機械安全国際規格に基づくリスクアセスメント
(ドイツ・ジック社
Otto Görnemann 氏より提供さ
1
ステップ
1: リスクアセスメント
機械の設計時には、起こり得るリスクを分析し、必要に応じて追加の保護方策を講じて 存在する可能性がある危険源から作業者を保護する。 機械の製造業者がこのタスクを実施する手助けとなるように、規格はリスクアセスメン トのプロセスを定義・説明している。リスクアセスメントとは、リスクの系統的分析と評 価を可能にする一連の論理的ステップである。機械は、リスクアセスメントの結果を考慮 に入れて設計・製造する。 必要に応じて、適切な保護方策を適用することによりリスク低減がリスクアセスメント に追従する。新たなリスクが保護方策の適用に起因してはならない。できる限り危険源を 排除し、同定されたリスクを十分に低減するには、全プロセス、リスクアセスメント及び リスク低減の繰り返しが必要になる場合がある。 多くの C 規格では、特定の機械及びアプリケーションに適合するようにリスクアセスメ ントを定義している。C 規格が該当しない場合、または C 規格が不十分な場合には、A 型 及びB 規格の要求事項を使用することができる。 →リスクアセスメント –A 規格: EN ISO 14121 →リスク低減 –A 規格: EN ISO 12100-1, EN ISO 12100-2 図 リスクアセスメントのプロセス ・開始 ・EN ISO 14121 に準拠したリスクアセスメント ・機械の機能(限界の定義) ・危険源の同定 ・リスク推定 ・リスク評価 ・リスクは適切に低減されたか? ・リスク低減のプロセス ・終了 ■プロセスは、全ての危険源について実施する。残留リスクが許容可能な低レベルになる までプロセスを繰り返す(反復プロセス)。 ■リスクアセスメント及び適用した手順の間に達成された結果は、文書化する。機械の機能(限界の定義)
リスクアセスメントは、機械動作の定義から始める。これらには、以下の事項が考えら れる。 ■機械の仕様(製造物、最大生産能力、使用材料) ■物理的限界及び予想使用場所 ■計画使用寿命 ■対象とする機能及び作動モード ■予想される誤動作及び障害 ■機械プロセスに従事する人々 ■機械関連の製品 ■正しい使い方、作業者の意図的でない行為または予見可能な機械の誤使用 予見可能な誤使用 作業者による合理的に想定可能な意図的でない行為、または予見可能な誤使用には下記 事項が含まれる。 ■作業者による機械制御不能(特に手持ち式またはポータブル機械類) ■機械使用時に誤動作、障害または故障が発生した場合の、作業者の反射行為 ■集中力の欠如または不注意による誤った行為 ■タスク遂行において最小抵抗経路を選択したことによる誤った行為 ■どんなことが起ころうと機械を作業状態に維持するための切迫した行為 ■同定集団の人々による行為(子供、若者、障害者) 予想される誤動作及び障害 動作性(特に制御システム)に関連したコンポーネントの誤動作・障害に起因する危険 源の大きな潜在的可能性がある。以下に例を挙げる。 ■ローラ動作の反転(手を引き込まれる) ■正常動作範囲外でのロボット運動3
危険源の同定
機械の動作について定義した後に、機械のリスクアセスメントで最も重要なステップを実施する。 このステップは、予見可能な危険源、危険状態及び/または危険事象の系統的な同定からなる。 特に、機械製造業者は機械動作寿命の全段階で下記の危険源を考慮に入れるべきである。 ■機械的危険性 ■電気的危険性 ■熱的危険性 ■騒音に起因する危険性 ■振動に起因する危険性 ■放射線に起因する危険性 ■材料・物質に起因する危険性 ■機械設計時に人間工学的指導原理を無視したことに起因する危険性 ■滑り、つまずき及び転倒に起因する危険性 ■機械を使用する環境に関連した危険性 ■上述の危険性の組み合わせに起因する危険性 ■輸送、組み立て及び設置 ■試運転 ■段取り ■通常運転及び故障・修理 ■保守・清掃 ■撤去、解体及び処分 リスク推定&リスク評価 危険源を同定した後、考えられるそれぞれの危険状態についてリスクを推定する。 図 (リスクの評価法) ・リスク=傷害の程度×発生可能性 考えられる危険状態に関連したリスクは、下記の要素によって決まる。 ■危険性に起因する可能性がある傷害の程度(軽傷、重傷等) →ツール及び表: 技術報告書 – ISO/TR 14121-2 ■この傷害が発生する可能性。下記の要素による。 - 人/人々の危険源への暴露 - 危険事象の発生 - 傷害の防止または制限の技術的及び人的可能性 リスクの評価には、表、リスクグラフ、数値法等さまざまなツールが利用できる。 