機械・設備の安全性評価と信頼性データ

１．概要
　管理人は機械・設備の設計については全くの素人なので機械安全の認証手引きについて書くつもりは毛頭ないが、ここ10年来の大きな動きとして設備に使用される機器の製造者は確度の高い信頼性データを顧客に提供しなければならなくなっており、機械・設備の安全性評価と信頼性データは密接な関係があり、ここではこれらの関係をどのように考えればいいかを述べる。この背景として生産機械・設備を設計構築する責任者はその安全性をIEC/ISO規格に基づいて評価することが求められ、その際ISO13849-1／JIS B 9705（機械類の安全性-制御システムの安全関連部）を参照する過程において、生産機械・設備に使用する機器の信頼性特性値（B₁₀、MTTF）が必要なためこれらを機器メーカーに要求する。但し機械安全で扱う信頼性特性値は我々が一般的に扱う摩耗故障ではなく危険側故障であり、顧客から信頼性データを要求された際は一般的な摩耗故障による寿命なのか、危険側故障による寿命なのかを判断して対応する必要がある。これらをどのように考えればいいかを主体に書くつもりであるが、機械安全について新たに取り組むエンジニアもおられると思うので少し触れておこう。
　生産機械・設備を設計構築する責任者は、EUにおける各指令（機械指令・低電圧指令・EMC指令など）に基づき安全性を検証すると共に、検証した経緯を纏めた技術文書類（TCF）を整備する必要がある。先ず責任者がやるべきことは、ISO14121／JIS B 9702（機械類の安全性-リスクアセスメントの原則）に基づくリスクアセスメントの実施である。リスクアセスメントとは、機械類の危険源の同定（同一性の見極め）、リスクの見積もり・評価、リスク低減の方策をいう。リスク低減の方策については、ISO12100-1／JIS B 9700-1(機械類の安全性-基本概念、設計のための一般原則-第1部)によれば、リスクアセスメント後の低減施策を以下の3ステップで実施すると定めている。
　1)本質安全設計
　　平易には省エネルギー化（重量低減、速度低減など）設計により、危険源の除去若しくは低減する方策。
　2)安全防護・付加保護方策
　　本質安全設計で危険源が十分に除去できない場合は、安全防護・付加保護装置を設けることにより人に対する危険源の影響を低減する施策。
　3)残留リスクに対する情報公開
　　上記の方策を実施しても許容できないリスクがある場合、機械を運転する上で発生し得る人に対する危険情報を公開（警報標識、警報装置、マニュアル）する施策。

　リスクアセスメントにより必要な方策が決定したら、それらに基づき所要のPLr（要求パフォーマンスレベル）が決定される。方策の実現に当たっては一般的には制御システム（CS）の設計と安全性（PL）の評価により構築される。制御システムの設計と安全性評価は、ISO13849-1／JIS B 9705（機械類の安全性-制御システムの安全関連部）に基づき、制御システムのSRP/CS（安全関連部）のPLが、所要のPLr と同じかそれを上回る区分となるよう機器の選定や設計・製造を行なう必要がある。
　
　

２．機械安全に関する言葉の定義
2.1 SRP/CS (Safety-Related Parts of a Control System)
　制御システム（CS）の安全関連部。入力部（I）で安全入力信号に応答、ロジック部（L）で安全状態の監視と情報判断、出力部（O）で安全出力信号を生成する制御システムの安全関連部で、センサ、安全PLC（FS-PLC）、安全リレーなどの電気部品と電磁開閉器、電磁弁（空圧用又は油圧用）など動力制御要素で構成された安全制御システム。制御システムは非安全関連部の通常制御システムと安全関連部で構成され、これらの範囲は明確に区別する必要がある。従来のシステムにおいても安全性を確保するためのインターロック信号や非常停止スイッチ等は必要に応じて設けられるが、それらの制御と通常制御システムとの棲み分けは必ずしも明確ではなかった点がある。

2.2 B_10d
　□□□_dのdはdangerousの略記号であり、全体の10%が危険側故障に至るまでの時間をいう。規格（ISO12100、ISO13849など）に従って設備の安全性を評価する際に、MTTFdを算出するためにこの特性値が必要になる。機器（設備構成部品）メーカーが保有する寿命データは一般的に摩耗故障データのため、生産機械・設備メーカの責任者は機器メーカーからB₁₀値を取り寄せ、以下の式により危険側故障の寿命データに変換する。
　
2.3 MTTFd (expectation of the Mean Time To dangerous Failure)
　摩耗故障データ（B_10d）から算出される危険側故障に到達する平均時間の推定値。機械安全で扱う寿命データは年数を単位とする平均時間のため、B₁₀→B_10dに変換された寿命データは更に以下の式によりMTTFdに変換される。式から分かるようにN_opは年間の動作回数となるので、MTTFdはこの値で決まると考えてよい。

