☑機能安全 ~上流で設計すべきもうひとつの品質
第2回:リスク分析から具体的な設計指標への展開
株式会社制御システム研究所 森本 賢一
2010.08.26
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍
人間誰しも「うっかり」間違うことがあります。たとえば、「うっかり口をすべらせる」という失敗がありますね。しかし、それがすぐに災いにつながるかどうかは置かれた状況、失敗した人の人柄など、それはケースによることを、多くの方が経験されているでしょう。
あなたが酒の席で恥ずかしい失敗をしたとして、それを見たのが「口が堅くて有名」な先輩A氏だった場合と、「大声で皆にあること、ないことしゃべっちゃう」先輩B氏だった場合、どちらがまずいか。これは一概にはいえません。
前者の先輩A氏が一見安心な気もしますが、人間には100%はありません。A先輩が万一口を滑らせた場合、誰もがそれを真実と信じますし、大声で話さないA先輩が口を滑らせたことをあなたは気づかず、皆への釈明の機会を失うかもしれません。B先輩の場合、「また、あることないこと言ってるよ」、と周辺の人は誰も気にしないかもしれませんし、大声で皆の前で話すB先輩なら、即座にその場で釈明したり否定するなどして、あなたの評判は保たれるかもしれません。
このように、人が「うっかり失敗する」ということに起因して生じる結果は、それが発生した状況(環境)や、その対象の個性(特長)によって、大きく異なります。
機能安全でも、故障(Fault)が全て危険であるとは考えません。ある部品1つとっても、それが使われている回路やシステムの構造、原理で、全く異なる結果になる可能性があり、それを評価しなければなりません。今回は、前回紹介したリスク分析の結果が、具体的な電子システムの設計指標である「SIL」のレベル付けや、そこに登場するPFDave/PFHなどの設計指標にどのように結びつくのかをお話します。
前回の復習
前回までの検討で、設備全体のリスク分析
を経て、構成要素が持つべき安全機能要求、およびそれを確実にするための安全完全性要求が定まりました。
まずはじめにHazardを定義し(※注1)、HAZOP、FMEA、リスクグラフなどの手法を用いてリスク分析を丁寧に行うことによって、重要な評価指標(要因)と危険な状態を特定します。そしてそれが発生しないように、または発生してもHazardまで伝播しないような仕組み(打ち手)を規定します。それが安全機能要求でしたね。そしてその安全機能が確実「ちゃんと」に動作するための要件を、安全完全性要求といいました。
今回のお話は、この「ちゃんと機能する条件や仕掛け=安全完全性要求」について、より詳しく解説するところから始めます。
※注1
最初の活動である、「Hazardの定義」を様々に拡張することで、機能安全IEC-61508は、単なる人命や環境保全のための品質標準から、様々な企業活動におけるリスクをシステムの要求仕様につなげる品質基準に拡張される可能性を持ちますが、この部分は補足リンクをご覧下さい。)
前のページへ