【安全設計手法 連載目次】
- 1. 機能安全(その1)機能安全とは何か
- 2. 機能安全(その2)日本における安全設計
- 3. 機能安全(その3)ソフトウェアの安全性・信頼性
- 4. 機能安全(その4)アメリカの安全規制
- 5. 機能安全(その5)機能安全に対するさまざまな反応
前回のその3に続いて解説します。
8. アメリカの安全規制
機能安全の認証機関はヨーロッパが中心といいましたが、アメリカではどうなっているのでしょうか。アメリカは産業領域ごとに省庁が定める法律と規制当局による認定の仕組みがあり、これに適合しなければなりません。 アメリカでは従来IEC61508のような国際規格ではなく、アメリカの標準や規制を中心とし規制当局の認証を得るという対応で、第三者機関のみのお墨付きがあれば良いというスキームではなく、現在もあまり大きな変化はありません。例えば、
<産業領域> <規制当局>
航空機 FAA
医療 FDA
原子力 NRC
航空機 FAA
医療 FDA
原子力 NRC
などがあります。法律は連邦規制法(CFR)が最上位の根拠となっていて、各条文を解説または詳細記述する膨大なドキュメントがあり、MIL規格なども含めた業界標準などがエンドースされる体系になっています。この参照すべきものにIECやISOも含まれていますが、あくまでも米国の規制当局の適合審査に合格することが要求されます。
米国の規制とIEC、ISOの規格を比べるとどうかといえば、アメリカの規制に適合する方がハードルが高くはるかに厳しいといえます。但し業種によって事情は異なります。IEC61508について当初アメリカは確率論に偏重していると批判していましたが、近年では雰囲気が変わってきました。とはいえ、やはり世界におけるアメリカ市場規模、技術的な支配力は大きく、我が道を行くというところでしょうか。
9. 形式手法
形式手法(Formal Method)はヨーロッパでは1960年代位前からあるもので、近年機能安全の普及に伴って一時急速に話題にのぼるようになりました。ツールもいろいろなタイプのものが出回りVDM、アトリエB、SpinやNuSMVなどの他いくつかのものがあります。少し前のことになりますが、トヨタ自動車の急加速問題で米国NASAがスロットル制御部分にSpinを適用したことなどをご存じの方もいるかもしれません。
日本では形式手法はどの業界でも従来ほとんどなじみがなく、IEC61508やISO26262で形式手法を適用しないといけないということが盛んに喧伝されたため、多くの企業で形式手法の勉強に取り組みました。しかし、たぶんに数学的な素養が必要でものづくりのエンジニアにはハードルは高く、全員が習得するものなのかという疑問も出されています。ISO26262でも当初は適用が必須と言われていましたが、現状では「推奨」にとどまっています。
形式手法は定義され記述されている仕様の中の矛盾や定義モレを検出したり、可能性として膨大な状態をとりえる対象物の到達可能性を机上で検証するには適していますが、そもそもどのような仕様のヌケがあるのかを教えてくれる魔法の杖ではありません。しかし、ロジカルな納得性を得る上では有効だということで欧州では使われることが多いようです。アメリカはシミュレーションをより重視する傾向があり、欧州ほど形式手法を全面に押し出してくるかんじではないようです。
規格には準形式手法(Semi Formal Method)としてデシジョンテーブルやフローチャートも挙げられており、これらはポピュラーなものでもあり現実的には、対象のクリティカル性などに応じた使い分けがなされていると思います。
10. 日本企業のジレンマ
日本では昔から航空機、鉄道、医療装置など社会の重要インフラ領域では監督省庁の統制による厳格な安全性の担保が図られてきました。上記のアメリカの安全規制と同様です。こうした産業領域では 一般産業とは異なる枠組みのなかでの設計、製造、運用がなされてきましたので、近年の社会インフラのグローバル対応の中で、...
