解説 ISO 13849-1

安全機能の故障検出能力たる尺度の自己診断率(DC, Diagnostic Coverage)とSRP/CSへの平均自己診断率(DCavg)を求めてPLを決定しよう

故障のモード 安全側故障と危険側故障

故障のモードを理解する上でだいじなところ
  • DC を理解する上で安全側故障と危険側故障を正しく理解する必要があります
  • すべての故障は安全側故障と危険側故障から成り立ちます
  • さらに故障には検出側と非検出側があります

重要度
エンカウント
理解の難しさ
コメント rank D 故障のモードは全部で4 種類があります。そのなかでも一番やばいのは危険側故障非検出です。これさえ覚えておけば大丈夫!

安全側故障と危険側故障

故障の内訳 安全側故障と危険源故障故障の内訳 安全側故障と危険源故障

 

故障には安全側故障と危険側故障がの2つの故障モードが存在します。

安全側故障と危険側故障についての詳しい解説は下記の記事をご参照ください。

 

安全回路設計入門者にとって難しいSRP/CSやPLrの意味。リスクアセスメント例題からPFHdを求めてみよう。安全回路設計初心者がISO 13849-1 に基づいてパフォーマンスレベル計算をするとき、最初に出会うワードがあります。このワードの定義をしっかり理解できていないと、パフォーマンスレベル計算の苦手意識がでてしまいます。この記事は現役リスクアセスメントがSRP/CS, PLr, PL, PFHd について、例を用いながら解説します。...

 

検出側と非検出側とは?

故障の詳細な内訳(4つのモード)のイメージ 安全側故障検出側 安全側故障非検出側 危険側故障検出側 険側故障非検出側故障の詳細な内訳(4つのモード)のイメージ
安全側故障検出側 安全側故障非検出側
危険側故障検出側 危険側故障非検出側

 

故障モードを分解していきます。

モノが壊れてしまうとき、安全側故障か危険側故障のいづれでも、壊れたこと自体が解った場合と、壊れたこと自体が解らなかった、という場合があります。

例えば、あるモノが壊れたことが分かれば、「あ!壊れた!」となって、機械の運転の中断をしたりすることで、安全に使用することができます。

モノが危険側故障で壊れていて、かつ、壊れていることすら気づかずに、そのまま使い続けてしまう。この状態が一番危険な状態です。

通常の運転からモノが壊れたことが見つかったり、明らかになったりすることを「検出された」といい、検出側と呼びます。一方、通常の運転からモノ壊れたことが見つけ出せなかったり、明らかにならなかったことを「検出されない」といい非検出側と呼びます。

IEC 61508-4 (電気・電子・プログラマブル電子安全関連系の機能安全−第4部: 用語の定義及び略語)では「検出された」「検出されない」を定義しています。

3.8.8 検出された(detected)

ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)又は通常の運転から当該事項が見つかり,明らかになる。

注記 診断テストによって検出された危険側故障は現れた故障であり,自動又は手動にかかわらず有効な措置をとる場合,安全側故障とみなすことができる。

3.8.9 検出されない(undetected)

ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)又は通常の運転から当該事項が見つけ出せず,明らかにならない。

出典 JIS C 0508-4:2012

ヤバすぎる危険側故障非検出

危険側故障非検出の例として車のブレーキが壊れている―ブレーキを踏んだのにもかかわらずブレーキがかからない―状態なのに、その状態を理解できずに運転した結果、事故を起こすことが挙げられます。

運転者が車のシステムが脆弱のためブレーキの異常を運転する前に検知できなかったとか、運転者が深酒をしたせいでブレーキの踏み具合が甘かったとか、原因は色々あります。

つまり、運転者が危険な状態の情報を何かしらの媒体を通して受け取れなかったことそのものが危険側故障非検出の状態です。

危険側故障検出側の能力を上げて安全側故障にもっていく

危険側故障検出側の能力を上げて安全側故障にもっていく危険側故障検出側の能力を上げて安全側故障にもっていく

 

IEC 61508-4 では、「診断テストによって検出された危険側故障は現れた故障であり、自動又は手動にかかわらず有効な措置をとる場合、安全側故障とみなすことができる」とあります。

システムやモノが危険側故障を起こしたとしても、検出側の能力が上がれば上がるほど、それらは非検出側に壊れる確率は減っていき、やがて安全側故障に故障します。

DC 自己診断率と DCavg 平均自己診断率

DCとDCavg を理解する上でだいじなところ
  • 個々の部品はDC、SRP/CS 全体にはDCavg
  • DCavg はPL を構成する一つの要素
  • DC とは検出される危険側故障率(分子)と全危険側故障率(分母)との比

