原理、規格&実装 原理、規格、および実装 ISO (International Organization for Standardization) ...................... 1-8 IEC (International Electrotechnical Commission) ........................... 1-8 EN欧州統一規格.............................................................................. 1-8 ISOおよびEN規格(タイプA) ........................................................... 1-8 ISOおよびEN規格(タイプB) ........................................................... 1-9 ISOおよびEN規格(タイプC) ........................................................... 1-9 IECおよびEN規格 ........................................................................... 1-9 米国の規格 .................................................................................... 1-10 OSHA規格..................................................................................... 1-10 ANSI規格....................................................................................... 1-11 カナダの規格................................................................................. 1-12 オーストラリアの規格 .................................................................. 1-13 安全関連制御システムの概要 1-51 はじめに........................................................................................ 1-51 制御システムの安全機能の概要 1-51 機能安全とは何か? ....................................................................... 1-51 IEC/EN 62061およびEN ISO 13849-1:2008................................. 1-52 IEC/EN 62061およびEN ISO 13849-1の結合テクニカル レポート .................................................................................... 1-52 SILおよびIEC/EN 62061............................................................... 1-52 PLおよびEN ISO 13849-1 ............................................................ 1-54 PLとSILの比較 .............................................................................. 1-54 ISO/EN 13849とSISTEMAに従うシステム設計 1-54 リスクアセスメントt..................................................................... 1-14 機械の制限 .................................................................................... 1-14 タスクおよび危険の特定............................................................... 1-14 リスクの見積もり ......................................................................... 1-15 リスク低減 .................................................................................... 1-17 リスク低減手段のヒエラルキー.................................................... 1-17 本質安全設計................................................................................. 1-18 保護システムおよび手段............................................................... 1-18 評価 ............................................................................................... 1-18 トレーニング、個人用保護具など ................................................ 1-18 規格 ............................................................................................... 1-19 はじめに........................................................................................ システム構造................................................................................. 信頼性データ................................................................................. データ判断の手段 ......................................................................... 自己診断率(DC)............................................................................. 共通原因故障(CCF)....................................................................... 活動時間........................................................................................ 系統的故障 .................................................................................... フォルト排除................................................................................. 安全遂行レベル(PL) ...................................................................... サブシステム設計および組合せ.................................................... 妥当性確認 .................................................................................... マシン立上げ................................................................................. 保護手段および補助的な装置 IEC/EN 62061に従うシステム設計 安全ストラテジ 1-13 1-19 接近の阻止 .................................................................................... 固定式保護ガード ......................................................................... 検出装置........................................................................................ セーフティスイッチ...................................................................... オペレータインターフェイス装置 ................................................ ロジックデバイス ......................................................................... 統合セーフティコントローラ ....................................................... 安全ネットワーク ......................................................................... 出力デバイス................................................................................. 接続システム................................................................................. 安全距離の計算 1-19 1-19 1-20 1-27 1-35 1-37 1-43 1-44 1-44 1-46 1-47 式................................................................................................... 1-47 接近する方向................................................................................. 1-47 速度定数........................................................................................ 1-47 停止時間........................................................................................ 1-47 奥行侵入係数................................................................................. 1-47 通り抜けアプリケーション ........................................................... 1-48 手を伸ばすアプリケーション ....................................................... 1-48 シングルまたはマルチビーム ....................................................... 1-48 距離の計算 .................................................................................... 1-48 斜めからの接近 ............................................................................. 1-48 セーフティマット ......................................................................... 1-49 例................................................................................................... 1-49 R 1-49 1-49 1-50 1-50 1-50 1-54 1-55 1-58 1-59 1-59 1-60 1-60 1-60 1-61 1-61 1-63 1-63 1-63 1-63 概要 ............................................................................................... 1-63 IIEC/EN 62061に従うサブシステムの設計................................... 1-64 プルーフテスト間隔の影響 ........................................................... 1-66 共通原因故障分析の影響............................................................... 1-66 共通原因故障(CCF)....................................................................... 1-66 自己診断率(DC)............................................................................. 1-66 ハードウェアフォルト許容誤差.................................................... 1-66 機能安全の管理 ............................................................................. 1-66 プルーフテスト間隔...................................................................... 1-66 安全側故障割合(SFF).................................................................... 1-66 系統的故障 .................................................................................... 1-67 安全関連制御システムの構造についての注意事項 1-67 概要 ............................................................................................... 1-67 制御システムのカテゴリ............................................................... 1-67 検出されないフォルト .................................................................. 1-71 コンポーネントおよび安全定格.................................................... 1-74 フォルトに関する注意事項 ........................................................... 1-74 フォルト排除................................................................................. 1-75 IEC/EN 60204-1およびNFPA 79に従う停止カテゴリ .................. 1-75 米国の安全制御システ要件 ........................................................... 1-76 ロボット規格:米国とカナダ .......................................................... 1-76 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-1 1-目次 1-8 ロックアウト/タグアウト.............................................................. 安全絶縁システム ......................................................................... 負荷の切り離し ............................................................................. トラップ・キー・システム ........................................................... ロックアウトの代替手段............................................................... 2-Opto-electronics 規格 1-2 1-2 1-5 1-6 1-6 1-8 1-49 Safety Switches EU指令および規定 .......................................................................... EU機械指令..................................................................................... EU機械使用の指令 .......................................................................... 米国の規定 ...................................................................................... 健康と安全に関する要件................................................................. カナダの規定................................................................................... 予期しない電源投入の回避 Operator Interface 1-2 Logic 規定 General 目次 原理、規格&実装 規定 EU指令および法規 General このセクションの内容は機械の安全性、特に保護システムの ガードとインターロックに関与する人のためのガイドです。 産業用設備の設計者およびユーザを対象としています。 現在の指令(2006/42/EC)の条項は、2009年12月29日に適用で きるようになりました。供給される機器を確実に指令に適合 させるのは、製造メーカ、またはその正式な代表者の責任に なります。これには、以下が含まれます。 ECおよびEFTA内にオープンマーケットの概念を普及させる ために、そのメンバーであるすべての国々は、機械およびそ の使用に関する必須安全要求事項を定義する法律を制定する 義務があります。 これらの要件を満たさない機械は、ECおよびEFTAの加盟国 で販売したり、持ち込んだりできません。 産業用機械および装置の安全性に直接関与する欧州指令が2 つあります。それは、以下の2つです。 1-規定 1. 機械指令 2. 作業機器使用指令 機械指令の「健康と安全に関する必須要求事項(EHSR)」 は、作業機器使用指令における装置の安全性を確認するため に使用できるので、これら2つの指令は、直接関係している と言えます。 2-Opto-electronics このセクションでは、この両方の指令の特長について取上げ ており、ECおよびEFTA加盟国で産業用設備の設計、供給、 購入、使用に関与する人は、これらの指令の要件について十 分理解していることが望まれます。機械のサプライヤとユー ザの多くは、これらの指令に従わない限り、ECで活動するこ とは絶対に許されません。 産業安全に関連する欧州指令は、使用中、準備中も含め、こ の他にもいくつか存在します。それらのほとんどは、用途別 にかなり専門化されているので、このセクションでは取り上 げていませんが、関連する場合は、その要件を満たす必要が あるので、十分注意しなければなりません。例えば、次のよ うな指令があります:EMC指令2004/108/ECおよびATEX指 令94/9/EC Safety Switches EU機械指令 機械指令は、新しい機械および安全関連部品を含むその他の 装置の供給を対象にしています。指令の条項や要件に従わず に、EU内にマシンを供給することは違法です。 図1: マシンへのCEマーク認証 Ÿ 指令の付属Iに含まれている適合可能なEHSRを見たいてい ることを確認 Ÿ 技術ファイルを準備 Ÿ 適切な適合性評価を行なう。 Ÿ 「EC適合の宣言」を提供 Ÿ CEマークを適合する場所に貼る。 Ÿ 安全に使用するための手順を提供 健康と安全に関する要件 指令の付録1には、該当する機械が従わなければならない健 康と安全に関する要件(EHSRともいう)のリストが記載され ています。このリストの目的は、機械が安全で、その機械の 設計から廃棄に至る全段階において、人を危険に曝すことな く、使用、調整、メンテナンスを行なえるように設計および 構築されていることを保証することにあります。以下に一般 的な要件についての概要を示しますが、付録1に記載された EHSRをすべて考慮することが重要です。 検討中にどのEHSRが機器に適合するかを判断するためにリ スクアセスメントを行なう必要があります。 付録1のEHSRは、危険排除に関する対策の階層も設定してい ます。 Operator Interface 指令内で使われている「機械」の最も広義の定義は以下の通 りです:アセンブリ、人や動物の労力を直接利用しないドラ イブシステムに取付けたか取付けることを意図するもの、リ ンクされた部品やコンポーネントから構成されるもの、少な くとも1つの動くものがあるもの、および特定のアプリケー ションのために互いに連結されているもの 詳細な情報と定義のガイダンス、機械指令の他のすべての概 観は、公式のEUのWebサイトで見ることができます: http://ec.europa.eu/enterprise/sectors/mechanical/machinery/ index_en.htm Logic 現在の機械指令(2006/42/EC)は、2009年の終わりに以前のバ ージョン(98/37/EC)と置き換わりました。明確にして改定し ていますが、「健康と安全に関する必須要求事項(EHSR)」 を根本的に変更するものではありません。これは、技術と手 段への変化を考慮して、いくつかの変更を行ないました。カ バーする機器のタイプをさらに拡大しています(例えば、建設 現場のホイスト)。そのため、どのEHSRが適合可能かを決定 するためのリスクアセスメントの明確な要件と、付録IV機器 についての適合性評価手順の変更を行なっています。 オリジナルの指令(98/37/EC)の重要な条項は、機械に対して は1995年1月1日に、安全関連部品に対しては1997年1月1日 に完全な効力を発揮するようになりました。 1-2 図2: マシンへはEHSRに適合する必要がある (1) 本質安全の設計:可能な限り、設計そのものであらゆる 危険を回避します。 これが不可能な場合、(2) 追加の保護手段、例えば、アクセ スポイントをインターロックするガード、ライトカーテンや センサマットなどの無形バリアなどを使用する必要がありま す。 前述の手段で処理できない残留リスクは、(3) 個人用保護具 またはトレーニングによって阻止する必要があります。機械 のサプライヤは、何が適切かを指定する必要があります。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 規定 構造および操作には、適切な器具を使用する必要がありま す。十分な照明と取扱施設を用意する必要があります。制御 機器および制御システムは、安全で信頼できなければなりま せん。機械は、突然始動することがあってはならず、1つ以 上の非常停止装置を装備している必要があります。処理のア ップストリームまたはダウンストリームが機械の安全性に影 響する複雑な設備には、特別な配慮が必要です。電源装置や 制御回路の傷害が危険な状況を引き起こすことは許されませ ん。機械は安定性があり、予測可能なストレスに耐えられな ければなりません。けがの原因となるエッジや表面の露出部 分をなくす必要があります。 装置が欧州の特定の統一規格に合わせて設計されている場 合、EHSRに対する適合性を示す作業が簡単になります。こ れらの基準は法律的には必要ありませんが、別の方法で適合 性を証明することは、極めて複雑な課題になりうるので、こ れらの使用が強く推奨されます。これらの基準の構造は、 ISOと連携するCEN (ヨーロッパ標準化委員会) およびIECと 連携するCENELEC (ヨーロッパ電気標準化委員会)によって 作成され、機械指令を支持しています。CENとCENELECと が一緒になって、ヨーロッパ標準化連合(Joint Institute for Standardization in Europe)を結成しています。 General 11. EC適合宣言書のコピー 技術ファイル 量産する場合は、製造されたすべての機械装置が適合してい ることを保証するための内部基準の詳細(例えば品質管理シス テムなど): Ÿ 製造メーカは、コンポーネント、取付け部品、または完成 機械類に対して必要な調査またはテストを実施し、機械類 が安定して設置され安全にサービスを開始できるように設 計され、組み立てられていることを確認します。 Ÿ 技術ファイルは、常に単一のファイルとして存在している 必要はありませんが、必要な文書を適宜利用できるように 1つのファイルにまとめることが可能でなければいけませ ん。技術ファイルは、機械の最後のユニットの製造から10 年間、利用可能であることが必要です。 製造メーカまたは正式な代表者は、EHSRに準拠している証 拠を示すために、技術ファイルを準備する必要があります。 このファイルには、テスト結果、図面、仕様など、すべての 関連情報が含まれます。 機械類の製造に使用したサブアセンブリについては、EHSR 適合を実証するために不可欠である場合を除いて、詳細な計 画やその他の固有情報を技術ファイルに含める必要はありま せん。 文書化された完璧なリスクアセスメントを実施することは、 考えられるすべての機械の危険に対処できることを裏付ける ために必要です。同様に、機械製造メーカには、欧州の統一 規格で取り組まれていないことであってもEHSRをすべて確 実に満たす責任があります。 すべての情報が永続的にハードコピーとして利用可能である ことは不可欠ではありませんが、所轄官庁(機械装置が適合し ていることを監視するためにEU各国から任命された機関)か らの要請によって技術ファイル全体を閲覧可能にしておく必 要があります。 1-規定 適合性評価 ある種の機器は、特殊な条例に制約されます。このような機 器は指令の付録IVにリストされ、一部の木材加工機械、プレ ス機、抽出成形機、坑内機器、車両修理用リフトなどが含ま れます。 また、付録IVには、人の存在を検出するように設計された保 護装置(例えば、ライトカーテン)や、安全機能を保証するた めのロジックユニットなどの一部の安全関連部品も含まれて います。 R 2-Opto-electronics 機械指令について欧州連合の官報(OJ)にリストされた欧州 (EN)の統一規格と、適合性に対する仮定をなくした日付は、 失効せず、特定のEHSRに適合するための仮定を協議しま す。(OJにリストされた多くの最新の規格には、規格にカバ ーされたEHSRを探すためのクロスリファレンスが含まれて いる。) Safety Switches 機械指令:適合性評価および規格 少なくとも、以下の資料が技術ファイルに含まれていること が必要です: 1. 制御回路図を含む機器の全体図 2. 機械装置のEHSR適合性をチェックするために必要な詳細 図、計算記録、テスト結果など 3. 機械装置に適用される必須健康安全要求のリストや、実 装されている保護対策の説明を含む、リスクアセスメン トの資料 4. 対象となる必須健康安全要求を示す、使用されている規 格およびその他の技術仕様のリスト 5. 機械装置が示す危険を除去するために採用される方法の 説明 6. 関連がある場合、試験施設またはその他の機関から取得 された技術報告書や認定書 7. 欧州統一規格で適合を宣言する場合、そのテスト結果を 示す技術報告書 8. 機械装置の操作説明書のコピー 9. 該当する場合、半完成品の機械類が組み込まれているこ との表明と、そのような機械類の関連組立て手順 10. 該当する場合、機械類または機械類に組み込まれている その他の製品の適合に関するEC適合宣言書のコピー Operator Interface 電気およびその他のエネルギー供給事故を防ぐ必要がありま す。熱、爆発、騒音、振動、粉塵、ガス、または放射線によ る傷害のリスクを最小限に抑える必要があります。メンテナ ンスおよび点検に対する適切な準備が必要です。十分な表示 機能および警告装置を用意する必要があります。機械には、 設置、使用、調整などを安全に行なうための取扱説明書を添 付します。 図3: ドキュメントの評価結果 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-3 Logic ガードや保護装置は、頑強な構造で、通り抜けることが困難 でなければなりません。固定式保護ガードは、工具の使用に よってのみ解除できる方法で取付ける必要があります。可動 式保護ガードは、インターロック機構を備えている必要があ ります。調整式保護ガードは、工具なしで簡単に調整できる 必要があります。 TEST RESULTS ---------------------------STANDARDS ------------------------------ 原理、規格&実装 規定 EC適合宣言の手順 General 供給するすべての機械にCEマークを添付する必要がありま す。この機械は、CE適合宣言と共に供給されなければなりま せん。 図6: CEマーク al nic ch Te F i l e T R EST -- ESU ------ ----------- LSTS --------- RD TAND S CEマークは機械が適合可能なすべての欧州指令に準拠して、 対応する適合性評価の手順が完了していることを示します。 機械が関連するEHSRを満たしていない限りは、機械指令に ついてCEマークの適用は違法になります。 A 1-規定 図4: 適合性評価 欧州の統一規格に完全に適合したわけではない付録IV 機械に 対しては、製造メーカまたは正式な代表者は以下の手順のい ずれかを行なう必要があります。 2-Opto-electronics 1. EC型式審査:技術ファイルを準備して、機械のサンプル をEC型式審査のために認定機関(テスト機関)に提出する必 要があります。合格した場合、その機械には、EC型式審 査証明書が与えられる。認定の妥当性のために、5年ごと に認定機関で再検討を受ける必要があります。 2. 完全な品質保証:技術ファイルを準備して、製造メーカは 設計、製造、最終検査、およびテストするために認可され た品質システムを動作する必要があります。品質システム は、この指令の条項について機械の適合性を保証する必要 があります。品質システムは、認定機関によって定期的に 検査する必要があります。 EC適合宣言書には、以下の情報が含まれていることが必要で す。 Ÿ 製造メーカの商号と完全な住所、および該当する場合正式 な代表者 Ÿ 技術ファイルを編集することを許可された人物の名前と住 所。この人物はEU領域内にいる人物でなければなりません (EC領域外の製造者の場合「正式な代表者」の場合もあ る)。 Ÿ 機械類の説明とこれを特定するもの。これには、一般的な 名称、機能、モデル、タイプ、シリアルナンバー、取引名 などがあります。 Ÿ 機械類がこの宣言のすべての関連対応を満たしていること を表す文章、および該当する場合、他の指令への適合また は機械類が適合している関連対応について宣言している類 似の文章 Ÿ 該当する場合、使用されている統一規格への参照 Safety Switches Ÿ 該当する場合、使用されている他の技術規格および仕様へ の参照 Ÿ (付録IV機械に対して)該当する場合、付録IXに記載されて いるECタイプの試験を実施した通知機関の名前、住所、お よびID番号と、EC型式テストの認定証番号 Ÿ (付録IV機械に対して)該当する場合、付録Xに記載されてい る完全な品質保証システムを承認した通知機関の名前、住 所、およびID番号 Operator Interface Ÿ 宣言の場所と日付 Ÿ 製造メーカまたは正式な代表者にかわって宣言の作成に携 わった人のIDと署名 図5: 認定機関の検査 付録IVに含まれない機械、または付録IVに含まれているが関 連する欧州統一規格に完全に適合している機械については、 製造メーカまたは正式な代表者が技術ファイルを準備して、 機器の適合を評価して宣言することもできます。製造された 機器の準拠を保証するには、内部チェックが必要です。 認定機関 Logic 認定機関は、相互に連絡を取り合い、共通の基準で作業を行 なうネットワークを、EU全体に張り巡らせています。認定機 関は政府(産業ではなく)によって任命されており、認定機関 の資格を持つテスト機関および研究所の詳細は、以下のWeb サイトから入手できます: http://ec.europa.eu/enterprise/sectors/mechanical/machinery/ index_en.htm 1-4 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 規定 ㅧࡔࠞߪEC (᰷Ꮊห) NO ߹ߚߪEEAౝߦ⸳┙ߐࠇߡࠆ߆? ᛛⴚࡈࠔࠗ࡞ࠍ✬➏ߔࠆᮭ㒢߇ ਈ߃ࠄࠇߚੱ‛ߪޔECౝߦ ߥߌࠇ߫ߥࠄߥޕ ᯏེߪᜰߩઃ㍳IVߦ߹ࠇߡࠆ߆? YES NO YES このオプションは、独立して機能する機器や、機械の機能を 変更する機器には利用されません。 ᯏ᪾ߪޔᯏེ࠲ࠗࡊ↪ߦᜰቯ ߐࠇߚ․ቯߩᢛวENᜰࠍ ቢోߦḰߒߡࠆ߆? 組込みの適合宣言書には、以下の情報が含まれていることが 必要です: Ÿ 半完成機械類の説明とこれを特定するもの。これには、一 般的な名称、機能、モデル、タイプ、シリアルナンバー、 および取引名などがあります。 Ÿ この指令の中でどの重要な要件が適用され満たされている かということを宣言する文章と、付録VIIのBに従って関連 技術文書が編集されたことを宣言する文章、および該当す る場合、他の関連宣言と共に半完成機械類の適合を宣言す る文章 Ÿ 国内当局の正当な求めに応じて、半完成機械類の関連情報 の伝達を保証すること。これには伝達方法が含まれてい て、半完成機械類の製造者の知的財産権を侵害しないよう な方法にすべきです。 Ÿ 該当する場合、半完成機械類を組み込んだ完成機械に対し て、この指令の対応についての適合が宣言されるまで、当 該機械類を使用すべきでない旨を示すステートメント Ÿ 宣言の場所と日付 Ÿ 製造メーカまたは正式な代表者にかわって宣言の作成に携 わった人のIDと署名 ⋥ធޔᜰߩ EHSRߦᓥ߁ ᔅⷐ߇ࠆޕ ቯᯏ㑐߇ ECဳᑼክᩏࠍ ታᣉߔࠆᔅⷐ ߇ࠆޕ OR OR ቢోߥຠ⾰⸽ ߩᚻ㗅ߦᓥ߁ ᔅⷐ߇ࠆޕ ᛛⴚࡈࠔࠗ࡞ࠍḰߔࠆᔅⷐ߇ࠆޕ ޟECㆡวት⸒⚵ޟߪߚ߹ޠㄟߺㆡวት⸒ᦠ߇ޠਈ߃ࠄࠇޔ ޟCEࡑࠢ(ߡࠇࠄ⾍߇ޠㆡวߔࠆ႐ว)ޔ ⺑↪ޟᦠ߇ޠឭଏߐࠇࠆޕ 図7: 機械指令に対する手順の概要 詳細は、指令(2006/42/EC)を参照してください。 EUの労働の場における機械使用の指令(U.W.E.指令) 機械指令が供給者を対象としているのに対して、この指令 (89/655/EECの95/63/ECによる改訂、2001/45/ECおよび 2007/30/EC)は、機械の使用者を対象としています。すべて の産業部門を対象としており、事業者が負うべき全般的な義 務と、作業機器の最低限の安全要件を規定しています。すべ てのEU諸国では、この指令を実施するために独自の法律を制 定しています。すべてのEU加盟国は、この指令を実施するた めに、独自の形式で法規を制定しています。 EU領域外から供給される機械—正式な代表者 例えば、英国では、作業機器の提供と使用規則(The Provision and Use of Work Equipment Regulations) (通常 P.U.W.E.R.と略す)という名称で、番号が付けられた条例をま とめた形式で実施しています。実施方法は、国によって異な りますが、指令の効力は保持されます。 EU (またはEEA)領域外に本拠地を置く製造メーカがEUに機 械を輸出する場合は、正式な代表者を指名する必要がありま す。 これらの規定は、この指令の対象となる装置の種類と仕事場 について詳細に説明されています。 正式な代表者とは、製造者から、製造者の代理として機械類 の指令に関連した義務や手続きを実行するために、書面によ る指令を受領した、EC (欧州共同体)内にいる個人または法人 を意味します。 さらにこれらの規定は、安全な作業体系の制定や適切なメン テナンスが必要な適切で安全な機器の提供など、事業者に対 する全般的な義務も規定しています。機械オペレータには、 機械を安全に使用するために、正確な情報とトレーニングを 提供する必要があります。 1993年1月1日以降に提供された新規の機械類(およびEU領域 外から持ち込まれた中古機械類)は、機械指令など関連するす べての製品指令(暫定的な取決めに従う)を満たす必要があり ます。EU内から初めて作業場に持ち込まれた中古機器は、 U.W.E.指令の付録に記載されている最低の要件をすぐに満た す必要があります。 R 1-規定 㑐ㅪߔࠆ᰷Ꮊ ᢛวⷙᩰߦᓥ߁ OR ᔅⷐ߇ࠆޕ 2-Opto-electronics Ÿ 関連する技術文書を編集することを許可された人物の名前 と住所。この人物はEU領域内にいる人物でなければなりま せん(EC領域外の製造者の場合「正式な代表者」の場合も ある)。 NO Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-5 Safety Switches Ÿ 半完成機械類の製造者の商号と完全な住所、および該当す る場合は正式な代表者 General YES Operator Interface 後日他の品目と組み合わせて完全な機械を形成する機器が提 供される場合、これに対して組込み適合宣言書を発行する必 要があります。CEマークは適用しないでください。この宣言 書には、当該機器を組み込んだ機械に対して適合が宣言され るまで、使用すべきでない旨を明記する必要があります。こ れについて、技術ファイルを用意する必要があり、また半完 成機械類は、安全が損なわれないように、完成機械類へ正し く組み込むために満たすべき条件の説明を含む情報が添付さ れて提供される必要があります。 Logic 半完成機械類に対するEC組込みの適合宣言書 原理、規格&実装 規定 職業安全衛生管理局 General 米国では、産業安全の主要な原動力の1つは、職業安全衛生 管理局(OSHA)です。OSHAは、米国議会の決議によって 1970年に設立されました。この法令の目的は、安全で健康的 な作業環境を提供して、人材を保護することです。この法令 は、企業に適用できる強制的な職業安全衛生規格を設定する 権限を労働長官に付与したことで、州際通商にも影響を与え ました。この法令は、米国、コロンビア特別区、プエルトリ コ連邦、バージン諸島、米国領サモア、グァム、太平洋諸島 信託統治領、ウェーク島、連邦大陸棚領域法で定義されてい る大陸棚、ジョンストン島、および運河地帯に存在する職場 で行われる雇用に対して適用されます。 図8: 指令は機器の使用をカバーする 1-規定 注: 大幅な修理や改造を行なった既存または中古の機械類は 新規機器と分類されるので、これらの機器で実行される作業 は、(自社内で使用する場合であっても)機械指令に準拠して いることを確認する必要があります。 2-Opto-electronics 「作業機器の適合性」は、指令のもっとも重要な部分で、事 業者の責任で(Management of Health and Safety at Work Regulations 1992に基づいて)、リスクアセスメントの適切な プロセスを実施することに焦点を当てています。 これは、機械類が適切にメンテナンスされている必要がある 要件です。これは通常、予防的メンテナンススケジュールを 計画し、ルーチン化する必要があることを意味します。ログ が集計されて最新のものが保持されていることが推奨されま す。このことは、機器のメンテナンスや検査が保護装置や保 護システムの安全性を維持するのに貢献している場合特に重 要です。 Safety Switches U.W.E.指令の付録には、作業機器に適用される一般的な最小 要件が指定されています。 機器が関連する製品指令(機械指令など)に適合している場 合、これらの機器は付録の最低の要件に指定されている対応 する機械設計要件に自動的に適合しています。 加盟諸国は、U.W.E.指令の最小要件を超える作業機器の使用 に関する法律を発布することができます 作業機器使用指令の詳細は、EUの公式サイトをご覧ください : http://europa.eu/legislation_summaries/employment_and_ social_policy/health_hygiene_safety_at_work/c11116_en.htm Operator Interface 米国の規定 ここでは、米国の産業用機械保護安全規格について紹介しま す。これは単に開始点にすぎません。ユーザはその特定のア プリケーションについての必要条件を更に明らかにし、その 設計、使用方法、保守の手順や実情がユーザ自身の必要性の みならず国や地方の法令や規格に確実に適合するようにしな ければなりません。 米国には産業安全を推進する多くの機関が存在し、これらに は以下のようなものがあります。 1. 制定された必要条件とともに、独自の内部必要条件を設定 している社団法人 Logic 2. 職業安全衛生管理局(OSHA) 3. 全国防火協会(NFPA), ロボット協会(RIA), および生産技術 協会(AMT)といった産業組織、およびロックウェル・オー トメーションのような安全製品およびソリューションのサ プライヤ 1-6 この法令の第5項では、基本的な必要事項を設定していま す。すべての事業者は、その従業員の業務および作業場所に 関して考えられる、死または重大な身体的危害に繋がる危険 性を排除する設備を整えることで、この法令が定める職業安 全衛生規格を満たす必要があります。 さらに、第5項では、すべての事業者が職業安全衛生規格、 およびこの法令に従って発行された規則、規程、指令の中で それぞれの活動および事業に適用されるものをすべて遵守す るように述べています。 OSHA規格は事業者と従業員の両方に責任を課しています。 これが機械指令との大きな相違点です。機械指令は、サプラ イヤに危険性のない機械の販売を義務付けています。米国で は、サプライヤは安全装置のない機械を販売することができ ます。機械を安全に使用するために、ユーザが安全装置を取 り付ける必要があります。この規則が成立した時点ではこれ が普通でしたが、機械が設計され、製造された後で安全装置 を追加するよりも、安全性を考慮して機械を設計した方がは るかに低コストになるため、傾向としてはサプライヤが機械 に安全装置を取付ける方が主流になっています。現在は、サ プライヤとユーザが安全装置の必要事項について話し合うこ とで、機械をより安全にするだけでなく、生産性を向上させ ようという試みが一般的になされています。 労働長官は、任意の国民的合意規格、および制定されている 連邦法を、その規格が特定の従業員の安全および健康の改善 に繋がらない場合を除き、職業安全衛生規格として公布でき る権限を持っています。 OSHAでは、最終的にこの規格を連邦規則集第29編(29 CFR) で公開しました。産業機械に関連する規格は、OSHAにより 29 CFR Part 1910で公開されています。これらの規格は、 OSHAのWebサイト(www.osha.gov)で自由に参照できます。 一般的な規格とは異なり、OSHA規格は自由意思によるもの ではなく、法規です。 機械安全に関する重要な項目を、以下に紹介します。 A 総則 B 確立した連邦の基準の採用および準用 C 安全一般および健康に関する規定 H 危険物 I 個人用保護具 J 環境管理(ロックアウト/タグアウトを含む) O 機械および機械の防護装置 R 特殊な産業 S 電気 一部のOSHA規格では、任意規格にも言及しています。参照 文書として取り入れることには、連邦公報で全面的に公開さ れたものとして扱われるという法的効力があります。国民的 合意規格がサブパートに参照文書として掲載された場合、そ の規格は法律と考えられます。例えば、NFPA70 (米国電気工 事基準と呼ばれる任意規格)は、サブパートSに参照文書とし て掲載されています。これによって、NFPA70規格必須事項 はOSHAでも必須になります。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 1910.212は、機械に関する一般的なOSHA規格です。ここで は、機械領域のオペレータやその他の従業員を、作業点、入 り口のニップポイント、回転部品、飛沫や飛火によって発生 する危険から保護するために、機械保護の手段を1つ以上装 備するように指示しています。防護装置は、可能な場合は機 械に取り付け、何らかの理由で機械に取付けることが不可能 な場合は他の場所に取付けます。ガードは、それ自体に事故 危険性があってはなりません。 「作業点」とは、処理対象の原料に対して実際に作業が行な われる機械の領域を意味します。機械の作業点では、作業者 が危険に曝されることになるので、防護装置が必要です。ガ ードは、適切な規格に適合しているか、適用できる特定の規 格がない場合は、作業中にオペレータの身体部分が危険ゾー ンに入るのを防げるように設計され、設置されている必要が あります。 サブパートS (1910.399)は、OSHA電気要件について記述し ています。設備または装置は、労働次官補の認可を受け、許 可、認定、リスト、ラベルを受けているか、NRTL (国家承認 試験研究所)によって安全性を認められている場合は、サブパ ートSの意義の範囲内で認可されます。 「装置」とは、電気設備の一部として、または接続して使用 される素材、建具、デバイス、器具、付属品、器材などを意 味します。 「リストされる」とは、その装置が、(a)当該装置の製品を定 期的に調査している国家承認の研究所によって公開されてい るか、(b)国家承認規格を満たしている、または指定された方 法で使用上の安全性が確認されたと明言されたリストに記載 されているのと同等であることを意味します。 事業者には事故の履歴をOSHAに報告する義務があります。 OSHAでは事故の発生率を累計し、その情報を支局に報告し て、この情報を使用して調査の優先度を決定します。主要な 検査要因は以下の通りです。 Ÿ 差し迫った危険 Ÿ 大惨事および死亡事故 Ÿ 従業員の不満 Ÿ 危険度の高い業種 Ÿ 局地的に計画された検 Ÿ 追跡検査 Ÿ 連邦および地方の集中プログラム OSHA規格に違反した場合は罰金が徴収されます。罰金の一 覧を以下に示します。 Ÿ 重大:違反1件につき、最高7000ドル Ÿ 重大以外:7000ドルを超えない範囲で自由裁量 Ÿ 2回目以降:違反1件につき、最高70,000ドル Ÿ 故意:違反1件につき、最高70,000ドル Ÿ 違反による死亡事故:追徴金 Ÿ 改善なし:1日ごとに7000ドル 以下の表に、2004年10月から2005年9月までのOSHA違反上 位14項目を示します。 規格 1910.147 説明 危険な動力の管理(ロックアウト/タグアウト) 1910.1200 危険有害性の周知 1910.212 すべての機械に対する一般的必要条件 1910.134 呼吸器の保護 1910.305 一般的な使用に対する配線方法、器具、設置 1910.178 産業用動力駆動運搬車 1910.219 機械的伝道装置 1910.303 一般要件 木工機械の必要条件 19102.215 砥石車機械 19102.132 一般要件 1910.213 1910.217 機械的なパワープレス 1910.095 職場での騒音への暴露 1910.023 床および壁の開口部および穴の防護 表1 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-規定 2-Opto-electronics サブパートOでは、「機械および機械の防護装置」について 定めています。このサブパートには、すべての機械に関する 一般的な必要事項だけでなく、一部の特殊な機械に関する必 要事項のリストもあります。1970年にOSHAが設立されたと き、既存のANSI規格が多数取り入れられました。例えば、機 械式パワープレスに関するB11.1は、1910.217として取り入 れられました。 一部の州では独自にOSHAの支部を承認しているところもあ ります。24の州、プエルトリコ、およびバージン諸島では、 OSHA公認の州のプランを作成し、独自の規格と実施方針を 採用しています。多くの場合、これらの州では連邦OSHAと 同じ規格を採用しています。しかし、一部の州ではこの項目 に適用できる異なる規格または実施方針を採用しています。 Safety Switches 通常の生産作業中に行なわれるツールの小規模な変更や調 整、およびその他の小規模な修理作業は、定期的に繰返され る、製造用装置の使用に不可欠な日常業務で、その作業が有 効な保護機能を備えた代替手段を使用して行なわれるのであ れば、この規格の対象外です。代替手段とは、ライトカーテ ン、セーフティマット、ゲートインターロック、およびその 他安全システムに接続されている同等の装置など、安全保護 装置を意味します。機械の設計者およびユーザの課題は、何 が「小規模な」修理で、何が「日常的に繰返される不可欠 な」作業かを判断することです。 Operator Interface 事業者は適切なロックアウト装置またはタグアウト装置を取 り付けて、装置を絶縁したり、機械または装置が動作しない ようにすることで、意図しない動作、始動または蓄積された エネルギーの放出を回避して、従業員を事故から守るための プログラムを確立し、手段を利用する必要があります。 2009年8月現在、OSHAに承認されているNRTL (国家承認試 験研究所)を以下に示します。 Canadian規格 Association (CSA) Communication Certification Laboratory, Inc. (CCL) Curtis-Straus LLC (CSL) FM Approvals LLC (FM) Intertek Testing Services NA, Inc. (ITSNA) MET Laboratories, Inc. (MET) NSF International (NSF) National Technical Systems, Inc. (NTS) SGS U.S. Testing Company, Inc. (SGSUS) Southwest Research Institute (SWRI) TÜV America, Inc. (TÜVAM) TÜV Product Services GmbH (TÜVPSG) TÜV Rheinland of North America, Inc. (TÜV) Underwriters Laboratories Inc. (UL) Wyle Laboratories, Inc. (WL) Logic サブパートJの29 CFR 1910.147では、危険な動力の管理に ついて述べています。