ISO13849ISO13849--1:2006 1:2006 制御システム安全関連部制御システム安全関連部これからの安全設計これからの安全設計

-- ISO13849ISO13849--11の改訂とパフォーマンス・レベルの改訂とパフォーマンス・レベル--

オムロン株式会社 セーフティコンポ事業部井上 正也

EN954-1(ISO13849-1:1999)

ISO 13849ISO 13849--1 1 改訂の背景改訂の背景

指定されたアーキテクチャ

安全制御システムの構成要素

電気機構部品

電子部品

ソフトウェア

IEC 62061

ISO 13849-1 2006

カテゴリBから4を定義 カテゴリBから4＋信頼性

SIL3に適した定義(IEC61508に基づく)

リスクの見積もり方法の変化リスクの見積もり方法の変化

B 1 2 3 4

S1

S2

F1

F2

P1

P2

P1

P2

高リスク 低

ISO13849-1: 1999 (EN954-1) ISO13849-1: 2006

リスクアセスメントの段階で安全制御システムの構造まで踏み込んで理解する必要があった。またリスク定量化の結果が解りづらかった。

リスクの定量化が均一にかつ一義的に決められるようになり、わかりやすくなった

B 1 2 3 4 B 1 2 3 4

安全制御システムの構造（カテゴリ） 構造（カテゴリは踏襲）

高低

確定論的な定義 確率論的な定義

安全制御システムの定義に、カテゴリに加えて、信頼性の考え方（確率論）が取り入れられた。とくに危険側故障までの寿命という概念により実際の動作条件に見合った評価が可能となった。

安全制御システムの性能の定義の変化安全制御システムの性能の定義の変化

構造だけでは時間的な変化要因を評価できなかった。

ISO13849-1: 1999 (EN954-1) ISO13849-1: 2006 確定論 +

信頼性＋

高

性能

低

高低高

低

B 1 2 3 4

abcde

リスクのレベルとそれに見合った安全制御システムの性能レベルを同じ次元で評価できる”a”から”e”までの5段階の尺度ができた。

・安全制御システムに要求される性能レベルがPLr （Required Performance Level)・安全制御システムの性能の評価レベルがPL (Performance Level)

パフォーマンス・レベルとはパフォーマンス・レベルとは

PLｒ PL

安全制御システムの性能レベル（PL）は常に要求性能レベル（PLr）と同等以上であること

性能レベルと要求性能レベル性能レベルと要求性能レベル

≦

B 1 2 3 4

PLｒ PL

リスク低減の反復プロセスリスク低減の反復プロセス

開始

機械類の制限の決定

危険源の同定

リスク見積もり

受入れ可能なレベルか？

リスク低減の方策

1. 本質安全設計

2. 安全防護、追加の安全方策

3. 残留リスクの情報公開

はい

完

いいえ

リスクの低減 リスク分析

ISO12100-1（JIS B9700-1）

ISO12100-1（JIS B9700-1）

ISO12100-2（JIS B9700-2）ISO12100-1（JIS B9700-1）

安全防護には制御に基づくものが多い。例

・インターロック

・光線式安全センサ、など

リスク低減の反復プロセスリスク低減の反復プロセス

開始

機械類の制限の決定

危険源の同定

リスク見積もり

受入れ可能なレベルか？

はい

完

ISO12100-1（JIS B9700-1）

ISO12100-1（JIS B9700-1）

PLｒを求める

安全関連部の設計

PLの評価(カテゴリ, MTTFd, DCavg, CCF)

PL≧PLr

方策の決定

いいえ

リスクの低減 リスク分析

はいいいえ

ISO12100-1（JIS B9700-1）

方策が制御に基づく場合

ISO13849-1

1．機械設計者（ベンダー）に対して要求する安全制御システムの性能（PLr）を表現しやすくなった

2．軽傷の部分のリスク定量化の精度が高くなった

ユーザーにとってのメリットユーザーにとってのメリット

高リスク 低

a

b

c

d

e

変化：

リスクの定量化が均一かつ一義的に決められるようになり、わかりやすくなった

ISO13849-1: 2006

機械設計者にとってのメリット機械設計者にとってのメリット

B 1 2 3 4

確率論的な定義

ISO13849-1: 2006 確定論 +

信頼性

＋

高

性能

低

変化：

安全制御システムの定義に、カテゴリに加えて、信頼性の考え方（確率論）が取り入れられた。とくに危険側故障までの寿命という概念により実際の動作条件に見合った評価が可能となった。

