【実践ソリューション】
IEC61511ベストプラクティスの適用 -「プルーフテストとSILスタディだけでは十分ではない」
1.はじめに
2003 年に導入されて以来,国際規格IEC61511は,安全計装システムにおける優れたエンジニアリングプラクティスとして,世界標準となっている。
本稿では,いくつかの要求事項のごく一部を検証し,たとえプラントが今日,優れた機能安全管理システムを持っていたとしても,IEC61511の第2版に準拠するためには,評価,監視,管理などの面で様々な対策が必要になるという点を指摘する。
2.継続的な安全性の評価と国際規格IEC61511
プロセスプラントを操業する企業の大多数は,安全を最優先事項として明確に認識している。もしそうでない会社があるとすれば,それは極めて珍しいと言える。
プロセスプラントのオペレータは,日常業務の一環として,継続的に安全性を評価する必要がある。また,IEC61511規格に基づく機能安全を扱う場合,それはプラントの全寿命期間にわたって安全ライフサイクルの要件を維持することを意味する。
実際,プラントの運転期間中,安全システムが「設計通り」の安全性を提供することを保証することは,安全システムを運用,維持,設計する者,さらにはプラントマネージャ,リスクマネージャ,そして企業全体の安全リーダーシップにとって必須の要件である。
2003 年に初めて公布された国際規格IEC61511 は,安全計装システム(SIS)における優れたエンジニアリング手法として,世界のプロセス分野で幅広く採用された。しかし,規格に従って安全システムを設計・実装し,SIS装置の定期的なプルーフテストを継続するだけでは,必ずしもIEC61511やベストプラクティスに準拠することにはならない。
プラントにおいて,物事の変化はつきものだ。プロセスが変わり,原料が変わり,制御と運転の方法が変わり,そしてプラントを運転する人が変わることもある。そこで,問われるべき重要な課題は以下の通りである。
1)プラントのライフタイムに伴う変更は,我々の安全システムに影響を与えるか
2)現在使用しているシステムは,まだ必要な保護機能を備えているか
3)安全性が確保されているかどうかは,どのように判断すればよいか
IEC61511の16項と17項は,安全ライフサイクルの運転と保守のフェーズで,これらの質問に対応するのに役立つ。リリース当初,これらの条項は,安全に関する良いガイダンスを提供していたが,その安全を達成するための要件は規定されていない。その結果,多くの企業では,SISデバイスの定期的なプルーフテストがシステムの安全性を確保するのに十分であると考えていたが,一部の企業では,そのテストを真面目に行うことそのものが課題であり,その試験を正確に実施することさえ困難であった。
このように,現実の世界では,プルーフテストだけに頼るのは正しいとは言えない。安全ライフサイクルの解析と評価の段階で明らかなように,プルーフテストの間隔は,安全機能に対する安全度水準(SIL)の評価に関わる多くの要素の一つに過ぎない。これらの設計入力の大部分は,その時点で入手可能な一般的なデータに基づいているか,または経験に基づいて仮定されている。それらの仮定が今日正しいかどうかをどのようにして知ることができるだろうか。さらに重要なのは,その仮定が10年後の状況においても正しいものであるかどうかをどのように知ることができるかということである。
3.実例:プルーフテストのみに依存することの潜在的な危険性
小規模な製油所のプロセスヒータを実例として考察した。
初期のSIL設計作業が行われたとき,ハザードと操作性調査(HAZOP)における燃料ガス供給量の低下シナリオから,プロセスヒータの燃料ガス圧力に関する安全計装機能(SIF)の要求が示された。当時,プロセスハザード分析(PHA)チームは,過去の経験とガス調整器の計画的なメンテナンス履歴に基づいて,このSIFが約50年ごとに需要に遭遇すると判断した。その結果,SILの目標要件は,図1に従ってSIL1と計算(設計)され,フィールドに実装された。
ところが,安全監査の過程で保守記録を見直したところ,燃料ガスストレーナ・フィルタの交換が4回行われていることが判明した。その理由を確認したところ,メンテナンス担当者は「予算削減のため,ストレーナ・フィルタの定期メンテナンスの周期が四半期に1回から年に1回に延びた」と説明した。ガスの質が悪いため,フィルタが頻繁に詰まり,プロセスヒータの停止が確認された。実際,過去5年間で,オペレータは燃料ガスの低下に関連したヒータの故障を4件記録している。
