解説 ISO 13849-1

安全回路設計入門者を悩ます平均危険側故障時間 MTTFd の計算方法。具体的なB10dやnopを用いながらMTTFdの求め方と分類方法を解説します。

リスクアセスメント復習

リスクアセスメント復習のだいじなところ
  • ISO 13849-1 リスクアセスメントではリスクグラフをつかう
  • PLr はリスクグラフから求めるか、C 規格をつかう
  • 危険事象の発生確率が「低」として正当化できる場合、PLr を一つ下げてもよい

重要度
エンカウント
理解の難しさ
コメント rank B 基本的なリスクアセスメント。PLr を求めるときにはリスクグラフを使うこと。C 規格でPLr が決められている場合は、C 規格を優先。

リスクアセスメントからPLr を求めてみよう

リスクアセスメント

下記のベルト駆動部へリスクアセスメントをします。

ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の写真ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の写真
リスクアセスメント
危険源(回転要素・巻き込み)のポイントを表した写真危険源(回転要素・巻き込み)のポイントを表した写真

 

ISO 13849-1 でのリスクアセスメントのステップを表した図ISO 13849-1 でのリスクアセスメントのステップを表した図
機械類の制限の決定
ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の機械の制限の決定の例
制限の種類 状況 機械の制限の決定の例
使用上の制限 いつ 保全時
誰がが 新入社員の保全要員
どのように 主電源をいれたまま、かつ、運転ボタンをOFFにして
何を ベルトのテンションを確認する
空間上の制限 どこに はしごに登って
時間上の制限 頻度は 1日1回
その他の制限 モーターの電源を遮断しても、慣性力が大きく直ちに停止しない
危険源の同定
危険源の同定 ベルトで駆動する危険源がむき出しの機械
危険源の同定 危険源の例 結果
機械的危険源 稼働要素 切り傷・切断
回転要素 引き込み・補足巻き込み

 

リスクグラフによるリスクの見積もり

S2/F2/P2 → PLr=e

リスクアセスメント リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e リスクアセスメント
リスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e
ジュンイチロウ
ジュンイチロウ
相当ヤバい機械かもれない・・・

MTTFd とは

MTTFd についてだいじなところ
  • 故障には安全側故障と危険側故障の2種類がある
  • MTTFd はモノやシステムが危険側故障を生じるまでの平均時間のこと
  • MTTFd の決めかたは3種類(メーカー値・表から・10年)がある

重要度
エンカウント
理解の難しさ
コメント rank S ISO 13849-1 を理解していく上で、最も難しいところ。概念と計算が入り混じっているため、初心者にとってはとっつきにくい。

故障とは

そもそも故障っていったい何でしょう??

故障の定義は、機能安全の規格 IEC 61508-4:2010 で定義されています。

IEC 61508-4:2010 は JIS 規格 JIS C 0508-4 整合化され、日本語にて対訳されています。

IEC 61508-4 (Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 4: Definitions and abbreviations

JIS C 0508-4 (電気・電子・プログラマブル電子安全関連系の 機能安全−第4部:用語の定義及び略語

モノの壊れかた、故障の内訳は大きく分けて2つです。

  • 安全側故障
  • 危険側故障
故障の内訳 故障には危険源故障と安全側故障が存在する故障の内訳 故障には危険源故障と安全側故障が存在する

わかりやすく、リミットスイッチをEUC として説明します。

EUC とは今から検討する、モノやシステムのことです。

3.2 機器及び装置

3.2.1

EUC,被制御機器[equipment under control (EUC)]

製造,プロセス,運輸,医療,その他の業務に供される機器,機械類,装置,プラントなど。

注記 EUC制御系は,EUCから分離かつ区別される。

出典 JIS C 0508-4:2012

EUC リミットスイッチ

一般的なリミットスイッチ。アクチュエーターを押し下げてON。コモン・N.C.・N.O.端子を有する一般的なリミットスイッチ。アクチュエーターを押し下げてON。コモン・N.C.・N.O.端子を有する

 

正常動作の説明

  • このリミットスイッチはアーム(アクチュエーター)を物理的な力で下側に押されると、内部の接点アームが下に動いて、N.C → N.O. に接点が切り替わります。
  • アーム(アクチュエーター)が物理的な力から開放されると、アームがバネの力によって、上側に動いて、 N.O. → N.C. に自動で接点が切り替わります。

下記のリミットスイッチで色がついたところ(青色・オレンジ色)に何か不具合がおきると、いわゆる故障の状態です。

リミットスイッチを用いて表した具体的な危険側故障(オレンジ)と安全側故障(青)の概念リミットスイッチを用いて表した具体的な危険側故障(オレンジ)と安全側故障(青)の概念

