機械、プロセスプラント、およびその他の機器は、故障した場合、火災、爆発、放射線の過剰摂取、可動部品などの危険な事象によるリスクをもたらす可能性があります。 このようなプラント、機器、および機械が誤動作する原因の 1 つは、制御または安全システムの設計に使用される電気機械、電子、およびプログラマブル電子 (E/E/PE) デバイスの故障です。 これらの障害は、デバイスの物理的な障害 (たとえば、時間内にランダムに発生する摩耗 (ランダムなハードウェア障害) など) から発生する可能性があります。 または系統的な障害 (例えば、(2) 入力の特定の組み合わせ、(3) 何らかの環境条件、(4) センサーからの不正確または不完全な入力、( 5) オペレーターによる不完全または誤ったデータ入力、および (XNUMX) 不十分なインターフェース設計による潜在的なシステム障害)。

安全関連のシステム障害

この記事では、安全関連の制御システムの機能安全について説明し、必要な安全性の完全性を達成するために必要なハードウェアとソフトウェアの技術要件について検討します。 全体的なアプローチは、提案された国際電気標準会議規格 IEC 1508、パート 2 および 3 (IEC 1993) に準拠しています。 国際規格草案IEC 1508の全体的な目標は、 機能安全: 安全関連システム、プラントと機器を安全に自動化できるようにすることです。 提案された国際規格の開発における主な目的は、以下の頻度を防止または最小限に抑えることです。

• 制御システムの故障により、危険につながる可能性のある他のイベントが引き起こされる (例: 制御システムの故障、制御不能、プロセスの制御不能による火災、有毒物質の放出など)
• 必要な緊急措置を実行するために、オペレーターが迅速に識別および理解できる形式で情報を提供されないようにする、警報および監視システムの障害
• 保護システムの未検出の障害を検出し、安全措置が必要なときにそれらを使用できないようにします (たとえば、緊急シャットダウン システムでの入力カードの障害)。

記事「電気、電子、およびプログラマブル電子安全関連システム」は、安全にとって重要な制御および保護システムの安全を確保するために、IEC 1 のパート 1508 で具現化された一般的な安全管理アプローチを規定しています。 この記事では、E/E/PE 技術に基づく制御または保護システムの役割を含め、事故のリスクを許容レベルまで下げるために必要な全体的な概念工学設計について説明します。

図 1 では、機器、プロセス プラント、または機械からのリスク (一般に、 管理下の機器 (EUC) 保護装置なし) は、EUC リスク スケールの一方の端にマークされ、もう一方の端には、必要な安全レベルを満たすために必要なリスクの目標レベルが示されています。 その間に、必要なリスク削減を構成するために必要な安全関連システムと外部リスク削減施設の組み合わせが示されています。 これらには、機械式 (圧力リリーフ バルブなど)、油圧式、空圧式、物理式、および E/E/PE システムなど、さまざまな種類があります。 図 2 は、事故の進行に伴う EUC の保護における各安全層の役割を強調しています。

図 1. リスクの軽減: 一般的な概念

図 2. モデル全体: 保護層

IEC 1 のパート 1508 で要求されているように、ハザードとリスクの分析が EUC で実行されている場合、安全のための全体的な概念設計が確立されているため、あらゆる E/E/ PE 制御または保護システムが定義されています。 安全度水準の目標は、目標の失敗の尺度に関して定義されます (表 1 を参照)。

表 1. 保護システムの安全度水準: 対象となる故障対策

安全度レベル                        デマンド動作モード (オンデマンドで設計機能を実行できない確率)

4 10^-5 ≦×10^-4

3 10^-4 ≦×10^-3

2 10^-3 ≦×10^-2

1 10^-2 ≦×10^-1 

保護システム

このホワイト ペーパーでは、E/E/PE 安全関連システムの設計者が必要な安全度水準の目標を満たすために考慮すべき技術要件の概要を説明します。 一般性をほとんど損なうことなく重要な問題についてより詳細な議論を可能にするために、プログラム可能な電子機器を利用した典型的な保護システムに焦点を当てています。 代表的な保護システムを図 3 に示します。これは、診断デバイスを介してアクティブ化された XNUMX 次スイッチオフを備えた単一チャネルの安全システムを示しています。 通常の操作では、EUC の危険な状態 (機械の速度超過、化学プラントの高温など) がセンサーによって検出され、プログラム可能な電子機器に送信されます。システムを安全な状態にします (例: 機械の電気モーターへの電源を切る、バルブを開いて圧力を解放する)。

