1. 機能安全の概念rtnet-biz.jp/rtsic/resources/_dl/safety_function.pdf1.1.4....
14
1. 機能安全の概念 1.1. 日本と欧米の安全の考え方の違い 日本と欧米では、安全の考え方が基本的に異なっている。一般的に、 日本では、安全が 100%で、危険が何もないこと(図 1-1)。すなわち危険 が 0%であることが安全と認識されている。 欧米では、危険が隔離されていること(図 1-2)が、安全であると認識さ れている。そして「すべての危険を除くことは難しく、高価になる。安 全とは、怪我や物的損害の危険性が低く、管理可能であること。」である。 このことから、「我慢(許容)できる危険は残る」と言うことになる。も し、隔離が不十分であれば、不十分部分を通り抜けた危険が人に危害を 与えることになる。 この違いから日本に安全と言う概念が導入された時、多くの人が戸惑 いを持って、「安全とは」を理解しようと努め、IEC61508 で求める機能安 全について、規格で述べる機能安全のための技術や方策が先行して議論 の対象になった。 この安全のための技術や方策は、欧米的「安全」の考え方を理解すれ ば、納得のいく手法であるが、日本的な考えのままで理解しようとする と、「なぜ、その技法や方策が必要か?」、「技法や方策の求めていること がわからず、難しい。」と言った議論が先行することとなる。 図 1-2; 欧米の考え方 1.レンガを常に積み増すか(改修)、又は、 戦うか、逃げる訓練(教育訓練)をする。 2.危険を囲いこんでしまう。危険が存在す る限り、対象を管理し、監視をおこない、 異常時は、安全になる対応処置をする。 図 1-1;日本的考え方 1.安全とは危険が周囲に無いこと。 2.安全は自分が作るものではなく与え られるもの 見渡す限り安全
Transcript of 1. 機能安全の概念rtnet-biz.jp/rtsic/resources/_dl/safety_function.pdf1.1.4....
1. 機能安全の概念
1.1. 日本と欧米の安全の考え方の違い
日本と欧米では、安全の考え方が基本的に異なっている。一般的に、
日本では、安全が 100%で、危険が何もないこと(図 1-1)。すなわち危険
が 0%であることが安全と認識されている。
欧米では、危険が隔離されていること(図 1-2)が、安全であると認識さ
れている。そして「すべての危険を除くことは難しく、高価になる。安
全とは、怪我や物的損害の危険性が低く、管理可能であること。」である。
このことから、「我慢(許容)できる危険は残る」と言うことになる。も
し、隔離が不十分であれば、不十分部分を通り抜けた危険が人に危害を
与えることになる。
この違いから日本に安全と言う概念が導入された時、多くの人が戸惑
いを持って、「安全とは」を理解しようと努め、IEC61508 で求める機能安
全について、規格で述べる機能安全のための技術や方策が先行して議論
の対象になった。
この安全のための技術や方策は、欧米的「安全」の考え方を理解すれ
ば、納得のいく手法であるが、日本的な考えのままで理解しようとする
と、「なぜ、その技法や方策が必要か?」、「技法や方策の求めていること
がわからず、難しい。」と言った議論が先行することとなる。
図 1-2; 欧米の考え方
1.レンガを常に積み増すか(改修)、又は、
戦うか、逃げる訓練(教育訓練)をする。
2.危険を囲いこんでしまう。危険が存在す
る限り、対象を管理し、監視をおこない、
異常時は、安全になる対応処置をする。
図 1-1;日本的考え方
1.安全とは危険が周囲に無いこと。 2.安全は自分が作るものではなく与え
られるもの
見渡す限り安全
1.1.1. 日本的考えと欧米的考えの対比
表 1-1 では、一般的に言われている安全に対する日本的な考え方と欧
米的な考え方を列挙している。
注;災害は危険事象発現による人的被害のこと
日本的な考え方 欧米的な考え方
・災害は努力で防ぐ ・災害は技術レベルにより起こる
・災害の主な原因は人 ・人的な対策より技術で対策
・管理・教育・規制強化で安全の
確保
・人は必ず間違いを犯す
⇒ 技術力向上で安全確保
・災害が発生したら規制を強化 ・事故が発生しても重大災害に至
らない技術対策
・安全は基本的に「ただ」 ・安全は基本的に「コスト」がか
かる
・安全にコストを認めにくい ・安全にコストをかける
・目に見える「具体的危険」に対
して 低限のコストで対応。起
こらないはずの災害対策に,技
術的対策をしない
・危険源を洗い出し、そのリスク
を評価し、評価に応じてコスト
をかけて対策をする
⇒ 起こるはずの災害低減に努
力をする
・《危険検出型技術》
見つけた危険をなくす技術