これは、通常ロックアウト/タグアウト 規格と呼ばれます。これに相当する任意規格はANSI Z244.1 です。基本的に、この規格では修理中またはメンテナンス中 は、機械の電源をロックアウトするように規定しています。 この目的は、意図せずに機械を出力状態にしたり、始動させ たりすることで、従業員が負傷するのを回避することにあり ます。 General 規定 1-7 原理、規格&実装 規格 カナダの安全規格 General カナダでは、産業安全は州レベルで管理されています。州ご とに独自の規格を維持し、施行しています。例えば、オンタ リオ州では労働安全衛生法を制定し、職場のすべての当事者 に権利と義務を設定しています。この法規の主な目的は、職 場での労働者の健康と安全を確保することです。この法規で は、職場の危険性への対処方法について詳細な手順を確立し て、任意では遵守が達成されない部分への法の執行を規定し ています。 この法規の規定851、第7項では、始動前の安全衛生点検を定 義しています。この点検は、オンタリオ州内のあらゆる機械 の新築、改築、または修正部分に対する必須事項であり、専 門の技術者によるレポートの作成が要求されます。 1-規格 規格 ここでは、機械安全に関する典型的な国際規格および国家規 格をいくつか取り上げます。完全な表を示すのではなく、標 準化の対象となる機械安全に関する問題を把握することが目 的です。 「法規」の項も併せて参照してください。 2-Opto-electronics 世界中の国々が規格の国際的な調和に向けて努力していま す。これは特に機械安全の分野で顕著に表れています。国際 的な機械の安全規格は、ISOとIECの2つの機関によって管理 されます。地域規格と国家規格は引き続き存在していて、地 域の必要事項をサポートしていますが、ほとんどの国は、 ISOおよびIECによって制定された国際規格を採用する方向に 動いています。 Safety Switches IECは電気工学的問題に対応し、ISOはその他のすべての問題 に対応しています。先進工業国のほとんどがIECおよびISOの メンバーになっています。機械安全規格は、世界中の先進工 業国から集められた専門家によるワーキンググループによっ て作成されます。 例えば、EN (欧州標準)規格は、EEAの国々で使用されていま す。新しいEN規格は、すべてISOおよびIEC規格と協調して いて、多くの場合、同じ文章が使用されています。 ほとんどの国では、規格は任意規格として捉えることができ るのに対し、法規は法的に必須です。通常、規格は法規の実 用的な解釈として使用されます。したがって、規格と法規は 綿密に関連し合っていると言えます。 Operator Interface ISO (International Organization for Standardization :国際標準化機構) 工学的規格への適合の評価など電気工学の標準化およびその 関連事項のあらゆる問題に対して国際的な協力を促進してい ます。 詳細は、IECのWebサイトをご覧ください: www.iec/ch EN欧州統一規格 これらの規格は、すべてのECおよびEFTA加盟国に共通する もので、欧州標準化機関CENおよびCENELECによって作成 されます。これらの使用は任意ですが、これに合わせて機器 を設計および製造することが、EHSRへの準拠を証明するた めのもっとも直接的な方法です。 これらは、3つのグループ(A, B, およびC規格)に分かれてい ます。 タイプA規格:あらゆる種類の機械に適用できる局面をカバ ーします。 タイプB規格:さらに2つのグループに分割されます。 タイプB1規格:機械の特別な安全性と人間工学に関わる 局面をカバーします。 タイプB2規格:安全関連部品および安全装置をカバーし ます。 タイプC規格:特殊なタイプまたはグループの機械をカバー します。 C規格に準拠することによって、自動的にEHSRへの適合が 推測されることに注目してください。C規格に適合しない場 合、AおよびB規格を使用して関連するセクションへの準拠を 指摘することにより、部分的または完全にEHSRへの準拠を 証明することができます。 CEN/CENELECとIECおよびISOなどの機関間の協力に関し て、他の世界中の標準化機関と合意に達しました。ここから 最終的には共通の世界基準が生まれなければなりません。多 くの場合、EN規格はIECまたはISOと同等です。一般的にこ の2つのテキストは同じですが、規格の遵守に対して地域差 があります。 次に、機械安全に関連したEN/ISO/IECおよびその他の国家規 格および地域規格をいくつか取り上げて説明します。ISOま たはIEC規格と同じか、または密接に関連したEN規格を( )で 囲んで示していま。EN機械安全規格の完全なリストは、以下 のWebサイトを参照してください: http://ec.europa.eu/ enterprise/sectors/mechanical/machinery/index_en.htm ISOおよびEN規格(タイプA) EN ISO 12100 ISOは、世界のほとんどの国(今春の時点では157か国)の国家 規格本体から構成される非政府機関です。スイスのジュネー ブにある中央事務局が組織を統制しています。ISOでは、機 械をより効果的で、安全で、手際よく設計、製造、使用する ための規格を制定します。この規格により各国との貿易も容 易になります。 機械の安全性。基本概念、設計のための一般原則 パート1 & 2 リスクアセスメント、安全ガード、インターロック、非常停 止、トリップ装置、安全距離などを含むすべての一般原則を 要約するA規格です。他の規格の参照と、機械指令機械指令 からの必須安全要件も含まれます。 ISO規格はISOの3文字で示されます。 近い将来に、EN ISO 12100とEN ISO 14121は1つの規格に まとめられるはずです。 ISOの機械規格は、EN規格と同様にタイプA、B、Cの3段階 で構成されています(「EN欧州統一規格」を参照)。 EN ISO 14121 Logic 詳細は、ISOのWebサイトをご覧ください: www.iso.org IEC (International Electrotechnical Commission :国際電気標準会議) IECは、電気、電子、および関連技術に関する国際基準を作 成し、公開しています。IECはそのメンバーを介して、電気 1-8 リスクアセスメントの原理 この原理は、機械の使用期間中のリスクを評価するための基 本についてまとめています。危険分析およびリスクの見積り の方法を要約しています。 ISOテクニカルレポート:ISO/TR 14121-2も使用できます。 これには、リスクアセスメントの使用についての実際的なガ イダンスと例を記載しています。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 規格 EN ISO 13849-1は、前のEN 954-1のカテゴリから直接移行 することを意図しています。これは、IEC/EN 62061と比べ て比較的シンプルな手法を取り入れていますが、一部の制約 や制限があります。改定されたISO/EN 13849-1または IEC/EN 62061は、機械類の電気安全関連システムに適用可 能で、ユーザはどちらでもニーズに合う方を選択できます が、カテゴリからの移行の場合EN ISO 13849-1の方が好まれ ます。 注: この文書が作成される直前、CEN(欧州標準化委員会)は、 最新の規格への移行を促進するために、EN-954-1準拠の認定 の最終日は2011年末に延長されたことを公表しました。これ は、元の2009年12月29日に置き換わるものです。 EN 954-1の使用と詳細の最新情報については、以下のWebサ イトをご覧ください: http://discover.rockwellautomation.com/ EN_Safety_Solutions.aspx その間、移行期間の延長は最新規格(EN ISO 13849-1または IEC/EN 62061)の使用へ移行するのに適時使用されます。 EN ISO 13849-2 制御システムの安全関連部分:パート2:妥当性確認 この規格は、制御システムの安全関連部分の妥当性確認の詳 細を提供します。これには、安全コンポーネント、原理、お よびフォルト排除を詳細に記載する付録があります。 ISO 13856-2 (EN 1760-2) 1-規格 存在検知安全装置:パート2: エッジ&バー 要件およびテスト手順を提供します。 ISO 14118 (EN 1037) 予期しない始動の回避:絶縁およびエネルギーの放出 予期しないマシンの起動を防止するために電源からマシンを 絶縁して、蓄積されたエネルギーを消散する、さらに危険な ゾーンに安全に介入するできるようにするための手段を定義 します。 ISO 14119 (EN 1088) ガード付きインターロック装置:設計および選択の原則 ガード付きインターロック装置の設計および選択の原則を提 供します。 機械式スイッチを確認するには、IEC 60947-5-1—低電圧ス イッチギア—パート5: 制御回路装置およびスイッチング素子 —セクション1: 電気機械制御回路装置を参照してください。 非機械式スイッチを確認するには、IEC 60947-5-3—障害防 止対策を備えたまたは障害時の動作が規定されている近接装 置の特定の要件を参照してください。 ISO 14120 (EN 953) ガードの設計および製造のための一般要件 固定と可動式のガードの定義、説明、および設計要件を提供 します。 ISOおよびEN規格(タイプC) 特殊なタイプの機械に対応する広範囲のタイプC規格があり ます。その例を以下に示します。 EN ISO 13850 比重停止装置、機能的な側面:設計の原理 設計の原則および要件を提供します。 EN ISO 10218-1 産業用ロボット ISO 13851 (EN 574) 両手用制御式デバイス:機能的な側面:設計の原理 両手用制御装置の設計および選択に関して、失敗の防止およ び過失の回避を含め、要件およびガイドを提供します。 EN ISO 13857 危険領域に上肢・下肢が届かないようにするための安全距離 安全な開口サイズの計算やガードの位置決めなどに必要なデ ータを提供します。 ISO 13854 (EN 349) 人体部位が押しつぶされることを回避するための最小距離 可動部との安全な隙間などを計算するために必要なデータを 提供します。 R 存在検知安全装置:パート1: マット&フロア 要件およびテスト手順を提供します。 2-Opto-electronics これは、IEC/EN 62061の代替として利用可能です(後述)。 EN ISO 13849-1は制御システムのすべての技術をカバーして いるのに対して、IEC/EN 62061は電気技術のみをカバーし ていていることに注意してください。 ISO 13856-1 (EN 1760-1) Safety Switches EN ISO 13849-1:2008 制御システムの安全関連部分: パート1: 設計の一般原則 この規格は、(2011年末に期限を迎える)旧EN 954-1の重要な 改定版です。制御システムの機能安全について多くの新しい 観点を取り入れています。用語「PL」(安全遂行レベル)は、 システムやサブシステムの整合性レベルを表すのに使用され ます。 EN 415-4 梱包機械の安全:パレタイザおよびデパレタイザ Operator Interface 統合製造システムの安全性:基本要件 この規格は、2007年に改訂版が発行されました。改訂版では 現代の統合機械に対応できるように大幅にアップデートされ ています。 人体の接近速度に基づく保護装置の位置決め 危険箇所から特定の安全装置、特に電気感光性装置(ライトカ ーテンなど)、感圧式マット/フロアおよび両手制御までの最 小安全距離を計算するための方法を設計者に提供します。人 が近づく速度と、ガードロックなしでインターロックされる 防護ドアを対象として合理的に推定される機械が停止するま での時間に基づいて、安全装置の位置を決めるための原則が 含まれます。 IECおよびEN規格 IEC/EN 60204-1 機械の電気装置:パート1: 汎用要件 機械の配線と電気機器の安全面に関する勧告を要約した非常 に重要な規格です。大幅に改訂されたバージョンが2006年に 発行されました。このバージョンでは、電気機械式安全回路 に関してそれまで優先されていたことが削除されています。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-9 Logic EN ISO 11161 General ISO 13855 (EN 999) ISOおよびEN規格(タイプB) 原理、規格&実装 規格 IEC/EN 61508 General 1-規格 電気、電子、およびプログラマブル電子安全関連システムの 機能安全 この規格は、複雑な電子およびプログラマブルシステムおよ びサブシステムの設計に必要な必要事項と対策について記述 されている重要な規格です。機械部門だけに限定されない一 般的な規格で、7つの部分で構成される複雑な文書です。機 械部門内では、主にセーフティPLCのような複雑な装置の設 計に使用されます。機械のシステムレベルの設計および統合 に関しては、IEC/EN 62061や改訂版のISO/EN 13849-1など のその分野専用の規格がもっとも適切です。IEC 61508は、 現在浮上している次世代の分野および製品固有の規格への対 応策を綿密に記しています。SIL (safety integrity level:安全 度水準)という用語を採用し、4つのSIL階層を作成して、安全 機能に適用します。SIL 1が最低レベルで、SIL 4が最高レベ ルです。SIL 4は、石油化学または原子力などの分野により関 係が深い、非常に高いリスクレベルを対象としているため、 通常は機械分野に適用されることはありません。 IEC 62061 (EN 62061) 2-Opto-electronics 安全関連の電気、電子、およびプログラマブル電子制御シス テムの機能安全 この規格は、SIL (安全度水準)を使用した次世代規格の1つ で、IEC/EN 61508の機械類専用バージョンです。機械用の 電気式安全関連制御システムの設計、統合、検証に関する必 要事項を指定し、勧告しています。この規格は、既存のEN 954-1の代替的手段を提供し、現在および将来の機械に要求 される、ますます複雑化する安全機能にも有効であるように 考えられています。それほど複雑でない安全機能に関して は、改訂バージョンのISO/EN 13849-1の方が実施しやすいと 思われます。これらの規格を使用するには、PFHd (1時間当 たりの危険側故障確率)またはMTTFd (危険側故障発生までの 平均時間)などのデータを利用できる必要があります。このデ ータの導出方法については、この章で説明します。 Safety Switches IEC 61496 (EN 61496) 米国の規格 OSHA規格 OSHAでは、可能な限り国民的合意規格や確立された連邦規 格を安全規格として推奨しています。参照文書として掲載参 照することにより組み込まれている規格の必須条項(「~なけ ればならない」という言葉は必須であることを意味する)は、 パート1910に列挙されている規格と同じ効力および影響力を 持ちます。例えば、国民的合意規格NFPA 70は、29 CFRの パート1910、サブパートS-電気の補遺Aに参照文書として掲 載されています。NFPA 70は、全国防火協会(NFPA)によって 作成された任意規格です。NFPA 70は米国電気規約(NEC)と しても知られています。これにより、NECの必須条件はすべ てOSHAでも必須となります。 以下に機械安全と関係のあるOSHA規格の一部を示します。 1910サブパートO - 機械および機械の防護装置 1910.211 - 定義. 1910.212 - すべてのマシンの一般要件 1910.213 - 木工機械の必要条件 1910.214 - 樽製造機械の必要条件[予約] 1910.215 - 砥石車機械 1910.216 - ゴム・プラスチック産業の圧延とカレンダ 1910.217 - 機械的なパワープレス 1910.217付録A - 機械式パワープレスのセンサ装置安全シス テムの証明および認証に関する必須条項 1910.217付録B - 機械式パワープレスのセンサ装置安全シス テムの証明および認証に関する非必須条項 電気的存在保護装置:パート1: 一般要件およびテスト 1910.217付録C - PSDI規格に関する第三者認証機関のOSHA 承認に関する必須条項 一般要件およびテスト 1910.217付録D - その他の非必須補足情報 パート2: アクティブ光電保護装置を使用する機器に対する特 定の要件 1910.218 - 鍛造機 Operator Interface パート1は、電気的検知保護機器の制御およびモニタの観点 からの要件とテスト手順を説明しています。それ以降のパー トでは、システムの感知機能に特有の状況について取り上げ ています。パート2には、セーフティ・ライト・カーテンに 特有の要件を説明しています。 1910.219 - 機械的伝道装置 1910.255 - 電気抵抗溶接 1910サブパートR - 特殊な産業 1910.261 - パルプ、紙、およびボール紙製造工場 1910.262 - 繊維 IEC 61800-5-2 (EN 61800-5-2) パワー・ドライブ・システムの機能安全 この規格は、安全機能を備えたドライブについて取り上げま す。 1910.263 - パン製造装置 1910.264 - 洗濯機械および操作 1910.265 - 製材所 1910.266 - 伐木搬出 Logic 1-10 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 ANSI規格 製造技術協会(AMT) 米国規格協会(ANSI)は、米国の民間部門自主標準化システム の管理者およびコーディネータとしての役割を果たしていま す。これは民間レベルで非営利の会員組織であり、民間部門 および公共部門を通じ多様な組織の支持を受けています。 ANSI B11.1 Machine Tools - Mechanical Power Presses - Safety Requirements for Construction, Care, and Use 全米防火協会は、1911年から電気綱領(NEC)のスポンサとし ての役割を果たしてきました。規格の最初の文書は1897年 に、さまざまな保険、電気、建設、および関連業界の協力を 得て策定されました。その後NECは度重なる改版を重ねほぼ 3 年ごとに改定されています。 NECの670条では産業用機械について詳細に規定しており、 産業用機械の電気規格であるNFPA 79についても触れていま す。 NFPA 79は、公称電圧600V未満で動作する産業用機械の電気 /電子装置、機器、またはシステムに適用されます。NFPA 79 の目的は、産業用機械の一部として提供された電気/電子装 置、機器、またはシステムの利用に関する詳細な情報を提供 し、生命や財産上の安全を推進することにあります。1962年 に正式に採用されたNFPA 79は国際電気標準会議規格である IEC 60204-1の内容に非常に類似しています。 OSHA 規格では特に触れられていない機械類は、死亡または 重い傷害をもたらす可能性のある危険が認められないもので なければなりません。これらの機械は、該当する業界基準の 必要条件に適合またはそれを超えるように設計および保守が されていなければなりません。NFPA 79はOSHA規格では特 に対象とされていない機械に適用される規格です。 ANSI/NFPA 70E 職場の電気安全のための要求事項 ANSI/NFPA 79 産業機械用の電気規格 R 1-規格 ANSI B11.5 Machine Tools - Iron Workers - Safety Requirements for Construction, Care, and Use ANSI B11.6 Lathes, Safety Requirements for the Construction, Care, and Use ANSI B11.7 Machine Tools - Cold Headers and Cold Formers, Safety Requirements for Construction, Care, and Use ANSI B11.8 Drilling, Milling, and Boring Machines, Safety Requirements for the Construction, Care, and Use ANSI B11.9 Grinding Machines, Safety Requirements for the Construction, Care, and Use ANSI B11.10 Metal Sawing Machines, Safety Requirements for Construction, Care, and Use ANSI B11.11 Gear Cutting Machines, Safety Requirements for the Construction, Care, and Use ANSI B11.12 Machine Tools - Roll-Forming and Roll-Bending Machines Safety Requirements for the Construction, Care, and Use ANSI B11.13 Machine Tools - Single- and Multiple-Spindle Automatic Bar and Chucking Machines - Safety Requirements for Construction, Care and Use ANSI B11.14 Machine Tools - Coil-Slitting Machines Safety Requirements for Construction, Care, and Use – Withdrawn and rolled into B11.18 ANSI B11.15 Pipe, Tube, and Shape Bending Machines, Safety Requirements for Construction, Care, and Use Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P Logic ANSI/NFPA 70 米国電気規約 (NEC) ANSI B11.4 Machine Tools - Shears - Safety Requirements for Construction, Care, and Use 2-Opto-electronics 全米防火協会 全米防火協会(NFPA)は、1896年に組織されました。その使 命は、火災やそれに関連する安全性の問題について科学的根 拠に基いた法令や規格、研究および教育を提唱することによ り、クオリティ・オブ・ライフの見地から火災の心配を低減 することにありました。NFPAはこの使命の達成のために多 くの規格のスポンサとなっています。産業安全と安全保護に 関係する2つの非常に重要な規格には、米国電気綱領(NEC)と 産業用機械の電気規格があります。 ANSI B11.3 Power Press Brakes, Safety Requirements for the Construction, Care, and Use Safety Switches これらの規格は、アプリケーション規格または構造規格のい ずれかに分類されています。アプリケーション規格は、安全 保護対策を機械に適用する方法について定義しています。 ANSI B11.1ではパワープレスへの機械防護の使用方法を示す 例を紹介しており、ANSI/RIA R15.06ではロボット保護のた めの安全保護対策の概要を説明しています。 ANSI B11.2 Machine Tools - Hydraulic Power Presses, Safety Requirements for Construction, Care, and Use Operator Interface ANSIそのものは規格の策定は行ないませんが、適格と認めら れたグループ間での合意をとりつけることにより規格の開発 を促進しています。ANSIはまた合意に達するために従うべき 原則、正当な手続きや公開性がそれらのグループにより確実 に守られるよう保証します。 General 規格 1-11 原理、規格&実装 規格 ANSI B11.16 Metal Powder Compacting Presses, Safety Requirements for Construction, Care, and Use 米国安全技師協会(ASSE) Z224.1 General ANSI B11.17 Machine Tools - Horizontal Hydraulic Extrusion Presses Safety Requirements for Construction, Care, and Use 危険なエネルギーの制御、ロックアウト/タグアウト、および 代替手段 この規格はOSHA 1910.147と同じです。エネルギーをロック アウトできなかった場合の代替方法を決定する手段(リスクア セスメント)を提供します。 ANSI B11.18 Machine Tools - Machines and Machinery Systems for Processing Strip, Sheet, or Plate from Coiled Configuration Safety Requirements for Construction, Care, and Use 米国プラスチック産業協会(SPI) ANSI B151.1 1-規格 ANSI B11.19 Machine Tools - Safeguarding When Referenced by Other B11 Machine Tool Safety Standards -Performance Criteria for the Design, Construction, Care and Operation ANSI B11.20 Machine Tools - Manufacturing Systems/Cells – Safety Requirements for Construction, Care, and Use Horizontal Injection Molding Machines – Safety Requirements for Manufacture, Care and Use ANSI B151.15 Extrusion Blow Molding Machines – Safety Requirements ANSI B151.21 Injection Blow Molding Machines - Safety Requirements ANSI B151.26 2-Opto-electronics ANSI B11.21 Machine Tools - Machine Tools Using Lasers for Processing Materials - Safety Requirements for Design, Construction, Care, and Use Plastics Machinery - Dynamic Reaction - Injection Molding Machines - Safety Requirements for the Manufacture, Care and Use ANSI B11.TR3 リスクアセスメントおよびリスク低減 – 工作機械に関連する リスクの見積り、評価、および低減に関するガイドライン Plastics Machinery - Robots used with Horizontal Injection Molding Machines - Safety Requirements for the Integration, Care and Use ANSI B11.TR4 このテクニカルレポートでは、安全アプリケーション用プロ グラマブルコントローラのアプリケーションについて取り上 げています。 Safety Switches ANSI B11.TR6 このテクニカルレポートは現在作成中で、さまざまなレベル のリスク低減に適応するため安全機能回路の例を紹介する予 定です。 Operator Interface ANSI ISO 12100 機械安全。設計のための基本概念、一般原則、パート1と2 米国では、ISO 12100規格はAMTによって同等のANSI規格と して採用されました。ISO 12100は、ほとんどのISO、IEC、 およびEN機械安全規格の基盤となるトップレベルの基本原理 で、グローバルに適用可能です。この規格は規制方法および 制限方法とは対照的に、リスクアセスメントの方法を示して います。同じ課題に異なる方法で対応している複数の国家規 格の差異によって発生するコストと関税障壁の回避を目的と しています。 ANSI B151.27 ANSI B151.28 Plastics Machinery - Machines to Cut, Slit, of Buff Plastic Foams - Safety Requirements for the Manufacture, Care and Use カナダの規格 CSA規格は、製造業者、消費者、小売業者、組合、および職 能団体、政府機関を含む、生産者とユーザの国内合意を反映 しています。この規格は工業および商業で広く使用されてお り、市役所、州政府、連邦政府でも、特に衛生、安全、ビル や建築物、および環境の分野で、条例に取り入れることもめ ずらしくありません。 カナダ国内の個人、企業、および団体は、CSA協会の作業に ボランティアとして時間とスキルを提供したり、協会の常駐 メンバーとして方針を支持することによりCSAの規格作成へ の指示を表しています。7000人を超える委員ボランティア と、2000人の常駐メンバーの合計がCSAの全メンバーになり ます。 ANSI RIA R15.06 カナダ規格委員会(SCC:Standards Council of Canada)は、 国家規格システム、独立連盟、自治組織が統合された団体 で、国益の自主基準のさらなる作成および改善に向けて努力 しています。 産業用ロボットおよびロボットシステムのための安全要件 CSA Z432-04 米国ロボット産業連合会(RIA) Safeguarding of Machinery 包装加工業協会(PMMI) CSA Z434-03 ANSI PMMI B155.1 Logic 梱包機械および梱包関連の変換機のための安全要件 このパッケージング規格は最近改訂され、リスクアセスメン トとリスク低減が組み込まれました。 Industrial Robots and Robot Systems - General Safety Requirements CSA Z460-05 Control of hazardous energy – Lockout and other methods CSA Z142-02 Code for Power Press Operation: Health, Safety, and Guarding Requirements 1-12 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 AS4024.2-1998 機械の安全ガード。パート2: 電気感光性検知システムの取付 けおよび立上げ要件 —光電子装置 この規格の基本は、IEC 61496-1および2です。パート2は、 は、機械安全に特に関連するライトカーテンの取付けおよび 立上げをカバーしています。 AS 4024.3-1998 機械の安全ガード。パート3: 電気感光性検知システムの製造 およびテスト要件 — 光電子装置 この規格の基本は、IEC 61496-1および2です。パート3は、 機械安全に特に関連するライトカーテンの製造およびテスト についてを記載しています。 AS 4024.1-2006 AS4024.4-1998 機械の安全ガード。パート1: 一般原則 機械の安全ガード。パート4: 電気感光性検知システムの取付 けおよび立上げ要件 — 感圧式装置 AS 4024.1101-2006専門用語 – 概要 AS 4024.1201-2006基本的な専門用語および方法論 AS 4024.1202-2006技術的な原則 AS 4024.1301-2006リスクアセスメントの原則 AS 4024.1302-2006機械によって送られる危険物質からの健 康と安全のためのリスクの低減 AS 4024.1401-2006設計の原則 – 専門用語および一般原則 AS 4024.1501-2006制御システムの安全関連部分の設設計 – 一般原則 AS 4024.1502-2006制御システムの安全関連部分の設設計 – 妥当性確認 AS 4024.1601-2006固定と可動式ガードの設計および構築の ための一般要件 AS 4024.1602-2006インターロックの設計および選択の原則 AS 4024.1603-2006予期しない始動の回避 AS 4024.1604-2006非常停止 – 設計の原則 AS 4024.1701-2006技術的な設計のための基本的な人体測定 AS 4024.1702-2006 人体全体が機械にアクセスするための開 口部に必要な寸法を決定するための原則 AS 4024.1703-2006開口部にアクセスするために必要な寸法 を決定するための原則 AS 4024.1704-2006人体計測データ この規格の基本は、EN 1760-1およびEN 1760-2です。パー ト4は、使用するエネルギーに関連しない機械に使用される マット、フロア、エッジ、およびバーの取付けおよび立上げ についてを記載しています。 AS 4024.5-1998 機械の安全ガード。パート5: 電気感光性検知システムの 製 造およびテスト要件 — 存在検知装置 この規格の基本は、EN1760-1およびEN1760-2です。パート 5は、使用するエネルギーに関係なく、マシンに使用される マット、フロア、エッジ、およびバーの製造およびテストに ついてを記載しています。 安全ストラテジ 純粋に機能の観点からみると、機械は材料を処理する作業を より効果的に実行できれば、それだけ優れていることになり ます。しかし、機械が機能し続けるためには、同時に安全で なければなりません。 適切な安全ストラテジを考案するには、図9に示すように以 下のことが必要です。 リスクアセスメントは、機械の制限、機能、および作業を明 確に理解することに基づいており、全寿命を通じて機械で実 施する必要があります。 リスク低減は、必要に応じて実行され、安全対策は、リスク アセスメントの段階で引き出された情報に基づいて選択され ます。 AS 4024.1801-2006安全距離 – 上肢 AS 4024.1802-2006安全距離 – 下肢 AS 4024.1803-2006人体部位が押しつぶされることを回避す るための最小距離 AS 4024.1901-2006ディスプレイと制御アクチュエータへの 人間の介入に関する一般原則 AS 4024.1902-2006ディスプレイ AS 4024.1903-2006制御アクチュエータ これを実施する方法は、安全ストラテジの基礎になります。 そのためには、すべての局面が考慮されているか、原則を無 視することで詳細を見失っていないか確認するための参考に なるチェックリストが必要です。すべてのプロセスが文書化 されているか確認します。これでさらに充実した作業が約束 されるだけでなく、他の関係者がその結果を使用してチェッ クできるようになります。 AS 4024.1904-2006視覚、聴力、および触覚のサインの要件 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-13 Logic 規格のコピーを購入するには、以下にご連絡ください。 SAI Global Limited 286 Sussex Street Sydney NSW 2001 Phone: +61 2 8206 6000 Fax: +61 2 8206 6001 Email: [email protected] Website: www.saiglobal.com/shop AS 4024.1907-2006聴力と視覚によって危険と情報の通知を 行なうシステム 1-安全ストラテジ AS 4024.1906-2006アクチュエータの位置と操作の要件 2-Opto-electronics これらの規格のほとんどが、同等のISO/IEC/EN規格と足並み をそろえています。 Standards Australia Limited 286 Sussex Street, Sydney, NSW 2001 Phone: +61 2 8206 6000 Email: [email protected] Website: www.standards.org.au Safety Switches AS 4024.1905-2006マーキングの要件 Operator Interface オーストラリアの規格 General 規格/安全ストラテジ 原理、規格&実装 安全ストラテジ ࠬࠢࠕࠬࡔࡦ࠻ ᬺ႐ౝߩߔߴߡߩᯏ᪾ࠍ⏕ ߔࠆ - ฦᯏ᪾ߦߟߡ General 㑐ㅪᖱႎ߅ࠃ߮ ኾ㐷⍮⼂ࠍෳ⠨ ߦߔࠆޕ ᯏ᪾ߩ㒢 ᯏ᪾ߩㄟ߹ࠇࠆᠲߣ↪ㅜࠍ ߔߴߡ੍᷹ߔࠆߎߣߪߢ߈ࠆ߆ޕ リスクアセスメントを行なうのに使用するテクニックとし て、通常、さまざまな人が参加している機能的なチームで行 なうほうが、個人で行なうよりもより広い適用範囲とバラン スでより良い結果を生みます。 1-安全ストラテジ ෂ㒾ߩ․ቯ ߩޘෂ㒾ߥ⁁ᴫࠍ․ቯߔࠆ - ߩޘෂ㒾ߦ㑐ߒߡ RࠬࠢߩⓍ߽ࠅ ෂ㒾ߦࠃࠆࠬࠢߩࡌ࡞ࠍ Ⓧࠆޕ ࠬࠢૐᷫ 2-Opto-electronics ࠬࠢߩ⹏ଔ ࠬࠢߩࡌ࡞ߪ ⸵ኈน⢻▸࿐ౝ߆? NO ోኻ╷ߩᅷᒰᕈߪಽ ᨆߐࠇ⸽ޔߐࠇߚ߆? NO ౣ⸳⸘ߒߚኻ╷߹ߚߪㅊ ടኻ╷ࠍታⴕߒߡෂ㒾ߦ ኻᔕߔࠆޕ ోኻ╷ߩᕈ⢻߅ࠃ߮ᯏ ⢻․ᕈߪᯏ᪾߅ࠃ߮ߘߩ ↪ᒻᘒߦㆡߒߡࠆ߆ ߤ߁߆್ᢿߔࠆޕ YES リスクアセスメントは反復プロセスで、マシンのライフサイ クルのさまざままなステージで実行できます。使用可能な情 報は、ライフサイクルのステージごとで異なります。例えば マシンビルダーで実施されるリスクアセスメントでは、詳細 なマシンのメカニズムと構造の材質にアクセスしますが、お そらくは、マシンの根本的な作業環境はおおよその仮定でし かありません。機械ユーザで実施されるリスクアセスメント は、技術的な詳細に掘り下げてアクセスする必要はありませ んが、マシンの作業環境の詳細にはアクセスします。理想で は、1つの反復の出力は、次の反復の入力になります。 機械の制限 ోࠬ࠻࠹ࠫ 図9: 安全ストラテジ Safety Switches Operator Interface このセクションは、機械製造メーカと機械ユーザに適用され るます。機械製造メーカは、マシンを安全に使用できること を求めています。リスクアセスメントはマシン設計段階から 始めて、マシンで実行する必要がある予測可能なタスクをす べて考慮する必要があります。リスクアセスメントの早期の 反復というアプローチに基づくこの作業が非常に重要です。 例えば、マシンの可動部品を定期的に調整する必要がある場 合に、測定で設計するのが可能設計段階ではこのプロセスを 安全に行なうことができます。初期段階で見過ごすと、最後 の段階では実装は困難であるかまたは不可能であることがあ ります。その結果、可動部品の調整を行なう必要があります が、非安全または効率の悪い(または両方)手段で実行するこ とになります。すべてのタスクでリスクアセスメントを行な ったマシンは、より安全で効率的なマシンになります。 ユーザ(または事業者)は、安全な作業環境を備える必要があ ります。マシンが安全であると機械製造メーカによって断言 されていたとしても、マシンユーザがl機器が安全な環境にあ るかを判断するためにリスクアセスメントを実行する必要が あります。マシンは、機械製造メーカによって予期しない状 況で使用されることが多くあります。例えば、学校の作業室 で使用されるフライス盤には、工場の工具室で使用されると き以上の考慮が必要になります。 さらに、企業ユーザが2つ以上の独立した機械を所有してい て、それらを1つのプロセスに統合する場合、技術的に言え ば、ユーザは結合した結果として出来上がった機械の製造メ ーカになることも忘れてはなりません。 Logic そこで、適切な安全ストラテジにたどり着く途中の重要なス テップについて考えます。以下の対策は、すでに工場に設置 されている機械にも、新しい単体の機械にも適用できます。 1-14 リスクアセスメントを負担と見なすのは間違っています。こ れはユーザや設計者が安全を達成する方法に関する論理的な 決定を取るのに極めて重要な情報を提供して、権限を与える のに役立つ過程です。 さまざまな規格でこのテーマについて記載されています。 ISO 14121: 「リスクアセスメントの原則」およびISO 12100:「 機械安全—基本原則」には、ほぼ世界中で適用でき るガイダンスが記載されています。 NO YES ᬺ⚳ੌ リスクアセスメント これには、マシンの部品、メカニズム、および機能に関する 情報を集めて分析することが必要です。また、マシンに対し て人が行なう作業内容をすべてと、マシンを稼動する環境考 慮する必要もあります。マシンとその使用の明確に理解する ために目的物を取得します。 機械的にまたは制御システムによってかのいずれかで個別の マシンが互いにリンクされている場合、適切な保護手段で 「ゾーン化」されるまで1台のマシンとして考慮する必要が あります。 危険の特定の段階と同様、導入時、稼働時、メンテナンス 時、廃棄時など、機械を使用している間のあらゆる段階につ いて、正しい使用法および操作だけでなく、当然予測できる 誤用または故障の影響も考慮することが重要です。 タスクおよび危険の特定 マシンに存在する危険のすべてを、特性と場所の観点から特 定してリストする必要があります。あらゆるタイプの危険を 考慮する必要があります。例えば、押しつぶし、切断、引込 み、部分噴出、蒸気、放射線、有害物質、熱、騒音などがあ ります。 タスク分析の結果を、危険の特定の結果と比較する必要があ ります。これは、危険や人の集中する場所、つまり危険な状 況になる可能性があること示します。危険な状況のすべてを リストする必要があります。同じ危険であっても、人やタス クの特性によっては異なるタイプの危険な状況を生み出すこ とになります。例えば、非常に高いスキルとトレーニングを 受けた保守要員が存在する場合と、マシンに対する知識のな い未熟な掃除人とでは影響が異なります。この状況では、そ れぞれのケースを個別にリストして特定するときに、掃除人 のそれとくらべて保守要員の保護方式が異なることを証明す る必要があることがあります。ケースが別々にリストされて いて特定されていない場合は、最悪の場合は使用すべきで、 保守要員と掃除人は同じ保護方式で共にカバーできます。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 安全ストラテジ リスクの見積もり 危険な状況の可能性を持っているマシンには、すべて危険な イベント(すなわち、害)の危険が存在します。危険が大きけ れば大きいほど、それに対する処置がより重要になります。 ある危険ではリスクが非常に低いため許容できますが、別の 危険ではリスクが非常に大きいために、保護手段として大き な措置をとる必要がある場合があります。そのため、「リス クに関してするべきこと」を決定するために、それを定量化 する必要があります。 リスクという言葉は、事故の深刻さと混同されることがよく あります。潜在的な被害の深刻さと発生の確率の両方を考慮 して、存在するリスクの量を見積ります。 このページに示すリスクの見積もりの提案は、異なる基準法 で決めているため、個別の事情には使用しないでください。 これについては、整然としてドキュメント化された構造を奨 励するために、一般的ガイドラインとしてのみ示していま す。 使用するポイントシステムはどんな特定のタイプの適用のた めにもキャリブレーションされていないため、それがアプリ ケーションに適していない場合があります。このカタログの 発行の時点で、ISO TR (テクニカルレポート) 14121-2 “Risk assessment – Practical guidance and examples of methods” は準備される予定です。このドキュメントは2007年後半に利 用可能になり、多くの必要な実際的なガイダンスを提供する はずです。 図10: 潜在的な傷害の重大度 1. 潜在的な傷害の重大度 この点について検討するために、図10に示すような危険の結 果として事故または事件が発生したと想定します。危険性に ついて注意深く調査すると、考えられる最も深刻な障害は何 かが明らかになります。 注意:これを検討するにあたり、傷害は避けられないと想定 し、その重大度のみに注目しています。オペレータが危険な 動作またはプロセスにさらされていると想定しています。 傷害の重大度は以下のように評価されます。 Ÿ FATAL (致命的) Ÿ MAJOR (重大:通常は不可逆的): 永久的な能力喪失状態、 失明、四肢切断、呼吸器障害など Ÿ SERIOUS (重傷:通常は可逆的): 意識消失、火傷、骨折、 など Ÿ MINOR (軽傷): 打撲、切り傷、すり傷、など 各説明は、図11に示すようにポイント値に割付けられていま す。 Safety Switches これは、リスクアセスメントの最も基本的な側面です。この 対象に取り組むには多くの方法があり、以下のページに基本 原理を示します。 ߎߩߢߪޔ⠨߃ࠄࠇࠆᦨ߽ᷓೞߥ 㓚ኂߪޟ㊀்ޕߔߢޠᛂᠡޔ㛽᛬ޔ ᜰߩಾᢿߪߚ߹ޔ㘧߮ᢔߞߚ⎕ ߦ ࠃࠆ⽶்ߥߤߩน⢻ᕈ߇ࠅ߹ߔޕ 以下の要因について考慮してください。 Ÿ 潜在的な傷害の重大度 Ÿ それが発生する確率 可能な限りあらゆるデータと経験を利用します。機械寿命の すべての段階に対応することになるので、最悪のケースに基 づいて決定します。 SERIOUS MINOR 図11: 発生する確率 2. 発生の頻度 発生の頻度とは、オペレータまたは保守要員がどれくらいの 頻度で危険にさらされるかです(図12を参照)。 また、常識を保有するのも重要です。決定は、可能で、現実 的でもっともらしいことを考慮に入れる必要があります。こ れは、交差している機能的なチームアプローチが貴重である ところです。 忘れてならないのは、これを実行する上で、保護システムは まだ適応されていない、または危険性がないことを前提とし なければならないことです。このリスク見積りが保護システ ムが必要であることを示す場合は、必要な特性を決定するた めの方法論がいくつかあり、それについてはこのセクション の後で説明します。 HOW OFTEN 図12: 発生の頻度 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-15 Logic 各要素を個別に取り扱うことで、これらの要素に評価を与え ます。 MAJOR Operator Interface FATAL 発生の確率には、次の2つの要素が含まれます。 Ÿ 発生の頻度 Ÿ 傷害の可能性 R 1-安全ストラテジ ߎߩߢߪ߽ᦨޔᷓೞߥ㓚ኂߪ ⥌ޟ⊛ޕߔ߹ࠅߥߦޠ General HOW BAD 2-Opto-electronics 場合によっては、既に保護対策が行なわれている既存のマシ ン(例えば、危険な可動部が連動している防護ドアによって保 護されているマシン)上でも、一般的なリスクアセスメントを 行なう必要があります。危険な可動部は、連動するシステム が故障した場合に実際の危険になるかもしれない潜在的な危 険です。まだそのインターロックシステムを有効にしていな い場合(例えば、適切な規格へのリスクアセスメントによるか または設計による)、その存在を考慮に入れるべきではありま せん。 原理、規格&実装 安全ストラテジ General 危険発生の頻度は、以下のように分類されます。 Ÿ FREQUENT (頻繁): 1日に数回 Ÿ OCCASIONAL (時折): 毎日 Ÿ SELDOM (まれ): 週1回以下 上部の数字は割当てられている値で、これらを加算すること で、初期見積りが得られます。図16では、最大13の値までの 3つのコンポーネントの加算を示しますが、以下に示す他の 要素も考慮することによって、初期見積りを調整する必要が あります。 各説明は、図13に示すようにポイント値に割付けられていま す。 1-安全ストラテジ 4 2 1 1 FREQUENT 2-Opto-electronics 6 OCCASIONAL SELDOM 図13: 割当てられる値 3. 傷害の可能性 オペレータが危険な動作またはプロセスにさらされていると 想定しています(図14を参照)。 6 HOW L I K E LY 図16: 初期見積り Safety Switches ߎߩߢߪޔෂ㒾㗔ၞߦߞߡ ࠆߩㇱಽߣᯏ᪾ߩേㅦᐲ ߆ࠄ்ޔኂߩน⢻ᕈߪ⏕ޟታޠ ߣ⹏ଔߐࠇ߹ߔޕ ߎߩߢߪޔෂ㒾ࡩᚲߣࠝࡍ ࠲ߩធὐ߇ࠊߕ߆ߢࠆߚ்ޔ ኂߩน⢻ᕈߪޟน⢻ᕈ⹏ߣޠଔ ߐࠇ߹ߔޕෂ㒾ࠍ࿁ㆱߔࠆ㊄ዻ ߩኈེ߇ࠆ႐ว߽ࠅ߹ߔޕ 図14: 傷害の可能性 Operator Interface オペレータが機械およびその他の要素(始動時の速度、など) によってどのような影響を受けるかを考えることにより、傷 害の可能性を、以下のように分類することができます。 Ÿ Unlikely (あり得ない) Ÿ Probable (可能性大) Ÿ Possible (可能性有り) Ÿ Certain (確実) 各説明は、図15に示すようにポイント値に割付けられていま す。 Logic 1 2 6 4 (注: これは、前述の図の例に基づくものではありません。) 次のステップでは、表2に示す他の要素も考慮することによ って、初期見積りを調整します。正しく検討できるのは、通 常、機械が永続的な場所に設置されている場合だけです。 典型的な要素 処置 複数の人間が危険にさらされる。 重大度の要素に人数を掛ける。 危険領域で電源が完全に遮断さ れない状態が長く続く。 1回の接近にかかる時間が15分を 超える場合、頻度要素に1ポイン ト加算する。 オペレータが技術者でないか、 トレーニングを受けていない。 合計に2ポイント加算する。 接近の間隔が非常に長い(例えば1 年)。(特にモニタシステムに、進 最大頻度要素と同等のポイント 行性および未発見の故障がある を加算する。 可能性がある。) 表2: タスクの見積もりに関する追加の注意事項 追加要素を考慮した結果は、図17に示すように前述の合計に 加算されます。 CERTAIN PROBABLE POSSIBLE UNLIKELY 図15: 割当てられる値 1-16 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 安全ストラテジ リスク低減 6 リスク低減手段のヒエラルキー 以下の3つの基本的な手段を、記述されている順番に考慮し て使用するように説明しています。 1, できる限りリスクを排除または低減する(本質的に安全な 機械の設計および構造)。 W LO 6 2. 排除できないリスクに対して必要な保護手段(例:インタ ーロック付きガード、ライトカーテンなど)を講じる。 3. 採用された保護手段が不十分なために未解決のリスクにつ いて、ユーザに通知し、特別なトレーニングが必要かどう かを示し、さらに個人用保護具を用意する必要があれば指 定する。 図17: 調整した最終値 ヒエラルキーの各手段は、上から順番に考慮して可能であれ ば使用する必要があります。通常、これらの手段を組み合わ せて使用します。 