なぜ産業、家電および医療において機能安全認証が難しいのか?
機能安全認証を困難にしている実態
機能安全対応は、なぜ難しいのか?
製品規格の変更や他社動向などにより機能安全を調べ始めるとIEC 61508が出てくる。そこには、ライフサイクルや開発プロセス、沢山の技法と措置などが目に付くが、具体的に何をどの様にすればよいのか分からない、となりがちである。そこで書籍やセミナ、インターネット等で調べる事になるのだが、有効な情報が得られずなかなか着手できないでいるというメーカーも多いのではないかと推測される。
IEC 61508等の機能安全規格には、安全機能に求められる標準的な設計開発方法が記載されているのだが、安全機能に関しては記載されていない。それは、安全機能がそれぞれの製品安全規格で定義されている(リスクアセスメントによる抽出も含む)からに他ならない。即ち、まず設計開発する安全機能を製品安全規格から決定する事が必要であり、この安全機能を明確にしないといつまでも曖昧なままで進める事が出来ない。
この様に機能安全対応は、安全機能の一つの対応方法であり、製品安全規格やそれに関連する試験規格等も参照し製品の安全機能を設計開発する視点が重要である。
次に、実装を決定した安全機能の要求を満たすシステム設計を行う。ここで安全度に応じてアーキテクチャや分析による診断機能が決まる。ここで決まったシステムとその構成要素の信頼性を担保した開発計画を立てる。これらのフェーズを「コンセプトフェーズ」と呼び、機能安全対応で最も重要なフェーズになる。
但し、このフェーズでの内容は、システムへの依存性が高く具体例として世の中には出てこない上、このフェーズの経験者はメーカーのシステム技術者で、これもほとんど出てくる事が無い事から機能安全対応のノウハウが一般的には出てこず、機能安全対応がなかなか進まない要因となっている。
従って、機能安全対応を進めるには適切な認証機関とのコミュニケーションが重要であり、認証経験のあるコンサルティングが受けられればより対応がスムーズに進む。
機能安全認証取得の工数に対する注意点
機能安全対応の工数が見積れない為、開始出来ないメーカーも多くある。
機能安全対応に必要な工数や期間は、コンセプトフェーズと開発プロセスのレベルとその開発プロセスの遵守状況により異なる。
まず、このコンセプトフェーズ自体で3〜6ヶ月、場合によってはそれ以上かかる場合がある。これは、新規要素技術の有無およびその組織にシステム技術者が居るか居ないか、また適切な認証機関と認証経験のあるコンサルタントが居るか居ないか等で大きく異なる。何れにしても通常は開発前にこのフェーズが入る為、メーカーの当初の全体開発日程から遅れる事が多くあるのである。
次に設計開発段階では、コンセプトフェーズでのシステム設計の内容と開発計画次第で開発工数は大きく変わる。必要以上の安全機能や診断機能、開発プロセスや開発手法が選択されている事が多いので注意が必要である。
それ以外では、開発プロセスのレベルや開発プロセス遵守の組織能力、その中でも開発ドキュメントを作成しながら開発を進めて行けるか否かの影響は大きい。
また、別の観点として機能安全では信頼性の高い開発すなわち高い設計品質を要求している。大多数のメーカーは、ISO 9001を取得しているが、このQuality Management(QM)またはFunctional Safety Management(FSM)がしっかり働いているか否かでも異なる。
例えば、上流設計重視で設計のアウトプットとしての設計書のレビューと活用、QMまたはFSMの評価と判断等が適切に行われているか否かである。設計品質より日程重視のマネジメントの場合、結局後戻りが発生し、必要以上の工数と時間がかかる事もある。
機能安全対応では、シンプルに当たり前の開発で進める事が最も近道なのである。
機能安全認証は従来のプロセス+αで実現できる。
機能安全対応における心配事のひとつが開発プロセスではないかと思われる。
機能安全では、開発プロセス遵守を要求している。これは、開発プロセス遵守が設計品質の担保で有るからである。そう考えると、むやみに開発プロセスを変更するのは逆効果で、設計品質の低下を招きかねない。特に日本のメーカーは、実質的にある程度対応出来ている事が多く、事実として既存開発プロセスを基本に、見える化と機能安全要求に対して不足している部分だけを補う事で十分対応可能な場合がほとんどである。ただし、既存開発プロセスに設計開発フェーズが無い場合や製品リリース後のプロセスの見直しが必要になる場合も多く、注意が必要である。いずれにしても規格要求と認証機関の視点から、どの程度で対応可能なのかは、やはり認証機関なり認証経験のあるコンサルタントなどを活用するのが早いはずである。
また、安全コンセプトは開発プロセス定義や対応期間、工数に大きく影響するため、安全コンセプトをしっかり固める事が重要である。そのためには認証機関選定が重要になるのだが、認証機関にも製品分野により得手不得手があり、発行可能な認証書も異なる事があるため注意が必要である。また、コンサルタントを導入する場合は、認証経験のあるコンサルタントを選定する事が重要となる。
安全コンセプトが固まれば、後は開発計画に基づき着実に設計開発を進めるのみである。ここは、メーカーの知見やノウハウを活用して効率化が可能で、小中規模システムであれば1〜2年程度で出来る事が多いと思われる。ただし、Functional Safety Management(FSM)と言われる安全設計に対する品質マネジメントが重要となり、組織方針や設計品質重視のマネジメントを実施しないと後戻りや遅延で日程に大きく影響する場合があり、注意が必要である。
執筆者紹介 アーキテクト合同会社 代表 高山 哲哉
パナソニック株式会社にて産業用ロボコントローラ(機能安全認証取得)など組込み開発の上流~下流、開発及びマネジメントまで幅広く担当。特に国内の機能安全対応が黎明期の頃から、規格適合開発や第三者認証機関との交渉を経験しているため、現在の資産プロセスを生かした現場視点でのアドバイス/交渉が可能な点が強み。機能安全に関するご相談は、下記までお気軽にお問い合わせ下さい。
お問い合わせ先:info@architect-llc.com 会社URL:https://www.architect-llc.com