図 3. 一般的な保護システム

しかし、保護システム コンポーネントに障害が発生した場合はどうなるでしょうか。 これは、この設計の診断 (セルフチェック) 機能によって起動される二次スイッチオフの機能です。 ただし、システムは完全にフェイルセーフではありません。安全機能の実行を求められたときに設計が利用できる可能性があるのは一定の確率だけだからです (要求に応じて障害が発生する一定の確率または特定の安全度水準があります)。 たとえば、上記の設計では、特定の種類の出力カードの障害を検出して許容できる場合がありますが、入力カードの障害には耐えることができません。 したがって、その安全性の完全性は、信頼性の高い入力カード、改善された診断機能、またはこれらの組み合わせを備えた設計よりもはるかに低くなります。

ハードウェアの「従来の」物理的障害、要件仕様のエラーを含むシステム障害、ソフトウェアの実装障害、環境条件 (湿度など) に対する不適切な保護など、カード障害の他の原因が考えられます。 この単一チャネル設計の診断では、これらすべてのタイプの障害をカバーできない場合があるため、実際に達成される安全度水準が制限されます。 (カバレッジは、設計が検出して安全に処理できる障害の割合の尺度です。)

技術要件

ドラフト IEC 2 のパート 3 およびパート 1508 は、ハードウェアおよびソフトウェアのさまざまな潜在的な故障原因を特定し、安全関連システムの要求される安全度水準に適したこれらの潜在的な故障原因を克服する設計機能を選択するためのフレームワークを提供します。 たとえば、図 3 の保護システムの全体的な技術的アプローチを図 4 に示します。この図は、障害と障害を克服するための 1 つの基本的な戦略を示しています。 障害回避、障害が発生しないように注意が払われています。 (2) フォールトトレランス、指定された障害を許容するように特別に設計が作成されています。 前述の単一チャネル システムは、診断機能を使用して特定の障害を検出し、危険な障害が発生する前にシステムを安全な状態にする (限定的な) 障害許容設計の一例です。

図 4. 設計仕様: 設計ソリューション

障害回避

障害回避は、障害がシステムに持ち込まれるのを防止しようとします。 主なアプローチは、プロジェクトを管理する体系的な方法を使用して、安全性がシステムの定義可能で管理可能な品質として扱われるようにすることです。これは、設計中、その後の運用と保守中に行われます。 品質保証に似たこのアプローチは、フィードバックの概念に基づいており、以下が含まれます。 計画 (安全目標を定義し、目標を達成するための方法と手段を特定する); (2) 計測 実施中の計画に対する達成および（3）適用 フィードバック 偏差を修正します。 設計レビューは、障害回避手法の良い例です。 IEC 1508 では、障害回避に対するこの「品質」アプローチは、安全ライフサイクルを使用し、ハードウェアとソフトウェアの両方に安全管理手順を採用するという要件によって促進されます。 後者の場合、ISO 9000-3 (1990) で説明されているようなソフトウェア品質保証手順として現れることがよくあります。

さらに、IEC 2 のパート 3 とパート 1508 (それぞれハードウェアとソフトウェアに関する) は、さまざまな安全ライフサイクル フェーズでの障害回避に役立つと考えられる特定の技術または手段を格付けしています。 表 2 は、パート 3 のソフトウェアの設計および開発フェーズの例を示しています。 設計者は、必要な安全度水準に応じて、障害回避技術の選択を支援するために表を使用します。 表の各手法または手段には、安全度水準 1 ～ 4 ごとの推奨事項があります。推奨事項の範囲は、強く推奨 (HR)、推奨 (R)、中立 (賛成でも反対でもない (—)、非推奨) です。 (NR)。

