機能安全の分野に携わっていると、「MTTFD」という指標に必ず出会うことになります。
MTTFDとは何か、そしてMTTFとどのような違いがあるのかを正しく理解することは、ISO13849やIEC62061といった機能安全規格に基づく安全設計において非常に重要な知識です。
特に産業機械や制御システムの設計・評価に関わるエンジニアにとって、MTTFDの概念を誤解すると安全機能の評価に重大な誤りが生じる恐れがあります。
本記事では、MTTFDの意味と定義から始め、MTTFとの概念的な違い・危険側故障の考え方・ISO13849におけるMTTFDの活用方法まで、わかりやすく丁寧に解説します。
機能安全に初めて取り組む方から、改めて基礎を整理したい方まで、幅広くお役立ていただける内容となっています。
MTTFDとは何か?危険側故障という概念から理解しよう
それではまず、MTTFDとは何か、その根幹にある「危険側故障」という概念から解説していきます。
MTTFDとは「Mean Time To Failure Dangerous」の略称であり、日本語では「危険側故障の平均時間」と訳されます。
これは、製品や安全コンポーネントが稼働を開始してから、「危険側故障(Dangerous Failure)」が発生するまでの平均時間を表す指標です。
危険側故障とは何か?安全側故障との違いを整理する
機能安全の世界では、故障をその影響によって2種類に分類します。
1つ目は「安全側故障(Safe Failure)」であり、これは故障が発生した際に安全方向へ状態が移行するもの、つまり機械が停止したり警報が発報されたりする故障です。
2つ目が「危険側故障(Dangerous Failure)」であり、故障が発生してもシステムが安全を確保できなくなる、または安全機能が失われる故障を指します。
たとえば、緊急停止ボタンが押されても機械が止まらなくなるような故障がこれにあたります。
MTTFDが機能安全設計において重視される理由
機能安全においては、すべての故障が同等に危険なわけではありません。
安全機能そのものを無効化してしまう「危険側故障」だけを切り出して評価することが、リスク評価の精度向上に直結します。
そのため、MTTFDは通常のMTTFよりも機能安全の観点からは重要な指標として位置づけられており、ISO13849をはじめとする機能安全規格でも明示的に使用されています。
MTTFDの数値が表す意味と設計への影響
MTTFDの数値が大きいほど、危険側故障が発生するまでの時間が長い、すなわち安全機能がより長期間にわたって正しく維持されることを意味します。
ISO13849では、MTTFDの値をもとにカテゴリ・DCavg(診断カバレッジ平均)と組み合わせてPLd(パフォーマンスレベルd)などの安全機能のレベルを評価します。
MTTFDの算出精度がそのままシステムの安全性評価の精度に直結するため、正確な値の取得が求められます。
MTTFとMTTFDの違いをわかりやすく比較しよう
続いては、MTTFとMTTFDの違いを詳しく比較しながら確認していきます。
名称が似ているため混同されやすいですが、適用対象・故障の定義・使用される規格・評価の目的においてそれぞれ明確な違いがあります。
MTTFとMTTFDの概念的な違いを整理する
MTTFは「故障全般」を対象とした平均時間であり、修理不能なコンポーネントの寿命評価に使用されます。
一方、MTTFDは「危険側故障」のみを対象とした平均時間であり、安全機能の信頼性評価に特化した指標です。
つまり、MTTFDはMTTFの「危険側故障のみを取り出した版」と捉えることができ、故障全体の中で危険側故障が占める割合(危険側故障率)をMTTFに掛け合わせることで算出できます。
| 比較項目 | MTTF | MTTFD |
|---|---|---|
| 正式名称 | Mean Time To Failure | Mean Time To Failure Dangerous |
| 対象とする故障 | すべての故障 | 危険側故障のみ |
| 主な適用分野 | 信頼性工学全般・品質管理 | 機能安全・安全設計 |
| 関連規格 | IEC 60812・MIL規格など | ISO 13849・IEC 62061 |
| 数値の意味 | 製品の平均寿命 | 安全機能が危険側で失われるまでの平均時間 |
MTTFDの計算方法と危険側故障率の関係
MTTFDは以下の関係式で求めることができます。
MTTFD = MTTF ÷ β
(β:危険側故障の割合。全故障に対する危険側故障の比率)
または
MTTFD = 1 ÷ λD
(λD:危険側故障率。全故障率λのうち危険側故障に相当する部分)
例:MTTF = 100,000時間、危険側故障割合β = 0.5(50%)の場合
MTTFD = 100,000 ÷ 0.5 = 200,000時間
危険側故障の割合βは、部品やシステムの種類によって異なり、ISO13849附属書Kやメーカーのデータシートから参照するのが一般的です。
MTTFDの値域区分とISO13849での使用方法
ISO13849では、MTTFDの値を3つの区分に分類して安全機能の評価に使用します。
