住所: ブートル マージーサイド L20 3QZ、健康と安全の責任者
国: イギリス
電話番号: 44 151 951 3432
FAX: 44 151 9513418
Eメール: john.brazendale@hse.gov.uk
教育: 理学士、1976年。 修士号、1989 年
関心のある分野: 安全関連の制御システム
機械、プロセスプラント、およびその他の機器は、故障した場合、火災、爆発、放射線の過剰摂取、可動部品などの危険な事象によるリスクをもたらす可能性があります。 このようなプラント、機器、および機械が誤動作する原因の 1 つは、制御または安全システムの設計に使用される電気機械、電子、およびプログラマブル電子 (E/E/PE) デバイスの故障です。 これらの障害は、デバイスの物理的な障害 (たとえば、時間内にランダムに発生する摩耗 (ランダムなハードウェア障害) など) から発生する可能性があります。 または系統的な障害 (例えば、(2) 入力の特定の組み合わせ、(3) 何らかの環境条件、(4) センサーからの不正確または不完全な入力、( 5) オペレーターによる不完全または誤ったデータ入力、および (XNUMX) 不十分なインターフェース設計による潜在的なシステム障害)。
安全関連のシステム障害
この記事では、安全関連の制御システムの機能安全について説明し、必要な安全性の完全性を達成するために必要なハードウェアとソフトウェアの技術要件について検討します。 全体的なアプローチは、提案された国際電気標準会議規格 IEC 1508、パート 2 および 3 (IEC 1993) に準拠しています。 国際規格草案IEC 1508の全体的な目標は、 機能安全: 安全関連システム、プラントと機器を安全に自動化できるようにすることです。 提案された国際規格の開発における主な目的は、以下の頻度を防止または最小限に抑えることです。
記事「電気、電子、およびプログラマブル電子安全関連システム」は、安全にとって重要な制御および保護システムの安全を確保するために、IEC 1 のパート 1508 で具現化された一般的な安全管理アプローチを規定しています。 この記事では、E/E/PE 技術に基づく制御または保護システムの役割を含め、事故のリスクを許容レベルまで下げるために必要な全体的な概念工学設計について説明します。
図 1 では、機器、プロセス プラント、または機械からのリスク (一般に、 管理下の機器 (EUC) 保護装置なし) は、EUC リスク スケールの一方の端にマークされ、もう一方の端には、必要な安全レベルを満たすために必要なリスクの目標レベルが示されています。 その間に、必要なリスク削減を構成するために必要な安全関連システムと外部リスク削減施設の組み合わせが示されています。 これらには、機械式 (圧力リリーフ バルブなど)、油圧式、空圧式、物理式、および E/E/PE システムなど、さまざまな種類があります。 図 2 は、事故の進行に伴う EUC の保護における各安全層の役割を強調しています。
図 1. リスクの軽減: 一般的な概念
IEC 1 のパート 1508 で要求されているように、ハザードとリスクの分析が EUC で実行されている場合、安全のための全体的な概念設計が確立されているため、あらゆる E/E/ PE 制御または保護システムが定義されています。 安全度水準の目標は、目標の失敗の尺度に関して定義されます (表 1 を参照)。
表 1. 保護システムの安全度水準: 対象となる故障対策
安全度レベル デマンド動作モード (オンデマンドで設計機能を実行できない確率)
4 10-5 ≦×10-4
3 10-4 ≦×10-3
2 10-3 ≦×10-2
1 10-2 ≦×10-1
保護システム
このホワイト ペーパーでは、E/E/PE 安全関連システムの設計者が必要な安全度水準の目標を満たすために考慮すべき技術要件の概要を説明します。 一般性をほとんど損なうことなく重要な問題についてより詳細な議論を可能にするために、プログラム可能な電子機器を利用した典型的な保護システムに焦点を当てています。 代表的な保護システムを図 3 に示します。これは、診断デバイスを介してアクティブ化された XNUMX 次スイッチオフを備えた単一チャネルの安全システムを示しています。 通常の操作では、EUC の危険な状態 (機械の速度超過、化学プラントの高温など) がセンサーによって検出され、プログラム可能な電子機器に送信されます。システムを安全な状態にします (例: 機械の電気モーターへの電源を切る、バルブを開いて圧力を解放する)。