Company - MAYKIT WRIGHT LTD Facility - Tool room - East Factory. Date - 8/29/95 Operator profile - skilled. Equipment Identity & Date Directive Risk Accident Notes Conformity Assessment History Report Number Bloggs center None lathe. claimed Serial no. 8390726 Installed 1978 RA302 None Hazard Identity Electrical equipment Chuck rotation complies with with guard BS EN 60204 open E-Stops fitted (replaced 1989) Hazard Type Action Required Implemented and Inspected Reference Mechanical Entanglement Cutting Fit guard interlock switch 11/25/94 J Kershaw Report no 9567 Toxic Change to non toxic type 11/30/94 J Kershaw Report no 9714 Cutting Supply gloves 11/30/94 J Kershaw Report no 9715 Crushing Move machine to give enough clearance 4/13/95 J Kershaw Report no 10064 Cutting fluid Swarf cleaning M/c Dir. EMC Dir RA416 None Movement of bed (towards wall) Logic Bloggs turret head milling m/c Serial no 17304294 Manuf 1995 Installed May 95 1-安全ストラテジ 1 2-Opto-electronics M IU D E M この図から、機械にCEマークが付けられている場合、機械の 危険性が機械メーカによってすでに評価されているので、処 理が簡単になることと、必要な手段がすでに取られているこ とがわかります。CEマークが付けられた装置であっても、機 械メーカでは予測できない用途の性質や処理される材料によ る危険は、まだ存在している可能性があります。 Safety Switches 図18に示すチャートは、使用している機械の安全性をあらゆ る局面から明らかにする、文書化されたプロセスの一部を表 しています。これは、機械ユーザのガイドとして使用できま すが、機械メーカまたはサプライヤも、同じ原理を使用し て、すべての機器が評価されているか確認することができ、 リスクアセスメントについてより詳細にレポートするための インデックスとしても使用されます。 General 次に、個々の機械とそれに関するリスクを順番に検討し、す べての危険に対する対策を講じます。 Operator Interface HIGH 図18: リスクアセスメントのマトリックス R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-17 原理、規格&実装 安全ストラテジ 本質安全設計 ోㆀⴕࡌ࡞、 PLr General 機械設計の段階で、材質、アクセス要件、熱面、通信方法、 トラップポイント、電圧レベルなどの要因を注意して考慮す ることによって多くの危険の可能性をできるだけ簡単に防ぎ ます。 例えば、危険領域に近づく必要がない場合、保護対策は、マ シンのボディ内での安全ガードまたは固定式保護ガードのい ずれかのタイプになります。 F1 S1 F2 Start F1 S2 保護システムおよび手段 1-安全ストラテジ 接近する必要がある場合は、状況は多少困難になります。機 械が安全なときだけ、接近できるようにする方法を確保する ことが必要です。インターロック付き防護ドアやトリップシ ステムなどの保護手段が必要になります。保護装置または保 護システムの選択は、機械の操作特性に強い影響を受けま す。機械の効率を損なうシステムは、権限なしで排除された り、無視されたりする傾向があります。 この場合の機械の安全性は、フォルト状態でも、保護システ ムを適切に適用し、正しく操作できるかどうかに左右されま す。これで、アプリケーションは適切な保護システムによっ て対応されたことになります。 2-Opto-electronics 今度はシステムの正しい操作について考慮する必要がありま す。それぞれのタイプには、さまざまなレベルのフォルトモ ニタ、検出、または阻止能力を備えたテクノロジの選択肢が あります。 Safety Switches 理想を言えば、どの保護システムも、危険な状況に陥る可能 性が完全になくなれば完璧です。しかし、現実には、現在の 知識および資料の限界によって制約されています。もう1つ の非常に現実的な制限は、もちろんコストです。これらの要 素から、平衡感覚が必要であることが明らかになります。常 識で考えれば、ワーストケースでも軽い打撲を与える可能性 のある機械の安全システムの整合性は、ジャンボジェットを 飛ばすために必要とされるのと同じだと言い張るのは、ばか げています。故障の影響は大幅に異なるので、保護手段が及 ぶ範囲と、リスク見積りの段階で判明した受けるリスクのレ ベルとを関係付ける方法をいくつか用意する必要がありま す。 Operator Interface どのタイプの保護装置を選択するとしても、「安全関連シス テム」には、保護装置、配線、電源スイッチ装置、ときには 機械の運転管理システムの一部などを始めとして多くの要素 が含まれることを忘れることはできません。システムのこれ らの要素(ガードの組込み、取付け、配線など)はすべて、そ れぞれの設計原理やテクノロジに適したパフォーマンス特性 を備えている必要があります。IEC/EN 62061およびEN ISO 13849-1は、システム制御の安全関連部分のパフォーマンス の階層的なレベルを分類しており、その付録に保護システム の整合性要件を判断するためリスクアセスメント手段を記載 しています。 ISO 13849-1:2006は、付録Aに高度なリスクグラフを記載し ています。このグラフを図19に示します。 F2 P1 a P2 P1 b P2 P1 c P2 P1 d P2 S = ㊀ᄢᐲ F = 㓚ኂ⊒↢ߩ㗫ᐲ߹ߚߪ⛮⛯ᦼ㑆 P = ࿁ㆱߩน⢻ᕈ e ࠬࠢૐᷫ߳ߩ ⽸₂ᐲ Low High ోᯏ⢻ߏߣߦ್ᢿ߇ᔅⷐ! 図19: ISO 13849-1:2006による安全機能に必要なパフォーマンスレ ベルを判断するためのリスクグラフ IEC 62061でも、付録Aに図20のような形式で方法を説明し ています。 上記の方法のどちらを使用しても、同じ結果が得られます。 どちらの方法も、関連する規格の詳細な内容を考慮できるよ うになっています。 どちらの場合も、規格の本文に記載されているガイダンスが 使用されていることが極めて重要です。リスクのグラフまた は表は、単独で、または過度に単純化した方法では使用しな いでください。 評価 防護手段を選択したら、導入する前にリスクの見積りを繰返 し行なうことが重要です。この手順は見過ごしがちです。防 護手段を設置すると、マシンオペレータは本来予想されるす べてのリスクから完全に保護されていると感じることがあり ます。オペレータは危険に対する本来の認識を失うため、機 械に介入する方法を変える可能性があります。例えば、危険 に曝される機会が増えたり、機械に近寄りすぎる危険性があ ります。これは、保護手段が機能しない場合、以前に予想さ れていたよりも大きなリスクにさらされることを意味しま す。これが見積りが必要な堅実的リスクです。したがって、 リスクの見積りは、オペレータの機械への介入方法に関して 予測できる変化をすべて考慮した上で、繰返し行なう必要が あります。この作業の結果を使用して、提案された保護手段 が実際に適しているかチェックします。詳細は、IEC/EN 62061の付録Aを参照してください。 トレーニング、人体用保護具など オペレータは、機械の安全な作業方法について必要なトレー ニングを受けていることが重要です。それで他の手段を省略 できるわけではありません。オペレータに危険領域には近づ かないように指示するだけでは(保護対策のかわりとしては) 不十分です。 Logic オペレータが特殊なグローブ、ゴーグル、呼吸マスクなどの 防具を使用しなければならないこともあります。機械設計者 は、必要な防具の種類を指定する必要があります。個人用保 護具の使用は、一般的に主要な防護手段にはなりませんが、 前述の手段を補完することになります。 1-18 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 Document No.: Risk assessment and safety measures Pre risk assessm ent Interm ediate risk assessm ent Follow up risk assessm ent Black area = Safety measures required Grey area = Safety measures recommended Consequences Death, losing an eye or arm Perm anent, losing fingers Reversible, medical attention Reversible, first aid Hazard 3-4 SIL 2 Se 5-7 SIL 2 OM Fr Class Cl 8 - 10 11 - 13 SIL 2 SIL 3 SIL 1 SIL 2 OM SIL 1 OM Pr Av Frequency and Probability of hzd. duration, Fr 14 - 15 event, Pr 5 Com mon 5 <= 1 hour SIL 3 > 1 h - <=day 5 Likely 4 SIL 3 Possible 3 SIL 2 >1day - <= 2wks 4 Rarely 2 SIL 1 > 2wks - <= 1 yr 3 2 Negligible 1 > 1 yr Cl Avoidance Av Im possible Possible Lik ely Safety measure 5 3 1 Safe 1-保護手段 Ser. Hzd. No. No. Severity Se 4 3 2 1 General Product: Issued by: Date: Part of: 2-Opto-electronics Com ments 図20: IEC 62061からの機能安全に必要な安全度水準を決定するための表 ANSI PMMI B155.1: 梱包マシンおよび梱包関連の加工機械に 関する安全要件 ANSI RIA R15.06: 産業用ロボットおよびロボットシステムの 安全要件 AS 4024.1301-2006: リスクアセスメントの原則 非常停止装置およびシステムは安全関連制御システムに関連 していますが、直接的な保護システムではなく、補助的な保 護手段としてのみみなす必要があります。 接近の阻止 固定式保護ガード CSA Z432-04: 機械の安全保護対策 CSA Z434-03: 産業用ロボットおよびロボットシステム— 一般的な安全要件 IEC/EN 61508: 電気、電子、およびプログラマブル電子安全 関連システムの機能安全 IEC/EN 62061: 機械安全— 亜k全関連の電気、電子、および プログラマブル電子安全関連システムの機能安全 EN ISO 13849-1: 機械安全— 制御システムの安全関連部分 EN ISO 14121-1: リスクアセスメントの原則 ISO TR 14121-2: リスクアセスメント— 手段の実際的なガイ ダンスおよび例 R リスクアセスメントによって、機械またはプロセスが傷害の リスクを伴うことが示された場合、その危険は排除または抑 制する必要があります。これを実現する方法は、機械と危険 の性質によって決まります。ガードと共に使用する保護手段 は、危険への接近を阻止するまたは危険への接近を検出する 手段として定義されます。標準的な保護手段には、インター ロック付きのガード、ライトカーテン、セーフティマット、 両手用制御、およびイネーブルスイッチがあります。 危険箇所が、接触する必要のない機械の一部である場合、図 21に示すように固定式保護ガードで永久的にガードすること が望まれます。このタイプのガードを取り外すには、工具が 必要です。固定式保護ガードには、1) 動作環境に耐えられる こと、2) 必要に応じてプロジェクタイルを組み込む、3) それ 自体が鋭利な角などによって危険を誘発しないことが要求さ れます。固定式保護ガードには、ガードが機械に接する場所 に開口部がある場合や、エンクロージャをワイヤ・メッシュ ・タイプにすることで開口部をつくる場合もあります。 窓があると、そこから機械にアクセスして機械の動作をモニ タしやすくなります。切削液との化学的相互作用、紫外線、 および単純に老朽化により窓の素材が次第に劣化するため、 使用する材質は十分注意して選択する必要があります。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-19 Safety Switches ANSI B11.TR3: リスクアセスメントおよびリスク低減—機械 装置に関するリスク見積、評価、低減のガイド 保護手段および補助的な装置 Operator Interface 多くの規格とテクニカルレポートでは、リスクアセスメント に関するガイダンスを示しています。中には広範囲に適用で きるものもあれば、特定のアプリケーションを対象に書かれ ているものもあります。以下に、リスクアセスメントに関す る情報が含まれている規格の一覧を示します。 Logic 規格 原理、規格&実装 保護手段および補助的な装置 存在検知装置 ࿕ቯࠟ࠼ General ⓹ 領域またはエリアを保護するのを決定する際には、具体的に どのような安全機能が必要なのかを明確に把握することが重 要です。 一般的には、少なくとも2つの要素があります。 1. 危険領域内に人が入ったら、電源のスイッチを切る、また は無効にする。 2. 危険領域内に人がいる間は、電源のスイッチを入れたり、 有効にしたりできないようにする。 1-保護手段 図21: 固定式保護ガード 開口部の大きさは、オペレータが危険箇所に接触できないサ イズでなければなりません。米国のOHSA 1910.217 (f) (4)の 表O-10、ISO 13854、ANSI B11.19の表D-1、CSA Z432の表 3、およびAS4024.1に、特定の開口部と危険箇所との適切な 距離に関する指針が示されています。 接近の検出 2-Opto-electronics 保護手段は、危険箇所へのアクセスを検出するために使用さ れます。リスク低減の方法として検知が選択された場合、設 計者は完全な安全システムを使用する必要があること、安全 保護装置だけでは十分にリスクを低減できないことを理解し ている必要があります。 1点目を達成するには、ある種のトリップ装置を使用する必 要があります。言い換えると、人体の一部があるポイントを 超えたことを検出し、電源を切るための信号を発する装置で す。さらに、人がトリップポイントを過ぎてもそのまま進む ことができ、その存在がもはや検出されなくなった場合、2 点目(スイッチが入るのを回避する)を実現できないかもしれ ません。 図23に、全身が接近する場合のこのような特性を持つ装置の 例としてトリップデバイスとして垂直に取付けられたライト カーテンの例を示します。インターロック付き防護ドアも、 中に入った後、ドアが閉まるのを回避する手段がないため、 通常はトリップするだけの装置と見なされます。 ࠻࠶ࡊࡐࠗࡦ࠻: ᬌ㐿ᆎ ᬌ⚳ੌ ᬌ Safety Switches この安全システムは、通常3つのブロックで構成されます。 1) 危険箇所へのアクセスを感知する入力装置、2) 検知装置か らの信号を処理し、安全システムの状態をチェックして、出 力装置をオンまたはオフにするロジックデバイス、および3) アクチュエータ(モータなど)を制御する出力装置の3つです。 図22に、単純な安全システムのブロックダイアグラムを示し ます。 ജ ࡠࠫ࠶ࠢ ജ 図22: 単純な安全システムのブロックダイアグラム 検出装置 Operator Interface 危険領域に入ろうとする人や、危険領域内にいる人を検知す るには、さまざまな種類の装置を使用できます。特定の用途 に最適な装置は、次の要素を考慮して選択します。 Ÿ アクセスの頻度 Ÿ 危険部分の停止時間 Ÿ マシンサイクルを完了させることの重要性 Ÿ プロジェクタイル、液体、霧、蒸気、などの遮蔽 適切に選択された可動式ガードは、インターロックすること でプロジェクタイル、液体、霧、および他のタイプの危険か ら保護することができ、危険箇所にほとんどアクセスしない 場合によく使用されます。マシンサイクルの間や、機械が停 止するまでに時間がかかる場合にはインターロックガードを ロックすることで、アクセスできないようにすることもでき ます。 ෂ㒾 図23: 全身が接近 全身が接近する可能性はないので、トリップポイントを超え て進むことができない場合は、その存在は常に検出されてお り、2点目(スイッチが入るのを回避する)は実現されていま す。 体の一部が接近するタイプのアプリケーションでは、図24に 示すように同じタイプの装置がトリップ機能と存在感知機能 を実行します。唯一の違いは、使用形態です。 存在検知装置は、人の存在を検知するために使用されます。 このタイプの装置としては、セーフティ・ライト・カーテ ン、シングル・ビーム・セーフティ・バリア、セーフティ・ エリア・スキャナ、セーフティマット、およびセーフティエ ッジなどがあります。 ࠻࠶ࡊࡐࠗࡦ࠻: ᬌ㐿ᆎ ᬌ Logic ライトカーテン、マット、およびスキャナなどの存在検知装 置は、危険領域に素早く簡単にアクセスできるため、オペレ ータが危険領域に頻繁にアクセスする必要がある場合に選択 されます。このタイプの装置は、プロジェクタイル、霧、液 体、その他のタイプの危険物を防ぐことはできません。 通常の機械動作の妨害を最小限に抑えて最大の保護を実現で きる装置またはシステムが、最適な保護手段になります。実 際には使いにくいシステムは、排除されたり、回避されるこ とが多いため、機械の使用方法をあらゆる観点から検討する 必要があります。 1-20 ᬌߐࠇߥ ෂ㒾 図24: 体の一部が接近 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 ࡦ࠳ ࠪࡃ DC+24V ࡦ࠳ ᆎേ/ౣേ ࠗࡦ࠲ࡠ࠶ࠢ ࠪࡃ OSSD1 ᆎേ/ౣേ ࠗࡦ࠲ࡠ࠶ࠢ ࡕ࠾࠲ᯏ⢻ઃ߈ ࡈ࠹ࠖ ߹ߚߪ ࡈ࠹ࠖPLC CH1 OSSD 2 หᦼ CH2 L1 L2 L3 OSSD1 24Vࠣ࠙ࡦ࠼ K1 CH1 CH2 ⽶⩄ OSSD 2 ⽶⩄ K2 EDM หᦼ 図26: MSRまたはセーフティPLCとインターフェイスする ライトカーテン 24Vࠣ࠙ࡦ࠼ 図25: 基本的なライトカーテンの安全システム 検知領域への侵入によりビームが遮断されると、ライトカー テン制御回路が出力信号を停止します。出力信号は危険箇所 を停止させるために使用されます。ほとんどのライトカーテ ンにはOSSD (出力信号切換装置)出力があります。OSSD は、短絡保護、過負荷保護、およびクロスフォルト(チャネル 間)検知機能付きのPNPタイプトランジスタです。これで、セ ーフティコンタクタやセーフティ制御リレーのように、通常 最大500mAまでのDC電源装置のスイッチを操作できます。 始動/再起動インターロック:ライトカーテンは、低電力マシ ンアクチュエータ、またはモニタ機能付きセーフティリレー やプログラマブル・セーフティ・コントローラなどのロジッ クデバイスのいずれかと直接接続できるように設計されてい ます。マシンアクチュエータのスイッチを直接切換える場合 は、ライトカーテンの始動/再起動インターロック入力が使用 されます。この場合、最初にライトカーテンの電源を投入す るときや、ライトカーテンの障害物が取り除かれたときに、 ライトカーテンが危険箇所を再起動できなくなります。 R ライトカーテンは、図26に示すように、モニタ機能付きセー フティリレー(MSR)またはセーフティPLCに接続することで 安全システムに統合されます。この場合、MSRまたはセーフ ティPLCは、負荷の切換え、始動/再起動インターロック、お よび外部デバイスのモニタを行ないます。この方法は、複雑 な安全機能や、大きい負荷の切換えが必要な場合に使用され ます。また、ライトカーテンの配線を最低限に抑えることも できます。 分解能: ライトカーテンを選択するときの重要な基準の1つは、分解 能です。分解能は、ライトカーテンを必ずトリップさせるオ ブジェクトの論理的最大サイズです。よく利用される分解能 には、指の検知で一般的に使用される14mm、手の検知に使 用される30mm、および足首の検知に使用される50mmがあ ります。より大きな値の分解能は、全身の検知に使用されま す。 分解能は、ライトカーテンを危険箇所からどのくらいの位置 に設置するかを決定する要素の1つです。詳細は、「安全距 離の計算」を参照してください。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-保護手段 EDM Safety Switches DC+24V ライト・カーテン・システムは、部品故障の場合に停止信号 を機械に送ることができなければなりません。ライトカーテ ンには2つのクロスモニタ出力があり、それらはセーフティ ・ライト・カーテンの検知領域が侵された場合には状態を変 更するように設計されています。一方の出力が故障すると、 もう一方の出力が応答して、制御対象の機械に停止信号を送 ります。また、クロスモニタ対象のシステムの一部が、もう 一方の出力の状態が変化しなかったり応答しなかったことを 検出した場合にも停止信号が送られます。これにより、ライ トカーテンはロックアウト状態になり、セーフティ・ライト ・カーテンの修理が終わるまで機械を作動させないようにし ます。セーフティ・ライト・カーテンをリセットしたり、電 源を投入し直してもロックアウト状態はクリアされません。 2-Opto-electronics 動作 セーフティ・ライト・カーテンはセンダとレシーバのペアから 構成され、危険領域の前方または周囲に赤外線の複数ビーム バリアを形成します。センダは、ハウジングのいずれかの終 わりに最も近い光電ビームによってレシーバと同期します。 周囲光や他の光電装置からの干渉(クロストーク)に起因する 擬似トリップの影響を受けないようにするために、センダの LEDを特定のレートでパルス化(周波数変調)し、各LEDは順 次パルスを送ることによって1つのセンダはそれに対応した レシーバのみに信号を送るようになっています。基本的なラ イト・カーテン・システムの例を図25に示します。 センダとレシーバも、用途に合わせて必要な論理、出力、シ ステム診断、および追加機能(ミューティング、ブランキン グ、PSDI)を提供する制御ユニットに接続することができま す。 1-21 Operator Interface ライトカーテンは、IEC 61496-1および-2を満たすように設 計されテストされています。パート2の整合ENバージョンは ないため、欧州機械指令(European Machinery Directive)の付 録IVでは、ライトカーテンをEC (欧州共同体)の市場に出す前 に第三者認証を得ることを義務付けています。第三者が、こ の国際規格にライトカーテンが適合しているかどうかテスト します。Underwriter's Laboratoryでは、IEC 61496-1を米国 の国家規格として認めています。 EDM:ライトカーテンには、マシンアクチュエータをモニタ するための入力もあります。これはEDM (外部デバイスモニ タ)と呼ばれています。ライトカーテンの障害物が取り除かれ ると、再起動できるようにする前に、外部アクチュエータが オフになっているかどうか確認します。 Logic セーフティ・ライト・カーテン セーフティ・ライト・カーテンは、簡単にいえば光電センサで あり、特に危険な機械動作から工場作業者を守るために設計 されています。AOPD (アクティブ光電保護装置)または ESPE (電子感応式保護装置)としても知られているライトカ ーテンは最大の安全性を保証しつつ、生産性の向上にも貢献 し、かつ人間工学的な見地からみて機構的な保護装置よりも 安全な設備です。作業者が頻繁に、また容易に作業上危険な 箇所にアクセスしなければならない場合には、ライトカーテ ンは高い利便性を持っています。 General 保護手段および補助的な装置 原理、規格&実装 保護手段および補助的な装置 General 垂直に取付けるアプリケーション 固定ブランキング ライトカーテンは垂直に取付けるのが最も一般的な使用方法 です。ライトカーテンは、人が危険箇所に到達するまでに危 険箇所を停止できる距離に設置する必要があります。 ブランキングは、ライトカーテンの検知領域の一部を無効に して、通常そのプロセスに伴う物体についてはライトカーテ ンが無視するようにするものです。ライトカーテンでこれら のオブジェクトを無視しなければなりませんが、ライトカー テンはまだオペレータの検出を提供しています。 通り抜けアプリケーションでは、ライトカーテンを遮ると危 険箇所に停止コマンドが指令されます。例えば部品の積み降 ろしをするためにオペレータが接近していくと、体の一部分 がライトカーテンを遮り、機械の再起動を妨げるため、オペ レータは保護されます。 1-保護手段 固定式保護ガードまたは補足の防護手段によって、オペレー タがライトカーテンの上、下、周囲から近づけないようにす る必要があります。図27に、垂直に設置する使用方法の例を 示します。 図29に、、この物体が静止状態、例えば取付け具、マシン取 付け具、工具またはコンベヤである場合には、それに対応す る部分のビームがライトカーテンのブランキング部分になる 例を示します。これは固定ブランキングといい、この機能を 使用するには、物体が常に特定の場所に位置する必要があり ます。「ブランク」となるようにプログラムされたビームが 取付け具や加工中の製品によってブロックされないと、停止 信号がマシンに送られます。 ࠗ࠻ࠞ࠹ࡦߩ ޔਅߪߚ߹ޔ࿐ ߦࠕࠢࠬߒߥޕ ࿕ቯࡉࡦࠢ ߩࡆࡓ 2-Opto-electronics 図29: コンベアが固定の場合のライトカーテンのブランキング 図27: 垂直取付けのアプリケーション Safety Switches フローティングブランキング カスケード カスケードは、図28に示すように、1組のライトカーテンを 別のライトカーテンと直接接続する手法です。1組がホスト として機能し、他のライトカーテンはゲストになります。3 組目のライトカーテンを2組目のゲストとして追加すること ができます。この方法は配線コストとロジックデバイスの入 力端子を節約できます。その反面、カスケードされたライト カーテンがそれぞれスキャンする間により多くのビームがチ ェックされるため、応答時間が長くなります。 フローティングブランキングでは、マシンを停止させずに供 給原料といった物体を検知領域のいずれのポイントにも侵入 させることができます。これは、検知領域内のライトビーム を2つまで無効にすることにより可能になります。固定ウィ ンドウを形成するかわりに、ブランクされたビームは必要に 応じて上下動、または「浮遊(フローティング)」します。 Operator Interface ブランクにされるビームの数は、分解能によって異なります 。分解能が14mmのときは2本のビームをブランクできるのに 対して、30mmの分解能を使用しているときは1本のビームの みがブランクできます。この制限では、オペレータがブラン クされたビームを横切ることを防ぐために開口部を小さくし ています。 保護された機械に停止信号を送信するシステムのない同時性 ビームを除いて、検知領域でどこでもビームをブロックでき ます。図30に示すプレスブレーキに例を示します。ラムが下 がるのに従って、シートメタルは、一度に1本か2本の隣接す るビームだけを遮ってライトカーテンを通過します。 Logic 図28: カスケードされたライトカーテン 1-22 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 General ࡓ ࡈࡠ࠹ࠖࡦࠣ ࡉࡦࠢࡆࡓ ࡊࠬࡉࠠ࠳ࠗ 図32: ライトカーテンの水平取付けのアプリケーション 固定またはフローティングを問わずブランキングを使用して いる場合は、安全距離(マシンが停止する前に作業者が危険物 に到達することができないようにするための危険物とライト カーテンの最小距離)に影響してきます。ブランキングは検知 できる目的物の最低サイズを大きくすることから、最小安全 距離の計算のための式に従って最小安全距離も大きくする必 要があります(「安全距離の計算」を参照してください)。 水平に取付けるアプリケーション ペリメータまたはエリア・アクセス・コントロール ペリメータ・アクセス・コントロールは、通常、危険領域の 周囲への接近を検知するために使用されます。ペリメータア クセスを検知するために使用するライトカーテンは、図35に 示すように、全身を検知する分解能が必要です。そのために いくつかの設置方法があります。一般的には、2ビームまた は3ビームのマルチビーム装置、または鏡に反射させてデュ アル・ビーム・パターンを作るシングルビーム装置を使用し ます。いずれの場合も、一番下のビームは、地面から300mm (12インチ)の位置で、一番上のビームは人がライトカーテン を乗り越えるのを防げる位置にします。 Safety Switches 安全距離を計算すると、機械操作者がライトカーテンと危険 箇所の間のスペースに入れるかどうかがわかります。このス ペースが300mm (12インチ)を超える場合、追加の対策を考 える必要があります。1つの解決法として、第2のライトカー テンを水平に取付けることができます。2組のライトカーテ ンを別個に取付けるか、カスケードして取付けることができ ます。別の方法としては、より長いライトカーテンを機械か ら斜めに取付ける方法もあります。これらの方法を図31に示 します。どの方法でも、ライトカーテンは危険箇所から安全 距離を空けて設置する必要があります。 図33: ミラーを使用するペリメータ 安全距離が比較的長い場合や、平面を検知する場合は、図32 のようにライトカーテンを水平に取付けることができます。 ライトカーテンは、汚れないように床に近づけすぎず、ライ トカーテンの下を腹ばいで通れるほど高くない位置に取付け る必要があります。床から300mm (12インチ)の距離での使 用が一般的です。さらに、ライトカーテンを機械にアクセス するための踏み台として使用することはできません。ライト カーテンの分解能は、少なくとも足首を検知できるものを選 択します。足首の検知には50mm以下の分解能が使用されま す。ライトカーテンでセル全体を保護できない場合は、手動 停止機能を使用する必要があります。リセットボタンは、セ ルの外のセル全体が見える位置に設置します。 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P Logic 図31: ライトカーテンと危険箇所のスペースについての 代替ソリューション ミラーを使用すると、光ビームをセルの周囲で屈折させるこ とができます。鏡に反射させることでライトカーテンの到達 距離は短くなります。ライトカーテンの配置方法は難しくな るので、設置するときは、可視レーザ配置ツールが必要にな ります。 Operator Interface 図30: フローティングブランキング 2-Opto-electronics 1-保護手段 ടᎿਛߩຠ 1-23 原理、規格&実装 保護手段および補助的な装置 General ⼊๔㗔ၞ ో㗔ၞ 7 図35: 構造物の周辺に構成された警告領域 1-保護手段 レーザスキャナ技術の進歩により、1台のスキャナで複数の ゾーンに対応できるようになりました。図36に示すレーザス キャナは、一方(ケース1)ではオペレータがアクセスできるよ うにすると同時に、もう一方(ケース2)ではロボットを作動さ せています。 図34: 低リスクのアプリケーション用のシングルビーム装置 2-Opto-electronics シングルビーム装置の中にも検知距離の長い(最大275フィー ト)ものがあります。この装置を使用すれば、シングルビーム 装置で危険な機械の周囲に保護バリアを築くことができま す。シングルビームのみまたはデュアルビームのみの配置も 可能であるため、この方法はリスクの少ないアプリケーショ ンでの使用に限られます。「安全距離の計算」では、ビーム の配置方法と適切な保護フィールドを確保するためのスペー スの取り方について説明します。図34に、シングル・ビーム ・アプリケーションの例を示します。ビームが遮断される と、危険な機械動作が停止します。 以前のスキャナは電気機械式出力を使用していました。最近 のスキャナは、ライトカーテンと同じ原理を採用して、クロ スチェック、外部装置モニタ、スタンドアロン使用時のイン ターロックの再始動にOSSD出力を使用できます。OSSD出 力は、大規模システムの一部として必要な場合は、論理装置 にも接続できます。 Safety Switches セーフティ・レーザ・スキャナ セーフティ・レーザ・スキャナは、回転する鏡で光パルスを 円弧状に反射させて検知面を作成します。対象物の場所は、 鏡の回転角から特定されます。不可視光線の反射ビームによ る「飛行時間」法を使用して、スキャナから対象物までの距 離も測定できます。測定された距離と対象物の場所を使用し て、レーザスキャナは対象物の正確な位置を特定します。 Operator Interface レーザスキャナは、警告ゾーンと安全ゾーンの2つのゾーン を作ります。警告ゾーンは、図34に示すように、危険箇所を シャットダウンしない信号を発行し、安全ゾーンに接近して いることを知らせます。対象物が安全ゾーンに入るか、内部 に存在していると、レーザスキャナは停止コマンドを指令し ます。OSSD出力はオフになります。 保護される領域の形状とサイズは、付属のソフトウェアプロ グラムによって設定され、スキャナにダウンロードされま す。安全ゾーンの適切なサイズを決定するには、安全距離の 計算を使用する必要があります。 レーザスキャナが水平のライトカーテンやマットより優れて いる特長の1つは、領域を再構成できる点です。図35に、構 造物を無視するように構成された警告領域の例を示します。 ࠤࠬ1 ో㗔ၞ ࠤࠬ2 ⼊๔㗔ၞ 図36: レーザスキャナ用のマルチ・ゾーン・アプリケーション ミューティング ミューティングとは、安全機能の自動一時停止のことを意味 します。工程によっては、作業員がそのエリアに入ったとき には機械を停止しなければならない反面、自動的に送り込ま れる材料が入ったときは運転を継続しなければならない場合 があります。このような場合にはミューティング機能が必要 になります。ミューティングが許されるのは、マシンサイク ルの中で危険な動作が行なわれない段階または作業員を危険 に曝すことができない場合です。 Logic ミューティング機能は、センサを使用して始動させます。セ ンサが安全定格されているか、安全定格されていないかは問 われません。ミューティングセンサのタイプ、数、および場 所は、リスクアセスメントによって決定された安全要件に合 わせて選択する必要があります。 1-24 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 ࡒࡘ࠹ࠖࡦࠣ ࡈࠜࠢ ࡦࠨ ࠻࠶ࠢ ࠝࡍ࠲ ࠗ࠻ࠞ࠹ࡦ ✛⦡㧦㔚Ḯࠝࡦ ⊕⦡㧦ࡒࡘ࠹ࠖࡦࠣ ࡂ࠼ࠟ࠼ ࠶࠻ ෂ㒾 General 図37に、2台のセンサを使用したミューティングをコンベア のマテリアルハンドリングで使用する場合の典型的な配置を 示しています。センサはXパターンで配置されています。論 理装置によっては、センサが特定の順序で遮断されなければ ならないものもあります。順序が重視される場合は、Xパタ ーンを非対称にする必要があります。センサ入力をペアで使 用する論理装置の場合は、Xパターンを対称にすることがで きます。偏光再帰性反射光検出器は、スプリアス反射により 誤ってミューティング機能が始動されたり、妨害トリップを 起こすのを防ぐために、頻繁に使用されます。誘導センサや リミットスイッチなどの他の検知方法も使用できます。 ࠦࡦࡌࠕ ロボットセルへのアクセスを可能にするiのもミューティング 機能です。図40に示すように、ロボット基部にあるリミット スイッチがロボットの位置を示します。ロボットが危険な位 置になければ、安全保護装(ライトカーテンおよびセーフティ マット)はミュートされます。 1-保護手段 図39: フォークトラック2センサのミューティング 2 1 ߽ߩߩᵹࠇ 2-Opto-electronics ࠱ࡦ3 ࠗ࠻ࠞ࠹ࡦ ࡈ࠹ࠖࡑ࠶࠻ ෂ㒾ߢߪߥ ࠱ࡦ2 ࠱ࡦ1 ࡕ࠾࠲ࡈ࠹ࠖ ߹ߚߪࡈ࠹ࠖPLC ෂ㒾ߥ㔚Ḯ 図37: コンベア2センサのミューティング ෂ㒾ߢߪߥ 自動起動機能を使用すると、ライトカーテンのビームが遮断/ クリアされた回数に基づいて始動/停止することができます。 図41から図43の図に、ダブル・ブレーク・モードでの自動起 動(最初のスタートアップシーケンス後)を示します。 4 3 2 存在検知装置の起動(PSDI) PSDIはシングルブレーク/ダブルブレーク、またはステップ 動作モードとしても知られており、PSDIはライトカーテンを 安全装置としてだけでなく、マシン動作の制御としても使用 します。PSDIは、検知領域が侵害された回数に基いてマシン サイクルを起動します。例えば、製品を入れるために作業者 が危険要因に近づくと、ビームを遮るとすぐにマシンが停止 するか、または作業者が危険領域から手を引くまでマシンの 再起動を控えます。作業者が手を引くとマシンは自動的に次 のサイクルを開始します。このプロセスは、プログラム可能 なセーフティ・ロジック・デバイスまたはこの機能専用に設 計されたモニタ機能付きリレーによって可能になります。 1 ࡕ࠾࠲ࡈ࠹ࠖ ߹ߚߪࡈ࠹ࠖPLC ߽ߩߩᵹࠇ ステップ1では、オペレータがライトカーテンを遮ります。 機械が停止し、オペレータが処理済みの材料を取り除きま す。オペレータがライトカーテンをクリアすると、最初のブ レークになります。 フォークトラックがコンベヤを横切るアプリケーションが典 型的な例です。ライトカーテンをミューティングするには、 フォークトラックがセンサによって検知される必要がありま す。問題となるのは、人ではなくフォークトラックを検知で きるようにセンサを設置しなければならないことです。図39 に、このアプリケーションの例を示します。 R Logic ෂ㒾ߥ㔚Ḯr 図38: コンベア4センサのミューティング Operator Interface ෂ㒾 図40: ロボットセルのミューティング Safety Switches ࡒࡘ࠹ࠖࡦࠣࡦࠨ その他、一般的に適用される方法には、図38に示すように4 台のセンサを使用する方法があります。2台のセンサを危険 領域側に取付け、残りの2つを危険でない側に取付けます。 センサがコンベヤを両側から監視します。この方法では、対 象物の形状や位置はそれほど重要ではありません。対象物は 4台のセンサすべてを遮る必要があるので、対象物の長さが 重要になります。 図41: ダブルブレークPSDIのステップ1 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-25 原理、規格&実装 保護手段および補助的な装置 ࡕ࠾࠲ ࡈ࠹ࠖ ߹ߚߪࡈ࠹ࠖPLC ࡈ࠹ࠖࡑ࠶࠻ General CH1 CH2 CH1 CH2 図42: ダブルブレークPSDIのステップ2 図45: セーフティマットのインターフェイス 1-保護手段 図43: ダブルブレークPSDIのステップ3 ステップ2では、オペレータが再度ライトカーテンを遮り、 新しい材料を載せます。機械は停止モードのままになりま す。 2-Opto-electronics ステップ3では、ライトカーテンが再度(2回目)クリアされた 後、マシンが自動的に始動します。 セーフティマットを使用可能にするには、電流を両方のプレ ートに通します。開回路配線フォルトが発生した場合、安全 システムはシャットダウンします。パラレルプレートを安全 システムに組込むには、2本または4本の導線を使用します。 2本の導線を使用する場合は、2つのプレートを区別するため に終端抵抗が使用されます。4本の導線を使用する方法の方 がより一般的です。上のプレートに接続された2本に1つのチ ャネルを割当てます。下のプレートに接続された2本には2番 目のチャネルを割当てます。人がマットを踏むと、2つのプ レートがチャネル1からチャネル2までの短絡回路を作りま す。セーフティ・ロジック・デバイスはこの短絡に対応でき るように設計されている必要があります。図46には、セーフ ティマットを使用可能にするために、複数の4線式マットを 直列に接続する方法を示しています。 感圧式セーフティマット これらのデバイスは、図44に示すようにマシン周辺のフロア をガードするために使用されます。相互接続されたマットの マトリックスは危険な領域の周辺に並べられ、マットに圧力 がかかると(例:オペレータが踏む)、マット・コントローラ ・ユニットが危険に対して電源をオフします。 Ṗࠅᱛઃ߈ߩ㕙 ᚑᒻ ࡆ࠾࡞ ࠬ࠴࡞ ࡊ࠻ ࠶࠻⁁ᘒߩࡑ࠶࠻ ࠬࡍࠨ Safety Switches セーフティマットは、多数の技術を使用して作られていま す。最も一般的な技術は、図45に示すように、2本の平行な メタルプレートを使用する方法です。この2つのプレート は、スペーサで隔てられています。メタルプレートとスペー サは、表面が滑らないように設計された非伝導素材で覆われ ています。 ࠕࠢ࠹ࠖࡉ⁁ᘒߩࡑ࠶࠻ 図46: 標準的なセーフティマットの構造 Operator Interface 感圧式マットは、例えばフレキシブルな製造またはロボット セルなどの複数のマシンを含む囲まれた領域でよく使用され ます。アセルへのアクセスが必要な(例えば、設定またはロボ ットのティーチのため)場合に、図47に示すようにオペレー タが安全領域からそれるか、装置の一部の背後に回らなけれ ばならないときに、危険な動きを防止します。 マットのサイズと位置はのサイズと配置を決定するには、安 全距離を考慮する必要があります(「安全距離の計算」を参照 してください)。 図44: ロボット周辺のセーフティマット Logic 1-26 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 抵抗の変化を検知しなければならないため、セーフティリレ ーのモニタ機能はこの変化を検知できるように設計されてい る必要があります。終端抵抗のあるこの2線式デザインの配 線例を図50に示します。導通ゴムを使用する利点の1つは、 アクティブコーナができることです。 ౝㇱ⚳ὐᛶ᛫ઃ߈ 2✢ᑼ࠺ࡃࠗࠬ CH1 CH2 存在検知エッジ セーフティスイッチ 機械にアクセスする頻度が低い場合は、可動式(開閉可能な) 保護ガードが適しています。保護ガードは、防護ドアが閉じ ていないときは、危険な電源が確実に遮断されるように、危 険箇所の電源とインターロックされています。この方法に は、防護ドアに取付けられたインターロックスイッチを使用 します。危険箇所の電源の制御は、この装置のスイッチ部分 を通して行ないます。電源は、通常は電気ですが、空気圧ま たは水圧の場合もあります。防護ドアの動作(開く)を検出す ると、インターロックスイッチは危険な電源の供給を直接、 または電源コンタクタ(またはバルブ)を介して遮断します。 インターロックスイッチの中には、防護ドアを閉じた状態に ロックし、機械が安全な状態になるまで解除しないロック装 置が組み込まれているものもあります。大部分の用途では、 可動式保護ガードと、ガードロック機能有りまたはなしのイ ンターロックスイッチの組合せがもっとも信頼性が高く、費 用効果的なソリューションといえます。 図48: マシンテーブルと電動式ドア上のエッジ アレン・ブラドリーのGuardmaster Safedgeはは、伝導性ゴ ムを使用しており、エッジの全長に渡り2本のワイヤが通っ ています(図49参照)。エッジの端には、回路を終端させるた めに終端抵抗が使用されています。ゴムが押されると回路抵 抗が低下します。 ዉㅢࠧࡓ ࡈࠠࠪࡉ࡞ ࡢࠗࡗ + タング式インターロックスイッチ タング作動式インターロックには、スイッチに挿入された り、引き抜かれたりするタング型のアクチュエータが必要で す。タングが挿入されると、内部のセーフティコンタクタが 閉じて、機械が作動できるようになります。タングが引き抜 かれると、内部のセーフティコンタクタが開いて、制御シス テムの安全関連部品に停止コマンドが送られます。タング式 インターロックは、図51に示すようにスライド型、ヒンジ 型、または取り外し型ドアなどに幅広く利用できます。 - 㕖ዉㅢࠧࡓ 図49: セーフティエッジの導通ゴム R 2-Opto-electronics セーフティエッジは、多数の技術を使用して作られていま す。一般的な技術の1つが、実質的には長いスイッチをエッ ジ内部に挿入する方法です。この方法ではストレートエッジ を採用し、通常、4線式の接続方法が使用されます。 ライトカーテン、スキャナ、フロアマット、および感知式エ ッジは、「トリップ装置」に分類されます。これらの装置 は、実際にアクセスを阻止するのではなく、それを「感知」 するだけです。これで提供できる安全性は、感知とスイッチ の両方の能力に完全に依存しています。一般的に、トリップ 装置を適用できるのは、電源が遮断されるとすぐに停止する 機械だけです。オペレータは、危険領域に直接踏み込んだ り、触れたりできるので、動作が停止するのにかかる時間 が、装置をトリップしてからオペレータが危険箇所に到達す るまでの時間より短くなければならないのは明らかです。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-27 Safety Switches 稼動部品がオペレータにぶつかると(または逆)、屈曲感知式 エッジが押し下げられ、危険な電源をオフするようにコマン ドが起動されます。また、感知式エッジは、オペレータのリ スクが絡み合う場所のマシンをガードするためにも使用され ます。オペレータがマシンにはさまれたときに、感知式エッ ジに触れるとマシンの電源がダウンします。 図50: セーフティエッジ回路の導通ゴム Operator Interface これらのデバイスは、はフレキシブルなエッジストライプで 図48.に示すように、ぶつかったりはさまれたりする危険にさ らされているマシンテーブルや電動ドアなどの可動部品の端 に取付けることができます。 Logic 図47: セーフティマットが装置の背後にオペレータを検出 ࡕ࠾࠲ ࡈ࠹ࠖ 1-保護手段 ࡈ࠹ࠖࠛ࠶ࠫ General 保護手段および補助的な装置 原理、規格&実装 保護手段および補助的な装置 この段階で注目すべきことは、高レベルのセキュリティが必 要な場合、それを取付ける方法で実現するのがより実用的な ことがあります。 General 例えば、図53のように被覆軌道と共にスイッチが取付けられ ている場合、防護ドアが開いた状態では、スイッチに接触す ることはできません。取付け段階で取られる「チート」防止 対策の性質は、スイッチの操作原理によって決まります。 1-保護手段 図51: スライド型、ヒンジ型、または取り外し型ドア上のタング式 インターロック 2-Opto-electronics 最新の機能安全規格の一部は、高リスクのレベル(例えば、 SIL 3またはPLe)に使用されるデバイスの要件の一部として 完全なフォルトトレランスの必要性に焦点を当てています。 というのも、理論上は、2つの電気的な切換えチャネルがあ ったとしても機械式タング作動型スイッチは単一の故障点(例 えば、タング式アクチュエータ)となるためです。つまり、一 般的に機械的な単一の障害点がないため、これらのケースで は非接触型スイッチが優先される可能性があるということで す。 タング式インターロックには、安全定格を得るために3つの 基本機能(無効化、ガルバニ絶縁、および直接開動作)があり ます。 図53: スイッチとアクチュエータが隠れている 無効化 Safety Switches インターロックスイッチのセキュリティは「チート(騙す)」 やそのメカニズムを排除しようとする試みを無効にする能力 が支えています。インターロックスイッチは、簡単に入手で きる(ドライバー、コイン、テープ、またはワイヤなどの)簡 単なツールや器具で壊せないような設計でなければなりませ ん。 直接開動作 ISO 12100-2の説明では、ある可動式機械の構成部品が必ず 他の部品と、直接接触することによって、または固定部品を 介して、共に動く場合、これらの構成部品はポジティブモー ドで接続されていると表現しています。IEC 60947-5-1で は、直接開動作という言葉を使用し、これを弾性のない部分 (例えばスプリングに依存しない部分)によるスイッチアクチ ュエータの特定の動作が直接作用して達成された接点分離と 定義しています。この規格では、直接開動作を検証するため に使用できる一連のテストを紹介しています。直接開動作の 要件を満たす製品であれば、図54に示すようなシンボルがエ ンクロージャに表示されます。 Operator Interface 図52: 無効化を防ぐために寸法的な特性があるタング式アクチュエー タ そのために、アクチュエータは図52に示すように特殊な形状 をしています。機械の保守が必要なときは、インターロック を無視しなければならないこともあります。その場合は、他 の安全保護手段を用意する必要があります。スペアのアクチ ュエータへのアクセスは、管理操作手順によって制御される ことになります。アクチュエータの中には、図54の左側にあ るもののように、インターロックスイッチがガードに正しく 固定されない限り、タングが完全に入り込んで、インターロ ックスイッチを動作させないようにするためのスプリング付 きのものがあります。 Logic 場合によっては、人が何らかの方法でスイッチを無効にしよ うとする可能性があります。リスクアセスメントの段階で収 集された機械の使用に関する情報は、このような状況が起き る可能性が高いか低いかを判断するために役立ちます。発生 する可能性が高ければ、それだけスイッチやシステムを無効 にするのが困難になるようにする必要があります。リスクの 評価レベルも、この段階で使用する要素です。スイッチは、 妨害から瞬間的な侵入まで、さまざまなセキュリティレベル で使用でき、事実上無効にすることは不可能です。 1-28 図54: 直接開動作のシンボル 図55に、接点の強制解離を行なうポジティブ・モード・オペ レーションの例を示します。この接点は、アクチュエータが スイッチに挿入されると(ガードが閉じたとき)、通常閉(N.C.) と見なされます。機械が稼働できるようになると、これが電 気回路を閉じて、回路に電流が流れるようにします。閉回路 を使用する方法では、配線の切断を検知することができ、そ れによって停止機能が開始されます。これらのスイッチは、 通常、ダブルブレーク接点を使用して設計されます。ガード が開くと、タングは操作ヘッドから外されて、内部カムが回 転します。このカムがプランジャを動かし、プランジャがス パナを動かして両方の接点を開きます。このとき、溶着した 接点をブレークする場合もあります。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 ࠲ࡦࠣᑼࠕࠢ࠴ࡘࠛ࠲ ࡕ࠾࠲ ࡈ࠹ࠖ ߹ߚߪࡈ࠹ࠖPLC CH1 ࠞࡓ CH2 General 㗡ߩߨߓ ࡊࡦࠫࡖ CH1 ធὐ CH2 ࠲ࡦࠣ㒰 ធὐ㐿 図55: 直接開動作付きのダブルブレーク ほとんどのタング式インターロックには、1組の通常開(N.O.) 接点もあります。通常、これらの接点はスプリングの戻る力 で閉じます。スプリングが壊れた場合、適切な接点動作が行 なわれず、十分な信頼性レベルを確保できません。したがっ て、これらの接点は、安全関連でない制御システムにガード が開いていることを信号で知らせるために使用されるのが一 般的です。 通常開スプリングリターン接点は、安全システムの第2チャ ネルとして使用することができます。この方法により、共通 原因故障を回避するための安全システムに多様性が加わりま す。モニタ機能付きセーフティリレーやセーフティPLCは、 この多種多様なN.O. + N.C.手段に対応できるように設計され ている必要があります。 ࡕ࠾࠲ ࡈ࠹ࠖ ߹ߚߪࡈ࠹ࠖPLC CH1 CH2 CH1 CH2 図56: 複数の2 N.C.インターロックのデイジーチェーン接続 リスクアセスメントでさまざまな接点の使用を考慮するとき は、N.C.接点を直列に接続して、N.O.接点を並列に接続しま す。図57は、モニタ機能付きセーフティリレーによって複数 のインターロックがモニタされるときの、この方法の基本的 な回路図です。チャネル2の回路ではN.O.接点が並列に接続 されています。 二重化(冗長ともいう) 本質安全ではないコンポーネントが設計で使用され、それが 安全機能に必要不可欠である場合、このコンポーネントまた はシステムを二重化する方法で許容可能なレベルの安全を確 保できる可能性があります。1つの構成部品が故障した場合 は、もう1つが引き続き機能を実行できます。そのために、 通常は最初の障害を検出するためのモニタ機能を装備し、例 えば、だれも故障に気付かないために、デュアル・チャネル ・システムが、シングルチャネルにレベルダウンしないよう にする必要があります。さらに、共通原因故障の問題にも注 意が必要です。 二重化されたコンポーネント(またはチャネル)がすべて同時 にフェイルするような障害は、必ず防止しなければなりませ ん。これに適した手段には、各チャネルにさまざまなテクノ ロジを使用したり、故障指向モードを確実にする方法があり ます。 ガルバニ絶縁 図58に、2セットの接点がある接点ブロックを示します。接 点が溶着または固着した場合、接点の背面と背面が接触する 可能性があるときは、ガルバニ絶縁バリアが必要です。 