Embed Size (px)
Citation preview
概要
コンピュータ制御の安全を対象とする機能安全の関心が高まっている。鉄道の列車制御システムにはSIL4に相当する高い安全レベルが要求され、このような列車制御システムに対するリスクベースの安全管理の取組みを機能安全の視点から述べる。具体的には、列車制御システムの社会リスク指標値としての許容リスク水準、および設計指標値であるSILとその関係、鉄道の輸送条件のみによる設計リスク指標値の決定、EU内鉄道の安全管理CSMs(Common Safety Methods)について述べる。
1. まえがき
鉄道は多くの事故の経験をもとに、独自の安全技術を構築してきた。鉄道の車両の質量は大きくかつ車輪とレール間の摩擦係数は小さいため停止するまでのブレーキ距離が長く、さらには操舵機能がないことから、安全に列車を運転させるための列車制御システムが発展した。列車の運転においては、異常が発生した場合には列車を停止させることが安全であることから、異常があった場合には安全な状態に推移しその状態を維持するフェールセーフ技術が列車制御システムの技術的基盤となっている。
長岡技術科学大学 システム安全系 教授 平 尾 裕 司
鉄道システムにおけるリスクベース安全管理
調査研究 75
調査研究
このような列車制御システムにおいて、日本とヨーロッパで1985年からマイクロコンピュータを適用している。さらに日本では、1995年にまだ検討段階であった機能安全規格IEC 61508のリスクの概念を取入れてコンピュータによる列車制御システムの安全性技術指針を作成した。ヨーロッパにおいては、同時期にヨーロッパ統合の文脈のなかで列車制御システムのためのリスクベースの各種安全規格1)~3)を作成するとともに、2004年からは鉄道安全指令4)のもとEU域内の鉄道の安全管理体系構築を進めている。一般産業分野において、コンピュータ制御の安全を対象とする機能
安全の関心が高まっている。鉄道の列車制御システムにはSIL 4に相当する高い安全レベルが要求され、このような列車制御システムに対するリスクベースの安全マネジメントの取組みを一般産業分野における機能安全の視点を考慮に入れ述べる。
2. 鉄道の許容リスク水準
2009年に鉄道安全指令の実施機関であるERA(European Railway Agency)がEU域内の鉄道の安全水準の目標値であるCSTs(Common Safety Targets)として、年間あたり0.25×10-6(FWSI/旅客列車走行キロ)を勧告した5)。ここで、FWSIは、重傷者を0.1として換算した死亡者数である。このCSTsは、最初のものであるため、EUメンバ国の2004-2007年の鉄道事故実績データの平均値に適当な下限許容値を付加して設定している。事故実績にはEUメンバ国間でも最大50倍ほどの差があり、今後、さらにデータを蓄積し、EU域内のあるべき鉄道の安全水準に相当するCSTsの設定をめざす。日本においては、同様の指標値として列車走行100万キロあたり
の運転事故件数が公表されている。2002 ~ 2009年では、列車走行100万キロあたりの事故件数は0.3(大手鉄道)~ 0.6(中小鉄道)、
76 安全安心社会研究
重大事故につながりやすい衝突・脱線・火災の3事故に限定した列車事故件数では0.01(大手鉄道)~ 0.06(中小鉄道)となっている。鉄道の安全については、事故実績にもとづく分析はあるもの
の、リスク許容水準については各国独自に検討が行われている状況にある6)。イギリスでは、ALARP(As Low As Reasonably Practicable)安全原則により許容不可能なリスク水準として年間あたりの個人死亡確率10-4、広く受容可能なリスク水準として同10-6等をそれぞれ基本的な上限値として定めている。また、ドイツのMEM(Minimum Endogenous Mortality)安全原則では、外部要因が受けにくい15歳男子の個人死亡確率の5%以下のリスク水準ならば許容する。しかし、鉄道の事故実績と社会で許容されるリスク水準の関係については、必ずしも明確にはなっていない。このような状況のなか、鉄道の事故実績に基づく許容リスク水準の
指標値とその妥当性について検討、提案が行われている7)。その提案では、国民の全員が鉄道を利用する機会があるとの仮定のもとに、鉄道の列車事故に起因する事故死リスクの許容水準および広く受容可能な水準を提示している。具体的には、事故死リスク(事故の発生頻度と事故1件あたりの平均死亡者数の積)は事故の規模に依らず一定として、国民1人あたりが1年間に遭遇する事故死リスクの許容水準RB1をRB1=10-7、広く受容可能な水準RB2をRB2=10-8と定め、後者は前者よりも1桁厳しい値としている(表1)。なお、表1のRA1とRA2