ISO13849におけるMTTFDの区分:
低(Low):3年以上30年未満(MTTFDが3〜30年相当)
中(Medium):30年以上100年未満
高(High):100年以上(ただし上限として100年を超えないよう制限を設ける場合がある)
この区分は、カテゴリおよびDCavgとともにPL(パフォーマンスレベル)の評価マトリクスに用いられます。
ISO13849におけるMTTFDの位置づけと評価方法
続いては、ISO13849においてMTTFDがどのように位置づけられ、活用されているかを解説していきます。
ISO13849は機械の安全に関する制御システムの設計規格であり、PLa〜PLeという5段階のパフォーマンスレベルで安全機能の要件を定義しています。
PLとMTTFDの関係を具体的に理解する
パフォーマンスレベル(PL)はリスクアセスメントによって要求PLrが決定され、設計によって達成PLが計算されます。
達成PLの計算には、カテゴリ(アーキテクチャ)・MTTFDの区分・DCavg(診断カバレッジ平均)の3要素が必要です。
MTTFDが高いほど、また診断カバレッジが高いほど、より高いPLの達成が可能になります。
MTTFDの取得方法とデータソースの種類
MTTFDの具体的な数値は以下のいずれかの方法で取得します。
最も信頼性が高いのはコンポーネントメーカーが提供するデータシートからの取得であり、安全コンポーネントでは明示的にMTTFD値が記載されていることが多くなっています。
データシートに記載がない場合は、ISO13849附属書Cに収録された汎用部品のMTTFD推奨値、またはSilicSAFE・RAexpertなどの信頼性データベースを参照する方法が用いられます。
| データ取得方法 | 信頼性 | 適用シーン |
|---|---|---|
| メーカーのデータシート | 高 | 安全コンポーネント全般 |
| ISO13849 附属書C推奨値 | 中〜高 | 汎用部品・センサー類 |
| 信頼性データベース(SilicSAFE等) | 中 | 電子部品の詳細評価 |
| 実績データからの算出 | 中(データ量依存) | 既存機器の実績評価 |
チャンネルごとのMTTFD計算と冗長構成での扱い
安全システムでは、二重化(冗長)構成が採用されることが多く、この場合はチャンネルごとにMTTFDを計算し、システム全体のMTTFDを算出します。
ISO13849では、カテゴリ3・4のような二重チャンネル構成において、各チャンネルのMTTFDをもとにシステム全体のMTTFDを算出する計算式が定められています。
冗長構成では全体のMTTFDは各チャンネルのMTTFDよりも大きくなるため、より高いPLの達成が可能になります。
リスク評価でのMTTFD活用と機能安全設計への応用
続いては、リスク評価とMTTFDの関係、そして機能安全設計への実践的な応用方法を解説していきます。
MTTFDは計算して終わりではなく、リスクアセスメントの結果と照らし合わせて安全機能の妥当性を検証するための重要なツールとして活用されます。
リスクアセスメントとMTTFDの連携プロセス
機能安全設計のプロセスは、リスクアセスメントによる要求PL(PLr)の決定から始まります。
PLrが決定されたら、それを達成するための安全機能のアーキテクチャ(カテゴリ)を選定し、部品のMTTFDとDCavgを評価することで達成PLを計算します。
達成PLがPLrを満たしていれば設計は妥当と判断され、不足している場合はアーキテクチャの変更・部品の変更・診断機能の追加などの対策を講じます。
MTTFDを活用した保全計画の立案
MTTFDは設計時の評価だけでなく、製品の保全計画や予防保全の周期設定にも活用できます。
ISO13849では、安全コンポーネントの使用年数がMTTFDを超えないよう管理することが求められており、これが定期交換計画の根拠となります。
MTTFDが10年の安全コンポーネントであれば、10年を超えた継続使用は安全機能の保証が困難になるため、計画的な交換が必要となります。
MTTFD評価におけるよくある誤りと注意点
MTTFDの評価において、特に注意が必要な誤りとしては「MTTFとMTTFDを混同して計算に使用してしまうケース」が挙げられます。
MTTFは全故障を対象とした値であり、これをMTTFDとして使用するとシステムの安全性を過大評価してしまう危険性があります。
また、コンポーネントメーカーが提供するMTTFD値の単位(時間か年か)を確認せずに使用すると計算ミスが発生するため、単位の確認は必須です。
まとめ
本記事では、MTTFDとは何かという基本的な意味から、MTTFとの違い・ISO13849における位置づけ・リスク評価への応用まで詳しく解説しました。
MTTFDは危険側故障のみを対象とした平均時間であり、機能安全規格ISO13849においてパフォーマンスレベルの評価に不可欠な指標です。
MTTFとの混同に注意しながら、カテゴリ・DCavgとあわせて正確に評価することが、安全機能設計の品質を左右します。
機能安全に取り組む設計者・品質担当者の方々にとって、本記事の内容が実務の一助となれば幸いです。
