グループ安全規格 ISO13849-1

国際安全規格のグループ安全規格(タイプB規格)の中で最も重要な規格の1つとして、制御システムの安全関連部に関して規定したISO13849-1:2015があります。 この規格は、リスク低減方策として制御システムを使用する場合の、時間当たりの危険側故障確率(パフォーマンスレベル)について規定したもので、従来のISO13949-1:1999(EN954-1)で定めていた「カテゴリ」の考え方にかわるものです。
この規格でカバーできるシステムは、電気・電子から油・空圧に到るまで適用範囲が広いので、機械類のメーカーにとっては、特に重要な規格となっています。

1.制御システムおよび安全関連部とは

産業用機械の制御システムは、「安全関連部」と「非安全関連部」に分類できます。

●「安全関連部」とは、たとえば産業用ロボットの場合であれば、例として
 ・人が安全柵から外へ出て、柵の扉が閉まって、安全スイッチが扉をロックしている状態および
 ・非常停止スイッチが押されていない(異常が発生していない)状態
など、ロボットが起動しても問題ないこと(安全であること)が確認できている場合に限って、ロボットの起動を許可する制御システムの部分などを指します。

●一方、「非安全関連部」とは、ロボットアームの動作スピード、位置決め/繰り返し精度の高さ、などを制御する部分に相当し、安全関連部がロボットを起動しても問題ないことが確認できている場合だけそれらの動作が可能となる部分です。

規格(ISO13849-1)で規定しているのは、制御システムの「安全関連部」に関してです。

制御システムの安全関連部は、この規格ではSRP/CSとも表現されます。SRP/CSは、「safety-related part of a control system 」の略で、安全関連部全体のシステムを指す場合のみならず、入力部・ロジック部・出力部を個別に指すときにも用いられます。(図03参照)

2.ISO13849-1:2006の適用の範囲

下図は、制御システムの安全関連部に適用する複数の規格の適用範囲を示すイメージ図で、当社独自の解釈に基づいています。
図において、IEC61508やIEC62061は、電気・電子システムを扱う規格で、ISO13849に比較すると複雑な制御システムに適用できると考えられていますが、計算は複雑になる傾向があります。
一方、ISO13849-1:2015は、1999年版よりは適用範囲が広くなっており、油/空圧など機械システムから、プログラマブル電子機器やソフトウェアまでも扱うことができるので、近年使用が広まっています。
なおこれらの規格のうち、ヨーロッパの機械指令(ニューアプローチ指令の1つ)の整合規格になっているのは、ISO13849-1およびIEC62061です。

3.パフォーマンスレベル(PL)およびSILとの関係

1.パフォーマンスレベルとは
パフォーマンスレベルは、「単位時間当たりでの危険側故障の発生確率」で表され、表01のように5段階に分類されています。PL=aからeに移行するにしたがって、故障発生の確率が小さくなることが解ります。
故障が発生する確率は、たとえばPL=aであれば、その機械が1時間稼働すると10万分の1回以上1万分の1回未満の割合で危険側故障が発生する可能性があることを示しています。
言い換えると、同じ機械が1万台あるいは10万台存在すれば、1時間稼働すると、そのうちのどれか1つに危険側故障が発生する可能性があると解釈できます。
なお、1万分の1回未満の確率で危険側故障が発生する場合は、PL=aにも達せず制御システムには使用できないことになります。

2.PLとSIL
旧版のISO13849-1:1999のカテゴリと、IEC61508による安全性インテグリティレベル(SIL)とは、相互に関連付けができませんでした。しかし、ISO13849-1:2006からはカテゴリからパフォーマンスレベル(PL)となり、故障確率で表すようになってから、安全性インテグリティレベル(SIL)と関連付けができるようになりました。(表02参照)なおPL=aは、SILには適合していません。
またSILは4までありますが、SIL4は化学プラントや原子力発電・鉄道のような大きなリスクが対象となっているため、機械安全の世界では取扱いの範囲外であると解釈されています。そのため、最も厳しいPL=e に相当するのはSIL3です。SILの故障確率は、表03をご覧ください。