は運転事故に関する許容リスク水準、広く受容可能なリスク水準である。運転事故では、重大事故につながりやすい衝突・脱線・火災を対象とする列車事故に加えて、踏切事故や沿線工事などの事故を含む。これらを求めるために、過去50年間の致死事故データベースをも
とに、列車の中・大事故の各5年間発生頻度の平均値の推移を最小二乗法による回帰式で近似し、最近の列車事故発生頻度で過去の致死列
調査研究 77
調査研究
車事故の発生頻度を補正している。このように補正された中・大事故の列車事故のリスクは実績値よりも1桁小さくなる。換算死亡者数が10名未満の小規模の運転事故については、最近5年間の発生頻度と換算事故死亡者数の平均値をとると、列車事故の集合リスクは4.6 (人/年)となる。また、列車事故のリスクは運転事故のリスクよりも2桁程度小さいことが求められる。これらの結果をもとに、100名程度の換算死亡者数の大事故は100年に1回の発生は受容されるとしてRB2=10-8と設定している。許容水準については、T.A.Kletzの提案による自発的行為に起因するリスクと同一とした運転事故の許容リスク水準RA1=10-5より2桁小さいRB1=10-7としている。また、これらリスク水準の妥当性については、列車事故の集合リスクが4.6(人/年)で10-8の次数でありRB1=10-7を満足することなどで示される。
3. 許容リスク水準と設計指標- SIL の決定法
IEC 61508などの機能安全に関する規格では、与えられた安全水準の指標値SILに対して安全関連系の実現のための要件のみを規定しており、前章で述べたような社会で許容されるリスクレベルとの関連については記述していない。このような機能安全規格のSILは、安全関連系設計のための指標値と解釈すべきであり、本来は対象とする設
表1 致死事故に対する許容リスク(死亡確率/年)7)
1 10 100
RA1 10-5 10-6 10-7
RA2 10-6 10-7 10-8
RB1 10-7 10-8 10-9
RB2 10-8 10-9 10-10
78 安全安心社会研究
計システムの外部環境である社会で許容されるリスク指標値を反映して設計のための指標値を決定すべきであるが、そのための方法は必ずしも明確にはなっていない。機械安全における機能安全規格であるISO 13849-1では、特定の
危険源に対して障害のひどさ、危険源への接近頻度、回避可能性の3つをパラメータとするリスクグラフによって4段階のパフォーマンスレベルを決定する。機械安全の分野では、工場内など設計対象のシステムの外部環境は複雑ではないのでリスクグラフの適用が可能であるが、より広い外部環境のもとでのコンピュータ制御では、社会で許容されるリスク指標値と設計システムのためのリスク指標値を関係づける方法が必要になる。
3. 1 社会リスク指標値と設計リスク指標値の関連付け
このような2つリスク指標値を関係づける方法の一つとして、式(1)で示される踏切制御システムの検討例が示されている8)。
))(( ki
accidentAk
kjijjjii FCEDHRNIRF (1)
ここで、 IRFi:個人の死亡確率 Ni:使用回数 HRi:ハザード発生確率 Di:ハザード継続時間 Eij:暴露時間 Cj
k:リスク減少係数 Fj
k:死亡確率である。
調査研究 79
調査研究
この検討例における基本的な考え方は、踏切制御システムのハザード発生確率HRiと踏切の利用条件Ni ~ F1
kを関係付けて式(1)のように踏切を利用する個人のリスク IRFiを導出する。ここで IRFiを社会的な許容リスクとし、Ni ~ F1
kの各パラメータを対象とする踏切の状況を反映して与えれば、式(1)を値を実現するためのHRj が求められる。このHRj が設計上の評価指標値であり、SILの指標値に対応するTHRに相当する。本例では、10万人の自動車運転手が踏切を年間1000回利用して死
亡事故が生じるとしてさらに1桁の余裕を持たせ IRFi =10-6 としている。さらに、Di + Eij =10 h Cj
k + Fjk=1.4×10-2として、HRj =7×10-8
h-1を導いている。THRを7×10-8 h-1として、SIL3の踏切制御が必要としている。このようにすることで、社会リスク指標値と設計リスク指標値を関
係づけることが可能になる。この枠組みは、より広い外部環境のもとでのコンピュータ制御の機能安全に対しても拡張して適用できる。
3. 2 鉄道の輸送条件による設計リスク指標値の決定