2-Opto-electronics ࠲ࡦࠣᝌ ធὐ㐽 2つの通常閉(N.C.)接点をインターロックに使用する方法に は、複数のゲートをモニタしなければならない場合に、配線 を減らせるという利点があります。図56には、複数のゲート をデイジーチェーン接続する方法を示しています。この方法 は、ゲート数が少ない場合には実用的ですが、直列に接続す るゲートの数が多くなると、トラブルシューティングが困難 になります。 Safety Switches ࠲ࡦ ࠬࡊࡦࠣ Operator Interface 図57: N.C.とN.O.接点のある複数のインターロック 1-保護手段 ࠬࡄ࠽ ࠟ࡞ࡃ࠾ ⛘✼ࡃࠕ Logic ⛘✼ࠢࡠࠬ ࠝࡃ 図58: 接点のガルバニ絶縁 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-29 原理、規格&実装 保護手段および補助的な装置 General 機械的な停止 ガードロック機能付きスイッチ インターロックスイッチは、ゲートの停止に耐えられるよう には設計されていません。マシンの設計者は、確実に停止す るようにするだけでなく、アクチュエータがスイッチに完全 に挿入されるように十分な移動距離をとることも必要です (図59を参照)。 一部のアプリケーションでは、ガードを閉じた状態でロック するか、またはガードが開くのを遅らせることが要求されま す。この要件に適した装置は、ガードロック機能付きインタ ーロックスイッチと呼ばれるものです。これらの装置は、停 止する特性を持つ機械に適していますが、ほとんどのタイプ の機械で保護レベルを大幅に向上させることができます。 ࠕࠢ࠴ࡘࠛ࠲ࠍቢో ߦᝌߢ߈ࠆࠃ߁ߥ චಽߥࠬࡍࠬ 1-保護手段 ࠟ࠼ᱛ 図59: 機械的な停止 2-Opto-electronics タングに取付けられたガードの位置と、スイッチ本体の差込 口の位置が常に一致していなければなりません。時間が経つ と、ヒンジが摩耗したり、ガードが傾いたりゆがんだりする ことがあります。これがアクチュエータとヘッドの位置に悪 影響を及ぼします。マシンの設計者は、図60に示すように、 インターフェイスの本体を金属製にしたり、アクチュエータ をフレキシブルにすることを考慮する必要があります。 ほとんどのタイプのガードロック機能付きインターロック・ スイッチでは、ロック解除動作は何らかの形式の電気信号、 例えばロック解除ソレノイドを出力状態にする電気電圧の受 信を条件とします。条件付きリリースの原則は、ソレノイド で制御されているガードロックスイッチを非常に実用的で柔 軟性のある装置にします。ほとんどの装置は、機械を停止さ せることで安全機能を実現しますが、ガードロック機能付き スイッチは、機械へのアクセスも阻止し、さらにいつロック が解除されても機械の再始動を阻止します。したがって、こ れらの装置は相互に関連付けられた2つの別個の安全機能、 アクセスの防止と危険な動きの防止を実行できます。これ は、これらのスイッチが基本的に機械安全の分野で重要であ ることを意味します。次に、ガードロック機能付きスイッチ が一般的に使用される理由に基づいて、いくつかの典型的な アプリケーションについて説明します。 マシンと人の保護:さまざまな状況で、作業手順の誤ったポ イントで機械が突然停止した場合、工具または製品の損傷を 引き起こしたり、大幅なプロセスの中断を招きます。この典 型的な例が、サイクルの途中で自動化された工作機械のイン ターロックされた防護ドアを開くことです。この状況は、ソ レノイド制御のガードロック機能付きスイッチを使用して回 避できます。防護ドアからのアクセスが必要な場合は、ロッ ク解除要求信号が機械のコントローラに送られ、コントロー ラは適切な手順で停止するのを待ってから、解除信号をガー ドロック機能付きスイッチに送ります。 K1 K1 ᆎേ Safety Switches K2 K2 ࡠ࠶ࠢ⸃㒰 図60: フレキシブルアクチュエータとの金属製のインターフェイス 10 5 0mm 15 10 5 L1L2 L3 K2 0mm Operator Interface ࡠ࠶ࠢ⸃㒰 ࠰ࡁࠗ࠼ ోࠪࠬ࠹ࡓ - ࠥ࠻㐿 PLC (ഥ) - ࠥ࠻㐽 図61: MBBおよびBBM接点の矛盾するメッセージ 時間の経過に伴うガードの摩耗、損傷、またはその他の変化 により、ドアに圧力がかかり、わずかに開いてしまうことが あります。切り換えが起きるポイント間をドアが移動する場 合、安全システムと機械制御システムは、図61に示すように 矛盾するメッセージを受取ります。 Logic これを修正するには、閉じた状態でドアをラッチするか、ス ナップ作動接点を使用します。適切なタング式インターロッ クを選択するときは、多くのことを考慮する必要がありま す。例えば、本体はプラスチックが金属製か、接点の数、接 点動作、ガードのサイズ、ガードの配置、ガードの動き、使 用できるスペースと洗浄について考慮します。タングで操作 するスイッチは、全体を洗うのは困難です。したがって、食 品/飲料品業界や製薬業界には、一般的に非接触型インター ロックが適しています。 1-30 ࠶࠻ ࡕ࠾࠲ ࡈ࠹ࠖ 2 N.C. + 1 N.O. BBM N.C.ో࿁〝1 N.C.ో࿁〝2 N.O.ഥ࿁〝1 ోࠪࠬ࠹ࡓ - ࠥ࠻㐽 PLC (ഥ) - ࠥ࠻㐿 ᱛ (ࡠ࠶ࠢ⸃㒰ⷐ᳞) K1 2 N.C. + 1 N.O. MBB 15 ࠰ࡁࠗ࠼ ᓮࠟ࠼ ࡠ࠶ࠢ ࠬࠗ࠶࠴ K1 K2 M 図62: 基本的なソレノイドのガードロック機能付きスイッチの概略図 図62に、原理を非常に簡略化した概略図を示します。実際に は、ここに示す押しボタンスイッチの始動、停止、ロック解 除機能は、通常、マシンのPLCの入力と出力によって実行さ れます。マシンサイクルの任意のポイントで、PLCはロック 解除要求入力を受入れますが、そのサイクルが終了した時点 で解除コマンドを実行します。解除コマンドは、停止ボタン とロック解除スイッチを押すのと同じです。 ロックが解除され、防護ドアが開くと、スイッチ接点が開い て、危険箇所への電源が遮断されます。 この方法は、キー作動型スイッチまたはボタンをロック解除 要求として使用することにより、さらに進化させることがで きます。この方法で、ガードを開けられる時期と、開けられ る人も制御できます。 Visit our website: www.ab.com/catalogs Publ.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 K1 ᤨ㑆ㆃᑧ ࠦࡦ࠻ࡠ K1 ᆎേ K2 K2 General ㄭធ ࡦࠨ K2 ᱛേࡕ࠾࠲ ࠦࡦ࠻ࡠ ࠰ࡁࠗ࠼ ᓮࠟ࠼ ࡠ࠶ࠢ ࠬࠗ࠶࠴ ᱛ (ࡠ࠶ࠢ⸃㒰ⷐ᳞) ࠶࠻ L1L2 L3 K1 ࡕ࠾࠲ ࡈ࠹ࠖ ࡠ࠶ࠢ⸃㒰 ࠰ࡁࠗ࠼ K1 K2 K2 ࠰ࡁࠗ࠼ ᓮࠟ࠼ ࡠ࠶ࠢ ࠬࠗ࠶࠴ マシンの停止に対する保護:多くの機械では、モータやアク チュエータの電源を遮断しても、必ず危険な動きを確実かつ 迅速に停止できるとは限りません。このような状況には、あ る種の遅延の実行をリリース(解除)条件とするソレノイド制 御のガードロック機能付きスイッチを使用して、ロックが解 除される前にすべての危険な動作を確実に停止させることで 対応します。 時間遅延:コンタクタがオフになり、設定された時間間隔が 経過するまで、スイッチがガードを解除しないように構成さ れた時間遅延機能を使用するのがもっともシンプルな方法で す。この例を図63に示します。時間遅延機能はセーフティ PLCまたは専用のコントローラによって提供されます。指定 したより遅延時間が短い場合、危険な稼働部品に曝されるこ とになるので、安全定格であることが重要です。 遅延時間間隔は、最悪の場合におけるマシンの停止時間以上 に設定しなければなりません。この停止時間は、予測可能で 信頼性があり、使用により機能が低下する可能性のあるブレ ーキを使用する方法に依存しないことが必要です。 L1L2 L3 K1 ࡠ࠶ࠢ⸃㒰 ࠰ࡁࠗ࠼ K1 K2 K2 M 図64: ソレノイドのガードロック機能付きスイッチに制御される停止 動作の概略図 この停止動作モニタ機能は安全定格され、通常は次の方法の いずれかで実行されなければなりません。 専用のコントローラまたセーフティPLCと組み合わされた近 接センサまたはシャフトエンコーダ 専用の制御ユニットを使用する、バックEMF検出 次世代の可変ドライブおよびモーション・コントロール・シ ステムでも、安全定格としてこの機能を備えています。 低速による安全:マシンの種類によっては、メンテナンス、 設定、原料の供給、ねじ切りなど特定の作業を行なうために 可動部にアクセスしなければならない場合があります。この タイプの作業は、他の方法で適切に安全が確保されている場 合のみ考慮されます。通常、ここで言う他の方法とは、少な くとも次の2つの形をとります。 a) アクセスは安全な低速になっているときのみに制限され る。 b) 可動部にアクセスする人は、動作を停止したり、始動を阻 止できる個人的な部分制御が可能でなければならない。部 分制御は、他の制御信号より優先される。 これは、最低限取り入れる必要があります。これが許可され るかどうかは、リスクアセスメントおよび関連する安全規格 と規制によって決まります。このタイプの安全機能を使用で きると判断された場合、通常はソレノイド制御のガードロッ ク機能付きインターロックスイッチを低速モニタ装置および 3点式イネーブル装置と組み合わせることで実現されます。 Logic 停止動作の確認:ロック解除の条件を動作が停止したことの 確認とすることも可能です。この方法の利点は、機械が停止 するまでに予想より時間が掛かった場合でも、ロックの解除 が早すぎることがない点です。また、常に最悪の場合の停止 時間を待つのではなく、動作が停止した直後にロックが解除 されるので、時間遅延法よりも効率的です。この方法の例を 図64に示します。 ࠶࠻ ࡕ࠾࠲ ࡈ࠹ࠖ M 図63: ソレノイドのガードロック機能付きスイッチに制御される簡略 した時間遅延の概略図 ᱛ (ࡠ࠶ࠢ⸃㒰ⷐ᳞) 2-Opto-electronics K2 1-保護手段 K1 ᆎേ Safety Switches K2 K1 Operator Interface K1 R Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-31 原理、規格&実装 保護手段および補助的な装置 General 1-保護手段 安全低速モニタユニットは、入力センサを介して常に可動部 の速度をチェックし、速度が設定されているスレッショルド (閾値)を超えていないときのみ、ロックリリース信号を送信 できるようにします。ロックが解除された後も、低速モニタ 装置は速度のモニタを継続します。アクセスが許可されてい るときに、設定されたスレッショルドを超えた場合、モータ への電源はただちに遮断されます。また、安全低速はイネー ブル装置のスイッチが中央の位置にある間だけ継続されます( 詳細は図70を参照)。ガードロックスイッチ、安全低速モニ タ装置、およびイネーブル装置は、安全性と生産性の両方に 必要な機能を実現するために、安全定格のロジックソルバと 接続しなければならないのは明らかです。これの最もシンプ ルな形は、各装置をハード配線で接続し、手動モードのセレ クタスイッチで切換えられるようにする方法です。安全低速 アクセスモードの権限を持つ人だけに制限するために、この スイッチには通常キー操作式スイッチが使用されます。作業 効率と柔軟性を向上させるには、論理解析機能用に構成可能 な装置またはプログラマブル装置を使用します。これには、 モジュール式構成が可能なリレーからセーフティPLCまで任 意で選択できます。 2-Opto-electronics このタイプの安全低速機能は、相互に依存しているさまざま な動作モードごとに作業ゾーンが分割されているような複雑 な統合マシンシステムで必要とされることの多い機能です。 このようなタイプのアプリケーションのソリューションとし ては、個別のリレーと制御ユニットを使用するよりも、セー フティPLCまたはMSR57などの専用の構成可能な制御ユニッ トが適したソリューションになります。 一般的なガードロック機能付きスイッチは、タング式インタ ーロックに適合しています。インターロックにはソレノイド が追加されます。ソレノイドはアクチュエータを適切な位置 にロックします。ソレノイドのロックには、次の2通りの方 法があります。 1. 電動解除 2. 電動ロック Safety Switches 電動ロック解除装置では、アクチュエータのロックを解除す るときに、ソレノイドに電源を供給する必要があります。ソ レノイドに電源が供給されている間は、ドアを開けることが できます。アクチュエータの電源が遮断されると同時に、ガ ードロックが閉じます。 Operator Interface 電源が遮断されている間は、ガードは閉じてロックされた状 態になります。ガードロック機能付き装置を全身が接近する アプリケーションで使用する場合は、危険領域内に人が閉じ こめられた場合に備えて、脱出手段を用意する必要がありま す。この手段には、図65に示すような、回転レバー、押しボ タン、機械的手法を使用します。 電動ロックは、ガードをロックするときにソレノイドに電源 を供給する必要があります。リスクアセスメントでは、電源 ガードロック機能付きインターロックを選択するときの重要 な基準は保持力です。ガードロックを保持するにはどの程度 の力が必要なのでしょう。ドアが手動で操作されている場合 、必要な保持力は比較的小さくなります。ガードロック機能 付きスイッチが設置されているかどうかによって、作用力に より大きな保持力が要求されることもあります。 ࠕࠢ࠴ࡘࠛ࠲ゲ ࠕࠢ࠴ࡘࠛ࠲ゲ ࠰ࡁࠗ࠼ゲ ࠰ࡁࠗ࠼ゲ ࠗࡦࠗࡦ ࠝࡈ࠶࠻ 図66: インラインおよびオフセットソレノイド 選択時のもう1つの重要な基準として、ソレノイドとアクチ ュエータの関係も含まれます。この関係には、図66のよう に、インラインとオフセットの2種類があります。ソレノイ ドがアクチュエータ接点と同軸上にある場合と、ソレノイド がアクチュエータ接点の位置とずれている(オフセット)場合 です。オフセットの配置には、ソレノイドの状態を示す別の 接点を使用します。 インライン配置では、必ずソレノイド用に別の接点を使用す るとは限りません。どちらかというとインライン配置の方が 適用方法が容易です。オフセット配置では、スイッチの動作 に関してより多くの情報が得られます。オフセット配置を使 用する場合、機械設計者はソレノイドの状態が安全システム によって確実にモニタされるようにする必要があります。ど ちらの配置を選択するかは、ユーザの意向によります。 ガードロック機能付き装置のもう1つのタイプは、手動操作 で、いつでもガードを開くことができます。ガードロックを 解除するハンドルまたはノブで、制御回路接点も開きます。 デバボルトスイッチなどのデバイスでは、時間遅延が必須で す。ガードを正しい位置にロックするボルトが接点を操作し て、操作ノブを回すことによりボルトが引き抜かれます。最 初に数回回すと接点は開きますが、ロックしているボルトは ノブをさらに何回も(最大で20秒かかります)回さないと完全 に引き抜かれません。これらの装置は簡単に使用でき、極め て頑丈で確実です。時間遅延ボルトスイッチは、主にスライ ド式ガードに適しています。 危険箇所の停止時間を予想する必要があり、危険が解消され るまではボルトを引き抜けないようにしなければなりませ ん。ガードが完全に閉じられているときだけ、ボルトをロッ ク位置まで伸ばせるようにします。つまり、ガードドアの移 動範囲を制限するために、図67に示すように防護ドアのトラ ベルを制限します。 ࠛࠬࠤࡊ ࠬ ࡏ࠲ࡦ Resistorxࡆ࠶࠻߹ ߚߪ․ᱶࡂࡦ࠼࡞ が遮断され、機械が停止している間にゲートのロックが解除 された場合に発生する可能性のある危険な状況を考慮する必 要があります。 ࠼ࠗࡃ Logic 図65: ガードロックのための脱出手段 1-32 図67: スライド式ボルトインターロック Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 1 15 ON 10 OFF 10 5 5 ON Side Lobe 5 10 10 0 5 ㈩⟎ࡒࠬߦኻߔࠆ⸵ኈᐲ(mm) 図69:非接触型の動作カーブ 15 4 15 4 ㈩⟎ࡒࠬߦኻߔࠆ⸵ኈᐲ(mm) 非接触型スイッチを使用する際のもう1つの重要事項は、図 70に示すようにアクチュエータが接近する方向です。コーデ ィング方法により、どの方法に対応できるかが決まります。 故障志向モード シンプルな装置には、ISO 12100-2に説明されているような 障害指向モードのコンポーネントを使用することができま す。つまり、顕著な故障モードが事前に認知されていて、常 に変わらない構成部品を使用することを意味します。この装 置は、故障の原因になりそうなものは、装置のスイッチもオ フにするように設計されています。 この方法を使用した装置の例が、非接触型で磁気によって作 動されるインターロックスイッチです。接点は、内蔵式のリ セット不能な過電流保護装置によって接続されます。回路内 で過電流の状態にスイッチされると、安全関連接点を危険に さらす可能性のある電流より十分に低い電流で動作するよう に設計されている保護装置で開回路が発生します。 安全障害指向モードでは、特殊なコンポーネントを使用する ために、発生する可能性のある安全を脅かす唯一のフォルト は、図68に示すようにスイッチに過剰な電流が供給されたこ とによるリード接点の溶着です。これは、リセット不能な過 電流保護装置で保護されています。この装置の定格とリード 接点の間には大きな安全域があります。これはリセット不能 なので、スイッチは適格に定格された外部ヒューズによって 保護する必要があります。アレン・ブラドリーの GuardmasterのFerrogardインターロックは、この技術を採用 しています。 ኒ㐽ဳࠤࠬౝߩ ᭴ᚑᷣߺ⏛᳇ ࠕࠢ࠴ࡘࠛ࠲ േ ࡈࠖ࡞࠼ ࠶࠻ਇ⢻ߥ ㆊ㔚ᵹ⼔ⵝ⟎ 図70: 性能の影響するアクチュエータのアプローチ 無効化:非接触型インターロックスイッチ スイッチは指定したアクチュエータによってのみ操作される ことが重要です。つまり、鉄類を感知する通常の近接デバイ スは、使用できません。スイッチは「アクティブ」アクチュ エータで操作する必要があります。 リスクアセスメントによって、簡単な工具(ドライバー、ペン チ、ワイヤ、コイン、またはシングルマグネット)で壊されな いようにする保護対策が必要と判断された場合、非コード化 タイプのアクチュエータを、ガードが開いている間はアクセ スできないように設置する必要があります。この例を図71に 示します。また、磁場/電子フィールドによる外部からの干渉 を受けない場所に設置しなければなりません。 危険な領域 ⇐ౕ ࠬࠗ࠶࠴ ࠕࠢ࠴ࡘࠛ࠲ ࠬࠗ࠼ᑼࠟ࠼ ࠟ࠼ࠍ㐿ߊᯏ᪾ᱛࠟ࠼ࠞࡃࠬࠗ࠶࠴ 図71: スライド式ガードのセンサに対するアクセス保護 破壊に対する防護策を強化するには、コード化されたアクチ ュエータとセンサを使用します。磁気によって作動されるコ ード化された装置の場合、アクチュエータには、特定の磁場 を複数作るために特別に配置された複数の磁石が組み込まれ ኒ㐽ဳࠤࠬౝ ․ߦᚑဳߐࠇߚ ます。センサには、アクチュエータの特定の磁場フィールド ߩࠬࠗ࠶࠴ ࡋࡆ࠺ࡘ࠹ࠖ࠼ធὐ でのみ作動するように特別に配置された複数のリードスイッ ࠗࡦ࠲ࡠ࠶ࠢⵝ⟎ࠍ ⼔ߔࠆߚߦㆡᩰߦ チがあります。通常、ユニークコードは磁気コーディング手 ቯᩰߐࠇߚᄖㇱࡅࡘ࠭ 法を使用して実行することはできません。ユニークコードと は、個々のアクチュエータを個々のセンサに合わせて「チュ 図68: 単純な磁気作動式の非接触型インターロック ーニング」することです。 Visit our website: www.ab.com/catalogs 1-33 PubNo. S117-CA001A-JA-P R 2-Opto-electronics Side Lobe 1-保護手段 20 Safety Switches OFF 冗長性 タング式インターロックスイッチの項で説明したように、高 レベルの安全は、構成部品を二重化(または冗長)して設計さ れた非接触型装置によって確保できます。1つの構成部品が 故障した場合、もう1つの構成部品が安全機能と、さらに最 初の障害を検出するモニタ機能を実行できる状態になってい ます。場合によっては、同じ機能を持ち、故障メカニズムが 異なる構成部品を使用して設計された装置が有効です。この ような特徴を装置の冗長性と言います。典型的な例では、1 つの通常開接点と、1つの通常閉接点が使用されます。 2 25 Operator Interface 非接触型インターロックスイッチの場合、スイッチとアクチ ェータ間に物理的な接触はありません(通常の状態では)。し たがって、スイッチを確実に動作させるためにポジティブ・ モード・オペレーションを使用できないので、他の方法を使 用して同じ機能を実行できるようにする必要があります。 非接触型スイッチを使用する際に考慮しなければならない重 要なポイントは、その感知範囲と不均衡の許容範囲です。図 69に、製品ファミリーごとの感知範囲と不均衡の許容範囲を 示す動作曲線を示します。 Logic 最新の機能安全規格の一部は、高リスクのレベル(例えば、 SIL 3またはPLe)に使用されるデバイスの要件の一部として 完全なフォルトトレランスの必要性に焦点を当てています。 というのも、理論上は、2つの電気的な切換えチャネルがあ ったとしても機械式タング作動型スイッチは単一の故障点(例 えば、タング式アクチュエータ)となるためです。つまり、一 般的に機械的な単一の障害点がないため、これらのケースで は非接触型スイッチが優先される可能性があるということで す。 非接触型装置は、完全に密閉された状態で使用でき、トラッ プの汚れもなく、圧力を取り除くことができるので、食品/飲 料アプリケーションに最適です。使い方は非常に簡単で、か なりの動作許容範囲があるので、多少のガードの摩耗やゆが みにも対応して、なおも正常に機能します。 ᬌ⍮〒㔌(mm) 非接触型インターロックスイッチ General 保護手段および補助的な装置 原理、規格&実装 保護手段および補助的な装置 General 磁気によってコード化されたスイッチと一緒に使用されるリ ードスイッチは、通常は小型です。接点が溶着するリスクを 回避するために、一部のスイッチでは、出力として1つの通 常開接点と、1つの通常閉接点が使用されます。これは、開 いている接点は溶着しないということを前提としています。 ロジックデバイスや制御装置は、N.C. +N.O.回路配列と互換 性があり、過電流保護が施されている必要があります。アレ ン・ブラドリーのGuardmasterのSiphaインターロックには、 コード化磁気技術が採用されています。 位置(リミットスイッチ)インターロック カム作動式は、通常ポジティブ・モード・リミット(または位 置)スイッチとリニアカムまたはロータリカムで構成されます (図73に示すように)。通常、スライド式ガードに使用され、 ガードが開くと、制御回路の接点を開くためにカムがプラン ジャを押し下げます。システムがシンプルなので、スイッチ は小型でかつ信頼性も高くなります。 RFID非接触型インターロックスイッチ 1-保護手段 RFID (Radio Frequency Identification)技術に基づいた非接触 型インターロックスイッチは、「簡単な」工具による破壊に 対して非常に高レベルの安全性を確保することができます。 この技術により、安全性が最優先されるアプリケーションの ために、ユニークコードを採用した装置を使用できるように なります。 RFID技術を使用することで、その他にも多くの重要な利点が あります。これは、カテゴリ4またはSIL 3などの高品質の回 路アーキテクチャでの使用に適しています。 2-Opto-electronics また、プラスチック製またはステンレススチール製の完全に 密閉されたIP69Kエンクロージャを持つ装置に組み込むこと もできます。 RFID技術がコーディングや感知のための誘導技術に使用され ている場合、検知範囲と配置ミスに対する許容範囲は、通常 15~25mmと大きくなります。つまり、これらの装置は、幅 広い産業用安全アプリケーションで高レベルの整合性と安全 性を備えた非常に安定した確実なサービスを提供することが できます。 アレン・ブラドリーのGuardmasterのSensaGuardインター ロックは、RFID技術を使用しています。 Safety Switches ヒンジ型スイッチ この装置は、図72に示すようにヒンジ(開き戸式)ガードのヒ ンジピンの上に取付けます。ガードが開いたことは、ポジテ ィブ・モード・オペレーション機構によって制御回路の接点 に伝えられます。 ࠟ࠼߇㐽ߓߡࠆޕ ࡐࠫ࠹ࠖࡉࡕ࠼ ࡒ࠶࠻ࠬࠗ࠶࠴ 図73: ポジティブ・モード・リミット・スイッチ 位置(リミット)インターロックは、上げ外し式またはヒンジ 式ガードの両方には使用しないでください。 スイッチプランジャは、ガードが完全に閉じているときのみ 伸ばすことができることがきわめて重要ですつまり、ガード の両方向への動きを制限するために、補助留め具を設置しな ければならない場合もあります。 定義された許容範囲内で動作する適切な形状のカムを作る必 要があります。ガードに取付けられたカムは、スイッチと分 離することはできません。分離するとスイッチ接点が閉じま す。このようなシステムは、摩耗が原因で故障する傾向があ ります。特に、形状が粗悪なカムや、研削材の存在が要因に なります。 多くの場合、図74に示すように2つのスイッチを使用するこ とをお奨めします。1つはポジティブモードで作動し(直接動 作で接点が開く)、もう1つはネガティブ(非ポジティブ)モー ドで作動します(スプリングリターン)。 ࠟ࠼߇㐽ߓߡࠆޕ Operator Interface ࡀࠟ࠹ࠖࡉࡕ࠼ ࡒ࠶࠻ࠬࠗ࠶࠴ 図74: さまざまな冗長位置スイッチ ࡐࠫ࠹ࠖࡉࡕ࠼ ࡒ࠶࠻ࠬࠗ࠶࠴ トラップ・キー・インターロック 図72: ヒンジ型スイッチの取付け Logic 正しく取付けられると、このタイプのスイッチは、ヒンジの 中心線に接触することがあるほとんどの開き戸式防護ドアに 理想的です。3° 以内のガードの動きで制御回路を絶縁するこ とができ、ガードを解体しない限り、壊すことは事実上不可 能です。 幅の広い防護ドアの場合、たった3° 開いただけでも、開口部 のエッジにはかなりの隙間ができる可能性があるので注意が 必要です。さらに、重いガードの場合、スイッチ・アクチュ エータ・シャフトに過剰な圧力をかけないようにすることも 重要です。 1-34 トラップキーは、電源インターロックの他に制御インターロ ックを実行できます。「制御インターロック機能」を使用す ると、インターロック装置が中間装置に停止コマンドを指令 し、それによって次の装置がオフになり、アクチュエータの 電源を遮断します。「電源インターロック機能」を使用する と、停止コマンドで機械のアクチュエータへのエネルギーの 供給が直接遮断されます。 電動インターロックの最も実用的な方法は、トラップ・キー ・スイッチです(図75を参照)。電源遮断スイッチは、スイッ チがONの位置にある間、所定の位置にトラップされるキー によって操作されます。キーを回すと、遮断スイッチ接点は 開状態でロック(電源を遮断)され、さらにキーを引き抜くこ とができます。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 A A 図75: トラップ・キー・システムでの電源インターロック 防護ドアは、閉じた状態でロックされ、そのロックを解除す るには、アイソレータのキーを使用するしか方法はありませ ん。このキーを回してガードロック装置を解除しようとする と、所定の位置にトラップされ、ガードを閉じて再度ロック するまでは、取り除けなくなります。 A A A システムの整合性とセキュリティは、特定の状況下で、キー が所定の位置にトラップされるという事実を中心に展開され るので、2つの基本的な機能を確認する必要があります。 1. ロックは専用キーでのみ操作できる。 これは、ドライバーなどを使用してロックを「チート」した り、または何らかの直接的な方法で乱暴に扱い、装置を壊す ことができないことを意味します。同じ場所に複数のロック がある場合、キーコードを指定することで、考えられるあら ゆる誤った操作の可能性を回避しなければなりません。 2. 意図した方法以外でキーを入手することはできない。 例えば、一度キーがトラップされると、そこに過剰な力がか かった場合、ロックが壊れるのではなく、キーが壊れる結果 になります。 オペレータインターフェイス装置 図76: 全身のアクセス¾オペレータが "B" キーを持つ 図77に示す他の例では、キー"A"を回して、電源アイソレー タから引き抜きます。これで、電源はOFFになります。防護 ドアを通るには、キー交換装置にキー"A"を差し込んで、回し ます。次に両方のキー"B"もガードロックから引き抜きます。 キー"A"はトラップされて、電源のスイッチが入るのを妨ぎま す。2つのキー"C"は、ガード・ドア・ロックから引き抜い て、次の一連の手順で使用したりパーソナルキーとして使用 します。 停止機能 米国、カナダ、欧州、および国際的なレベルで、機械または 製造システムにおける停止カテゴリの記述について合意がな されています。 注:これらのカテゴリは、EN 954-1 (ISO 13849-1)のカテゴ リと異なります。詳細は、規格NFPA79とIEC/EN60204-1を 参照してください。停止は、以下の3つのカテゴリに分けら れます。 Ÿ カテゴリ0は、機械のアクチュエータ(作動装置)への電力を 即座に取り除くことで停止します。これは、無制御停止と 考えられます。電源が遮断されると、電源が必要なブレー キング作用は無効になります。これによって、モータは空 回りするようになり、自然に停止するまで長時間かかりま す。別の例では、材料を保持するために電源が必要な機械 の保持固定具の場合、材料が落ちる可能性があります。電 源を必要としない、機械的な停止の意味は、カテゴリ0停 止と合わせて使用されることもあります。カテゴリ0停止 は、カテゴリ1またはカテゴリ2停止より優先されます。 図77: 複数のドアにアクセス可能 Ÿ カテゴリ1は、停止させるために機械のアクチュエータで 電源を使用できるようにする、制御された停止です。その 図78に、トラップ・キー・インターロックの他のアプリケー 後、機械が停止した時点で、アクチュエータから電力が取 ション例を示します。ダブル・キー・ロック装置や、異なる り除かれます。この停止カテゴリは、電動ブレーキを使用 コードのキーとキー交換装置を使用することで、複雑なシス して危険な動作を迅速に止めることができ、その後でアク テムを形成することができます。接近可能になるまでに、確 チュエータから電力を取り除くことができます。 実に電源を遮断する上に、システムを使用して定義済みの作 Ÿ カテゴリ2は、機械のアクチュエータで電源を使用可能に 業順序を実行することも可能です。 した状態での、制御停止です。通常の製造停止は、カテゴ リ2停止と考えられます。 Visit our website: www.ab.com/catalogs 1-35 PubNo. S117-CA001A-JA-P R 2-Opto-electronics 絶縁スイッチがシステムに組み込まれている場合、ポジティ ブ・モード・オペレーションを使用し、IEC 60947の関連す る条項の要件を満たす必要があります。 Safety Switches 全身が接近する状況では、パーソナルキーの使用が推奨され ます。図76に示すように“B”キーはパーソナルキーです。“B” キーは、オペレータによって危険領域内に持ち込まれます。 トラップされるキーには、複数のアクセスポイント用にダブ ル、トリプル、およびクワッド・キー・バージョンも用意さ れています。パーソナルキーの使用により、オペレータがガ ード領域に閉じこめられないようにすることができます。こ のキーはセル内にも持ち込むことができ、他のスイッチに差 し込んで、ロボット設定モードおよびマシン・ジョグ・モー ドなどの機能を有効にすることができます。 このタイプのシステムの安全性は、すべてその機械的な動作 に依存しているので、使用される原則および材質がシステム に対する予想需要に適していることが必要不可欠です。 Operator Interface このタイプのシステムは、非常に信頼性が高く、ガードへの 電気配線が不要であるという利点があります。最大の欠点 は、毎回キーを持ち運ぶ必要があるので、ガードを頻繁に操 作する必要がある場合には適さないことです。 図78: 定義された連続するイベント Logic したがって、最初に電源を遮断しなければ、ガードを開くこ とはできず、ガードを閉じて、ロックしなければ、電源のス イッチを入れることもできません。 1-保護手段 General A 原理、規格&実装 保護手段および補助的な装置 General これらの停止カテゴリは、個々の停止機能に適用する必要が あります。制御システムの安全関連部分が入力に応答して実 行する停止機能の場合、カテゴリ0または1を使用する必要が あります。停止機能は、対応する始動機能を無効にしなけれ ばなりません。各停止機能に合わせて停止カテゴリを選択す るには、リスクアセスメントによって判断する必要がありま す。 非常停止機能 1-保護手段 非常停止機能は、リスクアセスメントによる判断では、カテ ゴリ0またはカテゴリ1のいずれかの停止として動作する必要 があります。人の1つの動作でこの機能を開始できなければ なりません。さらに、起動されたら、他のすべての機能およ び機械の動作モードを無効にする必要があります。目的は、 さらに他の危険を引き起こすことなく、できるだけ迅速に電 力を取り除くことです。 非常停止ボタンは、いつでも使用できる状態になっていて、 機械がどの動作モードであっても使用できなければなりませ ん。非常停止装置として押しボタンが使用されるときは、台 が黄色でボタンは赤色のマッシュルーム(パームボタン)型で なければなりません。ボタンが押されると接点の状態が変化 し、それと同時にボタンが押下された位置にラッチされなけ ればなりません。 非常停止に採用されている最新の技術の1つが自己モニタ機 能です。非常停止の背面に、パネル構成部品の後にまだ存在 しているかどうかモニタする接点が追加されました。これは 自己モニタ用接点ブロックと呼ばれます。これは、接点ブロ ックがパネル上の正しい位置にカチッとはまると閉じるスプ リング駆動式接点で構成されます。図80では、自己モニタ接 点が、直接開安全接点の1つと直列に接続されています。 E-Stop E-Stop 最近までは、非常停止カテゴリの回路には、ハード配線で接 続された電気機械部品が必要でした。IEC 60204-1および NFPA 79などの規格の最近の変更は、IEC61508のような規 格に関する要件を満たすそのセーフティPLCと他の形式の電 子ロジックを意味して、非常停止回路で使用できます。 CH1 ࡕ࠾࠲ ࡈ࠹ࠖ CH2 非常停止装置 2-Opto-electronics Safety Switches オペレータが機械に関するトラブルに巻き込まれる危険性が ある場合は、必ず非常停止装置に迅速にアクセスするための 設備が必要になります。非常停止装置は、連続して操作する ことができ、常に使用可能でなければなりません。各オペレ ータパネルに少なくとも1つの非常停止装置が装備されてい る必要があります。必要に応じて、別の場所に追加の非常停 止装置を使用することもできます。非常停止装置には、さま ざまな形式があります。押しボタンスイッチとロープ型(ケー ブルプル)スイッチが、最も一般的なタイプの装置です。非常 停止装置は、作動された時点でラッチしなければならず、ラ ッチできなかった場合は、停止コマンドを発行できなくなる ことが要求されます。非常停止装置のリセットによって危険 な状態を引き起こすことは許されません。別の意図的な処置 を使用して、機械を再起動するようにします。 CH1 CH2 ⥄Ꮖࡕ࠾࠲ធὐ 図80: 非常停止での自己モニタ接点 ロープ型非常停止スイッチ(ケーブル・プル・スイッチ) コンベアなどのマシンの場合、通常は、非常停止装置として 危険領域に沿ってロープ型装置を(図81に示すように)設置す るのが、より便利で効果的です。これらの装置は、プルスイ ッチをラッチするために鋼線ロープを使用しているので、そ の全長のどの位置でも、どの方向にでもロープを引いてスイ ッチをトリップし、マシン電源を遮断できます。 非常停止装置の詳細は、ISO/EN13850, IEC 60947-5-5, NFPA79 およびIEC60204-1, AS4024.1, Z432-94を参照して ください。 非常停止ボタン Operator Interface 非常停止装置は、無料な安全保護設備と考えられています。 これらは、危険箇所へのアクセスを防いだり、検知したりす るわけではないので、主要な安全保護装置とは見なされてい ません。 この装置でよく使用されるのは、黄色の台に赤のマッシュル ーム型押しボタンが取付けられているタイプで、オペレータ は非常時にこれを押します(図79を参照)。この装置は、危険 箇所の手の届く場所に必ず1つはあるように、十分な数を機 械の回りに効果的に配置する必要があります。 図81: ロープ型非常停止スイッチ ロープ型スイッチは、ケーブルが引かれたことだけでなく、 ケーブルがたるんだときも検知する必要があります。たるみ の検知によりケーブルの切断も確実に検知できます。 スイッチの性能は、ケーブルの距離に影響されます。距離が 短い場合は安全スイッチを一方の端に取付け、もう一方の端 にはテンションスプリングを取付けます。距離が長い場合は 安全スイッチをケーブルの両端に取付け、オペレータの1つ の動作で停止コマンドを起動できるようにします。 Logic ケーブルを引くのに必要な力は、200N (45ポンド)以下、ま たはケーブルサポート間の中央で400mm (15.75インチ)以下 の距離でなければなりません。 図79: 非常停止押しボタンー黄色の台に赤色のマッシュルーム型の頭 1-36 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 両手用制御 イネーブルスイッチ 両手用制御(バイマニュアル制御とも呼ばれる)の使用は、マ シンが危険な状態のときに接近するのを防ぐ一般的な方法で す。マシンを稼働させるために、同時に2つの始動ボタンを 操作することが必要です。これは、オペレータの両手が安全 な位置(すなわち制御ユニット)に置かれていること、したが って危険な領域にはないことを確認できます。制御は、危険 な状況にあっても動作を継続する必要があります。マシンの 動作は、制御ユニットのいずれかが開放されたら停止する必 要があり、一方の制御ユニットが開放された場合は、もう一 方の制御ユニットも開放されてから機械を再始動できます。 イネーブル装置は、オペレータがイネーブル装置を作動位置 にしている間だけは、危険部分を稼働させたまま危険領域に 入れるようにする制御装置です。イネーブル装置には2点式 または3点式スイッチが使用されます。2点式スイッチは、ア クチュエータが動作していないときはオフになり、動作中は オンになります。3点式スイッチは、動作していないときは オフ(1の位置)、中央の位置にあるときはオン(2の位置)、ア クチュエータが中央の位置を超える位置に動かされるとオフ (3の位置)になります。さらに、3の位置から1の位置に戻す と、2の位置を通過しても出力回路は閉じません。この概念 を図83に示します。 㐿 㐿 ࡐ࡚ࠫࠪࡦ1 ࠕࠢ࠹ࠖࡉ 㐽 ࡐ࡚ࠫࠪࡦ2 ࠣ࠶ࡊࠍីࠆ 㐿 ࡐ࡚ࠫࠪࡦ3 Ch1 Ch1 Ch1 Ch2 Ch2 Ch2 1-保護手段 両手用制御システムは、制御機器とあらゆるフォルトを検出 するモニタシステムの整合性に大きく関わってきます。した がって、この方法は、正確な仕様に沿って設計することが重 要です。両手用制御安全システムの性能は、次のようにISO 13851 (EN 574)のタイプに位置付けられ、ISO 13849-1のカ テゴリに関連付けられます。機械安全に使用されるもっとも 一般的なタイプは、IIIBとIIICです。表3に、安全性能のタイ プとカテゴリの関係を表しています。 General 保護手段および補助的な装置 タイプ カテゴリ1の使用 (ISO 13849-1から) X カテゴリ3の使用 (ISO 13849-1から) B C X X X 㐿 ࡐ࡚ࠫࠪࡦ X X カテゴリ4の使用 (ISO 13849-1から) 㐽 1 ߔ ߔ 㐿 2 3 1 図83: 3ポジションのイネーブルスイッチの動作 X X 表3: 両手用制御のタイプおよびカテゴリ 物理的な設計では、不適切な操作(例えば、手と肘を使うな ど)を回避する必要があります。これは、図82に示すように 距離をとるかまたはシールドを行なうことで可能です。 イネーブル装置は、他の安全関連機能と組み合わせて使用す る必要があります。典型的な例では、動作を制御された低速 モードにします。スローモードにすると、オペレータはイネ ーブル装置を保持したまま危険領域に入ることができます。 イネーブル装置を使用しているときは、信号はイネーブル装 置がアクティブであることを示さなければなりません。 ロジックデバイス ロジックデバイスは制御システムの安全関連部分で中心的な 役割を果たします。ロジックデバイスは安全システムのチェ ックとモニタを行ない、機械の始動を許可したり、機械を停 止するコマンドを実行したりします。 機械に必要な複雑性や機能性に合った安全構造を作成できる ように幅広いロジックデバイスがそろっています。安全機能 を完備するために専用の論理装置が必要な小型の機械では、 小型のハード配線式モニタ用セーフティリレーがもっとも経 済的です。モジュール式および構成可能なモニタ・セーフテ ィ・リレーは、大規模で、多種多様な安全保護装置と最小限 のゾーン制御が要求される場合に適しています。中規模以上 のより複雑な機械には、分散I/Oを使用したプログラマブルシ ステムが適しています。 ҈550mm (21.6ࠗࡦ࠴) ࠟ࠼ߥߒ ࠟ࠼߇⸵ኈߢ߈ࠆ 〒㔌߇⍴ߊߥࠆޕ 図82: 両手用制御の分離 モニタ・セーフティ・リレー 両方のボタンを解除してから、再度押さない限り、マシンが 1つのサイクルから次のサイクルへ進まないようにする必要 があります。この方法でマシンが稼働を続けている状態で、 両方のボタンが閉塞する可能性を回避できます。いずれかの ボタンを解除すると、マシンが停止する必要があります。 モニタ・セーフティ・リレー(MSR)モジュールは、さまざま な安全システムで重要な役割を果たします。通常、これらの モジュールは、安全機能を確実に動作させるための追加の回 路を構成する2つ以上の強制開離式リレーで構成されていま す。 両手用制御機器の使用では、一部対応しきれない危険が残る 場合が多いので、十分な考慮が必要です。しかし、他の保護 装置と組み合わせて使用した場合、保護レベルが向上するの で、ティーチモードのペンダント型または寸動型制御機器な どの用途には非常に有効です。 強制開離式リレーは、専用の「アイスキューブ」リレーで す。ポジティブガイド式リレーはEN50025の性能要件を満た さなければなりません。基本的に、これらは通常閉接点と通 常開接点が同時に閉じるのを防ぐように設計されています。 最近の設計では、電気機械式出力が安全基準を満たすソリッ ドステート出力に変更されています。 ISO 13851 (EN574)は、両手用制御の追加のガイダンスを提 供しています。 R Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-37 Safety Switches 同期動作 A Operator Interface II Logic I 2-Opto-electronics III 要件 原理、規格&実装 保護手段および補助的な装置 General モニタ・セーフティ・リレーは、安全システムで多くのチェ ックを実行します。電源投入時に、内部コンポーネントの自 己チェックを実行します。入力装置が作動すると、MSRが冗 長入力の結果を比較します。問題がなければ、MSRは外部ア クチュエータをチェックします。これが正常な場合、MSRは リセット信号を待ってから、出力を有効にします。 ISO断面積 mm2 適切なセーフティリレーは、モニタする装置のタイプ、リセ ットのタイプ、出力の数とタイプなど、さまざまな要素に基 づいて選択します。 AWGサイズ 1000m当たりの 1000フィート 抵抗Ω 当たりの抵抗Ω 33.30 10.15 0.5 20 0.75 18 20.95 6.385 1.5 16 13.18 4.016 2.5 14 8.28 2.525 4 12 5.21 1.588 表4: ワイヤの抵抗値 入力デバイスの数 入力デバイス 1-保護手段 安全ガード装置は、何が起こったかをさまざまな方法で通知 します。 Ÿ 接触型インターロックおよび非常停止: 機械的な接点は、1つの通常閉接点があるシングルチャネ ルかまたは両方とも通常閉接点のデュアルチャネルです。 MSRは、シングルまたはデュアルチャネルに対応し、デュ アルチャネル配列についてはクロスフォルト検出が可能で なければなりません。 2-Opto-electronics Ÿ 非接触型インターロックおよび非常停止: 機械的な接点は、デュアルチャネルで、1つの通常開と1つ の通常閉接点があります。MSRは、多様な入力を処理でき なければなりません。 Ÿ 出力ソリッドステート切換えデバイス: ライトカーテン、レーザスキャナ、ソリッドステート非接 触型には2つのソース出力があり、独自にクロスフォルト 検出を実行します。MSRは、デバイスのクロスフォルト検 出手段を無視できなければなりません。 Ÿ マット: マットは、2つのチャネル間で短絡します。MSRは、繰返 される短絡に耐えられなければなりません。 Safety Switches Ÿ エッジ: エッジの中には、4線式マットのように設計されているも のがあります。また、抵抗を変えられる2線式デバイスも あります。MSRは、短絡または抵抗の変化を検出できなけ ればなりません。 モニタ・セーフティ・リレー(MSR)ユニットに接続する入力 デバイスの数と、その入力装置をチェックする頻度を決める ときは、リスクアセスメントのプロセスを使用する必要があ ります。非常停止およびゲートインターロックを常に操作可 能な状態に保つには、リスク評価で決められた間隔で、定期 的に動作をチェックする必要があります。例えば、マシンサ イクルごとに(例えば、1日に数回)開かれるインターロックゲ ートに接続されたデュアルチャネル入力MSRUは、チェック する必要はありません。なぜなら、ガードを開くと、MSRU が自己チェックを行ない、入力および出力(構成によって異な る)に単一フォルトがないか確認するからです。ガードが開く 頻度が高くなれば、チェック処理の整合性も高くなります。 次に、非常停止(E-Stop)の例を紹介します。通常、非常停止 は、非常停止にのみ使用されるので、使用されることはめっ たにありません。したがって、定期的に非常停止を使用し て、効果を確認するためのプログラムを確立する必要があり ます。3番目の例は、機械調整用の点検窓ですが、これも非 常停止と同じで、めったに使用されません。そこで同じよう に、定期的に非常停止を使用するプログラムを確立する必要 があります。 リスクアセスメントは、入力装置のチェックが必要かどう か、どのくらいの頻度でチェックすればよいかを決定するた めに役立ちます。リスクのレベルが高くなれば、チェック処 理に求められる整合性もさらに高くなります。さらに、 「自動」チェックの頻度が低くなれば、その分だけ頻繁に 「手動」チェックを実施する必要があります。 入力クロスフォルト検出 Operator Interface Ÿ 電圧: 停止中のモータのバックEMFを測定する。MSRは、高電圧 に耐えられるだけでなく、モータのスピンダウンに伴う電 圧低下を検出できなければなりません。 デュアル・チャネル・システムでは、入力デバイスのチャネ ル間の短絡フォルト(クロスフォルトとも呼ばれる)を安全シ ステムで検出できなればなりません。このために、検知装置 またはモニタ・セーフティ・リレー(MSR)を使用します。 Ÿ 停止動作: MSRは、さまざまな冗長センサからのパルスストリームを 検出しなければなりません。 ライトカーテン、レーザスキャナ、および高度な非接触型セ ンサなどのマイクロプロセッサベースのモニタ・セーフティ ・リレーは、これらの短絡をさまざまな方法で検出します。 クロスフォルト検出の一般的な方法では、図84に示すように さまざまなパルステストを使用します。出力信号は、非常に 早いパルスです。チャネル1のパルスは、チャネル2のパルス からオフセットされています。短絡が発生すると、パルスが 同時に発生し、装置によって検出されます。 Ÿ 両手用制御: MSRは、通常開および通常閉のさまざまな入力を検出し、 0.5秒を計時して、ロジックを処理できなければなりませ ん。 入力インピーダンス Logic モニタ・セーフティ・リレーの入力インピーダンスはそのリ レーに入力デバイスをいくつ接続できるか、その入力装置を どのくらい離れた場所に取付けることができるかを決定しま す。例えば、セーフティリレーの許容可能な最大入力インピ ーダンスが500Ωだとします。入力インピーダンスが500Ωよ り大きいときは、出力をオンしません。ユーザは、入力イン ピーダンスが以下に示す最大仕様値未満に収まっているよう に注意しなければなりません。使用するワイヤの長さ、サイ ズおよびタイプが、入力インピーダンスに影響します。表4 に、25°Cのときのアニール銅線の標準的な抵抗を示します。 ࠴ࡖࡀ࡞1 ࡄ࡞ࠬ ࠴ࡖࡀ࡞2 ࡄ࡞ࠬ ࠢࡠࠬࡈࠜ࡞࠻ ࡄ࡞ࠬ 図84: クロスフォルトを検出するためのパルステスト 1-38 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 CH1 CH2 ో ㆊ㔚ᵹ⼔ ో - + ഥ CH1 短絡ࠬࡠࠢޟ ࡈࠜ࡞࠻߇ޠ ᬌߐࠇߚޕ CH2 CH1 CH2 CH1 ో ో ో ో ഥ ో CH2 1-保護手段 CH1ജ 24Vߦߥࠆޕ MSRには補助出力もあります。一般的には、補助出力は通常 閉と見なされ、機械制御システムに安全システムがオフにな っていることを信号で知らせるために使用されます。図87に は、通常閉接点の3種類の配置を示しています。左側の回路 だけは、CH1またはCH2のシングルフォルトが回路を閉じる ので、通常閉接点が補助回路として使用されます。中央の配 置は、この図のような場合は補助として使用され、直列に接 続された場合は安全出力として使用されます。右側の回路 は、冗長として配置された通常閉接点なので、安全関連回路 で使用できます。 ഥ 図87: NC接点の利用 CH2ജ ࠣ࠙ࡦ࠼ߦᵹࠇࠆޕ 図85: クロスフォルトを検出するためのさまざまな入力 出力 MSRの出力の数は決まっていません。出力のタイプで、特定 のアプリケーションに使用するMSRを選択することができま す。 ほとんどのMSRには直ちに動作する安全出力が少なくとも2 つあります。MSRの安全出力は、通常開の特性を持ちます。 これらは冗長性と内部チェック機能を持つため安全定格され ます。 出力定格 出力定格は、安全保護装置が負荷を切換える能力を表しま す。通常、産業用装置の定格は、負荷抵抗または電磁負荷と して示されます。負荷抵抗は、ヒータ・タイプ・エレメント であることが多く、電磁負荷は通常、リレー、コンタクタ、 またはソレノイドです。この場合、負荷の誘導特性が大きく なります。表5に示す規格IEC 60947-5-1の付録Aは、負荷の 定格を示します。 指定文字:指定は先頭の文字で、その後に数字が続きます。 例えばA300のようになります。 文字は、従来の密閉型熱電流と、電流が直流(DC)か交流(AC) であるかに関連します。例えば、Aは10A交流電流(AC)を示 します。数字は、定格絶縁電圧を示します。例えば、300は 300Vを表します。 Safety Switches もう一種類の出力は遅延出力です。遅延出力は、通常、カテ ゴリ1の停止で使用されます。カテゴリ1の停止では、危険箇 所へのアクセスを許可する前に、機械が停止機能を実行する ために時間がかかります。図86に、直接接点と遅延接点に使 用されるシンボルを示します。 2-Opto-electronics 電気機械式のモニタ・セーフティ・リレー(MSR)では異なる ダイバーシティ技術を採用しています。すなわち、プルアッ プ入力を1つとプルダウン入力を1つ使用しています。これを 図85に示します。チャネル1からチャネル2の間の短絡は、過 電流保護装置をアクティブにし、安全システムをシャットダ ウンします。 