構造＋信頼性の組み合わせにより、部品の選択肢がふえた

一方で、信頼性（＝寿命）を考慮するため機械の使われ方（動作回数）を想定する必要がある。

パフォーマンス・レベルの求め方パフォーマンス・レベルの求め方

PLrとPL

要求性能レベル要求性能レベル((PLrPLr))の決め方の決め方

c

d

a

e

b

PLｒ

S：怪我の重大度

(Severity of Injury)・S1：軽傷

・S2：重症（後遺症、死亡など）

F：危険にさらされる頻度

(Frequency and/or Exposure to Hazard)・F1：まれに発生するか短時間

・F2：頻繁に発生するか長時間

P：危険を避ける、あるいは損害を制限する可能性

(Possibility of Avoiding Hazard or Limiting Harm)・P1：特定の条件下で可能

・P2：不可能

ISO13849-1:2006

S1

S2

F1

F2P1

P2

P1

P2

P1

P2

P1

P2F1

F2

リスクの大きさ

性能レベル（性能レベル（PLPL）の評価方法）の評価方法

MTTFd=High

MTTFd=Medium

MTTFd=Low

PL

a

b

c

d

e

Cat.B Cat.1 Cat.2 Cat.2 Cat.3 Cat.3 Cat.4DCavg none DCavg none DCavg low DCavg medium DCavg low DCavg medium DCavg high

カテゴリを含めた４つのパラメータの組み合わせにより、下のグラフから一つのPLが決定される

カテゴリの概念カテゴリの概念

Category制御システムの安全関連部の構造

例：「雨風を防げる空間」

テント 木造住宅 オフィスビル

各カテゴリの要件各カテゴリの要件

従来のISO13849-1:1999 (EN954-1)の内容と同じ

Bから４までのブロック図を以下に示す。

要件の要約カテゴリ

機械制御システム安全関連部の目的機能を実現すること。

予想されたストレス（例：震動、EMCなど）に耐えること。B

カテゴリB＋

十分に吟味された高信頼性のコンポーネントを使用すること。1

カテゴリB＋

安全機能が適切な間隔でチェックされること。2

カテゴリB＋

単一欠陥で安全機能は損なわないこと。

単一欠陥はできる限り検出されること。3

カテゴリB＋

単一欠陥は安全機能実行時、もしくはその前に検出されること。これが実施できないときは、欠陥の累積で安全機能を損なわないこと。

4

各カテゴリのアーキテクチャ各カテゴリのアーキテクチャ

I L OInput signal Output signal

I L OInput signal Output signal

TE OTEOutput signal

m

I１ L1 O1Input signal Output signal

m

I2 L2 O2Input signal Output signal

m

C

ｍ ：モニタリング

Ｃ ：クロスモニタリング

I ：入力機器 例：センサ

L ：論理演算機器

O ：出力機器 例：コンタクタ

ｍ ：モニタリング

TE ：点検機器

OTE：点検結果の出力

＊カテゴリ１のMTTFdはカテゴリB より高いため、安全機能の喪失する可能性は低いが、故障時には、安全機能の喪失を招くことがある。

＊カテゴリ２は、故障が起きると、点検と点検の間で安全機能の喪失を招くことがある。

＊カテゴリ３は、検出されない故障の累積により安全機能が働かない場合がある。＊このブロック図に規定されたアーキテクチャの冗長系は物理的な意味だけでなく、単一故障耐性が確認された内部論理も意味する場合がある。