故障の定義

故障とは何でしょう? 故障には定義があります。

3.6.4

故障(機能失敗)(failure)

ある機能ユニットの要求機能の遂行能力の終結,又は要求された以外の機能の誤運用。

出典 JIS C 0508-4:2012

IEC 61508-4, cl. 3.6.4 故障 (Failure)

機能ユニットが要求される機能を提供する能力を損失すること、または、機能ユニットが要求されるものとは別の動作をすること

ジュンイチロウ
ジュンイチロウ
JIS の定義が何を言っているのかわかりません・・・
中の人
中の人
定義は使いやすい方を使いましょう。JIS JIS C 0508-4でも IEC 61508-4 でもどちらを使ってもいいです。

EUC (リミットスイッチ) の故障の具体的な内容は、故障の定義から照らし合わせると2つです。

能力を損失すること → 通電しない

要求されるものとは別の動作をすること → 通電しっぱなし

安全側故障とは

3.6.8

安全側故障(safe failure)

安全機能を実行するときに役割を果たす,要素,サブシステム及び/又はシステムに関する次のような故障。

a) 安全機能の誤作動が,EUC(又はその部品)を安全状態にする,又は安全状態を維持する結果となる。

b) EUC(又はその部品)を安全状態に置く,又は安全状態を維持するように安全機能が誤作動する確率を上げる。

出典 JIS C 0508-4:2012

IEC 61508-4, cl. 3.6.8 安全側故障 (safe failure)

安全機能を実行する際に、ある約割を果たす要素、下位システム、および/または、システムの次のような故障

a) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動を引き起こす

b) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動の確率を上げる

リミットスイッチを用いて表した、具体的な安全側故障(青)の例。 内部の接点アームが折れる故障リミットスイッチを用いて表した、具体的な安全側故障(青)の例。 内部の接点アームが折れる故障リミットスイッチを用いて表した、具体的な安全側故障(青)の例。
内部の接点アームが折れる故障

 

安全側故障の場合は、故障の定義から照らし合わせると、EUC の能力を損失することです。

 

安全側故障の例

  • 接点アーム(青色)が折れる → b 接点がN.C からはなれない、かつ、N.O. に移動しない → 通電しない

危険側故障とは

3.1.5

危険側故障(dangerous failure)

SRP/CSを危険状態又は機能不能状態に導く潜在性をもつ故障。

出典 JIS B 9705-1:2019

 

3.6.7

危険側故障(dangerous failure)

安全機能を実行するときにある役割を果たす,要素及び/又はサブシステム及び/又はシステムに関する次のような故障。

a) EUCが危険状態又は危険になり得る状態に陥るように,作動要求モードで要求された場合に安全機能の作動を阻止する,又は連続モードで安全機能を失敗させる。

b) 要求された場合に安全機能が正しく作動する確率を下げる。

出典 JIS C 0508-4:2012

IEC 61508-4, cl. 3.6.7 危険側故障 (dangerous failure)

安全機能を実行する際に、ある約割を果たす要素、下位システム、および/または、システムの次のような故障 

  • a) 要求された場合、安全機能の作動を妨げるか、EUC が危険な状態か、潜在的に危険な状態におかれるように安全機能が動作しない
  • b) 要求された場合、安全機能が正しく作動する確率を下げる
ジュンイチロウ
ジュンイチロウ
危険側故障の定義はISO 13849-1 と IEC 61508-4 の2通りあるのですね。ISO 13849-1 の定義のほうがスッキリして読みやすいです。
リミットスイッチを用いて表した、具体的な危険側故障(オレンジ)の例。プランジャー折れ、スプリング折れ、内部接点溶着の故障リミットスイッチを用いて表した、具体的な危険側故障(オレンジ)の例。プランジャー折れ、スプリング折れ、内部接点溶着の故障

 

危険側故障は故障の定義から照らし合わせると、EUC の要求されるものとは別の動作をすることです。

危険側故障の例

  • バネ(プランジャー)が折れる
  • アーム(アクチュエーター)が折れる
  • b 接点が溶着する

これらはすべて

アームが a 接点が離れない → 接点がN.O. に接続しっぱなし → 通電しっぱなし

MTTFd とは

3.1.25

平均危険側故障時間,MTTFD(mean time to dangerous failure)

