この規格ページの目次
43
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
PFHPDS(SR)=PFHA/B+PFHPS/VM
ここで,PFHA/B及びPFHPS/VMは,それぞれサブシステム“A/B”及びサブシステム“PS/VM”のPFH
値である。
PDS(SR)
STO-A
サブシステム“A/B”
STO-FB
(STOチャネルA及びB)
STO-B
電源 サブシステム“PS/VM”
(例 直流24 V) (電源及び電圧モニタ)
凡例
STO-A STOトリガ入力チャネルA
STO-B STOトリガ入力チャネルB
STO-FB STOフィードバック出力
図B.2−PDS(SR)のサブシステム
B.2.2 サブシステム“A/B”
安全サブ機能STOは,HFT1を達成するために二つのチャネルで実装し,独立したPFH値を計算するサ
ブシステム“A/B”によってモデル化する。このサブシステムを実現すると,安全サブ機能に関する次の
システム特性を与える。
− タイプB(複雑なハードウェア)
− HFT1(2チャンネル実装)
タイプBサブシステムのアーキテクチャ制約(6.2.3.3を参照)によれば,SIL 2で,かつ,HFT1の場合,
安全側故障割合(SFF)は60 %以上でなければならない。
B.2.3 サブシステム“PS/VM”
内部電源(PS)は単一チャネルしかもたないため,電圧モニタ(VM)を実装する。内部電源及び電圧
モニタは,独立したPFH値を計算する別のサブシステム“PS/VM”としてモデル化される。このサブシス
テムを実現すると,安全サブ機能に関する次のシステム特性を与える。
− タイプB(複雑なハードウェア)
− HFT0(単一チャンネル実装)
タイプBサブシステムのアーキテクチャ制約(6.2.3.3を参照)によれば,SIL 2で,かつ,HFT0の場合,
安全側故障割合(SFF)は90 %以上でなければならない。
――――― [JIS C 61800-5-2 pdf 46] ―――――
44
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
B.3 例となるPDS(SR)のPFH値の決定
B.3.1 サブシステム“A/B”(メインサブシステム)
B.3.1.1 機能ブロック分割
PDS(SR)内で,サブシステム“A/B”は,安全サブ機能STOの実装部分であり,HFT1のために必要
となる2チャンネルから構成する。図B.3は,安全サブ機能STOの実行に関与する部分を一点鎖線で示し
たPDS(SR)の概略ブロック図である。
PFH値を計算するために,サブシステム“A/B”を更に機能ブロックに細分し,それぞれの故障率を決
定する。トリガ入力回路及びスイッチオフ回路のコンポーネントが最小構成であるため,各チャネルは一
つの機能ブロックに統合する(ブロックA及びB)。
主回路(PM)自体の内部でのコンポーネントの故障は,安全サブ機能の喪失の原因とはならない。した
がって,主回路(PM)は,PFH値に寄与するサブシステムには含まない。
ブロックA
クロック
P5
STO-A PI-A
R
C PM
RAM/ROM
DIAG-A
STO-FB P
D パルス
R (マイクロプロセッサ)
リセット
V 信号 L1
L2
L3
ブロックB
ウォッチドッグ
STO-B P5
R
C PI-B
DIAG-B
P5 : 電源電圧5 V
PI-A(B) : パルス抑制チャネルA(B)
診断信号チャネルA(B)
DIAG-A(B) :
RC : 抵抗コンデンサフィルタ
DRV : 出力ドライバ
PM : 主回路
図B.3−サブシステム“A/B”の機能ブロック
B.3.1.2 機能ブロックの故障率の決定
B.3.1.2.1 機能ブロック解析
機能ブロックごとに,危険側故障とみなすことができる故障の種類を定義する必要がある。その結果を
用いて,次の機能ブロックのコンポーネントのFMEA(故障モード・影響解析)を実施する。
――――― [JIS C 61800-5-2 pdf 47] ―――――
45
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
B.3.1.2.2 コンポーネントのFMEA
機能ブロックの回路のコンポーネントのFMEAは,安全サブ機能と関連があるとみなすコンポーネント
を決定し,その後,B.3.1.2.1の機能ブロック解析で決定した基準を用いて,各安全関連コンポーネントの
あらゆる故障モードに安全側又は危険側の属性を割り当てる。単純なコンポーネントについては,安全側
及び危険側故障モードの比率に関して信頼できるデータが入手できない場合,一つの危険側故障モードが