カテゴリB、カテゴリ１ に適用される構造

カテゴリ2 に適用される構造

カテゴリ3、カテゴリ4 に適用される構造

MTTFMTTFｄｄの概念の概念

Mean Time To Dangerous Failureシステムが危険側故障にいたる平均時間

部品にはそれぞれ固有の寿命があるが、実際にはどれだけ頻繁に使われたかによって決まる

アルミパイプ

柱

H鋼

数年

数十年程度

100年近く

年に1，2回

24時間、365日

毎日8時間

年に200日

寿命 稼動の頻度

テント

木造住宅

ビル

部品

MTTFMTTFｄｄの求め方の求め方

I L O

… … …

∑n

1=i iMTTFd1

1=MTTFdシステム全体(1チャンネル）のMTTFdは

次式で計算される。

個々のMTTFdの逆数の和の逆数となる。

1 n

i ：システム（1チャンネルを構成する個々の部品）

システム（1チャンネル）：カテゴリーB、1の場合の例

MTTFMTTFｄｄの求め方の求め方

・（空圧・油圧部品のように）、Annex Cの表1にMTTFdが直接記載されているものがある

・B10d (10%のサンプルが危険側故障を起こすまでのサイクル）で規定されている場合がある

個々の部品のMTTFd

１）メーカの用意したデータを使う２）ISO13849-1 の Annex C 表１を参照する

①該当部品を探す ②該当部品のMTTFdまたはB10dを探す

MTTFdMTTFdの求め方の求め方

OPN×1.0d10B

=MTTFdB10d（サイクル）によって規定された部品のMTTFdは次式によって計算される。

B10dからMTTFdを求める場合

B10d ：10%の部品が危険側故障を起こすまでの運転回数 （消耗品に適用）

NOP ： 対象アプリケーションの１年あたりの総運転回数。（単位：cycle/year）• tcycle ：１操作サイクルの平均時間間隔 （単位：second/cycle）

• hop ：１日あたりの稼動時間（単位：hour/day）

• dop：年間の稼動日数（単位：day/year）で決定される値

tcycle600,3×hop×dop

=NOP

EN954-1との違い：機械の設計者は安全システムの操作要求の頻度を

把握あるいは想定している必要がある

30年≦MTTFd≦100年High

10年≦MTTFd＜30年Medium

3年≦MTTFd＜10年Low

MTTFd

MTTFdMTTFdの求め方の求め方

計算結果によってLow, Medium, Highの3通りに分類

注意：100年以上の場合もHigh

DCavgDCavgの概念の概念

Average Diagnostic Coverage：診断範囲

ソフトウエアを含めたシステムの信頼性

全体が正常に機能しているかをチェックして対策を打っているか

テント

木造住宅

オフィスビル

使う前に手入れ

必要に応じて対策

シロアリ退治、雨漏りなど

定期的なビル・メンテナンスで前もって問題を発見

DCavgDCavgの求め方の求め方

∑

∑n

1=i i

n

1=i i

i

MTTFd1

MTTFdDC

=DCavg

I、L、Oの個々の部品についてどのような安全設計原則が用いられているか、DCをAnnex Eの表1から該当するものを選び、その値を個々のDCとする

システム全体(1チャンネル）のDCavgは次式で計算される

60％センサの特性モニタリング（応答時間、アナログ信号の範囲、例：電気抵抗、静電容量）

0％～99％：アプリケーションにより変動する。この方法は単独では要求性能レベル：eには不十分である。

プロセスによる故障検出

99％直接モニタリング（例：コントロールバルブの電気的位置モニタリング、機械的にリンクされた接点要素による電気機械装置のモニタリング）

90％～99％：アプリケーションにより変動する。間接モニタリング（例：圧力スイッチによるモニタリング、アクチュエータの電気的位置モニタリング）

99％入力信号と論理演算機器（L）内の中間結果のクロスモニタリング、プログラムフローの時間的かつ論理的ソフトウェアモニタ、および静的故障や短絡の検出（マルチI/Oに対して）

90％入力信号のクロスモニタリング（短絡が検出不可の場合、動的試験を伴う）（マルチI/Oに対して）

0％から99％、アプリケーションによる信号変化がどのくらい行われるかによる。

入力のクロスモニタリング（動的試験を伴わない）

99％妥当性チェック例：機械的にリンクされたNO、 NC接点の使用

90％入力信号の動的変化による周期的試験

入力機器

DC方法

DC DC （（Annex EAnnex E））

チェックの頻度による

表 E1 – 診断範囲(DC)の見積もり

ダイナミックテスト

99% 例強制ガイド接点によるフィードバックループ

99％定数メモリー：2ワード（16ビット）の署名

90％定数メモリー：１ワード（８ビット）の署名

99％動的原理（安全機能の作動が要求された時に、論理演算機器のすべてのコンポーネントにON-OFF-ON 状態の変化が要求される。）（たとえば、リレー実装のインターロック回路）