参考
安全インテグリティレベル(SIL)
機能安全規格(IEC61508)で、プログラマブルコントローラやソフトウェアを用いて産業用機械類だけではなく、化学プラントや鉄道システムの 安全を構築する場合の安全水準の指標です。
SIL1からSIL4まで4段階で定められ、低需要運転モードと高需要運転モード(または連続運転モード)があります。表03は高需要運転モード(連続運転モード)の場合を示し、これとPLとが関連付けて参照することができます。

4.ISO13849-1:2015におけるリスク見積りとリスク低減方策

機械を安全化するにあたっては、ISO12100に従ってリスクアセスメントの一環としてリスクの評価を行い、その後、リスクごとに3ーステップメソッドに従って「本質安全設計方策」、 「安全防護方策および付加保護方策」、「使用上の情報」の提供というリスク低減方策を実施します。その過程で、制御システムを使ってリスク低減を行う場合に、この規格が使用できます。(図05参照)
したがって、制御システム以外の例えば安全柵の強度確保などは、別途考慮する必要があり、この規格だけですべてのリスク低減ができる訳ではありません。

制御システムによってリスク低減を行う場合、パフォーマンスレベル(PL)の決定方法については以下のとおりです。
制御システムについては、図06のようにリスクグラフ法を用いて、PLr※を見積ります。
※PLr:要求されるパフォーマンスレベル(required performance level)

リスク見積りの開始点は、構築する制御システムのいずれかに危険側故障が発生した場合を想定します。たとえば、安全柵の扉を開けても内部の危険源が停止しない、などです。この場合、
・Sは、危険側故障によってオペレータなどが危害を受ける場合、「S1(軽傷)」か「S2(重傷)」の選択を行います。
・Fは、Sで危害を受ける頻度が「まれ」か「頻繁」の選択を行います。
・Pは、危険源から回避できる可能性が「ある」か「ない」かの選択を行います。
その結果、選択されたa〜eまでの1つが要求されるパフォーマンスレベル(PLr)となります。図06のようにPLr=aは、構築する制御回路が受け持つリスク低減の度合が少なくてもよいことになります。一方、PLr=eを選択すると、構築する制御回路が受け持つリスク低減の度合は大きくなります。
要求されるPLrに対して、少なくとも同等あるいはそれ以上のPLを持つ制御システムを構築することになります。
図07は、(達成されるべき)PLが、カテゴリ、DCavg、およびMTTFdと、どのように関連しているかを示しています。他に表04でも同様に、PLとカテゴリなどの関係を簡易的に示しています。

5.パフォーマンスレベルを計算する主な手順

先に述べたように、パフォーマンスレベルは、リスク見積りによるPLrが決定した後で、カテゴリ、MTTFd(平均危険側故障時間)、DC(診断範囲)、CCF(共通原因故障) などを考慮にいれて、最終的に附属書Kなどを使用して決定します。手順の概略は図09をご覧ください。

また、パフォーマンスレベルはカテゴリの考え方をベースにしていることから、図10のように表現できます。

6.カテゴリ

各カテゴリは「指定されたアーキテクチャ(designated architecture)」として、システムの構成が規定され、さらにMTTFd、DCおよび達成可能なPLなどの内容を規定しています。この規格を使ってPLの評価を行うためには、システムの構成がここで紹介する5つのカテゴリの1つに適合している必要があります。

1.カテゴリB、1
カテゴリB、1のアーキテクチャを図11に示します。
両カテゴリにおいて、アーキテクチャの図は同じです。診断機能は共になく、信号はI (入力部)からO(出力部)への一方通行です。ただし、カテゴリ1のMTTFdは、Bのそれより長いので、危険側故障の確率はより低く、したがって安全機能喪失の確率はより少なくなります。
なお、PLの計算をする上で、自己診断機能やCCFに対する考慮は必要ありません。

2.カテゴリ2
カテゴリ2のアーキテクチャを図12に示します。
このアーキテクチャでは、自己診断機能が付加されています。TEがI、L、Oの診断を行い、異常があればTEOへ出力する構成になっています。
なお、TEはLの中に含まれていることもあります。 またカテゴリ2からは、CCFに対する考慮が必要です。

