PL評価に関係するパラメータ
ここではSRP/CSやサブシステムのPL評価に関連するパラメータについて解説します。
SRP/CSのPLは、SRP/CSの安全機能ごとのブロック図化、ブロック図へのサブシステムの割り当てを経て、サブシステムごとに算出したPFHを足し合わせることによって評価します。
PFH(Average frequency of a dangerous failure per hour)とPL評価
PFHは、単位時間当たりの危険側故障の発生確率を示す値です。ISO 13849-1では、PLをa~eの5通りに分類するときの指標として用いられています。機能安全の規格であるIEC 61508シリーズなどでも、安全関連の制御システムに関する信頼性を、この値を用いて定義しています。
SRP/CSのPLは、それを構成するすべてのサブシステムのPFHの総和で求められます。
サブシステムのPFHは、使用する部品の特性に応じて、それぞれ下記のように求めます。
- メーカでPL評価済みのサブシステム:機器のメーカから提供されたPFH値を使用
- ユーザでPL評価が必要なサブシステムまたは部品:アプリケーションに応じてカテゴリ、MTTFD、DCavg、CCFを評価し、PFH値を算出
メーカでPL評価済みのサブシステム
あらかじめPL評価が行われているサブシステムとして扱われる安全機器は、機器メーカより提供されているPFH値を用いることが可能です。代表的な機器としては、セーフティライトカーテンやセーフティコントローラが挙げられます。
安全機器の中には、ISO 13849-1に基づくPLではなく、機能安全規格のIEC 62061やIEC 61508シリーズによって評価されたSILが宣言されているものもあります。このような安全機器の場合、一般的にPFH値も提供されており、PL評価済みのサブシステムと同様に扱うことが可能です。
ユーザでPL評価が必要なサブシステムまたは部品
ユーザでPL評価が必要なサブシステムまたは部品については、SRSで明確にした安全機能の仕様・アプリケーションに関する情報や部品の製造メーカにより提供されるデータをもとに、カテゴリ、MTTFD、DCavgを評価し、PFH値を算出します。
PFH値をカテゴリ、MTTFD、DCavgから算出するためには、ISO 13849-1のTable K.1で示されているカテゴリ、MTTFD、DCavgとPLとの関係表を用います。PFHは非常に小さな数字のため、指数部と仮数部の組合せで表されています。
ISO 13849-1:2023 Annex Kにおける各パラメータとPFHおよびPLの関係(一部)
カテゴリ(Category)
カテゴリ(Category)の概念
カテゴリとは、サブシステムのフォールト(障害)耐性を示すパラメータです。ISO 13849-1に基づいてサブシステムのPLを評価する際の基礎として扱われています。
カテゴリは、主に構造的要素によってB、1、2、3、4の5つに分類されます。構造的要素は、指定アーキテクチャと呼ばれる構造図を用いて表現されます。カテゴリごとに示されている指定アーキテクチャの図は、機械の安全機能としての一般的な構成を示したものであるとされています。安全機能として実際に用いられる安全機器は様々であっても、サブシステムとしての基本的な構成要素は類似しているためです。そのため、一見すると実際の電気回路図とは異なっていても、サブシステムの構造的要素を分類すると、いずれかの指定アーキテクチャに当てはめて考えられることがほとんどです。
カテゴリの評価は、この構造に対する要件のほか、フォールト発生時のふるまいや、MTTFD、DCavg、CCFについての要件を満たしているかを判断して行います。
カテゴリ(Category)の要件
| カテゴリ | 要求事項の概要 | 指定アーキテクチャ |
|---|---|---|
| B |
カテゴリBのサブシステムは、以下に示すような意図した使用条件に耐えられることが求められます。
