JP2004341814A - Sil (safety-integrity levels) monitor and design supporting device using sil model - Google Patents

Sil (safety-integrity levels) monitor and design supporting device using sil model Download PDF

Info

Publication number
JP2004341814A
JP2004341814A JP2003137393A JP2003137393A JP2004341814A JP 2004341814 A JP2004341814 A JP 2004341814A JP 2003137393 A JP2003137393 A JP 2003137393A JP 2003137393 A JP2003137393 A JP 2003137393A JP 2004341814 A JP2004341814 A JP 2004341814A
Authority
JP
Japan
Prior art keywords
safety
safety level
sil
design
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003137393A
Other languages
Japanese (ja)
Inventor
Yasuo Tanabe
安雄 田辺
Takuya Kawahara
卓也 川原
Akihiro Ichizuka
昭弘 市塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2003137393A priority Critical patent/JP2004341814A/en
Publication of JP2004341814A publication Critical patent/JP2004341814A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To rationalize safety design and to improve the efficiency of design by performing quantitative safety design by using an SIL model. <P>SOLUTION: The design supporting device 10 is provided with a design parameter input part 12 for receiving the input of design parameter values of a safety-related apparatus which are necessary for the purpose of evaluating the SIL of the safety-related apparatus by using the SIL model, an SIL target value input part 14 for receiving the input of target values for the SIL of the safety-related apparatus and a display part 30 for calculating the SIL of the safety-related apparatus on the basis of the SIL model by using the values of respective design parameters inputted to the design parameter input part 12 and displaying the calculated result and the target values inputted to the SIL target value input part 14. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、SIL(Safety−Integrity Levels)モニタ、およびSILモデルを用いた設計支援装置に係り、更に詳しくは、例えば自動車のブレーキのような安全関連機器のリスクをその作動確認を行うことによって定量的に把握するSILモデルを用いたモニタと、SILモデルを用いて安全関連機器の設計パラメータの値の妥当性を評価する設計支援装置に関する。
【0002】
【従来の技術】
従来、化学プラントや原子力プラント、鉄道、自動車及び医療機器等の産業における安全に関わるシステムや電子機器等(安全関連機器と呼ぶ)の安全設計において、SIL(Safety Integrity Level)というリスク軽減率を用いた考え方は確立されていなかった。
【0003】
しかし、近年、安全に関わる規格として制定された国際規格IEC 61508、およびJIS規格のJIS C 0508においては、安全関連機器の安全性をより高めるためにSILという概念を導入して、リスクを軽減する安全設計手法が開発され、推奨されている。
【0004】
下記非特許文献1乃至5に記載されているように、SILは用途に応じて、低頻度作動要求モード(待機系)と高頻度作動要求モード(連続系)毎に4つの段階(SIL1〜SIL4)に分類され、潜在するリスクを目標とするリスクまで低減するための軽減率として定義されている。
【0005】
例えば、安全関連機器において、リスクが大きいと想定される場合はより高いレベルのSILが要求され、逆にリスクが小さいと想定される場合は低いSILレベルが割り当てられる。
【0006】
また、SILの計算は安全関連機器である各機器の故障確率、故障の修復率、自己診断率、プルーフテストの頻度、平均修復時間等の入力用のデータと、共通原因故障を取り扱う数学モデルであるβファクタモデル等の複雑なモデル式を用いて求められる。これらの詳細については下記非特許文献1乃至5に詳しい。
【0007】
【非特許文献1】
加藤栄一、佐藤吉信、堀籠教夫著「機能安全規格案における安全度水準モデルについて」、電子情報通信学会論文誌(A)、Vol. J82−A−No.2, pp247−255, Feb. 1999.
【0008】
【非特許文献2】
加藤栄一、佐藤吉信、堀籠教夫著「機能安全規格案における安全度水準モデルについて−前報におけるアルゴリズムの若干の修正−」、信学技報、R99−18 (1999−11).
【0009】
【非特許文献3】
川原卓也、佐藤吉信著「自己故障診断のある場合の安全度水準について」、信学技報、R2000−16 (2000−9).
【0010】
【非特許文献4】
川原卓也、市塚昭弘、佐藤吉信、龍偉著「自己故障診断を有する安全度水準の安全度水準モデル」、信学技報、R2000−49 (2001−3).
【0011】
【非特許文献5】
川原卓也、市塚昭弘、佐藤吉信、龍偉著「状態遷移モデルを用いた自己故障診断によるリスク軽減効果の解析」、信学技報、R2001−3 (2001−5).
【0012】
【発明が解決しようとする課題】
ところで、各産業の安全関連機器の設計において、上述の従来技術ではSILの割当てやSILの評価を行う場合に、計算に必要な入力条件の故障確率、自己診断率、故障の修復率のデータ等を用意するのに時間がかかり、また、設計時に条件を変えてSILの繰り返し計算をすることが必要な場合にも、データが多数のため、従来の手法ではすぐに結果が得られず、効率的ではなかった。
【0013】
そのため、リスクを定量的に把握することにより、安全評価の品質の向上を図ることが可能なSILモニタの開発と、SILモデルを適用することにより、設計効率の向上を図ることが可能なSIL評価支援ツールの開発が求められている。
【0014】
本発明はこのような事情に鑑みてなされたものであり、その第1の目的は、安全評価の品質の向上を図ることが可能なSILモニタを提供することにある。
【0015】
また、その第2の目的は、SILモデルを用い定量的な安全設計を行うことによって安全設計の合理化および設計効率の向上を図ることが可能な設計支援装置を提供することにある。
【0016】
【課題を解決するための手段】
上記の目的を達成するために、本発明では、以下のような手段を講じる。
【0017】
すなわち、請求項1の発明は、安全関連機器を任意のタイミングで作動させ、作動確認することによって安全関連機器の安全度水準を評価するSILモデルを用いて、安全関連機器の安全度水準を評価し、評価結果に基づいて安全関連機器の設計支援を行う設計支援装置であって、SILモデルを用いて安全関連機器の安全度水準を評価するために必要な安全関連機器の設計パラメータの値の入力を受け付ける設計パラメータ入力手段と、安全関連機器の安全度水準の目標値の入力を受け付ける安全度水準目標値入力手段と、設計パラメータ入力手段に入力された各設計パラメータの値を用いてSILモデルに基づいて安全関連機器の安全度水準を計算する安全度水準計算手段と、安全度水準目標値入力手段に入力された目標値と、安全度水準計算手段によって計算された安全度水準とを表示する表示手段とを備えている。
【0018】
従って、請求項1の発明の設計支援装置においては、以上のような手段を講じることにより、入力された各設計パラメータに基づいて安全度水準を計算し、この計算された安全度水準を目標値と比較することができる。
【0019】
請求項2の発明は、請求項1の発明の設計支援装置において、安全度水準計算手段によって計算された安全度水準が目標値以上である場合には設計パラメータ入力手段に入力された各設計パラメータの値が安全関連機器の設計値として妥当であると判定する安全度水準判定手段と、安全度水準計算手段によって計算された安全度水準が目標値未満である場合には安全度水準と目標値とを表示し設計パラメータの値の変更を促す入力変更要求手段とを更に備えている。
【0020】
従って、請求項2の発明の設計支援装置においては、以上のような手段を講じることにより、各設計パラメータに基づいて計算された安全度水準を目標値と比較することができる。そして、計算された安全度水準が目標値を満足しない場合には設計パラメータの値を適宜変更することができる。
【0021】
請求項3の発明は、請求項2の発明の設計支援装置において、安全度水準判定手段によって妥当であると判定された各設計パラメータの値を用いて安全関連機器を設計した場合におけるコストを評価するコスト評価手段と、コスト評価手段によって評価されたコストが、予め定めた上限コスト以下である場合には、設計パラメータ入力手段に入力された各設計パラメータの値を用いて設計した安全関連機器のコストが妥当であると判定するコスト判定手段とを備えている。そして入力変更要求手段は、コスト評価手段によって評価されたコストが予め定めた上限コストを超える場合にはこのコストと上限コストとを表示し設計パラメータの値の変更を促すようにしている。
【0022】
従って、請求項3の発明の設計支援装置においては、以上のような手段を講じることにより、目標値以上の安全度水準を達成した設計パラメータの値であって、さらにこの値を用いて設計した安全関連機器のコストが現実的な範囲である場合にのみこの設計パラメータの値を採用することができる。その結果、安全関連機器の信頼性の向上を、現実的なコストで実現することが可能となる。
【0023】
請求項4の発明は、請求項1の発明の設計支援装置において、安全度水準計算手段によって計算された安全度水準が目標値未満である場合には安全度水準が目標値以上になるような各設計パラメータの値をSILモデルに基づいて計算する設計パラメータ逆算手段を備えている。
【0024】
従って、請求項4の発明の設計支援装置においては、以上のような手段を講じることにより、目標値以上の安全度水準を達成するような設計パラメータを計算することができる。更に、このように計算された設計パラメータの値を用いて安全関連機器を設計することによって、安全関連機器の信頼性の向上を図ることが可能となる。
【0025】
請求項5の発明は、安全関連機器を任意のタイミングで作動させ、作動確認することによって安全関連機器の安全度水準を評価するSILモデルを用いて、安全関連機器の安全度水準を評価し、評価された安全度水準を表示するSILモニタであって、安全関連機器が適用された装置の運転データを取得する運転データ取得手段と、運転データ取得手段によって取得された運転データおよび安全関連機器の仕様データを用いてSILモデルに基づいて安全関連機器の安全度水準を計算する安全度水準計算手段と、安全度水準計算手段によって計算された安全度水準に基づいて安全関連機器が故障する確率である故障確率を計算する故障確率計算手段と、故障確率計算手段によって計算された故障確率を表示する故障確率表示手段とを備えている。
【0026】
従って、請求項5の発明のSILモニタにおいては、以上のような手段を講じることにより、運転中の装置に適用された安全関連機器の故障確率をほぼリアルタイムで把握することができる。その結果、故障確率が高くなった場合には、安全関連機器の作動確認等を行うことにより故障を検知できるため、当該安全関連機器を取り替える等して所定の安全水準を維持することが可能となる。
【0027】
請求項6の発明は、請求項5の発明のSILモニタにおいて、故障確率計算手段によって計算された故障確率が予め定めた閾故障確率を超えた場合には安全関連機器を作動させるように報知する報知手段を備えている。
【0028】
従って、請求項6の発明のSILモニタにおいては、以上のような手段を講じることにより、運転中の装置に適用された安全関連機器の故障確率が、予め定めた閾故障確率を超えた場合には、安全関連機器を作動させるように報知される。したがって、これに基づいて安全関連機器を作動させ、作動確認を行うことにより故障を検知できるため、当該安全関連機器を取り替える等して所定の安全水準を維持することが可能となる。
【0029】
【発明の実施の形態】
以下に、本発明の各実施の形態について図面を参照しながら説明する。
【0030】
(第1の実施の形態)
本発明の第1の実施の形態を図1から図4を用いて説明する。
【0031】
図1は、第1の実施の形態に係るSIL設計支援装置10の一例を示す機能ブロック図である。
【0032】
すなわち、本実施の形態に係るSIL設計支援装置10は、自動車のブレーキのような非定常作動機器を任意のタイミングまたは所定の周期で作動させてプルーフ試験を行い、作動確認することによって非定常作動機器の安全度水準を評価するSILモデルを用いて、非定常作動機器の安全度水準を評価し、評価結果に基づいて非定常作動機器の設計支援を行う装置である。なお、ここでいう非定常作動機器は安全関連機器の一種である。SIL設計支援装置10は、設計パラメータ入力部12と、安全度水準目標値入力部14と、パラメータデータベース16と、安全度水準計算部18と、安全度水準判定部20と、コスト評価部24と、コスト判定部26と、設計パラメータ逆算部28、表示部30とを備えている。
【0033】
設計パラメータ入力部12は、キーボードやマウス等の入力デバイスを備えており、オペレータがこの入力デバイスを操作することによって、SILモデルを用いて非定常作動機器の安全度水準を評価するために必要な非定常作動機器の設計パラメータの値の入力するようにしている。そして、オペレータによって設計パラメータの値が入力されると、これら設計パラメータの値を、安全度水準計算部18へと出力する。
【0034】
安全度水準目標値入力部14は、キーボードやマウス等の入力デバイスを備えており、非定常作動機器の安全度水準の目標値の入力を受け付けるようにしている。そして、オペレータによってこの目標値が入力されると、この目標値を、安全度水準判定部20へと出力する。なお、安全度水準目標値入力部14が備えている入力デバイスは、設計パラメータ入力部12が備えている入力デバイスと共用するようにしても良い。
【0035】
パラメータデータベース16は、安全度水準計算部18が安全度水準の計算を行うために必要なデータである故障確率、自己診断率、平均修復時間等を予め格納している。そして、パラメータデータベース16に格納されたこれら各データは、安全度水準計算部18が行う計算に用いられるようにしている。
【0036】
安全度水準計算部18は、設計パラメータ入力部12に入力された各設計パラメータの値、およびパラメータデータベース16に格納されているデータを用いて、SILモデルに基づいて、非定常作動機器の安全度水準を計算する。そして、計算結果である安全度水準を、安全度水準判定部20へと出力する。
【0037】
安全度水準判定部20は、安全度水準計算部18から出力された安全度水準と、安全度水準目標値入力部14から出力された安全度水準の目標値とを比較する。そして、安全度水準計算部18から出力された安全度水準が、安全度水準目標値入力部14から出力された安全度水準の目標値以上である場合には、設計パラメータ入力部12に入力された各設計パラメータの値が、非定常作動機器の設計値として妥当であると判定する。そして、このように判定した判定結果、妥当と判定された各設計パラメータの値、安全度水準計算部18から出力された安全度水準、および安全度水準目標値入力部14から出力された安全度水準の目標値を、表示部30とコスト評価部24へ出力する。
【0038】
一方、安全度水準計算部18から出力された安全度水準が、安全度水準目標値入力部14から出力された安全度水準の目標値未満である場合には、設計パラメータ入力部12に入力された各設計パラメータの値が、非定常作動機器の設計値として妥当ではないと判定する。そして、このような妥当ではないものと判定された各設計パラメータの値、安全度水準計算部18から出力された安全度水準、および安全度水準目標値入力部14から出力された安全度水準の目標値を、表示部30と設計パラメータ逆算部28へ出力する。
【0039】
コスト評価部24は、安全度水準判定部20から出力された各設計パラメータの値に基づいて、この各設計パラメータの値を用いて非定常作動機器を設計した場合におけるコストを評価する。そして、評価結果であるコストをコスト判定部26へと出力する。
【0040】
コスト判定部26は、コスト評価部24から出力されたによって評価されたコストが、予め定めた上限コスト以下である場合には、設計パラメータ入力部12に入力された各設計パラメータの値を用いて設計した非定常作動機器のコストが妥当であると判定する。そして、その判定結果を表示部30へと出力する。
【0041】
設計パラメータ逆算部28は、安全度水準計算部18によって計算された安全度水準が、安全度水準の目標値以上になるような各設計パラメータの値を、SILモデルに基づいて計算する。この場合、ある一つの設計パラメータの値のみを変数とし、その他全ての設計パラメータの値を固定した計算を行う。そして、ある一つの設計パラメータの値を変数とした計算が終了すると、次に、別の設計パラメータの値を変数とし、その他全ての設計パラメータの値を固定した計算を行う。これを繰り返すことにより、全ての設計パラメータを変数とした計算を行い、安全度水準が目標値以上になるような設計パラメータの値の組み合わせを求める。そして、このように計算された設計パラメータの値の組み合わせを表示部30に出力する。
【0042】
表示部30は、安全度水準判定部20から出力された判定結果、各設計パラメータの値、安全度水準、安全度水準の目標値を表示する。このように表示された結果を参照することによって、オペレータは、設計パラメータの値が妥当なのか否かを把握することができる。
【0043】
すなわち、安全度水準計算部18から各設計パラメータの値が妥当であるとの判定結果が出力された場合には、各設計パラメータの値が妥当であることを確認するとともに、安全度水準、および安全度水準の目標値を参照することによって、安全余裕を確認することができる。更に、この場合、コスト判定部26から出力されるコスト判定結果を参照することによって、この設計パラメータの値を用いて非定常作動機器を設計した場合のコスト妥当性を確認することができる。コスト的に満足しない場合には、オペレータは、設計パラメータの値の見直しを行い、見直した値を、設計パラメータ入力部12から入力し、安全度水準およびコストの評価を再度行う。
【0044】
一方、安全度水準計算部18から各設計パラメータの値が妥当ではないとの判定結果が出力された場合には、この判定結果を表示することによって、オペレータに対して設計パラメータの値の見直しを促す。また、この場合、設計パラメータ逆算部28から出力された、安全度水準の目標値を満足するような各設計パラメータの値の組み合わせもまた表示するので、オペレータは、これを参照して、表示された組み合わせの中から適切な設計パラメータの値を決定するか、あるいは、設計パラメータの値の見直しを行い、見直した値を、設計パラメータ入力部12から入力し、安全度水準およびコストの評価を再度行う。