・ 《安全検出型技術》
論理的に安全を立証する技術
・度数率(発生件数)重視 ・強度率(重大災害)重視
表 1-1
この表から、どちらが、安全に対する考え方の中心が「人」なのか、「技
術」なのかは、明らかである。技術によれば、危険への対応の仕方にバ
ラツキが少なくなる。
1.1.2. 機能安全の考え方の背景
電気、電子機器、装置が複雑化高度化し、また大量生産により多くの
物が市場に投入され、装置、機器、システム製品などの故障による事故
が多くなるに従い、人々の考え方が変わってきた。
1. ものは壊れ、故障する。
2. また、完全なソフトウェアはありえない。(いわゆるバグがある。)
3. ひとはミス(誤操作)をする。
そして、「故障しても、エラーになっても人に危害を与えないようにし
たい」と言う考えが生まれてきた。
1.1.3. 考え方の転換
マイクロコンピュータ応用機器やパーソナルコンピューターの普及が
進んできた1980年代から、品質管理や故障に対する考え方が欧州を
中心に変わり始めた。それは、【品質向上】の発想から【機能安全】への
変化である。
電気、電子応用製品、機器類がコンピュータにより高機能化し、複雑
になるに従い、故障がソフトウェア起因や予期しない外乱により起こる
ようになり、良いものを作れば、壊れないという「品質中心」の考え方
から、壊れても危険にならない(人に危害を与えない)という「機能安全」
の考えに変化してきた。
1.1.4. IEC61508 制定の略歴
機能安全の規格化は 1980 年代から欧州各国の安全関連の規格を元に議
論が進められ、途中からソフトウェアの機能安全が加えられ、IEC61508
として 2000 年に国際規格としてまとめられた。
現在は、第 2 版が 2010 年より発行になり、それが運用されている。
【本質安全】は、「危害事象、危害要因、原因をはじめから除去したも
のを作る 」と言うことであり、
【機能安全】は、「本質安全が達成出来ない部分をカバーし、 危害が
発現しても、極力安全を確保すると言う概念」である。言い換えれば、
機能安全とは故障(部品故障やバグ)が発生してもシステムや機器の安
全性を確保できるような機能を実装しておく、と言う考え方となる。
★ 1985年9月12・13日:IECは国際規格の実現性を評価する為に、「プログラマブル電子システムの機能安全;一般的な概念」と言うタスクグループを作る決定をした。
★ 安全機能を実行するプログラマブル電子システム(PES)の国際規格を開発するために、上記のタスクグループとワーキンググループが作られた。
★ 新ワーキンググループ(WG10)は1988年6月6・7日にロンドンで初めて開催された。
IEC61508 1998年
JISC0508 1999年
1980 1990 2000 2010
欧州各国のPESガイドライン
ソフトは1984頃から規格を開発
1992:統合
IEC61508 ED2 2010年
図 1-3; IEC61508 制定の略歴
1.1.5. IEC61508(2010)規格
規格は、7 部に分かれている。
一般要求事項から、ハードウェア、ソフトウェア、用語再節、確率計
算の例、技術方法の解説となっている。
規格は、以下の特長がある。
1.E/E/PE システムを対象にした自動動作の安全機能システムを対象と
する。
2.ハードウェアのランダム故障や設計における決定論的故障の保護方
策を提供
3.様々なアプリケーションシステムの業務に対応できる
4.様々なアプリケーションにおける製品レベルの業務に対応できる
IEC 61508 規格の概要
Part 1;General requirements
第 1 部 一般的要求事項
Part 2;Requirements for electrical/electronic/programmable
electronic safety systems.
第 2 部 電気・電子・プログラマブル電子安全関連系に対する
要求事項。
Part 3;Software requirements.
第 3 部 ソフトウェア要求事項
Part 4;Definitions and abbreviation.
第 4 部 用語の定義及び略語
Part 5;Examples of methods for the determination of safety
integrity levels
第 5 部 安全度水準決定方法の事例
Part 6;Guidelines on the application of IEC61508-2 and IEC61508-3.
第 6 部 第 2 及び第 3 部の適用指針
Part 7;Overview of technique and measures.