安全システムの設計は設置された日から変わっておらず,システムに接続されたすべてのSIS装置は定期的にプルーフテストが行われていた。
図2は図1と同じSIL設計シナリオだが,要求率を実際の要求状況である5年に4回の要求率(8E-01)に置き換えている。
(1.0E-01)に置き換えただけで,他の要素はすべて同じである。これは,現在の安全装置で提供されているリスクよりも2桁も大きなリスク低減効果である。この例では,「プラントのリスク」に対する商業的インパクトは5,000万ドル以上になる。
この例は,安全システムの完全性を確保するために,定期的なプルーフテストのみに依存することの潜在的な危険性を浮き彫りにした。SISに関連しない機器の操作と保守の1つの変更が,安全性の信頼性に大きな影響を及ぼしていた。もし安全監査員が,変更後の要求値で安全計算を再実行する努力をしなければ,リスクギャップは発見されないままだったと推察する。
このような安全に関する隠れた「フロー・オン」効果は,特にプラントが5年から10年の運転期間に入ると珍しいことではなくなり,この時期は,安全設計に携わった担当者が配置転換や転職をし,安全設計段階での意思決定の履歴が薄れ始めていることがほとんどである。
ここで述べたようなことが,ご自身の工場でも起こりうるかもしれない。もしそうだとしたら,どのようにしてそれを知ることができるだろうか。確認したいと思ったら,どこから手をつければよいのだろうか。
4.安全計装機能の目的について
安全計装機能(SIF)は,安全計装システム(SIS)によって実行される自動化された安全「ループ」と考えることができる。
・特定の定義されたハザードに対応する
・特定のアクションを実行する
・制御下にある機器を安全な状態にする(または維持する)
・特定のリスク低減の度合いを提供する
SIFは,プラントの寿命が尽きるまで,この特定レベルのリスク低減を維持することをオペレータに要求する。そのため,IEC61511規格の第16 条で定義されている安全ライフサイクルに沿って,監視と管理を行う必要がある。
4.1 目的
条項16の要求事項の目的は,以下を確実にすることである。
・各SIFに要求されるSILは,運転および保守の間,維持される。
・SISは,要求される安全保全性を維持する方法で運用される。
第16条は,これらの目標をどのように達成するかについてのより具体的な要求事項を特徴とし,遵守するために実施しなければならない活動を具体的に述べている。これらは,いくつかの基本的なカテゴリにまとめることができる。
4.2 計画
16.2.1 SISの運転および保守計画を実施すること。この計画では,以下を規定する。
・定期的および異常時の運転活動
・点検,確認試験,予防および故障時の保守活動
・運用および保守に使用される手順,対策および技術
・診断,検査,実証試験により特定された故障および不具合に対する運用上の対応
・運用対応
・運用および保守の手順への適合性の検証
・これらの活動をいつ行うか
・これらの活動に責任を持つ人,部門,組織
・SISのメンテナンス計画
具体的なSISのメンテナンス計画は,SISを全体として扱い,“パイプから各機器”まですべての要素を含むものとなっている必要がある。もはや,個々のSIS要素について,メーカの保守手順に従うだけでは,コンプライアンスを主張することはできない。この計画は,16.1項に記載された目的を満たすためにシステムを維持するように設計されなければならない。
4.3 手順
16.2.2運転および保守の手順は,関連する安全計画に従って作成され,次の事項を提供するものとする。
1)SISの故障およびSISに対する要求率について維持する必要のある情報
2)要求率およびSISの信頼性パラメータに関連するデータを収集するための手順
3)SISの監査および試験の結果を示す,維持される必要のある情報
4)SISに欠陥や故障が発生した場合に従うべき保守手順(以下を含む)
・故障診断及び修理の手順
・再バリデーションの手順
・保守報告要件
・メンテナンスの実績を追跡するための手順