General 保護手段および補助的な装置 හᤨ Operator Interface ࠝࡈㆃᑧ ࠝࡦㆃᑧ Logic 図86: 接点タイプのシンボル R Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-39 原理、規格&実装 保護手段および補助的な装置 指定 A150 用途 AC-15 密閉型 熱電流 10 定格動作電圧Ueのときの定格動作電流le VA 120V 240V 380V 480V 500V 600V 6 ⎯ ⎯ ⎯ ⎯ ⎯ メイク 7200 ブレーク 720 General A300 AC-15 10 6 3 ⎯ ⎯ ⎯ ⎯ 7200 720 A600 AC-15 10 6 3 1.9 1.5 1.4 1.2 7200 720 B150 AC-15 5 3 ⎯ ⎯ ⎯ ⎯ ⎯ 3600 360 B300 AC-15 5 3 1.5 ⎯ ⎯ ⎯ ⎯ 3600 360 B600 AC-15 5 3 1.5 0.95 0.92 0.75 0.6 3600 360 ⎯ ⎯ ⎯ 1800 180 1-保護手段 C150 AC-15 2.5 1.5 ⎯ ⎯ C300 AC-15 2.5 1.5 0.75 ⎯ C600 AC-15 2.5 1.5 0.75 0.47 0.375 0.35 D150 AC-14 1.0 0.6 ⎯ ⎯ ⎯ D300 AC-14 1.0 0.6 0.3 ⎯ ⎯ E150 AC-14 0.5 0.3 ⎯ ⎯ 直流(DC) 1800 180 0.3 1800 180 ⎯ ⎯ 432 72 ⎯ ⎯ 432 72 ⎯ ⎯ ⎯ 216 36 275 2-Opto-electronics 125V 250V 400V 500V 600V N150 DC-13 10 2.2 ⎯ ⎯ ⎯ ⎯ 275 N300 DC-13 10 2.2 1.1 ⎯ ⎯ ⎯ 275 275 N600 DC-13 10 2.2 1.1 0.63 0.55 0.4 275 275 P150 DC-13 5 1.1 ⎯ ⎯ ⎯ ⎯ 138 138 P300 DC-13 5 1.1 0.55 ⎯ ⎯ ⎯ 138 138 P600 DC-13 5 1.1 0.55 0.31 0.27 0.2 138 138 Q150 DC-13 2.5 0.55 ⎯ ⎯ ⎯ ⎯ 69 69 Q300 DC-13 2.5 0.55 0.27 ⎯ ⎯ ⎯ 69 69 Q600 DC-13 2.5 0.55 0.27 0.15 0.13 0.1 69 69 R150 DC-13 1.0 0.22 ⎯ ⎯ ⎯ ⎯ 28 28 R300 DC-13 1.0 0.22 0.1 ⎯ ⎯ ⎯ 28 28 表5: 誘導負荷切換えのための接点定格 Safety Switches 用途:用途とは、装置が切換えることになる負荷のタイプを 説明します。IEC 947-5に関連する3つの用途を表6に示しま す。 Operator Interface 用途 負荷の説明 AC-12 抵抗負荷と、光カプラで絶縁されたソリッドステート 負荷の制御 AC-13 トランス絶縁付きのソリッドステート負荷の制御 AC-14 わずかな電磁負荷(72VAm未満)の制御 AC-15 72VAを超える電磁負荷 DC-12 抵抗負荷と、光カプラで絶縁されたソリッドステート 負荷の制御 DC-13 電磁の制御 DC-14 回路内にエコノミレジスタがある電磁負荷の制御 例1:A150, AC-15定格は、この接点が7200VAの回路をメイ クできることを示します。AC120Vでは、接点は60Aの突入 回路をメイクできます。AC-15は電磁負荷なので、60Aは短 期間(電磁負荷の突入電流)のみに限られます。回路のブレー クは720VAだけです。これは、電磁負荷の定常状態電流は6A で、これは定格動作電流だからです。 例2:N150, DC-13定格は、この接点が275VAの回路をメイク できることを示します。AC125Vでは、接点は2.2Aの回路を メイクできます。DCの電磁負荷にはAC電磁負荷のような突 入電流はありません。回路のブレークも275VAです。これ は、電磁負荷の定常状態電流は2.2Aで、これは定格動作電流 だからです。 マシンの再起動 表6: 利用カテゴリ 熱電流 Ith:従来の密閉型熱電流は、指定したエンクロージ ャに取付けられたときの、装置の温度上昇テストに使用され る電流の値です。 Logic 定格動作電圧 Ue および電流 Ie:定格動作電流と電圧は、通 常の動作条件におけるスイッチエレメントのメイクおよびブ レークの容量を指定します。アレン・ブラドリーの Guardmaster製品は、厳密にAC125V, AC250V, および DC24Vに定格されています。指定された定格以外の電圧での 使用に関しては、工場に問い合わせてください。 例えば、稼動中のマシンでインターロックガードが開いた場 合、セーフティ・インターロック・スイッチが機械を止めま す。ほとんどの場合、ガードが閉じてすぐに、機械が再始動 しないのは、当然のことです。これを実現する一般的な方法 では、図88に示すような、ラッチ機能付きコンタクタの開始 処理を使用します。ここでは、インターロックされた防護ド アを例として使用していますが、この要件は、他の保護装置 や非常停止装置にも適用されます。 VA:VA (Voltage x Amperage)定格は、回路をメイクすると きと、回路をブレークするときのスイッチエレメント定格を 示します。 1-40 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 ࠗࡦ࠲ࡠ࠶ࠢࠬࠗ࠶࠴ ࠟ࠼߇㐽ߓߚ ࠦࡦ࠲ࠢ࠲ ⁁ᘒࠍ␜ߔޕ ᓮࠦࠗ࡞ ᆎേ ࡕࡔࡦ࠲ᑼ ࠶࠻ߒࡏ࠲ࡦ ࠗࡦ࠲ࡠ࠶ࠢ ࠬࠗ࠶࠴ ᱛ ഥធὐ General ࠦࡦ࠲ࠢ࠲ ࡈ࠹ࠖ 㔚Ḯធὐ L1 ᯏ᪾ᓮ L2 図88: シンプルなマシンの始動/停止インターロック回路 ほとんどの機械が、前述のように動作する1つまたは2つのコ ンタクタをすでに備えています(または、同じ結果になるシス テムを備えています)。既存の機械にインターロックを取付け るときは、電源制御の配置がこの要件を満たしているか判断 し、必要に応じて追加措置を取る必要があります。 リセット機能 アレン・ブラドリーのGuardmasterのモニタ・セーフティ・ リレー(MSR)は、モニタ付き手動リセットまたは自動/手動リ セットのいずれかを備えるように設計されています。 モニタ付き手動リセット モニタ付き手動リセットでは、ゲートが閉じるか、非常停止 がリセットされた後、回路をいったん閉じてから開く必要が あります。図89に、モニタ付き手動リセット機能付きのセー フティリレーの出力モニタ回路に接続されたリセットスイッ チの標準的な構成を示します。機械的にリンクされた電源切 換えコンタクタの通常閉の補助接点は、モメンタリ式押しボ タンと直列に接続されます。ガードが開いてから再度閉じた 後に、セーフティリレーはリセットボタンを押してから離す まで、機械が再始動できないようにします。これは、EN ISO 13849-1に指定された追加の手動リセットの要件の意図 を満たします。例えば、リセット機能は、両方のコンタクタ がオフで、両方のインターロック回路(そして、それに伴って ガード)が閉じていること、また、(状態の変化が必要である ため)リセットアクチュエータがどのような形でもバイパスさ れないか、またはブロックされないことを保証します。これ らのチェックが成功すると、機械が通常の制御から再起動で きます。EN ISO 13849-1は、オン状態からオフするには状態 の変化を必要としますが、反対の効果でも同じ保護原則を達 成することができます。 R この場合、自動リセットが可能になるように、リセットライ ンにジャンパを使用できます。ユーザは、ゲートが閉じたと きに機械が起動しないようにするために、別の手段を採用す る必要があります。 2-Opto-electronics ガードが閉じている場合、ガードで覆われている機械の危険 な機能は動作可能であるが、ガードを閉じる行為そのもので 動作が開始されることはない。 自動/手動リセット セーフティリレーの中には、自動/手動リセット機能を備えて いるものがあります。手動リセットモードはモニタされず、 ボタンが押されたときにリセットが行なわれます。リセット スイッチが短絡またはジャムしていても検出されません。こ の方法では、追加の手段を使用しない限り、EN ISO 13849-1 に指定された追加の手動リセットの要件を達成できません。 リセットスイッチは、危険がよく見える場所に配置し、オペ レータが、操作する前にその領域がクリアされたことをチェ ックできるようにする必要があります。 自動/手動リセット セーフティリレーの中には、自動/手動リセット機能を備えて いるものがあります。手動リセットモードはモニタされず、 ボタンが押されたときにリセットが行なわれます。リセット スイッチが短絡またはジャムしていても検出されません。こ の方法では、追加の手段を使用しない限り、EN ISO 13849-1 に指定された追加の手動リセットの要件を達成できません。 この場合、自動リセットが可能になるように、リセットライ ンにジャンパを使用できます。ユーザは、ゲートが閉じたと きに機械が起動しないようにするために、別の手段を採用す る必要があります。 自動リセット装置には、手動スイッチ操作は不要ですが、動 作を止めた後、システムをリセットする前に、システムの整 合性チェックを必ず実行します。自動リセット装置は、リセ ット機能のない装置とは異なります。後者では、安全システ ムは動作を止めた後、直ちに有効になり、システムの整合性 チェックは行なわれません。 Safety Switches 通常のインターロック状態に関する要件は、ISO 12100-1の 第3.22.4項で明確にされています。 リセットスイッチは、危険がよく見える場所に配置し、オペ レータが、操作する前にその領域がクリアされたことをチェ ックできるようにする必要があります。 Operator Interface 始動ボタンを押してから離すと、電源接点を閉じているコン タクタの制御コイルがすぐに出力状態になります。電源接点 に電力が供給されている限り、電源接点と機械的にリンクさ れているコンタクタの補助接点によって、制御コイルは出力 状態(電気的にラッチされた状態)に保たれます。主電源また は制御電源が遮断されると、コイルがオフ状態になり、主電 源と補助接点が開きます。ガードのインターロックは、コン タクタの制御回路に配線されています。つまり、再始動する には、ガードを閉じてから通常の始動ボタンでスイッチを 「オン」にして、コンタクタをリセットし機械を起動しま す。 制御ガード 制御ガードは、ガードが開くとマシンを停止し、ガードが閉 じると再度直接マシンを起動します。いかなる場合でも予想 できない起動や、停止の失敗は非常に危険であるため、制御 ガードの使用は特定の強制的な状況の下でのみ許されます。 インターロック装置には最高の信頼性が必要です(通常はガー ドロックの使用をお奨めする)。制御ガードの使用を検討でき るのは、ガードが閉じている間、オペレータの体またはその 一部が危険領域内に留まったり、近づいたりする可能性のな いマシンの場合だけです。制御ガードは、危険領域への唯一 の接近方法でなければなりません。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-41 Logic ࡑࠪࡦࡕ࠲߳ߩ3⋧㔚Ḯ 㔚Ḯ ࠦࡦ࠲ࠢ࠲ 図89: モニタ付き手動リセット 1-保護手段 L3 ࠾ࡘ࠻࡞ 原理、規格&実装 保護手段および補助的な装置 セーフティ・プログラマブル・ロジック制御 General フレキシブルでスケーラブルな安全アプリケーションに対す る要望がセーフティPLC/コントローラ開発の機動力となって います。プログラマブル・セーフティ・コントローラは、安 全アプリケーションでも、使い慣れている標準のプログラマ ブルコントローラと同じくらい自由な制御を可能にします。 ただし、標準のPLCとセーフティPLCには大きな違いがあり ます。図90に示すように、セーフティPLCには、より複雑な 安全システムのスケーラビリティ、機能、統合要件に対応す るためにさまざまなプラットフォームが用意されています。 セーフティPLCの出力は、電気機械式または安全定格ソリッ ドステートです。図93に、セーフティPLCの出力回路ごとに ある複数のスイッチを示します。入力回路と同様に、出力回 路も毎秒複数回のテストが行なわれ、出力をオフにできるこ とが確認されます。3つの回路のいずれか1つが故障した場合 は、他の2つの回路によって出力がオフにされ、内部モニタ 回路によってフォルトが報告されます。 ࠙ࠜ࠶࠴࠼࠶ࠣ /Ყセ ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ ࡕ࠾࠲ 1-保護手段 + - ࡕ࠾࠲ ࡕ࠾࠲ 図93: 安全出力モジュールのブロックダイアグラム 図90:セーフティPLCプラットフォーム 2-Opto-electronics ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ RAM ࡈ࠶ࠪࡘ ࡐ࠻ I/Oࡕࠫࡘ࡞ ࠕ࠼ࠬ ࠺࠲ ᓮ 安全デバイスを機械的な接点(E-stops, ゲートスイッチなど) に使用しているときは、ユーザはパルステスト信号を適用し てクロスフォルトを検出できます。高価な安全出力の使用を 回避するために、ほとんどのセーフティPLCは機械的接点装 置に接続できる特定のパルス出力を提供します。配線の例を 図94に示します。この例では、出力O1, O2, O3, およびO4 は、それぞれ異なるパルスレートを使用しています。セーフ ティPLCではこれらのパルスレートの相違が入力に反映され ることを前提としています。同じパルスレートが検出された 場合は、クロスフォルトが発生し、セーフティPLC内で適切 な処置がとられます。 ജ ജ ࡄ࡞ࠬ࠹ࠬ࠻ 24V ࠙ࠜ࠶࠴࠼࠶ࠣ/ Ყセ หᦼ ࠕ࠼ࠬ Safety Switches ࠺࠲ ᓮ ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ ࡈ࠶ࠪࡘ RAM 図91: 1oo2Dアーキテクチャ Operator Interface I/O, メモリ、および安全通信を処理するために複数のマイク ロプロセッサが使用されます。ウォッチドッグ回路は診断分 析を実行します。このタイプの構造は、2つのマイクロプロ セッサのいずれかが安全機能を実行し、両方のマイクロプロ セッサが確実に同期をとって動作するように拡張診断が実行 されるため、1oo2Dと呼ばれています。 さらに、各入力回路は毎秒何回も内部的にテストされ、正し く動作していることを確認されます。図92は、入力のブロッ クダイアグラムです。非常停止は月に1回押されるだけかも しれませんが、回路は継続的にテストされているので、実際 に押されたときは、非常停止はセーフティPLC内部で正しく 感知されます。 ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ ࠹ࠬ࠻ ࠕ࠼ࠬ ࠺࠲ ࠺࠲ ࡃ࠶ࡈࠔ Logic หᦼ ࠙ࠜ࠶࠴࠼࠶ࠣ /Ყセ ࠕ࠼ࠬ ࠺࠲ ᓮ IOࡃࠬ ᓮ ജ2 O1 I2 O2 I3 O3 I4 O4 I5 O5 I6 O6 I7 O7 I8 O8 図94: 2 N.C.機械的な入力のパルステスト ソフトウェア セーフティPLCのプログラムは、標準PLCとほとんど同じよ うにプログラムされます。前述の追加された診断とエラーチ ェック機能は、すべてオペレーティングシステムによって実 行されます。プログラマはこれらが行なわれていることに気 づきません。ほとんどのセーフティPLCには、安全システム 用のプログラムを作成するために使用される特殊な命令があ り、これらの命令はセーフティリレーに対応する機能に似て います。例えば、図95の非常停止(Emergency Stop)命令は、 MSR 127とほとんど同じように機能します。これらの命令の 陰にあるロジックは複雑ですが、プログラマは単純にこれら のブロックをつなぎ合わせるだけなので、安全プログラムは 比較的シンプルに見えます。これらの命令は、他のロジッ ク、計算、データ操作などと組み合わせると、その動作が適 用される規格に確実に適合することを第三者機関によって保 証されます。 ࠹ࠬ࠻ Emergency Stop with Manual Reset ജ3 ࠹ࠬ࠻ ࠹ࠬ࠻ ᓮ࿁〝 ࡑࠗࠢࡠ ࡊࡠ࠶ࠨ Channel 1 A Ouptut 1 Channel 1 B Cycle Inputs Inputs Inconsistent Circuit Reset Fault Reset 図92: 安全入力モジュールのブロックダイアグラム 1-42 ജ1 I1 Circuit Reset Held On Fault Present 図95: E-Stopファンクションブロック Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 ファンクションブロックは、安全機能をプログラミングする ための優れた方法です。ファンクションブロックとラダーロ ジックに加え、セーフティPLCには、認定された安全アプリ ケーション命令があります。認定済みの安全命令によりアプ リケーション固有の動作が可能になります。この例では、非 常停止命令を示します。ラダーロジックで同じ機能を実行す るには、ラダーロジックのラングが約16必要になります。ロ ジックの動作は非常停止命令に埋め込まれるため、埋め込ま れたロジックはテストする必要がありません。 プログラマブル・ロジック・システムを使用すると、モニタ ・セーフティ・リレー(MSR)と比べて配線がシンプルになり ます。MSR上の特定の端子への配線と異なり、入力装置は任 意の入力端子に接続され、出力装置は任意の出力端子に接続 されます。その後、ソフトウェアによって端子が割当てられ ます。 1-保護手段 標準と安全定格機能は、すべて互いから分離されています。 図97に、アプリケーションの標準部分と安全関連部分の間で のやり取りが許可されているブロックダイアグラムを示しま す。例えば、安全タグは標準ロジックで直接読取ることがで きます。安全タグは、EtherNet, ControlNetまたはDeviceNet 上のGuardLogixコントローラ間で交換できます。安全タグの データは、外部デバイス、ヒューマン・マシン・インターフ ェイス(HMI), パーソナルコンピュータ(PC)または他のコント ローラを使用して直接読取ることができます。 Safety Task Standard Tasks Standard Pgms Safety Pgms Std Routines Safey Routines Program Data Program Safety Data 統合セーフティコントローラ 11 2 51 4 Controller Standard Tags Controller Safety Tags 7 3 2 6 7 図97: 標準および安全タスクの相互作用 Logic 安全制御ソリューションは、安全と標準の制御機能が混在し て共に動作できる1つの制御アーキテクチャに完全に統合さ れています。モーション、ドライブ、プロセス、バッチ、高 速シーケンシャル、およびSIL 3安全を1台のコントローラで 実行する能力には、大きな利点があります。安全制御と標準 制御を統合することで、共通のツールと技術を使用して、設 計、導入、実施、および保守に関わるコストを削減できる可 能性が生まれます。安全ネットワーク上で共通の制御用ハー ドウェア、分散型セーフティI/Oまたはデバイスを使用できた り、共通のHMIデバイスを使用できることで、購入コストと 保守費用を削減でき、開発期間も短縮できます。各機能の共 通性により、生産性を向上させ、問題のトラブルシューティ ング時間を短縮し、トレーニングコストを低減することがで きます。 図96に、制御と安全保護の統合の例を示します。安全関連で はない標準の制御機能はメインタスクに組み込まれます。安 全関連の機能は、安全タスクに組み込まれます。 R Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 2-Opto-electronics 図96: 統合安全およびヒ安全のタスク Safety Switches セーフティPLCは、変化が起きたかどうかを追跡する機能の 署名を生成します。この署名は、通常、プログラム、I/O構 成、およびタイムスタンプが組み合わされています。プログ ラムのファイナライズと妥当性確認が行なわれるときは、こ の署名を後で参照できるように妥当性確認の結果の一部とし て記録する必要があります。プログラムの変更が必要になっ た場合は、再度妥当性確認が必要で、新しい署名を記録する 必要があります。プログラムはパスワードでロックして、不 正に変更されるのを防ぐこともできます。 ⛔วߐࠇߚ ࠲ࠬࠢ Operator Interface 認可ファンクションブロックは、ほとんどすべての安全装置 と接続できます。この中に含まれないのは、抵抗技術を使用 するセーフティエッジです。以下に、GuardPLCで使用可能 な認定済みアプリケーション命令の例を示します。 1. さまざまな1 N.O. + 1 N.C.)入力、自動リセット付き 2. さまざまな(1 N.O. + 1 N.C.)入力、手動リセット付き 3. 非常停止、自動リセット付き 4. 非常停止、手動リセット付き 5. 冗長(2 N.C.)入力、自動リセット付き 6. 冗長(2 N.C.)入力、手動リセット付き 7. 冗長出力、正のフィードバック付き 8. 冗長出力、負のフィードバック付き 9. イネーブルペンダント、自動リセット付き 10. イネーブルペンダント、手動リセット付き 11. 両手用制御のランステーション、アクティブピン付き 12. 両手用制御のランステーション、アクティブピンなし 13. ライトカーテン、自動リセット付き 14. ライトカーテン、手動リセット付き 15. 5ポジションモード選択 16. シングル・パルス・テスト出力 17. 冗長パルステスト出力 General 保護手段および補助的な装置 1-43 原理、規格&実装 保護手段および補助的な装置 General 1-保護手段 1. 標準タグとロジックはControlLogixと同様に動作します。 2. 標準タグデータ、プログラム、またはコントローラ用、 および外部デバイス、HMI, PC, その他のコントローラな ど 3. 統合コントローラであるGuardLogixは、標準のタグデー タを安全タスク内で使用するために安全タグに移動(マッ プ)することができます。これは、GuardLogixの標準側か らステータス情報を読取れるようにすることを目的とし ています。このデータは、安全出力を直接制御するため に使用することはできません。 4. 安全タグは標準ロジックで直接読取ることができます。 5. 安全タグは安全ロジックで読み書きできます。 6. 安全タグは、EtherNetを介してGuardLogixコントローラ 間でやり取りすることができます。 7. 安全タグデータ(プログラム用またはコントローラ用)は、 外部デバイス、HMI, PC, その他のコントローラなどで読 取ることができます。一度このデータを読取ると、安全 データではなく、標準データと見なされることに注意し てください。 安全プロトコルは末端装置(セーフティPLC/コントローラ、 セーフティI/Oモジュール、安全構成部品)にだけ関与してい るので、標準のケーブル、ネットワーク・インターフェイス ・カード、ブリッジ、およびルータが使用され、特殊なネッ トワークハードウェアは必要なく、これらの装置を安全機能 から排除することができます。 図98に、最もシンプルな分散I/Oシステムの例を示します。 オペレータがゲートを開けます。ローカルの安全I/Oブロック に接続されたインターロックスイッチがDeviceNetネットワ ークを介して安全データをセーフティPLCに送ります。セー フティPLCは安全I/Oブロックに信号を返してゲート内部の設 備をシャットダウンし、標準出力をスタックライトに送信し て、ゲートが開いたことを通知します。HMIと標準のPLC は、表示や、近接した装置のサイクルストップを実行するな ど、追加の制御措置のために安全データをモニタします。 ోI/O Block ࡅࡘࡑࡦࡑࠪࡦ ࠗࡦ࠲ࡈࠚࠗࠬ ᮡḰPLC 安全ネットワーク 2-Opto-electronics これまでプラントフロアの通信ネットワークは、製造メーカ に対して柔軟性を向上させ、診断機能を改善し、距離を伸ば し、導入および配線のコストを削減し、保守を容易にし、製 造作業の生産性を総合的に改善してきました。これらと同じ 動機で、産業用安全ネットワークも実現に向けて動いていま す。安全ネットワークを使用すると、安全I/Oと安全デバイス を1本のネットワークケーブルを使用して機械の周囲に分散 させることができるため、導入コストを削減すると同時に、 診断を改善し、より複雑な安全システムを実現できるように なります。また、セーフティPLC/コントローラ間で安全な通 信が可能になり、複数のインテリジェントシステム間に安全 制御を分散させることができるようになります。 Safety Switches 安全ネットワークは通信エラーの発生を抑えるわけではあり ません。安全ネットワークは転送エラーの検出能力に優れて いるため、安全デバイスが適切な処置を行なえるようになり ます。検出される通信エラーには、メッセージの挿入、メッ セージの損失、メッセージ不正、メッセージ遅延、メッセー ジの重複、メッセージのシーケンスエラーなどがあります。 Operator Interface ほとんどのアプリケーションでは、エラーが検出されるとデ バイスは既知の電源が断たれた状態(一般的に安全状態と呼ば れる)になります。安全入力または出力装置は、このような通 信エラーの検出に関与しているので、適切な場合は安全状態 になります。 初期の安全ネットワークは、特定のメディアタイプやメディ アアクセス方法に縛られていたので、製造メーカは安全機能 の一部になる特別なケーブル、ネットワーク・インターフェ イス・カード、ルータ、ブリッジなどを使用する必要があり ました。これらのネットワークは、安全デバイス間の通信の みに対応していました。したがって、メーカは機械制御スト ラテジに2つ以上のネットワーク(標準制御用に1つと、安全 関連制御用に1つ)を使用する必要があったので、設置、トレ ーニング、スペアパーツに多くのコストがかかりました。 Logic 最近の安全ネットワークは、1本のネットワークケーブルを 安全制御装置と標準の制御装置のいずれかの通信にも使用で きます。CIP (Common Industrial Protocol:共通の産業プロ トコル) Safetyは、ODVA (Open DeviceNet Vendors Association)によって公開されているオープン規格のプロト コルで、DeviceNet, ControlNet, およびEtherNet/IPネットワ ーク上の安全装置間の安全通信に使用できます。CIP Safety は標準のCIPプロトコルを拡張したプロトコルで、安全装置 と標準装置をすべて同じネットワーク上に置くことができま す。安全装置を含むネットワーク間をブリッジすることも可 能なため、安全装置を再分割して安全機能の応答時間を微調 整できたり、安全装置の配置が容易になったりします。 1-44 ࡈ࠹ࠖPLC DeviceNet 図98: シンプルな分散型 安全ネットワークの例 安全情報および制御の共有が必要な大規模なの製造システム では、Ethernet/IPも使用できます。図99に、DeviceNetが小 規模なサブシステム内でローカルなI/Oの分散に使用されてい るときの、2つの安全コントローラ間の通信を示します。 出力デバイス セーフティ制御リレーおよびセーフティコンタクタ 制御リレーおよびコンタクタは、アクチュエータから電力を 取り除くために使用されます。安全定格を与えるために、制 御リレーとコンタクタに特殊機能が追加されています。 機械的にリンクされた通常閉接点は、制御リレーおよびコン タクタのステータスをロジックデバイスにフィードバックす るために使用されます。機械的にリンクされた接点を使用す ると、安全機能が確保されます。機械的にリンクされた接点 の要件を満たすために、通常閉接点と通常開接点を同時に閉 状態にすることはできません。IEC 60947-5-1は、機械的に リンクされた接点の要件を定義しています。通常開接点が溶 着した場合は、通常閉接点は0.5mm以上開いたままになりま す。これとは逆に通常閉接点が溶着した場合は、通常開接点 が開いたままになります。この要件を満たしている製品に は、図100に示すようなマークが付けられます。 ᯏ᪾⊛ߦࡦࠢߐࠇߚ ធὐ↪ߩࠪࡦࡏ࡞ ࠕࡑ࠴ࡖ߳ߩࠕࠢࠬ ࠍᱛߔࠆ࠙ࠖࡦ࠼࠙ 図100: 機械的にリンクされた接点のシンボル 安全システムは、特定の位置からのみ開始されなければなり ません。標準定格の制御リレーとコンタクタは、接極子を押 して通常開接点を閉じることができます。安全定格デバイス では、予期しない起動を緩和するために、アマチャは手動制 御されないように保護されています。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 保護手段および補助的な装置 EtherNet General RSLogix RSView EtherNet I/P ControlNet DeviceNet DeviceNet DeviceNet 1-保護手段 DeviceNet CIP Safety - EtherNet I/P CIP Safety - ControlNet ࡒធὐ 図102に、過負荷保護装置の例を示します。カテゴリ3, カテ ゴリ4, または高信頼性制御ソリューションでモータのスイッ チを確実に切るためにデュアルコンタクタが使用されている 場合、モータごとに必要な過負荷保護装置は1台だけです。 ౬㐳ࠦࡦ࠲ࠢ࠲ ㆊ⽶⩄⼔ 図102: コンタクタ過負荷保護 図101: ミラー通常閉接点 制御リレーまたはコンタクタのドロップアウト時間は、安全 距離の計算に関わってきます。通常、コイルにサージサプレ ッサが取付けられているときは、コイルを動かす接点の寿命 が延びます。AC電源用コイルでは、ドロップアウト時間に影 響しません。DC電源用コイルでは、ドロップアウト時間が 増加します。増加量は選択した抑制のタイプによって異なり ます。 制御リレーおよびコンタクタは、大きな電流負荷を0.5Aから 100A以上に切換えるように設計されています。安全システム は低電流で動作します。安全システムのロジックデバイスに よって生成されるフィードバック信号は、通常DC24Vでおよ そ数mAから数十mAになります。セーフティ制御リレーとセ ーフティコンタクタは金メッキされた分岐接点を使用して、 より低い電流切換えの信頼性を向上させます。 R ドライブおよびサーボ 安全定格ドライブおよびサーボは回転エネルギーが流出する のを回避し、非常停止だけでなく安全停止を実行するために も使用されます。 ACドライブはゲート制御回路から電力を除去するために冗長 チャネルを使用して、安全定格を確保しています。1つのチ ャネルはイネーブル信号です。これは、ゲート制御回路の入 力信号を除去するハードウェア信号です。もう1つのチャネ ルは、ゲート制御回路から電力を除去する強制開離リレーで す。強制開離リレーは、ロジックシステムに状態信号も返し ます。図103に、PowerFlexドライブでのセーフオフ機能の実 装を示すブロックダイアグラムを示します。 この冗長機能によって、コンタクタを使用しなくても安全関 連ドライブを非常停止回路に適用できるようになります。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-45 Safety Switches 大型のコンタクタでは、幅の広いスパナの状態を正確に反映 させるには、1つのアダーデッキでは不十分です。この場 合、ミラー接点(図101を参照)がコンタクタの片側に配置され ます。 過負荷保護 電気規格と地域の建築基準法では、モータの過負荷保護が要 求されます。過負荷保護装置の診断機能は、装置とオペレー タの安全を強化します。現在使用可能なテクノロジでは、過 負荷、位相損失、地絡、ストール、ジャム、負荷不足、電流 の不均衡、および過熱などのフォルト状態を検出できます。 トリップする前にフォルトを検出して通知することにより、 生産可能時間を拡大し、オペレータや保守要員を危険な状態 から保護することができます。 Operator Interface セーフティ制御リレーでは、通常閉接点はメインスパナで動 かされます。セーフティコンタクタはアダーデッキを使用し て機械的にリンクされた接点の場所を確認します。接点ブロ ックがベースから落ちた場合は、機械的にリンクされた接点 は閉じたままになります。機械的にリンクされた接点は、セ ーフティ制御リレーまたはセーフティコンタクタに永久的に 固定されます。 Logic 図99: 複雑な分散型安全ネットワークの例 2-Opto-electronics CIP Safety - DeviceNet 原理、規格&実装 保護手段および補助的な装置 L1 L2 L3 General ࠥ࠻ ᓮ㔚Ḯ ࡈࠝࡈ R S T PowerFlex DriveGuard FBK1 ࠥ࠻ᓮ㔚Ḯ ࡈࠖ࠼ࡃ࠶ࠢ1 ࡈࠖ࠼ࡃ࠶ࠢ ାภ2 FBK1 ࡈࠝࡈࠝࡊ࡚ࠪࡦ EN1+ ାภ1 R1 ENEN2+ ାภ2 1-保護手段 ାภ1 ࠗࡀࡉ࡞ R2 ో ࡕ࠾࠲ ࠥ࠻ ᓮ࿁〝 FBK2 ࠥ࠻ ᓮ࿁〝 ࡈࠖ࠼ࡃ࠶ࠢ2 FBK2 U V W ࠥ࠻ ᓮࠗ ࡀࡉ࡞ ࡕ࠲ 図103:ドライブ安全信号 2-Opto-electronics サーボはACドライブと同様の結果を出します。図104では、 安全機能を実現するために冗長安全信号を使用しています。 1つの信号はゲート制御回路の駆動力を遮断します。もう1つ の信号は、ゲート制御回路の電源に送られる電力を遮断しま す。2つの強制開離リレーは、信号を除去し、ロジックデバ イスにフィードバックを送るためにも使用されます。 接続システム Safety Switches 接続システムには、安全システムの設置と保守費用を低減す るという付加価値があります。設計時には、シングルチャネ ル、デュアルチャネル、デュアルチャネル(表示付き)、さま ざまなタイプのデバイスを考慮する必要があります。 デュアル・チャネル・インターロックを直列に接続する必要 がある場合は、分散型ブロックを使用すると設置がシンプル になります。図105に、1つのポートに直列で接続されたイン ターロックの例を示します。IP67定格の場合は、このタイプ のボックスを離れた場所にある機械に取付けることができま す。 ࡕ࠲ 図104: Kinetixドライブ安全信号 多種多様な装置を組み合わせて使用する場合は、ArmorBlock Guard I/Oボックスを使用できます。図106に、エンクロージ ャなしで機械に取付けられるIP 67定格の8ポートおよび4ポ ートブロックを示します。入力はソフトウェアを使用して、 さまざまなタイプのデバイスに対応できるように構成できま す。 ࡀ࠶࠻ࡢࠢធ⛯↪ߩ ࠢࠗ࠶ࠢ࠺ࠖࠬࠦࡀࠢ࠻ ో߅ࠃ߮㕖ోቯᩰ ࠺ࡃࠗࠬ↪ߩࠢࠗ࠶ࠢ ࠺ࠖࠬࠦࡀࠢ࠻ ࠕࠢࠬ3 Operator Interface ࠕࠢࠬ2 ࠕࠢࠬ1 8ࡐ࠻ 図106: ArmorBlock Guard I/O ోࡠࠫ࠶ࠢ࠺ࡃࠗࠬ߳ߩ ࠕࠢࠬ4 ࡔࠗࡦ࠻ࡦࠢ ࠕࠢࠬ6 ࠕࠢࠬ5 Logic 図105: 安全分散型ブロック 1-46 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 安全距離の計算 安全距離の計算 危険箇所はオペレータが到達する前に安全な状態になる必要 があります。安全距離の計算に関しては、2つの規格グルー プが優勢になっています。これらの規格は、次のようにグル ープ化されます。 ISO EN: (ISO 13855およびEN 999) 米国/カナダ(ANSI B11.19, ANSI RIA R15.06および CAN/CSA Z434-03) 奥行侵入係数は、CとDpfという記号で表されます。これは、 安全保護装置によって検出されるまでに危険箇所に向かう最 大移動距離です。奥行侵入係数は、装置の種類とアプリケー ションによって異なります。最適な奥行侵入係数を決定する には、適切な基準を調べる必要があります。ライトカーテン やエリアスキャナへの垂直方向からの接近の場合、対象物感 度は64mm (2.5インチ)未満なので、ANSIおよびカナダ規格 では、次の式を使用します。 General 奥行侵入係数 ISO EN:S =K x T+ C US CAN: Ds =K x(Ts + Tc + Tr + Tbm) + Dpf この場合、 DsとSは、危険な領域から一番近い検出ポイントまでの最小 安全距離です。 C = 8 x (対象物感度 – 14mm) (ただし、負の数でない) 図107に、これらの2つの係数の比較を示します。これら2つ の式は、19.3mmで交差します。対象物感度が19mm未満の場 合、ライトカーテンまたはエリアスキャナを危険箇所からか なり遠ざける必要があるので、米国およびカナダの方法では より厳しく制限されます。対象物感度が19.3mmを超える場 合、ISO EN規格はより厳しくなります。世界中で使用され る機械を製造するメーカは、両方の式における最悪の条件を 考慮する必要があります。 通常:検出面に垂直方向から接近する。 水平:検出面と平行に接近する。 斜め:検出領域に斜めの方向から接近する。 速度定数 Kは、速度定数です。速度定数の値は、オペレータの動き(手 の速度、歩く速度、歩幅)によって異なります。このパラメー タは、調査データに基づいて、オペレータが停止していると きの手の速度は1600mm/sec (63インチ/sec)と想定するのが 妥当とされています。実際のアプリケーションの状況を考慮 する必要があります。一般的なガイドラインとして、接近速 度は1600~2500mm/sec (63~100インチ/sec)の範囲で変化 します。適切な速度定数は、リスクアセスメントによって決 定します。 ᅏⴕଚଥᢙ(mm) 接近する方向 ライトカーテンまたはエリアスキャナが使用されている場合 に安全距離の計算を行なうときは、検出装置への接近方法を 考慮する必要があります。接近方法として次の3つが考えら れます。 200 190 180 170 160 150 140 130 120 110 100 90 80 70 60 50 40 30 20 10 EN ISO US CAN 5 10 15 20 30 40 50 60 25 35 45 55 65 ᦨዊኻ⽎‛ᗵᐲ(mm) 図107: 奥行侵入係数vs.対象物感度 停止時間 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P Logic Tは、システムが完全に止まるまでの時間です。つまり、停 止信号の開始から危険が解消するまでの合計時間を秒(sec)単 位で表します。この時間は、分析しやすくするために、増加 部分(Ts, Tc, Tr, およびTbm)に細分化します。Tsは期待する最 低限のマシン/装置の停止時間です。Tcは、最期待する最低限 の制御システムの停止時間です。Trは、インターフェイスを 含む安全保護装置の応答時間です。Tbmは、エンドユーザが 予め設定した停止時間の制限を超えたことをブレーキモニタ が劣化として検出するまでに猶予される追加の時間です。 Tbmは部分回転機械プレスに使用されます。Ts + Tc + Trの値 がわからない場合、通常は停止時間測定装置を使って測定さ れます。 R 2-Opto-electronics 以下の式を使用します。 ライトカーテンまたはエリアスキャナへの垂直方向からの接 近の場合、対象物感度は40mm (1.57インチ)未満なので、 ISOおよびEN規格では、次の式を使用します。 Safety Switches 最小安全距離は、停止コマンドの処理に必要な時間と、検出 されるまでにオペレータが検出領域に侵入できる距離で決ま ります。世界中で同じ形式および要件を持つ式が使用されま す。ただし、変数を表すために使用される記号と測定の単位 は異なります。 Operator Interface 式 1-安全距離 Dpf = 3.4 x (対象物感度– 6.875mm) (ただし、負の数でない) 1-47 原理、規格&実装 安全距離の計算 General 通り抜けアプリケーション 距離の計算 より大きな対象物感度を使用するときは、米国CANおよび ISO EN規格とでは奥行侵入係数と対象物感度が多少異なり ます。図108にこの差異を示します。米国/カナダの値が 900mmのとき、ISO EN値は850mmです。ISO EN規格で40 ~70mmが許される場合、米国/カナダ規格では最大600mmま で許されます。 ライトカーテンへの垂直方向からの接近の場合、ISO ENと 米国/カナダ用の安全距離計算はほとんど同じですが、相違点 もあります。垂直に取付けられた対象物感度が最大40mmの ライトカーテンに垂直方向から接近する場合、ISO ENの方 法は2段階で行なわれます。最初に速度定数に2000を使用し てSを計算します。 S = 2000 x T + 8 x (d -1 4) ISO EN US CAN 40mm < Os <= 70mm 64mm (2.5ࠗࡦ࠴) <= Os <= 600mm (24ࠗࡦ࠴) C = 850mm (33.5ࠗࡦ࠴) Dpf = 900mm (36ࠗࡦ࠴) 最小距離Sは100mmです。 距離が500mmを超える場合は、Kの値を1600に減らすことが できます。K=1600を使用すると、Sの最小値は500mmにな ります。 300mm (12ࠗࡦ࠴) ᦨᄢ この式では規格と5%より大きな違いができ、応答時間が 560msec未満になります。図110には、対象物感度が14mm と30mmの場合の合計停止時間に応じて最小安全距離を示し ます。2つの方法を組み合わせた場合は、世界中で使用でき るように設計された機械では、最悪のシナリオを検討する必 要があります。 図108: 通り抜けアプリケーション用の奥行侵入係数 手を伸ばすアプリケーション 最上段のビームの値は非現実的に思われます。これを通り抜 けアプリケーションで考えると、最上段ビームの高さは、オ ペレータが立った状態で十分に通れる高さが必要です。オペ レータが検知面の上に手を伸ばすことができる場合は、部分 検知基準が適用されます。 Safety Switches US CAN Dpf = 1200mm (48ࠗࡦ࠴) 300mm (36ࠗࡦ࠴) ᦨዊ 1 600 1 400 1 200 1 000 800 600 400 200 14mmኻ⽎‛ᗵᐲ ISO EN US CAN 100 200 300 400 500 600 700 800 50 150 250 350 450 550 650 750 ว⸘ߩᔕ╵ᤨ㑆(msec) ో〒㔌(mm) 2-Opto-electronics どちらの規格も最下段ビームの高さは最低でも300mm以上で なければならないことで一致していますが、最上段ビームの 最低の高さについては見解が異なります。ISO ENは900mm としており、一方米国/カナダは1200mmとしています。図 109に、その違いをまとめて示します。 ో〒㔌(mm) 1-安全距離 米国/カナダの方法は1段階で行なわれます。 Ds = 1600 x T * Dpf 1 600 1 400 1 200 1 000 800 600 400 200 30mmኻ⽎‛ᗵᐲ ISO EN US CAN 100 200 300 400 500 600 700 800 50 150 250 350 450 550 650 750 ว⸘ߩᔕ╵ᤨ㑆(msec) 図110: 安全距離の比較 300mm (12ࠗࡦ࠴) ᦨᄢ 斜めからの接近 Operator Interface 図109: 手を伸ばすアプリケーション用の奥行侵入係数 シングルビームまたはマルチビーム シングルビームまたはマルチの個別ビームについては、ISO EN規格で詳細に定義されています。表7に、床からのマルチ ビームの実用的な高さを示します。ほとんどの場合の奥行侵 入は850mmで、シングルビームの場合は1200mmを使用しま す。これに比べて、米国/カナダでは、これを通り抜けの要件 として考慮しています。シングルビームおよびマルチビーム の上、下、側面からの侵入についてを常に考慮する必要があ ります。 Logic ビーム数 1 床からの高さ[mm (インチ)] C [mm (インチ)] 750 (29.5) 1200 (47.2) 2 400 (15.7), 900 (35.4) 850 (33.4) 3 300 (11.8), 700 (27.5), 1100 (43.3) 850 (33.4) 4 300 (11.8), 600 (23.6), 900 (35.4), 1200 (47.2) 850 (33.4) 表7: シングルビームとマルチビームの高さと奥行侵入係数 1-48 ほとんどのライトカーテンとスキャナは、垂直(垂直方向から の接近)または水平(水平方向からの接近)に設置されます。こ れらの設置方法は、±5°以内の意図的な設計であれば、角度 があるとは見なされません。角度が±5°を超えた場合は、リ スクの可能性(距離が短すぎるなど)を考慮する必要がありま す。一般的に、参照面(床)との角度が30°を超えると垂直と考 えられ、30°度未満の場合は水平と考えられます。これを図 111に示します。 ㅢᏱ >30 ਗ <30 図111: 斜めからの検知領域への接近 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 予期しない電源投入の回避 新たに製造されるマシンには、ロック可能なエネルギー絶縁 デバイスの装備が求められます。この装置は、電気、水圧、 空圧、重力、レーザなどあらゆるタイプのエネルギーに適用 されます。ロックアウトはエネルギー絶縁デバイスをロック することを意味します。このロックは、制御された状況で所 有者または管理者によってのみ解除できるようにする必要が あります。複数の作業員がマシンの操作を行なう場合、各自 がそれぞれエネルギー絶縁デバイスをロックしなければなり ません。また、ロックした人を識別できる必要があります。 C (Dpf) 1200mm (48ࠗࡦ࠴) S = 1600 x T + 1200 Ds = 63 x T + 48 図112: 床に置いたセーフティマット オペレータが壇上に上る場合は、段の高さの40%だけ奥行侵 入係数を減らすことができます(図113を参照)。 米国では、ロック可能なデバイスが取付けられていない旧式 のマシンに対して、ロックアウトのかわりにタグアウトを使 用します。この場合、マシン電源がオフになるとタグが適用 され、タグホルダがマシンに作用しているあいだは、マシン が始動しないように、すべての関係者に警告します。1990年 以降、マシンを変更するときは、ロック可能なエネルギー絶 縁デバイスを組み込むアップグレードが要求されます。 エネルギー絶縁デバイスは、エネルギーの供給または放出を 物理的に回避する機械的なデバイスです。これらのデバイス には、サーキットブレーカ、ディスコネクトスイッチ、手動 操作のスイッチ、プラグとソケットの組み合わせ、または手 動操作のバルブなどが含まれます。電気的絶縁デバイスは、 接地されていない電源の導線をすべてスイッチを切換えて、 電極が個別に作動できないようにします。 ロックアウトとタグアウトは、マシンの予期しない始動を回 避することを目的としています。予期しない始動の原因とし ては、制御システムの故障、始動制御、センサ、コンタクタ 、またはバルブの誤動作、遮断後の電力の回復、その他内部 または外部からの影響が考えられます。ロックアウトまたは タグアウトプロセスの完了後は、エネルギーの損失を確認す る必要があります。 C (Dpf) 1200mm (48ࠗࡦ࠴) S = 1600 x T + 1200 - 0,4 x H Ds = 63 x T + 48 - 0.4 x H 図113: 壇上のセーフティマットのステップアップ 例 例:オペレータは14mmのライトカーテンに垂直方向から接 近するものとします。ライトカーテンはダイオードサプレッ サ付きのDC電源コンタクタに接続されているMSRに接続さ れています。この安全システムの応答時間Trは、20 + 15 + 95 = 130msecです。マシンの停止時間Ts+Tcは、170msecで す。ブレーキモニタは使用しません。Dpf値は1インチで、C の値は0です。これで以下のように計算します。 Dpf = 3.4 (14 - 6.875) = 24.2mm (1インチ) C = 8 (14-14) = 0 Ds = K x (Ts + Tc + Tr + Tbm) + Dpf S=KxT+C Ds = 63 x (0.17 + 0.13 + 0) + 1 S = 1600 x (0,3) + 0 Ds = 63 x (0.3) + 1 S = 480 mm (18.9インチ) Ds = 18.9 + 1 Ds = 19.9インチ(505mm) 安全絶縁システム 安全絶縁システムは、マシンに所定のシャットダウンを実行 し、さらに機械への電源をロックオフする簡単な手段になり ます。この方法は、より大型のマシンや製造システム、特に 複数のエネルギー源が中間レベルや離れた場所に存在してい る場合に有効に機能します。 図114に、システムレイアウトの概要を示します。ロック可 能なステーションが、マシンの周囲の使いやすい場所に離れ て配置されています。必要に応じて、オペレータはこのリモ ートステーションを使用して、マシンの電源を切断して、オ フの状態でロックすることができます。制御ボックスは電源 および空気圧を遮断し、エネルギーが遮断されたことをオペ レータに知らせる信号を返します。 Logic H そのため、世界中で使用されるマシンの場合の、セーフティ ・ライト・カーテンを取付ける危険箇所からの最小安全距離 は、508mm (20インチ)になります。 R Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-予期しない電源投 入 ロックアウト/タグアウト 2-Opto-electronics 予期しない電源投入の回避については、多くの規格が取り上 げています。その例として、 ISO 14118, EN 1037, ISO 12100, OSHA 1910.147, ANSI Z244-1, CSA Z460-05, および AS 4024.1603に記述されています。これらの規格に共通する 主旨は、予期しない電源投入の回避の第一の手段は、システ ムからエネルギーを除去し、システムをオフの状態にロック することというものです。これは、マシンの危険領域に作業 員が安全に入れるようにすることを目的としています。 General 予期しない電源投入の回避 Safety Switches セーフティマットの場合、オペレータは歩いて接近し、セー フティマットは床に設置されていると仮定して、安全距離に はオペレータの速度と歩幅を考慮する必要がります。マット 上のオペレータの1歩目は、図112に示すように、奥行侵入係 数1200mm (48インチ)になります。 Operator Interface セーフティマット 1-49 原理、規格&実装 予期しない電源投入の回避 トラップ・キー・システム 㔚Ḯ General トラップ・キー・システムは、ロックアウトシステムを実装 するためのもう1つの手段です。ほとんどのトラップ・キー ・システムはエネルギー絶縁デバイスから始まります。プラ イマリキーでスイッチをオフにすると、機械の電気エネルギ ーがすべての未接地供給導体から同時に取り除かれます。そ の後プライマリキーを取り外して、機械に接触する必要のあ る場所に持って行きます。図117は、最も基本的なシステ ム、遮断スイッチ、およびゲート・アクセス・ロックを示し ています。より複雑なロックアウト処理に対応するために、 さまざまなコンポーネントを追加することができます。 ࡑࠪࡦ 1-Unexpected Power-Up 㔚᳇ ⓨ 図114: 安全節煙システムのレイアウト 2-Opto-electronics 図115に示す安全絶縁システムは、マシンから電力を遮断す るだけでなく、負荷側の接地もしています。オペレータはリ モートステーションで、機械が安全な状態にあり、エネルギ ーがなくなったことを通知する可視のモニタ信号を受取りま す。 ജ 㔚ജ ࡑࠪࡦ߳ߩ 㔚ജ ࠦࡦ࠲ࠢ࠲ ߩធ ࡕ࠻ ࠬ࠹࡚ࠪࡦ ࡠ࠶ࠢน⢻ߥࡈ࠹ࠖ ࠥ࠻ࠕࠢࠬ ࡕ࠲ቯᩰ ࠦࡦ࠻ࡠ 図117: トラップキーの絶縁およびロック可能なデバイス ロックアウトの代替手段 ロックアウトとタグアウトは、マシンの修理またはメンテナ ンス中に使用する必要があります。通常の生産作業中のマシ ンへの介入には、安全保護装置が適用されます。修理/メンテ ナンスと通常の生産作業の違いは明確でないこともありま す。 Safety Switches Operator Interface 通常の製造作業中に行なわれる一部の小規模な調整や修理作 業では、必ずしもマシンのロックアウトは必要ありません。 例えば、材料の積み降ろし、小規模なツールの交換および調 整、注油程度の修理、廃材の撤去などの作業です。これらの 作業は、定期的に繰返される、生産施設を使用するために不 可欠な作業です。作業には、効果的な保護を行なう安全保護 装置などの代替手段が使用されます。安全保護装置として は、インターロックガード、ライトカーテン、セーフティマ ットなどが挙げられます。適切な安全定格ロジックデバイス および出力装置と組み合わせて使用することで、オペレータ は通常の製造作業中や小規模な修理の際に、危険領域に安全 に接近することができるようになります。 