PROCESS SAFEBOOK 1 プロセス産業での機能安全 原理、規格、および導入 PROCESS SAFEBOOK 1 プロセス産業での機能安全 目次 第1章 IEC61511の紹介 ..........................................................................................3 第2章 総合的な安全ライフサイクル....................................................................10 第3章 危険源と危険源の特定...............................................................................18 第4章 リスクとリスク低減 ..................................................................................29 第5章 ALARP原則 ...............................................................................................40 第6章 SILターゲットの決定 ................................................................................45 第7章 リスクグラフ .............................................................................................60 第8章 LOPA (Layer of Protection Analysis) .....................................................66 第9章 安全機能の割当 .........................................................................................78 第10章 SISの安全要求の仕様 ...............................................................................82 第11章 SISの設計およびエンジニアリング ..........................................................84 第12章 信頼性技術.................................................................................................86 第13章 SIL検証 ....................................................................................................117 第14章 SIF故障確率、IEC61511-1, 11-9.............................................................131 第15章 設置、立上、および妥当性確認、IEC61511-1, 14, 15 ...........................143 第16章 動作および保守、IEC61511-1, 16...........................................................145 第17章 修正およびデコミッショニング、IEC61511-1, 17, 18 ...........................147 第18章 機能安全の管理および機能安全の評価と監査.........................................149 第19章 参照 .........................................................................................................155 第20章 定義 .........................................................................................................156 第21章 略語 .........................................................................................................162 1 PROCESS SAFEBOOK 1 プロセス産業での機能安全 はじめに IEC61508は、電気・電子・プログラマブル電子システムの、コンセプトからデコミッ ションニングに至るその寿命全体での安全な管理について定義しています。本書はシス テム管理における安全原理と開発に安全エンジニアリングを提供します。 その中核となる安全計画において、リスクアセスメントに基づいた安全目標を設定 する必要があり、厳格なプロセス管理がその目標を満たす必要があります。これは 規範というよりも目標ベースの規格になり、規格への準拠は安全上の問題が発生し たときにユーザが何らかの責任を負うことから逃れられないことを意味します。 規格は、具体的な規格を表現するための基礎としての使用とスタンドアロンでの使 用の両方を意図しています。前者の用途はお奨めできますが、後者の使用は規格を 仕立てること、管理者のそれについて理解していること、および導入と使用のため に大量の計画が必要になります。 多くの部分において、規格は読みにくく理解にくいことがわかっています。しかし ながら、すでに大きな影響を与えてきました。近代的な安全基準や法的枠組みの基 盤となっているため、安全関連システムの寿命のどの段階でも責任を負う必要があ るため、完全に理解しようとすることが不可欠です。 本書は、IEC61511のアプリケーションとプロセス産業としての機能安全IEC61508 の紹介を目的としています。本書はIEC61511に基づいていますが、米国規格である ANSI/ISA-84.00.01と堂との内容であるため、このガイダンスは両方に適用すること ができます。 規格とその要求をよりよく理解できるように、本書は情報とガイダンスを提供しま す。本書では、シンプルな言葉を使い、実際のプロジェクトからの動作例を図示し て、これらの要求を満たす技術と共に基本原理と要求を説明します。 免責条項 ここで紹介する技術は、実際のプロジェクトでの適合が完全に証明されて使用され たものですが、適合と実証技術、およびその照合は、お客様の責任で行なう必要が あります。 角かっこ[ ]で囲んでいる場合は、本書内のセクションへの相互参照を示します。 2 PROCESS SAFEBOOK 1 IEC61511の紹介 1. IEC61511の紹介 1.1. IEC61508とIEC61511とは何か? IEC61508はIEC (International Electrotechnical Commission: 国際電気標準会議)が発 行した国際規格で、その主な目的は電気、電子、プロブラマブル電子(E/E/PE)シス テムが安全機能を実行する際に考慮すべき事項が記載されています。 IEC61508 [19.1]はその使用やアプリケーションに関係なく、すべてのE/E/PE安全関 連システムに適用する一般的な規格です。規格のタイトルは、以下の通りです: IEC61508:2010 電気/電子/プログラマブル電子の安全関連システムの機能安全 プロセスや機器に異常が発生した際に安全性や環境性の側面においてプロセスにリ スクが生じる可能性についての原理を示した規格です。この規格はトリップやフェ イルなどの健全性や安全性の危険源とは異なるシステム障害やプロセス不適合を対 象としており、体系的なリスクベースの方式でプロセス安全を管理できるようにし ています。 規格では、これらのリスクを低減するために安全機能が提供されていることを前提 としています。安全機能は安全計装システム(SIS)と共に形成することが可能で、リ スクがもたらすことの評価とその理解に基づいてその設計と運用を行なう必要があ ります。 IEC61058の第二の目的として、現在、規格が適用されていないアプリケーション分 野に対してE/E/PE安全関連システムの開発をできるようにすることです。プロセス 産業でのそのガイダンスは国際規格IEC61511 [19.2]で表記されています。規格のタ イトルは、以下の通りです: IEC61511:2004機能安全 –プロセス産業分野の安全計装システム IEC61511は設計規格ではありませんが、コンセプトからデコミッショニングまでの システムの寿命全体を通して安全を管理するための規格です。この基礎はSISの仕様、 開発、運用、または保守に関わる作業のすべてが対象となります。 1.2. 機能安全とは何か? IEC61511-1, 3.2.25は以下のように定義されています。 「機能安全はプロセスにおける安全全体に対する一部であり、SISやその他の保護レ イヤの正しい機能性を有する標準プロセス制御システム(BPCS)のことを指します。」 つまり、機能安全によりプロセスの安全稼動を確立することでリスクが低減します。 3 PROCESS SAFEBOOK 1 プロセス産業での機能安全 1.3. 国際電気標準会議(IEC) 国際電気標準会議は1906年に初代会長として英国の科学者であるロード・ケルビン 氏により設立され、スイスのジュネーブに本部を置いています。電気、電子、およ び関連する技術などの電気工学に関する国際規格を発行しています。 IECは電気工学の安全と環境性能をサポートし、エネルギー効率と再生可能なエネル ギー源を促進して、機器、システム、またはコンポーネントの世界規格の適合性評 価を行なっています。 規格と他のすべてのIECの資料は保護されており、特定の条件を持つ著作権が適用さ れており、IECのwebサイト[http://www.iec.ch]から購入またはダウンロードできます。 1.4. 規格の構成 規格は、図1に示すように3つのパートから構成されています。 パート1はコンプライアンスに関する要求を概説します。適合のためのプロジェクト 計画、管理、文書化、および要求、さらに安全ライフサイクルを通じて安全を達成 するための技術的な要求が定義されます。 一般的に、パート1はコンプライアンスのために特定の要求を定義する「規範」で、 コンプライアンスの各項ごとに実証することで一貫した構造を展開しています。 パート2はパート1を使用に関するガイダンスを記載しています。 パート3には安全度水準(SIL)の定義につながるリスクアセスメントの動作例を記載し ています[4]。 パート2とパート3は「参考」で、規範要求に関するガイダンスを提供します。 4 PROCESS SAFEBOOK 1 IEC61511の紹介 技術要求 パート1 IEC61511-1, 8: 総合的な安全要求の開発 (概念、範囲、定義、危険源(ハザード)、およびリスクアセスメント) パート1 IEC61511-1, 9, 10: 安全への安全要求の定義 導入される機能および安全要件仕様の開発 パート1 IEC61511-1, 11, 12 安全計装システムの 設計フェーズ 安全計装システムソフトウェアの 設計フェーズ パート1 IEC61511-1, 13, 14, 15: 安全計装システムの施設での受入テスト、設置、 および立上、および安全の妥当性確認 パート1 IEC61511-1, 16, 17, 18: 安全計装システムの運用と保守、修正、および 改造、デコミッショニング、または廃棄 サポートパート パート1 IEC61511-1, 2: 参照 IEC61511-1, 3: 定義および略語 IEC61511-1, 4: 適合 IEC61511-1, 5: 機能安全の管理 IEC61511-1, 6: 安全ライフサイクルの要求 IEC61511-1, 7: 検証 IEC61511-1, 19: 情報の要求 IEC61511-1, 付録A: 相違点 パート2 IEC61511-2: パート1のアプリケーションのためのガイダンス パート3 IEC61511-3: 要求安全度水準を実証するためのガイダンス 図1: 規格の構造 5 PROCESS SAFEBOOK 1 プロセス産業での機能安全 1.5. IEC61511の準拠 1.5.1. 労働衛生安全法の要求1974 (英国)および他の国々について同等要求 注:世界中の他の国々には、1974年(英国)の労働衛生安全法と同様の法律またはガ イダンスを持っています。本書では、その国では労働衛生安全法が規定されており、 その関連法律とガイダンスが明確に存在していることを想定して説明を行なってい ます。 労働衛生安全法1974 (HASAWまたはHSW)は、英国での労働安全衛生における主要 な法律です。衛生安全委員会事務局(HSE)は、労働環境に関する法律やその他の行政 委任立法を執行することに責任を負います。 法令の全文は公共セクター情報局(OPSI: Office of Public Sector Information)から無料 で入手、またはダウンロードできます。法律情報についてはある程度の注意を払っ たうえで行使しなければなりません。印刷物またはオンライン文書が最新でない場 合がありますので、ユーザは独自に法律上の助言を求めたり、HSEの情報センター に相談してください[http://www.hse.gov.uk/contact/index.htm]。 労働衛生安全法は従業員の職場での健康、安全、福利厚生について、確実に実施す ることが雇用者の義務であると述べています。この中には、安全で、健康へのリス クもなく実際に作業する設備とシステムの対策、保守も含まれています。 また、雇用されていない人が影響を受ける可能性があり、そのような人の健康や安 全のリスクにさらされないように、確実に実施することもすべての雇用者の義務で す。 1.5.2. 適合のための要求 IEC61511は、必要基準に満足する要求規格と要求条項のための目標に準拠するため の適合実証について表記しています。 実際にはすべての条項に完全に準拠することは困難であり、要求を適合するにあた っての厳密性を定義するため、幾つかの判断が必要となります。一般的に以下の要 因数に応じて必要となる厳密性が定義されます。 • • • • • • 危険源の性質 影響の重大度 リスク低減の必要性 適用されるライフサイクルのフェーズ 関連するテクノロジ 設計の革新性 6 PROCESS SAFEBOOK 1 IEC61511の紹介 つまり、リスクに基づいて定義を行なう必要があります。経験不足の懸念がある場 合、外部機関からの進言により信頼性を向上させることができます。 1.5.3. 非準拠の影響 規格は法律ではありませんが、その要求の適合の有無にかかわらず、非準拠の影響 に注意する必要があります。雇用者として義務保有者またはリスクオーナは、労働 衛生安全法のもとで作業現場のリスクを管理する義務があります。 規格は安全機能を有するシステムのすべての安全ライフサイクル動作を管理する体 系的なアプローチを提供しており、優れた情報源と技術源となります。誰かが怪我 をするか病気になるような問題が起こった際に、リスクを管理する上で使用可能な 最高の情報を使用していない場合、労働衛生安全法に基づく調査と訴追を受ける可 能性があります。 IEC61511の要求に準拠した照合や分析による情報は問題特定を行なう法廷において 効果的な資料となります。 1.5.4. 新規設備への適合要求 一部でも安全ライフサイクルに関与している場合、リスクを伴う設備を許容範囲内 に管理するため、最適な情報を適用する必要があります。最適な情報の利用法は IEC61511に記載されており、非準拠時に問題が発生した場合には過失として判断さ れます。 1.5.5. 既存設備への適合要求 IEC61511の公式に発行される前に設計/建設された設備は数多くあります。このよう な設備においても責任は変わりませんが、稼動や保守など、一部でも安全ライフサ イクルに関与している場合、義務は残り、それに応じたリスク管理が必要となりま す。規格自体はこのような設備においても適用されます。 ANSI/ISA-84ではこの規格が発行される前に法令や規格、実例に従って安全計装の設 計/構成された既存のシステムについて特別表記しており、オーナやオペレータが安 全な方法で設計や保守、試験、検査、運転できる機器を定義すべきと記述されてい ます。つまり、最適な手法を用いて、既存のシステムの安全性を検証する必要があ ります。 実際には、既存の設備の安全ライフサイクルの初期段階に戻り、再検討し、HAZOP (危険源と操作性研究)を最初から行なう可能性があります。既存の安全機能によって 保護されていないリスクを認識し、リスクを管理する方法を検討する必要がありま す。 7 PROCESS SAFEBOOK 1 プロセス産業での機能安全 一般的には、20年経過した設備のために新しい安全計装機能(SIF)を設計することは 費用対効果があまりよくありません。しかしながら、妥当な期間、安全に稼働して いる設備において、認識しているリスクと既存の安全保護を考慮した上での潜在的 リスクはすでに許容範囲内である可能性があります。 少なくとも、すべての危険源を認識するよう、リスクを評価し、既設の保護機能や 保護手段の有効性を評価するため、プロセスを文書化する必要があります。これに より、新規設置を行なう際に履歴記録を使用して、危険源の発生頻度をより高い精 度の定量化を図ることができます。つまり、認識されたリスクが許容範囲内である という分析によって実証することができます。 最悪の場合、保護されていない危険源やリスク低減対策の追加が要求される場合が あり、その際には認識と対策処置を行なう必要があります。 1.5.6. IEC61511への適合理由 明文化された法的義務は別として、規格に準拠するには他の理由もある可能性があ ります。 • 契約要求事項 • 設計アーキテクチャの最適化 • 可能なマーケティング上の利点 ビジネスの最も重要な義務は生き残ることで、その目的は利益を最大化することで はなく、損失を回避することであると考えています。その上で他の事例から学ぶか、 またはすべて自分で行なうかどうかを検討する必要があります。 8 PROCESS SAFEBOOK 1 IEC61511の紹介 1.6. IEC61511の適用 機能安全は一般的にセンサ、コンピュータまたはPLC、およびアクチュエータから 構成された完全な機能にのみ適用できます。センサやコンピュータなどの機器単一 項目に適用する意味はありません。 そのため、例えば、ベンダーがその製品がSIL2圧力センサ、またはSIL3 PLCである ことを宣言した場合、圧力センサがSIL2安全機能で使用することに適合し、または PLCがSIL3安全機能で使用することに適合していることを意味します。 ベンダーは、宣言されたSILを達成するために、使用を差し止めたり制限するなど宣 言に条件を付ける必要があります(例えば、フォルトトレランス[13.3.1]またはプルー フテスト[12.8]の要求など)。 ベンダーの宣言は独立評価機関に発行されたSIL認証によっても裏付けることができ ますが、これは柔軟に安全機能がSILへ適合していることを意味していません。SIL 認証は実証準拠に適応することができず、義務保持者はそのような製品を使用する ことで免責を行なうことはできません。 1.7. 規格適合の必要性 1.7.1. 新規設備 規格に適合するためには暗黙の法的義務があります。規格は法律ではありませんが、 法律では許容範囲内のリスクレベルになるように管理するために義務保有者または リスクオーナを必要とします。規格は体系的なアプローチを提供しているため、問 題発生時には、最適な情報を使用していなかったことを示し、過失を意味し、訴訟 となる可能性があります。 1.7.2. 既存設備 既存設備の場合、暗黙の法的義務が適用されるため、リスクを適切に認識して管理 する必要があります[1.5.5]。IEC61511は規格が発行される以前に設計され、運用さ れていた旧式の設備でのリスクを管理するため適用可能なモデルを提供します。 9 PROCESS SAFEBOOK 1 プロセス産業での機能安全 2. 総合的な安全ライフサイクル 2.1. 安全ライフサイクル 安全ライフサイクルは、SISの仕様、開発、運用、または保守から必要な作業すべて をカプセル化しています。業務範囲に従って、運用と保守などのいずれかの段階に かかわるだけでなく、ライフサイクルのアプローチ全体に注意を払う必要がありま す。 図2に、安全ライフサイクルを示します。 ハザードおよび リスクアセスメント 1 2 保護レイヤへの安全機能の割当 3 他の リスク低減手段 の設計および 開発 SISの設計とエンジニアリング 4 9 SISへの安全要件仕様 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 図2: IEC61511安全ライフサイクル 10 検証 11 安全ライフサイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 PROCESS SAFEBOOK 1 総合的な安全ライフサイクル 2.2. ライフサイクルのフェーズ フェーズ1は物理的、社会的、および政治的な境界の面で範囲を定義し、危険源とリ スクの認識と、安全への影響に対処しています。これはプロセスがもたらす危険源 やリスクを理解する基礎となります。 必要なリスク低減後、フェーズ2の割当とフェーズ3の全体の安全要求内に達成する ための手段が指定されます。 フェーズ4では、すべての安全要求が安全機能として設計されます。機能の最適化、 分離、およびテスト方式など、他の設計問題はこの時点で評価され、これらの作業 の計画はフェーズ11の一部として扱われます。 フェーズ5~10では規格はシステムの開発に制限されておらず、システム寿命全体の 機能安全を管理しています。 規格内の要求の多くは技術的ですが、ライフサイクルのアプローチは計画、文書化、 運用、保守、および修正などの効率的な管理作業を重要視しており、全段階に考慮 する必要があります。文書化、管理、および評価作業は、図2に示すライフサイクル のフェーズと作業のすべてに適用します。 2.3. コンプライアンス要求 規格は規範的ではないため、コンプライアンスは単純なものではありません。コン プライアンスの宣言のための実践内容は個人の選択ですが、必要十分性を検討する 必要があります。ある程度予想されることをすべて確実に考慮するために、条項ご とのコンプライアンスアプローチが推奨されています。言い換えれば、厳格なアプ ローチが適用されています。 規格への適合には根拠を示した実証が必要で、リスクを管理するために体系的なア プローチが適用され、アプローチはライフサイクルの該当する部分に適用されてい ます。この体系的なアプローチは規格によって提供され、安全ライフサイクルに基 づいています。 規格の適合にはライフサイクルを理解し、指定した業務の実施と文書化の必要があ ります。ライフサイクルに従うことは、報告の生成、文書、およびチェックボック ス化のリストによる業務ではありません。コンプライアンスでは効果的な方法と各 フェーズに連続性を持たせるよう、それぞれのフェーズで生成される情報を入手す ることが要求されます。 11 PROCESS SAFEBOOK 1 プロセス産業での機能安全 部分的なスコープの適用はほとんどされておらず、ライフサイクルの全段階を考慮 することをお奨めします。例えば、オペレータによる運用と保守段階での修正はラ イフサイクルに戻って再評価するため、HAZOPやリスク分析など初期の意思決定と 評価が必要になる可能性があります。 2.4. 安全ライフサイクルのフェーズ1および2 ライフサイクルの各フェーズは作業を説明し、作業ごとに情報入力要求があります。 フェーズの連続性を保持するための出力情報生成の文章化手順用の作業内容で各フ ェーズは構成されています。 図3にフェーズ1 (ハザードアセスメントとリスクアセスメント)とフェーズ2 (安全要 求の割当)のための作業と情報要求を示します。図には作業に対する入力(I/P)として 必要な情報と、フェーズの連続性を保持するための作業によって生成される情報を 示します。 規格はライフサイクルのフェーズとフェーズごとの情報要求について説明していま すが、適切であれば、フェーズと関連する文書の一部を組み合わせることもできま す。簡潔性が重要であり、最も効率的な方法での作業の実施と情報提供が必要とな ります。 フェーズ3の出力は、一般的に安全機能要求とリスク低減のターゲットを認識するた めのHAZOPとリスク分析となります。 フェーズ4は前のフェーズで特定された安全要求に基づいた安全機能の割当を行ない ます。安全要求の割当は各安全要求を処理し、安全計装機能を割当てるためのプロ セスです。これは反復プロセスであり、全体の安全度水準の要求を満たすことがで きるプロセスおよび他のリスク低減対策を考慮する必要があります。 安全機能の割当を開始するときは、設置、立上と妥当性確認、運用と保守を含めて 今後のフェーズを計画することも重要です(図5を参照)。 12 PROCESS SAFEBOOK 1 総合的な安全ライフサイクル 各条項に準拠するために必要な情報 プロセス、制御機能、物理環境を熟知している。 危険源および危険源の原因。 危険源の毒性、持続期間、および原因などの危険源の情報。 毒性、期間、および露出などの危険源情報。現在の規制。 他のシステムとの相互作用の結果としての危険源。 プロセス、環境、および危険源に関する情報 プロセス境界、BPCS、他のシステム、オペレータの定義。 物理装置。考慮すべき環境、外部イベントの指定。 他のシステム。起因事象のタイプ: 手順の誤り、人的ミス、 故障のメカニズム。 危険源分析の範囲を定義 I/P 1. ハザード およびリスク O/P アセスメント 危険源とリスク分析の説明、関連する情報 危険源および危険の分析: 危険源。起因事象の頻度。 リスクを低減するための他の手段 。影響。リスク。 リスクの最大許容範囲の考慮。データの可用性。 想定の文書化。 11. 計画 安全機能と安全度水準の要求に関する総合的な安全要求 仕様。 注: 安全機能は技術に固有ではない。 SILターゲットはターゲット信頼性を指定する必要がある。 I/P 2. 安全要求の O/P 割当 安全機能の仕様 総合的な安全機能の割当、故障対策、および 関連する安全度水準に関する情報。 この想定は、プロセス寿命を介して管理すべき他の リスク低減手段に関するものです。 図3: 安全ライフサイクルのフェーズ1と2 13 PROCESS SAFEBOOK 1 プロセス産業での機能安全 安全機能の仕様 総合的な安全機能の割当、故障対策、および 関連する安全度水準に関する情報。 この想定は、プロセス寿命を介して管理すべき 他のリスク低減手段に関するものです。 I/P 3. 安全要求仕様 O/P SIS安全要求の仕様 C&Eを含むことが可能。 以下を含む必要がある: a) 安全状態の仕様 b) プルーフテスト要件 c) 応答時間 d) 必要なオペレータインターフェイス e) 他のシステムとのインターフェイス f) 動作モード g) フォルト検出時の動作 h) 手動シャットダウンの要件 i) アプリケーションソフトウェア要件 j) SILおよびターゲット信頼性測定 k) 負荷サイクルおよび寿命 l) 直面し得る環境条件 m) EMC制限 n) CCFによる制約 完全な要求については、IEC61511-1, 10.3を参照。 I/P 4. 設計およびエ O/P ンジニアリング SIS安全要求仕様に従って、各SIFを実現 安全要求手段に従って、他の各リスク低減手段を実現 図4: 安全ライフサイクルのフェーズ3と4 14 他の手段の設計 および開発 PROCESS SAFEBOOK 1 総合的な安全ライフサイクル 2.5. 安全ライフサイクルのフェーズ3および4 フェーズ3では、設計およびエンジニアリングのフェーズ(フェーズ4)を開始できるよ うに安全要求仕様(SRS)を行ないます(図4を参照)。 組織によっては、設計仕様に含まれるべき項目のチェックリストを持っている可能 性があります。このリストは、各プロジェクトの包括的な仕様を完全に生成し、仕 様ミスによる安全機能の故障を最小限に抑えることに役立ちます。 フェーズ4は適切に状況やプロセスの定義、環境性、稼働考察を設定した単一の機能 設計仕様(FDS)、または同等の文章内を作成し、フェーズの連続性を確立します。 2.6. 安全ライフサイクルのフェーズ5および6 フェーズ5と6は、SISの設置、立上、妥当性確認、運用、および保守のための要求を 認識します(図5を参照)。 2.7. 安全ライフサイクルのフェーズ7および8 フェーズ7 (修正)に関連付けられた入力、出力、および作業はフェーズ8 (デコミッシ ョニング)と同一の物が使用されます。デコミッショニングはライフサイクルの最後 に発生する修正であり、同一制御の下で行なわれ、同一安全保護の下で管理されま す(図6を参照)。 15 PROCESS SAFEBOOK 1 プロセス産業での機能安全 SISの設置および立上のための計画 設置と立上作業のための計画を提供。 使用される手順、技術、および手段。 スケジュール、および責任を負う人と部門。 総合的なSISの安全妥当性確認のための計画 SRSと他の参照情報(例:原因と影響のチャート)に対する SIS安全妥当性確認のための計画を提供。妥当性確認には、 関連する動作モード(スタートアップ、 シャットダウン、保守、 異常な状態など)、使用される手順、技術、および手段、 スケジュール、責任を負う人と部門のすべてが含まれる。 また、安全アプリケーションソフトウェアのための妥当性確認 の計画も含まれる。 SIS安全要求仕様に従って、各SIFを実現 I/P 5. 設置、立上、 および O/P 妥当性確認 稼働中のSIS: 設置の文書化。故障レポートへの参照。故障の解決。 SISが、SIF要求および安全度水準の要求に関する安全要求 仕様を満たしており、安全要求の割当を考慮していることを 確認する。 文書要件は以下を含む: 年代順の妥当性確認作業。 安全要件のバージョン。妥当性を確認された安全機能。 ツールと装置。結果。 テスト用アイテム、適用される手順と テスト環境。相違点。結果から成る決定。 SISの運用および保守のための計画 定期的な作業と異常状態時の操作作業のための計画を提供。 プルーフテスト、保守作業、運用手順、技術、手段、 スケジュール、責任を負う人と部門、 運用と保守手段に対する検証の手段。 I/P SISのために必要な機能安全の継続的な達成。 以下を実装する必要がある: O&M計画。運用、保守、および 修理手順。手順の実装。保守スケジュール管理。 文書の保持。定期的なFS監査の実施。文書の修正。 SISの運用と保守の年代順の文書化。 図5: 安全ライフサイクルのフェーズ5と6 16 6. 運用、保守、 O/P および修理 PROCESS SAFEBOOK 1 総合的な安全ライフサイクル SISのために必要な機能安全の継続的な達成。 以下を実装する必要がある: O&M計画。 運用、保守、および修理手順。 手順の実装。 保守スケジュールの管理。 文書の保持。 定期的なFS監査の実施。 文書の修正。 SISの運用と保守の年代順の文書。 I/P 7. 修正 8. デコミッショ O/P ニング 修正フェーズ中、およびその後も要求される機能安全の 達成が保持される。 修正はFS管理の手順のもとで認可された以下の要求に 準拠する必要がある。 要求には以下を含む: 影響の可能性のある危険源。 提案された変更(ハードウェアとソフトウェア)。 変更の理由。影響分析の実施の必要。 SISの運用と保守の年代順の文書化。 図6: 安全ライフサイクルのフェーズ7と8 17 PROCESS SAFEBOOK 1 プロセス産業での機能安全 3. 危険源と危険源の特定 3.1. ライフサイクルのフェーズ 図7に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 他の リスク低減手段 の設計および 開発 SISの設計とエンジニアリング 4 9 SISへの安全要件仕様 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 検証 11 安全ライフサイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図7: ライフサイクルのフェーズ1 IEC61511-1, 8.1に定義されたこのフェーズの目的は、以下を定義することです。 • プロセスと関連する機器の危険源/危険事象、危険源による一連のイベント、お よび発生し得るプロセスリスク[3.2 - 3.7] • リスク低減のための要求[5および6] • リスク低減を実施するために必要な安全機能[7および8] 18 PROCESS SAFEBOOK 1 危険源と危険源の特定 3.2. 危険源 危険源(Hazard)という言葉に意味は混乱しがちです。辞書では特定の意味を定義し ないこともあり、また、多くの人が区別せずに使用する「危険」や「リスク」とい った言葉と同等の用語として扱われることもあります。 機能安全では、危険源とは人体への危険、環境破壊やビジネスの損失などの損害を 引き起こす可能性がある出来事のことを指します。 家庭での危険源には、以下のものがあります。 • ガラスの破損による負傷 • プールでの滑り、転落 • 電気プラグの過剰差し込みによる発火 仕事場での危険源には、以下のものがあります。 • ノイズ環境による難聴化、失聴 • アスベストの吸引によるガンの発症 プロセス産業での危険源には、以下のものがあります。 • タンク内の危険化学物質や可燃性液体の漏洩や中空状態のポンプのドライ運転 やガスの噴出 • タンク内の圧力上昇による抑制や漏洩、破損 リスクを評価するときの初期作業は、危険源を認識することです。危険源の特定に 使用される手法はたくさんありますが、もっともよく使用される手法はHAZOP (危 険源と操作性研究)です。 3.3. HAZOPの使用 HAZOPはもともと1974年の英国のフリックスボローでの化学プラント爆発を契機と してICIで開発され、プロセス産業で広く使用され始めました。 1974年6月1日土曜日、ナイプロ社(英国)のフリックスボロー工場で大規模な爆発事 故が起こり、工場内で死亡者28人と負傷者36人が出ました。この事故が平日に起こ ったとしたら、主要なオフィスビルが人にたくさんいて死傷者の数はもっと増えて いただろうと考察されました。周囲地域の現場から離れた場所や所有地で負傷者53 人が出たとの報告もあります。 制御室の18人は窓の粉砕と屋根の崩壊の結果により亡くなりました。誰も逃げるこ とができませんでした。火は数日間燃え続け、10日間の救助活動を妨げました。 19 PROCESS SAFEBOOK 1 プロセス産業での機能安全 その後、化学産業のアイデアや人材の一般的な交流を通じて、HAZOPは同様の可能 性を秘めている石油業界でに採用されました。さらにその後、同等の潜在的な危険 源をはらんでいる食品産業や水処理産業に取り込まれましたが、これらの産業で懸 念されていたのは爆発や化学物質の放出ではなく、汚染問題についてでした。 3.4. HAZOPを使用する理由 設備の設計は法令と規格の適用に依存していますが、例えば、プロセス条件や不適 合、機器の不具合またはオペレータのミスなどによって起こる可能性があるため、 HAZOPプロセスでは、想定予測で補正することができます。 さらにプロジェクトのスケジュールの圧迫によってエラーや過失を誘発することが あり、HAZOPでは変更が高価になる前にこれらを修正することができます。これは 理解しやすく、どのプロセスやビジネスにも適用できるため、HAZOPは最も広く使 用されている危険源特定の手法となりました。 3.5. 設計意図からの偏差 プロセス、制御機器、または産業用設備は、すべて設計意図を持っています。これ は特定の化学薬品の年間総量や製品の製造数など、目標生産能力を達成することが 設計意図かもしれません。 ただし、2番目に重要な設計意図は安全効率的な方法でプロセスを運用できることで、 そのため、効果的に機能するために設備の各機器が必要になります。つまり、設備 の特定の機器の設計意図と考えることが重要になります。 例えば、設備の生産要求の一部として、図8に示すように循環ポンプと熱交換器から なる冷却水回路を含む冷却水設備が必要になる場合があります。 冷却ファン 熱交換器 冷却の供給 タンク ポンプ 図8:設計意図 20 PROCESS SAFEBOOK 1 危険源と危険源の特定 この小さいセクションの設備設計の意図は、xºCの温度で1時間当たりxxxリットルで 冷却水を継続して循環させることです。HAZOP考察で指示されるこのような設計意 図は一般的であり、このような事例により「偏差」という言葉の意味が理解しやす くなります。冷却設備の事例における設計意図からの偏差や逸脱は循環流量の減少 や水温の上昇につながります。 偏差と原因の違いに注意してください。上記の場合、ポンプの故障は偏差ではなく 原因です。 この例での水温の上昇は、人体への傷害または環境破壊やビジネスに対する損害な どを引き起こす可能性がある危険源となります。 3.6. HAZOP技術 HAZOPは、新規と既存の両方のプロセス設備での設計意図からの偏差によってもた らされ、設備寿命を通して周期的に起こる潜在的な危険源と運用上の問題を認識す るために使用されます。予備的な初期HAZOPは設計の初期段階で実施する必要があ ります。プロセスは建設段階の前にリスクが残っていないことを確認するために、 設計中に、変更が提案されるときはいつでも見直しを行ない、設計完了後に最終的 な見直しを行なう必要があります。 HAZOPは、設備の運用・保守の十分な知識と経験を持つ利害関係者間の会議フォー ラムで行ない、会議は危険源によって発生する事象を深く考察するために指示用語 を使用して、構造化されたブレーンストーミングセッションを行ないます。会議の 議事録は議論に記録され、潜在的な危険源に関する情報、その原因と結果を確認す ることができます。 21 PROCESS SAFEBOOK 1 プロセス産業での機能安全 3.6.1. HAZOP考察チーム HAZOPチームは考察においてその設備の知識と経験が豊かな人たちでバランス良く 構成されていることが重要です。標準的なHAZOPチームは以下のように構成されま す。 名前 役割 チェアマン HAZOPプロセスを説明し、HAZOPの進行役となります。HAZOPにつ いて熟練しているが設計に直接かかわらない人物がこの役を担います。 書記 HAZOPミーティングの議論を記録して、議論の内容を記録として提出 します。推奨事項とアクションを記録します。 プロセスエンジニア 一般的に、エンジニアはプロセスフロー図と配管計装図(P&ID)の開発お よび責任を負います。 ユーザ/オペレータ プロセスの使用と操作性、およびギャップの影響について助言します。 C&I専門家 制御および計装の技術的な知識を持つ人物 保守作業員 プロセスの保守に携わっている人物 設計チームの代表 設計の詳細について助言し、さらに情報を提供することがあります。 3.6.2. HAZOPで使用される情報 以下の項目がHAZOPチームが確認できる環境でなければなりません。 • • • • • 施設の配管計装図(P&ID) プロセス説明または原理文書 既存の運用と保守手順 原因と影響(C&E)のチャート 設備のレイアウト図 3.6.3. HAZOP手順 HAZOP手順はプロセスの説明を行ない、設計意図からの偏差がいかに設備の効率的 な安全運用にマイナスの影響を及ぼすかを確立するため、すべての部分について体 系的に行ないます。 手順はHAZOPチームによって構築された方法で適用され、想定される危険源を認識 するため、自由に想像することができます。 実際には、危険源の多くは温度の上昇など明確ですが、高度な技術によりあまり目 立たない危険源を発見できるようになりました。そのため、ありえないようなこと が最初の考慮事項になるかもしれません。 22 PROCESS SAFEBOOK 1 危険源と危険源の特定 3.6.4. 指示用語 HAZOPプロセスでは設計意図の偏差や潜在的な発生原因と結果において十分な検討 ができるよう、指示用語を設けています。このような指示用語は2つの項目に分けら れています。 • 流量や温度、圧力、レベルなどのパラメータ、または関連する圧力状態、特定 の設計意図内容において十分な検討を行なう第一指示用語 • 第一指示用語を考察した上での高温、低レベル、無圧力、逆流量などの発生し 得る偏差に対する検討を行なう第二指示用語 手法全体がこのような指示用語を効果的に検討できるように組み込まれているため、 その意味や利用方法を明確に理解しておく必要があります。 