制御システムの安全関連部(SRP/CS)と
パフォーマンスレベル(PL)
機械のリスク低減は、本質的安全設計方策、安全防護・付加保護方策、使用上の情報という3つのステップで行います。このうち2ステップ目にあたる安全防護・付加保護方策では、セーフティスイッチやセーフティライトカーテンといったインターロック装置や、非常停止装置などの制御機器が多く用いられています。
このような、制御に基づくリスク低減方策を実施する場合には、制御システムの安全関連部(SRP/CS:Safety-Related Part of a Control System)と呼ばれる安全制御システムを構築する必要があります。
SRP/CSの設計原則は、国際規格のISO 13849-1で規定されています。この規格は世界各国で整合化されており、機械の安全制御システムを評価する標準的な手法として認知されています。日本においても、ISO 13849-1の対応規格としてJIS B 9705-1が発行されています。
SRP/CSとは
SRP/CSとは、機械の制御システムにおいて、安全機能を実行する部分です。
SRP/CSは、入力機器(インターロック装置など)、論理演算機器(セーフティコントローラなど)、出力機器(コンタクタなど)の組み合わせで構成されます。
安全設計プロセスにおける SRP/CSの位置づけ
機械の安全設計における基本原則を定めるISO 12100では、リスクアセスメントとリスク低減のプロセスが、説明図として示されています。この説明図にSRP/CSの設計プロセスを組み合わせると、下図のようになります。
SRP/CSの設計プロセス
SRP/CSの設計プロセスは、ISO 13849-1:2023において、下図のように示されています。
SRP/CSを設計する際には、まず安全機能の仕様について決定する必要があります。安全機能とは、安全状態の達成・維持のためにSRP/CSによって実行される機能であり、故障した場合にリスクの増大につながる機械の機能のことを指します。
この安全機能の仕様を具体的に示すものを、安全要求仕様(SRS:Safety Requirement Specification)と呼びます。SRSは、SRP/CSの設計における基本文書として、実行する安全機能の詳細な情報を含む必要があります。これには、安全機能の名称やその説明、安全機能に要求される安全性能のレベル(要求パフォーマンスレベル:PLr)はもちろん、その安全機能を使用する運転モードや、安全機能が作動した後の再起動条件などといった情報も含まれます。またSRSを作成するためには、リスクアセスメントの結果や、機械の意図する使用、合理的に予見可能な誤使用といった機械の特性に関する情報を準備しておくことも必要です。
SRSにおいてPLrを含む安全機能の詳細を決定した後は、SRP/CSの具体的な構成の検討と評価のプロセスに移ります。SRP/CSの評価は、パフォーマンスレベル(PL)と呼ばれる指標を用いて行います。
SRP/CSの評価の結果、安全機能のPLrに対して適切なPLをもつことが確認できた場合には、妥当性確認を行います。
SRP/CSによるリスク低減方策
機械のリスク低減方策のうち、安全防護・付加保護方策は、SRP/CSを用いるもの、用いないもの、それらの組み合わせの3種類に分けることができます。
以下にその具体例を示します。
| No. | 危険区域 | 危険源 | 危険事象 | リスク低減方策 | SRP/CSによるもの |
|---|---|---|---|---|---|
| 1 | ロボット | 衝撃 | ロボットが稼働中に作業者がワークを調整しようとし、ロボットのアームと衝突する。 | セーフティライトカーテンで防護する。 |
|
| 2 | 制御盤 | 充電部との接触 | 部品交換中に誤って充電部に接触し感電する。 | 制御盤に主電源断路器を設ける。 | |
| 3 | コンベヤ | 引込み、捕捉 | 作業服をコンベヤに巻き込まれ、引きずられる。 | トンネル状の距離ガードを設ける。 | |
| 4 | 通路 | つまずき | 通路上にケーブルが露出しており、作業者がつまずき転倒する。 | 配線ダクト内にケーブルを収納設する。 |
パフォーマンスレベル(PL)とは
SRP/CSによるリスクの低減を行う際には、SRP/CSのハードウェアおよびソフトウェアには、リスクの大きさに応じた安全性能が求められます。この安全性能を示す指標として代表的に用いられているのが、パフォーマンスレベル(PL)です。
SRP/CSによって機械のリスク低減を適切に行ったことを論理的に示すためには、それぞれの安全機能が求められるPLを満足するとともに、その妥当性を証明することが求められます。
PLrとPLとの関係
PLには、リスクの大きさに応じて安全機能に求められる安全性能のレベル(要求パフォーマンスレベル:PLr)と、設計したSRP/CSの信頼性を評価した結果(パフォーマンスレベル:PL)の2種類があります。どちらもaからeまでの5段階で評価します。
PLは常にPLrと同等以上であることが求められます。
PLrの決定方法
PLrは、リスクアセスメントによって決定することができます。
PLrを決定する際には、傷害のひどさ(S)、危険源に暴露される頻度や時間(F)、危害を回避できるか危害を制限できる可能性(P)の3つのパラメータからなるリスクグラフを用いることが一般的です。これらのパラメータの評価の結果、PLrは、リスクの大きさに応じてaからeの5段階に分類します。リスクグラフを用いたPLrの決定、および各パラメータの評価の参考となる考え方は、ISO 13849-1の附属書Aにも記載されています。
PL評価に用いるデータ
PLは、主に安全機能の制御回路の構造と構成部品の信頼性から評価されます。
PLを評価するのは、機械メーカの設計者などの安全機能の設計者です。SRP/CSの構造的な要素や使用条件、制御機器の信頼性に関するデータなどを評価することで、その安全機能のPLを求めます。
PL評価には、主に以下のデータが用いられます。
- カテゴリ
- MTTFD(平均危険側故障時間)
- DC(診断カバー率)
- CCF(共通原因故障)
- PFH(単位時間当たりの平均危険側故障頻度)
PLとPFH
PLは、リスク低減に対する寄与度が最も低いPL aから最も高いPL eまで、5段階で評価されます。それぞれに対応するPFH(単位時間当たりの平均危険側故障頻度)が指定されています。
(ISO 13849-1:2023、Table 2よりオムロン編)
| PL | PFH[1/h] |
|---|---|
| a | 10-5≦PFH<10-4 |
| b | 3×10-6≦PFH<10-5 |
| c | 10-6≦PFH<3×10-6 |
| d | 10-7≦PFH<10-6 |
| e | PFH<10-7 |
注1. PFH値はIEC 62061:2021およびIEC 61508シリーズによるPFHと同一とみなされる。
