診断カバレッジ(DCavg)|安全制御の故障検知性能を可視化

診断カバレッジ(DCavg)

診断カバレッジ(DCavg)は、安全関連部(SRP/CS)における危険故障のうち、診断機能で検出できる割合の平均値である。ISO 13849-1ではカテゴリとMTTFdと並んでPL(Performance Level)の決定に直結し、IEC 62061やIEC 61508でもPFHdやハードウェア故障許容度の評価で重要な補助指標として扱われる。実務では、個々の部品・チャネルの検出率を単純平均せず、危険故障率で加重した「系全体の検出割合」として扱うことが要点である。

Table Of Contents

定義と意味

DCは危険故障の検出割合を示し、DC=λ_DD/(λ_DD+λ_DU)=1-(λ_DU/λ_D)で表す(λ_DD:検出された危険故障率、λ_DU:未検出の危険故障率、λ_D:危険故障率)。これを複数要素に拡張した診断カバレッジ(DCavg)は、DCavg=Σλ_DD_i/Σ(λ_DD_i+λ_DU_i)で定義される。重要なのは「加重平均」である点であり、検出率の単純平均は誤りである。危険故障の多い要素ほどDCavgに与える影響が大きく、検出の弱い高リスク要素が一つでもあるとDCavgは大きく低下する。

背景と規格の位置付け

ISO 13849-1はカテゴリ(B/1/2/3/4)、MTTFd、診断カバレッジ(DCavg)、およびCCF対策を組み合わせてPLを決める。カテゴリ2・3・4では診断もしくは冗長構成が要件となり、DCavgの水準がPL達成可能性を左右する。IEC 62061ではPFHdの分解評価に診断効果を織り込む設計が一般的で、IEC 61508のSFF(Safe Failure Fraction)とも概念的に近い。いずれも「危険故障をどれだけ自動検出し、リスク低減動作へ確実に結びつけるか」を問う枠組みである。

算出方法と入力データ

  • 境界の明確化:対象SRP/CSの機能境界、動作状態、診断インターバルを定義する。
  • 要素の棚卸し:センサ、論理(PLC/安全リレー/MCU)、アクチュエータを洗い出す。
  • 故障率の取得:カタログFIT、現場実績、規格附属書の代表値からλ_Dを見積もる。
  • 診断の割付:各診断手段が検出できる故障モードを洗い分け、λ_DDとλ_DUに配分する。
  • 加重集計:Σλ_DDとΣ(λ_DD+λ_DU)を求め、DCavg=前者/後者を計算する。
  • 検証:FMEA/FMEDAや試験(プルーフテスト)で仮定の妥当性を確認する。

DCレベルの区分(ISO 13849-1での目安)

ISO 13849-1では、DCの水準を区分して扱う。一般に「None:<60%」「Low:60–90%」「Medium:90–99%」「High:≥99%」が目安であり、設計で目指す水準はカテゴリ構成や要求PLに依存する。高DCを達成しても未検出故障がゼロになるわけではなく、残余リスクの評価は継続して必要である。

設計でDCavgを高める代表的手段

  • 冗長化と相互監視:1oo2構成、クロスモニタリング、出力相互比較。
  • 妥当性チェック:レンジ/レイト監視、プラウジビリティチェック、自己一致性検査。
  • 動的テスト:センサのパルステスト、アクチュエータの周期試験、スタックライト/リレーの自己診断。
  • 時間監視:ウォッチドッグ、ハートビート、診断インターバルの短縮。
  • 情報完全性:CRC/チェックサム、二重化通信、セーフティプロトコル。
  • 潜在故障の露呈:定期プルーフテスト、起動時BISTの拡充、オペレータ確認の人間工学的設計。

よくある誤りと注意点

  • 単純平均の誤用:DCavgは危険故障率で加重する。小さな高DC要素で全体は底上げできない。
  • 検出=停止と誤解:検出後に「安全状態」へ遷移する設計があって初めてリスク低減になる。
  • 診断インターバル無視:診断周期が長すぎると未検出時間が増え、実効DCが低下する。
  • CCFの軽視:共通原因故障はDCavgでは補えない。物理/環境/手順の分離を徹底する。
  • ソフト診断の過信:診断ロジック自体の故障や共通モードに注意し、独立監視を用意する。
  • データ根拠の欠如:λの出典、適用条件、適用範囲(負荷・温度等)を文書化する。

具体例(2チャネル停止回路)

チャネルA:λ_D=120 FIT、うちλ_DD=108 FIT(DC=0.90)。チャネルB:λ_D=80 FIT、うちλ_DD=40 FIT(DC=0.50)。このとき診断カバレッジ(DCavg)は(108+40)/(120+80)=148/200=0.74(74%)で「Low」区分となる。AのDCは高いがBの未検出が支配的で全体のDCavgを押し下げる。PL目標が高い場合、Bに追加診断(出力フィードバック、相互監視、レンジ監視等)を導入し、λ_DDを増やすかλ_DUを減らす改善が必要である。

用語メモ

FITは10−9/hの故障率単位、SRP/CSはSafety-Related Parts of a Control Systemを指す。1oo1Dは単一チャネル+診断、1oo2は二重チャネルのうち1つ動作で安全達成、PFHdは1時間あたりの危険故障確率である。これらは診断カバレッジ(DCavg)の理解と併せて運用される。

実務上のヒント

  • センサ・アクチュエータへの直接診断(配線断線・短絡検知、ミスマッチ検知)を優先する。
  • 診断要求と応答(安全停止、アラーム、縮退運転)の連鎖を設計審査でトレースする。
  • FMEDAでλの配分根拠を示し、FMEAと一貫させる。現地試験で診断の到達度を実測する。
  • 更新や設計変更時はDCavg再評価をルール化し、版管理と証跡を残す。