1つの事象に対して想定内容を十分に検討できるよう、指示用語は簡単な記載内容と なっています。すべての指示用語がすべての事象を網羅し、全ての脅威に対する説 明文章と名はっていません。そのため、指示用語内に表記されていない事象に対し ては記録し、効率的に検討できるようにしておくことを推奨します。 3.6.5. 動作モード HAZOPは危険源と稼働性の検討として、プロセスの正常な稼働だけではなく、スタ ートアップやシャットダウン、充填、排出、バイパス、プルーフテストなど他の異 常モードについても考慮することが重要です。 これは各モードのHAZOP分析の分類や仮題の分類といったスコープ内にある各動作 モードを検討することで完了することがあります。または比較的単純なシステムに おいてはモードを認識するためのワークシート上に追加の列を設けることができま す。このように単一のHAZOP分析ですべての動作モードを検討することができます。 23 PROCESS SAFEBOOK 1 プロセス産業での機能安全 3.6.6. HAZOPの記録 HAZOPプロセスにおけるガイドとしてソフトウェアツールを使用できます。また、 議論と結果を記録するため、簡潔なスプレッドシートで構成することもできます。 スプレッドシートでは、他の分析との相互参照を保持できるよう、簡単に仕分し、 分類でき、内容に視覚性とトレーサビリティ(追跡可能性)にも対応することができま す。 すべてのイベントを記録して、指示用語の組み合わせを考慮することを推奨します。 該当項目において無想定原因や非重大、無危険源には注意してください。これは完 全記録内容として分類され、厳密に総合的な検討を行なったことを実証するHAZOP としての記録となり、安全性や設備改修の際の評価に有益なものとなります。 上記に加えて、第二の言葉の‘All’と‘Remainder’もよく使用されます。例えば、第一 指示用語の組み合わせにより無流量(Flow/No)、逆流量(Flow/Reverse)といった想定 原因を検知する可能性があります。また、無想定原因を検知するため、流量不足 (Flow/Less)や過剰流量(Flow/More)、その他流量状態(Flow/Other)などの他の組み合 わせとして流量残件(Flow/Remainder)を使用することができます。 3.6.7. 危険源の特定 – HAZOPワークシートの見出し 以下の表に、減圧室用のHAZOPワークシートの例を示します。これは単なる例であ り、実際のシステムを示しているわけではないことに注意してください。 Reference (参照) 例えばLOPA[8]といったように各入力内容が項目分析の追跡でき、他分析内容を参照 できるように参照情報項目を含む方法が一般的です。 Guidewords (指示用語) 第一、および第二指示用語を使用します。インターネットなどでそれぞれのアプリ ケーションや業種に適用可能な指示用語のリストが掲載されています。 Deviation (偏差) 偏差とは第一、および第二指示用語によって指定される設計意図からのずれであり、 認知された危険源を示しています。 Cause (原因) 偏差が生じることで潜在的な危険性が発生します。この原因について特定の情報を 盛り込むことが重要です。例えば、O2センサの故障により酸素濃度が増加するとい う問題が懸念される場合、O2濃度の誤読取だけが危険な状態を引き起こすわけでは なく、いくつかの要因がこの不適合を引き起こします。 24 PROCESS SAFEBOOK 1 危険源と危険源の特定 Consequence (重大度) 偏差の規模や原因自体に起因して生じるものが重大度です。必ず重大度は記録内に 記述される必要があります。後日、記録閲覧者が危険源の内容や重大度の検討方法 を理解することを想定しないでください。 重大度を文章化する際にはHAZOPをリスク定義のために使用するということと危険 源の内容を十分に記述するということを認識し、重大度の結果を要点化するという ことが重要です。この重大度は以下のように記述することができます。 潜在的な過渡圧力はガス搬送配管の破損や保管容器の破損に繋がる。 大量のガスを放出することで加熱器の排出側で着火し、爆発や火災により、最大2名 の死者が発生する。 最大200万ポンドのコンプレッサの破損と最長1年間の生産損失につながる。 大性の評価を行なう際には既に設計内に含まれている機器や保護システムの内容を 考慮しないことが重要です。 Safeguards (保護対策) 問題回避や重大度に対する保護対策のいずれかを行なう保護機器はこの項目に記載 する必要があります。保護対策はハードウェアに限定する必要はなく、内容が妥当 であれば、定常的な設備検査といった手順を用いた手法を検討することもできます。 (問題回避、または保護対策でき、かつ、実際に運用することができることが確信で きる場合に限ります。) 25 PROCESS SAFEBOOK 1 プロセス産業での機能安全 3.7. HAZOPの例 3.7.1. セパレータ容器 以下にプロセスセパレータ容器の簡略図例を示します。容器にはガスバーナによっ て加熱されたプロセス液が入っており、蒸気がプロセス液から分解/放出されます。 濃縮プロセス液は処理完了後に容器底面から排出されます(図9)。 容器は液面レベルやガス圧力/温度を制御するためのDCS (分散制御システム)が備え 付けられています。 PT102 P 液体 流入 ガス 放出 XV102 FCV102 LH LH101 TT100 LL T LL101 バーナ FCV100 液体 排出 XV101 XV100 燃料ガス 供給 FCV100 図9: セパレータ容器 このセパレータ容器におけるHAZOPの例を以下の表に示します。 26 High flow of process liquid into vessel. 27 Less Reverse Also Other 01.21 01.22 01.23 01.24 Reverse Also Other More 01.17 01.18 01.19 01.20 Level Less 01.16 Reverse Also Other More 01.12 01.13 01.14 01.15 Temperature Less Not credible. Not credible. Not credible. Low level in vessel. Not credible. Not credible. Not credible. High level in vessel. Low temperature in vessel. Not credible. Not credible. Not credible. High temperature in vessel. Low pressure in vessel. Not credible. Not credible. Not credible. High pressure in vessel. 01.07 01.08 01.09 01.10 01.11 Low flow of gas out from vessel gas export. 01.06 Reverse Also Other More Low flow of process liquid out from vessel liquid export. Low flow of process liquid into vessel. 01.05 Less High flow of gas out from vessel gas export. 01.03 01.04 High flow of process liquid out from vessel liquid export. 01.02 Pressure Deviation More Primary Guideword Secondary Guideword Flow Ref 01.01 Hazard No credible hazard No credible hazard No credible hazard Low level in vessel could result in gas blow-by into liquid export. No credible hazard No credible hazard No credible hazard High level in vessel could result in liquid carry over into gas export. Potential liquid freezing (solifiying), vessel rupture and loss of containment. No credible hazard No credible hazard No credible hazard High temperature leads to high pressure, vessel rupture and gas release. Vessel rupture and gas release. No credible hazard No credible hazard No credible hazard Vessel rupture and gas release. No credible hazard Low flow from vessel could result in high level, liquid carry over into gas export. Low flow into vessel could result in low level, gas blow-by into liquid export. No credible hazard High flow from vessel could result in low level, gas blow-by into liquid export. High flow into vessel could result in high level, liquid carry over into gas export. Consequence None. None. None. Equipment damage downstream requiring vessel cleaning estimated at £2M and process shutdown for 6 weeks. None. None. None. Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. Equipment damage requiring vessel replacement estimated at £10M and process shutdown for 6 months. Environmental release requiring notification order. None. None. None. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. None. None. None. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. None. Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. Equipment damage downstream requiring vessel cleaning estimated at £2M and process shutdown for 6 weeks. None. Equipment damage downstream requiring vessel cleaning estimated at £2M and process shutdown for 6 weeks. Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. PROCESS SAFEBOOK 1 危険源と危険源の特定 3.7.2. セパレータ容器のHAZOP例 PROCESS SAFEBOOK 1 プロセス産業での機能安全 3.7.3. HAZOPの結果 まとめると特定危険源は以下のようになります。 危険源 結果 液体が高レベルになると液体 下流側機器が損傷するため容器の置き換えが必要となり、損 がガス出口に流入 害額は£10Mに及び、6か月間プロセスがシャットダウンする。 高圧力によって、容器の破裂 ガスがバーナで着火して、表面が高温になる。2人の保守作業 およびガス放出が発生 員が死亡する可能性がある。機器の損傷によって容器の置き 換えが必要になり、損害額は£10Mに及び、1年間プロセスが シャットダウンする。わずかな環境汚染。 高温/高圧力によって容器破裂、ガスがバーナで着火して、表面が高温になる。2人の保守作業 およびガス放出 員が死亡する可能性がある。機器の損傷によって容器の置き 換えが必要になり、損害額は£10Mに及び、1年間プロセスが シャットダウンする。わずかな環境汚染。 液体が低レベルになるとガス 下流側機器が損傷するため容器の洗浄が必要になり、損害額 が液体出口に流入 は£2Mに及び、6週間プロセスがシャットダウンする。 低圧力によって、容器の破裂 ガスがバーナで着火して、表面が高温になる。2人の保守作業 およびガスの放出が発生 員が死亡する可能性がある。機器の損傷によって容器の置き 換えが必要になり、損害額は£10Mに及び、1年間プロセスが シャットダウンする。わずかな環境汚染。 低温、液体凍結の可能性、容 機器の損傷によって容器の置換が必要になり、損害額は£10M 器の破裂、および格納喪失 に及び、6か月間プロセスがシャットダウンする。通知指令を 必要とする環境汚染。 認知された危険源のリストはシステムに関する危険源記録となります。危険源記録 は、システムのライフサイクル中の有効な文書となり、その他の検討結果により追 加/改訂されます。 認知された各危険源に潜在的な安全性、環境性、または商業的な結果がありますが、 労働衛生安全法[1.5.1]に準拠するためには各危険源に関連するリスクレベルを決定す る必要があります[4]。 28 PROCESS SAFEBOOK 1 リスクとリスク低減 4. リスクとリスク低減 4.1. リスクの概念 リスクとは、危険源によって想定される悪影響が発生しうる可能性のことです。 そのため、大きく分類すると2つの概念があり、その意味を理解するために双方の分 類を理解する必要があります。この可能性は異なる方法で評価できます。例えば確 率として1000分の1、頻度または比率として年間1000回、または小影響や重大など 影響の質的規模などです。 影響は以下のようにさまざまな方法で説明できます。 • 一人の従業員が深刻な傷害を負うかまたは死亡する。 • 第三者が複数名怪我を負う。 • 一般人が毒ガスに晒される。 稼動中の機器[危険源]に触れることでの死亡事故[影響]が発生する従業員の年間リス クは100,000回に1回[確率]です。 発生する可能性 そのため、リスクは2つの側面から考察する必要があります。危険源の影響、または 結果の評価と、発生確率についての検証の必要があります。図10に示すような1~4 のスケールで評価すると、数字が大きくなるにつれて、発生した場合の影響や発生 確率が大きくなります。一般的な原理として、このようなリスクマトリックス(評価 表)を使用して、プライオリティ(優先順位)を確立し、リスクを評価できます。 図10: リスクマトリックス 4 中規模 致命的 小規模 大規模 1 3 3 2 1 2 4 影響の重大度 発生確率が高く、その結果の重大度が低い場合は、これは中規模のリスクと見なさ れることがあります。一方、結果の重大度が高く発生確率が低い場合は、大規模の リスクと見なされることがあります。一般的に頻繁に起こるあまり厄介ではない危 険源よりも発生確率が低い大惨事に注意を払う必要があります。 29 PROCESS SAFEBOOK 1 プロセス産業での機能安全 このリスクの例は人体の安全にしか考えていませんが、同様のアプローチが環境や ビジネスに対するリスク(資産と収益に対するリスク、または企業の評価に対するリ スク、発電会社における可能性がある供給問題のセキュリティなど)にも適用できま す。 4.2. 危険源分析(HAZAN) リスクの初期評価は通常HAZOPの一部として実施でき、危険源分析(HAZAN)として 知られています。図10のように、各危険源の重大度(通常は1~4で、4が最も重大)と 発生する確率または頻度(1~4で、4が最も起こりやすい)いう用語で分類できます。 HAZOP例[3.7.2]において考えてみると、重大度と発生確率のカテゴリを掛け算し、 リスク低減動作の優先順位付けのために使用されるリスクプライオリティ番号(RPN: Risk Priority Number) [4.3]の計算式内にリスクの予備測定を与えます。 4.3. セパレータ容器のHAZAN Action (アクション)の列は、追加の保護手段として実装できる手段の調査など、是正 措置を記載します。 考えられるアクションは以下の2つのグループに分けられます。 • 発生原因の解消 • 問題の重大度の緩和 危険源の原因を解消することは常に推奨ソリューションです。これが実行できない ときのみ、重大度を緩和することを考える必要があります。 4.3.1. HAZOPアクション また、HAZOPワークシートは調査のためにアクションも表記します。この例では以 下のアクションを具体的に表記しています。 30 Low temperature in vessel. Not credible. Not credible. Not credible. High level in vessel. Low level in vessel. Not credible. Not credible. Not credible. 01.16 01.17 01.18 01.19 01.20 01.21 01.22 01.23 01.24 Not credible. Not credible. Not credible. High pressure in vessel. 01.07 01.08 01.09 01.10 Not credible. Not credible. Not credible. High temperature in vessel. Low flow of gas out from vessel No credible hazard gas export. 01.06 01.12 01.13 01.14 01.15 Low flow of process liquid out from vessel liquid export. 01.05 Low pressure in vessel. Low flow of process liquid into vessel. 01.04 01.11 High flow of gas out from vessel No credible hazard gas export. 01.03 31 No credible hazard No credible hazard No credible hazard Low level in vessel could result in gas blow-by into liquid export. No credible hazard No credible hazard No credible hazard High level in vessel could result in liquid carry over into gas export. Potential liquid freezing (solifiying), vessel rupture and loss of containment. No credible hazard No credible hazard No credible hazard High temperature leads to high pressure, vessel rupture and gas release Vessel rupture and gas release. No credible hazard No credible hazard No credible hazard Vessel rupture and gas release. Low flow from vessel could result in high level, liquid carry over into gas export. Low flow into vessel could result in low level, gas blow-by into liquid None. None. None. Equipment damage downstream requiring vessel cleaning estimated at £2M and process shutdown for 6 weeks. None. None. None. Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. Equipment damage requiring vessel replacement estimated at £10M and process shutdown for 6 months. Environmental release requiring notification order. None. None. None. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. None. None. None. Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. Equipment damage requiring vessel replacement estimated at £10M and processs shutdown for 1 year. Minor environmental release. None. Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. Equipment damage downstream requiring vessel cleaning estimated at £2M and process shutdown for 6 weeks. None. High flow from vessel could result in Equipment damage downstream requiring vessel cleaning low level, gas blow-by into liquid estimated at £2M and process shutdown for 6 weeks. High flow of process liquid out from vessel liquid export. 01.02 Consequence Equipment damage downstream requiring vessel replacement estimated at £10M and process shutdown for 6 months. Hazard High flow of process liquid into vessel. High flow into vessel could result in high level, liquid carry over into gas export. Deviation Ref 01.01 2 3 3 4 4 4 3 2 2 3 1 2 1 1 1 2 1 2 1 2 Sev Cat Freq Cat 2 6 3 4 4 8 3 4 2 6 RPN Consider installation of low level alarm. Level control. Consider installation of low level alarm. Consider installation of high level alarm. Consider installation of high level alarm. None. None. None. Level control. None. None. None. Level control. Consider installation of low level alarm. Consider installation of high level alarm. Temperature control. Consider installation of low temperature alarm. None. None. None. Temperature control. Consider installation of high temperature alarm. Pressure control. None. None. None. Pressure control. None. Level control. Level control. Consider installation of low level alarm. Consider installation of high level alarm. Level control. None. Action Safeguards PROCESS SAFEBOOK 1 リスクとリスク低減 PROCESS SAFEBOOK 1 プロセス産業での機能安全 Ref 危険源 結果 アクション 割当られた 作業 完成日 01.01 容器に大量に流れ込 下流側機器が損傷 んだために高レベル になり、液体がガス 出口に流入 高レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 01.02 容器から大量に流れ 下流側機器が損傷 出たために低レベル になり、ガスが液体 出口に流入 低レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 01.04 容器に少量しか流れ 下流側機器が損傷 込まなかったために 低レベルになり、ガ スが液体出口に流入 低レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 01.05 容器から少量しか流 下流側機器が損傷 れ出なかったために 高レベルになり、液 体がガス出口に流入 高レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 01.10 容器の破裂およびガ 保守作業員が死亡す 高圧力のアラー J Jones スの放出 る可能性がある。機 ムの設置を考慮 Process Dept 器の損傷。環境汚染。する。 12年4月21日 01.11 容器の破裂およびガ 保守作業員が死亡す 低圧力のアラー J Jones スの放出 る可能性がある。機 ムの設置を考慮 Process Dept 器の損傷。環境汚染。する。 12年4月21日 01.15 高温によって、高圧 保守作業員が死亡す 高温のアラーム V White 力、容器の破裂およ る可能性がある。機 の設置を考慮す C&I_Dept びガス放出が発生 器の損傷。環境汚染。る。 12年4月21日 01.16 液体凍結により、容 機器の損傷。環境汚 低温のアラーム V White 器の破裂、および格 染。 の設置を考慮す C&I_Dept 納喪失の可能性 る。 12年4月21日 01.20 容器が高レベルにな 下流側機器が損傷 ると、液体がガス出 口に流入 高レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 01.21 容器が低レベルにな 下流側機器が損傷 ると、ガスが液体出 口に流入 低レベルのアラ S Smith ームの設置を考 C&I_Dept 慮する。 12年4月14日 32 PROCESS SAFEBOOK 1 リスクとリスク低減 4.4. リスクマトリックスの分類例 図11に、前項にて使用した簡単なリスク評価表と同等の情報を示します。重大度に よる結果は偶発的や軽傷、重傷、致命的などの簡単な用語に分類されます。HAZOP を実施すると危険源の重大度合を理解でき、グループ化/カテゴリ化を行なうことが できるようになります。 発生確率の分類は非常に困難であるというのが実情です。図11ではたびたび発生す る事象や設備で年間数回発生する事象などの発生確率が高いものや同業界では未知 の事象や業界全体で未知の事象などの発生確率が稀なものまでで分類しています。 このような発生確率の分類によりその範囲に応じたカテゴリ分類を行なうことがで きます。 重大度のカテゴリや確率によるこの表の結果から、極低(VL)や低(L)、中(M)、高(H)、 極高(VH)にリスクレベルを分類することができます。 33 4 3 2 1 中くらい 10-3/年 軽微 10-2/年 付随的 10-1/年 5 深刻 10-5/年 重大 10-4/年 6 致命的 10-6/年 重大度 <10-6/年 VL A 全業界/業務 形態で聞いた ことがない 10-6 - 10-5/年 VL L B 同業界/業務 形態で聞いた ことがない 図11: リスクマトリックス 34 VL L M H D VL L M H VH E 確率(頻度) その事業で その事業で 起こること 数回起こる がある ことがある 10-5 - 10-4/年 10-4 - 10-3/年 10-3 - 10-2/年 VL L M C 業界/業務形態 で聞いたこと がある 10-2 - 10-1/年 VL L M H VH VH F 設備で起こる ことがある 10-1 - 1 /年 L M H VH VH VH G 設備で数回 起こること がある >1 /年 M H VH VH VH VH H 設備で年に 数回起こる ことがある PROCESS SAFEBOOK 1 プロセス産業での機能安全 PROCESS SAFEBOOK 1 リスクとリスク低減 4.5. リスクの定量化 リスクの許容範囲は定量化する必要があります。人体への安全に対するリスク許容 の定量化は、リスクの特定方法や以下の次項に影響を及ぼすいくつかの要因に依存 します。 • • • • 悪影響の直接経験 社会的、文化的背景や信仰 特定リスク以上の管理 メディアなどの異なる情報源から発信される情報拡散 例えば、妊娠中の喫煙など、明らかに高いリスクにおいてそのリスクを許容するこ とはできませんが、片手鍋で牛乳の加熱など、無視することができる低いリスクも 存在します。もちろん、議題として最も注目すべき部分はこの間にある許容可能な グレーゾーンになります。そのため、課題は以下の2つの境界により定義されます。 • 容認不可能なリスクと許容可能なリスク • 許容可能なリスクと容認可能なリスク HSEガイダンス文書の「リスク低減と人員保護(R2P2)」[19.3]では、市民や従業員の 双方において個別リスクで年間100万人当たり1人が死亡することは非常に低いレベ ルのリスクであり、広く容認可能な(または無視できる)リスク境界であると提言して います。 R2P2は、年間1,000人に1人が死亡する個別リスクはそこで働く環境下の従業員の許 容可能なリスクと正しい知識を有した人達にとって許容不可能なリスクの境界線に あると表記しています。イギリスにおける労働安全衛生目標では住民の大多数が悪 影響に晒されない環境レベルを構築、維持することが挙げられています。 このようなリスク環境内にいる住民にとっては年間1万人に1人でも低い指標として 判断されます。 HSEによる適応基準は図12で示されるTOR (Tolerability of Risk: リスクの許容範囲) として知られるフレームワーク内で検討することができます。これは許容可能な個 別リスクと広義容認可能リスクの基準によって構成されています。 35 PROCESS SAFEBOOK 1 プロセス産業での機能安全 容認不可能 領域 容認不可能 領域 10-4 pa リスク増大 リスク増大 10-3 pa 許容可能 領域 10-6 pa 広義容認可能 領域 図12: リスクの許容性 4.6. 許容可能 領域 10-6 pa 広義容認可能 領域 図13: 個別のリスク基準 リスクの許容性と容認性 HAZOPにより認知された危険源に晒される定量的なリスクを定義するためには、そ のリスク基準の設定と就労中に晒されるその他の危険源の数を考慮する必要があり ます。予測値として10種類程度の危険源に晒されると仮定することも間違いではあ りません。図13で示される年間1万人当たり1人が死亡する個別リスクを最大許容範 囲として定義された10種類の危険源の間に図12で示されるリスク基準の許容性が割 当てられます。 市民や従業員の双方における死亡の個別リスクの広義的な容認リスクの境界線は、 無視できるレベルと定義されている年間100万人当たり1人という値です。リスクの 許容性は図14に概念的に示されています。 36 PROCESS SAFEBOOK 1 リスクとリスク低減 個人のリスク(年間) 結果 軽微/深刻 深刻/死亡 複数の死亡者 従業員 10-3 10-4 10-5 市民 10-4 10-5 10-6 広義的に容認可能なリスク(無視できる) 結果 軽微/深刻 深刻/死亡 複数の死亡者 従業員 10-5 10-6 10-6 図14: リスクの許容性の概要 年間1万人に1人が死亡する個別リスクの最大許容範囲から図15のように他のリスク の最大許容範囲値をその重大度や第三者の介入の有無によって定義することができ ます(図15)。 個人のリスク(年間) 結果 軽微/深刻 深刻/死亡 複数の死亡者 従業員 10-3 10-4 10-5 市民 10-4 10-5 10-6 広義的に容認可能なリスク(無視できる) 結果 軽微/深刻 深刻/死亡 複数の死亡者 従業員 10-5 10-6 10-6 図15: リスクの許容性の概要 37 PROCESS SAFEBOOK 1 プロセス産業での機能安全 4.7. リスク許容性 リスク許容性の概要[図15]は図16に示すようにグラフとして表すことができます。 複数の 死亡者 許容可能な最大リスク 従業員 結果の重大度 許容可能な最大リスク 市民 1人の 死亡者 傷害 無視できるリスク 10-6 10-5 10-4 頻度(年間) 図16: リスクの許容性の概要 38 10-3 PROCESS SAFEBOOK 1 リスクとリスク低減 4.8. 準拠するための要求 安全度水準の要求は、危険事象の発生頻度により決まります。危険源の重大度によ り許容可能な最大頻度が決まり、発生頻度を許容可能なレベルまで下げるために安 全機能を設計します。 安全機能に要求されるリスク低減は規格に準拠するための第一の要求事項であり、 これは数値化された信頼性の測定となります。 数値的な信頼性の測定は帯域やSIL (Saftey Integrity Level: 安全度水準)といった値で 分類されています。特定の信頼性測定の要求に応じてSILは4つに分類されています。 SIL4は最も高い水準レベルであり、リスクを最大限に減少させ、最も困難な環境下 において信頼性を維持します。SIL1は最も低い水準レベルであり、軽微な環境下に おいて信頼性を維持します。 4.9. ALARP原則 上述の危険源の概要とリスク分析はそのプロセスのリスクの定義と最大許容リスク の決定方法を示しています。しかしながら、HSAWAではいっそうのリスク低減を図 るために追加の取り組みを継続するとしています。つまり、さらなるリスク低減は 費用対効果の観点ではあまり推奨できないため、リスクを「As Low As Reasonably Practicable (合理的に実行可能な限り低減する)」と示されています。 [詳細は第5章を参照のこと] 39 PROCESS SAFEBOOK 1 プロセス産業での機能安全 5. ALARP原則 5.1. メリットとデメリット 「合理的に実行可能」なシステム構築とは慣行よりも義務保有者の目標を設定する ことになります。この柔軟な考え方は義務保有者が自身に最適な方策を選択できる という大きなメリットがあり、革新的なものを適用することもできます。その反面、 デメリットもあります。リスクがALARPであるかどうかを決定することは義務保有 者や資産保有者がその判断を下すため、大きな課題と成り得ます。 産業リスクの規制に適用するための主要な検査として以下の定義項目が含まれてい る必要があります。 a) すべてを拒絶しなければらならないほどの大きなリスク b) 無視できるほどにとても小さなリスク c) 上記2つの事項に該当せず、「合理的に実行可能な限り低減する」までそのレ ベルを低減する必要のあるリスク 「合理的に実行可能」な環境を定量化することは困難です。実行可能な追加低減策 はそれを行なう際の費用面や時間、新たな問題の生成などのデメリットとの兼ね合 いもあり、計算する必要があることの意味合いを持っています。もし、費用に対し て効果が薄いなどの全体バランスが極端に悪い場合には、そのリスクをALARPとし て検討します。 リスクがALARPを減少させるための証明として以下の調査を行なう必要があります。 • 回避されるリスク • リスクを回避するための対処策におけるデメリット(費用面や時間、新たな問題 など) • 上記2つの事項の比較 このプロセスは以下の内容に応じてその調査の厳密度が変化します。 • 危険源の性質 • リスクの規模 • 適用する制御方策 しかしながら、厳密性が保証されない場合、義務保有者や規制者がその負担を背負 うべきではありません。検討中の初期リスクレベルが大きくなると、より高い厳密 度が要求されます。 40 PROCESS SAFEBOOK 1 ALARP原則 5.2. 不比例 CBA (Cost Benefit Analysis: 費用対効果分析)は義務保有者がさらなるリスク低減対 策が理にかなっているかを判断する1つの指針となります。追加のリスク低減策は実 施する対策コストがその効果と総合的に釣り合っていれば合理的に実施可能と見な されます。簡単に言うと、コスト/利点> DF (Disproportion Factor: 不均衡の要因)で あればその対策はリスク低減のための価値が薄いと考えることができます。 総合的なDFは1より大きい値になりますが、重大度や発生頻度を含む多くの要因に よって変わります。つまり、リスクが大きくなるとDFも大きくなります。 5.3. 総合的な不均衡とは HSEでは総合的に判断できる不均衡度合を定義するために使用されるアルゴリズム を策定していません。費用面で総合的に不均衡化する定義要因として行政から認可 されていないガイダンス文書があります。その文書によると判断は状況に応じて成 されるべきであり、手掛かりや助言情報は過去の大事故の調査から得られると記載 されています。 1987年の英国のSizewell Bの調査では以下のDFが使用されていました。 • 市民へのリスクは低いとしてその係数は2 • 従業員のリスクとしてその最大係数は3 (つまり、メリットよりも3倍の費用) • 高リスクとしてその係数は10 5.4. CBA (Cost Benefit Analysis:費用対効果分析) 多くのALARPの決定の決定において、HSEでは詳細なCBA (Cost Benefit Analysis: 費用対効果分析)を義務保有者に求めておらず、単純な費用対効果比較が望ましいと 表明しています。 ALARPを決定する上でCBAはサポート的な役割を果たします。CBAはALARPにおい て唯一の要旨ではなく、また、既存の規格や設備稼働の基盤を壊すために利用する ためのものでもありません。CBA自身はALARPを構成するものではなく、法的義務 に対して弁論するために使用することもできません。また、許容範囲外のリスクや 脆弱な設計を判断することもできません。 CBAにて考慮することができる正当な費用としては以下のものが挙げられます。 • 設置 • 稼働 • 教育 • 追加保守 41 PROCESS SAFEBOOK 1 プロセス産業での機能安全 • 対策目的のためだけに生じるシャットダウンにより生じるビジネス損失 • 生産延期による利害(例えば、設備における業務遂行中に油田/ガス田に残留し ている原油やガス) • 義務保有者が責任を持つすべてのクレーム費用(市民などの他の関係者に対する 補償費用は含まれない。) • リスク低減対策として実施する際に必要となるものにかかる費用(金メッキや度 を超えた対策費用は含まれない。) CBAに挙げることができる合法的なメリットは、少なくとも過小評価されない完全 な安全性改善対策を実行できるという点です。この利点は市民や作業員、さらには 広域な地域へ以下のようなリスクを減じるために用いられるべきものとなります。 • • • • 死亡事故 怪我などの負傷事故 健康損害 環境破壊やそれに類似する事故(例えばCOMAH (重大災害危険規制)など) 上記事項に対する利点としては妥当であれば、避難や事故後の除染処理といった対 処方法や救急サービスの配置などを避けることも含められます。