あれば,コンポーネントの故障全体を危険側とみなす。複雑なコンポーネントの場合,JIS C 0508-6:2019
の附属書Cでは,50 %を安全側故障モード,50 %を危険側故障モードと仮定している。
さらに,FMEAは,利用可能な診断機能によって各コンポーネントの検出可能な危険側故障率の比率を
明らかにする。複雑なコンポーネントの場合,検出される危険側故障の比率は,JIS C 0508-2:2014の表
A.1を用いて定義することができる。この配分から,コンポーネントの検出できる危険側故障率λDDと検
出できない危険側故障率λDUとを定義する。
機能ブロックの全故障率は,機能ブロックの全ての安全関連コンポーネントの安全側故障率λS,検出可
能な危険側故障率λDD,及び検出できない危険側故障率λDUを足し合わせることによって算出する。
B.3.1.2.3 故障率区分決定の簡略化された方法
コンポーネント数が多い複雑なハードウェア回路では,一つ一つのコンポーネントごとのFMEAは必ず
しも現実的ではない。そのため,JIS C 0508-6:2019の附属書Cに従って,一般に認められている簡略化さ
れた方法を選択してもよい。
複雑な回路をもつ機能ブロック全体の故障率は,全てのコンポーネントの故障率の合計として計算し,
50 %の安全側故障と50 %の危険側故障とに分ける。検出される故障の比率は,JIS C 0508-2:2014の表A.1
を用いて決定する。
注記 この簡略化された方法を用いることは,詳細な解析よりも効率的であるが,詳細な解析を実施
する場合に比べて不利な(つまり,より保守的な)故障率λS,λDD及びλDUが導かれることがあ
る。
機能ブロックの故障率λS,λDD及びλDUも,この方法を用いて導き出す。
B.3.1.3 安全側故障割合
B.3.1.2.3に示す簡略化された方法を用い,機能ブロックの故障率を次のように決定する。
− 実装基板の回路の故障の安全側故障比率 : 50 %(注記1を参照)
注記1 よって,実装基板の回路の危険側故障の比率も50 %になる。
診断カバー率(DC)は,JIS C 0508-2:2014の表A.1を用いて推定する。
――――― [JIS C 61800-5-2 pdf 48] ―――――
46
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
表B.1−サブシステム“A/B”のDC係数の決定
方法(JIS C 0508-2:2014) 宣言する 診断試験の実行
診断カバー率
表A.3 オンライン監視による故障検出 90 % 冗長化チャネルの周期的な試験
表A.3 冗長化の監視 99 %又は90 % 冗長化チャネルの周期的な試験
90 %
表A.4 ソフトウェアによる自己試験(ウォーキングビ マイクロプロセッサの自己試験
ット)(単一チャネル)
表A.6 RAM試験“ガルパット” 90 % マイクロプロセッサによって実施
90 %
表A.10 時間窓(タイムウィンドウ)がある個別の時間 ウォッチドッグ設計
基準によるウォッチドッグ(表A.11も参照)
表A.8 試験パターンを用いた検査 99 % RAM試験によって実施
表A.14 複数のアクチュエータの相互監視 99 % 両スイッチオフアクチュエータの
周期的な試験
− 機能ブロックAのDCA : 90 %(表B.1を参照)
− 機能ブロックBのDCB : 90 %(表B.1を参照)
機能ブロックA及びBの回路の故障率[単位を10−9/hとする故障率(FIT)で表される現実的な例の値]
を,次に示す。
ブロックA : λA (全故障率) 450 FIT
λAS (安全側故障の比率) 0.5×450 FIT 225 FIT
λAD (危険側故障の比率) 0.5×450 FIT 225 FIT
λADD DCA×λAD 0.9×225 FIT 202.5 FIT
λADU (1−DCA)×λAD (1−0.9)×225 FIT 22.5 FIT
ブロックB : λB (全故障率) 70 FIT
λBS (安全側故障の比率) 0.5×70 FIT 35 FIT
λBD (危険側故障の比率) 0.5×70 FIT 35 FIT
λBDD DCB×λBD 0.9×35 FIT 31.5 FIT
λBDU (1−DCB)×λBD (1−0.9)×35 FIT 3.5 FIT
サブシステム“A/B”の安全側故障割合は,JIS C 0508-2:2014のC.1 h)に従って,次のように計算する。
SFFA/B=[(λAS+λBS)+(DCA×λAD)+(DCB×λBD) ]/[(λAS+λBS)+(λAD+λBD) ]