【0045】
次に、以上のように構成した本実施の形態に係るSIL設計支援装置の動作について、図2に示すフローチャートを用いて説明する。
【0046】
まず、本実施の形態に係るSIL設計支援装置10によって、自動車のブレーキのような非定常作動機器の設計を行う場合には、オペレータが、設計パラメータ入力部12のキーボードやマウス等の入力デバイスを操作することによって、非定常作動機器の安全度水準を評価するために必要な設計パラメータの値の入力する。そして、入力された設計パラメータの値は、安全度水準計算部18へと出力される(S1)。
【0047】
更に、同様にオペレータが、安全度水準目標値入力部14のキーボードやマウス等の入力デバイスを操作することによって、非定常作動機器の安全度水準の目標値を入力する。そして、入力された目標値は、安全度水準判定部20へと出力される(S2)。
【0048】
次に、安全度水準計算部18において、設計パラメータ入力部12に入力された各設計パラメータ、およびパラメータデータベース16に格納されているデータが用いられ、SILモデルに基づいて、非定常作動機器の安全度水準が計算される(S3)。そして、計算結果である安全度水準が、安全度水準判定部20へと出力される(S4)。
【0049】
ステップS4で出力された安全度水準は、安全度水準判定部20によって、安全度水準目標値入力部14から出力された安全度水準の目標値との比較がなされる(S5)。そして、安全度水準計算部18から出力された安全度水準が、安全度水準目標値入力部14から出力された安全度水準の目標値以上である場合(S6:Yes)には、設計パラメータ入力部12に入力された各設計パラメータの値が、非定常作動機器の設計値として妥当であると判定される(S7)。
【0050】
ステップS4において妥当と判定された各設計パラメータの値、安全度水準計算部18から出力された安全度水準、および安全度水準目標値入力部14から出力された安全度水準の目標値は、表示部30およびコスト評価部24へ出力される。そして、コスト評価部24では、安全度水準判定部20から出力された各設計パラメータの値に基づいて、この各設計パラメータの値を用いて非定常作動機器を設計した場合におけるコストが評価される。そして、評価結果であるコストがコスト判定部26へと出力される(S8)。
【0051】
コスト判定部26では、ステップS8においてコスト評価部24によって評価されたコストが、予め定めた上限コスト以下である場合(S9:Yes)には、設計パラメータ入力部12に入力された各設計パラメータの値を用いて設計した非定常作動機器のコストが妥当と判定される(S10)。そして、この判定結果、各設計パラメータの値、安全度水準、安全度水準の目標値が、表示部30から表示される。そして、表示された各設計パラメータの値に基づいて、非定常作動機器の設計が行われる。なお、コスト評価部24によって評価されたコストを、オペレータが参照し、オペレータ判断によって、そのコストが妥当であるか否かを決定するようにしてもよい。
【0052】
一方、ステップS8においてコスト評価部24によって評価されたコストが、予め定めた上限コストを超えている場合、あるいはオペレータ判断によって、妥当ではないとされた場合(S9:No)には、オペレータが、設計パラメータの値の見直しを行い、見直した値が、設計パラメータ入力部12から入力され(S11)、ステップS3以降の処理がなされる
一方、ステップS4で出力された安全度水準が、ステップS2で設定された安全度水準の目標値未満である場合(S6:No)には、設計パラメータ入力部12に入力された各設計パラメータの値が、非定常作動機器の設計値として妥当ではないものと判定される(S12)。そして、安全度水準計算部18によって計算された安全度水準が、安全度水準の目標値以上になるような各設計パラメータの値が、設計パラメータ逆算部28によって計算される(S13)。この場合、ある一つの設計パラメータの値のみが変数とされ、その他全ての設計パラメータの値が固定された計算が、SILモデルに基づいてなされる。そして、ある一つの設計パラメータの値を変数とした計算が終了すると、次に、別の設計パラメータの値が変数とされ、その他全ての設計パラメータの値を固定した計算が行われる。これを繰り返すことにより、全ての設計パラメータを変数とした計算が行われ、安全度水準が目標値以上になるような設計パラメータの値の組み合わせが求められる。そして、このように計算された設計パラメータの値の組み合わせが表示部30に出力される。
【0053】
ステップS13によって計算された各設計パラメータの値は、安全度水準の目標値、この設計パラメータの値に対応する安全度水準とともに表示部30から表示される。オペレータは、表示部30から表示されたこれらの結果に基づいて、各設計パラメータの値が妥当であることを確認するとともに、安全度水準、および安全度水準の目標値を参照することによって、安全余裕を確認することができる。更に、ステップS13によって計算された各設計パラメータの値に基づくコスト評価結果が、コスト評価部24に出力され、ステップS8で説明したようにしてコスト評価がなされる。
【0054】
上述したように、本実施の形態に係るSIL設計支援装置においては、上記のような作用により、SILモデルを用いて安全関連機器(例えば非定常作動機器)について、安全度水準の目標値を満足するような設計パラメータの値を設定することができる。したがって、このように設定された設計パラメータの値に基づいて安全関連機器の設計を行ったり、あるいは作動確認を行うことによって、安全関連機器の信頼性の向上を図ることが可能となる。
【0055】
また、設定した設計パラメータの値に基づきコスト評価を行うこともできるので、安全度水準の目標値に対する余裕が大きい場合には、その余裕が合理的な値になるように設計パラメータの値を見直すことによって、コストダウンを図ることも可能となる。
【0056】
本実施の形態に係るSIL設計支援装置は、例えば、自動車のブレーキや、化学プラントの安全制御系、一般プラントのプロセス機器等に適用可能である。
【0057】
自動車のブレーキの設計に適用した場合には、安全度水準の値に基づいて、ブレーキ部品の冗長度や危険頻度を決定したり、あるいはその安全度水準の走行時間依存性に基づいて、プルーフ試験の間隔を決定する。
【0058】
一方、例えば図3に示すように、化学プラントにおいて、反応容器32の圧力を制御する圧力制御系34の設計に適用した場合には、圧力制御系34を構成している圧力トランスミッタ36、圧力制御部38、ダイヤフラム39、およびダイヤフラム39によって制御される圧力調節バルブ40のおのおのの安全度水準を求める。そして、圧力制御系34の冗長度や危険頻度を決定したり、あるいは、当該化学プラントの運転時間に対する安全度水準の依存性に基づいて、プルーフ試験の間隔を決定する。
【0059】
そして、安全度水準の目標値を確保するために、圧力制御系34を2重化する必要がある場合には、例えば図4に示すように、圧力トランスミッタ44、保護ロジック回路46、モータ48および保護バルブ50から構成される圧力補助制御系42を備えるようにする。
【0060】
(第2の実施の形態)
本実施の形態では、SILモニタについて、図5から図7を用いて説明する。
【0061】
図5は、第2の実施の形態に係るSILモニタ52の一例を示す機能ブロック図である。
【0062】
すなわち、本実施の形態に係るSILモニタ52は、例えば自動車のブレーキのような非定常作動機器61を任意のタイミングあるいは所定周期で作動させて作動確認を行うプルーフ試験を行い、非定常作動機器の安全度水準を評価するSILモデルを用いて非定常作動機器61の安全度水準を評価するSILモニタであって、運転データ取得部54と、安全度水準計算部55と、故障確率計算部56と、故障確率表示部58と、故障確率判定部59と、報知部60とを備えている。
【0063】
運転データ取得部54は、非定常作動機器61が適用された装置62の運転実績である運転データを取得し、取得した運転データを安全度水準計算部55へと出力する。この運転データとは、例えば非定常作動機器61が自動車のブレーキの場合、ブレーキの使用実績を含んだ自動車の運転履歴に該当する。
【0064】
安全度水準計算部55は、運転データ取得部54よって取得された運転データ、および非定常作動機器61の性能を示すデータである仕様データを用いて、SILモデルに基づいて非定常作動機器61の安全度水準を計算し、計算結果を故障確率計算部56へと出力する。この仕様データとは、例えば非定常作動機器61が自動車のブレーキの場合、ブレーキが有している停止能力に該当する。
【0065】
故障確率計算部56は、安全度水準計算部55によって計算された安全度水準に基づいて、非定常作動機器61が故障する確率である故障確率を計算し、計算結果を故障確率表示部58および故障確率判定部59へと出力する。
【0066】
故障確率表示部58は、故障確率計算部56によって計算された故障確率を表示する。
【0067】
故障確率判定部59は、故障確率計算部56によって計算された故障確率と、予め定められた閾故障確率とを比較する。そして、故障確率計算部56によって計算された故障確率が、予め定められた閾故障確率を超えた場合には、報知部60から、アラームを発することによって、装置62の運転員に対して、非定常作動機器61を作動させ、プルーフ試験をさせるように促す。
【0068】
次に、以上のように構成した本実施の形態に係るSILモニタの動作について、図6および図7に示すフローチャートを用いて説明する。
【0069】
まず、本実施の形態に係るSILモニタによって非定常作動機器61の安全度水準を評価し、評価された安全度水準を表示するためには、運転データ取得部54によって、非定常作動機器61が適用された装置62の運転データが取得される(S21)。この取得された運転データは、過去に行った作動確認実績、すなわちプルーフ試験の実績が含まれており、運転データ取得部54から安全度水準計算部55へと出力される(S22)。
【0070】
次に、安全度水準計算部55によって、非定常作動機器61の仕様データが取得される(S23)。更に安全度水準計算部55では、ステップS22において運転データ取得部54から出力された運転データと、ステップS23において取得した仕様データとが用いられ、SILモデルに基づいて、非定常作動機器61の安全度水準が計算される(S24)。
【0071】
ステップS24で計算された安全度水準は、故障確率計算部56へと出力される。そして、故障確率計算部56では、この安全度水準に基づいて、非定常作動機器61の故障確率が計算される(S25)。そして、計算された故障確率は、故障確率表示部58および故障確率判定部59へと出力される。
【0072】
故障確率表示部58では、ステップS25で計算された故障確率が表示される(S26)。そして故障確率判定部59では、ステップS25で計算された故障確率と、予め定められた閾故障確率とが比較される(S27)。これによって、非定常作動機器61の安全度水準を定量的に把握することができる。例えば、ステップS25で計算された故障確率が閾故障確率に比べて十分小さい値であれば、非定常作動機器61の安全度水準は十分高いと判定することができる。また、ステップS25で計算された故障確率が閾故障確率に比べて僅かに小さい値であれば、非定常作動機器61の安全度水準は高いものの、十分に高い訳ではないと判定することができる。いずれにせよ故障確率計算部56によって計算された故障確率が、予め定められた閾故障確率を超えない場合(S28:Yes)には、非定常作動機器61は安全度水準を満足しているものと判定され(S29)処理を終了する。
【0073】
一方、故障確率計算部56によって計算された故障確率が、予め定められた閾故障確率を超えた場合(S28:No)には、安全度水準を満足していないものと判定される(S30)。この場合、報知部60からアラームが発せられ、装置62の運転員に対して非定常作動機器61を作動するように喚起がなされる(S31)。
【0074】
これに対して運転員が非定常作動機器61の作動確認をすることによってプルーフ試験がなされ、装置62の作動確認がなされる(S32)とともに、運転データが更新される。その後、ステップS21に戻り、更新された運転データに基づく非定常作動機器61の安全度水準の計算及び評価が繰り返しなされる。
【0075】
上述したように、本実施の形態に係るSILモニタにおいては、上記のような作用により、運転中の装置62に適用された非定常作動機器61の故障確率をほぼリアルタイムで把握することができる。
【0076】
その結果、非定常作動機器61の故障確率が高くなり、閾故障確率を超えた場合には、アラーム等により運転員に対して非定常作動機器61を作動するように喚起することができる。
【0077】
これに対して、運転員が非定常作動機器61を作動させ、作動確認を行うことにより故障を検知できるため、当該安全関連機器を取り替えるなどして所定の安全水準を維持することが可能となる。
【0078】
以上、本発明の好適な実施の形態について、添付図面を参照しながら説明したが、本発明はかかる構成に限定されない。特許請求の範囲の発明された技術的思想の範疇において、当業者であれば、各種の変更例及び修正例に想到し得るものであり、それら変更例及び修正例についても本発明の技術的範囲に属するものと了解される。例えば、本発明における安全関連機器は、安全に関わるシステムや電子機器等であればいかなるものでも適用可能であり、非定常作動機器か定常作動機器かを問わない。
【0079】
【発明の効果】
以上説明したように、本発明によれば、安全評価の品質の向上を図ることが可能なSILモニタを実現することができる。また、SILモデルを用い定量的な安全設計を行うことによって安全設計の合理化および設計効率の向上を図ることが可能な設計支援装置を実現することができる。
【図面の簡単な説明】
【図1】第1の実施の形態に係るSIL設計支援装置の一例を示す機能ブロック図。
【図2】第1の実施の形態に係るSIL設計支援装置の動作を示すフローチャート。
【図3】第1の実施の形態に係るSIL設計支援装置を化学プラントの圧力容器に適用した場合の装置構成の一例を示す概念図。
【図4】図3に示す圧力容器の圧力制御系を2重化した場合の装置構成の一例を示す概念図。
【図5】第2の実施の形態に係るSILモニタの一例を示す機能ブロック図。
【図6】第2の実施の形態に係るSILモニタの動作を示すフローチャート(前半)。
【図7】第2の実施の形態に係るSILモニタの動作を示すフローチャート(後半)。
【符号の説明】
10…SIL設計支援装置、12…設計パラメータ入力部、14…安全度水準目標値入力部、16…パラメータデータベース、18…安全度水準計算部、20…安全度水準判定部、24…コスト評価部、26…コスト判定部、28…設計パラメータ逆算部、30…表示部、32…圧力容器、34…圧力制御系、36…圧力トランスミッタ、38…圧力制御部、39…ダイヤフラム、40…圧力調節バルブ、42…圧力補助制御系、44…圧力トランスミッタ、46…保護ロジック回路、48…モータ、50…保護バルブ、52…SILモニタ、54…運転データ取得部、55…安全度水準計算部、56…故障確率計算部、58…故障確率表示部、59…故障確率判定部、60…報知部、61…非定常作動機器(安全関連機器)、62…装置[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an SIL (Safety-Integrity Levels) monitor and a design support apparatus using an SIL model, and more specifically, to determine the risk of a safety-related device such as a vehicle brake by confirming its operation. The present invention relates to a monitor using an SIL model that is grasped in a logical manner, and a design support device that evaluates the validity of the design parameter values of safety-related equipment using the SIL model.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, in the safety design of safety-related systems and electronic devices (referred to as safety-related devices) in industries such as chemical plants, nuclear power plants, railways, automobiles, and medical devices, a risk reduction rate called SIL (Safety Integrity Level) is used. The idea was not established.
[0003]
However, in recent years, the international standard IEC 61508, which has been established as a safety-related standard, and JIS C 0508, a JIS standard, introduce the concept of SIL in order to further enhance the safety of safety-related devices and reduce the risk. Safety design methods have been developed and recommended.
[0004]
As described in Non-Patent Documents 1 to 5 below, SIL has four stages (SIL1 to SIL4) for each of a low-frequency operation request mode (standby system) and a high-frequency operation request mode (continuous system) depending on the application. ) And is defined as the mitigation rate to reduce the potential risk to the target risk.
[0005]
For example, in a safety-related device, a higher level of SIL is required when it is assumed that the risk is large, and a lower SIL level is allocated when it is assumed that the risk is small.
[0006]
The SIL calculation is based on input data such as the failure probability, failure repair rate, self-diagnosis rate, proof test frequency, and average repair time of each safety-related device, and a mathematical model that handles common cause failures. It is obtained using a complex model formula such as a certain β factor model. Details of these are described in Non-Patent Documents 1 to 5 below.
[0007]
[Non-patent document 1]
Eiichi Kato, Yoshinobu Sato, and Norio Horigo, "On the Safety Level Model in Draft Functional Safety Standards," IEICE Transactions (A), Vol. J82-A-No. 2, pp247-255, Feb. 1999.
