止める安全から止まらない安全へ

止める安全から止まらない安全へ
○白井 安彦(NPO 安全工学研究所)
加部 隆史(NPO 安全工学研究所)
(
1.はじめに
欧州では、労働者の人権を守る観点及び域内自
を定常的に制限するが挙げられるが、これは機械
が本来果たすべき機能を制限する場合も多い。
由貿易の促進による経済成長の観点から、
「絶対安
よって、本質的安全設計方策により十分にリス
全は存在しない」
,
「人はミスする」
,
「機械は壊れ
ク低減を行えない場合は、安全防護及び付加保護
る」を前提条件として,予防原則に基づき設計段
方策によりリスク低減を行うことになる。安全防
階でリスクを許容可能な範囲に低減するリスクベ
護及び付加保護方策の代表的な例は、従来の欧州
ースド・アプローチにより、国際安全規格の整備
機械指令 98/37/EC の基本思想である隔離と停止
や安全技術の普及促進が図られてきた。しかし、
の原則に基づき、機械を防護柵で囲い人が動作中
現状の機械安全は、隔離と停止の原則を基本思想
の機械にアクセスすることを物理的に防止するこ
としており、危険な動きをする機械は原則防護柵
と、および機械が危険な動作をする際は必ず機械
で囲い、機械が危険な挙動をする場合は即時に遮
を停止することである。
断する方策が講じられている。このため安全装置
この隔離と停止の原則に基づくリスク低減策を
を無効化して事故の要因を導いたり、機械の稼働
講じることは、確定的にリスクを低減するもので
率及び生産性が場合によって低下する問題が顕在
あるので作業者の安全を確保できるが、一方で機
化している。
械のティーチング、調整作業など人の介入が前提
本発表では、これまでの機械安全の普遍的な課
となるプロセスに支障をきたし、結果として機械
題であった、作業者の安全確保と機械の稼働率及
の稼働率及び生産性が低下することが起こりうる。
び生産性の両立を実現する手法として、I
つまり、隔離と停止の原則に基づく機械の安全
EC61800-5-2 に基づく Safety Drive 技術ならびに、
設計方策では、安全性と機械の稼働率および生産
これを実現するための制御システムの安全関連部
性の維持の両立させるという普遍的な課題に直面
の構成について検討したので報告する。
する。この課題は、安全の先進国であるドイツで
2.隔離と停止の原則に基づく機械安全の課題
も顕在化しており、
2006 年初頭に公表したドイツ
ISO12100 に基づく機械の安全設計の反復的プ
の職業保険組合中央研究所 BGIA の報告書にお
ロセスは、リスクアセスメントを通じ得られたリ
いて、安全装置の 37%が常時、あるいはその時々
スク評価を受け、以下に示すリスク低減方策を行
で無効化されており、その理由の多くは作業工程
い適切なレベルまでリスク低減を行うことである。
の時間的な最善化を計ろうとすることなど、稼働
ステップ 1:本質的安全設計方策
率・生産性を低下させない為である事が明らかに
ステップ 2:安全防護及び付加保護方策
された。そのため、改訂された欧州機械指令
ステップ 3:使用上の情報
2006/42/EC では、特定の条件下で、機械の安全な
本質的安全設計方策とは、ガード又は保護装置
速度監視や挙動監視をすることを条件に、人と機
を使用しないで、機械の設計又は運転特性を変更
械の協働を認める(プロセス監視モード)条項が
することで、危険源を除去することである。しか
追加された。
し、この方策の例として、機械の運動エネルギー
3.止める・止まる安全から止まらない安全へ
3.1.停止カテゴリ
用な停止方法だといえる。
安全の確保と機械の稼働率及び生産性の維持を
3.2.電源供給遮断方法
両立するには、機械の速度や挙動をいかに監視し
機械を停止することは、機械の動力源であるモ
安全な状態に制御すると共に、危険な動きをした
ータをいかに停止するかと同義である。モータを
場合は、安全に機械を停止する事が求められる。
停止するには、モータへの電力供給機能を遮断す
機械の停止方法は、機械の電気装置の国際安全
れば良い。モータへの電力供給機能の遮断方法を
規格 IEC60204-1 において図1のように3つのカ
図 2 に示す。
テゴリで定められている。
①主電源遮断
主幹電源からサーボモータドライブシステム(以
停止カテゴリ0
下サーボシステム)全体への電力供給を、コンタ
停止指令
電源供給
クタを用いて遮断する。
機械挙動
②電気機械的遮断
モータの駆動にかかわる電力を、主幹電源とドラ
停止カテゴリ1
イバの間(入力側)
、
又はドライバとモータの間
(出
