機能安全設計・評価の大きな流れ

続いて、第5章のリスク低減方策(画像8)。これまで幾度も説明してきたが、この規格要求は、「3ステップ法に基づくリスク低減方策の実施」である。ISO13482はこれまで述べてきたように、非常に概念的な規格なので、基本、似たような製品のすでにある規格を参照する形となる。リショーネで参照された規格は、まず機械安全に関してが、電動ケアベッド部は「JIS T 9524(電動介護用ベッド)」で、電動リクライニング車いす部が「JIS T 9201(手動車いす)」もしくは「JIS T 9203」。電気安全は医用電気用の「IEC 60601-1」のほか、「電気用品安全法(技術基準 区分:交流用電気機械器具 品名:そのほかの電気機械器具付き家具)」。EMCが医用EMC用の「JIS T 0601-1-2」。機能安全が「ISO13849-1(制御システム)」という具合だ。

そしてリスク低減方策の2つ目の規格要求は、「重要危険源に対するリスク低減方策の実施」である。今回は、重要な危険源に対する規格要求事項の一部として15種類が紹介された(画像9の左側)。その中の「耐久性不足」を例に取ると、規格要求事項としては「サービスロボットは、その設計寿命の間、危険源を生じることなく耐久性が保証されるように設計、製作しなければならない」とあり、実際に試験として「JIS T 9254」の「9.5 耐久性試験」が適用されている。具体的には、所定の部分に1350ニュートンのチカラで負荷パッドを1万回負荷し、試験用マットレスを取り除き、その試験品が正常に機能し、安全であることを試験にて確認したという。

さらに第6章の機能安全設計・評価について。規格要求として「リスク低減に制御システムを用いる場合、機能安全設計を実施すること」はすでに説明した通り。具体的には、ホールドツーランと減速の両機能に対し、機能安全設計・評価として「ISO13489-1」が適用され、「パフォーマンスレベルPLd(≒SIL2)」が達成された(SILは「Safety Integrity Level(安全整合水準)」の略)。

なおホールドツーラン機能とは、押しボタンスイッチを押している間だけ動作が許可され、話すと動作が停止する安全機能のことだ。また減速機能とは、挟み込みの可能性のある高さからのベッド下降動作を減速させる安全機能のことである。それからパフォーマンスレベルPLdとは、「単位時間当たの危険側故障確率PFHd=10の-6乗[1/h]未満」のことをいう。

機能安全設計・評価の大きな流れとしては、まずホールドツーランと減速の両機能に対し、どれぐらいの要求パフォーマンスレベルが求められているのかという点が決定される。それに対してどのような安全要求仕様を実現したらよいのかということを作成する形だ(要求パフォーマンスレベルごとにも変わってくる)。これは、画像10の右側にあるチャートの上側、コンセプトフェーズ(Concept Phase)の部分となる。英語なので多少読みづらいかと思うが、上側の枠には「Determination of required performance level(要求パフォーマンスレベルの決定)」で、下側が「Development of safety requirement specification(安全要求事項の開発)」だ。

その下は実現フェーズ(Realization phase)ということで、「Hardware risk analysis (FMEDA) and performance level evaluation(ハードウェアリスクの分析(FMEDA)とパフォーマンスレベルの評価、意味合い的にはハードウェアの安全設計)」→「Software safety design and verification(ソフトウェアの安全設計および証明)」→「Safety validation(安全妥当性確認)」となる。

さらに、機能安全設計・評価の補足に話が進む。具体的には、画像10右側にあるチャートの実現フェーズで、上側の「Hardware risk analysis (FMEDA) and performance level evaluation」と「Software safety design and verification」に関するもので、画像11となる。4段階あって、(1)FMEDA、(2)パフォーマンスレベル評価、(3)ソフトウェア診断機能追加、(4)ソフトウェアV時モデル開発という流れだ。