概要
本連載のPart 1では、部品の故障率と信頼性の予測方法について説明しました。それに続いて、今回(Part2)は故障モード影響診断分析(FMEDA:Failure Modes, Effects, and Diagnostic Analysis)について解説することにします。FMEDAは、安全性を解析するためにシステム・インテグレータが利用可能なツールの1つです。この解析を行えば、IEC 61508などの機能安全規格で定められた要件に照らし合わせながら、安全関連システム(SRS:Safety-related System)の設計について評価することができます。FMEDAを実施する際には、部品に関するいくつかの情報が必要です。例えば、故障率のデータや故障モード分布(FMD:Failure Mode Distribution)の情報が必要になります。本稿では、FMDをはじめとする事柄がFMEDAの評価にどのような影響を与えるのかを明らかにします。その上で、アナログ・デバイセズの安全性に関するアプリケーション・ノートの例を紹介します。それをご覧いただけば、必要な情報がどのような形で提供されているのか把握できるはずです。
FMEAとは何か?
安全性について解析するための代表的なツール(手法)としては、故障モード影響解析(FMEA:Failure Mode and Effect Analysis)が挙げられます。FMEAでは、安全性の観点からシステムまたはプロセスの評価を実施します。それにより、そのシステム/プロセスではどのような故障が発生し得るのか、またそれらの故障モードが各種の要素の性能や周辺環境にどのような影響を与えるのかを定義することができます。通常、FMEAは、故障が発生する確率を求め、その影響の低減に向けて適切な意思決定を行うために反復的に実施されます。故障の発生を抑えれば、システム/プロセスの堅牢性と信頼性が向上します1。
ここで図1をご覧ください。これは一般的なFMEAと、その派生形として知られる故障モード影響及び致命度解析(FMECA:Failure Modes, Effects, and Criticality Analysis)とFMEDAの構成要素を示したものです。通常、FMEAはシステム/プロセスに関する情報、解析の対象とする機能、対象とするシステムを構成する部品、各部品の故障モード、その局所的/全体的な影響などに基づいて実施されます。FMEAにおいて、故障モードに対し、その重要度に応じた優先順位が付けられる場合、その解析プロセスはFMECAと呼ばれます。一方、FMEAにおいて診断機能の有効性を示す手段を採用する場合、その解析プロセスはFMEDAと呼ばれます1、2。
一般に、安全関連システム(SRS)を設計する際、FMEDAはデバイス・レベルの故障率を各故障モードの関数として得るために使用されます。また、自動診断機能の有効性を測定すると共に、設計に関する意思決定の信頼性について定量的な分析を行います。その上で、結果として得られた設計が他の設計よりも優れていることを示します。そのような方法によって、ハードウェアの設計がIEC 61508の要求事項に適合していることを実証するために用いられます2。
FMEDAの例
表1に示したのは、IEC 60812:2018に記載されているFMEDAの例です。これは完全なものではありませんが1、電源回路の主要な部品についてどのように評価を実施するのかが見てとれます。この電源回路では、機器内で使用する電源電圧を生成するためにリニア・レギュレータを用いています。
表1を見ると、安全側故障率(λS)、無影響故障率(λNE)、検出される危険側故障率(λDD)、検出されない危険側故障率(λDU)の値が示されています。これらは、安全側故障割合(SFF:Safe Failure Fraction)の計算において重要な要素になります1。
表1. 電源回路のFMEDA(IEC 60812:2018の表F.12に基づく)
| 名称 | 部品の種類 | 機能 | 故障率(FIT) | 故障モード | FMD | 影響 | 故障の分類 | 診断カバレッジ | λS(FIT) | λNE(FIT) | λDD(FIT) | λDU(FIT) |
| F50 | ヒューズ | 入力における短絡保護 | 25 | オープンにならない | 50% | 通常動作時には生じないn | 無影響 | - | 0 | 12.5 | 0 | 0 |