図 3. 一般的な保護システム
しかし、保護システム コンポーネントに障害が発生した場合はどうなるでしょうか。 これは、この設計の診断 (セルフチェック) 機能によって起動される二次スイッチオフの機能です。 ただし、システムは完全にフェイルセーフではありません。安全機能の実行を求められたときに設計が利用できる可能性があるのは一定の確率だけだからです (要求に応じて障害が発生する一定の確率または特定の安全度水準があります)。 たとえば、上記の設計では、特定の種類の出力カードの障害を検出して許容できる場合がありますが、入力カードの障害には耐えることができません。 したがって、その安全性の完全性は、信頼性の高い入力カード、改善された診断機能、またはこれらの組み合わせを備えた設計よりもはるかに低くなります。
ハードウェアの「従来の」物理的障害、要件仕様のエラーを含むシステム障害、ソフトウェアの実装障害、環境条件 (湿度など) に対する不適切な保護など、カード障害の他の原因が考えられます。 この単一チャネル設計の診断では、これらすべてのタイプの障害をカバーできない場合があるため、実際に達成される安全度水準が制限されます。 (カバレッジは、設計が検出して安全に処理できる障害の割合の尺度です。)
技術要件
ドラフト IEC 2 のパート 3 およびパート 1508 は、ハードウェアおよびソフトウェアのさまざまな潜在的な故障原因を特定し、安全関連システムの要求される安全度水準に適したこれらの潜在的な故障原因を克服する設計機能を選択するためのフレームワークを提供します。 たとえば、図 3 の保護システムの全体的な技術的アプローチを図 4 に示します。この図は、障害と障害を克服するための 1 つの基本的な戦略を示しています。 障害回避、障害が発生しないように注意が払われています。 (2) フォールトトレランス、指定された障害を許容するように特別に設計が作成されています。 前述の単一チャネル システムは、診断機能を使用して特定の障害を検出し、危険な障害が発生する前にシステムを安全な状態にする (限定的な) 障害許容設計の一例です。
図 4. 設計仕様: 設計ソリューション
障害回避
障害回避は、障害がシステムに持ち込まれるのを防止しようとします。 主なアプローチは、プロジェクトを管理する体系的な方法を使用して、安全性がシステムの定義可能で管理可能な品質として扱われるようにすることです。これは、設計中、その後の運用と保守中に行われます。 品質保証に似たこのアプローチは、フィードバックの概念に基づいており、以下が含まれます。 計画 (安全目標を定義し、目標を達成するための方法と手段を特定する); (2) 計測 実施中の計画に対する達成および(3)適用 フィードバック 偏差を修正します。 設計レビューは、障害回避手法の良い例です。 IEC 1508 では、障害回避に対するこの「品質」アプローチは、安全ライフサイクルを使用し、ハードウェアとソフトウェアの両方に安全管理手順を採用するという要件によって促進されます。 後者の場合、ISO 9000-3 (1990) で説明されているようなソフトウェア品質保証手順として現れることがよくあります。
さらに、IEC 2 のパート 3 とパート 1508 (それぞれハードウェアとソフトウェアに関する) は、さまざまな安全ライフサイクル フェーズでの障害回避に役立つと考えられる特定の技術または手段を格付けしています。 表 2 は、パート 3 のソフトウェアの設計および開発フェーズの例を示しています。 設計者は、必要な安全度水準に応じて、障害回避技術の選択を支援するために表を使用します。 表の各手法または手段には、安全度水準 1 ~ 4 ごとの推奨事項があります。推奨事項の範囲は、強く推奨 (HR)、推奨 (R)、中立 (賛成でも反対でもない (—)、非推奨) です。 (NR)。
表 2. ソフトウェアの設計と開発
技術・対策 |
1年のSIL |
2年のSIL |
3年のSIL |
4年のSIL |
1. CCS、CSP、HOL、LOTOS などの形式メソッド |
- |
R |
R |
HR |
2. セミフォーマルな方法 |
HR |
HR |
HR |
HR |
3.構造化。 JSD、MASCOT、SADT、SSADM、YOURDONなどの方法論 |
HR |
HR |
HR |
HR |
4.モジュラーアプローチ |
HR |
HR |
HR |
HR |
5. 設計およびコーディング基準 |
R |
HR |
HR |
HR |
HR = 強く推奨。 R = 推奨。 NR = 非推奨;— = 中立: 手法/手段は SIL に賛成でも反対でもない。
