機能安全編

印刷用表示 | テキストサイズ 小 | 中 | 大 |


clubZ_info_renewal.jpg

| HOME | 機能安全 | 第2回 | P3 |

更新日 2016-06-20 | 作成日 2007-12-03


☑機能安全 ~上流で設計すべきもうひとつの品質

第2回:リスク分析から具体的な設計指標への展開

株式会社制御システム研究所 森本 賢一

2010.08.26
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍

検知できない危険側故障:λ DU

さてこれで、これから設計するサブシステムが目標とするPFDave/PFHが定まりました。早速実際に設計したハードウェアのPFDave/PFHを算出する流れをご紹介したいところですが、それは次回ご説明します。

機能安全を達成するための設計指標には、PFDave・PFHのほかに、SFF(Safe Failure Fraction)、HFT(Hardware Fault Tolerance)、DC(Diagnostic Coverage)もありますが、いずれもまずは、故障の分類について理解しなくてはなりません。その中核をなす重要な概念が、「検知できない危険側故障:λ DU (ラムダ・ディー・ユー)」です。
(SFF、HFT、DCについても、次回ご説明します。)

IEC-61508では、故障を2つのカテゴリに分けて議論します。1つは電子部品の故障に見られる「ランダム故障」です。もう一方は「システマティック故障」です。システマティック故障とは、いわゆるソフトウェアのバグのように、特定の状況で必ず発生する故障のことです。マニュアルの記載間違いなども、その間違えたマニュアルの指示に従うと必ず間違いを発生させますから、システマティック故障のカテゴリに分類してよいでしょう。

設計した電子システムの実際のPFDave/PFHなどの設計指標の算出をする際に必要となるのは、ランダム故障の発生確率です。

とはいえ、ランダム故障の全てが安全機能を喪失させるような故障に相当するかというと、そうではありませんね。抵抗器一つとっても、断線するケース、短絡するケース、抵抗値がドリフトするケースがありますし、それがどう影響するのかは、その部品が使われている回路によりけりです。(このような故障の仕方をFailure Modeといいます。)冒頭のA先輩とB先輩の「うっかり口をすべらせた」話は、まさにこの喩えLinkIconです。

そこで、1つの部品が持つ故障率(λ total )をFailure Mode毎に4つの種類に分類LinkIconします。それが発生した場合にどのような状態になるのかを1つ1つ詳しく解析するのです。(正直気の遠くなる作業です。この仕分けし集計する作業を、FMEDA(Failure Modes Effects and Diagnostics Analysis)といいます。これについても次々回解説します。)

ここで問題になるのは危険となる故障(安全機能を喪失させるような故障)ですが、危険側故障といっても、故障したことが検知できる故障(λDDLinkIconもあれば、故障したことがすぐに表に現れず、イザというときに「実は壊れていました。ごめんなさい。」と表沙汰になる故障(λDULinkIconもあります。

λ DD ならば「危険側」といっても、対処のしようもあります。定期的にテストをすれば発見することが可能です。発見できれば修理することも出来ます。しかし、λ DU では対処のしようもありませんし、修理することが出来ないため、長期にわたって蓄積してゆく可能性もあります。普通では同時に発生する確率が極めて低い稀な2つの故障があった場合、それがλ DU の状態(つまり、潜在的な故障状態)だとすると、長期間の稼動では1つ目が発生しても修理されませんから、いつか2つ目が発生した際に、結果的に「同時に発生した」状態と同じ問題が発生する可能性が高くなります。ということで、λ DU はとても厄介です。


安全の議論の後、あるドイツ人の関係者とお寿司を食べに行った際に、「わさび」が入っているかどうかを指して、「これはλ DU だろうか」と議論になりました。お寿司が回転する様なお店では、自分でついうっかり「わさびヌキ」と「わさびイリ」を間違えて手にしてしまうからです。苦手なわさびを手にするFailureを、検知することが出来ない。だからそれをたとえ話として、λ DU ではないか、と指摘したわけです。safe_100826_4.JPG

その後の議論の結果、「イカなら透明で、わさびが透けて見えるから、λ DD (検知可能)だ」となりました。(このように機能安全関係者は、酒の席でも用語を使って楽しみます。)余談でした。すみません。


次回以降ご説明する、機能安全のPFD、SFF、DCなど様々な設計指標は、この厄介なλ DU の量がどれだけあるのか、それが重要な要素となります。機能安全に適合した電子システムを開発する作業は、このλDUとの戦いLinkIconといっても過言ではありません。前述の様々な指標も、λ DU がどの程度の大きさなのかに大きく依存します。言い換えれば、規格にマッチするかどうかは、どれだけλ DU を小さくするような仕掛けや設計をするのかに掛かっているともいえます。

しかしλ DU は、決して0にすることは出来ません。このため、λ DU を小さくするために診断回路を充実させたり、λ DU をλ DU 2とすることをねらって多重化したり、また多様化(多重化の際の共通要因故障の排除※次回ご説明します。)をするなど、構想設計段階でシステム構成を検討する必要が出てくるのです。

次回はこれらの設計指標の算出方法をご紹介することで、それらがシステムの構成すなわち構想設計によって変化することをご紹介してゆきます。

Archive

safe_100722_3.JPG
●執筆者プロフィール
森本 賢一
東京工業大学制御工学科卒。発電向けDCS(SIL3)開発リーダの経歴を持つ。現在は株式会社制御システム研究所代表。長崎大学工学部非常勤講師。認証機関テュフズードジャパン(株)オフィシャルパートナー。機能安全エキスパート(FSCP/FSE)認定技術者。
機能安全・セキュリティ、リスクマネージメントに関するセミナーや開発コンサルティングを行う。
●株式会社制御システム研究所 : LinkIconhttp://controlsystemlab.com/
●E-mail : kenichi_morimoto@controlsystemlab.com

【このコラムはいかがでしたか?】

大変参考になった
参考になった
あまり参考にならなかった
参考にならなかった

今回の記事について詳細なご説明をご希望の方は、Club-Z編集局(clubZ_info@zuken.co.jp)までご連絡下さい。