| 完全にオープンにならない | 10% | 出力が非通電の状態になる | 安全側 | - | 2.5 | 0 | 0 | 0 | ||||
| オープンになるのが遅い | 40% | 安全機能に影響なし | 無影響 | - | 0 | 10 | 0 | 0 | ||||
| D12 | サプレッサ・ダイオード | 過電圧保護(EMC) | 7 | 短絡 | 95% | F50が切れる | 安全側 | - | 6.65 | 0 | 0 | 0 |
| オープン・サーキット | 5% | 安全機能に影響なし | 無影響 | - | 0 | 0.35 | 0 | 0 | ||||
| R100 | 抵抗、SMD | 電流制限(EMC) | 0.2 | 短絡 | 5% | 電流が制限されない | 危険側 | 60% | 0 | 0 | 0.006 | 0.004 |
| 断線 | 65% | 出力が非通電の状態になる | 安全側 | - | 0.13 | 0 | 0 | 0 | ||||
| パラメータの値が変化 | 30% | その状態のまま機能する | 無影響 | - | 0 | 0.06 | 0 | 0 | ||||
| C13 | セラミック・コンデンサ、HDC/MDC | EMC | 2 | 短絡 | 50% | F50が切れる | 安全側 | - | 1 | 0 | 0 | 0 |
| 断線 | 30% | 通常動作時には生じない(非保護) | 無影響 | - | 0 | 0.6 | 0 | 0 | ||||
| 値の変化 | 20% | その状態のまま機能する | 無影響 | - | 0 | 0.4 | 0 | 0 | ||||
| D25 | 小信号ダイオード、0.1W未満 | ブリッジ整流器 | 1 | 短絡 | 50% | F50が切れる | 安全側 | - | 0.5 | 0 | 0.006 | 0 |
| 断線 | 35% | AC電源が適切に整流されない | 安全側 | - | 0.35 | 0 | 0 | 0 | ||||
| パラメータの値が変化 | 15% | その状態のまま機能する | 無影響 | - | 0 | 0.15 | 0 | 0 | ||||
| C2 | 電解コンデンサ、アルミ電解コンデンサ、非固体電解コンデンサ | 平滑用コンデンサ | 5 | 短絡 | 53% | F50が切れる | 安全側 | - | 2.65 | 0 | 0 | 0 |
| 断線 | 35% | DC電源による通常動作時には生じない | 無影響 | - | 0 | 1.75 | 0 | 0 | ||||
| 電解液の漏れ | 10% | 安全機能に影響なし | 無影響 | - | 0 | 0.5 | 0 | 0 | ||||
| 容量値の低下 | 2% | その状態のまま機能する | 無影響 | - | 0 | 0.1 | 0 | 0 | ||||
| IC18 | レギュレータ、1W以上の電力、さほど複雑ではない | R100を電流源として使用する電圧レギュレータ | 25 | ハイのまま固定 | 30% | レギュレーションされない、出力がスイッチングする | 危険側 | 0% | 0 | 0 | 0 | 7.5 |
| ローのまま固定 | 30% | 出力が非通電の状態になる | 安全側 | - | 7.5 | 0 | 0 | 0 | ||||
| 短絡 | 15% | レギュレートされない、リレーに過電流(逆流) | 無影響 | - | 0 | 3.75 | 0 | 0 | ||||
| 断線 | 15% | 出力が非通電の状態になる | 安全側 | - | 3.75 | 0 | 0 | 0 | ||||
| ドリフト | 5% | その状態のまま機能する | 無影響 | - | 0 | 1.25 | 0 | 0 | ||||
| 機能 | 5% | その状態のまま機能する | 無影響 | - | 0 | 1.25 | 0 | 0 | ||||
| 小計 | 25.03 | 32.66 | 0.006 | 7.504 | ||||||||
SFFの計算は、次の式によって実施します3。
