ISO13849-1リスクアセスメント例からPLrやPFHの求めかたを説明し、ISO 13849-1:2023の違いについて説明します

あらすじ

こんにちは!

今日は機械の安全回路設計に関する話題をお届けします。安全回路設計と言えば、ISO 13849-1 という規格がありますよね。この規格は、制御システムの安全関連部(SRP/CS)の設計と評価に関する原則を定めたもので、パフォーマンスレベル(PL)という指標を使って安全性を表現します。

でも、この規格は結構難しくて、初心者には理解しにくいかもしれません。そこで今回は、ISO 13849-1 の基本的な内容と、リスクアセスメント例からPLr やPFH(単位時間当たりの危険側故障発生確率)を求める方法を説明してみたいと思います。また、2023 年に改訂予定の新しいISO 13849-1(2023 版)と現行版との違いについても触れてみます。

では早速始めましょう!

ISO 13849-1って何?

まずはISO 13849-1って何かを簡単に説明しますね。

ISO 13849-1は、「機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則」というタイトルで、2015年に発行された国際規格です 。日本ではJIS B 9705-1:2019として採用されています 。

この規格は、「ソフトウェアの設計を含み,制御システムの安全関連部(SRP/CS)の設計及び統合のための原則に関する安全要求事項及び指針」 を規定しています。

この規格は、制御システムの安全関連部(SRP/CS) の性能をパフォーマンスレベル(PL) という指標で表すことで、リスク低減を目的としています。でも、PL って何?どうやって決めるの?そもそもSRP/CS って何?という疑問がある方も多いと思います。

SRP/CS とは、「安全関連入力信号に応答し,安全関連出力信号を生成する制御システム」 のことで、電気・電子・油圧・空圧・機械などさまざまな技術方式やエネルギー形式が含まれます。

SRP/CS が実行する「故障がリスク増加に直ちにつながるような機械類」 の機能を「安全機能」と呼びます。例えば非常停止装置や保護インターロッキングスイッチなどがありますね。

では、PL とは何でしょうか?

PL は、「予見可能な条件下で,安全機能を実行するための制御システムの安全関連部(SRP/CS) の能力を規定するために用いられる区分レベル」と定義され 、PFH で定義される「単位時間当たりで の危険側故障発生 の発生平均確率」 で区分されます。PFH とは、「probabilistic failure rate for dangerous failures per hour」 の略で、「単位時間当たり の危険側故障発生率」という意味です。

要するに、PL はSRP/CS がどれだけ信頼性が高く、故障しないか、また故障した場合でもそれが危険な影響を及ぼさないか、ということを表す指標を表しています。

(スポンサーリンク)

目次

ISO 13849-1 ISO 13849-2 とは

機械の設計者が安全関連回路の設計するとき、安全回路のリスクアセスメントやその検証は、ISO 13849-1 ISO 13849-2 という規格を使います。両者はJIS 規格JIS B 9705-1 JIS B 9705-2 と整合化し日本語化されています。

この記事では、ISO 13849-1:2023 第4 版をもとに解説しています。この記事に疑問や不明な点がある場合は英語で発行されている原文を参照してください。

ISO 13849-1 ISO 13849-2 とは

ISO 13849-1:2015 (JIS B 9705-1:2019)

機械類の安全性−制御システムの安全関連部 − 第1部:設計のための一般原則
Safety of machinery – Safety-related parts of control systems – Part 1: General principles for design

ISO 13849-2:2012 (JIS B 9705-2:2019)

機械類の安全性−制御システムの安全関連部 − 第2部:妥当性確認
Safety of machinery – Safety-related parts of control systems – Part 2: Validation

ISO 13849-1 と ISO 13849-2 はB (B1) 規格に分類されます。

規格の構造B 規格 ISO 13849-1, -2

新しい ISO 13849-1 と進行状況

2023年1月時点で有効のISO 13849-1:2015 は近い将来変更されます。2023年2月3日時点でISO 13849-1 は「ISO/FDIS 13849-1:2023 60 」というバージョンです。

