Your browser does not support JavaScript!
Skip to content Skip to navigation menu

当社のウェブサイトには、当社およびサードパーティー製のクッキーが使用されます。これらのクッキーにより、ウェブサイトのパフォーマンスを把握し関連するコンテンツやマーケティング情報の優れたエクスペリエンスを実現します。クッキー通知に記載されているクッキーの使用に同意するためにプライバシーポリシーをご覧いただき「続行」をクリックしてください。

詳細
  1. ホーム
  2. グループ安全規格 ISO13849-1

グループ安全規格 ISO13849-1


安全に関する国際規格のグループ安全規格(タイプB規格)の中で最も重要な規格の1つとして、制御システムの安全関連部に関して規定したのがISO13849-1です。この規格は、リスク低減方策として制御システムを使用する場合に必要となる、システムの時間当たりの危険側故障確率(パフォーマンスレベル)について規定しています。

この規格は、電気・電子システムだけでなく油・空圧システムにも適用されます。そのため、機械製造業者、機械使用者やサービス提供業者、また、健康及び安全に関わる機関などで広く活用され、制御システムの安全関連部の設計・評価に関する重要な規格と位置づけられています。
 

1.リスクアセスメントプロセスにおけるISO13849-1の位置づけ




機械を安全化する手順は、まず、ISO12100に基づいたリスクアセスメントを実施し、そして、そのリスクアセスメント結果に基づいて、3ステップメソッドと呼ばれる「本質的安全設計方策」、「安全防護および付加保護方策」、「使用上の情報」の提供というリスク低減を実施します。その過程で、制御システムを使ってリスク低減を行う場合に、その制御システムの安全関連部の設計とその妥当性評価にこの規格を適用します。(図1参照)
この規格ISO13849-1は、制御システムの安全関連部だけを扱うため、それ以外の保護方策、例えば安全柵の設計および設置などは別の規格に基づいて設計しなければなりません。この規格だけですべてのリスク低減に対応できる訳ではありませんので注意が必要です。

解説動画vol.1:ISO13849-1とは? 



2. 制御システムの安全関連部とは

機械設備の制御システムは、「安全関連部」と「非安全関連部」に分類できます。
 
●「制御システムの安全関連部」とは、「安全関連入力信号に応答し,安全関連出力信号を生成する制御システムの部分」と定義されます。例えば図2、図3に示す産業用ロボットシステムの場合、制御システムの安全関連部は以下のようになります。
・人が安全柵内から外へ出ており、扉が閉まっていて、安全スイッチで扉がロックされていることを伝える安全関連入力信号部
・非常停止用押ボタンスイッチが押されていない(異常が発生していない)ことを伝える安全関連入力信号部
・安全リレーモジュール(安全コントローラ)で、上記入力信号と安全状態を確認してロボットの起動を許可してよいと判断する安全関連論理部
・安全関連論理部の判断を受けて、安全コンタクタのオン/オフにより、実際にロボットを起動/停止させる安全関連出力信号部
 
●「非安全関連部」とは、ロボットアームの動作スピード、位置決め、などを制御する部分に相当し、安全関連部がロボットを起動しても問題ないことが確認できている場合だけそれらの動作が可能となる部分です。
規格(ISO13849-1)で規定しているのは、制御システムの「安全関連部」に関する部分です。(図3参照)

制御システムの安全関連部は、SRP/CSとも表現されます。SRP/CSは、「safety-related part of a control system」の略で、制御システムの安全関連部全体を指す場合のみならず、入力部・論理部・出力部を個別に指すときにも用いられます。(図4参照)

解説動画vol.2:制御システムの安全関連部とは



3. パフォーマンスレベル(PL)とは

パフォーマンスレベルは、「予見可能な条件下で、安全機能(※)を実行するための制御システムの安全関連部(SRP/CS)の能力を規定するために用いられる区分レベル」と定義され、PFHDで定義される「単位時間当たりでの危険側故障発生の発生平均確率」で区分されます。

表1のようにPL=aからPL=eの5段階に分類されており、PL=eが故障発生の確率が最も小さいレベルです。たとえばPL=aであれば、その機械が1時間稼働すると10万分の1回以上1万分の1回未満の割合で危険側故障が発生する可能性があることを示しています。 PLは、制御システムによる機械のリスク低減を達成する安全機能の指標です。