リスク評価時には、リスク評価の結果に基づいて保護方策の適用が必要であるかどうか、また必要なリ スク低減をいつ達成したかを定義する。 文書 リスクアセスメントに関する文書には、適用手段及び得た結果の他に下記の情報を含む。 ■仕様、限界、正しい使い方等の機械に関する情報 ■負荷、強度、安全係数等の想定事項 ■同定した全ての危険源と危険状態、及び考えられる危険事象 ■使用データとそのソース、並びに同等の機械類についてリスク低減に関連した事故歴・経験 ■適用する保護方策の説明 ■これらの保護方策を用いて達成するリスク低減の目標の説明 ■機械に関連した残留リスク ■リスクアセスメント時に作成する文書 機械指令は、機械とともにリスクアセスメントに関する文書の提供を要求していない。Safexpert(セーフエキスパート)を使用したリスクアセスメント
リスクアセスメントのプロセスは、安全工学のソフトウェア・パッケージ Safexpert®で 表される。タスクはハザードリスト、構造化リスクアセスメントの選択ツリー、リスク評 価の計画、及び制御システムで必要な安全性レベルによって単純化され、ユーザは法的要 求事項及び規格における要求事項によって導かれる。 必要な規格は、規格管理機能を用いて常に最新に維持されている。危険源は、危険点と は別に機械の適切な寿命段階で評価する。個別の危険源によって、リスク低減のための手 段の最適選択が実施される。 Safexpert では、リスクグラフとマトリックス(表)が併用される。保護方策(保護装置 等)を適用する前(IN)及び後(OUT)で評価を実施する。リスクは、0(リスクなし) から10(最大リスク)までの段階に分けて分類する。 Safexpert が使用できるのは、リスクアセスメントのためにだけではない。Safexpert を 使用して、機械指令に準拠して適合プロセス全体を効率的に着手し、文書化することが可 能である。 図 Safexpert の表示の例 (翻訳省略) →Safexpert のデモ版(ガイドツアー)がインターネットの http://www.sick.com/safexpert/ から利用できる。5
要約: リスクアセスメント
一般情報 ■全ての危険源に対してリスクアセスメントを実施する。この反復プロセスは、残留リス クがなくなるまで、または許容可能な残留リスクのみが残るまで全ての危険源とリスクを 考慮に入れる。 リスクアセスメントのプロセス ■機械の動作の定義からリスクアセスメントを開始する。 ■リスクアセスメント時には、特に予見可能な誤使用と障害を考慮に入れる。 ■次に、機械に起因する危険源(機械的、電気的、熱的等)を同定する。これらの危険源 を機械の実用寿命の全段階で考慮に入れる。 ■次に、危険源に起因するリスクを評価する。これらは、傷害の程度や傷害の発生可能性 によって異なる。 ■リスクアセスメントの結果を文書化する。ステップ3d: 安全機能の確認
確認時に、仕様の目的及び要求事項に当該安全機能が適合していることが解析及び/ま たは試験により立証される。 確認は、以下の2 つの部分を要する。 ■機械的安全性の確認 ■機能的安全性の確認 保護装置の機械設計の確認 機械的保護装置の場合、危険点からの隔離/距離の確保に関連した要求事項、及び放出 された物体または放射からの保護に関する要求事項を満たしているかどうかを確認する。 特に、人間工学的要求事項への準拠に留意する。 隔離及び/または距離の確保の効果 ■適切な安全距離・寸法(手を伸ばす、手を差し入れる他) ■フェンスの適切な網目大きさ、または格子間隔 ■十分な強度及び適切な実装 ■適切な材料の選択 ■安全設計 ■耐久性 ■上に乗ることが不可能な保護装置の設計 放出された部品及び/または放射からの保護 ■十分な強度/衝撃及び破砕への耐性(保持能力) ■特に熱的危険源(熱、冷温)の場合、関連型放射線の十分な保持能力 ■フェンスの適切な網目大きさまたは格子間隔 ■十分な強度及び適切な実装 ■適切な材料の選択 ■安全設計 ■耐久性 人間工学的要求事項 ■可視性または透明性(機械の動作の監視) ■設計、色、美観 ■取り扱い(重量、始動等)7
保護装置の有効性については、チェックリストを使用して徹底的に
確認できる。