ISO 13849-1 は2023 年4 月に ISO 13849-1:2023 Fourth Edition として発行されました

FDIS とは Final Draft International Standard(最終国際規格案)の略で、under development (制作中)という意味です。「60」 とは制作中のステージの過程のどのレベルかにあるかといことを示しています。新しいISO 13849-1 の草案が準備されてからドラフト版が発行されるまでの道のりの約60% 進んだという感じで、「現在策定中の国際規格」という位置づけです。これから8 週間かけてISO 事務局へ証明書送付とFDIS の投票開始され、その後将来新しいISO 13849-1 が発行されます。新しいISO 13849-1 の発行日は2023年3月とISO でアナウンスしていますが、投票が否決されたら出版が遅れるかもしれません。

ISO 13849-1:2023 の変更点

2023 年2 月時点で判明しているISO 13849-1 が変更される(であろう)内容です。

変更点
  • 制御システムの設計・開発プロセスによりよく沿うよう、文書全体を再編成した
  • リスクアセスメントの推奨に関する 4 項を新設した
  • 安全機能の仕様(5 項の更新)
  • 複数のサブシステムの組合せ(6 項の更新)
  • ソフトウェア安全要求に関する新しい 7 項
  • 設計の人間工学的側面に関する新しい 9 項
  • バリデーション(8 項を更新し、10 項に移動)
  • 機能安全の管理に関する新しい附属書G.5 追加
  • 電磁妨害(EMI)イミュニティに関する新しい附属書 L
  • 安全要求仕様のための追加情報を記載した新しい附属書 M
  • 安全関連ソフトウェア設計のための故障回避策に関する新しい附属書 N
  • 制御システムのコンポーネントまたは部品の安全関連値に関する新しい附属書 O

ISO 13849-1 のスコープ

ISO 13849-1 のスコープは、下記のように記述されています。

スコープ

この規格は,ソフトウェアの設計を含み,制御システムの安全関連部(SRP/CS)の設計及び統合のための原則に関する安全要求事項及び指針について規定する。

SRP/CS に対して,この規格は,安全機能を実行するために要求されるパフォーマンスレベルを含む特性について規定する。この規格は,全ての機械類に対して,用いられるテクノロジー(技術方式)及びエネルギーの形式(電気,液圧,空圧,機械など)にかかわらず,高頻度作動要求又は連続モードSRP/CS に適用する。

個々のケースにおいて,いずれの安全機能及びパフォーマンスレベルを用いるかは規定しない。

この規格は,プログラマブル電子システムを使用するSRP/CS のための特定の要求事項についても規定する。 この規格はSRP/CS の一部である製品の設計に対する特別な要求事項を規定しない。ただし,カテゴリ又はPLのような原則は使用することができる。

ISO 13849-1 のスコープを要約は、「安全を目的にした制御回路(SRP/CS) があればISO 13849-1 を用いて設計し、それらの評価方法はパフォーマンスレベル (PL, Performance Level) を使う。ISO 13849-1 では、安全関連部(SRP/CS) それぞれの回路について要求されるパフォーマンスレベル PLr (PLr, Performance Level required) を規定していない」です。

ISO 13849-1ではSRP/CS についての、具体的なPLr については設定していないので、PLr を求める時はリスクアセスメントやC 規格に基づきます。

ISO 13849-1:2023 ではセキュリティ面(物理的セキュリティ、ITセキュリティ、サイバーセキュリティ)に対する言及がありますが、具体的な対策は示していません。セキュリティは安全機能に影響を与える可能性があり、そのような場合は ISO/TR 22100-4, IEC/TR 63074 を参照するように記載しています。

中の人

現行の機械指令から新しい機械規則に移行したら、新しくセキュリティやAIの要求が増えることを意図しています

ISO 13849-1 と ISO 13849-2 がなぜ重要

ISO 13849-1 と ISO 13849-2 は機械指令 2006/42/EC 付属書I の必須安全要求事項(EHSR) や IEC 60204-1:2016 の要求に基づいています。

機械指令 2006/42/EC 付属書I の必須安全要求事項(EHSR) の要求

1.2  制御システム(CONTROL SYSTEMS) 

1.2.1 制御システムの安全性および信頼性(Safety and reliability of control systems)

制御システムは、危険状態の発生を防止できるように設計・製造されなければならない。特に、制御システムは、次のような方法により設計・製造されなければならない:

-意図した運転応力および外的要因に耐えられること、
-制御システムのハードウエアー又はソフトウエアーの不具合が危険状態とならないこと、
-制御システムのロジックのエラーが危険状態とならないこと、

次の点には、特別の注意をしなければならない

-制御システムの安全関連部は、機械の組み立て部品全体に対して、および/または半完成機械類に対して、論理的な方法で適用しなければならない。

IEC 60204-1:2016 の要求

9.4 故障時の制御機能

9.4.1 一般要求事項

安全関連(SRP/CS) の制御機能の要求はISO 13849-1, ISO 13849-2 に従わなければならない


JIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ]
リスクアセスメント担当者や機械・電気回路設計者・EHS担当者にとって重要な規格が網羅されていて必携です。

JIS ハンドブック 72 機械安全
JIS ハンドブック 72 機械安全

SRP/CS とは

安全関連部(SRP/CS) とは具体的にどのようなところ?