※安全機能:故障がリスクの増加に直ちにつながるような機械の機能(ISO13849-1)

表1 パフォーマンスレベルとその区分
パフォーマンスレベル(PL) 単位時間当たりの、危険側故障発生の平均確率 PFHD(1/h)
a 10-5 以上  10-4 未満
b 3×10-6 以上 10-5 未満
c 10-6 以上 3×10-6 未満
d 10-7 以上  10-6 未満
e 10-8 以上  10-7 未満

パフォーマンスレベル(PL)は、カテゴリ(Cat)に基づくSRP/CSの回路構成が基本となりますが、それだけでなくそこに使用されるデバイスの信頼性を示す、危険側故障を発生するまでの時間であるMTTFD(平均危険側故障時間)、とSRP/CSによるシステム内の危険側故障の検出率であるDC(診断範囲)、一つの故障原因から独立した複数の故障が引き起こされる共通原因故障(CCF)を考慮した設計をしているという4つの要素で決定されます。このことからPLは、図5のように表現できます。

解説動画vol.3:パフォーマンスレベル(PL)とは

4. ISO13849-1における制御システムの安全関連部(SRP/CS)の設計プロセス

機械を安全化する際には、ISO12100に従って、リスクアセスメントとリスク低減を実施します。
リスク低減を行う過程で制御システムを使用する場合、ISO13849-1を適用し図6の手順で、パフォーマンスレベルを使い妥当性を評価します。
その手順の詳細を次章で紹介します。
 

解説動画vol.4:ISO13849-1における制御システムの安全関連部(SRP/CS)の設計プロセス

5. パフォーマンスレベルの評価手順

制御システムによってリスク低減を行う場合、パフォーマンスレベル(PL)の決定方法については、図7のとおりです。
 

5.1. 要求パフォーマンスレベル(PLr)の決定

 図8のようにリスクグラフ法を用いて、PLr※を見積ります。

※PLr:要求パフォーマンスレベル(required performance level)
 「安全機能の各々に対し、要求されるリスク低減を達成するために適用されるパフォーマンスレベル」


ISO13849-1は、SRP/CSの設計のための一般原則だけを取り扱うので、ISO12100に基づいて、安全柵など制御システム以外の保護方策は適切に実施されている前提です。その上で、リスク見積りの開始点は、構築する制御システムのいずれかに危険側故障が発生した場合を想定します。たとえば、安全柵の扉を開けても内部の危険源が停止しない、などです。この場合、
 
・Sは、危険側故障によってオペレータなどが危害を受ける場合、「S1(軽傷)」か「S2(重傷)」の選択を行います。
・Fは、Sで危害を受ける頻度が「まれ」か「頻繁」の選択を行います。
・Pは、危険源から回避できる可能性が「ある」か「ない」かの選択を行います。

その結果、選択されたa~eまでの1つが要求パフォーマンスレベル(PLr)となります。 図6のようにPLr = aは、構築する制御回路が受け持つリスク低減の度合が少なくてもよいことになります。一方、PLr = eが選択されると、構築する制御回路が受け持つリスク低減の度合は大きくなります。 なお、ここで決定したPLrに対して、実際に計算したPLの結果を比較して、SRP/CSが対象とする危険源のリスクに対し適切である可動かを判断します。
 

5.2. カテゴリの決定

カテゴリとは「障害に対する抵抗性(フォールト・レジスタンス),及び障害条件下におけるその後の挙動に対する制御システムの安全関連部の特性に関する分類であって,当該部の構造的配置,障害検出及び/又はこれらの信頼性によって達成される。」と定義されています。つまり、制御システムの安全関連部の回路構成を決定するに当たっての安全機能要求がカテゴリです。
カテゴリは「指定アーキテクチャ(designated architecture)」として規定され、後述のようにカテゴリB, 1, 2, 3, 4の5つに分類されます。
 

図9には、達成されるPLと、カテゴリ、DCavg、およびMTTFDとの関係性が示されます。
  この図9を用いて、要求されるPLrに対して、少なくとも同等あるいはそれ以上のPLを持つ制御システムを構築するためのカテゴリを決定します。