[0008]
[Non-patent document 2]
Eiichi Kato, Yoshinobu Sato, and Norio Horigo, "On the Safety Level Model in the Functional Safety Standard Proposal-Some Modifications of the Algorithm in the Previous Report-", IEICE Technical Report, R99-18 (1999-11).
[0009]
[Non-Patent Document 3]
Takuya Kawahara and Yoshinobu Sato, "Safety Levels with Self-diagnosis", IEICE Technical Report, R2000-16 (2000-9).
[0010]
[Non-patent document 4]
Takuya Kawahara, Akihiro Ichizuka, Yoshinobu Sato, Ryuwei, "Safety Level Model for Safety Level with Self-Diagnosis", IEICE Technical Report, R2000-49 (2001-3).
[0011]
[Non-Patent Document 5]
Takuya Kawahara, Akihiro Ichizuka, Yoshinobu Sato, Ryuwei, "Analysis of Risk Reduction Effect by Self-Diagnosis Using State Transition Model", IEICE Technical Report, R2001-3 (2001-5).
[0012]
[Problems to be solved by the invention]
By the way, in the design of safety-related equipment in each industry, when the SIL is assigned or the SIL is evaluated in the above-described related art, data such as a failure probability of input conditions necessary for calculation, a self-diagnosis rate, and a failure repair rate are used. It takes a long time to prepare the data, and when it is necessary to repeat the calculation of the SIL under different conditions at the time of design, there is a large amount of data. It was not a target.
[0013]
Therefore, the development of an SIL monitor capable of improving the quality of safety evaluation by quantitatively grasping the risk, and the SIL evaluation capable of improving the design efficiency by applying the SIL model There is a need to develop support tools.
[0014]
The present invention has been made in view of such circumstances, and a first object of the present invention is to provide an SIL monitor capable of improving the quality of safety evaluation.
[0015]
A second object of the present invention is to provide a design support apparatus capable of rationalizing safety design and improving design efficiency by performing quantitative safety design using an SIL model.
[0016]
[Means for Solving the Problems]
In order to achieve the above object, the present invention takes the following measures.
[0017]
That is, the invention of claim 1 evaluates the safety level of a safety-related device using an SIL model that evaluates the safety level of the safety-related device by operating the safety-related device at an arbitrary timing and confirming the operation. A design support apparatus for supporting the design of safety-related equipment based on the evaluation result, wherein a design parameter value of the safety-related equipment necessary for evaluating the safety level of the safety-related equipment using the SIL model is calculated. A design parameter input means for receiving input, a safety level target value input means for receiving input of a safety level target value of the safety-related equipment, and an SIL model using the values of the respective design parameters input to the design parameter input means. Safety level calculating means for calculating the safety level of the safety-related equipment based on the safety level target value input to the safety level target value input means, And a display means for displaying a safety integrity level calculated by the calculating means.
[0018]
Therefore, in the design support apparatus according to the first aspect of the present invention, by taking the above means, the safety level is calculated based on the input design parameters, and the calculated safety level is set to the target value. Can be compared to
[0019]
According to a second aspect of the present invention, in the design support apparatus according to the first aspect of the present invention, when the safety level calculated by the safety level calculating means is equal to or higher than a target value, each of the design parameters input to the design parameter input means is provided. Safety level determining means for determining that the value of the safety level is appropriate as the design value of the safety-related equipment, and the safety level and the target value if the safety level calculated by the safety level calculating means is less than the target value. And an input change requesting means for displaying the above and prompting the user to change the value of the design parameter.
[0020]
Therefore, in the design support apparatus according to the second aspect of the present invention, by taking the above measures, the safety level calculated based on each design parameter can be compared with the target value. If the calculated safety level does not satisfy the target value, the value of the design parameter can be changed as appropriate.
[0021]
According to a third aspect of the present invention, in the design support apparatus according to the second aspect of the present invention, the cost in the case where the safety-related equipment is designed using the values of the respective design parameters determined to be appropriate by the safety level determining means is evaluated. Cost evaluation means, and when the cost evaluated by the cost evaluation means is equal to or less than a predetermined upper limit cost, a safety-related device designed using the value of each design parameter input to the design parameter input means. A cost determining unit that determines that the cost is appropriate. When the cost evaluated by the cost evaluator exceeds the predetermined upper limit cost, the input change requester displays the cost and the upper limit cost to prompt the change of the value of the design parameter.
[0022]
Therefore, in the design support apparatus according to the third aspect of the present invention, by taking the above-described means, the design parameter value that achieves the safety level equal to or higher than the target value is further designed using this value. The value of this design parameter can be adopted only when the cost of the safety-related equipment is in a practical range. As a result, the reliability of the safety-related equipment can be improved at a realistic cost.
[0023]
According to a fourth aspect of the present invention, in the design support apparatus according to the first aspect of the present invention, when the safety level calculated by the safety level calculating means is less than the target value, the safety level becomes equal to or higher than the target value. There is provided a design parameter inversion means for calculating the value of each design parameter based on the SIL model.
[0024]
Therefore, in the design support apparatus according to the fourth aspect of the present invention, by taking the above measures, it is possible to calculate design parameters that achieve a safety level equal to or higher than the target value. Further, by designing the safety-related equipment using the values of the design parameters calculated as described above, it is possible to improve the reliability of the safety-related equipment.
[0025]
According to a fifth aspect of the present invention, a safety-related device is operated at an arbitrary timing, and the safety-related level of the safety-related device is evaluated using an SIL model that evaluates the safety level of the safety-related device by confirming the operation, An SIL monitor for displaying an evaluated safety level, wherein the operation data acquisition means acquires operation data of a device to which the safety-related equipment is applied, and the operation data and safety-related equipment acquired by the operation data acquisition means. Safety level calculating means for calculating the safety level of the safety-related device based on the SIL model using the specification data; and a probability of failure of the safety-related device based on the safety level calculated by the safety level calculating means. Failure probability calculation means for calculating a certain failure probability, and failure probability display means for displaying the failure probability calculated by the failure probability calculation means. .
[0026]
Therefore, in the SIL monitor according to the fifth aspect of the invention, by taking the above measures, the failure probability of the safety-related device applied to the operating device can be grasped almost in real time. As a result, when the probability of failure increases, the failure can be detected by confirming the operation of the safety-related devices and the like, so that it is possible to maintain the predetermined safety level by replacing the safety-related devices or the like. Become.
[0027]
According to a sixth aspect of the present invention, in the SIL monitor according to the fifth aspect of the present invention, when the failure probability calculated by the failure probability calculation means exceeds a predetermined threshold failure probability, a notification is made to activate the safety-related equipment. It is provided with a notification means.
[0028]