危険側故障を生じるまでの平均時間の期待値。

出典 JIS B 9705-1:2019

部品やシステムがじゅうぶんに長い時間が経ったとき、それぞれがランダム故障を起こすと仮定します。

ランダム故障とは時間に関して無秩序に発生し、ハードウェアの多様な劣化メカニズムから生じる故障です。

部品やシステムは、ランダム故障下において、予測可能なパーセント(%) で故障が発生はしますが、予測不可能な時間で発生します。

ランダムハードウェア故障から生じる部品やシステムの故障率は統計的手法を用いて合理的な精度で予測可能です。

部品やシステムに生じるバスタブ曲線 時間(T) に対する理想化された仮想の故障率 λ(T) 部品やシステムに生じるバスタブ曲線 時間(T) に対する理想化された仮想の故障率 λ(T)

MTTF

MTTF とは故障率λ(ラムダ)が一定という条件下で、63.2 % のアイテムが故障するまでの統計に基づく故障までの平均時間の期待値です。

中の人
中の人
故障率λ が一定の場合、確かさ R(t) と不確かさ F(t) の合計は1になり、下記の数式が成り立ちます。

確かさ \(R(t) = \frac{1}{e} = 0.368…..\)

不確かさ \(F(t) = 1 – \frac{1}{e} = 0.632…..\)

MTTFd

部品やシステムの故障は、場合によっては安全な状態(安全側故障、機械の運転の停止など)の故障が発生することがあります。

MTTFd では危険側故障(安全でない状態につながる可能性のある故障)のみが考慮されます。

MTTFd は常に一定の故障率の範囲で表されますが、部品やシステムの「寿命」ではありません。

MTTFd の値が高いほど部品やシステムの故障回数が少ないということです

MTTFd の決め方

コンポーネントや部品のMTTFd の値の決定においては、3つのステップの上から順番にMTTFd の値を決定していきます。

MTTFd の決め方

  1. 製造者が値を決める
  2. 製造者のデーターが解らない場合はISO 13849-1 の付属書 C と D に記載されている値を使用する
  3. 付属書 C と D に当てはまらない場合は 10 年とする
ジュンイチロウ
ジュンイチロウ
何にもデーターなくて、付属書Cにも該当するデーターがないときはどうしたらいいのでしょうか?
中の人
中の人
何にもデーターなくて、付属書Cにも該当するデーターがないときは強制的に10年にします

MTTFd の分類

MTTFd は下記の表に示すように分類します。

MTTFd の分類

  • 低 low
  • 中 medium
  • 高 high 
通常(カテゴリーB~3まで)はMTTFd は100 年です。

カテゴリー4 の場合のみ、MTTFd は2500 年に延長されます。

カテゴリー4を含むMTTFd の分類 各チャンネルのMTTFd とその範囲
MTTFd 分類 MTTFd 値
 Low 3 年 ≦ MTTFd < 10 年
 Medium 10 年≦ MTTFd < 30 年
 High 30 年 ≦ MTTFd < 100 年
(カテゴリー4のみ)
High 30 年 ≦ MTTFd < 2500 年

付属書 C と D のMTTFd

製造者のデーターが解らない場合はISO 13849-1 の付属書 C と D に記載されている値を使用する

メーカーがMTTFd の具体的な値を示さない場合があります。この場合は、上記のように付属書C と D に記載しているデーターを用います。

ジュンイチロウ
ジュンイチロウ
どんな部品でも付属書C の値が使えるのでしょうか?
中の人
中の人
付属書C は万能ではありません。カテゴリーの選択によっては”Well-tried” 十分吟味された部品が使われている場合に限る場合があります。
中の人
中の人
“Well-tried” 十分吟味された部品とは第三者認証機関が安全関連部品として認証しCoC (認証書)を発行している場合や、ISO 13849-2 の基本安全原則を満たす場合が該当します。
付属書C 代表的な部品のMTTFd 値
部品名 MTTFd (年)
機械部品 MTTFd=150
油圧部品 MTTFd=150
油圧部品
1,000,000 > nop ≧ 500,000
MTTFd=300
油圧部品
500,000 > nop ≧ 250,000
MTTFd=600
油圧部品
250,000 > nop
MTTFd=1,200

 

付属書C 代表的な部品のB10d 値
部品名 B10d (回)
空圧部品 B10d=20,000,000
接触器 (リレーとコンタクター)低負荷 B10d=20,000,000
接触器 (リレーとコンタクター)定格負荷 B10d=400,000
近接スイッチ 低負荷 B10d=20,000,000
近接スイッチ 定格負荷 B10d=400,000
接点 (コンタクター)低負荷 B10d=20,000,000
接点 (コンタクター)定格負荷 B10d=1,300,000
ポジションスイッチ B10d=20,000,000
ポジションスイッチ
(アクチュエーター分離型やガードロック付き)
B10d=2,000,000
非常停止機器 B10d=100,000
押しボタン
(例 イネーブルスイッチ)
B10d=100,000

SRP/CS に使う部品は、CDF(Constructional Data File) を作成し、データーをリスト化すると便利です。CDF についてはこちらの記事を参照してください。

 

後から困らないために電気設計初心者が当然知っておくべき最初の関門。電気的危険源と採用できる電気部品。電気回路設計者が電気回路の安全対策設計をする場合に最初に考えることがあります。電気的危険源について、採用できる部品について正しく理解できていますか? この記事は現役リスクアセスメントエンジニアがIEC 60204-1 1章、4章の要求について実際の例を用いながら解説します。...

