MENU
協力企業様
  1. ホーム
  2. 解説 ISO 13849-1
  3. PL決定に役立つ安全機能の故障検出能力の自己診断率DCとSRP/CSへの平均自己診断率DCavgの計算方法

PL決定に役立つ安全機能の故障検出能力の自己診断率DCとSRP/CSへの平均自己診断率DCavgの計算方法

広告
解説 ISO 13849-1
あらすじ

こんにちは!

今日はISO13849-1 の平均自己診断率(DCavg) とは簡単にいうとどういうことでしょう?というテーマでお話ししたいと思います。

DCavg とは、安全関連部の危険側故障を検出できる確率のことです。例えば、あなたが自動車に乗っているときに、ブレーキが効かなくなったらどうしますか? 恐らくパニックになってしまいますよね。でも、もしブレーキが効かなくなる前に、その故障を検知して警告音やランプで知らせてくれたら、事故を回避するチャンスが増えますよね。このように、危険側故障を検出する機能は非常に重要です。

では、DCavg はどのように計算されるのでしょうか?

実は、ISO13849-1ではDCavgを「なし」「低」「中」「高」の4つのレベルに分類しています。具体的な数値は以下の通りです。

  • なし: DC<60%
  • 低: 60%≦DC<90%
  • 中: 90%≦DC<99%
  • 高: 99%≦DC

これらのレベルは、安全関連部のカテゴリ(アーキテクチャー)やMTTFd(危険側故障までの平均時間)やCCF(共通原因故障)と組み合わせて、パフォーマンスレベル(PL) という安全性評価指標を決めるために使われます。PLはa からe まで5 段階ありますが、一般的に高いほど安全性が高いことを意味します。

さて、ここまで説明してきましたが、実際にDCavg を求める方法はどうすればいいのでしょうか?

残念ながら、これは一概に言えるものではありません。なぜなら、安全関連部を構成する各部品(スイッチやリレーなど)ごとにDC が異なりますし、それらを組み合わせたサブシステムやシステム全体のDCavgも異なりますからね。しかし、大まかに言えば以下の手順で求めることができます。

  1. 各部品ごとにDC を求める。これは部品メーカーから提供されるデータやISO13849-1 付属書E 表E.1 から参照することができます。
  2. 各サブシステムごとに各部品のDCの平均値(加重平均)を求める。
  3. システム全体のDCavgを求める。これは各サブシステムごとのMTTFd(危険側故障までの平均時間)やCCF(共通原因故障)も考慮して計算します。

(スポンサーリンク)

目次

故障のモード 安全側故障と危険側故障

安全側故障と危険側故障

故障の内訳 安全側故障と危険源故障
故障の内訳 安全側故障と危険源故障

故障には安全側故障危険側故障がの2つの故障モードが存在します。安全側故障と危険側故障についての詳しい解説は下記の記事をご参照ください。

ISO12100.com
ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説 こんにちは! 今日は、機械の安全性を評価するために重要なパラメータのひとつであるMTTFd(平均危険側故障時間)についてお話ししたいと思います。MTTFd とは何か、どうや…

検出側と非検出側とは?

モノが壊れるとき、どんな故障かということが大切です。

故障の詳細な内訳(4つのモード)のイメージ 安全側故障検出側 安全側故障非検出側 危険側故障検出側 険側故障非検出側
故障の詳細な内訳(4つのモード)のイメージ 安全側故障検出側 安全側故障非検出側 危険側故障検出側 険側故障非検出側

安全側故障危険側故障があります。安全側故障は、壊れても大きな問題にならない故障です。危険側故障は、壊れると大きな問題になる故障です。また、壊れたことが分かるかどうかも大切です。壊れたことが分かる場合は、機械を止めたりして対処できます。これを検出側と言います。壊れたことが分からない場合は、そのまま使い続けてしまう危険があります。これを非検出側と言います。