Therefore, in the SIL monitor according to the sixth aspect of the present invention, by taking the above measures, the failure probability of the safety-related device applied to the operating device exceeds the predetermined threshold failure probability. Is signaled to activate safety-related equipment. Therefore, a failure can be detected by activating the safety-related device based on this and confirming the operation, so that it is possible to maintain a predetermined safety level by replacing the safety-related device or the like.
[0029]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0030]
(First Embodiment)
A first embodiment of the present invention will be described with reference to FIGS.
[0031]
FIG. 1 is a functional block diagram illustrating an example of the SIL design support device 10 according to the first embodiment.
[0032]
In other words, the SIL design support apparatus 10 according to the present embodiment performs an unsteady operation by operating a non-stationary operation device such as an automobile brake at an arbitrary timing or a predetermined cycle to perform a proof test and confirming operation. This device evaluates the safety level of the non-stationary operation device using the SIL model for evaluating the safety level of the device, and provides design support for the non-stationary operation device based on the evaluation result. In addition, the unsteady operation device mentioned here is a kind of safety-related device. The SIL design support device 10 includes a design parameter input unit 12, a safety level target value input unit 14, a parameter database 16, a safety level calculation unit 18, a safety level determination unit 20, a cost evaluation unit 24, , A cost determination unit 26, a design parameter back calculation unit 28, and a display unit 30.
[0033]
The design parameter input unit 12 includes an input device such as a keyboard and a mouse. The operator operates the input device, and the operator operates the input device to evaluate the safety level of the unsteady operation device using the SIL model. The values of the design parameters of the non-stationary operation device are input. Then, when the values of the design parameters are input by the operator, the values of these design parameters are output to the safety level calculating unit 18.
[0034]
The safety level target value input unit 14 includes an input device such as a keyboard and a mouse, and receives an input of a safety level target value of an unsteady operating device. When the target value is input by the operator, the target value is output to the safety level determination unit 20. The input device provided in the safety level target value input unit 14 may be shared with the input device provided in the design parameter input unit 12.
[0035]
The parameter database 16 stores in advance data such as a failure probability, a self-diagnosis rate, and an average repair time that are necessary for the safety level calculation unit 18 to calculate the safety level. These data stored in the parameter database 16 are used for calculations performed by the safety level calculation unit 18.
[0036]
The safety level calculating unit 18 uses the values of the respective design parameters input to the design parameter input unit 12 and the data stored in the parameter database 16 to determine the safety level of the non-stationary operation device based on the SIL model. Calculate the level. Then, the calculated safety level is output to the safety level determination unit 20.
[0037]
The safety level determination unit 20 compares the safety level output from the safety level calculation unit 18 with the target value of the safety level output from the safety level target value input unit 14. When the safety level output from the safety level calculation unit 18 is equal to or greater than the target safety level output from the safety level target value input unit 14, the safety level is input to the design parameter input unit 12. It is determined that the values of the respective design parameters are appropriate as the design values of the unsteady operating device. Then, the determination result thus determined, the value of each design parameter determined to be valid, the safety level output from the safety level calculation unit 18, and the safety level output from the safety level target value input unit 14 The target value of the level is output to the display unit 30 and the cost evaluation unit 24.
[0038]
On the other hand, if the safety level output from the safety level calculation unit 18 is smaller than the safety level target value output from the safety level target value input unit 14, the safety level is input to the design parameter input unit 12. It is determined that the values of the respective design parameters are not appropriate as the design values of the unsteady operating device. Then, the values of the design parameters determined to be invalid, the safety level output from the safety level calculation unit 18, and the safety level output from the safety level target value input unit 14 are displayed. The target value is output to the display unit 30 and the design parameter reverse calculation unit 28.
[0039]
The cost evaluation unit 24 evaluates the cost in the case where the non-stationary operation device is designed using the values of the respective design parameters based on the values of the respective design parameters output from the safety level determining unit 20. Then, the cost as the evaluation result is output to the cost determination unit 26.
[0040]
When the cost evaluated by the cost output from the cost evaluation unit 24 is equal to or less than a predetermined upper limit cost, the cost determination unit 26 uses the value of each design parameter input to the design parameter input unit 12. It is determined that the cost of the designed non-stationary operation device is appropriate. Then, the determination result is output to the display unit 30.
[0041]
The design parameter back calculation unit 28 calculates, based on the SIL model, the value of each design parameter such that the safety level calculated by the safety level calculation unit 18 is equal to or more than the target value of the safety level. In this case, a calculation is performed in which only the value of one design parameter is used as a variable and the values of all other design parameters are fixed. Then, when the calculation using one design parameter value as a variable is completed, next, a calculation is performed with another design parameter value as a variable and all other design parameter values fixed. By repeating this, calculation using all design parameters as variables is performed, and a combination of design parameter values that makes the safety level equal to or higher than the target value is obtained. Then, the combination of the design parameter values thus calculated is output to the display unit 30.
[0042]
The display unit 30 displays the determination result output from the safety level determination unit 20, the value of each design parameter, the safety level, and the target value of the safety level. By referring to the result displayed in this way, the operator can grasp whether the value of the design parameter is appropriate.
[0043]
That is, when the determination result that the value of each design parameter is valid is output from the safety level calculation unit 18, while confirming that the value of each design parameter is valid, the safety level, and The safety margin can be confirmed by referring to the target value of the safety level. Furthermore, in this case, by referring to the cost determination result output from the cost determination unit 26, it is possible to confirm the validity of the cost when the non-stationary operation device is designed using the design parameter values. If the cost is not satisfied, the operator reviews the value of the design parameter, inputs the revised value from the design parameter input unit 12, and evaluates the safety level and the cost again.
[0044]
On the other hand, if the safety level calculation unit 18 outputs a determination result indicating that the value of each design parameter is not appropriate, this determination result is displayed to allow the operator to review the design parameter value. Prompt. In this case, a combination of values of each design parameter that satisfies the target value of the safety level output from the design parameter back calculation unit 28 is also displayed. The operator refers to this and displays the combination. An appropriate design parameter value is determined from the combination, or the design parameter value is reviewed, the revised value is input from the design parameter input unit 12, and the evaluation of the safety level and cost is performed again. Do.
[0045]
Next, the operation of the SIL design support apparatus according to the present embodiment configured as described above will be described with reference to the flowchart shown in FIG.
[0046]
