CRA・機械規則の関係性と機能安全の正しい進め方①:機能安全の基礎

適用開始が迫る欧州サイバーレジリエンス法(CRA)・欧州機械規則の関係性と機能安全の進め方について、今回から全5回の記事で解説します。

機能安全の基礎

近年、制御システムの高度化・ネットワーク化に伴い、安全(Safety)に加えてセキュリティ(Security)の観点が不可欠となっています。

本章では、機能安全の基本概念から、機械規則およびサイバーレジリエンス法(CRA)との関係、さらにリスクアセスメントを起点とした安全要求の考え方について解説します。

安全・機能安全とは

国際規格において「安全」とは「許容できないリスクがないこと」と定義されています。一方、機能安全(Functional Safety)はIEC 61508において「システムまたは装置が入力に対して正しく動作することに依存する全体安全の一部」とされています。

実務的には、機能安全は以下のように理解するとよいです。

  • E/E/PE(電気・電子・プログラマブル電子)で構成された安全機能
  • 安全機能が故障しても危険にならない設計

ここで重要なのは、「故障を前提とした設計」です。電気・電子部品には故障モードが定義されていますが、マイコンやFPGA、ソフトウェアは複雑であり、故障モードを定義することが難しいです。そのため、System FMEAやFMEDAにより危険側故障(安全機能が損失する故障)を特定し、それを検出して安全状態へ移行させる診断機能を設計する必要があります。 また、「安全か」「危険にならないか」という観点から規格への適合を行う必要があります。さらに、規格は技術に追いつかないため、その時点での最善(State of the Art)を尽くすことが求められます。

機械規則とCRA対応

従来のリスクアセスメントは人への危害を中心に行われてきましたが、近年はサイバー攻撃によるリスクを考慮する必要があります。EUでは機械規則およびサイバーレジリエンス法(CRA)により、サイバー攻撃によって危険にならないことが要求されています。

 

図1

図1に示すように、従来のリスクアセスメントに加えて、サイバー攻撃を危険源として扱い、リスクを特定・評価する必要があります。サイバー攻撃は悪意あるものによって行われる点が従来の故障とは異なります。

 

図2

さらに、図2はこれらのリスクを制御システムの観点で整理したものです。

  • 人への危害:Safetyリスク
  • 機能安全の損失による人への危害:SafetyとSecurityの複合リスク
  • 資産への危害:Securityリスク

これらに対する対応は以下のように整理できます。

  • 人への危害:Safetyリスク
    従来通り、物理的ガードや機能安全で対応します。機能安全規格では、安全機能が非安全機能の影響を受けないことが要求されます。
  • 機能安全の損失による人への危害:SafetyとSecurityの複合リスク
    サイバー攻撃によりプログラムやデータが改ざんされ、安全機能が失われるリスクがあります。このため機械規則では、サイバー攻撃を含めたリスクアセスメントとリスク低減策の実装が要求されます。
  • 資産への危害:Securityリスク
    生産停止などの影響を含むリスクであり、サイバーレジリエンス法(CRA)やIEC 62443に基づく対応が必要となります。

サイバーレジリエンス法(CRA)では、これらに加えて製品リリース後のインシデント対応や継続的なセキュリティ管理体制も要求されます。

リスクアセスメントと安全要求

従来からリスクアセスメント要求はありましたが、サイバー攻撃を含めたリスクアセスメントは機械規則およびサイバーレジリエンス法(CRA)に共通する基盤であり、明確に要求されていますので、第三者に理解できる内容で作成・管理、必要に応じて見直を行なってください。

リスクアセスメントの実施にあたっては、以下の情報を明確にする必要があります。

  • 制御システムの仕様(機能、使用環境、制約条件)
  • システムの機能ブロック図
  • 通信・インターフェースの特定と仕様(機能、使用環境、制約条件)

これらを基にリスクおよび脅威を分析し、リスク低減策を割り当てます。さらに、その結果はエビデンスとして第三者が理解できる内容で作成・検証・管理することが求められます。

割り当てられたリスク低減策は、以下のように安全要求へと展開されます。

  • 従来の危害リスク → 機能安全要求(IEC 61508、ISO 13849等)
  • サイバー攻撃による安全機能損失 → 機械規則対応(prEN 50742等)
  • 資産リスク → サイバーレジリエンス法(CRA)またはIEC 62443対応

このように、リスクアセスメントは安全要求を定義する起点であり、設計開発の基盤となります。

機能安全の進め方

安全要求に基づき、機能安全規格に適合した安全機能の設計開発を行います。図3に、第三者認証を含めた機能安全規格対応の概略を示します。

 

図3

機能安全規格対応において最も重要なのは、コンセプト設計です。コンセプト設計では、安全機能の安全性と設計開発の信頼性を担保します。

特に第三者認証を受ける場合は、必ずコンセプト設計に対する審査が実施されます。この審査を通過しない限り、その後の設計開発を進めても手戻りが発生する可能性が高く、結果として開発効率やコストに大きな影響を与えます。そのため、初期段階でのコンセプト設計の完成度が極めて重要となります。

コンセプト設計完了後は、設計開発の信頼性を担保するために策定したSafety Plan(安全計画)に従い、設計開発、検証、および機能安全マネジメント(FSM)を実施します。これにより、開発プロセス全体を通じて一貫した品質とトレーサビリティを確保します。

また、第三者認証を受ける場合は、設計開発の後半段階において、認証機関による評価が実施されます。具体的には、実際に故障を挿入してみる試験(Fault Insertion Test:FIT)や、設計開発の実施結果に対する審査、さらに環境試験やEMC試験などが行われます。 このように、機能安全の進め方は、コンセプト設計を起点として、安全要求に基づく設計開発とその検証を体系的に実施し、必要に応じて第三者認証によってその妥当性を確認するプロセスとなります。

まとめ

本章では、機能安全の基礎として以下を整理しました。

  • 機能安全は「故障しても危険にならない設計」です
  • サイバー攻撃によりSafetyとSecurityの統合が必要です
  • 機械規則とサイバーレジリエンス法(CRA)は共通のリスクアセスメントに基づきます
  • リスクアセスメントが安全要求の起点となります • 初期設計段階が成功の鍵となります

次章では、安全機能の構成や診断機能、要求事項など、より具体的な設計内容について解説します。

本記事の筆者

セイフティ・クリエイト株式会社
高山 哲哉 氏

産業用ロボットの機能安全認証経験をもとに、産業製品を中心に第三者認証取得支援を行っております。メーカー様と一緒に規格要求を製品に落とし込み、その過程で規格要求の内容等を理解頂き、第三者認証審査に備えてまいります。

https://safety-create.com/


C/C++testは、静的解析、単体テスト、カバレッジの計測、実行時メモリエラー検出、効率的な運用や規格順守を補助する機能などを搭載したC言語/C++言語対応のオールインワンテストツールです。MISRA、AUTOSAR、CERT、CWEなどで定められた規約に基づくコーディングの支援や、単体テストやアプリケーション実行時に自動的にカバレッジを計測するなど、さまざまな要件に対応しています。

C/C++test


C/C++test CTは、セーフティクリティカルな開発でのGoogleTestの活用をサポートします。単体テストにおけるカバレッジ計測やテスト要件のトレーサビリティ確保などの機能により、効率的な機能安全対応を可能にします。ツール認証済みのGoogleTestをパッケージとして含み、機能安全規格におけるツールの妥当性検証が不要です。さらに、MCPサーバーを用いたAI連携機能を搭載し、AIエージェントと連携したスムーズなツール利用も実現します。

Top