一番危険なのは、危険側故障非検出側の場合です。この場合は、モノが壊れているのに気づかずに使ってしまう可能性が高いからです。

IEC 61508-4 (電気・電子・プログラマブル電子安全関連系の機能安全−第4部: 用語の定義及び略語)では「検出された」「検出されない」を定義しています。

検出された (detected)

ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)又は通常の運転から当該事項が見つかり,明らかになる。

注記 診断テストによって検出された危険側故障は現れた故障であり,自動又は手動にかかわらず有効な措置をとる場合,安全側故障とみなすことができる。

検出されない (undetected)

ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)又は通常の運転から当該事項が見つけ出せず,明らかにならない。

ヤバすぎる 危険側故障 非検出

この文章は、危険側故障非検出という概念を説明するために、車のブレーキの例を使っています。危険側故障・非検出とは、システムが安全でない状態にあるのに、その情報がユーザーに伝わらないことです。わかりやすくするために、次のように書き換えることができます。

例えば、車のブレーキが壊れていて止まれないのに、それに気づかずに運転してしまうことがあるかもしれません。これは、車のシステムや運転者のミスなどで、ブレーキランプや警告音などが正しく表示されないからです。この場合、運転者は危険な状態だと知らずに事故を起こす可能性が高くなります。このように、システムから危険な状態を知らせる情報がユーザーに届かないことを危険側故障・非検出と言います。

危険側故障検出側の能力を上げて安全側故障にもっていく

危険側故障検出側の能力を上げて安全側故障にもっていく
危険側故障検出側の能力を上げて安全側故障にもっていく

IEC 61508-4 は、電気・電子・プログラマブル電子安全関連系の機能安全に関する国際規格の一部で、用語の定義と説明を含んでいます。そこでは「診断テストによって検出された危険側故障は現れた故障であり、自動又は手動にかかわらず有効な措置をとる場合、安全側故障とみなすことができる」とあります。わかりやすくするために、次のように言い換えることができます。

システムやモノが危険な状態になる故障を見つけることができれば、その故障は現在起きているものだと考えられます。その場合、自動的にも手動でも何か対策をすれば、その故障は安全な状態になる故障だとみなせます。

逆に、システムやモノが危険な状態になる故障を見つけられなければ、その故障はまだ起きていないものだと考えられます。その場合、見つける能力が高くなれば高くなるほど、その故障は安全な状態になる確率が高くなります。

DC 自己診断率と DCavg 平均自己診断率

自己診断率 DC (Diagnostic Coverage) とは

ISO 13849-1 は自己診断率 DC (Diagnostic Coverage) という概念を用います。個々の部品(例えば SRP)にはDC を用い、SRP/CS 全体には平均自己診断率 DCavg を用います。DCavg はパフォーマンスレベル PL を決定し、カテゴリー2 以上のSRP/CS で必要です。カテゴリーの詳しい記事は下記をご参照ください。

ISO12100.com
ISO13849-1カテゴリーとWellTried十分吟味された部品とカテゴリーを構成するSRP/CSのアーキテクチャーにつ… こんにちは! 今日はISO13849-1 カテゴリーとWellTried 十分吟味された部品について説明します。 機械の安全性を確保するためには、制御システムの設計や評価が重要な要素…

ISO 13849-1 やIEC 61608-4 ではDC を定義しています。DC には色々な呼び方がありISO 13849-1 では「診断範囲」と呼び、IEC 61508-4 では「診断カバー率」と呼びます。この記事では「自己診断率」と呼ぶことにします。(どちらも同じ意味です)

診断範囲 DC (diagnostic coverage)

診断効果の尺度であり、検出される危険側故障率(分子)と全危険側故障率(分母)との比として決定することができる

DC 自己診断率は「検出される危険側故障率 \({\lambda}_{DD}\) と全危険側故障率\({\lambda}_{total}\) との比」より、安全機能の有効性の尺度として% で示します。

