こんにちは。今日は、IEC 62061のH.2.4 基本的なサブシステムアーキテクチャC、診断機能を持つシングルチャネルシステムについて解説します。ここでは、システムの危険な故障の頻度(PFH)の計算方法を中心に解説します。
シングルチャネルサブシステムの概要
まず、シングルチャネルサブシステムとは何かを理解しましょう。これは単一のチャネルを持つサブシステムで、そのチャネルが危険な故障を検出すると、システム全体を安全な状態にする反応を引き起こします。この反応は、診断機能によって開始されます。そのため、シングルチャネルサブシステムは、診断機能と故障反応機能の両方を含む故障処理機能として機能します。
このシステムでは、故障処理機能の危険故障率(λD FH)が重要となります。これは、サブシステム内で故障処理が部分的または完全に行われる場合に必要な概念で、故障が発生した際にシステムが安全な状態に遷移する能力を表します。
また、故障処理機能の危険故障率は、故障処理機能に寄与するすべての要素の危険な故障率の合計によって決定されます。
例えば、産業用ロボットのアームを制御するシングルチャネルサブシステムが故障した場合を考えてみましょう。このシステムは、故障が発生した際に自動的に安全な状態(例えば、ロボットアームを停止する)に遷移する故障処理機能を持っているとします。この例では、故障処理機能に寄与する要素とは、例えばロボットアームの制御を担当するソフトウェアやハードウェアの各部分を指します。
時間最適の故障処理
H.2.4節でのPFH(単位時間あたりの危険故障率)の計算のすべてのアプローチは、時間最適の故障処理を前提としています。これは、故障が最も効率的に、そして安全に処理されることを意味します。時間最適の故障処理は以下の条件のいずれかを満たす場合に仮定できます:
- 診断率が安全機能の要求率の少なくとも100倍であり、故障反応に必要な時間が十分なほど短く、危険事象が発生する前にシステムを安全な状態にできる場合。
- 故障処理が安全機能の任意の要求に対して即時に実行され、検出可能な故障を検出し、システムを安全な状態にするための時間がプロセス安全時間より短い場合。
- 故障処理が継続的に実行され、検出可能な故障を検出し、システムを安全な状態にするための時間がプロセス安全時間より短い場合。
- 故障処理が定期的に実行され、テスト間隔、検出可能な故障を検出するための時間、そしてシステムを安全な状態にするための時間の合計がプロセス安全時間より短い場合。
PFHの適用条件
さらに、PFHの計算には特定の条件が適用されます。すなわち、以下のすべての条件が満たされる場合、サブシステムCのPFH値は、式(H.4)を使用して計算できます:
- 共通原因故障の要因βが2%以下であること
- 診断カバレッジ(DC)が99%以下であること
- 危険な故障率λDeの逆数が1,000年以下であること
- λD FHの逆数が表H.3(記載略)に従って最小値を持つこと
PFHの計算について
上記の条件のいずれかが満たされていない場合や、条件が満たされていても、別のアプローチを使用できます。特に、機能チャネルが1つの要素のみで構成され、サブシステム内の故障処理機能が他の単一要素によって実現されている場合、PFHは式(H.4)を使用して計算できます。
PFH = λDe - DC * [λDe - β * min(λDe, λD FH)] * {1 - [λD FH - β * min(λDe, λD FH)] * T1/2} 式(H.4)
この式は、大まかに下記のように理解できます。
PFH = 要素の危険故障率から、故障処理機能が有効な時の診断カバー率(DC*(1 - [λDe - β * min(λDe, λD FH)] * T1/2))で検出できる危険故障率を引いたもの
= 検出できない危険故障率
計算事例
機能チャネル、故障処理機能のMTTFdがともに100年、DC=90%、機能チャネル、故障処理機能の共通原因故障の発生しやすさβ=2%、T1=20年 のシステムを考えます。
λDe = λD FH = 1.14×10-6
PFH = 1.14×10-6 - 0.9×(1.14×10-6 - 0.02×1.14×10-6)×(1 - [1.14×10-6 - 0.02 × 1.14×10-6 ] × 20×8760 / 2
= 2.33×10-7
となります。
大まかな計算としては、DC=90%、故障処理機能の有効な確率 (1- 1.14×10-6 ×20×8760/2) ≒ (1 - 1.14×10-6× 0.9×10^5) ≒ 0.9 で、危険故障の8割(90%×0.9)が検出でき、残った2割がPFHになる計算となります。
テーブル割り当てアプローチと比較してみても、表H.1 でシングルチャネルアーキテクチャの84≦MTTFd<112、DC=90% から、PFH=3.0×10-7 が求まり、大差がないことが分かります。
要点のまとめ
IEC 62061のH.2.4節は、シングルチャネルサブシステムの安全性評価の方法を提供します。主なポイントは以下の通りです:
- 故障処理機能の危険な故障率(λD FH)が重要なパラメータであり、これはサブシステム内で故障処理が部分的または完全に行われる場合に必要です。
- PFHの計算には特定の条件が必要で、これらの条件を満たさない場合でもPFHを計算するための方法が存在します。
以上、IEC 62061のH.2.4についての簡単な解説でした。これは極めてテクニカルな規格で、その完全な理解には専門的な知識が必要です。しかし、このブログが産業用機械メーカーの設計エンジニアの皆さんが、シングルチャネルサブシステムとその安全性評価の基本的な理解を深める手助けになれば幸いです。次回は、H.2.5 について解説しますので、お楽しみに!