安全関連部(SRP/CS) とは、代表的なものとして下記のような回路が該当します。もちろんその他にもたくさんあります。

  • インターロックされたガード
  • ライトカーテンやレーザースキャナー
  • 非常停止やSTO(Safe Torque Off) 回路
  • 両手起動装置やイネーブリング機器
ドアインターロックの例
インターロックの例 シュメアザール社ドアロック

SRP/CS の定義

ISO 13849-1 では「SRP/CS」が定義されています。

制御システムの安全関連部,SRP/CS(safety-related parts of a control system)

安全関連入力信号に応答し,安全関連出力信号を生成する制御システムの部分。

注記1 制御システムに組み合わされた安全関連部は,安全関連入力信号の発生するところ(例えば,位置スイッチの作用カム及びローラを含む。)で始まって,動力制御要素(例えば,接触器の主接点を含む。)の出力で終わる。

注記2 監視システムが診断に使用される場合,これはSRP/CSとみなされる。

SRP/CS とは

SRP/CS とは「INPUT」 「LOGIC」 「OUTPUT」 の三つのファンクションから構成される安全関連部品(SRP) を用いた回路(control system) のことです。

SRP/CS が構成する INPUT LOGIC OUTPUT 基本アーキテクチャー
SRP/CS が構成する INPUT LOGIC OUTPUT 基本アーキテクチャー

INPUT-LOGIC-OUTUT を略して「ILO」と呼んだりしています

以下に簡単な例をあげてみます。ここでは、機械の起動を安全スイッチと安全コントローラーを使う形でI-L-Oを説明しています。

INPUT (I): 安全スイッチロジック
LOGIC (L): 安全コントローラー
OUTPUT (O): 電磁接触器

カテゴリー 3 アーキテクチャーのイメージ ・冗長化された各チャンネルのMTTFd はPLr によって"Low" から"High" ・DCavg="Low" か"Medium" ・CCF 65 点以上 ・達成可能な最大PL は PL=e
カテゴリー 3 アーキテクチャーのイメージ

安全検出型 危険検出型

混雑した交差点
いつも混雑している交差点 大阪府吹田市江坂

歩行者が横断歩道を安全に渡る方法は、安全関連回路の設計手法とよく似ています。

赤信号を確認して横断歩道で止まるのか? 青信号を確認して横断歩道を渡るのか?

歩行者が青信号・赤信号どちらの「きっかけ」で交差点の途中で不安になることなく、安全に横断歩道を渡ることができるでしょうか。

危険検出型 赤信号確認型

歩行者が「赤信号で横断歩道を止まれ」でも、「青信号で横断歩道を渡る」でも、横断歩道を渡るには同じような気がします。

ジュンイチロウ

どっちでも同じじゃね?

安全設計を考える時に、安全設計者は保護方策の「単一故障状態」を考えます。ある機械の危険源に何かの保護方策がされている場合、その保護方策のうちの一つが故障した場合、機械はどう動作するのか?オペレーターへの危険源の暴露はどうなるのか?ということを思考実験します。

「単一故障状態」とはIEC 61010-1 (測定用,制御用及び試験室用電気機器の安全性− 第1部:一般要求事項)などで定義されています。

単一故障状態 (single fault condition)

危険源からの保護手段の一つに故障があるか,又は危険源になる一つの故障が存在する状態

もし、赤信号が壊れて点灯しなかったら、歩行者は「信号は赤じゃない」つまり、「信号は赤ではないから、青信号のはずだ」と認識してしまうかもしれません。その結果、歩行者は横断歩道を渡ってしまい、車道を走っている車と衝突して怪我を負うかもしれません。

このように、「車道を車が走っているので危ないですよ」つまり「赤信号を確認して横断歩道で停止することは、車が車道を走っているかもしれませんので危険なので止まってください」ということです。このように危険を検出する制御方法を「赤信号確認型」や「危険検出型」と呼びます。