しかしながら、安 全向上のための利点とそれに関わる費用を比較するにあたっては共通の基準で比較 する必要があります。この比較測定における簡易的な手法として設備の寿命の観点 で費用と利点を「年間£」の共通フォーマットに記載する方法となります。 使用されるいくつかの一般的な金銭的価値について表1に示します。 死亡 £1,336,800 (がんの2倍) 恒久的に身体機能が失われる傷害。レジャーや作業 £207,200 活動が恒久的に制限される。 傷害 深刻。レジャーや作業活動が数週間/数か月間制限 される。 £20,500 軽傷(素早く完全に回復する軽い切り傷や打撲など) £300 恒久的に身体機能を奪う病気。傷害の場合と同じ。 £193,100 病気 他のケースの健康障害。1週間以上の欠勤。恒久的 な健康への影響はない。 £2,300 + £180 (欠勤1日当たり) 軽度 最大1週間の欠勤。恒久的な健康への影響はない。 £530 表1: 一般的な判例による賠償額(2003年) 42 PROCESS SAFEBOOK 1 ALARP原則 5.5. 例 問題:化学設備のプロセスにおいて爆発時に発生し得る影響について考えてくださ い。 • • • • 20人の死亡 40人の恒久的な負傷 100人の重傷 200人の軽傷 爆発の発生率は年間約10-5 (年間100,000回に1回程度)と分析され、設備寿命は25年 と考えられています。この爆発のリスクを排除するためにどのくらいの費用を費や すべきでしょうか? 回答:爆発のリスクが排除された場合、その利益は以下の通りに評価することがで きます。 死亡事故の除去: 20 x £1,336,800 x 10-5 x 25年 = £6684 恒久的な負傷: 40 x £207,200 x 10-5 x 25年 = £2072 重傷: 100 x £20,500 x 10-5 x 25年 = £512 軽傷: 200 x £300 x 10-5 x 25年 = £15 合計利益 = £9,283 £9,283は犠牲者の発生を避けることを基盤とし、設備における爆発事故を排除する ことに利益を求める想定となります(この演算式にはインフレの影響や値引きなどは 考慮されていません)。 合理的ではない手法において、費用が利益に対して不均衡に成り得ます。このよう な場合、DFがこのような爆発の発生頻度が高いことを示します。10以上のDFは例外 的であり、爆発の危険性を排除するために£93,000 (£9,300 x 10)までの範囲で有効 な手段を講じることが理想的です。義務保有者はより小さいDFの使用を決定する必 要があります。 このような簡単な分析はリスクを排除、減少するためのさまざまな代替手段を評価す ることで、それらの対策の実行や中止を検討するために使用することができます。 43 PROCESS SAFEBOOK 1 プロセス産業での機能安全 代替手段 安全向上対策はリスクを排除するのではなく、リスクを減少させることが多く、リ スク低減と実行費用を比較し、利点を評価する必要があります。 一般的に人命保護当たりのコストのターゲット(またはVPF (Value of Preventing a statistical Fatality: 死亡予防の価値)を計算します。 設備寿命までの死亡事故を防ぐためのコストは、ターゲットVPFと比較されます。 コストが著しく釣り合わない限り、その安全向上対策は実施されます。 5.6. 例 問題:ALARPのアプリケーション 特定の産業では人命保護当たりの費用として£2Mのターゲットが使用されています。 10-5 paの許容可能な最大リスクのターゲットは特定の危険源に対して2回の死亡事故 を引き起こす可能性があると判断されます。 適用された安全システムのリスクを評価すると8.0x10-6 paと予測されました。無視 できるほど小さいリスクが10-6 paである場合、ALARPのアプリケーションが必要に なります。 この例では30年間の設備寿命において追加機器の設置や冗長化によって発生する £10,000の費用によりそのリスクを2.0 x 10-6 pa (無視できる領域より少し高い値)に 減少させることができます。 このリスク低減対策を適用すべきでしょうか? 回答:設備寿命に対する人命保護は以下のように計算されます。 N = (死亡事故の頻度の低減) x 事故当たりの死亡事故回数 x 設備寿命 = (8.0 x10-6 - 2.0 x10-6) x 2 x 30 = 3.6 x10-4 そのため、人命保護当たりの費用は以下のようになります。 VPF = £10000 / 3.6 x10-4 = £27.8M 計算されたVPFは人命保護当たりのターゲット費用の10倍を超える£2Mの基準であ るため、適用すべきではありません。 44 PROCESS SAFEBOOK 1 SILターゲットの決定 6. SILターゲットの決定 6.1. 需要モードと連続モードの安全機能 機能障害時の安全システムを評価する場合に動作モードによって2つの選択肢が存在 します。安全システムの作動要求の頻度が低い(通常、1年間に1回未満)場合は、需要 モードと言います。この安全システムの例としては車のエアーバッグがあります。 一方、(ほぼ)連続して使用される車のブレーキは、連続モードで動作する安全システ ムの例です。需要モードの安全システムの場合は作動要求当たりの平均故障確率 (PFD)の計算に使用されるのに対して、単位時間当たりの危険側故障確率(PFH)は連 続モードで稼働している安全システムに使用されます。 6.2. 需要モードの安全機能 例えば、対策のない設備での場合に、2年間に平均1回火事が発生し、この火事によ って死亡事故が起こると仮定します。死亡事故が起こる頻度のグラフとしては図17 のようになります。死亡事故が起こる頻度は1年間に0.5です。 死亡に つながる プロセスに潜在 するリスク 設備での火事 危険源に晒 される頻度 2年に1回 死亡事故の頻度 図17: 死亡率 火災影響に対する人命保護においては設置されている既存の安全対策を考慮に入れ ません。最悪状況の影響について考える必要があります。 45 PROCESS SAFEBOOK 1 プロセス産業での機能安全 10回中9回稼働する火災報知器が設置すると仮定した場合、その需要モードで動作不 適合により10回の火災に対して1回の死亡事故が発生することが考えられます。つま り、2年間で1回の死亡事故が20年に1回の死亡事故の発生へとその発生頻度を減らす ことができます。 死亡に つながる プロセスに潜在 するリスク 火災報知器は10回の うち9回作動する 死亡事故の頻度は20年に1回 火災報知器 設備での火事 危険源に晒 される頻度 20年に1回 死亡事故の頻度 2年に1回 図18: 死亡率の低下 この例では火災報知器が10回に9回の火事に作動する場合、作動要求当たりの故障確 率(PFD)は10回に1回(10%)と算出できます。この場合、火災報知器のPFDが0.1の場 合、10の係数によってリスク低減要因(RRF)が10になり、死亡事故の頻度が減少し ます。 つまり、PFD = 1 / RRFになります。 PFDは数学的な確率値であり、0から1の範囲の値で示されます。 6.3. 安全度水準(SIL)のターゲット例 SILターゲットを決定する方法として許容閾値まで危険源の周期的影響を低下させる ために必要となリスク減少値を計算します。 46 PROCESS SAFEBOOK 1 SILターゲットの決定 安全度水準を定義するにあたって推奨する方法は、設備におけるそれぞれの危険源 によって晒されるリスクを評価することです。もし、設備におけるHAZOPを実施し、 プロセス上に危害の可能性のある危険源が検出され、その対策がなかった場合、そ の潜在的な発生頻度を考えなければなりません。その最悪状況での発生頻度はその 危険源における最大頻度で定義します。 また、その危険源が従業員の死亡事故につながる可能性がある場合、リスクの許容 性/容認性基準[4.6]に基づいて、危険源の最大頻度を定義することがあります。この 検出された危険源は年間10から4の最大頻度として示すことができます。 危険源の初期要因の分析により危険源の可能性を想定でき、対策が何もない場合、 その危険源と特定の最大頻度を比較することができます。ケースによっては事例分 析を行なうことがあり、確認を怠れば年間1回発生し得る危険源を定義します。これ により対策の必要性を促すリスクギャップが明示されます(図19)。 死亡に つながる 許容可能な リスクレベル プロセスに潜在 するリスク リスクギャップ プロセスハザード 10-4 / yr 危険源に晒される頻度 1 / yr 図19: リスクギャップ その後、図20内のアラームといった危険源の頻度を減少させる既設の安全保護を記 載します。今回の場合、アラームはPFDによって危険源の頻度を減少させます。そ れによりリスクギャップは減少されますが、まだ、リスク全体を許容閾値まで減少 することができません。 47 PROCESS SAFEBOOK 1 プロセス産業での機能安全 死亡に つながる 許容可能な リスクレベル プロセスに潜在 するリスク PFD = 0.1 アラーム リスクギャップ プロセスハザード 10-4 / yr 0.1 / yr 1 / yr 危険源に晒される頻度 図20: アラームを考慮 死亡に つながる 許容可能な 中間 リスクレベル リスク PFD < 0.1 プロセスに潜在 するリスク PFD = 0.1 その他 PFD = 0.1 PFD = 0.1 機械的 アラーム リスクギャップ プロセスハザード 10-4 / yr 10-3 / yr 10-2 / yr 危険源に晒される頻度 図21: 他の保護階層を考慮 48 0.1 / yr 1 / yr PROCESS SAFEBOOK 1 SILターゲットの決定 他の保護領域を用いることでさらにリスクを減少させることができます。圧力リリ ーフ弁や爆発防護壁、堤防といった機械的な機器がそれにあたることもあります。 また、リスク減少対策として、プロセス制御や機器、手順といったものも含まれ、 それぞれ独自の PFD により図 21 のようにリスクを減少させることがあります。こ の例では既設設備にあるさまざまな安全保護が表記されていますが、まだ、リスク 全体を許容閾値まで減少させていません。残り 0.1%未満の PFD において他の領域 での安全対策が要求されています。これが図 22 で示されている SIS のタスクとなり ます。図的に示されている計算こそが SIS におけるターゲット PFD であり、定義さ れる SIL ターゲットとなります。これは需要モード安全機能の例となります。 死亡に つながる 残留 リスク 中間 許容可能な リスクレベル リスク PFD < 0.1 プロセスに潜在 するリスク PFD = 0.1 PFD = 0.1 PFD = 0.1 その他 機械的 アラーム SIS リスクギャップ プロセスハザード 10-4 / yr 10-3 / yr 10-2 / yr 危険源に晒される頻度 図22: PFDターゲット 49 0.1 / yr 1 / yr PROCESS SAFEBOOK 1 プロセス産業での機能安全 6.4. 安全機能 一般的に図23のようにSISとプロセスの配置が示されます。 SIS 安全計装システム プロセス 図23:安全計装システム 安全計装の機能はいくつかのプロセスパラメータをモニタし、もし、特定の閾値を 超えた場合にはプロセス安全を実行するために特定の動作を行ないます。図24では プロセス産業からの簡単な例を示します。 水圧 供給 水圧弁 ESD用 ロジック ソレノイド バルブ 圧力 伝送器 S PT 圧力制御器 PC ガスパイプ ライン入口 遮断弁 ガスパイプ ライン出口 圧力制御弁 定格48bar 定格139bar 図24:安全計装機能の例 50 PROCESS SAFEBOOK 1 SILターゲットの決定 図中では発電設備へ供給されるガス配管ラインが示されています。圧力制御弁(PCV) に到達する前にガスは左から右へ遮断弁を経由して流れています。ガス排出におけ る安全定格である48bar以下に圧力を維持する必要があり、圧力制御器(PC)によって PCVは制御されています。圧力制御機能の不適合は下流側配管の圧力超過や破損、 発火、死亡事故を引き起こす可能性があり、この想定に対する安全機能として安全 保護を設計する必要があります。安全機能は圧力伝送器(PT)やいくつかの緊急停止 (ESD)用ロジック、そして、設定されているトリップ閾値を超える下流側圧力の事象 においてガス供給を止める水圧式ソレノイドバルブ(SOV)によって動作する遮断弁 (SDV)で構成されています。 6.5. 需要モードの安全機能の例 安全計装機能 水圧 供給 水圧弁 ESD用 ロジック ソレノイド バルブ 圧力 伝送器 S PT プロセス& BPCS 圧力 制御器 PC ガスパイプ ライン入口 遮断弁 ガイスパイプ ライン出口 圧力制御弁 定格139bar 定格48bar 図25:需要モードの安全機能 これは、需要モードの安全機能の例です。需要モードの安全機能の鍵となる特性は 以下の通りです。 • 一般的にプロセスとは分離 • 安全機能の不適合は保護機能の欠如となるがそれ自体の危険源性はなし • 年間1回未満という低い需要頻度 需要モードの安全機能としてプロセス停止(PSD)や緊急停止(ESD)、高水準圧力保護 システム(HIPPS)が含まれます。 51 PROCESS SAFEBOOK 1 プロセス産業での機能安全 安全機能の一部として設置する圧力伝送器をプロセス圧力の連続監視を行ないます が、それが需要モードであることから除外してはなりません。需要モードは高圧偏 移頻度といった需要頻度に関連しています。 6.6. 連続モードの安全機能の例 図26に連続モードの安全機能の例を示します。 バーナ 管理システム 燃焼用空気 TT 001 TE 002 TE 003 TT 004 TE 405 TT 406 TE 405 XY 101 S TY 102 XY 101 S ダンパ S HC 201 HC 202 メインガス S 燃料ガス XY 104 図26:連続モードの安全機能 図では炉の制御用の一般的なバーナ管理システム(BMS)を示しています。このシス テムでは炉への燃焼ガス、および燃焼空気を制御しており、火炎検出器でバーナ炎 を監視しています。 52 PROCESS SAFEBOOK 1 SILターゲットの決定 燃焼停止状態ではBMSは爆発の危険性などを防止するために燃料ガスの供給を停止 する必要があります。同様に点火前にバルブなどから炉内の蓄積ガスの排出、およ び制御不適合の有無を確認する必要があります。 また、BMSはスタートアップシーケンスや適切なパージ処理などを行なった後に制 御を実行する必要があり、さらに点火後の運転も監視しなければなりません。例え ば、BMSやそれに関連するセンサやバルブなどは連続モードでの安全機能を形成し ます。 連続モードにおける鍵となる特性は以下の通りです。 • 一般的にはいくつかの制御機能を提供 • 安全機能の不適合が危険状態を発生し得る • 年間、または連続的に1回以上という高い作動要求頻度 連続モード安全機能は一般的にバーナ管理やタービン制御システムなどに使用され ます。 6.7. 需要モードのSILターゲット IEC61511-1, 9.2.4ではPFDターゲットを領域または安全度水準(SIL)にグループ分け します。[6.3]の例題では安全機能のPFDターゲットは10-1未満であり、表2からSIL1 要求であることがわかりますを。 需要モードの動作 (要求時設計機能平均故障発生確率) 安全度水準 10-5 ~ 10-4 4 10 ~ 10 -3 3 10 ~ 10 -2 2 10 ~ 10 -1 1 -4 -3 -2 表2:需要モードのSILターゲット 注:PFDターゲットは技術や対策内に適切な厳格度合を持たせるため、SIL領域にグ ループ化されています。この要求に関しての詳細はセクション[12.15]に記載されて います。 53 PROCESS SAFEBOOK 1 プロセス産業での機能安全 6.8. 連続モードのSILターゲット IEC61511-1, 9.2.4は連続モードシステムにおけるSILターゲットを示しています(表3)。 連続モードの動作 (単位時間当たりの危険側故障確率、PFH) 安全度水準 10-9 ~ 10-8 4 10 ~ 10 -7 3 10 ~ 10 -6 2 10 ~ 10 -5 1 -8 -7 -6 表3:連続モードのSILターゲット 注:連続モードにおけるターゲット故障の計測は故障PFH、または故障率となりま す。 故障率ターゲットは需要モードシステムにおけるターゲットより複雑に見えます。 例えば、需要モードでのSIL1は10-1未満のPFDであるのに対して、連続モードのSIL1 は単位時間当たりの故障として10-5未満のPFHが要求されます。 連続モードのターゲットを単位時間当たりの故障から年間故障に変換し、表として 示すこともできます。1年間は約10-4時間(実質的には8,760)ですので、連続モードの 表は表4のように記載することができます。 連続モードの動作 (1年当たりの危険側故障確率) 安全度水準 10-5 ~ 10-4 4 10-4 ~ 10-3 3 10-3 ~ 10-2 2 10-2 ~ 10-1 1 表4:連続モードのSILターゲット(PA) 54 PROCESS SAFEBOOK 1 SILターゲットの決定 6.9. 動作モード(需要モードと連続モードシステム) SISが動作する方法を決定するために、IEC61511-1, 3.2.43では以下のように定義し ています。 需要モード • プロセス状態、または他の作動要求への応答に対して指定の動作が求められる 箇所。BPCSのプロセス障害時にSIFの危険側故障において潜在的な危険事象だ けが発生する。 連続モード • SIFの危険が故障において保護対策をとらなければさらなる障害なしに潜在的な 危険事象が発生する箇所 需要モードと連続モードを判断するにあたっての経験的なルールとしては意味のあ る基準認識と信頼性のある測定です。 例えば、車のエアーバッグはとても意味のある安全機能を提供しており、需要モー ド機能と定義されるため、作動要求時機能平均故障確率が参照されます。需要モー ドの安全機能の鍵となる特性としてセクション[6.5]では以下のことを示しています。 • 一般的にプロセスとは分離 • 安全機能の不適合は保護機能の欠如となるがそれ自体の危険源性はなし 一方、車のブレーキにおける意味のある基準は故障率、または単位時間当たりの故 障確率となります。安全機能の故障確率が参照されるため、連続モードの機能とし て表現されます。 これをサポートするための連続モードの安全機能の鍵となる特性は、以下の通りで す。 • ブレーキという観点で一般的にはいくつかの制御機能を提供 • 速度制御が不能となるため、安全機能の不適合が危険状態を発生し得る。 単位時間当たりの危険側故障である連続モードのターゲットに関しては表3を参照し てください。 55 PROCESS SAFEBOOK 1 プロセス産業での機能安全 6.10. 需要モードの安全機能 6.10.1. 例 問題:1日2時間程度、プロセスエリアに人が立ち入ります。プロセスの圧力超過に よりガス漏洩が発生し、10回中1回のガス漏洩で作業員が死亡する爆発事故が発生し ます。 この分析では圧力超過状態は5年毎(レートは0.2pa)と評価されています。 この危険源の最大頻度(爆発による従業員の死亡事故)は10-4 paと推定されています。 このSISにおいて要求されるPFDはどのくらいでしょうか? 回答:死亡事故率は以下のように計算されます。 = 0.2 pa x 2/24 x 1/10 = 1.67 x 10-3 pa これにより安全システムとして以下の作動要求時平均故障確率を保持する必要があ ります。 = 10-4 pa / 1.67 x10-3 pa = 6.0 x10-2 : つまりSIL1の適用要求 これは制御下にある機器の故障比率によって定義された周期による運転であること を前提とした需要モードのSISの例です。 発生確率などの値で最大頻度を割っているため、このPFDの値は実際の結果である と確認することができます。 56 PROCESS SAFEBOOK 1 SILターゲットの決定 6.11. 連続モードの安全機能 連続モードの安全機能の簡単な例を図27に示します。ボイラーの排出側を温度伝送 器で測定することで制御している電気エレメントによって加熱を行なう化学物質の アプリケーションです。 ボイラー ヒータ パワー 温度 コントローラ TT プロセス 出口 ヒータ プロセス 入口 ボイラー 図27:連続モードの安全機能 ボイラーの過熱超過は破損や化学物質の漏洩、火災を引き起こす可能性があり、そ れは死亡事故を誘発します。そのため、管理されるべきリスクが明らかに存在しま す。例えば、プロセス全体の故障率はその危険源の最大許容リスクを超えてはなり ません。 6.11.1. 例 問題:ボイラーの不適合が過熱超過や火災に繋がり、400回に1回の確率で死亡事故 が発生すると仮定します。また、最大死亡事故(第三者の死亡事故)の発生率は10-5 pa であると仮定します。 このボイラーにおける最大許容障害確率はどのくらいでしょうか? 回答:400回の不適合に対して1回の事故である間は、その最大許容リスクは下記値 以下にする必要があります。 10-5 pa ≥ λB x 1/400 λBはボイラーの不適合確率を示しているため、以下のように計算されます。 λB = 400 x 10-5 pa = 4.0 x10-3 pa: つまりSIL2の適用要求 57 PROCESS SAFEBOOK 1 プロセス産業での機能安全 これは連続的なリスクであるため、連続モードのSISの例となります。400回に1回 の確率で死亡事故が発生するため、400回以上の頻度に耐え得るボイラーシステムの 設計が必要となります。 この例ではボイラーや加熱エレメント、温度センサといったプロセスをSIL2として 設計する必要があり、故障確率は4.0 x 10-3 pa未満にする必要があります。非常に難 しい内容ですが、1つ方法があります。 6.11.2. 例 ボイラープロセスを構築し、4.0 x10-3 paを遥かに超えた5.0 x10-2 paの故障確率が算 出されたと仮定します。 このケースでは400回に1回の不適合が死亡事故を引き起こすと想定するとその死亡 事故確率は以下のようになります。 = 5.0 x10-2 pa x 1/400 = 1.25 x10-4 pa つまり、最大許容確率である10-5 pa (第三者の死亡事故)を超えています。 代替の方法でこの望んでいない高い確率で不適合を起こすボイラーを改善し、図28 のような最大許容確率までその死亡事故確率を減少させる需要モード安全機能を設 計することができる可能性があります。 ESD リレー ボイラー ヒータ パワー 温度 コントローラ TT プロセス 出口 ヒータ プロセス 入口 ボイラー 図28:需要モードの安全機能 58 TT 温度 伝送器 PROCESS SAFEBOOK 1 SILターゲットの決定 この構成としてプロセスの不適合環境下においていくつかのESDロジック経由で電 気ヒータへの電力トリップと出口側温度測定用として2台目の独立した温度伝送器を 設置します。 すると下記のような計算式となります。 10-5 pa ≥ λB x PFDT λBはボイラーの不適合比率ですので、1.25 x10-4 paとPFDTが個別トリップにおける 作動要求時平均故障確率となります。 その結果として、以下のように計算されます。 PFDT ≤ 10-5 pa / 1.25 x10-4 pa PFDT ≤ 0.08: つまり需要モード安全機能のSIL1の適用要求 注:これら2つの例はSIL2として制御下にある機器、およびボイラーシステム全体の 設計に選択肢を与えています。または故障時のボイラーシステムをSIL1需要モード 安全機能で保護することを示しています。これらの選択肢は双方ともに最大許容リ スクに準拠していますが、設計の観点ではSIL1システムの方がSIL2のボイラー制御 システムよりも費用を抑えるという利点があります。 59 PROCESS SAFEBOOK 1 プロセス産業での機能安全 7. リスクグラフ 7.1. はじめに セクション[6.10]および[6.11]では計算によるSILターゲットの定義方法に示していま すが、特に分析すべき多くの危険源がある場合には、その代替手法としてリスクグ ラフというものがあります。このリスクグラフによる方法は評価すべき多くの危険 源ある場合に有効な早期収集技術になります。 Ca 軽い傷害 Cb 重傷、 1人の死亡者 Fa まれに 晒される Fb 頻繁に 晒される Fa まれに 晒される 開始点 Cc 数人の死亡者 Fb 頻繁に 晒される Fa まれに 晒される Cd 大量の死亡者 Fb 頻繁に 晒される 図29: 標準的なリスクグラフ Pa 防ぐことが できる Pb 防ぐことが できない Pa 防ぐことが できる Pb 防ぐことが できない W3 W2 W1 a -- -- 1 a -- 2 1 a 3 2 1 4 3 2 5 4 3 Pa 防ぐことが できる Pb 防ぐことが できない Pa 防ぐことが できる Pb 防ぐことが できない まず初めに、危険源の頻度をCa、Cb、Cc、またはCdのいずれかに定義付けます。 その後、その危険源におけるリスク下に置かれる人の危機頻度をFaとFbにて選択し ます。一般的な危険頻度の尺度として10%以下である場合にはその頻度としてFbが 選択されます。10%より多い場合にはFaとして考える必要があります。 リスクグラフに沿って話を進めると、何かの機能により退避や警報、保護によって 危険源を避ける方法がある場合にはリスクグラフ上のPaを選択することができます。 そのような方法がない場合にはPbを選択します。これによりリスクグラフの右の列 にある1つの行に辿り着きます。 60 PROCESS SAFEBOOK 1 リスクグラフ 最後に危険源の発生確率をW3 (発生確率が高い)、W2 (発生確率が低い)、またはW1 (発生確率が非常に低い)のいずれかを選択します。そして、最終的に行き着いた欄が 要求されるSILターゲットとなります。 7.2. 例 例として、石油貯蔵タンクが満液となり、可燃性気化ガスが漏れ、施設内で死亡事 故の可能性があると仮定します。その場合、満液稼働の頻度を想定し、危険源の発 生確率からそれはW1 (発生確率が非常に低い)と考えます。この危険な状況となった 際には従業員を保護する手段は何もありません。また、従業員はこの施設内で稀に 保守を行なう程度であり、通常は1日当たり1時間相当の作業を行ないます。図30に はこの過程におけるリスクグラフを示しており、その結果としてSIL1のターゲット であるという結果が出ています。 Ca 軽い傷害 Cb 重傷、 1人の死亡者 Fa まれに 晒される Fb 頻繁に 晒される Fa まれに 晒される 開始点 Cc 数人の死亡者 Fb 頻繁に 晒される Fa まれに 晒される Cd 大量の死亡者 Fb 頻繁に 晒される Pa 防ぐことが できる Pb 防ぐことが できない Pa 防ぐことが できる Pb 防ぐことが できない W3 W2 W1 a -- -- 1 a -- 2 1 a 3 2 1 4 3 2 5 4 3 Pa 防ぐことが できる Pb 防ぐことが できない Pa 防ぐことが できる Pb 防ぐことが できない 図30: リスクグラフの使用例 この例の安全機能としてはタンク入口のバルブを閉める高レベルトリップを要求さ れ、これがSIL1ターゲットを有することとなります。 しかしながら、従来のリスクグラフ主観的な側面があるため、リスクパラメータの 解釈に問題が生じる場合があります。そのため、悲観的なSILターゲットとなるなど、 一貫性のない結果となる恐れがあります。 61 PROCESS SAFEBOOK 1 プロセス産業での機能安全 リスクグラフの中でSILターゲット欄に「a」や「b」と表記されているものがありま す。このSILaやSILbは規格内では表記されていませんが、業界内では使用されるこ とがあります。SILaはSIL1ほど高い要求はありませんが、リスク減少策を求められ る場合に使用されます。つまり、PFDの値が1から0.1の間にあり、実質的にはSIL1 の要求がされます。注記として、組織によってはSILaはSIL1として参照されること があります。 SILbはSIL4より高い位置にあることを意味しています。もし、SIL4の要求がされる 場合には非常に危険な状況であるため、プロセス自体の見直しが推奨されます。 SILbの要求はそれ以上に危険な環境を意味しています。 7.3. 例 図31に、リスクパラメータの解釈に関連する潜在的な問題を表記したリスクグラフ の例を示します。 軽い傷害 回避可能 あまり晒されない 不可避 重傷または 1人の死亡者 回避可能 よく晒される 不可避 あまり晒されない 数人の死亡者 よく晒される 壊滅的 -NR 高い 中くらい 低い = 特殊な安全機能は必要ない = 推奨しない = 0.5 - 5 pa = 0.05 - 0.5 pa < 0.05 pa 需要レート 低 危険を防ぐための 代替手段 中 人が晒される頻度 高 結果の重大度 -- -- -- 1 -- -- 2 1 -- 2 1 1 3 2 1 3 3 2 NR 3 3 NR NR NR 要件カテゴリ 図31:プロセス産業のリスクグラフ 使用原理は図29に示すリスクグラフとまったく同じですが、一部のガイダンスは需 要レートを基にして記載されています。 62 PROCESS SAFEBOOK 1 リスクグラフ 例として危険源が複数の死亡事故を引き起こし、かつ、その頻度が年間0.05の需要 レートであったとします。その場合、需要レートは「低」、または「中」のいずれ かとなり、最終的な定義を行ないます。保守的な考察になると図32のようにSIL3の ターゲットとなります。 軽い傷害 回避可能 あまり晒されない 不可避 重傷または 1人の死亡者 回避可能 よく晒される 不可避 あまり晒されない Multiple 複数の死亡者 Fatalities よく晒される 壊滅的 需要レート 低 危険を防ぐための 代替手段 中 人が晒される頻度 高 結果の重大度 -- -- -- 1 -- -- 2 1 -- 2 1 1 3 2 1 3 3 2 NR 3 3 NR NR NR 要件カテゴリ 図32: リスクグラフを使用する例 解釈によっては、SIL2ターゲットになります。 63 PROCESS SAFEBOOK 1 プロセス産業での機能安全 7.4. 例 図33に一般的なリスクマトリックスの例を示します。PやA、E、Rの欄には潜在的 な危険源対する影響を記述子、発生の頻度を数値で示し、行と列の重なる部分にSIL ターゲットが示されます。 A P 人 A 資産 E 環境 R 風評 D 年0.01回未満 年0.05回未満 年0.25回未満 年2回を超える 年2回を超える A B C その業界で その業界で その会社で 聞いたことが 起こったこと 起こったこと ない がある がある 無傷 損害なし 影響しない D E その会社で 年に数回 発生する その施設で 年に数回 発生する 影響しない (SIL1) E ちょっとした けが (年1回未満) わずかな 損害 ($10K未満) わずかな 影響 わずかな 影響 軽傷 (年1E-01回 未満) 小規模な 損害 ($100K未満) 小規模な 影響 小規模な 影響 重傷 (年1E-02回 未満) 重大な 損害 ($500K未満) 局所的な 影響 多大な 影響 1人死亡 (年1E-03回 未満) 重大な 損害 ($10M未満) 大きな 影響 国家的 影響 大規模な 影響 国際的 影響 複数人死亡 多大な (年1E-04回C 損害 未満) ($10M超過) (SIL1) SIL1 (SIL1) SIL1 SIL2 (SIL1) SIL1 SIL2 SIL3 (SIL1) SIL1 SIL2 SIL3 N/A SIL1 SIL2 SIL3 N/A N/A F B 図33: リスクマトリックスを使用する例 これは分かりやすく非常に有用な方法に見えますが、以下の事項に注意する必要が あります。 A: 発生頻度は記載内容に忠実で、かつ、正しいSILターゲットとするよう、量的 に判断する必要があります。 B: 「業界内で聞いたことがない」はその頻度として年間10-2未満ではなく、10-5 未満であることを示すため、20年間以上稼動している5,000の設備を想定した 上で検討することがあります。年間10-4未満である場合にはSILターゲットには なりません C: 最大許容リスク頻度は適切なものであることが必要です。例えば、単一死亡事 故が年間10-3未満の値では非常に高く、楽観的なSILターゲットの定義となり、 適切なリスク減少対策の結果を生み出しません。 D: 図33に示されている行と列が増えると発生頻度の列を追加する必要があります。 64 PROCESS SAFEBOOK 1 リスクグラフ E: SIL1のSILターゲットはいくつかのリスク減少策が要求されるが重大な影響を もたらさないことを意味しています。危険な状況にならなければ、保護機能は 要求されません。 F: 資産損害の発生頻度は現実的なものとする必要があり、要求されるSIFと実施 費用を一致させなければなりません。 そのため、要求されるリスクマトリックスを算出できるように、図34のようなマト リックスが望ましい形となります。 P 人 A 資産 E 環境 R 風評 年1E-04回未満 年1E-03回未満 年1E-02回未満 A B C 年0.1回未満 年0.1回を超える D E その会社で 年に数回 発生する その施設で 年に数回 発生する (SIL1) SIL1 (SIL1) SIL1 SIL2 (SIL1) SIL1 SIL2 SIL3 その業界で その業界で その会社で 聞いたことが 起こったこと 起こったこと ない がある がある 無傷 損害なし 影響なし 影響なし ちょっとした けが (年0.1回未満) わずかな 損害 ($10K未満) わずかな 影響 わずかな 影響 軽傷 (年1E-02回 未満) 小規模な 損害 ($100K未満) 小規模な 影響 小規模な 影響 重傷 (年1E-03回 未満) 大きな 損害 ($500K未満) 局所的な 影響 多大な 影響 1人死亡 (年1E-04回 未満) 大きな 損害 ($10M未満) 大きな 影響 国家的 影響 (SIL1) SIL1 SIL2 SIL3 N/A 複数人死亡 (年1E-05回 未満) 多大な 損害 ($10M超過) 大規模な 影響 国際的 影響 SIL1 SIL2 SIL3 N/A N/A 図34: リスクマトリックスのキャリブレーション 7.5. まとめ リスクグラフやリスクマトリックスは状況に応じたSILターゲットの選別を行なうフ ァーストトラック手法やファーストパスとして使用されるときに特に有効な手段と なります。しかしながら、使用する手法に注意を払い、誤った結果を導き出さない ようにしなければなりません。 65 PROCESS SAFEBOOK 1 プロセス産業での機能安全 8. LOPA (Layer of Protection Analysis) 8.1. はじめに LOPA (Layer of Protection Analysis: 階層防護解析)は、リスク低減(およびSIL)ターゲ ットを計算するための方法です。LOPAはHAZOPに似た検討で実施されます。 潜在的な危険源は一般的にHAZOP (第3項を参照のこと)によって定義され、LOPAワ ークシートに転記されます。これはリスク低減要求やSILターゲットによる危険源認 知の観点から2つの分析の間に相互追跡(トレーサビリティ)環境を持たせるためです。 HAZOP会議からLOPAへ自然に移行するケースもあります。 8.2. LOPA考察チーム LOPAチームは検討する設備において知識と経験の豊富な人々で構成することが重要 となります。一般的なLOPAチームは下記のような人員構成となります。 名称 役割 チェアマン LOPAプロセスを説明し、LOPAの進行役となります。LOPAについて熟 練しているが設計に直接かかわらない人物がこの役を担います。 書記 LOPAミーティングの議論を記録して、SILターゲットのオンライン分析 を行ないます。推奨事項とアクションを記録します。 プロセスエンジニア 一般的に、エンジニアはプロセスフロー図と配管計装図(P&ID)の開発お よび責任を負います。 ユーザ/オペレータ プロセスの使用と操作性、およびギャップの影響について助言します。 C&I専門家 制御および計装の技術的な知識を持つ人物 保守作業員 プロセスの保守に携わっている人物 設計チームの代表 設計の詳細について助言し、さらに情報を提供することがあります。 66 PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) 8.3. LOPAに使用される情報 以下の事項がLOPAチームに必要となる情報です。 • • • • 8.4. 設備のP&ID プロセス説明または構造に関する文書 既存の運用と保守手順 設備のレイアウト図面 SILターゲットの確立 AIChE (American Institute of Chemical Engineers: 米国化学工学技術者協会)のCCPS (Centre for Chemical Process Safety: 化学プロセス安全センター))の文書のLOPA (Layer of Protection Analysis: 階層防護解析) 2001 [19.4]に記載されている通り、 LOPAテクニックはSILターゲットを確立するために使用できます。 LOPAはHAZOPなどの他の手法で認知された危険源を考察しますが、検知されたそ れぞれの危険源を評価するため、HAZOP会議の一部として扱うことができます。 LOPAチームは検出されたそれぞれの危険源を考察し、その危険源の防護や縮小する ための根本原因やリスク低減策を文章化します。その後、リスク低減策の総数が定 義され、さらなるリスク低減策の必要性が分析されます。もし、追加の保護対策が SISとして適用された場合、その手法に応じて適切なSILと要求されるPFDの定義が 成されます。 個別保護レイヤによって提供されるリスク低減策にて定量化された初期事象や頻度 を示すため、LOPAワークシート上にLOPAプロセスが記録されます。以下の項にて ワークシート上の項目について記載し、LOPAの例を8.5項に記載します。 8.5. LOPAの例 3.7項に記載されている圧力容器の例について考察すると、検知された危険源は LOPAワークシート内に記載できます。 67 PROCESS SAFEBOOK 1 プロセス産業での機能安全 8.6. LOPAワークシート 8.6.1. はじめに 以下の項にてワークシートの項目について記載し、定量化に向けた説明を行ないま す。 また、ここにはLOPAワークシートの例も記載します。 8.6.2. 危険源ID / ref 各危険源に識別記号を設けます。31ページにあるリストにて、ref番号01.10:High Pressure in Vessel (容器内の高圧力)を危険源分析考察の例とします。この例では、 他の考察による相互追跡(トレーサビリティ)環境となっているため、SIFの割当とSIL の検証による相互追跡環境を提供します。 8.6.3. 事象(危険源)説明 認識された潜在的な危険源を説明します。 8.6.4. 影響 危険源の影響を説明します。LOPAの例では人身安全や環境へのリスク、および資産 に対するリスク(例:商業的リスク)の観点から危険源の影響を分析しています。 8.6.5. 重大度カテゴリ(Sev Cat) 影響の重大度は表5の例のようにカテゴリ化され、リスク分類表から分類されます。 8.6.6. 許容可能な最大リスク(MTR) 危険源影響の最大許容頻度は人的安全性だけではなく、組織や企業の評価、潜在的 な環境汚染、資産の損傷や収益面の損失などから派生する費用などを考慮する必要 があります。使用される最大許容頻度は安全用のR2P2 [19.3項]などのHSEガイダン スに従う必要があります。 しかしながら、環境面や商業面でのリスクに対する最大許容頻度は企業での決定項 目となります。表5には、一般的に使用される値を示します。 68 PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) 結果 人(安全) 環境 コスト 評価 影響の説明 重大度の リスクの目 カテゴリ 標頻度(/年) 施設内 施設外 P1 1.0E-01 従業員が治療または制限付きの労働 治療または制限付きの労働災害(第 災害 三者) P2 1.0E-02 従業員が休業時間を伴う災害(LTA)、 LTA (第三者)、恒久的な影響なし 恒久的な影響なし P3 1.0E-03 従業員が恒久的な影響 恒久的な影響なし P4 1.0E-04 1人の従業員が死亡または数人が恒 久的な能力喪失状態 恒久的な影響(第三者) P5 1.0E-05 複数(2~10人)の従業員が死亡 1人の第三者の死亡または多くの恒 久的な能力喪失状態 P6 1.0E-06 多く(10人を超える)の従業員が死亡 第三者が数人死亡 E1 1.0E-01 当局への宣言は必要ないが、洗浄が 当局への宣言は必要ないが、軽く 必要 洗浄が必要。