安全度水準(SIL)は「割り当てるもの」ではなく「導き出すもの」
目次
リスク、状況、および正当化された判断に基づいてSILを定義する
最近目にしたある記事では、安全度水準(Safety Integrity Level:SIL)を業界や用途の種類に直接対応付けることで説明を簡略化しようとしていました。意図自体は理解できますが、その内容は「SILは取り組む対象に応じて最初に選択するものだ」という、よくある誤解を助長するものでした。この誤解は大きなコストを招く可能性があります。
実際には、SILは業界、製品、またはハザードに付与されるラベルではありません。SILとは、体系的なリスクアセスメントとリスク低減プロセスの結果として導き出されるものです。
この誤解は単なる学術的な問題ではありません。実務においては、過剰設計、不必要なコストの発生、そして実際のリスク低減ではなく数値の正当化に注力してしまう安全活動につながることが少なくありません。
SILは割り当てるものではなく、導き出すものです。
SILとは何か
安全度水準(SIL)は、対象がどれほど危険であるかを示すものではありません。
SILが定義するのは、特定のリスクを許容可能なレベルまで低減するために、安全機能がどれだけのリスク低減を提供しなければならないかということです。
この違いは非常に重要です。明確に定義されたリスクが存在しなければ、いかなるSIL値も恣意的なものになります。先にSILを決めて後からその正当性を説明しようとすると、エンジニアリング活動は本来の目的から逸れ、保証活動の意味も失われてしまいます。
SILはハザードや業界固有の属性ではない
機能安全において根強く存在する誤解の一つは、特定のハザードや業界が自然に特定のSILに対応すると考えることです。
しかし、「SIL 3のハザード」や「SIL 2の業界」といったものは存在しません。同じハザードであっても、適用される状況によってリスクプロファイルは大きく異なります。
曝露頻度、曝露時間、回避可能性、既存の安全対策、さらには影響を受ける人々など、多くの要因がリスクに影響します。これらの要因は用途によって異なるため、SILを過去の事例や業界慣行、単純化されたチャートに基づいて割り当てることはできません。
SILは、対処すべき個別のリスクから導き出されなければなりません。
リスク低減は安全機能に先行する
もう一つのよくある誤りは、安全関連システムをリスク低減の出発点と考えることです。これは現代の安全規格の意図を逆転させる考え方です。
機能安全はリスク低減の第一歩ではなく、最後の手段の一つです。
ハザードはまず、本質安全設計(Inherently Safe Design)、物理的防護措置、隔離、その他の非計装的手段によって対処されるべきです。これらの選択肢を十分に検討し尽くした後に初めて、残存するリスクギャップを埋めるために安全関連機能を導入すべきです。
要求されるSILは、こうした対策を適用した後にどれだけのリスクが残っているかによって決まります。この順序を無視すると、SIL要求が過大になり、機能安全規格が本来意図するリスクベースの考え方が損なわれます。
許容可能リスクは「定数」ではなく「判断」である
SIL決定において最も見落とされがちな側面の一つが、許容可能リスク(Tolerable Risk)です。
許容可能リスクは普遍的なものではありません。適用される状況、規制上の期待事項、組織が定めるリスク基準によって異なります。同じシステムに対してであっても、前提条件が明確かつ合理的に説明されている限り、二つの組織が異なるSIL要求を導き出すことは十分にあり得ます。
これは機能安全を弱めるものではありません。むしろ、リスク受容を暗黙の前提ではなく、意識的で説明可能な意思決定にすることで、機能安全をより強固なものにします。
なぜ単純化されたSILチャートは実害をもたらすのか
単純化されたSILピラミッドや業界対応チャートは理解しやすいため魅力的です。しかし実際には、利益よりも害をもたらすことが少なくありません。
こうしたチャートは、SIL目標を早い段階で設定することを促し、システムと安全機能の違いを曖昧にし、SILをエンジニアリングの成果ではなくマーケティング上の略語のように扱う傾向を生みます。
さらに懸念されるのは、厳密なリスクアセスメントなしにSILを選定できるという考え方を常態化させてしまうことです。これは機能安全規格の本来の意図に真っ向から反するものです。
SILを考えるためのより良いアプローチ
「このハザードや業界にはどのSILが必要か?」と問う代わりに、次のように問うべきです。
「他のすべての対策を講じた後、この特定のリスクを許容可能なレベルまで低減するために、追加でどれだけのリスク低減が必要か?」
この問いに答えて初めて、SILは意味を持ちます。
その意味で、SILは上っていくべき階段ではありません。規律あるエンジニアリングプロセスの結果なのです。
結論
機能安全が失敗するのは、規格が不明確だからではありません。規格を過度に単純化してしまうときに失敗するのです。
SILは割り当てるものではありません。リスク、状況、そして正当化された判断から導き出されるものです。
このように捉えることで、私たちはより安全なシステムを構築し、プロジェクトの範囲を適切に定義し、SILを本来あるべき姿――すなわち「必要なリスク低減量の指標」であり、「単なるラベルではないもの」――として位置付けることができます。
Intertek Assuranceがお手伝いできること
SILは「割り当てるものではなく、導き出すもの」であることを理解することは第一歩に過ぎません。この原則を実際のプロジェクトにおいて正しく、一貫性を持って、かつ説明可能な形で適用することに、多くの組織が課題を抱えています。
Intertek Assuranceは、機能安全ライフサイクル全体を通じて、製造業者、システムインテグレーター、エンドユーザーを支援しています。具体的には、初期のリスクアセスメントやコンセプト開発から、設計、検証(Verification)、妥当性確認(Validation)、および独立評価までを対象としています。
当社の重点は、SIL目標を単独で設定することではありません。堅牢なリスクアセスメント、適切なリスク低減戦略、そして明確で監査可能なエビデンスに基づいて、組織がSIL要求を正当化できるよう支援することにあります。
許容可能リスク基準の明確化、SIL要求事項の導出、安全関連機能の妥当性確認、あるいはIEC 61508および関連規格に整合した独立保証活動など、どのような支援が必要であっても、Intertek Assuranceチームは、機能安全に関する意思決定が単なる規格適合にとどまらず、技術的に妥当で、バランスが取れており、かつ説明可能なものとなるようサポートいたします。









