(7)機能安全規格 制御機器の安全を評価する指針として下記がある。 ・安全性インテグリティレベル (SIL) ・パフォーマンスレベル (PL) = 安全性能レベル ・安全カテゴリー カタログの記載例 ↑安全カテゴリー”4”、PL=”e”、SIL=”3” を示す。 (a)安全性インテグリティレベル safety integrity level (SIL) SIL とは、IEC 61508 においてシステムの安全性能を表す尺度で、SIL1 から SIL4 まで 4 段階 で定められ、SIL4 が最高の水準。 但し、機械系では SIL4 は適用されない。 (機械類のリスク低減要求には必要とされない。 ) 低頻度作動要求モードと高頻度作動要求モード(または連続モード)の 2 種類の運転モードにお ける、各 SIL に対応した目標機能失敗尺度が規定されている。 (b)SIL における低頻度作動要求モードと高頻度作動要求モード 自動車の安全システムを例にすると、低頻度作動要求モードはエアバッグに相当し、安全システ ムへの動作要求は年に 1 回あるかないかというもの。 高頻度作動要求モードはブレーキに相当し、安全システムへの動作要求は時間当たりや一日当た りに何回というもの。 低頻度作動要求モードで、作動要求当たりの設計上の機能失敗平均確率とあるのは、例えばエア バッグへの動作要求があった際にエアバッグが動作しない確率の平均となる。 動作しない確率なので、次ページ表に示すように、最高水準の SIL4 では 10−5 以上 10−4 未満と いう小さな確率の範囲であることが必要とされる。 安全度水準:低頻度作動要求モードで運用する 目標機能失敗尺度 安全度水準 低頻度作動要求モード運用 (SIL) (作動要求当たりの設計上の機能失敗平均確率) 4 10−5 以上 10−4 未満 3 10−4 以上 10−3 未満 2 10−3 以上 10−2 未満 1 10−2 以上 10−1 未満 (c)パフォーマンスレベル (PL) 装置自体のメカ的な安全装置(システム)や使われている機器の信頼性を評価したレベル。 a~eの 5 段階でeが最高。安全関連部全体で実現する安全機能の性能の高さを指す。 まず、リスクアセスメントで該当の装置やシステムに必要とされる要求パフォーマンスレベル (PLr)を下記のリスクグラフから決定する。 それに使用する機器の PL は、PLr と同等かそれ以上のものを選定する。 ・ S:危害の重大さ ・ F:暴露頻度、危険にさらされる時間 - S1:軽傷(残障害なし) - F1:まれに発生か短時間 - S2:重傷(残障害あり) - F2:頻繁に発生か長時間 ・ P:危険回避の可能性 - P1:通常は可能 - P2:困難 (d)SIL と PL の関係 SIL と PL の関係を下記に示す。ただしこれは SIL と PL の相対関係の目安であり,読み替えと しては利用できないので注意が必要である SIL PL a 1 b 1 c 2 d 3 e 4 (e)安全カテゴリー ISO13849-1 で言われるカテゴリとは PL を決定するための 4 つの要素の 1 つであり、安全レベ ルを、安全制御システムの構造(ハードウエア)と信頼性(寿命や故障などの確率論)を組み合 わせて B, 1, 2, 3, 4 の 5 段階に分類する。 カテゴリ 要求事項 制御システムの動作 B 制御システムや保護装置の安全関連部は、想定される外 故障発生時、安全機能は失われる。 的影響に絶えられるよう、適切な規格にしたがって設計、 構成、選定及び組立がなされること。 1. カテゴリ B の要件を満たすこと。 故障発生時、安全機能は失われる 十分吟味された高い信頼性を示す部品を使用し、安全原 が、その発生確率はカテゴリ B よりも 則に従うこと。 2. 低い。 カテゴリ B の要件を満たし、安全原則に従うこと。安全機 チェックの間隔で故障が発生した場 能が機械の制御システムにより適切な間隔にてチェックさ 合、安全機能は失われる。 れること。 安全機能が失われていることがチェッ クによって検出される。 3. カテゴリ B の要件を満たし、安全原則に従うこと。安全関 単一故障が発生した場合でも安全機 連部は以下の方針に従って設計されること。 能は常に維持される。全ての故障が 1.単一故障により安全機能が喪失しないこと。 検出されるわけではない。 2.できる限り単一故障が検出できること。 検出されなかった故障が蓄積した場 合、安全機能は失われる。 4. カテゴリ B の要件を満たし、安全原則に従うこと。 単一故障が発生した場合でも安全機 安全関連部は以下の方針に従って設計されること。 能は常に維持される。 1.単一故障により安全機能が喪失しないこと。 安全機能が失われないよう、安全機 2.次の安全機能が動作する時、又はそれ以前に単一故障 能が機能する前に故障が検出され が検出できること。それが不可能な場合、故障が蓄積して る。 も安全機能を喪失しないこと。
© Copyright 2024 ExpyDoc