90%主チャンネルによるモニタリング装置（ウオッチドッグ）の反応能力のチェック（起動時、安全機能の操作要求時、または、入力機器経由での外部信号からの操作要求があった場合）

90％（テスト技術により変動する。）論理演算機器の一部に潜在する不具合を検出するための起動時自己試験（例：プログラムとデータメモリ、入出力ポート、インターフェース）

90％ウオッチドッグによる論理演算機器の時間的かつ論理的モニタリング但し、点検機器は論理演算機器の挙動に対して妥当性チェックをする。

60％論理演算機器の単純な時間的モニタリング（例：ウオッチドッグとしてのタイマ。但し、トリガポイントは論理演算機器プログラム内にあり。）

99％直接モニタリング（例：コントロールバルブの電気的位置モニタリング、機械的にリンクされた接点による電気機械装置のモニタリング）

90％～99％：アプリケーションにより変動する。間接モニタリング（例：圧力スイッチによるモニタリング、アクチュエータの電気的位置モニタリング）

論理演算機器

DC方法

DC DC （（Annex EAnnex E））（続き）

DC DC （（Annex EAnnex E））

00％～99％：アプリケーションにより変動する。この方法は単独では要求性能レベル：eには不十分である。

プロセスによる故障検出

90％から99％プロセスユニット：コード化された処理

60％から90％プロセスユニット：ソフトウェアによる自己試験

99%可変メモリ：変形ハミングコードによるRAMモニタリング、又はRAMの自己試験（例：“ galpat”、”Abraham”）

60％可変メモリ：使用したデータメモリセルの読み込み・書き出しチェック

60％可変メモリ：冗長データを使用したRAMテスト（例：フラグ、マーカ、定数、タイマ、およびこれらデータの相互比較）

論理演算機器

DC方法

（続き）

90%出力信号のクロスモニタリング（短絡が検出されない場合、動的試験を伴う）（マルチI/O に対して）

99%論理演算機器と点検機器によりアクチュエータをモニタリングする冗長出力遮断パス

90%ロジックまたはテスト装置によっていずれか一方のアクチュエータの遮断経路を備える冗長化された出力部

0%アクチュエータのモニタリング無しでの冗長出力遮断パス

99%出力信号と論理演算機器（L）内の中間結果のクロスモニタリング、プロ

グラムフローの時間的かつ論理的ソフトウェアモニタ、および静的故障や短絡の検出（マルチI/Oに対して）

0％～99％：アプリケーションごとに信号変化がどの程度頻繁に行われるかによって変動する。

出力のクロスモニタリング（動的試験を伴わない）

99％直接モニタリング（例：コントロールバルブの電気的位置モニタリング、機械的にリンクされた接点による電気機械装置のモニタリング）

0％～99％：アプリケーションにより変動する。この方法は単独では要求性能レベル：eには不十分である。

プロセスによる故障検出

90％～99％：アプリケーションにより変動する。間接モニタリング（例：圧力スイッチによるモニタリング、アクチュエータの電気的位置モニタリング）

0％～99％：アプリケーションごとに信号変化がどの程度頻繁に行わ

れるかによって変動する。単一チャンネルによる出力のモニタリング（動的試験を伴わない）

出力機器

DC方法

DC DC （（Annex EAnnex E））

Note 1： DCのその他の算出方法については IEC61508-2 2000 Table A.2 から A.15を参照Note 2：論理演算機器に対し「中：Medium」又は「高:High」のＤＣが要求されている場合、可変メモリ、不変メモリ、プロセス装置の各ＤＣを最低限60％以上とした、一つの方策が適用されることが必要。この表に記載されたもの以外にも方策はある。

