ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説
ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説

ISO13849-1平均危険側故障時間MTTFdの解説からB10dやnopを用いてMTTFdの求め方をわかりやすく解説

こんにちは! 今日は、機械の安全性を評価するために重要なパラメータのひとつであるMTTFd(平均危険側故障時間)についてお話ししたいと思います。MTTFd とは何か、どうやって求めるのか、そしてどういう意味があるのか、わかりやすく解説していきます。 まず、MTTFd とは何でしょうか? MTTFd とは、安全関連部が危険側故障(安全性を失うような故障)を起こすまでにかかる平均的な時間のことです。例えば、非常停止ボタンやセーフティリレーなどの制御機器は、一定期間使っていると摩耗や劣化が進んでしまいます。その結果、操作要求があった時に正しく動作しなくなる可能性があります。このような状態に至ってしまうまでの予測時間がMTTFd です。 では、どうやってMTTFd を求めるのでしょうか?MTTFd を求める方法は大きく分けて3 つあります。 1. 部品メーカーから使用機器のデータを入手する 2. ISO 13849-1:2015 の附属書C やD からデータをめる 3. MTTFd=10 年と仮定する この中でもっとも正確な方法は1 番ですが、部品メーカーからデータを入手することが難しい場合もあります。その場合は2 番や3 番の方法を使ってみましょう。 2 番の方法では、ISO 13849-1:2015 に掲載されている表や計算式を使ってMTTFd を算出します。この方法では、部品ごとに与えられるデータはMTTFd そのものではなく、B10d やnop というパラメータが多く使われます。 B10d とは何でしょうか? B10d とは、「10% の部品が危険側故障を起こすまでの運転回数」を意味します。例えば、「B10d=100万回」というデータがあった場合、100 万回操作したら10%(100万分の100万)の部品が危険側故障することが予測されるということです。 nop とは何でしょうか? nopとは、「その部品が一年間に稼働する回数」を意味します。例えば、「nop=5000 回」というデータがあった場合、一年間に5000 回操作されることが想定されます。

では、どうやってMTTFd を求めるのでしょうか?MTTFd を求める方法は大きく分けて3 つあります。1. 部品メーカーから使用機器のデータを入手する2. ISO 13849-1:2015 の附属書C やD からデータをめる3. MTTFd=10 年と仮定するこの中でもっとも正確な方法は1 番ですが、部品メーカーからデータを入手することが難しい場合もあります。その場合は2 番や3 番の方法を使ってみましょう。

2 番の方法では、ISO 13849-1:2015 に掲載されている表や計算式を使ってMTTFd を算出します。この方法では、部品ごとに与えられるデータはMTTFd そのものではなく、B10d やnop というパラメータが多く使われます。

B10d とは何でしょうか?B10d とは、「10% の部品が危険側故障を起こすまでの運転回数」を意味します。例えば、「B10d=100万回」というデータがあった場合、100 万回操作したら10%(100万分の100万)の部品が危険側故障することが予測されるということです。

nop とは何でしょうか?nopとは、「その部品が一年間に稼働する回数」を意味します。例えば、「nop=5000 回」というデータがあった場合、一年間に5000 回操作されることが想定されます。

リスクアセスメント復習

リスクアセスメントからPLr を求めてみよう リスクアセスメント

リスクアセスメントはISO 12100 において次のように定義されています。

リスクアセスメント (risk assessment)

リスク分析 (risk analysis)

リスク評価 (risk evaluation)

ベルトで駆動する危険源(回転要素・巻き込み)がむき出しの機械の写真

1日1回 モーター周辺の清掃時に誤って接近しそうです (涙)

ISO 13849-1 のリスクアセスメントもISO 12100 のリスクアセスメントも同じです。下記はISO 13849-1 によるリスクアセスメントのフローです。ただ、ISO 13849-1 のリスクアセスメントではリスクの見積もりをリスクグラフを用いて決定します。

ISO 13849-1 でのリスクアセスメントのステップを表した図

リスクグラフによるリスクの見積もりによると、「オペレーターは1日1回、機械の運転中に危険源への接近があり、誤って巻き込まれたら骨折など、重症を負う」というシナリオから、リスクグラフでリスクの見積もりをすると「S2→F2→P2」となり、要求パフォーマンスレベルPLr は PLr=e と導かれました。

リスクアセスメントリスクの見積もりをリスクグラフで実施 S2/F2/P2 PLr=e

MTTFd とは

故障とは

そもそも「故障」っていったい何でしょう??