例: 保護装置(例: ESPE の製品)の設置に関する製造業者/設置者向けチェックリスト 1.危険エリアへのアクセス、または危険点からのアクセスは適切に防止されているか。アク セスは保護エリアを経由してのみ可能か。(ESPE/物理ガード [連動装置付き]) 2.危険エリア/危険点の保護時に、危険エリアに保護されていない存在を防止(機械的保護) または監視するために適切な方策が取られているか。また、それらの方策は除去されない ように固定されているか。 3.機械の最大停止及び/または停止/ランダウン時間が測定されているか。また、その時間 が入力され文書化されているか(機械の位置、及び/または機械文書の中)。 4.最も近い危険点からの所要安全距離を達成するように保護装置が実装されているか。 5. 保護装置の下に手を入れる、手を伸ばす、装置の下に上る、上に上る、または手を後ろ に回すことは効果的に防止されているか。 6. 装置/スイッチは、調整後正しく取り付けられ、操作されないようにしてあるか。 7. 所要の保護方策は実際の感電からの保護を含むか(保護クラス)。 8. 保護装置リセットまたは機械再起動の制御スイッチが存在し、正しく取り付けられてい るか。 9. 保護装置に使用するコンポーネントは、製造業者の指示に従って統合されているか。 10. 所定の保護機能は、動作モード切り替えスイッチの設定時には必ず有効か。 11. 保護装置は、危険状態の期間全体に渡って有効か。 12. いったん開始すると、保護装置をスイッチ OFF にした場合や動作モードを変更した場 合、または別の保護装置に切り替えた場合、危険状態は停止するか。 13. 注意書きは、作業者にはっきりと分かるように保護装置に添付されているか。機能的安全性の確認
機能的安全性の規格に基づいて、必要な安全性レベルが実際の安全性レベルに一致することを確認する。 ここで、2 通りの異なる方法が利用できる。 ■EN ISO 13849-1 に準拠して達成されたパフォーマンスレベル(PL)の決定 ■EN 62061 に準拠した安全度水準(SIL)の決定 どちらの方法でも、残留リスクが受け入れ可能かどうかを調べる。PFHd 値は、ここでは定量パラメー タとして決定する。 以降の続く例(→3-57 及び→3-62)では、センサーと論理データが利用可能であるが、アクチュエータ のデータは利用できない。 ■PL: パフォーマンスレベル – 期待されているリスク低減を提供するために、安全関連部品が予見可能な 状態で安全機能を実施する能力 ■PFHd: 時間当たりの危険側故障率 ■SILCL: SIL 付与限界(適合性): 安全機能の統合性定義の離散的レベル 図 (ENISO 13849-1 による機能安全性の確認) ・センサー ・論理回路 ・アクチュエータ 図 (ENISO 13849-1 による機能安全性の確認) ・センサー ・論理回路 ・アクチュエータ EN ISO 13849-1 に準拠して達成したパフォーマンスレベル(PL)の決定 EN ISO 13849-1 には、パフォーマンスレベルを決定する2通りの手順が含まれている。 ■簡易手順(→3-52): サブシステムのパフォーマンスレベルに基づいた表形式によるパフォーマンスレベ ルの決定 ■詳細手順(→3-52): サブシステムの PFHd 値に基づいたパフォーマンスレベルの決定(この手順は規格 内では間接的な説明に留まっている。) 簡易手順を用いるより詳細手順を用いた方が、より現実的なパフォーマンスレベルを計算できることが 多い。どちらの手順でも、パフォーマンスレベルを達成するための付加構造及び系統的側面を考慮に入れ る。 サブシステム 保護方策を用いて実現する安全機能は、一般にはセンサー、論理回路及びアクチュエータで構成されて いる。このような機構は、一方では物理ガードインタロック/バルブや複合安全制御器等の個別素子を含 む。従って、原則として安全機能はサブシステムに分離することが必要である。 写真 (センサ、論理回路、アクチュエータの写真) 実際のところ、ほとんどの場合認証済みのサブシステムが特定の安全機能に使用されている。これらの サブシステムには例えばライトカーテンが考えられるが、安全制御器も含まれ、制御器コンポーネントの 製造業者が「事前に計算した」PL または PFHd 値を提供している。これらの値は、製造業者が記載して いる「ミッションタイム」の間のみ適用される。定量的側面と同様に、系統的故障に対する方策を確認す ることが必要である。 →検証に関連した詳細情報: EN ISO 13849-29
簡易手順