赤信号確認型や危険検出型の安全制御を備えた機械は、昔の洗濯機みたいに「洗濯機の蓋を開けたら、ドラムが停止する」というような設計と似ています。

安全検出型 青信号確認型

「歩行者は青信号を確認して横断歩道を渡れ」この場合、歩行者は目の前にある信号が青に点灯していることを確認して横断歩道を渡ります。

単一故障状態を考えます。青信号の単一故障状態とは、青信号が点灯していないです。歩行者が青信号が点灯していないと認識した場合、歩行者は「青信号が点灯しないときは、もしかして信号が赤信号なのかもしれない」と判断して、横断歩道を渡らなくなります。つまり、歩行者は車道を走っている車と衝突して怪我を負うことはありません。

このように、「歩行者は青信号を確認して横断歩道を渡ってください。青信号が点灯していないときには止まってください。」という制御方法を「安全検出型」や「青信号確認型」と呼びます。

機械安全の考え方では、安全関連回路(SRP/CS) では「安全検出型」または「青信号確認型」に該当します。

安全検出型・青信号確認型の機械は最近のドラム式自動洗濯機みたいに、「蓋を閉め、そして、蓋のロックをしない限り洗濯機は起動しない」かつ「ドラムの回転が停止しない限りは蓋が開かない」という設計があてはまります。

最新式のドラム洗濯機
ジュンイチロウ

つまり、機械の運転中に、「オペレーターがガードをOpen したら機械の非常停止が働いて機械の運転を停止させる」という設計思想は危険検出型ですか?

はい。安全設計で安全検出型を選択するうえで大事なところは「ガードが定位置にClose されて、そのガードの回路の状態に異常がないことを検出しない限りは、機械の再起動ができない」ということです。

ISO 13849-1 リスクアセスメント

ISO 13849-1 と ISO 12100 のリスクアセスメントの手法は全く同じです。リスクの見積もりにリスクグラフを使う点が特色です。

STEP
リスクアセスメント
  • 機械の制限の決定
  • 危険源の同定
  • リスクの見積もりと評価
STEP
SRP/CS の設計
  • 本質安全設計
  • 安全要求の仕様
  • 要求パフォーマンスレベル PLr の決定
  • 安全回路設計、アーキテクチャーの選択、安全部品の設定
  • パフォーマンスレベルPL の決定
STEP
安全システムの実装
  • SRP/CS の実装
  • SRP/CS のコミッショニング
STEP
安全検証
  • SRP/CS の検証
  • すべての安全要求の検証

要求パフォーマンスレベル PLr とは

ISO 13849-1 では要求パフォーマンスレベル PLr の定義があります。

要求パフォーマンスレベル PLr(required performance level)

安全機能の各々に対し,要求されるリスク低減を達成するために適用されるパフォーマンスレベル。

要求パフォーマンスレベル PLr とは、リスクアセスメントで見積られたリスクのレベルやC 規格で決定されたSRP/CS の信頼性に対して、リスク低減の指標をレベル分けで示したものです。

要求パフォーマンスレベル PLr には a b c d e の5段階のレベルが存在します

リスクグラフ

リスクグラフはISO 13849-1 附属書A で説明されています。リスクグラフはS F P の3 つのシンプルなパラメーターの組み合わせによって構成され、要求パフォーマンスレベルPLr を決定するリスクアセスメントのリスク見積もり手法の一つです。

ISO 13849-1 附属書A リスクグラフ
ISO 13849-1 附属書A リスクグラフ

それぞれのS F P のパラメーターの意味は下記です。

S: 傷害のひどさ

S1: 軽傷 S2: 重傷

安全機能の故障によって生じるリスク見積りでは、軽傷(通常 回復可能)、または、重傷(通常 回復不可能)

F: 危険源への暴露の頻度・時間

F1: まれ〜低頻度 F2: 高頻度〜連続・暴露時間が長い

一般的に、パラメーター F1 と パラメーター F2 を選択するための妥当な時間を特定することはできない

P: 危険源の回避、または、危害の制限の可能性

P1: 特定の条件下で可能 P2: ほとんど不可能

危険状態発生時に危険源回避、または、その影響を十分に低減する現実的な可能性がある場合だけ P1 を選択し、それ以外は、P2 を選択するのが望ましい

ジュンイチロウ

F 危険源への暴露の頻度や時間の目安はありますか?

