セッション : 組込み機器のための機能安全対応 TRON Safe Kernel 社会インフラ制御機器の機能安全の必要性 2015 年 12 月 10 日 大島訓 ( 株 ) 日立製作所研究開発グループシステムイノベーションセンタ 1
自己紹介 大島訓 ( おおしまさとし ) 株式会社日立製作所研究開発グループシステムイノベーションセンタリーダ主任研究員 1996 年東京理科大卒業 同大学院理工学研究科修士課程終了 1998 年日立製作所入社 2005-2007 Hitachi Computer Products (America) Inc. 出向 (Red Hat Inc. Boston Lab. 駐在 ) 金融機関 通信キャリア 鉄道保安 運行管理 建設機械 昇降機 自動車等のシステムの基本ソフトに関する研究に従事 2
目次 1. 機能安全とは 2. 機能安全規格 3. 機能安全を必要とする産業 4. 機能安全適用事例 5. 機能安全にかかるコスト 6. 日立の取組み 7. まとめ 3
1.1 機能安全とは 本質安全 リスクの原因を根源から排除する 例 : 立体交差 機能安全 リスクの発生確率を機能的な工夫により許容可能なレベルにまで低減する 例 : 踏み切り 4
1.2 リスクと発生頻度 ALARP: as low as reasonably practice リスクは合理的に実行可能な限り 低減しなければならない 安全のためにかけられるコストには限界があるため 事故発生確率 [ 回 / 時間 ] 1 10-5 1 10-9 リスクを考えない実践手法 現実的な実践手法 + リスク軽減手法 + リスクとコストが均衡 コストを考えないリスク軽減 許容できない 許容可能な領域 (ALARP) 広く許容できる 5
1.3 欧州主導で進む機能安全 機能安全が調達要件になりつつある 国際規格 機械安全 機械指令 機能安全 自動車規格産業機械規格プロセス産業規格鉄道システム規格原子力発電所規格 機能安全規格 :IEC61508 法規制化 ( 調達要件化 ) 製品 独自安全技術 規格対応 ABB コントローラ Siemens 圧力トランスミッタ 1990 2000 2010 6
2.1 機能安全規格 ISO/IEC ガイド 51 ISO: 機械系 機械類の安全性 - 基本概念 一般設計原則規格 (ISO12100-1,2) システム安全規格インターロック規格 A: 基本安全規格 B: グループ安全規格 IEC: 電気系 機能安全規格 (IEC61508) 機械類機能安全規格 自動車建設機械エレベータ C: 製品安全規格 電子制御モータ医療機器鉄道産業機械プロセス産業 7
2.2 機能安全規格適合 第三者認証 認証機関による審査によって認証 代表的な認証機関 :TÜV Rheinland, TÜV SÜD, TÜV NORD 三段階の審査フェーズ 例 )TÜV Rheinland 1 コンセプトフェーズ審査 2 メインインスペクションフェーズ 自己適合宣言 自社で審査し 規格適合を宣言する 3 認証取得 顧客認証もあります 8
2.3 SIL: 安全度水準 危険側 PFH* SIL Description 10-4 10-5 ニアミス 10-6 SIL1 交通事故に人が遭遇する確率 10-7 SIL2 心臓病で人が亡くなる確率 10-8 SIL3 人命に係る交通事故発生確率 安全側 10-9 SIL4 人命に係る鉄道事故発生確率 10-10 人命に係る自然災害発生確率 10-11 人命に係る隕石落下発生確率 SIL (Safety Integrity Level) IEC61508 によって定められている安全度水準 システム全体で達成しなければならない 規格によって レベルの定義が異なる 自動車の場合 ASIL が定義され 最上位の ASIL-D は SIL3 相当 *) Probability of a dangerous Failure per Hour: 安全機能の危険側故障の平均頻度 9
3.1 機能安全が必要な産業 自動車 発電所 鉄道システム エンジン プロセス産業 ブレーキ 運行管理 電化製品 信号 エレベータ 医療装置 ドリル 芝刈り機 10
3.1 機能安全が必要な産業 自動車 発電所 鉄道システム ISO26262 IEC61513 IEC62278 / EN50126 ASIL B ASIL D SIL3 SIL 2 SIL 4 エンジンブレーキ運行管理信号 プロセス産業電化製品 IEC61511 SIL 2 エレベータ 医療装置 IEC60335-1 Annex R SIL 2 ISO22201 SIL2 IEC62304 IEC60601 SIL 2 ドリル 芝刈り機 11