この手順を使用すると、個別のPFHd 値の知識なしでも十分に正確な程度まで全体のパフォーマンスレ ベル(PL)を推定することが可能になる。全てのサブシステムの PL が分かっていると、下記の表を用い ることにより、安全機能について達成した全体のPL を決定することができる。 手順 ■サブシステムのPL を安全機能の最低水準の PL で決定する- PL(低)。 ■サブシステムの数をこのPL(低)で決定する。 例1: ■全てのサブシステムはPL “e”を達成するので、最低水準 PL(低)は “e” となる。 ■このPL でのサブシステムの数は 3(よって ≤3)である。このため、達成した全体の PL は “e” である。 ■PL “e” でさらにサブシステムを加えると、この方法を用いた全体の PL は “d” に下がる。 例2: ■単一のサブシステムはPL “d” を達成し、2 つのサブシステムは PL “c” を達成する。従って最低水準の PL(低)は “c” である。 ■このPL でのサブシステムの数は 2(よって ≤2)である。このため、達成した全体の PL は “c” である。 →全てのサブシステムについのPL が分かっていない場合、サブシステムの安全性レベルは下記にある「EN ISO 13849-1 に準拠したサブシステムの安全性レベルの決定」の項に従って決定する。 図 (PLの簡易決定手順) ・PL(低) (サブシステムの最低水準 PL) ・n(低) (この PL でのサブシステムの数) ・PL(最大達成可能 PL) 詳細手順 PL の決定に本質的であるが排他的ではない基準とは、安全コンポーネントの「時間当たりの危険側故障 率」である。結果としてのPFHd 値は個別の PFHd 値の合計からなる。 さらに、全体的評価の間に考慮すべき安全コンポーネントの製造業者によって、付加的構造制約が考慮 される場合がある。 →全てのサブシステムについてのPFHd 値が分かっていない場合にも、サブシステムの安全性レベルは決 定できる。下記の「EN ISO 13849-1 に準拠したサブシステムの安全性レベルの決定」を参照する。 EN ISO 13849-1 に準拠したサブシステムの安全性レベルの決定 単一の安全関連サブシステムは、異なる製造業者による多数の個別コンポーネントで形成することがで きる。これらのコンポーネントの例を以下に示す。 ■入力側: 物理ガードの 2 個の安全スイッチ ■出力側: 危険な動作を停止するための接触器と周波数インバータ これらの場合、このサブシステムのPL は個別に決定する。 サブシステムに達成したパフォーマンスレベルは、以下のパラメータで構成される。 ■構造及び故障状態の下での安全機能の挙動(カテゴリ→3-53) ■個別コンポーネントのMTTFd 値(→3-54) ■診断範囲(DC→3-55) ■共通原因故障(CCF→3-55) ■安全関連のソフトウェア側面 ■系統的故障 図 (PLを決定する要因) ・パフォーマンスレベル ・構造 ・信頼性 ・診断 ・耐性 ・プロセス制御システムの安全関連部のカテゴリ(EN ISO 13849-1)
サブシステムは、一般に単一チャネルまたは2 チャネルで設計されている。追加方策がないと、単一チ ャネルのシステムは危険側故障の発生で故障に反応する。故障は、追加試験コンポーネントまたは相互に 互いを試験する2 チャンネルシステムを用いて検出できる。構造は、カテゴリを使用して EN ISO 13849-1 に分類されている。 図 (カテゴリの意味) ・カテゴリ ・要求事項の簡略一覧 ・システムの挙動 ・安全性達成の原則 ・カテゴリB コンポーネントだけでなく制御機器の安全関連部品及び/またはそれらの保護装置も、予想される影響 に耐えることができるように適用規格に従って設計、製造、組み立て、統合を行う。 ■故障が発生すると、安全機能の損失を招く。 大部分は、コンポーネントの選択が特性を決定する。 ・カテゴリ1 カテゴリB の要求事項を満たし、実証済みのコンポーネントと実績ある安全原則を用いている。 ■故障が発生すると安全機能の損失を招くが、発生可能性はカテゴリB よりも小さい。 ・カテゴリ2 カテゴリB の要求事項を満たしており、立証された安全原則を用いている。機械の制御機器は適切な間 隔で安全機能を検査する。(試験率はデマンド率より 100 倍大きい。) ■故障が発生すると検査間に安全機能の損失を招く。 ■安全機能の損失は検査によって検出される。 ・カテゴリ3 カテゴリB の要求事項を満たしており、立証された安全原則を用いている。安全関連部は、下記の結果 になるように設計する。 ■安全関連部に単一の故障が発生しても、安全機能の損失を招かない。さらに: ■合理的な限度内で実現可能な場合には、単一の故障は検出される。 ■単一の故障発生時には、安全機能は常に保持されている。 ■全ての故障ではないが、一部の故障については検出される。 ■未検出の故障が累積すると、安全機能の損失につながる可能性がある。 大部分は、構造が特性を決定する。 ・カテゴリ4 カテゴリB の要求事項を満たしており、立証された安全原則を用いている。安全関連部は、下記の結果 になるように設計する。 ■安全関連部に単一の故障が発生しても、安全機能の損失を招かない。さらに: ■単一の故障は、保護機能の次の要求時またはその前に検出される。 ■上記が可能でない場合には、故障が累積すると安全機能の損失を招く。 ■故障発生時には、安全機能は常に保持されている。 ■安全機能の損失を防止するために、故障は適切な間隔で検出される。11
危険側平均故障時間(MTTFd)
MTTF は、“mean time to failure”(平均故障時間)の略語である。EN ISO 13849-1 に 準 拠 し た 評 価 で は 、 危 険 側 故 障 の み を 考 慮 に 入 れ る 必 要 が あ る ( こ の た め 、“d”は “dangerous” [危険] を表す)。この値は理論的パラメータを表し、コンポーネントの実用寿 命の間の(サブシステム全体ではなく)コンポーネントの危険側故障の可能性を示してい る。コンポーネントの実用寿命は常に短い。 MTTF 値は、故障率から得ることができる。故障率について以下に示す。 ■B10 値は、電気機械または空気圧コンポーネントを対象とする。ここでの実用寿命はス イッチング周波数に依存する。B10 は、最大 10%のコンポーネントが故障するスイッチン グ周期の数を定義する。 ■電子コンポーネントを対象とする。故障率はラムダ(λ)で表す。故障率はFIT(Failure in Time)で表されることが多い。1FIT は、109時間に1 回の故障である。 EN ISO 13849-1 は、下記の範囲に MTTFd 値を組み合わせている。 表 (ISO13849-1 における MTTFd の高、中、低の範囲) ・表記 ・範囲 ・低 3 年 ≤ MTTFd < 10 年 ・中 10 年 ≤ MTTFd < 30 年 ・高 30 年≤ MTTFd < 100 年 コンポーネントの情報によると、何年もの危険側故障の平均時間(MTTFd)を計算す ることは可能である。 信頼性効果の過大評価を回避するために、MTTFd の最大有効値は 100 年の期限付きであ る。 図 (危険側故障の可能性) ・危険側故障の可能性(%) ・受け入れ不可能MTTF ・MTTFd = 3 年 ・MTTFd = 10 年 ・低レベルMTTF ・中レベルMTTF ・MTTFd = 30 年 ・高レベルMTTF ・MTTFd = 100 年 ・受け入れ不可能MTTF ・時間(年)
診断範囲(DC)
内部でサブシステムの試験を実行すると、安全性レベルを上げることができる。診断範 囲(DC)は、故障検出の目安である。不完全な試験は 2~3 の故障の検出をするだけであ るが、優れた試験は多数の故障または全ての故障さえも検出する。 詳細解析(FMEA)の代わりに、EN ISO 13849-1 で方策を提示して DC を定量化する。 ここでは、さまざまな範囲に再分割も行っている。 表 (ISO13849-1 におけるDCの高、中、低の範囲) ・表記 範囲 ・なし DC<60% ・低 60%≦DC<90% ・中 90%≦DC<99% ・高 99%≦DC 共通原因故障 – 耐性 外部効果(電圧レベル、高温等)によって、ほとんど故障したことがないとか、いかに よく試験を実施してきたかとかに関わらず、同じコンポーネントが突然に使用できなくな ることがある。(突然に明かりが消えると、両目でも新聞を読むことができない)。これらの 共通原因故障は、常に防止されなければならない。(CCF - 共通原因故障) ここで、EN ISO 13849-1 は一連の評価を確認して最小の積極的な実現数を求めている。 表 (共通原因故障を防止する方策の評価表) ・要求事項 最大値 ・分離 ・信号回路の分離、個別経路指定、分離、空気経路等 15 ・多様性 ・異なる技術、コンポーネント、動作原理、設計 20 ・設計、用途、経験 ・過負荷、過電圧、過圧等からの保護(技術による) 15 ・長期間にわたって実績のあるコンポーネントの使用 方法および手順 5 ・解析、評価 ・共通原因故障を防止するための故障解析の使用 5 ・能力、訓練 ・CCF の原因・結果を理解し、防止するための設計者訓練 5 ・環境効果 ・ 電磁環境適合性(EMC)に対する脆弱性について のシステム試験 25 ・温度、衝撃、振動等に対する脆弱性について、 システムを試験する。 10 ・最小要求事項 合計数 ≥ 65 プロセス 上記側面についてハードウェア及びソフトウェアで正しく実行し、包括的に確認し(第 二の人物による対向検査)、包括的文書化によってバージョン及び変更に関する追跡可能な 情報を提供することを保証するために、規格のさまざまなツールを考慮に入れる。 安全関連の課題を正しく実現するプロセスは管理タスクで、適切な品質管理を必要とす る。13