表 2. ソフトウェアの設計と開発

HR = 強く推奨。 R = 推奨。 NR = 非推奨;— = 中立: 手法/手段は SIL に賛成でも反対でもない。
注：安全度レベルに応じて、番号が付けられた技術/手段を選択する必要があります。

フォールトトレランス

IEC 1508 では、安全度の目標が高くなるにつれて、フォールト トレランスのレベルを上げる必要があります。 ただし、この規格では、システム (およびそれらのシステムを構成するコンポーネント) が複雑な場合 (IEC 1508 でタイプ B として指定) には、フォールト トレランスがより重要であることを認識しています。 それほど複雑ではなく、「十分に実績のある」システムでは、フォールト トレランスの程度を緩和できます。

ランダムなハードウェア障害に対する耐性

表 3 は、図 3 に示すような保護システムで使用される場合の、複雑なハードウェア コンポーネント (マイクロプロセッサなど) のランダムなハードウェア障害に対するフォールト トレランスの要件を示しています。設計者は、診断、フォールト トレランス、および必要な安全度水準に応じて、このクラスの障害を克服するための手動の証明チェック。

表 3. 安全度水準 - タイプ B コンポーネントの障害要件¹

1 安全関連の検出されない故障は、プルーフチェックによって検出されるものとします。

2 オンライン媒体診断範囲のないコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。

3 オンラインで高い診断範囲を備えたコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 オンラインの高度な診断範囲を持たないコンポーネントの場合、システムは XNUMX つの障害が発生しても安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。

4 コンポーネントは、XNUMX つの障害の存在下で安全機能を実行できなければならない。 障害は、オンラインの高度な診断範囲で検出されます。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。 定量的なハードウェア分析は、最悪の場合の仮定に基づくものとします。

¹故障モードが明確に定義されていない、またはテストできないコンポーネント、または現場での経験から得られた故障データが不十分なコンポーネント (たとえば、プログラム可能な電子コンポーネント)。

IEC 1508 は、多くの一般的に使用される保護システム アーキテクチャの安全度水準に対して索引付けされた設計パラメータを含む設計仕様表 (表 4 を参照) を提供することにより、設計者を支援します。

表 4. 安全度水準 2 の要件 - 保護システム用のプログラム可能な電子システム アーキテクチャ

表の最初の列は、さまざまなレベルのフォールト トレランスを持つアーキテクチャを表しています。 一般に、表の一番下に配置されたアーキテクチャは、一番上に近いアーキテクチャよりも耐障害性が高くなります。 1oo2 (2 つのうちの 3 つ) システムは、XNUMXooXNUMX と同様に、XNUMX つの障害に耐えることができます。

8 番目の列は、内部診断のカバー率を示しています。 診断のレベルが高いほど、より多くの障害がトラップされます。 保護システムでは、障害のあるコンポーネント (入力カードなど) が妥当な時間 (多くの場合 XNUMX 時間) 内に修復されれば、機能安全の損失はほとんどないため、これは重要です。 (注: これは連続制御システムの場合には当てはまりません。障害が発生すると、すぐに安全でない状態が発生し、インシデントが発生する可能性があるためです。)

XNUMX 番目の列は、プルーフ テストの間隔を示します。 これらは、潜在的な障害がないことを確認するために保護システムを徹底的に実行するために実行する必要がある特別なテストです。 通常、これらはプラントのシャットダウン期間中に機器ベンダーによって実行されます。

1 番目の列は、スプリアス トリップ率を示します。 スプリアス トリップとは、プロセスの逸脱がない場合にプラントまたは機器を停止させるトリップです。 多くの場合、安全性の代償として、スプリアス トリップ率が高くなります。 単純な冗長保護システム (2oo1) は、他のすべての設計要因を変更せずに、単一チャネル (1ooXNUMX) システムよりも高い安全度水準を備えていますが、スプリアス トリップ率も高くなります。

表のアーキテクチャのいずれかが使用されていない場合、または設計者がより基本的な分析を実行したい場合、IEC 1508 はこの代替手段を許可しています。 その後、マルコフ モデリングなどの信頼性エンジニアリング手法を使用して、安全度水準のハードウェア要素を計算できます (Johnson 1989; Goble 1992)。