これらを満たすためには基本安全原則に従うほか、用途に合った規格に適合した部品を選択した上でその適合規格の要求事項に従って外部影響への対策を実施する事が必要です。 カテゴリBは単一チャネル系であるため、フォールトの発生により安全機能は損なわれます。診断機能もないため、カテゴリBの診断カバー率はありません(DCavg=なし)。また、CCFを考慮する必要はありません。MTTFDは少なくとも“低”でなければなりません。 カテゴリBのサブシステムが達成可能な最大PLはPL bです。 注1. 基本安全原則に関しての詳細はISO 13849-2:2012を参照。 |
I:入力機器(例:センサ) |
| 1 |
カテゴリ1のサブシステムは、カテゴリBの要求事項に加えて以下を適用することが必要です。
このうち十分吟味されたコンポーネントとは、次のいずれかを満たす部品です。 a) 過去類似のアプリケーションにおいて幅広く使用され、 ただし、複雑な電子部品で構成された一般PLCなどの部品は、これらの条件を満たしていても十分吟味されたコンポーネントとはみなされません。 カテゴリ1はカテゴリBと同じく単一チャネル系であるため、フォールトの発生により安全機能は損なわれます。また診断機能はないため診断カバー率はありません(DCavg=なし)。CCFの考慮も不要です。 MTTFDは“高”でなければなりません。カテゴリBより高いMTTFDをもつことから、安全機能が損なわれる可能性はカテゴリBより低いといえます。 カテゴリ1で達成可能な最大PLはPL cです。 注1. 十分吟味された安全原則に関しての詳細はISO 13849-2を参照。 |
|
| 2 |
カテゴリ2のサブシステムは、カテゴリBの要求事項に加えて、十分吟味された安全原則に従うことが求められます。また、サブシステムが適切な間隔で安全機能チャネル(I、L、O)を試験するよう設計しなければなりません。 試験チャネルは、試験機器(TE)とその出力機器(OTE)で構成されます。安全機能の試験には以下が求められます。
カテゴリ2は試験機能をもちますが、試験と試験の間のフォールトが発生すると安全機能が損なわれます。試験機能により定期的な故障検知を行うことから、機能チャネル(I-L-O)の診断カバー率は少なくとも“低”となります(DCavg≧60%)。また、CCFを考慮する必要があります。 機能チャネル(I-L-O)のMTTFDはPLrに応じて“低”~“高”のいずれかとなります。 カテゴリ2で達成可能な最大PLはPL dです。 |
m:モニタリング |
| 3 |
カテゴリ3のサブシステムは、カテゴリBの要求事項に加えて、十分吟味された安全原則に従うことが求められます。また単一のフォールトが生じても安全機能を損なわないように設計し、合理的に実施可能な場合には単一のフォールトは安全機能の次の作動要求時かそれ以前に検出されなければなりません。 カテゴリ3は2チャネルの冗長化された構造をもち、チャネル間で相互監視することによりその安全性を確保しています。 単一のフォールトでは安全機能は損なわれませんが、検出できないフォールトが累積すると安全機能が損なわれることがあります。このことから診断カバー率は少なくとも“低”となります(DCavg≧60%)。またCCFを考慮する必要があり、MTTFDはPLrに応じて“低”~“高”のいずれかとなります。 カテゴリ3で達成可能な最大PLはPL eです。 |
m:モニタリング |
| 4 |
カテゴリ4のサブシステムは、カテゴリBの要求事項に加えて、十分吟味された安全原則に従うことが求められます。また、次のように設計しなければなりません。
カテゴリ4はカテゴリ3と同様に2チャネルの冗長化された構造をもち、チャネル間で相互監視することによりその安全性を確保しています。 フォールトの検出能力はカテゴリ3よりも高く、単一のフォールトに加えフォールトの累積に関しても安全機能が損なわれる確率は極めて低いといえます。このことから診断カバー率は“高”となります(DCavg≧99%)。またCCFを考慮する必要があり、MTTFDは“高”でなければなりません。 カテゴリ4で達成可能なPLはPL eです。 |