(例:配備されたキッ トで1~100リットルの流出) E2 1.0E-02 当局への宣言があるが、環境的な影 当局への宣言があるが、環境的な 響なし 影響なし。(例:堤防内/遮蔽された 顧客構内で100リットルを超える 流出) E3 1.0E-03 場所限定で中程度の汚染 E4 1.0E-04 場所限定で深刻な汚染。人の避難/ 施設外部の深刻な汚染。 一時的な施設閉鎖または施設外部の 人の避難。(例:サービスステーシ 深刻な汚染。人の避難。(例:サー ョンで施設外の流出) ビスステーションで施設外の流出) E5 1.0E-05 施設外の影響を参照 施設外部に、回復可能であるが環 境に影響を及ぼす重大な汚染 (例:環境への大きな事故) E6 1.0E-06 施設外の影響を参照 施設外部の大規模、かつ持続的な 汚染、または水生生物の大量の損 失(例えば船の貨物が失われる。) C1 1.0E-01 <£10Kの損失 N/A C2 1.0E-02 £10K < £100Kの損失 N/A C3 1.0E-03 £100K < £1.0Mの損失 N/A C4 1.0E-04 £1.0M < £10Mの損失 N/A C5 1.0E-05 £10M < £100Mの損失 N/A C6 1.0E-06 £100M以上の損失 N/A R1 1.0E-01 公開なし。地方限定の影響 N/A R2 1.0E-02 地方新聞 N/A R3 1.0E-03 全国紙 N/A R4 1.0E-04 国内テレビ N/A R5 1.0E-05 国際報道 N/A R6 1.0E-06 国際テレビ N/A 表5: リスク基準 69 復旧作業が必要な中程度の汚染 (例:施設に汚染物質が残っている が、施設は稼働可能) PROCESS SAFEBOOK 1 プロセス産業での機能安全 注:人的安全性について検討する際にはその危険源に最も晒される可能性の高い人 に対する頻度で考察します。 8.6.7. 初期原因 危険源における認知された原因をリスト化します。この原因はLOPA会議において参 加者の経験から定義されます。今回の例にて考えると、圧力超過の潜在的な要因と して表6で示すデータや発生の頻度を検討する必要があります。このように、LOPA は参照データをもとにすべての初期事象や頻度を視覚的に表記しなければなりませ ん。 初期見込(pa) 初期原因 データソース 1.65E-02 Exida 2007, item x.x.x 液体レベルLL101が故障し、低レベルを読取る。 1.10E-02 Exida 2007, item x.x.x TT100が故障し、低温を読取る。 2.68E-03 Exida 2007, item x.x.x PT102が故障し、低圧力を読取る。 8.58E-04 Exida 2007, item x.x.x ガス排出FCV102を閉じることができない。 1.01E-02 Oreda 2002, item x.x.x 燃料ガスFCV100を開けることができない。 1.01E-02 Oreda 2002, item x.x.x 液体排出XV102を閉じることができない。 2.89E-03 Oreda 2002, item x.x.x 液体抽入XV102を開けることができない。 2.89E-03 Oreda 2002, item x.x.x DCSが圧力を制御できない。 表6: 初期事象と頻度 8.6.8. 初期見込(/年)、a欄 まず、初期事象の発生予測比率を数値化します。この比率は参加者の経験や過去の 履歴を基に算出するか、14.6項に示す適切な故障率ソースから導き出します。 初期事象や発生頻度の例は、表6に記載します。 初期見込がオペレータの操作ミスなどの人的要因が基となっている場合、その推定 をすることは困難です。1つの手法として可能性のあるオペレータが操作ミスの頻度 や危険な操作ミスを行なう可能性の因数を推定する方法があります。 今回の例では配管のバルブを閉じることにより生じる圧力超過を想定しています。 一般的にオペレータはメインバルブを閉じる前にバイアスバルブを開き、この作業 は毎月行なわれます。そのため、この作業の基準周期λBは年間12回となります。 70 PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) オペレータは教育され、この作業やルーチン業務であり、緊張感なくこの作業を行 なっていると想定します。そのため、先にバイパスを開けてしまうミスを行なう確 率を示すPEを1%とします。これにより初期事象頻度λINITは以下のように計算するこ とができます。 λINIT = λB x PE λINIT = 12 x 1% /年 λINIT = 0.12 /年 通常、同様事象の経験や理由を有する頻度がある場合にはLOPAの会合の中でデータ をもとに参加者の感覚によって確認されます。年間0.12の頻度は8年に1度ミスが発 生することを意味しています。 8.6.9. 条件修正因子 流出規模分布、b欄 今回の例では容器を損傷する圧力状態がある場合、圧力超過という危険源の想定結 果を引き起こします。ほとんどの圧力超過は密閉性の喪失やフランジからのプロセ ス漏洩などを引き起こします。この例ではLOPAチームは初期事象の10%がこの事故 を引き起こすと想定しています。 火災確率、c欄 想定安全や商業的影響のために発火する気体は排除する必要性があります。今回の 例では大きな損害を与えるケースを想定するため、75%の発火の可能性がある火災 安全を考えてみます。この安全考察では0.75の条件修正因数となり、初期事象頻度 はこの因数によって減少します。 環境に対する影響に関しては発火が直接的な原因でなければ、リスクは減少しませ ん。 一般的設計、d欄 一般目的設計の例としては密閉性の損失を保護するための被覆パイプなどになりま す。今回の例ではリスク現象のための特別な設計機構を持っていないため、一般目 的設計は何もありません。 71 PROCESS SAFEBOOK 1 プロセス産業での機能安全 8.6.10. 個別保護レイヤ(IPL) それぞれの保護欄は他の欄との調整機能を持つ機器や管理制御のグループから構成 されています。 それぞれの個別保護レイヤにて提供される保護レベルは需要における特定の機能実 行不履行確率によって数値化されますが、PFD自体は0から1の間のいずれかの値と なります。より小さいPFDの値に対して、8.6.8項で初期見込として算出された修正 因子として適用されたリスク減少因数はLOPAワークシート内のIPLを指定しない場 合は1と表記されます。 今回の例では、eからhの欄のIPLにてそのアプリケーションに適切な修正を行なうこ とができます。一般的にはIPLは表記されています。 一般プロセス制御システム(BPCS)、e欄 一般制御システム(DCS)の制御ループが潜在的な初期事象から発生する危険源を防止 できる場合にはその内容を表記することができます。今回の例として、液体注入バ ルブであるXV102の開度障害などのいくつかの初期事象においてBPCS (DCS)によっ て液体排出バルブを開き、液面の上昇を防ぐことでこの補正を行なうことができま す。DCSが10回中9回の事象影響を防ぐ場合、そのPFDは0.1となります。 0.1というPFDは一般的に非SILシステムで解釈できる最大のリスク減少値になりま す。これは、DCSは手作業で調整できるので、トリップポイントの設定による厳し い制御はなく、試験体制はSISのように厳格ではありません。 個別アラーム、f欄 個別化されたBPCSのアラームとして表記し、オペレータへのアラートとオペレータ のアクションについて記載します。そのアラームがBPCSやSIFとは独立しており、 かつ、アラーム発報後の安全プロセスの稼働中にオペレータがプロセス安全のため だけのアクションを行なう際にその表記をすることができます。 一般的に、0.1というPFDは個別のアラームとして表記されることがあります。今回 の例ではこれは表記されません。 8.6.11. 軽減策 所要時間、g欄 軽減策の欄にはオペレータが危険にさらされる時間や危険地域へのアクセス制限時 間などといった所要時間を記載します。今回の例では8時間シフトを基準とした所要 時間を記載します。 72 PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) その他の軽減策、h欄 追加の軽減策として以下の形式で記載することがあります。 • 軽減欄に引き起こされる危険源に対する保護のための物理的な防壁を軽減欄に 記載することができます。例えば、圧力リリーフ器や堤防などがそれに該当し ます。 • オペレータが適切なアクションを提供できる定期的な試験や検出作業を記載す ることができます。 今回の例では上記内容は記載されません。 8.6.12. 中規模事象の可能性 中規模事象の可能性は、保護欄上のPFDに初期可能性を乗ずることで算出されます。 計算値は年間単位での事象数となります。この合計中規模事象の可能性はすべての SIFにおける需要比率を示します。 8.6.13. PFDに必要とされるSIS 許容可能な最大リスクλMTRと、中規模事象の可能性または危険頻度λHAZを比較するこ とで計算されます。 PFD = λMTR / λHAZ 8.6.14. SILに必要とされるSIS 表7に、PFDから要求されるSISを求めることができます。 SILレベル 需要モード 作動要求当たりの故障発生確率 連続モード 単位時間当たりの故障率 SIL 4 10-5 ~ 10-4 10-9 ~ 10-8 SIL 3 10-4 ~ 10-3 10-8 ~ 10-7 SIL 2 10-3 ~ 10-2 10-7 ~ 10-6 SIL 1 10 ~ 10 10-6 ~ 10-5 -2 -1 表7: SILで指定されるPFDと故障率 8.6.12項に記載されている需要の頻度に関して、使用されるSISにおける動作モード にPFDやそれぞれのSILの故障比率があることに注意してください。 上記のことから、LOPAワークシートは次ページのようになります。 73 1.10 ID / Ref. Vessel Zone Description High pressure causes vessel rupture and gas release. Event (Hazard) Description Safety: Gas release ignites on burner and hot surfaces. Possibly two maintainer fatalities. P5 Consequence Severity Category 1.00E-05 Max Tolerable Risk (pa) 74 2.89E-03 Liquid Export XV102 fails closed. Liquid level LL101 fails and reads low level. Fuel Gas FCV100 fails open. 1.10E-02 1.01E-02 2.68E-03 1.01E-02 Gas Export FCV102 fails closed. TT100 fails and reads low temperature 2.89E-03 8.58E-04 1.65E-02 [a] 0.10 0.10 0.10 0.10 0.10 0.10 0.10 0.10 [b] 0.75 0.75 0.75 0.75 0.75 0.75 0.75 0.75 [c] [d] Initiating Leak Probability General Likelihood size of Purpose (pa) distribution ignition Design (Design Rating) Liquid Import XV102 fails open. PT102 fails and reads low pressure DCS fails to control pressure. Initiating Cause 0.10 0.10 0.10 0.10 0.10 0.10 [e] BPCS [DCS] [f] 0.33 0.33 0.33 0.33 0.33 0.33 0.33 0.33 [g] Independent Additional Alarms Mitigation: Occupancy (Manning Levels) [h] 5.34E-04 2.74E-05 2.52E-05 6.70E-06 7.23E-06 2.52E-05 7.23E-06 2.15E-05 4.13E-04 Intermediate Level Event Additional Likelihood Mitigation eg. (pa) Fire Walls / Operational Proceedures / Relief Valves Independent Layers of Protection 1.87E-02 SRS required PFD SIL1 SRS required SIL As above. As above. As above. As above. As above. As above except: [e] DCS can compensate for import valve failures. Estimate PFD = 0.1. As above. [a] Refer to initiating event data. [b] LOPA Team estimate probability of large leak (Rupture) at 10%. [c] Fire risk study estimates probability of ignition 75%. [d] No credit claimed for design features. [e] DCS is the initiating cause, therefore no credit calimed for DCS. [f] No independent alarms available. No credit claimed. [g] Vessel area occupied 8hrs per day. [h] No pressure relief valves. No credit claimed. Comments / Assumptions PROCESS SAFEBOOK 1 プロセス産業での機能安全 1.10 ID / Ref. Vessel Zone Description High pressure causes vessel rupture and gas release. Event (Hazard) Description Environmental: Vessel rupture, gas escape, no ignition. Release on site. Cleanup and declaration to authority required, but no environmental consequence. Consequence E2 1.00E-02 Severity Max Category Tolerable Risk (pa) 75 2.89E-03 Liquid Export XV102 fails closed. Liquid level LL101 fails and reads low level. Fuel Gas FCV100 fails open. 1.10E-02 1.01E-02 2.68E-03 1.01E-02 Gas Export FCV102 fails closed. TT100 fails and reads low temperature 2.89E-03 8.58E-04 1.65E-02 [a] 0.10 0.10 0.10 0.10 0.10 0.10 0.10 0.10 [b] [c] [d] Initiating Leak Probability General Likelihood size of Purpose (pa) distribution ignition Design (Design Rating) Liquid Import XV102 fails open. PT102 fails and reads low pressure DCS fails to control pressure. Initiating Cause 0.10 0.10 0.10 0.10 0.10 0.10 [e] BPCS [DCS] [f] [g] Independent Additional Alarms Mitigation: Occupancy (Manning Levels) [h] 2.14E-03 1.10E-04 1.01E-04 2.68E-05 2.89E-05 1.01E-04 2.89E-05 8.58E-05 1.65E-03 Intermediate Level Event Additional Likelihood Mitigation eg. (pa) Fire Walls / Operational Proceedures / Relief Valves Independent Layers of Protection None SRS required PFD None SRS required SIL As above. As above. As above. As above. As above. As above except: [e] DCS can compensate for import valve failures. Estimate PFD = 0.1. As above. [a] Refer to initiating event data. [b] LOPA Team estimate probability of large leak (Rupture) at 10%. [c] Ignition not required No risk reduction claim [d] No credit claimed for design features. [e] DCS is the initiating cause, therefore no credit calimed for DCS. [f] No independent alarms available. No credit claimed. [g] Environment at risk 24hts/day. No risk reduction claim. 8hrs per day. [h] No pressure relief valves. No credit claimed. Comments / Assumptions PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) 1.10 ID / Ref. Vessel Zone Description High pressure causes vessel rupture and gas release. Event (Hazard) Description 76 Equipment damage requiring vessel replacement estimated at 10M and loss of production for 1 year Commercial: Vessel rupture, gas escape, ignition and damage to asset. Consequence C5 1.00E-05 Severity Max Category Tolerable Risk (pa) Liquid level LL101 fails and reads low level. Fuel Gas FCV100 fails open. 1.10E-02 1.01E-02 2.68E-03 2.89E-03 Liquid Export XV102 fails closed. TT100 fails and reads low temperature 1.01E-02 2.89E-03 8.58E-04 1.65E-02 [a] 0.10 0.10 0.10 0.10 0.10 0.10 0.10 0.10 [b] 0.75 0.75 0.75 0.75 0.75 0.75 0.75 0.75 [c] [d] Initiating Leak Probability General Likelihood size of Purpose (pa) distribution ignition Design (Design Rating) Gas Export FCV102 fails closed. Liquid Import XV102 fails open. PT102 fails and reads low pressure DCS fails to control pressure. Initiating Cause 0.10 0.10 0.10 0.10 0.10 0.10 [e] BPCS [DCS] [f] [g] Independent Additional Alarms Mitigation: Occupancy (Manning Levels) [h] 1.60E-03 8.21E-05 7.56E-05 2.01E-05 2.17E-05 7.56E-05 2.17E-05 6.44E-05 1.24E-03 Intermediate Level Event Additional Likelihood Mitigation eg. (pa) Fire Walls / Operational Proceedures / Relief Valves Independent Layers of Protection 6.24E-03 SRS required PFD SIL2 SRS required SIL As above. As above. As above. As above. As above. As above except: [e] DCS can compensate for import valve failures. Estimate PFD = 0.1. As above. [a] Refer to initiating event data. [b] LOPA Team estimate probability of large leak (Rupture) at 10%. [c] Fire risk study estimates probability of ignition 75%. [d] No credit claimed for design features. [e] DCS is the initiating cause, therefore no credit calimed for DCS. [f] No independent alarms available. No credit claimed. [g] Vessel area occupied 8hrs per day. [h] No pressure relief valves. No credit claimed. Comments / Assumptions PROCESS SAFEBOOK 1 プロセス産業での機能安全 PROCESS SAFEBOOK 1 LOPA (Layer of Protection Analysis) 8.6.15. LOPAの結果 圧力超過の危険源がPFD≦1.87E-01というSIL1 SIFによる保護結果となることを表8 では示しています。しかしながら商業的なリスクを考慮し、PFD ≤ 8.24E-03という SIL2の要求が成されます。 危険 SILターゲット PFDターゲット 結果 安全 安全: バーナでガスが発火し、表面が高温になる。 SIL 1 2人の保守作業員が死亡する可能性がある。 1.87E-02 環境 環境: 容器の破裂、ガスの放出、発火なし。設備 なし 内で漏洩。洗浄して必要な機関を申告、環境への 影響なし。 なし 商業的 商業的: 容器の破裂、ガスの放出、発火、および SIL 2 資産への損害。機器の損傷によって容器の置き換 えが必要となり、損害額は£1000万に及び、1年 間生産が失われる。 6.24E-03 表8: LOPAの結果 影響のある非安全の危険源は珍しいものではありません。今回の例では危険源のリ スクと資産が常時隣り合わせである一方で、安全という観点については一次的に従 業員がそのリスクに晒されます。 圧力超過に対する保護のために設計されるSIFは商業的なターゲットに準拠されるべ きであり、同じSIFが従業員の保護に適用されるように設計されます。 77 PROCESS SAFEBOOK 1 プロセス産業での機能安全 9. 安全機能の割当 9.1. ライフサイクルのフェーズ 図35に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 SISへの安全要件仕様 4 SISの設計とエンジニアリング 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 9 他の リスク低減手段 の設計および 開発 検証 11 安全サイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図35: ライフサイクルのフェーズ2 IEC61511-1, 9.1に定義されたこのフェーズの目的は、保護レイヤに安全機能を割当 ることです。 入力として、フェーズには安全機能要求と安全度水準の要求に関する説明が必要で す。 出力として、フェーズは全体の安全機能、そのターゲットの故障手段、および関連 する安全度水準の割当に情報を供給する必要があります。プロセス/設備寿命を通し て管理する必要がある、他のリスク低減対策についての仮定も定義されます。 78 PROCESS SAFEBOOK 1 安全機能の割当 9.2. 安全機能の割当 セパレータ容器の例(3.7.1)から、以下のSIFとSIL要求がわかります(表9)。危険源参 照の分析(1.10)は、LOPA例の一部として示します[8.5]。LOPAは、他の特定された危 険源のSILターゲットとPFDターゲットを決定するために使用されます。 HAZOP Ref 危険源 結果 SILター ゲット PFDター ゲット 1.01 高圧力によって、容 バーナでガスが発火し、表面が高温に SIL 2 器の破裂およびガス なる。2人の保守作業員が死亡する可 放出が発生 能性がある。機器の損傷によって容器 の置換が必要となり、損害額は£1000 万に及び、1年間プロセスがシャット ダウンする。わずかな環境汚染。 6.24E-03 1.11 低圧力によって、容 バーナでガスが発火し、表面が高温に なし 器の破裂およびガス なる。2人の保守作業員が死亡する可 放出が発生 能性がある。機器の損傷によって容器 の置換が必要となり、損害額は£1000 万に及び、1年間プロセスがシャット ダウンする。わずかな環境汚染。 なし 1.15 高温によって、高圧 バーナでガスが発火し、表面が高温に なし 力、容器の破裂およ なる。2人の保守作業員が死亡する可 びガス放出が発生 能性がある。機器の損傷によって容器 の置換が必要となり、損害額は£1000 万に及び、1年間プロセスがシャット ダウンする。わずかな環境汚染。 なし 1.16 低温、液体が凍る(凝 固)可能性、容器の破 裂、および封じ込め が失われる。 なし 1.20 液体が高レベルにな 下流側機器が損傷するため容器の置換 SIL1 ると、液体がガス出 が必要となり、損害額は£1000万に及 口に流入 び、6か月間プロセスがシャットダウ ンする。 8.10E-02 1.21 液体が低レベルにな ると、液体の出口で ガスがブローバイす ることになる。 下流側機器が損傷するため容器の洗浄 SIL1 が必要となり、損害額は£200万に及 び、6週間プロセスがシャットダウン する。 6.22E-02 機器の損傷によって容器の置換が必要 なし となり、損害額は£10Mに及び、6か月 間プロセスがシャットダウンする。通 知指令を必要とする環境汚染。 表9: SIF要求 79 PROCESS SAFEBOOK 1 プロセス産業での機能安全 LOPAによって示された中間イベントの可能性は、提案されたSIFはすべて需要モー ドと考えられると判断されました。SIL1ターゲットは高レベルと低レベルのために 確立され、続いてSIFが提案されました。高圧力を緩和するために、圧力解放バルブ が優れたエンジニアリング手法として実施され、SIFは以下に示すように確立されま した。 安全計装 機能 L LHH102 ESDV102 安全計装 機能 L LHH101 ESDV101 安全計装 機能 P PHH100 ESDV100 図35: ライフサイクルのフェーズ2 個別のSIFが共に全体的なSISを形成します。 P PHH100 L ESDV100 安全計装 システム LHH101 ESDV101 L LHH102 ESDV102 図35: ライフサイクルのフェーズ2 80 PROCESS SAFEBOOK 1 安全機能の割当 以下の図では、割当られたSIFに焦点を当てています。 PRV102 PT102 P ガス 放出 ESDV102 液体 流入 XV102 FCV102 L LH SIS LHH102 LH101 P PHH100 LL T LL101 LL TT100 LLL101 液体 排出 SIS ESDV101 バーナ FCV100 XV101 XV100 ESDV100 燃料ガス 供給 FCV100 SIS 図35: ライフサイクルのフェーズ2 81 PROCESS SAFEBOOK 1 プロセス産業での機能安全 10. SISの安全要求の仕様 10.1. ライフサイクルのフェーズ 図36に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 SISへの安全要件仕様 4 SISの設計とエンジニアリング 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 9 他の リスク低減手段 の設計および 開発 検証 11 安全ライフサイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図36: ライフサイクルのフェーズ3 IEC61511-1, 10.1に定義されたこのフェーズの目的は、SIFの要求を指定することで す。 10.2. SIFの安全度水準の要求 各SIFのSILは、リスクグラフ、LOPAまたはリスクマトリックス(評価表)を使用する SIL決定の研究中に選択されます。 この情報は、実装時に設計がSIF安全度水準の要求を満たしていることを確認するた めに、安全要求仕様(SRS)によって設計チームに伝達する必要があります。SRSは、 SIF妥当性確認の基礎です。 82 PROCESS SAFEBOOK 1 SISの安全要求の仕様 10.3. SRS用のフレームワーク 設計作業を開始する前に、IEC61511-1/2の第10節と第12節で提供されるガイダンス に基づいてSRSを準備する必要があります。SRSには、SIFごとの機能と整合性の要 求が含まれており、設計とエンジニアSISに十分な情報を提供する必要があります。 ライフサイクルのあらゆる段階で情報を使用する可能性がある人々の理解を助ける ために、明確で正確な、検証可能、保持可能、実現可能になるように表現して構築 する必要があります。 SRSには、各SIFについて以下の文章を含む必要があります。 • • • • • • • • • • • • • • • • • • • • SIFの説明 共通原因故障 SIFのための安全状態の定義 需要レート プルーフテスト間隔 プロセスを安全状態にする応答時間 SILおよび動作モード(需要または連続) プロセス測定およびそのトリップポイント プロセス出力の動作および正常な動作基準 入力と出力間の機能関係 手動シャットダウン要求 トリップへのオンまたはオフ シャットダウン後のリセット 許容可能な最大の疑似トリップレート 故障モードおよび故障に対応するSIS SISの始動および再起動 SISと他のシステム間のインターフェイス アプリケーションソフトウェア オーバライド/禁止/バイパスと、それらをクリアする方法 SISフォルト検出に続く動作 安全ではない計装機能は、通常のシャットダウンまたは迅速なスタートアップを保 証するためにSISによって実施できます。 83 PROCESS SAFEBOOK 1 プロセス産業での機能安全 11. SISの設計およびエンジニアリング 11.1. ライフサイクルのフェーズ 図37に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 他の リスク低減手段 の設計および 開発 SISの設計とエンジニアリング 4 9 SISへの安全要件仕様 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 検証 11 安全サイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図37: ライフサイクルのフェーズ4 IEC61511-1, 11.1に定義されたこのフェーズの目的は、以下を行なうことです。 • 必要なSIFを提供するためにSISを設計する[11.2]。 • SIF設計が指定された SILを満たして、SIL決定時に定義されているかを検証す る[13]。 84 PROCESS SAFEBOOK 1 SISの設計およびエンジニアリング 11.2. SIF設計 SRSはSIF設計の基礎となり、設計チームが機能をFDSなどの設計資料に変換できる ようにします。そのため、FDSには、設計とエンジニアのSISに必要とされる機能と 整合性の要求すべてを含む必要があります。 設計資料に以下の要求を含むことが重要です。 • • • • • • • • フォルト検出時のシステム動作の要求[13.2] ハードウェア・フォルト・トレランス[13.3] コンポーネントおよびサブシステムの選択[13.4] フィールドデバイス[13.5] オペレータ、保守作業員、および通信インターフェイス、SIS付き[13.6] 保守またはテスト設計要求[13.7] SIF故障確率[13.8] アプリケーションソフトウェア[13.9] 85 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12. 信頼性技術 12.1. はじめに この章では、信頼性技術を簡単に紹介します。それは信頼性工学の手段の広範囲に わたる調査によるものでも新規または非従来型の方法でもなく、ここに説明する手 段は信頼性技術者に日常的に使用されます。 12.2. 定義 便宜上、ここには重要な用語と定義をアルファベット順でリストします。用語と命 名のより包括的な定義は、そのテーマに関する多くの標準テキストで見ることがで きます。 Availability (可用性)– ミッションが不明の状態で呼出されたときの、アイテムが動 作可能でミッションの開始時に約束された状態になっている程度の尺度 Capability (能力)– ミッション中にミッションの目標が指定の状態に到達するアイテ ムの可能性の尺度 Dependability (信頼度)– ミッションの開始時に可用性が与えられて、指定されたミ ッションプロファイル中の任意の(ランダム)ときに、動作可能でその必要とされた機 能を実施できるアイテムの程度の尺度 Failure (故障)– アイテムまたはアイテムの一部が前もって指定されたように実行で きないイベントまたは動作できない状態 Failure, dependent (二次故障) – 関連するアイテムの故障によって起こる故障。独 立していない。 Failure, independent (一次故障)– 他のアイテムの故障によって起こったわけではな い故障。依存しない。 Failure mechanism (故障メカニズム) – 故障を引き起こすことになる物理的、科学 的、電気的、熱または他のプロセス Failure mode (故障モード)– 故障が起こるメカニズムの結果(例えば、ショート、開 状態、破砕、過剰な摩耗) Failure, random (ランダム故障)– 確率的または統計的な意味でのみ発生が予測可能 な故障。これは、すべての区分に適用する。 Failure rate (故障率)– 指定条件下での特定の測定期間中に、アイテム集団での故障 の合計数を、その個体数によって消費されたライフ単位の合計数で割る。 86 PROCESS SAFEBOOK 1 信頼性技術 Maintainability (保全性)– 保守と修理の所定のレベルのそれぞれで、指定されたスキ ルレベルを持つ担当者が所定の手順とリソースを使用して保守を実施したときに、 指定された状態に保持するか回復できるアイテムの能力の尺度 Maintenance, corrective (改良保全) – 故障の結果としてアイテムを指定された状態 に回復するために実施されるすべての作業。改良保全には、以下のステップのいず れかまたはすべてを含むことができます:場所の特定、分離、分解、交換、再組立 て、調節および点検 Maintenance, preventive (予防保全) – 体系的な検査、検出、および初期不良の防止 を行なうことで、指定の状態にアイテムを保持するために実施されるすべての作業 Mean time between failure (平均故障間隔) (MTBF) – 修理可能なアイテムの信頼性 を量る基本的な尺度:指定条件下での特定の測定期間中に、アイテムのすべての部 分がその指定された制限内で実行するライフ単位の平均数 Mean time to failure (平均故障時間) (MTTF) – 修理できないアイテムの信頼性を量 る基本的な尺度:指定条件下での特定の測定期間中に、アイテムのすべての部分が 指定された制限内で実行するライフ単位の平均数 Mean time to repair (平均修理時間) (MTTR) – 保全性の基本的な尺度:指定条件下 での特定期間に、任意の修理の指定されたレベルでの改良保全時間の合計を、その レベルで修理されたアイテム内の故障の合計数で割る。 Reliability (信頼性) – (1) 指定の条件下での、故障なしで動作できる期間または確率。 (2) アイテムがその意図する機能を、指定の条件下で指定された期間で実行できる確 率。非冗長アイテムについては、これは定義(1)と同等です。冗長アイテムについて は、これはミッション信頼性の定義です。 87 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.3. 信頼性工学での基本的な算術演算の概念 多くの数学的概念は、特に確率と統計の領域から、信頼性工学に適用します。同様 に、多くの数学的な分布は、ガウス(正規)分布、対数正規分布、レイリー分布、指数 分布、ワイブル分布、および他のホストを含むさまざまな目的に使用できます。こ れを簡単に説明するために、指数分布に限定して議論します。 故障率および平均故障間隔と平均故障時間(MTBF/MTTF) 定量的な信頼性測定の目的は、故障の定量的な側面を理解するために数学的な分布 で、時間に対する故障のレートを定義して、故障率をモデル化することです。最も 基本的なビルディングブロックは、以下の式を使用して求めることができる故障率 です。 λ = F/T この場合: λ = 故障率(ハザードレートというときがある) T = 故障したアイテムと故障していないアイテムの両方についての、 調査期間中のデバイスの総時間(稼働時間/サイクル/マイルなど) F = 調査期間中に故障が発生した総数 例えば、5台の電動モータが合計50年間動作する場合にその期間中に5回の機能的な 故障が起こるときは、故障率は1年間に0.1回の故障になります。 他の非常に基本的な概念は、平均故障間隔/平均故障時間(MTBF/MTTF)です。MTBF とMTTFの唯一の違いは、故障したときに修理されたアイテムを参照するときに、我 々はMTBFを採用していることです。アイテムが単に破棄され、交換された場合は、 MTTFという用語を使用します。計算は、同じです。平均故障間隔(MTBF)と平均故 障時間(MTTF)を求めるための基本的な計算は、故障率関数の逆数です。以下の式を 使用して計算できます。 θ = T/F この場合: θ = 平均故障間隔/平均故障時間 T = 故障したアイテムと故障していないアイテムの両方の、調査期間中の、 合計の稼働時間/サイクル/マイルなど F = 調査期間中に、発生した故障の総数 88 PROCESS SAFEBOOK 1 信頼性技術 当社の産業用電動モータの例のMTBFは10年で、モータの故障率の逆数です。さら に、故障で再構築される電動モータのMTBFを求めることができます。使い捨てと考 えられる小型モータの場合は、MTTFを記載します。 故障率は、多くのより複雑な信頼性の計算での基本的な構成要素です。