発表資料 (PDF)

セッション:組込み機器のための機能安全対応 TRON Safe Kernel
社会インフラ制御機器の機能安全の必要性
2015年12月10日
大島 訓
(株)日立製作所 研究開発グループ
システムイノベーションセンタ
© Hitachi, Ltd. 2015. All rights reserved.
1
自己紹介
大島 訓(おおしま さとし)
株式会社日立製作所
研究開発グループ システムイノベーションセンタ
リーダ主任研究員
1996年 東京理科大卒業、同大学院理工学研究科修士課程終了
1998年 日立製作所入社
2005-2007 Hitachi Computer Products (America) Inc. 出向
(Red Hat Inc. Boston Lab.駐在)
金融機関、通信キャリア、鉄道保安・運行管理、建設機械、昇降機、自動車等
のシステムの基本ソフトに関する研究に従事。
© Hitachi, Ltd. 2015. All rights reserved.
2
目次
1.
2.
3.
4.
5.
6.
7.
機能安全とは
機能安全規格
機能安全を必要とする産業
機能安全適用事例
機能安全にかかるコスト
日立の取組み
まとめ
© Hitachi, Ltd. 2015. All rights reserved.
3
1.1 機能安全とは
本質安全
リスクの原因を根源から排除する
例:立体交差
機能安全
リスクの発生確率を機能的な工夫により
許容可能なレベルにまで低減する
例:踏み切り
© Hitachi, Ltd. 2015. All rights reserved.
4
1.2 リスクと発生頻度
ALARP: as low as reasonably practice
リスクは合理的に実行可能な限り、低減しなければならない
安全のためにかけられるコストには限界があるため
事故発生確率
[回/時間]
1×10-5
1×10-9
リスクを考えない実践手法
現実的な実践手法
+
リスク軽減手法
+
リスクとコストが均衡
コストを考えないリスク軽減
許容できない
許容可能な
領域
(ALARP)
広く許容できる
© Hitachi, Ltd. 2015. All rights reserved.
5
1.3 欧州主導で進む機能安全
機能安全が調達要件になりつつある
国際
規格
機械
安全
機能
安全
機械指令
製品
独自
安全技術
1990
自動車規格
産業機械規格
プロセス産業規格
鉄道システム規格
法規制化
原子力発電所規格
機能安全規格:IEC61508
規格
対応
2000
(調達要件化)
ABB コントローラ
Siemens 圧力トランスミッタ
2010
© Hitachi, Ltd. 2015. All rights reserved.
6
2.1 機能安全規格
ISO/IECガイド51
IEC:電気系
ISO:機械系
機械類の安全性-基本概念、
一般設計原則規格
(ISO12100-1,2)
・・・
システム安全規格
インターロック規格
・・・
自動車
建設機械
エレベータ
・・・
A:基本安全
規格
B:グループ安全
規格
C:製品安全
規格
機能安全規格
(IEC61508)
機械類機能安全規格
・・・
電子制御モータ
医療機器
鉄道
産業機械
プロセス産業
・・・
© Hitachi, Ltd. 2015. All rights reserved.
7
2.2 機能安全規格適合
第三者認証
認証機関による審査によって認証
代表的な認証機関:TÜV Rheinland, TÜV SÜD, TÜV NORD
三段階の審査フェーズ
•例)TÜV Rheinland
①コンセプトフェーズ審査
②メインインスペクション
フェーズ
③認証取得
自己適合宣言
自社で審査し、規格適合を宣言する
顧客認証もあります
© Hitachi, Ltd. 2015. All rights reserved.
8
2.3 SIL:安全度水準
PFH*
危険側
SIL
10-4
“ニアミス”
10-5
安全側
Description
10-6
SIL1
交通事故に人が遭遇する確率
10-7
SIL2
心臓病で人が亡くなる確率
10-8
SIL3
人命に係る交通事故発生確率
10-9
SIL4
人命に係る鉄道事故発生確率
10-10
人命に係る自然災害発生確率
10-11
人命に係る隕石落下発生確率
SIL (Safety Integrity Level)
IEC61508によって定められている安全度水準
システム全体で達成しなければならない
規格によって、レベルの定義が異なる
自動車の場合、ASILが定義され、最上位のASIL-DはSIL3相当
*) Probability of a dangerous Failure per Hour:安全機能の危険側故障の平均頻度
© Hitachi, Ltd. 2015. All rights reserved.
9
3.1 機能安全が必要な産業
自動車
エンジン
発電所
鉄道システム
ブレーキ
運行管理
プロセス産業
信号
電化製品
エレベータ
医療装置
ドリル
芝刈り機
© Hitachi, Ltd. 2015. All rights reserved.
10
3.1 機能安全が必要な産業
発電所
自動車
ISO26262
ASIL B
エンジン
ASIL D
IEC61513
SIL3
鉄道システム
IEC62278 / EN50126
SIL 2
SIL 4
ブレーキ
運行管理
プロセス産業
IEC61511
SIL 2
信号
電化製品
エレベータ
ISO22201
SIL2
IEC60335-1 Annex R
医療装置
SIL 2
IEC62304
IEC60601
SIL 2
ドリル
芝刈り機
© Hitachi, Ltd. 2015. All rights reserved.