故障の定義は、機能安全の規格 IEC 61508-4:2010 で定義され ています。 IEC 61508-4:2010 はJIS 規格 JIS C 0508-4 と整合化され、日本語で対訳されています。

Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 4: Definitions and abbreviations

故障の内訳 故障には危険源故障と安全側故障が存在する

わかりやすく、リミットスイッチをEUC として説明します。EUC (Equipment Under Control) とは今から検討や評価するモノやシステムのことです。EUT (Equipment Under Testing) とは機械や装置全体を評価する時に使います。

機器及び装置 EUC,被制御機器 (Equipment Under Control (EUC))

一般的なリミットスイッチ。アクチュエーターを押し下げてON。コモン・N.C.・N.O.端子を有する

正常動作の説明

  • EUC のアーム(アクチュエーター)が物理的な力で下側に押されると、内部の接点アームが下方に動きます。N.C → N.O. に接点が切り替わります。
  • EUC のアーム(アクチュエーター)が物理的な力から開放されると、アームがバネの力によって、上方に動きます。 N.O. → N.C. に接点が切り替わります。

EUC の故障を考えます。下記のEUC で色がついたところ(青色・オレンジ色)に何か不具合がおきると、いわゆる故障の状態です。

リミットスイッチを用いて表した具体的な危険側故障(オレンジ)と安全側故障(青)の概念 故障の定義

JIS JIS C 0508-4, 故障(failure)

IEC 61508-4, 故障 (failure)

故障の具体的な内容

  • 能力を損失すること → 通電しない
  • 要求されるものとは別の動作をすること → 通電しっぱなし
安全側故障とは JIS JIS C 0508-4, 安全側故障 (safe failure)

IEC 61508-4, 安全側故障 (safe failure)

a) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動を引き起こす

b) EUC (または、その一部) を安全状態に移行させるか、維持するように、安全機能の誤作動の確率を上げる

リミットスイッチを用いて表した、具体的な安全側故障(青)の例。内部の接点アームが折れる故障

安全側故障の例

接点アーム(青色)が折れる → b 接点がN.C からはなれない、かつ、N.O. に移動しない → 通電しない

危険側故障とは ISO 13849-1, 危険側故障 (dangerous failure)

JIS JIS C 0508-4, 危険側故障 (dangerous failure)

a) EUC が危険状態または危険になり得る状態に陥るように、作動要求モードで要求された場合に安全機能の作動を阻止する、または連続モードで安全機能を失敗させる

IEC 61508-4, 危険側故障 (dangerous failure)

a) 要求された場合、安全機能の作動を妨げるか、EUC が危険な状態か、潜在的に危険な状態におかれるように安全機能が動作しないb) 要求された場合、安全機能が正しく作動する確率を下げる

ISO 13849-1 の定義のほうがスッキリしていますね

リミットスイッチを用いて表した、具体的な危険側故障(オレンジ)の例。プランジャー折れ、スプリング折れ、内部接点溶着の故障

危険側故障の例

  • バネ(プランジャー)が折れる
  • アーム(アクチュエーター)が折れる
  • N.C. (b) 接点が溶着する

アームが a 接点から離れない → 接点がN.O. に接続しっぱなし → 通電しっぱなし

MTTFd とは 平均危険側故障時間 MTTFd (mean time to dangerous failure)

部品やシステムがじゅうぶんに長い時間が経ったとき、それぞれがランダム故障を起こすと仮定します。ランダム故障とは時間に関して無秩序に発生し、ハードウェアの多様な劣化メカニズムから生じる故障です。 部品やシステムは、 ランダム故障下において、予測可能な確率(%) で故障が発生はしますが、予測不可能な時間(time) で発生します。ランダムハードウェア故障から生じる部品やシステムの故障率(%) は統計的手法を用いて合理的な精度で予測可能です。

部品やシステムに生じるバスタブ曲線 時間(T) に対する理想化された仮想の故障率 λ(T) MTTF

MTTF とは故障率λ(ラムダ)が一定という条件下で、63.2 % のアイテムが故障するまでの統計に基づく故障までの平均時間の期待値です。故障率λ が一定の場合、確かさ R(t) と不確かさ F(t) の合計は1になり、下記の数式が成り立ちます。