First, when designing an unsteady operating device such as an automobile brake by the SIL design support apparatus 10 according to the present embodiment, an operator operates an input device such as a keyboard and a mouse of the design parameter input unit 12. By operating, the user inputs the values of the design parameters required to evaluate the safety level of the non-stationary operation device. Then, the input values of the design parameters are output to the safety level calculating unit 18 (S1).
[0047]
Further, similarly, the operator operates the input device such as the keyboard and the mouse of the safety level target value input unit 14 to input the target value of the safety level of the non-stationary operation device. Then, the input target value is output to the safety level determination unit 20 (S2).
[0048]
Next, in the safety level calculation unit 18, the design parameters input to the design parameter input unit 12 and the data stored in the parameter database 16 are used. A degree level is calculated (S3). Then, the calculated safety level is output to the safety level determination unit 20 (S4).
[0049]
The safety level output in step S4 is compared with the safety level target value output from the safety level target value input unit 14 by the safety level determination unit 20 (S5). If the safety level output from the safety level calculation unit 18 is equal to or greater than the target value of the safety level output from the safety level target value input unit 14 (S6: Yes), the design parameter is input. It is determined that the value of each design parameter input to the unit 12 is appropriate as the design value of the non-stationary operation device (S7).
[0050]
The values of the design parameters determined to be appropriate in step S4, the safety level output from the safety level calculation unit 18, and the target value of the safety level output from the safety level target value input unit 14 are displayed. It is output to the unit 30 and the cost evaluation unit 24. Then, based on the values of the respective design parameters output from the safety level determining unit 20, the cost evaluator 24 evaluates the cost in the case of designing the non-stationary operation device using the values of the respective design parameters. . Then, the cost as the evaluation result is output to the cost determination unit 26 (S8).
[0051]
When the cost evaluated by the cost evaluator 24 in step S8 is equal to or less than the predetermined upper limit cost (S9: Yes), the cost determiner 26 determines whether or not each of the design parameters input to the design parameter input unit 12 is present. It is determined that the cost of the unsteady operating device designed using the value is appropriate (S10). Then, as a result of the determination, the value of each design parameter, the safety level, and the target value of the safety level are displayed from the display unit 30. Then, the non-stationary operation device is designed based on the displayed values of the design parameters. The cost evaluated by the cost evaluation unit 24 may be referred to by an operator, and whether or not the cost is appropriate may be determined based on the operator's judgment.
[0052]
On the other hand, if the cost evaluated by the cost evaluation unit 24 in step S8 exceeds the predetermined upper limit cost, or if it is determined by the operator's judgment that the cost is not appropriate (S9: No), the operator The value of the design parameter is reviewed, the revised value is input from the design parameter input unit 12 (S11), and the processing after step S3 is performed.
On the other hand, if the safety level output in step S4 is less than the target value of the safety level set in step S2 (S6: No), the design parameters input to the It is determined that the value is not appropriate as the design value of the non-stationary operation device (S12). Then, the design parameter inverse calculation unit 28 calculates the value of each design parameter such that the safety level calculated by the safety level calculation unit 18 is equal to or more than the target value of the safety level (S13). In this case, the calculation in which only the value of one certain design parameter is used as a variable and the values of all other design parameters are fixed is performed based on the SIL model. When the calculation using the value of one design parameter as a variable is completed, next, the value of another design parameter is used as a variable, and the calculation is performed with the values of all other design parameters fixed. By repeating this, calculation using all the design parameters as variables is performed, and a combination of design parameter values such that the safety level becomes equal to or higher than the target value is obtained. Then, the combination of the design parameter values thus calculated is output to the display unit 30.
[0053]
The value of each design parameter calculated in step S13 is displayed from the display unit 30 together with the target value of the safety level and the safety level corresponding to the design parameter value. The operator confirms that the values of the respective design parameters are appropriate based on the results displayed from the display unit 30 and refers to the safety level and the target value of the safety level, thereby confirming the safety level. You can check the margin. Further, the cost evaluation result based on the value of each design parameter calculated in step S13 is output to the cost evaluation unit 24, and the cost evaluation is performed as described in step S8.
[0054]
As described above, the SIL design support device according to the present embodiment satisfies the target value of the safety level for safety-related devices (for example, non-stationary operation devices) using the SIL model by the above operation. Can be set. Therefore, it is possible to improve the reliability of the safety-related device by designing the safety-related device or confirming the operation based on the values of the design parameters set as described above.
[0055]
In addition, since the cost can be evaluated based on the set design parameter values, if the margin for the target value of the safety level is large, the design parameter values are reviewed so that the margin becomes a reasonable value. This also makes it possible to reduce costs.
[0056]
The SIL design support device according to the present embodiment can be applied to, for example, a brake of an automobile, a safety control system of a chemical plant, a process device of a general plant, and the like.
[0057]
When applied to the design of automobile brakes, the redundancy or danger frequency of brake parts is determined based on the value of the safety level, or the proof test is performed based on the travel time dependence of the safety level. Determine the spacing of
[0058]
On the other hand, as shown in FIG. 3, for example, when applied to the design of a pressure control system 34 for controlling the pressure of the reaction vessel 32 in a chemical plant, the pressure transmitter 36 constituting the pressure control system 34 includes a pressure control 36 The safety level of each of the part 38, the diaphragm 39, and the pressure regulating valve 40 controlled by the diaphragm 39 is determined. Then, the redundancy and the danger frequency of the pressure control system 34 are determined, or the interval of the proof test is determined based on the dependency of the safety level on the operation time of the chemical plant.
[0059]
When it is necessary to duplicate the pressure control system 34 in order to secure the target value of the safety level, for example, as shown in FIG. 4, the pressure transmitter 44, the protection logic circuit 46, the motor 48 and The pressure assist control system 42 including the protection valve 50 is provided.
[0060]
(Second embodiment)
In the present embodiment, the SIL monitor will be described with reference to FIGS.
[0061]
FIG. 5 is a functional block diagram illustrating an example of the SIL monitor 52 according to the second embodiment.
[0062]
That is, the SIL monitor 52 according to the present embodiment performs a proof test to check the operation by operating the non-stationary operation device 61 such as an automobile brake at an arbitrary timing or a predetermined cycle, and performs the proof test of the non-stationary operation device. An SIL monitor for evaluating the safety level of the non-stationary operation device 61 using the SIL model for evaluating the safety level, the operation data acquisition unit 54, the safety level calculation unit 55, the failure probability calculation unit 56 , A failure probability display unit 58, a failure probability determination unit 59, and a notification unit 60.
[0063]
The operation data acquisition unit 54 acquires operation data as operation results of the device 62 to which the unsteady operation device 61 is applied, and outputs the acquired operation data to the safety level calculation unit 55. This driving data corresponds to, for example, when the unsteady operating device 61 is a brake of an automobile, the driving history of the automobile including the actual use of the brake.