中の人

オペレーターが1日に1回危険源に暴露(アクセス)は F2 となると言われています。

リスクグラフのS F P パラメーターを厳格に運用すると、現実とかけ離れてしまうかもしれません。実務的には下記のように考えてみるのも良いかもしれません。

  • 危険状態が発生しても事故を回避する、または、その効果を顕著に低減するための現実的機会が存在する場合  → P1
  • 危険回避の可能性がほとんどない場合 → P2

例えば、現実的に保護インターロックがある場合(これから、保護インターロックの対策していく場合を含めて)は P1 を選択することが望ましいです。

ISO 13849-1:2023 回避の可能性 P の決定

ISO 13849:2023 では回避の可能性P について新しく附属書A にて決定の方法が決められています。決定の方法は次の表A.1 と表A.2 を組み合わせます。ただし、表A.1 と表A.2 に基づくアプローチは常に次の基本的な意図をもって使用されるべきです。P1 は危害を回避する又はその影響を著しく低減する現実的な可能性がある場合にのみ選択され、そうでない場合はP2 が選択されます。

A.3.3 回避の可能性または危害の封じ込め

危険源となる事象を、それが危害を及ぼす前に認識し、回避することができるかどうかが重要である。例えば、危険源への暴露を物理的特性によって直接特定できるか、あるいは指標などの技術的手段によってのみ認識できるかなどである。パラメータ P の選択に影響を与えるその他の重要な側面としては、例えば,次のものがある。
a) 危険な状況が発生する速度(例えば、速いか遅いか)
b) 危険な状況から抜け出す可能性(例:脱出による回避)
c) 工程に関する実践的な安全経験
d) トレーニングを受けた適切なオペレーターによって操作されているかどうか
e) 監督者の有無
危険源が発生した場合、危害を回避または大幅に低減できる現実的な可能性がある場合にのみ、P1 が選択されるべきです。そうでない場合は、P2 が選択されるべきです。

P を決定する一つの可能性として、次のような方法があります
  • 具体的な用途を反映した表 A.1 の各要素のA, B, C を決定する(各要素の選択は 1 つだけ可能)
  • 選択した A B C の数を数える
  • 表A.2 中のパラメータP の対応する値を決定する
  • 表A.1 では,各ファクターについて1つだけ選択することが可能
スクロールできます
A1 ファクターCBA
1. 機械の使用者未熟者熟練者
2. 危険源となる部分の速度
(機械や危険な状態から脱出または回避する時間によって異なる
高速事象
例: > 1000 mm/s,
危険源までの時間 < 1 s
または脱出する時間がない、または少なすぎる
中速事象
例: 251 mm/s から1000 mm/s,
危険源までの時間 < 3 s
または脱出までの時間が限られている
低速または超低速の事象
例: < 250 mm/s,
危険源までの時間 ≥ 3 s
脱出するのに十分な時間
3. 空間的な危険源からの脱出の可能性不可能場合によっては可能、まれに可能
50% 未満で可能
容易に可能
50% 以上の場合で可能
4. 危険源の認識・認知の可能性
(高温、低温の表面、非電離放射線など)
不可能
例: 計測器が必要、人間の感覚では危険源を感知できない、環境条件により感知が困難など
場合によっては発生する・稀にしか発生しない
危険源の認識は50% 以下
危険源の容易な認識
50% 以上の場合で可能
5. オペレーションの複雑さ
(オペレーターの人数やタイミングなど、人間同士の関わり合い)
中から高の複雑度
例: トラブルシューティング、ホールド・トゥ・ラン制御を使った機械の一部分のセットアップ
低い複雑性
例: ワークのクランプを調整する、または
非常に低い複雑さ、または介入なし
例: ワークピースを機械に入れる
ISO 13849-1:2023 Annex A, Table A.1
スクロールできます
A2 全体のスコアパラメーター P
C 1 つ以上ISO 13849-1 Table A.2, P2P2
C 無し、B3つ以上ISO 13849-1 Table A.2, P2P2
C 無し、B 2つ、残りはAISO 13849-1 Table A.2, P1 or P2特定の状況に応じてP1またはP2
C 無し、B 1 または無い、残りはAISO 13849-1 Table A.2, P1
ISO 13849-1 Table A.2, P1
P1
ISO 13849:2023 Annex A, Table A.2
ジュンイチロウ

いままで、なんとなく決定していた回避の可能性の決定がわかりやすくなりました!

