SRP/CSのPL評価手順
機械のリスクアセスメントからリスク低減方策の決定、制御に基づく方策に対するSRP/CSの設計、PLの評価といった一連の手順をフローで示すと、以下の通りとなります。
PLの評価手順
ここからは、設計したSRP/CSに対するPL評価の具体的な手順について解説します。
安全機能の動作要求は、安全機能の系統ごとに異なった伝達経路を通して実行されます。例えば、非常停止スイッチが押されたことをコントローラに伝達し危険なエネルギーを遮断する安全機能と、ガードが開かれたことをコントローラに伝達し危険なエネルギーを遮断する安全機能とでは、コントローラ経由でのエネルギー遮断という共通部分はあっても、関係する入力信号の伝達経路は異なります。PL評価においては、これらの信号伝達経路をあらかじめ明確にしておくことが重要です。
SRP/CSによって実行される安全機能に関する信号の伝達経路は、I:入力機器、L:論理演算機器、O:出力機器で構成されるブロック図で表されます。制御回路図から、安全機能の信号がどのような系統で伝達されるのかを、I、L、Oのブロック図に直すと、PLの評価がしやすくなります。
安全関連部品の抽出
まず、制御回路図から、安全機能の信号の伝達に関連する部品を抽出し、I、L、Oの3つに分類します。
この分類は、制御回路図の中からその安全機能の実行に直接的に関係する部分と直接的には関係しない部分を仕分けることから始めます。
ここでは、非常停止スイッチを押下することで、危険源を停止カテゴリ0で遮断する安全機能を考えてみます。安全機能の実行に関わる部分には、下図のようなものが含まれます。このうち青枠で囲われた、非常停止スイッチ、セーフティコントローラ、コンタクタが、安全機能の実行に直接的に関係する部品です。これらのそれぞれが、I、L、Oに該当します。
3相電源(AC200V系)
制御用電源(DC24V系)
単相電源(AC100V系)
一方、青枠で囲われていない他の部品は、安全機能の実行には直接的には関係しません。このような、安全機能の実行に関係しない部品、または故障しても安全機能が喪失する原因とならない部品は、安全機能の信号の伝達経路上にあっても、PLの評価に組み込む必要はありません。
PL評価に含まれない代表的な部品としては、以下のようなものが挙げられます。
-
機械の制御回路に用いられる過電流保護機器、変圧器など
これらは、SRP/CS以外を含む機械の制御回路全体の動作に必要な部品であり、故障した場合には、安全機能のみならず機械全体の安定動作に支障をきたす恐れがあります。このような部品が適切に機能を果たすかどうかについては、IEC 60204-1といった電気安全規格や個別の製品規格への適合性を評価することで確認します。
-
SRP/CSの中で用いられるケーブル、コネクタ、端子台など
これらは、安全機能の信号伝達を直接的に担う部品であり、故障した場合には、安全機能が喪失してしまう恐れがあります。SRP/CSのPL評価においてこれらの部品の故障の可能性を考慮する必要があるかどうかは、「障害(フォールト)の除外」の考え方が適用できるかどうかによって判断します。この考え方が適用できる場合には、その故障は回路の安全性に影響を及ぼさないものとして扱うことができるため、PL評価に組み込む必要はありません。ケーブル、コネクタ、端子台といった電気部品に対して「障害(フォールト)の除外」が適用する場合の条件については、SRP/CSに関して規定したシリーズ規格であるISO 13849-2のAnnex Dで確認することができます。
ブロック図化とサブシステムの割り当て
安全機能の信号の伝達に関連する部品が抽出できたあとは、それらの部品によって実行する安全機能の構成を、I、L、Oのブロック図として表現します。
I、L、Oに分解されたSRP/CSの各要素やその組み合わせのことを、サブシステムと呼びます。
SRP/CSは、1つまたは複数のサブシステムによって構成されることで、安全機能を実行します。つまりサブシステムとは、安全機能を実行するための機能的なかたまりであると言えます。
安全機能をブロック図で表した後は、ブロック図におけるI、L、Oの各要素と、サブシステムとの関係性を確認します。I、L、Oといった要素は、そのそれぞれが別々のサブシステムに割り当てられる場合もあれば、複数の要素の組み合わせでサブシステムを構成する場合もあるためです。
