重大事故・トラブルを回避する安全設計思想と冗長化の基本パターン
機械あるいはプラントを設計する際には、製品あるいはプロセスで何か不具合が生じた場合に、重大な事故やトラブル発生に至ることを回避できるような設計思想を取り入れることが重要です。
本コラムでは、安全設計思想と、プラント運用システムを例にした信頼性向上について考えてみます。
目次
1.重大事象(事故・トラブル)を回避する設計思想
(1)フェールセーフ(fail safe)
日本語で表すと「安全側に倒す設計」ということになります。
製品あるいはプロセスのある部品やある個所に、故障、損傷や不具合が発生した場合に、製品機能あるいはプロセスの動作を安全側に停止または保持する設計上の配慮です。
地震などで転倒したとき石油ストーブを自動消火する機能や、電気製品の過電流による火災を防止するためのヒューズ・漏電ブレーカーなどが該当します。
- 踏切遮断機は、駆動力喪失時に遮断機が下がった状態=安全側となります。
- 工作機械などは、駆動力復旧時に急に動作すると大変危険なので、駆動力喪失時(停電)時に、スイッチが強制OFFとなるように設計します。
機器の駆動力が喪失したとき(停電など)の安全側の定義は、用途や状況に応じて変わることもあります。
例えば、プラントでプロセス流体の流量を制御する調節弁は、プラントが危険な状態にならないよう、プロセス流体の送り先の性質に応じて、駆動力喪失時に[①全開とする(全量を送る) ②全閉とする(遮断する) ③開度を保持する(現状維持)]の3通りがあります。
(2)フールプルーフ(fool proof)
人間は、多かれ少なかれ間違い(ミス)をしでかす可能性がある生き物です。
人間の操作ミス等への安全対策として、
- 操業中に不適切な操作、危険な操作が行われた場合でも、機械やプラント運転の安全性を保持すること
- 誤った手順や操作では、機械やプラントの運転を行うことができないようにすること
の両方があります。
前者の例として、回転中の洗濯機の蓋をあけると停止する、などがあります。
フェールセーフと区別がつきにくい面もあり、厳密な意味でのフールプルーフは後者ということができるかもしれません。
後者の例として、オートマチックトランスミッションの自動車は、シフトレバーをP(パーキング)レンジに入れないとエンジンが始動できないようになっています。
このように、一定の条件を満足しないと機械やプラントの運転ができないようにすることを「インターロック」といいます。
プラントなどでは機械を安全に運転するために、数多くのインターロック条件を複合的に成立させる必要があります。
多数の条件の複合化をわかりやすくするため、ロジックダイアグラム(論理回路図)で表します。
【インターロック条件とロジックダイアグラム】
また後者には、誤組立ができないように設計することも含まれます。
似たような形状の部品を取り違えて組み立てることができないように、ねじのサイズを変える、はめ合い部の寸法を変える、などが考えられます。
(3)フォールトトレランス(fault tolerance)
日本語で表すと「故障に耐え得る設計」ということになります。
製品のある部位や部品に、故障や損傷が発生した場合に、安全に停止するまで持ちこたえられるように設計することを指します。
「リンプホーム」(ヨタヨタしながらも何とか家までたどり着くことができる)という呼び方をすることもあります。
フォールトトレランスの例として次のようなものがあります。
① バースト防止のタイヤ(ランフラット)
車のタイヤは側面が弱いのですが、ここに補強材を入れてパンクした時に一気に破裂するバーストに至らないようにしたタイヤです。
これにより、徐々に空気は抜けるが、高速走行中もハンドルを取られず安全な場所に停止するまで運転することができます。
② 非常用バックアップ電源(多重化)
常用電源を喪失したときに、自家発電装置やディーゼルエンジンなど非常用駆動源に切り替えて機器やプラントを安全停止するまで、運転機能を保持します。
非常時にバックアップ装置も総倒れとなることが無いように、大雨や津波による水没の可能性なども考えて、非常用駆動装置・駆動源の設置場所にも考慮する必要があります。
2.冗長システム・冗長化のパターン
プラントでは、数多くの計装機器で運転状態を監視しています。
計装機器が故障した場合に、それがプラントの動作に重大な影響を及ぼす場合は、プラントの重要度や危険性に応じてシステム全体の信頼性を向上させるために、冗長化を検討します。
計装機器の冗長化には次のようなものがあります。
(1)並列冗長系(parallel redundancy)
計装機器の故障に対してシステムに影響がないように、計装機器の供給電源を複数台、常時並列接続して、1台が故障しても即時に切り替えることができて、負荷側の機器には支障なく電源供給可能とします。
「ホットスタンドバイ」と呼ぶこともあります。
検出部については、1か所に2つのセンサを使って常時測定し、両方の測定値の偏差が許容範囲を超えたら警報を発するなどの方式があります。
(2)待機冗長系(stand-by redundancy)
機器が故障した場合、代替機器を待機(スタンドバイ)しておいて、切り替える方式です。
並列冗長との違いは、常時接続するのではなく、常用機の故障時に初めて起動して切り替える点です。
並列冗長に比較して復旧までの時間ロスは生じますが、費用は低く抑えることができます。
常時可動はさせないので、「コールドスタンドバイ」と呼ぶこともあります。
(3)m/n冗長系(m out of n system)
n個の同じ機能を持つ機器のうちm個以上の機器が正常に作動していれば、システムの状態は正常であるとする方式です。
インターロックまたはシステムを停止すべき重故障の検出に使用する計装機器は、n個の機器のうちm個以上がある閾値を指示して初めて採用することで、信頼性向上を図ることがあります。
良く用いられるのが”2 out of 3″です。
たとえば、潤滑油圧が30kPa以下は重故障停止とする機器の場合、潤滑油供給系統に、圧力スイッチまたは圧力発信器を3個設置して、3個中2個が0.03kPa以下を指示したときに、重故障と判断して機器を停止させる、といった例です。
“冗長”というと、一般的には「長くて無駄が多い」という意味になりますが、プラントの監視システムでは、重要性や危険性などに応じて冗長化を導入することで信頼性と安全性を向上させています。
(アイアール技術者教育研究所 S・Y)
【併せて読みたい関連コラム】
・そうだったんだ技術者用語 フェイルセーフ、リンプホーム、そして冗長性はこちら