PLr の救済事項

ISO 13849-1 付属書A.2.3 項にはPLr の決定に際していわゆる救済事項が記述されています。

A.2.3 危険事象回避の可能性及び発生確率 P1 及び P2

危険事象の発生確率が低(low) として正当化(justified)できる場合,PLr を一つ下げてもよい

正当化(justified) できる場合は、例えば下記の例が当てはまるかもしれません。

  1. 信頼性データ
  2. 比較可能な機械の事故履歴
    (注 事故の数が少ないということは、危険状態の発生が少ないことを必ずしも意味するものではなく、機械の保護方策が十分であることを示す)

比較可能な機械とは次のような機械を意味します。

  • 関連する安全機能によって低減しようとするリスクが同じである
  • 同様のプロセス及びオペレータの行動を必要とする
  • 危険源を生じる同じ技術を採用する

具体的な例でリスクアセスメントから PLr を決定する練習

リスクアセスメントの開始前には、対象の機械のSRP/CS の安全機能がまだ使用できていない(能力を発揮できていない)ところから開始します。

危険源(回転要素・巻き込み)のポイントを表した写真
危険源(回転要素・巻き込み)のポイントを表した写真

図のような機械の危険源のイメージで、ある危険源に対して設計者が安全スイッチを用いて保護インターロッキング回路を設計する場合のSRP/CS を考えます。そのためにオペレーターが危険源に接近するリスクアセスメントをリスクグラフに基づいて実施しリスクを見積もります。

リスクアセスメントはオペレーターが危険源にアクセスすることに対して、危険源の周囲に何も保護するもの(例 ガードなど)が無いと仮定して行います

  • 怪我の程度は、指から腕が挟まれ骨折 S2
  • 接近する頻度は1 日 1回 F2
  • 回転部の危険源から避けられそうにない P2

SRP/CS に要求されるパフォーマンスレベル PLr は下記のリスクグラフからS2/F2/P2 よりPLr = e です。

リスクアセスメント リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e
リスクアセスメント リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e

しかし、オペレーターが危険源への接近を考えたとき、下記のように危険事象の発生確率が十分「低い」と正当化できる場合、PLr を一つさげることが可能です。

  • オペレーターが十分教育されている
  • オペレーターが危険源の明確な認識をしている
  • 過去に類似の事故がなかった

ことのことから、SRP/CSの要求パフォーマンスレベルPLr は S2/F2/P2, PLr = e が求められるものの、救済規定からパフォーマンスレベルを1ランクPLr を下げてPLr = d と導くことができます。

危険事象の発生確率が低(low) として正当化(justified)できる場合PLr を一つ下げてもよい

リスクアセスメントの結果から導かれた、要求パフォーマンスレベル PLr からSRP/CS のアーキテクチャが決定します。PLr はPFH (単位時間あたりの危険側故障の平均頻度) と対応しています。

ISO 13849-1:2023 では、PLr の救済を、発生確率が十分低いと評価できる場合はパフォーマンスレベルと1 ランク下げることが可能であるが、そうでない場合は発生確率が100 % であると規定しています。

パフォーマンスレベル PL とは

パフォーマンスレベル Performance Level, PL とは

パフォーマンスレベル,PL(performance level)

予見可能な条件下で,安全機能を実行するための制御システムの安全関連部の能力を規定するために用いられる区分レベル

パフォーマンスレベル はPLr と同様に“a”, “b”, “c”, “d”, “e” の5段階が存在します。PL<PLr となると要求に未達といい判定が「Fail」になります。

PFH (average frequency of a dangerous failure per hour) とは

PFH, PFHd (単位時間あたりの危険側故障の平均頻度)

安全関連システムが所定の安全機能を果たすことができない危険側故障の平均頻度

ISO 13849-1:2023 ではPFHd という表現が無くなり、PFH に統一されます

ISO 13849-1:2015 でSRP/CS が本来の機能を発揮できなくなるまでの危険側故障が発生するまでの平均頻度をPFHd と表現していましたが、ISO 13849-1:2023 において危険側への表現のサフィックス”d” を省略し、PFH に危険側故障”d” の概念が組み込まれています。

危険側故障(dangerous failure)とは

危険側故障(dangerous failure)

