8-1 安全、機能安全およびSISの概要

1.安全とは

 SISの説明に入る前に、「安全」とは何か、考えてみたい。

 従来、我が国では、「安全とは事故がないこと」であるとの考え方が根強く、事故は人為的ミスや欠陥によって起こるとされてきた。いったん事故が発生すれば、原因追及よりもむしろ過失責任の追及に重点をおいた調査がされる傾向が強い。事故を起こさないためには、品質を含めた信頼性をひたすら高めることによって、異常事態が発生する可能性をゼロに近づけることが必要とされ、構成要素に故障やバグがあることは前提としていない。日本の企業はこれまで、この考え方によって実績を積み上げてきた。「日本製品は壊れにくい」という評価は、正にこの結果といえる。信頼性は定量的で純技術的な概念であり、技術者にとって扱いやすい指標だったこともこの傾向が強くなった要因といえる。

 しかし近年、国際的な市場競争の激化に伴い、生産設備は大型化かつ複雑化し、運転は効率化を求められるようになった。プラントの制御・安全機能には、プログラマブルロジックコントローラ(PLC:Programmable Logic Controller)等のマイクロプロセッサをベースとしたシステムを使用することも多くなった。従来のような個別機器の安全性や、法律に基づく安全基準を満足するだけでなく、ソフトウェアを包含した、システム全体で信頼性や安全性を評価することが必要になった。

 システムが複雑になるにつれて、個々のコンポーネントの故障に起因するシステム全体の故障(機能失敗)を正確に想定することは困難になる。そこであらかじめプラントの潜在危険及びリスク評価(H&RA:Hazard and Risk Assessment)を十分に実施し、必要に応じて他のシステムやオペレータなどによるリスク低減対策を設計しておく必要があり、さまざまな安全規格が制定されてきた。

 安全規格の最上位に位置するISO/IEC Guide 51(JIS Z 8051)では、安全は「許容不可能なリスクがないこと」と定義されている。欧米ではこのリスクを尺度とする安全性評価が既に普及しており、アジアの新興国においても科学的根拠に基づく客観性や透明性が支持され一般的な考え方となっている。従来の日本の企業が志向しがちなリスクゼロ(絶対安全)は明確に否定され、多少のリスクは常に残存すると考えなければならない。安全の確保に当たっては、多重防護策を講じることにより、残存リスクを許容可能なレベルまで低減させること(8-2-2を参照)を考える。

 プロセス産業分野においては、内容物の損失を招き、健康、安全、環境及びプラント資産に影響を与える潜在危険が数多く存在する。プロセス安全達成に向けて最初に検討すべきは、本質的に安全なプロセスを用いることである。しかしながら、プロセスはそれ自体が潜在危険を含むため、本質安全の追求は概して現実的ではなく不可能な場合も多い。ゆえに機能安全によるリスク低減が一般的である。

2.機能安全とは

 「IEC 61508 Functional safety of electrical/ electronic/ programmable electronic safety-related systems」の翻訳規格「JIS C 0508 電気・電子・プログラマブル電子安全関連系の機能安全」では、機能安全について、「被制御機器(EUC:Equipment Under Control)及びEUC制御系の全体に関する安全のうち、電気・電子・プログラマブル電子(E/E/PE:Electrical/ Electronic/ Programmable Electronic)安全関連系及び他リスク低減措置の正常な機能に依存する部分」と定義している。

 言い換えれば、機能安全とは、リレーやPLCなど各種安全関連のシステムを正しく機能させることにより、EUCやEUC制御系の潜在危険により危害をもたらすリスクを許容可能なレベルにまで低減することによって安全を維持することである。身近な例を図8-1-2-1に示す。立体交差化により踏切という潜在危険そのものをなくす本質安全に対し、警報器や遮断機の設置により踏切事故発生の可能性(リスク)を低減させる手段はまさに機能安全である。しかしながら、警報器や遮断機に使用されているシステム、機器、ネットワーク等に不具合が発生すれば被害が発生するリスクはとても高くなる。可能な限りそうさせない、そうならない設計を行うために考えられたのが、機能安全規格JIS C 0508(IEC 61508)である。