系統的および共通原因による故障に対する耐性

このクラスの障害は、安全システムにおいて非常に重要であり、安全性の完全性を達成する上での制限要因です。 冗長システムでは、信頼性の低い部分から高い信頼性を実現するために、コンポーネントまたはサブシステム、さらにはシステム全体が二重化されます。 信頼性の向上は、統計的に、ランダムな障害によって XNUMX つのシステムが同時に故障する可能性が個々のシステムの信頼性の積になるため、はるかに低くなるためです。 一方、系統的および共通原因の障害は、たとえば、ソフトウェアの仕様エラーによって重複した部分が同時に故障する場合に、冗長システムが同時に故障する原因となります。 もう XNUMX つの例は、冗長システムへの共通電源の障害です。

IEC 1508 は、体系的および一般的な原因による障害に対する保護を提供するのに効果的であると考えられる安全度水準に対してランク付けされたエンジニアリング技術の表を提供します。

系統的障害に対する防御を提供する手法の例としては、多様性と分析の冗長性があります。 ダイバーシティの基本は、設計者が異なるテクノロジまたはソフトウェア言語を使用して冗長システムに XNUMX 番目のチャネルを実装した場合、冗長チャネルの障害は独立していると見なすことができる (つまり、偶発的な障害の可能性が低い) ことです。 ただし、特にソフトウェアベースのシステムの領域では、ほとんどの間違いが仕様に含まれているため、この手法は効果的ではない可能性があるという提案があります。 分析的冗長性は、プラントまたはマシンの冗長情報を利用して障害を特定しようとします。 系統的故障のその他の原因 (外部ストレスなど) については、この規格は、安全度水準に照らして索引付けされた優れたエンジニアリング プラクティス (信号ケーブルと電源ケーブルの分離など) に関するアドバイスを提供する表を提供します。

結論

コンピュータベースのシステムには、経済的なだけでなく、安全性を向上させる可能性など、多くの利点があります。 ただし、この可能性を実現するために必要な細部への注意は、従来のシステム コンポーネントを使用する場合よりも大幅に高くなります。 この記事では、このテクノロジをうまく活用するために設計者が考慮する必要がある主な技術要件の概要を説明しました。

戻る

この記事では、すべてのタイプの電気、電子、およびプログラマブル電子システム (コンピューターベースのシステムを含む) を扱う安全関連制御システムの設計と実装について説明します。 全体的なアプローチは、提案された国際電気標準会議 (IEC) 規格 1508 (機能安全: 安全関連 

システム) (IEC 1993)。

経歴

1980 年代、コンピュータベースのシステム (一般にプログラマブル電子システム (PES) と呼ばれる) が、安全機能を実行するためにますます使用されるようになりました。 この傾向の背後にある主な原動力は、(1) 機能の向上と経済的利益 (特に、デバイスまたはシステムのライフサイクル全体を考慮した場合)、および (2) コンピューター技術を使用した場合にのみ実現できる特定の設計の特定の利益でした。 . コンピュータベースのシステムの初期の導入中に、多くの発見がなされました。

• コンピューター制御の導入は、よく考えられておらず、計画も不十分でした。
• 不適切な安全要件が指定されました。
• ソフトウェアの検証に関して不適切な手順が開発されました。
• プラントの設置基準に関して、出来栄えが悪い証拠が明らかになった。
• 不十分な文書が生成され、実際にプラントにあったものに関して適切に検証されませんでした (プラントにあると考えられていたものとは異なります)。
• 完全に効果的とは言えない運用および保守手順が確立されていました。
• 必要な職務を遂行する能力について、明らかに正当な懸念があった。

これらの問題を解決するために、いくつかの団体が PES 技術の安全な利用を可能にするためのガイドラインを発行したり、開発を開始したりしました。 英国では、安全衛生庁 (HSE) が安全関連アプリケーションに使用されるプログラム可能な電子システムのガイドラインを作成し、ドイツでは標準案 (DIN 1990) が発行されました。 欧州共同体内では、機械指令の要件に関連して、安全関連の制御システム (PES を使用するものを含む) に関する欧州統一規格に関する作業の重要な要素が開始されました。 米国では、Instrument Society of America (ISA) がプロセス産業で使用するための PES に関する標準を作成し、米国化学技術者協会の理事会である Center for Chemical Process Safety (CCPS) がガイドラインを作成しました。化学プロセス部門向け。