第 7 部 技術及び手法の概説
1.2. 機能安全の概念
IEC61508の Functional safetyは「機能安全」
と訳された。
よく引き合いに出されるのは、本質安全の例
として、危険源の暴露の排除としての立体交差
(図 1-4)である。また、機能安全の例としては、
安全機能(列車の感知、踏み切りの警報機・遮断
機)が確実に働く踏切(図 1-5)である。
以下、この本質安全と、機能安全を見ていく。
1.2.1. 本質安全
リスクアセスメントにおけるリスク低減方策
の 3 ステップメソッドは,ステップ 1 で「本質
的安全設計方策によるリスクの低減」を要求し
ている。
本質的安全設計方策(Inherently safe design
measure)は、「ガード又は保護装置を使用しな
いで,機械の設計又は運転特性を変更すること
によって,危険源を除去する又は危険源に関連するリスクを低減する保
護方策」と JISB9700-1 に定義されている。
本質的安全設計方策は、「JIS B 9700-2:2004 の 4.本質的安全設計方策」
に詳しく記載されているので、ここでは概略項目のみをあげる。
(1) 幾何学的要因
設備機械の作業者の作業環境の視認性の確保、身体と干渉する隙間
の適切化、突出部の回避、接近の容易な機械であること。
(2) 物理的側面
作業に応じ、作業力の制限、可動部の質量制限や速度制限など運動
エネルギーの制限、エミッション(放射、放出:騒音、振動、 危険物
質放出、放射(例えば、レーザー光)、 非電離(光線や電波)放射)の制
限。
(3) 機械設計に関する一般的技術知識の考慮
機械設計に一般的技術知識(規格,設計規格,計算方法)を考慮する
こと。そのうち、 機械的応力を適切に計算して設計していること。特
に応力制限、疲労の、動的バランス等を考慮すること。また、材料と
その特性を考慮し、経年変化による腐食、摩滅、摩耗、毒性、引火性、
エミッションも考慮すること。
(4) 適切な技術の選択
特定の用途に使用される技術を選択することで、一つ以上の危険源
図 1-4; 立体交差
図 1-5; 踏切
を除去、又はリスクを低減ができる。
・爆発性雰囲気使用を意図した機械:
火の源を持たない制御設計(油圧、空圧等)、本質安全防爆”によ
る電気設備。
・溶剤使用の特定な生産:
確実に発火点より十分低い温度を維持する設備
・高い騒音レベルを回避するための代替設備:
例えば、空圧設備から電気設備、機械的切断から高圧水切断
・構成品間のポジティブな機械的作用の原理の適用
(5) 安定性に関する規定
機械は,指定使用条件下で安全に使用でき、十分な安定性を有する
ように設計する必要がある。安定性は,形状寸法、 負荷を含めた重量
分布、転倒モーメント、振動、 重心変動、 種々の場所での走行路面
や設置面の特性、 外力(例えば,風圧,人力)など、すべての局面(取
扱い,輸送,設置,使用,使用停止、分解を含む機械寿命)について考
慮する必要がある。
(6) 保全性に関する規定
機械を設計するとき,保全性(接近性、取扱いの容易さ、特殊な工具
及び機材の数の制限、環境並びに作業服及び使用される工具の寸法を
含む人体寸法)を考慮しなければならない。
(7) 人間工学原則の遵守
オペレータの精神的又は身体的ストレス及び緊張の低減
機械を使用中のストレスのかかる姿勢及び動作の回避
機械を人間の身体構造を配慮し、運転し易く設計する。
可能な限り,騒音,振動及び温熱の影響(例えば,極端な温度)を
回避すること。
オペレータの作業リズムを自動連続運転のサイクルに無理に合わせ
ないこと。
機械、又はそのガードによって明るさが不十分の場合,作業に応じ
機械に照明を備えること。
手動制御器は、視認可能、識別可能、適切な表示があり、安全に操
作ができ、位置、動きが、正しいこと。
指示器,ダイヤル及び視覚表示ユニットは、わかり易く、理解し易
く、操作位置表示が認知できること。
(8) 電気的危険源の防止
機械の電気設備の設計について,JIS B 9960-1 にしたがう。
(9) 空圧及び液圧設備の危険源の防止
機械類の空圧及び液圧設備は, 大定格、異常状態(サージ、喪失、
低下等、漏れ、構成品の故障)で危険源を生じない。
空気レシーバ,空気貯蔵器又は同様の容器は,設計規則に適合し、
パイプ及びホースは,有害な外的影響から保護する。
貯蔵器及び同様の容器は,機械の動力供給を遮断した場合,可能な
限り自動的に減圧するか、余圧を維持しているすべての要素は,識別