重要度
エンカウント
理解の難しさ
コメント rank D DC は比(尺度)なので% で表します。危険側故障非検出側の割合を減らせば、SRP/CS は安全側に壊れてくれることを理解しよう。

自己診断率 DC (Diagnostic Coverage) とは

ISO 13849-1 は自己診断率 DC (Diagnostic Coverage) という概念を用います。

個々の部品(例えば SRP)にはDC を用い、SRP/CS 全体には平均自己診断率 DCavg を用います。

DCavg はパフォーマンスレベル PL (Performance Level) を決定し、カテゴリー2 以上のSRP/CS で必要です。

カテゴリーの詳しい記事は下記をご参照ください。

 

【ISO13849-1カテゴリーの説明を具体的な例を用いてわかりやすく解説します】WellTried十分吟味された部品やカテゴリーを構成するSRP/CSとアーキテクチャーについてこの記事ではパフォーマンスレベル PL を求める方法についてPL を構成する一つの要素である「カテゴリー」の解説を具体的な例を用いながら"Well-Tried" 十分吟味された部品やカテゴリーを構成するアーキテクチャーについて現役のリスクアセスメントエンジニアがわかりやすく説明しています。...

 

ISO 13849-1 やIEC 61608-4 ではDC を定義しています。

3.1.26 診断範囲,DC(diagnostic coverage)

診断効果の尺度であり,検出される危険側故障率(分子)と全危険側故障率(分母)との比として決定することができる。

出典 JIS B 9705-1:2019

DC には色々な呼び方がありISO 13849-1 では「診断範囲」と、IEC 61508-4 では「診断カバー率」と呼びます。この記事では「自己診断率」と呼ぶことにします。(どちらも同じ意味です)

DC 自己診断率は「検出される危険側故障率 \({\lambda}_{DD}\) と全危険側故障率\({\lambda}_{total}\) との比」より、安全機能の有効性の尺度として% で示します。

中の人
中の人
DC とは危険側に壊れたことが解ったという確率 %ですね
λ 自己診断率 DD 危険側-検出、DU 危険側-非検出、SD 安全側-検出、SU 安全側-非検出λ 自己診断率
DD 危険側-検出、DU 危険側-非検出
SD 安全側-検出、SU 安全側-非検出

 

DC を式で表します。

$$ DC = \frac{\sum{\lambda}_{DD}}{\sum{\lambda}_{total}} $$

\({\lambda}_{total}\) は全危険側故障の故障率なので、単純なシステムにおいては下記の式が成り立ちます。

$$ {\lambda}_{total} = {\lambda}_{DD}+{\lambda}_{DU} $$

リスクアセスメント担当者や安全回路設計者は正確を期すために規格書を参考にします。

ISO 13849-1:2015 英語版を持つべきですが、専門的な英語が並んでいるので、英語が苦手な方は難しいかもしれません。

そのためには、重要な規格が網羅され、すでに日本語に翻訳されているJIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ] が必携です

JIS ハンドブック 72 機械安全JIS ハンドブック 72 機械安全

 

MTTF 平均故障時間

あるモノが危険側故障と安全側故障ひっくるめて、ぶっ壊れることを考えます。

ぶっ壊れるまでにかかった時間の平均値のことを平均故障時間と呼び、MTTF (Mean Time To Failure) と定義します。

単位時間当たりの時間平均危険側故障頻度(PFH, average frequency of a dangerous failure per hour) \({\lambda}\) とすると

それぞれの危険側・安全側と検出側・非検出側の関係は下記が成り立ちます。

$$ {\lambda} = {\lambda}_{S} + {\lambda}_{D} = {\lambda}_{SD} + {\lambda}_{SU} + {\lambda}_{DD} + {\lambda}_{DU} $$

中の人
中の人
MTTF の単位は年で表します。
MTTF が10年という値があるときは、そのモノが壊れる時間の平均が63.2% の確率で10年を意味します

つまり、単位時間当たりに壊れてしまう、故障率\({\lambda}\) との関係は下記が成り立ちます。

$$ {\lambda} = {\lambda}_{SD} + {\lambda}_{SU} + {\lambda}_{DD} + {\lambda}_{DU} = \frac{1}{MTTF} $$