たとえば、図10に示すようにPL=cのシステムを設計する場合、構造(アーキテクチャ)はカテゴリ1~3のいずれかを選択できます。

5.2.1. 各カテゴリの要求事項

①カテゴリB、1
カテゴリB、1のアーキテクチャを図11に示します。 両カテゴリにおいて、アーキテクチャの図は同じです。故障診断機能は共になく、信号はI (入力部)からO(出力部)への一方通行です。なお、カテゴリ1のMTTFDは、カテゴリBのそれより長い必要があります。つまり、カテゴリ1の方が危険側故障の確率はより低く、安全機能喪失の確率はより小さくなります。 なお、カテゴリB, 1には故障診断機能が無いため、PLの計算をする上で、DCavg(診断範囲)やCCF(共通原因故障)の考慮は必要ありません。

②カテゴリ2
カテゴリ2のアーキテクチャを図12に示します。
このアーキテクチャでは、故障診断機能が付加されています。これは試験装置と表現されTE(Test Equipmentの略)と表記されます。またこの試験装置の出力はOTE(Output of TEの略)と表記されます。TEがI、L、Oの診断を行い、異常があればOTEへ出力する構成になっています。なお、TEはLの中に含まれていることもあります。
またカテゴリ2は故障診断機能を有するため、DCavg(診断範囲)やCCF(共通原因故障)に対する考慮が必要です。

③カテゴリ3
カテゴリ3のアーキテクチャを図13に示します。
このアーキテクチャでは、信号経路は二重化され、入力信号は互いにL1、L2(論理部)のクロスモニタリングによって、信号の不一致(異常)がないかを相互監視しています。O1、O2(出力部)はL1、L2(論理部)でモニタリングされ、論理部で出力信号と出力部の状態を比較することで、バックチェックを行い、自己診断されます。

④カテゴリ4
カテゴリ4のアーキテクチャを図14に示します。
このアーキテクチャの構成はカテゴリ3と同じですが、カテゴリ4ではC(クロスモニタリング)やm(モニタリング)を行う自己診断機能の性能が高くなっています。これを強調するため破線ではなく実線で示してあります。

5.3. MTTFDの算出

MTTFDは、「mean time to dangerous failure」の略で、対象となるデバイスまたは制御システムの安全関連部が危険側に故障するまでの平均時間の期待値のことで、年数で表します。システムの信頼性の観点からこのパラメータが必要とされています。

PLを決定するためにはシステム全体のMTTFDを計算しますが、まず関連する各コンポーネントのMTTFDを決定し、その後に各チャネルのMTTFDを計算します。それを元に全体のMTTFDを計算します(複数チャネルの場合)。なお、チャネルごとのMTTFD値は、表3のように3つに区分され、また上限・下限共に制限されています。

チャネルのMTTFDを計算した結果、3年未満の場合はMTTFDの範囲を満たしません。 各コンポーネントのMTTFD値は、100年を超えることは許容されています。一方、各チャネルのMTTFD値は、計算の結果100年を超えたとしても100年に制限されます。ただし、カテゴリ4の構成であれば、回路構成(冗長化)とDCの値が非常に高いことから、各チャネルの最大MTTFDは2500年まで許容されます。
 

5.3.1. 各デバイスのMTTFD

各コンポーネントのMTTFDの数値は次の優先順位で決定します。 第一優先 製造者(メーカー)から提供されるMTTFD値 第二優先 この規格の附属書CまたはDに記載の値 第三優先 附属書Cに値がなければ、MTTFD=10年とする。

 

5.3.1.1. コンポーネントのB10DからMTTFDを計算する

安全関連部のすべてのコンポーネントにMTTFDの値が存在するとは限りません。メカニカル接点を持ったコンポーネント(コンタクタ、インタロックスイッチ)など、操作頻度(回数)が寿命に影響するものはMTTFDではなくB10D(注1)の値が提供されます。このB10Dを元にnop(注2)というパラメータを考慮して、コンポーネントのMTTFD値を計算します。式(1)および式(2)参照)


