機能安全と IEC/UL 60730-1 Annex H
目次
製品開発チームが知っておくべきこと
電子制御が従来の電気機械式ソリューションに代わって広く採用される中、機能安全(Functional Safety)は製品適合性における重要な要素となっています。家庭用電気製品、HVAC機器、エネルギーシステム、モータードライブに至るまで、今日の製品は危険な状態を防止するために電子回路や組込みファームウェアへ大きく依存しています。
このような背景から、IEC/UL 60730-1 Annex H が重要な意味を持つようになっています。
Annex H が存在する理由
従来、電気製品の安全性は主に電気機械式ハードウェアによって確保されていました。代表例として、バイメタル式サーモスタット/スイッチや機械式リレーが挙げられます。これらの部品は、設計の適合性を確認するために、機械的耐久試験や偏差・ドリフト検証など、規定された試験プログラムによって評価されていました。
しかし、現代のソリューションでは以下のような技術が使用されています。
- マイクロコントローラおよび複雑な集積回路(IC)
- 組込みファームウェア
- ロジックレベル信号による間接負荷制御
これらの技術は、「系統的故障(Systematic Failure)」や「ランダム故障(Random Failure)」という新たなリスクをもたらします。これらは、従来の電気機械式技術向けに設計された評価や試験方法では十分に対応できません。
Annex H は、安全に関わる電子制御が、故障や異常が発生した場合でも安全性を維持できるよう、適切に設計・試験・文書化されていることを保証するために導入されました。
機能安全とは?
簡単に言えば、機能安全とはシステムが以下を確実に行うことを意味します。
- 潜在的に危険な状態を検知する
- その状態に対して正しく応答する
- 必要に応じて安全状態、またはリスク低減状態へ移行する
機能安全は、危険そのものを排除するものではありません。必要な場面で安全関連制御機能が確実に動作することにより、危険な状況に対して適切な対応を実現するものです。
IEC/UL 60730-1 Annex H はいつ適用されるのか?
Annex H は、電子制御が以下のような危険を低減するために使用される場合に適用されます。
- 火災
- 感電
- 人身傷害
- 特殊危険(例:爆発)
製品開発者は、以下を含む設計において Annex H の適用を検討すべきです。
- 保護制御または制限制御
- 通常運転時に安全性を担う重要な電子回路
- 安全判断に関与する組込みファームウェア
多くの最終製品規格では IEC/UL 60730-1 を明示的に参照しているほか、「protective control(保護制御)」「safety circuit(安全回路)」「Class B/C control」など類似の用語が使用されています。
制御機能の分類:Class A、B、C
Annex H の重要な概念の一つが、制御機能の分類です。
Class A
- 安全性に依存しない制御
- 製品固有の火災・感電危険のみを対象
- 機能安全評価は不要
Class B
- 火災、感電、人身傷害防止のために依存される制御
- 単一故障許容(Single-Fault Tolerance)が必要
- 機能安全評価が必要
Class C
- 特殊危険(例:爆発)防止のために依存される制御
- 単一故障および二次故障への耐性が必要
- アーキテクチャ要件に対してより高度な審査が必要
(例:Class C 適合にはデュアルチャネル設計や、独立監視機能を備えた高信頼単一チャネル設計が求められる) - 機能安全評価が必要
適切な分類は極めて重要であり、必要となるハードウェア、ファームウェア、および試験の深度を決定します。
Annex H 評価でカバーされる内容
Annex H の機能安全評価では、通常以下の3つの主要領域が対象となります。
1. ハードウェア故障評価
- 故障モード影響解析(FMEA)
- 単一故障(Class B)または二重故障(Class C)への耐性評価
- 冗長化、フェールセーフ動作、部品信頼性のレビュー
- FMEA解析を検証するための故障挿入試験
2. EMC イミュニティ試験
- 試験前後における安全機能の検証
- 複数動作モード(通常運転、リスク低減/待機状態など)での評価
- 電磁妨害によって安全機能が失われないことの確認
3. ソフトウェア/ファームウェア評価(該当する場合)
ファームウェアを使用する Class B および Class C 制御については、以下が評価対象となります。
- ソフトウェア開発ライフサイクル(SDLC)およびプロセスのレビュー
- 開発文書、試験、変更/バージョン管理の評価
- マイクロコントローラやシステム故障を検出・低減する技術の評価
- 系統的エラー防止およびランダムエラー検出への重点確認
リスクアセスメントは必要か?
興味深いことに、IEC/UL 60730-1 自体は、危険分析やリスクアセスメントを明示的には要求していません。
しかし、以下の場合にはリスクアセスメントが必要となる可能性があります。
- 最終製品規格で要求されている場合
- 適用製品規格において安全機能が明確に定義されていない場合
実務上、多くのメーカーはリスクベースの手法を用いて、安全上重要な機能を明確化し、設計判断の妥当性を説明しています。
場合によっては、最終製品規格が低減すべき危険を明確に規定していることもあります。
文書化(Documentation)
メーカーは、NRTL(国家認定試験機関)に対し、以下の条件を満たす適切な文書を提供する必要があります。
- 整理され、明確で、他の開発者・認証エンジニア・関係者が理解しやすいこと
- バージョン番号および日付によるトレーサビリティがあること
- 製品ライフサイクル全体を通じて維持されること
提供情報には以下が含まれます。
- ハードウェア設計
- 電気回路図
- システム配線図
- BOM(部品表)
- 部品レベルFMEA
ソフトウェア/ファームウェア
ソフトウェア開発ライフサイクル(SDLC)に関連する以下の情報:
- ソフトウェア仕様書
- ソフトウェアアーキテクチャ
- モジュール設計およびコーディング情報
(例:使用開発ツールやプログラミング言語) - ソフトウェア試験方法および結果
- 変更管理およびバージョン管理プロセス
認証後も続く要求事項:生産と市場監視
機能安全は認証取得で終わるものではありません。Annex H は、以下に対する要求事項も定めています。
- 安全重要部品(ファームウェアバージョン含む)の管理
- 生産ラインにおける安全機能試験
- 継続的な市場監視およびフォローアップ評価
これらの要求により、安全性は設計段階だけでなく、製造工程や市場投入後の製品においても維持されます。
まとめ
IEC/UL 60730-1 Annex H は、現代の電子製品の実態を反映した規格です。製品機能がますますソフトウェア主導かつ相互接続化される中で、機能安全は後付けではなく、開発初期段階からシステムへ組み込む必要があります。
設計初期から Annex H を理解しておくことで、メーカーは以下を実現できます。
- 高額な再設計の回避
- 認証プロセスの効率化
- より安全で信頼性の高い製品の市場投入
機能安全は、もはや一部の特殊分野だけのものではありません。今やあらゆる分野に広がっています。
この記事を書いた人