DC とは危険側に壊れたことが解ったという確率 %ですね

λ 自己診断率 DD 危険側-検出、DU 危険側-非検出、SD 安全側-検出、SU 安全側-非検出
λ 自己診断率
DD 危険側-検出、DU 危険側-非検出
SD 安全側-検出、SU 安全側-非検出

DC を式で表します。

$$ DC = \frac{\sum{\lambda}_{DD}}{\sum{\lambda}_{total}} $$

$${\lambda}_{DD}={危険側故障率} $$ $${\lambda}_{total} ={全危険側故障の故障率}$$

単純なシステムにおいては下記の式が成り立ちます。

$$ {\lambda}_{total} = {\lambda}_{DD}+{\lambda}_{DU} $$

JIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ]
リスクアセスメント担当者や機械・電気回路設計者・EHS担当者にとって重要な規格が網羅されていて必携です。

JIS ハンドブック 72 機械安全
JIS ハンドブック 72 機械安全

MTTF 平均故障時間

あるモノが危険側故障と安全側故障ひっくるめて、ぶっ壊れることを考えます。ぶっ壊れるまでにかかった時間の平均値のことを平均故障時間と呼び、MTTF (Mean Time To Failure) と定義します。単位時間当たりの時間平均危険側故障頻度(PFH, average frequency of a dangerous failure per hour) \({\lambda}\) とすると

それぞれの危険側・安全側と検出側・非検出側の関係は下記が成り立ちます。

スクロールできます

$$ {\lambda} = {\lambda}_{S} + {\lambda}_{D} = {\lambda}_{SD} + {\lambda}_{SU} + {\lambda}_{DD} + {\lambda}_{DU} $$

MTTF の単位は年で表します。MTTF が10 年という値があるときは、そのモノが壊れる時間の平均が63.2% の確率で10年を意味します。つまり、単位時間当たりに壊れてしまう、故障率\({\lambda}\) との関係は下記が成り立ちます。

スクロールできます

$$ {\lambda} = {\lambda}_{SD} + {\lambda}_{SU} + {\lambda}_{DD} + {\lambda}_{DU} = \frac{1}{MTTF} $$

中の人

分子の”1″ は単位時間当たりのという意味です

DCavg 平均自己診断率

DC は単純なモノ、ある意味たったひとつのモノだけに焦点をあてていました。ところが、実際のSRP/CS では下記のようないろんなモノが複雑に組み合わさった回路になっています。

カテゴリー 4 アーキテクチャーのイメージ ・冗長化された各チャンネルのMTTFd は"High" ・DCavg="High" ・CCF 65 点以上 ・達成可能な最大PL は PL=e
カテゴリー 4 アーキテクチャーのイメージ

機械が壊れたり間違った動きをしたりしないようにする部分をSRP/CS と言います。SRP/CSは、いくつかの小さな部品に分かれています。それぞれの部品は、自分が壊れているかどうかをチェックできます。そのチェックできる能力をDC と言います。でも、それぞれの部品のDC だけでは、SRP/CS 全体がどれだけ安全かわからないことがあります。そこで、ISO 13849-1では、すべての部品のDC を足して割って出した平均値を使ってSRP/CS 全体がどれだけ安全か判断する方法を教えてくれます。その平均値をDCavg と言います。

DCavg は次の式で求めます。

スクロールできます

$$ DCavg = \frac{\frac{DC_1}{MTTFd_1} + \frac{DC_2}{MTTFd_2} + … + \frac{DC_N}{MTTFd_N}}{\frac{1}{MTTFd_1} +\frac{1}{MTTFd_2} + … + \frac{1}{MTTFd_N}}   $$

ジュンイチロウ

エグい! マジ長い式でわかりづらい!

中の人

後で計算の練習してみますね。
すぐわかるようになりますよ!

