医療機器ソフトウェアの国際規格を検討する国内委員会に長年参加していて、機能安全規格である IEC 61508(機能安全) を医療機器業界にも採用せよという圧力が度々かかり、その都度、医療機器業界側がその要求を跳ね返してきた歴史を聞いてきた。
なぜ、そのような圧力がかかるのか。
その理由のひとつは、IEC 61508(機能安全 Functional Safety)の認証ビジネスの市場は 2023年に55億ドル規模となっており、その中で自動車分野が最も高い 10%で成長していて、この認証ビジネスの市場に医療機器も含めようという思惑があるからだ。
そこで今回、AIの分析も交えながら、機能安全を採用している自動車業界と医療機器業界のリスクマネジメントの違いを掘り下げてみたいと思う。
A. 筆者が考える自動車業界と医療機器業界のリスクマネジメントの違い
自分は自動車業界でのソフトウェア開発経験はないのだが、ずっと、IEC 61508(機能安全) や ISO 26262(自動車の機能安全規格)についてアンテナを張ってきた。
そして、出した結論がこうだ。
自動車はサプライヤーが提供する部品を、完成品メーカーであるOEMがアセンブリして自動車に仕上げる。OEMは サプライヤーに対して、ISO 26262 への適合を条件にすることで、自動車の安全性を高めたい。安全が規格によって担保された部品を組み合わせることでシステムの安全を確保するという、フォールトアボイダンスの考え方を採用している。
一方、医療機器は、医療機器の種別によって、基本性能や基礎安全がまったく異なる。例えば、人工呼吸器と画像診断装置では、基本性能も基礎安全も異なり、安全対策も代わってくる。そのため、医療機器の安全を担保するためには、医療機器メーカーが主導してリスクマネジメントを行い、ソフトウェアを含む各部品に不具合があるとい前提でフェールセーフやフォールトトレランスの安全設計を行う必要がある。
自動車業界のボトムアップのリスクマネジメントのアプローチに対して、医療機器業界はトップダウンのリスクマネジメントであるというのが、自分の考えであった。
また、自動車の基本性能は、「走る・止まる・曲がる」であり、医療機器と違って、その点は自動車というカテゴリーでは変わらないので、リスクマネジメントの方向性はどの自動車でも変わらず、OEMがサプライヤーに求める機能安全は保険のようなもので、基礎安全の確保の本質ではないと思っていた。その証拠に、医療機器業界では、規制当局が ISO 14971や IEC 62304 を規制要件としているの対して、自動車業界では ISO 26262 は規制要件にはなっていない。これは、ISO 26262 がストレートに自動車の安全に必要不可欠という要件ではないという認識だからだと考える。
そういう状況なのに、機能安全の認証ビジネスは、2023年に55億ドル規模となっており、機能安全の認証機関やコンサルティングファームは、機能安全への適合の必要性をさかんにアピールし、またサプライヤーも自分達の担当製品が ISO 26262 の認証を取ったことをニュースリリースする。
個人的にはその風潮は機能安全の認証ビジネスを増長させるだけであって、認証取得にかけたコストの全てが自動車の安全にストレートには寄与していないと感じていた。
だから、認証機関やコンサルテーションファームが IEC 61508 と ISO 26262 と IEC 62304 をひとくくりにして、各製品のサプライヤーはこれらの認証を取得しなければならないと主張するたびに、IEC 62304 は、医療機器製造業者にもとめられる規格であり、医療機器のソフトウェアを委託開発しているソフトハウスに対してIEC 62304の認証は要求していないということを説明し訂正を求めてきた。
その効果があったせいか、ここ数年このような間違った主張をするインターネット上での記事は見かけなくなったように思う。
そもそも、機能安全(Functional Safety)ってなんだ?とずっと疑問に思っていた。「機能」と「安全」をくっ付けたことに強い違和感を感じていた。ISO 14971 の安全の概念は、医療機器がもたらすすべての危害を分析し、対策して残留リスクを受容可能にすることがゴールなのだが、機能安全のゴールは、安全関連機能が要求(SIL/ASIL)を満たし、故障しても安全状態になることとなっている。どちらも、安全を目指しているものの、本質が違うように思えてならないのだ。
