JIS C 6803:2013 レーザ製品の安全―光ファイバ通信システムの安全 | ページ 8

34
C 6803 : 2013 (IEC 60825-2 : 2010)
                                   表D.5−故障率の決定(例)
  回路記号    構成部品        故障モード     ベータ  λbase    愀   積          コメント
 LM1       非冷却レーザ   出力の増加           1     500    0.05   25.0  おそらく光ファイバの軸
                          出力の減少           0     500    0.65    0    ずれを原因とする変動
                          出力無し             0     500    0.30    0    チップの故障
 TR1       BFR 96ムラード ショート             1       8    0.73    5.84 IlaserはR1で制限される
           <500 mW NPN   オープン             0       8    0.27    0    (まだ安全であろう,R1
                                                                         の行参照)
 R1        47R 2 %        ショート             1       0.2  0.05    0.01
           0.25 W         オープン             0       0.2  0.84    0
                          パラメータドリフト   0.5     0.2  0.11    0.01
 R2        3K9 2 %        ショート             1       0.2  0.05    0.01
           0.25 W         オープン             0       0.2  0.84    0
                          パラメータドリフト   0.5     0.2  0.11    0.01
 C1        0.47 F 10 %    ショート             1       0.3  0.49    0.15
           50 V           オープン             0       0.3  0.29    0
                          パラメータドリフト   0.5     0.3  0.22    0.03
                                                        総合故障率=31.06 FIT
  この例(一律5 Vの電源電圧)では,最大のレーザ電流はR1によって約35 mAに制限されている。こ
のことから,1.5 μmのレーザがクラス1Mの限界値を超えるようなことは考えられない。ほかの場合では,
これがいつも適用できるとは限らない。レーザのデータシート及び個々の構成部品の値を参照することが
望ましい。
  類似の例であっても,ある構成部品の故障が,同時に他の構成部品の故障を伴うときに限って深刻にな
る場合は,これらの構成部品のFIT数の単純な総和では適切でないことがある。
D.5.6 影響度分析
  IEC 61508規格群“電気/電子/プログラマブル電子安全関連システムの機能的安全性”[5]は,自動パ
ワー減衰システムの信頼性を定量的に測定することが可能な,規格に基づくアプローチの例である。IEC
61508-1に規定する体系では,安全関連制御システムの要求事項は,四つの安全度水準(SIL)の一つに分
類される。SILによって,異なった要求事項が適用される。IEC 61508-1によれば,次のようにハードウェ
アの偶発故障及び系統的故障を考慮しなければならない。
− ハードウェアの偶発故障は信頼性データを使って計算できる。
− 系統的故障は,設計故障,環境負荷又は影響度による故障,及び操作誤りの確率を考慮する。
    注記1 IEC 61508-1においてSILは,電気/電子/プログラマブル電子安全関連システムへ割り当
            てられる,安全機能の安全度水準要求事項を特定するための離散的水準(四つのレベルの一
            つ)と定義されている。安全度水準4は最高の安全度水準であり,安全度水準1は最低であ
            る。
    注記2 ハザードレベルを制御するためにプログラマブル電子装置を用いる場合,IEC 61508規格群
            の適用を推奨する。システムが純粋にハードウェアだけである場合,FMECAのようなよく
            知られた手法を使って分析することができる。
  IEC 61508規格群は,OFCSのような“適用分野”における,特定の製品の危険性について,幾つかの
推奨される安全度水準の決定方法を提供している。D.5.6.1に示すのは,SILのレベルを決定するための,
仮定に基づく極めて控え目な(安全側の)アプローチの例である。これは,IEC 61508-5の附属書Dにあ

――――― [JIS C 6803 pdf 36] ―――――

                                                                                             35
                                                                 C 6803 : 2013 (IEC 60825-2 : 2010)
る“リスクグラフ(危険因子分類図)”に基づいている。
D.5.6.1 影響度分析の例
  (安全関連システムが配置されていない場合の)リスクは,危険事象の頻度及びその事象の影響度の関
数であると考えられる。ここでは,SIL値を決定するためにリスクグラフ手法を使用する。IEC 61508規
格群[5]の一つから引用したリスクグラフを,図D.3に示す。
                                                                       a,b,c,d,e,f,g,hは,
                                                                       必要最低リスク削減を表す。
                                                                       表には,必要最低リスク削減
                                                                       と,安全度水準との関係が示
                                                                       されている。
         C :  影響リスクパラメータ
                                                    必要最低        安全度水準
         F :  頻度及び被ばく時間リスクパラメータ    リスク削減
         P :  危険リスク回避可能性パラメータ            −     安全要求事項なし
         W :  想定外事象発生の確率                      a      特別な安全要求事項なし
        a,b,c ··· h : SRS(安全関連系)に対して要     b,c              1
                   求されるリスク削減の推定値          d                2
                                                      e,f              3
                                                       g                4
                                                       h      E/E/PE SRSは十分でない
                        図D.3−IEC 61508-5のD.5からのリスクグラフの例
D.5.6.1.1 ステップ1−影響度評価
  IEC 61508-5 [5]では,表D.6に示すように,影響度レベルを四つに分類している。OFCSの場合,皮膚又
は目の障害であり,影響度リスクレベルは厳しく見積もっても数人の死亡事故とはならないC2を割り当て
ればよいと考えられる(表D.6の網掛け部分は割り当てたリスクレベルを表す。)。
                          表D.6−IEC 61508-5の表D.1からの影響度分類
       影響度リスクレベル                                 分類
              C1             軽度の負傷
              C2             1人以上の人間の重大な永久障害。1人の死亡
              C3             数人の死亡
              C4             非常に多くの人の死亡
D.5.6.1.2 ステップ2−頻度評価
  IEC 61508規格群[5]では,危険ゾーンにおける被ばくの頻度及び露光時間を評価しなければならない。
これについては,表D.7に示す二つの値の一つを割り当てる。OFCSの例に対しては,極めて厳しい評価
として,より露光のリスクの高いリスクレベルF2を割り当てる(表D.7の網掛け部分は割り当てたリスク
レベルを表す。)。

