あの事故はなぜ起きたのか!! (4) ―― How to リスク分析
● 安全システムの信頼性を表す「安全度水準」
IEC 61508では,システムの安全機能に関して,数値で表された目標機能失敗尺度が設定され,これが安全度水準(SIL:Safety Integrity Level)に関連付けられます.安全度水準とは,安全関連系に割り当てられる安全機能の安全度要求事項を特定するための離散的水準であり,二つの運用モードについて,それぞれ四つのレベルが規定されます(表1).運用モードについては以下の通りです.
| SIL | 低頻度作動要求モード運用注1 | 高頻度作動要求または連続モード運用注2 |
|---|---|---|
| 4 | 10-5以上10-4未満 | 10-9以上10-8未満 |
| 3 | 10-4以上10-3未満 | 10-8以上10-7未満 |
| 2 | 10-3以上10-2未満 | 10-7以上10-6未満 |
| 1 | 10-2以上10-1未満 | 10-5以上10-4未満 |
表1 IEC 61508における安全度水準
注1;作動要求時の設計上の(時間平均)機能失敗確率
注2;単位時間あたりの危険側失敗確率(1/時間)
(1) 低頻度作動要求モード;安全関連系への作動要求頻度が1(回/年)より大きくなく,かつ,プルーフ・テストの頻度の2倍よりも大きくない場合.ここで,プルーフ・テストとは,安全関連系が健全な状態であるか否かを確認するための動作テストのことです.
(2) 高頻度作動要求または連続モード;安全関連系への作動要求頻度が1(回/年)より大きい,または,プルーフ・テストの頻度の2倍よりも大きい場合(5).
それぞれの運用モードについて安全度水準の定義が異なっています.(1)の低頻度作動要求モード運用においては,「作動要求当たりに設計上の機能の実行に失敗する時間平均確率」,すなわち,待機中の安全関連系の「危険側故障確率」に応じて安全度水準が与えられます.一方,(2)の高頻度作動要求/連続モード運用においては,安全関連系の「時間当たりの危険側失敗確率」,すなわち「危険側故障率」に従って安全度水準が評価されます.
安全度水準に関する,IEC 61508の定義はお世辞にも分かりやすいものではありません.もう少しかみ砕いた言い方をすれば,以下のようになります.
(1)'低頻度作動要求モード;例えば,防火シャッタは,万一の火災の際にだけ作動すればよい安全装置です.普段はそれが壊れていたとしても危険な状態は生じません.また,防火訓練などの際に作動を確認(プルーフ・テスト)することで,壊れていれば修理できます.このような安全装置では,いざという時(作動要求時)に安全装置が故障していて作動しない確率(危険側機能失敗確率)が安全性を左右します.従って,このようなタイプの安全関連系では,「危険側機能失敗確率」が安全度水準の指標になります.
(2)'高頻度作動要求または連続モード;例えば,心臓のペースメーカは,いわば秒単位で常に作動を要求される安全システムです.故障が直ちに命の危険につながります.壊れてしまえばそれまでであり,防火シャッタのような定期的なプルーフ・テストは役に立ちません.このような安全システムでは,壊れやすさ(危険側故障率)が直ちに安全性を左右します.従って,このようなタイプの安全関連系では,「危険側故障率」自体が安全度水準の指標になります.
ここで,「危険側故障率」が[1/時間]の次元を持つのに対し,「危険側機能失敗確率」は無次元の物理量であることに注意が必要です.両者を混同すると,思わぬリスクの過小評価につながりかねません.
さて,踏切内での立ち往生は,頻繁に起こるトラブルではなく,関連する安全関連系は防火シャッタと同様,通常は待機している状態にあります.従って,安全度水準の評価には,低頻度作動要求モード運用を適用すればよいことが分かります.
蛇足かもしれませんが,待機はしていても通電状態にある,例えば,圧力センサは常に機能しているはずだから高頻度作動要求または連続モード運用に分類されるのでは,といった質問をよく耳にします.しかし,このようなセンサは通常,安全関連系が作動するレベルの圧力を検出しておらず,万が一過圧状態に至った場合,正しく機能するかどうか分かりません.だからこそ,プルーフ・テスト(加圧テスト)によって,定期的にセンサの健全性を確かめる必要があるわけです.なお,センサの故障が直ちに事故につながるわけではなく,このような運用は「低頻度作動要求モード」にほかなりません.
tag: 機能安全
