MENU
協力企業様
  1. ホーム
  2. 解説 ISO 13849-1
  3. ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説

ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説

広告
解説 ISO 13849-1
あらすじ

こんにちは!
今日は、機械の安全性を評価するために重要なパラメータのひとつであるMTTFd(平均危険側故障時間)についてお話ししたいと思います。MTTFd とは何か、どうやって求めるのか、そしてどういう意味があるのか、わかりやすく解説していきます。

まず、MTTFd とは何でしょうか?
MTTFd とは、安全関連部が危険側故障(安全性を失うような故障)を起こすまでにかかる平均的な時間のことです。例えば、非常停止ボタンやセーフティリレーなどの制御機器は、一定期間使っていると摩耗や劣化が進んでしまいます。その結果、操作要求があった時に正しく動作しなくなる可能性があります。このような状態に至ってしまうまでの予測時間がMTTFd です。

では、どうやってMTTFd を求めるのでしょうか?MTTFd を求める方法は大きく分けて3 つあります。
1. 部品メーカーから使用機器のデータを入手する
2. ISO 13849-1:2015 の附属書C やD からデータをめる
3. MTTFd=10 年と仮定する
この中でもっとも正確な方法は1 番ですが、部品メーカーからデータを入手することが難しい場合もあります。その場合は2 番や3 番の方法を使ってみましょう。

2 番の方法では、ISO 13849-1:2015 に掲載されている表や計算式を使ってMTTFd を算出します。この方法では、部品ごとに与えられるデータはMTTFd そのものではなく、B10d やnop というパラメータが多く使われます。

B10d とは何でしょうか?
B10d とは、「10% の部品が危険側故障を起こすまでの運転回数」を意味します。例えば、「B10d=100万回」というデータがあった場合、100 万回操作したら10%(100万分の100万)の部品が危険側故障することが予測されるということです。

nop とは何でしょうか?
nopとは、「その部品が一年間に稼働する回数」を意味します。例えば、「nop=5000 回」というデータがあった場合、一年間に5000 回操作されることが想定されます。

(スポンサーリンク)

目次

リスクアセスメント復習

リスクアセスメントからPLr を求めてみよう

リスクアセスメント

リスクアセスメントはISO 12100 において次のように定義されています。

リスクアセスメント (risk assessment)

リスク分析およびリスク評価を含む全てのプロセス

リスク分析 (risk analysis)

機械の制限に関する仕様、危険源の同定及びリスク見積りの組合せ

リスク評価 (risk evaluation)

リスク分析に基づき、リスク低減目標を達成したかどうかを判断すること

ジュンイチロウ

文字ばっかりでよくわかりません ww

練習でリスクアセスメントをやってみましょう

中の人

下記写真のような、機械部品がむき出しの機械について危険源の同定をすると

ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の写真
ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の写真
ジュンイチロウ

むき出しのベルトとシーブの間に手が入りそうです

中の人

具体的にどういう時に、手が入りそうですですか?

ジュンイチロウ

1日1回 モーター周辺の清掃時に誤って接近しそうです (涙)

そうですね。機械の運転中にオペレーターはシーブとベルトの間に手を入れて、巻き込まれそうですね。

中の人

では、もし巻き込まれたらどうなりますか?

ジュンイチロウ

手首を骨折しそうです。最悪、手や指の切断かもしれません

中の人

そうですね。違う人から見れば違う結果かもしれません。
ですが、今の危険源に対する分析とリスクの見積もりの過程をリスクアセスメントといいます。

ISO 13849-1 のリスクアセスメントもISO 12100 のリスクアセスメントも同じです。下記はISO 13849-1 によるリスクアセスメントのフローです。ただ、ISO 13849-1 のリスクアセスメントではリスクの見積もりをリスクグラフを用いて決定します。

ISO 13849-1 でのリスクアセスメントのステップを表した図
ISO 13849-1 でのリスクアセスメントのステップを表した図

リスクグラフによるリスクの見積もりによると、「オペレーターは1日1回、機械の運転中に危険源への接近があり、誤って巻き込まれたら骨折など、重症を負う」というシナリオから、リスクグラフでリスクの見積もりをすると「S2→F2→P2」となり、要求パフォーマンスレベルPLr は PLr=e と導かれました。

リスクアセスメント リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e
リスクアセスメント
リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e

MTTFd とは

故障とは

そもそも「故障」っていったい何でしょう??

