プラント設備エンジニア向け機能安全(連載#3回)

これからプラント分野の機能安全に取り組む方を対象に、この規格がどのような取り組みなのかを知っていただくための連載です。要件の背景や具体的な取り組み例を知っていただき、本格的な勉強につなげていただければ幸甚です。

本記事は工業技術社月刊「計装」2017年4月号から連載した記事に一部追記し、編集部ご了解のもと掲載しています。掲載記事は本誌をご覧ください。#3回は機能安全に関する実際のインシデントをみてゆきます。

どんな事件が起きているのか?(その1:安全)

安全に関する事件が、どのぐらい世界で起こっているでしょうか。製油所、タンクターミナル、化学プラント、パイプラインなどに、世界で200件から300件の事故が毎年発生しているとの報告があります [1]

Fig-3-12009年のインドRajasthan州Jaipurのタンクターミナルの爆発火災では、作業員のバルブ操作の間違いが引き金でガソリンの漏洩が始まりました。流出を遮断する電動弁がありましたが、事故の数年前に作業の利便性のため、コントロールルームから現場近くに操作パネルが移設されていました。このため漏洩発覚後も流出を遮断できなかったことが、事故の規模を拡大したと指摘されています。このバルブ以外に遠隔から遮断できる設備はなく、この弁が遠隔操作できることは安全上大きな意味があったのです(図1)。

前回「機能安全は人が作り上げる安全の仕組みを、そのライフサイクル全体を通し評価し維持すること。」と説明しました。運用段階の改善や変更であっても、初期のリスク分析に立ち戻って影響を分析する活動が必要です。そのような、長い時間スケールで、安全を達成維持するために必要な活動の全体を、安全ライフサイクル(図2)といいます。

Fig-3-2安全ライフサイクルはリスク分析から始まります。リスクベースデザイン、リスクベースシンキングは機能安全規格の根幹です。リスクアセスメントは最初に1度だけ行えばよいものではなく、安全ライフサイクル全体を通して維持・実践されてゆくべきものです。これは次回の制御ネットワークのセキュリティ(制御セキュリティ)とも共通する考え方です。

石油化学やガスなどの事業者の品質マネージメント規格にISO29001があります。運用段階の品質マネージメントを適切に計画し実践するためには、より多くの情報が必要です。点検作業の手順、修繕の手順も必要な情報だといえるでしょう。前述のJaipurの例では、作業手順における安全に関するマニュアルにも不備もあったようです。

Fig-3-3リスクアセスメントから始まり、人の技能管理、手順や取り決めなど安全のためのすべての活動の要件と結果を取りまとめた図書をSafety Caseと呼びます。安全は目には見えませんが、あえて設備の安全を見える化した結果ということができます。安全計装システムの不動作確率の計算結果の書類はSafety Caseのごく一部です。欧州の鉄道安全規格(RAMS)ではトータルのSafety Caseの取りまとめが不可欠です。(図3)

どの分野の機能安全規格でも、この安全ライフサイクルの管理計画(FSMS:Functional Safety Management System)から記載されているのは、それがSafety Caseの背骨や目録となるからです。開発のみならず保守や修繕にわたって最初に規定し、その規定通りにプロジェクトを進め、遵守を適宜確認する。というスタイルが、規格の求めるプロセスです。

これだけ記載すると、とても古臭く効率の悪い開発設計のプロセスのように見えます。ソフトウェアの開発プロセスで、Waterfall型とAgile型とよぶスタイルがあります。かなり大雑把に言えば、仕様から順次作りこみ完成に至るのが前者。ひな形からブラッシュアップしながら合わせこんでゆくスタイルが後者です。安全ライフサイクルはもちろんWaterfall型の代表といってよいでしょう。

とはいえ、すべての設備や製品の開発設計プロセスを対象としているのではありません。初期の分析で「安全に影響しない」と判明した範囲は、その分離と独立をエビデンスとして残すまでで完了です。安全と無縁な部位をどのように開発するのかを、安全規格が求めることはありません。

性能や使いやすさは、運用をすればすぐに課題や不整合を発見することができます。一方、安全は万一の事態が発生しないと適切な活動を積み重ねたのか評価できません。このためリスクの想定から運用保守に渡るすべての活動が、一貫性をもって遵守されていることが大切だと考えるのです。FSMSは、安全システムの信頼性(安全完全性)の達成のためにも必要です。連載#5回のシステマティック故障の解説時にまた触れたいと思います。

Safety Caseは、万一事故が発生した場合、製造物責任(Product Liability)の対処に欠かせません。機能安全規格は、製造物責任の審判の準備という側面があります。「あなたは、安全のためにどのような努力をしましたか。」審判ではこのことをエビデンスで説明することが必要です。そのためのスタート時の宣言がFSMSの計画書です。このためどの分野の機能安全でも、FSMSが適切に作られているのかの審査から始まるのです。

お気づきかとおもいますが、FSMSは品質マネージメント規格ISO9001(QMS:Quality Management System)と重なる点が多くあります。事実ISO9001を取得されている企業の機能安全認証では、QMS遵守状況の確認と、機能安全との差分についての確認が、審査の中心になります。たとえばQMSで規定された技能評価や教育カリキュラムがあった場合、そこに安全にかかわる知識の取得や経験の評価があるか、などです。

最後に。運用中の設備では、FSMSや設備のリスク分析が明確にエビデンスとして残っていないケースもあるかもしれません。TUV-SUDおよび弊社では、FSMSのチェックや指導から、設備のリスク分析、FMEAやHAZOPの指導やトレーニングも行っています。機能安全規格認証は不要でも、機能安全の取り組みの一部導入や学びなど、設備の安全性の向上に大きく貢献します。ぜひご検討ください。
次回は、「どんな事件が起こっているのか?(その2)」と題し、制御ネットワークのセキュリティの事件を見ながら、同じく設備のライフサイクルを考えることの大切さを解説してゆきます。

参考文献

[1] 一般社団法人 日本高圧力技術協会 吉田 聖一, “危険物保安技術協会 Safety & Tomorrow”, No.166 pp.32, 2016.3.

 

 

(株)制御システム研究所は、TUV-SUDの公式パートナー/機能安全エキスパートです。