facebook Twitter Instagram YouTube 日本グループ日本グループ Global WebsiteGlobal Website

お問い合わせ

お申込書ダウンロード

メルマガ登録はこちら

パンフレットDLはこちら

メディア

Functional Safety Assessments:なぜ独立性は SIL に応じて高まるのか

ブログ

IEC 61508-1 第8項を詳しく見る 

最近、私が担当した ICFSP トレーニングコースにおいて、受講者の間で特に議論と疑問を呼んだテーマがありました。それは、IEC 61508-1 第8項に基づく Functional Safety Assessment(FSA:機能安全アセスメント)、そして実務上「独立性(Independence)」が実際に何を意味するのか、という点です。 

多くの参加者は、安全ライフサイクルの定められた段階で FSA を実施する必要があること自体は理解していました。しかし、目標とする Safety Integrity Level(SIL)が高くなるにつれて独立性要求がどのように変化するかを掘り下げると、第8項に対する理解不足が依然として広く存在していることが明らかになりました。 

その結果として生じるのが、非常によく見られる、しかも本来は回避可能なコンプライアンスギャップです。つまり、SIL 2 では許容される評価アプローチが、SIL 3 においてもそのまま通用するとは限らないということです。 

 

第8項:単なる最終チェックポイントではない 

第8項では、機能安全アセスメントを実施するための要求事項を定めています。その目的は、以下を確認することです。 

  • 機能安全ライフサイクルが正しく適用されていること 
  • そのライフサイクルの成果物が、主張されている SIL に対して適切であること 

よくある誤解として、FSA はエンジニアリング作業完了後に一度だけ実施される最終監査である、と考えられています。 

しかし実際には、規格はライフサイクル全体を通じて複数回のアセスメントを求めており、設計が成熟しリスクがより明確になるにつれて、その深度と厳格さも増していくことを期待しています。 

さらに重要なのは、第8項がアセスメント実施者の独立性についても要求事項を定めている点です。これらの要求は任意に設定されたものではなく、リスクおよび目標 SIL に明確に結び付けられています。 

 

独立性は二者択一ではない ― リスクに応じて段階的に高まる 

IEC 61508 では、独立性を単純な「ある/ない」の条件として扱っていません。代わりに、故障結果が重大になるほど要求が厳しくなる、段階的な独立性の概念を導入しています。これに関する情報は、IEC 61508-1 第8.2.18項および表4・表5に示されています。 

低い SIL レベルでは、独立性は以下のような方法で確保できる場合があります。 

  • 社内での役割分離 
  • ピアレビュー 
  • 適切なガバナンス管理 

しかし、目標 SIL が高くなると、これだけでは不十分となるケースが多くなります。 

規格は、より高い SIL に対して以下を求める傾向があります。 

  • 組織的・管理的な分離 
  • 開発組織そのものから独立したアセスメント活動 

その意図は非常に明確です。リスクが高まるほど、アセスメントプロセスは単なる技術的ミスだけでなく、「自己正当化バイアス(Self-confirmation Bias)」に対しても、より強力な防御を提供しなければならないのです。 

 

高 SIL を目指す組織にとっての意味 

実務上、多くの組織はプロジェクト後半になって初めて独立性の不足に気付きます。 

その段階では、 

  • アセッサーが既に開発チームへ組み込まれている 
  • レポートラインが固定化されている 
  • 外部機関の関与が計画的ではなく対症的になる 

といった状況が発生していることが少なくありません。 

このような場合、その影響は単なる文書修正に留まりません。 

高 SIL プロジェクトで成功している組織は、一般的に第8項への対応を早期から進めています。彼らは FSA を機能安全計画の不可欠な一部として扱い、プロジェクト開始時点から意図的に独立性レベルを設計し、高リスク案件では社内ガバナンスだけでは十分でない可能性を認識しています。 

このような先行的アプローチにより、以下を回避できます。 

  • 土壇場での再作業 
  • SIL 主張に対する厳しい指摘 
  • 独立性を後付けで確保することによるスケジュール遅延 

 

Intertek による Functional Safety Assessment 支援 

Intertek は、IEC 61508-1 第8項に基づき、機能安全アセスメントのライフサイクル全体を通じて組織を支援しています。特に、高 SIL 要求において、実証可能な独立性が求められるケースに対応しています。 

支援は通常、計画段階から始まります。 

具体的には、 

  • 目標 SIL に整合したアセスメント戦略の策定 
  • ライフサイクル全体における適切な評価タイミングの定義 
  • 独立性要求事項の早期明確化 

などを支援します。 

また、プロジェクトリスクになる前に、潜在的な組織的・ガバナンス上のギャップを特定することも含まれます。 

プロジェクト進行中には、Intertek は段階的なライフサイクルレビューや準備状況評価を実施し、以下に対する独立したレビューを提供します。 

  • 機能安全マネジメント 
  • ライフサイクル適用状況 
  • 安全要求事項およびトレーサビリティ 
  • 検証・妥当性確認(Verification & Validation)活動 

これらのレビューにより、ライフサイクル各フェーズへの移行を安心して進めることが可能になります。 

SIL 3 以上に対しては、Intertek は独立したアセスメント機関として機能することも可能です。 

その際には、 

  • 組織的・管理的独立性 
  • 経験豊富な機能安全アセッサー 
  • 明確なスコープと適切に文書化されたアセスメント 

を提供します。 

作成されるレポートは、 

  • 社内ガバナンス 
  • 規制当局への説明 
  • 第三者保証 

に活用可能な内容となります。 

 

最後に 

IEC 61508-1 第8項が示している重要な原則は、非常にシンプルです。 

独立性は固定されたものではなく、リスクの増大に応じて高まる。 

SIL に応じて拡張可能なアセスメント体制を構築している組織は、高い完全性要求に対しても自信を持って対応できます。 

一方で、それを行っていない組織は、独立性こそが最も弱い安全管理要素であったことに、後になって気付くことが少なくありません。 

次のシンプルな問いは、多くの場合、本質を浮き彫りにします。 

もし明日、目標 SIL が引き上げられた場合、現在の Functional Safety Assessment のアプローチは依然として適合しているでしょうか? 
それとも、独立性が突然問題となるでしょうか? 

 

※本ブログはグローバルサイトに掲載された記事の日本語訳です。原文はこちらよりご確認いただけます。

お問い合わせはこちら

この記事を書いた人

インターテックジャパン 電気・電子部門編集部

インターテックジャパン 電気・電子部門編集部

2005年にインターテックジャパン株式会社に入社。電気・電子部門の営業として、主にIT機器、医療機器、家電製品のEMC試験、無線試験、PSE試験などの各種試験・認証業務に従事。

おすすめ記事