RAMS[15] Hardware Safety Integrity (IEC61508 P2 7.4.4)

この章は正確には、「Hardware Safety integrity architectural constraints (アーキテクチャー上のハードウエアインテグリティーの制約)」です。これは、は安全機能の限界を決めるものであり、下記の二つの方法のどちらかによって決まるアーキテクチャー上のハードウエアインテグリティーの制約です。安全性能の限界を決めるとは、安全機能のレベルによって使用できるアーキテクチャーに制約があるということで。これを満足しなければ、どんなに頑張ってもその安全機能に使ってはいけないということです。結構踏み込んだ内容ですよね。その二つとは、

ルート1H:Hardware fault tolerance と failure fraction concepts
ルート2H:ユーザーからの信頼性データ、増加信頼水準(confidence level)とSILによるhardware tolerance.

規格に書かれているHはhardware safety integrity、Sはsystematic safety integrityを示しています。つまり、ルート1Hもルート2Hもどちらもハードウエアのことを言っているということになります。ルート2Hの言っていることは、過去の信頼性データと増加信頼水準(confidence level)とSILによって決まるということです。最初にRAMSを行おうとするときは、日本で実績があるのだからその実績を使用してSIL4を取ってしまえばよいではないかということをよく考えがちです、が、お勧めしません。なぜなら、規格で要求するだけのユーザーデータを集めるのは後からでは不可能だからです。結局行き詰って、ルート1Hに戻ってきます。

Hardware Fault Torrance (HFT)

HFTが1というのは故障が2個起きた時に安全機能を失うということを意味します。よく故障を検知して安全側に推移したことをもって安全機能が残っていると勘違いする人がいますが、故障を検知し、安全側に推移したことは安全機能を失ったとします。つまり、1oo1、2oo2はHFTが0、2oo3はHFTは1となります。ただし、2oo2の二重系はHFTは1になるはずです。これは規格の中では言及されてはいませんが、HFTの本質から言えばそうなるはずです(あくまでも私見)。

HFTを決めるのに、故障診断機能は考慮しません。診断機能はHFTには影響しません。というか次元が違う話です。また、一つの故障が一つ以上の故障を誘発する時は1つの故障と見なします。あまり関係ないかもしれませんが、機械構造など故障率が非常に低い場合は故障から除くこともあります。

安全側故障割合(SFF:Safe Failure Fraction)

故障を分類すると、安全側の故障と危険側の故障があります。安全装置はその危険側の故障を検知して対策をする装置です。そのため、安全装置に課せられる機能で重要なのは如何に危険側故障を検知するかになります。これが先ほど出てきた故障検知機能になります。この時、危険側故障がすべて検知できたとすると、SFFは100%になります。これを式で表すと以下になります。

SFF = (安全側故障+検知可能危険側故障)÷(安全側故障+検知可能危険側故障+検知不可能危険側故障)x100

ようは如何に検知不可能な危険側故障を見つけるかの指標で、検知できない危険側故障が多いと重要な安全装置には適用できないということになります。HFTとSFFでその安全装置で使用できる最大SILが決まります。

これも二種類があり、連続で稼働するものと、ある時だけ稼働するものとに分けられています。通常、鉄道信号は連続稼働なので連続稼働の表だけを記載しておきます。

HFTHFTHFT
0 1 2
SFF<60% -SIL1SIL2
60%=<SFF<90%SIL1SIL2SIL3
90%<SFF<=99%SIL2SIL3SIL4
99%=<SFFSIL3SIL4SIL4
最大使用できるSIL (連続稼働の場合)

これを見るとSIL4を達成しようと思うと、HFTは最低でも1が必要になり、その時のSFFは99%を達成しなければなりません。HFTが1というのは、2oo3 の一重系か 2oo2の二重系が必要となります。SFFの99%が対応できないのなら、アーキテクチャーを変えて、HFTを2にする必要があります。
これを現実的に適用すると、TFTが2で90%以上のSFF、アーキテクチャー的には、2oo3 の二重系ということになります。

過去の経験から、認証段階においてアーキテクチャーを評価するアセッサーにIEC61508のアセッサーが出てきました。この時点で安全関連機器はIEC 61508を満足しなければならなくなります。ここは相当もめるのでISAとの契約の前にはっきりさせておきましょう。ちなみに、顧客の要求規格にはIEC61508が記載されていることが多いです。規格のいい加減なところですが、IEC61508の冒頭に、IEC61508 provides general requirements for E/E/PE safety-related systems where no product or application sector international standards exist; と書いてあるので、IEC62425がある場合にIEC61508は適用されませんが、IEC62425に書かれていないところはIEC61508に満足しておかなければなりません。
整理すると、SILはTHRより決まり、そのSILを達成するアーキテクチャーは HFT、SFFとPFHで決まるということになります。
SILが決まればSC(Systematic Capability)も決まり、それに基づいて決められたプロセス、体制、テクニックで開発をすることになります。

SCはSyesmaticフォルト(系統的故障)の視点でどれだけ安全かを示す指標です。THRから導き出されたSILによって決められた系統的故障対策(プロセスや手法)に対応している。つまり、SIL1に適合した系統的故障対策で設計した製品は、SC1となります。またSC1の製品を二つ結合した場合、それらが系統的故障に完全に独立している場合はSC2とすることができます。(ただし、これは+1まで)。同じような概念はSCだけで、SILには無いようです。

SIL4=10E-9 と思っている人は多いでしょうね。でも、それだけでは駄目なんです。