注:安全度レベルに応じて、番号が付けられた技術/手段を選択する必要があります。
フォールトトレランス
IEC 1508 では、安全度の目標が高くなるにつれて、フォールト トレランスのレベルを上げる必要があります。 ただし、この規格では、システム (およびそれらのシステムを構成するコンポーネント) が複雑な場合 (IEC 1508 でタイプ B として指定) には、フォールト トレランスがより重要であることを認識しています。 それほど複雑ではなく、「十分に実績のある」システムでは、フォールト トレランスの程度を緩和できます。
ランダムなハードウェア障害に対する耐性
表 3 は、図 3 に示すような保護システムで使用される場合の、複雑なハードウェア コンポーネント (マイクロプロセッサなど) のランダムなハードウェア障害に対するフォールト トレランスの要件を示しています。設計者は、診断、フォールト トレランス、および必要な安全度水準に応じて、このクラスの障害を克服するための手動の証明チェック。
表 3. 安全度水準 - タイプ B コンポーネントの障害要件1
1 安全関連の検出されない故障は、プルーフチェックによって検出されるものとします。
2 オンライン媒体診断範囲のないコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。
3 オンラインで高い診断範囲を備えたコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 オンラインの高度な診断範囲を持たないコンポーネントの場合、システムは XNUMX つの障害が発生しても安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。
4 コンポーネントは、XNUMX つの障害の存在下で安全機能を実行できなければならない。 障害は、オンラインの高度な診断範囲で検出されます。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。 定量的なハードウェア分析は、最悪の場合の仮定に基づくものとします。
1故障モードが明確に定義されていない、またはテストできないコンポーネント、または現場での経験から得られた故障データが不十分なコンポーネント (たとえば、プログラム可能な電子コンポーネント)。
IEC 1508 は、多くの一般的に使用される保護システム アーキテクチャの安全度水準に対して索引付けされた設計パラメータを含む設計仕様表 (表 4 を参照) を提供することにより、設計者を支援します。
表 4. 安全度水準 2 の要件 - 保護システム用のプログラム可能な電子システム アーキテクチャ
PE システム構成 |
チャネルごとの診断範囲 |
オフラインプルーフテスト間隔 (TI) |
スプリアストリップまでの平均時間 |
シングル PE、シングル I/O、Ext. WD |
ハイ |
6か月間 |
1.6年 |
デュアル PE、シングル I/O |
ハイ |
6か月間 |
10年 |
デュアル PE、デュアル I/O、2oo2 |
ハイ |
3か月間 |
1,281年 |
デュアル PE、デュアル I/O、1oo2 |
なし |
2か月間 |
1.4年 |
デュアル PE、デュアル I/O、1oo2 |
ロー |
5か月間 |
1.0年 |
デュアル PE、デュアル I/O、1oo2 |
M |
18か月間 |
0.8年 |
デュアル PE、デュアル I/O、1oo2 |
ハイ |
36か月間 |
0.8年 |
デュアル PE、デュアル I/O、1oo2D |
なし |
2か月間 |
1.9年 |
デュアル PE、デュアル I/O、1oo2D |
ロー |
4か月間 |
4.7年 |
デュアル PE、デュアル I/O、1oo2D |
M |
18か月間 |
18年 |
デュアル PE、デュアル I/O、1oo2D |
ハイ |
48 +月 |
168年 |
トリプル PE、トリプル I/O、IPC、2oo3 |
なし |
1月 |
20年 |
トリプル PE、トリプル I/O、IPC、2oo3 |
ロー |
3か月間 |
25年 |
トリプル PE、トリプル I/O、IPC、2oo3 |
M |
12か月間 |
30年 |
トリプル PE、トリプル I/O、IPC、2oo3 |
ハイ |
48 +月 |
168年 |