医療機器はトップダウンでリスクマネジメントの本質を追究していて、自動車の機能安全はボトムアップで安全な部品を集めればシステムも安全になるという、フォールトアボイダンスの概念であり、それは、リスクマネジメントの正しい考え方ではないと感じてしまう。
下記に AIが分析した IEC 61508(機能安全)と ISO 14971(医療機器リスクマネジメント)の違いを示す。
B. IEC 61508 と ISO 14971の違い──“同じリスクマネジメント”では語れない理由(AIの分析)
医療機器の開発者や品質担当者にとって、IEC 61508(機能安全の基本規格)と ISO 14971(医療機器リスクマネジメントの国際規格)は、どちらも「リスクを下げるための規格」として耳にする機会が多いと思います。しかし両者は 守ろうとしている対象も、リスク低減の方法論も、本質的に異なる ため、単純に置き換えたり“どちらが上位”と序列化したりはできません。 以下にその違いを整理してみます。
1. スタート地点が違う
- IEC 61508 は、電気/電子/プログラマブル電子(E/E/PE)システムが「故障しても人を傷つけない」ように設計する 機能安全 の総本山です。自動車、化学プラント、鉄道など各産業がここから派生規格(ISO 26262 など)を作ってきました。
- ISO 14971 は、医療機器がもたらす あらゆる危害――電気的誤動作だけでなく、化学的暴露、使用ミス、サイバー攻撃など――を対象にした包括的なリスクマネジメントのフレームワークです。
2. “リスク”という言葉の意味が違う
- IEC 61508 ではリスクを 定量的指標(PFH, PFDavg) にブレークダウンし、あらかじめ目標値(SIL)を設定して達成可否を判断します。言わば「○○ Fit/Hour 以下にしなさい」という 数値契約 が核心。
- ISO 14971 ではリスクを 発生確率と危害の重大度の組み合わせ で見積もり、残留リスクが「受容可能か/ベネフィットが上回るか」を経営レベルで判断します。こちらは 医療上の価値と危害を秤にかける 思考法です。
3. リスク低減の優先順位が違う
- IEC 61508 は「故障を避ける → 故障を検出する → 安全状態に導く」という 機能(機械的アクション) でリスクを下げる道筋を示します。冗長化や診断回路が主役です。
- ISO 14971 はまず「本質安全設計(危険源そのものを除去)」を最優先とし、次に防護機構、最後に取扱説明書やトレーニングでカバーするという 階層防御 を採ります。医療現場では「ユーザー教育」も正式なリスクコントロール手段と見なされます。
4. ライフサイクルの捉え方が違う
- IEC 61508 は開発~運用~廃棄までを “安全ライフサイクル” として工程管理しますが、フォーカスは 安全関連システムの信頼性確保 にあります。市販後のフィードバックよりも、設計段階の定量検証が重い。
- ISO 14971 は 市販後監視(PMS) を含めた“ファイル”の更新サイクルを重視し、臨床データや苦情情報を継続的にリスク評価へ反映するよう求めます。市販前のリスクマネジメントも要求していますが、製品が市場に出てからが本番、という発想です。
5. コンプライアンスの位置づけが違う
- IEC 61508 は法律で直接義務づけられていない国が多く、「契約条件」「業界慣習」「第三者認証」で守られていることがほとんどです。
- ISO 14971 は EU MDR、FDA QSR、薬機法 など各国規制と密接にリンクしており、実務的には**“ほぼ必須”**。適合しなければ市販許可が降りない場合もあります。
C. 自動車は「走る・止まる・曲がる」だけではない。
AIから、こう指摘されたのでその論拠を示しておく。
1.「走る・止まる・曲がる」はクルマの“運動三本柱”
自動車の運動性能を語るとき、昔から業界や大学の講義、技術系メディアで必ず登場する切り口が「走る(推進)・止まる(制動)・曲がる(操舵)」の三つです。NSK の技術ストーリーや自動車教室の記事でも、この三要素を“車両運動の基本”と明言しています。行政サイドも同じ捉え方で、国土交通省は ADAS を説明するときに「走る・曲がる・止まるの基本操作を支援する制御」と表現します。 したがって 運動面に限定すれば、この三つをもって「自動車の基本性能」と呼ぶのは妥当 だと言えます。
2.“総合性能”を語るには三要素だけでは足りない
