PL決定に役立つ安全機能の故障検出能力の自己診断率DCとSRP/CSへの平均自己診断率DCavgの計算方法
PL決定に役立つ安全機能の故障検出能力の自己診断率DCとSRP/CSへの平均自己診断率DCavgの計算方法

PL決定に役立つ安全機能の故障検出能力の自己診断率DCとSRP/CSへの平均自己診断率DCavgの計算方法

こんにちは! 今日はISO13849-1 の平均自己診断率(DCavg) とは簡単にいうとどういうことでしょう?というテーマでお話ししたいと思います。 DCavg とは、安全関連部の危険側故障を検出できる確率のことです。例えば、あなたが自動車に乗っているときに、ブレーキが効かなくなったらどうしますか? 恐らくパニックになってしまいますよね。でも、もしブレーキが効かなくなる前に、その故障を検知して警告音やランプで知らせてくれたら、事故を回避するチャンスが増えますよね。このように、危険側故障を検出する機能は非常に重要です。 では、DCavg はどのように計算されるのでしょうか? 実は、ISO13849-1ではDCavgを「なし」「低」「中」「高」の4つのレベルに分類しています。具体的な数値は以下の通りです。 なし: DC<60% 低: 60%≦DC<90% 中: 90%≦DC<99% 高: 99%≦DC これらのレベルは、安全関連部のカテゴリ(アーキテクチャー)やMTTFd(危険側故障までの平均時間)やCCF(共通原因故障)と組み合わせて、パフォーマンスレベル(PL) という安全性評価指標を決めるために使われます。PLはa からe まで5 段階ありますが、一般的に高いほど安全性が高いことを意味します。 さて、ここまで説明してきましたが、実際にDCavg を求める方法はどうすればいいのでしょうか? 残念ながら、これは一概に言えるものではありません。なぜなら、安全関連部を構成する各部品(スイッチやリレーなど)ごとにDC が異なりますし、それらを組み合わせたサブシステムやシステム全体のDCavgも異なりますからね。しかし、大まかに言えば以下の手順で求めることができます。 各部品ごとにDC を求める。これは部品メーカーから提供されるデータやISO13849-1 付属書E 表E.1 から参照することができます。 各サブシステムごとに各部品のDCの平均値(加重平均)を求める。 システム全体のDCavgを求める。これは各サブシステムごとのMTTFd(危険側故障までの平均時間)やCCF(共通原因故障)も考慮して計算します。

機械が壊れたり間違った動きをしたりしないようにする部分をSRP/CS と言います。SRP/CSは、いくつかの小さな部品に分かれています。それぞれの部品は、自分が壊れているかどうかをチェックできます。そのチェックできる能力をDC と言います。でも、それぞれの部品のDC だけでは、SRP/CS 全体がどれだけ安全かわからないことがあります。そこで、ISO 13849-1では、すべての部品のDC を足して割って出した平均値を使ってSRP/CS 全体がどれだけ安全か判断する方法を教えてくれます。その平均値をDCavg と言います。

DC 自己診断率の指定と範囲

DC 自己診断率の指定表示とは

ISO 13849-1 ではDC を4通りの区分で区切って「None」「Low」「Medium」「High」の4通りで指定します。

DC 指定範囲DC 範囲None なしDC < 60 %Low 低60 % ≦ DC < 90 %Medium 中90 % ≦ DC High 高99 % ≦ DC

これらのDC 指定表示がPL (Performance Level) を決定する要素の一つです。複数の部品で構成されるSRP/CS ではDC の指定表示について下記の図を用いて最終的にPL を決定します。PL の決定はカテゴリー、MTTFd, DCavg, CCF で構成されます。

PL の構成要素

  • カテゴリー
  • MTTFd
  • DCavg (カテゴリー2 以上)
  • CCF (カテゴリー2以上)
PL とカテゴリー MTTFd DCavg の関係を表したグラフ