[0064]
The safety level calculation unit 55 uses the operation data acquired by the operation data acquisition unit 54 and the specification data that is data indicating the performance of the non-stationary operation device 61 to generate the non-stationary operation device 61 based on the SIL model. The safety level is calculated, and the calculation result is output to the failure probability calculation unit 56. The specification data corresponds to, for example, the stopping ability of the brake when the unsteady operating device 61 is an automobile brake.
[0065]
The failure probability calculation unit 56 calculates a failure probability, which is a probability that the non-stationary operation device 61 will fail, based on the safety level calculated by the safety level calculation unit 55, and displays the calculation result as the failure probability display unit 58 and It outputs to the failure probability determination unit 59.
[0066]
The failure probability display unit 58 displays the failure probability calculated by the failure probability calculation unit 56.
[0067]
The failure probability determination unit 59 compares the failure probability calculated by the failure probability calculation unit 56 with a predetermined threshold failure probability. When the failure probability calculated by the failure probability calculation unit 56 exceeds a predetermined threshold failure probability, an alarm is issued from the notification unit 60 to notify the operator of the device 62 of a non-operation. Activate the steady-state operating device 61 to urge a proof test.
[0068]
Next, an operation of the SIL monitor according to the present embodiment configured as described above will be described with reference to flowcharts shown in FIGS.
[0069]
First, in order to evaluate the safety level of the non-stationary operation device 61 with the SIL monitor according to the present embodiment and to display the evaluated safety level, the operation data acquisition unit 54 sets the non-stationary operation device 61 Operation data of the applied device 62 is acquired (S21). The acquired operation data includes the results of operation confirmation performed in the past, that is, the results of the proof test, and is output from the operation data acquisition unit 54 to the safety level calculation unit 55 (S22).
[0070]
Next, the safety level calculating unit 55 acquires specification data of the unsteady operating device 61 (S23). Further, the safety level calculation unit 55 uses the operation data output from the operation data acquisition unit 54 in step S22 and the specification data acquired in step S23, and uses the safety data of the non-stationary operation device 61 based on the SIL model. A degree level is calculated (S24).
[0071]
The safety level calculated in step S24 is output to the failure probability calculation unit 56. Then, the failure probability calculation unit 56 calculates the failure probability of the non-stationary operation device 61 based on the safety level (S25). Then, the calculated failure probability is output to the failure probability display unit 58 and the failure probability determination unit 59.
[0072]
The failure probability display unit 58 displays the failure probability calculated in step S25 (S26). Then, the failure probability determination unit 59 compares the failure probability calculated in step S25 with a predetermined threshold failure probability (S27). Thereby, the safety level of the unsteady operation device 61 can be grasped quantitatively. For example, if the failure probability calculated in step S25 is a value sufficiently smaller than the threshold failure probability, it can be determined that the safety level of the non-stationary operation device 61 is sufficiently high. If the failure probability calculated in step S25 is slightly smaller than the threshold failure probability, it can be determined that the safety level of the non-stationary operation device 61 is high but not sufficiently high. . In any case, when the failure probability calculated by the failure probability calculation unit 56 does not exceed a predetermined threshold failure probability (S28: Yes), the unsteady operation device 61 satisfies the safety level. Is determined (S29), and the process ends.
[0073]
On the other hand, when the failure probability calculated by the failure probability calculation unit 56 exceeds a predetermined threshold failure probability (S28: No), it is determined that the safety level is not satisfied (S30). . In this case, an alarm is issued from the notification unit 60, and the operator of the device 62 is alerted to operate the non-stationary operation device 61 (S31).
[0074]
On the other hand, the proof test is performed by the operator confirming the operation of the unsteady operation device 61, the operation of the device 62 is confirmed (S32), and the operation data is updated. Thereafter, the process returns to step S21, and the calculation and evaluation of the safety level of the non-stationary operation device 61 based on the updated operation data are repeated.
[0075]
As described above, in the SIL monitor according to the present embodiment, the failure probability of the non-stationary operation device 61 applied to the operating device 62 can be grasped almost in real time by the above operation.
[0076]
As a result, the failure probability of the non-stationary operation device 61 increases, and when the failure probability exceeds the threshold failure probability, it is possible to alert the operator to operate the non-stationary operation device 61 by an alarm or the like.
[0077]
On the other hand, a failure can be detected by the operator operating the non-stationary operation device 61 and confirming the operation, so that a predetermined safety level can be maintained by replacing the safety-related device or the like. .
[0078]
Although the preferred embodiments of the present invention have been described with reference to the accompanying drawings, the present invention is not limited to such configurations. Within the scope of the invented technical concept of the claims, those skilled in the art will be able to conceive various changes and modifications, and those changes and modifications will be described in the technical scope of the present invention. It is understood that it belongs to. For example, the safety-related device according to the present invention can be applied to any safety-related system or electronic device, regardless of whether it is a non-stationary operation device or a steady operation device.
[0079]
【The invention's effect】
As described above, according to the present invention, an SIL monitor capable of improving the quality of safety evaluation can be realized. Further, by performing a quantitative safety design using the SIL model, it is possible to realize a design support device capable of rationalizing the safety design and improving the design efficiency.
[Brief description of the drawings]
FIG. 1 is a functional block diagram showing an example of an SIL design support device according to a first embodiment.
FIG. 2 is a flowchart showing the operation of the SIL design support device according to the first embodiment.
FIG. 3 is a conceptual diagram showing an example of an apparatus configuration when the SIL design support apparatus according to the first embodiment is applied to a pressure vessel of a chemical plant.
FIG. 4 is a conceptual diagram showing an example of an apparatus configuration when a pressure control system of the pressure vessel shown in FIG. 3 is duplicated.
FIG. 5 is a functional block diagram showing an example of an SIL monitor according to a second embodiment.
FIG. 6 is a flowchart (first half) showing an operation of the SIL monitor according to the second embodiment.
FIG. 7 is a flowchart (second half) showing the operation of the SIL monitor according to the second embodiment.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... SIL design support apparatus, 12 ... Design parameter input part, 14 ... Safety level target value input part, 16 ... Parameter database, 18 ... Safety level calculation part, 20 ... Safety level determination part, 24 ... Cost evaluation part , 26: Cost determination unit, 28: Design parameter reverse calculation unit, 30: Display unit, 32: Pressure vessel, 34: Pressure control system, 36: Pressure transmitter, 38: Pressure control unit, 39: Diaphragm, 40: Pressure control valve , 42 ... pressure auxiliary control system, 44 ... pressure transmitter, 46 ... protection logic circuit, 48 ... motor, 50 ... protection valve, 52 ... SIL monitor, 54 ... operation data acquisition unit, 55 ... safety level calculation unit, 56 ... Failure probability calculation unit, 58: Failure probability display unit, 59: Failure probability determination unit, 60: Notification unit, 61: Unsteady operating device (safety-related device), 62: Device