サブシステムの
PL の決定
以下の図は、MTTFd 値(チャネル単位)、DC 及びカテゴリ間の関係を示している。 図 (サブシステムのPLの決定) パフォーマンスレベル “d” は、例えば 2 チャネル制御システム(カテゴリ 3)を用いて 実現できる。これは、ほとんど全ての故障を検出する場合には(DC = 中)良質コンポーネ ント(MTTFd = 中)の使用で達成可能であるが、多数の故障を検出する場合には(DC = 低) 非常に高品質のコンポーネント(MTTFd = 高)で達成する。 この手順の背後には、ユーザーが知らない複雑な数学的モデルがある。 実際的なアプローチを確実にするために、パラメータのカテゴリ、MTTFd 及び DC をあら かじめ定義する。表
「アクチュエータ」サブシステムの
PL の決定
・1)「アクチュエータ」サブシステムの定義 「アクチエータ」サブシステムは、「フィードバック」を用いた 2 台の接触器からなる。 接触器の接点のポジティブ方向への誘導により、接触器の安全関連故障の検出が可能にな る。 論理演算装置UE410 はそれ自体「アクチュエータ」サブシステムの一部ではないが、診 断目的で使用される。 ・2)カテゴリの定義 単一の故障安全(故障検出を伴う)は、カテゴリ3 または 4 の適合性をもたらす。 注: カテゴリの最終的決定は、DC 値を定義してから着手する。 ・3)チャネル単位 MTTFd 値の決定 接点は摩耗を免れないので、B10d値及び予測スイッチング周波数(nop)を使用してMTTFd を決定することが必要である。右側にある式を使用することができる。 スイッチング周波数の値は、時間当たりのスイッチング周波数(C)と同様に運転時間/ 日(hop)、作業日数/年(dop)からなる。 製造業による二次条件は以下のとおりである。 ■B10d= 1300000 ■C = 1/時間(想定) ■Dop= 220 日/年 ■hop= 16 時間/日 これらの条件の下では、MTTFd はチャネル単位で 7386 年となり「高」と判断される。 ・4)DC の決定 接点のポジティブモードへの誘導により、EN ISO 13849-1 の計量表に基づくと「高」 DC(99%)を得ることができる。15
・5)共通原因故障を防止する方策の評価
共通原因故障を防止する方策は、マルチチャネルシステムで実施する。方策の評価で 75 点を得ると最小限の要求事項を満たす。 分離 多様性 設計、用途、経験 解析、評価 能力、訓練 環境効果 ・6)プロセス方策の評価 故障の防止・制御の系統的側面も考慮に入れる。例えば: ■組織化及び能力 ■設計のための原則(仕様テンプレート、符号化指針等) ■試験概念及び試験基準 ■文書化及び構成管理 ・7)結果 サブシステムのPL の決定に関する図(→3-56)から、サブシステムの PL を決定するこ とができる。この場合、PL “e” を達成する。 このサブシステムの結果であるPFHd 値 2.47 x 10-8をEN ISO 13849-1 の詳細表から得 ることができる。DC が「高」であることから、2 チャネル構造はカテゴリ 4 の要求事項に 適合する。 →サブシステムの結果データにより、達成した安全機能全体のパフォーマンスレベルを決 定することができる。(3-51 ページの「EN ISO 13849-1 に準拠して達成したパフォーマン スレベル(PL)の決定」を参照。)代案: EN 62061 に準拠した安全度水準(SIL)の決定