できる排出装置を設け,機械作業に着手する前に減圧の必要性を促す
警告ラベルを備える。
(10) 制御システムへの本質的安全設計方策の適用
a).一般
制御システムの設計方策は,それらの安全関連性能が十分リスク低
減できるように選択されなければならない。機械制御システムの正し
い設計によって,予測できず,かつ潜在的に危険な機械の挙動を回避
することができる。危険な機械の挙動の典型的な原因は、論理の不適
切さ、不具合又は故障、動力供給の変動又は故障、制御装置の不適当
な選択,設計及び配置がある。
危険な機械の挙動の典型的な例は,意図及び予期しない機械の起動、
制御不能な速度変化、停止不能、機械からのワークピースの落下又は
放出、保護装置の不作動(無効化又は故障)によって生じる機械の挙
動である。
制御システムは,オペレータが機械と安全に,かつ容易に相互に作
用し合えるよう(起動及び停止条件明確化、 特定の運転モード(例え
ば,正常停止後の起動、サイクル中断又は非常停止後の再起動、ワー
クピースの排出,故障時の部分運転、不具合の明確な表示、予期しな
い起動の防止、再起動を防止)ができること。
内部動力源の起動又は外部動力供給の接続によって作動部分が起
動してはならない。
b).機構の起動又は停止
機構運動の起動又は加速の 初の動作は,電圧若しくは流体圧力の
加圧又は増加によって実行すべきである。停止又は減速の 初の動作
は,電圧若しくは流体圧力の除去又は低減によって実行すべきである。
この原則は使用できない場合、別の方策を適用すべきである。
c).動力中断後の再起動
動力の中断後に再励起されると機械が自動的に再起動して,それが
危険源となるおそれがある場合は,その再起動を防止しなければなら
ない。
d).動力供給の中断
機械類は,動力供給の中断又は過度な変動によって生じる危険状態
を防止するように設計しなければならない。 機械類の停止機能を維持、
安全性のために常時運転を必要とするすべての装置は,安全を維持す
るために効果的な方法で作動しなければならない(例えば,ロック装
置,クランプ装置,冷却又は加熱装置,自走式移動機械のパワーアシ
ストステアリング)。
e).自動監視の使用
自動監視は,保護方策によって実行される安全機能が,その機能を
実行する構成品若しくは要素の能力が低下し又は工程条件が危険源を
発生する側に変化した場合に,その機能を確実に果すことを意図して
いる。
安全機能が次に動作要求される前に不具合を検出するために,自動
監視は不具合を直ちに検出するか又は周期的にチェックを行う。
(11)プログラマブル電子制御システムによって実行される安全機能
a).一般
プログラマブル電子設備(例えば,プログラマブルコントローラ)
の使用において,安全機能に関係する性能要求事項を考慮する必要が
ある。
プログラマブル電子制御システムの設計は,ランダムハードウェア
故障(Random hardware failures)の確率及び安全関連制御機能の性
能に対して不利に影響し得る決定論的故障(Systematic failures)の
可能性が十分に低いものでなければならない。
b).ハードウェアの側面
ハードウェア(例えば,センサー,アクチュエータ,ロジックソル
バーを含む。)は,実行する安全機能の機能的要求事項及び性能要求事
項の両者に適合するように選択し(及び/又は設計し),取り付けなけ
ればならない。
c).ソフトウェアの側面
ソフトウェア(組込みオペレーティングソフトウェア(又はシステム
ソフトウェア)及びアプリケーションソフトウェアを含む。)は,安全
機能に対する性能特性を満たすように設計しなければならない。
d).アプリケーションソフトウェア
アプリケーションソフトウェアは,使用者が再プログラムできない
ようにすべきである。アプリケーションに対して使用者による再プロ
グラムを必要とする場合,安全機能を取り扱っているソフトウェアへ
のアクセス制限( ロック、 権限のある人へのパスワード)をすべきで
ある。
(12)手動制御器の原則
手動制御装置は、人間工学原則に従って設計し,配置しなければな
らない。
停止制御装置は各々の起動制御装置の近傍に配置しなければならな
い。
起動又は停止の機能をホールド・ツゥ・ラン制御で行う場合,ホー
ルド・ツゥ・ラン制御装置が停止指令の伝達を失敗によるリスクが生
じる場合には,別途停止制御装置を設けなければならない。
非常停止又は教示ペンダントのように必要上やむを得ず危険区域内