中の人
中の人
分子の “1” は単位時間当たりのという意味です

DCavg 平均自己診断率

DC は単純なモノ、ある意味たったひとつのモノだけに焦点をあてていました。

ところが、実際のSRP/CS では下記のようないろんなモノが複雑に組み合わさった回路になっています。

カテゴリー 4 アーキテクチャーのイメージ ・冗長化された各チャンネルのMTTFd は"High" ・DCavg="High" ・CCF 65 点以上 ・達成可能な最大PL は PL=eカテゴリー 4 アーキテクチャーのイメージ

 

【ISO13849-1カテゴリーの説明を具体的な例を用いてわかりやすく解説します】WellTried十分吟味された部品やカテゴリーを構成するSRP/CSとアーキテクチャーについてこの記事ではパフォーマンスレベル PL を求める方法についてPL を構成する一つの要素である「カテゴリー」の解説を具体的な例を用いながら"Well-Tried" 十分吟味された部品やカテゴリーを構成するアーキテクチャーについて現役のリスクアセスメントエンジニアがわかりやすく説明しています。...

 

ひとつひとつのサブシステムのDC 値は解ったとしても、それらのサブシステムのDC 値がSRP/CS のシステム全部にあてはまるかとういと、そうではありません。

そこで、ひとつひとつのサブシステムを合算して平均するという考えで、SRP/CS に当てはめるということにしました。

これを平均自己診断率(平均診断範囲) (DCavg) と呼びます。

DCavg は次の式で求めます。

$$ DCavg = \frac{\frac{DC_1}{MTTFd_1} + \frac{DC_2}{MTTFd_2} + … + \frac{DC_N}{MTTFd_N}}{\frac{1}{MTTFd_1} +\frac{1}{MTTFd_2} + … + \frac{1}{MTTFd_N}}   $$

ジュンイチロウ
ジュンイチロウ
エグい! マジ長い式でわかりづらい!
中の人
中の人
後で計算の練習してみますね。
すぐわかるようになりますよ! 

DC 自己診断率の指定と範囲

DC の指定と範囲を理解する上でだいじなところ
  • DC は付属書E から見積もることが多い
  • DC は「None」「Low」「Medium」「High」の4通り
  • PL とカテゴリー MTTFd DCavg の関係を表したグラフが非常に大事

重要度
エンカウント
理解の難しさ
コメント rank B DC やDCavg はMTTFd のおまけのように感じるが、PL を構成する要素なので大事。求め方をしっかり覚えること! DC の見積もりは最後はセンスかもしれないケド

DC 自己診断率の指定表示とは

ISO 13849-1 ではDC を4通りの区分で区切って、「None」「Low」「Medium」「High」の4通りで指定します。

DC 自己診断率
DC の指定表示
DC の範囲
None なし DC < 60 %
Low 60 % ≦ DC < 90 %
Medium 90 % ≦ DC <99 %
High 99 % ≦ DC

これらのDC 指定表示がPL (Performance Level) を決定する要素の一つです。複数の部品で構成されるSRP/CS ではDC の指定表示について下記の図を用いて最終的にPL を決定します。

PL の要素は

  • カテゴリー
  • MTTFd
  • DCavg (カテゴリー2 以上)
  • CCF (カテゴリー2以上)
PL とカテゴリー MTTFd DCavg の関係を表したグラフ

PL とカテゴリー MTTFd DCavg の関係を表したグラフ

ジュンイチロウ
ジュンイチロウ
カテゴリー3 とカテゴリー4 の違いはDCavg だけですか?
中の人
中の人
はい。カテゴリー3 とカテゴリー4 の違いは下記のみです。

カテゴリー3 はDCavg=Low, Medium

カテゴリー4 はDCavg=High

個々の部品のDC 自己診断率値

個々の部品のDC 自己診断率値は実は曖昧でメーカーが提示していることも稀です。

技術者がDC 値を決定する場合は、ISO 13849-1 付属書E の表を用います。

DC 値の見積もり 入力(INPUT) 装置
No. 方策 (入力 INPUT) DC 値
1 入力信号の動的変化による周期的なテスト 90 %
2 妥当性の確認 機械的にリンクしたノーマルオープンとノーマルクローズの接点の使用など 99 %
3 動的テストを行わない入力のクロスモニタリング 0 %〜99 %
アプリケーションによる。
信号のスイッチングの頻度に依存。
4 短絡が検出できない場合、動的テストによる入力信号のクロスモニタリング(マルチI/O用) 90 %
5 入力信号とロジック内の中間結果をクロスモニタリング(L)、プログラムの流れを時間的・論理的にソフトウェアで監視し、静的障害や短絡を検出(マルチI/Oの場合) 99 %
6 間接モニタリング
(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)
90 %〜99 %
アプリケーションによる
7 直接モニタリング
(例えば、制御バルブの電気的位置監視、機械的にリンクした接点要素による電気機械装置の監視)
99 %
8  プロセスによる故障検出 0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” に対しては不十分。
9 センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量) 60 %