故障の定義は、機能安全の規格 IEC 61508-4:2010 で定義されています。IEC 61508-4:2010 はJIS 規格 JIS C 0508-4 と整合化され、日本語で対訳されています。

IEC 61508-4

Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 4: Definitions and abbreviations

JIS C 0508-4

電気・電子・プログラマブル電子安全関連系の 機能安全−第4部:用語の定義及び略語

モノの壊れかた、故障の内訳は大きく分けて2つあります。それは「安全側故障」と「危険源故障」です。模式的に図で示すと下記のイメージです。

故障の内訳 故障には危険源故障と安全側故障が存在する
故障の内訳 故障には危険源故障と安全側故障が存在する

わかりやすく、リミットスイッチをEUC として説明します。EUC (Equipment Under Control) とは今から検討や評価するモノやシステムのことです。EUT (Equipment Under Testing) とは機械や装置全体を評価する時に使います。

機器及び装置 EUC,被制御機器 (Equipment Under Control (EUC))

製造,プロセス,運輸,医療,その他の業務に供される機器,機械類,装置,プラントなど。

古い機械には下記の写真のように未だにリミットスイッチが保護インターロックスイッチとして使われています。

一般的なリミットスイッチ。アクチュエーターを押し下げてON。コモン・N.C.・N.O.端子を有する
一般的なリミットスイッチ。アクチュエーターを押し下げてON。コモン・N.C.・N.O.端子を有する

EUC リミットスイッチは正常な時にインターロックが働いて、機械の危険源や動作が停止することを目的としています。

正常動作の説明

  • EUC のアーム(アクチュエーター)が物理的な力で下側に押されると、内部の接点アームが下方に動きます。N.C → N.O. に接点が切り替わります。
  • EUC のアーム(アクチュエーター)が物理的な力から開放されると、アームがバネの力によって、上方に動きます。 N.O. → N.C. に接点が切り替わります。

EUC の故障を考えます。下記のEUC で色がついたところ(青色・オレンジ色)に何か不具合がおきると、いわゆる故障の状態です。

リミットスイッチを用いて表した具体的な危険側故障(オレンジ)と安全側故障(青)の概念
リミットスイッチを用いて表した具体的な危険側故障(オレンジ)と安全側故障(青)の概念

故障の定義

故障とは何でしょう? 故障には定義があります。定義は使いやすいものイメージしやすい方で結構です。

JIS JIS C 0508-4, 故障(failure)

ある機能ユニットの要求機能の遂行能力の終結、または要求された以外の機能の誤運用。

IEC 61508-4, 故障 (failure)

機能ユニットが要求される機能を提供する能力を損失すること、または、機能ユニットが要求されるものとは別の動作をすること

では、EUC (リミットスイッチ)の故障の具体的な内容は、故障の定義から照らし合わせると2つが導くことができます。

故障の具体的な内容

  • 能力を損失すること → 通電しない
  • 要求されるものとは別の動作をすること → 通電しっぱなし

安全側故障とは

JIS JIS C 0508-4, 安全側故障 (safe failure)

安全機能を実行するときに役割を果たす、要素、サブシステム、システムに関する次のような故障

a) 安全機能の誤作動がEUC(または、その部品)を安全状態にする、または安全状態を維持する結果となる

b) EUC(または、その部品)を安全状態に置く、又は安全状態を維持するように安全機能が誤作動する確率を上げる

IEC 61508-4, 安全側故障 (safe failure)

安全機能を実行する際に、ある約割を果たす要素、下位システム、システムの次のような故障

a) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動を引き起こす

b) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動の確率を上げる

定義は使いやすい方を使いましょう

リミットスイッチを用いて表した、具体的な安全側故障(青)の例。 内部の接点アームが折れる故障リミットスイッチを用いて表した、具体的な安全側故障(青)の例。 内部の接点アームが折れる故障
リミットスイッチを用いて表した、具体的な安全側故障(青)の例。
内部の接点アームが折れる故障

安全側故障の場合は、故障の定義から照らし合わせると、EUC の能力を損失することです。

安全側故障の例

接点アーム(青色)が折れる → b 接点がN.C からはなれない、かつ、N.O. に移動しない → 通電しない

危険側故障とは

ISO 13849-1, 危険側故障 (dangerous failure)

SRP/CS を危険状態または機能不能状態に導く潜在性をもつ故障

JIS JIS C 0508-4, 危険側故障 (dangerous failure)

安全機能を実行するときにある役割を果たす要素、サブシステム、システムに関する次のような故障

a) EUC が危険状態または危険になり得る状態に陥るように、作動要求モードで要求された場合に安全機能の作動を阻止する、または連続モードで安全機能を失敗させる

b) 要求された場合に安全機能が正しく作動する確率を下げる

IEC 61508-4, 危険側故障 (dangerous failure)