Claims (6)

安全関連機器を任意のタイミングで作動させ、作動確認することによって前記安全関連機器の安全度水準を評価するSILモデル(Safety−Integrity Levels Model)を用いて、前記安全関連機器の安全度水準を評価し、評価結果に基づいて前記安全関連機器の設計支援を行う設計支援装置であって、
前記SILモデルを用いて前記安全関連機器の安全度水準を評価するために必要な前記安全関連機器の設計パラメータの値の入力を受け付ける設計パラメータ入力手段と、
前記安全関連機器の安全度水準の目標値の入力を受け付ける安全度水準目標値入力手段と、
前記設計パラメータ入力手段に入力された各設計パラメータの値を用いて、前記SILモデルに基づいて、前記安全関連機器の安全度水準を計算する安全度水準計算手段と、
前記安全度水準目標値入力手段に入力された目標値と、前記安全度水準計算手段によって計算された安全度水準とを表示する表示手段と
を備えた設計支援装置。Evaluate the safety level of the safety-related device using an SIL model (Safety-Integrity Levels Model) that evaluates the safety level of the safety-related device by operating the safety-related device at an arbitrary timing and confirming the operation. And a design support apparatus that performs design support of the safety-related equipment based on the evaluation result,
Design parameter input means for receiving an input of a value of a design parameter of the safety-related device necessary for evaluating a safety level of the safety-related device using the SIL model;
Safety integrity level target value input means for receiving input of a safety integrity level target value of the safety-related device,
Safety level calculating means for calculating a safety level of the safety-related equipment based on the SIL model, using a value of each design parameter input to the design parameter input means;
A design support apparatus comprising: a display unit that displays a target value input to the safety level target value input unit and a safety level calculated by the safety level calculation unit. 請求項1に記載の設計支援装置において、
前記安全度水準計算手段によって計算された安全度水準が、前記目標値以上である場合には、前記設計パラメータ入力手段に入力された各設計パラメータの値が、前記安全関連機器の設計値として妥当であると判定する安全度水準判定手段と、
前記安全度水準計算手段によって計算された安全度水準が、前記目標値未満である場合には、前記安全度水準と前記目標値とを表示し、前記設計パラメータの値の変更を促す入力変更要求手段と
を備えた設計支援装置。The design support apparatus according to claim 1,
If the safety level calculated by the safety level calculating means is equal to or higher than the target value, the value of each design parameter input to the design parameter input means is appropriate as the design value of the safety-related device. Safety degree level determining means for determining that
When the safety level calculated by the safety level calculating means is less than the target value, an input change request for displaying the safety level and the target value and prompting the user to change the value of the design parameter. Design support apparatus comprising: 請求項2に記載の設計支援装置において、
前記安全度水準判定手段によって妥当であると判定された各設計パラメータの値を用いて前記安全関連機器を設計した場合におけるコストを評価するコスト評価手段と、
前記コスト評価手段によって評価されたコストが、予め定めた上限コスト以下である場合には、前記設計パラメータ入力手段に入力された各設計パラメータの値を用いて設計した安全関連機器のコストが妥当であると判定するコスト判定手段とを備え、
前記入力変更要求手段は、前記コスト評価手段によって評価されたコストが、前記予め定めた上限コストを超える場合には、このコストと前記上限コストとを表示し、前記設計パラメータの値の変更を促すようにした設計支援装置。The design support apparatus according to claim 2,
Cost evaluation means for evaluating the cost when the safety-related equipment is designed using the values of the respective design parameters determined to be appropriate by the safety level determination means,
If the cost evaluated by the cost evaluation means is equal to or less than a predetermined upper limit cost, the cost of the safety-related equipment designed using the value of each design parameter input to the design parameter input means is appropriate. Cost determining means for determining that there is,
When the cost evaluated by the cost evaluator exceeds the predetermined upper limit cost, the input change requester displays the cost and the upper limit cost, and prompts the user to change the value of the design parameter. Design support device. 請求項1に記載の設計支援装置において、
前記安全度水準計算手段によって計算された安全度水準が、前記目標値未満である場合には、前記安全度水準が、前記目標値以上になるような前記各設計パラメータの値を、前記SILモデルに基づいて計算する設計パラメータ逆算手段を備えた設計支援装置。The design support apparatus according to claim 1,
If the safety level calculated by the safety level calculating means is less than the target value, the value of each of the design parameters such that the safety level becomes equal to or higher than the target value is converted into the SIL model. A design support device provided with a design parameter back calculation means for calculating based on the calculation. 安全関連機器を任意のタイミングで作動させ、作動確認することによって前記安全関連機器の安全度水準を評価するSILモデル(Safety−Integrity Levels Model)を用いて、前記安全関連機器の安全度水準を評価し、評価された安全度水準を表示するSILモニタであって、
安全関連機器が適用された装置の運転データを取得する運転データ取得手段と、
前記運転データ取得手段によって取得された運転データ、および前記安全関連機器の仕様データを用いて、前記SILモデルに基づいて、前記安全関連機器の安全度水準を計算する安全度水準計算手段と、
前記安全度水準計算手段によって計算された安全度水準に基づいて、前記安全関連機器が故障する確率である故障確率を計算する故障確率計算手段と、
前記故障確率計算手段によって計算された故障確率を表示する故障確率表示手段と
を備えたSILモニタ。Evaluate the safety level of the safety-related device using an SIL model (Safety-Integrity Levels Model) that evaluates the safety level of the safety-related device by operating the safety-related device at an arbitrary timing and confirming the operation. And an SIL monitor for displaying the evaluated safety level,
Operation data acquisition means for acquiring operation data of a device to which the safety-related device is applied,
Using the driving data obtained by the driving data obtaining unit and the specification data of the safety-related device, based on the SIL model, a safety level calculating unit that calculates a safety level of the safety-related device,
Failure probability calculation means for calculating a failure probability, which is a probability of failure of the safety-related device, based on the safety level calculated by the safety level calculation means,
A failure probability display means for displaying the failure probability calculated by the failure probability calculation means. 請求項5に記載のSILモニタにおいて、
前記故障確率計算手段によって計算された故障確率が、予め定めた閾故障確率を超えた場合には、前記安全関連機器を作動させるように報知する報知手段を備えたSILモニタ。The SIL monitor according to claim 5,
An SIL monitor including a notifying unit for notifying a user to activate the safety-related device when the failure probability calculated by the failure probability calculating unit exceeds a predetermined threshold failure probability.
JP2003137393A 2003-05-15 2003-05-15 Sil (safety-integrity levels) monitor and design supporting device using sil model Withdrawn JP2004341814A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003137393A JP2004341814A (en) 2003-05-15 2003-05-15 Sil (safety-integrity levels) monitor and design supporting device using sil model

