史
IEC 61508 機能安全入門講座

12. 運用、保守、変更管理

2026 久保博史
IEC 61508 機能安全入門講座

運用・保守・変更管理

  • 運用手順: 安全な運用を維持するための手順を確立する
    • 例: 起動・停止手順、異常時対応手順
  • 定期検査: 定期的にシステムの健全性を確認する
    • 例: 機能チェック、性能検証、診断テスト
  • 変更管理: システムの変更が安全性に影響を与えないように管理する
  • 影響分析: 変更が他の部分に及ぼす影響を評価する
  • 再検証・再妥当性確認: 変更によって安全性が損なわれていないことを確認
2026 久保博史
IEC 61508 機能安全入門講座

13. 認証

2026 久保博史
IEC 61508 機能安全入門講座

認証

  • 目的: 安全関連システムがIEC 61508の要求事項に適合していることを、第三者機関が評価する
  • 認証機関: TÜV Rheinland, UL, SEMAなど

認証プロセス:

  1. 文書評価: 安全計画、設計文書、テスト結果などを評価する
  2. 実地評価: 開発プロセスやテストの実施状況を評価する
  3. 認証書発行: 要求事項に適合と判断された場合、認証書が発行される
2026 久保博史
IEC 61508 機能安全入門講座

14. まとめと今後の展望

2026 久保博史
IEC 61508 機能安全入門講座

まとめと今後の展望

  • IEC 61508は、機能安全を実現するための包括的な枠組みを提供する
  • リスクベースのアプローチ、安全ライフサイクル、SILなどの概念が重要
  • 体系的な開発プロセス、安全設計、検証・妥当性確認が不可欠
  • 新技術の進展に伴い、新たな課題への対応が必要
2026 久保博史
IEC 61508 機能安全入門講座

付録:関連規格

2026 久保博史
IEC 61508 機能安全入門講座

関連規格

  • ISO 26262: 自動車向け機能安全
  • IEC 62061: 機械類の機能安全(ISO 13849-1との関係も深い)
  • IEC 61511: プロセス産業向け機能安全
  • EN 50126, EN 50128, EN 50129: 鉄道向け機能安全
  • IEC 62443: 産業用オートメーション及び制御システム(IACS)のサイバーセキュリティ
2026 久保博史