DC 自己診断率の指定と範囲

DC 自己診断率の指定表示とは

ISO 13849-1 ではDC を4通りの区分で区切って「None」「Low」「Medium」「High」の4通りで指定します。

DC 指定範囲DC 範囲
None なしDC < 60 %
Low 低60 % ≦ DC < 90 %
Medium 中90 % ≦ DC <99 %
High 高99 % ≦ DC
DC 範囲の表

これらのDC 指定表示がPL (Performance Level) を決定する要素の一つです。複数の部品で構成されるSRP/CS ではDC の指定表示について下記の図を用いて最終的にPL を決定します。PL の決定はカテゴリー、MTTFd, DCavg, CCF で構成されます。

PL の構成要素

  • カテゴリー
  • MTTFd
  • DCavg (カテゴリー2 以上)
  • CCF (カテゴリー2以上)
PL とカテゴリー MTTFd DCavg の関係を表したグラフ
PL とカテゴリー MTTFd DCavg の関係を表したグラフ

カテゴリー Cat 3 とカテゴリー Cat 4 違いは自己診断率DCavg のみです。

カテゴリー Cat 3

DCavg: Low, Medium

要約: 単一故障発生時、安全機能が常に機能する。全てではないが故障のいくつかは検出される。検出されない故障の蓄積で安全機能の損失を招く。

カテゴリー3 アーキテクチャー
カテゴリー3 アーキテクチャー

カテゴリー Cat 4

DCavg: High

要約: 故障発生時、安全機能が常に機能する。蓄積された故障の検出で安全機能の損失の可能性が低減する。故障は安全機能の損失を防止するために適時検出される。

カテゴリー4 アーキテクチャー
カテゴリー4 アーキテクチャー

CCF (共通故障原因)の記事はこちらからご覧ください。

ISO12100.com
ISO13849-1:2023付属書F共通故障原因CCF(Common Cause Failure)を解説と過電圧(overvoltage)の解説 みなさん、こんにちは!最近、ISO 13849-1 のCCF(共通故障原因) について、たくさんの質問や問い合わせが寄せられています。PL(パフォーマンスレベル)を求めるために、カ…

個々の部品のDC 自己診断率値

実際は個々の部品のDC 値の決定は曖昧です。安全部品メーカーがDC 値を直接提示していることも稀です。技術者がDC 値を決定する場合は、ISO 13849-1 付属書E の表を用います。

No.方策 (入力 INPUT)DC 値
1入力信号の動的変化による周期的なテスト90 %
2妥当性の確認 機械的にリンクしたノーマルオープンとノーマルクローズの接点の使用など99 %
3動的テストを行わない入力のクロスモニタリング0 %〜99 %
アプリケーションによる。
信号のスイッチングの頻度に依存
4短絡が検出できない場合、動的テストによる入力信号のクロスモニタリング(マルチI/O用)90 %
5入力信号とロジック内の中間結果をクロスモニタリング(L)、プログラムの流れを時間的・論理的にソフトウェアで監視し、静的障害や短絡を検出(マルチI/Oの場合)99 %
6間接モニタリング
(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)		90 %〜99 %
アプリケーションによる
7直接モニタリング
(例えば、制御バルブの電気的位置監視、機械的にリンクした接点要素による電気機械装置の監視)		99 %
8 プロセスによる故障検出0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” に対しては不十分
9センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量)60 %
附属書E DC 見積もり INPUT
No.方策 (論理 LOGIC)DC 値
10間接モニタリング
(例えば、圧力スイッチによる監視、アクチュエータの電気的なポジションのモニタリング)		90 %〜99 %
アプリケーションによる
11直接モニタリング
(例:制御弁の電気的なポジションのモニタリング、機械的にリンクされた接点要素による電気機械装置のモニタリングなど)		99 %
12ロジックの簡単な時間モニタリング
(ウォッチドッグとしてのタイマなど。トリガポイントはロジックのプログラム内にある。)		60 %
13ウォッチドッグによるロジックの時間的・論理的なモニタリング。ロジックの動作の妥当性チェックをテスト装置が行う。90 %
14ウォッチドッグによるロジックの時間的、論理的なモニタリング
(テスト機器がロジックの動作の妥当性チェックを行う)		90 %
(test 手法よる)
15スタートアップ時、安全機能が要求された時、または外部信号が要求された時に、メインチャンネルでモニタリングする装置の反応能力(ウォッチドッグなど)をチェックする(入力機能経由) 90 %
16動的原理
(安全機能が要求されたとき、ロジックのすべてのコンポーネントがON-OFF-ONの状態に変化することが必要)
例えばリレーで実装されたインターロック回路など		99 %
24プロセスによる故障検出0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” には不十分。
附属書E DC 見積もり LOGIC
No.方策 (出力 OUTPUT)DC 値
25動的テストなしの単一チャネルによる出力のモニタリング0 %〜99 %
アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる
26動的テストなしの出力のクロスモニタリング0 %〜99 %
アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる
27回路短絡検出なしの動的テストによる出力のクロスモニタリング(マルチ I/O) 90 %
28出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出(マルチ I/O) 99 %
29ロジックとテスト装置によるアクチュエータのモニタリングで遮断経路を冗長化99 %
30間接モニタリング
(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)		90 %〜99 %
アプリケーションによる
31プロセスによる故障検出0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” には不十分
32直接モニタリング
(例えば、制御バルブの電気的なポジションのモニタリング、機械的にリンクした接点要素による電気機械装置のモニタリング)		99 %
附属書E DC 見積もり OUTPUT