Safety Control System 図115: マシン側でオペレータへの信号を接地 負荷の切り離し 電気機器のローカル絶縁のために、遮断してロックアウトす る必要のある装置の直前にスイッチを配置することができま す。Bulletin 194Eロードスイッチは、絶縁とロックアウトの 両方の機能を持つ製品の1例です。図116にBulletin 194Eの例 を示します。 Logic 図116: 絶縁とロック機能付きのロードスイッチ 1-50 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 安全機能は、特定の危険に際してマシン制御システムの安全 関連部品によって実行され、制御対象の装置を安全な状態に 保持できるようにする機能です。安全機能が故障すると、装 置の使用に関わる危険性が急に高くなります。すなわち、危 険な状況になります。 マシンには、常に少なくとも1つの危険が伴います。危険な 状況は人が危険に曝されたときに発生します。危険な状況が 直接人に危害を及ぼすわけではありません。危険に曝された 人が危険を認識できれば、けがを避けることができます。危 険に曝された人が危険に気づかない場合や、予期しない始動 によって危険な状況が発生する場合もあります。安全システ ム設計者の主な作業は、危険な状況や予期しない始動を回避 することです。 安全機能は、通常、複数部分に分かれた要件で説明されてい ます。例えば、インターロックガードによって起動される安 全機能は、3つの部分から構成されてます。 1. ガードで保護された危険箇所は、ガードが閉じられるまで 動作できません。 2. ガードを開くと、危険箇所がその時点で動作していた場合 は、停止されます。 3. 防護ドアを閉じたとしても、ガードで保護された危険箇所 は再始動しません。 特定のアプリケーションに対する安全機能を表現する場合、 危険箇所という言葉は、その特定の危険に置き換えます。危 険箇所と危険による結果を混同しないようにします。粉砕、 切断、火傷は危険による結果です。危険箇所の例には、モー タ、ラム、ナイフ、トーチ、ポンプ、レーザ、ロボット、エ ンドエフェクタ、ソレノイド、バルブ、その他のタイプのア クチュエータ、または重力に関連する機械的な危険箇所が含 まれます。 安全システムについて説明する場合、「安全機能に次の要求 を出す時または次の要求の前に」という言い回しが使われま す。安全機能に対する要求とは何でしょうか。安全機能に対 する要求の例としては、インターロックガードを開く、ライ トカーテンを遮る、セーフティマットを踏む、またはE-Stop ボタンを押すなどがあります。オペレータは、危険箇所を停 止するか、またはすでに停止している場合は、停止した状態 を保持するように要求します。 マシン制御システムの安全関連部分が、安全機能を実行しま す。例えば、安全機能は1つの装置、例えばガードだけでは 実行されません。ガードのインターロックがロジックデバイ スにコマンドを送り、それによってアクチュエータが停止し ます。安全機能はコマンドで起動されて、実行後に終了しま す。 R ここでは、比較的新しい規格および要件について検 討します。これらの規格の一部については、起草グ ループが現在も作業を続けています。特に、明確化 と一部の規格の結合について検討中です。したがっ て、この後のページに記載されている情報の一部は 変更される可能性もあります。最新の情報について は、ロックウェル・オートメーションの安全システ ムとコンポーネントのWebサイト: http://www.ab.com/safetyと、ロックウェル・オート メーションの安全ソリューションのWebサイト: http://discover.rockwellautomation.com/ EN_Safety_Solutions.aspxをご覧ください。 機能安全とは何か? 機能安全とは、入力に応えてプロセスまたは装置が正常に機 能していることに依存する全体的な安全性の一部です。IEC TR 61508-0に、機能安全の意味を理解しやすくする例を提供 しています。「例えば、過熱防止装置は機能安全の例です。 これは、電気モータの巻線内の温度センサを使用して、モー タが過熱する前にモータの電源を遮断します。ただし、高温 に耐えるための専用断熱材は機能安全の例ではありません(そ れでもこれは安全装置のひとつで、まったく同じ危険から保 護することができます)。」他の例として、ハードガードとイ ンターロックガードを比較します。ハードガードは、インタ ーロックドアと同様に危険箇所へのアクセスを防止できます が、機能安全とは認められません。インターロックドアは、 機能安全のひとつです。ガードが開いているときは、インタ ーロックは、安全状態を実現するシステムへの入力として機 能します。同様に、個人用保護具(PPE)は、個人の安全性を 高めるための保護手段として使用されます。PPEは機能安全 とは認められません。 機能安全という言葉は、IEC 61508:1998で紹介されました。 それ以降、この言葉は時折プログラム可能な安全システムに のみ結びつけられてきましたが、これは誤解です。機能安全 は、安全システムを築くために使用される幅広い範囲の装置 が対象となります。例えば、インターロック、ライトカーテ ン、セーフティリレー、セーフティPLC, セーフティコント ローラ、および安全ドライブなどの機器は相互接続されて安 全システムを構成し、特定の安全関連機能を実行します。こ れが機能安全です。したがって、電気制御システムの機能安 全は、機械の可動部に起因する危険の制御と大いに関連性が あります。 機能安全を達成するためには、以下の2つタイプの要件が必 要になります。 Ÿ 安全機能 Ÿ 安全整合性 機能安全の要件を開発するためには、リスクアセスメントが 重要な役割を果たします。タスクと危険を分析することで、 安全のための機能の要件(例えば、安全機能)を知ることがで きます。リスクを定量化することで、安全整合性の要件(例え ば、安全度水準または安全遂行レベル)を求めることができま す。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-51 1-制御システム 安全機能 ㊀ⷐ 2-Opto-electronics 安全関連制御システムは、安全機能を実行するように設計さ れています。SRCSは、予想されるあらゆる状況で正常な動 作を継続できる必要があります。その内容は、安全機能とは 何か、これを達成するためのシステムの設計方法は、および それをいつ行なったか、どのように示すか?です。 制御システムの機能安全の概要 Safety Switches このシステムの複雑さは、電源コンタクタの制御巻線に直列 に接続されたガード・ドア・インターロック・スイッチと非 常停止スイッチのようなシンプルなシステムから、ソフトウ ェアとハードウェアを介して通信する単純なデバイスと複雑 なデバイスの両方で構成された複雑なシステムまでさまざま です。 Operator Interface 安全関連制御システム(SRCS)は、危険な状況の発生を回避 するマシン制御システムの一部です。これは独立した専用シ ステムのこともあれば、標準のマシン制御システムに統合さ れている場合もあります。 安全システムは、マシンのリスクに釣り合う安全度水準に設 計する必要があります。リスクが高くなれば、安全機能の性 能を保証するためにより高レベルの安全度水準が必要になり ます。機械安全システムはその設計意図と安全機能の性能確 保能力によって分類できます。 Logic 安全関連制御システムの概要 General 制御システム 原理、規格&実装 制御システムの機能安全 マシンに関する最も重要な制御システムの機能安全規格は、 以下の4つです。 General 1. IEC/EN 61508「電気、電子、およびプログラマブル電子 制御システムの機能安全」 この規格には、複雑な電子およびプログラマブルシステム およびサブシステムの設計に適用可能な要件および対策が 含まれています。この規格は一般的なので、機械部門だけ に限定されません。 1-制御システム 2. IEC/EN 62061「機械類の安全性 — 安全関連の電気/電子/ プログラマブル電子制御システムの機能安全」 この規格は、IEC/EN 61508の機械専用の実施です。あら ゆるタイプの機械安全関連電気制御システムのシステムレ ベルの設計、および複雑でないサブシステムまたは装置の 設計に適用される要件を明記しています。複雑なまたはプ ログラム可能なサブシステムにはIEC/EN 61508の安全性 が要求されます。 3. EN ISO 13849-1「機械類の安全性 — 制御システムの安全 関連部分」 この規格は、以前のEN 954-1のカテゴリを使用して機能 安全の変換経路を示すことを目的としています。 この2つの規格の重要な違いは、多種多様なテクノロジの適 用範囲です。IEC/EN 62061は、電気システムに制限されま す。ISO/EN 13849-1は、空圧、油圧、機械、および電気シス テムに適用できます。 図118に、安全システム設計者がこの2つの規格のどちらを採 用するか判断しやすいように単純化したフローチャートを示 します。 IEC/EN 62061およびEN ISO 13849-1での合同技術報 告書 両方の規格のユーザを支援するためにIECとISO内で合同レポ ートが準備されました。 これは2つの規格間の関係を説明し、またシステムおよびサ ブシステムレベルで、EN ISO 13849-1のPL(安全遂行レベル) とIEC.EN 62061のSIL(安全度水準)との間でどのような同等 性を導けるのかを説明しています。 両方の規格に同等の結果があることを示すために、レポート では、両規格の手法に従って計算されたサンプルの安全シス テムを示しています。 2-Opto-electronics 4. IEC 61511「機能安全 — プロセス産業分野の安全計装シ ステム」 この規格はIEC/EN 61508のプロセス分野固有の実施です。 このレポートでは、異なる解釈を前提とする多くの問題につ いても明らかにしています。おそらく、最も重要な問題の1 つが、フォルト排除の観点です。 機能安全規格は、従来のISO 13849-1:1999 (EN 954-1:1996) の「信頼できる制御」および「カテゴリ」体系など、よく知 られている既存の要件から重大な前進を見せています。 一般的に、PLeが安全関連制御システムによって安全機能を 実装するために必要な場合、このレベルのパフォーマンスを 達成するためにフォルト排除のみに頼ることは普通ではあり ません。これは、使用されるテクノロジおよび対象となる動 作環境によって左右されます。したがって、設計者がPL要件 を増すためには、フォルト排除の使用についてさらに注意を 払う必要があります。 注:このカタログの発行直前に、CEN (European Committee for Standardization:欧州標準化委員会)は、最新の規格への 移行を促進するために、EN-954-1適合の認定の最終日は 2011年末に延長されたことを公表しました。これは、元の 2009年12月29日に置き換わるものです。 Safety Switches EN 954-1の使用とステータスの最新の情報については、以下 のWebサイトをご覧ください:http://discover. rockwellautomation.com/EN_Safety_Solutions.aspx その間、移行期間の延長は最新規格(EN ISO 13849-1または IEC/EN 62061)の使用へ移行するのに適時使用されます。 Operator Interface カテゴリが完全になくなるわけではありません。現在のEN ISO 13849-1にも機能安全の概念が採用されており、新しい 用語や要件が導入されています。この規格は、旧版のEN 954-1 (ISO 13849-1:1999)に大幅な追加と変更を行なったも ので、大きな違いがあります。ここでは、現行のバージョン をEN ISO 13849-1と呼びます(EN ISO 13849-1:2008にもISO 13849-1:2006と同じ文章がある)。 IEC/EN 62061およびEN ISO 13849-1:2008 IEC/EN 62061およびEN ISO 13849-1は、どちらも安全関連 電気制御システムを対象としています。最終的に、これらを 結合させて同じ専門用語を使用する2部構成の1つの規格にす ることが予定されています。どちらの規格も同じ結果をもた らしますが、使用する方法は異なります。これらは、ユーザ がそれぞれの状況に最適な方を選択できるオプションを提供 します。どちらの規格を使用するかは、ユーザが選択できま す。ユーザはいずれかの規格を使用するか選択して、欧州の 機械指令の元で両方を統合します。 Logic 両方の規格の出力は、安全性能または整合性のレベルは同等 です。各規格は、対象とするユーザに合わせて異なる方法を 採用しています。 IEC/EN 62061の方法は、以前の慣例に従わないシステムア ーキテクチャで実施されている複雑な安全機能に対応するこ とを目的としています。ISO13849-1:2006の方法は、従来の システムアーキテクチャによって実施されているより旧式の 安全機能のために、より直接的で複雑でない手段を提供する ことを目的としています。 1-52 一般的に、フォルト排除の使用は、安全関連制御システムの 設計でPLeに到達するために、電気機械式の位置スイッチや 手動作動スイッチ(非常停止装置など)の機械的観点には適用 されません。特定の機械的なフォルト状態(磨耗/腐食、破断 など)に適用可能なこれらのフォルト排除は、ISO 13849-2の 表A.4で記載されています。 例えば、PLeを達成する必要のあるドア・インターロック・ システムは、このレベルのパフォーマンスに到達するために 最小フォルトトレランス1(つまり2つの従来型の機械式位置 スイッチ)を組み込む必要があります。というのも、破損した スイッチアクチュエータなどのフォルトを排除するためにこ れが妥当だとは通常認められないためです。ただし、関連規 格に従って設計された制御パネル内の配線の短絡などのフォ ルトを排除するために許容することができます。 SILおよびIEC/EN 62061 IEC/EN 62061では、リスク低減の度合いとそのリスクを低 減する制御システムの能力をSIL (安全度水準)という言葉で 説明しています。機械部門では、3段階のSILが使用され、 SIL 1が最低でSIL 3が最高水準です。 SILという用語は、石油化学、発電、鉄道などの他の産業分 野でも同じ方法で適用されるため、マシンがこのような分野 で使用されているときにIEC/EN 62061は非常に有用です。 プロセス産業などの他の部門では、より重大なリスクが発生 する可能性があるので、IEC 61508およびプロセス部門専用 の規格IEC 61511にはSIL 4も含まれます。 SILは安全機能に適用されます。安全機能を実行するシステ ムを構成しているサブシステムは、適切なSIL機能を備えて いる必要があります。これは、通常、SIL付与限界(SIL CL)と 呼ばれます。 適切に適用する前に、IEC/EN 62061の完全で詳細な学習が 必要になります。規格の最も一般に適用される要件の一部を このカタログの後半にまとめて説明します。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 制御システムの機能安全 General ࠪࠬ࠹ࡓࡌ࡞⸳⸘ ࠲ࠬࠢಽᨆߣࠬࠢࠕࠬࡔࡦ࠻ࠍⴕߥࠄࠁࠆෂ㒾ᕈࠍ․ቯߔࠆޕ ో㑐ㅪᓮࠪࠬ࠹ࡓߢߤߩෂ㒾ߦኻᔕߔࠆ߆ࠍቯߔࠆޕ ߤߩෂ㒾ߦ 2⒳㘃ߩⷙᩰߩߤߜࠄࠍ↪ߔࠆ߆ࠍቯߔࠆޕ 2 ࠄࠍ↪ߔ ࠍ ߔ ࠪࠬ࠹ࡓߪࠞ࠹ࠧB, 1.. 2, 3, ߹ߚߪ4ߢᜰቯߐࠇߚࠕ ߹ߚ ࠠ࠹ࠢ࠴ࡖߛߌࠍ↪ߒߡࠪࡦࡊ࡞ߦ⸳⸘ߢ߈ࠆ߆? ↪ߒߡࠪࡦࡊ ߹ߚߪࠪࠬ࠹ࡓߦ㔚᳇એᄖߩᛛⴚࠍ⚵ㄟ੍ቯ߆? ߕࠇ߆ߩ⾰߳ߩ╵߃߇ߩޠߪޟ႐วߦ↪ߔࠆ ߩߪ ߕࠇ߆ߩ⾰߳ߩ╵߃߇ߩޠߪޟ႐วߦ↪ߔࠆ ߩߪ 1-制御システム ⶄ㔀ߥోᯏ⢻ߪࠅ߹ߔ߆?߹ߚߪࠪࠬ࠹ࡓ߇ⶄ㔀ߥ ߹ߔ߆ ߔ ?߹ߚ ࡊࡠࠣࡑࡉ࡞㔚ሶᯏེߦ㜞ోᐲ᳓Ḱࠍⷐ᳞ߔࠆ ེߦ㜞ో ߆? EN/ISO13849-1:2006 13849-1 IEC62061:2005 2061:20 ోᯏ⢻ߦᔅⷐߥᯏ⢻ᕈࠍቯߒ߹ߔޔ߫߃ޕ ⟎ ᬌ⍮ ࡠࠫ࠶ࠢ ⸃ ജ േ ࠬࠢࠕࠬࡔࡦ࠻ߩࡊࡠࠬࠍ↪ߒߡޔ ࠻ߩࡊࡠࠬ ࡊ ోㆀⴕࡌ ోᯏ⢻ߏߣߦᔅⷐߥోㆀⴕࡌ࡞(PL r)ࠍቯߔࠆ ߫PLdߥߤ)ޕ ߥߤ) (߃߫PL ࠪࠬ࠹ࡓ⸳⸘ߩⷐઙࠍ↪ߒߡ࠶ࡠࡉࡦ࡚ࠪࠢࡦࠔࡈޔ ↪ߒߡࡈޔ ࠢࠍታⵝߔࠆߚߦߤߩࠨࡉࠪࠬ࠹ࡓࠦࡦࡐࡀࡦ࠻߇ ࠨࡉࠪࠬ࠹ ᔅⷐ߆ࠍቯߔࠆޕฦࠨࡉࠪࠬ࠹ࡓ߇ㆡ↪ߔࠆSILߦㆡว ߔࠆᔅⷐ߇ࠅ߹ߔޔߦߣߏࡓ࠹ࠬࠪࡉࠨޕో㓚 ഀว(SFF)ޔࠬࡦ࠻࠻࡞ࠜࡈޔᔅⷐߥSILઃਈ㒢⇇ࠍ ታߔࠆߚߩPFHdߩ⚵ߺวࠊߖࠍㆬᛯߔࠆޕ ࠬࠢࠕࠬࡔࡦ࠻ߩࠣࡈ߿ࠍ↪ߒߡࠠࠕޔ ࠣ ࠣࡈ߿ࠍ ࠍ ࠹ࠢ࠴ࡖ⥄ޔᏆ⸻ᢿ₸ޔෂ㒾㓚⊒↢߹ߢߩᐔဋᤨ ෂ㒾㓚 㑆ߩ⚵ߺวࠊߖࠍቯߔࠆߎߣ߇ޔోㆀⴕࡌ࡞ࠍ ㆐ᚑߔࠆߚߦᔅⷐߢߔޕ ᬌ⍮ࠨࡉ ࠪࠬ࠹ࡓ ࡠࠫ࠶ࠢࠨ ࡉࠪࠬ࠹ࡓ ജࠨࡉ ࠪࠬ࠹ࡓ ߃߫PLdߩ႐วޔᰴߩ⚵ߺวࠊߖ߇น⢻ߢߔޕ ജ ࡠࠫ࠶ࠢ ജ ജ ࡠࠫ࠶ࠢ ജ ߎߩ႐วޔฦࠨࡉࠪࠬ࠹ࡓߪᰴߩࠃ߁ߦߥࠆޕ ࡈࠜ࡞࠻࠻ࡦࠬ: 1, SFF: 80%, PFHD: 1 x 10 -7 ᜰቯߩࠕࠠ࠹ࠢ࠴ࡖ: ࠞ࠹ࠧ3 ⥄Ꮖ⸻ᢿ₸: ਛࡌ࡞(95%) ࠴ࡖࡀ࡞ߏߣߩMTTFd: 15ᐕ 3ߟߩࠨࡉࠪࠬ࠹ࡓߔߴߡߩPFHDࠍ⚵ߺวࠊߖࠆߣ、 3 x 10-7ߦߥࠆߚޔోᯏ⢻ߪ⋡ᮡߣߔࠆ1 x 10-6ߩ PFHD ߦㆡวߔࠆޕ ࠦࡦࡐࡀࡦ࠻ߏߣߦએਅߩᖱႎ߇ᔅⷐߢߔޕ ޓMTTFd ࠨࡉࠪࠬ࠹ࡓߏߣߦએਅߩᖱႎ߇ᔅⷐߢߔޕ ޓPFHD, ࡈࠜ࡞࠻࠻ࡦࠬޔSFF ࠪࠬ࠹ࡓߏߣߦએਅߩᖱႎ߇ᔅⷐߢߔޕ ޓᜰቯߩࠕࠠ࠹ࠢ࠴ࡖ⥄ޔᏆ⸻ᢿ₸߮ࠃ߅ޔ ޓㅢ㓚ߣ♽⛔⊛㓚߳ߩኻ╷ Operator Interface ߃߫SIL2ߩ႐วޔᰴߩ⚵ߺวࠊߖ߇น⢻ߢߔޕ Safety Switches ࠬࠢࠕࠬࡔࡦ࠻ߩࡊࡠࠬࠍ↪ߒߡޔ ࠻ߩࡊࡠ ࡊ ోᯏ⢻ߏߣߦᔅⷐߥోᐲ᳓Ḱ(SIL)ࠍቯߔࠆ ߥోᐲ᳓ (߃߫SIL2ߥߤ)ޕ ߫SIL2ߥߤ 2-Opto-electronics ᵈ㧦ోᯏ⢻ߩᔨࠍቯߔࠆߣ߈ߪޔᯏ᪾ߢᔅⷐߥߔߴߡߩ࠲ࠬࠢࠍ⠨ᘦߦࠇࠆᔅⷐ߇ࠅޔ ↢↥ⷐઙ߅ࠃ߮ࡔࡦ࠹࠽ࡦࠬⷐઙࠍචಽߦᬌ⸛ߔࠆߎߣ߽㕖Ᏹߦ㊀ⷐߢߔޕ ↥ⷐઙ߅ࠃ߮ ㊀ⷐߢߔޕ Logic ࠪࠬ࠹ࡓߏߣߦએਅߩᖱႎ߇ᔅⷐߢߔޕ ⊛⛔♽ޓ㓚߳ߩኻ╷ 図118: システム設計の流れ R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-53 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 PLおよびEN ISO 13849-1 General EN ISO 13849-1は、SILという用語は使用しません。そのか わりにPL (安全遂行レベル)という言葉を使用します。多くの 点で、PLはSILと関係しています。5段階の安全遂行レベルが あり、Plaが最低レベルで、Pleが最高レベルです。 PLとSILの比較 表8に、あまり複雑でない電気機械テクノロジで実現された 典型的な回路構造に適用される場合の、PLとSILのおおよそ の関係を示します。 1-システム設計 PL (安全遂行 レベル) PFHD (単位時間当たりの危険側故 障確率) SIL a 10–5以上10–4未満 なし b 3 x 10–6以上10–5未満 1 c 10–6以上3 x 10–6未満 1 d 10–7以上10–6未満 2 e 10–8以上10–7未満 3 表8: PLとSILのおおよその対応 2-Opto-electronics ㊀ⷐ 表8は一般的なガイドラインです。変換のために使 用しないでください。変換する場合は、規格の全要 件を考慮する必要があります。 EN ISO 13849およびSISTEMAに従う システム設定 適切に使用する前に、EN ISO 13849-1の完全で詳細な学習が 必要になります。以下に概要を示します。 Safety Switches この規格は、一部のソフトウェアの観点を含む制御システム の安全関連部分の設計と統合に要件を示しています。規格は 安全関連システムに適用しますが、システムのコンポーネン ト部分にも適用できます。 Operator Interface SISTEMAは、"Safety Integrity Software Tool for Evaluation of Machine Applications" (マシンアプリケーションの評価用安 全保全ソフトウェアツール)の略です。これはドイツのBGIA によって開発された無料のツールです。これには、後述する さまざまなタイプの機能安全データの入力が必要です。 SISTEMAソフトウェアPL計算ツール SISTEMAは、EN ISO 13849-1の実装に使用されるソフトウ ェアツールです。このツールを使用すると、規格の実装を大 幅に簡略化できます。 データは、手動で入力するか、または製造メーカのSISTEMA データライブラリを使用して自動的に入力できます。 ロックウェル・オートメーションのSISTEMAデータライブラ リは、SISTEMAのダウンロードサイトのリンクからダウンロ ード可能です:http://discover.rockwellautomation.com/ EN_Safety_Solutions.aspx Logic EN ISO 13849-1の概要 この規格は広く適用可能で、電気式、油圧、空気圧、機械式 などすべての技術に適用できます。ISO 13849-1は複雑なシ ステムに適用できますが、複雑なソフトウェア内蔵システの 場合はIEC 62061およびIEC 61508も参照する必要がありま す。 1-54 旧版のEN 954-1と新版のEN ISO 13849-1の間の基本的な違 いについて見てみます。旧規格の出力は、カテゴリ[B, 1, 2, 3 または4]で、新規格の出力は、安全遂行レベル[PL a, b, c, d またはe]です。カテゴリの概念は残りますが、システム内で PLを要求する上で満たすべき追加要件があります。 この要件は、次のような基本フォームで一覧表示されていま す: Ÿ システムのアーキテクチャ。基本的に、これは、カテゴリ として使用されるようにしたものを取得します。 Ÿ システムの構成部品に信頼性データが必要です。 Ÿ システムの自己診断率[DC]が必要です。これは事実上シス テムの故障モニタの量を表します。 Ÿ 共通原因故障に対する保護 Ÿ 系統的故障に対する保護 Ÿ 必要に応じて、ソフトウェア固有の要件 この後、各要素について詳細に見ていきますが、それを行う 前に、規格全体の基本的な目的および原則について検討して みます。この段階で新たに習得することがあることは確かで すが、規格が達成しようとしている目的とその理由を把握し ておいた方が規格の詳細について理解しやすくなります。 まず、なぜ新しい規格が必要になったのでしょうか。機械の 安全システムで使用されている技術は、過去10年間の間に大 幅に進歩し、変化しました。比較的最近まで、安全システム は、予知や予測が非常に容易な故障モードのある「シンプル な」機器に依存していました。しかし最近では、より複雑な 電気式のプログラミング可能なデバイスが安全システムで使 用されるようになってきました。これは、費用、柔軟性、お よび互換性について大きな利点がありますが、既存の規格で は対応しきれなくなったことも意味します。安全システムが 十分に良好であるかどうかを把握するために、安全システム をより詳細に理解する必要があります。これが、新しい規格 により多くの情報が求められている理由です。安全システム がより「ブラックボックス」的な手法を採用するにつれて、 規格に適合していることをより重視するようになってきまし た。したがって、これらの規格には、適切に技術を調べるこ とのできる能力が必要になります。これを満たすために、信 頼性、障害検出、アーキテクチャ上の整合性、およびシステ ム上の完全性に関する基本的な要素を取り扱う必要がありま す。これが、EN ISO 13849-1の目的です。 この規格全体を通して論理的に理解するために、2つの基本 的に異なるユーザタイプを考慮する必要があり、これは安全 関連サブシステムの設計者と、完全関連システムの設計者で す。一般的に、サブシステムの設計者(通常は安全コンポーネ ントの製造メーカ)は、よりレベルの高い複雑な作業を求めら れます。システム設計者は、サブシステムがシステムに対し て十分な整合性を保っていることを保証できるように、必要 なデータを提供する必要があります。これは、通常、一部の テスト、分析、計算で必要です。その結果は、規格によって 要求されるデータの形式で表されます。 システム設計者[通常は、マシンの設計者またはインテクグレ ータ]は、サブシステムデータを使用して、比較的簡単な計算 を実行して、システムの全体的な安全遂行レベル(PL)を評価 します。 PLrは、安全機能で必要な安全遂行レベルを示すのに使用さ れます。この規格では、PLrを判断するためのリスクのグラ フが用意されていて、傷害の程度、危険にさらされる頻度、 および回避の可能性についてのアプリケーション要素を入力 します。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 F2 c P2 P1 d P2 使用する規格(EN ISO 13849-1またはEN/IEC 62061)を決定 するための重要な要素の1つが、安全機能の複雑性です。ほ とんどの場合、機械類に対して、安全機能は比較的シンプル で、EN ISO 13849-1は最適なルートとなります。信頼性デー タ、自己診断率(DC)、システムアーキテクチャ(カテゴリ)、 共通原因故障、および(関係のある場合)ソフトウェアの要件 がPLの評価に使用されます。 e 図119: EN ISO 13849-1の付録Aからのリスクのグラフ 出力がPLrになります。旧版のEN 954-1のユーザはこの手法 に慣れ親しんでいますが、S1線が分岐していて、旧リスクグ ラフでは分岐していないことに注意してください。つまり、 より低いリスクレベルでも安全対策の完全性について再考し なければならない可能性があるということです。 ࠞ࠹ࠧ B 1 2 3 4 S1 P1 F1 P2 P1 S2 これは、概要を把握するための簡略化された説明です。この 規格の本文に指定されたすべての条項を適用する必要がある ことを理解することが重要です。しかし、これに役立つツー ルもあります。SISTEMAソフトウェアツールを使用すると、 文書化および計算の部分に役立ちます。また、技術ファイル も生成してくれます。 SISTEMAには、本カタログの発行時点で英語版とドイツ語版 があります。他の言語については、近々リリースされる予定 です。SISTEMAの開発元であるBGIAは、ドイツに拠点を置 く、信頼性の高い研究およびテスト機関です。主に、ドイツ における法定災害の保険や予防の分野で、安全性に関する科 学的および技術的問題の解決に携わっています。この機関 は、20ヶ国以上の労働安全衛生機関と協力して作業に当たっ ています。BGIAの専門家は、BGの担当者と共に、EN ISO 13849-1およびIEC/EN 62061の草案作成に深く関与してきま した。 SISTEMAに関するロックウェル・オートメーションの安全コ ンポーネントデータの「ライブラリ」は、以下のWebサイト をご覧ください:http://discover.rockwellautomation.com /EN_Safety_Solutions.aspx F2 P2 図120: EN 945-1の付録Bからのリスクのグラフ ただし、非常に重要な部分に触れる必要があります。この規 格からは、システムに求められているレベルやそのレベルを 判断する方法がわかりますが、実行すべきことについてはわ かりません。どのような安全機能にするのかを決める必要が あります。安全機能が作業にとって適正なものになる必要が あるのは明らかですが、これをどの程度保証すればよいので しょうか。この規格はどのように役立つのでしょうか? いずれのPLの計算方法が行なわれていても、正しい根拠から 開始することが重要です。この規格と同じ方法でシステムを 検討することが必要になるため、まずそこからはじめてくだ さい。 必要な機能は、実際の用途で一般的な特性を考慮することで のみ決定できるということを理解することが重要です。これ は安全概念の設計段階と呼ぶことができます。この規格は特 定の用途の全特性について把握しているわけではないので、 この規格ですべてを網羅することはできません。また、機械 を製造しているものの、使用される正確な条件を必ずしも理 解していないマシンビルダーにもしばしば適用されます。 あらゆるシステムは、基本システムコンポーネント、つまり 「サブシステム」に分割することができます。各サブシステ ムにはそれぞれ独自の機能があります。ほとんどのシステム は、3つの基本機能(入力、論理的解決、作動)に分割すること ができます(一部の単純なシステムには論理解決機能のないも のもあります)。これらの機能を実装しているコンポーネント グループがサブシステムです。 この規格は、一般的に使用される多くの安全機能(安全装置に よる安全関連停止機能、消音機能、開始/再開機能など)につ いてリストアップし、一般的に関連のある要件を定めること で便宜を図っています。この段階では、他の規格(EN ISO 12100:基本設計原則、EN ISO 14121:リスクアセスメント など)を使用することを強く推奨します。また、特定の機械に 対するソリューションを提供する機械固有の規格も幅広く用 意されています。欧州のEN規格内では、これらはCタイプ規 格と呼ばれており、その一部はISO規格とまったく同一で す。 システム構造 ജ ࠨࡉࠪࠬ࠹ࡓ ࡠࠫ࠶ࠢ ࠨࡉࠪࠬ࠹ࡓ ജ ࠨࡉࠪࠬ࠹ࡓ 図121 シンプルなシングルチャネルの電気的なシステム例を図122 に示します。これは、入力と出力サブシステムだけで構成さ れています。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P Logic 安全概念の設計段階は、機械の種類と使用されている用途と 環境の特性にも依存していることが理解できると思います。 機械の製造メーカは、安全の概念を設計できるようにするた めにこれらの要素を予想しておく必要があります。意図した (つまり予測される)使用条件を、ユーザーズマニュアルに記 載しておく必要があります。機械のユーザは、それが実際の 使用条件に合っていることをチェックする必要があります。 R 1-システム設計 F1 S2 P2 P1 2-Opto-electronics 㐿ᆎ b Safety Switches F2 P2 P1 次に、安全機能について説明します。規格の付録Aには、こ の機能を実装するために使用される制御システムの安全関連 部(SRP/CS)の必要な安全遂行レベル(PLr)が定められていま す。ここでシステムの設計が必要になり、この設計がPLrに 適合していることを確認します。 Operator Interface F1 S1 ోㆀⴕࡌ࡞ PLr P1 a General EN ISO 13849およびSISTEMAに従うシステム設計 1-55 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 ജ ࠨࡉࠪࠬ࠹ࡓ ജ ࠨࡉࠪࠬ࠹ࡓ ജ ࠨࡉࠪࠬ࠹ࡓ ࡠࠫ࠶ࠢ ࠨࡉࠪࠬ࠹ࡓ ജ ࠨࡉࠪࠬ࠹ࡓ General ࡕ࠾࠲ ࡒ࠶࠻ࠬࠗ࠶࠴ ࡈ࠹ࠖࠦࡦ࠲ࠢ࠲ ࡕ࠾࠲ ࡕ࠾࠲ 図122: インターロックスイッチおよびコンタクタ SmartGuard 600 ജ ࠨࡉࠪࠬ࠹ࡓ ઁߩ ࠪࠬ࠹ࡓ ߳ߩജ ࡈ࠹ࠖࠦࡦ࠲ࠢ࠲ 図123: インターロックスイッチ、セーフティコントローラ、および セーフティコンタクタ Safety Switches 図123の基本アーキテクチャを採用した場合、考慮すべきも のが他にもいくつかあります。まず、システムに「チャネ ル」がいくつあるでしょうか。サブシステムの1つが故障す ると、シングル・チャネル・システムは機能しません。2チ ャネル(いわゆる冗長)システムは、2つのチャネルが故障しな いと、システム全体は故障しません。チャネルが2つあるた め、単一フォルト(故障)に対して耐性があり、動作し続ける ことができます。図124は、2チャネルシステムを示したもの です。 ജ ࠨࡉࠪࠬ࠹ࡓ ࡠࠫ࠶ࠢ ࠨࡉࠪࠬ࠹ࡓ ജ ࠨࡉࠪࠬ࠹ࡓ 必ずではありませんが、図125に示すように、すべてに2つの チャネルがあるサブシステムでシステムが構成されているこ とが一般的です。したがって、この場合各サブシステムに2 つの「サブチャネル」があることがわかります。この規格で はこれらを「ブロック」と表現しています。2チャネルのサ ブシステムには2つのブロックがあり、シングル・チャネル ・サブシステムには1つのブロックがあります。一部のシス テムでは、デュアル・チャネル・ブロックとシングル・チャ ネル・ブロックを組み合わせることができます。 このシステムをより深く検討したい場合、ブロックのコンポ ーネント部品に着目する必要があります。SISTEMAツール は、このようなコンポーネント部品について「エレメント」 という用語を使用しています。図126に、SISTEMA用語を使 用してシステムを示したものを示します。 Element ജ ࠨࡉࠪࠬ࠹ࡓ Element ജ ࠨࡉࠪࠬ࠹ࡓ ࡠࠫ࠶ࠢ ࠨࡉࠪࠬ࠹ࡓ ࡉࡠ࠶ࠢ ࡕ࠾࠲ ࡦࠢ ធὐ ࡦࠢ ធὐ ࡕ࠾࠲ 2-Opto-electronics ࡒ࠶࠻ࠬࠗ࠶࠴ ࡠࠫ࠶ࠢ ࠨࡉࠪࠬ࠹ࡓ ࡈ࠹ࠖࠦࡦ࠲ࠢ࠲ SmartGuard 600 図125: インターロックスイッチ、セーフティコントローラ、および セーフティコンタクタ付きのデュアル・チャネル・システム: 診断は点線の矢印で示す ࠴ࡖࡀ࡞1 ജ ࠨࡉࠪࠬ࠹ࡓ ࡒ࠶࠻ࠬࠗ࠶࠴ ࠴ࡖࡀ࡞2 1-システム設計 図123のシステムはもう少し複雑で、いくつかの論理演算が 必要になります。安全コントローラ自体は内部にフォルトト レランス(つまりデュアルチャネル)を備えていますが、シス テム全体は、単一リミットスイッチおよび単一コンタクタで あるため、シングルチャネル状態のままです。 ࡉࡠ࠶ࠢ ࡕ࠾࠲ SmartGuard 600 ࡒ࠶࠻ࠬࠗ࠶࠴ Element ࡈ࠹ࠖࠦࡦ࠲ࠢ࠲ Element ⸻ᢿ ⸻ᢿ Operator Interface 図126: デュアル・チャネル・システムがサブシステム、ブロックお よび要素に分割された状態を示す ࡒ࠶࠻ࠬࠗ࠶࠴ SmartGuard 600 ࡈ࠹ࠖࠦࡦ࠲ࠢ࠲ 図124: インターロックスイッチ、セーフティコントローラ、および セーフティコンタクタでのデュアルチャネル Logic 図124のシステムは図123のシステムよりも故障する確率が低 いのは明らかですが、フォルト(故障)検出の診断手順が含ま れている場合、(安全機能の観点で)さらに信頼性の高いもの にすることができます。もちろん、フォルトを検知した場合 にこれに対応してシステムを安全な状態にする必要がありま す。図125は、モニタ技法を通じて実現される診断手順が含 まれていることを示しています。 1-56 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 カテゴリの実際的な実装については、後で説明します。 ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ ജ࠺ࡃࠗࠬ 図127: 指定アーキテクチャのカテゴリB 指定アーキテクチャのアカテゴリBは、基本的な安全原理(EN ISO 13849-2の付録を参照)を使用する必要があります。単一 フォルトの発生時には、システムやサブシステムが故障する 可能性があります。完全な要件については、EN ISO 13849-1 を参照してください。 ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ ജ࠺ࡃࠗࠬ 図128: 指定アーキテクチャのカテゴリ1 指定アーキテクチャのカテゴリ1はカテゴリBと同じ構造で、 単一フォルトの発生時に全体が故障する可能性があります。 ただし、十分テストされた安全原則(EN ISO 13849-2の付録 を参照)を使用する必要もあるので、フォルト派生の可能性は カテゴリBよりも低くなります。完全な要件については、EN ISO 13849-1を参照してください。 R ࠹ࠬ࠻ᯏེ ജ 指定アーキテクチャのカテゴリ2は、基本的な安全原理(EN ISO 13849-2の付録を参照)を使用する必要があります。さら に、システムやサブシステムの機能テストによって診断モニ タを行なう必要もあります。これは始動時に実施し、その後 は安全機能への各要求に対して、少なくとも100回のテスト に相当する頻度で定期的に実施する必要があります。このテ スト頻度は、旧版のEN 954-1で指定された追加要件です。機 能テストの間に単一フォルトが発生すると、システムやサブ システムにフォルトが発生する可能性がありますが、その可 能性は、通常カテゴリ1よりも低くなっています。完全な要 件については、EN ISO 13849-1を参照してください。 1-システム設計 図129: 指定アーキテクチャのカテゴリ2 ࡕ࠾࠲ ജ࠺ࡃࠗࠬ ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ ࠢࡠࠬࡕ࠾࠲ ࡕ࠾࠲ ജ࠺ࡃࠗࠬ ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ 2-Opto-electronics この規格では、従来のEN 954-1カテゴリを、指定システムア ーキテクチャの5つの基本タイプとして使用しています。こ れらは、指定アーキテクチャカテゴリと呼ばれます。カテゴ リの要件は、EN 954-1で定められていたカテゴリの要件と、 完全ではないもののほぼ同一です。指定アーキテクチャカテ ゴリは、以下の図で表されます。各カテゴリはシステム全体 にもサブシステムにも適用できることに注意してください。 これらの図は、そのまま物理構造としてとらえるべきではな く、概念的な要件をグラフィカルに表したものです。 ࠹ࠬ࠻ᯏེ ࡕ࠾࠲ 図130: 指定アーキテクチャのカテゴリ3 指定アーキテクチャのカテゴリ3は、基本的な安全原理(EN ISO 13849-2の付録を参照)を使用する必要があります。さら に、単一フォルトの発生時にシステムやサブシステムにフォ ルトが発生してはならないという要件もあります。つまり、 システムは、安全機能に関してシングル・フォルト・トレラン ス設計になっている必要があります。この要件を満たす上で 最も一般的な方法は、図130に示しているデュアル・チャネ ル・アーキテクチャを採用することです。このほか、可能な 限り単一フォルトを検出することも求められます。この要件 は、EN 954-1のカテゴリ3に定められている従来の要件と同 一です。この場合に、「可能な限り」というフレーズの意味 は少々あいまいでした。これでは、カテゴリ3には、冗長性 を備えているもののフォルト検出はできないシステム(しばし ば「愚かな冗長性」と的確に描写されています)から、単一フ ォルトをすべての検出できる冗長システムまでが含まれてい ることになります。EN ISO 13849-1では、自己診断率(DC) の品質を評価するための要件によってこの問題を解決してい ます。付録Kまたは表9を見ればわかるように、システムの信 頼性(MTTFd)が増加すれば、必要なDCは減少します。ただ し、カテゴリ3アーキテクチャでは、DCが60%以上であるこ とが必要です。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P Safety Switches 例として使用しているシステムは、規格で明示されているシ ステムアーキテクチャの5つの基本タイプの1つにすぎませ ん。カテゴリシステムをよく理解しているユーザであれば、 お気づきのようにこの例はカテゴリ3または4に相当します。 ജ࠺ࡃࠗࠬ Operator Interface このシステム細分化の原則は、EN ISO 13849-1で指定された 用語と、SISTEMAツールの基本システム構造原則で認識でき ます。ただし、微妙な違いもあることに注意が必要です。こ の規格は手法に制限がありませんが、PLを評価する簡略化さ れた手法では、通常第1ステップで、システム構造をチャネ ルと各チャネル内のブロックに分解します。SISTEMAでは、 最初にシステムをサブシステムに分割します。この規格では サブシステムの概念を明確に記述していませんが、SISTEMA では、より理解可能で直感的な手法でサブシステムの概念を 使用しています。もちろん最終的な計算には影響しません。 SISTEMAとこの規格ではいずれも同じ原則と式を使用してい ます。興味深いことに、サブシステム手法はEN/IEC 62061 でも使用されています。 ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ Logic リミットスイッチのサブシステムはは、エレメントレベルま で細分化されていることがわかります。出力コンタクタサブ システムは、ブロックレベルまで細分化されていて、論理サ ブシステムはまったく細分化されていません。リミットスイ ッチおよびコンタクタのモニタ機能は、論理コントローラで 実行されます。したがって、リミットスイッチとコンタクタ サブシステムを表す四角は、論理サブシステムを表す四角と 一部重なり合っています。 General EN ISO 13849およびSISTEMAに従うシステム設計 1-57 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 シングルチャネルのMTTFd ࡕ࠾࠲ ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ ജ࠺ࡃࠗࠬ General ࠢࡠࠬࡕ࠾࠲ ࡕ࠾࠲ ജ࠺ࡃࠗࠬ ࡠࠫ࠶ࠢ ജ࠺ࡃࠗࠬ 図131: 指定アーキテクチャのカテゴリ4 1-システム設計 指定アーキテクチャのカテゴリ4は、基本的な安全原理(EN ISO 13849-2の付録を参照)を使用する必要があります。カテ ゴリ3の要件の図と似ていますが、より多くのモニタ、つま り高い自己診断率が求められています。これは、モニタ機能 を示す点線が太くなっていることで表現されています。カテ ゴリ3と4の基本的に違いは、カテゴリ3ではほとんどのフォ ルトを検出する必要があり、カテゴリ4ではすべての単一フ ォルトを検出する必要があることです。DCは99%以上であ ることが求められています。フォルトが累積されて危険故障 を発生することも許されません。 信頼性データ 2-Opto-electronics Safety Switches EN ISO 13849-1は、制御システムの安全関連部によって達成 されるPLの計算の一部として、定量的な信頼性データを使用 使用します。これは、EN 954-1と大きく異なる点です。最初 に浮かぶのは、「データはどこから取得するのか」という疑 問です。信頼性について定評のあるハンドブックのデータを 使用することもできますが、この規格では、推奨する情報源 は製造メーカであることを明確にしています。このためロッ クウェル・オートメーションでは、関連情報をSISTEMA用の データライブラリという形で利用できるようにしています。 いずれは、他の形式でもデータを公開する予定です。先に進 む前に、必要なデータの種類について検討し、そのようなデ ータを生成する方法について理解する必要があります。 この規格(およびSISTEMA)でのPLの評価の一環として必要に なる最終的なデータの種類は、PFH(時間当たりの危険側故障 確率)です。これは、IEC/EN 62061で使用されているPFHdと いう略語で表現されているデータと同じものです。 PL 単位時間当たりの平均危険側故障確 率(1/h) MTTFdは、安全機能の故障につながる可能性のあるフォルト (故障)が発生するまでの平均時間を表すもので、年数で表さ れます。シングルチャネルにおける「ブロック」のMTTFdの 平均値であり、システムにもサブシステムにも適用できま す。この規格では、以下の式が定められており、この式を使 用して、シングルチャネルまたはサブシステムで使用されて いる各エレメントのすべてのMTTFdの平均を計算します。 この段階で、SISTEMAの値が明らかになります。ユーザは、 こうした作業をソフトウェアで実行できるので、表の参照や 式の計算に時間を使う必要がなくなります。最終結果は、複 数ページのレポートの形式で印刷できます。 Ñ Ñ 1 1 nj =Σ =Σ MTTFd i=1 MTTFdi j=1 MTTFdj EN ISO 13849-1殻の式D1 ほとんどのデュアル・チャネル・システムでは、両方のチャ ネルが同一なので、式の結果はいずれのチャネルにも当ては まります。 この規格では、システムやサブシステムのチャネルが異なる 場合に対応した式も定められています。 MTTFd = 2 MTTFdC1 +MTTFdC2 3 1 1 1 + MTTFdC1 MTTFdC2 EN ISO 13849-1殻の式1 これは要するに、2つの平均値を平均したものです。簡略化 を目的として、最悪のチャネル値のみを使用することもでき ます。 この規格では、MTTFdを以下のように3つの範囲にグループ 分けしています。 チャネルごとのMTTFdの意味 チャネルごとのMTTFdの範囲 SIL 低 3年≦MTTFd < 10年 中 10年≦MTTFd < 30年 高 30年≦MTTFd < 100年 a 10-5以上10-4未満 b 3 x 10-6以上10-5未満 対応しない 1 Operator Interface c 10-6以上3 x 10-6未満 1 d 10-7以上10-6未満 2 e 10-8以上10-7未満 3 表9 表9に、PFHとPLとSILの関係を示します。一部のサブシステ ムについて、PFHは製造メーカから取得できます。この場合 は計算が簡単になります。製造メーカは通常、PFHを提供す るためにサブシステムに対して比較的複雑な計算やテストを 実施しなければなりません。PFHが提供されない場合、EN ISO13849-1では、シングルチャネルの平均MTTFd(平均危険 故障時間)に基づく簡単な代替方法が提供されています。この 代替手法では、この規格で定められている手法と式を使用し て、システムやサブシステムのPL(およびPFH)を計算できま す。SISTEMAを使用することでさらに簡単に計算できます。 表10: MTTFdのレベル EN ISO 13849-1では、導き出された実際の値がより長いもの であっても、シングルチャネルのMTTFdの使用を最大100年 に制限していることに注意してくださいます。 後で説明するように、このMTTFd平均値の範囲を指定アーキ テクチャカテゴリおよび自己診断率(DC)と組み合わせると、 予備的なPL評価値が得られます。ここで「予備的」という用 語を使用しているのは、システムの整合性や共通原因故障へ の対策など他の要件も必要に応じて満たさなければならない からです。 Logic 注:(診断のあるまたはない)デュアル・チャネル・システムの 場合、1/PFHDを使用してEN ISO 13849-1の求めるMTTFdを 決定することは間違っていることを理解しておくことが重要 です。この規格では、シングルチャネルのMTTFdが必要とさ れています。2チャネルサブシステムの両チャネルの組み合 わせとはMTTFdの値は大きく異なります。2チャネルサブシ ステムのPFHDがわかっている場合、それをSISTEMAに直接 入力することができます。 Visit our website: www.ab.com/catalogs 1-58 Pub.No. S117-CA001A-JA-P R 原理、規格&実装 B10dテストでは、複数(通常は10個以上)のデバイスサンプル を適切な典型的条件のもとでテストされます。サンプルの 10%が危険な状態に陥るまでの動作サイクルの平均値がB10d 値と呼ばれるものです。 実際には、サンプルがすべて安全な状態になることもよくあ りますが、その場合B10d(危険)値はB10(安全)値の2倍とする ことができるとこの規格には明記されています。 電子的なテクノロジ:物理的な磨耗が生じる可動部がありま せん。特定の電気的特性や温度特性などに当てはまる動作環 境では、電子回路の主な故障は、構成コンポーネントの信頼 性(または信頼性のなさ)に比例します。個別のコンポーネン トの故障原因には、製造時の欠陥、過度な電力サージ、機械 的な接続の問題などさまざまなものがあります。一般的に、 電子コンポーネントの故障は、分析による予測が困難で、ラ ンダムに発生する傾向があるようです。したがって、テスト 環境下で電子機器をテストしても、典型的な長期的故障パタ ーンは必ずしも明らかになりません。 電子機器の信頼性を評価するには、分析と計算を使用するの が一般的です。信頼性データのハンドブックには、個別のコ ンポーネントの正確なデータが掲載されています。どのコン ポーネント故障モードが危険であるかは、分析によって判断 できます。平均してコンポーネント故障モードの50%が安全 で、50%が危険であるというのが許容可能で一般的です。通 常これは、比較的控えめなデータになります。 IEC 61508には、デバイス(つまりサブシステム)の全体的な 危険故障確率(PFHまたはPFD)の計算に使用できる式が定め られています。この式はかなり複雑で、(必要に応じて)コン ポーネントの信頼性、共通原因故障の可能性(ベータ係数)、 自己診断率(DC)、機能テストの間隔、およびプルーフテスト の間隔を考慮します。幸いなことに、この複雑な計算は通常 デバイス製造メーカによって行なわれます。EN/IEC 62061 およびEN ISO 13849-1のいずれも、IEC 61508に対して、こ の方法で計算されたサブシステムを認めています。この結果 として得られたPFHDは、EN ISO 13849-1の付録Kまたは SISTEMA計算ツールで直接使用できます。 R ᅷᒰᕈ⏕ ᅷᒰᕈ⏕ ࠪࠬ࠹ࡓ ⸳⸘ ⛔ว࠹ࠬ࠻ ࡕࠫࡘ࡞ ⸳⸘ ⚿ᨐ ᅷᒰᕈ⏕ ᅷᒰᕈ⏕ ࠰ࡈ࠻࠙ࠚࠕ 1-システム設計 機械的なテクノロジ:故障は固有の信頼性および使用量に比 例します。使用量が増加するほど、コンポーネント部品のい ずれかが品質低下および故障する可能性が高まります。これ だけが故障の理由とはなりませんが、運転時間/サイクルが制 限されている場合を除いて、主要な原因となります。切換え サイクル10秒に1回のコンタクタの方が、1日に1回しか動作 しない同じコンタクタよりも信頼性がある状態で動作する期 間がはるかに短いのは自明のことです。一般的に物理的テク ノロジ装置は、それぞれ固有の用途向けに設計されたコンポ ーネントで構成されています。各コンポーネントは、シェー ピング、モーディング、キャスティング、マシニングなどに よって製造されます。また、リンク、スプリング、磁石、電 気巻線などを組み合わせて、メカニズムを形成しています。 一般に、コンポーネント部品は他の用途での使用歴がないの で、既存の信頼性データを見つけられません。PFHDまたは MTTFdの評価は、通常テストに基づいて行なわれます。 EN/IEC 62061およびEN ISO 13849-1のいずれも、B10dテス トと呼ばれるテストプロセスを推奨しています。 ో㑐ㅪ ࠰ࡈ࠻࠙ࠚࠕ᭽ ోᯏ⢻ ᭽ ࡕࠫࡘ࡞ ࠹ࠬ࠻ ࠦ࠺ࠖࡦࠣ 図132: ソフトウェア開発のためのVモデル 組込みのソフトウェアは、デバイス設計者にとって問題とな ります。一般的な手法としては、IEC 61508パート3で説明さ れている正式な手法に従って組込みソフトウェアを開発しま す。ユーザがインターフェイスで接続するソフトウェアであ るアプリケーションコードについては、ほとんどのプログラ マブル安全装置に「認定済み」ファンクションブロックやル ーチンが提供されています。これを利用すると、アプリケー ションコードの検証作業が簡略化されますが、完成したアプ リケーションプログラムには検証が必要なことを忘れてはな りません。ブロックをリンクし、パラメータ化する方法は、 目的の作業にとって適切かつ有効であることが実証されてい る必要があります。EN ISO 13849-1およびIEC/EN 62061の いずれにも、このプロセスのガイドラインが定められていま す。 2-Opto-electronics この3種類のテクノロジで発生する一般的な故障のメカニズ ムには、根本的な違いがあります。基本的には次のように要 約することができます。 Safety Switches データは、2つの基本的なタイプ:1) 機械的 (電気機械式、空 圧、および油圧)と、2) 電子的(ソリッドステート)にグループ 分けされます。 自己診断率(DC) このことについては、指定アーキテクチャカテゴリ2, 3、, および4について検討した際にすでに触れています。これら のカテゴリでは、何らかの形態の診断テストによって、安全 機能が働いているかどうかを確認する必要があります。用語 「自己診断率」(通常はDCと略記)は、このようなテストの有 効性を特徴付けるために使用されます。DCは危険な故障が 発生する可能性のあるコンポーネントの数だけに基づいてい るわけではないことを理解することが重要です。