力側)で、コンタクタを用いて遮断する。ここで
入力側で電力供給を遮断すると、ドライバの制御
電源も OFF し、それに伴いモータのエンコーダ電
源も同時に OFF する。よって、電源再投入時に、
停止カテゴリ2
原点復帰作業などが伴い、機械の再起動にようす
る時間が著しく長くなるので、通常は出力側でモ
ータへの電源供給を OFF する。
③電子的遮断(パルスブロック)
モータ制御回路を介さずに、例えばガードに取り
図 1 停止カテゴリ 0、1、2
①停止カテゴリ 0
機械アクチュエータの電源を即時に遮断する
ことによる停止。非制御停止。
②停止カテゴリ 1
機械アクチュエータが電源がv供給されている
状態で停止し,停止が完了してから電源を遮断す
る制御停止。
③停止カテゴリ 2
停止完了後も機械アクチュエータに電源を供給し
たままにする制御停止。
停止カテゴリ2は、非常停止機能としては認め
られていないが、通常の停止の方法として認めら
れているので、機械の立ち上げ、調整の際は、有
付けられたインターロック装置から出力される信
号を受信すると、フォトカプラを OFF することで、
ドライバのインバータ回路の逆変換(交流生成)
を不能にすることで、モータへの電力供給を停止
する。パルスブロックによるモータへの電力供給
停止の利点としては、ドライバに内蔵された機能
であるので、コンタクタが不要又は数を減らす事
が可能となりコストを抑えられること、再起動時
間が大幅に短縮できること、などがあげられる。
④サーボ OFF
上位装置である NC コントローラからの指令に従
い、ドライバの制御回路が行うベース電流 OFF 操
作を行い、モータへの電力供給を停止する。
モータへの電力供給を停止する機能としては、
4 つの方法があり、うち①~③が安全な停止機能
として認められており、④のサーボ OFF は産業用
の標準サーボドライバに実装されている。
を構築することで、従来の機械安全の課題であっ
た、作業者の安全確保と機械の稼働率及び生産性
の維持の両立が、理論的に実現可能である。
①主電源遮断 サーボドライバ
制御回路
コンタクタ
④サーボOFF
②電気機的
遮断(入力側)
4.止まらない安全の制御システム
前述した IEC61800-5-2 に基づく Safety Drive シ
コ
ン
タ
ク
タ
コ
ン
タ
ク
タ
ステムの構成を以下で考察する。速度制御モード
M
②電気機的
遮断(出力側)
安全
信号
時の制御ブロック図を図 3 に、この場合の制御シ
ステムの安全関連部のブロック図を図 4 に示す。
安全機能は、モードセレクタにより調整モード
に切替たとき、コントローラ側とドライバ側のマ
イクロコンピュータに制限速度が設定され、モー
③電子的遮断 パルスブロック
タの速度が減速され、制限速度を超えた場合、た
だちにパルスブロックにより、モータへの供給電
図 2 モータへの供給電力遮断方法
力を遮断する SLS(Safely Limited Speed)とする。
制御システムの安全関連部は以下のように構成
3.3.可変速電気駆動システムの機能安全規格
する。入力は 2 つの位置スイッチと、モードセレ
機械の稼働率や生産性を維持し、作業者の安全
クタ、エンコーダとする。ここでエンコーダは機
性を確保するには、機械の挙動を監視し、危険な
械的には 1 個であるが、信号としては A 相・B 相
場合のみ停止する事が必要があり具体的には機械
とその逆相である A-1 相・B-1 相からなるので、電
の駆動源であるモータの位置・速度・トルクを制
気的には冗長化されているものとする。また論理
御及び監視する事が要求される。これを具現化す
部は、コントローラ側のマイクロコンピュータと
る可変速電気駆動システムの安全要求事項に関す
モニタリングモジュールのマイクロコンピュータ
る国際規格 IEC61800-5-2 が 2007 年に制定された。
で構成する。また、コントローラのマイクロコン
ISO13849-1 に基づく従来の制御による機械安
ピュータ、モニタリングモジュールのマイクロコ
全では、機械の位置・速度・トルクに関わらず、
ンピュータで、それぞれエンコーダの故障検出お
例えば防護扉に設置した安全センサにより扉が開
よび制限速度と実際の速度の比較を行うとともに、
いている状態を検知し、Safety PLC 又は Safety リ
お互いのデータをクロスチェックするものとする。
レーユニットを介して、コンタクタ遮断信号を出
出力は、コントローラ側からもモニタリングモジ
力するデジタル信号処理により、機械を停止して