 
注1 B10D:危険側に故障するコンポーネントの数が全体の10%に達するまでの平均サイクル数(操作回数)
注2 nop:年間の平均操作サイクル数(操作回数)で、これを計算するためには以下の情報が必要)
hop: コンポーネントの1日当たりの平均運転時間)
dop: コンポーネントの年間の平均運転日数)
t cycle: コンポーネントの連続した2サイクルの開始と開始の間の平均時間

制御システムの安全関連部の設計者は、システムおよびそのコンポーネントがどの程度の頻度/回数で運転されるかを想定に基づきnopを計算し、B10Dを加味してMTTFDを計算します。なお、B10Dの値もMTTFDと同様に、メーカーからの提示があれば優先して使用します。
 

5.3.2. チャネル全体のMTTFD計算方法 パーツカウントメソッド

各デバイスのMTTFD値を決定すると、それを元に各チャネルのMTTFDを次に計算します。(式(3)参照)

たとえば、MTTFD1=30年、MTTFD2=30年、MTTFD3=30年 とすれば、1/ MTTFD=1/30+1/30+1/30 となり、このチャネルのMTTFDは10年となります。
 

5.3.3. 異なるMTTFDを持つチャネルの場合のMTTFDの決定方法

カテゴリ3または4のような2チャネル構造の場合に全体のMTTFDは、以下のどちらかの手法で計算します。
●最悪の場合を想定して、低い方のチャネルのMTTFD値を全体のMTTFD値とする。
●式(4)を用いて、全体の計算を行う。

式(4)を使用した場合MTTFD1=3年、 MTTFD2=100年とすれば、全体のMTTFDは66年となります。
これは、両方のチャネルそれぞれをMTTFD=66年のチャネルと見なすことと同等の意味を持ちます。

5.4. DC(診断範囲)およびDCavgの算出

パフォーマンスレベルを見積るためには、システム全体のDCavg(平均診断範囲)を計算する必要があります。そのためには各コンポーネントのDC(診断範囲)を決定する必要があります。 DC(診断範囲)とは危険側故障をどの程度検出できるのかを%で示します。具体的には検出される危険側故障率(λDD)と、全危険側故障率(λtotal)の比率で表されます。(式(5) 参照)

DC(診断範囲)は、コンポーネントやシステムの安全側故障は考慮されていません。危険側故障だけを対象としています。また、DCは4つに区分されています。(表4参照)

なお、論理装置(安全コントローラなど)、セーフティライトカーテンなどの電気・電子デバイスはその装置の内部に自己診断機能を持っていますが、インタロックスイッチ、非常停止スイッチなど、機構コンポーネントは一般的に自己診断機能を持っていません。しかし、論理部との接続を冗長化し、信号の不一致などを論理部(安全コントローラなど)で監視することで、制御システムの安全関連部全体として高いDCを持つことができます。
各コンポーネントのDCの選択は、ISO13849-1 Annex Eから、入力装置、論理装置、出力装置に関して、それぞれ記述された診断技術に適合したものを選択することになります。
また、コンポーネントのDCが決まった後は、その値を利用して、システム全体のDCavgを計算することになります。(式(6)参照)

なお、故障検出のないコンポーネント(診断されない部分)は、DC=0 です。

5.5. CCF(共通原因故障)の評価

CCF(common cause failure)とは、「単一の事象から生じる異なったアイテムの故障であって、これらの故障が互いの結果ではないもの」と定義されています。これは、単一の原因による故障の結果が、次の故障を誘発して複数の故障が発生することはなく、あくまで単一の原因によって複数の独立した故障が発生するという意味です。
たとえば、過電圧/異常周囲温度などが原因で、互いに関係のない回路の部品(複数)が故障することを指します。このような可能性のある事象に対して、システムがどのように対策を行っているのかを示す指標がCCFです。


CCFは、ISO13849-1 Annex F 表F.1の複数の設問に対して、Yes またはNoで回答し、100ポイント中、少なくとも65ポイントを獲得できる方策が実施されていれば、CCFの要求事項に適合していると見なします。(表5参照)
なお、表5に示されるCCCに対する方策の各項目について、部分的な対応では部分点は付与されず、該当する項目に対する点数は0(ゼロ)となります。
またこの設問に対する記入は、一般的に制御システムの安全関連部の設計者が記入します。