一方、社会リスク指標値と設計リスク指標値を関連付ける方法として、社会的な条件を直接加味せず、システム側のみの条件から間接的に社会リスク評価指標値を考慮に入れて設計リスク指標値を決定しようという取り組みも行われている。2009年発行された鉄道信号システムに対するリスクベースのアセスメントの暫定規格VDE V 0831-1009)では、定性的な区分によって新たに割り付けた整数値を定量的に取り扱って設計指標値SILを決定する方法を示している。リスクアセスメント方法には、事故発生確率や電子機器の故障率な
どのデータに基づいて詳細な分析を行う定量的なものと、事故や故障の発生の頻度や事故の損害の大きさを幾つかの大まかな段階に分けて
80 安全安心社会研究
分析を行う定性的なものがある。しかし、実際の適用にあたっては、定量的なリスクアセスメントにおいては適用するデータの確かさを保証するうえでもコストのうえでも課題があり、定性的なリスクアセスメントでは機能安全として鉄道信号で要求されるより定量的なSIL(SIL 4, 10-9 THR<10-8)との整合性の確保にむずかしさがあった。
具体的に、VDE V 0831-100では事故の損害の大きさに関してT:事故のタイプ(衝突:3,脱線:2,小規模衝突:1)A:死傷者(大多数:4,多数:3,少数:2,極僅か:1)V:列車速度(超高速:8,160km/h以下:7,80km/h以下:5
40km/h以下:3,25km/h以下:2)を挙げ、それぞれの程度を定性的な記述で分類している。定性的に分類した各程度には0~ 8の数値を割り付けており、T ~ Vに対して程度に応じた評価量が定まる。また、事故の回避に関して
G:事故の回避(不可能:4,不利条件下でスキル要:3,好条件下でスキル要:2,不利条件下で規則行動要:1)
を挙げ、同様に定性的な記述によって分類した程度に0~ 4の数値を割り付ける。さらに、故障の頻度に関しても同様に
H:故障頻度(毎日:17,~ 10年に1回:10,~ 30万年に1回:1)としており、故障頻度に応じた評価量が決定される。最終的には、リスクアセスメントの対象となる信号システムに対し
て、上記の故障頻度Hの評価量、事故の損害のT ~ Vの各評価量の和、事故の回避Gの評価量の総和
R=H + T + A +V + Gを求め、その総和量から信号システムに求められるSIL(THR)をリスクアセスメント結果として表から得ることができる。上記VDE V 0831-100の場合と同様に、鉄道側だけの条件を扱う
ことによって列車制御システムに要求されるSILを決定する手法につ
調査研究 81
調査研究
いて、BP-Practiceとして体系化する取り組みが行われている10)。これらの手法では、社会リスク指標値との関係を定性的に分類したパラメータに適切に反映されていることが極めて重要である。そのため、ケーススタディによるパラメータ精度の向上が必要である。さらに、このような取り組みをリスクグラフのパラメータにも適用
して、リスクグラフのパラメータの加減算からSILを直接求める提案も行われている11)。
4. CSMs による安全管理
前述したように、EU域内の鉄道の安全向上を目的とした鉄道安全指令が2004年に制定された。具体的なEU内鉄道の安全管理CSMsの手法として、安全レベルと安全要件への適合アセスメントのための手法をEU規定として2009年に発行された12)。このリスク評価とアセスメント手法は、列車制御システムの認証に
も関係し、最初にハザードの同定および分類が行われ、列車制御システムに大きな変更があると判断されたときのみ、CSMsが適用される。その際、 a. 既存の規格類(code of practice) b. 同様な参照システム(similar reference system) c. 明示的なリスク評価(explicit risk estimation)
の 3つのリスク許容原則がとられる。これは、既に使用されている規格類や同様な参照システムがあれば、それら従来からの安全確保の方法の適用を認め、該当する従来からの方法が適当でないときのみ明示的なリスク評価を行おうというものである。コンピュータ制御による列車制御システムにおいても、フェール
セーフ技術が組込まれ、その技術的要件は安全規格でも規定されている1)。CSMsの適用においても、その重要性は変わらない。
82 安全安心社会研究
また、安全とシステム機能の両者を向上させるための方法として、RAMS(Reliability, Availability, Maintainability and Safety)が列車制御システム、車両システムなどの鉄道システムを対象として導入が進められている3)。RAMSでは、安全と列車運行の定時性の2つが重要とされ、システムの安全性と信頼性を実現する機能安全を包含するプロセス管理となっている。
