診断は安全機能?それとも補助?
IEC 60730(60335)とISO 13849を比べてみると見える"文化差"
同じソフトウェア診断機能でも、規格によって位置づけが大きく異なります。家電と産業機械、それぞれの安全思想の違いを探ってみましょう。
二つの規格が描く安全の世界
家電業界のアプローチ
IEC 60730(60335)では、家電製品の安全性確保において、従来からハードウェアベースの保護が主流です。ヒューズやサーマルカットオフなどの物理的な安全装置が第一の砦となり、ソフトウェアはあくまで補助的な役割を担います。
この思想は、長年にわたって培われた家電製品の信頼性に基づいており、シンプルで確実な安全機能を重視しています。
産業機械のシステム思考
一方、ISO 13849では、産業機械における安全機能をシステム全体で評価します。診断機能(Diagnostic Coverage: DC)は、Performance Level(PL)向上に直結する重要な要素として位置づけられています。
この違いは、一見同じ「ソフトウェア診断」でも、その意味合いと重要性が全く異なることを示しています。
IEC 60730-1(60335-1)の安全思想
基本原則
安全は基本的にハードウェア(ヒューズ・リレー・サーマルカットオフ)で確保することが前提です。これらの物理的保護装置は、何十年もの実績に基づいた確実な安全機能を提供します。ココ重要です。製品安全で用いられる機能安全は、今でも限りなく補助機能に近い製品設計での使い方です。基本ハードウェアで安全確保なのです。
ソフトウェアの役割
ソフトウェアは補助的機能(Class B)として位置づけられ、ハードウェア保護がない場合のみClass Cとして重要な役割を担います。この階層的なアプローチが家電の安全文化の特徴です。 この設計は産業界の機能安全からみると不安を覚えます。
1
温度制御ソフト 通常の製品安全レベル
基本的な制御機能を提供
2
バックアップ有り 製品安全にソフトウェアで補助安全
Class B(補助機能)ヒューズ等の物理保護併用
3
唯一の保護 ソフトウェア機能だけで安全を担保する
Class C(重要機能)物理保護なしの場合
ISO 13849-1のシステム統合思考
産業機械の安全規格であるISO 13849-1では、システム全体での安全達成を重視し、診断機能も安全システムの重要な構成要素として扱われます。
1
2
3
4
1
Performance Level (PL)
2
診断カバレッジ (DC)
3
冗長化・MTTFD
4
安全機能の基盤
診断の重要性
診断機能(DC: Diagnostic Coverage)は、システムの信頼性向上に直結し、Performance Levelの達成に欠かせない要素です。単なる補助機能ではなく、安全機能の一部として積極的に活用されます。
通常は、この診断系の働きは、安全機能が正常に働くための見張り機能である。どこかに異常を見つけたら、CPUに知らせることで、CPUが安全機能を働かせるトリガーとなる。また、設計によっては外付けWDTのように診断機能(CPU自身の生存確認を行う)+安全機能の一部として安全出力をOFFにする機能として働くこともある。
もちろん、システム全体はHardwareで構成されていて、安全機能は冗長化されたり、信頼性をあげたり、様々な手法でまずは構成されて安全を担保しています。その構造を更に強固にするために診断回路が追加されます。診断回路はHardwareで構成されている場合もあれば、Softwareを用いるものもあり、ターゲットになる安全レベルPLやSIL応じて作りこみが必要になります。 実はロジカルに設計して安全を担保することは、製品安全の世界よりもかなりの実績のある製品が世の中にはあるので、実は簡単で、しかも信頼できそうな気がするのは私だけではないと思います。
90%
DC High
高い診断カバレッジでPL向上
60%
DC Medium
中程度の診断機能
0%
DC None
診断機能なし
温度制御システムの比較分析
同じ温度制御システムでも、IEC 60730(60335)とISO 13849-1では評価方法と安全レベルが大きく異なります。
1
ヒューズのみ
Class A / 古典的 昔からある製品安全レベル(部品故障のシングルフォルトでの保護のみ)
最もシンプルな保護方式
2
センサ+ソフト+ヒューズ
Class B / 一般的設計 上記の設計に補助的にソフトウェアでの安全確保を導入しているが、原則上記の設計の保護が有効に働く前提
バランスの取れたアプローチ
3
センサ+ソフトのみ
Class C / 要注意 上記の製品安全設計で用いていたハードによる保護を無くし、ソフトウェアのみで安全を確保する設計
物理保護なしのリスク
4
センサ×2+判断(比較)
Class C(IEC) / PL d〜e(ISO)  産業機器業界の保護と同じレベル すでに20年以上の世界的な実績がある回路+ソフトウェアによる保護
高信頼性システム
二つの安全文化が示す未来
IEC 60730(60335)
製品安全文化
  • ハードウェア依存の安全思想
  • 診断は補助機能(Class B)
  • シンプルで確実な保護
  • 長年の実績に基づく信頼性
ISO 13849-1
機能安全文化
  • システム統合による安全達成
  • 診断はDC要素(PL向上)
  • 複雑だが柔軟な安全機能
  • 定量的リスク評価に基づく設計

同じ診断機能でも意味が全く違う!
IoTやAI制御時代の到来により、この境界線はさらに変化する可能性があります。ソフトウェアの役割がますます重要になる中で、両規格の考え方の融合が求められるかもしれません。
1
従来
ハードウェア中心の安全設計
2
現在
規格による文化の違いが明確
3
未来
IoT・AI時代の新たな安全思想
技術の進歩とともに、安全に対する考え方も進化し続けています。それぞれの規格が持つ文化的背景を理解することで、より適切な安全設計が可能になるでしょう。