に配置する制御器の場合を除いて,手動制御器は危険区域から届かな
い所に配置しなければならない。
制御装置及び制御位置は,可能な場合はいつでもオペレータが作業
区域又は危険区域を視認できるように配置しなければならない。運転
者が乗る移動機械は,機械の運転に必要なすべての制御装置が運転位
置から操作できなければならない。人を持ち上げることを意図した機
械類では、上昇及び下降のため、搬送装置を移動するための制御器は
一般に搬送装置の中に配置しなければならない。もし、制御器を搬送
装置の外に配置する場合は,搬送装置内のオペレータの危険を防止す
る手段を準備しておかなければならない。
同一の危険要素を複数の制御器を用いて起動できる場合(例えば,
教示ペンダント)、使用時は唯一の制御器だけが有効に作動するように
制御回路を設計しなければならない。
制御アクチュエータは,リスクがあるところでは意図的な操作を行
わない限り操作できないように設計し,又はガードを設けなければな
らない。
オペレータに頼っている機械の安全運転機能は、オペレータが確実
に制御位置にいるような方策を採用しなければならない。
ケーブルレスでの制御に対し,通信が不通になることを含め,制御
信号が受信されないとき自動停止が作動しなければならない。
a).設定(段取り等)、ティーチング、工程替え、不具合発見,清掃又は
保全の各作業に対する制御モード
上記作業のためにガードを移動若しくは取り外さなければならない
場合、保護装置を不作動にしなければならない場合、かつこれらの作
業目的で機械類又は機械類の一部を運転する必要がある場合、次の特
定の制御モードを同時に使用し,オペレータの安全を達成しなければ
ならない。
(1) すべての他の制御モードを不作動にする。
(2) 機械の危険な要素の運転は,イネーブル装置,ホールド・ツゥ・
ラン制御装置又は両手操作制御装置の操作を続けることによって
だけ許可する。
(3) 機械の危険な要素の運転は,リスクが低減した状態下においてだ
け許可する。
この制御モードは,次の一つ又はいくつかの方策を組み合わせなけれ
ばならない。
(4) 可能な限り危険区域に接近することを制限すること
(5) 非常停止制御器をオペレータのすぐ手の届く範囲に設置すること
(6) 携行式制御ユニット(教示ペンダント)及び/又は制御される要
素を視認できる局所用制御器
b).制御モード及び運転モードの選択
種々の保護方策及び/又は作業手順(例えば,調整,設定(段取り等),
保全,点検を許可するための)を必要とするいくつかの制御モード又は
運転モードの使用を許容するように,機械を設計し製作する場合,当
該機械には各々のモード位置に固定できるようなモード切替装置を備
えなければならない。切替装置の各々の位置は明確に識別可能でなけ
ればならない。切替装置の各々の位置は,一つの制御モード又は運転
モードのいずれか一つを選択するようにしなければならない。
切替装置は,機械のある特定機能の使用について特定のカテゴリの
オペレータに限定するような他の切替手段で置き換えてもよい(例え
ば,ある種の数値制御機能に対するアクセスコード)。
(13)電磁両立性を達成するための方策の適用
不具合の発見を支援する診断システムの規定
保護方策を不作動にする必要性をなくするため,制御システムに不
具合の発見を支援する診断システムを組み込むべきである。
(14)安全機能の故障の確率の 小化
機械類の安全性は,制御システムの信頼性だけでなく,機械のすべ
ての部品の信頼性に依存している。機械を安全に使用するために,安
全機能の連続した作動が基本である。
(15)信頼性のある構成品の使用
“信頼性のある構成品”は,仕様上の運転期間又は回数の間、機械
が危険側故障を引き起こす確率が低く,機械の仕様条件下(環境条件
を含む。)で妨害及びストレスに耐えることができる構成品を意味する。
環境条件は,衝撃,振動,寒冷,暑熱,湿気,粉じん,腐食性及び
/又は磨耗性物質,静電気,磁場及び電場である。これらの条件に起
因する妨害には、例えば、絶縁不良、制御システムの構成品の機能の
一時的又は恒久的故障がある。
(16)“非対称故障モード”構成品の使用
“非対称故障モード”の構成品又はシステムとは,故障モードが事
前に分かっていて,故障時、安全側へその故障を導くように使用する
ことができるものである。故障の影響を制御するため追加的対策が必
要的な場合がある。
(17)構成品又はサブシステムの二重系(又は冗長系)
