2.4 ハザード解析演習 - 宇宙機ダイナミクス研究室

2.4 ハザード解析演習
Mission Success with Safety
開発フェーズとハザード解析
段階
設計審査
安全審査
概念/予備設計
基本設計
詳細設計
製造・試験
運用
▽
▽
▽
▽
予備設計審査
基本設計審査
詳細設計審査
認定試験後審査/
▽
▽
▽
▽
納入前審査
フェーズ0安全審査
フェーズI安全審査
フェーズII安全審査
フェーズIII安全審査
PHA
ハザード解析
SSHA, SHA
O&SHA
PHA：Preliminary Hazard Analysis (予備ハザード解析)
SSHA：Subsystem hazard Analysis (サブシステムハザード解析)
SHA：System Hazard Analysis (システムハザード解析)
O&SHA：Operating
& Support Hazard Analysis (運用及び支援ハザード解析)
Mission
Success with Safety
132
ハザード解析のステップ
対象システムの分析
ハザード原因の除去／制御
ハザード及び原因の識別
及びその検証方法の設定
リスクの見積り
はい
リスクの評価
いいえ
許容可能なリスク以下であ
るか？
はい
記録
リスクは許容可能に
なったか？
いいえ
いいえ
現状ではこれ以上のリスクを
低減できない？
はい
残留リスク対策
ハザード解析演習１
あなたはコーヒーメーカーの設計者です。
コーヒーメーカーのハザード(Hazard)を識別し、その原因(Cause)、影響
(Effect)を解析してみます。
コーヒーメーカーの機能
•100V電源
•コーヒー粉をセットし、タンクに
水を入れ、スイッチON
•ヒータにより加熱された湯がコー
ヒーを抽出
100V
•ホットプレートによる保温機能を
持つ
ON/OFFスイッチ
Mission Success with Safety
134
ハザード解析表
コーヒーメーカにおいて想定するハザードを識別し、シートに書き
込んでいきましょう
ハザード
Hazard
Source
Mechanism
Outcome
を書き込みま
しょう
ハザード原因
Causes
ハザードの影響
Effects
不安全な行為
想定される事故
から発生しうる
事故の大きさ、
規模
不安全な状態
既存の環境、
或いは変化す
る環境
内在する特性
Mission Success with Safety
「起こりうる」
最悪の結果
ハザード制御
Controls
次フェーズ設
計で盛り込む
べき、安全設
計(ハザード制
御)事項
(Worst Case)
135
Hazard
通電された部分への
接触による
感電
Causes
1. 不正なアース
2. 不適切な絶縁
・・・・
・・・・
Mission Success with Safety
Effects
Controls
感電の電気ショックに 1a. 正しいアースの実
よる死亡もしくは火傷施
・・・・
1b. 適切なアースプラ
グの使用 (分極もしく
は3又プラグ)
・・・・・
136
NOAA-N の転倒事故
2003年9月6日
大気観測衛星 (NOAA-N) の組立中に、横転台車から衛星が滑り落ち
た。(NOAA-Nを垂直方向から水平方向に転回中)
原因
衛星固定用のボルト24本を取り付けていなかった。
n
同タイプの横転台車を使う別の衛星プロジェクトの作業員が手順書を確
認せず、ボルト24本をNOAA用の台車に取り付けぬままにしていた。
n
別の作業員が衛星の状態をよく確認しないまま台車を動かした。
n
この種の作業は日常化されており、作業員の気のゆるみがあった。
n
作業内容の変更を、適切に手順書の明記できなかった。
Mission Success with Safety
137
学生の典型的な技術文書
授業では環境問題についての講議は開講され
ていませんが、自からの教養として収得して
いなければならない物と考がえます。そこで、
私はテーマが自由と言う事なので、これから
の科学、技術専問家には、不可決な環境問題
いついて、書うと想っている。
Mission Success with Safety
138
緻密に構成されるべき文章
事例１アメリカ
電子レンジで猫を暖めて死なす。
家電メーカに賠償命令
マニュアル文章を考えよ。
Mission Success with Safety
139
業務上過失致死罪
医者はメスと薬で人を殺し、
技術者は、機械で人を殺す。
機械は、文章と図面で製作される。
n
リコール
n
PL法
n
事故
緻密に構成された文章が不可欠
Mission Success with Safety
140