達成した安全度水準(SIL)は、以下の基準に基づいて決定する。 ■ハードウェアの安全度 - 構造的制限 - ハードウェアの危険側ランダム故障率(PFHd) ■系統的安全度の要求事項 - 故障の防止 - 系統的故障の制御 ここで、EN ISO 13849-1 と同様に、安全機能は機能ブロックに細分化されてサブシステ ムに移される。 写真 (センサー、論理回路、アクチュエータの写真) ハードウェアの安全度 安全機能全体の評価時に、ハードウェアの安全度を以下のように決定する。 ■サブシステムの最小SILCL は、システム全体の最大達成可能 SIL を制限する。 ■個別PFHd の合計から得た制御システムの PFHd は、3-51 ページの「安全度の確認」図 にある値を超えない。 例 上記の例では、サブシステムはSILCL3 に適合する。PFHd 値を加えると 1 x 10-7未満と なる。系統的安全度の関連方策を実施する。したがって安全機能はSIL3 に適合する。 系統的安全度 異なるサブシステムをいっしょに制御システムに接続すると、系統的安全度の追加方策 を実施する。 系統的ハードウェア故障の防止方策には、以下が含まれる。 ■機能的安全性の計画に従った設計 ■サブシステムの正しい選択、組み合わせ、配置、組み立て及び設置。ケーブル布線、配 線、その他の接続を含む。 ■製造業者の仕様範囲内での使用 ■製造業者のカタログ情報、取付方法説明書及び実証済みの設計実践応用等のアプリケー ションノートへの注目。 ■EN 60204-1 に準拠した電気機器関連の要求事項の考慮。系統的故障を制御するために以 下の事項を考慮する。 ■安全状態を開始するための電源遮断の使用 ■故障の影響及び送受信エラー、反復、損失、インジェクション、誤ったシーケンス、破 損、遅延等のデータ通信プロセス関連の影響を制御する方策17
EN 62061 に準拠したサブシステムの安全性レベルの決定
個別コンポーネントを含む回路で構成されるサブシステムの安全性レベルは、EN 62061 で も決定できる。 図 (安全度水準の決定要因) ・構造 ・信頼性 ・診断 ・耐性 ・プロセス 達成したサブシステムの安全度水準(SIL)は、以下のパラメータからなる。 ■ハードウェアの耐故障性(HFT) ■PFHd 値 ■安全側故障割合(SFF) ■共通原因故障(CCF) ■安全関連のソフトウェア側面 ■系統的故障 ハードウェアの耐故障性(HFT) EN 62061 では、サブシステム型とハードウェアの耐故障性によって構造が決定する。 HFT 0 は、ハードウェアの単一の故障が安全機能(単一チャネルシステム)の損失を招 く可能性があることを意味する。HFT 1 は、ハードウェアに単一の故障が発生しても安全 機能が保持されることを意味する(2 チャネルシステム)。 図 (ハードウェアの耐故障性の検討モデル) ・サブシステム要素1: λD1, DC1 ・診断 ・サブシステム要素2: λD2, DC2 ・共通原因故障: β ハードウェアの危険側ランダム故障率(PFHd) 各サブシステムの構造的制限と同様、「ハードウェアの危険側ランダム故障率」も考慮す ることが必要である。数学的モデルに基づき、各サブシステムのタイプに PFHd 値を決定 するための公式がある。計算には、以下のパラメータを使用する。 ■診断範囲 ■ミッションタイム ■診断試験間隔 ■コンポーネントの故障率(λD)■共通原因故障(comon cause factor β)
DC1とDC2を使用した診断 (式 省略) 安全側故障割合(DC/SFF) (図 省略) 「安全側故障割合」(SFF)は、診断範囲 DC(λDD/λDU)と「安全側故障」(λs)の割 合によって得られる。 (式 省略)
共通原因故障(CCF)– 耐性
EN 62061 は、共通原因故障に対する耐性関連の一連の評価も要求する。積極的実現数の 関数として、共通原因ファクタ(β)がある。 表 (共通原因故障を防止する方策の評価表) ・要求事項 最大値 ・分離 ・信号回路の分離、個別経路指定、分離、空気経路等 15 ・多様性 ・異なる技術、コンポーネント、動作原理、設計 20 ・設計、用途、経験 ・過負荷、過電圧、過圧等からの保護(技術による) 15 ・長期間にわたって実績のあるコンポーネントの使用 方法および手順 5 ・解析、評価 ・共通原因故障を防止するための故障解析の使用 5 ・能力、訓練 ・CCF の原因・結果を理解し、防止するための設計者訓練 5 ・環境効果 ・ 電磁環境適合性(EMC)に対する脆弱性について のシステム試験 25 ・温度、衝撃、振動等に対する脆弱性について、 システムを試験する。 10 ・最小要求事項 合計数 ≥ 65 表 共通原因故障ファクター(β)の評価 ・値 CCF ファクタ(β) ・35 未満 10% ・35 以上 65 未満 5% ・65 以上 85 未満 2% ・85 以上 1% プロセス EN 62061 は、前述の側面(V モデル、品質管理等)に加え、記載しているプログラマブ ル電子システムと同様、安全関連システム・ソフトウェア開発時の正しい手順に関する多 数の詳細注記情報に基づいている。 