機械の安全関連部の設計において,構成品の二重系(又は冗長系)
は、安全機能を引き続き使用できることを確実にする。
適切な作動の開始を許可するため,自動監視、又は構成品の予測寿
命より短くした定期的点検によって,構成品の故障を可能な限り検出
しなければならない。
設計や技術の多様性(ダイバーシティ)は、共通原因故障又は共通
モード故障を回避するために使用することができる。
(18)設備の信頼性による危険源への暴露機会の制限
機械類の,すべての構成部品の信頼性向上は補修の発生頻度を低減
させ、危険源への暴露も低減される。故障で人が危険源に暴露される
恐れのある安全重要構成品(例えば,特定のセンサー)は、既知の信
頼性を有したものを使用しなければならないし、ガードの要素及び保
護装置の要素は,特に信頼できるものとしなければならない。信頼性
が低いと、ガードや保護装置を無効化したい気持ちを助長するからで
ある。
(19)搬入(供給)又は搬出(取出し)作業の機械化及び自動化による危
険源への暴露機会の制限
機械への搬入搬出作業及び更に一般的には、段取り作業の機械化及
び自動化は,作業位置における人の危険源への暴露機会を低減し,こ
れらの作業によって引き起こされるリスクを制限する。
自動化は、機械オペレータの事故防止に大きく貢献する一方,その
不具合の修正の際,危険を生じる場合がある。これらの装置を使用す
る場合,その危険源が生じないよう十分注意しなければならない。も
し不十分である場合は、適切な安全防護物を施さなければならない。
(20)段取り及び保全の作業位置を危険区域外とすることによる危険源へ
の暴露機会の制限
保全,給油及び設定(段取り等)の作業位置を危険区域外とするこ
とによって,危険区域に接近する必要性を 小にしなければならない。
JIS B 9700-2 で本質的安全的設計方策は、物理的に人と機械の危険
源を取り除くか、許容できるまで小さくするかであり、制御系では、
ハードウェア、ソフトウェアに対し、危険側故障にならない仕組みを
組み込むことである。
1.2.2. 機能安全
機能安全は、IEC61508 の Functional safety である。「Functional」
は、機能するという意味であり、「Functional safety」は、直訳的には、
「機能する安全、又は安全を機能させる」となる。言い換えれば、「人が
危険な状態にならない機能を、常にその機能が作動できる状態に保つこ
と」である。「機能安全」の訳語では、十分な意味を表していない。この
ことも機能安全へのアレルギーが生じる所以とも言える。
機能安全の要求は、本質安全の方策の中に含まれている。それは、前
項の「1.2.1.本質安全、(10)、(11)、(12)」に示されている電気、電子、
プログラマブル機器の実行する安全機能を危険側故障にならないような
仕組みを設計段階から組込み、維持することを求めていることである。
IEC 61508-4(2010)の 3.1.12 (1 版より簡略化された)
・Functional safety
part of the overall safety relating to the EUC and the EUC control
system that depends on the correct functioning of the E/E/PE
safety-related systems and other risk reduction measures
(1) 機能安全
電気/電子/プログラマブル電子安全関連システムと、他のリスク軽
減方策が正しく機能している EUC 及び EUC 制御システムに関わる全般的
安全の一部。
この定義を簡単に記せば、「制御装置、又は制御システムの中で安全を
制御してい
る部分のこ
と」である。
これを「図
1-6; 設計者
の観点によ
るリスク低
減プロセス
の一部」で示
せば、STEP2
で実施され
る安全防護
及び保護方
策の内、「電
気系で実施する保護方策」が IEC61508 の機能安全対象部分となる。
IEC61508 の機能安全は電気、電子による制御部分にのみ適用されること
に注意が必要である。
例えば、ロボットの搬送ラインを考えてみると、ロボットを柵で囲う
リスクアセスメント
設計者による保護方策
STEP 1:本質安全設計方策
STEP2:安全防護及び付加保護方策
STEP3 :使用上の情報
機械:警告表示、警報装置、信号
取り扱い説明書