機能安全と本質安全を示す図例
図8-1-2-1 機能安全(踏切+警報器、遮断機)と本質安全(立体交差)の例

3.プロセス産業分野のSISとは

 プロセス産業分野の事業者やユーザにとっては、IEC 61511の用語の方がわかりやすい。「IEC 61511 Functional safety-Safety instrumented systems for the process industry sector-」の翻訳規格「JIS C 0511 機能安全-プロセス産業分野の安全計装システム-」では、機能安全について、「SIS及びその他の防護層との機能の正しい遂行によるプロセス及び基本プロセス制御システム(BPCS:Basic Process Control System)に関連する全体の安全の一部」と定義している。

 プロセス産業分野においては、プラントやシステムのリスクを下げ、機能安全を実現するシステムとしてSISが生まれた。JIS C 0511-1においてSISは、「一つ以上の安全計装機能(SIF:Safety Instrumented Function)を実行するために使用する計装システム」と定義されている。すなわち複数のSIFを実現するためのシステムがSISと考えてよいであろう。SIFとはSILが割り当てられた保護機能であり、またSILとは最高水準のSIL 4から最低水準のSIL 1までの安全度を規定する離散的な水準であり、それぞれに達成しなければならないリスク低減が規定されている。SIFは通常、センサ、ロジックソルバ、操作端(Final Element)を組み合わせて構成される。言い換えれば、プロセス産業分野における機能安全とは、SISや他の防護層を正しく機能させることにより、プロセスやBPCS(我が国では一般的にDCSと呼ばれる)の潜在危険により危害をもたらすリスクを許容可能なレベルにまで低減することによって安全を維持することである。JIS C 0511では、このSISにE/E/PE技術を利用するための性能規定を取り扱う。

 JIS C 0511(IEC 61511)は、多くの国がベストプラクティスとして認めていることに加え、法令上の要求事項であるとする国も増えてきている。国際標準と言えるSISであるが、これは単に機能安全PLCを導入すれば良いということではない。

 JIS C 0511もJIS C 0508と同様、仕組みの規定であり、その対象はSISの設計者、インテグレータからSISを利用するエンドユーザまで及ぶ。プラントの事業者は関連法令や規格に基づいてリスクアセスメントを行い、SISを導入するリスク低減が必要な部分を特定する。SIFごとに決定したリスク低減を達成するため、SIFを構成する機器の選択、設計、アプリケーションプログラミング、設置、検証、運用、保全およびテストと、安全ライフサイクル(8-2を参照)にわたる管理体系の構築が求められている。

4.独立防護層

 プラントのリスクを低減し安全性を確保するための手段として、多重防護の考え方がある。AIChE(米国化学工学会)のCCPS(化学プロセス安全センター)により、独立防護層(IPL:Independent Protection Layer)の概念が提唱されたのをきっかけとして、システマティックな安全設計に関する議論が行われている。

 IPLの概念を図8-1-4-1に示す。BPCSが制御するプロセス変数(例:圧力、温度、流量、液位)が正常範囲から逸脱した場合、リスクマネジメントとして、オペレータの介入やSISによる専用のシャットダウンシステムの作動により、事故の発生を回避する。さらに事故の発生を回避できない場合、クライシスマネジメントとして、安全弁の設置、堤防の設置、住民への退避警報などの対策により、事故の被害を抑える。これら階層的な防護層の設置により、リスクを許容範囲内まで低減させる。

 なおIPLは文字通り相互に依存しない独立性が求められる。たとえばBPCSの故障がSISの動作を妨げることがあってはならず、機能を区分し、独立させる必要がある。センサ、ロジックソルバ、操作端の各機器は、BPCSとSISで個別に設置する必要がある。

独立防護層の概念図
図8-1-4-1 独立防護層(IPL)の概念

目次へ
ページトップへ