今回の記事では、IEC 62061規格のH2.1からH2.3について、簡易的な公式を使ってPFH(危険故障率)の推定方法について解説します。
簡易式についての前提
まず、PFHとは何でしょうか。これは、単位時間当たりに危険な故障が起こる確率を表す指標です。たとえば、1時間あたり0.001回の危険な故障が起こるシステムのPFHは0.001/hrとなります。IEC 62061はこのPFHの推定に対する簡易的なアプローチを提供します。これらの公式は簡易化されていて、あくまで推定値を提供するためのものです。ですが、それらは「安全側」に偏った値を提供することを目指しています。つまり、実際の故障率よりもやや保守的な値を出すことを意味します。
基本サブシステムアーキテクチャA: 診断機能なしのシングルチャネル
次に、基本的なサブシステムアーキテクチャを考えます。最初に考えるのは「シングルチャネル、診断機能なし」のシステムです。これは単一の機能チャネルを持ち、サブシステムの要素のいずれかが危険な故障を起こすと、安全機能が失われます。例えば、産業用ロボットの一部が故障し、それによりロボットが予期せぬ動きをしてしまうような場合を想像してみてください。
このシステムのPFHは、すべてのサブシステム要素の危険な故障率の合計になります。すなわち、各要素が故障する確率を全て足し合わせることになります。
基本サブシステムアーキテクチャB: 診断機能なしのデュアルチャネル
次に考慮するのは「診断機能なしのデュアルチャネル」システムです。これは2つの機能チャネルを持つシステムで、シングルチャネルシステムとは異なり、一つのサブシステム要素が故障しても、安全機能は失われません。例えば、二重化された制御システムを持つ産業用ロボットを考えてみましょう。一つの制御システムが故障しても、もう一つの制御システムが正常に動作していれば、ロボットの安全機能は維持されます。
このデュアルチャネルシステムのPFHは、少し複雑な公式で計算されます。
PFH = (1 - β)^2 × λDe1 × λDe2 × T1 + β × (λDe1 + λDe2) / 2
ここで、λDe1とλDe2はそれぞれ第一、第二の機能チャネルを構成する要素の危険な故障率を、T1はプルーフテスト間隔または有用寿命(小さい方)を、そしてβは共通原因故障の発生しやすさを表します。
計算例(H.1の結果との比較)
これまでの簡易式に対する計算例をH.1のテーブル割り当てアプローチと比較しながら示していきます。
例1:アーキテクチャAでの適用
MTTFdが50年と100年のサブシステムを持つアーキテクチャAのシステムを考えます。
それぞれの危険故障率λDeiを λD=1/(8760×MTTFd)で求めると
λDe1=2.28 ×10-6、λDe21=1.14 ×10-6 となり、システム全体のPFHは
PFH=2.28 ×10-6+1.14 ×10-6=3.42×10-6
となります。
H.1で求める場合、システム全体のMTTFdは、1/MTTFd = Σ(1/MTTFdi)より、
MTTFd = 1 / (1/50 + 1/100) = 33.33年
となり、表H.1から PFH=4×10-6 が求まります。
これらを見比べると、簡易式とテーブル割り当てアプローチのお互いの結果がそれほど乖離していないことが分かります。
例2:アーキテクチャBでの適用
MTTFdが40年と60年のサブシステムを持つアーキテクチャBのシステムを考えます。
テーブル割り当てアプローチと条件をそろえるために、β=0.02、T1=20年とします。
例1と同様にそれぞれのサブシステムのλDeiを求めると、
λDe1=2.85×10-6、λDe2=1.90×10-6
となります。また、T1を年から時間に換算すると、T1=175 200 hとなりますので、これらを
PFH = (1 - β)^2 × λDe1 × λDe2 × T1 + β × (λDe1 + λDe2) / 2
に当てはめると、
PFH=9.42×10-7
となります。
一方、テーブル割り当てアプローチの場合、システム全体のMTTFdは
MTTFd=√40×60=49.0年 となります。
アーキテクチャBは診断機能を持ちませんので、表H.1のデュアルチャネルのDC=0%でMTTFd≧48年の行を適用し、
PFH=1×10-6
となり、こちらも簡易式とテーブル割り当てアプローチで大差がないことが分かります。
ただし、いずれの例でも、簡易式でのPFH<テーブル割り当てアプローチでのPFHとなっており、テーブル割り当てアプローチの方がより保守的なPFHを与えることが分かります。
安全な設計のために
これらの知識を使って、私たちはより安全な機械設計を行うことができます。シングルチャネルのシステムでは、一つの故障で安全機能が失われるリスクがあるため、全ての要素の故障率を詳細に理解し、それに対する対策を講じることが重要です。例えば、頻繁に故障する部品を見つけたら、その部品の品質を改善したり、より信頼性の高い部品に交換するなどの対策を考えることができます。
一方、デュアルチャネルのシステムでは、一つの要素の故障だけでは安全機能が失われません。しかし、それでも複数の要素が同時に故障すると安全機能が失われるため、共通の故障原因(共通原因故障)に対する対策が必要となります。例えば、同じ種類の部品が同時に故障する可能性がある場合、それらの部品を異なる種類のものにする、あるいは同じタイミングでの故障を防ぐためのメンテナンススケジュールを設定するなどの対策を考えることができます。
まとめ
IEC 62061のH.2.1からH.2.3の節では、PFH(時間あたりの危険故障確率)の推定方法について説明しています。これは、システムの安全性を評価するための重要な指標で、シングルチャネルのシステムとデュアルチャネルのシステムで異なる計算方法が必要となります。シングルチャネルのシステムでは各要素の故障率が直接PFHに影響するため、全ての要素の故障率を管理することが重要です。一方、デュアルチャネルのシステムでは共通原因故障に対する対策が重要となります。
この記事を通じて、設計の安全性を評価するための基本的な手法を理解することができることを願っています。これらの知識を活用して、より安全な設計を行うことができることでしょう。
次回の記事では、さらに詳しく、他のサブシステムアーキテクチャについて解説していきます。安全な機械設計に役立つ情報を提供し続けますので、お楽しみに!
