機能安全編

印刷用表示 | テキストサイズ 小 | 中 | 大 |


clubZ_info_renewal.jpg

| HOME | 機能安全 | 第5回 | P2 |

更新日 2016-01-20 | 作成日 2007-12-03


☑機能安全 ~上流で設計すべきもうひとつの品質

第5回:構想設計とSafety Measure

株式会社制御システム研究所 森本 賢一

2010.12.16
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍

(Proof Testとの違い)
もう一度PFDの計算式をよく見てみましょう。PFDの算出式にも、Diagnostic機能やSelf Test機能と同じような概念のファクターが入っています。Proof Test Interval (=T1)です。Proof Testと、自己診断(DiagnosticまたはSelf Test)は、同じものでしょうか、違うものなのでしょうか。

safe_101216_2.JPG

結論から言えば、この2つは異なります。違いはその周期と挙動に関係します。両者とも周期的に実行する点では同じなのですが、Safety TimeLinkIcon(安全許容時間)よりも短いかどうかが分かれ目になります。Safety TimeLinkIconよりも短いものを自己診断(DiagnosticまたはSelf Test)といい、長い場合にはProof Testといいます。そのほか、次のような点で両者は異なります。

<Proof Test>

  • ・ 周期的である。(その周期は、かなり長い/定期検査のようなもの)
  • ・ 自動的である。
  • (検知そのものは勿論自動的でなければなりませんが、検知後即差に安全な状態に推移させる行為も自動的でなければなりません。)

<Diagnostic/Self Test>

  • ・ 周期的である。(その周期は、Safety Timeに比して十分短い)
  • ・ 自動的である。
  • (検知そのものは勿論自動的でなければならないが、検知後即座に安全な状態に推移させる行為も自動的でなければならない。)

上記の「即座に」をより厳密に言えば、

「その診断の結果、もし問題があることが検知できた場合、前回検査した瞬間からシステムを安全な状態に移行するまでの時間が、Safety Timeよりも短いか?」

というのが条件になります。もしも短いならば、それは自己診断機能またはSelf Testとして扱えることになります。その結果、それが検知する故障率は、λ DD (検知可能な危険側故障率)であると割り当てられます。

一方、Safety Timeよりも短い時間内に適切な状態に移行できないならば、それは、自己診断(DiagnosticまたはSelf Test)ではなく、Proof Testと同等といえ、その検知する故障率は、λ DU (検知できない危険側)であると判定されます。

※注意
ここではProof Testとの比較から周期について強調していますが、電圧低下の検知などでは、常に回路が電圧監視をしており、その検知能力に周期性はありません。電圧が低下すれば即座に検知し働きます。本稿では、このような周期性がないSafety Measureと、周期性があるSafety Measureを区別せず、共に自己診断(DiagnosticまたはSelf Test)と呼称しています。


(λDUが小さくなる効果)
危険側故障率(λ D )があったとします。なんらかの自己診断(DiagnosticやSelf Test)をすることによって検知できることになった場合、その故障は、「検知可能な危険側故障率(λ DD )」として扱うことになります。

λ DD として扱えれば、SFFの値がより大きくなりハッピーです。しかしλ DD はPFDaveの計算式に入っていますから、PFDの値を小さくするには効果がないように思えます。

safe_101216_3.JPG

このことは次のように考えることができます。

通常のシステムの運用を考えた場合、MTTRは、およそ数時間の範囲といえます。しかしProof Test Intervalはどうでしょうか。前述のように、Proof Timeとは、いわゆる人が行う『定期検査』ですから、1年、2年のオーダです。

また工場や設備の定期検査の現場では、機能的な確認は行なうでしょうが、システムが持つ全ての電子素子1つ1つのドリフトの有無や性能を詳細に分析することは、事実上不可能です。製品出荷後に事実上出来ないような検査項目であれば、Prof Test Intervalは、事実上製品の想定運用期間(10年とか20年)というとても長い時間を値として採用せざるを得ません。

このように考えると、PFDの算出においては、Proof Time Intervalの計算項が値の上では支配的であるといえます。自己診断(DiagnosticやSelf Test)を駆使してλ DU を小さくすることは、SFFを大きくするだけではなく、PFDの値を小さくするためにも有効なのです。

(狭義の意味でのSafety Time)
次の絵の例は、補足リンクLinkIconにある例を使って、自己診断(Diagnostic)のイメージを示したものです。(ここでもお断りしておきますが、私は工場のロボットの実際は知りません。機能安全的に考えた場合の自分なりの喩えですので、ご了承下さい。)
safe_101216_4.JPG

上記の例の「反応時間」には、安全装置の動作時間と、実際に鉄の塊が静止するまでの時間が含まれています。しかし、一般に安全装置の動作時間よりも、機械や鉄の塊が静止するまでの時間の方が長いです。この為、計算機システム側の性能を表現するために、『検知してからシステム側が指令を出すまで』を狭義の意味でSafety Timeと呼称し、PLCやDCSなどシステムのスペックに記載しています。この様なケースでは、自己診断周期が、おおよそスペックにあるSafety Time以下であると考えてよいです。

しかし本質的には、PLCやDCSから信号が出た瞬間までの時間ではなく、対象が本当に安全な状態になるまでの時間がSafety Timeです。なので、プラントや機械を設計する場合には、Safety Timeをいくつにすべきか、それを割り当てることが大切になります。もしも補足リンクにあるような、検知に人間が介在する場合を考えると、より複雑になります。

safe_101216_5.JPG

全体のSafety Timeが決まっている場合、計算機システムの応答に許される時間は、人間のせいでどんどん厳しくなります。コンピュータなんて、猛烈に速くて心配しなくてもよさそうですが、近年の組込装置が膨大な処理を行う上に、前述のような自己診断も行わなければならないことを鑑みると、これはかなり厳しい要求事項になるかもしれません。そもそもコンピュータなんか通していられず、デジタルICによる論理演算で処理する必要が出てくるかもしれません。

このように、機能安全を達成するためには、いわゆる「安全○○」という物品を組み合わせればよいのではなく、対象の末端、機械機構や設置環境などをすべて洗い出し、総合的に判断しなければなりません。意外に安全システムなんて使わないほうがよい場合もあります。

このことは、本メルマガの前半でお話した、リスク分析、リスク管理と同様です。このあたりを丁寧にお客様にご説明することが、総合機械メーカであり、またプラントメーカでもある私達のような業者の責任だと考えています。