あの事故はなぜ起きたのか!! (4) ―― How to リスク分析
● 複雑なシステムの安全度水準を求めるには
踏切システムを構成する各安全関連系について,機能失敗確率および対応する安全度水準の例を表2に示します.衝突回避にかかわる安全関連系の機能失敗は,安全装置の故障とヒューマン・エラーに大別されます.このうち分岐のAとCはヒューマン・エラーにかかわる失敗です.ちなみにIEC 61508では,人間も安全関連系の一部として考慮してよいことが明記されています.
大分類 | 各安全関連系の状態 | 分岐 | 機能失敗確率 | SIL | 備 考 |
---|---|---|---|---|---|
引き金事象 | 踏切内における立ち往生 | S | - | 1.0(条件付き確率) | |
ドライバによる危険回避失敗 | 支障報知装置の操作失敗 | A | 0.2 | - | 支障報知装置の認知失敗:0.1+超高ストレス状態における操作失敗確率 |
踏切システムの機能失敗 | 支障報知装置の故障 | B1 | 4×10-4 | 3 | 装置の故障確率+メンテナンス時のヒューマン・エラー |
障害物検知装置の故障 | B2 | 5×10-4 | 3 | フォールト・ツリー解析によって評価 | |
ATSが無効である割合 | B3 | 0.1 | 1 | 列車が既に踏切閉そく区間内にある確率を0.1と仮定 | |
特殊信号発光機の故障 | B4 | 4×10-4 | 3 | 装置の故障確率+メンテナンス時のヒューマン・エラー | |
列車乗務員による危険回避失敗 | 列車乗務員による緊急停止 | C | 2×10-3 | 2 | 特殊信号発光機現示の認知失敗確率 |
ヒューマン・エラーの評価に際しては,ドライバや乗務員のスキル,ストレス・レベルを考慮して,例えば,原子力プラントの安全解析に用いられるTHERPの手法などを利用できます(6).また,安全装置の故障,例えば,障害物検知装置が危険側故障に至る確率は,フォールト・ツリー解析などによって求めることができます(1).
ここで留意すべき重要な点は,機能失敗確率の計算において勘案しなければならないのが,危険側の故障だけであることです.障害物検知装置を例にとれば,受光器の故障は,危険側(障害物なしの誤信号出力)の可能性があります.これに対して,発光器の故障は,受光器が赤外線を検出できないため,障害物ありと判断され,誤って列車を止める安全側の故障です.
イベント・ツリーは,事故の引き金となる状態(または事象)を出発点に,安全機能の成功/失敗などを組み合わせることで,事故の発生確率(または頻度)を定量的に評価するための技法です.踏切内で立ち往生した自動車が,列車との衝突に至るイベント・ツリーを図2に示します.
イベント・ツリーの上段(ヘディング)に記されたアルファベット記号は,表2の分岐に対応します.Sは立ち往生が生じた状態を,これに続くA,B1,...,Cは,対応する安全関連系の成功/失敗を分ける分岐点を表します.そして,失敗側(下向き)に移行する割合が,おのおのの安全関連系の機能失敗確率によって与えられます.
例えばSEQ No.4では,自動車が踏切内で立ち往生(S)したため,ドライバは支障報知装置を操作(A)しました.支障報知装置は正常に動作(B1)したものの,列車は既に踏切の閉そく区間内にあるため,ATSは無効(B3)でした.かつ,特殊信号発光機も故障(B4)していたため,列車の乗務員は直前まで障害物に気付くことができず,衝突に至ったケースです.
この「事故シーケンス」に即して,安全関連系が成功または失敗する側の確率を掛け合わせていくことで,衝突に至る確率が3.2×10-5と計算されます.
ほかの事故シーケンスについても同様です.事故シーケンスに基づく衝突確率をすべて足し合わせることで,全衝突確率が3.4×10-4と計算されます.
何の手だても講じなければ,立ち往生した自動車は,確率1で列車と衝突するわけですから,この数値は,安全関連系が全体として3.4×10-4の機能失敗確率を有していることを意味します.個々の安全関連系の安全度水準は表2に示した通りですが,これらの安全関連系は,全体としてSIL3に相当することが分かります.
このように,安全関連系全体の安全度水準と,それを構成する個々の安全関連系の安全度水準は,必ずしも直結しないので注意が必要です.それでは,個々の安全関連系と安全関連系全体の間には,安全度水準に関してどのような関係があるのでしょうか.以下ではこの関係を信頼性ブロック・ダイヤグラムによって考えてみましょう.
tag: 機能安全