ただし、現代の自動車は走行ダイナミクスだけで評価されるわけではありません。事故後の乗員保護や衝突回避といった 安全性能、省エネ・排出ガス規制に絡む 環境/経済性、静粛性や HMI(ヒューマンマシンインタフェース)、コネクテッド機能といった 快適・情報性能、さらに耐久・整備性や OTA 更新まで含めた 信頼性・保全性――多面的な“商品力”が求められています。ISO 26262 をはじめ最新の車両規格は、こうした横串領域(セキュリティ、サービス性、サステナビリティなど)まで要求を広げています。
要するに「走る・止まる・曲がる」は土台であっても、それだけで車づくりの全体像を語り切ることはできません。
3.機能安全の視点で見る三要素
ISO 26262 の HARA(ハザード分析とリスクアセスメント)では、 走る・止まる・曲がる に関わる機能は最も高い ASIL、しばしば ASIL D に分類されます。理由は簡単で、この三要素が失われるとクルマは即座に軌跡を制御できなくなり、乗員・歩行者ともに致命的なリスクが生じるからです。
- 半導体ベンダ(Tier-2) はロックステップ CPU や ECC などで「走る」機能をフォールトトレランス化。
- ブレーキ ECU のサプライヤ(Tier-1) は冗長回路やフェイルセーフ機構で「止まる」機能を守る。
- OEM はシステム統合層で最小リスク操舵(Minimum Risk Manoeuvre)を実装し、「曲がる」機能の残留リスクを受け持つ。
このようにサプライチェーン全体で三要素を多重に支え、単一点故障で人命に直結しないよう作り込む構造ができています。
4.実務での活かし方──“三要素+α”で考える
- まずは三要素を押さえる クルマを動かす基礎指標として「走る・止まる・曲がる」は不変のものさしです。
- しかし評価軸を広げる 今日の車両企画・審査・規制対応では、安全・環境・快適・デジタルなど“+α”を加えた多面的評価が欠かせません。
- 機能安全では最高リスク源 三要素は最も高い ASIL を与えられるため、OEM から半導体まで冗長化・診断カバレッジを分担して確保するのが実務のセオリーです。
D. 機能安全を深掘りしてみる
ちなみに、冒頭の 自分の機能安全に対する考え方について、AIに聞いてみたところ「ステレオタイプであり、そんなに単純化できるものではない」と怒られた。
特に、自動車の機能安全はフォールトアボイダンスで、フェールセーフやフォールトトレランスではないという考えについては、次のように反論された。また、サプライチェーンと認証ビジネスの関係についてもAIに聞いてみた。
1. サプライチェーンと「認証ビジネス」の関係を物語る4つの事実
まず押さえておきたいのは、ISO 26262 への適合が 法律で強制されているわけではない という点です。道路運送車両法や FMVSS など各国の保安基準には直接組み込まれておらず、「業界が自主的に使うベストプラクティス」という立ち位置にとどまっています。
ただし OEM(完成車メーカー)は車両全体の安全責任を負うため、部品やソフトを供給する Tier 1、さらにその下位サプライヤーに対して「ISO 26262 に従った開発プロセスを示せ」と契約で要求します。“客先要求”という形でチェーンの下流まで波及するのが実態です。
ここで大きな役割を果たすのが TÜV、exida、SGS といった第三者機関の認証サービスです。ISO 26262 自体は自己宣言でも構わないのですが、入札競争力や訴訟リスク低減を狙って「外部のお墨付き」を取る企業が増えており、認証は半ばマーケティング・ツールとして使われています。
結果として「機能安全」市場は 2023 年時点で約 55 億ドル、しかも自動車分野が年 10 %前後で伸びていると報告されています。――つまり、多数のサプライヤーが存在する構造と認証ビジネスの相互作用が ISO 26262 普及を後押ししているのは事実ですが、本質は“安全責任を証明可能に分担する”仕組みづくりにあります。認証はあくまでその手段にすぎません。
2. 規制当局が ISO 26262 を“強制しない”3つの理由
第一に、パフォーマンス・ベース規制という考え方があります。国連 WP.29(たとえば UN R157/ALKS)は「審査官は ISO 26262 の知識を持つべき」とは示しても、規格そのものへの義務的準拠は求めません。NHTSA や EU GSR II も同じく、「一定距離で自動緊急ブレーキが止まるか」といった結果を試験で示し、方法までは縛らないスタイルです。
第二に、民事責任との二重構造が機能しています。重大な欠陥があれば OEM は巨額リコールや PL 訴訟に直面するため、規格適合は「合理的注意を払った」ことを示す防御材料になります。強制されなくても自主的に従うインセンティブが働くわけです.