機械的/電気 的な設計に従って、運用事情、環境、または保全有効性、機械の故障率は、時間の 関数として、下落するか、一定のままに保つか、直線的に上昇するか、または幾何 学的に上昇します。ただし、ほとんどの信頼性の計算では、故障率が一定であると 仮定しています。 12.4. バスタブ曲線 概念的に、バスタブ曲線は機械の3つの基本的な故障率特性(下落、一定、または増 加)を示します。実際には、ほとんどのマシンはその寿命の初期状態、またはバスタ ブ曲線の一定の故障率の領域で過ごします。摩耗する前にマシンや部品を交換する ため、標準的な産業機械では時間に依存する故障メカニズムはまれにしか見ること はありません。ただし、モデリングに制限があるにも関わらず、バスタブ曲線は信 頼性工学の基本概念を説明するために有用なツールです。 人体は、バスタブ曲線に従うシステムの優れた例です。人やマシンは、生後1年間は 高い死亡率(故障率)に苦しめられますが、子供(製品)が成長するにつれてレートは下 がります。人は10代になるまで生き残ることができると、死亡率はほぼ一定となり、 年齢(時間)に依存する病気によって死亡率(消耗)が上昇し始めるまでそのままになり ます。 バスタブ曲線は、いくつかの故障の分布を混合したイメージです(図38)。 寿命の初期での故障率の減少は、製品に存在する製造上の弱点などの体系的な理由 によるものです。製品のバッチが生産されると、総数に比率して稼働中に故障する 弱点が含まれています。修理のために故障したアイテムを返却すると、総数中の不 良製品の比率は減少し、それに従って故障率が低下します。 同様の体系的な理由によって、摩耗故障が増加する可能性があります故障のメカニ ズムは、強度劣化(疲労損傷の蓄積など)に起因することがあります。電子機器では、 時間に依存する故障のメカニズムは本質的には機械的で、はんだの接合部の疲労故 障なども含まれます。 一定の故障率の期間は、製品の寿命のほとんどを占めており、設計品質の尺度で、 設計のよさです。これは、簡単な信頼性の計算が実施されるこの一定の故障率の領 域です。 89 PROCESS SAFEBOOK 1 プロセス産業での機能安全 バスタブ曲線 1 0.9 0.8 故障率 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 0 10 20 30 時間 40 50 60 下落 一定 上昇 合計 図38: バスタブ曲線 12.5. 指数分布 指数分布は最も基本的で広く使用されている信頼性の予想式で、一定の故障率また はバスタブ曲線の平らな部分でマシンをモデル化します。ほとんどの産業機械は、 その寿命のほとんどを一定の故障率で過ごすため、広く適用可能です。 以下は、故障率が時間の関数として一定な指数分布に従うマシンの信頼性を求める ための基本的な式です。 R(t) = exp { -λ . t } この場合、 R(t) = 期間、サイクル、マイルなどの信頼性の推定値(t) λ = 故障率(1/MTBF, または1/MTTF)およびt = リスク時の時間 90 PROCESS SAFEBOOK 1 信頼性技術 当社の電動モータの例で、故障率が一定であり、故障なしで6年間モータを稼働する と仮定した場合の可能性または予想される信頼性は、55%です。これは以下のよう に計算されます。 R(t) = exp { - 0.1 x 6 } = exp { - 0.6 } = 0.5488 ≈ 55% つまり、6年後には、同じアプリケーションで稼働する同じモータの総数の約45%が 故障すると確率的に予想されます。現在のところ、これらの計算は総数に対する確 率を予想するために繰返す価値があります。人によっては30年稼働することができ る一方で、稼働の最初の日に故障する場合もあります。すなわち、確率的な信頼性 予測の性質です。 指数分布の特性は、計算された信頼性が36.78%の時点でMTBFが起こるか、または 63.22%の時点でマシンがすでに故障しています。このモータ例では、10年経過する と、同じアプリケーションで扱われている同じモータの総数のうち、63.22%のモー タが故障すると予想できます。つまり、生存率は総数の36.78%です。 12.6. システムの信頼性の計算 運用事情と必要なミッション時間に対応してコンポーネントまたは機械の信頼性が 確立されると、設備のエンジニアはシステムまたはプロセスの信頼性を評価する必 要があります。再度、簡潔で簡単にするために、直列、並列、および負荷を共有す る冗長(M out of N)システム(MooNシステム)のためのシステムの信頼性の推定値につ いて説明します。 12.6.1. 直列システム 直列システムを議論する前に、信頼性ブロックダイアグラム(RBD)を説明する必要が あります。RBDは、開始から終了までのプロセスを簡単にマップします。直列シス テムの場合、サブシステム1の後にサブシステム2などと続きます。直列システムで は、サブシステム2を採用できるかはサブシステム1の動作状態に従います。サブシ ステム1が稼働していないときは、サブシステム2の状態に関係なくシステムはダウ ンします[図39]。 R1(t) R2(t) R3(t) サブシステム1 サブシステム2 サブシステム3 図39: 直列システム 91 PROCESS SAFEBOOK 1 プロセス産業での機能安全 直列プロセスのシステムの信頼性を計算するには、指定時間(t)時のサブシステム1の 概算された信頼性に、指定時間(t)でのサブシステム2の概算された信頼性だけを掛け る必要があります。シンプルな直列システムのシステムの信頼性の計算の基本的な 式は、以下のように計算されます。 Rs(t) = R1(t) . R2(t) . R3(t) この場合: Rs(t) – 指定時間(t)でのシステムの信頼性 Rn(t) – 指定時間(t)でのサブシステムまたはサブ機能の信頼性 これによって、3つのサブシステム、またはサブ機能のあるシンプルなシステムのそ れぞれの指定時間(t)での概算された信頼性は0.90 (90%)になるため、システムの信 頼性は0.90 X 0.90 X 0.90 = 0.729 (約73%)と計算されます。 12.6.2. 並列システム 設計エンジニアは、重要な機械に冗長を組み込むことがよくあります。信頼性技術 者は、これらの並列システムを呼び出します。これらのシステムは、アクティブな 並列システムまたはスタンバイ並列システムとして設計できます。シンプルな2つの コンポーネントの並列システムのためのブロックダイアグラムを図40に示します。 R1(t) R2(t) 図40: 並列システム 両方の機械が動作している場合のアクティブな並列システムの信頼性を計算するに は、以下のシンプルな式を使用します。 Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ] この場合: Rs(t) – 指定時間(t)でのシステムの信頼性 Rn(t) – 指定時間(t)でのサブシステムまたはサブ機能の信頼性 2つのコンポーネントが並列になっているこの例でのシンプルな並列システムの信頼 性は、それぞれ0.90であるため、総システムの信頼性は 1 – (0.1 X 0.1) = 0.99になり ます。そのため、システムの信頼性は、大幅に向上されました。 92 PROCESS SAFEBOOK 1 信頼性技術 12.6.3. M out of Nシステム(MooN) 設備の信頼性技術者の重要な概念は、MooNシステムの概念です。これらのシステム では、Nで示す総数からMのユニットが使用できることを求めています。産業の例と して、電気発電プラントにおける石炭粉砕機があります。多くの場合、エンジニア は、MooNアプローチを使用して設備内にこの機能を設計します。つまり、ユニット には4台の粉砕機があり、ユニットが全負荷状態であっても4台のうち3台が動作可能 であることが求められています[図41]。 12.7. 危険および安全側故障 信頼性の計算は有意義であるため、システムの故障率だけではなく、システムが故 障する可能性(故障モードなど)についても考慮します。 故障モードは、安全または危険に分類できます。図42に、ガスのパイプラインを示 します。パイプラインが発電所に燃料を供給しているときに、遮断弁が故障して誤 って閉じると、燃料供給が遮断され、収入が失われることがありますが、故障モー ド(故障時閉)は安全側故障です。 同じバルブが開位置にならなかった場合でも燃料を供給し続けますが、過剰な圧力 状態になるはずで、燃料を隔離してパイプラインを安全にすることができません。 そのため、この故障モード(故障時開)は危険な故障と見なされます。 R1(t) R2(t) R3(t) R4(t) 図41: 3oo4システム 93 PROCESS SAFEBOOK 1 プロセス産業での機能安全 水圧 供給 水圧弁 ESD用 ロジック ソレノイド バルブ 圧力 伝送器 S PT 圧力制御器 PC ガスパイプ ライン入口 遮断弁 ガスパイプ ライン出口 圧力制御弁 定格48bar 定格139bar 図42:安全計装機能の例 この例では、作動要求が行なわれるまで(例:バルブを閉じるように指令されるまで) は、故障時開の危険な故障モードは明らかになりません。これは、危険な非検出故 障と見なされます。 かわりに、パイプラインがパワーステーションへのクーラントの流れを供給してい るときに、バルブSSV969Aが故障して誤って閉じると、クーラントが遮断され、パ ワーステーションが過熱することがあります。このアプリケーションでは、同じバ ルブと同じ故障モード(故障時閉)は危険な故障です。バルブが開位置にならないとき は、クーラントの流れを保持するため、この故障モード(故障時開)は安全側故障と見 なされます。 安全計装機能内のコンポーネントの危険な故障は、それを行なうように要求された ときに機能が安全状態になることを防止します。危険な故障率は、シンボルλDで示 されます。 安全側故障では、安全計装システムが危険または機能失敗状態になる可能性はあり ませんが、危険源が存在しないときはシャットダウンするかまたは安全計装機能を 作動するようにシステムに呼出された方法で失敗します。安全側故障率は、シンボ ルλSで示されます。 94 PROCESS SAFEBOOK 1 信頼性技術 安全機能に影響を及ぼさない故障モードの可能性はまったくありません。これらに は、保守機能、インジケータ、データロギング、および他の安全に関連しない(非 SR)機能が含まれています。非SR故障率は、λnon-SRで示されます。 アイテムの合計の故障率 λ は、安全関連および非SR故障率の合計と同じです。通常、 λDおよびλSは信頼性の計算に含まれています。 λ = λD + λS + λnon-SR 12.8. 検出および非検出故障 PFDは、求められてもSISが動作しないようにする危険な故障に関連しています。こ れらの故障モードは、診断によって検出されるか、または手動プルーフテストを行 なわない限り検出されない非検出故障のいずれかの検出故障として分類され、通常 は毎年行なわれます。故障モードは、危険な検出故障は診断の一部として検出され、 ソフトウェア妥当性確認で検証されるように、FMECAで分類することをお奨めしま す。さらに、プルーフテストの手順では、危険な非検出故障モードがそのプルーフ テストであることを確認するため明らかにされていることを確認する必要がありま す。 IEC61508-6, 付録B.3.1に従って、分析は各安全機能について完璧なプルーフテスト と修復があると検討できます。例えば、検出されない故障はすべてプルーフテスト によって明らかにされています。 12.9. プルーフテスト間隔(Tp)および平均故障時間(MDT) 故障が起こる場合、平均的にテスト間隔の中間点で起こると仮定しています。つま り、フォルトはテスト期間の50%の間検出されません。 検出故障と非検出故障の両方では、平均故障時間(MDT)はテスト間隔と修理時間 (MTTR)によって異なります。 そのため、MDTは以下の式を使用して計算されます。 MDT = テスト間隔 + MTTR 2 一般的にテスト間隔(自動テスト)がMTTRに比べて短いため、検出故障のMDTは修理 時間に相当します。非検出故障の場合、修理時間はテスト間隔、プルーフテスト期 間Tp,に比べて短いため、非検出故障のMDTはTp/2に相当します。 95 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.10. システム故障率のモデリング(λsys) 冗長システムの故障率λsysは、システム故障が発生する多くの方法を考慮すること で計算できます。3oo4システムでは、システムが動作するために4チャネルのうち3 つが動作できることが必要であるため、任意の2つが故障するとシステム故障になり ます。 λ λ λ λ 図43: 3oo4システム 2つの故障が起こるレートλ2は、1つの要素λの故障率に、2番目の故障がダウンタイ ム中に起こる確率を掛けることで計算できます。最初の故障のMDTはλ.MDTです。 そのため、以下のような式になります。 λ2 = λ.( λ.MDT ) ただし、3oo4システムでの2つの故障には12の順列(順番が重要で、A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.BおよびD.Cの組み合わせ)があり、それらのす べてを考慮しなければなりません。そのため、システム故障率は以下のようになり ます。 λSYS = 12.λ2.MDT 正確には、これらもシステム故障になるように、3と4の同時故障の順列のすべてを 含み、共通原因による故障も含む必要がありますが、一次近似としてこれらの高次 項は無視できます。表10に、3oo4用のシステム故障率、および他の構成を示します。 注:これらは高次項も無視できる近似値です。 96 PROCESS SAFEBOOK 1 信頼性技術 構成 λsys 1oo1 λ 1oo2 2.λ2.MDT 2oo2 2.λ 1oo3 3.λ3.MDT2 2oo3 6.λ2.MDT 3oo3 3.λ 1oo4 λ4.MDT3 2oo4 12.λ3.MDT2 3oo4 12.λ2.MDT 4oo4 4.λ 表10: システムの故障率 注:共通原因故障の影響は後[12.17]で説明します。 12.11. 危険な検出故障率と非検出故障率のモデリング(λDD)および(λDU) λDDおよびλDUを入れ換えることで、表10のλについては、MDTまたはTp/2のいずれか 適用するほうを使用することで、危険な検出故障または非検出故障によるシステム 故障率を求めることができます(表11)。 構成 検出 非検出 λsys λsys 1oo1 λDD λDU 1oo2 2.λDD2.MDT λDU2.TP 2oo2 2.λDD 2.λDU 3 2 1oo3 3.λDD .MDT λDU3.TP2 2oo3 6.λDD2.MDT 3.λDU2.TP 3oo3 3.λDD 3.λDU 1oo4 λDD4.MDT3 λDU4.TP3 2oo4 12.λDD3.MDT2 4.λDU3.TP2 3oo4 2 12.λDD .MDT 6.λDU2.TP 4oo4 4.λDD 4.λDU 表11:危険なシステム故障率 97 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.12. システムの疑似トリップレートのモデリング(λSTR) 一般的に安全側故障率は冗長構成ではすべて検出されると想定されているため、故 障したチャネルはシステムがトリップしないようにして修理されます。そのため、 危険な検出故障のために行なわれるアプローチは疑似トリップのために必要な故障 の数を除いて適用し、危険な故障のために必要な数とは異なることがあります。 通常、疑似トリップには安全側故障率のみが含まれますが、危険な検出故障を検出 したときのシステム故障の動作によっては含むことができ、疑似トリップレートは2 つの合計になります。 表12に、安全側故障のためのシステムの疑似トリップレートをまとめて示します。 疑似 構成 λstr 1oo1 λS 1oo2 2.λS 2oo2 2.λS2.MDT 1oo3 3.λS 2oo3 6.λS2.MDT 3oo3 3.λS3.MDT2 1oo4 4.λS 2oo4 12.λS2.MDT 3oo4 12.λS3.MDT2 4oo4 λS4.MDT3 表12: システムの疑似トリップレート 12.13. 需要モードの安全システムの可用性のモデリング 安全システムの場合、危険な検出故障ADDによる可用性は以下のように計算できます。 ADD = 1 / ( 1 + .λDD(SYS).MDT ) この場合、λDD(SYS)は、危険な検出故障の結果としてのシステム故障率です[12.11]。 危険な非検出故障の場合、ADUは以下のように計算できます。 ADU = 1 / ( 1 + .λDU(SYS).TP / 2 ) この場合、λDU(SYS)は、危険な非検出故障の結果としてのシステム故障率です[12.11]。 98 PROCESS SAFEBOOK 1 信頼性技術 安全側故障の場合、ASは以下のように計算できます。 AS = 1 / ( 1 + .λS(SYS).MDT ) この場合、λS(SYS)は疑似(安全)故障の結果としてのシステム故障率です[12.12]。 システムの可用性は、危険な検出故障、危険な非検出故障、および安全側故障によ る可用性の積になります。 ASYS = ADD . ADU . AS この方法は直列(一重)システムと冗長システムをモデリングするために使用できます。 12.14. 連続モードの安全システムの可用性のモデリング 手段が連続モードの安全システムに適用されるとき、分析者は安全機能を試みる作 動要求の性質を理解する必要があります。一部の連続モードの安全機能は要求され たときに動作しますが(需要モードの安全機能として)、需要頻度(例えば、1年に1度 を超える)のために連続モードとして分類されます。この場合、可用性は、プルーフ テスト間隔TPが需要間隔(TD)に置き換わるべき場合を除いて需要モードの安全機能と して計算できます。危険な非検出故障は、作動要求が安全機能を試みるまでは明ら かにされません。 連続モードの安全機能が効果的に連続制御を提供する場合に、可用性は制御システ ムとして計算できます[12.15]。 12.15. 制御システムの可用性のモデリング 制御システムの可用性のモデリングでは、プロセスに影響する故障について考慮し、 制御システムを効果的に使用できないような程度まで故障がプロセスに影響を及ぼ すかを決定する必要があります。 故障の検出は、修理が必要で回復するまではシステムが使用できない場合、または 制御下にあるプロセスがセットポイント制限外で動作する場合は兆候によって、診 断とフォルトアラームのいずれかによって行なわれます。 検出されない故障では、制御システムがすぐに使用できなくなるわけではありませ ん。このとき、非検出故障によってプロセスパラメータの指定された制限が外れて しまうことがあり、それが明らかになると使用できなくなります。 制御システムの可用性は、合計のシステム故障率ASYSを考慮することでモデル化で き、以下の式を使用して計算されます。 ASYS = 1 / ( 1 + λSYS.MDT ) この場合、λSYSは、すべての故障の結果としての合計のシステム故障率です[表10]。 99 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.16. 単位時間当たりの危険側故障確率(PFH)、需要当たりの危険側故障 確率(PFD) 一般的な構成での単純化したPFHとPFDの式について、検出故障の場合を表13に示 し、非検出故障の場合を表14に示します。 構成 PFH PFD 1oo1 λDD λDD.MDT 1oo2 2 2.λDD .MDT 2.λDD2.MDT2 2oo2 2.λDD 2.λDD.MDT 1oo3 2 3.λDD .MDT 3.λDD3.MDT3 2oo3 6.λDD2.MDT 3.λDD2.MDT2 3oo3 3.λDD 3.λDD.MDT 3 3 1oo4 4.λDD .MDT λDD4.MDT4 2oo4 12.λDD3.MDT2 4.λDD3.MDT3 3oo4 2 12.λDD .MDT 6.λDD2.MDT2 4oo4 4.λDD 4.λDD.MDT 4 表13: PFH /PFD計算(検出故障) 構成 PFH PFD 1oo1 λDU λDD.TP /2 1oo2 λDU2.TP λDD2.TP2 /3 2oo2 2.λDU λDD.TP 1oo3 λDU3.TP2 λDD3.TP3 /4 2 2oo3 3.λDU .TP λDD2.TP2 3oo3 3.λDU 3.λDD.TP /2 1oo4 4 λDU .TP λDD4.TP4 /5 2oo4 4.λDU3.TP2 λDD3.TP3 3oo4 6.λDU2.TP 2.λDD2.TP2 4oo4 4.λDU 2.λDD.TP 表14: PFH / PFD計算(非検出故障) 100 3 PROCESS SAFEBOOK 1 信頼性技術 12.17. 共通原因故障の計算 共通原因故障(CCF)は単一の原因からもたらされる故障ですが、同時に複数のチャネ ルに影響を及ぼします。これらは体系的なフォルトに起因する可能性があります。 例えば、設計仕様のミスや過剰な温度などの外部ストレスは、両方の冗長チャネル でのコンポーネント故障につながることがあります。適切な設計手法を使用して共 通原因故障の可能性を最小化するための措置をとるのは、システム設計者の責任で す。 並列の冗長パスでのCCFの寄与は、β-係数の含有で説明できます。計算に含まれる CCF故障率は、β x冗長パスの1つの合計故障率に等しいです。 β-係数モデル[IEC61508-6, 付録D]は、客観的で、βの推定にトレーサビリティを提供 するため、好ましい技術です。モデルは、客観的な工学判断を使用してスコアを付 ける一連の特定の質問を尋ねてコンパイルされます。質問ごとの最大スコアは、既 知の現場の故障データに対してさまざまな評価の結果を調整することで、モデルで 修正されます。 2つの列は、チェックリストのスコアのために使用されます。列Aには、診断の頻度 (自動テストまたはプルーフテスト)の増加によって改善されると思えるCCF保護のこ れらの機能のスコアが入ります。列Bには、診断の頻度の改善によって変わらないこ れらの機能のスコアが入ります。 モデルによって、診断テストの頻度と範囲によってスコアリングを修正できます。 列Aのスコアに、考察に対応する診断からもたらされた係数Cを掛けます。最終的な β-係数は、生のスコアの合計から計算されます。 生のスコア = (A * C) + B βと生のスコアの関係は、βが減少する(増加する)と次に続く改善を達成することが ますます困難になるという仮定から逸脱することを正当化できるデータがないため、 本質的に負の指数関数です。 特定の質問が評価されているシステムには適用できない場合、システムにとってど ちらが適切であるかによって、100%または0%のいずれの範囲を入力するかが決ま ります。 101 PROCESS SAFEBOOK 1 プロセス産業での機能安全 以下に、CCFの寄与を推定するために考慮できる標準的な制約を示します。 • • • • • • 冗長チャネルが物理的に分離されている。 多様なテクノロジ(例:1つの電子チャネルと1つのリレーベースのチャネル) 施設のシステム作業を記録することは、故障を確実に調査するために必要 保守手順を記録しておくことは、ケーブル配線の再敷設を防ぐために必要 個人のアクセスが制限されている。 作業環境が制御されており、機器が完全な環境範囲で評価されている。 ただし、実際の稼働中の性能は、適用される特定の設置と設計、運用、および保守 手法によって異なりますが、適用されるすべての適切な優れた工学手法を提供し、 モデルはCCFの寄与の追跡可能な推定を提供します。 PFDとPFH [表13と表14]の式でCCFを考慮すると、続くアプローチでは以下を使用 できます。使用される式は標準的な式に単純化でき、[19.6]で説明しています。 検出故障の場合: PFD1oo1 = λDD.MDT Ref. IEC61508-6, B.3.2.2.1 PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC61508-6, B.3.2.2.2 非検出故障の場合: PFD1oo1 = λDU.TP / 2 2 Ref. IEC61508-6, B.3.2.2.1 2 PFD1oo2 = λDU .TP / 3 + β.λDU.TP / 2 Ref. IEC61508-6, B.3.2.2.2 この場合、λDDは危険な検出故障の故障率で、λDUは危険な非検出故障の故障率で、β は共通原因故障からの寄与です。TPはプルーフテスト間隔で、MDTは平均故障時間 す。 さまざまな構成のこれらの式の一般的な形式は、連続モードと需要モードの両方の システムで評価されています[19.7]。 102 PROCESS SAFEBOOK 1 信頼性技術 12.18. 故障率 PFDとSFFの計算では、分析はIEC61508-6, 付録B.3の、コンポーネント故障率はシ ステムの寿命を通して一定であるという基本的な仮説を使用します。 計算に使用される故障率はFMECA (Failure Modes, Effects and Criticality Analysis: 故障モードと影響および致命度解析)で取得でき、フィールドデータで定量化され、 または業界筋から発行されたデータを参照します。使用される故障率は、複雑さと テクノロジが似たモジュールのために使用可能なデータを比較する必要があります。 このアプローチは、信頼性モデリングに関する慎重な取り組みを保証し、計算され た信頼性性能を確実に達成できるようにしています。 故障率とそのソースについては、14.8で説明します。 12.19. 1oo2, 1oo2Dおよびホットスタンバイのモデリング 以下の例に、共通のシステム構成でのRBDのモデリングを示します。 1oo2 1oo2システムは、2つのチャネルのいずれかが安全機能を実行できる1 out of 2アー キテクチャです。これは、1つのチャネル故障が許容できるフォルトトレランス構成 です。 チャネル故障が危険な明らかにされていない故障の場合は、これは診断によって検 出されず、フォルトは表示されません。ただし、安全機能は1つの残りのチャネルが トリップを起動できるようにそれでも動作します。チャネル故障が危険な検出故障 の場合は、これは通常はフォルト表示になります。 例のRBDは、12.20に示します。 103 PROCESS SAFEBOOK 1 プロセス産業での機能安全 1oo2D 1oo2Dシステムアーキテクチャでは2つのチャネルが並列に接続され、チャネルごと に故障を検出するために高い自己診断率を持つ診断回路があります。両方のチャネ ルは、システムの通常の動作中にシャットダウン動作を実行することに合意する必 要があります。他の側の診断回路が故障を検出する場合に、正常なチャネルがシス テムを制御します。 信頼性モデリングに関しては、危険な検出故障の場合、1oo2Dシステムは1oo2構成 として動作し、システム故障率とPFDは検出故障のために1oo2としてモデル化でき ます。 1oo2Dシステムに1つの危険な検出されないチャネル故障があると、システムが動作 できなくなるため、システム故障率とPFDは非検出故障のために2oo2としてモデル 化する必要があります。つまり、両方のチャネルは動作していることが必要です。 RBDの例は、12.21に示します。 ホットスタンバイ ホット・スタンバイ・システムのアーキテクチャには、1つのチャネルがマスタとし て指定され安全機能を制御する、並列に接続された2つのチャネルがあります。他の チャネルは、危険な故障がマスタチャネルで検出されるとスタンバイチャネルが安 全機能の制御を行なうように、ホットスペアとして機能します。 信頼性モデリングに関しては、危険な検出故障の場合、ホット・スタンバイ・シス テムは1oo2構成として動作し、システム故障率とPFDは検出故障のために1oo2とし てモデル化できます。 1つの危険な検出されないチャネル故障によってシステムは動作できなくなるため、 システム故障率とPFDは非検出故障のために1oo1としてモデル化する必要がありま す。つまり、安全機能はマスタチャネルの非検出故障を許容できず、非検出故障の ための冗長性はありません。RBDの例は、12.22に示します。 104 105 2.15E-06 0.00E+00 1.21E-06 7.72E-07 2.63E-03 2.63E-03 λS (診断) λS*数量 λS (分岐用) MDT 合計の λS 合計の λDD 合計の λDU 合計の λS 合計の λSYS 1.16E-06 1.16E-06 1 1oo1 3.66E-07 3.66E-07 12.20. 1oo2システムのシステム故障率 λDU (プルーフテスト) λDU*数量 λDU (分岐用) プルーフテスト期間T 合計の λDU λDD (診断) λDD*数量 λDD (分岐用) MDT 合計の λDD CCF 数量 構成 圧力伝送器 PT-xxx /hr 3.00E-07 0.00E+00 2.00E-07 2.00E-07 0.00E+00 0.00E+00 1 1oo1 ファン ローディング FL-xxx 3.00E-07 2.63E-03 2.63E-03 24 2.63E-03 2.00E-07 2.00E-07 7.66E-07 8760 7.66E-07 0.00E+00 0.00E+00 1.16E-06 24 1.16E-06 1 1oo1 ファン ローディング FL-xxx 9.10E-08 9.10E-08 9.10E-09 9.10E-09 8.19E-08 8.19E-08 1 1oo2 CNB CNB 3.28E-07 6.56E-07 3.28E-08 6.56E-08 2.95E-07 5.90E-07 2 1oo2 アナログ 入力 アナログ 入力 2.26E-07 2.26E-07 2.26E-08 2.26E-08 2.03E-07 2.03E-07 1 1oo2 CPU CPU 1.54E-07 1.54E-07 1.13E-06 24 2.25E-06 1.54E-08 1.54E-08 1.13E-07 8760 1.11E-10 1.38E-07 1.38E-07 1.01E-06 24 4.93E-11 1 1oo2 デジタル 出力 デジタル 出力 5.84E-08 5.84E-08 5.84E-08 24 5.84E-08 5.84E-09 5.84E-09 5.84E-09 8760 5.84E-09 5.25E-08 5.25E-08 5.25E-08 24 5.25E-08 5% CCF PROCESS SAFEBOOK 1 信頼性技術 3.66E-07 3.66E-07 2.15E-06 0.00E+00 1.21E-06 9.88E-04 2.63E-03 3.62E-03 λDU (プルーフテスト) λDU*数量 λDU (分岐用) プルーテスト期間T 合計の λDU λS (診断) λS*数量 λS (分岐用) MDT 合計の λS 合計の λDD 合計の λDU 合計の λS 合計の λSYS 1 1oo1 1.16E-06 1.16E-06 12.21. 1oo2Dシステムのシステム故障率 λDD (診断) λDD*数量 λDD (分岐用) MDT 合計の λDD CCF 数量 構成 圧力伝送器 PT-xxx 106 /hr 3.00E-07 0.00E+00 2.00E-07 2.00E-07 0.00E+00 0.00E+00 1 1oo1 ファン ローディング FL-xxx 3.00E-07 2.63E-03 2.63E-03 24 2.63E-03 2.00E-07 2.00E-07 7.66E-07 8760 7.66E-07 0.00E+00 0.00E+00 1.16E-06 24 1.16E-06 1 1oo1 ファン ローディング FL-xxx 9.10E-08 9.10E-08 8.19E-08 8.19E-08 1 1oo2 CNB CNB 3.28E-07 6.56E-07 2.95E-07 5.90E-07 2 1oo2 アナログ 入力 アナログ 入力 2.26E-07 2.26E-07 2.03E-07 2.03E-07 1 1oo2 CPU CPU 1.54E-07 1.54E-07 1.13E-06 24 2.25E-06 1.38E-07 1.38E-07 1.01E-06 24 4.93E-11 1 1oo2 デジタル 出力 デジタル 出力 5.84E-08 5.84E-08 5.84E-08 24 5.84E-08 5.25E-08 5.25E-08 5.25E-08 24 5.25E-08 5% CCF 9.10E-09 1.82E-08 2 2oo2 CNB 3.28E-08 1.31E-07 4 2oo2 アナログ 入力 2.26E-08 4.52E-08 2 2oo2 CPU 1.54E-08 3.07E-08 2.25E-07 8760 9.87E-04 2 2oo2 デジタル 出力 PROCESS SAFEBOOK 1 プロセス産業での機能安全 1 1oo1 12.22. ホット・スタンバイ・システムのシステム故障率 107 1.21E-06 4.94E-04 2.63E-03 3.13E-03 合計の λSYS /hr 3.00E-07 0.00E+00 λS (診断) 2.15E-06 λS*数量 0.00E+00 λS (分岐用) MDT 合計のλS 合計の D λD 合計の D λU 合計のλS 2.00E-07 2.00E-07 0.00E+00 0.00E+00 1 1oo1 3.66E-07 3.66E-07 λ DU (プルーフテスト) λDU*数量 λDU (分岐用) プルーテスト期間T 合計の D λU λDD (診断) 1.16E-06 λDD*数量 1.16E-06 λDD (分岐用) MDT 合計の D λD 数量 構成 圧力伝送器 PT-xxx ファン ローディング FL-xxx 3.00E-07 2.63E-03 2.63E-03 24 2.63E-03 2.00E-07 2.00E-07 7.66E-07 8760 7.66E-07 0.00E+00 0.00E+00 1.16E-06 24 1.16E-06 1 1oo1 ファン ローディング FL-xxx 9.10E-08 9.10E-08 8.19E-08 8.19E-08 1 1oo2 CNB CNB 3.28E-07 6.56E-07 2.95E-07 5.90E-07 2 1oo2 アナログ 入力 アナログ 入力 2.26E-07 2.26E-07 2.03E-07 2.03E-07 1 1oo2 CPU CPU 1.54E-07 1.54E-07 1.13E-06 24 2.25E-06 1.38E-07 1.38E-07 1.01E-06 24 4.93E-11 1 1oo2 デジタル 出力 デジタル 出力 5.84E-08 5.84E-08 5.84E-08 24 5.84E-08 5.25E-08 5.25E-08 5.25E-08 24 5.25E-08 CCF 9.10E-09 9.10E-09 1 1oo1 CNB 3.28E-08 6.56E-08 2 1oo1 アナログ 入力 2.26E-08 2.26E-08 1 1oo1 CPU 1.54E-08 1.54E-08 1.13E-07 8760 4.93E-04 1 1oo1 デジタル 出力 PROCESS SAFEBOOK 1 信頼性技術 108 2.15E-06 0.00E+00 1.21E-06 7.72E-07 2.63E-03 2.63E-03 0.9343 λS (診断) λS*数量 λS (分岐用) MDT 合計の λS 合計の λDD = 合計の λDU = 合計の λS = 合計の λSYS = 可用性 = 1.16E-06 1.16E-06 1 1oo1 3.66E-07 3.66E-07 12.23. 複雑なシステムの可用性 λDU (プルーフテスト) λDU*数量 λDU (分岐用) プルーフテスト期間T 合計の λDU λDD (診断) λDD*数量 λDD (分岐用) MDT 合計の λDD CCF 数量 構成 圧力伝送器 PT-xxx /hr Av (DD) Av (DU) Av (S) 3.00E-07 0.00E+00 2.00E-07 2.00E-07 0.00E+00 0.00E+00 1 1oo1 ファン ローディング FL-xxx = = = 0.99997 0.99328 0.94062 3.00E-07 2.63E-03 2.63E-03 24 2.63E-03 2.00E-07 2.00E-07 7.66E-07 8760 7.66E-07 0.00E+00 0.00E+00 1.16E-06 24 1.16E-06 1 1oo1 ファン ローディング FL-xxx 9.10E-08 9.10E-08 9.10E-09 9.10E-09 8.19E-08 8.19E-08 1 1oo2 CNB CNB 3.28E-07 6.56E-07 3.28E-08 6.56E-08 2.95E-07 5.90E-07 2 1oo2 アナログ 入力 アナログ 入力 2.26E-07 2.26E-07 2.26E-08 2.26E-08 2.03E-07 2.03E-07 1 1oo2 CPU CPU 1.54E-07 1.54E-07 1.13E-06 24 2.25E-06 1.54E-08 1.54E-08 1.13E-07 8760 1.11E-10 1.38E-07 1.38E-07 1.01E-06 24 4.93E-11 1 1oo2 デジタル 出力 デジタル 出力 5.84E-08 5.84E-08 5.84E-08 24 5.84E-08 5.84E-09 5.84E-09 5.84E-09 8760 5.84E-09 5.25E-08 5.25E-08 5.25E-08 24 5.25E-08 5% CCF PROCESS SAFEBOOK 1 プロセス産業での機能安全 PROCESS SAFEBOOK 1 信頼性技術 12.24. データシート例 前のRBDに使用された故障率データをレポートで見ることができるようにすること と、ソースの追跡を見ることができるようにする必要があります。発行されたデー タを参照しているソースは、第三者が使用されているデータを独立して検証するこ とができるように十分詳細に示す必要があります。これには、文書の識別、適合す る場合はISBN番号、ページ番号とアイテム番号を含むことができます。 表15に、前の例のRBDの標準的なデータテーブルを示します。 説明 パート番号 λ合計 λD λDD λDU λS コメント/ソース 圧力伝送器 PT-xxx PT-xxx 3.68E-06 1.53E-06 1.16E-06 3.66E-07 2.15E-06 製造メーカのPT-xxx機能 安全マニュアル ファンローデ ィングFL-xxx 電流伝送器 FL-xxx 5.00E-07 2.00E-07 0.00E+00 2.00E-07 3.00E-07 FARADIP-THREE V6.4, Reliability Data Base Technis, 26 Orchard Drive, Tonbridge, Kent TN10 4LG, ISBN 0-95165623-6 通信モジュール 1756-CNB 1.82E-07 9.10E-08 8.19E-08 9.10E-09 9.10E-08 アレン・ブラドリーの ControlNet CNB 「SIL2アプリケーション でのControlLogixの使用 セーフティ・リファレン ス・マニュアル」 (Pub.No. 1756-RM001) アナログ入力 モジュール 1756-AI16 6.56E-07 3.28E-07 2.95E-07 3.28E-08 3.28E-07 アレン・ブラドリーの 「SIL2アプリケーション でのControlLogixの使用 セーフティ・リファレン ス・マニュアル」 (Pub.No. 1756-RM001) ControlLogix CPU 1756-L63 デジタル出力 モジュール 1756-OB32 3.07E-07 1.54E-07 1.38E-07 1.54E-08 1.54E-07 アレン・ブラドリーの 「SIL2アプリケーション でのControlLogixの使用 セーフティ・リファレン ス・マニュアル」 (Pub.No. 1756-RM001) 4.52E-07 2.26E-07 2.03E-07 2.26E-08 2.26E-07 アレン・ブラドリーの 「SIL2アプリケーション でのControlLogixの使用 セーフティ・リファレン ス・マニュアル」 (Pub.No. 1756-RM001) 表14: PFH / PFD計算(非検出故障) 109 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.25. 