RAMS[11] SIL PFH THR

SILの話が多く出てきているので、ここで、もう少し詳しくSILの話をしたいと思います。前に書いた記事と重複する部分もありますが容赦ください。

SILは安全度合いを表す指標で、そのハザードが起きる確率を何処まで許容できるかを4段階に分けたもので、SIL0~SIL4まであり、SIL4が一番安全な要求されます。規格にはSIL4を最大にするとまで書いてあるので、SIL5を作る人がいたのかもしれません。SILは装置につけられるものではなく、あくまでもハザードに紐付くものです。よくこの装置はSIL4とか言いますが、正確には間違いで、ハザード毎、つまりハザードが起きないようにする安全機能毎に付くものです。一つの安全装置には複数のSILを持った機能群です。装置としてはそのSILの内、最大のSILが支配的になるので、結局はSIL4の装置となる場合が多いのです。

規格では自分でSILを求める(PFHを求める)と書いてあります。THRはTolerable Hazard Rateは許容されるハザードの起きる確率です。ハザードは一機能に対しての確率ではなく、あくまでも事象として起きるハザードの確率です。例えば、電車が脱線するハザードの確率はXX%というように使います。SILはTHRに対して決まるものではありません。THRと混同されやすい言葉に、PFHというのがあります。PFHはProbability of dangerous failure per hourの略です。PFHはaverage frequency of a dangerous failure of the safety function です。安全機能一つのフェイルによってハザードが起きるのなら、PFHとTHRは同じになるのかもしれません。まあ、意味合いとしては「許容できる」と「起きる確率」なので言葉の意味は別物でしょう。SILとPFHの関係は以下になります。

SILPFH
4 10E-9 <= PFH <10E-8
3 10E-8 <= PFH <10E-7
2 10E-7 <= PFH <10E-6
1 10E-6 <= PFH <10E-5
PFHとSILに関係

SIL(THR)は実際は製品や顧客の要求によって事前に決まっている場合が多いです。特に日本の場合は閑散線区も新幹線も同じ安全レベルが要求されるので、自分でSILを求めること自体無意味です。SILが決まっていない場合は顧客に訊けば良いのですがそこまでRAMSを理解している顧客はいません。顧客も分からない場合は自社が請け負う上位企業に決めてもらえばよいのですが、彼らも分からない。例えば、自社が信号装置の一部を請け負うなら、メーカであればシステム全体を取り仕切るインテグレータに訊くのが筋です。多分、ここまで理解している人がいるかどうかは分かりませんが。