下図のように、I、L、Oがそれぞれ別々の部品で構成されている場合には、部品ごとにサブシステムを割り当てることができます。仮に、LとOの機能を1つの部品で果たすような場合には、Iのサブシステム、L+Oのサブシステムといった2つのかたまりで扱うことも可能です。
サブシステムのPL評価
SRP/CSのPLを評価するためには、サブシステムごとにPLを評価する必要があります。
サブシステムのPL評価を行う前に、まず、サブシステムを割り当てた部品の単位で、どのような信頼性データをもっているかを確認する必要があります。
例えば、下図でサブシステム2としたL:セーフティコントローラは、あらかじめセーフティコントローラのメーカによって、PL評価が行われています。このような部品は、あらためてPL評価を行う必要はありません。一般に、PL評価がされている部品は、PFHと呼ばれるデータも提供されています。
一方で、サブシステム1のI:非常停止スイッチや、サブシステム3のO:コンタクタは、その部品単体ではPL評価ができないことから、PFHの値が提供されません。これらの部品を用いるサブシステムは、SRSに含まれる情報やカテゴリ、MTTFD、DCに関するデータなどを基にPFHの値を算出した上で、CCFの評価結果も考慮してPLを評価しなければなりません。
それぞれのパラメータに関するデータは、部品の製造メーカから入手することができます。
オムロンでは、あらかじめPL評価を行っている安全機器と、それ以外の安全機器を下図のように分類し、PL評価に必要なデータを提供しています。
参考:オムロンの安全機器の分類
| 分類 | メーカでPL評価済みの部品 | ユーザでアプリケーションに応じた PL評価が必要な部品 |
|---|---|---|
| 入力機器 |
非接触式ドアスイッチ:D40A-2 
セーフティレーザスキャナ:OS32C 
セーフティライトカーテン:F3SG-SR, -PG 
セーフティライトカーテン:F3SJシリーズ など |
セーフティリミットスイッチ:D4N 
セーフティドアスイッチ:D4NS 
非常停止スイッチ:A22E など |
| 論理演算機器 |
セーフティリレーユニット:G9SA、G9SB、G9SE 
フレキシブルセーフティユニット:G9SXシリーズ 
セーフティコントローラ:G9SP 
セーフティコントロールユニット:NXシリーズ など |
- |
| 出力機器 |
ACサーボシステム:1Sシリーズ(安全機能対応) 
多機能型小型インバータ:MX2シリーズ など |
セーフティリレー:G7SA 
コンタクタ:J7KCシリーズ など |
安全機器の中には、安全制御をネットワーク経由で行うための通信機能をもつものがあります。このような機器を用いて、ネットワーク通信によって安全機能の信号の伝達を行うSRP/CSを構築する場合には、使用するネットワーク通信の信頼性についても考慮する必要があります。
ネットワーク通信の信頼性を示すデータは、通信機能をもつ安全機器本体の信頼性データに含まれて提供される場合もあれば、ネットワーク通信のみの信頼性データが単独で提供されている場合もあります。提供されているデータや、そのデータを用いたサブシステムのPL評価の方法については、安全機器・部品の製造メーカにお問い合わせください。
SRP/CSのPFH算出とPL評価
SRP/CSのPLは、サブシステムごとに評価したPFHの値を足し合わせることで求めることができます。
算出されたPFHを、以下の表に当てはめることで、SRP/CSとしてのPLの評価が完了します。
たとえばPFHの総和が1.50×10-7ならば、SRP/CSのPLはdと判断することができます。
(ISO 13849-1:2023、表2よりオムロン編)
| PL | PFH(単位時間当たりの平均危険側故障頻度)[1/h] |
|---|---|
| a | 10-5≦PFH<10-4 |
| b | 3×10-6≦PFH<10-5 |
| c | 10-6≦PFH<3×10-6 |
| d | 10-7≦PFH<10-6 |
| e | PFH<10-7 |
注1. PFH値はIEC 62061:2021およびIEC 61508シリーズによるPFHと同一とみなされる。
なお、ISO 13849-1では、それぞれのサブシステムのPFH値を足し合わせることなく、サブシステムごとのPL評価の結果のみを用いることでSRP/CS全体のPLを判定する簡易方法についても示されています。