（続き）

DCavgDCavgの求め方の求め方

計算結果によってNone, Low, Medium, Highの4通りに分類

60%≦DC<90%Low

99%≦DCHigh

90%≦DC<99%Medium

DC<60%None

DCavg

CCFCCFの概念の概念

Common Cause Failure：共通原因の故障

一つの原因で複数の部品が故障しないようにすること。単純な２重化の意味ではない。

予見できる共通原因故障に対しても確かな設計がされているか？

テント

木造住宅

オフィスビル

全体の強度バランス（正しい構造計算）

台風 地震 火事

避難誘導

難燃性（内装）

消防設備（スプリンクラー、防火シャッター）

耐水性

強度

・強風・大雨

・揺れ

・地割れ

・炎

・煙・有毒ガス

避難誘導

基礎の強度

最大10080合計

1010その他の影響

温度、衝撃、振動、湿度など（関連する標準に規定されているように）すべての関連する環境的影響に対する耐性の要求は考慮されているか

6.2

2525汚染の予防と適切な基準に基づくCCFに対する電磁気の互換性（EMC）6.1

環境6

5なし設計者はよく発生する故障の原因と結果を理解するよう訓練されているか

能力／訓練5

55故障モードの結果と効果分析が設計上よく発生する故障を避けるように考慮されているか

アセスメント／分析4

55使用される部品は実績がある3.2

15なし過電圧、過圧力、過電流などの保護3.1

設計／アプリケーション／経験3

2020異なる技術／設計／物理的原則が使用される

多様性2

1515信号経路間の物理的分離

分離／隔離1

最大可能なスコア制御回路のスコアItemNo.

CCF CCF の求め方の求め方

65ポイント以上で要求を満たす。

十分な距離や介在絶縁物

多様性

Table I.1 - Estimation of the measures against CCF for example B

共通原因故障に対して採られている設計的な方策や人的な管理による方策などAnnex F 表１の該当するポイントを加算

システムのパフォーマンス・レベルの評価システムのパフォーマンス・レベルの評価

MTTFd=High

MTTFd=Medium

MTTFd=Low

PL

a

b

c

d

e

Cat.B Cat.1 Cat.2 Cat.2 Cat.3 Cat.3 Cat.4DCavg none DCavg none DCavg low DCavg medium DCavg low DCavg medium DCavg high

CCFが65以上でカテゴリ、MTTFd、DCavgの評価結果により下のグ

ラフからパフォーマンスレベルが決定される

グラフによる評価の例グラフによる評価の例

MTTFd=High

MTTFd=Medium

MTTFd=Low

PL

a

b

c

d

e

Cat.B Cat.1 Cat.2 Cat.2 Cat.3 Cat.3 Cat.4DCavg none DCavg none DCavg low DCavg medium DCavg low DCavg medium DCavg high

例：カテゴリー４、MTTFd=high、Dcavg=high、 CCFが65以上、の場合PLは”e”と評価される

表による評価の例表による評価の例

edddcc━High

━dccb━bMedium

━cbba━aLow

MTTFd of each channel

highmediumlowmediumlownonenoneDCavg

433221BCategory

━：Not covered

Table7 Simplified procedure for evaluating PL achieved by SRP/CS

簡易的な手段として表７からも同様に求めることができる

例：CCFが65以上、カテゴリ３、MTTFd=medium、DCavg=lowの場合PLは”c”と評価される

PLPLの計算例の計算例

MTTFdMTTFd の計算例の計算例 （（Annex C C.4.3)Annex C C.4.3)

動作（操作）アプリケーション条件（Annex Cの計算例の条件は以下のとおり）dop: 年間操業日数→ 220日hop: 1日の稼働時間→ 16時間t cycle: 一回の操作サイクル→ 5秒B10d: 製造者の供給するData若しくはAnnex C Table C.1の値→60000000 サイクル（仮定）

MTTFdMTTFd の計算例の計算例 （（Annex C C.4.3)Annex C C.4.3)

前スライドのアプリケーション条件より以下のパラメーターを導き出す。nOp： 年間の総操作サイクルT10d: 10%の部品が危険側故障を起こすと考えられる時間MTTFd: T10d/0.1