5. あとがき
機能安全の観点から鉄道の列車制御システムのリスクベース安全管理について述べた。列車制御システムのように安全を定義できるシステムは多く、リスクベースの安全管理においても、システムの設計では過度に定量的な安全性評価に重点を置くべきではない。安全関連系に構造としての安全を組込みことが有効であり、そのためにも汎用的で低コストな安全技術が必要とされる。
《参考文献》1)IEC 62425 Railway applications - Communication, signalling and
processing systems ‒ Safety-related electronic systems for signaling (2007)
2)IEC 62279 Railway applications - Communications, signalling and processing systems - Software for railway control and protection systems (2002)
3)IEC 62278 Railway applications - Specifi cation and demonstration of reliability, availability,maintainability and safety (RAMS) (2002)
4)Directive 2004/49/EC on Safety on the safety of Communitys’railway (Railway Safety Directive) (2004)
5)ERA: Recommendation on the 1st Set of Common Safety Targets
調査研究 83
調査研究
as referred to in Article 7 of Directive 2004/49/EC (ERA/REC/03-20009/SAF) (2009)
6)Examples of some risk acceptance principles, Annex D, pp.76-79, IEC 62278 (2002)
7)秋田、荻野:鉄道の事故実績に基づく許容リスク水準の一考察、日本信頼性学会誌、pp.71-79, Vol.27, No.1(2005)
8)Jens Braband, Karl Lennartz: Risikoorientierte Aufteilung von Sicherheits-anforderungen ‒ ein Beispiel, pp.121-131, Die CENELEC-Normen zur Funktionalen Sicherheit, Europress (2006)
9)DIN V VDE V 0831-100 Elektrische Bahn-Signalanlagen ‒ Teil 100: Risikoorientierte Beurteilung von potenziellen Sicherheitsmängeln und risikoreduzierende Maßnahmen (2009)
10)Sonia-Lara Bepperling, Audreas Schöbel: Estimation of Safety Requirements for Wayside Hot Box Detection Systems, pp.135-143, FORMS/FORMAT 2010, Springer (2010)
11)Jens Braband: On a Standard Representation of Semi-quantitative Approaches for Risk Assessment, pp.206-213, FORMS/FORMAT 2012, Technische Universität Braunschweig (2012)
12)Commission Regulation (EC) No.352/2009 of 24 April 2009 on the adoption of a common safety method on risk evaluation and assessment as referred to in Article 6(3)(2) of Directive 2004/49/EC of the European Parliament and of the Council (2009)
【本記事は、信頼性2011年12号展望に一部加筆】
84 安全安心社会研究
