ソフトウェアの安全性・信頼性 機能安全(その3)

更新日 2023-02-03

投稿日 2019-06-13

 
  機能安全
 

【安全設計手法 連載目次】

 

 前回のその2に続いて解説します。
 

6. ソフトウェアの安全性・信頼性

 
 機能安全は元は化学工場の事故などプラントの安全性に根ざしており、機械構造物などのハードウェアを対象にして作られてきたものです。ハードウェア故障は確率的に捉えることができるため、機能安全は確率論がベースとなっていますが、ソフトウェアも含めた機能安全をどのように考えるかについては問題も指摘されてきました。
 
 自動車のISO26262が制定された際にも「従来のIEC61508は、ハードウェアの確率論的故障に偏重している」という批判も出され、近年のソフトウェアを含むコンピュータ制御の実態に合っていないと言われてきました。
 
 こうした経緯もありIEC61508もEd2でかなり改訂され、確率論だけでなく決定論的な考え方が取り入れられてきました。ソフトウェアの故障(つまりバグ)は確率論的に発生するわけではないからです。そこでIEC61508などの規格では、プロセスをきちんと定めそれを確実に行うことで保証しようということになっています。
 
 実際問題ソフトウェアの信頼性、安全性はどう担保できるのか、学者や研究者の間でもいろいろなことが言われていますが、実際のものづくりサイドの感覚としては、ソフトウェアはどんなにテストしても100%の信用があるとは言い難いとの前提で扱われていると思います。同じプログラムで制御されるのであれば、ハードウェアのように冗長構成をとっても同じようにバグが現出するはずであり、同じプログラムを並べても無意味なので、例えばNバージョンプログラムやハードウェアとの組合せによるダイバーシティ(多様性)で考えることになります。ですが、当然コストもかさみますから、これが要求されるものは限られています。
 
 

7. ビジネスとしての機能安全

 
 機能安全は認証機関が中身を検査してお墨付きを与えるというスキームになっていて、TUV(ドイツ)、SGS(スイス)、DNV(ノルウェー)などが知られています。これは国の法令や規制というわけではなく、あくまでも専門機関としての認証なのですが、万が一事故などで訴訟沙汰になった場合に備えた一種の保険のような意味合いもあり...
 
  機能安全
 

【安全設計手法 連載目次】

 

 前回のその2に続いて解説します。
 

6. ソフトウェアの安全性・信頼性

 
 機能安全は元は化学工場の事故などプラントの安全性に根ざしており、機械構造物などのハードウェアを対象にして作られてきたものです。ハードウェア故障は確率的に捉えることができるため、機能安全は確率論がベースとなっていますが、ソフトウェアも含めた機能安全をどのように考えるかについては問題も指摘されてきました。
 
 自動車のISO26262が制定された際にも「従来のIEC61508は、ハードウェアの確率論的故障に偏重している」という批判も出され、近年のソフトウェアを含むコンピュータ制御の実態に合っていないと言われてきました。
 
 こうした経緯もありIEC61508もEd2でかなり改訂され、確率論だけでなく決定論的な考え方が取り入れられてきました。ソフトウェアの故障(つまりバグ)は確率論的に発生するわけではないからです。そこでIEC61508などの規格では、プロセスをきちんと定めそれを確実に行うことで保証しようということになっています。
 
 実際問題ソフトウェアの信頼性、安全性はどう担保できるのか、学者や研究者の間でもいろいろなことが言われていますが、実際のものづくりサイドの感覚としては、ソフトウェアはどんなにテストしても100%の信用があるとは言い難いとの前提で扱われていると思います。同じプログラムで制御されるのであれば、ハードウェアのように冗長構成をとっても同じようにバグが現出するはずであり、同じプログラムを並べても無意味なので、例えばNバージョンプログラムやハードウェアとの組合せによるダイバーシティ(多様性)で考えることになります。ですが、当然コストもかさみますから、これが要求されるものは限られています。
 