カテゴリー3 例題を用いてDCavg を決定しよう

DC 値求め方練習問題

この図にあるようなSRP/CS を考えてみましょう。このSRP/CS はカテゴリー3, PLr=d を満たせますか?青色の部品は一般的な部品で、黄色の部品は安全性が認められたSRP です。ここでは、安全コントローラーが持つ特別な機能は使っていません。

あくまでも、練習としてのモデルです。
実際にはこのようなことはしません。

各部品のDC 値をISO 13849-1 付属書E から見積もる

部品メーカーはDC 値を教えてくれないことが多いです。DC 値は安全回路の設計に必要です。安全回路設計者はISO 13849-1 の付属書E にある表を見て、部品のDC 値を推測しなければなりません。カテゴリー3の例でやってみましょう。

部品の例: 一般的なポジションスイッチ

附属書E: 該当しない

DC 値: 0% 接点溶着のような危険側故障が起きたとしても、故障が起きたことを知る術がない

一般ポジションスイッチ
一般ポジションスイッチ

部品の例: 非接触安全スイッチ

附属書E: No. 9 センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量)

DC 値: 60%

非接触安全スイッチ ISO 14119, type 3 マグネットタイプ
非接触安全スイッチ ISO 14119, type 3 マグネットタイプ

部品の例: 安全コントローラー PL=e, SIL 3 認証品 (ISO 13849-1, IEC 61508 など)

附属書E: No.28 出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出

DC 値: 99% 第三者認証機関でCat4, PL=e, SIL3 で認証されているので High とみなす

安全コントローラーの例PL=e
安全コントローラーの例PL=e

部品の例: 一般的なリレーなど

附属書E: No.25 動的テストなしの単一チャネルによる出力のモニタリング

DC 値: 60 % 以下

一般 電磁接触器
一般 電磁接触器

部品の例: ミラーコンタクトを備えた電磁接触器
IEC 60947-4-1 認証品

附属書E: No.32 直接モニタリング (機械的にリンクした接点要素による電気機械装置のモニタリング)

DC 値: 99%

ミラーコンタクトリレー IEC 60947-4-1
ミラーコンタクトリレー IEC 60947-4-1

実はDC 値の見積もりは、DC の値の範囲が0 %〜99 % など、選択される範囲が広い場合があり曖昧です。ISO 13849-1 付属書E の考え方にビシッと当てはまれば良いのですが、多くはDC 値の設定値は設計者の主観となる場合が多いようです。