2.4 PFHd
　ある機器若しくは安全関連部システム全体が1時間当たりに危険側故障を起こす確率で、10^-5以下の非常に小さい値になる。このPFHdの計算値（合計）から安全カテゴリとPLランクの関係が一義的に定まり、そのスタート点は個々の機器のB_10d→MTTFdへの変換とその機器のDCavgより機器のPFHdを求めることから始まる。安全関連部全体のPFHdは、それが複数のサブシステムで構成されている場合は、それらの合計値で求められる。MTTFdからPFHdへの変換はISO13849-1／JIS B 9705の附属書K内に以下の表が掲載されており、ある機器のMTTFdの計算値が40年でDCavg=90%の場合、PFHd=1.78×10^-7と推定されPL=dが決定する。逆の観点ではPLランクは、安全関連部システム全体が一時間当たりに危険側故障を起こす平均確率をベースに、安全カテゴリ、DCavg、CCFの評価値により決まることになる。
　
　PLランクとMTTFdの関係を要約すると以下表のように纏められる。つまり所要のPLランクを達成するには、安全関連部の1時間当たりの危険側故障を起こす平均確率が、以下表になるように設計する必要がある。
　
2.5 DCavg
　安全関連部（SRP/CS）を構成する機器が、危険側故障を発生した場合の検出機能の性能を自己診断率（Diagnostic Coverage）という。DCavgはSRP/CSを構成する各機器DCの平均値であり、ISO13849-1ではPLの見積もりを行うためにこれを三つの区分（none/medium/high）で識別する。例えばHigh区分は機械的に連結された接点による電気機械装置（電磁開閉器、リレーなど）の監視、Medium区分はアクチュエータの電気的位置監視などが該当する。これらの区分はISO13849-1の附属書 E.2に明記されているが、内容的にはIEC61508-4と同じである
2.6 カテゴリ
　安全制御システムのアーキテクチャ（設計的構造）であり、平易には制御システムの機能をブロック図で展開したもので、I（入力機器）、L（論理演算機器）、O（出力機器）の組合せ構造によりカテゴリB、1～4の5種類が規定されており、一般的な機械の安全制御システムはこの何れかに当てはまる。例えば以下のブロック図はカテゴリ3のもので、冗長性を有する二つのILOの組み合わせにおいて、ロジック部で相互監視をするアーキテクチャになっている。
　　
2.7 CCF
　言葉としての意味合いは共通の原因で複数の機能が同時に損なわれることを指すが、PLを決定するパラメータとしての位置付けは、共通の故障原因を如何に排除（影響の低減）できているかの評価となる。ISO13849-1の附属書Fにこれらを評価するためのCCFの項目とスコアが明記されており、例えば「環境的影響（温度、衝撃、振動など）への耐性が考慮されているか」のスコアは、10点が与えられている。
2.8 PL
　安全関連部（SRP/CS）がリスクの大きさに応じた安全機能（性能）を有するかの指標となり、この評価者は生産機械・設備メーカーの設計責任者で、構成機器のメーカーは確度の高い信頼性データ（B₁₀、MTTF）を生産機械・設備メーカーに提供する必要がある。2.4項で示したようにPLは安全関連部全体のMTTFd、更にカテゴリ及びDCavgからPFHdが求まることにより決定するが、分かりやすい表現では安全関連部（SRP/CS）のアーキテクチャと、それを構成する機器（部品）の信頼度（時間的側面）の両面で評価されることを意味している。達成するには要求性能レベル（PLr）の範囲に応じてアーキテクチャを優先的に設計する考え方と、機器の信頼度を優先的に設計する考え方があり、これらの関係を纏めると下図のようになる。
　

３．摩耗故障データと危険側故障データの関係
　設備に使用される機器の製造業者の殆どは10%が摩耗故障に至る動作回数（B₁₀）、若しくは平均故障寿命（MTTF）のみを提供する。しかし機械安全を評価する際の危険側故障寿命は年数を単位とする平均時間（MTTFd）のため、ISO13849-1の付属書Cでこれらの変換方法が述べられている。
　
　我々が提供する寿命データ（B₁₀、MTTF ）が×2倍（言い換えると2倍甘く見積もられる）されて危険側故障に変換されているが、この理由は全故障の内危険側故障となる確率は50%（1/2）とする考え方に基づく。従って仮に顧客（設備メーカー）からB_10dを要求された場合は、規格に従ってB_10d=B₁₀×2 とした値で提供する必要がある。但しこれを証明する客観的（理論的）根拠は曖昧で、恐らく過去の実績などが反映されているものと推定される。