現在、主要な標準化イニシアチブが IEC 内で行われており、プロセス、医療、輸送、機械部門。 提案された IEC 国際規格は、一般的なタイトルの下に XNUMX つのパートで構成されています。 IEC 1508. 電気/電子/プログラマブル電子安全関連システムの機能安全. さまざまなパーツは次のとおりです。

• パート 1.一般要件
• パート 2. 電気、電子、およびプログラム可能な電子システムの要件
• パート 3.ソフトウェア要件
• パート 4.定義
• 第5部 安全度水準の決定方法の例
• 第6部 第2部および第3部の適用に関するガイドライン
• パート7.テクニックと対策の概要。

最終化されると、この包括的ベースの国際規格は、電気、電子、およびプログラマブル電子安全関連システムの機能安全をカバーする IEC 基本安全出版物を構成し、すべての IEC 規格に影響を与え、将来の設計と使用に関してすべてのアプリケーション セクターをカバーします。電気/電子/プログラマブル電子安全関連システム。 提案された規格の主な目的は、さまざまな分野の規格の開発を促進することです (図 1 を参照)。

図 1. 一般およびアプリケーション部門の標準

PESの利点と問題点

安全目的での PES の採用には、多くの潜在的な利点がありましたが、適切な設計と評価の方法論が使用された場合にのみ、これらが達成されることが認識されました。つまり、必要な安全機能を実行するシステムの安全性能) は、それほど複雑でないハードウェアベースの (「ハードワイヤード」) システムで従来利用されていたのと同じ信頼度で予測されます。 (1) 複雑なシステムにはテストが必要ですが、テストだけでは不十分であることが認識されました。 これは、PES が比較的単純な安全機能を実装していたとしても、プログラム可能な電子機器の複雑さのレベルは、置き換えようとしているハードワイヤード システムの複雑さのレベルよりもはるかに大きいことを意味していました。 (2) この複雑さの増大は、設計と評価の方法論を以前よりもはるかに多く考慮する必要があり、安全関連システムのパフォーマンスの適切なレベルを達成するために必要な個人の能力のレベルがその後大きくなったことを意味しました。

コンピュータベースの PES の利点には、次のようなものがあります。

• 他の場合よりもはるかに高い頻度で、重要なコンポーネントのオンライン診断証明チェックを実行する機能
• 洗練された安全インターロックを提供する可能性
• プラントや機械のパフォーマンスをリアルタイムで分析およびレポートするために使用できる診断機能と状態監視を提供する機能
• プラントの実際の条件を「理想的な」モデル条件と比較する機能
• オペレーターにより良い情報を提供し、安全性に影響を与える意思決定を改善する可能性
• 人間のオペレーターが危険な環境や敵対的な環境から離れた場所にいることを可能にする高度な制御戦略の使用
• 遠隔地から制御システムを診断する機能。

安全関連のアプリケーションでコンピュータベースのシステムを使用すると、次のような適切に対処する必要がある多くの問題が発生します。

• 故障モードは複雑で、常に予測できるとは限りません。
• コンピュータのテストは必要ですが、アプリケーションに必要な程度の確実性で安全機能が実行されることを確認するには、それだけでは十分ではありません。
• マイクロプロセッサは、バッチごとに微妙に異なる場合があるため、バッチごとに異なる動作が表示される場合があります。
• 保護されていないコンピュータ ベースのシステムは、特に電気的干渉 (放射干渉、主電源の電気的「スパイク」、静電放電など) の影響を受けやすくなっています。
• ソフトウェアを組み込んだ複雑な安全関連システムの故障の確率を定量化することは困難であり、多くの場合不可能です。 定量化の方法が広く受け入れられていないため、ソフトウェア保証は、ソフトウェアの設計、実装、および保守で使用される方法を説明する手順と標準に基づいています。