DC 値決定の迷い

OUTPUT

ミラーコンタクトリレー(IEC 60947-4-1)のフィードバックについてのDC 値の決定の方法は2 通りあるかもしれません。

「No.32 直接モニタリング (例えば、制御バルブの電気的なポジションのモニタリング、機械的にリンクした接点要素による電気機械装置のモニタリング) 」から99%

「No. 27 回路短絡検出なしの動的テストによる出力のクロスモニタリング(マルチ I/O)」から90%

ミラーコンタクトリレー IEC 60947-4-1
ミラーコンタクトリレー IEC 60947-4-1

上記では、二つの考え方がありますが、どちらも正しいです。最近では、安全コントローラーは高度な技術を持っています。例えば、故障や短絡を見つける技術(テストパルスやEDM など)があります。安全コントローラーは定期的にチェックできるのに、それをしない場合は、「No. 27 動的テストで回路短絡を見つけられない(マルチ I/O)」という基準で90% の安全性しかありません。しかし、故障を見つける技術を使っていれば、99% の安全性があります。リスクを評価するときは、ミラーコンタクトリレーでも安全コントローラーにすぐフィードバックするだけでは、「No.32 機械的にリンクした接点要素による電気機械装置のモニタリング 99% の安全性」と言うには早すぎると考えることができます。

中の人

OUTPUT フィードバックによるDC 値の決定はよく議論されるところですね

DCavg を求めてみよう

上記で見積もったDC 値からSRP/CS 全体のDCavg を求めます。

ここではMTTFd はあらかじめ求めておいた数値を使います。前提条件を下記のように整理します。サブシステムごとにまとめておくと、計算しやすいかもしれません。

INPUT

MTTFd_I1=8 年

DC_I1=0 %

MTTFd_I2=50 年

DC_I2=60 %

LOGIC

PL=e

DC_L=99 %

OUTPUT

MTTFd_O1=20 年

DC_O1=60 %

MTTFd_O2=100 年

DC_O2=99 %

LOGIC: セーフティーコントローラーはPL=e 認証品なので
MTTFd=2500 年、DCavg=99 % とします

DCavg は下記の式から

スクロールできます

$$ DCavg = \frac{\frac{DC_1}{MTTFd_1} + \frac{DC_2}{MTTFd_2} + … + \frac{DC_N}{MTTFd_N}}{\frac{1}{MTTFd_1} +\frac{1}{MTTFd_2} + … + \frac{1}{MTTFd_N}}   $$

ジュンイチロウ

ウゲ―目がまわる!

スクロールできます

$$ DCavg = \frac{\frac{DC_{I1}}{MTTFd_{I1}} + \frac{DC_{I2}}{MTTFd_{I2}} + \frac{DC_L}{MTTFd_L} + \frac{DC_{O1}}{MTTFd_{O1}} + \frac{DC_{O2}}{MTTFd_{O2}}}{\frac{1}{MTTFd_{I1}} +\frac{1}{MTTFd_{I2}} + \frac{1}{MTTFd_L} + \frac{1}{MTTFd_{O1}} + \frac{1}{MTTFd_{O2}} }   $$

スクロールできます

$$ = \frac{\frac{0}{8} + \frac{60}{50} + \frac{99}{2500} + \frac{60}{20} + \frac{99}{100}}{\frac{1}{8} +\frac{1}{50} + \frac{1}{2500} + \frac{1}{20} + \frac{1}{100} } = 25.5  $$

以上より、DCavg は25.5 % と導くことができ、DCavg の範囲はNone (60 %< DC) がわかります。

このSRP/CS はカテゴリー3 の構成にはなっているかもしれませんが、結論としては未達です。

ここまでお読み下さいまして有難うございました。次回はMTTFd を実際に計算してみる編に進みます。

機械安全コンサルティングサービス | インテリスク株式会社
機械安全コンサルティングサービス 事業案内 | インテリスク株式会社 インテリスク株式会社は、機械安全総合コンサルティング企業として、機械や電気電子機器の海外規格・法規制への対応と国内でのリスクアセスメントサービスを提供しています…
解説 ISO 13849-1
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次