――――― [JIS C 6803 pdf 37] ―――――

36
C 6803 : 2013 (IEC 60825-2 : 2010)
                           表D.7−IEC 61508-5の表D.1からの頻度分類
     危険ゾーンにおける頻度及                             分類
     び露光時間−リスクレベル
               F1            危険ゾーンにおける“まれな露光”から“しばしばの露光”まで
               F2            危険ゾーンにおける“頻繁な露光”から“永久露光”まで
D.5.6.1.3 ステップ3−危険を回避する可能性の評価
  IEC 61508-5 [5]では,危険事象を避け得る可能性として,表D.8に示す二つの値の中から一つを割り当
てる。この例(OFCS)では,ある条件下で可能というリスクレベルP1を割り当てる(表D.8の網掛け部
分は割り当てたリスクレベルを表す。)。
                  表D.8−IEC 61508-5の表D.1からの危険を回避する可能性の分類
      危険事象を避ける確率−                              分類
           リスクレベル
               P1            ある条件下で可能
               P2            ほとんど不可能
D.5.6.1.4 ステップ4−安全関連システムがない場合に危険事象の起こる確率
  最後に,安全関連システムがない(働かない)ために危険事象が起こる確率,すなわち,(安全関連シス
テムでは)想定外の事象発生の確率である(表D.9参照)。この例(OFCS)では,リスクレベルを,想定
外事象が頻繁に起こることを除いたW1W2の範囲とする(表D.9の網掛け部分は割り当てたリスクレベ
ルを表す。)。
                 表D.9−IEC 61508-5の表D.1からの想定外の事象発生の確率の分類
      想定外事象発生の確率−                              分類
           リスクレベル
              W1             想定外事象が起こる確率が非常に低く,想定外事象が起こる可能性はほんの
                             僅かしかない。
              W2             想定外事象が起こる確率が低く,想定外事象が多少起こり得る。
              W3             想定外事象が起こる確率が比較的高く,想定外事象が頻繁に起こり得る。
D.5.6.1.5 ステップ5−グラフのマッピング
  これらのパラメータをリスクグラフ(図D.3)に適用する場合,最も厳しく見積もった条件の下でも,
皮膚又は目の危険に関しては,SIL 1の信頼性レベルが割り当てられる(IEC 61508規格群[5]に規定する他
の方法によっても,同じ基準を使えば,SIL 1に集約される。)。
D.5.6.1.6 ステップ6−自動パワー減衰システムの信頼性の決定
  次のステップでは,SIL 1についてだけ検討する。SIL 1以外のSILレベルについては,IEC 61508規格
群[5]を参照する。これらのSILレベル(SIL 1以外)については,IEC 61508-2に従って,ハードウェア偶
発故障,ハードウェアの耐故障性,及び安全故障比率を考慮するのがよい。
  SILは二組の数値範囲として示される。すなわち,一つは安全装置に関して求められる高い要求モード
に対する組であり,もう一つは低い要求モードに対する組である。光ファイバシステムは,据え付けた後
に,偶発的な光路の切断又は開放というような支障を来すことはめったにない。したがって,自動パワー
減衰システムが光パワーをシャットダウン又は減少させる要求は極めてまれである。IEC 61508規格群の
用語では,自動パワー減衰は,“低い要求モード”(表D.10の用語の定義を参照)で動作する。

