診断は安全機能？それとも補助機能？

IEC 60730（60335）とISO 13849を比べてみると見える"文化差"

同じソフトウェア診断機能でも、規格によって位置づけが大きく異なります。家電と産業機械、それぞれの安全思想の違いを探ってみましょう。

家電業界のアプローチ

IEC 60730（60335）では、家電製品の安全性確保において、従来からハードウェアベースの保護が主流です。ヒューズやサーマルカットオフなどの物理的な安全装置が第一の砦となり、ソフトウェアはあくまで補助的な役割を担います。

この思想は、長年にわたって培われた家電製品の信頼性に基づいており、シンプルで確実な安全機能を重視しています。

Update（2025-09-23):　
いくつかのご質問をいただきました。産業機械分野で機能安全設計の経験をお持ちの方からのもので、非常に的確なポイントでした。

質問内容：
① IEC 60730-1を用いた機能安全設計において、設計ターゲットレベルはどのように決定するのか？
② Software Class BおよびCを適用する際、最終的な危険源の判断基準は何か？

コメント：
① IEC 60730-1には、ISO 13849-1やIEC 62061のような体系的なリスクアセスメント手法が存在しないため、設計レベルの決定は定量的な方法ではなく、業界やメーカーの判断に委ねられています。火災や感電などの重大なリスクに対しては、Software Class Cの導入が推奨される傾向があります。

② この点は産業機器との大きな違いであり、重要な要素です。産業機械では、動力源や人との接触による物理的・機械的な危険を前提にリスクレベルを設定しますが、IEC 60730-1は製品安全を基盤としており、同様のリスクレベルの設定が困難です。そのため、各業界が独自に制御回路の安全設計レベルを定めているのが現状です。

今後、産業機器と同等の安全水準が求められることは自然な流れですが、IEC 60730-1の背景が家庭用製品であることから、導入には課題もあります。産業界でIEC 60730-1を活用した安全回路設計を進めるには、Technical Committee等による明確な指針の策定が不可欠です。実際、IEC 60730-1で採用されている診断技術や設計手法は、産業機器の機能安全と共通するものが多く、今後の整合性向上が期待されます。

一方、ISO 13849では、産業機械における安全機能をシステム全体で評価します。診断機能（Diagnostic Coverage: DC）は、Performance Level（PL）向上に直結する重要な要素として位置づけられています。

この違いは、一見同じ「ソフトウェア診断」でも、その意味合いと重要性が全く異なることを示しています。

診断の重要性

診断機能（DC: Diagnostic Coverage）は、システムの信頼性向上に直結し、Performance Levelの達成に欠かせない要素です。単なる補助機能ではなく、安全機能の一部として積極的に活用されます。

通常は、この診断系の働きは、安全機能が正常に働くための見張り機能である。どこかに異常を見つけたら、CPUに知らせることで、CPUが安全機能を働かせるトリガーとなる。また、設計によっては外付けWDTのように診断機能（CPU自身の生存確認を行う）＋安全機能の一部として安全出力をOFFにする機能として働くこともある。
もちろん、システム全体はHardwareで構成されていて、安全機能は冗長化されたり、信頼性をあげたり、様々な手法でまずは構成されて安全を担保しています。その構造を更に強固にするために診断回路が追加されます。診断回路はHardwareで構成されている場合もあれば、Softwareを用いるものもあり、ターゲットになる安全レベルPLやSIL応じて作りこみが必要になります。　実はロジカルに設計して安全を担保することは、製品安全の世界よりもかなりの実績のある製品が世の中にはあるので、実は簡単で、しかも信頼できそうな気がするのは私だけではないと思います。