11
4.1 機能安全事例①
インバータ
規格:IEC61800
機能安全対応が競争事由
最終製品がEC指令対象の場合がある
(EC指令:機械指令、EMC指令、
低電圧指令)
インバータが対応していると、
最終製品の対応が容易
© Hitachi, Ltd. 2015. All rights reserved.
12
4.2 機能安全事例②
自動車
規格:ISO26262
欧州自動車メーカー主導で策定
既に取引要件になっている
ASIL D
エンジン制御
ECU
ブレーキ制御
ECU
ASIL B
© Hitachi, Ltd. 2015. All rights reserved.
13
4.3 機能安全事例③
鉄道
RAMS規格(IEC62278 / EN50126)
 入札要件になっている
 例:電子制御インターロック(インド)
•
“Both hardware & executive software of EI must meet SIL-4 as
defined in CENELEC Standards”.
(RDSO/SPN/ 192 /2012 Version 1.1 Draft版より)
© Hitachi, Ltd. 2015. All rights reserved.
14
4.4 機能安全事例④
エレベータ(中国)
中国国家標準規格(GB規格)
 EN規格が元になっている
 強制国家標準であり、
生産・販売・輸出をするためには
準拠が必須
© Hitachi, Ltd. 2015. All rights reserved.
15
5.1 機能安全における故障と対応方法
故障と対応方法
故障
説明
ハードウェア
ソフトウェア
決定論的
故障
決定論的手順の中で起きる故障で •設計の複雑さを減らす
あり、その原因は、設計、製造工程、 •適切な開発プロセスの計画と実行
運用手順、文書化などによって取り •故障の原因を確実に除去
除くことが可能である
ランダム
ハードウェア
故障
不規則に発生する故障であり、ハー
ドウェアの劣化メカニズムによって
引き起こされる。
•故障率計算
•故障率低減
•監視・停止のよう
な安全機能の実装
安全度水準
規格によって安全度水準が異なる
IEC61508→SIL(Safety Integrity Level)
ISO26262→ASIL(Automotive SIL)
ISO13849→PL(Performance Level)
・・・
© Hitachi, Ltd. 2015. All rights reserved.
16
5.2 必要な技法/措置
各SILに求められる技法/措置が決まっている
通常開発より、工数がかかる
IEC61508-3 表A.7 ソフトウェアのシステム安全妥当性確認
技法/措置
SIL 1
SIL 2
SIL 3
SIL 4
1
確率的試験
-
R
R
HR
2
プロセスシミュレーション
R
R
HR
HR
3
モデリング
R
R
HR
HR
4
機能及びブラックボックス試験
HR
HR
HR
HR
5
ソフトウェア安全要求仕様とソフトウェア安全妥当 R
性確認計画との間の前方トレーサビリティ
R
HR
HR
6
ソフトウェア安全要求仕様とソフトウェア安全妥当 R
性確認計画との間の後方トレーサビリティ
R
HR
HR
HR: High Recommended. 使用しない場合には、合理的な説明が必要。
R: Recommended. HRより低い推奨事項として、推奨される
- : 推奨も反対もしない
© Hitachi, Ltd. 2015. All rights reserved.
17
5.3 必要な技法/措置の増加
SILが高くなればなるほど、ますます工数が増える
ソフトウェアで指定されている技法/措置の数
160
140
120
100
NR
R
HR
80
60
40
20
0
SIL1
SIL2
SIL3
SIL4
HR: High Recommended. 使用しない場合には、合理的な説明が必要。
R: Recommended. HRより低い推奨事項として、推奨される
- : 推奨も反対もしない
NR: Not Recommended. 使用する場合には、合理的な説明が必要
© Hitachi, Ltd. 2015. All rights reserved.
18
5.4 認証による開発時間の増加
認証機関との交渉に時間がかかる
V字開発工程と認証フェーズ
②メインインスペクション
フェーズ審査
①コンセプトフェーズ審査
認証
③認証
V字開発
認定
開発計画
妥当性確認
要件定義
検証
総合テスト
結合テスト
方式設計
単体テスト
詳細設計
実装
© Hitachi, Ltd. 2015. All rights reserved.
19
6. 日立の取組み
安心・安全を守るための活動に積極的に参加
IEC61508等の国際審議に参加し日本の意見を反映
国内業界団体のWG活動に参加
様々な製品で機能安全対応を推進
© Hitachi, Ltd. 2015. All rights reserved.
20
7. まとめ
機能安全とは
機能的な工夫により許容可能なレベルまで
リスクを低減
機能安全対応の必要性
適切な製品安全対策、及びその客観的証明
入札要件にも導入
機能安全にはコスト及び時間がかかる
開発工程・予算への折り込みが必要
日立は安心・安全を守るための活動に
積極的に参加
© Hitachi, Ltd. 2015. All rights reserved.
21