全体的な危 険側故障率も考慮に入れられています。「故障率」を表すの に記号λ(ラムダ)が使用されます。DCは、以下の2種類の危 険側故障の発生率の関係を表します。 Operator Interface 製造メーカがPFHDまたはMTTFdの形式でデータを評価する 方法について、もう少し詳しく検討する必要があります。製 造メーカのデータを扱う際には、この点を理解しておくこと が重要です。 ソフトウェア:ソフトウェアの故障は本質的に系統的な性質 のものです。あらゆる故障は、そのソフトウェアがどのよう に考案、記述、またはコンパイルされたかに起因します。し たがって、すべての故障の原因は、ソフトウェアの使用では なく、製造元となったシステムです。したがって、故障を抑 制するには、システムを制御する必要があります。IEC 61508およびEN ISO 13849-1のいずれにも、そのための要件 と手法が定められています。従来のVモデルを使用するとい う点以外は、ここでは詳細は説明する必要はありません。 Ÿ 検出危険側故障[λdd]:安全機能の損失の原因となる(また は損失につながる可能性のある)検出された故障。検出後、 故障応答機能によってデバイスやシステムを安全な状態に 戻します。 Ÿ 危険側故障[λd]:安全機能の損失の原因となる可能性があ る(または損失につながる可能性のある)すべての故障。こ れには、検出された故障も検出されていない故障も含まれ ます。もちろん、本当に危険な故障は未検出危険側故障 [λdu]です。 Visit our website: www.ab.com/catalogs PubNo. S117-CA001A-JA-P 1-59 Logic データ評価の手法 General EN ISO 13849およびSISTEMAに従うシステム設計 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 DCは、以下の式で表されます。 DC = λdd/λd (%で示す) General 1-システム設計 DCという用語の意味は、EN ISO 13849-1とEN/IEC 62061で 共通しています。ただし、その導き方は異なっています。 EN/IEC 62061では故障モード分析に基づいた計算の利用を 提唱していますが、EN ISO 13849-1ではルックアップテーブ ル形式の簡略化された手法を定めています。各種の一般的な 診断技法が、それぞれの使用で達成すると考えられるDCの パーセントと共に掲載されています。一部のケースでは、依 然として推理的な判断が必要なものもあります。例えば、一 部の技法では、得られるDCはテストの実施頻度に比例しま す。この手法は不確実すぎるという意見もありますが、DC の評価は多くの異なる変動要素に依存しているので、いずれ の技法を使用しても、通常結果は概算値で表すことしかでき ません。また重要な点として、EN ISO 13849-1の表はBGIA が実施した広範な調査に基づいていて、実際の用途で使用さ れている既知の実際の診断技法で得られた結果になっていま す。この規格では、簡略化のために、DCを以下の4つの基本 的な範囲に分けています。 2-Opto-electronics 60%未満= なし 60%~90% =低 90%~99% =中 99%を超える=高 個別の割合(%)値のかわりに範囲を使用するこの手法は、達 成可能な精度の面でより現実的であると見なされます。 SISTEMAツールは、この規格と同じルックアップテーブルを 使用します。安全関連装置の複雑な電子機器の使用増加に伴 い、DCはますます重要な要素になっています。各規格にお ける今後の作業では、この問題の明確化がさらに検討される ようです。それまで、DCの範囲の適切な選択には工学的な 判断と常識を用いるだけで十分です。 Safety Switches 共通原因故障(CCF) Operator Interface ほとんどのデュアルチャネル(つまりシングル・フォルト・ト レランス)のシステムまたはサブシステムにおいて、診断の仕 組みは、両方のチャネルの危険側故障が同時に発生しないと いう前提に基づいています。「同時に」という言葉を正確に 表現すると、「同じ診断テスト間隔で」となります。診断テ スト間隔が適度に短い場合(8時間未満)、2つの独立した無関 係の故障がその時間内に発生する可能性はきわめて低いと仮 定するのが合理的です。ただし、この規格では、故障が本当 に独立した無関係のものであるかどうか慎重に検討すべきで ある点を明確にしています。例えば、1つのコンポーネント の故障が他のコンポーネントの故障につながることが予想で きる場合、故障全体は単一フォルトであると考えられます。 また、1つのコンポーネントの故障原因となる事象が他のコ ンポーネントの故障原因となる可能性もあります。これは 「共通原因故障」(CCF)と呼ばれます。CCFが発生する傾向 の度合いは、通常ベータ(β)係数で表されます。サブシステ ムやシステムの設計者がCCFの可能性を認識することはきわ めて重要です。さまざまな種類のCCFが存在し、それに応じ て回避方法も数多く存在します。EN ISO 13849-1では、複雑 すぎでも単純すぎでもない合理的な筋道に従っています。 EN/IEC 62061と同様に、本質的に定性的な手法が採用され ています。CCFの回避に効果的と認められている対策のリス トが提供されています。 表11に、スコアリングプロセスのまとめを示します。 Logic 1-60 No. CCF対策 1 隔離/分離 スコア 15 2 ダイバーシティ(多様性) 20 3 設計/アプリケーション/経験 20 4 評価/分析 5 5 能力/トレーニング 5 6 環境 35 表11: 共通原因故障のスコアリング システムやサブシステムを設計する際に、このリストの中か ら十分な数の対策を導入する必要があります。このリストを 使用するだけではCCFの可能性を完全に回避することはでき ないという主張にも、ある程度の正当性はあるかもしれませ ん。しかし、リストの目的を正しく考えれば明らかなよう に、この要件の真意は、設計者がCCFの可能性を分析して、 テクノロジの種類と対象用途の特性に基づいて適切な回避策 を導入できるようにすることです。リストを使用することに よって、多様な故障モードや設計能力など、最も基本的で効 果的な技法の一部を検討することができます。BGIA SISTEMAツールでも、この規格のCCFルックアップテーブ ルの導入が必要で、利便性の高い形で利用できるようにして います。 活動時間 活動時間は、サブシステム(またはシステム)に使用できる最 大期間を表します。この時間が経過したら、交換する必要が あります。活動時間は、コンポーネントの製造メーカが公表 することになっています。活動時間は、IEC/EN62061で使用 される「プルーフテスト間隔」または「寿命」(いずれか小さ いほう)と同じです。安全システムの設計者は、コンポーネン トの活動時間を考慮して、各安全機能の活動時間を判断する 必要があります。機械的なコンポーネントの場合は、T10d値 を使用して、動作回数に関する寿命(ライフタイム)の値を算 出することができます。T10d値は、B10d計算の一環で算出 されます。 系統的故障 MTTFdや危険側故障確率の形式で定量化された安全信頼性デ ータについてすでに検討してきましたが、これがすべてでは ありません。これらの用語に言及した際は、ランダムな性質 と思われる故障について検討しました。実際にIEC/EN 62061では、PFHDの略語は、具体的にランダムなハードウ ェア故障の確率を指しています。しかし、設計プロセスや製 造プロセスでのエラーに起因する種類の故障も存在し、「系 統的障害」と総称されています。この代表的な例は、ソフト ウェアコードのエラーです。付録Gには、このようなエラー (およびそれに伴う故障)を回避するための対策が定められて います。これらの対策には、適切な素材および製造技法、レ ビュー、分析、およびコンピュータシミュレーションの利用 などの対応が含まれています。動作環境では、結果を制御し なければ故障の原因となる予測可能な事象や特性も発生しま す。付録Gには、これを回避するための対策も定められてい ます。例えば、電力の損失が発生することは容易に予測でき ます。したがって、コンポーネントの電源が切断されても、 システムは安全な状態を維持できるようにする必要がありま す。このような対策は単に常識と思われがちで、実際にそう ですが、極めて重要なことです。系統的障害の抑制や回避に 対して適切な考慮を払わない場合、この規格の他のすべての 要件は無意味なものとなります。これは、自動診断テストや 冗長ハードウェアなど、必要なPFHDを達成するために、ラ ンダムなハードウェア故障の抑制に使用されるものと同等の 対策が求められる場合もあります。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 特定のフォルト排除可能性を排除して安全関連制御システム を評価することは、常に可能なわけではありません。フォル ト排除については、ISO 13849-2を参照してください。 リスクのレベルが高くなると、フォルト排除の妥当性より厳 しいものになります。通常、安全関連制御システムで実装さ れる安全機能のためにPLが必要とされる場合は、このレベル の性能を達成するためにフォルト排除のみに頼ることは一般 的なことではありません。これは、使用されるテクノロジと 対象となる動作環境によって左右されます。そのため、設計 者は、PL要件が増すにつれてフォルト排除の使用に十分な注 意を払うことが必要となります。 a b General c d e Cat B Cat 1 DCavg none DCavg none Cat 2 Cat 2 Cat 3 Cat 3 Cat 4 DCavg low DCavg med DCavg low DCavg med DCavg high MTTFd ૐ MTTFd ਛ MTTFd 㜞 図133: PLを判断するための方式 例えば、アプリケーションにアーキテクチャ用のカテゴリ3 を使用するとします。DCが60~90%で、各チャネルの MTTFdが10~30年の場合は、図133から判断するとPLdが達 成されます。 目標とするPLを達成するには、他の要素も実現する必要があ ります。これらの要件には、共通原因故障、系統的故障、環 境条件、および活動時間に対する措置も含まれます。 システムまたはサブシステムのPFHDがわかっている場合 は、表12 (規格の付録K)を使用してPLを特定できます。 Logic Operator Interface 例えば、PLeを実現するために必要なドア・インターロック ・システムは、スイッチアクチュエータの破損などのフォル トを排除することが通常は妥当とは認められないため、この レベルのパフォーマンスに達成するために、最小フォルトト レランス1(例えば、2つの従来型の機械式位置スイッチ)を組 み込む必要があります。ただし、関連する規格に従って設計 された制御パネル内の配線の短絡などのフォルトを排除する ために、これは許容することができます 表12に、これらの要素を組み合わせてPLを判断するための方 法を示します。より正確な判断が必要な場合は、規格の付録 Kを参照してください。 1-システム設計 ISO13849-1:2006では、技術的に発生しそうにないこと、一 般に認められている技術的な経験、およびアプリケーション に関連する技術的要件に基づいたフォルト排除を認めていま す。ISO13849-2:2003では、電気、空圧、油圧、および機械 式システムに関して特定のフォルトを排除するための例と正 当性も示しています。フォルト排除は、正当性を詳細に示し た上で、技術文書で宣言する必要があります。 5つの指定されたアーキテクチャのいずれかを実行して実現 されたPLを評価するには、システム(またはサブシステム)に 関する以下のデータが必要です。 Ÿ MTTFd (各チャネルの危険側故障発生までの平均時間) Ÿ DC (自己診断率) Ÿ アーキテクチャ(カテゴリ) 2-Opto-electronics 分析中に、特定のフォルトを発見できないこともあります。 これは、費用を節減した自動診断テストでは検出できないた めです。さらに、これらのフォルトが発生する可能性は、軽 減設計、構造、およびテスト方法を使用することにより、極 めて小さくすることもできます。このような状況では、さら に検討することによりフォルトを排除できる可能性もありま す。フォルト排除とは、SRCSの特定の故障の確率が無視で きる程度であるため、その故障の発生を排除することです。 安全遂行レベル(PL) 安全遂行レベルは、制御システムの安全関連部分が安全機能 を実行する能力を特定する離散レベルです。 Safety Switches 故障分析は安全システム用の主要な分析ツールの1つです。 設計者とユーザは、フォルトが存在するときに安全システム がどのように実行されるかを理解する必要があります。分析 を行なうためにさまざまな方法を使用できます。例えば、故 障のツリー解析、故障モード、効果および致命度解析、イベ ントのツリー解析、および負荷強度検査などがあります。 ోㆀⴕࡌ࡞(PL) フォルト排除 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-61 原理、規格&実装 EN ISO 13849およびSISTEMAに従うシステム設計 各チャネルの MTTFd 時間単位当たりの危険側故障の平均割合(1/h)と対応する安全遂行レベル(PL) Cat. B PL DCavg = なし Cat. 1 PL DCavg = なし Cat. 2 PL DCavg = 低 Cat. 2 PL DCavg = 中 Cat. 3 PL DCavg = 低 Cat. 3 PL DCavg = 中 General 1-システム設計 2-Opto-electronics 3,80 x 10-5 a 2,58 x 10-5 a 1,99 x 10-5 A 1,26 x 10-5 a 6,09 x 10-6 b 3,3 3,46 x 10-5 a 2,33 x 10-5 a 1,79 x 10-5 A 1,13 x 10-5 a 5,41 x 10-6 b 3,6 3,17 x 10-5 a 2,13 x 10-5 a 1,62 x 10-5 a 1,03 x 10-5 a 4,86 x 10-6 b 3,9 2,93 x 10-5 a 1,95 x 10-5 a 1,48 x 10-5 a 9,37 x 10-6 b 4,40 x 10-6 b 4,3 2,65 x 10-5 a 1,76 x 10-5 a 1,33 x 10-5 a 8,39 x 10-6 b 3,89 x 10-6 b 4,7 2,43 x 10-5 a 1,60 x 10-5 a 1,20 x 10-5 a 7,58 x 10-6 b 3,48 x 10-6 b 5,1 2,24 x 10-5 a 1,47 x 10-5 a 1,10 x 10-5 a 6,91 x 10-6 b 3,15 x 10-6 b 5,6 2,04 x 10-5 a 1,33 x 10-5 a 9,87 x 10-6 b 6,21 x 10-6 b 2,80 x 10-6 c 6,2 1,84 x 10-5 a 1,19 x 10-5 a 8,80 x 10-6 b 5,53 x 10-6 b 2,47 x 10-6 c 6,8 1,68 x 10-5 a 1,08 x 10-5 a 7,93 x 10-6 b 4,98 x 10-6 b 2,20 x 10-6 c 7,5 1,52 x 10-5 a 9,75 x 10-6 b 7,10 x 10-6 b 4,45 x 10-6 b 1,95 x 10-6 c 8,2 1,39 x 10-5 a 8,87 x 10-6 b 6,43 x 10-6 b 4,02 x 10-6 b 1,74 x 10-6 c 9,1 1,25 x 10-5 a 7,94 x 10-6 b 5,71 x 10-6 b 3,57 x 10-6 b 1,53 x 10-6 c 10 1,14 x 10-5 a 7,18 x 10-6 b 5,14 x 10-6 b 3,21 x 10-6 b 1,36 x 10-6 c 11 1,04 x 10-5 a 6,44 x 10-6 b 4,53 x 10-6 b 2,81 x 10-6 c 1,18 x 10-6 c 12 9,51 x 10-6 b 5,84 x 10-6 b 4,04 x 10-6 b 2,49 x 10-6 c 1,04 x 10-6 c 13 8,78 x 10-6 b 5,33 x 10-6 b 3,64 x 10-6 b 2,23 x 10-6 c 9,21 x 10-7 d 15 7,61 x 10-6 b 4,53 x 10-6 b 3,01 x 10-6 b 1,82 x 10-6 c 7,44 x 10-7 d 16 7,31 x 10-6 b 4,21 x 10-6 b 2,77 x 10-6 c 1,67 x 10-6 c 6,76 x 10-7 d 18 6,34 x 10-6 b 3,68 x 10-6 b 2,37 x 10-6 c 1,41 x 10-6 c 5,67 x 10-7 d 20 5,71 x 10-6 b 3,26 x 10-6 b 2,06 x 10-6 c 1,22 x 10-6 c 4,85 x 10-7 d 22 5,19 x 10-6 b 2,93 x 10-6 c 1,82 x 10-6 c 1,07 x 10-6 c 4,21 x 10-7 d 24 4,76 x 10-6 b 2,65 x 10-6 c 1,62 x 10-6 c 9,47 x 10-7 d 3,70 x 10-7 d 27 10-6 b 10-6 10-6 10-7 10-7 PL d Safety Switches Operator Interface c 1,39 x c 8,04 x d 3,10 x 30 3,80 x 10-6 b 2,06 x 10-6 c 1,21 x 10-6 c 6,94 x 10-7 d 2,65 x 10-7 d 9,54 x 10-8 e 33 3,46 x 10-6 b 1,85 x 10-6 c 1,06 x 10-6 c 5,94 x 10-7 d 2,30 x 10-7 d 8,57 x 10-8 e 36 3,17 x 10-6 b 1,67 x 10-6 c 9,39 x 10-7 d 5,16 x 10-7 d 2,01 x 10-7 d 7,77 x 10-8 e 39 2,93 x 10-6 c 1,53 x 10-6 c 8,40 x 10-7 d 4,53 x 10-7 d 1,78 x 10-7 d 7,11 x 10-8 e 43 2,65 x 10-6 c 1,37 x 10-6 c 7,34 x 10-7 d 3,87 x 10-7 d 1,54 x 10-7 d 6,37 x 10-8 e 47 2,43 x 10-6 c 1,24 x 10-6 c 6,49 x 10-7 d 3,35 x 10-7 d 1,34 x 10-7 d 5,76 x 10-8 e 51 2,24 x 10-6 c 1,13 x 10-6 c 5,80 x 10-7 d 2,93 x 10-7 d 1,19 x 10-7 d 5,26 x 10-8 e 56 2,04 x 10-6 c 1,02 x 10-6 c 5,10 x 10-7 d 2,52 x 10-7 d 1,03 x 10-7 d 4,73 x 10-8 e 62 1,84 x 10-6 c 9,06 x 10-7 d 4,43 x 10-7 d 2,13 x 10-7 d 8,84 x 10-8 e 4,22 x 10-8 e 68 1,68 x 10-6 c 8,17 x 10-7 d 3,90 x 10-7 d 1,84 x 10-7 d 7,68 x 10-8 e 3,80 x 10-8 e 75 1,52 x 10-6 c 7,31 x 10-7 d 3,40 x 10-7 d 1,57 x 10-7 d 6,62 x 10-8 e 3,41 x 10-8 e 82 1,39 x 10-6 c 6,61 x 10-7 d 3,01 x 10-7 d 1,35 x 10-7 d 5,79 x 10-8 e 3,08 x 10-8 e 91 1,25 x 10-6 c 5,88 x 10-7 d 2,61 x 10-7 d 1,14 x 10-7 d 4,94 x 10-8 e 2,74 x 10-8 e 100 1,14 x 10-6 c 5,28 x 10-7 d 2,29 x 10-7 d 1,01 x 10-7 d 4,29 x 10-8 e 2,47 x 10-8 e 4,23 x 2,32 x Cat. 4 DCavg = 高 年 3 表12: PLを判断するための正確なMTTFd 表12のソースは、ISO/EN 13849-1:2006の表K.1です。 Logic 1-62 Visit our website: www.ab.com/catalog Pub.No. S117-CA001A-JA-P R 原理、規格&実装 b c d e PL >3 =<3 適用しない a >2 a =<2 b >2 b =<2 c >3 c =<3 d >3 d .3 e 注:この表のアプリケーションは必須ではありません。規格 (またはSISTEMA)の付録Kを使用することをお奨めします。 この表は、小型のシステム用の非常にシンプルなアプローチ を提供することのみを意図しています。 ࠨࡉࠪࠬ࠹ࡓ2 PLb SILの検討項目 ハードウェア・フォルト・トレランス 図135に示すシステムでは、安全遂行レベルが最も低いのは サブシステム1と2で、どちらもPLbです。したがって、表20 を使用すると、b (PLlow列)を横に見て、次は2 (Nlow列)なの で、達成できるシステムのPLはb (PL列)であることがわかり ます。3つのサブシステムがすべてPLbの場合、適合するPL はPLaになります。 PLb 機能要件には、動作頻度、必須応答時間、動作モード、デュ ーティサイクル、動作環境、およびフォルト反応機能などの 詳細が含まれます。安全整合性要件は、安全度水準(SIL)とい うレベルで表されます。システムの複雑さに従って、システ ム設計が必要なSILを満たしているかを判断するには表14の 要素の位置またはすべてを考慮する必要があります。 時間単位当たりの危険側故障が発生する平均確率 表13: 直列に組み合わせたサブシステムのPL計算 ࠨࡉࠪࠬ࠹ࡓ1 リスクアセスメントはリスク低減ストラテジになり、さらに は安全関連の制御機能の必要性を確認できます。これらの機 能を文書化し、以下の内容を含める必要があります。 Ÿ 機能要件の仕様 Ÿ 安全整合性要件の仕様 ࠨࡉࠪࠬ࠹ࡓ3 PLc 図134: PLbシステムと直列サブシステムの組み合わせ シンボル PFHD 安全側故障割合 シンボルなし SFF プルーフテスト間隔 T1 診断テスト間隔 T2 共通原因故障(CCF)に対する影響 ß 自己診断率 DC 表14: SILの検討項目 サブシステム IEC/EN 62061では、「サブシステム」という言葉に特別な 意味を持っています。サブシステムはシステムを細分化した 場合の最上位の単位であり、サブシステムで発生した故障は 安全機能の故障の原因になります。したがって、1つのシス テム内で2つの冗長スイッチを使用している場合には、どち らのスイッチも単独ではサブシステムになりません。2つの スイッチと、関連する障害診断機能で1つのサブシステムを 構成します。 単位時間当たりの危険側故障が発生する平均確率(PFHD) 妥当性確認 妥当性確認は、安全システムの開発および試運転の工程を通 して重要な役割を果たしています。ISO/EN 13849-2:2003で は、妥当性確認に関する要件を設定しています。妥当性確認 では、妥当性確認計画を指示しており、テストや故障の木解 析、故障モード、効果および致命度解析などの分析技術によ る妥当性確認について検討しています。これらの要件の多く は、サブシステムのユーザではなく、製造メーカに適用され ます。 マシンの立上げ システムまたはマシンの立上げ段階では、安全機能の妥当性 確認をすべての動作モードで実行し、すべての正常な状態と 予想される異常な状態を網羅する必要があります。入力の組 み合わせや操作の順序も考慮しなければなりません。これ は、システムが実際の動作および環境特性に適していること を確認するために必ず必要になる重要な手順です。これらの 特性の中には、設計段階の予想と異なるものもあります。 IEC/EN 62061は、EN ISO 13849-1のセクションに説明する ように同じ基本的な方法を使用して、コンポーネントレベル の故障発生確率を判断できます。同じ対策と方法が、「機構 的な」および電子部品に適用します。IEC/EN 62061では、 数年のMTTFdを考慮していません。時間当たりの故障発生確 率(λ)は、直接計算するか、または以下の式を使用してB10 値から取得できます。 λ = 0.1 x C/B10 (C =1時間当たりの動作サイクルの回数) サブシステムまたはシステムの合計のPFHDを判断する方法 については、規格ごとに大きな違いがあります。サブシステ ムの故障の発生確率を判断するために、コンポーネントの分 析を行なう必要があります。共通するサブシステムアーキテ クチャ(後で説明)の計算のために、簡略化した式を提供しま す。これらの式が適用されない場合には、マルコフモデリン グなどのさらに複雑な計算方法を使用する必要があります。 各サブシステムの危険側故障発生確率(PFHD)を互いに加算し てから、システムの合計のPFHDを決定します。表15 (規格の 表3)を使用して、安全度水準(SIL)がそのPFHDの範囲に対応 しているかを判断できます。 λDssB = (1-β)2 x λDe1 x λDe2 x T1 + βx (λDe1 + λDe2) / 2 このアーキテクチャの式では、サブシステム要素の並列配列 を考慮するため、表14から以下の2つの要素を追加します。 β (ベータ)は、共通原因故障(CCF)に対する影響です。 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-63 1-システム設計 a Nlow 2-Opto-electronics PLlow Safety Switches IEC/EN 62061「機械類の安全性 - 安全関連電気/電子/プログ ラム可能電子制御システムの機能安全」は、IEC/EN61508の 機械専用の実施です。あらゆるタイプの機械安全関連電気制 御システムのシステムレベル設計、およびそれほど複雑でな いサブシステムまたは装置の設計にも適用されます。 Operator Interface IEC/EN 62061に従うシステム設計 すべてのサブシステムのPLがわかっているときは、表13を使 用して簡単にシステムに組み合わせることができますこの表 の陰にある論理は明らかです。1つ目は、システムのレベル は、最も低レベルのサブシステムと同じになることです。2 つ目は、サブシステムの数が多くなると、それだけ故障の発 生確率も高くなることです。 Logic サブシステム設計および組合せ General IEC/EN 62061に従うシステム設計 原理、規格&実装 IEC/EN 62061に従うシステム設計 SIL (安全度水準) PFHD (単位時間当たりの危険側故障発生確率) 3 10–8以上で10–7未満 General 2 10–7以上で10-6未満 1 10–6以上で10–5未満 サブシステムを組み合わせているときは、SRCSに適合する SILは、安全関連制御機能に関与するサブシステムの最低の SIL CL以下を備えていなければなりません。 表15: SILの危険側故障の発生確率 サブシステムのPFHDデータは、通常は製造メーカから提供 されます。ロックウェル・オートメーションの安全コンポー ネントシステムのデータは、いくつかの形式で使用できます: http://discover.rockwellautomation.com/EN_Safety_Solutions. aspx 1-システム設計 このWebサイトでは、他のロックウェル・オートメーション のコンポーネントとシステム用の多くのデータを定期的に更 新しており、時間を経ても使用できます。 IEC/EN 62061でも、適切な場合、適切な箇所には、信頼性 データハンドブックを使用できることを明言しています。 2-Opto-electronics あまり複雑ではない電気機械式のデバイスでは、故障のメカ ニズムは時間だけよりも、作動の回数と頻度に関連するのが 普通です。そのため、これらのコンポーネントについては、 このデータは、何らかの寿命テスト(EN ISO 13849-1の章に 説明するようにB10テストなど)から得られます。B10または 同様のデータをPFHDに変換するためには、1年当たりの作動 回数などのアプリケーションベースの情報が必要です。 注:一般的に、以下のように想定できます(年を時間に変換す るには係数を考慮する)。 PFHD = 1/MTTFd Safety Switches ただし、デュアル・チャネル・システム(診断付き、またはな し)では、1/ PFHDを使用してEN ISO 13849-1に要求される MTTFdを判断することは正しくないことを理解する必要があ ります。この規格は、1つのチャネルのMTTFd用です。これ は、2チャネルのサブシステムの両方のチャネルの組合せの MTTFdとは非常に異なる値です。 Operator Interface IEC/EN 62061の重要な特性は、t安全システムをサブシステ ムに分割することです。サブシステムに付与できるハードウ ェア安全度水準はPFHDだけでは制限できませんが、ハード ウェア・フォルト・トレランスとサブシステムの安全側故障 割合によって制限されます。ハードウェア・フォルト・トレ ランスは、単一のフォルトが存在しているときにシステムが 機能を実行できる能力です。フォルトトレランスが0という のは、単一フォルトが発生した場合、機能が実行されないこ とを意味します。フォルトトレランスが1のとき、サブシス テムは単一フォルトが発生していても機能を実行できます。 安全側故障割合は、全体的な故障率の中で、危険な故障につ ながらない故障の割合です。この2つの要素を組み合わせた ものが、いわゆるアーキテクチャによる制約で、SIL達成限 度(SIL CL)と表されます。表16に、アーキテクチャによる制 約とSILCLの関係を示します。サブシステム(および、そのシ ステム)は、規格の他の関連する条項と共に、PFHD要件とア ーキテクチャによる制限の両方を満たす必要があります。 ハードウェア・フォルト・トレランス 0 1 2 Logic <60% 特定の例外事項 を適用しない限 り適用できない SIL1 SIL2 60~90% SIL1 SIL2 SIL3 90~99% SIL2 SIL3 SIL3 99%以上 SIL3 SIL3 SIL3 表16: SILでのアーキテクチャに関する検討項目 1-64 システムの実現 危険側故障の発生確率を計算するには、各安全機能をファン クションブロックに分割する必要があります。これがサブシ ステムになります。多くの安全機能のシステム設計では、検 知装置をロジックデバイスに接続し、そのロジックデバイス をアクチュエータに接続しています。これでサブシステムが 直列に配置されます。サブシステムごとに危険側故障割合を 決定でき、SIL CLがわかっている場合、システムの故障確率 は、サブシステムの故障確率を加算するだけで簡単に計算で きます。図136に、この概念を示します。 ࠨࡉࠪࠬ࠹ࡓ1 ࠨࡉࠪࠬ࠹ࡓ2 ࠨࡉࠪࠬ࠹ࡓ3 ⟎ᬌ⍮ ࡠࠫ࠶ࠢ⸃ ജേ IEC/EN 62061߆ࠄߩ ᯏ⢻ߣᢛวᕈߩⷐઙ IEC/EN 62061߆ࠄߩ ᯏ⢻ߣᢛวᕈߩⷐઙ IEC/EN 62061߆ࠄߩ ᯏ⢻ߣᢛวᕈߩⷐઙ SIL CL 2ࠕࠠ࠹ࠢ࠴ SIL CL 2ࠕࠠ࠹ࠢ࠴ SIL CL 2ࠕࠠ࠹ࠢ࠴ ࡖߦࠃࠆ⚂ ࡖߦࠃࠆ⚂ ࡖߦࠃࠆ⚂ PFHD = 1x10-7 PFHD = 1x10-7 PFHD = 1x10-7 + PFHD 2 = PFHD 1 = 1x10-7 + 1x10-7 = 3x10-7 ߃߫ޔSIL2ߦㆡวߔࠆޕ 図135: サブシステムの組合せの例 + PFHD 3 + 1x10-7 例えば、SIL 2に適合したいときに、各サブシステムには最低 でもSIL 2のSIL CLを付与する必要があり、システムのPFHD の合計は表15に示す許容可能な制限を超えてはなりません。 IEC/EN 62061に従うサブシステムの設計 アーキテクチャによる制約 安全側故障割合 (SFF) 例えば、シングル・フォルト・トレランスを備えたサブシス テムアーキテクチャと75%の安全側故障割合では、危険側故 障割合に関係なく、SIL2定格以下に制限されます。 システム設計者は、IEC/EN 62061に従ってサブシステムに 「パッケージ化」されているコンポーネントを使用すると、 作業がかなり容易になります。これは、サブシステムの設計 に特有の要件は適用されないからです。これらの要件は、通 常、装置(サブシステム)製造者によって対応され、システム レベルの設計に要求されるものよりはるかに複雑になってい ます。 IEC/EN 62061では、セーフティPLCのような複雑なサブシス テムはIEC 61508に適合するように要求しています。これ は、複雑な電気またはプログラマブルコンポーネントを使用 する装置の場合、IEC 61508の厳格さがすべて適用されるこ とを意味します。これは非常に困難で、複雑な工程になる可 能性があります。例えば、複雑なサブシステムによって実現 されたPFHDの評価は、マルコフモデリング、信頼性ブロッ クダイアグラム、または故障のツリー解析などの手法を使用 する非常に複雑なプロセスになる可能性があります。 IEC/EN 62061はそれほど複雑でないサブシステムに関する 要件を定めています。通常、これにはインターロックスイッ チや電気機械式モニタ・セーフティ・リレーなどの比較的単 純な電気コンポーネントが含まれます。要件は、IEC 61508 のような関係性がなく、大変複雑です。 IEC/EN 62061は、4つのサブシステム論理アーキテクチャを 提供しています。これと一緒にあまり複雑でないサブシステ ムによって実現されたPFHDを評価するために使用される付 属の式も提供されます。これらのアーキテクチャは純粋に論 理的な説明で、物理構造として考えることはできません。持 つ4つのサブシステム論理アーキテクチャとそれに付属する 式を図136から図139に示します。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 IEC/EN 62061に従うシステム設計 図136:サブシステムの論理的なアーキテクチャA 図138:サブシステムの論理的なアーキテクチャC λDssA = λDe1 +…+ λDen PFHDssA = λDssA x 1h 図138に、診断機能を備えた0のフォルト・トレランス・シス テムの機能を説明します。自己診断率(DC)は、危険側ハード ウェア故障発生確率を減らすために使用されます。診断テス トは、自動的に実行されます。自己診断率の定義はEN ISO 13849-1と同じで、すべての危険側故障割合に対する検出さ れた危険側故障割合の割合です。 ࠨࡉࠪࠬ࠹ࡓB ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛1 De1 ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛2 De2 図139に、サブシステムアーキテクチャの4番目の例を示しま す。このサブシステムは、シングル・フォルト・トレランス で、診断機能を備えています。シングル・フォルト・トレラ ンスのシステムでは、共通原因故障の発生確率も考慮する必 要があります。 ࠨࡉࠪࠬ࠹ࡓD ㅢේ࿃㓚 (CCF) ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛1 lDe1 λDssB = (1-β)2 x λDe1 x λDe2 x T1 + βx (λDe1 + λDe2) / 2 PFHDssB = λDssB x 1h このアーキテクチャの式では、サブシステム要素の並列配列 を考慮するため、表14から以下の2つの要素を追加します。 β(ベータ)は、共通故障原因(CCF)に対する影響です。 T1は、プルーフテスト間隔または寿命のいずれか小さいほう です。プルーフテストはフォルトと安全サブシステムの劣化 を検出するように設計されています。これによって、サブシ ステムを動作可能な状態に回復させることができます。実際 には、通常、これは交換時期を意味します(EN ISO 13849-1 での「活動時間」の用語と同等)。 図139に、診断機能を備えた0のフォルト・トレランス・シス テムの機能を説明します。自己診断率(DC)は、危険側ハード ウェア故障発生確率を減らすために使用されます。診断テス トは自動的に行なわれます。自己診断率の定義はEN ISO 13849-1と同じで、すべての危険側故障割合に対する検出さ れた危険側故障割合の割合です。 これらの式には、サブシステムの要素ごとの自己診断率(DC) が組み込まれています。サブシステムごとの故障の発生確率 は、各サブシステムの自己診断率によって低減されます。 ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛2 lDe2 図139:サブシステムの論理的なアーキテクチャD サブシステムの要素がチャネルごとに異なる場合は、以下の 式を使用します。 λDssD = (1 -β)2 {λDe1 xλDe2 x (DC1+ DC2) x T2 / 2 +λDe1 x λDe2 x (2- DC1 - DC2) x T1 / 2}+βx (λDe1+λDe2) / 2 PFHDssD = λDssD x 1h サブシステムの要素がチャネルごとに同じ場合は、以下の式 を使用します。 λDssD = (1 - β)2 {[ λDe2 x 2 x DC] x T2 / 2 + [λDe2 x λDe2 x (1-DC)] x T1 } + β x (λDe PFHDssD = λDssD x 1h 両方の式では、1つの追加パラメータT2 (診断テストの間隔) を使用することに注意してください。これは機能の定期的な チェックだけを行なう、プルーフテストより範囲が広くない テストです。 サブシステムの要素が異なる場合の例として、以下の値を想 定しています。 b = 0.05 T2 = 2時間 lDe = 1 x 10 -6故障 / 時間 DC = 90% T1 = 87600時間(10年) PFHDssD = 5.791E-08 単位時間当たりの危険側故障発生確率 これは、SIL 3に要求される範囲内にあります。 Visit our website: www.ab.com/catalogs 1-65 Pub.No. S117-CA001A-JA-P 図139に、サブシステムアーキテクチャの4番目の例を示しま す。このサブシステムは、シングル・フォルト・トレランス で診断機能を備えています。シングル・フォルト・トレラン スのシステムでは、共通原因故障の発生確率も考慮する必要 があります。 General ㅢේ࿃㓚 (CCF) ⸻ᢿᯏ⢻ 図137:サブシステムの論理的なアーキテクチャB R これらの式には、サブシステムの要素ごとの自己診断率(DC) が組み込まれています。サブシステムごとの故障の発生確率 は、各サブシステムの自己診断率によって低減されます。 λDssC = λDe1 (1-DC1)+ . . . + λDen (1-DCn) PFHDssC = λDssC x 1h Operator Interface λ(ラムダ)は、故障の発生確率を指定するために使用されま す。故障の発生確率の単位は、単位時間当たりの故障回数で す。λDは、危険側故障発生確率です。λDssAは、サブシス テムAの危険側故障発生確率です。これは、個別の要素e1, e2, e3から最大enまでの故障の発生確率の合計です。危険側 故障発生確率に1時間をかけると、1時間当たりの故障発生確 率になります。 図137に、診断機能なしのシングル・フォルト・トレランス のシステムを示します。アーキテクチャにシングル・フォル ト・トレランスが組み込まれている場合、共通原因故障の可 能性があるので考慮する必要があります。共通原因故障の派 生については、このセクションの後半で詳しく説明します。 1-システム設計 ⸻ᢿᯏ⢻ 2-Opto-electronics ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛n Den ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛n Den Safety Switches ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛1 De1 ࠨࡉࠪࠬ࠹ࡓA ࠨࡉࠪࠬ࠹ࡓ ⷐ⚛1 De1 ࠨࡉࠪࠬ࠹ࡓC Logic 図136に示す基本的なサブシステムアーキテクチャの場合、 危険側故障の発生確率は互いに追加するだけです。 原理、規格&実装 IEC/EN 62061に従うシステム設計 General プルーフテスト間隔の影響 ハードウェア・フォルト・トレランス IEC/EN 62061では、プルーフテスト間隔(PTI)を20年にする こと推奨しています(必須ではない)。プルーフテスト間隔が システムに与える影響について考えてみます。20年のときに T1で式を再計算すると、結果はPFHDssD = 6.581E-08になり ます。これは、まだSIL 3に要求される範囲内です。設計者は 全体の危険側故障レートを計算するには、このサブシステム と他のサブシステムを組み合わせる必要があることを常に注 意してください。 ハードウェア・フォルト・トレランスは、危険側故障を発生 させずに、サブシステムが耐えることのできるフォルトの数 を表します。例えば、ハードウェア・フォルト・トレランス が1であると、2つのフォルトがあると安全関連制御機能の損 失につながりますが、1つのフォルトでは損失につながりま せん。 共通原因故障の影響の分析 規格には、安全関連電気制御システムを実現するために必要 な管理の制御、プロジェクト管理、および技術活動に関して 要件が定められています。 1-システム設計 共通原因故障(CCF)がシステムに与える影響について考えて 見ます。追加策を講じて、β(ベータ)値を1% (0,01)に改善し て、プルーフテスト間隔を20年のままにします。危険側故障 の発生確率が2.71E-08に向上し、これでサブシステムがSIL 3 システムに適合できるようになりました。 共通原因故障(CCF) 2-Opto-electronics 共通原因故障(CCF)は、1つの原因から複数のフォルトが発生 し、危険な故障につながることを意味します。CCFに関する 情報が必要になるのは、サブシステム設計者(通常は製造メー カ)だけです。これは、サブシステムのPFHDの評価に使用さ れる式の一部として使用されます。通常、システム設計レベ ルでは必要ありません。 IEC/EN62061の付録Fは、CCFを推定するための簡単な方法 が記載されています。表17に、スコアリングプロセスの概要 を示します。 Safety Switches 1 隔離/分離 スコア 25 2 ダイバーシティ(多様性) 38 3 設計/アプリケーション/経験 2 4 評価/分析 18 5 能力/トレーニング 4 6 環境 18 No. CCF対策 表17: 共通原因故障に対する対策のスコアリング Operator Interface 全体のスコア 共通原因故障の係数(ß) 35未満 10% (0,1) 35~65 5% (0,05) 65~85 2% (0,02) 85~100 1% (0.01) 表18: 共通原因故障のβ係数 自己診断率(DC) Logic 危険側ハードウェア故障割合を減少するために、自動診断テ ストが採用されています。危険側ハードウェア故障をすべて 検出できることが理想ですが、実際的には最大値は99%に設 定されます(これは0.99と示すこともできる)。 自己診断率とは、すべての危険側故障発生確率に対する検出 された危険側故障発生確率の割合です。 1-66 プルーフテスト間隔 プルーフテスト間隔は、サブシステムを「新品」の状態にし ておくために全面的なチェックまたは交換が必要になる間隔 を表します。実際には、機械類に関しては、交換時期を意味 します。そのため、プルーフテスト間隔は通常、寿命と同じ になります。EN ISO 13849-1では、これは活動時間ともいい ます。 プルーフテストは、SRCSのフォルトおよび劣化を検出する チェックで、これによってSRCSをできる限り新品に近い状 態に回復させることができます。プルーフテストでは、すべ ての危険側故障を100%検出する必要があります。チャネル は、個々にテストします。 自動的に行なわれる診断テストと異なり、プルーフテストは 通常、手作業によりオフラインで実行されます。自動で行な われる診断テストは頻繁に実行されますが、それに比べると プルーフテストはあまり頻繁には行なわれません。例えば、 ガードのインターロックスイッチにつながる回路は、診断(パ ルス)テストで短絡および開回路状態を自動的にテストするこ とができます。 プルーフテスト間隔は、製造メーカが明確にしなければなり ませ。ません。場合によっては、製造メーカがさまざまなプ ルーフテスト間隔を示すことがあります。 安全側故障割合(SFF) 特定のCCF対策を採用するとポイントが得られます。スコア を追加して、表18に示すように共通原因故障(β)の要因を決 定します。β係数は、すでに説明したように故障の発生確率 を調整するためにサブシステムの簡略化されたアーキテクチ ャの式に使用されます。 DC = 機能安全の管理 検出された危険側故障の発生確率(λDD) ------------------------------------------------------合計の危険側故障発生確率(λDtotal) 安全側故障割合は、自己診断率(DC)と似ていますが、本来安 全な状態に終わる傾向のある故障も考慮に入れています。例 えば、ヒューズが飛んだ場合、故障は存在しますが、その故 障は開回路で、ほとんどの場合は安全な故障であるのは確実 です。SFFは、(安全側故障の発生確率と検出できる危険側故 障の発生確率の合計)を(安全側故障の発生確率と検出・未検 出を合わせた危険側故障の発生確率の合計)で割って計算しま す。安全機能に何らかの影響を与えるタイプの障害だけを考 慮していることに注意してください。 E-stopボタンやインターロックスイッチなどの、ほとんどの あまり複雑ではない機械的なデバイスのSFFは、(単独では) 60%未満です。しかし、安全保護のために使用されるほとん どの電気機器は、冗長機能とモニタ機能が組み込まれた設計 になっています。したがって、SFFは90%を超えているのが 一般的です。 通常は、SFF値は製造メーカから提供されます。 安全側故障割合(SFF)は、以下の式を計算できます。 SFF = (ΣλS + ΣλDD) / (ΣλS + ΣλD) この場合、 lS Sl S + Sl D l DD lD = = = = Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 安全側故障の発生確率 全体の故障の発生確率 検出された危険側故障の発生確率 危険側故障の発生確率 R 原理、規格&実装 系統的故障 制御システムのカテゴリ 規格には、系統的故障の制御および回避に関する要件が記述 されています。系統的故障はランダムハードウェア故障とは 異なります。ランダムハードウェア故障は、通常、ハードウ ェアの部品の劣化が原因で時間的に無秩序に発生する故障で す。典型的な系統的故障のタイプは、ソフトウェア設計エラ ー、ハードウェア設計エラー、要件仕様エラー、および任意 の手順などです。系統的故障を回避するために必要な手順の 例を以下に示します。 制御システムの「カテゴリ」は、前のEN 954-1:1996 (ISO13849-1:1999)に基づいています。ただし、この用語は 安全制御システムを説明するためにまだ頻繁に使用されてお り、「制御システムの機能安全の概要」セクションに記載さ れているようにEN ISO13849-1の不可欠な部分です。。 Ÿ コンポーネント間の互換性を確認する。 Ÿ 環境条件への耐性を考慮する。 Ÿ 適切な材質を使用する。 安全関連制御システムの構造に関する 注意事項 概要 このセクションでは、規格に対して安全関連制御システムを 設計する際に考慮する必要がある、一般的な構造に関する注 意事項と原理について考えます。カテゴリは主に制御システ ムの構造を扱うため、古いEN 954-1ではカテゴリという用語 をよく使用しています。 注:このカタログ発行の直前に、CEN (European Committee for Standardization:欧州標準化委員会)が、最新の規格への 移行を促進するために、EN-954-1準拠の認定の最終日は 2011年末に延長されたことを公表しました。これは、元の 2009年12月29日に置き換わるものです。 注2:共通の原因によって、または最初のフォルトの結果と して発生した複数のフォルトは、1つのフォルトとしてカウ ントします。 注3:フォルトの検査は関連する2つのフォルト(証明できる 場合)に制限されますが、複雑な回路(マイクロプロセッサ回 路など)では、より多くの関連するフォルトの検討が必要にな ることがあります。 カテゴリ1は、フォルトの防止が目的です。これは、適切な 設計原理、構成部品、および材質を使用することで達成され ます。原理と設計の簡潔さに加え、安定した予測可能な材料 特性がこのカテゴリの鍵となります。 カテゴリ2, 3 および4では、フォルトを防止できない場合、 それを検出して適切に対応することが要求されます。 これらのカテゴリでは、冗長、多様化、モニタ機能が重要に なります。冗長は同じ手法の二重化です。多様化は2種類の 異なる方法を使用します。モニタ機能は、デバイスの状態を チェックし、状態に応じて適切な処置を行ないます。安全重 視機能を二重化し、その動作を比較する方法が一般的なモニ タ方法ですが、その他の方法もあります。 1-制御システム Ÿ 製造メーカの仕様および取付け手順に従う。 2-Opto-electronics Ÿ 優れた技術的手法を使用する。 注1:カテゴリB自体には安全に関する特別な手段はなく、他 のカテゴリの基盤になります。 Safety Switches Ÿ コンポーネントを適切に選択、組合せ、配置、組立て、お よび取付ける。 安全関連制御システムのフォルトの応答性能を説明する、5 つのカテゴリがあります。表19に、これらのカテゴリをまと めて説明しています。以下の注記はその表に適用されます。 General 安全関連制御システムの構造に関する注意事項 EN 954-1の使用とステータスの最新の情報については、以下 のWebサイトをご覧ください:http://discover. rockwellautomation.com/EN_Safety_Solutions.aspx Logic Operator Interface その間、移行期間の延長は最新規格(EN ISO 13849-1または IEC/EN 62061)の使用へ移行するのに適時使用されます。 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-67 原理、規格&実装 安全関連制御システムの構造に関する注意事項 要件のまとめ システムの動作 General カテゴリB (注1を参照) そのコンポーネントと同様にマシン制御システムまたはそれらの保護装置 の予想される影響に抵抗できるように、安全関連部分を、関連する規格に フォルトが発生したときに、安全機能の損失につながることがあ る。 従って設計、建造、選択、組立て、および組み合わせる必要がある。 基本的な安全原理を適用する必要がある。 カテゴリ1 カテゴリBの要件を、実績のある安全コンポーネントと安全原理の使用と 共に適用する。 カテゴリBについて説明する通りですが、安全関連機能の安全関 連の信頼性がより高くなる(信頼性を高めると、フォルトの可能性 が小さくなる)。 カテゴリ2 カテゴリBの要件と実績のある安全原理の使用を適用する。 安全機能は、マシン制御システムによってマシンの始動時と周期的にチェ チェックによって安全機能の損失が検出される。フォルトの発生 ックされる。フォルトが検出されると安全状態が起動されるか、またはこ は、チェック期間の安全機能の損失につながることがある。 れが使用できないときは警告が行なわれる必要がある。 1-制御システム カテゴリ3 (注2 & 3を参照) カテゴリBの要件と実績のある安全原理の使用を適用する。 その部分のいずれか1つのフォルトが安全機能の損失につながらないよう に、システムを設計する必要がある。 実施可能であれば、1つのフォルトが検出される。 1つのフォルトが発生したときに、安全機能が必ず実行される。 一部のフォルト(すべてではない)が検出される。 検出されないフォルトの蓄積によって、安全機能の損失につなが ることがある。 