 

7. ビジネスとしての機能安全

 
 機能安全は認証機関が中身を検査してお墨付きを与えるというスキームになっていて、TUV(ドイツ)、SGS(スイス)、DNV(ノルウェー)などが知られています。これは国の法令や規制というわけではなく、あくまでも専門機関としての認証なのですが、万が一事故などで訴訟沙汰になった場合に備えた一種の保険のような意味合いもあります。
 
 一方この機能安全の認証には長い時間と高額な費用が発生するため、こうした認証機関としては有力なビジネスとなっているという面もあります。また近年の傾向としてサイバーセキュリティ対策もクローズアップされるようになってきています。セキュリティ対策は場合によっては安全機能に影響を与える可能性もあるため、その取り扱いに関しては今後も注視する必要があるでしょう。
 
 次回に続きます。
 

   続きを読むには・・・

新規会員登録

この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

「安全工学一般」の他のキーワード解説記事

もっと見る
機能安全とは何か 機能安全(その1)
機能安全とは何か 機能安全(その1)

  【安全設計手法 連載目次】 1. 機能安全(その1)機能安全とは何か 2. 機能安全(その2)日本における安全設計 3. 機能安...

  【安全設計手法 連載目次】 1. 機能安全(その1)機能安全とは何か 2. 機能安全(その2)日本における安全設計 3. 機能安...

製品安全試験の基礎知識、電気製品の事故を未然に防ぐ主要な評価項目とリスク低減の手法
製品安全試験の基礎知識、電気製品の事故を未然に防ぐ主要な評価項目とリスク低減の手法

【目次】 私たちの身の回りにある電気製品には、便利さの反面、感電や発火といった重大な事故につながるリスクが潜在しています。こうした危...

【目次】 私たちの身の回りにある電気製品には、便利さの反面、感電や発火といった重大な事故につながるリスクが潜在しています。こうした危...

リスクアセスメントの進め方 リスクアセスメント(その5)
リスクアセスメントの進め方 リスクアセスメント(その5)

 前回のその4に続いて解説します。前々回はリスクアセスメントの進め方のうち「②危険源の特定」について解説しました。今回は最後のステップである「リスクの見積...

 前回のその4に続いて解説します。前々回はリスクアセスメントの進め方のうち「②危険源の特定」について解説しました。今回は最後のステップである「リスクの見積...

「安全工学一般」の活用事例

もっと見る
静電気事故が減らない理由、異物不良が減らない理由
静電気事故が減らない理由、異物不良が減らない理由

 化学工場でその行為が事故につながる可能性の有無について、リスク見積もりができるかどうかは従業員のセンスに依存する場合が多いようです。  ここでいう...

 化学工場でその行為が事故につながる可能性の有無について、リスク見積もりができるかどうかは従業員のセンスに依存する場合が多いようです。  ここでいう...

化学物質による事故・汚染、化学物質の危険性、有害性、取扱い事例
化学物質による事故・汚染、化学物質の危険性、有害性、取扱い事例

 私の所属している化学物質管理士協会が行う化学物質管理試験科目の一つである化学物質による事故・汚染、化学物質の危険性、有害性、取扱い方について取り上げ...

 私の所属している化学物質管理士協会が行う化学物質管理試験科目の一つである化学物質による事故・汚染、化学物質の危険性、有害性、取扱い方について取り上げ...

製品安全で急浮上の課題『サイレントチェンジ』の事例
製品安全で急浮上の課題『サイレントチェンジ』の事例

 ◆ サイレントチェンジ多発の背景  2017年10月経産省・製品安全課から次のような文章が公開されました。「製造事業者は電気用品安全やRoHS規制等の...

 ◆ サイレントチェンジ多発の背景  2017年10月経産省・製品安全課から次のような文章が公開されました。「製造事業者は電気用品安全やRoHS規制等の...