火事とガス(F&G)システムのモデリング F&Gシステムのモデリングでは、フォルトトレランスにいくつかのガイダンスを提 供することが重要です。一般的に、ESDまたは同様のシステムのモデリングは、ロ ジックソルバ選出に使用されるのと同じ構成に従います。例えば、ESDシステムに よって高圧力で2つのうち1つが選出される(1oo2)圧力伝送器の信頼性は、1oo2とし てモデル化されます。同じことが、F&Gシステムでは常に正しいとは限りません。 一般的に、通常は検出器のカバー範囲とアラームレイアウトの冗長性の仮定に頼る ことなく保守的な分析に着手できますが、実際のところ、これは悲観的な分析にな ったり、ターゲットを満たすことができない可能性があります。そのような困難が 生じる場合に、危険源を詳しく知ることによって、より実際的な信頼性の分析を実 施できるようにさらにターゲットとされるモデルを開発できるようになります。 F&Gシステムは人を保護するだけではなく、商業的なリスクに対して資産、または 環境的なリスクに対して施設を保護するためにも使用できます。この保護を提供す るSIFによって求められる策定動作が、使用する適切な信頼性モデルを決定します。 PFDなどのハードウェアの信頼性の目標に対する適合性を判断するためにF&G SIF をモデリングするときは、どのハードウェアの構成をモデル化するか正確に判断す るために決定を下す必要があります。 例として、通常F&G SIFのC&Eデータは以下を指定します。 a) 6台のうち1台の(1oo6)ガス検出器がアラーム状態であると、1つのガスを表示 し、制御室アラームをアクティブにします。 b) 6台のうち2台の(2oo6)ガス検出器がアラーム状態であると、確認されたガスを 表示し、施設のアラームと信号伝達装置をアクティブにして、設備のESDを生 成します。 ただし、適切なモデリングのために、保護するSIFと危険源を理解していなければな りません。SIFによって求められる策定動作は、使用する適切なモデルを決定します。 12.26. F&Gシステム検出器構成のモデリング 実際には、1つのガスアラームは実際、疑似、または検出器フォルトによるものであ るかを決定するために、オペレータによって調査されます。策定動作は確認された ガスの結果としてのみ受け止められ、これによって確実に設備の人が安全に避難で きます。これは、SILターゲットに引き付けられた安全機能であるため、上記のケー スb)は信頼性モデリングの出発点となるはずです。承認されたガスアラームによっ て、確実に人が安全に避難できるようになります。 110 PROCESS SAFEBOOK 1 信頼性技術 図44に、ゾーン内に6台のガス検出器が配置されたレイアウトを示します。この構成 では、6台のうち任意の2台の検出器がガスを検知したときに、ロジックソルバ選定 2oo6が策定動作をとります。 ゾーン01 6台のガス検出器付きのゾーン G G G G G G F&G 6台の検出器のうちの 任意の2台からアラームを 受信したときの策定動作 ロジック選定2oo6 図44: F&Gシステムレイアウト ただし、PFDターゲットに対するSIFのモデリングは、必要なときにガスに反応しな い確率の計算についてです。ガスの放出が危険になるのに十分多い場合は、カバー している範囲内にある6台の検出器の半分が反応します(図45)。 ゾーン01 6台のガス検出器付きのゾーン G G G G G ガス G F&G 6台の検出器のうちの 任意の2台からアラームを 受信したときの策定動作 ロジック選定2oo6 図45: F&Gシステムのカバー 実際には、例えば最低2台のセンサがガス雲内にあるときに、できるだけ早く起動す る策定動作が求められます。この場合、センサを冗長なしの2oo2としてモデル化す る必要があり、そのためにセンサ故障は許容されませんでした。目標が非冗長構成 で達成されるときは、検出器のカバー率の仮定の正当性に依存していないため、保 守的なアプローチとなります。 111 PROCESS SAFEBOOK 1 プロセス産業での機能安全 実際には、センサのカバー範囲が一部重複するように配置しているため、センササ ブシステムのPFDは非冗長構成用に計算されたものよりも優れていることがあり、1 台のセンサが故障しても許容される場合があります。 信頼性モデリングに関して、策定動作が求められる前に分析者は許容可能なガス放 出の最大サイズ(雲のサイズ)を判断して、いくつのセンサがこのとき雲内に入るかを 推定しなければなりません。 この例では、策定動作を起動する前に3台のセンサでガス雲を十分にカバーできると きに、6台のうち任意の2台を選定するロジックの場合は、1台のセンサの故障を許容 できます。つまり、ガスの検出の信頼性は2 out of 3としてモデル化できます。 12.27. PFDの誤ったモデリングの影響 上記の例では、ガス検出器を選定するロジックが2oo6である場合に、一部の分析者 は誘惑に屈して、システムの信頼性を2oo3または2oo2ではなく、2oo6としてモデル 化することがあります。明らかに、安全機能の全体のPFDと、冗長と非冗長構成の 間のSILターゲットに対するその性能で結果として生じた違いは重要になります。 提供されるいくつかのフォルトトレランスは、例えば2oo3または2oo4をモデリング することで合理的に確認でき、安全機能の全体のPFDとSILターゲットに対するその 性能の結果として生じた違いは小さくなります。冗長構成のPFDは共通原因故障に よって制限されているため、ハードウェア・フォルト・トレランス(HFT)が1を超え て増加するときはPFDの改善は重要ではありません。 ただし、策定動作が必要なときにフォルトトレランスが検出器の配置や、許容可能 なガス雲のサイズのいずれかによって保証できないときは、冗長と非冗長構成の間 で結果として生じた違いは重要になります(図46)。 注:PFDは標準的なセンサの故障率と修理時間のために計算され、冗長構成の共通 原因からの寄与を前提にしています。この例で、フォルトトレランスが0の場合は 2oo2構成を示し、フォルトトレランスが1の場合は2oo3を示し、2の場合は2oo4を示 します(以下続く)。 結果はアーキテクチャまたはモデリングのために選択されたHFTによって異なり、 計算されたPFDはSIL1, SIL2またはSIL3の帯域内に収まる可能性があります。 112 PROCESS SAFEBOOK 1 信頼性技術 F&GシステムPFD 1.00E+00 PFD 1.00E-01 2oo2 SIL1 1.00E-02 2oo3 SIL2 2oo4 1.00E-03 2oo5 2oo6 SIL3 1.00E-04 0 1 2 3 ハードウェア・フォルト・トレランス(HFT) 4 図46: F&GシステムのPFD計算 12.28. アーキテクチャの誤ったモデリングの影響 誤ったモデリングは、安全機能の構造上の性能により重要な影響を及ぼします。指 定された安全側故障割合(SFF:Safe Failure Fraction)では、検出器サブシステムの SIL性能はそのHFTによって異なります。 例えば、SFFが60~90%の間のタイプB検出器では、以下の構造上のSILの機能を確 認できます。 HFT 構成 SIL (アーキテクチャ) 0 2oo2 SIL1 1 2oo3 SIL2 2 4oo4 SIL3 再度、分析者が選定ロジックであるため2oo6構成であると仮定する場合、実際には 低いSILしか適用できないことがあり、楽観的なアーキテクチャの場合はSIL3になる ことがあります。 113 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.29. F&Gシステムアラーム構成のモデリング 人は、確認アラームによって火事とガスの危険源から保護されます。すべて確実に 人が安全に避難にするために、視覚アラームと可聴アラームが必要です。そのため、 安全危険源について、出力構成に視覚と音による警報器を設置することを考慮する 必要があります。 F&Gシステムでは、策定動作は通常は6oo6の視覚アラームと4oo4の可聴アラームを 作動するように指定できます。通常、そのような構成をモデリングするには、多く のデバイスが含まれているため、SIL1 PFDターゲットよりも良いものを達成する上 で問題が起こります。さらに、アラームと信号伝達装置のSFFは非常に低いため、 通常は構造上の性能は一重構成でのSIL1よりも良いものを達成できません。 ゾーンにノイズの多い機器があると信号伝達装置が不明確になったり、可聴アラーム が聞こえなくなることがあることを念頭に置いて、危険領域にいる人が常に一度に複 数の警報器を見たり聞くことができるような位置にアラームを配置しなければなりま せん。この仮定を検証できたら、分析者はそのようなフォルトトレランスをアラーム 構成の信頼性モデリングに活用できます。 6oo6構成の警報器は、2または3の別々のゾーンを、ゾーンごとに2台または3台の警 報器でカバーできます。そのため、分析者は、設備のレイアウト図から、ゾーンご とにどのフォルトトレランスを使用するか、それに従ってこれをモデル化するかを 決定する必要があります(図47)。 ゾーン01 ゾーン02 信号伝達装置 信号伝達装置 信号伝達装置 信号伝達装置 信号伝達装置 信号伝達装置 F&Gロジックソルバ 6oo6出力 図47: アラームシステムのレイアウト例 114 PROCESS SAFEBOOK 1 信頼性技術 その鍵は、どれだけの信号伝達装置を見ることができ、そのいくつが安全機能の損 失を引き起こすことなく故障するかを決定することです。各ゾーンに決定された研 究結果のレイアウトでは、ゾーン内の3台のうち2台の信号伝達装置を常に見ること ができます。 このようなレイアウトでは、合理的なアプローチは、1台の信号伝達装置のみを見る 必要があるため、各ゾーン1を1oo2としてモデル化します。ただし、両方のゾーンを 保護する必要があるため、両方のゾーンをモデルに含む必要があります。 例:1oo2 + 1oo2 さらなる例として、1つのゾーン内の6台の信号伝達装置を、6台のうち4台の信号伝達 装置をいつでも見ることができるように考慮します(図48)。そのため、見ることがで きる4台のうち1台の信号伝達装置が機能することが必要で、そのため1oo4としてアラ ームをモデル化できます。 ゾーン01 信号伝達装置 信号伝達装置 信号伝達装置 F&Gロジックソルバ 6oo6出力 図48: アラームシステムのレイアウト例(1ゾーン) 115 信号伝達装置 信号伝達装置 信号伝達装置 PROCESS SAFEBOOK 1 プロセス産業での機能安全 12.30. ESDシステムへのF&G入力 これまで、確認された火事またはガスで、設備のESDを生成する要求については言 及してきませんでした。F&G SIFの一部としてESDトリップを含むかは、危険源の 影響と必要とされる保護によって異なります。 危険源によって個人に対する安全リスクが起こる場合、アラームが確実に保護する のに十分であると主張できます。通常、F&GトリップによってESDへの入力も生成 されますが、多くの場合は、これは危険源の増大を防ぎ、資産を保護します。ESD トリップは、危険源の分解能に従ってさらに制御された方式で開始できる優れた状 態監視として起動されこともあります。F&Gシステムは火やガスから保護するため にあり、ESDは他の危険源に対して保護するためにあります。提供されたF&Gシス テムはリスク低減に関するそのターゲットを満たし、ESDをトリップすることには 上述以外の理由はないはずです。そのため、通常、ESDはF&G SIFに含まれません。 ただし、例外はあります。危険源によって環境または資産の損傷につながる場合、 アラームだけでは保護は行なわれないため、火やガスを検出するために設備を隔離 する必要があります。このような場合、F&G SIFの信頼性モデリングに求められる ようにシャットダウンと隔離を含む必要があります。 12.31. まとめ 検出器フォルトトレランスではなく、ロジック選定構成がモデル化されると、入力 サブシステムのモデリングは楽観的な結果になることがあります。同じアプローチ は、出力サブシステムをモデリングするときには非常に悲観的な結果になります。 2つのサブシステム間に適用されるモデリングアプローチは、計算されたPFDと構造 上の性能によって大きなばらつきができ、そのためにSILにも大きなばらつきができ ることがあります。 そのため、F&Gシステムのモデリングにはよく考えられたアプローチを採用して、 モデリング技術を明確に理解し、危険源とシステムを分析することが重要になりま す。これによって、F&Gシステムによって提供されたリスク低減の正確な評価が行 なわれ、楽観的な主張によってエンドユーザに誤った情報が伝えられないことを保 証できます。 116 PROCESS SAFEBOOK 1 SIL検証 13. SIL検証 13.1. 安全度水準ターゲットへの適合 多くの人が、コンプライアンスを実証するために何が必要であるかを尋ねます。 「SIL認証された」コンポーネントを購入して、これだけでコンプライアンスを達成 できると考えるのは十分ではありません。さらに、規格は規範ではないため、何を 行なうべきかを示すチェックリストもティックチャートも提供できません。実際に は、多くのことにどの程度依存しているでしょうか。アプローチは、どのくらいの 情報またはデータを使用できるか、分析の深さ、または適用される厳密さに依存し ます。お客様または規制者を満足させる必要がありますが、何よりも十分に行なわ れたことに自分自身が満足しなければなりません。 何かがうまくいかずに誰かが死亡した場合に、家族に直面して合理的に期待された ことすべてを行なったと証明できますか? コンプライアンスのために推奨される計画は、IEC61511-1, 10および12の要求を満 たします。これらには、図49に示すように以下の従属節が含まれています。 • • • • • • • • フォルト検出時のシステム動作のための要求[13.2] ハードウェア・フォルト・トレランス[13.3] コンポーネントとサブシステムの選択[13.4] フィールドデバイス[13.5] オペレータ、保守要員、およびSISとの通信インターフェイス[13.6] 保守またはテスト設計要求[13.7] SIF故障発生確率[13.8] アプリケーションソフトウェア[13.9] これらの節がさらに詳細な要求に合わせて小さく分かれている場合は、これらにつ いても示しています。 IEC61511-1, 5への適合: 機能安全の管理は、セクション[18]でさらに詳しく説明しま す。 117 図49: 適合のための計画 IEC61511-1, 11.2 General Requirements 118 IEC61511-1, 11.5 Requirements for Selection of Components and Subsystems IEC61511-1, 11.5.4 Requirements for FPL Programmable Devices based on Prior Use IEC61511-1, 11.4 Requirements for Hardware Fault Tolerance IEC61511-1, 11.5.3 Requirements based on Prior Use IEC61511-1, 11.5.2 General Requirements IEC61511-1, 11.5.5 Requirements for LVL Programmable Devices based on Prior Use IEC61511-1, 11.6 Field Devices IEC61511-1, 11 SIS Design and Engineering IEC61511-1, 11.3 Requirements for System Behaviour on Detection of a Fault IEC61511-1, 5 Management of Functional Safety IEC61511-1 SIL Assessment Requirements for Compliance IEC61511-1, 11.5.6 Requirements for FVL Programmable Devices IEC61511-1, 11.7 Operator, Maintainer and Communication Interfaces IEC61511-1, 11.8 Maintenance or Testing Design Requirements IEC61511-1, 11, 12 Design and Engineering of Safety Instrumented System IEC61511-1, 11.9 SIF Probability of Failure IEC61511-1, 12.4 Application Software Design and Development IEC61511-1, 12 Requirements for Application Software PROCESS SAFEBOOK 1 プロセス産業での機能安全 PROCESS SAFEBOOK 1 SIL検証 13.2. フォルト検出時のシステム動作のための要求、IEC61511-1, 11.3 フォルト検出時のシステム動作を指定する必要があります。これは、例えば、SRS または設計仕様に説明されています。 以下を含めることを検討することができるパラメータのある種の標準的な例を示し ます。 1. すべての出力ブロックは、PLCの作動要求で1oo2を選定し、PLCからの通信の 損失が検出されると1oo1に戻します。 2. 設計仕様は、フェイルセーフ原理が適用されることを記載しています。SISの すべてのシャットダウン要素は、安全原理の失敗でもたらされます。 3. ESDシステムの場合、オフ時トリップ機能が実装されています。 4. F&Gシステムの場合、オン時トリップの消火剤の放出が実装されています。冗 長構成で危険なフォルトを1つ検出すると、アラーム状態が表示されます。 F&Gシステムは、修理時間の許容期間安全に動作し続け、ハード配線された消 火剤の手動放出の提供などの他の追加のリスク低減対策が実装されます。 13.3. ハードウェア・フォルト・トレランスの要求、IEC61511-1, 11.4 13.3.1. アプローチ ハードウェア・フォルト・トレランス(HFT)の要求に対応するには、安全側故障割合 (SFF)とアーキテクチャによる制約に対して定量化した評価が必要です。 13.3.2. 安全側故障割合 ハードウェア安全度水準と関連して、安全機能のために要求できる最高のSILは、安 全機能を実施するサブシステムのHFTとSFFによって制限されます。 ハードウェア・フォルト・トレランスが1の場合は、サブシステムのアーキテクチャ が、サブシステムの1つの危険な故障が安全作業の発生を妨げないことを示します。 例えば、1oo2または2oo3の構成のHFTは1になり、1oo3または2oo4の構成のHFTは 2になります。 119 PROCESS SAFEBOOK 1 プロセス産業での機能安全 これらの要求IEC61508 [19.1]について、以下の追加のガイダンスを定義しています。 • ハードウェア・フォルト・トレランスがNであると、N+1個のフォルトが起こる と安全機能が失われます。ハードウェア・フォルト・トレランスを決めるには、 診断などのフォルトの影響を制御できる他の手段を行なわなくてもかまいませ ん。 • 1つのフォルトが直接1つまたは続いて複数のフォルトの発生を引き起こす場合、 これらは1つのフォルトと見なされます。 • ハードウェア・フォルト・トレランスを決めるには、特定のフォルトは、サブ システムの安全度水準の要求に関連してそれらが発生する可能性が非常に低い という場合には除外することができます。そのようなフォルトの除外について を正当化し、文書化する必要があります。 以下の一般的な関係を使用しています。 SFF = Ʃ (Ʃ λS + Ʃ λDD) / (Ʃ λS + Ʃ λD) Ref. IEC61508-2.C.1 この場合: λD = λDU + λDD 安全機能の各要素について、SFFを計算する必要があります。値は、ハードウェア・ フォルト・トレランスのレベルについてSILコンプライアンスを決めるために、表16に 使用されるべきです。 13.3.3. アーキテクチャによる制約 IEC61511-1, 11.4.5によって、IEC61508-2, 表2と3の要求を使用してハードウェア・ フォルト・トレランスの評価が可能になります。 IEC61508 [19.1]で、サブシステムはタイプAまたはタイプBのいずれかとして分類さ れます。一般的に、故障モードがうまく定義されているとき、フォルト状態での動 作を完全に決めることができ、十分適切なフィールドデータがあるときは、サブシ ステムはタイプAと見なされます。これらの状態のいずれかがTrue(真)ではないとき は、サブシステムはタイプBと見なす必要があります。 バルブなどのシンプルな機械的デバイスは、通常はタイプAと見なされます。通常は、 ロジックソルバはいくつかの処理能力を含むタイプBであるため、フォルト状態での 動作を完全には決定できない可能性があります。センサは、デバイスのテクノロジ と複雑さに従ってタイプAまたはタイプBのいずれかになります。 安全機能のアーキテクチャによる制約を、表16にまとめて示します。 120 PROCESS SAFEBOOK 1 SIL検証 タイプAサブシステムの定義: すべての構成要素の故障モードが定義されており、フォルト状態でのサブシステムの動作が 完全に決まっており、および現場での経験から信頼できるデータが危険な検出故障と危険な 非検出故障の主張する故障率を満たしていることを示すのに十分です。 ハードウェア・フォルト・トレランス(N) 安全故障要因 0 1 2 60%未満 SIL1 SIL2 SIL3 60~90% SIL2 SIL3 SIL4 90~99% SIL3 SIL4 SIL4 99%以上 SIL3 SIL4 SIL4 タイプBサブシステムの定義: 少なくとも1つの構成要素の故障モードが定義されていない、またはフォルト状態でのサブシ ステムの動作を完全に決めることができない、または現場での経験から信頼できるデータが 危険な検出故障と危険な非検出故障の主張する故障率をサポートするのに不十分です。 ハードウェア・フォルト・トレランス(N) 安全故障要因 0 1 2 60%未満 許可されない SIL1 SIL2 60~90% SIL1 SIL2 SIL3 90~99% SIL2 SIL3 SIL4 99%以上 SIL3 SIL4 SIL4 表16: アーキテクチャによる制約 注:ハードウェア・フォルト・トレランスがNの場合、N+1回フォルトが起こると安 全機能が失われることを意味します。 13.3.4. 例 この例では、図50: 安全機能は1oo2構成で動作する2レベルのトランスミッタから構 成されています。いずれかのトランスミッタがHighレベルを検出すると、アレン・ ブラドリーのPLCはESDバルブを閉じることができるSOVをオフにします。 アーキテクチャによる性能の評価には、どのタイプを最初に認識するかが必要です。 例えば、AまたはBのそれぞれの要素は以下のようになります。通常、これは表16に 記載した定義を使用して決定できます。一般的なルールとして、アイテムの故障モ ードと故障時の動作を調べる必要があり、それをタイプAと見なすために非常に優れ た故障データがあります。そうでないときは、アイテムはタイプBと見なす必要があ ります。 121 PROCESS SAFEBOOK 1 プロセス産業での機能安全 要素ごとの故障データは、SFFを計算することができます。アイテムタイプとSFFは、 図50の各要素の下に表形式で示します。 HFTは、要素ごとのフォルトトレランスのレベルを参照します。1oo2構成で動作す るレベルトランスミッタのHFTは、1になります。他のすべてのアイテムにはフォル トトレランスはないため、HFTは0になります。 最終的に、要素ごとのアーキテクチャによる性能のために宣言できるSILは、表16に 記載するこの情報を使用して決定されます。 レベル スイッチ CCF 5% PLC 1oo1 NE SOV ESDバルブ B 0.95 0 2 A 0.72 0 2 A 0.25 0 1 レベル スイッチ タイプ SFF HFT アーキテクチャによるSIL 許可されるSIL (Arch) 総合的に可能なSIL A 0.40 1 2 1 SIL1 図50: 安全計装機能の例 レベルスイッチはタイプAであるため、タイプAの基準が適用します。SFFが0.40で、 フォルトトレランスが1のときに、レベルトランスミッタはSIL2のアーキテクチャに よる制約に適合します。 同様に、SOVとESDバルブも評価できます。SOVもタイプAで、フォルトトレラン スは0で、SFFはSIL2を与える0.72です。ESDバルブはタイプAで、フォルトトレラ ンスは0で、SFFはSIL1を与える0.25です。 122 PROCESS SAFEBOOK 1 SIL検証 タイプAサブシステムの定義: すべての構成要素の故障モードが定義されており、フォルト状態でのサブシステム の動作が完全に決められており、現場での経験から信頼できるデータが危険な検出 故障と危険な非検出故障を満たしていることを示すのに十分です。 ハードウェア・フォルト・トレランス(N) 安全故障要因(SSF)の 主張する故障率 0 1 2 60%未満 SIL1 (ESD値) SIL2 (LT) SIL3 60~90% SIL2 (SOV) SIL3 SIL4 90~99% SIL3 SIL4 SIL4 99%以上 SIL3 SIL4 SIL4 図51: レベルトランスミッタのアーキテクチャによる制約 PLCは、タイプBデバイスと見なされています。これは、ソフトウェアで制御されて いるためほとんどのPLCにとって真実で、故障の動作に不確実な要因があるため、 タイプAに必要な状態すべてを満たしていません。 そのため、PLCの評価はタイプB要求に対するものでなければなりません(図52)。 タイプBサブシステムの定義: すべての構成要素の故障モードが定義されており、フォルト状態でのサブシステム の動作が完全に決められており、現場での経験から信頼できるデータが危険な検出 故障と危険な非検出故障を満たしていることを示すのに十分です。 ハードウェア・フォルト・トレランス(N) 安全故障要因(SSF)の 主張する故障率 0 1 2 60%未満 SIL1 (ESD値) SIL2 (LT) SIL3 60~90% SIL2 (SOV) SIL3 SIL4 90~99% SIL3 SIL4 SIL4 99%以上 SIL3 SIL4 SIL4 図52: PLCアーキテクチャによる制約 つまり、図50に要素ごとのアーキテクチャによるSIL性能を示し、安全機能全体のた めに主張できるSILはSIL1です。安全機能全体のためのアーキテクチャによるSIL性 能は、宣言された最下位のSILによって制限されています。 123 PROCESS SAFEBOOK 1 プロセス産業での機能安全 13.4. コンポーネントとサブシステムの選択のための要求、 IEC61511-1, 11.5 13.4.1. アプローチ プロセス分野のアプリケーションの場合、コンポーネントとサブシステムはサステ ナビリティ(持続可能性)の評価に基づいて選択できます。目標は、以下のための要求 を指定することです。 • コンポーネントとサブシステムの選択 • コンポーネントまたはサブシステムをSIFのアーキテクチャに統合できるように する。 • コンポーネントとサブシステムに受入れ可能な基準を指定する。 13.4.2. 一般要求、IEC61511-1, 11.5.2 この手順は、SIL4アプリケーションには使用してはなりませんが、他のすべてのコ ンポーネントと続くサブシステムには対処する必要があります。 サステナビリティの実証には、ターゲットに対するPFDの計算とアーキテクチャに よる制約から構成されたSIL評価を含める必要があります。 サステナビリティの実証には、製造メーカのハードウェアの注意事項と組み込まれ たソフトウェアの資料も含まれています。実際には、選択されたコンポーネントと サブシステムに付随する文章は、機能および環境性能をカバーする技術仕様の形式 になります。そのため、FDSには、機能要求に対して製造メーカから使用可能な仕 様文書に基づいて選択されたコンポーネントとサブシステムのサステナビリティを 正当化する文章を含む必要があります。 コンポーネントとサブシステムは、安全要求仕様に一致していなければなりません。 実際には、コンポーネントとサブシステムは、安全要求を達成する能力に基づいて 選択されます。コンプライアンスの実証は、アーキテクチャによる制約のための評 価と要求によって行なわれ、PFDも適用します。 13.4.3. 使用前、IEC61511-1, 11.5.3 最初に、コンポーネント選択は、認証されたサプライヤからの購入仕様書によるも のでなければなりません。 製造メーカのQMSおよび構成管理システムに関する検討はベンダー評価の一部でな ければならず、FDSに示されるサステナビリティの証拠の一部を形成しなければな りません。 124 PROCESS SAFEBOOK 1 SIL検証 すべての選択されたコンポーネントとサブシステムについては、FDSは累積使用の 証拠も参照しなければなりません。証拠は、以下のいずれかに基づいています。 • SIL1とフィールドデバイスのデバイスの累積時間 • SIL2と複雑なアイテムの、危険な故障が認識されたデバイスの累積時間 SIL3ロジックソルバのアプリケーションの場合は、認証が必要です。 コンポーネントまたはサブシステムに求められる累積使用時間は、ターゲットの故 障率や、故障が報告されたかどうかによって異なります。図53はガイダンスのため にのみ提供され、ターゲットの故障率のさまざまな価値のために必要とされるデバ イスの累積された年数(デバイスの数x使用年数)を示します。 1000000 X 10000 求められるデバイス年 X 0回の故障 1回の故障 5回の故障 10回の故障 15回の故障 1000 X 100 X 10 1 1.00E-07 1.00E-06 1.00E-05 ターゲットの故障率(/hr) 1.00E-04 図53:必要な使用でのガイダンス 例えば、図53からターゲットの故障率が1時間当たり1.00E-06で故障ゼロが報告され た場合、約137のデバイス年は14のデバイスが10年間故障なしで動作できることを 証明しなければなりません。現場の個体数で故障が報告されたときは、実際のデバ イスの故障率が高くなり、そのために、さらに故障なしで稼働する時間が同じター ゲットの故障率を実証するために必要になります。 125 PROCESS SAFEBOOK 1 プロセス産業での機能安全 図は70%の信頼限界でのΧ2-分布に基づいており、十分な数のデバイス年が累積され たことを示すガイダンスとしてのみ使用されなければなりません。 また、IEC61511は、報告された故障の影響を評価する製造メーカによるリターンデ ータのモニタと修正プロセスの文書化も求めています。 実際には故障情報はめったに使用されないため、選択には、必要に応じて確実に実 行できるコンポーネントとサブシステムの評価が含まれることがあります。この評 価には、他のユーザや、同様のデバイスまたはアプリケーションの製造メーカまた はユーザとの議論が必要なことがあります。そのような補強証拠を、コンポーネン トとサブシステムのサステナビリティの一部としてFDSに文書化する必要がありま す。 13.4.4. 固定のプログラム言語(FPL)プログラム可能なデバイス、IEC61511-1, 11.5.4 FPLプログラム可能なコンポーネントとサブシステム(例えば、フィールドデバイス) を使用してる場所では、一般要求[13.4.2]、使用前の要求[13.4.3]と、FPLプログラム 可能なコンポーネントとサブシステムの続く要求をSIL1とSIL2アプリケーションの ためにすべて満たしていなければなりません。 さらに、選択されたコンポーネントごとに、FDSはFPLコンポーネントの選択をコ ンポーネントが以下を含む機能に関する指定要求を満たしていることを主張するこ とで正当化する必要があります。 a) 入力と出力信号の特性 b) 使用モード c) 使用される機能および構成 d) 使用しない機能は安全機能に影響をほとんど及ぼさない。 SIL3アプリケーションの場合は、公式の評価を実施する必要があります。 一部のシステムインテグレータが採用している代替アプローチとして、SIL3対応の FPLデバイスを入手することがあります。これらのデバイスは、すでに該当する組 織とSIL3認証によって公式の評価を得ており、補強証拠書類が共に提供されている ことが必要です。 証拠は、デバイスが必要な機能を実行でき、ランダムなハードウェア故障、または 体系的なハードウェアまたはソフトウェア故障の結果としての危険側故障発生確率 が十分低いことを示す必要があります。安全マニュアルもデバイスで使用でき、運 用と保守の制限を詳しく説明していなければなりません。 126 PROCESS SAFEBOOK 1 SIL検証 13.4.5. 制約可変言語(LVL)プログラム可能なデバイス、IEC61511-1, 11.5.5 LVLプログラム可能なコンポーネントとサブシステム(例えば、ロジックソルバ)を使 用している場所では、一般要求[13.4.2]、使用前の要求[13.4.3]、FPLプログラム可能 なデバイスの要求[13.4.4]と、LVLプログラム可能なコンポーネントとサブシステム の続く要求をSIL1とSIL2アプリケーションのためにすべて満たしていなければなり ません。 文書には、以前経験したように動作プロファイルと物理環境に違いがある場合は正 当性を示すべきで、安全機能で使用されたときの動作プロファイルと物理環境は、 FDSはこれらの違いを認識して、PFDが悪影響を受けていないことを正当化しなけ ればなりません。 SIL1または2アプリケーションの場合は、安全に構成されたプログラマブル電子(PE) ロジックソルバ(汎用の産業用PEロジックソルバは安全アプリケーションで使用する ように特別に構成されている)は、文書で正当化されることを条件として使用するこ とができます。 製造メーカから使用可能な使用文書は、故障時の動作を確実に理解するために、ハ ードウェアとソフトウェアをカバーする適切な情報を使用できることを示さなけれ ばなりません。これは、すべての危険な故障モードをリストすることと、対応する 場合に診断手段と保護動作を認識することでFDSで確認する必要があります。また、 FDSは許可されないかまたは意図しない修正に対して採用された保護手段を認識し なければなりません。 SIL2ロジックソルバのアプリケーションの場合、FDSはプログラム実行中に続くフ ォルトに対して採用された保護技術を確認する必要があります。 a) プログラムシーケンスのモニタ b) 修正に対するコードの保護またはオンラインモニタによる故障検出 c) 故障の判定またはさまざまなプログラミング d) 変数の範囲チェック、または値の妥当性チェック e) モジュール式アプローチ f) 対応するコーディング規格が組み込まれたソフトウェアに使用されている。 127 PROCESS SAFEBOOK 1 プロセス産業での機能安全 さらに、以下を実証する必要があります。 g) 標準的な構成でテスト済みで、意図した動作プロファイルを代表するテストケ ース付き h) 信頼できる検証済みのソフトウェアモジュールとコンポーネントが使用されて いる。 i) システムは動的な分析、およびテストを受けた。 j) システムは人工知能も動的な再構成も使用しない。 k) 文書化されたフォルト挿入テストが実行された。 SIL2アプリケーションの場合は、FDSはPEロジックソルバの構成と意図された動作 プロファイルをカバーする運用、保守、およびフォルト検出での制約を認識する必 要があります。 SIL3アプリケーションの場合は、文書は任意のLVLロジックソルバのためのSIL認証 を提示する必要があります。 13.4.6. 無制約可変言語(FVL)プログラム可能なデバイス、IEC61511-1, 11.5.6 文書は任意のFVLロジックソルバのためのSIL認証を提示する必要があります。 13.5. フィールドデバイス、IEC61511-1, 11.6 フィールドデバイスの選択については、一般要求[13.4.2]、使用前の要求[13.4.3]と、 フィールドデバイスの続く要求すべてを満たす必要があります。適用する場合、 FPLプログラム可能なデバイスの要求も満たす必要があります。 プロセスと環境条件から生じた条件のために、不正確な情報になる可能性がある故 障を最小化するためにフィールドデバイスを選択して設置します。考慮すべき条件 には、腐食、パイプ内の物質の凍結、浮遊物質、重合、料理、温度および過剰な圧 力、ドライレグのインパルスラインでの凝縮、およびウエットレグのインパルスラ インでの凝縮不足があります。 フィールドデバイスの場合、仕様文書は、コンポーネントはすべてのプロセスと環 境条件の機能に関する指定された要求を満たしており、FDSはこれが事実であるか 確認する必要があることを示さなければなりません。FDSでは、オン時トリップの ディスクリート入力/出力回路に回路と電源の整合性を各人するための手段(ラインモ ニタなど)が採用されていることを確認する必要もあります。 適切な安全レビューによって、読取り/書込みの使用が可能になるまで、離れた場所 からの故意でない修正を防ぐためにスマートセンサを書込み保護する必要がありま す。 128 PROCESS SAFEBOOK 1 SIL検証 13.6. オペレータ、保守作業員、および通信インターフェイス、 IEC61511-1, 11.7 すべての通信インターフェイスは、以下の要求を満たす必要があります。 SIS通信インターフェイスの設計は、通信インターフェイスの故障が、プロセスを安 全状態にするためのSISの能力に悪影響を及ぼさないようにする必要があります。こ れは、設計文書で確認する必要があります。 文書も確認する必要があります。 a) 通信ネットワークの予測エラーレート b) BPCSと周辺機器との通信はSIFに影響を及ぼさない。 c) 通信インターフェイスは、SIFの危険な故障を引き起こすことなく電力サージ を含む電磁干渉に耐えるのに十分に堅牢です。 d) 通信インターフェイスは、異なる電気的な接地電位を基準とするデバイス間の 通信に適している。注:代替メディア(例えば、光ファイバーが必要な場合が ある)。 13.7. 設計要求の保守またはテスト、IEC61511-1, 11.8 SIS設計は、テストを端から端までまたは経路のいずれかで実施できるようにする必 要があります。必要に応じて以下を考慮してください。 • オンラインのプルーフテスト:テスト設計は、確実に非検出故障を十分明らか にできるようにしなければなりません。 • 設備をテストおよびバイパス:SISの任意の部分が保守またはテストのために バイパスされたときは、オペレータに警告する必要があります。 • SISオフラインにすることなく入力と出力を強制することは、適切な手順とセ キュリティが適切に行なわれていない限り、許可してはなりません。バイパス 機能に従って、任意の入力/出力が強制されたときにオペレータに警告する必要 があります 13.8. SIF故障確率、IEC61511-1, 11.9 セクション[14]を参照してください。 129 PROCESS SAFEBOOK 1 プロセス産業での機能安全 13.9. アプリケーションソフトウェアの要求、IEC61511-1, 12 IEC61511-1, 12にはSISの部分を形成するソフトウェアに適用するか、またはSISを 開発するために使用される要求がリストされています。要求は、以下を確認するた めにアプリケーションソフトウェアの安全ライフサイクル要求を定義しています。 • アプリケーションソフトウェアを開発するために必要なすべての活動が定義さ れています。 • アプリケーションソフトウェアを開発し検証するために使用されるソフトウェ アツール(例えば、ユーティリティソフトウェア)が完全に定義されています。 • 機能安全の目標を満たすために計画が導入されます。 一般要求では、すべての関連情報を考慮し文書化するために、ソフトウェアの安全 ライフサイクルの適合可能な段階を定義しています。これらには、以下の内容が含 まれています。 • ソフトウェア安全要求の仕様:ハードウェア要求と同様に、仕様は、設計チー ムがそれに従ってアプリケーションソフトウェアを開発できるような明確に構 築する方法でソフトウェアの安全要求のすべてをリストして定義する必要があ ります。 • ソフトウェア安全妥当性確認の計画:これはSIS妥当性確認計画全体の一部と して実施する必要があります。 • 設計および開発:アプリケーションソフトウェアはシステム設計要求を満たす ように開発し、安全機能と安全度水準に関してソフトウェアSRSに記載する必 要があります。最適な言語、プログラミング、および検証、妥当性確認、評価、 および修正を支援するサポートツールを使用する必要があります。設計は、ト レースでき、安全に修正できる方法でモジュール式に構築する必要があります。 適切なソフトウェアモジュールのテストは、適切な機能を検証するために実施 する必要があります。ソフトウェアの安全ライフサイクルの各段階で検証を実 施する必要があることに注意してください。 • 統合:テストされ検証されると、ハードウェア上で実行しているときにSRSの 要求を満たしていることを実証するために、ソフトウェアはSISサブシステム と統合して、テストする必要があります。 • ソフトウェア安全妥当性確認:これはSIS妥当性確認全体の一部として実施す る必要があります(フェーズ5)。 • 修正:妥当性が確認されたソフトウェアの修正は、ソフトウェアの整合性が保 持されるような制御された方式で実施する必要があります。 130 PROCESS SAFEBOOK 1 SIF故障確率 14. SIF故障確率、IEC61511-1, 11.9 14.1. 規格への準拠 これまでの説明で、リスク全体が最大許容可能なリスクを確実に超えないようにす るために、ターゲットの信頼性の高い手段を確立する必要があることがわかりまし た。 また、ターゲットの信頼性の高い手段はSILで評価でき、規格を満たすために、安全 機能が定量化されたターゲットを満たしていることを実証するだけではなく、適切 な制御を適用する必要もあることを見てきました。 規格に適合するためには、ターゲットの信頼性の高い手段が適用され、SILを適切に 満たしていることが必要です。 14.2. SILターゲット信頼性の要求 SILごとのPFDは、需要モードの頻度に対応して、SISを使用することを意図した動 作モードによって異なります。これらはセクション[6.9]に定義されており、以下の いずれかにできます。 需要モードでは、指定された動作はプロセス状態または他の需要に対応して実施さ れます。SIFの危険な故障が起こると、BPCSのプロセスに故障が起こったときのみ 潜在的な危険が発生します。 連続モード、SIFの危険な故障が起こる場合に、それを防ぐための作業を実施するま で、さらなる故障なしで潜在的な危険が起こります。 これの基準に基づいて、表17に示す対応するターゲットを適用できます。 SILレベル 需要モード 作動要求当たりの危険側故障確率 連続モード 時間当たりの故障率 SIL 4 10-5 ~ 10-4 10-9 ~ 10-8 SIL 3 10-4 ~ 10-3 10-8 ~ 10-7 SIL 2 10-3 ~ 10-2 10-7 ~ 10-6 SIL 1 10-2 ~ 10-1 10-6 ~ 10-5 表17: SIL指定されたPFDおよび故障率 131 PROCESS SAFEBOOK 1 プロセス産業での機能安全 14.3. 需要モードの安全機能のためのPFDの計算 信頼性の計算を実施するときは、故障は一定のレートでランダムに起こり、故障が 起こったときは故障を検出し修理するまで故障した要素が使用できなくなると仮定 しています。 PFDの計算は、作動要求がそれを試みらるときにSISが使用できない可能性を本質的 に計算します。1oo2冗長システムで1つのチャネルが故障する場合のPFDとは、最初 のダウンタイム時に2番目のチャネルが続けて故障する可能性のことです。 以下の一般的な関係は、PFDの計算に使用できます。使用する式は、標準的な式に単 純化され、[19.6]で得られます。 検出故障の場合: PFD1oo1 = λDD.MDT PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC61508-6, B.3.2.2.1 Ref. IEC61508-6, B.3.2.2.2 非検出故障の場合: PFD1oo1 = λDU.TP / 2 PFD1oo2 = λDU2.Tp2 / 3 + β.λDU.TP / 2 Ref. IEC61508-6, B.3.2.2.1 Ref. IEC61508-6, B.3.2.2.2 この場合、λDDは危険な検出故障の故障率で、λDUは危険な非検出故障の故障率で、β は共通原因故障のセクション[12.17]からの寄与です。TPはプルーフテスト間隔で、 MDTは平均故障時間です。 連続モードと需要モードの両方のシステムのためのさまざまな構成のこれらの式の 一般的な形式は、[12.9]で評価されています。 14.4. 故障率 PFDとSFFの計算では、分析はIEC61508-6, 第B.3項の、コンポーネント故障率はシ ステムの寿命を通して一定であるという基本的な仮説を使用しています。 計算に使用される故障率はFMECAで取得でき、フィールドデータで定量化され、ま たは業界筋から発行されたデータを参照します。使用される故障率は、複雑さとテ クノロジが似たモジュールについて使用可能なデータを比較する必要があります。 このアプローチは、信頼性モデリングに関する慎重な取り組みを保証し、計算され た信頼性性能を確実に達成できるようにしています。 故障率とそれらのソースについては、14.8で説明します。 132 PROCESS SAFEBOOK 1 SIL故障確率 14.5. 信頼性モデリング [6.5]からのこの例では、プロセスとSIFに焦点を当てています(図54)。 安全計装機能 水圧 供給 水圧弁 ESD用 ロジック ソレノイド バルブ 圧力 伝送器 S PT プロセス& BPCS 圧力 制御器 PC ガスパイプ ライン入口 遮断弁 ガイスパイプ ライン出口 圧力制御弁 定格139bar 定格48bar 図54:需要モード安全計装機能 PFDの計算は、信頼性ブロックダイアグラム(RBD)テクニックを使用して実行するの が最も簡単です。RBDでは、図は信頼できるシステムのために必要なアイテムまた はコンポーネントを示すもので、必ずしも物理層または接続を示すわけではありま せん。RBDモデリングは、IEC61508-6, 第B, 4.2項に説明されています。 133 PROCESS SAFEBOOK 1 プロセス産業での機能安全 図55に説明されたSISのRBDを示します。 圧力 伝送器 ESD用 ロジック ソレノイド バルブ 遮断弁 λDD MTD 構成PFD 2.64E-07 48 1.27E-05 3.42E-06 48 1.64E-04 0.00E+00 48 0.00E+00 0.00E+00 48 0.00E+00 λDU プルーフテスト期間 構成PFD 4.00E-08 8760 1.75E-04 1.63E-07 8760 7.14E-04 6.00E-07 8760 2.63E-03 4.64E-06 8760 2.03E-02 PFD (明らか) PFD (明らかではない) PFD 許可されるSIL (PFD) 177E-04 2.38E-02 2.40E-02 SIL1 図55:需要モードの安全機能 RBDにPFDの計算を示します。各要素は、λDD危険な検出故障の故障率、λDU危険な 非検出故障の故障率、MDT平均故障時間、およびプルーフテスト間隔Tの値です。 14.6. 需要モードのプレポリマーループ修正の安全度水準の評価の例 以下に、PFDのSIL評価の例と、SIFのアーキテクチャによる性能を説明します。 範囲 ESD機能、S-005は39-R-050での暴走反応を防ぐことによって、オペレータが傷害 を負ったり環境破壊につながることもある、リアクタが封じ込めを失うことを保護 します。現在は、安全機能S-005はリアクタで高温または高圧力を検出すると起動さ れ、リリーフ弁ROV0503が圧力を緩和するために開きます。 ROV0503が解放ケースに十分な容量を提供できないという懸念があるため、S-005 のESD動作は追加のリリーフ弁ROV0501の作動を含むように修正されたことを理解 しました。 さらに、プログラムのアップグレード中に、2つのハンドスイッチ(許容HS0900とオ ーバライドHS2004)が保守のために含まれした。 134 PROCESS SAFEBOOK 1 SIL故障確率 目標 クライアントは、SISの一部として大量のセンサを保持しており、このオーバヘッド を最小にすることに注力しています。この分析の目標は以下のようになります。 1. どのアイテムを修正されたESD安全機能S-005の分析に含む必要があるかを決 定します。 2. PFDおよびS-005のアーキテクチャを決定するためにRBDを構築します。 3. センサテストの頻度を最低限に抑えながら、ターゲット(表18)を満たすような プルーフテスト哲学(センサ、ハンドスイッチ、ロジックおよびリリーフ弁の テスト間隔)を提案します。 注:クライアントは、アイテムのプルーフテスト間隔が36月を超えてはならないと 述べています。エンジニアリングの観点から、クライアントは長期間行使されてい ないSISの部分には満足していません。 許容およびオーバライド ESD S-005に関連する2つのハンドスイッチ(HS2004とHS0900)があります。 HS0900はリアクタへの触媒に直接使用されるため、スイッチが誤った位置にあるか、 または誤った状態にならないと、危険源にならないことを理解しました。HS2004は、 S-005でトリップオーバライドとして使用されます。HS2004が保守動作に続いて誤 ってオーバライド位置のままであるとき、またはオーバライド状態になることに失 敗すると、安全機能S-005が無効になります。 135 PROCESS SAFEBOOK 1 プロセス産業での機能安全 ハードウェア構成 ロジックソルバは、2 out of 3を選定する(2oo3)三重モジュール冗長(TMR)構成に基 づいています。図56にハードウェアの構成の概略図を示します。 ロジック(2oo3) AI AI AI DI (1oo2) (1oo2) (1oo2) DI DI CPU CPU CPU DO DO DO S-005 圧力伝送器 PT0500H ROV0501 ISバリア 温度伝送器 PT0500H ROV0503 ハンド スイッチ ハンド スイッチ 図56: ハードウェア概略図 分析された安全機能 表18に、確立されたSILとPFDターゲットを示します。 ループ 1 イニシエータ ESD作業 危険を緩和するた めに必要な連続 高圧力[PT0500H]または S-005が ROV0503および 高温[TT0504HH] アクティブ ROV0501開 PFD SIL ターゲット ターゲット 5.56E-03 SIL2 表18:分析のための安全機能 自己診断率 すべての非検出故障モードがプルーフテストによって、例えばSIS機能を完全に実行 することで明らかにされると仮定します。 平均故障時間 72時間のMDTは、この分析に使用されるはずです。 プルーフテスト間隔 プルーフテスト間隔は、センサテスト間隔を最大にしながらターゲットを達成する ために選択する必要があります。 136 PROCESS SAFEBOOK 1 SIL故障確率 共通原因故障を合計 CCFは、1つの原因によって起こる故障ですが、同時に複数のチャネルに影響を及ぼ します。例えば、両方の冗長チャネルでコンポーネントが故障することにつながる 設計仕様ミスまたは外部ストレスは、過剰な温度などの体系的なフォルトに起因す ることがあります。 並列の冗長パスでのCCFの寄与は、β 係数を含めることでモデルに構成する必要が あります。計算に含まれるCCF故障率は、1つの冗長パスでのβ x 合計の故障率に等 しくなります。分析に使用されるβ係数を、表19にまとめて示します。 冗長構成 β係数 正当化 3% センサは異なるプロセス変数を測定する異なるテクノロジであ るため、共通原因故障の可能性はプロセス自体、センサに取付 けられた機構と、センサ接続のルーティングと分離に制限され ています。そのため、3%の値は合理的に保守的であると判断さ れます。 PLC TMRロジック 5% 冗長TMR構成の共通故障原因は小さいが、5%の値は保守的なア プローチを保持するために使用されます。 センサPT0500, TT0504 表19: β係数 タイプAコンポーネント 以下のアイテムは、タイプAに見なされることがあります。 • • • • ISバリア(トランス電源アイソレータ、PB0500) 温度伝送器(TT0504) ハンドスイッチ(HS0900, HS2004) 重合済みのリリーフ弁 タイプBコンポーネント 以下のアイテムは、タイプBに見なされています。 • PLCロジックモジュール • 圧力伝送器(PT0500) コンポーネントの故障率 分析では、初期故障の影響が対応するプロセスによって除去されると予想されるため、 故障率は一定であると仮定しています。これらのプロセスには、承認されたソースか らの成熟製品の使用、出荷前と長期運用の社内テスト、および設置と立上の一部とし ての機能テストが含まれています。他の同様なプロジェクトでの現場から戻されたデ ータは、初期故障の返品が大量にならないため、採用された技術が十分であることが 判断できます。 137 PROCESS SAFEBOOK 1 プロセス産業での機能安全 また、コンポーネントは使用寿命を超えて動作しないため、メカニズムの摩耗によ る故障は起こらないものと仮定しています。表20に、PFDのλDDとλDUの計算でモデ ルに使用できる故障率(故障/時間で)をまとめて示します。故障率は、ソースの組み 合わせから取得されました。 アイテム参照/ タグ 説明 λ λD λDU λDD λS SFF 入力デバイス PT 0500 圧力伝送器(IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60 PT 0501 圧力伝送器(IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60 PB 0500 バリア - PTを超える(非IS) 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70 PB 0501 バリア - PTを超える(非IS) 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70 FT 0041 コリオリ流量計 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65 TT 0504 ヘッド取付け型トランス 付き3線式RTD 2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80 HS 2004 オーバライドスイッチ 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60 HS0900 許容スイッチ 2.00E-06 8.00E-07 8.00E-07 0.00E+00 1.20E-06 0.60 CPU 1.51E-06 5.16E-07 6.42E-09 5.09E-07 9.91E-07 1.00 ロジック装置 CPU 32点デジタル入 32点デジタル入力モジュ 力モジュール ール 2.19E-08 1.09E-08 9.91E-11 1.08E-08 1.09E-08 0.99 32点アナログ入 32点アナログ入力モジュ 力モジュール ール 1.40E-08 7.00E-09 9.86E-11 6.90E-09 7.00E-09 0.99 16点デジタル出 16点デジタル出力モジュ 力モジュール ール 2.95E-08 1.47E-08 9.93E-11 1.46E-08 1.47E-08 0.99 出力デバイス 39-PM-050 ROV 0501 コンタクタとリレーのNO 3.0E-07 2.0E-07 1.95E-07 0.00E+00 1.05E-07 0.35 接点からのポンプの稼働ス テータス SOVを含むAOV (FO)ダン 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734 プバルブ ROV 0503 SOVを含むAOV (FO)ダン 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734 プバルブ ROV 0404 SOVを含むAOV (FC) ROV 0405 SOVを含むAOV (FO)ダン 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734 プバルブ ROV 0406 SOVを含むAOV (FO)ダン 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734 プバルブ 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688 表20: 故障率(/HR)およびSFFの計算 138 PROCESS SAFEBOOK 1 SIL故障確率 1つの可能性のあるソリューション この分析の目的は、以下の通りです。 1. どのアイテムを修正されたESD安全機能S-005の分析に含める必要があるかを 決定します。 2. PFDおよびS-005のアーキテクチャを判断するためにRBDを構築します。 3. センサテスト頻度を最低限に抑えながら、ターゲット(表18)を満たすようなプ ルーフテスト哲学(センサ、ハンドスイッチ、ロジック、およびリリーフ弁の ためのテスト間隔)を提案します。 図57に示すRBDには、安全機能の一部として必要な要素を示します。その故障が安 全機能の動作を防止できないため、安全機能の評価にHS0900を含む必要はありませ ん。HS0900が故障するかまたは誤った位置のままにあるときは、危険は起こりませ ん。 以下の保守動作に続いて誤ってオーバライド位置のままであるとき、またはオーバ ライド状態になることに失敗するときは、安全機能S-005は無効になるため、 HS2004を含む必要があります。 PFDの計算には、プルーフテスト間隔の設定であるTpに関して適用されるいくつか の判断を必要とします。要求は、ターゲットのPFDを達成しながら、間隔を3年まで に最大化することでした。多くの可能なソリューションがあり、実際には、これは クライアントと議論されることになります。表21に、可能なプルーフテスト哲学を 示します。 プルーフテスト期間(センサ) 24 月 17520 時間 プルーフテスト期間(ハンドスイッチ) 6 月 4380 時間 プルーフテスト期間(ロジック) 36 月 26280 時間 プルーフテスト期間(バルブ) 3 月 2190 時間 表21: 可能なプルーフテスト間隔 これらのプルーフテスト間隔は、5.56E-03のターゲットに対する4.91E-03の計算さ れたPFDを提供し、PFDとアーキテクチャによる性能の両方がターゲットSIL2を満 たします。 139 図57: ソリューションRBD 140 6.00E-07 4.00E-07 3.58E-06 4.91E-03 4.92E-03 2 B 0.60 1 2 2 PFD (明らか) PFD (明らかではない) PFD 許可されるSIL (PFD) タイプ SFF 冗長性 アーキテクチャのSIL 許可されるSIL (Arch) 7.50E-07 1.00E-06 1 分岐B λDU [分岐A] λDU [分岐B] λDU (分岐用) プルーフテスト期間T 構成PFD λDD [分岐A] λDD [分岐B] λDD (分岐用) MDT 構成PFD CCF寄与 数量 構成 TT 0504 分岐A PT 0500 A 0.70 0 2 17520 2.71E-05 6.30E-08 0.00E+00 72 3.89E-09 0.00E+00 0.00E+00 1 1oo2 PB 0500 8.00E-07 4380 1.75E-03 A 0.60 0 2 8.00E-07 1.99E-08 17520 1.74E-04 0.00E+00 72 0.00E+00 2.25E-08 72 1.62E-06 1.99E-08 0.00E+00 1 HS 2004 2.25E-08 3% CCF 9.86E-11 6.90E-09 B >99 1 3 6.42E-09 5.09E-07 1 CPU 32点AI モジュール 1 CPU CPU 32点AI モジュール 32点AI モジュール B >99 1 3 9.91E-11 1.08E-08 1 32点DI モジュール 32点DI モジュール 32点DI モジュール B >99 1 3 6.72E-09 26280 3.11E-08 9.93E-11 5.42E-07 72 4.56E-09 1.46E-08 1 2oo3 6点DO モジュール 6点DO モジュール 16点DO モジュール 3.36E-10 26280 4.41E-06 3.36E-10 2.71E-08 72 1.95E-06 2.71E-08 5% 1 CCF PROCESS SAFEBOOK 1 プロセス産業での機能安全 PROCESS SAFEBOOK 1 SIL故障確率 14.7. 故障率のデータのトレーサビリティ(追跡可能性) PFD計算を実施する際には、すべての計算が目に見えて、使用されているすべての データのソースを追跡できることが重要です。Microsoft社のExcelは、これらの要求 の両方を埋めるのに便利なツールで、図57に示すように開発された信頼性モデルの グラフィカルな表現も可能になります。 スプレッドシートによって、収集された故障率データとデータソースすべてを提示 できる各データセルがデータテーブルを指し示すことができます。表22に、例のデ ータテーブルを示します。データソース参照を誰かが使用する値をチェックして確 認できるように十分詳しく説明することが重要です。 Excel形式を使用するときは、コンポーネントタイプをリストすることも簡単で、 MDTとTpが計算に使用されていると仮定されます。これによって、プルーフテスト 間隔を簡単に変更できるようになり、PFDの影響が自動的に計算されます。 アイテム/ パート番号 λ λD λDD λDU λS タイプ SFF MDT Tp データ ソース 1.35E-06 8.18E-07 7.50E-07 6.80E-08 5.27E-07 B 0.95 4380 4380 exida [14.8.2] SIL3ロジック 5.57E-06 2.23E-06 2.21E-06 2.20E-08 3.34E-06 B ソルバ 1.00 168 4380 Sintef [14.8.8] アナログ入力 1.07E-06 5.34E-07 5.08E-07 2.60E-08 5.34E-07 B モジュール 0.98 168 4380 Sintef [14.8.8] ディスクリー 5.26E-07 2.63E-07 2.50E-07 1.30E-08 2.63E-07 B ト出力モジュ ール 0.98 168 4380 Sintef [14.8.8] 12" HIPPS値 5.29E-06 2.12E-06 0.00E+00 2.12E-06 3.17E-06 A 0.60 730 4380 Oreda 2002 [14.8.6] PT0500 表22: 標準的なデータテーブル 141 PROCESS SAFEBOOK 1 プロセス産業での機能安全 14.8. 故障率データのソース 14.8.1. アプローチ 故障率データは該当するソースからのみ取得する必要があり、これはアプリケーシ ョンによって異なります。以下に、使用されプロセス分野に適用するデータソース をリストします。 14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 – Sensors, ISBN 978-0-9727234-3-5 / Volume 2 – Logic Solvers and Interface Modules, ISBN 978-0-9727234-4-2 / Volume 3 – Final Elements, ISBN 9780-9727234-5-9 14.8.3. Handbook of Reliability Data for Electronic Components used in Telecommunications Systems, HRD-5 14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992 14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical, Electronic, Sensing Component, and Mechanical Equipment Reliability Data 14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002 ISBN 8214-02705-5 14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy Institute ISBN 0 85293 404 1 14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook, SINTEF, ISBN 82-14-03898-7 14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9 142 PROCESS SAFEBOOK 1 設置、立上、および妥当性確認 15. 設置、立上、および妥当性確認、IEC61511-1, 14, 15 15.1. ライフサイクルのフェーズ 図58に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 SISへの安全要件仕様 4 SISの設計とエンジニアリング 5 設置、立上、および 妥当性確認 6 運輸および保守 7 修正 8 デコミッショニング 9 他の リスク低減手段 の設計および 開発 検証 11 安全ライフサイクルの構築および計画 安全機能の管理、安全機能の評価および監査 10 図58: ライフサイクルのフェーズ5 IEC61511-1, 14および15に定義されたフェーズの目的を以下に示します。 • 仕様および文書に従ってSISをインストール[15.2] • 最終的なシステムの妥当性確認のために準備できるようにSISを立上[15.3] • 設置され立上げられたSISがSRSに定義された要求を達成しているか妥当性を 確認[15.4] 15.2. SIF設置 設置の要求は、設置と立上計画で定義するか、またはプロジェクト計画全体に組込 む必要があります。設置手順は、実施される作業、使用される技術と手段、人物、 部門または組織の責任、および設置作業のタイミングを定義する必要があります。 143 PROCESS SAFEBOOK 1 プロセス産業での機能安全 15.3. SIFコミッショニング SIS (安全計装システム)は、計画と手順に従って依頼する必要があります。記録では、 設計段階で受入れ基準が定義されていて、それを満たしているかの開始テスト結果 を生成する必要があります。失敗を調査し、記録する必要があります。設計情報を 満たしていないのに実際の設置が行なわれた場合は、相違点を調査し、安全への影 響を確認する必要があります。 15.4. SIF妥当性確認 妥当性確認の手順にはプロセスとそれに関連する機器の動作モードをすべて含み、 さらに以下を含む必要があります。 • • • • • • スタートアップ、正常な稼働、シャットダウン 手動または自動動作 保守モード、制約のバイパス タイミング 役割と責任 キャリブレーション手順 さらに、アプリケーションソフトウェアの妥当性確認には、以下を含む必要があり ます。 • • • • 動作モードごとのソフトウェアの識別 使用する妥当性確認手順 使用するツールおよび機器 受入れ可能な基準 妥当性確認は、SIS (安全計装システム)がすべての動作モードで実施し、BPCSと他 の接続されたシステムの相互作用によって影響されないことを確認する必要があり ます。性能妥当性確認は、すべての冗長チャネルが動作し、機能をバイパスし、ス タートアップをオーバライドし、および手動シャットダウンシステムが動作するこ とを確認する必要があります。 エネルギー(例:電気または水力、または計器用空気)が失われると、定義されたかま たは安全な状態にならなければなりません。SRSで定義された診断アラーム機能が 動作し、誤ったプロセス変数(例:範囲外の入力)で指定されたように実行しなければ なりません。妥当性確認に続いて、適切な記録を生成して、テスト品目、テスト機 器、テスト資料、およびテスト結果(相違点と分析または変更要求、得られた結果を 含む)を識別する必要があります。 144 PROCESS SAFEBOOK 1 動作および保守 16. 動作および保守、IEC61511-1, 16 16.1. ライフサイクルのフェーズ 図59に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 他の リスク低減手段 の設計および 開発 SISの設計とエンジニアリング 4 9 SISへの安全要件仕様 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 検証 11 安全サイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図59: ライフサイクルのフェーズ6 IEC61511-1, 16.1に定義されたこのフェーズの目標は、以下を行なうことです。 • 運用と保守中に各SIFに求められるSILを確実に保持する[16.2]。 • 設計された機能安全が保持できるようにSISを運用して保持する[16.3]。 145 PROCESS SAFEBOOK 1 プロセス産業での機能安全 16.2. SIF動作および保守(O&M) O&Mの要求については、O&M計画で定義するか、またはプロジェクトの計画全体に 組込む必要があります。O&M手順は、SIS (安全計装システム)の機能安全を保持す るために実施する必要があるルーチン動作を定義する必要があります。これらの動 作には、以下のための要求を含む必要があります。 • プルーフテスト • テストまたは修理のためにSIFをバイパス • データのルーチン収集:例えばSISでの監査とテストの結果、SIF需要、故障と 修理およびプルーフテストのダウンタイムの記録 プルーフテスト手順は、診断で検出されないまま残る危険な故障を明らかにするた めに、すべてのSIFをテストするように開発する必要があります[16.4]。 保守手順は、修理作業に続いてフォルト診断、修理、システムの再妥当性確認のた め、予想作業と実際の作業、テスト機器と保守報告のキャリブレーションと保守が 一致しないときに続いてとるべき動作に必要とされます。 報告手順は、故障の報告、体系的な共通原因故障の分析、保守パフォーマンスの追 跡のために必要となります。 16.3. O&Mトレーニング O&Mスタッフのトレーニングは、SIS (安全計装システム)はSRSに従って運用およ び保守できるように適切な時期に計画および実施する必要があります。トレーニン グには以下のこと含む必要があります。 • 危険源(ハザード) • トリップポイント • 策定動作 • すべてのバイパスの動作と、その使用にか関する制約 • 手動操作(例: スタートアップ、シャットダウン、およびその使用に関する制約) • 使用可能なアラームと診断の操作 16.4. プルーフテスト プルーフテストの手順は、検知要素から最終的な作動装置までのSIFを完全にテスト する必要があります。プルーフテスト間隔は、PFDの定量化に使用されるものでな ければなりません[14]。 提供された異なる間隔で、SIFの異なる要素をテストすることができます。 • 計算されたPFDまだ受入れることができる。 • SIFにテストされていない部分が残らないようにするため、テストはいくつか重 複するようになっている。 146 PROCESS SAFEBOOK 1 修正およびデコミッショニング 17. 修正およびデコミッショニング、IEC61511-1, 17, 18 17.1. ライフサイクルのフェーズ 図60に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 SISへの安全要件仕様 4 SISの設計とエンジニアリング 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 9 他の リスク低減手段 の設計および 開発 検証 11 安全ライフサイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図60: ライフサイクルのフェーズ7 & 8 IEC61511-1, 17.1および18.1に定義されたこのフェーズの目的は、以下のことを確認 することです。 • SIFへの何らかの修正は、変更を実施する前に適切に計画、レビュー、および承 認されている[17.2]。 • 必要な安全度水準は、変更が行なわれても保持される[17.3]。 • デコミッショニングの前に、適切なレビューを実施して、デコミッショニング [17.4]中に確実に安全度水準が保持されているように承認を取得する。 147 PROCESS SAFEBOOK 1 プロセス産業での機能安全 17.2. SIF修正 何らかの修正を実施する前に、手順は変更を許可して制御するための場所でなけれ ばなりません。一般的に、これは通常はQMSの一部を形成するCRN (変更要求ノー ト)で処理されます。 変更要求では、要求された変更と要求のための理由を説明する必要があります。こ れは、運用または保守中の事故の結果としてO&Mスタッフによって提出されること があります。変更要求のための通常の承認審査方式は、設計上、インストールベー ス、および必要な実装での変更の影響を判断するために組織内の異なる部門を関わ らせる必要があります。 組織が機能安全に関与すると、さらに、変更が安全に影響するかどうかを判断する ために、変更要求はSA (Safety Authority:安全機関)などの有資格者によってレビュ ーする必要があり、その場合、適切な影響の分析が必要です。 17.3. 影響の分析 分析結果によっては、ライフサイクルの初期部分の再検討が必要になることがあり、 例えば、特定された危険源やリスクアセスメントをレビューする必要があるかもし れません。このプロセスが完了して、SAが変更を承認するまで、修正作業を開始で きません。 SIFを変更した場合の影響は、O&Mのスタッフに結果的に影響を及ぼすことがあり、 追加のトレーニングが必要になることがあります。 17.4. SIFデコミッショニング デコミッショニングは、ライフサイクルのフェーズ11の部分として計画された作業 でなければならず、プロジェクトの寿命の終わりに修正として扱われることがあり ます。 デコミッショニング段階を開始すると、機能安全でのデコミッショニングの影響を 判断するための影響分析が起動されます。分析には、デコミッショニング作業の結 果として起こる可能性がある危険の特定の考慮を持った危険源の特定とリスクアセ スメントのリビジョンがあるはずです。 148 PROCESS SAFEBOOK 1 機能安全の管理および機能安全の評価と監査 18. 機能安全の管理および機能安全の評価と監査 18.1. ライフサイクルのフェーズ 図61に、適用するライフサイクルのフェーズを示します。 1 ハザードおよび リスクアセスメント 2 保護レイヤへの安全機能の割当 3 SISへの安全要件仕様 4 SISの設計とエンジニアリング 5 設置、立上、および 妥当性確認 6 運用および保守 7 修正 8 デコミッショニング 9 他の リスク低減手段 の設計および 開発 検証 11 安全ライフサイクルの構築および計画 機能安全の管理、機能安全の評価および監査 10 図61: ライフサイクルのフェーズ10 & 11 IEC61511-1, 5に定義されたこのフェーズの目的は、適用可能なライフサイクルのフ ェーズを責任者が適切に対処できるようにする、必要な管理作業と文書を認識する ことです。 規格には、適用可能なライフサイクルのフェーズを責任者が適切に対処できるよう にする、管理と文書の一般要求がリストされています。 これは、プロジェクト文書には、効率的に完了するために、完了されたライフサイ クル全体の各フェーズのため、続くフェーズと検証作業のために十分な情報を含む 必要があることを意味します。 149 PROCESS SAFEBOOK 1 プロセス産業での機能安全 規格に適合するには、以下の仕様が必要です。 • 機能安全の管理での責任 • 責任者によって実施される作業 要求に対する適合は、範囲内の各要求に取り組む場所に手順を導入し、これらの手 順を実施し、および効率的に機能安全の管理できるように適切で使用可能な情報が あることを確認することで、対処できます。 18.2. 機能安全の管理 機能安全の管理のための要求は、表23にまとめて示します。 要求のほとんどは、組織のQMS (品質管理システム)によってすでにカバーされてい ることがあります。以下のセクションは、一般的に解決する必要があるいくつかの 領域について説明します。 機能安全要求の管理 説明 一般要求IEC61511-1, 5.2.1 ポリシーとストラテジは、組織内の通信 手段と共に指定する必要があります。 ポリシーおよび伝達 組織全体に伝達する必要のある場所には、適切な 機能安全のポリシーが必要です。 ポリシーの内容には、特定の機能安全の目標が達 成されているかどうかを評価する手段と、組織内 の伝達手段を含めることをお奨めします。 機能安全管理システムは、SIS (安全計装 システム)がプロセスを安全状態にして、 そのままの状態で保つことを保証する必 要があります。 高レベルの機能安全管理の資料は、範囲内のすべ てのライフサイクルのフェーズを特定して使用で きなければなりません。管理資料は、すべての安 全関連の活動のために必要な手順を参照する必要 があります。 手順では、プロジェクトで実施される管理および 技術的な活動をすべて適切に指定しなければなり ません。手順は、生成される文書を特定すつ必要 があります。 プロジェクトは、実施する作業と制御手段を指定 する品質および安全計画を使用して制御する必要 があり、その完了時にサインオフできます。 組織およびリソースIEC61511-1, 5.2.2 役割および責任 安全ライフサイクルの各フェーズを実施 安全関連の活動を実施してレビューする責任を負 してレビューするための責任を負う人物、 う人物、部門、および組織は、すべてその責任を 部門、および組織または他のユニットを 認識して明確にする必要があります。 指定して、彼ら 通常、組織内で、これは個人とその役割を指定す (関連部署、認証当局、または安全規制機 る公表された組織図で達成できました。その後、 関を含む)に割当られた責任について知っ 仕事の説明では役割ごとの責任を指定します。 ていなければなりません。 150 PROCESS SAFEBOOK 1 機能安全の管理および機能安全の評価と監査 機能安全要求の管理 説明 安全ライフサイクルの活動に関与する人 物、部門、または組織には、説明責任を 負っている活動を実施する資格がありま す。 能力 上記で定義されたすべての責任者の能力は、文書 化する必要があります。 手順は、責任者が割当られた活動を行なうために 適切な能力を持っていることを適切に保証しなけ ればなりません。手順には、能力と必要なトレー ニングのレビューと評価を含む必要があります。 能力の文書は、以下を考慮する必要があります。 a) 工学知識(プロセス、テクノロジ、およびアプリ ケーションの新規性と複雑さ、センサや最終的 な要素に適用) b) 安全ライフサイクルの役割に適した適切な管理 とリーダーシップスキル c) イベントの潜在的な影響、SIFの安全度水準、 安全エンジニアリングと法的および安全規制要 求を理解する。 リスク評価およびリスク管理 IEC61511-1, 5.2.3 危険源を特定し、リスクを評価し、およ び必要なリスク低減を決定する必要があ ります。 SIL決定 セクション[6]を参照してください。 計画IEC61511-1, 5.2.4 安全計画は、これらの活動を実施するこ とに責任を負う人物、部門、組織、また は他のユニットと共に実施する必要があ る活動を定義するために行なわれるもの とします。この計画は、安全ライフサイ クル全体を通じて必要とされるように更 新されます。 計画 計画では、FSの管理、検証およびFS評価の作業が 予定され、関連するライフサイクルのフェーズに 適用されていることを確認する必要があります。 計画はプロジェクト品質計画に含まれていてもよ く、すべての安全関連の活動、タイミング、およ び責任を負う個人または組織を指定する必要があ ります。 安全関連の各活動には、手順または作業活動、開 発または生産ツールへの参照も含むことができま す。 