【Challenger号の爆発事故】
1986年1月28日
Mission Success with Safety
141
Mission Success with Safety
142
高所作業
落下に気をつけて
Mission Success with Safety
143
非常口
異常発生時には
退避しましょう
Mission Success with Safety
144
3. 故障の木解析 FTA (Fault Tree Analysis)
FTAとは、どんな解析？
「故障の木」は、どんな木？
Mission Success with Safety
145
ハザード解析の解析ステップ
事前準備
予備作業
対象システムの分析
ハザードの識別
ハザード原因の識別
墜落は作業台に手すりがないと
か安全帯をしないと起きる
安全要求の識別
リスク評価
リスクの見積もりと評価
リスクの低減
ハザード原因の除去/制御
ハザード制御方法の検証
Yes
残存リスクは許容可能か
記録
次フェーズの解析へ
No
Mission Success with Safety
解析の主要ステップを示したもの
実際の解析では、再評価/見直し等により必要なフィードバックを逐次実施する
146
3.1 FTAの概要
3.2 FTAによる解析のポイント
Mission Success with Safety
147
3.1 FTAの概要
FTAの概要
FTA (Fault Tree Analysis)
FTAは、米国ベル研究所が空軍からの委託を受け
1961年に開発。
現在では航空宇宙産業界、電気・電子産業界、原子
力産業界、プロセスプラント業界等の幅広い分野で
用いられており、主に設計開発段階で使用されてい
る。
識別されたハザードが事故に至る過程を解析し、事
故に至る原因を解析する演繹法の一つで原因解析型
手法。日本語では「故障の木解析」
事故/損害/損傷などの好ましくない結果の発生確率を定量的に
推定することも可能。
Mission Success with Safety
149
FTAの概要
FTAの特徴
■
■
システムに潜在する欠陥(故障、事故…)の発生構造をモデル化し、解析にすることに
より改善、対策の方法を見つけ出す手法
トップ事象である望ましくない事象を拾い出し特定する作業 (トップ事象例として、
“Loss of Crew”等)
■
■
■
■
■
■
■
■
結果から原因へと進む方向の解析
抽象的な事象から個別的/具体的事象へと展開する分析
FMEAと異なり、特定の事象に焦点を当て、これを詳しく解析する手法
故障論理の図式解析手法であるため、視覚に訴えることができ、情報交換のツール
として使用
一網打尽的な原因の拾い上げを意図
定性的ならびに定量的解析が可能
複合原因や共通原因を扱える
コンピュータツールがある
Mission Success with Safety
150
FTAの概要
事象(Event)
FTの頂上にくる事象、すなわちこれから解析しようとする事象を
「トップ事象(Top Event)」。望ましくない事象(爆発、火災、○○の不
具合…)
基本事象(Basic Event)
たとえば、リレーの接点の不良、スパークプラグの不良、タイヤの
パンク…は基本事象とされる。
ある事象が基本事象か否かの基準は明確でない。ケースバイケース。
操作ミス、読み違い、勘違い等の単純なヒューマンエラーは、基本
事象として扱われる。
否展開事象(Undeveloped Event)
設計段階の比較的早い段階にFTAを実施した場合、欠陥事象ではある
が、その段階で詳細な原因究明を実施するためには必要な情報が不
足であったり、ブラックボックスで内容が十分判明していない場合、
否展開事象として、後に解析を行う場合もある。
Mission Success with Safety
151
FTAの概要
通常事象(Normal (House) Event)
欠陥といえない事象や、常態で発生すると思われる事象。たとえば、
晴天、降雨、湿度などの環境状態や、火災における「空気の存在」、
操作の通常の手順など。この種の事象はそれ以上展開されることは
まれで、FTの枝もストップする。
移行記号(Transfer Symbol)
FT図を描いていくと、ツリーの枝の展開の途中で重複する部分が出
てくる。この場合は、一方の枝は最後まで展開を進めるが、他方は
そこで止め、移行記号を用いて相互に結び付ける。
FT図の重複する部分を除き、ツリーを簡素化するのに役立つ。
FT図が一枚の紙に描ききれないで分割して描く場合に、ツリーの接
続を示すためにも使用できる。
Mission Success with Safety
152
FTAの概要
