機能安全(SIL/PL)|SIL/PLで機械のリスク低減

機能安全(SIL/PL)

機能安全(SIL/PL)は、制御系や保護系が故障しても人・設備・環境のリスクを許容水準まで低減することを目的とする工学的枠組みである。過失や系統誤りに起因する系統的不具合と、部品の寿命・偶発故障によるランダム不具合を区別し、設計・検証・運用・保全のライフサイクル全体で安全性を数値で管理する点が特徴である。プロセス分野ではIEC 61508/IEC 61511に基づくSIS/SIFとSILを用い、機械分野ではISO 13849-1/IEC 62061に基づくSRP/CSとPL(またはSIL)を用いる。いずれもアーキテクチャ(冗長化)、診断(DC)、部品信頼性(MTTFd)、共通原因故障対策(CCF)などを組み合わせ、定量指標(PFDavg・PFH・PFHd)で達成度を示す。

Table Of Contents

基本概念と目的

機能安全の本質は「合理的に達成可能な限りリスクを低減(ALARP)」することである。危険源の特定、危害の重篤度、暴露頻度、回避可能性を評価し、必要なリスク低減量を安全関連機能(SIFやSRP/CS)に割り当てる。安全は単一対策でなく、設計の本質安全化・保護装置・情報提供の多層防御で達成し、残留リスクを文書化して合意する。ライフサイクルでは要求仕様(SRS)の明確化、ハード/ソフト設計、検証・妥当性確認、引渡し後の変更管理・証拠保全まで一貫して管理する。

適用規格と対象範囲

IEC 61508は横断規格で、電気/電子/プログラマブル電子(E/E/PE)安全関連系の原則を示す。機械の固定ガードや非常停止などはISO 13849-1(PL)で、複雑な制御系はIEC 62061(SIL)で扱う。自動車はISO 26262、プロセスはIEC 61511を参照する。医療機器はISO 14971によるリスクマネジメントを核にIEC 60601-1等が整合する。対象の産業・危険源・需要形態(低需要/高需要/連続)により、どの規格・指標を採用するかを選定する。

リスク評価と要求水準の決定

SILは低需要系でPFDavg、高需要/連続ではPFHで表す。目安としてSIL1はPFDavgが1e-2〜1e-1、SIL2は1e-3〜1e-2、SIL3は1e-4〜1e-3(PFHではSIL1が1e-6〜1e-5 1/h、SIL2が1e-7〜1e-6、SIL3が1e-8〜1e-7)である。PLはPFHd(危険故障/時)で定義され、PL a:1e-5〜1e-4、b:1e-6〜1e-5、c:1e-7〜1e-6、d:1e-8〜1e-7、e:1e-9〜1e-8が一般的な範囲である。機械分野ではリスクグラフ等でPLr(要求PL)を決め、プロセス分野ではリスクマトリクスやLOPA等でSILを割当てる。

SIL(IEC 61508/62061)の設計ポイント

SIL設計では、①アーキテクチャ(HFT≥0/1の冗長構成、独立性の確保)、②診断と証明試験(DC、プルーフテスト間隔TI、試験カバレッジ)、③部品信頼性(故障率λ、データソースとFMEDA整合)、④共通原因故障(βファクタ低減、環境・設置の分離)、⑤体系的能力(開発プロセス・ソフト安全ライフサイクル)の5点を定量的に整える。PFDavg/PFHは構成要素の危険故障確率と診断・試験で低減される分を合算し、要求SIL達成と整合することを示す。

PL(ISO 13849-1)の設計ポイント

PLはSRP/CSをカテゴリB/1/2/3/4の構造規定とDCavg(低/中/高)、MTTFd(低/中/高)で評価し、PFHdを導出する。カテゴリ2は定期試験、3/4は冗長化とフォールトトレランスを前提とする。CCFはチェックリストで65点以上を確保し、設計・配線・環境の多様化で共通原因故障を抑制する。安全ソフト(SRASW)は誤り制御・コーディング規約・検証で体系的能力を担保し、ISO 13849-2で妥当性確認を行う。

共通のアーキテクチャ指針

  • 安全状態の明確化(停止・限定速度・安全トルクオフ等)とフェールセーフ設計
  • 冗長化・多様化・監視(自己診断、クロスモニタ、ハートビート)
  • 分離・絶縁・配線の物理的独立性、電源系の選別
  • 証跡とトレーサビリティ(要件→設計→検証の一貫性)、変更管理
  • 現場保全を想定したプルーフテスト容易化、診断情報の可観測性

SILとPLの対応の考え方

SILとPLは起源・評価軸が異なるため単純変換はできない。実務ではPFH(d)の確率的同等性、アーキテクチャの強度、診断カバレッジ、CCF対策を総合して妥当性を判断する。IEC 62061はISO 13849-1との整合参照を持ち、PFHdベースでの比較が可能であるが、適用規格の要求(検証・文書化・ライフサイクル)まで満たすことが前提である。

参考:対応関係の目安

  • SIL1 ≒ PL b〜c(需要・構成に依存)
  • SIL2 ≒ PL d(十分な診断と冗長化が前提)
  • SIL3 ≒ PL e(高診断・高耐故障構成が前提)

用語の整理

  • SIS/SIF:安全計装系/安全計装機能。要求SILに応じたリスク低減を担う。
  • SRP/CS:安全関連部(制御系)。カテゴリ/MTTFd/DCでPLを決める。
  • PFDavg・PFH・PFHd:危険故障の確率指標(平均需要時・毎時)。
  • MTTFd:危険側平均故障時間。部品信頼性を表す。
  • DC(DCavg):診断カバレッジ。検出できる危険故障の割合。
  • HFT:ハードウェア耐故障度。故障時も機能を維持する冗長度。
  • SFF:安全故障比。安全/検出可能故障の比率。
  • CCF:共通原因故障。多様化・分離・設計配慮で低減。
  • SRS:安全要求仕様。要求・仮定・制約・検証手段を網羅。

実務での進め方

  1. 危険源分析とリスク評価を実施し、要求SILまたはPLrを決定する。
  2. 安全要求仕様(SRS)を作成し、機能・安全状態・診断・試験を定義する。
  3. アーキテクチャ(カテゴリ/HFT/分離)と部品選定(MTTFd/データソース)を決める。
  4. PFDavg/PFHまたはPFHdを計算(FMEDA、証明試験間隔TI、DC/CCF反映)する。
  5. 検証(解析・テスト)と妥当性確認を実施し、要求達成を証拠化する。
  6. 据付・引渡し時に試験手順と保全計画を整備し、変更管理を運用する。