3.カテゴリ3
カテゴリ3のアーキテクチャを図13に示します。
このアーキテクチャでは、信号経路は二重化され、入力信号は互いにL1、L2(ロジック部)のクロスモニタリングによって、信号の不一致(異常)がないか監視されています。
O1、O2(出力部)からもL1、L2(ロジック部)へのフィードバックが行われ、それらもロジック部でクロスモニタリングによって自己診断が行われます。

4.カテゴリ4
カテゴリ4のアーキテクチャを図14に示します。
このアーキテクチャの構成はカテゴリ3と同じですが、カテゴリ4ではC(クロスモニタリング)やm(モニタリング)を行う自己診断機能が高くなり、これを強調するため破線ではなく実線で示してあります。

7.MTTFdとは

MTTFdは、「mean time to dangerous failure 」の略で、対象となるデバイスまたは安全関連制御システムが危険側に故障するまでの平均時間(期待値)のことで、年数で表します。 システムの信頼性の観点からこのパラメータが必要とされています。
PLを決定するためにはシステム全体のMTTFdを計算しますが、まず関連する各コンポーネントのMTTFdを決定し、その後に各チャンネルのMTTFdを計算します。それを元に全体のMTTFdを計算します。(2チャンネルの場合)なお、チャンネルごとのMTTFd値は、表06のように3つに区分され、また上限・下限共に制限されています。

チャンネルのMTTFDを計算した結果、3年未満の場合は安全関連部とは見なされません。
一方、計算結果が100年を超えても100年で制限されています。これは、信頼性だけが優れていても高いパフォーマンスレベル(PL)には対応できないことを表しています。
ただし、各コンポーネントのMTTFD値は、100年を超える場合があります。
各コンポーネントのMTTFDの数値は次の優先順位で決定します。

・製造者(メーカー)からMTTFD値の提供があれば、それを優先的に使用する。
・この規格の附属書CまたはDに記載の値を使用する。
・附属書Cに値がなければ、MTTFD=10年とする。

1.パーツカウントメソッド
各デバイスのMTTFD値を決定すると、それを元に各チャンネルのMTTFDを計算することになります。(式(1)参照)



たとえば、MTTFD1=30年、MTTFD2=30年、MTTFD3=30年 とすれば、
1/MTTFD=1/30+1/30+1/30 となり、このチャンネルのMTTFdは10年となります。

2.異なるチャンネルに対するMTTFdの計算
カテゴリ3または4のような2チャンネル構造の場合に全体のMTTFdの計算は、

・最悪の場合を想定して、低い方のチャンネルのMTTFd値を全体のMTTFd値とする。
・または、式(2)を用いて、全体の計算を行います。



式(2)を使用した場合
MTTFd1=3年、 MTTFd2=100年とすれば、全体のMTTFdは66年となります。
これは、両方のチャンネルのMTTFdがそれぞれ66年のシステムと同等であると見なすことができます。

3.B10dとは

8.DC(診断範囲)およびDCavg

パフォーマンスレベルを見積るためには、システム全体のDCavg(平均診断範囲)を計算する必要があります。そのためには各コンポーネントのDC(診断範囲)を決定する必要があります。 DC(診断範囲)とは診断効果の尺度で、検出される危険側故障率(λDD)と、全危険側故障率(λtotal)の比率で表されます。(式05参照)

DC(診断範囲)は、コンポーネントやシステムの安全側故障は考慮されていません。危険側故障だけが対象となります。また、DCは4つに区分されています。(表07参照)

なお、ロジック装置(安全コントローラなど)、セーフティライトカーテンなどは、その装置の内部に自己診断機能を持っていますが、インタロックスイッチ、非常停止スイッチなど、機構コンポーネントは一般に、それ自体に診断機能はありません。しかし、ロジック部分との接続を冗長化するなどによって、冗長化信号の不一致検出などを安全コントローラ側で監視すれば、高いDCを持つことができます。

各コンポーネントのDCの選択は、参考資料02(ISO13849-1:2006 Annex E より)から、入力装置、論理装置、出力装置に関して、それぞれ記述された診断技術に適合したものを選択することになります。
また、コンポーネントのDCが決まった後は、その値を利用して、システム全体のDCavgを計算することになります。(式(6)参照)