ュール側からもパルスブロック信号を送信する事
いた。一方、IEC61800-5-2 に基づく Safety Drive
ができるように構成する。
では、機械の挙動に着目し、機械の動力源である
以上の構成で、ISO13849-1 の制御カテゴリ 3、
モータの、位置・速度・トルクといったアナログ
パフォーマンスレベル PL=d、IEC61800-5-2 及び
データの制限値を設定し、実際のデータと制限値
機能安全規格 iEC61508 の SIL2 を満足する。
を比較する事で、制限を越える場合のみ、パルス
ここで、制御システムの安全関連部の構成は、
ブロックによりモータへの電源供給を遮断し機械
実現したい安全機能(停止カテゴリや
を安全停止することになり、機械を安全な状態で
IEC61800-5-2)やアプリケーションにより異なり、
運転しながら、作業をする事が可能となる。よっ
例えば、ハードウェアロジック回路によるダイナ
て、IEC61800-5-2 に適合した Safety Drive System
ミックフェイルセーフや、Safety PLC と速度監視
ユニットで構成することも可能である。それに伴
的には可能であるが、例えば多軸の産業ロボット
い適合すべき安全規格も異なるので、その見極め
の場合、ワークの内容等によりアプリケーション
が重要となる。
毎に TCP の速度や位置の合成値を算出してパラ
メータ設定する必要があり、開発コストとマンパ
Speed
anlog
command
Speed
command
Filte
+
-
Speed
error
Amp
ワーの課題がある。一方、人の検出についてはセ
T orque
command
Filte
T orque
Limit
T orque
Command
Speed detection filter
s
a
f
e
t
S y
e
l s
e e
c n
t s
o o
r r
ンサの応答速度とコストの課題がある。
m
o
d
e
表1 HMI 実現に向けた課題
Encorder Signal
Controller
Data interchange
B
l
o
c
k
P
W
M
P
u
l
s
e
M onitoring
M odule
I
n
v
e
r
t
o
r
RE
機械の暴走検知
人の侵入検知
機械の暴走検知しモータ停
人の侵入検知しモー
止
タを停止
安全機能
モータの位置・速度・トルクを
安全センサにより人の
M otor
監視。制限値を超過した場
実現方法
位置を検出
合、パルスブロックによりモー
(デジタル I/O 信号)
タを停止(アナログ制御)
多軸の場合、作業内容やア
図 4 Safety Drive システムの制御ブロック図
プリケーション毎に TCP の合
安全センサの応答速
成値を演算しパラメータ設定
度とコスト
課題
を行うなど設計が都度必要
Safety
Sensor1
RE1
Controller
P ulse
Block1
6.まとめ
隔離と停止の原則に基づく機械安全において、
mode
selector
労働者の安全確保と機械の稼働率及び生産性の維
Safety
Sensor2
RE2
Monitoring
P ulse
Module
Block2
持を両立する事が課題であったが、
モータの位置・
速度・トルクを常時監視しかつ安全に制御し、危
険な動きが生じた場合は、安全に停止するという
図 5 Safety Drive システムの安全関連部
IEC61800-5-2 の Safety Drive 技 術 を ベ ー ス に 、
ISO13849-1 或いは IEC61508 に基づく制御システ
5.HMI 実現に向けた課題
ムの安全関連部を構成すれば、この課題を技術的
IEC61800-5-2 に基づく機械の駆動源であるモー
に解決できるといえる。しかしながら、生産革命
タの位置・速度・トルクを常時監視、安全な状態
となりえる HMI を実現するためには、アプリケー
に制御する Safety Drive 技術を利用し、
ISO13849-1
ション毎に煩雑なパラメータ設定が必要であるこ
或いは IEC61508 に基づく制御システム安全関連
と、人の位置を検出するセンサのコストと応答速
部を構成すれば、理論上、止まらない安全は実現
度の課題がある。これらの課題を解決する、要素
可能である。これは、人と機械の協働(HMI:Human
技術の開発が今後望まれる。
Machine Interaction)といった生産革命の実現可能
性を示唆している。HMI 実現に向けた課題を表 1
に示す。
機械の暴走検知については、前述したよう技術