 

例 MTTFd を付属書C から求める

EUC 非常停止ボタンの場合のMTTFd を付属書C から算出するイメージEUC 非常停止ボタンの場合のMTTFd を付属書C から算出するイメージ

EUC が非常停止ボタンの場合

付属書C より、非常停止機器のB10dの値は

B10d = 100,000 回

中の人
中の人
古いバージョン ISO 13849-1:2006 では 最大負荷時においてB10d=6,050 回となっていました。どっちの値を使ってもいいです。

リスクアセスメント担当者や安全回路設計者は正確を期すために規格書を参考にします。

ISO 13849-1:2015 英語版を持つべきですが、専門的な英語が並んでいるので、英語が苦手な方は難しいかもしれません。

そのためには、重要な規格が網羅され、すでに日本語に翻訳されているJIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ] が必携です。

JIS ハンドブック 72 機械安全JIS ハンドブック 72 機械安全

 

B10d とは B10 とは

B10d についてだいじなところ
  • B10d は部品の10 %が危険側に故障するまでの平均サイクル数
  • B10d やB10 の値はメーカーが提示するか、代表的な部品のデーターの表をつかう
  • B10 値があるときは、その値を2倍してB10d とする

重要度
エンカウント
理解の難しさ
コメント rank S B10d はMTTFd を求める時に必要な係数。メーカーからのデーター提供はB10 の場合もあることに気をつける。

3.2 記号及び略号

B10D

コンポーネントの10 %が危険側に故障する(空圧式及び電気機械式コンポーネント)までのサイクル数

出典 JIS B 9705-1:2019

B10d や B10 の値は平均のサイクル数(回数)です。

一般的に、空圧、油圧、電気機械部品(ソレノイドバルブ、コンタクター、リレー、ポジションスイッチのカム)など、メーカーが提示する部品の信頼性のデーターは MTTFd ではなく B10 や B10d です。

これは、メーカーは機械が据え付けられた後、実際に部品を使う条件(年に何回とか、一日に何回使うとか)がわからないので、メーカーはMTTFd の計算を安全設計者に託すことを意味します。

B10 とは、部品やシステムの10% が故障(安全側・危険側含めて)を起こすまでの平均サイクル数

B10d とは、部品やシステムの10% が危険側故障をおこすまでの平均サイクル数

油圧や空圧部品のB10d

特に油圧や空圧部品において、メーカーはB10 (B10d ではなく) の値を示す場合があります。

この場合、安全回路設計者はB10d を推定する必要があります。推定は次の近似式から導きます。

$$ B10d = 2 \times B10 $$

MTTFd の計算

MTTFd の計算でだいじなところ
  • MTTFd の計算はB10d とnop の値をつかう
  • nop は1年あたりの平均サイクル数。つまり、年何回の稼働かということ
  • MTTFd 値を求めた後、分類カテゴリーを用いて「低・中・高」の分類をすること

重要度
エンカウント
理解の難しさ
項目名 rank S MTTFd を nop から B10d を用いて計算する方法は暗記するほど重要です。nop の単位は[サイクル/年]。MTTFd の分類まで自分できるように計算含めて何回も練習しよう。

MTTFd は下記の式から求めます

 

3.2 記号及び略号

T10D

コンポーネントの10 %が危険側に故障するまでの平均時間

出典 JIS B 9705-1:2019

ジュンイチロウ
ジュンイチロウ
\(\frac{T10d}{0.1}\)  の “0.1” とは部品の10% が危険側故障を起こすという意味でしょうか?
中の人
中の人
いいえ。

\(\frac{T10d}{0.1}\)  で示される “0.1” は不確かさの式から求める近似値です。「部品の10% が・・・」の “0.1” ではありません!