FTAに用いられる記号（基本的なもの）
No．
記号
名称
説
明
出力
ＡＮＤゲート
6
“AND” gate
すべての入力事象が、共存するときのみ出力事
象が発生する。論理積。
入力
出力
7
ＯＲゲート
入力事象のうち、少なくとも１つが存在する時、出
“OR” gate
力事象が発生する。論理和。
入力
出力
8
条件
制約ゲート
“INHIBIT” gate
入力事象について、このゲートで示す条件が満
足されている場合のみ、出力事象が発生する。
条件付き確率。
入力
Mission Success with Safety
153
FTAでの論理展開
AND ゲート
照明D点灯
A
B
C
ANDゲート
D
スイッチ
A
オン
回路
Mission Success with Safety
アウトプット
スイッチ
B
オン
スイッチ
C
オン
インプット
154
FTAでの論理展開
ORゲート
A
照明D点灯
B
D
ORゲート
C
スイッチ
A
オン
回路
Mission Success with Safety
アウトプット
スイッチ
B
オン
スイッチ
C
オン
インプット
155
FTAでの論理展開
制約ゲート
ディスコネクト
クラッチ
電動モータ
出力軸回転せず
(電動、手動とも)
出力軸
クラッチ
切れず
手動
ハンドル
「出力軸が回転しない」という事象が発生するた
めには、電動モータが固着するという事象がおこ
り、さらにディスコネクトクラッチが切れないと
いう事象が同時に起きなければならない。
通常はクラッチが外れて手動ハンドルで回転する
ことができる。
Mission Success with Safety
電動
モータ
固着
条件として、ハードウェアの故障モー
ドに限定されることはなく、外的環境
や、操作ミスなどのヒューマンエラー
や、その他のソフトウェア的不具合も
含めることが出来る。
156
FTAの例
可燃性ガスの
爆発
可燃性ガスの爆発
可燃性ガス
蒸気
点火源
空気/酸素
外部電源
供給停止
直火
Mission Success with Safety
電気火花
電気配線
の断線
熱源
電気機器
の短絡
157
FTAの例
D1
モータの始動不良
スイッチ
電流が
流れない
D2
電源
モータが
始動しない
モータの
故障
モータ
スイッチが
閉じない
電源の
故障
スイッチD1
の故障
Mission Success with Safety
ブラッシュ
の故障
巻き線
の故障
スイッチD2
の故障
158
FTAの例
事業所への
電源供給停止
事業所への電源供給停止
予備電源
供給停止
外部電源
供給停止
予備発電機
故障
蓄電池
電源供
給失敗
ディーゼル
発電機
起動失敗
Mission Success with Safety
要求された
期間のディー
ゼル運転
失敗
159
FTAの例
鉄道用橋
荷重（たとえば車両）
荷重支持不能
柱
柱の破損
桁の破損
壁
桁
壁の破損
施工
不良
施工
不良
設計不良
自動車
の衝突
基礎の
破損
初期設計ミス
初期設計ミス
設計の
事後検
査なし
設計の
事後検
査なし
計算の
誤り
概念の
誤り
Mission Success with Safety
設計不良
図面の
見間違い
計算の
誤り
概念の
誤り
図面の
見間違い
160
FTAの作成ステップ
1
3
0
Top事象の設定
Top事象と第1レベルを論理記号での関連付け
2
5
第1レベルの事象の識別
第1レベル事象と第2レベル事象の論理記号での関連付け
4
Mission Success with Safety
システムの理解と把握
6
第2レベルの事象の識別
以降、下位レベルに繰り返し
161
3.2 FTAによる解析のポイント
解析対象システムの理解と把握
FT図を描く前に
◆ 設計要求書、システム仕様書などの設計文書から、解析対象システム
の性能、安全要求、オペレーションに対する要求などを十分に理解し
把握する。
◆ システムの設計開発活動において、逐次FTAも段階に応じて見直しを
かける。(より詳細になった仕様書、解析資料、図面等から、機器の操
作、調整、取扱い等の挙動を十分に把握する。)
システムの知識と理解の不足は、特に複雑かつ大型のシステムで
は、故障モードを見過ごすことが多い
Mission Success with Safety
163
トップ事象の例
望ましくない事象
＿による障害
＿の「停止, 閉, 開」の作動故障
＿による放射線障害
＿の放射による損傷
＿の不注意な起動
不注意な＿機器の作動
＿の爆発事故
＿の暴走
＿の破裂
＿の圧力低下
＿の過剰圧力
＿の突発的放出
＿の早期放出/放出の遅れ
＿損傷
＿の破壊
＿に起因する＿の損傷