m:モニタリング 注1. カテゴリ3と基本的なアーキテクチャは同じですが、DCavgおよびMTTFDは“高”でなければなりません。上図のうち監視を表す実線はカテゴリ3よりも高い診断カバー率を表します。 |
CCF(Common Cause Failure)
CCFの概念
CCF(共通原因故障)とは一般に、複数の系統の機能などがある共通の原因によって共に損なわれてしまうような故障のことを指す言葉です。PLの評価においては、複数のチャネルの同時故障に対する耐性の高さを表すパラメータとして使われています。
CCFの考慮は、複数のチャネルをもつサブシステムに対して求められます。つまり、CCFというパラメータに対する評価は、2つのチャネルをもつカテゴリ2、3、4のサブシステムに対してのみ行う必要があります。
CCFは、共通原因故障の低減に役立つと考えられる様々な方策の実施状況を点数化することで評価します。サブシステムに対して、設計上の仕様の余裕度、実機での部品の取り付け状況や配線状況、どのような部品を使用するかなどといった内容を確認して点数付けを行い、それらの点数を加算した結果が65点以上となるか否かを確認します。
CCFの評価には、ISO 13849-1:2023のAnnex F、Table F.1で提供されているCCFに対する方策のリストとその方策に関する説明を活用することができます。
ISO 13849-1:2023のAnnex FにおけるCCFの見積り
(ISO 13849-1:2023 Annex Fよりオムロン編)
| No. | CCFに対する方策 | 得点 |
|---|---|---|
| 1 | 分離・隔離 | |
|
15 | |
| 2 | 多様性(ダイバーシティ) | |
|
20 | |
| 3 | 設計・アプリケーション・経験 | |
| 3.1 |
|
15 |
| 3.2 | 使用するコンポーネントは十分吟味されている | 5 |
| 4 | 評価・分析 | |
|
5 | |
| 5 | 訓練 | |
|
5 | |
| 6 | 環境面 | |
| 6.1 |
|
25 |
| 6.2 | 他の影響
|
10 |
| 合計 | 最大100 | |
| 合計得点 | CCFを回避するための方策 |
|---|---|
| 65以上 | 要求事項に適合 |
| 65未満 | 要求事項に不適合→追加方策の適用 |
MTTFD(Mean Time to Dangerous Failure)
MTTFDの概念
MTTFDとは、危険側故障を起こすまでにかかる平均的な時間を示すパラメータです。
SRP/CSに用いる部品や機器の故障には、安全側故障と危険側故障があります。このうち危険側故障とは、部品・機器が安全機能の実行を要求されたときに安全機能の実行を阻止したり安全機能の実行を失敗させたりするような故障や、安全機能が正しく作動する確率を下げてしまうような故障を指します。
MTTFDは、この危険側故障が起こるまでの予測時間を表すものです。危険側故障が起こるまでの予測時間は、その部品や機器が使用される条件などによっても異なります。そのため、部品や機器の耐久年数とは同一ではありません。
部品のMTTFD
安全機能の構成を示すブロック図には、I、L、Oといった安全機能の要素を担う部品があります。MTTFDはこの部品のひとつひとつに与えられるものです。サブシステムのMTTFDを求めるためには、これらのMTTFDのデータが必要です。
部品のMTTFDは以下のいずれかの方法で求めることができます。
- 1.
部品メーカよりデータを入手する
- 2.
ISO 13849-1のAnnex Cを参照してデータを求める
- 3.
類似環境における同等コンポーネントから得られた信頼性のある故障率のフィールドデータより求める
- 4.