4.1 機能安全事例 1 インバータ 規格 :IEC61800 機能安全対応が競争事由 最終製品が EC 指令対象の場合がある (EC 指令 : 機械指令 EMC 指令 低電圧指令 ) インバータが対応していると 最終製品の対応が容易 12
4.2 機能安全事例 2 自動車 規格 :ISO26262 欧州自動車メーカー主導で策定 既に取引要件になっている ASIL D エンジン制御 ECU ブレーキ制御 ECU ASIL B 13
4.3 機能安全事例 3 鉄道 RAMS 規格 (IEC62278 / EN50126) 入札要件になっている 例 : 電子制御インターロック ( インド ) Both hardware & executive software of EI must meet SIL-4 as defined in CENELEC Standards. (RDSO/SPN/ 192 /2012 Version 1.1 Draft 版より ) 14
4.4 機能安全事例 4 エレベータ ( 中国 ) 中国国家標準規格 (GB 規格 ) EN 規格が元になっている 強制国家標準であり 生産 販売 輸出をするためには準拠が必須 15
5.1 機能安全における故障と対応方法 故障と対応方法 故障説明ハードウェアソフトウェア 決定論的故障 ランダムハードウェア故障 決定論的手順の中で起きる故障であり その原因は 設計 製造工程 運用手順 文書化などによって取り除くことが可能である 不規則に発生する故障であり ハードウェアの劣化メカニズムによって引き起こされる 設計の複雑さを減らす 適切な開発プロセスの計画と実行 故障の原因を確実に除去 故障率計算 故障率低減 監視 停止のような安全機能の実装 安全度水準 規格によって安全度水準が異なる IEC61508 SIL(Safety Integrity Level) ISO26262 ASIL(Automotive SIL) ISO13849 PL(Performance Level) 16
5.2 必要な技法 / 措置 各 SIL に求められる技法 / 措置が決まっている通常開発より 工数がかかる IEC61508-3 表 A.7 ソフトウェアのシステム安全妥当性確認 技法 / 措置 SIL 1 SIL 2 SIL 3 SIL 4 1 確率的試験 - R R HR 2 プロセスシミュレーション R R HR HR 3 モデリング R R HR HR 4 機能及びブラックボックス試験 HR HR HR HR 5 ソフトウェア安全要求仕様とソフトウェア安全妥当性確認計画との間の前方トレーサビリティ 6 ソフトウェア安全要求仕様とソフトウェア安全妥当性確認計画との間の後方トレーサビリティ R R HR HR R R HR HR HR: High Recommended. 使用しない場合には 合理的な説明が必要 R: Recommended. HR より低い推奨事項として 推奨される - : 推奨も反対もしない 17
5.3 必要な技法 / 措置の増加 SIL が高くなればなるほど ますます工数が増える ソフトウェアで指定されている技法 / 措置の数 160 140 120 100 80 60 40 20 0 SIL1 SIL2 SIL3 SIL4 NR - R HR HR: High Recommended. 使用しない場合には 合理的な説明が必要 R: Recommended. HRより低い推奨事項として 推奨される - : 推奨も反対もしない NR: Not Recommended. 使用する場合には 合理的な説明が必要 18
5.4 認証による開発時間の増加 V 字開発工程と認証フェーズ 認証機関との交渉に時間がかかる 認証 1 コンセプトフェーズ審査 2 メインインスペクションフェーズ審査 3 認証 V 字開発 開発計画要件定義検証方式設計詳細設計 妥当性確認 実装 認定総合テスト結合テスト単体テスト 19
6. 日立の取組み 安心 安全を守るための活動に積極的に参加 IEC61508 等の国際審議に参加し日本の意見を反映 国内業界団体の WG 活動に参加 様々な製品で機能安全対応を推進 20
7. まとめ 機能安全とは 機能的な工夫により許容可能なレベルまでリスクを低減 機能安全対応の必要性 適切な製品安全対策 及びその客観的証明 入札要件にも導入 機能安全にはコスト及び時間がかかる 開発工程 予算への折り込みが必要 日立は安心 安全を守るための活動に 積極的に参加 21