5.6. パフォーマンスレベル(PL)の評価

制御システムの安全関連部として要求されるPLrに対して、実際に設計された回路のカテゴリ、MTTFDとDCavg、CCF評価結果からISO13849-1 付属書K 表K.1からシステムのPLを算出し、そのPLがPLrと同じか、それ以上のレベルであることを確認します。PLr≦PLが確認されれば(危険側故障の平均発生確率が同等か小さければ)、リスク低減目標が達成されたことになります。

6. ISO13849-1:2015によるパフォーマンスレベルの計算例

非常停止用押ボタンスイッチ+安全リレーモジュール+安全コンタクタの場合

制御システムの安全関連部の製品例を図15に、回路図を図16に示します。

1. 動作および安全原則

(1)動作の順序
①非常停止用押ボタンスイッチを押す。

安全リレーモジュールの出力がOFFになり、コンタクタ(K3、K4)の励磁が解けて、コンタクタの主接点(NO接点)がOFFとなり、モータ(危険源)を停止します。

②非常停止用押ボタンスイッチが押された状態で保持される(ラッチ機能)

コンタクタの主接点はOFFを維持しモータの予期しない起動を防止します。

③非常停止用押ボタンスイッチをリセットする。

リセット動作自体ではモータは起動しません。

④スタートスイッチを押す。

モータが起動します。

 

2. 安全原則および条件

(1)非常停止用押ボタンスイッチは、IEC60947-5-5、IEC60947-5-1(附属書K)の適合品を使用します。
(2)安全リレーモジュールは、ISO13849-1のPL=eおよびカテゴリ4の適合品を使用します。
(3)コンタクタは、IEC60947-1(ミラーコンタクト付)の適合品を使用し、個別に2個配置します。
(4)コンタクタのミラーコンタクト(NC接点)は、安全リレーモジュールのバックチェック用回路に接続します

 

3. システムの稼働条件

(1)稼働時間・日数および頻度

・年間の平均稼働日数:365日とする。
・1日の平均稼働時間:24時間とする。
・非常停止の平均操作頻度:1回/1日(t=86,400s/cycle)とする。


(2)コンポーネントのB10D、DC など
・非常停止用押ボタンスイッチ

B10D(各々のNC接点):100,000回(附属書C 表C.1による)
DC:99%(附属書E 表E.1による)

・コンタクタ

B10D:2,000,000回(附属書C 表C.1による)
DC:99%(附属書E 表E.1による)

・安全リレーモジュール

MTTFD:243年(メーカーから提供された数値)
DC:99%(メーカーから提供された数値)
 

 4. ブロックダイアグラム

SRP/CS各部の論理的な繋がりなどを表現するために、ブロックダイアグラムが使われます。(これは、信頼性ブロックダイアグラムの考え方をベースにしています。)ブロックダイアグラムは図17のように表せます。
またこのダイアグラムは、カテゴリ4のアーキテクチャ(図18)に等しいことが解ります。
なお、この回路では非常停止スイッチの最大動作回数を制限し、ISO13849-2:2012の表D.8による機械的側面の障害の除外を適用しています。

 

5. 計算の結果、およびPLと単位時間当たりの危険側故障率

非常停止用押ボタンスイッチ、安全リレーモジュール、安全コンタクタの各MTTFDやDCなどは表6の左側に示し、システムのMTTFDやカテゴリ、およびDCavgなどは右側に示します。

 
 

7. ISO/TR23849によるパフォーマンスレベルの計算例

ISO13849-1では、システムの各チャネルについてMTTFDを計算し、その後DCavgなどの計算を行いました。一方ISO/TR23849では、システム全体をサブシステムに分割し、サブシステムごとにPL(およびPFHD)を計算、 その後それぞれの値を合計して全体のPLとPFHDを算出する方法を採用しています。以下に、ISO/TR23849をもとにした、計算例を示します。
 
 

リミットスイッチ×2個(NC接点+NO接点)+安全リレーモジュール+安全コンタクタ(2個)の場合

回路図は、図19をご覧ください。


 