なお、故障検出のないコンポーネント(診断されない部分)は、DC=0 であり、式07のような表現になります。

9.CCF(共通原因故障)とは

CCF(common cause failure)とは、単一の要因によって、複数の機器などが同時に故障することで、発生した故障の原因がお互いの結果ではないものを指します。(これは、共通モード 故障とは異なります)
たとえば、過電圧/異常周囲温度などが原因で、互いに関係のない回路の部品(複数)が故障することを指します。 このような可能性のある事象に対して、システムがどのように保護される対策を行っているかが問われています。(図15参照)

10.各々にPLを持ったSRP/CSによる全体のPLの決定

各々が固有のPLを持った複数の安全関連部(SRP/CS)が存在する図16の場合、全体のPLの決定方法として以下のような簡易的な手法があります。

次の順序で実施します。
(1)全システムの中で、最も低いレベルのPLを持ったSRP/CSを特定し、これをPLlowとします。
(2)PLlowの数(N)を特定し、その数を「Nlow」とします。
(3)表09に従って全体のPLを決定します。

11. 障害および障害の除外

1.障害と故障
この規格では、障害(fault)と故障(failure)について、以下のように定義しています。

●障害(fault)
 要求される場合に、その機能を実行できない装置やシステムの「状態」を指しています。
 この規格では主にランダムハードウエア障害を指しています。
●故障(failure)
 要求される機能を実行する能力が、装置やシステムになくなることを指します。故障した後に障害の状態となります。
 また、一定のPLの要求を満たすSRP/CSは、故障に対する抵抗性を検証しておく必要がありますが、その場合、以下の考慮が必要です。
●単一障害
 あるコンポーネント(部品)の障害の結果、その影響を受けてさらに次のコンポーネントが故障する場合、最初の障害および次に続くすべての障害は、単一障害と見なされます。
●共通原因故障
 共通の原因を持つ2つ以上の個別の障害は、単一故障と見なす必要があります。
 なお、別々の原因から生じる2つ以上の障害の同時発生は、ほとんどあり得ないと考えて考慮する必要はありません。

2.障害の除外
障害を除外できる情報に関しては、ISO13849-2:2012をご覧ください。
たとえば、I S O 1 3 8 4 9 - 2 : 2 0 1 2 の表D . 8によれば、ポジションスイッチ、非常停止スイッチなどで、IEC60947-5-1の附属書Kに従って、コンタクトが直接開路動作形(NC接点)であれば、溶着による接点が開かないという故障の可能性は除外できると考えられています。

12.カテゴリからパフォーマンスレベルへ (新版と旧版の主な比較)

1.旧版ISO13849-1:1999 (EN954-1)による、リスク見積りとカテゴリ
旧版による、安全関連部のリスク見積りおよびカテゴリ決定のプロセスは、図18をご覧ください。
リスク見積りにおいては、リスクグラフ法を用いて、「危害のひどさ(S)」、「暴露頻度(F)」、「危害回避の可能性(P)」を二択で選択し、5段階での判定となります。
ただし、S1(軽傷)の場合は、暴露頻度・回避の可能性に関わらずカテゴリ1となっています。また、S2(重傷)・F2(頻繁)・P2(小)の場合はカテゴリ4を選択します。なお、それ以外は多くの場合2つのカテゴリのうち、いずれかを選択することになります。

また、旧版では各カテゴリに対する性能要求(故障に対する安全機能の耐性)は、表10に示すように文章表現に拠っており、B〜4までのカテゴリ自体が、安全水準となっています。
リスクの大きさは、B<1<2<3 となり4が最も大きくなります。 また、B、1には自己診断機能はありません。3、4には単一障害では安全機能は喪失しないことが要求されます。

2.新版ISO13849-1:2006 (EN ISO12849-1:2008)による、リスク見積り
新版による、安全関連部のリスク見積りの手順は、既に述べた図19によります。
この図では、軽傷(S1)でも、F2(高頻度)およびP2(回避不可能)であれば、PLr=cとなり、軽傷といえど頻繁に発生する場合は、それなりの安全関連部が必要とされていることが解ります。
また、PLrに応じたPLの制御システムを構築するには、別項でも説明のとおり、システムのカテゴリ、MTTFd、DCavg、さらにCCFなどの要素も考慮に入れて、それらの値を元に附属書Kなどを用いて、総合的に決定されることになります。

※詳しくはPDFファイルをご参照ください

pagetop