SRP/CS を危険状態又は機能不能状態に導く潜在性をもつ故障

危険側故障とは何かをレーザーポインターを例として説明します。モノが壊れるには2つの壊れ方、「安全側故障」と「危険側故障」が存在します。

故障の内訳 安全側故障と危険源故障
故障の内訳 安全側故障と危険源故障

レーザーポインターを例にレーザーを危険源として仮定すると、下記のように考えることができます。

レーザーポインタを用いた「安全側故障」と「危険側故障」についてのイメージ
レーザーポインタを用いた「安全側故障」と「危険側故障」について

「安全側故障」の例を下記に示しす。もちろんこれ以外にもたくさんあります。

  • 電池切れによってレーザー点灯しない
  • 押しボタンが本体から外れてしまい、ボタンを押すことができずにレーザーが点灯しない
  • レーザー発振素子が壊れていて、レーザーが点灯しない

つまり、レーザーポインターの部品の何かが安全側に故障することによって、オペレーターがレーザーの暴露にすることによって失明などのリスクから自然に防がれています。一方、「危険源故障」とは何かを考えてみます。

「危険側故障」の例を示します。

  • 押しボタン内部のバネが折れてしまい、ボタンがレーザーポインターの本体にめり込んでしまう。その結果、レーザーポインターは連続的にスイッチON状態になりレーザー点灯し続ける。
  • レーザーポインターの内部の基板が短絡してしまう。その結果、レーザーポインターは連続的にスイッチON状態になりレーザー点灯し続ける。

要求パフォーマンスレベル PLr は、安全機能が提供すべき必要なリスク低減に対応します。必要なリスク低減への貢献度が高いほど(初期リスクに依存)、要求される安全性能は高くなければなりません。

安全機能のパフォーマンスレベル PL は、安全機能の1 時間あたりの危険側故障の平均頻度で定義されます。パフォーマンスレベル PL は、PL a のリスク低減への寄与が低いものから PL e のリスク低減への寄与が高いものまでの5 段階で定義されています。1 時間当たりの危険な故障の頻度の範囲をPFH の指定範囲の表に示します。

単位時間当たりの危険側故障発生確率 PFH の指定範囲

PL と PFH の関係は下の表に示されます。付属書K に PFH の細かい値としきい値が記述されています。

PL単位時間あたりの危険側故障までの平均確率 (PFH)
a$$10^{-5} \leq PFH < 10^{-4}$$
b$$3 \times 10^{-6} \leq PFH < 10^{-5}$$
c$$10^{-6} \leq PFH < 3 \times 10^{-6}$$
d$$10^{-7} \leq PFH < 10^{-6}$$
e$$10^{-8} \leq PFH < 10^{-7}$$
PFH 単位時間あたりの危険側故障発生までの平均確率

ISO 13849-1:2023 ではPL e の値の範囲が下記の値にかわりました
$$PL e, PFH < 10^{-7}$$

指数で表すとイメージしにくいので、下記の表を参考にしましょう。

スクロールできます
PL故障の最大許容可能なレベル
a10,000 時間あたり1回の危険側故障の確率
b100,000 時間あたり1回の危険側故障の確率
c300,000 時間あたり1回の危険側故障の確率
d1,000,000 時間あたり1回の危険側故障の確率
e10,000,000 時間あたり1回の危険側故障の確率
PFH から導かれる故障の最大許容レベル

具体的なリスクアセスメントで求める PFH 値

具体的なリスクアセスメントの例で求めた要求パフォーマンスレベルPLr は PLr=d と求めました。PLr=d から要求されるPFH 値は表より導くことができます。

PL単位時間あたりの危険側故障までの平均確率 (PFH)
a$$10^{-5} \leq PFH < 10^{-4}$$
b$$3 \times 10^{-6} \leq PFH < 10^{-5}$$
c$$10^{-6} \leq PFH < 3 \times 10^{-6}$$
d$$10^{-7} \leq PFH < 10^{-6}$$
e$$10^{-8} \leq PFH < 10^{-7}$$
リスクアセスメントの例から求めたPLr に相当する PFH 値
ジュンイチロウ

なるほど!
リスクアセスメントで求めたPLr はPFH に紐づいているんですね!


ここまで読んでくださいまして、ありがとうございました。次の記事ではMTTFd, B10d の解説に進み、それぞれ詳しく解説をします。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次