第三に、技術進化への追随性を確保したいという事情があります。ハード法規で特定の手順を固定すると、規格改版のたびに法改正が必要になりイノベーションを阻害しかねません。そこで当局は「成果を示せば手段は問わない」という枠組みを選びました。
要するに、「安全に直結しないから強制しない」のではなく、成果主義と民事責任を組み合わせて柔軟性と技術革新を両立させる――それが各国規制当局の基本スタンスです。
3. ISO 26262 の安全哲学は Fault Avoidance だけではない
誤解されがちですが、ISO 26262 が求める安全設計は 三層構造です。
- Fault Avoidance(系統的故障の未然防止) コーディング規約や静的解析、レビューといった開発プロセスで設計ミスを作り込まないことを徹底します。これはパート 2 とパート 6が詳述しています。
- Fault Detection と Fail-Safe/Fail-Silent(故障後の安全停止) 故障を完全にゼロにはできません。そこで高い診断被覆率で異常を検出し、規定時間内に安全状態へ遷移させる仕組みを要求しています。ブレーキ ECU なら「電圧異常を検知したら油圧を保持して停止」といった具合です。
- Fault Tolerance/Fail-Operational(故障後も機能を維持) 自動運転のように「止まること」自体が危険なケースでは、冗長系へ切り替えて走り続ける設計が必要になります。第2版ではこの Fail-Operational コンセプトが補強されました。
このように ISO 26262 は「故障を避ける」「故障を見つける」「故障に耐える/安全に止める」という 総合戦略 をライフサイクル全体に埋め込んでいます。Fault Avoidance だけに特化した規格ではありません。
まとめ
- 普及ドライバー:OEM が契約でサプライヤーに要求し、第三者認証が市場競争力になる。
- 規制の立ち位置:法的強制ではなく、成果義務と PL 法が実効性を担保。
- 安全哲学:Fault Avoidance、Fail-Safe、Fault Tolerance を一体化した多層防御。
ISO 26262 を語るときは、「誰がどの層の安全責任を担い、どう証明するのか」という視点で見ると、サプライチェーンと規制の力学がクリアに見えてきます。
E. 医療機器は IEC 61508を義務にしていない
医療機器が IEC 61508を義務にしていないことを AI にまとめてもらった。
医療機器が IEC 61508 を「義務化しない」と決めてきた経緯──公式文書を手がかりに読み解く
「医療機器にも IEC 61508 を強制すべきだ」という声は過去に何度も上がりましたが、結局いまも“適用除外”のままです。なぜそうなったのかは、議事録を追わなくても 一次資料の本文 にはっきり書かれています。ポイントになる4つの証拠を時系列で追ってみましょう。
1. 61508 自身が “医療機器は対象外” と宣言している
最新の第2版(2010)Part 1〈Scope〉には 「IEC 60601 シリーズに適合する医療機器には適用しない」 という一節が残っています。汎用機能安全規格側が自ら線引きをしているわけです。iTeh Standards
2. 医療ソフト専用規格 62304 が「参考にするが要求しない」と明記
IEC 62304 第2版 CDV の Annex C.9 は、
61508-3 の手法は参考情報として使ってよいが、要求事項としては採用しない── と断言し、SIL ではなく “Software Process Rigor Level+ISO 14971” を採用する理由を説明しています。MLFP Content
3. 学協会ガイドでも「医療だけ例外」と総括