22チャンネルシステムのチャンネルシステムのPLPL（（Annex IAnnex I））

インターロックスイッチ

コンタクター

スイッチ 電流コンバーター

回転センサー

1チャンネル目: SW1Bは強制乖離型K1BのMTTFdは30年（仮定の値）

2チャンネル目: SW2 PLC CC RS それぞれ20年のMTTFdを有していると仮定

（製造者のデータが与えられているとの条件）

Annex Iの条件

22チャンネルシステムのチャンネルシステムのPLPL（（Annex IAnnex I））

1チャンネル目の回路のMTTFdはコンタクターK1Bのみが対

象となる。（強制乖離型のスイッチは正論理で使用された場合、危険側故障除外の対象と認められる）

2チャンネル目の回路のMTTFdはそれぞれ20年のMTTFdと

して仮定されているため、次式となり

1/0.15=6.7年のMTTFdとなる。（Annex D）

MTTFd=30年（の仮定）

異なったMTTFd値を持つ2チャンネルシステムの

統一された回路でのMTTFd導出は Annex D D.2により、以下の式で導き出される。

22チャンネルシステムのチャンネルシステムのPLPL（（Annex IAnnex I））

=20年

6.7年30年

インターロックスイッチ

コンタクター

スイッチ 電流コンバーター

回転センサー

22チャンネルシステムのチャンネルシステムのPLPL（（Annex IAnnex I））

60% DC（ダイ

ナミックテストなしの機能モニタリング）

99% DC（メカ

リンクコンタクトによる機能モ

ニタリング）

30% DC（=DC None 製造者に

よる見積もり）

90% DC（冗長化出力経路+アクチュエーター状態機能モニタリング）

DCavg=LOW

22チャンネルシステムのチャンネルシステムのPLPL（（Annex IAnnex I））

インターロックスイッチ

コンタクター

スイッチ 電流コンバーター

回転センサー

Annex I Figure I.4 回路のPLカテゴリー: 3

CCF Table F.1（仮定）: 85（>65）1チャンネルのMTTFd: 20年

DCavg:67 (low)

PLc

PLPLの決定の決定

1. PLｒの把握

2. カテゴリーの決定

3. MTTFdの決定

4. DCavgの決定（カテゴリー2 3 4の構造の場合）

5. CCFスコア Yes or Noの決定 （カテゴリー2 3 4の構造の場合）

6. ISO13849-2の規定

7. その他考慮の範疇に入るもの- Systematic Failure （Annex G）- ソフトウェアー （Annex J）

補足：補足：PLPLととSILSILの対比の対比

SIL(IEC61508-1)

high/continuous mode of operation

3e

2d

1c

1b

No correspondencea

PL

ポイントまとめポイントまとめ

重要な用語重要な用語

1. SRP/CS: Safety Related Parts of a Control System制御システムの安全関連部

2. PL: Performance LevelSRP/CSがリスク低減のために、期待されるレベルを実行する能力。

3. PLr: Required Performance Levelリスク低減達成のために要求されるPL

PL決定要素:1. Category

規格（6.2項）で示された構造

2. MTTFd - Mean Time to Dangerous Failureある部品が危険側故障を起こさずに機能すると期待できる時間間隔

3. DC - Diagnostic Coverage (of Tests)どの程度有効な機能監視をしているのか、診断の有効性を指す。

4. CCF - Common Cause Failure共通原因の故障。単一の事象から生じることなったアイテムの故障。

PLPLの決定要素の決定要素

ISO13849-2Annex FAnnex I Table I.1

スコア65以上共通要因による故障CCF(Common Cause Failure)

IEC61508Annex Eなし,Low, Middle, HighHigh：99%≦DC

診断範囲DC(Diagnostic Coverage)

Annex C,D

Low, Middle, HighB10d, NOP, T10d

危険側故障に至る平均時間

MTTFd(Mean Time to Dangerous Failure)

確率論

EN954-1ISO13849-1(1999)

───B,1,2,3,4制御システムの安全関連部の構造

カテゴリ(Category)

確定論

関連規格付属書

(Annex)キーワード内容PL決定要素

補足資料補足資料

補足：補足：PLPL

１時間あたりの平均危険側故障率

1/h

≧ 10-8 to ＜ 10-7e

≧ 10-7 to ＜ 10-6d

≧ 10-6 to ＜ 3×10-6c

≧ 3×10-6 to ＜ 10-5b

≧ 10-5 to ＜ 10-4a

PL

Q and AQ and A

ご静聴ありがとうございました