リスク
電気系で実
施する保護
電気系以 外
で 実 施 す る
保護機能
図 1-6; 設計者の観点によるリスク低減プロセスの一部
のは STEP2 の安全防護の 1 つとなる。この安全防護を運営するにあたり、
ロボットと作業者の隔離を行う柵の扉の開閉を鍵の管理をルール化した
ロックアウトのような仕組みで柵内侵入の管理運営する場合、この方式
は、電気制御を利用しないので、IEC61508 の機能安全に該当しないが、
扉の開閉、人が柵内にいるかをセンサー等で制御しようとすると
IEC61508 で規定する機能安全に該当することになる。
(2) 安全機能
安全機能は、Safety function の訳である。これは、機能安全の対象と
なる。機能安全は、安全機能をいつでも働くことができるようにするこ
とである。
例えば、ロボットの教示作業をする時、ロボットアームの先端部の移
動速度は 250cm/秒が 高速度となっている。代表的安全機能は、ロボッ
トの 先端を 250cm/秒を超えないように制御することである。この速度
制御のためには、速度を感知するセンサーとしてのレゾルバやエンコー
ダなどのセンサー入力から速度計算する論理部、ロボットのアームを駆
動するサーボモータドライブ部などが必要となる。センサー、速度制御
の論理部、駆動部のサーボ制御やモータが、故障せず、また論理間違い
せず、正しく動作すること、もし、故障しても危険側故障にならないこ
とを確実にすることが機能安全となる。正しく動作することを確実にす
ることとしては、故障時、安全側故障にする仕組み(フェール・セーフ)、
故障率を下げるための自己診断の充実、ソフトウェアのバグを極力抑え
るソフトウェアの 2 重化などを実施することである。
1.2.3. 機能安全の必要性
安全機能を制御する制御装置、制御シ
ステムに機能安全の要求事項を取り入れ
ることで、安全性の確保ができる。 その
ことにより、安全機能の故障が起きても人
への危害を 少にできる。
いまや、事故や災害を発生させること
が企業にとって多大なる損害をもたらす
ことが多くなってきた。機能安全を取り入
れた製品、システムを開発、設計すること
により、企業を取り巻く、一般の消費者、
労働者に対して安全を提供することにな
り、企業、労働者、消費者の 3 者が同じステークホルダー(利害関係)を 共
有することになる。企業が機能安全に取り組むことは、企業の利益のみ
ではなく社会全体の利益となり、企業の社会的責任を果たす一つの方策
でもある。
図 1-7; 3 者のステークホルダー
消費
者
労働者 企業
機能
安全
1.2.4. 機能安全達成の基本
機能安全を達成する要素として、4 つある。それは、文書管理、ハード
ウェア、ソフトウェア、機能安全管理である。そのうちの文書管理は、
開発、設計業務の中で日常的に作成していくものである。これは、機能
安全を実現する、開発、設計対象が、必要な安全度を達成していること
の証明になるものである。また、安全管理を含め、開発、設計活動が、
必要な安全度を達成する工程になっているかを確認するため、安全評価
が第 3 者によって行われる。その活動の証拠としても文書内容が確認さ
れる。
(1) ハードウェア:
・制御機器のハードウェア故障時、設備機械や制御装置が安全側故障
になる仕組みが取り入れられている。
・その仕組みは、妥当性確認試験が行われ、信頼性がある。
・機能安全を達成する安全方策として、冗長化、多様化、安全度に応
じた危険側故障率の低減方策、妥当性確認試験等がある。
(2) ソフトウェア:
・バクや仕様の間違いの発生しにくい開発工程が採用されている。
・ソフトウェアは、目標となる安全度レベルにあった、冗長化、多様
化が採用されている。
・ハードウェアの診断が広範囲に行われ、ハードウェア故障検出率が
高く、故障発見時安全状態へ移行できる。
・機能安全を達成する安全方策として、V モデルまたは類似のソフトウ
ェア開発工程が採用され、検証や妥当性確認が実施され、安全度に
応じたソフトウェア技法が採用、異常発生時安全状態に移行できる。
(3) 機能安全管理:
・開発、設計、製造工程において安全管理、品質管理がおこなわれて
いる。
・各部門の担当者は適切な能力を持ち、教育でさらにスキル向上が図
られている。
・機能安全を達成する管理方策として文書管理、組織管理、安全評価(監
査)、工程管理、コミュニケーションなど が適切に行われ、製品、
設備の機能安全を実現することができる、