SISメンテナンス計画には具体的な手順を盛り込む必要があり,これらの手順には特定の作業の内容が定義されている。その中には,これまで収集または記録していなかったかもしれないSISパフォーマンスデータを定期的かつ体系的に収集する必要がある場合もある。
4.4 訓練と適性
16.2.6オペレータは,その区域のSISの機能および操作について訓練を受けなければならない。
16.2.8保守要員は,各SIFの目標SILを満たすために,SIS(ハードウェアおよびソフトウェア)の完全な機能的性能を維持するために必要な訓練を受けるものとする。
運転および保守要員は,設置された安全システムに関する特別な訓練と,プラント寿命にわたってそれらを維持する方法に関する訓練を受けなければならない。初期の必要なトレーニングとは別に,これらの条項を遵守するためには,必要な能力トレーニングプログラムの確立,コンピテンシ・マトリックスが必要であり,様々な職種の人材がその職種の中で変更された場合の定期的な維持能力の見直しが必要である。
4.5 SIS固有の監視,分析,および検証
16.2.9 SISの期待される動作と実際の動作との間の不一致を分析し,必要な場合は,要求される安全性が維持されるように修正すること。これには,以下の監視を含むものとする。
・各SIFに対する安全性要求レベル
・システムに対する安全要性への処置
・SISの一部を構成する機器の故障および故障モードへの対応(通常運転,検査,試験またはSIFへの要求中に特定されたものを含む)
・要求の原因
・スプリアス・トリップの原因および頻度
・補償手段の一部を構成する機器の故障
監視・検証ではSISの性能データを収集,分析,報告,記録するための要件が明示されている。この作業には多大な労力と情報の管理が必要であり,資源が限られた組織には負担となる場合がある。また,これらの作業の一部または全部を誰の仕事として行うのか,社内で不明確になる可能性がある。このことは,SIS整備計画で明確に定義しておく必要がある。
5.まとめ
長年にわたりIEC61511規格は,安全ライフサイクルの中でも最も長いフェーズである運転・保守フェーズに対する要 求事項をより多く実装し,特にユーザが必要な業務や手順を適切に計画・実行できるように進化してきた。その目的は,安全計装システムが設置時と同じレベルのリスク低減を提供し続け,当初の設計では考慮されていなかったプラント運用の変化によって運用上の安全性が低下しないことを保証することである。 また,これらの要求事項は,これらのシステムの運転と保守に関わる人間の要素に関する明確な方向性を提供することを目的としている。この規格では,SISの実際の性能を記録し,その性能を当初のSIS設計と比較して検証し,妥当性を確認するための具体的な手順を備えた,文書化された特定のSIS保守計画を持つことが要求される。 SISのオペレータには,適切な訓練を受け,システムが保護しているハザードについて認識し,メンテナンス担当者が十分な訓練を受け,目標SILを満たすためにシステムの完全な機能的性能を維持する方法を知っていることが要求される。(プラントの耐用年数の間を通じて)。 ライフサイクルの運用・保守期間は通常数十年に及ぶため,法令遵守を維持するために適用される検証・分析は,一度限りのものではない。コンセプトの段階で計画されていない場合,これらの要件を満たすには多大な運用コストと労力がかかる可能性がある。したがって,プロジェクトサイクルのできるだけ早い時期にSISメンテナンス計画を実施し,SIS性能データを確実に取得し,設計基準に対する定期的な検証を実施し,文書化するための手順または自動システムを「設計する」ことを検討することが賢明である。 改めて,プロセス施設のオペレータにとっては,「SIL研究を行い,『プルーフテスト』を継続するだけでは,IEC61511第2版であるベストプラクティスに準拠するにはもはや十分ではない」ということを改めて認識していただきたい。 我々シュナイダーエレクトリックが提供する「Triconex」製品は,過去長きにわたってプラントの安全計装のためのソリューションを提供してきた歴史を持つ。今後も,プラントに関わるより多くの方々が,安全計装への意識を高めていただくことに寄与していきたい。
シュナイダーエレクトリックシステムス 菊地英雄
ポータルサイトへ