あの事故はなぜ起きたのか!! (4) ―― How to リスク分析
●○● Column ●○●
安全側故障割合
IEC 61508では,危険側故障確率や危険側故障率だけでなく,安全関連系を構成するサブシステムの多重化の度合いや,すべての故障に占める安全側故障の割合(SFF:Safe Failure Fraction)によっても,安全度水準に制約を与えています(表A).
| SFF | ハードウェア・フォールト・トレランス(タイプA/タイプB) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| <60% | SIL1/N.A | SIL2/SIL1 | SIL3/SIL2 |
| 60~90% | SIL2/SIL1 | SIL3/SIL2 | SIL4/SIL3 |
| 90~99% | SIL3/SIL2 | SIL4/SIL3 | SIL4/SIL4 |
| >99% | SIL3/SIL3 | SIL4/SIL4 | SIL4/SIL4 |
表A 安全側故障割合などによる安全度水準の制約
障害物検知装置において,発光器の故障は安全側であり,受光器の故障は危険側の可能性がありました.仮に,障害物検知装置が発光器と受光器だけで構成され,かつ,受光器が危険側にしか故障しないと仮定した場合,安全側故障割合による制約は何を意味するのでしょう.表Aから読み取れるように,障害物検知装置がSIL3であるためには,安全側故障の割合が99%より大きい,すなわち,発光器の故障確率を受光器のそれより2けた以上大きくしなければならないことが分かります.これでは,障害物がないにもかかわらず,発光器の故障で,たびたび列車を止めてしまうことになりかねません.
安全側故障割合に基づく制約は,安全性を阻害するものではありませんが,経済性を度外視した制約が,機能安全の普及を阻害したのでは元も子もありません.この問題については,専門家の間でも意見が分かれており,今後の議論の進展が待たれます.
●○● Column ●○●
潜在危険分析
IEC 61508では,全安全ライフサイクルの初期のフェーズで,潜在危険分析を実施することを要求しています.システムや製品に潜むすべてのリスクを洗い出した上で安全設計を進める必要があるからです.
潜在危険分析の技法としてはFMEA(Failure Mode and Effects Analysis)がよく知られていますが,ここではプロセス産業で発展したHAZOP(Hazard and Operability Study)を紹介します.
HAZOPでは電圧の降下など,あえて設計者の意図からの「ズレ」を想定し,予期されるシステムへの影響やズレを引き起こす原因を分析します.その際,あらかじめ用意されたパラメータ(温度,電圧などシステムの物理的緒元)とガイド・ワード(More,Lessなど逸脱の仕方)を組み合わせることでズレを導出するため,網羅的で見落としの少ない分析が可能です.また,狭義の故障にこだわることなく,システムにとって異常な物理的状態に着目するため,デバイスの単一故障を起点とするFMEAよりもふかん的で,概して見通しのよい分析が可能です.
ところでHAZOPの最大の特長は,その分析を設計や保守,安全の専門家,場合によってはオーナを交えたミーティングによって進めることかもしれません.リスクにかかわる情報が関係者の間で可視化され,特に規模の大きなシステムでは,モジュールの接合部における互いの思い違いが明らかになるからです.HAZOPに限らず,開発設計のプロセスの一つとして,リスクにかかわる話し合いの機会を設けることが,安全文化を醸成し定着させる土壌となるように思います.
tag: 機能安全