実装およびモニタIEC61511-1, 5.2.5 手順は、フォローアップを促し、以下か らもたらされる推奨事項について満足の いく解決を保証するために実施する必要 があります。 a) 危険源分析およびリスクアセスメント b) 評価および監査 c) 検証および妥当性確認 d) 事故後の作業 実装およびモニタ 手順では、分析とレビュー作業からもたらされた 推奨事項を掲げることができ、レビューの手段と 解決を追跡する推奨事項を実施する必要がありま す。 事故または危険源からもたらされた推奨事項が、 確実に機能できるような手順が必要です。 151 PROCESS SAFEBOOK 1 プロセス産業での機能安全 機能安全要求の管理 説明 手順は、以下を含む安全要求に対してSIS のパフォーマンスを評価するために実装 する必要があります。 a) 稼働中の現場の故障データの収集およ び分析 b) SIFでの作動要求を記録することで、 SIL決定の際に行なわれた仮定が有効 であることを保証する。 組織は運用と保守フェーズに関して責任を負い、 以下を含む運用と保守のパフォーマンスを認識す るために手順を適切に実施する必要があります。 • 体系的なフォルト • 再発性のフォルト • 設計またはFS評価時の仮定に従って、需要レー トと故障率を評価する。 FS監査の要求には、頻度、独立、必要な文書、お よびフォローアップを含む必要があります。 製品またはサービスを組織に提供するサ プライヤは、安全ライフサイクルの1つま たは複数のフェーズのための全体的な責 任を持ち、組織的に指定された通りに製 品またはサービスを配備し、適切な品質 管理システムを持ちます。 手順は、品質管理システムの妥当性を適 切に確立します。 サプライヤ管理 サプライヤは指定されたように製品を配備し、適 切なQMSを持っています。通常、調達は承認され たサプライヤリストからで、調達仕様によって制 御されます。 手順は、サプライヤの承認を適切に監査する必要 があります。 評価、監査、リビジョン IEC61511-1, 5.2.6 手順は機能安全評価のために定義され、 機能安全と安全度水準が安全計装システ ムに達成されているかを判定できるよう に実施されます。 手順では、評価チームに技術的、アプリ ケーション、および特定のアプリケーシ ョンに必要な運用の経験を持つ人物を任 命する必要があります。 評価チームのメンバーには、プロジェク トの設計チームに関与していない上級の 有資格者を少なくとも1人含む必要があり ます。 安全計画時に、機能安全評価の活動を実 施する安全ライフサイクルの段階を特定 する必要があります。 機能安全評価 FS評価作業:セクション[13]を参照してください。 FS評価を実施できるように、手順を実装する必要 があります。SIL決定[6]で確立されたSILおよび PFD (またはPFH)ターゲットのコンプライアンス を実証するための要求は、[11.1]に詳細に説明して います。 組織内のチームは、能力と独立性の要求を満たす 人物を任命します。外部組織を使用する場合、能 力のための要求は、サプライヤ管理手順の一部を 形成する必要があります。 MTRの要求は、範囲[8.6.6]に含む必要があります。 認識された危険源が存在する前に少なく FS評価は、適合するために計画に従う必要があり とも1つの機能安全評価を実施する必要が ます。プロジェクトのスケジュール、または安全 あり、以下を確認する必要があります。 ライフサイクルでのそれを実施すべきときは、プ • ハザードおよびリスクアセスメントが実 ロジェクトの品質および安全計画で指定する必要 があります。 施された。 • ハザードおよびリスクアセスメントから プラントまたはプロセスに認識された危険源が存 もたらされた推奨事項は、解決された。 在する前に、少なくとも1つのFS評価を実施する 必要があることが重要です。 • SISが、SRSに従って設計され、構築さ れ、および設置されている。 • 安全、運用と保守手順が行なわれました。 • 妥当性確認作業が完了した。 • O&Mトレーニングが完了し、SISに関す る適切な情報が提供されている。 • 追加の評価のストラテジが行なわれた。 152 PROCESS SAFEBOOK 1 機能安全の管理および機能安全の評価と監査 機能安全要求の管理 説明 手順が定義され、以下を含む要求の監査 適合のために実施されます。 a) 監査作業の頻度 b) 作業とその監査作業を実施する人物、 部門、組織、または他のユニットの間 での独立性の度合い。 c) 活動を記録してフォローアップする。 機能安全監査は、適切な手順がプロジェクトで行 なわれたかと導入されたかを検証するために実施 する必要があります。 一般的に、機能安全監査は、安全関連の活動のす べてをカバーするために行なう手順があることを 確認するために、プロジェクトのライフサイクル で非常に簡単に実施する必要があります。影響の 監査は、手順を行なって、その推奨事項またはフ ォローアップ作業が実施されているか確認するた めに、プロジェクト全体で定期的に実施する必要 があります。 SIS構成管理IEC61511-1, 5.2.7 ライフサイクル中、SISの構成管理のため の手順は使用できなければなりません。 以下を指定する必要があります。 a) 公式の構成制御を実装する段階 b) パスの特定の方法(ハードウェアとソフ トウェア) c) 許可されていない部分のサービスに入 ることを防ぐための手順 構成管理 構成管理、修正の開始、承認手順、および変更要 求のフォローアップの確認するための手順は、標 準的なQMSに元にすでに存在しています ただし、安全機能に対する変更を考慮する場合は、 安全のケースを譲歩できるか、再評価プロセスを 開始するために立ち戻れるライフサイクルのポイ ントがどこかを判断するために、影響分析の形式 がいくつか必要です。 影響分析を実施し、再評価の管理するための手順 が必要になることがあります。 表23: 機能安の管理のための要求 18.3. 一般要求 組織全体の機能安全と、そのためのこの組織全体に伝達するための手段を達成する ためにポリシーとストラテジがあり、それが認識されていることが必要です。 組織が独自の機能安全ポリシーを開発し、組織内の利害関係者が、機能安全が組織 にどのような意味を持っているか、組織全体に達する機能安全の文化を創造するた めにその活動すべてをどのように伝達できるかを慎重に検討することを求めること が重要です。 18.4. 組織およびリソース すべてのプロジェクト関係者はその能力に基づいて任命する必要があり、その責任 も定義する必要があります。スタッフの能力は能力登録に記録する必要があり、能 力をレビューし、定期的に得られた経験に基づいて登録を更新し、トレーニングの 必要性を検討するための手順が必要となります。能力要求は、各プロジェクトでの 役割を定義する必要があります。 153 PROCESS SAFEBOOK 1 プロセス産業での機能安全 機能安全にとって新しいほとんどの組織では、機能安全、会社の方針と伝達、ライ フサイクルのフェーズと活動の計画について責任を負うSA (Safety Authority:安全 機関)を任命することが有益です。SAは、プロジェクトとは独立しています。 恐らく、能力登録を確立して管理する、または既存のシステムに機能安全の活動と 責任を含むように開発する必要もあります。 18.5. プロジェクト実装およびモニタ 範囲に追加された新しい活動がいくつかあるときは、HAZOPを行なってから、 HAZOPを実施する手順を作成する必要があります。例えば、開発が安全関連アプリ ケーションソフトウェアを含むための場合は、ソフトウェアを確認するための手順 がライフサイクルのフェーズ4 [11]に従って適切に開発されていることが必要です。 18.6. 構成管理および修正 通常は、構成管理、修正の開始、承認手順、および変更要求のフォローアップの確 認するための手順は、標準的なQMSに元にすでに存在しています。 ただし、安全機能に対する変更を考慮する場合は、安全のケースを譲歩できるか、 再評価プロセスを開始するために立ち戻れるライフサイクルのポイントがどこかを 判断するために、影響分析の形式がいくつか必要です。影響分析を実施し、再評価 を管理するための手順が必要になることがあります。 18.7. O&Mパフォーマンス 範囲内のライフサイクルのフェーズに従って、対処する手順を実施し、危険、事故、 および修正からもたらされた情報を収集して保持する必要があります。手順は以下 も説明します。 • 危険な事故の処理 • 検出された危険の分析 • 検証作業 安全評価中に、安全機能は、例えば需要モードシステムであるか評価する必要があ るために、データを集めることと記録を保持することが必要な場合がありま。需要 レートのモニタは安全機能で行なわれるため、該当するターゲットと達成度の尺度 は設定され、有効なままであることを保証します。 154 PROCESS SAFEBOOK 1 参照 19. 参照 19.1. IEC 61508:2010, Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety Related Systems (電気/電子/プログラマブル電子安全関連システムの機能安全) 19.2. IEC615112004: Functional Safety: Safety Instrumented Systems for the Process Industry (機能安全:プロセス産業の安全計装システム) 19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0 19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA), 2001 19.5. IEC61784-3:2010 Industrial Communications Networks. Profiles Part-3: Functional safety Fieldbuses – General Rules and profile Definitions 19.6. Derivation of the Simplified PFDavg Equations, D Chauhan, Rockwell Automation (FSC) 19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy, Rockwell Automation (FSC) 19.8. Functional Safety: Safety Instrumented Systems for the Process Industry Sector (プロセス産業分野の機能安全:安全計装システム) ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod) 155 PROCESS SAFEBOOK 1 プロセス産業での機能安全 20. 定義 2oo3 3つの独立した入力のある、2 out of 3論理回路(2/3論理回路)論理回路。 論理回路の出力は、任意の2つの入力状態が一致するのと同じ状態です。 例えば、安全回路に3つのセンサが存在し、これらのセンサの任意の2つ からの信号がシャットダウンのために呼出すために必要です。この2oo3 システムは、センサの1つが危険な故障を起こしてもシステムは安全にシ ャットダウンできる、単一のフォルトトレランス(HFT = 1)であると言わ れています。他の選定システムには、1oo1, 1oo2, 2oo2, 1oo3および2oo4 があります。 IEC 61508 IEC規格は、電気/電子/プグラマブル電子安全関連システムの機能安全を カバーしています。IEC61508の主な目的は、全体のハードウェアとソフ トウェア安全ライフサイクルの手順を行ない、関連文書を保持することに よって、安全計装システムを使用して許容可能なレベルにまでリスクを低 減することです。1998年と2000年に発行され、それらの機器が安全度水 準に定格されたシステムでの使用に適していることを示すために、安全機 器のサプライヤによって主に使用されるようになってきています。 IEC 61511 プロセス産業で電気/電子/プログラマブル電子の安全関連システムを使用 するためのIEC規格。IEC 61508と同様に、プロセスリスクを管理するた めに安全ライフサイクルのプロセスのセットに焦点を当てています。これ は、もともと2003年にIECによって発行され、ISA 84.00.01- 2004として 2004年に米国で採用されました。IEC 61508とは異なり、この機能はプロ セス産業の安全計装システムのユーザを対象としています。 ALARP 合理的に実施可能な限り低くする(As low as reasonably practicable) これは、極端に上位にあるものと極端に下位にあるものの間に位置するリ スクについて考察する哲学です。極端に上位にあるものはリスクが非常に 大きいため完全に拒絶されるのに対して、極端に下位にあるものはリスク が小さいか、小さくされたために問題とされません。この哲学では、リス クを「合理的に実施可能な限り低くする」ためにリスク低減のコストと利 点の両方を考慮します。 BPCS 基本的なプロセス制御システムを参照してください。 D診断 (D Diagnostics) いくつかの安全定格ロジックソルバは、資本のD診断を持つものとして指 定されます。これらは、診断が故障を検出した後にユニットはそのアーキ テクチャを再構成できるという点で、定期診断とは異なります。最大の効 果は、安全側故障を検出時に1oo1動作に再構成できる1oo2Dシステムに あります。このため、そのようなシステムの疑似トリップレートが、劇的 に低減されます。 E/E/PE電気/電子/ 61508および61511を参照してください。 プログラマブル電 子 FMECA 故障モードと影響および致命度解析(Failure Modes Effects and Criticality Analysis):これはさまざまな故障モードの詳細な分析で、機器1つ1つの 致命度解析です。 HAZOP 危険源と操作性研究(Hazards and operability study) プロセス危険分析手順は、もともとICIによって1970年代に開発されまし た。この方法は高度に構造的で、プロセスを異なる操作性に基づいたノー ドに分けて、可能なずれの条件または指示用語の配列に基づいて各ノード の異なる部分の動作を調査します。 HFT ハードウェア・フォルト・トレランス(Hardware fault tolerance) (「フォルトトレランス」を参照) 156 PROCESS SAFEBOOK 1 定義 HSE (英国) 健康安全局(Health and Safety Executive) IEC 国際電気標準会議(International Electrotechnical Commission) 標準化のための世界的な組織。IECの目的は、電気および電子の技術分野 における標準化のすべての問題及び規格適合性評価のような関連事項に関 する国際協力を促進することです。この目的を達成するため、他の活動に 加えて、IECは国際規格を発行します。61508および61511を参照してく ださい。機能またはコンポーネントの変更の効果を測定する影響の分析作 業は、そのシステムだけではなく他のシステムの他の機能またはコンポー ネントになります。 IPL 個別保護レイヤ(Independent protection layer) これは、プロセスに可能なリスク低減のためのさまざまな手段を指します。 例としては、危害を及ぼす結果のある完全な事故に発展する危険源の可能 性を自主的に減らす破裂板と解放バルブのようなアイテムを含みます。効 力を得るために、各階層は問題になっている危険源が危害を引き起こすこ とを特別に防ぐ必要があり、他の階層と独立して動作し、作業の合理的な 確率があり、設備がそのオリジナルの予想性能に関連して運用されるとき に監査できなければなりません。 LOPA 階層防護解析(Layer of Protection Analysis):危害を及ぼす結果を防止でき る一連の保護の独立階層の起因事象の頻度と故障発生確率に基づいて、危 害を及ぼす結果の出来事の可能性(頻度)を分析するための方法 MTTR 平均修理期間(Mean Time to Repair):故障が発生してからその故障の修理 が完了するまでの平均時間。これには、故障を検出し、修理を開始し、修 理を完全に完了するまでに要する時間が含まれます。 P&ID 施設の配管計装図(Piping and instrumentation drawing) プロセスを制御するために使用されているプロセス機器と計装の相互接続 を示します。プロセス産業では、シンボルの標準セットはプロセスの図を 作成するために使用されています。これらの図に使用されている計器のシ ンボルは、一般的にInstrument Society of America (ISA:アメリカ計測学 会)規格S5に基づいています。1. 2. 主要な回路図は、プロセス制御の取付 けをレイアウトするために使用されます。 PFDavg 作動要求当たりの平均故障確率(Probability of Failure on Demand average):これはシステムが危険な状態に陥り、求めても安全機能を実行 できない可能性です。PFDは、単位時間当たりの平均確率または最大確率 として決定できます。IEC 61508/61511およびISA 84.01は、SILが定義さ れているときにシステムメトリックとしてPFDavgを使用します。 RRF リスク低減要因(Risk Reduction Factor):PFDavgの間隔 SFF 安全側故障割合(Safe Failure Fraction):安全フォルトまたは診断(検出)さ れた安全ではないフォルトのいずれかを起こすデバイスの総合的な故障率 のごく一部。安全側故障割合には、これらの故障が累積され、修理または シャットダウンの手順が行なわれるときに、検出可能な危険な故障が含ま れます。 SIF 安全計装機能(Safety Instrumented Function):特定の危険源によるリスク を低減することを意図した機器のセット(安全ループ)。その目的は、1. 指 定された条件に違反したときに、自動的に産業用プロセスを安全状態にす る。2. 指定された条件が可能な(許容機能)ときに、プロセスを安全な方式 で前方に動かすことができる。または3. 産業上の危険源の影響を緩和す る措置をとることです。これには、差し迫った事故を検出し、とるべき措 置を決定してから、プロセスを安全状態にするために必要な作業を実施す る要素が含まれています。検出、決定、および機能する能力は、機能の安 全度水準(SIL)によって指定されます。「SIL」を参照してください。 157 PROCESS SAFEBOOK 1 プロセス産業での機能安全 SIL 安全度水準(Safety Integrity Level):プロセスハザードのための許容可能な リスクを達成するために、安全機能に求められる性能レベルを測定するた めの定量的目標。プロセスのためのターゲットSILレベルを定義すること は、事故が起こる可能性と事故の影響の評価に基づいていることが必要で す。以下の表に、異なるモードで動作するSILを説明します。 SIL検証 (SIL verification) 作動要求当たりの平均故障確率(または単位時間当たりの故障確率)を計算 するプロセスと、必要なSILを満たしているか判断するための安全機能設 計のための構造上の制約 SIS 安全計装システム(Safety Instrumented System):1つまたは複数の安全計 装機能の実装。SISは、センサ、ロジックソルバ、および最終的な要素の 組合せから構成されています。通常、SISには異なる安全度水準(SIL)の多 くの安全機能があるため、1つのSILによって説明することは避けてくだ さい。「SIF」を参照してください。 λ(ラムダ) システムの故障率。「故障率」を参照してください。 アーキテクチャ (Architecture) 安全計装機能の異なる要素の選定構造。アーキテクチャによる制約、フォ ルトトレランス、および2oo3を参照してください。 アーキテクチャに よる制約 (Architectural constraints) サブシステムのために計算されたパフォーマンスに関係なく安全計装機能 を導入するために選択されたハードウェアに課される制限事項。アーキテ クチャによる制約は、サブシステムの必要とされるSIL、使用するコンポ ーネントのタイプ、およびサブシステムのコンポーネントのSFFに従って (IEC 61508-2-表2およびIEC 61511-表5に)指定されます。タイプAコンポ ーネントはマイクロプロセッサを搭載していない単純なデバイスで、タイ プBデバイスはマイクロプロセッサなどを搭載している複雑なデバイスで す。フォルトトレランスを参照してください。 安全側故障 (Safe failure) 安全計装システムが危険または機能失敗状態になる可能性がない故障。 安全関連システムまたはコンポーネントが、危険源が存在しないときはシ ャットダウンするかまたは安全計装機能を作動するようにシステムに呼出 された方法で、適切に実行することに失敗する状況 安全側故障割合 (Safe failure fraction) 「SFF」を参照してください。 安全状態(Safe state) あまり重大ではない危害が起こる危険源を取り除いた後のプロセスの状態 イベントツリー分 故障伝播モデリングの手法。分析は、起因事象からさまざまな潜在的な結 析(Event tree 果に至る、一連のイベントのツリー型の図を構築します。ツリーは、起因 analysis) 事象から中間の派生イベントに分岐して展開していきます。各分岐は、異 なる結果になる可能性がある状況を示します。対応する分岐のすべてを含 めると、イベントツリーは複数の可能な結果で終わることになります。 影響 (Consequence) 危害の度合い、または危害を及ぼす出来事の結果の影響の測定。 2つのコンポーネントの1つはリスクを定義するために使用されます。 可能性(Likelihood) 危害を及ぼす出来事の頻度は、しばしば年間のイベント数や100万時間当 たりのイベント数で表されます。2つのコンポーネントの1つは、リスク を定義するために使用されます。これは、Probability (確率)を意味する従 来の英語の定義とは異なることに注意してください。 158 PROCESS SAFEBOOK 1 定義 可用性(Availability) 指定された時間、デバイスが正常に動作している可能性。これは「稼働時 間」の単位(尺度)で、割合(%)の単位で定義されます。ほとんどのテスト および修理された安全システムコンポーネントでは、可用性はプルーフテ ストと修理サイクルによって管理された時間と共にのこぎりの歯のように 変化します。このため、統合された平均の可用性は、作動要求当たりの平 均故障確率を計算するために使用されます。 「PFDavg」を参照してください。 危険源、ハザード 危害の可能性 (Hazard) 危険な故障 要求されたときに機能が安全状態に達することが防止される、安全計装機 (Dangerous failure) 能でのコンポーネントの故障。故障モードを参照してください。 疑似トリップ (Spurious trip) 「安全側故障」を参照してください。 機能安全 安全ライフサイクルを通じて達成される受入れられないリスクからの解放。 (Functional safety) IEC 61508, IEC 65111, 全ライフサイクル、および許容可能なリスクを参 照してください。 基本的なプロセス 制御システム (Basic process control system) プロセス、関連装置、またはオペレータから入力信号に反応して、プロセ スとその関連する機器が求められた方法で動作するように出力信号を生成 するシステム。BPCSは、使用の要求で実証を満たさない限り、1または それ以上の安全度水準で定格された安全計装機能を実行できません。「使 用の実証」を参照してください。 原因と結果(因果) の図(Cause and effect diagram) 安全機能へのセンサ入力と必要な出力の間の関係を示すために頻繁に使用 される1つの方法。安全要求の仕様の一部としてよく使用されます。この 方法の長所は作業量が少ないことと明確に視覚的に表現できることで、弱 点は柔軟性に欠ける形式(いくつかの機能はC-E図で示すことができない) であることで、実際に機能を単純化しすぎています。 故障時開(Fail open) 作動用のエネルギー源が故障したときに、バルブ閉鎖コンポーネントが開 位置に移動する状態 故障時閉(Fail close) 作動用のエネルギー源が故障したときに、バルブ閉鎖コンポーネントが閉 位置に移動する状態 故障モード (Failure modes) デバイスに故障が発生する方法。通常、これらの方法は、ISA TR84.0.02 に従って4つの故障モードの1つ(Safe Detected (SD), Dangerous Detected (DD), Safe Undetected (SU), およびDangerous Undetected (DU))にグルー プ分けされます。 故障率(Failure rate) 機器1つ1つのための単位時間当たりの故障発生回数。通常は、定数値で あると想定されています。安全と危険、検出と検出されない、および独立 /通常と、共通原因などのいくつかのカテゴリに分けることができます。 一定の故障率の仮定が有効になるように、焼き切れたり摩耗を適切に対処 できることを保証することに注意を払う必要があります。 コモンモード故障 複数のコンポーネントが同じ理由で同時に故障する、ランダム応力。ラン (Common mode ダムな確率ではあるが、固定の予測可能な原因と結果の形で進行しないと failure) いう点で、体系的な故障とは異なります。「体系的な故障」を参照してく ださい。 事故(インシデント 伝播することを止めることができない起因事象の結果。事故は、起こって :Incident) ほしくない出来事の最も基本的な説明で、最低の情報を提供します。事故 という言葉は、たんにプロセスは化学物質の封じ込め、またはその他の潜 在的なエネルギー源が失われたという事実を伝えるために使用されます。 損傷を引き起こす可能性が出ますが、その危害を及ぼす結果は特定の形式 をとりません。 159 PROCESS SAFEBOOK 1 プロセス産業での機能安全 自己診断率(DC: Diagnostic coverage) 故障を検出するためのシステムの能力の測定。これは、検出故障の故障率 とシステム内のすべての故障の故障率の比率です。 冗長性 (Redundancy) 同じ機能を実行するために、複数の要素またはシステムを使用すること。 冗長性は、同一の要素(同一の冗長性)によって、またはさまざまな要素(さ まざまな冗長性)によって実装できます。冗長性は、信頼性または可用性 を向上するために主に使用されます。 使用の実証 (Proven in use) コンポーネントまたはシステムを安全度水準(SIL)定格の安全計装システ ム(SIS)の一部として使用するための基本で、IEC 61508に従って設計され ていません。製品内の体系的な設計フォルトの証拠があるかを判断するた めに、十分な製品の稼働時間、リビジョン履歴、フォルト報告システム、 および現場の故障データが必要です。IEC 61508は、SILごとに要求され る稼働履歴のレベルを提供します。 信頼性(Reliability) 1. デバイスがその目的を指定期間、指定された動作状態のもとで適切に 実施する可能性のこと。 2. コンポーネント、機器またはシステムがそれぞれその意図した機能を 指定期間実行する可能性のことで、通常は改良保全が必要ない動作時 間のことです。 信頼性のブロック 複雑な確率を計算するための、確率を組み合わせた方法。通常、これには ダイアグラム システムの「成功」が表示されるため、複数の故障モードのモデリングで (Reliability block 使用されるときには混乱しがちです。 diagram) 占有率 (Occupancy) 偶然の出来事の影響ゾーンに影響を受ける人間が一人または複数人いる確 率の単位(尺度)です。この確率は、設備独自のスタッフ配属の哲学と実践 を使用して決定する必要があります。 体系的な故障 特定の原因から決定的(非ランダム)な予測可能な方式で起こる故障であり、 (Systematic failure) 設計または製造工程、動作手順、文書化、または他の関連要因を修正する ことによってのみなくすことができます。これらは数学的に予測できない ため、その発生を防ぐために安全ライフサイクルには大量の手順が含まれ ます。手順は、より高い安全度水準システムとコンポーネントのためにさ らに厳密です。そのような故障は、単純な冗長性では防ぐことはできませ ん。 フェイルセーフ 電気や空気エネルギーが失われたときにデバイスが安全状態に移動させる (Fail safe) 特定のデバイスの特性 (またはできれば、 オフ時トリップ) フォルトツリー図 複雑な確率を見積もるための確率を組み合わせた方法。一般的に、システ (Fault tree ムの故障は表示する必要があるため、複数の故障モードのモデリングに有 diagram) 用です。統合した平均確率を計算するために使用するときは、注意を払う 必要があります。 フォルトトレラン ランダムなフォルトまたはエラーが存在するときに必要とされる機能を実 ス(Fault tolerance) 行し続けることができるようにする、機能ユニットの能力。例えば、 1oo2選定システムは1つのランダムなコンポーネント故障を許容でき、機 能を実行し続けます。フォルトトレランスは安全度水準(SIL)の特定の要 求の1つで、IEC 61508パート2の表2と3と、IEC 61511 (ISA 84.01 2004) の第11.4節により詳細に説明しています。 160 PROCESS SAFEBOOK 1 定義 プルーフテスト (Proof test) 自動のオンライン診断によって検出されない故障を検出するための安全シ ステムコンポーネントのテスト(例:危険な故障、診断故障、パラメトリ ック故障に続いて、それらの故障を修理して新しい状態と同等にする)。 プルーテストは安全ライフサイクルの重要な部分で、システムが安全ライ フサイクルを通じてその必要とされる安全度水準を確実に達成することが 重要です。 プルーフテスト間 機器を保守する間の期間 隔(Proof Test Interval) プルーフテストの 機器の保守中に検出された故障の割合(%)。一般的に、プルーフテストが カバー率(Proof 実施されたときに、システムで何らかのエラーが検出され解消されたと仮 test coverage) 定しています(100%プルーフテストのカバー率)。 保護レイヤ (Protection layer) 「IPL」を参照してください。 モード(連続: Continuous) 安全機能(SIF)をアクティブにする要求がSIFのテスト間隔に比べて頻繁で あるとき。他の分野は、診断が事故率を減らすことができるかに基づいて 個別の高需要モードを定義することに注意してください。いずれにせよ、 望まれない出来事の頻度が本質的に危険なSIF故障の頻度によって決まる 場合は連続モードです。SIFが故障すると、その活動の要求が機能テスト よりもかなり短い期間で起こるため、その故障頻度に関して言えば意味は ありません。基本的に、連続モードサービスでのSIFの危険なフォルトの すべては機能テストのかわりにプロセス需要によって明らかにされます。 「低需要モード」、「高需要モード」、および「SIL」を参照してくださ い。 モード(高需要: High Demand) (またはIEC 61511に従って連続モード)。連続モードと同様に、自動診断 には特定の信頼しかかけていません。高需要モードと連続モードの間の分 割は、自動診断を安全機能での需要レートよりも早く多くの回数実行する かです。診断がこれよりも遅いときは信頼できなくなり、連続モードが適 用されます。 モード(低需要: Low Demand) (またはIEC 61511に従って需要モード)。安全計装機能(SIF)をアクティブ にする要求がSIFのテスト間隔に比べて不定期のとき。プロセス産業は、 SIFをアクティブにする要求が2つのプルーフテスト間隔ごとに1回未満の ときにこのモードを定義します。低需要モード の動作は、プロセス産業 で最も一般的なモードです。低需要モードの安全度水準を定義するときは、 SIFの達成度は作動要求当たりの平均故障確率(PFDavg)を単位として測定 されます。この需要モードでは、起因事象の頻度はSIFの作動要求当たり の故障確率に需要レートを掛けた値で修正され、他の下流の保護階層によ って、望まれない出来事の頻度が決まります。 ランダム故障 (Random failure) 1つまたは複数の劣化メカニズムからもたらされるランダムに発生する故 障。ランダム故障は統計によって効率的に予測でき、安全度水準の計算要 求に基づいた作動要求当たりの故障発生確率のための基本です。「体系的 な故障」を参照してください。 161 PROCESS SAFEBOOK 1 プロセス産業での機能安全 21. 略語 λ 故障率、一定期間に発生した故障の総数の比率 λD 危険な故障の故障率 λDD 危険によって検出された危険な故障の故障率 λDU 危険によって検出されない危険な故障の故障率 λS 安全側故障の故障率 1oo1 1 out of 1の選定(一重) 1oo2 1 out of 2 AI Analog Input:アナログ入力 ANSI American National Standards Institute:米国規格協会 ALARP As Low As Reasonably Practicable:合理的に実施可能な限り低くする。 BMS Burner Management System:バーナ管理システム BPCS Basic Process Control System:基本プロセス制御システム C&E Cause and Effect:原因と結果(因果) CBA Cost Benefit Analysis:費用対効果分析 CCF Common Cause Failure:共通原因の故障 COMAH Control Of Major Accident Hazards:重大災害危険規制 Dangerous failure 危険な故障。これは、安全関連システムが危険または機能失敗状態になる 可能性のある故障モードです。 DCS Distributed Control System:分散制御システム DD Dangerous Detected:検出された危険 DI Digital Input:デジタル入力 DO Digital Output:デジタル出力 DU Dangerous Undetected:検出されない危険 E/E/PES Electrical / Electronic / Programmable Electronic System: 電気/電子/プログラマブル電子 ESD Emergency Shutdown:緊急停止、非常時シャットダウン ESDV Emergency Shutdown Valve:緊急遮断弁 F&G Fire and Gas:火気およびガス f/hr Failures per hour:時間当たりの故障 FC Fail Closed:故障時閉 162 PROCESS SAFEBOOK 1 略語 FDS Functional Design Specification:機能設計仕様 FMECA Failure Modes, Effects and Criticality Analysis: 故障モードと影響および致命度解析 FO Fail Open:故障時開 FPL Fixed Programmable Language:固定プログラム言語 FSC Functional Safety Capability:機能安全能力 FVL Full Variability Language:無制約可変言語 HAZAN Hazard Analysis:危険の分析 HASAW Health and Safety at Work Act:衛生安全法(HSW) HAZOP Hazard and Operability Study:危険と操作性の研究 HFT Hardware Fault Tolerance:ハードウェア・フォルト・トレランス HIPPS High Integrity Pressure Protection System:高度圧力保護システム HSE Health and Safety Executive:健康安全局 I/O Input/Output:入力/出力 IEC International Electrotechnical Commission:国際電気標準会議 IPL Independent Protection Layer:独立防護階層 ISA International Society of Automation:国際計測制御学会 LOPA Layer of Protection Analysis:階層防護解析 LVL Limited Variability Language:制約可変言語 MDT Mean Down Time:平均故障時間 MooN M out of N (一般的な場合) MTBF Mean Time Between Failures:平均故障時間(故障発生までの平均時間) MTR Maximum Tolerable Risk:許容可能な最大リスク MTTF Mean Time To Failure:平均故障時間(危険側故障発生までの平均時間) MTTR Mean Time To Repair:平均修理時間 Non-SR Non-Safety Related:非安全関連 O&M Operation and Maintenance:運用と保守 OPSI Office of Public Sector Information:公共セクター情報局 P&ID Piping and Instrumentation Diagram:配管計装図 PA Per Annum:毎年 PE Programmable Electronic:プログラマブル電子 163 PROCESS SAFEBOOK 1 プロセス産業での機能安全 PFD Probability of Failure on Demand:作動要求当たりの危険側故障確率 PFH Probability of Failure per Hour:単位時間当たりの危険側故障確率 PSD Process Shutdown:プロセスシャットダウン PT Pressure Transmitter:圧力伝送器 PTI Process Shutdown:プルーフテスト間隔 QMS Quality Management System:品質管理システム R2P2 Reducing Risk Protecting People:リスクの低減と人間の防護 RBD Reliability Block Diagram:信頼性ブロックダイアグラム RRF Risk Reduction Factor:リスク低減要因 S Safe:安全 SA Safety Authority:安全機関 Safe failure 安全側故障。これは、安全関連システムが危険または機能失敗状態になる可 能性がない故障モードです。 SFF Safe Failure Fraction:安全側故障割合 SIF Safety Instrumented Function:安全計装機能 SIL Safety Integrity Level:安全度水準 SIS Safety Instrumented System:安全計装システム SOV Solenoid Operated Valve:ソレノイド作動型バルブ SRS Safety Requirements Specification:安全要求の仕様 STR Spurious Trip Rate:疑似トリップレート TMR Triple Modular Redundant:三重化モジュール冗長 Tp Proof Test Interval:プルーフテスト間隔 164 PROCESS SAFEBOOK 1 以下の資料も使用できます。 Safebook 4 - 機械用の安全関連制御システム このハンディガイドブックには、機械安全の原理、 法律、セオリー、および実践が記載されています。 Publication Number: SAFEBK-RM002B このガイドを入手するには、当社または当社代理店 までお問い合わせいただくか、以下のWebサイトを ご覧ください:www.rockwellautomation.com Publication: SAFEBK-RM003A-JA-P — March 2013 © 2013 Rockwell Automation, Inc. All Rights Reserved.
© Copyright 2024 ExpyDoc