――――― [JIS C 6803 pdf 38] ―――――

                                                                                             37
                                                                 C 6803 : 2013 (IEC 60825-2 : 2010)
    注記 例えば,光ファイバケーブルの平均故障間隔は,2年160年の範囲又はそれ以上と判断されて
          きた。Cochrane and Heatley [18]による表1及び表2を参照。
                         表D.10−動作モード−IEC 61508-4の3.5.12の定義
                   用語                              定義
               動作モード     安全関連システムに要求される要求頻度に関して,あらかじめ
                              意図された安全関連システムの使用方法であり,“低い要求モー
                              ド”か,“高い要求又は継続モード”かのいずれかである。
               低い要求モード 安全関連システムに要求される動作要求頻度が,1年に1回より
                              多くなく,かつ,動作保証試験頻度の2倍より多くない。
               高い要求又は   安全関連システムに要求される動作の要求頻度が1年に1回よ
               継続モード     り多い,又は動作保証試験頻度の2倍より多い。
               注記 高い要求又は継続モードは,機能的安全性を維持するために継続的に制御す
                    る安全関連系を含む(例えば,圧力調整弁)。
  SILレベル1システムの場合,危険状況に対する目標故障率は10−1と10−2との間である。この目標故障
率は,幾つかの解決策で達成できる。例えば,自動パワー減衰,機械的な解決策,外的要因のリスクの削
減などがある。
  この例では,自動パワー減衰が選択され,自動パワー減衰が出力を減衰することに失敗する確率は,0.1
以下となる。表D.11はSILレベルと目標故障率との関係を示しており,網掛け部分は選択されたSIL値(レ
ベル1)に対する目標故障率を示す。
                             表D.11−IEC 61508-1の7.6.2.9のSIL値
                安全度水準                     低い要求モード動作
                 (SIL)     (要求されたときに設計された機能の実行に失敗する平均確率)
                    4                          10−5以上10−4未満
                    3                          10−4以上10−3未満
                    2                          10−3以上10−2未満
                    1                          10−2以上10−1未満
  ハードウェア偶発故障に関しては,SILレベル又は自動パワー減衰システムの失敗の確率は,自動パワ
ー減衰の不稼動率である。自動パワー減衰が,自動パワー減衰の誤作動に対するアラームで連続的にモニ
タされているか,又は周期的に試験されている場合は,この不稼動率は,自動パワー減衰装置の信頼性と,
自動パワー減衰が故障した場合の作業者による修理時間[すなわち,平均修理時間(MTTR)]との両方に
よって決定される。装置の信頼性はしばしば,式(D.1)で示すFIT数(109時間における故障)で表される。
                                  FIT  MTTR
                         SIL  Pe        9
                                      10
                               SIL
                         FIT         10 9 (D.1)
                      ここに,    SIL :  要求回数に対する故障数を表す指標(SILレベル)
                                   Pe :  自動パワー減衰システムの不稼動率
                                  FIT :  FIT数
                                MTTR :  平均修理時間
                                   109 :  時間当たりの故障回数と109時間当たりの故障回数である
                                         FIT数との間の換算のための値

――――― [JIS C 6803 pdf 39] ―――――

38
C 6803 : 2013 (IEC 60825-2 : 2010)
  FIT数と故障した安全システムの平均修理時間との関係を,図D.4に示す。SILレベル1安全システムの
範囲が網掛けで示されている。
                              図D.4−FIT数と平均修理時間との関係
D.5.6.1.7 ステップ7−系統的故障を原因とするリスクの削減
  SIL1について,IEC 61508-2及びIEC 61508-3 [5]は,系統的故障を削減するために次の方法を適用する
ことを強く推奨している。
a) 例えば,ウオッチドッグ監視,プログラムシーケンスの論理モニタ,オンライン検査を用いた逐次モ
    ニタなどのプログラムシーケンスモニタ
b) 例えば,JSD,MASCOT,SADT,Yourdonなどの構造化された手法を用いたソフトウェア設計
c) 電源故障,電圧変化,過電圧及び低電圧に対する対策
d) 情報伝送路及び給電ラインの分離
e) 電磁波干渉耐力の増加
f)  例えば,温度,湿度,水,振動,ごみ,腐食性物質などの物理的環境に対する対策
g) 例えば,温度センサ,ファン制御,サーマルヒューズ,温度アラーム,強制空冷,ステータス情報表
    示などの温度上昇への対策
h) 二重化信号を搬送する複数の伝送路の空間的な分離
i)  例えば,信号の信ぴょう(憑)性の確認,自動スタートアップ試験による検出などの改造に対する防
    備
  上記方法に関する詳細情報については,IEC 61508規格群[5]第2部及び第3部を参照。
D.5.6.1.8 FIT数の決定
  自動パワー減衰システムの信頼性は,これらのシステムの責任ある運用及び保守に密接に結びついてい
る。非常に低いFIT数をもつ自動パワー減衰機能の場合,自動パワー減衰機能の規定寿命以内で使用を停
止する限り,自動パワー減衰機能の保守は不要である。そうでないシステムについては,自動パワー減衰
の不稼動率,すなわち,FIT数は,自動パワー減衰故障の検出確率,妥当な時間内に修理する体制にある
作業者,及び自動パワー減衰故障アラームに対する作業者の応答性に依存している。
  機器の製造業者は,そのシステムの保守について管理することはできないので,SILと平均修理時間と
の組合せ(図D.4)よりもむしろ,具体的なFIT数を提案するほうが有用となる場合がある。製造業者は,
1) 頻繁な若しくは継続した診断試験(動作保証試験)を行う自動パワー減衰システム,又は2) 試験も監

――――― [JIS C 6803 pdf 40] ―――――

次のページ PDF 41