安全機能を実行する際に、ある約割を果たす要素、下位システム、システムの次のような故障

a) 要求された場合、安全機能の作動を妨げるか、EUC が危険な状態か、潜在的に危険な状態におかれるように安全機能が動作しない
b) 要求された場合、安全機能が正しく作動する確率を下げる

ISO 13849-1 の定義のほうがスッキリしていますね

リミットスイッチを用いて表した、具体的な危険側故障(オレンジ)の例。プランジャー折れ、スプリング折れ、内部接点溶着の故障
リミットスイッチを用いて表した、具体的な危険側故障(オレンジ)の例。プランジャー折れ、スプリング折れ、内部接点溶着の故障

危険側故障は故障の定義から照らし合わせると、危険源故障とはEUC が本来意図している動作や要求とは別の動作をすることです。

危険側故障の例

  • バネ(プランジャー)が折れる
  • アーム(アクチュエーター)が折れる
  • N.C. (b) 接点が溶着する

アームが a 接点から離れない → 接点がN.O. に接続しっぱなし → 通電しっぱなし

MTTFd とは

平均危険側故障時間 MTTFd (mean time to dangerous failure)

危険側故障を生じるまでの平均時間の期待値

部品やシステムがじゅうぶんに長い時間が経ったとき、それぞれがランダム故障を起こすと仮定します。ランダム故障とは時間に関して無秩序に発生し、ハードウェアの多様な劣化メカニズムから生じる故障です。部品やシステムは、ランダム故障下において、予測可能な確率(%) で故障が発生はしますが、予測不可能な時間(time) で発生します。ランダムハードウェア故障から生じる部品やシステムの故障率(%) は統計的手法を用いて合理的な精度で予測可能です。

部品やシステムに生じるバスタブ曲線 時間(T) に対する理想化された仮想の故障率 λ(T)
部品やシステムに生じるバスタブ曲線 時間(T) に対する理想化された仮想の故障率 λ(T)

MTTF

MTTF とは故障率λ(ラムダ)が一定という条件下で、63.2 % のアイテムが故障するまでの統計に基づく故障までの平均時間の期待値です。故障率λ が一定の場合、確かさ R(t) と不確かさ F(t) の合計は1になり、下記の数式が成り立ちます。

確かさ R(t) $$R(t) = \frac{1}{e} = 0.368$$

不確かさ F(t) $$F(t) = 1 – \frac{1}{e} = 0.632$$

“e” をネイピア数呼び、自然対数の底です。

MTTFd

部品やシステムの故障は、場合によっては安全な状態(安全側故障、機械の運転の停止など)の故障が発生することがあります。MTTFd の値が高いほど部品やシステムの危険側への故障にいたる回数が少ないということです。

MTTFd では危険側故障(安全でない状態につながる可能性のある故障)のみが考慮されます。

MTTFd では常に一定の故障率の範囲で表されますが、部品やシステムの「寿命」ではありません。

MTTFd の決め方

コンポーネントや部品のMTTFd の値の決定においては、次の3つのステップの上から順番にMTTFd の値を決定していきます。つまり、何にもデーターなくて付属書Cにも該当するデーターがないときは、MTTFd=10 年とします。

MTTFd の決め方

  1. 製造者が値を決める
  2. 製造者のデーターが解らない場合はISO 13849-1 の付属書C とD に記載されている値を使用する
  3. 付属書C とD に当てはまらない場合は10 年とする

MTTFd の分類

MTTFd は下記の表に示すように分類します。ISO 13849-1 では分類のことをチャンネルと呼びます。

MTTFd の分類 (チャンネル)

  • 低 low
  • 中 medium
  • 高 high

カテゴリーB から3まではMTTFd の値を100 年とし、カテゴリー4 の場合のみMTTFd を2500 年に延長します。

各チャンネルの指定表示各チャンネルの範囲
底 low3 年 ≦ MTTFd < 10 年
中 medium10 年≦ MTTFd < 30 年
高 high30 年 ≦ MTTFd < 100 年
カテゴリー4のみ 高 high30 年 ≦ MTTFd < 2500 年
各チャネルの平均危険側故障時間 MTTFd

付属書 C と D のMTTFd

製造者のデーターが解らない場合はISO 13849-1 の付属書 C と D に記載されている値を使用する

メーカーがMTTFd の具体的な値を示さない場合があります。この場合は、上記のように付属書C と D に記載しているデーターを用います。

ジュンイチロウ

どんな部品でも付属書C の値が使えるのでしょうか?