 

DC 値の見積もり 論理(LOGIC) 装置
No. 方策 (論理 LOGIC) DC 値
10 間接モニタリング
(例えば、圧力スイッチによる監視、アクチュエータの電気的なポジションのモニタリング)
90 %〜99 %
アプリケーションによる
11 直接モニタリング
(例:制御弁の電気的なポジションのモニタリング、機械的にリンクされた接点要素による電気機械装置のモニタリングなど)
99 %
12 ロジックの簡単な時間モニタリング
(ウォッチドッグとしてのタイマなど。トリガポイントはロジックのプログラム内にある。)
60 %
13 ウォッチドッグによるロジックの時間的・論理的なモニタリング。ロジックの動作の妥当性チェックをテスト装置が行う。 90 %
14 ウォッチドッグによるロジックの時間的、論理的なモニタリング
(テスト機器がロジックの動作の妥当性チェックを行う)
90 %
(test 手法よる)
15 スタートアップ時、安全機能が要求された時、または外部信号が要求された時に、メインチャンネルでモニタリングする装置の反応能力(ウォッチドッグなど)をチェックする(入力機能経由)  90 %
16 動的原理
(安全機能が要求されたとき、ロジックのすべてのコンポーネントがON-OFF-ONの状態に変化することが必要)
例えばリレーで実装されたインターロック回路など
99 %
24 プロセスによる故障検出 0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” には不十分。

 

DC 値の見積もり 出力(OUTPUT) 装置
No. 方策 (出力 OUTPUT) DC 値
25 動的テストなしの単一チャネルによる出力のモニタリング 0 %〜99 %
アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる
26 動的テストなしの出力のクロスモニタリング 0 %〜99 %
アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる
27 回路短絡検出なしの動的テストによる出力のクロスモニタリング(マルチ I/O)  90 %
28 出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出(マルチ I/O)  99 %
29 ロジックとテスト装置によるアクチュエータのモニタリングで遮断経路を冗長化 99 %
30 間接モニタリング
(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)
90 %〜99 %
アプリケーションによる
31 プロセスによる故障検出 0 %〜99 %
アプリケーションによる。
この方策だけでは、要求パフォーマンスレベル “e” には不十分。
32 直接モニタリング
(例えば、制御バルブの電気的なポジションのモニタリング、機械的にリンクした接点要素による電気機械装置のモニタリング)
99 %

カテゴリー3 例題を用いてDCavg を決定しよう

カテゴリー3 練習問題カテゴリー3 練習問題

 

とある上記のようなSRP/CS があると仮定します。

このSRP/CS はカテゴリー3, PLr=d を達成できるでしょうか?

青色の部品は一般部品、黄色の部品は第三者認証機関で安全に関する認証をされた安全部品(SRP) です。

ここでは安全コントローラーが持っている短絡検出機能や高度故障検出機能などの機能は使いません。

各部品のDC 値をISO 13849-1 付属書E から見積もる

本来DC 値は部品メーカーから公表されているはずなのですが、実際のところは稀です。

中の人
中の人
DC は実際のアプリケーション(例えば、安全回路構成)に委ねる場合がほとんどだからです

なので、安全回路の設計者は各部品のDC 値をISO 13849-1 付属書E から見積もる必要があります。

上記のカテゴリー3 の例題でそれぞれDC 値を見積もってみます。

DC 値の見積もりの例
部品の例 条件 ISO 13849-1
付属書E
DC 値
一般ポジションスイッチ 一般的なポジションスイッチ 該当しない  0 %
接点溶着のような危険側故障が起きたとしても、故障が起きたことを知る術がない
非接触安全スイッチ ISO 14119, type 3 マグネットタイプ 非接触安全スイッチ No. 9
センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量)
60 %
安全コントローラーの例PL=e 安全コントローラー
PL=e, SIL 3 認証品
(ISO 13849-1, IEC 61508 など)
No.28
出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出
99 %
そもそも第三者認証機関でCat4, PL=e, SIL3 で認証されているので High とみなす
一般 電磁接触器 一般的な電磁接触器 No.25
動的テストなしの単一チャネルによる出力のモニタリング
60 % 以下
危険側故障に関しての保証がないので DC はNone (無い)とみなす
ミラーコンタクトリレー IEC 60947-4-1 ミラーコンタクトを備えた電磁接触器
IEC 60947-4-1
認証品
No.32
直接モニタリング
(機械的にリンクした接点要素による電気機械装置のモニタリング)
99 %