カテゴリ4 (注2 & 3を参照) カテゴリBの要件と実績のある安全原理の使用を適用する。 その部分のいずれか1つのフォルトが安全機能の損失につながらないよう フォルトが発生したときに、安全機能は必ず実行される。 に、システムを設計する必要がある。 安全機能の次の要求時またはその前に、1つのフォルトが検出される。こ 将来的な安全機能の損失を防ぐためにフォルトが検出される。 の検出を使用できないときは、フォルトの蓄積は安全機能の損失につなが らない。 2-Opto-electronics 表19: 安全性能のカテゴリ Safety Switches カテゴリB カテゴリ1 カテゴリBは、安全関連制御システムも、安全関連ではない 制御システムも含め、あらゆる制御システムの基本要件を示 します。制御システムは予定された環境で機能する必要あり ます。信頼性は、装置が予定された状況下で指定された間隔 で意図した機能を実行できる可能性として定義されているの で、信頼性の概念は制御システムの基盤になります。 カテゴリ1は、カテゴリBの条件を満たし、実績のある安全構 成部品を使用するように求めています。具体的にどれが安全 構成部品で、実績があるかどうかはどのように判断するので しょう。ISO13849-2では、機械、空圧、油圧、および電気シ ステムに関してこれらの疑問に答えています。付録Dは電気 構成部品について取り上げています。 カテゴリBでは、基本的な安全原則の適用を求めています。 ISO 13849-2は、電気、空気圧、水圧、および機械システム の基本的な安全原理を明記しています。電気原理の概要は以 下の通りです。 多数の類似したアプリケーションで問題なく使用されていれ ば、そのコンポーネントは実績があると見なされます。新た に設計された安全コンポーネントは、適切な規格に準拠して 設計され、検証されていれば、実績があると考えられます。 表20に、いくつかの電気部品とそれに関連する規格を示しま す。 Ÿ 適切な選択、組合せ、配置、組立て、および設置 (製造メーカの取付け手順書に従う。) Ÿ 構成部品の電圧および電流の整合性 Ÿ 環境条件に対する耐性 Operator Interface Ÿ 電源遮断の原則の使用 Ÿ 過渡抑制 Ÿ 応答時間の短縮 Ÿ 予期しない始動に対する保護 Ÿ 入力装置の確実な取付け(例:インターロックの取付け) Ÿ 制御回路の保護(NFPA79 & IEC60204-1に従う) Ÿ 適切な保護用のボンディング Logic 設計者は製造メーカから提供される指示に従ってデバイスの 選択、設置、組立てを行なわなければなりません。これらの デバイスは、指定された電圧および電流定格内で動作する必 要があります。電磁適合性、振動、衝撃、汚染、洗浄などの 環境条件に対する指定も考慮する必要があります。電源遮断 の原則が使用されます。コンタクタコイル間に過渡保護が取 付けられます。モータは過負荷から保護されます。配線およ び接地はすべて適切な電気規格に適合しています。 実績のあるコンポーネント 規格 ポジティブモード作動(直接開動作) のスイッチ IEC 60947-5-1 非常停止装置 ISO 13850, IEC60947-5-5 ヒューズ IEC 60269-1 サーキットブレーカ IEC 60947-2 コンタクタ IEC 60947-4-1, IEC 60947-5-1 機械的にリンクされた接点 IEC 60947-5-1 EN 50205 補助コンタクタ(例:コンタクタ、制 IEC 60204–1, IEC 60947–5–1 御リレー、強制開離リレー) トランス IEC 60742 ケーブル IEC 60204-1 インターロック ISO 14119 温度スイッチ IEC 60947-5-1 圧力スイッチ IEC 60947-5-1 + 空圧または 油圧の要件 制御および保護用の切換えデバイス または装置(CPS) IEC 60947-6-2 プログラマブル・ロジック・コント ローラ IEC 61508 表20: 標準的な実績のあるコンポーネント 1-68 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 安全関連制御システムの構造に関する注意事項 K1 ഥ ᆎേ SCP K1 ᱛ OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ ࠟ࠼߇ 㐽ߓࠆ +V SCP TS K1 K1 ഥ ᆎേ ࡕ࠲ (ෂ㒾) ࠦࡦ࠲ࠢ࠲ L1 L2 L3 SCP ᱛ ࠣ࠙ࡦ࠼ ࡕ࠾࠲ࡈ ࠹ࠖ 図140: シンプルな安全システムのカテゴリ1 カテゴリBとカテゴリ1の基本は防止です。設計では危険な状 況を防ぐことを目的とします。防止策だけではリスクを十分 に軽減できない場合は、フォルト検出を使用する必要があり ます。カテゴリ2, 3, および4は、フォルト検出が基本で、よ り高レベルのリスク削減を実現するために要件はしだいに厳 しくなります。 ࠟ࠼߇ 㐽ߓࠆ ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ TS K1 ࠦࡦ࠲ࠢ࠲ ࠣ࠙ࡦ࠼ ࡕ࠲ (ෂ㒾) 図141に、カテゴリ2システムのブロックダイアグラムを示し ます。テストでは、十分に現実的なフォルト検出を行なわな ければなりません。テストを行なう装置は、安全システムと 一体化している場合も、独立した装置の場合もあります。 ㈩✢ ࡠࠫ࠶ࠢ ㈩✢ ガードが開くとMSRの出力がオフします。ガードが再度閉じ ると、MSRは安全システムのチェックを繰返します。フォル トが何も検出されないときは、MSRはその内部出力をオンし ます。MSRは、入力デバイス、ロジックデバイス(自身)、お よび出力デバイスでテストを実行することによって、この回 路がカテゴリ2に適合するようにできます。テストは、最初 の電源投入時と危険の起動前に実行できます。 本来の論理機能を使用することにより、セーフティPLC (IEC 61508に対するPLC安全定格)ベースの安全システムは、カテ ゴリ2を満たすように設計することができます。 +V SCP SCP TS ᆎേ ജ ᱛ SW1 චಽߦታ⊛ߥ ࡈࠜ࡞࠻ᬌ ࠹ࠬ࠻ SW2 ࠹ࠬ࠻ജ ജ ࡠࠫ࠶ࠢ ജ K1 K2 K3 TS K1 K2 テストは、以下のとき行なう必要があります。 Ÿ マシンに最初に電源を投入したとき Ÿ 危険な作業を開始する前 Ÿ リスクアセスメントで必要と見なされた場合は、定期的に TS SW3 図141:カテゴリ2のブロックダイアグラム R ోቯᩰ Logic カテゴリBの要件を満たすだけではなく、実績のある安全原 理を使用して、安全システムはカテゴリ2を満たすための適 合テストを受けている必要があります。このテストは、制御 システムの安全関連部品内のフォルトを検出できるように構 成されています。フォルトが検出されなければ、マシンは動 作できるようになります。フォルトが検出された場合は、テ ストでコマンドを起動する必要があります。可能な場合は、 そのコマンドでマシンを安全状態にする必要があります。 General OP 図142:カテゴリ2の安全システム カテゴリ2 ജ K1 1-制御システム L1 L2 L3 SCP 図140では、シンプルなカテゴリ1システムをカテゴリ2に適 合するように拡張しています。モニタ・セーフティ・リレー (MSR)には、テストを実行する機能があります。電源投入時 に、MSRは内部コンポーネントをチェックします。フォルト が何も検出されないときは、MSRはその接点のサイクルをモ ニタすることでタング式スイッチをチェックします。フォル トが何も検出されず、ガードが閉じたときは、MSRは、コン タクタの機械的にリンクされた接点について出力デバイスを チェックします。フォルトが何も検出されずコンタクタがオ フしたときは、MSRは内部出力をオンして、K1のコイルを 停止ボタンに接続します。この次点で、マシン制御システム の安全定格では内部分である始動/停止/インターロック回路 は、マシンのオンとオフを切換えられるようになります。 2-Opto-electronics +V 「可能な限り」および「十分に現実的」という言葉は、すべ てのフォルトを検出できるとは限らないことを意味していま す。これはシングル・チャネル・システム(入力、ロジック、 出力の各装置を1本のワイヤで接続)であるため、1つのフォ ルトでも安全機能の損失につながることがあります。場合に よっては、すべてのコンポーネントをチェックできないため に、カテゴリ2を安全システムに完全に適用できないことも あります。 K3 ࠣ࠙ࡦ࠼ 図143: 複雑なカテゴリ2の安全システム Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P Safety Switches 図140では、単純なカテゴリBのシステムをカテゴリ1に適合 するために変更しています。インターロックとコンタクタ は、危険箇所にアクセスする必要がある場合、アクチュエー タからエネルギーを除去すために重要な役割を果たします。 タング式インターロックは、直接開動作接点に関する IEC60947-5-1の要件を満たしています。適合していること は、円の中に矢印が描かれたマークで示されます。実績のあ るコンポーネントを使用すると、カテゴリBの場合よりカテ ゴリ1の方がエネルギーが除去される可能性が高くなりま す。実績のあるコンポーネントを使用する目的は、安全機能 が失われないようにすることです。これらの改善を行なって も、1つのフォルトで安全機能の損失につながることがあり ます。 注:EN ISO 138491-1は、100:1の安全機能の需要割当に対 するテストを想定しています。ここに示す例はそのような機 器には適合しません。 Operator Interface 実績のあるコンポーネントをカテゴリBシステムに適用する と、リミットスイッチは直接開動作のタング式スイッチと交 換され、コンタクタは溶着接点に対する保護を強化するため に大きくなりすぎます。 1-69 原理、規格&実装 安全関連制御システムの構造に関する注意事項 General 図143に、安全定格PLCを使用する複雑なシステムの例を示 します。安全定格PLCは、適切な規格に合わせて設計されて いるので、実績に関する要件を満たしています。コンタクタ の機械的に接続された接点は、テストのためにPLCの入力に 接続されます。これらの接点は、プログラムロジックによっ て、1つの入力端子に直列に接続されるか、個々の入力端子 に接続されます。 実績のある安全コンポーネントを使用していても、チェック 間で1つのフォルトが起こると安全機能の損失につながる恐 れがあります。そのため、カテゴリ2システムは、リスクの 低いアプリケーションで使用されます。より高レベルのフォ ルトトレランスが要求される場合、安全システムはカテゴリ 3または4を満たす必要があります。 1-制御システム カテゴリBの要件を満たして、実績のある安全原理を使用し ているだけではなく、カテゴリ3では、1つのフォルトが存在 しても安全機能を正常に実行できることが要求されます。安 全機能に次の要求が出されたとき、または要求か出される前 に可能な限りフォルトの検出を行なう必要があります。 2-Opto-electronics ここでも「可能な限り」という表現が使われます。これは、 検出されない可能性のあるフォルトを対象としています。検 出されなかったフォルトが安全機能の損失に繋がらない限 り、安全機能はカテゴリ3に適合できます。その結果、未検 出フォルトの蓄積が安全機能の損失に繋がる可能性がありま す。 ㈩✢ ࡠࠫ࠶ࠢ ㈩✢ ജ චಽߦታ⊛ߥ ࡈࠜ࡞࠻ᬌ ജ ㈩✢ ࡠࠫ࠶ࠢ ജ Safety Switches ㈩✢ 図144:カテゴリ3のブロックダイアグラム 図144に、カテゴリ3のシステムの原理を説明するブロックダ イアグラムを示します。実行可能なクロスモニタ機能および 出力モニタ機能と冗長を組み合わせて使用すると、安全機能 を確実に実行できるようになります。 Operator Interface 図145に、カテゴリ3のシステムの例を示します。冗長接点セ ットがタング式インターロックに追加されています。内部に は、相互にクロスモニタする冗長回路がMSRに組み込まれて います。冗長コンダクタセットはモータから電力を除去しま す。コンタクタは、実行可能な機械的にリンクされた接点を 介してMSRによってモニタされます。 フォルト検出、安全システムの各部分だけでなく、接続(つま りシステム)についても考慮する必要があります。デュアル・ チャネル・タング式スイッチの故障モードとはどのようなも のか、MSRの故障モードとはどのようなものか、コンタクタ K1およびK2の故障モードとはどのようなものか、配線の故 障モードとはどのようなものか。 Logic タング式インターロックスイッチは、直接開接点を使用して 設計されています。したがって、ガードを開くと、溶着した 接点が開くように設計されているのがわかります。これによ って、1つの故障モードが解決されます。他の障害モードは 存在するのでしょうか? 1-70 K1 ഥ SCP L1 L2 L3 SCP K2 ഥ ᆎേ ᱛ Ch2 K1 Ch1 ࠟ࠼߇ 㐽ߓࠆ ࡕ࠾࠲ࡈCh1 ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ TS K1 K2 ࠣ࠙ࡦ࠼ TS ࡕ࠲ (ෂ㒾) ࠦࡦ࠲ࠢ࠲ カテゴリ3 ജ +V 図145:カテゴリ3のシステム 直接開動作スイッチは、通常、スプリングの力で戻るように 設計されています。ヘッドが取り外されたり、壊れたりした 場合は、安全接点がスプリングの力で閉じた(安全な)状態に 戻されます。ほとんどのインターロックスイッチは、取り外 し可能なヘッドを使用して、さまざまなアプリケーションの 設置要件に対応できるように設計されています。ヘッドは取 り外したり、2~4つの位置で回転させることができます。 ヘッド取付けねじが正しく締め付けられていないと、障害が 発生する可能性があります。この状況では、予想されるマシ ンの振動により、ヘッド取付けねじが抜ける可能性がありま す。スプリング圧が掛かっている操作ヘッドは安全接点から 圧力を取り除くので、安全接点が閉じます。その後、ガード を開いても安全接点は開かず、危険につながる障害が発生し ます。 同様に、スイッチ内の動作メカニズムを確認する必要があり ます。1つのコンポーネントの故障が安全機能の損失につな がる確率はどの程度でしょう。一般的な方法は、カテゴリ3 の回路でデュアル接点のタング式インターロックを使用する 方法です。この方法は、スイッチの単一の故障を排除して安 全接点を開く方法をベースにします。これは、「フォルトの 排除」と考えられ、これについてはこの後説明します。 モニタ・セーフティ・リレー(MSR)は、サードパーティによ って評価され、カテゴリレベル(またはPLおよびSIL CL)を割 当てられることの多い、複雑さを抑えた装置です。通常、 MSRにはデュアルチャネル機能、クロス・チャネル・モニタ 機能、外部装置モニタ機能、短絡保護が組み込まれます。 MSRの設計や使用方法に関する指示が書かれた特別な規格は ありません。MSRは安全機能の実行能力をISO13849-1また はその前のEN 954-1によって評価されます。システムの安全 カテゴリ定格を満たすために、MSRは同じか、またはより上 の定格を持っている必要があります。 2つのコンタクタが出力装置による安全機能の実現を確実な ものにします。過負荷保護と短絡保護により、溶着接点によ ってコンタクタが故障する可能性は小さくなりますが、可能 性がないわけではありません。コンタクタは、スタックアマ チャが原因で電源切換え接点が閉じた場合も故障することが あります。1つのコンタクタが故障して危険な状態になる と、もう1つのコンタクタが危険箇所から電力を排除しま す。MSRは、次のマシンサイクルでフォルトが発生したコン タクタを検出します。ゲートが閉じているときに始動ボタン が押されると、故障したコンタクタの機械的に接続された接 点は開いたままになり、MSRは安全接点を閉じることができ ないため、フォルトが明らかになります。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 フォルトを検出できる場合に、特定の状況で、システム構造 内の他のデバイスの動作によってマスクされているか、また は意図せずにクリアされることがあるかを知っておく必要が あります。 図146に、複数の装置をモニタ・セーフティ・リレー(MSR) に接続するために広く使用されている方法を示します。各装 置には、通常閉直接開動作接点が2つ組み込まれています。 これらの装置には、インターロックまたはE-Stopボタンを組 み合わせて使用できます。この方法では、入力装置はデイジ ーチェーン接続されるので、配線コストを節約できます。接 点の1つでフォルトが発生すると仮定します。このフォルト は検出できますか? +V K1 ഥ SCP ࠪࠬ࠹ࡓౝߩ ㈩✢ࡈࠜ࡞࠻ Sw1 Sw2 Sw3 SCP K2 ഥ ᆎേ Ch2 L1 L2 L3 ᱛ K1 興味深いのは、カテゴリ3構造のこれらの特性を常に考慮す る必要があるが、新しい機能安全規格ではかなり絞られてい ることです。 図147に、安全定格の可変周波数ドライブを使用するカテゴ リ3の回路を示します。ドライブ技術の最近の成果にEN/IEC 60204-1とNFPA79規格の更新が加わって、アクチュエータ (モータなど)に電気機械式のディスコネクトがなくても、安 全定格のドライブをE-Stop回路で使用できるようになりまし た。 E-Stopを押すと、MSRの出力が開きます。ここれで停止信号 がドライブに送られ、イネーブル信号が排除されてゲート制 御電力が開きます。ドライブはカテゴリ0の停止を実行し、 モータへの電力を直ちに遮断します。この機能を「安全トル クオフ」といいます。このドライブは、モータへの電力を除 去するために、イネーブル信号と強制開離リレー信号という 冗長信号を使用するので、カテゴリ3を実現できます。ドラ イブ自体は、1つのフォルトが安全機能の損失につながらな いと判断するために分析されます。 Ch1 L1 L2 L3 ࡕ࠾࠲ Ch1 ࡈ࠹ࠖ Ch2 K2 +V OP TS SCP DC24V E-Stop K1 K2 ࠣ࠙ࡦ࠼ TS ࡕ࠲ (ෂ㒾) ᆎേ ࠥ࠻ ᓮ㔚Ḯ ᱛ ࠦࡦ࠲ࠢ࠲ 1-制御システム カテゴリ3のシステム構造では、フォルトの中には検出でき ないものもあります。これらのフォルトだけでは、安全機能 の損失には繋がりません。 機械的な接点の直列の接続は、フォルトの蓄積が原因で安全 機能の損失につながる可能性があるので、カテゴリ3に制限 されます。実際には、DC (および、そのためにSFF)を低減す ると、達成可能な最大のPLとSILがPLdとSIL2に制限されま す。 2-Opto-electronics 検出されないフォルト General 安全関連制御システムの構造に関する注意事項 図146: 入力デバイスの直列接続 Sw2だけが開いてから閉じて、他のスイッチが動作しない場 合に、Ch1は開いてCh2は閉じたままになります。MSRは、 Ch1が開いたため危険箇所の電力を除去します。Sw2が閉じ ているときは、Ch2が開いていないため始動ボタンを押して もモータは始動できません。フォルトが検出されます。ただ し、何らかの理由で、Sw1 (またはSw3)が開いてから閉じる と、Ch1とCh2の両方が開いてから回路を閉じます。このシ ーケンスは、フォルトのクリアに似ていて、MSRで意図しな いリセットが起こることがあります。 Safety Switches Ch1 ࠦࡕࡦ Ch2 ࠗࡀࡉ࡞ ࠥ࠻ ᓮ࿁〝 ࠣ࠙ࡦ࠼ ోቯᩰ นᄌᵄᢙ࠼ࠗࡉ ࡕ࠲ (ෂ㒾) 図147: カテゴリ3に定格された E-stopのある安全定格ドライブ 図148に、MSRのチャネル2の安全出力からコンタクタK1の コイルへの配線フォルト、短絡の例を示します。すべてのコ ンポーネントは適切に動作しています。この配線フォルトは 機械の稼働前またはその後の拡張またはメンテナンス中に発 生する可能性があります。このフォルトは検出可能ですか? R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P Logic EN ISO 13849-1またはIEC 62061を使用しているときに、 DCがこの構造内の個々のスイッチに何を求めるかという質 問があがります。このカタログの発行時点では、これには特 に決定的なガイダンスはありませんが、スイッチが適合する 期間フォルトを公開することが個別にテストされている状態 では、DCを60%であると想定することは普通で妥当性があ ります。スイッチの1つ(または複数)は個別にテストされてい ないことが予測できるときは、そのDCが0であるべきかを検 討できます。このカタログの発行時点では、EN ISO 13849-2 は改定されています。発行時には、この問題についてもっと 多くのガイダンスを記載しているかもしれません。 Operator Interface スイッチSw1 (またはSw3)が開くと、Ch1とCh2の両方が回 路を開き、MSRは危険箇所から正常に電力を除去します。そ れから、Sw3が開いてから再度閉じたときには、MSRのステ ータスが変らないためにその接点間のフォルトは検出されま せん(Ch1とCh2の両方は開いたままになる)。Sw1 (または Sw3)が閉じると、始動ボタンを押して危険箇所を再起動でき ます。これらの状況では、フォルトによって安全機能が失わ れることはありませんが、検出されずシステム内に存在する ままになり、その後のフォルト(Sw2の2番目の接点での短絡) によって安全機能が失われることになります。 ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 1-71 原理、規格&実装 安全関連制御システムの構造に関する注意事項 +V K1 ഥ SCP L2 L3 SCP K2 ഥ ᆎേ General Ch2 L1 ᱛ K1 Ch1 ࠟ࠼߇ 㐽ߓࠆ Ch1 ࡕ࠾࠲ࡈ ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ TS K1 K2 TS 図150に、図149と同じ状況を示しますが、MSRのモニタ回 路の機能が自動からモニタ付き手動に変更されています。こ のためには、MSRで配線の変更またはモデル変更を行ないま す。モニタ回路はガードが閉じられた時点で開かなければな らないので、モニタ付き手動リセット機能でこのタイプのフ ォルトを検出できます。ガードが閉じた後で、リセットボタ ンを押す必要があります。すべてではありませんが、ほとん どのリレーでは、リセットボタンが解除されると、MSR出力 が開始されます。状態変更に関するこの要件は、リレーが、 リセットボタンを永久的にブロックすることでリセットする か、または短絡フォルトによって意図せずにリセットされる ことに「だまされ」ないことを意味します。 ࡕ࠲ (ෂ㒾) ࠣ࠙ࡦ࠼ 1-制御システム ࡕ࠾࠲ઃ߈ᚻേ ࠶࠻ࡏ࠲ࡦ +V ࠦࡦ࠲ࠢ࠲ K1 ഥ SCP ࠪࠬ࠹ࡓౝߩ ㈩✢ࡈࠜ࡞࠻ 2-Opto-electronics このフォルトは、図に示すように安全システムによって検出 されません。幸い、これは安全機能の損失にはつながりませ ん。このフォルトだけでなく、Ch1とK2間のフォルトは、立 上げ中または次の保守作業中に検出する必要があります。EN ISO 13849-2の付録Dの表D4に記載されたフォルト排除の可 能性があるリストには、機器が電気的なエンクロージャ内に あり、エンクロージャと配線の両方IEC/EN 60204-1の要件を 満たしているときに、これらのタイプのフォルトを排除でき るかを明確にします。EN ISO 13849-1およびIEC 62061の合 同技術報告書にも、PLeとSIL3までであるとみなされるこの フォルト排除を明確にしています。これは、カテゴリ4でも 使用できます。 図149に、別の配線フォルト例を示します。このフォルト は、K2の機械的にリンクされた接点からMSRのモニタ入力 で発生しています。このフォルトは検出できますか? +V MSRࡕ࠾࠲࿁〝 K1 ഥ SCP L1 L2 L3 Safety Switches ᱛ Ch2 K1 Ch1 ࠟ࠼߇ 㐽ߓࠆ SCP ᱛ Ch2 K1 Ch1 ࠟ࠼߇ 㐽ߓࠆ ࡕ࠾࠲ Ch1 ࡈ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ TS K1 K2 TS ࡕ࠲ (ෂ㒾) ࠣ࠙ࡦ࠼ ࠦࡦ࠲ࠢ࠲ ࠪࠬ࠹ࡓౝߩ 1ߟߩ㈩✢ࡈࠜ࡞࠻ 図150: フォルトを検出するためのモニタ付き手動リセット 図151に、クロスチャネル入力フォルトを表しています。フ ォルトは、MSR入力のチャネルCh1からCh2の間で発生しま す。2つのチャネルに対して8つの接続があるため、クロス・ チャネル・フォルトが起きる組み合わせには多数の可能性が あります。このフォルトは検出可能ですか? SCP K2 ഥ ᆎേ L2 L3 K2 ഥ ᆎേ 図148: 配線フォルトの例1 L1 ࡕ࠾࠲ Ch1 ࡈ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ このフォルトの検出は、MSRのタイプによって異なります。 マイクロプロセッサベースのMSRは、パルス・テスト・フォ ルト検出技術(後の説明を参照)を使用して、一部のMSRは多 種多様な入力を利用します。1つの入力は+Vにプルアップさ れ、2番目の入力はグラウンドにプルダウンされます。配線 短絡はすぐに検出され、MSRの安全入力がオフになり、危険 箇所からエネルギーが除去されます。 +V TS K1 K2 Operator Interface ࠣ࠙ࡦ࠼ TS K1 ഥ SCP ࡕ࠲ (ෂ㒾) ࠦࡦ࠲ࠢ࠲ L1 L2 L3 SCP K2 ഥ ᆎേ ࠪࠬ࠹ࡓౝߩ 1ߟߩ㈩✢ࡈࠜ࡞࠻ ᱛ Ch2 図149: フォルトを検出するためのモニタ付き手動リセット Logic このフォルトは、図に示すように安全システムでは検出でき ません。MSRモニタ回路は、始動前に閉じなければならない 直列回路です。回路が閉じている限り、MSRはすべてのモニ タ対象装置がオフの状態で、実行準備ができていると判断し ます。この例では、溶着またはスタックしたK1接点は検出さ れません。つまり、短絡フォルトでマスクされてしまいま す。2つのコンタクタを使用すると、K1が実際に故障した場 合は、K2によって安全機能が実行されます。このタイプのフ ォルトを検出するには、自動リセット機能付きMSRのかわり に、モニタ付き手動リセット機能を持つMSRを使用すること もできます。このタイプのMSRには状態の変化が必要で、こ のことは、次の例と「保護手段および補助的な装置」セクシ ョンでは信号の立上がり時や立下り時といわれています。 1-72 K1 Ch1 ࠟ࠼߇ 㐽ߓࠆ ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ TS K1 K2 ࠣ࠙ࡦ࠼ TS ࡕ࠲ (ෂ㒾) ࠦࡦ࠲ࠢ࠲ ࠪࠬ࠹ࡓౝߩ1ߟߩࠢࡠࠬ ࠴ࡖࡀ࡞㈩✢ࡈࠜ࡞࠻ 図151: クロスチャネル入力フォルト Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 さらに、セーフティPLCモジュールに関して考慮しなければ ならないのは、入力の数です。時には、1つまたは2つの追加 入力が必要になっても、パネルスペースにブロックを追加す る余裕がない場合もあります。その場合、入力デバイスは直 列(例えば、SW1とSW2)に接続され、この時点でもカテゴリ 3の要件に適合しています。その反面、追加の接点が使用さ れ、マシン制御システムに接続されない限り、作動されるス イッチに関する情報が失われます。 +V SCP SCP ᆎേ 図152に、この原理を支示します。この技術は+V電源への短 絡も検出します。マイクロプロセッサベースのモニタ・セー フティ・リレーとセーフティPLCベースシステムはパルステ スト技術を使用します。 ᱛ TS ోቯᩰ K1 K2 ജ ࡠࠫ࠶ࠢ ജ TS K1 1-制御システム パルステストによるフォルト検出 安全回路は、安全システムがアクティブで危険箇所が保護さ れているときに電流を流すように設計されています。パルス テストは、極めて短期間、回路電流を0に降下する手法で す。この間隔は、安全回路が応答して危険箇所をオフにする には短すぎ、マイクロプロセッサベースのシステムが検出す るために十分な長さです。チャネル上のパルスは、相互にオ フセットされています。クロスフォルト短絡が発生した場合 に、マイクロプロセッサは両方のチャネルでパルスを検出し て、危険箇所をオフにするコマンドを開始します。 K2 㕖ోቯᩰ ࠴ࡖࡀ࡞1 SW1 SW2 General 安全関連制御システムの構造に関する注意事項 ࡄ࡞ࠬ ࠹ࠬ࠻ജ ࠴ࡖࡀ࡞2 ࠣ࠙ࡦ࠼ ࠪࠬ࠹ࡓౝߩ1ߟߩࠢࡠࠬ ࠴ࡖࡀ࡞㈩✢ࡈࠜ࡞࠻ +V K1 ഥ SCP 図153に、PLCの2つの出力がパルステスト用に構成されてい る配置を示します。機械的スイッチによって操作される各チ ャネルに交流パルスが接続されています。この方法では、ク ロス・チャネル・フォルトだけでなく、電源や接地のフォル トも検出します。このパルステストは、この方法でクロス・ チャネル・フォルトを検出するために十分実用的なので、カ テゴリ3の要件になっています2つの出力がパルステストに構 成された場合の配置を示します。 +V SCP SCP Start Stop K1 K2 SW1 TS ోቯᩰ ജ ࡠࠫ࠶ࠢ ജ ᱛ K1 ࡦ࠳ ࠪࡃ ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 K2 OP TS K1 K2 TS ࠣ࠙ࡦ࠼ ࡕ࠲ (ෂ㒾) ࠦࡦ࠲ࠢ࠲ 図155: ライトカーテン付きのクロスチャネル配線フォルト K1 K2 ࠣ࠙ࡦ࠼ 図153: フォルト検出のためにパルステストを使用するセーフティPLC 図154に、セーフティPLCの別の配置を示します。場合によ っては、非安全定格装置を安全システムに接続することが必 要であり、有益なこともあります。出力がソーシングタイプ の場合、セーフティPLCの入力に直接接続することができま す。それらがデュアルチャネルの場合、カテゴリ3の適切な 要件を満たしていると考えられます。 R SCP TS ࡄ࡞ࠬ ࠹ࠬ࠻ജ SW2 ᆎേ OSSD2 L2 L3 図155に、ライトカーテンを使用する安全システムの例を示 します(ソリッドステートOSSD出力)。 この例では、ライトカーテンでのパルステストによって配線 フォルトが検出されます。フォルトの検出は即時で、ライト カーテンがその出力をオフにします。 カテゴリ4 カテゴリ3と同様に、カテゴリ4では安全システムがカテゴリ Bの安全原則に適合し、単一フォルトが存在するときに安全 機能を実行できることが要求されます。フォルトの蓄積が安 全機能の損失につながる可能性のあるカテゴリ3と異なり、 カテゴリ4ではフォルトが蓄積された状態でも、安全機能を 実行できることが要求されます。フォルトの蓄積について考 慮する場合、2つのフォルトでも十分ですが、設計によって は3つのフォルトが必要な場合もあります。 図156に、カテゴリ4のブロックダイアグラムを示します。両 方の出力デバイスのモニタとクロスモニタは、十分に実用的 な場合だけでなく、基本的に必須です。これによってカテゴ リ4とカテゴリ3が区別されます。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-73 Safety Switches 前述のフォルトは、考慮すべき全フォルトの一部にすぎませ ん。+V, 接地への短絡、その他の回路への短絡、開回路状態 を評価する必要があります。さらに、コンポーネントの定格 と性能も考慮しなければなりません。 OSSD1 L1 K2 ഥ Operator Interface 図152: パルステスト付きのクロス・チャネル・フォルト Logic ࠢࡠࠬ ࠴ࡖࡀ࡞ ࡈࠜ࡞࠻ 2-Opto-electronics 図154: セーフティPLC付きのカテゴリ3を満たす複雑な入力 原理、規格&実装 安全関連制御システムの構造に関する注意事項 ജ ㈩✢ ㈩✢ ࡠࠫ࠶ࠢ モニタ・セーフティ・リレー自体がカテゴリ4を満たすよう に定格され、機械的にリンクされた接点を使用する両方の出 力コンタクタをモニタする必要があります。 ജ General ࡈࠜ࡞࠻ᬌߩ ߚߦᔅ㗇ߩࡕ࠾࠲ ജ ㈩✢ 図159に、各入力モジュールに1つの非接触型のスイッチ装置 が接続されたモジュール式のモニタ・セーフティ・リレーを 示します。セーフティリレーがカテゴリ4に定格されている ときは、この入力デバイスの配置はカテゴリ4をに適合しま す。モジュール式の方法では、セーフティリレーはマイクロ プロセッサベースで、クロスフォルト検出するためのパルス チェックを利用することに注意してください。 ജ ࡠࠫ࠶ࠢ ㈩✢ 図156:カテゴリ4のブロックダイアグラム 図157に、2チャネル非接触型インターロックスイッチを使用 するカテゴリ4回路の例を示します。 ࡀࠟ࠹ࠖࡉࡕ࠼ +V 1-制御システム K1 ഥ SCP +V K1 ഥ SCP L2 L3 L1 L2 L3 SCP K2 ഥ ᆎേ SCP K2 ഥ ᆎേ 㕖ធ⸅ဳ ࠗࡦ࠲ࡠ࠶ࠢ L1 Ch1 ᱛ K1 ᱛ Ch2 K1 ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 Ch1 ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 K2 ࠟ࠼߇ 㐽ߓࠆ OP 2-Opto-electronics ࠟ࠼߇ 㐽ߓࠆ OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ Ch2 K1 K2 TS K2 図157: 非接触型インターロックカテゴリ4のシステム Safety Switches 安全システムの設計者がタング式インターロックを使用した いときは、カテゴリ4に適合するために2つのスイッチを使用 できます。図158に、直接開作動接点付きの2つのタング式イ ンターロックスイッチのある例を示します。 +V Operator Interface K1 ഥ Ch1 L1 L2 L3 K1 ࡕ࠾࠲ࡈ Ch1 ࠹ࠖ Ch2 K2 OP ࠲ࡦࠣᑼ ࠬࠗ࠶࠴ K2 モニタ・セーフティ・リレーおよびプログラマブル・セーフ ティ・コントローラなどの一部のコンポーネントには独自の 内部診断があり、適切な性能を保証するためにチェックでき ます。そのため、追加手段なしでカテゴリ2, 3 または4に適 合するように安全コンポーネントとして定格できます。 フォルトに関する注意事項 ᱛ K1 カテゴリは、システム定格と同様に安全コンポーネント(デバ イス)定格の一部として使用できます。これによって生じる多 少の混乱は、コンポーネントとその機能を理解することで解 明できます。前述の例を学習することによって、カテゴリ1 に定格されたインターロックスイッチなどのコンポーネント をカテゴリ1システム内に使用でき、追加のモニタ機能を提 供するときにカテゴリ2システムに使用できることがわかり ます。2つのコンポーネントがモニタ・セーフティ・リレー で提供される診断機能と互いに使用されているときは、カテ ゴリ3または4システムの一部を形成することもできます。 SCP K2 ഥ ᆎേ ࡕ࠲ (ෂ㒾) コンポーネントおよび安全定格s 比較的最近まで、タング作動式インターロックスイッチはカ テゴリ4回路に使用されることがありました。デュアルチャ ネル回路でタング式インターロッを使用するためには、機械 作動式のタング式およびスイッチのリンクに単一フォルト故 障ポイントの可能性を排除する必要があります。ただし、EN ISO 13849-1とIEC 62061の合同技術報告書に、このタイプ のフォルト排除をPLeまたはSIL 3システムに使用すべきでは ないことが明記されています。 SCP TS 図159: モジュール式セーフティリレーのカテゴリ4のシステム ࠦࡦ࠲ࠢ࠲ TS K1 ࠦࡦ࠲ࠢ࠲ ࡕ࠲ (ෂ㒾) ࠣ࠙ࡦ࠼ Ch2 TS ࠣ࠙ࡦ࠼ TS ࠟ࠼߇ 㐽ߓࠆ K2 TS ࠣ࠙ࡦ࠼ ࠦࡦ࠲ࠢ࠲ Logic 図158: 冗長タング式インターロックのあるカテゴリ4 ࡕ࠲ (ෂ㒾) 安全分析には、詳しいフォルトの分析と、フォルトが存在す るときの安全システムの動作について完全に理解しているこ とが必要です。ISO 13849-1とISO 13849-2では、フォルトの 検討とフォルトの排除について詳細に説明しています。 フォルトがその後のコンポーネントの障害を招く場合、最初 のフォルトとそれに続くすべてのフォルトは単一のフォルト と考えられます。 1つの原因の結果として複数のフォルトが発生する場合、そ のフォルトは単一のフォルトと考えられます。これは、共通 原因故障と呼ばれます。 2つ以上のフォルトが同時に発生することは、ほとんどあり 得ないので、この分析では考慮されません。機能を使用する 期間が過度に長くない場合に、安全機能に出される要求の間 では、1つのフォルトだけが発生するということが基本的な 条件です。 1-74 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 1. 時間遅延オーバライドコマンド付きのセーフティ リレー 図160に、マシンおよびプログラムを保護するために正しい シーケンスでシャットダウンを行なうハード配線されたシス テムを示します。 即時作動式と遅延作動式の両方の出力付きのセーフティリレ ーが使用されます(例えば、MSR138DP)。即時作動式の出力 はプログラマブル装置(例:PLC)の入力に接続され、遅延作 動式の出力はコンタクタに接続されます。ガード・インター ロック・スイッチが作動すると、セーフティ・リレー・スイ ッチの即時出力がオンになります。これで、プログラマブル システムは正しいシーケンスで停止を行なうために信号を送 ります。このプロセスを行なうために十分な時間が経過して から、セーフティリレーの遅延出力がオンになり、メインコ ンタクタを遮断します。 注:全体的な停止時間を判断するための計算では、セーフテ ィリレー出力遅延期間も考慮する必要があります。このこと は、安全距離の計算に従って装置の位置を決定するためにこ の要素を使用する場合は、特に重要になります。 フォルト排除の使用については、EN ISO 13849-2の改訂版に 記載予定です。 ࡔࠗࡦ ࠦࡦ࠲ࠢ࠲ ᤨ㑆ㆃᑧജ IEC/EN 60204-1およびNFPA 79に従う停止カテゴリ 安全関連制御システムに関連する「カテゴリ」という用語に は、2つの異なる意味があるために不運と混乱をまねくこと があります。もともとは、EN 954-1でカテゴリについて説明 しています。これは、フォルト状態での安全システムの性能 を分類したものです。 ࡕࠫࡘ࡞ᑼ MSR138DP ࠟ࠼ ࠗࡦ࠲ࡠ࠶ࠢ ࠬࠗ࠶࠴ また、もとのIEC/EN 60204-1およびNFPA 79で、「停止カテ ゴリ」と明示されてます。停止カテゴリには、以下の3つが あります。 停止カテゴリ0では、アクチュエータへの電力供給をすぐに 遮断する必要があります。場合によって、これは非制御型停 止と見なされます。というのも、一部の環境では、モータは 惰性で回転し続けるため、動作が停止するのにある程度の時 間がかかるからです。 停止カテゴリ1では、ブレーキを作動させるため停止するま でアクチュエータへの電力供給を継続させる必要があり、停 止後にアクチュエータへの電力供給を遮断します。 1-制御システム 以下に、考えられる2つのソリューションを示します。 2-Opto-electronics 一般的に、安全システムにより実装される安全機能にPLeや SIL3が指定される場合、このレベルのパフォーマンスを達成 するためにフォルト排除のみに頼ることは普通ではありませ ん。これは、使用されるテクノロジおよび対象となる動作環 境によって左右されます。したがって、設計者がPLまたは SILを増すためにフォルト排除の使用についてさらに注意を 払う必要があります。例えば、フォルト排除の使用は、PLe やSIL3システムを実現するために、電気機械式位置スイッチ や手動作動スイッチ(非常停止装置など)の機械的観点には適 用されません。特定の機械的なフォルト状態(磨耗/腐食、破 断など)に適用可能なこれらのフォルト排除は、ISO 13849-2 の表A.4で説明されています。したがって、PLeまたはSIL3を 実現するために必要なガード・インターロック・システムで は、スイッチアクチュエータの破損などのフォルトを排除す ることが通常は妥当とは認められないため、このレベルのパ フォーマンスに達成するために、最小フォルトトレランス1 (例えば2つの従来型の機械式位置スイッチ)を組み込む必要が あります。ただし、関連する規格に従って設計された制御パ ネル内の配線の短絡などのフォルトを排除するために、これ は許容することができます。 プログラマブルコントローラについて十分に検討しないまま マシンを停止すると、再始動に影響を与えたり、ツールやマ シンに深刻な損傷が発生する可能性があります。標準のPLC (セーフティPLC以外)は、安全関連の停止作業には関わらな いので、他の方法を考える必要があります。 Safety Switches オリジナルのEN 954-1と、最近のEN ISO 13849-1およびIEC 62061はすべて、障害が発生する見込みがほとんどないこと を示している場合、安全システム分類を決定する際にフォル ト排除の使用を認めています。フォルト排除が使用されてい る場所で、その排除が適切に妥当であることと安全システム の計画されたライフタイムに対して排除が有効であることを 把握しておくことは重要です。安全システムによって保護さ れるリスクのレベルが高くなると、フォルト排除で必要とな る妥当性がより厳格になります。これは、特定のタイプのフ ォルト排除がいつ使用できるかできないかについて、何らか の混乱を生ずる原因となります。ここで説明するように、最 新の規格とガイダンス文書でこの問題についていくつかの見 方を明記しています。 ここで示すすべての回路の例は、停止カテゴリ0を使用して います。停止カテゴリ1は、最終的な電力供給の停止による 時間遅延出力によって停止します。ガードロックのあるイン ターロックガードには、カテゴリ1の停止システムがついて いることが多くあります。この場合、マシンが安全(つまり停 止)状態になるまで、ガードを閉じた位置にロックします。 PLC ㅢᏱߩ ᯏ᪾ᓮ 図160: 規則的なシャットダウンのための遅延出力 2. セーフティPLC 必要なロジックおよび計時機能を、対応する安全度水準で(セ ーフティ) PLCを使用することで簡単に実装することができ ます。実際には、これはSmartGuardまたはGuardLogixなど のセーフティPLCを使用して実現できます。 Operator Interface フォルト排除 General 安全関連制御システムの構造に関する注意事項 Logic 停止カテゴリ2では、アクチュエータから電力供給を遮断す る必要はありません。 非常停止としては、停止カテゴリ0または1しか使用できない ことに注意してください。2つのカテゴリのどちらを使用す べきかは、リスクアセスメントによって決定されます。 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-75 原理、規格&実装 安全関連制御システムの構造に関する注意事項 General 米国の安全制御システムの要件 ロボット規格: 米国およびカナダ 米国には、安全関連の制御システム要件に関する多種多様な 規格が存在しますが、特に有力な文書が、ANSI B11.TR3と ANSI R15.06の2つです。 米国(ANSI RIA R15.06)およびカナダ(CSA Z434-03)のロボッ ト規格は、ほとんど同じです。どちらにもEN954-1:1996の カテゴリと同様に4つのレベルがあり、以下に説明します。 技術レポートANSI B11.TR3では、期待されるリスク低減の 規模によって分類される4つのレベルを定めています。各レ ベルの要件を以下に示します。 最低 1-制御システム 最低限のリスク低減を実現するANSI B11.TR3安全ガードに は、電気、電子、油圧、および空圧デバイスと、それに関連 するシングルチャネル構成を使用する制御システムが含まれ ます。これらの要件の中で、安全定格デバイスの使用が絶対 的な要件です。これは、ISO13849-1のカテゴリ1とほぼ同等 です。 2-Opto-electronics 低/中レベルのリスク制限 低/中レベルのリスク低減を実現するANSI B11.TR3安全ガー ドには、安全システムの性能を確認するために手動チェック が可能な冗長性を備えた制御システムが含まれます。要件に 注目すると、システムは単純な冗長を採用します。チェック 機能の使用は必須ではありません。チェックを行なわないと 、冗長安全コンポーネントの一方が故障しても、安全システ ムがそれを認識しないことになります。これで、結果的には シングル・チャネル・システムになります。このレベルのリ スク低減は、チェック機能を使用した場合はカテゴリ2に最 も近くなります。 単純 この最低でベルの「単純」では、安全制御システムは容認さ れたシングルチャネル回路を使用して設計・構成する必要が あります。これらのシステムはプログラム可能な場合もあり ます。 カナダでは、このレベルは信号と告知のみに限定されていま す。 安全システム設計者の大きな課題は、何を容認できると見な すかを明らかにすることです。容認できるシングルチャネル 回路とは何なのでしょう。そのシステムはだれに容認される のでしょうか。 単純カテゴリは、EN954-1:1996のカテゴリBとほぼ同じで す。 シングルチャネル 次のレベルは、以下のようなシングルチャネル安全制御シス テムです。 Ÿ ハードウェアベースであるか、または安全定格ソフトウェ ア/ファームウェアデバイスであるか Ÿ 安全定格のコンポーネントを含む。 Safety Switches 高/中レベルのリスク低減 Ÿ 製造メーカの推奨事項に従って使用する。 低/中レベルのリスク低減を実現するANSI B11.TR3安全ガー ドには、安全システムの性能を確認するために始動時に自己 チェックが可能な冗長性を備えた制御システムが含まれてい ます。毎日起動するマシンの場合は、この自己チェック機能 により、単なる冗長システムに比べ安全度水準が大幅に向上 します。年中無休で稼働している機械の場合は、自己チェッ クはよくてもわずかな改善にすぎません。安全システムを定 期的にモニタする機能を備えている場合、カテゴリ3の要件 と同等です。 Ÿ 実績のある回路設計を使用する。 最高のリスク低減 Operator Interface 最高レベルのリスク低減を実現するANSI B11.TR3安全ガー ドには、連続自己チェックを行なう冗長性を備えた制御シス テムが含まれます。自己チェックで安全システムの性能を確 認できなければなりません。安全システム設計者の大きな課 題は、何を継続的と見なすかを明らかにすることです。ほと んどの安全システムは、始動時と安全システムに要求が出さ れた時点でチェックを行ないます。 コンポーネントの中には連続自己チェックを実行するものも あります。例えば、ライトカーテンは、順次LEDが点灯と消 灯を切換えます。ライトカーテンは連続自己チェックを行な っているため、フォルトが発生すると、安全システムに要求 が出される前に出力をオフにします。マイクロプロセッサベ ースのリレーとセーフティPLCも、連続して自己チェックを 行なうコンポーネントです。 Logic 連続自己チェック機能に関する制御システム要件は、ライト カーテンやマイクロプロセッサのベースのロジックデバイス 装置用コンポーネントの選択肢を制限するものではありませ ん。チェックは始動時および安全システムに要求が出された 後に実行する必要があります。このレベルのリスク低減は、 ISO13849-1のカテゴリ4と同程度です。 1-76 実績のある回路設計の1例として、オフ状態で停止信号を送 るシングルチャネルの電気機械式ポジティブ・ブレーク・デ バイスがあります。 シングル・チャネル・システムであると、1つのコンポーネ ントの故障が安全機能の損失につながる可能性があります。 単純カテゴリは、EN954-1:1996のカテゴリ1とほぼ同じで す。 安全定格ソフトウェア/ファームウェアデバイス ハードウェアベースのシステムにはロボットの安全ガードを 実現する優先方法がありましたが、複雑なシステムに対応で きることから、ソフトウェア/ファームウェアデバイスが選択 されることが多くなってきました。ソフトウェア/ファームウ ェアデバイス(セーフティPLCおよびセーフティコントロー ラ)は、安全定格されていれば、使用することができます。こ の定格では、1つの安全定格コンポーネントまたはファーム ウェアの故障が安全機能の損失につながらないと定めていま す。フォルトが検出されると、その後のロボットの自動操作 は、フォルトが解決されるまで抑制されます。 安全定格を満たすには、ソフトウェア/ファームウェアデバイ スが認可基準を満たすことを認可された研究機関で検査する 必要があります。米国では、OSHAが国家認定試験機関 (NRTL)のリストを管理しています。カナダでは、カナダ規格 審査会(SCC)が同様のリストを管理しています。 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R 原理、規格&実装 モニタ機能付きシングルチャネル 制御信頼性 モニタ機能付きのシングルチャネル安全制御システムは、シ ングルチャネルに関する要件を満たし、安全定格され、チェ ック機能を利用している必要があります。安全機能のチェッ クは機械の始動時と動作中に定期的に実行する必要がありま す。手動チェックより、自動チェックが推奨されます。 米国およびカナダのロボット規格での最高レベルのリスク低 減は、信頼できる制御の要件を満たす安全関連制御システム によって実現されます。制御信頼性の高い安全関連制御シス テムは、モニタ機能付きデュアル・チャネル・アーキテクチ ャです。ロボットの停止機能は、モニタ機能も含め、いかな る単一コンポーネントの障害によっても抑制されることは許 されません。 カナダの要件には、米国の要件に2つの追加要件が加わりま す。1つは、安全関連制御システムが通常のプログラム制御 システムから独立していることです。もう1つは、安全シス テムは気づかれることなく簡単に無効化されたり、バイパス されてはいけないということです。 制御信頼性の高いシステムは、EN 954�1:1996のカテゴリ3 と4とに相当します。 制御信頼性でのコメント 制御信頼性の最も基本的なものは、シングル・フォルト・ト レランスです。要件として、単一フォルト、何らかの故障、 または単一コンポーネントの故障が存在する場合に、安全シ ステムはどのように対応すべきかを説明しています。 フォルトに関して、以下の3つの重要な概念を考慮する必要 があります。 (1) すべてのフォルトが検出できるとは限らない。 (2) コンポーネントと言う言葉が加わると、配線の問題が発 生する。 (3) 配線は安全システムに不可欠な要素であり、配線フォル トは安全機能の損失につながる。 Logic 制御信頼性の目的は、フォルトが存在するときに安全機能を 実行することであるのは明らかです。フォルトが検出された 場合、安全システムは安全措置を実行し、フォルトを通知し て、フォルトが解決されるまで機械が動作を続けないように する必要があります。フォルトが検出されなかった場合で も、要求があれば、安全機能を実行する必要があります。 1-制御システム 同様の障害が発生する可能性が大きい場合は、コモンモード 故障と考える必要があります。 2-Opto-electronics できれば、フォルトは障害が起きた時点で検出されることが 望まれます。これが実現不可能な場合は、安全システムに次 の要求が出された時点で障害が検出されなければなりませ ん。 Safety Switches モニタ機能付きのシングルチャネルは、EN954-1:1996のカ テゴリ2とほぼ同じです。 モニタ機能は、フォルト検出時に停止コマンドを指令しま す。動作が停止した後も危険が残る場合は、警告信号を送る 必要があります。安全システムは、フォルトが修正されるま で安全な状態を保つ必要があります。 Operator Interface チェック作業では、フォルトが検出されなければ運転を許可 し、フォルトが検出された場合は停止信号を指令します。動 作が停止された後も危険性が残っている場合は、警告を発し ます。当然ながら、チェック自体が危険な状態を引き起こす ことは許されません。フォルトを検出した後は、そのフォル トが解決されるまで、ロボットは安全な状態を保つ必要があ ります。 General 安全関連制御システムの構造に関する注意事項 R Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P 1-77 原理、規格&実装 Notes General 1-Notes 2-Opto-electronics Safety Switches Operator Interface Logic 1-78 Visit our website: www.ab.com/catalogs Pub.No. S117-CA001A-JA-P R
© Copyright 2026 Paperzz