＿の加熱
＿に対する熱的損傷
＿の排気不良
Mission Success with Safety
行ってはならない＿操作
164
基本原則
■
シンプルかつ論理的に
■
共通の記号の使用、簡潔なタイトル記載
■
論理記号をつなぐものではなく、事象間の関係を考える
■
事象はレベル単位であわせる
■
左から順序良く
■
下位レベルに行くに従い詳細に
Mission Success with Safety
165
不適切なロジック
システムの運用
準備不足
メンテナン
ス担当者
設計者
製造者
Mission Success with Safety
オペレータ
操作手順
H/W, S/W
166
正しいロジック
システムの運用
準備不足
人
設計者
Mission Success with Safety
H/W, S/W
製造者
オペレータ
操作手順
メンテナン
ス担当者
167
不適切なロジック
人間の感覚損失
視覚
臭覚
酸っぱい
甘い
Mission Success with Safety
触覚
苦い
塩辛い
聴覚
168
正しいロジック
人間の感覚損失
視覚
聴覚
Mission Success with Safety
嗅覚
味覚
触覚
169
解析の指針
抽象的事象をより具体的な事象に展開する
モーター
停止
電源断
Mission Success with Safety
モータ故障
170
解析の指針
事象を分類する
タンクの
爆発
過充填によ
る破裂
Mission Success with Safety
暴走反応に
る爆発
材料欠陥に
よる破裂
171
解析の指針
事象の原因を網羅する
暴走反応
フィード
増大
Mission Success with Safety
冷却不足
172
解析の指針
引き金事象と保護系の故障をAND結合する
過熱
冷却材喪失
Mission Success with Safety
反応停止
失敗
173
解析の指針
事象の複合原因を識別する
火災
可燃物漏洩
Mission Success with Safety
火花
174
解析の指針
事象の原因としてのシステム要素の故障を識別する
冷却水
停止
メイン
バルブ閉
Mission Success with Safety
バイパス
バルブ閉
175
解析の指針
システムの故障？構成機器の故障？
“欠陥の事象は、構成機器の故障によるものか？”
⬥ Yes = State-of-Component Fault (機器)
⬥ No = State-of-System Fault (システム)
■
State-of-Component Fault
• "OR" Gate with Primary, Secondary and Command Modes
■
State-of-System Fault
• "OR" Gate
• "AND" Gate
Mission Success with Safety
176
解析の指針
故障の扱い方
1次故障 (Primary Failure)
システム/機器の要素自身(システム/機器の内部要因)の故障。自然な劣化やその他
の異常の原因によるもの。
1次故障下では異なる要素は統計的に独立に故障する場合が多い
2次故障 (Secondary Failure)
システム/機器の要素自身の故障であるが、地震、火災、保守ミスなどのように、
予期せぬ外乱に起因するもの。
異なる要素でも統計的に従属して故障する場合が多い。共通原因故障は2次故障の
典型。
コマンド故障 (Command not received)
Mission Success with Safety
177
システム/機器自身の故障には帰責事由がなく、要素へのコマンドが異常な場合。
解析の指針
DOES NOT (FUNCTION)
WHEN (CONDITION)
COMPONENT FAILURE
コマンド故障
(COMMAND
NOT
RECEIVED)
1次故障
(PRIMARY
FAILURE)
システムの故障の扱い方
・1次故障
・2次故障
・コマンド故障
2次故障
(SECONDARY
FAILURE)
SYSTEM
FAULT
SINGLE
FAILURE
MODE
NO
POWER
NO
SIGNAL
Mission Success with Safety
SUSCEPTIBLE
COMPONENT
DOUBLE
FAILURE
MODE
ENVIRONMENT
EXCEEDED
178
FTAによる定量評価
作成したFTAにより、事故/損害/損傷などの好
ましくない結果の発生確率を定量的に推定する
ことが可能
”安全“を定量的に表現することができる
定量評価の結果、ハザードの対策の順位付けをつけるこ