４．電子機器の故障データ
　電子機器の故障率は摩耗系故障のように時間の経過に対して故障率が変化しないため、その故障率は時間に関係なく常に一定で指数分布と仮定できる。従って最も論理展開しやすい信頼性特性値はMTTFとなり、電子機器の信頼性はMTTFで表すのが一般的である。電子機器の信頼度予測法は幾つかの標準的な方法が公開されているが、基本的な考え方は個々の電子部品の故障率から製品全体の故障率を求め、最終的にMTTFを計算により推定するものである。データがない場合はISO13849-1附属書CのC.2～C.7の表が参照可能であるが、かなり簡易的な値と思われるので本サイトマップの「電子機器の信頼度予測」を参照し推定されることを推奨する。

５．SIL（IEC62061）とPL（ISO13849-1）の関係
　機械の安全性を評価する際は、参照規格であるIEC62061／JIS B 9961若しくはISO13849-1／JIS B 9705-1に基づき評価することになるが、前者が安全機能の尺度をSILで表すのに対し後者の尺度はPL（Performance Level）である。管理人はこの棲み分けを明確に論じることはできないがSILとPLは併用されることもあり、ISO13849-1の規格の中（4.5 達成性能レベルPLの評価及びSILとの関係）でこれらの関係が示されている。SILもPLも決定する前段階では故障率（単位時間あたりの故障率）を導入しており、前者はPFH後者はPFHdというパラメータを用いているが、数理的には同じ意味合いである。
PFHd ：Probability of dangerous Failure per Hour
PFH ：Probability of Failure per Hour
　
　ある機器のB₁₀値が2000万回であった場合のSILとPLのランクを推定してみよう。
1)STEP1：B_10dの推定
　ISO13849-1ではB₁₀→ B_10dの変換は×2.0と定義されており、これは全ての故障モードの内危険側故障になる確率は50%との予測による。
　B_10d=B₁₀×2=2000×2=4000（万回）
2)STEP2：MTTFdの推定
　機器が危険側故障を起こす平均故障寿命の推定値で、通常は年換算の単位が適用され我々が提供する信頼性特性値（B_10d、MTTFd）は、2.3項の式によりMTTFdに変換される。MTTFd の計算ではNopがキーパラメータとなり、MTTFdはこの値（単純には年間の平均動作回数）により大きく変化することになる。B_10d=4000（万回）をベースにNopの値による各パラメータの変化を計算すると以下表のように変化する。
3)STEP3：PFHdの推定
　PFHdの値は2.4項の表からMTTFdが該当する列から、その機器が有する自己診断機能によりC1（DCavg=なし）～C4（DCavg=High）の値を読取る。機器の一つに対してPFHdを推定する行為は意味があるが、PLランクについては安全関連部（SRP/CS）全体で評価するものであり、機器単体でのPLランク（又はSIL）はあまり意味を持たない。
　　

６．設備側の評価
　ここでは生産機械・設備を設計構築する責任者が、安全関連部の各チャンネル（2.6項におけるILOの組み合わせ構成）のMTTFdをどのように計算するかについて述べる。構成機器メーカーのエンジニアには直接的には関係ない範囲ではあるが、我々が提供する個々の機器のB₁₀若しくはMTTFが、最終的にどの様に影響されるかについて参考になる。但し特別なものではなく、これらの理論は信頼性工学におけるシステムの信頼性そのものである。
6.1分布の仮定
　ISO13849-1の信頼性評価法においては、構成機器の故障分布は指数分布と仮定することが謳われている。機械構成若しくは電気機械式構成機器の場合は、ワイブル分布と仮定した方がいいように思われるが、規格では構成機器の10%が危険側故障に到達する以前の時間領域（≦T_10d）に限定される場合は、この時間領域の危険側故障率（λ_d）は以下により見積もられるとしている。
　
　上の式は指数分布の信頼度の式よりB_10dライフをT_10dと置き、以下のように展開することで証明できる。
　
6.2直列系のMTTFd
　以下のような直立系におけるMTTFdを求めることになる。
　
　直列系の信頼度は以下の式により求められ、指数分布の信頼度の式を代入すると直列系のMTTFdは以下のように求まる。
　
6.3並列系のMTTFd
　並列系の信頼度は以下の式により求められ、指数分布の信頼度の式を代入するとMTTFdは以下のように求まる。
　　
　
　なおISO13849-1の附属書D（D.2）では、チャンネルの故障率（若しくはMTTF_d）が異なる場合の考え方が示されており、上の式に比較すると2/3の係数がかけられている。これは例えば各チャンネルのMTTFdが10年と100年といったように大きく違う場合に、並列系のMTTFdが甘く見積もられないようにするためと思われる。
　

６．纏め
　管理人は機械・設備の設計については全くの素人なので、構成機器メーカーのエンジニア側の観点でしか触れていないが、機械安全の評価をする際に我々が提供する寿命データの重要度がご理解頂けたと思う。顧客から信頼性データを要求された際、一般的な摩耗故障による寿命なのか危険側故障による寿命なのかを判断する観点からも、機械安全について少なくともここに書かれてある内容は、機器メーカーのエンジニアは理解しておいた方がよいと思われる。