1. 動作および安全原則

(1)動作の順序
①ガードを開ける。
安全リレーモジュールの出力がOFFになり、コンタクタ(K3、K4)の励磁が解けて、 コンタクタの主接点(NO接点)がOFFになり、モータ(危険源)を停止します。
②ガードを開いた状態で維持する。
コンタクタの主接点はOFFを維持しモータの予期しない起動を防止します。
③ガードを閉じる。
ガードを閉じただけではモータは起動しません。
④スタートスイッチを押す。
モータが起動します。
 

2. 安全原則および条件

(1)ポジションスイッチS1は、直接開路動作型NC接点を持つリミットスイッチで、IEC60947-5-1 Annex Kの要求を満たしています。
(2)ポジションスイッチS2は、NO接点を持つリミットスイッチを使用します。
(3)安全リレーモジュールは、ISO13849-1のPL=eおよびカテゴリ4の適合品を使用します。
(4)K3およびK4は共にIEC60947-4-1(ミラーコンタクト付)の適合品を使用し、個別に2個配置します。
(5)コンタクタのミラーコンタクト(NC接点)は、安全リレーモジュールのバックチェック用回路に接続します。
 

3. システムの稼働条件

(1)稼働時間・日数および頻度
・年間の平均稼働日数:365日とする。
・1日の平均稼働時間:24時間とする。
・ガードの開閉回数:15分に1回(t=900s/cycle)
 
(2)コンポーネントのB10D、DC など
・S1のリミットスイッチ B10D:1,000,000回(メーカーからの数値) DC:99%(附属書E 表E.1)
・S2のリミットスイッチ B10D:500,000回(メーカーからの数値) DC:99%(附属書E 表E.1)
・K3のコンタクタ B10D:2,000,000回(メーカーからの数値) DC:99%(附属書E 表E.1)
・K4のコンタクタ B10D:2,000,000回(メーカーからの数値) DC:99%(附属書E 表E.1)
 

4. ブロックダイアグラム

ブロックダイアグラムは、図20のように入力・論理・出力部をサブシステムとして区切って表現されます。
ISO/TR23849では構成が同じサブシステム同士はまとめることが認められているので、図21のようにサブシステムは2つにまとめられます。サブシステム1はチャネル1と2に分けてMTTFD、DCavgなどを計算し、附属書KからPL(PFHD)を求めて、最終的にK1のPL(PFHD)と合計します。

 

5. 計算の結果、およびPLと単位時間当たりの危険側故障率

リミットスイッチ、安全リレーモジュール、コンタクタの各MTTFDやDCなどは表7の左側に示し、附属書Kを参照しながら、サブシステムごとのPFHDおよび全体のPFHDとPLは右側に示します。

(参考)

1. 総合的なPLを達成するためのSRP/CSを組合せ場合のPL評価方法

図22のように、各々が固有のPLを持った複数の安全関連部(SRP / CS)が直列に接続されている場合、全体のPLの決定方法として以下の手法があります。

手法①
図23のように、個々のSRP/CSnが直列に接続されているシステム全体のPFHDは、各PFHDnの加算で求められます。

手法②
SRP/CSnのPFHDnが不明である場合、表9に従って決定する簡易的な方法もあります。
次の順序で実施します。
① 全システムの中で、最も低いレベルのPLを持ったSRP/CSを特定し、これをPLlowとします。
② PLlowの数(N)を特定し、その数を「Nlow」とします。
③表8に従って全体のPLを決定します。
たとえば、図24に示すシステムのPLを求めます。

この場合、PLlowはPL=cのSRP/CS部分です。これが2個(Nlow=2)あります。
表8より、全体のPLは、PL=cとなります。
また、このシステムはカテゴリ1や2の部分があるので、単一故障の発生時には安全機能を失う可能性があります。


 

2. 障害および障害の除外

1. 障害と故障

この規格では、障害(fault)と故障(failure)について、以下のように定義しています。
●障害(fault)

要求される場合に、その機能を実行できない装置やシステムの「状態」を指しています。
この規格では主にランダムハードウエア障害を指しています。

●故障(failure)

要求される機能を実行する能力が、装置やシステムになくなることを指します。故障した後に障害の状態となります。
また、一定のPLの要求を満たすSRP/CSは、故障に対する抵抗性を検証しておく必要があります。その場合、以下の考慮が必要です。