=[(225+35)+(0.9×225)+(0.9×35) ] FIT/[(225+35)+(225+35) ] FIT
=494 FIT/520 FIT
SFFA/B=95 %
注記2 SFFA/Bの計算を示すのは,主な部分を実際に計算するためである。表B.1で決定する試験間
隔から,SFFA/Bresultingを適用することができる(B.4を参照)。
B.3.1.4 共通原因故障係数βA/B
共通原因故障係数βA/Bは,JIS C 0508-6:2019の表D.4を用いて推定する。
βA/B=2 %
B.3.1.5 信頼性モデル(マルコフ)
サブシステム“A/B”の信頼性モデルは,マルコフモデルとして実行される。図B.4にその状態グラフ
を示す。
――――― [JIS C 61800-5-2 pdf 49] ―――――
47
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
S1
全て許容
rRep rRep
S5 λAD−βA/B×min(λBD, λAD)λBD−βA/B×min(λBD, λAD) S4
rRep
A欠陥 B欠陥
“DD” DCA×rTest DCB×rTest “DD”
S2 S3
A欠陥 B欠陥
“D” “D”
λAD
βA/B×min(λBD, λAD) S7
S6 (1−DCA)×rTest (1−DCB)×rTest
A欠陥 B欠陥
“DU” “DU”
λBD λBD λAD
λBD λAD
S8
検出できない全ての危険状態
S1,S2,S3,S4,S5,S6,S8 : マルコフモデルの状態
“D” : 欠陥
“DD” : 検出できる欠陥
“DU” : 検出できない欠陥
その他の用語は,上記の箇条で説明している。
注記1 数学的に厳密な意味では,診断試験及び事象発生による修理に該当する遷移プロセスがその性質上,マル
コフ技法の必要条件を満足しないため,上記のマルコフモデルは概算とみなす。
注記2 このモデルでは,診断試験の組込みを詳細に示している。通常の故障率及び試験率から,このモデルを簡
略化することができる。一般に,試験率が1/8 hであるか,1/168 hであるかは重要ではない(表B.2を参照)。
注記3 この図において,min(λBD,λAD)は,λBD又はλADのいずれか小さい方を意味する。共通原因故障率は,β
係数を引き上げる一方,λ値の小さい方のチャネルがもつλ値までしか達することができないため,共通原
因故障率を計算するためのこの最小関数は妥当である。
注記4 このモデルでは,連続運転モード,つまり,安全サブ機能の作動要求が永続的に存在することを仮定して
いる。したがって,状態S8に至ることは,PFHに寄与する結果となり,追加的な遷移によって作動要求の
発生を表す必要はない。このように,モデルは,全範囲の潜在的な作動要求率をカバーしている。一方,
現在のケースの冗長化アーキテクチャにおいては,連続作動要求という仮定によって,高頻度作動要求と
比較してPFHの大幅な増加につながることはない。
図B.4−サブシステム“A/B”の信頼性モデル(マルコフ)
“安全側”故障はPFH値に重大な影響を与えないため,モデルでは“安全側”故障を考慮に入れていな
い。モデルは,故障の検出後にPDS(SR)をオフラインに切り替え,修理することを仮定している。
共通原因故障率は,係数βA/B,並びに機能ブロックA及びBの危険側故障率のうちの小さい方の値(注
記を参照)によって決定する。
注記 両ブロックの同時故障率は,両故障率の小さい方の値よりも大きくなることはない。
状態S2では,機能ブロックAに危険側故障が発生している。診断試験の作動に応じて,次の三つの状
――――― [JIS C 61800-5-2 pdf 50] ―――――
次のページ PDF 51
JIS C 61800-5-2:2019の引用国際規格 ISO 一覧
- IEC 61800-5-2:2016(IDT)
JIS C 61800-5-2:2019の国際規格 ICS 分類一覧
- 29 : 電気工学 > 29.200 : 整流器.変換器.安定電源装置
- 29 : 電気工学 > 29.130 : 開閉装置及び制御装置 > 29.130.99 : その他の開閉装置及び制御装置
- 13 : 環境.健康予防.安全 > 13.110 : 機械の安全
JIS C 61800-5-2:2019の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISB9960-1:2019
- 機械類の安全性―機械の電気装置―第1部:一般要求事項
- JISC4421:2008
- 可変速駆動システム(PDS)―電磁両立性(EMC)要求事項及び試験方法