カテゴリー Cat 3 とカテゴリー Cat 4 違いは自己診断率DCavg のみです。

DCavg: Low, Medium

ISO12100.com 個々の部品のDC 自己診断率値

実際は個々の部品のDC 値の決定は曖昧です。安全部品メーカーがDC 値を直接提示していることも稀です。技術者がDC 値を決定する場合は、ISO 13849-1 付属書E の表を用います。

No. 方策 (入力 INPUT) DC 値 1入力信号の動的変化による周期的なテスト 90 % 2妥当性の確認 機械的にリンクしたノーマルオープンとノーマルクローズの接点の使用など99 %3動的テストを行わない入力のクロスモニタリング0 %〜99 %アプリケーションによる。 信号のスイッチングの頻度に依存 4短絡が検出できない場合、動的テストによる入力信号のクロスモニタリング(マルチI/O用)90 %5入力信号とロジック内の中間結果をクロスモニタリング(L)、プログラムの流れを時間的・論理的にソフトウェアで監視し、静的障害や短絡を検出(マルチI/Oの場合)99 %6間接モニタリング(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)90 %〜99 %アプリケーションによる7直接モニタリング(例えば、制御バルブの電気的位置監視、機械的にリンクした接点要素による電気機械装置の監視)99 %8 プロセスによる故障検出0 %〜99 %アプリケーションによる。この方策だけでは、要求パフォーマンスレベル “e” に対しては不十分9センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量) 60 % 附属書E DC 見積もり INPUT No. 方策 (論理 LOGIC) DC 値 10間接モニタリング(例えば、圧力スイッチによる監視、アクチュエータの電気的なポジションのモニタリング)90 %〜99 %アプリケーションによる11直接モニタリング(例:制御弁の電気的なポジションのモニタリング、機械的にリンクされた接点要素による電気機械装置のモニタリングなど)99 %12ロジックの簡単な時間モニタリング(ウォッチドッグとしてのタイマなど。トリガポイントはロジックのプログラム内にある。)60 %13ウォッチドッグによるロジックの時間的・論理的なモニタリング。ロジックの動作の妥当性チェックをテスト装置が行う。90 %14ウォッチドッグによるロジックの時間的、論理的なモニタリング(テスト機器がロジックの動作の妥当性チェックを行う)90 %(test 手法よる)15スタートアップ時、安全機能が要求された時、または外部信号が要求された時に、メインチャンネルでモニタリングする装置の反応能力(ウォッチドッグなど)をチェックする(入力機能経由) 90 %16動的原理(安全機能が要求されたとき、ロジックのすべてのコンポーネントがON-OFF-ONの状態に変化することが必要)例えばリレーで実装されたインターロック回路など99 %24プロセスによる故障検出0 %〜99 %アプリケーションによる。この方策だけでは、要求パフォーマンスレベル “e” には不十分。 附属書E DC 見積もり LOGIC No. 方策 (出力 OUTPUT) DC 値 25動的テストなしの単一チャネルによる出力のモニタリング0 %〜99 %アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる26動的テストなしの出力のクロスモニタリング0 %〜99 %アプリケーションごとに、信号の切替頻度がどの程度頻繁に行われるかによる27回路短絡検出なしの動的テストによる出力のクロスモニタリング(マルチ I/O) 90 % 28出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出(マルチ I/O) 99 %29ロジックとテスト装置によるアクチュエータのモニタリングで遮断経路を冗長化 99 % 30間接モニタリング(例えば、圧力スイッチによるモニタリング、アクチュエータの電気的なポジションのモニタリング)90 %〜99 %アプリケーションによる31プロセスによる故障検出0 %〜99 %アプリケーションによる。この方策だけでは、要求パフォーマンスレベル “e” には不十分32直接モニタリング(例えば、制御バルブの電気的なポジションのモニタリング、機械的にリンクした接点要素による電気機械装置のモニタリング)99 % 附属書E DC 見積もり OUTPUT カテゴリー3 例題を用いてDCavg を決定しよう DC 値求め方練習問題

