PFH/PFDavg|動作中と要請時の危険故障確率指標

2025.09.07

PFH/PFDavg

安全計装や機械安全の設計では、要求の出し方に応じて危険側故障の確率を評価する指標が使い分けられる。連続・高頻度の要求では「Probability of dangerous Failure per Hour(PFH)」、低頻度の要求では「Average Probability of Failure on Demand(PFDavg)」である。本稿ではPFH/PFDavgの定義、使い分け、近似式、設計パラメータとの関係、実務での算定手順と留意点を体系的に解説する。

Table Of Contents

定義と使い分け

PFHは単位時間あたりの危険側故障の発生「率」を表し、単位は1/hである。設備が連続運転し、危険状態が常時起こり得る「連続・高需要モード」で用いる。一方、PFDavgは「要求時に危険側で動作しない平均確率」を表す無次元量で、緊急遮断や保護動作が稀にしか要求されない「低需要モード」で用いる。要求頻度が十分に低く(一般には1年に1回未満程度が目安)、要求がない期間はテストでしか機能確認できない場合はPFDavgで評価するのが適切である。

単位と解釈

PFHは時間密度(ハザードレート)であり、例えばPFH=2×10^-7 1/hなら「平均して500万時間に1回の危険側故障率」を意味する。PFDavgは「要求が発生したその瞬間に危険側で失敗している確率」であり、0.008なら「1000回の要求でおよそ8回失敗する平均確率」という解釈になる。両者は次元が異なるため、数値を直接比較して優劣を論じてはならない。

基本式(1oo1の近似)

指数分布(一定故障率)と完全な定期点検を仮定すると、1oo1構成における代表的な近似は次のとおりである。低需要では PFDavg ≈ λDU × T/2(λDU:危険側・検出不能故障率、T:プルーフテスト間隔)。連続・高需要では PFH ≈ λDU,res(診断やテストで除去されず運転中に残留する危険側故障率)。診断が高いほどλDUまたはλDU,resが小さくなり、PFDavgやPFHが低下する。

アーキテクチャの影響(1oo2/2oo3等)

冗長化はPFDavgとPFHの双方を低減するが、共通原因故障(βファクタ)や不完全試験、診断未カバーが残ると効果は限定的である。1oo2では片系故障は直ちに危険側に繋がらないためPFDavgは概ね二乗項が効き、PFHも平均的に低下するが、β>0なら同時故障寄与が支配的になる場合がある。2oo3では投票ロジックにより可用性と安全性の両面をバランスできるが、検証すべき組合せが増えるためデータ整合と仮定の透明化が必須である。

規格との関係(IEC 61508/IEC 62061/ISO 13849-1)

IEC 61508は機能安全の横断規格としてPFHおよびPFDavgの使用領域と性能水準(SIL)を提示する。IEC 62061は機械におけるSRECSの安全要求を定め、連続・低需要の適用に応じてPFHまたはPFDavgで検証する。ISO 13849-1はPLを用いるが、確率モデルとしてMTTFd・DCavg・カテゴリ・CCFを組み合わせており、需要モードの概念はIEC系と整合する。いずれの規格でも、運用プロファイルと試験方針(T、診断間隔、試験カバレッジ)を明示することが前提である。

設計パラメータとの関係

  • MTTFd:部品の平均危険側故障間隔。λD≈1/MTTFdの関係からλDUを導出する。
  • DCavg:診断カバレッジ。λDU ≈ λD × (1−DCavg)×(診断未検出の寄与)と捉える。
  • T:プルーフテスト間隔。PFDavgはTに比例、PFHは運転中の残留率に依存。
  • β:共通原因故障率の割当。冗長化時の同時故障寄与を評価。
  • 需要頻度:低需要の成立性と要求ごとのリスク評価に影響。

実務での算定手順(概略)

  1. 境界設定:保護機能のスコープ、アーキテクチャ(1oo1/1oo2/2oo3等)、需要モードを確定する。
  2. データ整備:部品ごとのλD、診断機能、テスト方針(T、試験カバレッジ)を収集する。
  3. 分解と集計:λDU、λDD(検出可能)、λSU/λSD(安全側)に仕分けし、残留λDU,resを推定する。
  4. 計算:低需要ではPFDavg、連続・高需要ではPFHをアーキテクチャに応じた式で算出する。
  5. 評価:目標のSIL/PLに対して余裕を確認し、感度分析でTやDCavgの影響を点検する。

数値例(1oo1・近似)

例としてλDU=2×10^-6 1/h、年1回試験(T=8760 h)とすると、PFDavg≒(2×10^-6)×8760/2=8.76×10^-3である。IEC 61508の低需要の範囲では10^-3〜10^-2に位置し、SIL2相当の水準となる。別例で連続モードにおける残留λDU,res=2×10^-7 1/hならPFH≒2×10^-7 1/hで、連続モードのSIL2範囲(10^-7〜10^-6)に入る。これらは仮定条件(一定故障率、完全試験)に依存するため、前提は設計文書に明記すべきである。

よくある誤解と落とし穴

  • PFDavgとPFHの混用:需要モードを誤ると数値の意味が失われる。
  • 試験間隔の過小評価:Tを延ばすとPFDavgは線形に悪化する。
  • 診断未カバーの見落とし:高DCavgでも未検出経路が残るとPFHが支配される。
  • CCFの無視:βを0と仮定すると冗長効果を過大評価する。
  • ミッション時間の未考慮:限定寿命機器では定常近似が破綻する。

モデル化の前提と限界

ここで示した近似は、指数分布(一定故障率)、完全・瞬時のプルーフテスト、独立故障、定常運転といった単純化に基づく。実機では不完全試験、診断の遅延、修理時間、保全資源の制約、環境ストレスによる故障率変動が存在する。より厳密には連続時間マルコフモデルやミッショ ン時間を考慮した非定常解析を用いて検証し、保全方針(修理率μ)や平均ダウンタイムも含めて妥当性を確認する。

記号の整理

λD:危険側故障率、λDU:危険側・未検出故障率、λDU,res:運転中の残留λDU、T:プルーフテスト間隔、β:共通原因故障の割当、DCavg:診断カバレッジ、1oo1/1oo2/2oo3:投票論理の略記。文中のPFH/PFDavgはそれぞれ連続・低需要モードでの評価指標を指す。

文書化のポイント

安全要求仕様(SRS)には需要モード、計算に用いたλ、DCavg、T、試験カバレッジ、β、アーキテクチャ、仮定とデータ出典、計算式と結果(PFHまたはPFDavg)、および感度分析の要点を含める。変更管理や定期見直しに備え、根拠のトレーサビリティを確保することが望ましい。

コメント(β版)