MTTFD=10年と仮定する
部品メーカより提供されるデータやISO 13849-1で示されるデータは、MTTFDそのもののこともありますが、部品の種類によっては、計算によってMTTFDを求めなければならない場合があります。
スイッチやリレーといった部品は、操作された時だけ機能し消耗が発生するため、その動作回数が、危険側故障に至るまでの時間に関係してきます。このような部品の場合、10%の部品が危険側故障を起こすまでのサイクル数を示すB10Dという値と、予想される平均的な年間動作回数(nop)をもとにMTTFDを算出します。
B10DからMTTFDを求める計算式は次のとおりです。
(式1)
B10D:10%の部品が危険側故障を起こすまでのサイクル数(単位:回)
nop:対象アプリケーションの1年あたりの平均的な動作回数(単位:cycle/year)
この(式1)で用いられるnopというパラメータは、その部品が一年間に動作する平均的な回数を示すものです。これを求めるためには、対象とする安全機能がどのくらいの頻度で動作するかを把握している必要があります。
nopは以下の式によって求められます。
(式2)
tcycle:部品の動作サイクル間の平均間隔(単位:second/cycle)
hop:1日あたりの稼動時間(単位:hour/day)
dop:年間の稼動日数(単位:day/year)
ISO 13849-1 Annex Cにおける部品のMTTFD、B10Dの代表値と関連規格
(ISO 13849-1:2023 Annex C Table C.1よりオムロン編)
| ISO 13849-2における 基本安全原則、 および十分吟味された安全原則 |
関連規格 | 代表値 MTTFD(年) /B10D(サイクル) |
|
|---|---|---|---|
| 機械式コンポーネント | 表A.1及び表A.2 | - | MTTFD=150 |
| 液圧式コンポーネント (nop≧1,000,000のとき)*a |
表C.1及び表C.2 | ISO 4413 | MTTFD=150 |
| 液圧式コンポーネント (1,000,000>nop≧500,000のとき)*a |
表C.1及び表C.2 | ISO 4413 | MTTFD=300 |
| 液圧式コンポーネント (500,000>nop≧250,000のとき)*a |
表C.1及び表C.2 | ISO 4413 | MTTFD=600 |
| 液圧式コンポーネント (250,000>nopのとき)*a |
表C.1及び表C.2 | ISO 4413 | MTTFD=1,200 |
| 空圧式コンポーネント | 表B.1及び表B.2 | ISO 4414 | B10D=20,000,000*c |
| リレー及びコンタクタリレー低負荷 | 表D.1及び表D.2 | IEC 61810-3 IEC 60947シリーズ |
B10D=20,000,000 |
| リレー及びコンタクタリレー定格負荷 | 表D.1及び表D.2 | IEC 61810-3 IEC 60947シリーズ |
B10D=400,000 |
| 近接スイッチ低負荷 | 表D.1及び表D.2 | IEC 60947シリーズ ISO 14119 |
B10D=20,000,000 |
| 近接スイッチ定格負荷 | 表D.1及び表D.2 | IEC 60947シリーズ ISO 14119 |
B10D=400,000 |
| コンタクタ低負荷*d | 表D.1及び表D.2 | IEC 60947シリーズ | B10D=20,000,000 |
| コンタクタ定格負荷*d | 表D.1及び表D.2 | IEC 60947シリーズ | B10D=1,300,000 |
| 位置スイッチ*b | 表D.1及び表D.2 | IEC 60947シリーズ ISO 14119 |
B10D=20,000,000 |
| 位置スイッチ (アクチュエータ分離型、施錠装置付き)*b |
表D.1及び表D.2 | IEC 60947シリーズ ISO 14119 |
B10D=2,000,000 |
| 非常停止機器*b | 表D.1及び表D.2 | IEC 60947シリーズ ISO 13850 |
B10D=100,000 |
| 押しボタン (例えば、イネーブルスイッチ)*b |
表D.1及び表D.2 | IEC 60947シリーズ | B10D=100,000 |
注1. B10Dの定義および使用に関してはISO 13849-1 C.4を参照
注2. 他の利用可能な情報(例えば、製品規格)がない場合、B10DはB10の2倍で見積る(50%の危険側故障率)
