RAMS[29] 検知不可能危険側故障の意味

色々話を聞いていると、「検知不可能危険側故障:Undetectable dangeraous failure」の対策(説明)を誤解しているなと感じることがあります。「検知可能故障:Detectable dangeraous failure」の場合、検知するまでの時間は危険の可能性がある。だからネゲートするまでは危険になる可能性があるからその時間は注意してね。と整理されてます。しかし、「検知不可能危険側故障」の場合は、ちょっと違って、「検知不可能危険側故障」って検知できないわけですよ。もともと、安全装置は単一故障が起きたときには対処しますよ。と作られているので、単一故障が必要条件なわけです。だけど、「検知不可能危険側故障」が一定の確率で存在するとなると、気が付いた時には、2重故障かもしれないし、3重故障かもしれないわけです。だと、すると単一故障を想定した対策は意味ないよね? という事なんですよ。よくいう潜在故障ってやつです。

では、その時どう考えるかというと、まず、多重故障でも安全を担保できる機能にしておくのが一番いいわけです。でも、大体、そう作られていないので、そんなときは、「どんな確率で起こるかわからん」ということで、SSFとHFTの表から、最低これくらいのHFTは持っておこうよと整理されているわけです。

しかし、HFTを上げるのはコストがかかるので、それを変えないで、無理やり計算しようとすると、潜在故障が起きる確率は、FITから計算するとこれくらいなので、まあ、その確率で二重故障は起こるからという整理をするアプローチがあることはありますが、規格上はそういうことは認めてはいません。

気持ちはわかるけどねぇ。

ついでに「検知可能故障」の場合のネゲートするまでの時間内でも、多重故故障が発生すれば、やはり安全機能はすり抜ける可能性があるわけです。ただ、この場合は検出できるまでの時間が非常に短いことと、多重故障になる非独立性の故障(全く関係ないところが故障しても他重故障にならなければ良いという事)が限定されることから、その故障が発生する確率を元に安全機能をすり抜ける確率を求めて、THRに合致するかどうかを計算するという事です。この場合に、故障率を考えるかどうかといえば、考えてもいいという事になります。

究極の他重故障が共通原因故障(Common Cause Failure:CCF)です。これは一つの故障要因で一挙に複数の故障が起きてしまい、安全機能が喪失してしまうことです。これも故障の独立性が担保されていれば起きえないという事ですね。