IET の 2020 Medical EMC Guide は、
61508 をベースにした機能安全規格は数多いが、医療規格だけは ISO 14971 が基盤 と繰り返し指摘しています。機能安全の専門家が書いたハンドブックでも同じトーンです。Interference Technology
4. 直近の専門家コメント(2025)も同じ見解
LinkedIn で公開された機能安全選定ガイド(2025/7)は、
医療製品(IEC 60601 系)は IEC 61508 の例外 で、現時点で明確にカバー外 とまとめています。業界側の認識がいまも変わっていないことが分かります。LinkedIn
どう読み取るか
- IEC 61508 側の注記は初版(1998)から一貫して削られていない。産業プロセス系 TC 65 と医療系 TC 62 が早期に合意した線引きが、条文という形で固定化されたと考えられます。
- TC 62/SC 62A が 62304・60601 系列を策定し、自前のリスクマネジメント(ISO 14971)を採用。SIL を持ち込まず、医療の「ベネフィット vs. リスク」思考を優先しました。
- 学協会や業界解説も「医療は 61508 例外」と繰り返し明記。これは単なる意見ではなく、IEC 本体の Scope 注記と Annex が一次根拠になっているため、業界全体がそれを追認してきた結果です。
結論
医療機器への IEC 61508 強制を業界が拒んできた ことを示す一次エビデンスは、
医療機器における安全規格の枠組みは、機能安全=61508 系 と リスクマネジメント=ISO 14971 系 を明確に分離して進化してきた──これが公式文書から読み取れる歴史的事実です。
F. 最後に
AIの力を借りて、自動車業界と医療機器業界のリスクマネジメントの考え方の違いについて深掘りすることができた。
下記の図は、日科技連主催のソフトウェア品質シンポジウム2010(SQiPシンポジウム2010)で広島市立大学の大場充先生が、ソフトウェア品質論の歴史を解説した内容を図にしたものである。(解説記事はこちら)
「不良をなくすことが、究極的な品質の実現である」とする考え方は、古典的な統計的品質管理を極端に形式化した観念論的な品質論で、1960年代に主流であった ゼロディフェクト運動がそれに象徴する。しかし、その後、ソフトウェアの不具合をゼロにすることは不可能という考え方が常識になり、ソフトウェアの開発プロセスの中でソフトウェアの品質を高める考え方に変わりつつある。また、日本では古くから 製品の価値や顧客満足度を重視する「当たり前品質」や「魅力的品質」の考え方があった。
医療機器のソフトウェアライフサイクルプロセス規格 IEC 62304 は、プロセスアプローチであるとともに、ISO 14971のリスクマネジメントを要求するリスクベースアプローチを組み合わせた規格である。
その視点で、自動車の機能安全規格を眺めたときに、機能安全規格はサプライヤーにゼロディフェクトを要求しているのであって、OEMが主体的に自動車のリスクマネジメントを追究していないのではないかと感じてしまう。
今回 AI の助言もあって、そう簡単なロジックでは片付けられないと指摘されたわけだが、自動車に搭載されるソフトウェアの規模が増大する現状において、サイバーセキュリティも含めてソフトウェア起因のどんな障害が発生するのか予想も付かず、自動車の中でECU同士が通信し合う巨大なネットワークシステムが構築されている現状を考えると、医療機器業界が長年やってきたように、完成車メーカーであるOEMが主体となって、今後ソフトウェア起因のどんなリスクが存在しうるかをリスク分析した上で、トップダウンでリスクコントロール手段を設計する必要があるのではないかと感じる。
