はじめての機能安全（その７）

7.　ハザード分析とリスク評価方法 

7.1　ハザードの識別、分類、評価

機能安全では、製品やシステムに潜む危険な状態（注１）を特定し、リスクを軽減する対策を検討するためハザード分析とリスク評価を行います。この章では、ハザードの識別、分類、評価、その後のリスクの評価について説明します。

注１：JIS C 0508-4の用語の定義によると、ハザードとは、「危害の潜在的な源」とされています。潜むとは発現されていないということを指します。危険が発生する可能性のある要因のことです。

7.1.1　ハザードの識別

ハザードの識別は、製品やシステムの設計フェーズや、それらが市場で使用されているときに、人や財産や環境に対して潜在的な危険をもたらす可能性のある状態を明らかにするプロセスです。これは、製品やシステムのすべての要素を分析し、危険な状態が発生する可能性のある個所や要因を識別することで行われます。ハザードの識別は、製品が市場に出たあとに事故が発生した場合、その原因を明らかにするためにも重要です。

7.1.2　ハザードの分類

ハザードの分類は、識別されたハザードを種類別に分類するプロセスです。一般的には、以下のような分類が行われます。

• 人的要因：

ユーザによる誤使用、不適切な使用など。

• 技術的要因：

ハードウェアの経年劣化による故障、ハードウェア自身が発生する電磁ノイズ、熱または静電気による誤動作。ソフトウェアのバグや仕様外の動作など。

• 環境的要因：

天候（温度、湿度など）や、周辺の環境（ノイズ、振動、埃、塵など）などによる誤動作または故障。

ハザードの分類は、後述するリスク制御のために必要な情報を提供します。例えば、安全関連系を用いて、ハザードによるリスクを低減する場合は、要因を予見または検知できるハザードに限られます。仕様外（性能限界外）のハザードや、ユーザの誤使用または環境から受けるハザードについては、多くの実験または試験を行いその防止策がとられていますが、ハザードを防止することが困難な場合も存在します。

7.1.3　ハザードの評価

ハザードの評価は、ハザードに関連するリスクを定量化するために行われます。評価には、以下のような情報が考慮されます。

• ハザードの発生頻度

• ハザードの重大度、すなわちハザードが引き起こす可能性のある危険性の程度

• ハザードが引き起こす可能性のある損失

• ハザードに対する対策の有効性

ハザードの評価は、リスクの高低を決定するために使用されます。高リスクのハザードには、より高度な対策または複数の対策が必要となることがあります。

7.2　ハザード分析方法

ハザード分析の代表的な手法であるFMEA、FTA、HAZOPの概要を説明します。
そのあと、これらの手法の長所と短所、およびそれぞれの適用対象を説明します。なお、適用対象は一例であり、実際にはハザード分析の目的や対象に応じて適切に選択する必要があります。

FMEA（Failure Mode and Effects Analysis）は、製品やプロセスなどにおいて想定される不具合の発生原因やその影響を分析し、事前に予防措置を講じるための手法です。具体的には、システムの機能や部品の不具合の種類や原因、発生確率、影響度を評価し、その結果をもとに不具合対応策を立案することができます。FMEAは、製品開発やプロセス改善などのさまざまな分野で活用され、リスクアセスメントの基礎となる手法の一つです。

FTA（Fault Tree Analysis）は、システムやプロセスにおいて、想定される不具合の原因を分析するための手法です。FTAでは、トップダウンアプローチを採用し、システム全体から特定の不具合に至る原因を探求していきます。具体的には、不具合の発生に必要な条件を論理的に組み合わせて木構造の図を作成し、その図から不具合の原因を特定します。FTAは、複雑なシステムの分析やリスクアセスメントなどに活用されることがあります。

HAZOP（Hazard and Operability Study）は、プラントやプロセス、システムなどの運用中に発生する危険性を特定し、予防策を考案する手法です。HAZOPでは、構成要素をある一定の観点から詳細に検討し、想定される危険性を特定します。具体的には、プロセスの操作手順や設計仕様を基に、プロセスの全体像を把握し、機能不全、操作ミス、環境変化などの要因に対して分析を行います。HAZOPは、プラントやプロセスなどの安全性評価において、高い信頼性と実績を誇る手法の一つです。

各手法の長所短所と各手法が適用される対象を表7-1に示します。

表7-1: ハザード分析手法の長短と適用対象

これらのハザード分析手法は単独で使用するだけでなく、組み合わせて使用することにより効果を上げることができます。また、ハザード分析は危険要因の抽出と危険性の影響について完全性を保証するものではないことに留意する必要があります。さらに、これらの手法を用いた分析には時間を要するため、商用の支援ツールの利用をお勧めします。

7.3　リスクの評価、制御、監視

ハザードの評価に基づいて、リスク評価を行います。リスクは、ハザードの発生頻度と重大度に基づいて算出されます。

7.3.1　リスク評価

リスクを定量化する方法（例えば、リスクマトリックスを使用する方法）や、リスクを定性的に評価する方法（例えば、危険度レベルの評価）があります。

7.3.2　リスク制御

リスク評価に基づいて、リスクを制御する対策を立てます。これは、ハザードを低減するために、設計の改良や安全機能の追加、操作手順の改善などが含まれます。また、ハザードの影響を抑える外部の防御策についても検討します。

7.3.3　リスク監視

製品やシステムが市場にリリースされた後は、定期的な監視を行います。リスク監視では、製品やシステムの改善点や新たに発見されたハザード、設計上の問題などを報告することが求められます。

以上が、一般的なリスク評価の手順です。機能安全にはさまざまな規制や規格があり、その中でリスク評価方法がガイドされていますので、それに準拠して進めてください。

7.4　安全インテグリティレベル（SIL）の決定方法

安全インテグリティレベル（SIL）　（注２）の決定は、ハザード分析に基づいて行われます。一般的に、以下の手順に従って決定されます。SILの定義については、はじめての機能安全（その２）の2.5を参照してください。

注２：JIS C 0508-4ではSILは安全度水準と訳される。

• ハザードの特定と分類

製品またはシステムのハザードを識別し、その重大度に基づいて分類します。この段階で、ハザードに対する要求事項も決定されます。

• ハザードの評価

ハザードが発生する頻度と重大度を評価します。

• SILの決定

ハザードの評価に基づいて、製品やシステムに必要なSILが決定されます。これは、ハザードとそのリスクに対する要求事項に基づいて決定されます。

• SILの確認

SILが達成されているかどうかは、SILに応じて規格が要求する適切なプロセス、技術、設計、テスト、および検証手順などに準拠して作業を行ったことをドキュメントをもとに確認します。

SILは、システムの可用性や信頼性、およびハザードを管理するために必要なリスク低減措置を決定するために使用されます。SILが高いほど、システムに求められる要件が厳しくなり、開発や評価において高度な技術や手順が必要になります。

以上の説明は、SILの一般的な決定方法ですが、具体的な決定方法については、産業別の機能安全規格にあるガイドラインを参照してください。

コラム：ChatGPTとの対話７

機能安全さえしておけば安全が担保できると思うのは間違いです。予見できないハザードについてと、ハザード分析でハザードの識別が漏れていた場合にどうすればよいかChatGPTと対話してみました。

問１：予見できないハザードの対策について

問２：ハザード識別漏れ対策について