とができる
プログラムのコスト評価ができる
ただし、正確なロジックツリーと、各事象の正当な発生確率に依存する
得られた定量値そのものの評価ではなく、システム設計のトレードオフ
評価に有効
Mission Success with Safety
179
FTAによる定量評価
ANDゲート
T
1
P1
ORゲート
PT = P 1 P 2
2
T
1
P2
P1
PT ~
= P 1+ P
2
P2
事象1 &事象2が
独立した事象で
ある
1
2
Mission Success
Safety
PT = Pwith
1 P2
1 2
PT = P 1+ P2 - P1 P2
180
2
FTAによる定量評価
AとB どちらが安全？
(すべての事象の発生確率が同じと仮定すると)
A
事象1
B
事象2
Mission Success with Safety
事象1
事象2
事象3
181
FTAによる定量評価
AとB どちらが安全？
(すべての事象の発生確率が同じと仮定すると)
A
事象1
B
事象2
Mission Success with Safety
事象1
事象2
事象3
182
FTAによる定量評価
AとB どちらが安全？
(各事象の発生確率が下記の数字とすると)
A
0.4
B
0.8
Mission Success with Safety
0.1
0.1
0.1
183
FTA解析実施時の注意
■
解析を行なった結果、致命的、重要であると評価した事項については、必ず対策が確
実に実施され、その処置が妥当であったかどうかを再確認すること。
実施状況確認表などを作成し、フォローアップを行うこと。
■
否展開事象は、その後情報を得たりしてさらに展開が可能となったら忘れずに解析を
進めること。(往々にして忘れがち)
■
解析は系統的に、かつ注意深く行い、対象としたものについては、これ以上細分化で
きないというところまで実施すること。
■
FTA解析は、システム、機器について十分に知識を持ち、自然科学、工学技術やハ
ザードポテンシャルと故障について豊富な経験を有する技術者により実施されるべき
である。
システム技術者が責任者となり、設計技術者、安全/信頼性技術者、品質管理技術
者、運用者の援助を受け、“チーム作業”として実施。必要に応じて、他のスペ
シャリストの協力を受ける。
Mission Success with Safety
184
FTAの欠点克服のために
■
設計が完了するまで、解析は完璧とならない。
解析は設計の進にあわせて、見直しを行うこと。
■
望ましくない事象が、完全に識別されなければならない。
過去の事故事例等を参照することも有効。
■
解析担当者は、システムを完全に理解していなくてはならない。
システム理解のための情報収集、的確なシステム分析能力を養う。
■
解析には、個人差(解析者の主観)が現れる。特に“中間事象”の設定。
第三者に作成の意図が伝わる言葉を使用。必要により補足説明の追記。
■
複雑かつ大型のシステムでは、解析が難しくなり、時間/コストがかかる。
解析プライオリティの設定。マネジメント。
Mission Success with Safety
185
Summary
FTAは
■
ハザード/ハザード原因識別時の網羅性確認のために実施
■
演繹的手法として代表的な手法
■
結果(トップ事象) 原因(複数の基本事象)
■
システムのモデル化としても有効な手法
FTAの論理展開の流れ
システムの故障ま
たは事故(トップ事
象)の設定
Mission Success with Safety
トップ事象をまねく
原因となる事象を
遡って解析する
事象の因果関係の
論理をAND, ORな
どの論理記号によ
り図式化する
これ以上展開でき
ない基本事象に至
るまで発生経路を
遡って原因を求め
て論理を展開する
186
演習 2 FTAの作成
加圧時の圧力容器破裂に対するFTAの作成
図は、タンク(圧力容器)に充填をするためのシステムです。
タンクの破裂に対するFTAを作成してみましょう！
Relief Valve
タンク充填システムの説明
•マニュアルスイッチ(トグルスイッ
チ)がクローズ(閉)している限り､ポ
ンプは、規定値にタンク圧が達する
まで動作する。
•この時点で､Pressure Actuated
Swがモータへの電力を遮断し､ポン
プは停止する。
•リリーフバルブとヒューズは保護装
置。
•手動弁は、ポンプ動作中は閉となっ
ていることを前提。
Mission Success with Safety
188
演習2
タンク充填システムにおける圧力容器破裂に対するFTA
タンク加圧中の
破裂
189

Download Report