検討中の安全システム

検討中の安全関連システムのタイプは、電気、電子、およびプログラマブル電子システム (E/E/PES) です。 システムにはすべての要素が含まれ、特にセンサーや制御下の機器の他の入力デバイスから信号が送られ、データ ハイウェイや他の通信経路を介してアクチュエータや他の出力デバイスに送信されます (図 2 を参照)。

図 2. 電気、電子、プログラマブル電子システム (E/E/PES)

用語 電気、電子およびプログラム可能な電子デバイス さまざまなデバイスを網羅するために使用されており、次の XNUMX つの主なクラスをカバーしています。

1. 電気機械式リレーなどの電気機器
2. ソリッドステート電子機器やロジックシステムなどの電子デバイス
3. 次のようなさまざまなコンピューターベースのシステムを含む、プログラム可能な電子デバイス。

• マイクロプロセッサ
• マイクロコントローラ
• プログラマブル コントローラ (PC)
• 特定用途向け集積回路（ASIC）
• プログラマブル ロジック コントローラ (PLC)
• その他のコンピューターベースのデバイス (例: 「スマート」センサー、送信機、アクチュエーター)。

定義上、安全関連システムには次の XNUMX つの目的があります。

1. 制御下の機器を安全な状態にする、または制御下の機器を安全な状態に維持するために必要な安全機能を実装します。 安全関連システムは、システムの安全機能要件仕様で指定されている安全機能を実行する必要があります。 たとえば、安全機能要件の仕様では、温度が特定の値に達すると、 x、 バルブ y 水が容器に入ることができるように開きます。
2. それ自体で、または他の安全関連システムとともに、必要な安全機能の実装に必要なレベルの安全度を達成します。 安全機能は、制御下の機器に必要な安全レベルを達成するために、アプリケーションに適した信頼度で安全関連システムによって実行される必要があります。

この概念を図 3 に示します。

図 3. 安全関連システムの主な機能

システム障害

E/E/PES 安全関連システムの安全な運用を確保するためには、安全関連システムの故障のさまざまな考えられる原因を認識し、それぞれに対して適切な予防措置が取られていることを確認する必要があります。 図 4 に示すように、障害は XNUMX つのカテゴリに分類されます。

図 4. 失敗のカテゴリ

1. ランダムなハードウェア障害は、ハードウェアのさまざまな通常の劣化メカニズムに起因する障害です。 さまざまなコンポーネントでさまざまな速度で発生する多くのメカニズムがあり、製造公差により、さまざまな時間の動作後にこれらのメカニズムが原因でコンポーネントが故障するため、多くのコンポーネントで構成される機器全体の故障は、予測不可能な (ランダムな) 時間に発生します。 平均故障間隔 (MTBF) などのシステム信頼性の尺度は重要ですが、通常はランダムなハードウェア障害のみに関係し、系統的な障害は含まれません。
2. 系統的故障は、システムの設計、構築、または使用におけるエラーから発生し、入力の特定の組み合わせまたは特定の環境条件下でシステムが故障する原因となります。 特定の状況が発生したときにシステム障害が発生した場合、将来そのような状況が発生するたびに、システム障害が発生します。 ランダムなハードウェア障害に起因しない安全関連システムの障害は、定義上、系統的障害です。 E/E/PES 安全関連システムの文脈における系統的故障には、以下が含まれます。

• 安全機能要件仕様のエラーまたは省略によるシステム障害
• ハードウェアの設計、製造、設置、または操作のエラーによるシステム障害。 これらには、環境要因や人為的 (オペレータなど) のエラーに起因する障害が含まれます。
• ソフトウェアの障害によるシステム障害
• メンテナンスや改造ミスによるシステム障害。

安全関連システムの保護

安全関連システムがランダムなハードウェア障害および系統的障害から保護するために必要な予防措置を示すために使用される用語は、次のとおりです。 ハードウェアの安全性完全性対策 & 体系的な安全度対策 それぞれ。 安全関連システムがランダムなハードウェア障害と系統的障害の両方に耐えることができる予防措置は、 安全の完全性. これらの概念を図 5 に示します。