実はDC 値の見積もりは、DC の値の範囲が0 %〜99 % など、選択される範囲が広い場合があり曖昧です。

ISO 13849-1 付属書E の考え方にビシッと当てはまれば良いのですが、多くは設計者の主観となる場合が多いようです。

ジュンイチロウ
ジュンイチロウ
付属書 E のどれにも該当しない場合、何となくみたいな感じでDC 値を決めちゃっても良いのですか?
中の人
中の人
そうですね。
付属書 E に該当しない場合は、実際はそれに近い考え方や、なんとなくみたいな感じで選んでも良いかもしれませんね。
でも、それは後から説明を求められた時は適切に応答することが前提ですよ!

DCavg を求めてみよう

上記で見積もったDC 値からSRP/CS 全体のDCavg を求めます。

カテゴリー3 の回路から実際に見積もりしたDC 値と、あらかじめ求めていたMTTFd から、SRP/CS 全体のDCavg を求めますカテゴリー3 の回路から実際に見積もりしたDC 値と、あらかじめ求めていたMTTFd から、SRP/CS 全体のDCavg を求めます

 

ここではMTTFdはあらかじめ求めておいた数値を使います。前提条件は

INPUT

  • DC_I1=0 %, DC_I2=60 %
  • MTTFd_I1=8 年, MTTFd_I2=50 年

LOGIC

  • PL=e
  • DC_L=99 %

OUTPUT

  • DC_O1=60 %, DC_O2=99 %
  • MTTFd_O1=20 年, MTTFd_O2=100 年
LOGIC: セーフティーコントローラーはPL=e 認証品なので、MTTFd=2500 年、DCavg=99 % とします

DCavg は下記の式から

$$ DCavg = \frac{\frac{DC_1}{MTTFd_1} + \frac{DC_2}{MTTFd_2} + … + \frac{DC_N}{MTTFd_N}}{\frac{1}{MTTFd_1} +\frac{1}{MTTFd_2} + … + \frac{1}{MTTFd_N}}   $$

ジュンイチロウ
ジュンイチロウ
ウゲ―目がまわる!
中の人
中の人
平均なので、全部足しあわせて、全体で割るイメージですよ

$$ DCavg = \frac{\frac{DC_{I1}}{MTTFd_{I1}} + \frac{DC_{I2}}{MTTFd_{I2}} + \frac{DC_L}{MTTFd_L} + \frac{DC_{O1}}{MTTFd_{O1}} + \frac{DC_{O2}}{MTTFd_{O2}}}{\frac{1}{MTTFd_{I1}} +\frac{1}{MTTFd_{I2}} + \frac{1}{MTTFd_L} + \frac{1}{MTTFd_{O1}} + \frac{1}{MTTFd_{O2}} }   $$

$$ = \frac{\frac{0}{8} + \frac{60}{50} + \frac{99}{2500} + \frac{60}{20} + \frac{99}{100}}{\frac{1}{8} +\frac{1}{50} + \frac{1}{2500} + \frac{1}{20} + \frac{1}{100} } = 25.5  $$

以上より、DCavg は25.5 % と導くことができ、DCavg の範囲はNone (60 %< DC) がわかります。

このSRP/CS はカテゴリー3 の構成にはなっているかもしれませんが、結論としては未達です。

この回路においてはDC=none なので最大到達PL はカテゴリー1, PL=c が成り立ちます。

ここまでお読み下さいまして有難うございました。

次回はMTTFd を実際に計算してみる編に進みます。

規格は最新のものを参考にすべきですが、ISO 13849-1:2015 版の参照はJIS ハンドブックの年度が古くても使えます。

ABOUT ME
ジュンイチロウ
現役のリスクアセスメントエンジニア。 現在はドイツの安全部品メーカーで機械安全コンサルタントをしています。第三者認証機関で審査官の経験、機械安全トレーニング、セミナー講師の経験から、リスクアセスメント、CE 対策、NRTL 対策を解説します。 Certified Machinery Safety Experts, CMSE, TUVNORD