SIL(Safety Integrity Level)
SIL(Safety Integrity Level)は、機能安全における安全関連系のリスク低減性能を段階的に示す指標である。国際規格のIEC 61508を中心に整備され、プロセス産業向けのIEC 61511、機械安全のIEC 62061やISO 13849との相互参照で実務に適用される。SILは達成すべき定量的な危険側故障確率(低頻度要求ではPFDavg、高頻度要求ではPFH)を満たすことにより示され、SIL1からSIL4へ向かうほど要求は厳格となる。機能安全は単なる装置の堅牢性ではなく、リスク評価、設計、検証、保全までを含むライフサイクルで担保される概念である。
定義と位置づけ
SILは安全計装系(SIS)や安全関連制御系(SRP/CS)が、想定した危険事象に対してどの程度リスクを低減できるかを定義する。数値目標として、低頻度要求モードでは平均危険側故障確率PFDavg、高頻度要求モードでは単位時間当たり危険側故障確率PFHを用いる。いずれもハードウェアの故障率、診断率、試験間隔などに依存し、組合せで達成度が決まる。
ISO26262ではASIL(Automotive Safety Integrity Level)という指標で製品の安全性レベルを定義する。
A,B,C,D及びQMの5段階のレベルがある。QMは通常の開発プロセスでよいという意味で、他はAからDの順番で安全性レベルが高くなる。
よく言われる例が、ASIL Dでは10fitの故障率しか認められない。— しげき (@shi78ge) July 5, 2020
関連規格と用語
- IEC 61508:機能安全の基本規格。ハードウェア故障許容(HFT)、安全故障比(SFF)、診断カバレッジ(DC)など設計指標を定義する。
- IEC 61511:プロセス産業向けに実務化。SISの運用・保全・プルーフテスト管理を具体化する。
- IEC 62061 / ISO 13849:機械安全領域。ISO 13849のPL(Performance Level)とSILの整合を扱う。
リスク評価と要求水準の決定
要求SILは、初期リスク(発生頻度×影響度)と許容リスクの差から必要リスク低減量を導き、レイヤードプロテクション分析(LOPA)やリスクグラフで決定する。基本的保護層(BPCS、機械的保護、物理隔離等)で低減しきれない残余リスクをSIS/機械安全制御でさらに下げる。過度な指定はコスト・複雑性を高め、逆に過小指定は安全不足となるため、妥当性の根拠を文書化することが要点である。
ATP機能自体は、SIL4という最も安全性を求められるレベルでの安全性を担保しています(間違いなく)、但し、ATPを切ると安全は運転手が担保するのが当たり前であり、また、それを指令に伝える機能自体はあってもSIL0が許容されます。つまり、朝日がどう書こうとこの仕様の読み違いは事故に寄与しない。
— かとーさん(札ナホ→水カツ) (@s_k) November 3, 2018
低頻度/高頻度要求とPFD・PFH
低頻度要求では、機能要求が希少で、動作しないときに危険となるためPFDavgを用いる。例えば緊急遮断弁の作動失敗は危険側であり、プルーフテスト間隔と自己診断がPFDavgを左右する。高頻度要求では、連続運転中の危険側故障率PFHを指標とし、連続監視・診断アーキテクチャの設計が重要となる。両者で目標レンジが異なる点を理解しておく。
アーキテクチャ設計と診断
- 冗長化:1oo2、2oo3などの投票論理で可用性と安全性を両立する。TMRは代表的である。
- 自己診断:ループバック、クロスチェック、ウォッチドッグでDCを高める。
- 共通原因故障対策:多様化(異種センサ/ロジック)、物理分離、環境差別化でCCFを低減する。
- プルーフテスト:定期試験で潜在故障を顕在化し、PFDavgを管理する。試験間隔の最適化が実務の肝である。
機能安全対応AMR。コントローラの営業の人は、Functional Safety (SIL 2) だからCEマークを強調していると言ってたけど、それは置いておいて、その後に来た技術の人は機能安全に詳しそうでした。大学発のスタートアップらしい。
2023/4/17-21@HannoverMesse pic.twitter.com/yrEhdFAJQg— ChaAndShiro2.0 (@ChaAndShiro) May 17, 2023
定量評価の考え方
定量計算では、危険側故障率λ、診断カバレッジDC、試験間隔T1、修復時間MTTRなどからPFDavgやPFHを評価する。実務では部品信頼性データ(例:FMEDA結果や部品カタログ故障率)を用い、ミッション時間や環境係数を反映する。過度に理想化したパラメータは不適切で、実際の温度条件、負荷、汚染度、電磁環境といったストレスを反映すべきである。
PLとの対応(ISO 13849)
機械安全ではPL(a〜e)を用いるが、IEC 62061のSILとの概念整合が求められる。一般にPLd〜PLeはSIL2相当のリスク低減を目標とする場面が多いが、完全な一対一対応ではない。カテゴリー(Cat.1〜4)、MTTFd、DCavg、CCF評価を合わせてシステムの整合性を検証し、必要に応じてSIL評価とクロスチェックする。
ASIL(Automotive Safety Integrity Level:自動車安全水準)を勉強していくと、下手に車両の制御系に手を入れたくなくなる。制御系に不満があるのなら、もうその車両は選択肢から外して旧来のテクノロジーで安全が担保された車両を購入するになってしまう。
安全性:ローテク>手を入れたハイテク
— 爆裂海鼠博士 (@bakuretu_namako) October 20, 2020
現場機器との関係
危険源検出や停止指令に関わる要素はSIL達成に直結する。例えば、セーフティリレーは強制開離接点で安全停止を担い、安全PLCは二重化CPUや自己診断で安全ロジックを実装する。危険領域の侵入検出にはライトカーテン、遮断系には非常停止装置が使われる。位置検出ではインクリメンタルエンコーダやアブソリュートエンコーダ、リミット検出にはリミットスイッチ、プロセス監視には水位センサなどがある。機器単体の認証(例:SIL適合/PL適合)は有益だが、システム統合後の達成度が最終判断である。
誤解と実務上の注意
- 「認証部品=システムも同じSIL」ではない:統合時のCCF、診断間隔、試験方法で達成度は変化する。
- 保全の一貫性:変更管理(MOC)や試験記録が欠落するとPFDavgの仮定が崩れ、適合性を失う。
- EMC・環境ストレス:ノイズ、温湿度、振動は故障率を押し上げるため、設計段階で余裕度を持たせる。
- 人間工学:誤操作・バイパスの余地を減らすUI/インタロックはリスク低減に直結する。
導入プロセスの要点
- 危険源特定とリスク評価を実施し、要求SILを決定する。
- アーキテクチャ選定(冗長、診断、投票)と部品選定を行う。
- 定量評価(PFDavg/PFH)と検証計画(プルーフテスト)を確立する。
- 据付・コミッショニングで機能検証し、運用・変更管理・故障解析を継続する。
コメント(β版)