カタログや仕様書を見ると、必ず出てくる謎の単語。「SIL 2(シルツー)」や「SIL 3(シルスリー)」。
「数字が大きい方が凄そうだけど、具体的に何が違うの?」 「計算式とか難しそうで、正直見るのも嫌だ…」
そんなふうに悩んでいませんか?(※なお、[前回の記事] で解説した「機能安全の基礎」が分かっていると、よりスムーズに理解できます)
実は、この「SIL(安全度水準)」の意味を理解していないと、過剰スペックな機器を選んでコストを無駄にしたり、逆に必要な安全性能を満たせずに危険な設備を作ってしまう可能性があります。
そこでこの記事では、実務9年の電気設計エンジニアである筆者が、IEC 61508の核心である「SIL」について解説します。 難しい数式は一切使いません。「要するにどれくらいの確率で壊れるの?」という感覚的な話と、現場での決定プロセスに絞って解説します。
これを読めば、もう「なんとなく」で機器を選ぶことはなくなり、自信を持ってスペック決定ができるようになります。
結論から言うと、SIL(シル)とは「その安全装置が故障する確率のランク付け」のことです。特に「SIL 3」は、普通のPLCでは絶対に到達できない「神レベル」の信頼性を指します。
ただし、「じゃあ一番いいSIL 3を選んでおけば安心だ」と思考停止してはいけません。 SIL 2とSIL 3では、機器の価格も設計の手間も桁違いです。「確率として何倍違うのか?」を理解せず、雰囲気だけで選定しているエンジニアは、無駄なコストを垂れ流すことになります。
SILの正体は「確率」である
リード文でも触れましたが、SIL(シル)の正体は「その安全装置が、いざという時にサボる(失敗する)確率」のランク付けです。
どんなに高性能な安全PLCでも、故障確率をゼロにはできません。「100回に1回失敗するのか」「1億回に1回失敗するのか」。この信頼性の桁(オーダー)によって、SIL 1からSIL 4までの4段階に分けられます。
- SIL 1: まあまあ信頼できる(低リスク向け)
- SIL 2: かなり信頼できる(一般産業機械向け)
- SIL 3: 非常に信頼できる(プレス機・ロボット・化学プラント向け)
- SIL 4: 神レベル(鉄道・原子力・航空機など ※一般FAではまず使わない)
数字が大きいほど、「失敗する確率」が桁違いに低くなります。
FA屋は「高頻度作動モード」を見ろ!
ここで、IEC 61508には2つの表が登場します。ここが最初の躓きポイントです。
- 低頻度作動モード: 年に1回以下しか動かない装置(化学プラントの緊急遮断弁など)。
- 高頻度作動モード: 年に1回以上、あるいは連続して動く装置(FA機械の非常停止やライトカーテン)。
我々FAエンジニアが作る機械は、毎日稼働し、頻繁に非常停止やドア開閉が行われます。
ですから、見るべきは「高頻度作動モード(High demand mode)」の表です。
1時間に「危険側故障」する確率(PFH)
高頻度作動モードの基準となるのはPFH(Probability of Failure per Hour)、つまり「1時間あたりの危険側故障率」です。
| SILレベル | 1時間あたりの危険側故障率 (PFH) | 言い換えると? |
| SIL 4 | 10-9 以上 10-8 未満 | 10万年〜100万年に1回 |
| SIL 3 | 10-8 以上 10-7 未満 | 1万年〜10万年に1回 |
| SIL 2 | 10-7 以上 10-6 未満 | 1000年〜1万年に1回 |
| SIL 1 | 10-6 以上 10-5 未満 | 100年〜1000年に1回 |
※出典:IEC 61508-1 (Table 3) を参考に作成
「SIL 3」の凄さがわかる例え
SIL 3の「10-8(1億分の1)」という確率は、もはや想像がつきません。これは例えるなら、以下のレベルです。
「1000人の作業員が、毎日24時間体制で10年間その機械を監視し続けて、やっと1回ミスをするかどうか」
このくらいの信頼性です。 普通のPLCやリレーでは、逆立ちしてもこの確率は出せません。だからこそ、二重化(冗長化)し、自己診断し、徹底的にバグを潰した「安全PLC」が必要になるのです。
SILはどうやって決める?(リスクグラフ)
「じゃあ、とりあえず全部 SIL 3 にすれば安心でしょ?」そう思うかもしれませんが、それはコストの無駄遣いです。SIL 3の機器は高価だし、設計も検査も大変です。
リスクの大きさに応じて、「ちょうどいいSIL」を選ぶ必要があります。そこで使われるのが、以前(機械安全編)紹介したものとは少し違う「機能安全用のリスクグラフ」です。
以前のリスクグラフと何が違うの?