確かさ R(t) $$R(t) = \frac = 0.368$$

不確かさ F(t) $$F(t) = 1 – \frac = 0.632$$

MTTFd

部品やシステムの故障は、場合によっては安全な状態(安全側故障、機械の運転の停止など)の故障が発生することがあります。 MTTFd の値が高いほど部品やシステムの危険側への故障にいたる回数が少ないということです。

MTTFd の決め方

コンポーネントや部品のMTTFd の値の決定においては、次の3つのステップの上から順番にMTTFd の値を決定していきます。つまり、何にもデーターなくて付属書Cにも該当するデーターがないときは、MTTFd=10 年とします。

MTTFd の決め方

  1. 製造者が値を決める
  2. 製造者のデーターが解らない場合はISO 13849-1 の付属書C とD に記載されている値を使用する
  3. 付属書C とD に当てはまらない場合は10 年とする
MTTFd の分類

MTTFd は下記の表に示すように分類します。ISO 13849-1 では分類のことをチャンネルと呼びます。

MTTFd の分類 (チャンネル)

カテゴリーB から3まではMTTFd の値を100 年とし、カテゴリー4 の場合のみMTTFd を2500 年に延長します。

各チャンネルの指定表示各チャンネルの範囲底 low3 年 ≦ MTTFd < 10 年中 medium10 年≦ MTTFd < 30 年高 high30 年 ≦ MTTFd < 100 年カテゴリー4のみ 高 high30 年 ≦ MTTFd < 2500 年 各チャネルの平均危険側故障時間 MTTFd 付属書 C と D のMTTFd

製造者のデーターが解らない場合はISO 13849-1 の付属書 C と D に記載されている値を使用する

メーカーがMTTFd の具体的な値を示さない場合があります。この場合は、上記のように付属書C と D に記載しているデーターを用います。

付属書C は万能ではありません。カテゴリーの選択によっては”Well-tried” 十分吟味された部品が使われている場合に限る場合があります。”Well-tried” 十分吟味された部品とはISO 13849-2 の基本安全原則を満たす場合が該当します。”Well-tried” 十分吟味された部品は第三者認証機関が安全関連部品として認証しCoC (認証書)を発行しています。下記の表は付属書C の値です。

部品名MTTFd (年)機械部品MTTFd=150油圧部品nop ≧ 1,000,000MTTFd=150油圧部品1,000,000 > nop ≧ 500,000MTTFd=300油圧部品500,000 > nop ≧ 250,000MTTFd=600油圧部品250,000 > nopMTTFd=1200 表C 部品のMTTFd 値 部品名B10d (回)空圧部品B10d=20,000,000接触器 (リレーとコンタクター)低負荷B10d=20,000,000接触器 (リレーとコンタクター)定格負荷B10d=400,000近接スイッチ 低負荷B10d=20,000,000近接スイッチ 定格負荷B10d=400,000接点 (コンタクター)低負荷B10d=20,000,000接点 (コンタクター)定格負荷B10d=1,300,000ポジションスイッチB10d=20,000,000ポジションスイッチ(アクチュエーター分離型やガードロック付き)B10d=2,000,000非常停止機器B10d=100,000押しボタン(例 イネーブルスイッチ)B10d=100,000 表C 部品のB10d 値

SRP/CS に使う部品は、CDF(Constructional Data File) を作成し、データーをリスト化すると便利です。CDF についてはこちらの記事を参照してください。

Object / Part No.ManufacturerType / ModelTechnical dataStandardMark of Conformity図面指示の番号などメーカー名など型式など安全データーCoC や DoC に記載されている規格番号認証機関と認証書番号例 SC-001KeyenceGC-1000PFH: 1.72E-9 (/h) SE-001IDECHW1B-V413RB10d: 100,000 SD-001PHOENIX CONTACTPSR-CTISO13849 cat4,PLeISO14119 Type 4Coding level: highPFH: 6E-10 (/h) CDF (Constructional Data File)安全データ-書き方例 ISO12100.com

IEC60204-1電気安全設計が知っておくべきリスクアセスメントと機械に採用できる電気部品(CDF, Construction… こんにちは! 今日は、機械の電気装置に関する国際規格であるIEC 60204-1 についてお話しします。この規格は、機械の安全性を確保するために必要な電気的な危険源に対する…

例 MTTFd を付属書C から求める 非常停止ボタンを備えた機械

EUC が非常停止ボタンの場合、付属書C より、非常停止機器のB10d の値はB10d=100,000 回 です。

JIS ハンドブック 72 機械安全(2022) [ 日本規格協会 ]リスクアセスメント担当者や機械・電気回路設計者・EHS担当者にとって重要な規格が網羅されていて必携です。