付属書C は万能ではありません。カテゴリーの選択によっては”Well-tried” 十分吟味された部品が使われている場合に限る場合があります。”Well-tried” 十分吟味された部品とはISO 13849-2 の基本安全原則を満たす場合が該当します。”Well-tried” 十分吟味された部品は第三者認証機関が安全関連部品として認証しCoC (認証書)を発行しています。下記の表は付属書C の値です。

部品名MTTFd (年)
機械部品MTTFd=150
油圧部品
nop ≧ 1,000,000		MTTFd=150
油圧部品
1,000,000 > nop ≧ 500,000		MTTFd=300
油圧部品
500,000 > nop ≧ 250,000		MTTFd=600
油圧部品
250,000 > nop		MTTFd=1200
表C 部品のMTTFd 値
部品名B10d (回)
空圧部品B10d=20,000,000
接触器 (リレーとコンタクター)低負荷B10d=20,000,000
接触器 (リレーとコンタクター)定格負荷B10d=400,000
近接スイッチ 低負荷B10d=20,000,000
近接スイッチ 定格負荷B10d=400,000
接点 (コンタクター)低負荷B10d=20,000,000
接点 (コンタクター)定格負荷B10d=1,300,000
ポジションスイッチB10d=20,000,000
ポジションスイッチ
(アクチュエーター分離型やガードロック付き)		B10d=2,000,000
非常停止機器B10d=100,000
押しボタン
(例 イネーブルスイッチ)		B10d=100,000
表C 部品のB10d 値

SRP/CS に使う部品は、CDF(Constructional Data File) を作成し、データーをリスト化すると便利です。CDF についてはこちらの記事を参照してください。

スクロールできます
Object / Part No.ManufacturerType / ModelTechnical dataStandardMark of Conformity
図面指示の番号などメーカー名など型式など安全データーCoC や DoC に記載されている規格番号認証機関と認証書番号
例 SC-001KeyenceGC-1000PFH: 1.72E-9 (/h)
SE-001IDECHW1B-V413RB10d: 100,000
SD-001PHOENIX CONTACTPSR-CTISO13849 cat4,PLe
ISO14119 Type 4
Coding level: high
PFH: 6E-10 (/h)
CDF (Constructional Data File)安全データ-書き方例
ISO12100.com
IEC60204-1電気安全設計が知っておくべきリスクアセスメントと機械に採用できる電気部品(CDF, Construction… こんにちは! 今日は、機械の電気装置に関する国際規格であるIEC 60204-1 についてお話しします。この規格は、機械の安全性を確保するために必要な電気的な危険源に対する…

例 MTTFd を付属書C から求める

非常停止ボタンを備えた機械
非常停止ボタンを備えた機械

EUC が非常停止ボタンの場合、付属書C より、非常停止機器のB10d の値はB10d=100,000 回 です。

JIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ]
リスクアセスメント担当者や機械・電気回路設計者・EHS担当者にとって重要な規格が網羅されていて必携です。

JIS ハンドブック 72 機械安全
JIS ハンドブック 72 機械安全

B10d とは B10 とは

B10d

コンポーネントの10 %が危険側に故障する(空圧式及び電気機械式コンポーネント)までのサイクル数

B10d や B10 の値は平均のサイクル数(回数)です。一般的に、空圧、油圧、電気機械部品(ソレノイドバルブ、コンタクター、リレー、ポジションスイッチのカム)など、メーカーが提示する部品の信頼性のデーターは MTTFd ではなく B10 や B10d です。これは、メーカーは機械が据え付けられた後、実際に部品を使う条件(年に何回とか、一日に何回使うとか)がわからないので、メーカーはMTTFd の計算を安全設計者に託すことを意味します。

B10 とは、部品やシステムの10% が故障(安全側・危険側含めて)を起こすまでの平均サイクル数
B10d とは、部品やシステムの10% が危険側故障をおこすまでの平均サイクル数

油圧や空圧部品のB10d

特に油圧や空圧部品において、メーカーはB10 の値を示す場合があります。この場合、安全回路設計者はB10d を推定する必要があります。推定は次の近似式から導きます。

$$ B10d = 2 \times B10 $$

MTTFd の計算

MTTFd は下記の式から求めます。

$$ MTTFd = \frac{T10d}{0.1} = \frac{B10d}{{0.1}{\times} {nop} }$$

T10d

コンポーネントの10 %が危険側に故障するまでの平均時間

ジュンイチロウ

$$\frac{T10d}{0.1}$$ の “0.1” とは部品の10% が危険側故障を起こすという意味でしょうか?

