IEC 61508（アイイーシーロクイチゴゼロハチ）

2025年10月29日

IEC 61508（アイイーシーロクイチゴゼロハチ）

英語表記: IEC 61508

概要

IEC 61508は、「電気・電子・プログラマブル電子（E/E/PE）安全関連システム」の機能安全を確保するための国際的な基本規格です。この規格は、組み込み機器やIoTデバイスが故障や誤作動を起こした際に、人命や環境に危険を及ぼさないようにするための安全設計と管理の枠組みを提供しています。特に、マイコンやソフトウェアによって制御されるシステム（組み込み機器）の信頼性を、開発の最初から最後まで、一貫して保証するために非常に重要な役割を果たしています。

詳細解説

組み込み機器における機能安全の重要性

私たちが対象とする「組み込み機器（IoTデバイス, マイコン）→ セキュリティと安全性 → 安全規格」という文脈において、IEC 61508は安全規格のピラミッドの頂点に位置すると言っても過言ではありません。工場で稼働する産業用ロボット、医療機器、さらには自動運転車の一部の制御システムなど、現代社会の多くの重要なインフラは組み込みマイコンによって動いています。これらの機器が故障することは、単にシステムが停止するだけでなく、物理的な事故や生命の危険に直結します。

IEC 61508の目的は、こうした機器が持つハザード（潜在的な危険）を特定し、その危険が発生する確率を「許容可能なリスクレベル」まで下げることにあります。ここでいう「機能安全」とは、システムが正しく機能しなくなったとしても、意図しない危険な挙動が発生しないようにする安全対策の仕組みのことなのです。

ライフサイクルアプローチと安全度水準（SIL）

IEC 61508の核となるのは、システムの開発全体にわたる「安全ライフサイクルアプローチ」です。これは、単に最終製品をテストするだけでは不十分であり、企画、設計、実装、運用、保守、そして廃棄に至るまで、すべての工程で安全性を考慮し続けることを要求しています。

主要な構成要素として、特に以下の二点が重要となります。

1. 安全度水準（Safety Integrity Level: SIL）

IEC 61508を理解する上で、最も重要な概念が「SIL」です。これは、システムが要求される安全機能を、どれだけ高い確率で実行できるかを示す指標です。SILは1から4までの4段階で定められており、数字が大きいほど高い安全性が求められます。

SIL 1: リスクが比較的低いシステムに適用されます。
SIL 4: 極めて高い安全性が要求されるシステム（例：原子力発電所の制御、一部の化学プラントの緊急停止システムなど）に適用されます。

組み込み機器を開発する際、まずリスク分析を行い、その機器が故障した際の危険度に応じて適切なSILレベルを決定します。このレベルが、ハードウェアの冗長性（二重化・三重化）やソフトウェアの検証プロセス、さらには開発者の文書化の厳格さまで、すべての設計要件を規定する「厳格な安全の設計図」となるわけです。マイコンやセンサーといった組み込みコンポーネントを選定する際も、このSIL要件を満たしていることが必須となります。

2. プログラマブル電子システムへの要求

組み込み機器の多くはソフトウェアで動作するため、ソフトウェアの信頼性が全体の安全性を大きく左右します。本規格は、ソフトウェアの設計、コーディング、テスト、検証プロセスについても厳格なガイドラインを設けています。例えば、特定のプログラミング言語の使用制限、形式手法（数学的な証明）を用いた検証、徹底したレビュープロセスなどが要求されます。これは、ソフトウェアのバグが「見えない故障」として潜伏し、予期せぬ瞬間に大きな事故を引き起こすリスクを排除するためです。

規格の構成（7つのパート）

IEC 61508は、基本原則、ハードウェア・ソフトウェアの要求事項、文書化、関連規格の適用など、多岐にわたる7つのパートで構成されています。組み込み開発者は、これらの要求事項を遵守することで、国際的に認められた安全性を製品に組み込むことができるのです。