注3. IEC 60947-5-5およびISO 13850に従った非常停止機器、およびIEC 60947-5-8に従ったイネーブルスイッチは、電気的出力接点の数およびその後のサブシステムのフォールトの検出に基づき
カテゴリ1、カテゴリ3またはカテゴリ4のサブシステムとして見積もることができる。各接点素子(機械的な作動含む)はそれぞれのB10D値をもつ1つのチャネルとして考慮することができる。
IEC 60947-5-8によるイネーブルスイッチに関して、これには押込み(ポジション3)または解放(ポジション1)の開放機能を含む。いくつかの場合、特定の用途および装置の環境条件を考慮し、ISO 13849-2の表D.8に従い、機械の製造業者がフォールトの除外を適用可能である。
*a. 液圧式コンポーネントのB10Dの計算においては、標準的なMTTFD値からの逆算は認められない
*b. 直接開路動作によるフォールトの除外が可能な場合
*c. 一般的に、ほとんどの空圧式コンポーネントに対してこの値を仮定することが可能である。しかしアプリケーションおよび種類によっては(例えば、シャットオフバルブ)、この値は著しく低い可能性がある
*d. “定格負荷”または“低負荷”は、例えば、定格電流値に対しての余裕をもった数値設計のようなISO 13849-2:2012で示される安全原則を考慮するのがよい。“低負荷”は例えば定格の20%を意味する
サブシステムのMTTFD
部品のMTTFDを基に、サブシステムとしてのMTTFDを求めます。
部品のMTTFDからサブシステムとしてのMTTFDを求めるためには、ISO 13849-1のAnnex Dで示される計算式を用います。
下図のサブシステム1では、同じB10Dをもつ非常停止スイッチが同じ動作条件で使用されているものとします。このとき、チャネル1のMTTFDとチャネル2のMTTFDは同じ値となります。同じMTTFDをもつ2つのチャネルで構成されるサブシステムのMTTFDは、各チャネルのMTTFDと同じです。
サブシステム3では、同じB10Dをもつコンタクタが異なる動作条件で使用されているものとします。このとき、チャネル1のMTTFDとチャネル2のMTTFDは異なる値となるため、式4を用いてサブシステムのMTTFDを求めます。
(式4)
MTTFDの評価
MTTFDは、以下のように“低”“中”“高”の3通りのレベルに分類されます。
算出されたMTTFDの値がこのいずれに当てはまるかを判断します。なお、カテゴリ4の場合の最大のMTTFDは、2500年となります。
| 低(Low) | 3年≦MTTFD<10年 |
|---|---|
| 中(Medium) | 10年≦MTTFD<30年 |
| 高(High) | 30年≦MTTFD≦100年 |
〈参考〉ミッションタイムとT10D
部品には固有の故障確率があります。この故障確率は、機械的な部品の場合、疲労や経年変化によってある時期から急激に増加します。これは危険側故障についても同じです。このように急激に故障確率が変化する時期の特性データは、MTTFDの評価に用いることはできません。PL評価においては、設計上で意図された使用期間ごとに同じ部品に交換することを前提に危険側故障発生確率は時期を問わず一定であるとして、その部品のMTTFDを求めます。この意図された使用期間のことをミッションタイム(使命時間)と呼びます。機械の設計者は、ミッションタイムについて以下を留意する必要があります。
- 1.
機械の制御システムあるいは機械全体のミッションタイム(意図する機械の運転年数)を規定する。
- 2.
制御システムで使用される部品のそれぞれに対してT10Dを求める。
T10Dは10%のサンプルが危険側故障に至るまでに要した時間のことで以下の式で求められます。
(式5)
- 3.
制御システムで使用されるそれぞれの部品のT10Dが、機械のミッションタイムよりも短い場合は、その部品をT10D周期で交換する必要があることを、文書でユーザに対して通知する。
DC(Diagnostic Coverage)とDCavg
DCの概念
DCとは、危険側故障を検出できる確率を示すパラメータです。「診断カバー率」とも呼ばれます。DCavgはSRP/CSまたはサブシステム全体を通じたDCの平均値のことです。
SRP/CSにおいて危険側故障が発生すると、安全機能が正しく作動しないなどにより、機械が危険状態に陥る可能性があります。これに対応するためには、SRP/CS全体として危険側故障をどれだけの確率で検出できるかが重要になります。
DCの考慮は、フォールト(障害)の検出機能をもつサブシステムに対して求められます。つまりDCの見積りは、カテゴリ2、3、4のサブシステムに対してのみ行います。フォールトの検出機能をもたないカテゴリB、1のサブシステムのDCは、“なし”とされています。