●単一障害

あるコンポーネント(部品)の障害の結果、その影響を受けてさらに次のコンポーネントが故障する場合、最初の障害および次に続くすべての障害は、単一障害と見なされます。

●共通原因故障

共通の原因を持つ2つ以上の個別の障害は、単一故障と見なす必要があります。
なお、別々の原因から生じる2つ以上の障害の同時発生は、ほとんどあり得ないと考えて考慮する必要はありません。

 

2. 障害の除外

障害を除外できる情報に関しては、ISO13849-2をご覧ください。
たとえば、ISO13849-2の表D . 8によれば、ポジションスイッチ、非常停止スイッチなどで、IEC60947-5-1の附属書Kに従って、コンタクトが直接開路動作形(NC接点)であれば、溶着による接点が開かないという故障の可能性は除外できるとされています。
 

3. C規格で個別に要求されるパフォーマンスレベル(PL)について

対象機械にC規格が存在する場合、最優先で適用するのはC規格となります。この規格に安全関連システムのPLやカテゴリに関するに関する要求があれば、そのPLやカテゴリを優先して適用します。
また、C規格によっては、リスクアセスメントの結果に従ってPLrを決定しても良い場合もありますので、対象規格をご確認ください。
 

4. PLとSILの関係

1999年度版ISO13849-1のカテゴリと、IEC61508による安全性インテグリティレベル(SIL)※とは、相互に関連付けができませんでした。しかし、現行のISO13849-1ではパフォーマンスレベル(PL)を用いて危険側故障の平均確率で安全機能を評価するようになってから、安全性インテグリティレベル(SIL)との関連付けができるようになりました。(表2参照)
なおPL=aの区分レベルは、SILには存在しません。またSILは1から4までありますが、SIL4は化学プラントや原子力発電・鉄道のような大きなリスクが対象となっているため、機械安全の世界では取扱いの範囲外であると解釈されています。そのため、最も危険側故障の発生確率が低いPL=eに相当するのはSIL3です。SILの故障確率は、表9をご覧ください。
表9 パフォーマンスレベルとSILの比較
パフォーマンスレベル(PL) 安全インテグリティレベル(SIL)
高頻度作動要求又は連続モード
a
b 1
c 1
d 2
e 3
※安全インテグリティレベル(SIL) SILは、産業用機械類だけではなく、化学プラントや鉄道システムの安全をプログラマブルコントローラやソフトウェアを用いて構築する場合に使われる、機能安全規格(IEC61508)で規定されている安全水準の指標です。 SIL1からSIL4まで4段階で定められ、低需要運転モードと高需要運転モード(または連続運転モード)があります。表10は高需要運転モード(連続運転モード)の場合を示し、これとPLを関連付けて参照することができます。
表10 SILの区分
安全インテグリティレベル
(SIL)		 高頻度作動要求又は連続モード
(1時間あたりの危険側故障発生の平均確率,PFHD
1 10-6 以上 10-5 未満
2 10-7 以上 10-6 未満
3 10-8 以上 10-7 未満
4 10-9 以上 10-8 未満


5. カテゴリからパフォーマンスレベルへ (新版(2006年版以降)と旧版の主な比較)

1)旧版ISO13849-1:1999 (EN954-1)による、リスク見積りとカテゴリ
旧版による、安全関連部のリスク見積りおよびカテゴリ決定のプロセスを、図25に示します。
リスク見積りにおいては、リスクグラフ法を用いて、「危害のひどさ(S)」、「暴露頻度(F)」、「危害回避の可能
性(P)」を二択で選択し、5段階での判定となります。
ただし、S1(軽傷)の場合は、暴露頻度・回避の可能性に関わらずカテゴリ1となっています。
また、S2(重傷)・
F2(頻繁)・P2(小)の場合はカテゴリ4を選択します。なお、それ以外は多くの場合2つのカテゴリのうち、いずれかを選択することになります。
 
また、旧版では各カテゴリに対する性能要求(故障に対する安全機能の耐性)は、表11に示すように文章表現に拠っており、B~4までのカテゴリ自体が、安全水準となっています。リスクの大きさは、B<1<2<3 となり4が最も大きくなります。
また、B、1には自己診断機能はありません。3、4には単一障害では安全機能は喪失しないことが要求されます。