この図にあるようなSRP/CS を考えてみましょう。このSRP/CS はカテゴリー3, PLr=d を満たせますか?青色の部品は一般的な部品で、黄色の部品は安全性が認められたSRP です。ここでは、安全コントローラーが持つ特別な機能は使っていません。

各部品のDC 値をISO 13849-1 付属書E から見積もる

部品メーカーはDC 値を教えてくれないことが多いです。DC 値は安全回路の設計に必要です。安全回路設計者はISO 13849-1 の付属書E にある表を見て、部品のDC 値を推測しなければなりません。カテゴリー3の例でやってみましょう。

DC 値: 0% 接点溶着のような危険側故障が起きたとしても、故障が起きたことを知る術がない

附属書E: No. 9 センサのある種の特性監視(応答時間、アナログ信号の範囲、例えば電気抵抗、静電容量)

非接触安全スイッチ ISO 14119, type 3 マグネットタイプ

部品の例: 安全コントローラー PL=e, SIL 3 認証品 (ISO 13849-1, IEC 61508 など)

附属書E: No.28 出力信号とロジック(L) 内の中間結果のクロスモニタリング、プログラムフローの一時的かつ論理的ソフトウェアのモニタリング、並びに静的故障と回路短絡の検出

DC 値: 99% 第三者認証機関でCat4, PL=e, SIL3 で認証されているので High とみなす

附属書E: No.25 動的テストなしの単一チャネルによる出力のモニタリング

部品の例: ミラーコンタクトを備えた電磁接触器 IEC 60947-4-1 認証品

附属書E: No.32 直接モニタリング (機械的にリンクした接点要素による電気機械装置のモニタリング)

ミラーコンタクトリレー IEC 60947-4-1

実はDC 値の見積もりは、DC の値の範囲が0 %〜99 % など、選択される範囲が広い場合があり曖昧です。ISO 13849-1 付属書E の考え方にビシッと当てはまれば良いのですが、多くはDC 値の設定値は設計者の主観となる場合が多いようです。

DC 値決定の迷い

ミラーコンタクトリレー(IEC 60947-4-1)のフィードバックについてのDC 値の決定の方法は2 通りあるかもしれません。

「No.32 直接モニタリング (例えば、制御バルブの電気的なポジションのモニタリング、機械的にリンクした接点要素による電気機械装置のモニタリング) 」から99%

「No. 27 回路短絡検出なしの動的テストによる出力のクロスモニタリング(マルチ I/O)」から90%

ミラーコンタクトリレー IEC 60947-4-1

上記では、二つの考え方がありますが、どちらも正しいです。最近では、安全コントローラーは高度な技術を持っています。例えば、故障や短絡を見つける技術(テストパルスやEDM など)があります。安全コントローラーは定期的にチェックできるのに、それをしない場合は、「No. 27 動的テストで回路短絡を見つけられない(マルチ I/O)」という基準で90% の安全性しかありません。しかし、故障を見つける技術を使っていれば、99% の安全性があります。リスクを評価するときは、ミラーコンタクトリレーでも安全コントローラーにすぐフィードバックするだけでは、「No.32 機械的にリンクした接点要素による電気機械装置のモニタリング 99% の安全性」と言うには早すぎると考えることができます。

OUTPUT フィードバックによるDC 値の決定はよく議論されるところですね

DCavg を求めてみよう

上記で見積もったDC 値からSRP/CS 全体のDCavg を求めます。

LOGIC: セーフティーコントローラーはPL=e 認証品なのでMTTFd=2500 年、DCavg=99 % とします

以上より、DCavg は25.5 % と導くことができ、DCavg の範囲はNone (60 %< DC) がわかります。

このSRP/CS はカテゴリー3 の構成にはなっているかもしれませんが、結論としては未達です。