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003137393A JP2004341814A (en) 2003-05-15 2003-05-15 Sil (safety-integrity levels) monitor and design supporting device using sil model

Publications (1)

Publication Number Publication Date
JP2004341814A true JP2004341814A (en) 2004-12-02

Family

ID=33527065

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003137393A Withdrawn JP2004341814A (en) 2003-05-15 2003-05-15 Sil (safety-integrity levels) monitor and design supporting device using sil model

Country Status (1)

Country Link
JP (1) JP2004341814A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008102630A (en) * 2006-10-17 2008-05-01 Toshiba Syst Technol Corp Software safety diagnosis system and program
JP2010191943A (en) * 2009-01-26 2010-09-02 Mitsubishi Electric Corp Safety diagnostic device and safety diagnostic method for safety control program
JP2010273481A (en) * 2009-05-22 2010-12-02 Toshiba Corp Power quality evaluation system
JP2012018500A (en) * 2010-07-07 2012-01-26 Toshiba Syst Technol Corp Hardware safety diagnosis device
JP2013015977A (en) * 2011-07-01 2013-01-24 Japan Certification Corp Safety integrity level evaluation support device
KR20140054016A (en) * 2011-07-04 2014-05-08 크노르-브렘제 레일 시스템즈(유케이) 리미티드 Braking system
JP2018156648A (en) * 2017-03-17 2018-10-04 ドゥサン ヘヴィー インダストリーズ アンド コンストラクション カンパニー リミテッド Gas turbine real time simulation system and its method
JP2019503002A (en) * 2015-12-22 2019-01-31 ビーダブリューエックスティー エムパワー、インコーポレイテッド Safety analysis evaluation apparatus and system safety analysis evaluation method based on data-driven workflow
CN113077186A (en) * 2021-04-27 2021-07-06 卡斯柯信号有限公司 Method and system for identifying track traffic safety integrity level

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008102630A (en) * 2006-10-17 2008-05-01 Toshiba Syst Technol Corp Software safety diagnosis system and program
JP2010191943A (en) * 2009-01-26 2010-09-02 Mitsubishi Electric Corp Safety diagnostic device and safety diagnostic method for safety control program
JP2010273481A (en) * 2009-05-22 2010-12-02 Toshiba Corp Power quality evaluation system
JP2012018500A (en) * 2010-07-07 2012-01-26 Toshiba Syst Technol Corp Hardware safety diagnosis device
JP2013015977A (en) * 2011-07-01 2013-01-24 Japan Certification Corp Safety integrity level evaluation support device
KR20140054016A (en) * 2011-07-04 2014-05-08 크노르-브렘제 레일 시스템즈(유케이) 리미티드 Braking system
KR101960400B1 (en) 2011-07-04 2019-03-20 크노르-브렘제 레일 시스템즈(유케이) 리미티드 Braking system
US11562114B2 (en) 2015-12-22 2023-01-24 Bwxt Mpower, Inc. Apparatus and method for safety analysis evaluation with data-driven workflow
JP2019503002A (en) * 2015-12-22 2019-01-31 ビーダブリューエックスティー エムパワー、インコーポレイテッド Safety analysis evaluation apparatus and system safety analysis evaluation method based on data-driven workflow
JP7287780B2 (en) 2015-12-22 2023-06-06 ビーダブリューエックスティー エムパワー、インコーポレイテッド Safety analysis evaluation device and system safety analysis evaluation method by data-driven workflow
US10990714B2 (en) 2015-12-22 2021-04-27 Bwxt Mpower, Inc. Apparatus and method for safety analysis evaluation with data-driven workflow
JP2018156648A (en) * 2017-03-17 2018-10-04 ドゥサン ヘヴィー インダストリーズ アンド コンストラクション カンパニー リミテッド Gas turbine real time simulation system and its method
US10890903B2 (en) 2017-03-17 2021-01-12 Doosan Heavy Industries & Construction Co., Ltd Real-time gas turbine simulation system and execution method thereof
CN113077186A (en) * 2021-04-27 2021-07-06 卡斯柯信号有限公司 Method and system for identifying track traffic safety integrity level
CN113077186B (en) * 2021-04-27 2023-04-28 卡斯柯信号有限公司 Rail transit safety integrity level identification method and system

Similar Documents

Publication Publication Date Title
Li et al. Remaining useful life prediction based on a general expression of stochastic process models
Chen et al. Identification of a driver steering model, and model uncertainty, from driving simulator data
Hong et al. An adaptive method for health trend prediction of rotating bearings
Tanwar et al. Imperfect repair modeling using Kijima type generalized renewal process
Du et al. Reliability-based design with the mixture of random and interval variables
KR100887433B1 (en) System, device, and methods for updating system-monitoring models
JP2004341814A (en) Sil (safety-integrity levels) monitor and design supporting device using sil model
EP1481299A1 (en) Method for assessing the integrity of a structure
US20200184373A1 (en) Recurrent Gaussian Mixture Model For Sensor State Estimation In Condition Monitoring
JP2021160031A5 (en)
JP2009282804A (en) Comparison/determination apparatus and comparison/determination method
Kawauchi et al. A new approach to production regularity assessment in the oil and chemical industries
Renganathan et al. An observer based approach for achieving fault diagnosis and fault tolerant control of systems modeled as hybrid Petri nets
US20080147361A1 (en) Methods and apparatus to monitor system health
Bae et al. A study on reliability centered maintenance planning of a standard electric motor unit subsystem using computational techniques
KR20170108730A (en) Apparatus for managing and examining performance of Ship Integrated Control System
JP2006285884A (en) Failure diagnosis method and control apparatus therewith
Chaudhry et al. Uncertainty assessment and false discovery rate control in high-dimensional Granger causal inference
JP2003005822A (en) System for managing equipment
Sztrik et al. Tool supported reliability analysis of finite-source retrial queues
Gupta et al. Finite difference solution to stochastic partial differential equations in reliability
Prawoto et al. A new direction in computational fracture mechanics in materials science: Will the combination of probabilistic and fractal fracture mechanics become mainstream?
Papadimitriou et al. Reliability analysis and random vibration of nonlinear systems using the adjoint method and projected differentiation
Kletting et al. Interval observer design based on Taylor models for nonlinear uncertain continuous-time systems
Li et al. On the Number of Bounded Renewals in Two-Unit Systems with Critical Components

Legal Events

Date Code Title Description
A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060801