表の最初の列は、さまざまなレベルのフォールト トレランスを持つアーキテクチャを表しています。 一般に、表の一番下に配置されたアーキテクチャは、一番上に近いアーキテクチャよりも耐障害性が高くなります。 1oo2 (2 つのうちの 3 つ) システムは、XNUMXooXNUMX と同様に、XNUMX つの障害に耐えることができます。
8 番目の列は、内部診断のカバー率を示しています。 診断のレベルが高いほど、より多くの障害がトラップされます。 保護システムでは、障害のあるコンポーネント (入力カードなど) が妥当な時間 (多くの場合 XNUMX 時間) 内に修復されれば、機能安全の損失はほとんどないため、これは重要です。 (注: これは連続制御システムの場合には当てはまりません。障害が発生すると、すぐに安全でない状態が発生し、インシデントが発生する可能性があるためです。)
XNUMX 番目の列は、プルーフ テストの間隔を示します。 これらは、潜在的な障害がないことを確認するために保護システムを徹底的に実行するために実行する必要がある特別なテストです。 通常、これらはプラントのシャットダウン期間中に機器ベンダーによって実行されます。
1 番目の列は、スプリアス トリップ率を示します。 スプリアス トリップとは、プロセスの逸脱がない場合にプラントまたは機器を停止させるトリップです。 多くの場合、安全性の代償として、スプリアス トリップ率が高くなります。 単純な冗長保護システム (2oo1) は、他のすべての設計要因を変更せずに、単一チャネル (1ooXNUMX) システムよりも高い安全度水準を備えていますが、スプリアス トリップ率も高くなります。
表のアーキテクチャのいずれかが使用されていない場合、または設計者がより基本的な分析を実行したい場合、IEC 1508 はこの代替手段を許可しています。 その後、マルコフ モデリングなどの信頼性エンジニアリング手法を使用して、安全度水準のハードウェア要素を計算できます (Johnson 1989; Goble 1992)。
系統的および共通原因による故障に対する耐性
このクラスの障害は、安全システムにおいて非常に重要であり、安全性の完全性を達成する上での制限要因です。 冗長システムでは、信頼性の低い部分から高い信頼性を実現するために、コンポーネントまたはサブシステム、さらにはシステム全体が二重化されます。 信頼性の向上は、統計的に、ランダムな障害によって XNUMX つのシステムが同時に故障する可能性が個々のシステムの信頼性の積になるため、はるかに低くなるためです。 一方、系統的および共通原因の障害は、たとえば、ソフトウェアの仕様エラーによって重複した部分が同時に故障する場合に、冗長システムが同時に故障する原因となります。 もう XNUMX つの例は、冗長システムへの共通電源の障害です。
IEC 1508 は、体系的および一般的な原因による障害に対する保護を提供するのに効果的であると考えられる安全度水準に対してランク付けされたエンジニアリング技術の表を提供します。
系統的障害に対する防御を提供する手法の例としては、多様性と分析の冗長性があります。 ダイバーシティの基本は、設計者が異なるテクノロジまたはソフトウェア言語を使用して冗長システムに XNUMX 番目のチャネルを実装した場合、冗長チャネルの障害は独立していると見なすことができる (つまり、偶発的な障害の可能性が低い) ことです。 ただし、特にソフトウェアベースのシステムの領域では、ほとんどの間違いが仕様に含まれているため、この手法は効果的ではない可能性があるという提案があります。 分析的冗長性は、プラントまたはマシンの冗長情報を利用して障害を特定しようとします。 系統的故障のその他の原因 (外部ストレスなど) については、この規格は、安全度水準に照らして索引付けされた優れたエンジニアリング プラクティス (信号ケーブルと電源ケーブルの分離など) に関するアドバイスを提供する表を提供します。
結論
コンピュータベースのシステムには、経済的なだけでなく、安全性を向上させる可能性など、多くの利点があります。 ただし、この可能性を実現するために必要な細部への注意は、従来のシステム コンポーネントを使用する場合よりも大幅に高くなります。 この記事では、このテクノロジをうまく活用するために設計者が考慮する必要がある主な技術要件の概要を説明しました。
免責事項: ILO は、この Web ポータルに掲載されているコンテンツが英語以外の言語で提示されていることについて責任を負いません。英語は、オリジナル コンテンツの最初の制作およびピア レビューに使用される言語です。その後、特定の統計が更新されていません。百科事典の第 4 版 (1998 年) の作成。