以前の記事(ISO 12100)で出てきたリスクグラフと、パラメータ(S・F・P)はほぼ同じですが、「ゴール(目的)」が違います。
▼ 2つのリスクグラフの違い
- 目的:対策が必要かを決める
- 答え:リスク点数(高いからガードを付けよう)
- 目的:電気機器のスペックを決める
- 答え:要求SIL(SIL 2のスイッチを買おう)
つまり、「対策することは決まった。じゃあ、どのレベルのスイッチを買えばいいの?」という具体的な選定フェーズで使うのが今回のグラフです。
- S (Severity): 怪我のひどさ(死亡か、軽傷か)
- F (Frequency): 危険にさらされる頻度
- P (Probability): 回避可能性
これらを辿っていき、
- 「指を切る程度なら、SIL 1 で十分」
- 「死亡事故の可能性があり、頻繁に近づくなら、SIL 3 が必要」
- 「何百人も死ぬ可能性がある(原発など)なら、SIL 4」
というように、「リスクの大きさ」と「安全装置の性能(SIL)」を天秤にかけて決定します。
PL(パフォーマンスレベル)との違いは?
最後に、現場でよくある疑問。「SIL(IEC 61508)」と「PL(ISO 13849-1)」は何が違うの?
- SIL (Safety Integrity Level): 機能安全の共通規格(IEC 61508)で使う用語。1〜4の4段階。
- PL (Performance Level): 産業機械向け規格(ISO 13849-1)で使う用語。a〜eの5段階。
実はこの2つ、中身(確率論)はほぼ同じで、相互変換が可能です。
- PL a ≒ (SILなし)
- PL b / c ≒ SIL 1
- PL d ≒ SIL 2 (一般的な産業機械はこれが多い!)
- PL e ≒ SIL 3 (プレス機など一番厳しい!)
FA現場では「PL」を使うことが多いですが、安全PLCやセーフティセンサのカタログには両方書いてあります。
「PL e と言われたら、SIL 3(最高ランク)のことだな」と翻訳できればOKです。
FA屋が「SIL 4」を見ない理由
ここで気付いた方もいるでしょう。「SIL 4に対応するPLはないの?」と。 実は、FA(産業機械)の分野には、SIL 4に相当するランクが存在しません。
SIL 4の適用範囲: 危険にさらされる人数が1人〜数人にとどまる機械類や工場のオートメーション・システムには適用されません。数百人から数千人規模の被害が生じ得る原子力、鉄道などの分野に適用されます。
我々が相手にするのは工場の機械であり、被害は局所的です。 そのため、FA分野においては「SIL 3(PL e)が事実上の最高到達点」とされており、それ以上のSIL 4はオーバースペックとして考慮しなくて良いのです。
まとめ:機器を買うだけではSILは達成できない
- SILとは: 安全装置が「失敗する確率」のランク。
- FA屋の常識: SIL 2(PL d)が一般的、SIL 3(PL e)は最高峰。
- SIL 4: FAではまず見かけない(原発や鉄道レベル)。
さて、「SIL 3」の凄さは分かりました。 しかし、ここで衝撃的な事実をお伝えしなければなりません。
実は、いくら高いお金を出して「SIL 3対応の機器」を買い揃えても、それらを繋いだだけでは「SIL 3の回路」にはならないのです。
SILを達成するためには、以下の4つのパラメータを計算し、証明する必要があります。
- カテゴリ(回路の二重化)
- MTTFd(部品の信頼性)
- DC(自己診断率)
- CCF(共通原因故障)
これらを無視すると、あなたの安全回路は規格上「SIL 0(安全機能なし)」と判定される可能性があります。
次回は、いよいよ【計算編】です。 「SILという料理」を作るための「4つの食材」について、数式なしで直感的に解説します。
【第6回】 SIL計算の4つのパラメータ(MTTFd, DC, CCF, Cat.)
安全設計マスターへの道(全7回ロードマップ)
「機械安全・機能安全シリーズ」は、以下の全7回構成でお届けします。「安全設計」は、概念、計算、ハードウェア、制御、そして法律が複雑に絡み合う総力戦です。
このシリーズを最後まで読めば、あなたはもう「ISO? 計算? よく分からんからメーカー任せ」と言っていた頃のあなたではありません。
自信を持ってリスクを計算し、仕様を決定し、堂々と「安全です」と言い切れるエンジニアになれるよう、体系的に解説していきます!
Phase 1:機械安全編(メカ・構造で守る)
まずは「物理的にどう守るか?」という機械安全の基礎を固めました。
Phase 2:機能安全編(電気・制御で守る)
次に、目に見えない「制御の信頼性」を保証する機能安全の世界へ踏み込みました。
