SRP/CS におけるフォールト(障害)の考慮と除外
SRP/CSにおけるフォールトの考慮
安全機能を設計する際には、予見されるフォールトとその影響を考慮しなければなりません。ここでいうフォールトとは、安全機能の低下または喪失を引き起こす可能性がある異常な状態のことです。
安全機能の設計者は、ケーブルの断線やセンサの検出特性・出力特性の変化、圧力制御弁における設定値の意図的な変化によらない異常な挙動などといった、SRP/CSで発生する可能性のあるフォールトをあらかじめ検討し、リスト化する必要があります。
メーカによってあらかじめPL評価されたサブシステムを使用する場合、安全機能の設計者が考慮すべきフォールトは、インタフェース部の故障のみです。この場合は、個々のサブシステムを構成する部品の内部で生じうる故障までを考慮する必要はありません。一方で、ユーザでPL評価が必要なサブシステムを使用する場合には、安全機能の設計者が、その部品自体の故障についても考慮してリスト化しなければなりません。
リストに含むべき重要な故障・フォールトの代表例は、ISO 13849-2のAnnex A~Dで「考慮するフォールト(Fault considered)」として示されています。ここで示されていない部品に関しては、FMEAなどによって考慮すべきフォールトを特定します。
フォールトの除外の考え方
フォールトの除外とは、SRP/CSで発生しうるフォールトの中でも、特定のフォールトについては発生しないものとして扱うことができる、という考え方です。フォールトの除外は、フォールトが発生する可能性が無視できるほど低いことの正当性を、部品メーカやサブシステムの設計者が文書で証明できる場合にのみ可能です。ただし、PL eは、フォールトの除外“だけ”に依存してはならないとされています。
フォールトの除外は、その安全機能が使用されると予見されるあらゆる環境条件において適用可能であることが証明されなければなりません。除外が可能なフォールトや、除外のための条件などについては、ISO 13849-2のAnnex A~Dにおいて、考慮するフォールトのリストとともに示されています。
電気システムにおけるフォールトの除外の例
ISO 13849-2のAnnex A~Dでは、SRP/CSに用いられる機械システム、空圧システム、液圧システム、電気システムのそれぞれにおいて、考慮するフォールトとそのフォールト除外の可否、除外できる場合の留意事項が示されています。このうちAnnex Dには、電気システムに対するフォールトのリストが示されています。機器間を接続する導体・ケーブルや、入力機器として用いられるスイッチなどについても、この電気システムの一部として、考慮するフォールトと除外可否などが明記されています。
例えば、導体・ケーブルについては、IEC 60204-1に従った導体とエンクロージャの適切な保護ができていれば、2つの導体の短絡などといった短絡のフォールトの除外が可能です。
スイッチに関するフォールトの除外も明記されています。IEC 60947-5-1 Annex Kに基づく機能(直接開路動作)を備えたスイッチについては、「接点が開かない」というフォールトの除外が可能です。またスイッチ内部での端子間の短絡については、IEC 60947-5-1適合のスイッチで、導電性部品の緩みによる端子間絶縁のブリッジが起こらないよう留意されていれば、除外が可能です。またスイッチの機械的なフォールトに関しては、IEC 60947-5-5に適合した非常停止スイッチを、最大操作回数を考慮して用いている場合には、除外が認められます。
ただし、スイッチの機械的なフォールトは、ガードの開閉によりスイッチを動作させるインタロック用スイッチのように、定常的に外部からの機械的衝撃にさらされるものについては認められない場合があります。通常、機械的なフォールトに関しては、ISO 13849-2 Annex Aの機械システムに対するリストを参照して除外が可能ですが、PL eのサブシステムとして用いるスイッチの場合は、除外ができないとされています。また、ガードと共同するインタロック機器の規格であるISO 14119:2024では、機器の種類に応じたフォールト除外の考え方が示されています。
このように、1つの部品に対して考慮するフォールトは複数存在しており、それらのフォールトが除外できるか否かは、様々な条件に照らし合わせて考える必要があります。