中の人

分母の係数 “0.1” は不確かさの式から求める近似値です。「部品の10% が・・・」という意味の0.1 ではありません。

nop とは nop の計算

$$ nop = \frac{{dop} {\times} {hop} {\times} {3600 s/h}}{t.cycle} $$

nop 1年あたりの平均サイクル数 (サイクル/年)

dop 1年あたりの平均運転日数 (日/年)

hop 1日あたりの平均運転時間 (時間/日)

t.cycle 部品の連続した2つのサイクルの間隔 (例、バルブの開閉)(秒/サイクル)

nop を求める場合、例えば非常停止ボタンなど、1ヶ月に1回しか動作しない場合などはnop の計算式をわざわざ使う必要はありません。この場合、nop は1 (回)x12 (ヶ月)= 12 (回/年)です。

例 非常停止ボタンの回路

1月に1 回動作する非常停止ボタンの nop

$$ nop = 1 (time) {\times} 12 (month)$$

$$= 12 (cycle/year) $$

MTTFd 計算 MTTFd 分類の練習

MTTFd の求め方をもう少し具体的に進めてみます。EUC が油圧バルブのMTTFd を求めます。ある油圧バルブに対して、メーカーは下記のデーターを提示しています。

  • 油圧バルブ B10d: 60,000,000 回


一方、安全回路の設計者は下記の条件で、この油圧バルブを使うことを想定しています

  • 工場は年間220 日の運転
  • 1 日あたり2 シフト
  • バルブの連続2 サイクルの開閉の平均時間(サイクル当たりの秒数): 5 秒
油圧マニホールドのイメージ

実際の計算方法

上記の例題を整理します。それぞれnop を計算するのに必要な値は下記になりました。

B10d: 60,000,000 (サイクル)
dop: 220 (日/年)
hop: 16 (時間/日)
t.cycle: 5 (秒/サイクル)

nop の計算式を使ってnop を求めます。MTTFd は下記の計算結果より MTTFd=237.1 (年)と導かれます。

$$ nop = \frac{{dop} {\times} {hop} {\times} {3600 s/h}}{t.cycle} $$

$$= \frac{{220 day/year} {\times} {16 hour/day} {\times} {3600 s/h}}{5 s/cycle}$$

$$= 2.53 {\times} 10^6 cycle/year $$

nop が分かったので、B10d と nop があらかじめ分かっている場合の計算式からMTTFd を求めます。

$$ MTTFd = \frac{T10d}{0.1} = \frac{B10d}{{0.1}{\times} {nop} }$$

$$= \frac{60,000,000 cycle}{0.1 {\times} 2.53 {\times} 10^6 cycle/year} $$

$$= 237.1 year $$

MTTFd の分類

MTTFd = 237.1 年の結果から、MTTFd の分類の表を用いて、この油圧バルブのMTTFdは下記の表にあてはめて「高 high」と分類します。

高 high, 30 ≦ MTTFd < 100 <237.1 年

各チャンネルの指定表示各チャンネルの範囲
低 Low3 年 ≦ MTTFd < 10 年
中 Medium10 年≦ MTTFd < 30 年
高 High30 年 ≦ MTTFd < 100 年
表4 各チャンネルのMTTFd 値

部品の耐用年数T10d
部品の10% が危険側故障を起こすまでの運転時間

部品の耐用年数をT10d 値を用いる場合があります。T10d とは部品の10% が危険側故障するまでの平均時間です。この場合、EUC 油圧バルブの耐用年数はMTTFd 値を求めて、後にMTTFd の計算式を用いて T10d を導きます。T10d は下記の式からT10d=23.7 (年)と導かれます。

$$ MTTFd = \frac{T10d}{0.1} $$

$$ T10d = 0.1 {\times} MTTFd = 0.1 {\times}237.1$$

$$ =  23.7 year $$

T10d=23.7 という値から、EUC 油圧バルブは、23.7年の運転時間の制限をもつ部品と仮定できます。通常ISO 13849-1 でSRP/CS を使用する期間を20 年と考えます。つまり、この油圧部品は機械を使用することができる期間内に20年を超えないどこかのタイミングで予防の為に交換が必要な部品とします。この20 年という値を使命時間 (TM, Mission Time)呼びます。

機械安全コンサルティングサービス | インテリスク株式会社
機械安全コンサルティングサービス 事業案内 | インテリスク株式会社 インテリスク株式会社は、機械安全総合コンサルティング企業として、機械や電気電子機器の海外規格・法規制への対応と国内でのリスクアセスメントサービスを提供しています…

ここまでお読みくださいまして、ありがとうございます。

次回、ISO 13849-1 アーキテクチャ(カテゴリー)について説明し、MTTFd との関係を説明します。

解説 ISO 13849-1
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次