nop とは nop の計算

$$ nop = \frac{{dop} {\times} {hop} {\times} {3600 s/h}}{t.cycle} $$

nop 1年あたりの平均サイクル数 (サイクル/年)

dop 1年あたりの平均運転日数 (日/年)

hop 1日あたりの平均運転時間 (時間/日)

t.cycle 部品の連続した2つのサイクルの間隔 (例、バルブの開閉)(秒/サイクル)

nop を求める場合、例えば非常停止ボタンみたいに、1ヶ月に1回しか動作しない場合などはnop の計算式をわざわざ使う必要はありません。

例 非常停止ボタンの回路

1月に1回動作する非常停止ボタンの nop

$$ nop = 1 (time) {\times} 12 (month)$$

$$= 12 (cycle/year) $$

MTTFd 計算 MTTFd 分類の練習

前提

例題 EUCが油圧バルブのMTTFd を求めます

ある油圧バルブに対して、メーカーは下記のデーターを提示しています

  • B10d: 60,000,000 回

 

一方、安全回路の設計者は下記の条件で、この油圧バルブを使うことを想定しています

  • 据え付け先の工場は年間220日の運転
  • 1日・2シフト
  • バルブの連続2サイクルの開閉の平均時間(サイクル当たりの秒数): 5秒
油圧バルブと油圧マニホールドの写真油圧バルブと油圧マニホールドの写真

実際の計算方法

上記の例題を整理します。それぞれの値は下記になりました。

  • B10d: 60,000,000 (サイクル)
  • dop: 220 (日/年)
  • hop: 16 (時間/日)
  • t.cycle: 5 (秒/サイクル)

nop の計算式を使ってnop を求めます

$$ nop = \frac{{dop} {\times} {hop} {\times} {3600 s/h}}{t.cycle} $$

$$= \frac{{220 day/year} {\times} {16 hour/day} {\times} {3600 s/h}}{5 s/cycle}$$

$$= 2.53 {\times} 10^6 cycle/year $$

 

nop が分かったので、B10d と nop があらかじめ分かっている場合の計算式からMTTFd を求めます。

$$ MTTFd = \frac{T10d}{0.1} = \frac{B10d}{{0.1}{\times} {nop} }$$

$$= \frac{60,000,000 cycle}{0.1 {\times} 2.53 {\times} 10^6 cycle/year} = 237.1 year $$

MTTFd = 237.1 年 が求められました

MTTFd の分類

MTTFd = 237.1 年 の結果から

MTTFd の分類の表を用いて、この油圧バルブのMTTFdは下記の表にあてはめて「高 high」と分類します。

高 high, 30 ≦ MTTFd < 100 <237.1 年

 

各チャンネルの平均危険側故障の範囲から、実際のMTTFd の分類を導く
MTTFd 分類 MTTFd 値
 Low 3 年 ≦ MTTFd < 10 年
 Medium 10 年≦ MTTFd < 30 年
 High 30 年 ≦ MTTFd < 100 年

 

部品の耐用年数
T10d 部品の10% が危険側故障を起こすまでの運転時間

部品の耐用年数をT10d 値を用いる場合があります。

中の人
中の人
T10d とは部品の10 %が危険側故障するまでの平均時間ですね

この場合、EUC 油圧バルブの耐用年数はMTTFd 値を求めて、後にMTTFd の計算式を用いて T10d を導きます。

$$ MTTFd = \frac{T10d}{0.1} $$

$$ T10d = 0.1 {\times} MTTFd $$

$$= 0.1 {\times}237.1 =  23.7 year $$

T10d = 23.7 年 が求められました

つまり、この値から、

EUC 油圧バルブは、23.7年の運転時間の制限をもつ部品と仮定します。

ここまでお読みくださいまして、ありがとうございます。

次回、ISO 13849-1 アーキテクチャ(カテゴリー)について説明し、MTTFd との関係を説明します。

 

【ISO13849-1カテゴリーの説明を具体的な例を用いてわかりやすく解説します】WellTried十分吟味された部品やカテゴリーを構成するSRP/CSとアーキテクチャーについてこの記事ではパフォーマンスレベル PL を求める方法についてPL を構成する一つの要素である「カテゴリー」の解説を具体的な例を用いながら"Well-Tried" 十分吟味された部品やカテゴリーを構成するアーキテクチャーについて現役のリスクアセスメントエンジニアがわかりやすく説明しています。...

 

規格は最新のものを参考にすべきですが、ISO 13849-1:2015 版の参照はJIS ハンドブックの年度が古くても使えます。

持っていない方はぜひ入手して下さい。

 

ABOUT ME
ジュンイチロウ
現役のリスクアセスメントエンジニア。 現在はドイツの安全部品メーカーで機械安全コンサルタントをしています。第三者認証機関で審査官の経験、機械安全トレーニング、セミナー講師の経験から、リスクアセスメント、CE 対策、NRTL 対策を解説します。 Certified Machinery Safety Experts, CMSE, TUVNORD