JIS ハンドブック 72 機械安全

B10d とは B10 とは

B10d や B10 の値は平均のサイクル数(回数)です。一般的に、空圧、油圧、電気機械部品(ソレノイドバルブ、コンタクター、リレー、ポジションスイッチのカム)など、メーカーが提示する部品の信頼性のデーターは MTTFd ではなく B10 や B10d です。これは、メーカーは機械が据え付けられた後、実際に部品を使う条件(年に何回とか、一日に何回使うとか)がわからないので、メーカーはMTTFd の計算を安全設計者に託すことを意味します。

B10 とは、部品やシステムの10% が故障(安全側・危険側含めて)を起こすまでの平均サイクル数B10d とは、部品やシステムの10% が危険側故障をおこすまでの平均サイクル数

油圧や空圧部品のB10d

特に油圧や空圧部品において、メーカーはB10 の値を示す場合があります 。この場合、安全回路設計者はB10d を推定する必要があります。推定は次の近似式から導きます。

$$ B10d = 2 \times B10 $$

MTTFd の計算

$$\frac$$ の “0.1” とは部品の10% が危険側故障を起こすという意味でしょうか?

分母の係数 “0.1” は不確かさの式から求める近似値です。「部品の10% が・・・」という意味の0.1 ではありません。

nop とは nop の計算

nop 1年あたりの平均サイクル数 (サイクル/年)

dop 1年あたりの平均運転日数 (日/年)

hop 1日あたりの平均運転時間 (時間/日)

t.cycle 部品の連続した2つのサイクルの間隔 (例、バルブの開閉)(秒/サイクル)

nop を求める場合、例えば非常停止ボタンなど、1ヶ月に1回しか動作しない場合などはnop の計算式をわざわざ使う必要はありません。 この場合、nop は1 (回)x12 (ヶ月)= 12 (回/年)です。

例 非常停止ボタンの回路

1月に1 回動作する非常停止ボタンの nop

$$ nop = 1 (time) 12 (month)$$

MTTFd 計算 MTTFd 分類の練習

MTTFd の求め方をもう少し具体的に進めてみます。EUC が油圧バルブのMTTFd を求めます。ある油圧バルブに対して、メーカーは下記のデーターを提示しています。

  • 油圧バルブ B10d: 60,000,000 回
  • 工場は年間220 日の運転
  • 1 日あたり2 シフト
  • バルブの連続2 サイクルの開閉の平均時間(サイクル当たりの秒数): 5 秒
油圧マニホールドのイメージ 実際の計算方法

B10d: 60,000,000 (サイクル)dop: 220 (日/年)hop: 16 (時間/日)t.cycle: 5 (秒/サイクル)

nop の計算式を使ってnop を求めます。MTTFd は下記の計算結果より MTTFd=237.1 (年)と導かれます。

nop が分かったので、B10d と nop があらかじめ分かっている場合の計算式からMTTFd を求めます。

MTTFd の分類

MTTFd = 237.1 年の結果から、MTTFd の分類の表を用いて、この油圧バルブのMTTFdは下記の表にあてはめて「高 high」と分類します。

高 high, 30 ≦ MTTFd < 100 各チャンネルの指定表示各チャンネルの範囲低 Low3 年 ≦ MTTFd < 10 年中 Medium10 年≦ MTTFd < 30 年高 High30 年 ≦ MTTFd < 100 年 表4 各チャンネルのMTTFd 値 部品の耐用年数T10d部品の10% が危険側故障を起こすまでの運転時間

部品の耐用年数をT10d 値を用いる場合があります。T10d とは部品の10% が危険側故障するまでの平均時間です。この場合、EUC 油圧バルブの耐用年数は MTTFd 値を求めて、後にMTTFd の計算式を用いて T10d を導きます。 T10d は下記の式からT10d=23.7 (年)と導かれます。

T10d=23.7 という値から、EUC 油圧バルブは、23.7年の運転時間の制限をもつ部品と仮定できます。通常ISO 13849-1 でSRP/CS を使用する期間を20 年と考えます。つまり、この油圧部品は機械を使用することができる期間内に20年を超えないどこかのタイミングで予防の為に交換が必要な部品とします。この20 年という値を使命時間 (TM, Mission Time)呼びます。

次回、ISO 13849-1 アーキテクチャ(カテゴリー)について説明し、MTTFd との関係を説明します。