☑機能安全 ~上流で設計すべきもうひとつの品質
第2回:リスク分析から具体的な設計指標への展開
株式会社制御システム研究所 森本 賢一
2010.08.26
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍
安全完全性の指標 SIL
安全完全性要求では、Hazardに至らないための安全機能要求仕様が、どのぐらい信頼性を持たなければならないのか、言い換えれば、どのぐらいの「失敗」までなら許されるのか、その確率の許容できる最大値を明確にしなければなりません。この許容確率の値(最大値)も当然、それまでのリスク分析の結果から導かれるものです。
もちろん、たとえば火災は発生する確率が「0」が望ましいに決まっています。しかし、多くの機器が複雑に組み合わさる設備や電子システムでは、この目標を完全な「0」とする為には、とてつもなく大きなコストがかかります。このため確率的に許容できる数値を明確にし、それを目標とします。この点が、IEC-61508の特徴であり、他の確定論的な安全規格
と異なる点です。
リスク分析によって許容できる発生確率の最大値を定めたら、次のように考えます。
この「安全機能が適切に動作しない(かもしれない)確率」を、不動作確率とか、危険側故障確率といいます。つまり「ちゃんと」動作しない(かもしれない)確率は、リスク分析で得られた許容確率の値よりも小さくなければならないということです。この不動作確率、危険側故障確率をランク付けしたものがSILです。
如何でしょうか。SIL:Safety Integrity Level、訳して「安全完全性レベル」という言葉のイメージがつかめたでしょうか。SILとは、安全に関する機能が「ちゃんと動作しない(かもしれない)」確率をレベル分けした、目標指標です。このレベルは次のように決められています。このようにして、SIL3だとかSIL4だとかいう設計目標値が決まります。
災害を想定し、対象となる制御対象や系統のSILの値を目標として設定します。この値は目標です。その後の設計は『この不動作確率の値を満足するものを設計する』ことが目標になります。
大切なことは、リスク分析を行うことです。丁寧に分析すれば、対象の全てがこのSIL値を持つ必要が無いことがわかります。
なぜなら定義したHazardにとって重要な部位(クリティカリティが高い部分といいます。)がどこであるのかを明確にすることで、プラントであれば特定の系統、電子機器であれば、特定の回路ブロックだけがSILなにがし、と必要な値が求まるからです。その他の部分が無関係であると分析結果で示せたならば、SIL値はその無関係な部分には目標値として求められることはありません。
「このプラントのレベルはSIL3だ!」といっても、敷地内のあらゆる設備がSIL3のレベルを達成すべきかどうかといえば、「そんな必要は全くない」のです。
高いSIL値を持つシステムを構築することは、大変労力がかかりコストも掛かります。丁寧なリスク分析は、危険な部位を洗い出すための重要な作業ですが、一方、その危険な範囲を明確に限定することになりますから、不必要な(過剰な)仕様を排除することにもつながるのです。
電子機器設計のPFDの割り当て
電子システム全体のPFDave/PFHの目標値が決定したら、それを構成部分(サブシステム)ごとに割り当てます。たとえば、「入力処理部分」と「演算部分」と「出力部分」の3つがあれば、それぞれがどのような値であるべきか、目標を設定しなければなりません。
たとえば「入力」→「演算」→「出力」とすべての構成部分がシングルである場合、つまり単純な直列接続である場合は、そのどれが壊れても機能は失われますから、トータルのPFDaveは、各部分の合計値になります。(OR接続=たし算)
このため、各部分が 5.0×10-3(SIL2レベル)であっても、
合計=5.0×10-3 + 5.0×10-3 + 5.0×10-3 =1.5×10-2 > 1.0×10-2
となり、合計すればSIL1レベルの数値しか得られなくなります。困ったもんです。この3つの部位が、シングルなのか多重化するのか、多重化した場合は共通要素がどのぐらいあるのかによって、全体のPFDaveの算出式やパラメータが変化します。
この部分は構想設計の重要な要素ですので、次回の「全体システムの構想設計とFMEA」の回でご紹介します。ここでは、全体のPFDaveの規定のあと、『部分ごとの目標値を規定しなければならない』こと、『それは構成によって変化する』ことを覚えておいてください。
このように、システムの構成を踏まえて、各構成部分がどのような設計指標を達成すべきかを明確にします。これを「PFDave/PFHの割り当て」といいます。
前のページへ