図 5. 安全性能用語

提案された国際規格 IEC 1508 には、安全度水準 1、2、3、および 4 と呼ばれる 1 つの安全度水準があります。安全度度レベル 4 は最低の安全度度レベルであり、安全度度レベル 1 は最高度です。 安全関連システムの安全度水準 (2、3、4、または XNUMX) は、制御下の機器に必要な安全レベルを達成するために安全関連システムが果たす役割の重要性に依存します。 いくつかの安全関連システムが必要になる場合があり、その一部は空圧または油圧技術に基づいている場合があります。

安全関連システムの設計

制御システム (HSE) に関連する 34 件のインシデントを最近分析したところ、安全関連の制御システムが使用される前に、故障の全ケースの 60% が「組み込まれていた」ことがわかりました (図 7)。 適切な安全関連システムを作成する場合は、すべての安全ライフ サイクル フェーズを考慮する必要があります。

図 7. 制御システム障害の主な原因 (段階別)

安全関連システムの機能安全は、技術要件が適切に指定されていることを確認するだけでなく、技術要件が効果的に実装され、初期設計の完全性が機器の寿命全体にわたって維持されることにも依存します。 これは、効果的な安全管理システムが整っていて、あらゆる活動に携わる人々が実行しなければならない義務に関して有能である場合にのみ実現できます。 特に複雑な安全関連システムが関与する場合、適切な安全管理システムを導入することが不可欠です。 これは、次のことを保証する戦略につながります。

• 効果的な安全管理システムが導入されています。
• E/E/PES 安全関連システムに指定されている技術要件は、ランダムなハードウェアと系統的な障害の両方の原因に対処するのに十分です。
• 関与する人々の能力は、彼らが実行しなければならない任務に対して十分です。

機能安全に関連するすべての技術要件に体系的に対応するために、安全ライフサイクルの概念が開発されました。 新しい国際規格 IEC 1508 のセーフティ ライフサイクルの簡略版を図 8 に示します。セーフティ ライフサイクルの主要なフェーズは次のとおりです。

図 8. 機能安全を実現するためのセーフティ ライフサイクルの役割

• 仕様
• 設計と実装
• インストールと試運転
• 運用・保守
• 試運転後の変更。

安全レベル

安全関連システムの適切なレベルの安全度水準を達成するための設計戦略を図 9 と図 10 に示します。安全度レベルは、全体レベルの達成において安全関連システムが果たしている役割に基づいています。制御下の機器の安全性。 安全度水準は、ランダムなハードウェアと系統的な障害の両方に対して設計で考慮する必要がある予防措置を指定します。

図 9. 設計プロセスにおける安全度水準の役割

図 10. 仕様と設計プロセスにおけるセーフティ ライフサイクルの役割

安全の概念と安全レベルは、制御下の機器に適用されます。 機能安全の概念は、安全関連システムに適用されます。 危険を引き起こしている機器に対して適切なレベルの安全性を達成するには、安全関連システムの機能安全を達成する必要があります。 特定の状況で指定された安全レベルは、安全関連システムの安全度要求仕様の重要な要素です。

必要な安全レベルは、多くの要因によって異なります。たとえば、怪我の程度、危険にさらされる人数、危険にさらされる頻度、危険にさらされる期間などです。 重要な要因は、危険な事象にさらされた人々の認識と見解です。 特定の用途に適した安全レベルを構成するものを決定する際には、次のような多くの情報が考慮されます。

• 特定のアプリケーションに関連する法的要件
• 適切な安全規制当局からのガイドライン
• アプリケーションに関与するさまざまな当事者との話し合いと合意
• 業界標準
• 国内および国際規格
• 最高の独立した業界、専門家、科学的アドバイス。

まとめ

安全関連システムを設計および使用する場合、潜在的な危険を生み出すのは制御下にある機器であることを覚えておく必要があります。 安全関連システムは、危険なイベントの頻度 (または確率) および/または危険なイベントの結果を減らすように設計されています。 機器の安全レベルが設定されると、安全関連システムの安全度水準を決定できます。これは、設計者が安全度レベルを使用して設計に組み込む必要がある予防措置を指定できるようにするものです。ランダムなハードウェア障害とシステム障害の両方に対して展開できます。

戻る