結果 – サブシステムの SIL の決定 各サブシステムについて、まずハードウェアの安全度を別に決定する。例えば安全ライ トカーテンの場合のように、サブシステムが開発済みのサブシステムの場合、製造業者は 技術仕様書の一部として関連特性データを提供している。このようなサブシステムは、一 般にSILCL、PFHd 及びミッションタイムに関する情報によって適切に記述される。他方 で、ガードまたは接触器との連動装置等のサブシステム要素で構成されるサブシステムの 安全度水準を決定する。 SIL 付与限界(SILCL) ハードウェアの耐故障性(構造)を定義した後に、サブシステムの最大達成可能SIL(SIL 付与限界)を決定できる。 表 (SIL 付与限界) ・安全側故障割合(SFF) ハードウェアの耐故障性 0 1 60%未満 - SIL1 60%以上 90%未満 SIL1 SIL219
表
「アクチュエータ」サブシステムの SILCL・PFHd の決定
・1)「アクチュエータ」サブシステムの定義 「アクチエータ」サブシステムは、「フィードバック」を用いた 2 台の接触器からなる。 接触器の接点のポジティブ方向への誘導により、接触器の安全関連故障の検出が可能にな る。 論理演算装置UE410 はそれ自体「アクチュエータ」サブシステムの一部ではないが、診 断目的で使用される。 ・2)ハードウェアの耐故障性 単一故障安全性(故障は検出)のため、ハードウェアの耐故障性はHFT = 1 となる。 ・3)PFHd の決定 a)故障率λDに基づく 接点は摩耗を免れないので、B10d値を使用して時間当たりの推定スイッチング周波数(C) を決定することが必要である。 製造業者による二次条件は以下のとおりである。 ■B10d= 1300000 ■C = 1/時間(想定) これらの二次条件下で、7.7 x 10-81/時間のλDを得る。 b)CCF ファクタ(β)に基づく マルチチャネルシステムでは、共通原因故障を防止する方策が必要になる。影響は、EN 62061 の要求事項に準拠した方策に基づいて決定する。例では、βファクタは 5% である (下記5)「共通原因故障を防止する方策の評価」を参照)。 PFHd = 1.9 x 10-9 ・4)DC を使用した SFF の決定 接点のポジティブ方向の誘導により、「高」DC(99%)を得る。すなわち、50%の危険側 故障率λDのうち99%が検出される。その結果、SFF = 50% + 49.5% = 99.5%となる。 (式 省略) ・5)共通原因故障を防止する方策の評価 マルチチャネルシステムでは、共通原因故障を防止する方策が必要になる。EN 62061 に準 拠して方策を評価すると、この例では5%の CCF ファクタ(β)を得る。表「アクチュエータ」サブシステムの
SILCL・PFHd の決定(続き)
・6)プロセス方策の評価 故障の防止及び制御の系統的側面も考慮に入れる。例えば: ■組織化及び能力 ■設計のための原則(仕様テンプレート、符号化指針等) ■試験概念及び試験基準 ■文書化及び構成管理 ・結果 最後のステップでは、構造的制限を考慮に入れる。既存の冗長性(ハードウェアの耐故 障性1)とこのサブシステムの 99%超の SSF により、SIL 付与限界は SILCL3 となる。 (表 省略) →サブシステムのSILCL 結果データと PFHd 値を使用して、安全機能全体に達成した SIL は、前述のように決定できる(3-59 ページの「ハードウェアの安全度」を参照)。 役立つサポート 説明した検証方法には、パフォーマンスレベル(PL)及び安全度水準(SIL)の使用に 関するノウハウと経験が必要であった。SICK 社は、関連したサービス(→i-1 ページの 「SICK 社によるサポート」)を提供している。適切なソフトウェアツールを用いると、系 統的手順によりサポートを受けられる。 パフォーマンスレベル計算のための効果的方法はBGIA 社開発の SISTEMA ソフトウェ アウィザードにより提供されるが、オンラインで無料使用できる。SICK 社はこのアプリケ ーションに実証済み安全コンポーネントのライブラリを提供するとともに、セミナーで 日々の業務に実践的な「ノウハウ」を提供している。 →SISTEMA 及び研修コースに関する情報は、http://www.sick.com/にある。21