例えば、既存の診断機能によるR100の短絡故障の診断カバレッジがわずか60%で、IC18の危険側故障に対する診断カバレッジが0%である場合、SFFは76.94%と算出されます。シングルチャンネルのシステムだけを対象として設計されている場合、この電源回路はSIL 1しか達成できません3。そこで、IC18の危険側故障を対象とする診断機能を追加したとします。そうすると、より高いSILを達成できるように設計が改良されることになります。例えば、IC18の危険側故障に対応するために診断カバレッジが99%の診断機能を追加すれば、λDUは7.5FITから0.075FITに、λDDは0.006FITから7.431FITに変化します。それにより、トータルのλDUは0.079FITとなり、SFFは99.76%に達します。
また、PFHは次の式により計算できます4。
一方、電源回路のトータルのλDUは、IEC 615083における危険側故障の発生確率の要件に基づいたものになります。電源回路とその診断機能を含む安全関連システムのトータルのλDUを低減すれば、危険側故障の1時間当たりの平均確率(PFH:Failure per Hour)が低下します。そのため、より高いSILの達成につながります4。
ここで、表1に示された3つの項目が、FMEDAによる故障率の解析結果に影響を及ぼすことに注目してください。ここで言う3つの項目とは、部品の故障率、FMD、診断カバレッジのことです。通常、部品の故障率のデータはその部品のメーカーから提供されます。ただ、信頼性を予測する手法を用いて計算することも可能です。FMDとは、部品の故障全体に占める個々の故障モードの割合のことです。FMDの情報も、通常はその部品のメーカーから提供されます。診断カバレッジは、故障の検出に使用される診断機能の能力を表します。これは、システム・インテグレータが設計を実施する際、診断機能を追加したり、より優れた診断機能を導入したりすることによって最適化できる唯一の項目です。
安全性に関するアプリケーション・ノートによりFMEDAの迅速化を図る
前回の記事(Part 1)では、電圧監視IC「LTC2933」の安全性に関するアプリケーション・ノートを紹介しました。具体的には、信頼性の様々な予測手法に基づく基本故障率が記載されていることを示しました。図2に示すように、この種のアプリケーション・ノートには、そのICの故障率とすぐに利用できるFMDの情報が記載されています。そのため、個々のICの情報を使用してシステムのFMEDAをより迅速に実施できることになります。各アプリケーション・ノートには、想定されるシステムの機能と、FMDを計算する際に前提としたICのアプリケーション回路も示されています。
アナログ・デバイセズが提供するアプリケーション・ノートを活用すれば、安全性に関する解析の精度が向上します。全体的な故障率をそのまま危険側故障率に当てはめたり、特定の仮定に基づいてFMDの値を推測したりするのではなく、部品メーカーから直接提供される情報を使用できるからです。
まとめ
本稿では、安全性解析ツールであるFMEAと、その派生形であるFMECAとFMEDAの概要について説明しました。続いて、FMEDAの例を挙げ、診断機能とその診断カバレッジを活用することで、電源回路のSFFを高められることを示しました。それにより、診断について考慮し、検出されない危険側故障率を低減することの重要性をご理解いただけたでしょう。また、アナログ・デバイセズの安全性に関するアプリケーション・ノートの例も紹介しました。同ノートに記載されている部品のFMDの情報を活用することにより、システム・インテグレータはシステムのFMEDAと安全性解析の技術的な精度を高めることができます。
参考資料
1 「 IEC 60812:2018. Failure Modes and Effects Analysis(FMEA and FMECA)(IEC 60812:2018 故障モード影響解析(FMEA及びFMECA))」国際電気標準会議(IEC:International Electrotechnical Commission)、2018年
2 Paddy Healy「What Is a FMEDA?(FMEDAとは何か?)」Exida、2023年4月
3 「IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems(IEC 61508 電気・電子・プログラマブル電子安全関連系の機能安全 - 全パート)」国際電気標準会議(IEC:International Electrotechnical Commission)、2010年
4 Loren Stewart「Back to Basics 17 - PFH(基本に立ち返る17 - PFH)」Exida、2019年11月