具体例・活用シーン

1. 産業用ロボットの非常停止システム

工場の製造ラインで使用される産業用ロボットは、マイコンによって高度に制御されています。もし、ロボットが予期せぬ動きをしたり、作業エリアに人が侵入した際に停止しなかったりすれば、重大な人身事故につながります。

ここでIEC 61508が登場します。ロボットの非常停止システムは、非常に高いSIL（例えばSIL 3）が求められます。この高い安全性を実現するために、非常停止ボタンの信号を処理するマイコンシステムは、単一ではなく、二重または三重に冗長化されます。もし一つのマイコンが故障やフリーズを起こしても、残りのマイコンがそれを検知し、瞬時にロボットの駆動源を遮断する仕組みが組み込まれます。これは、組み込み機器が「故障しても安全（Fail-Safe）」であることを保証するための具体的な適用例です。

2. アナロジー：飛行機の管制塔とパイロットのチェックリスト

IEC 61508の考え方を理解するための良いアナロジーとして、「飛行機の管制塔とパイロットのチェックリスト」を考えてみましょう。

組み込み機器（飛行機）は非常に複雑で、小さなミスが大きな事故につながります。IEC 61508（管制塔の厳格な運用規則とパイロットのチェックリスト）は、この事故を防ぐための二重三重の安全網を提供するものです。

管制塔（安全ライフサイクル）：飛行機が離陸（開発開始）から着陸（運用終了）するまで、すべてのフェーズで厳格な手順（リスク分析、設計検証、テスト）を定めています。いつ、何を、どのようにチェックするかをルール化し、手順を無視して安全を確保することは許されません。

チェックリスト（SIL）：パイロットは離陸前、必ず膨大なチェックリストを読み上げ、すべての項目を二人で確認します。このチェックリストこそが、システムの安全度水準（SIL）を具体的に実現するための手順書です。チェックリストに漏れがあれば、飛行機の安全は保証されません。組み込み機器の開発においても、このチェックリスト（規定されたプロセス）を徹底的に守ることが、規格遵守の核心となります。

3. IoTデバイスへの適用

最近では、スマート家電やホームオートメーション機器など、より身近なIoTデバイスにも組み込み機器が使われています。これらの機器が火災やガス漏れなど、危険な状態を防ぐ「安全機能」を担う場合、IEC 61508の考え方が適用されます。例えば、スマートガス検知器が、マイコンのフリーズによってガス漏れを検知できなくなる事態を防ぐために、バックアップシステムや自己診断機能が組み込まれるのです。組み込み機器が担う役割の重要性が増すほど、この規格の適用範囲は広がり続けているのです。

資格試験向けチェックポイント

組み込み機器の安全性に関する規格は、特に基本情報技術者試験や応用情報技術者試験の午後問題（組み込みシステム分野）で問われる可能性があります。ITパスポート試験では、詳細な規格名というよりは、「機能安全」という概念そのものが問われることが多いです。

機能安全（Functional Safety）の定義: 機器の故障や誤作動が危険な状態を引き起こさないようにするための安全対策の総称であることを理解しましょう。「セキュリティ（情報漏洩対策）」と「安全性（物理的な危険防止）」を混同しないことが大切です。
IEC 61508の位置づけ: E/E/PEシステム全般の機能安全に関する「基本規格」であり、多くの産業別規格（例：自動車のISO 26262など）の土台となっていることを押さえておきましょう。
安全度水準（SIL）: 危険度に応じて要求される安全性のレベルを示す指標であること、そしてSIL 1から4まであることを覚えておきましょう。特に、高いSILが求められるほど、設計や検証のプロセスが厳格になるという対応関係を理解しておくことが重要です。
ライフサイクルアプローチ: 開発の初期段階から運用・廃棄まで、すべてのフェーズで安全性を考慮し続けるという考え方が重要です。組み込みシステム開発における品質管理やリスク分析の問題と関連付けて出題されることがあります。
組み込みシステムの特性: マイコン制御システムでは、ハードウェアの故障だけでなく、ソフトウェアのバグが機能安全を損なう主要因となるため、IEC 61508がソフトウェア開発プロセスに厳しい要求を課している点を理解しておくと、応用的な問題に対応できます。