あの事故はなぜ起きたのか!! (4) ―― How to リスク分析
● 信頼性ブロック・ダイヤグラムによる安全度水準の試算
イベント・ツリー解析によって,立ち往生に起因した衝突を防御する安全関連系の全体がSIL3と算定されました.この結果は,信頼性ブロック・ダイヤグラム(図3)を用いた概略計算によっても示すことが可能です.
図3 信頼性ブロック・ダイヤグラムを利用し安全度水準の概略を計算
信頼性ブロック・ダイヤグラムの左半分は,立ち往生の,いうなればセンシング部分であり,右半分は列車を停止させる操作です.センシング部分は「踏切支障報知装置の作動」と「踏切障害物検知装置」によって多重化されており,互いがバックアップの役割を果たします.一方,停止側は「ATSによる自動停止」と「特殊信号発光機の現示に基づく手動停止」によって多重化されています.
「踏切支障報知装置の動作」については,装置の信頼性は十分であるものの,それを操作するドライバのヒューマン・エラーが足を引っ張るため,安全関連系としてのSILを与えることができません.しかし,SIL3の「踏切障害物検知装置」によってバックアップされるため,センシング部分全体では,SIL3程度の安全度水準を持つことが分かります.
同じように,停止側もSIL3程度と見積もることができるため,センシング部分と併せた場合にも,全体としてSIL3程度の安全度水準が達成されることが分かります.
このような計算の技法を二つの原則にまとめれば,
- 直列系のSILは,それを構成する安全関連系のSILの中で,最も低いSILによって制約される.
- 並列系のSILは,それを構成する安全関連系のSILを足し合わせたものになる.
ということです.低頻度作動要求モードの安全度水準が,機能失敗確率の「けた」によってランク分けされていることを考えれば,こうした原則の意味は明らかでしょう.あるいは,この「けた」の逆数について,常用対数の和の公式を思い起こしていただければ,なお明確です.
* * *
踏切システムを例に,定量的なリスク分析の方法を紹介しました.安全度水準の考え方を用いることで,
- 安全関連系によるリスク軽減の程度は十分か.
- 安全関連系の全体構成は最適か.過不足はないか.
といったことが分かります.むやみに高価な安全装置だけが安全性を高めるわけではありません.
安全の考え方や確保の仕方は,システムの種別や運用の形態によって大きく異なります.多少乱暴ないい方をすれば,いざという時に安全装置が働くことで安全が確保されるシステムについては,IEC 61508の適用が一つの現実的な処方と考えられるでしょう.例えば,コントロールされた状態からの逸脱によって引き起こされる事故を,それが機能することで防護できる化学プラントの安全計装などがあります.
一方,自動車においては,電子制御技術を用いて走行の安定性を極限まで高めることによって,雪道でのスリップを防止するなど,安全性を向上させています.このようなアクティブ・セーフティの技術は,自動車のコントロール性能を拡大するものの,コントロールを逸した状態からの回復は望めません.このようなタイプの安全システムについては,共通点はあるにせよIEC 61508とは原理的に異なる安全の考え方が必要です.自動車版の機能安全規格であるISO 26262の登場が待たれます.
参考・引用*文献
(1)川原卓也,櫛引豪,坪井邦夫,佐藤吉信;Safety-Integrity of Safety-Related System with Human Beings,Proceeding of PSAM5,Vol.4,pp.2411-2417,2000.
(2)踏切保安装置,日本鉄道電気技術協会,1998年.
(3)久保田博;鉄道工学ハンドブック,グランプリ出版,1995年.
(4)菱沼好章;信号保安・鉄道通信入門,中央書院,1991年.
(5)IEC 61508,"Functional Safety of Electrical / Electronic / Programmable Electronic Safety Related Systems",Part 1,2,4,5,1998,Part 2,6,7,2000.
(6)Swain,A.D.and Guttman,H.E.;Handbook of Human Reliability Analysis with Emphasis on Nuclear Plant Applications,NUREG/
CR-1287 SAND 80-0200,1983.
tag: 機能安全