部品のDC
MTTFDと同様にDCも、安全機能のI、L、Oの要素を担う部品のそれぞれに対して決定していきます。
スイッチやリレーなどの部品は、それ自体では故障検知などの診断機能を備えていません。そのためこれらの機器の状態は、セーフティコントローラなどの他の機器の診断機能によってモニタされている場合がほとんどです。このことから、部品においてどのような診断がなされているかは、コントローラ側の診断機能と照らし合わせて判断する必要があります。
ISO 13849-1のAnnex E、Table E.1には、代表的な診断の方策とそれに応じたDCが記載されています。この表を参照し、I、L、Oのそれぞれの要素に用いられている診断機能がどれに当てはまるかを確認することで、部品のDCを求めることができます。
ISO 13849-1:2023のAnnex Eに基づく代表的な方策とDCの見積りの代表例は、以下のとおりです。これらの方策は、より高いDCを達成するために組み合わせて適用される場合があります。
ISO 13849-1:2023 Annex EにおけるDCの見積り(抜粋)
(ISO 13849-1:2023 Annex E、Table E.1よりオムロン編)
| 方策 | DC |
|---|---|
| 入力機器 | |
| 入力信号の動的(ダイナミックな)変化による周期的試験 | 90% |
| プロウザビリティ(確かさ)チェック(例えば、ノーマルオープンおよびノーマルクローズの機械的結合接点の使用) | 99% |
| 回路短絡を検出できない場合、動的試験付きの入力信号の相互監視(マルチI/Oに対して) | 90% |
| 入力信号及び論理(L)内の中間結果の相互監視、プログラムフローの一時的および論理的なソフトウェア監視、ならびに静的フォールトおよび回路短絡の検出(マルチI/Oに対して) | 99% |
| 直接監視(例えば、制御バルブの電気的位置監視、機械的結合接点要素による電気機械式機器の監視) | 99% |
| センサのいくつかの特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量) | 60% |
| 論理 | |
| 直接監視[例えば、制御バルブの電気的位置監視、機械的結合接点要素による電気機械式機器の監視、中間結果のプロウザビリティ(確かさ)チェック] | 99% |
| 論理の単純で一時的な時間の監視(例えば、論理のプログラム内にトリガー点をもつ場合の、ウォッチドッグとしてのタイマ) | 60% |
| 試験機器が論理の挙動に対するプロウザビリティ(確かさ)チェックを行う場合の、ウォッチドッグによる一時的かつ論理的な監視 | 90% |
| 起動時、若しくは安全機能の作動要求または入力機能を介した外部信号による作動要求の度ごとに行われる、主チャネルによる監視機器の応答能力のチェック(例えば、ウォッチドッグ) | 90% |
| 動的な原則(安全機能の作動要求時に、論理の全てのコンポーネントにオン-オフ-オン状態の変化を要求する。)。例えば、リレー実装のインターロック回路 | 99% |
| 出力機器 | |
| 回路短絡検出なしの動的試験による出力信号の相互監視(マルチI/Oに対して) | 90% |
| 出力信号及び論理(L)内の中間結果の相互監視、プログラムフローの一時的および論理的なソフトウェア監視、ならびに静的フォールト及び回路短絡の検出(マルチI/Oに対して)。 | 99% |
| 論理及び試験機器によって出力を監視する冗長化遮断経路 | 99% |
| 直接監視(例えば、制御バルブの電気的位置監視、機械的結合接点要素による電気機械式機器の監視) | 99% |
サブシステムのDCavg
サブシステムとしてのDCを求めるためには、サブシステムに含まれるすべての部品のDCを平均化する必要があります。平均化されたDC値は、DCavg(average diagnostic coverage)と呼びます。
下図の場合、非常停止スイッチで構成されるサブシステム1、コンタクタで構成されるサブシステム3のDCavgは、それぞれのサブシステム内の部品のDCは、式6を用いて平均化することで求められます。
サブシステムのDCavg
(式6)
(式6)
DCの評価
DCは、以下のように“なし” “低” “中” “高”の4通りのレベルに分類されます。
算出されたDCの値がこのいずれに当てはまるかを判断します。
| なし(None) | DC<60% |
|---|---|
| 低(Low) | 60%≦DC<90% |
| 中(Medium) | 90%≦DC<99% |
| 高(High) | 99%≦DC |
