止める安全から止まらない安全へ ○白井 安彦(NPO 安全工学研究所) 加部 隆史(NPO 安全工学研究所) ( 1.はじめに 欧州では、労働者の人権を守る観点及び域内自 を定常的に制限するが挙げられるが、これは機械 が本来果たすべき機能を制限する場合も多い。 由貿易の促進による経済成長の観点から、 「絶対安 よって、本質的安全設計方策により十分にリス 全は存在しない」 , 「人はミスする」 , 「機械は壊れ ク低減を行えない場合は、安全防護及び付加保護 る」を前提条件として,予防原則に基づき設計段 方策によりリスク低減を行うことになる。安全防 階でリスクを許容可能な範囲に低減するリスクベ 護及び付加保護方策の代表的な例は、従来の欧州 ースド・アプローチにより、国際安全規格の整備 機械指令 98/37/EC の基本思想である隔離と停止 や安全技術の普及促進が図られてきた。しかし、 の原則に基づき、機械を防護柵で囲い人が動作中 現状の機械安全は、隔離と停止の原則を基本思想 の機械にアクセスすることを物理的に防止するこ としており、危険な動きをする機械は原則防護柵 と、および機械が危険な動作をする際は必ず機械 で囲い、機械が危険な挙動をする場合は即時に遮 を停止することである。 断する方策が講じられている。このため安全装置 この隔離と停止の原則に基づくリスク低減策を を無効化して事故の要因を導いたり、機械の稼働 講じることは、確定的にリスクを低減するもので 率及び生産性が場合によって低下する問題が顕在 あるので作業者の安全を確保できるが、一方で機 化している。 械のティーチング、調整作業など人の介入が前提 本発表では、これまでの機械安全の普遍的な課 となるプロセスに支障をきたし、結果として機械 題であった、作業者の安全確保と機械の稼働率及 の稼働率及び生産性が低下することが起こりうる。 び生産性の両立を実現する手法として、I つまり、隔離と停止の原則に基づく機械の安全 EC61800-5-2 に基づく Safety Drive 技術ならびに、 設計方策では、安全性と機械の稼働率および生産 これを実現するための制御システムの安全関連部 性の維持の両立させるという普遍的な課題に直面 の構成について検討したので報告する。 する。この課題は、安全の先進国であるドイツで 2.隔離と停止の原則に基づく機械安全の課題 も顕在化しており、 2006 年初頭に公表したドイツ ISO12100 に基づく機械の安全設計の反復的プ の職業保険組合中央研究所 BGIA の報告書にお ロセスは、リスクアセスメントを通じ得られたリ いて、安全装置の 37%が常時、あるいはその時々 スク評価を受け、以下に示すリスク低減方策を行 で無効化されており、その理由の多くは作業工程 い適切なレベルまでリスク低減を行うことである。 の時間的な最善化を計ろうとすることなど、稼働 ステップ 1:本質的安全設計方策 率・生産性を低下させない為である事が明らかに ステップ 2:安全防護及び付加保護方策 された。そのため、改訂された欧州機械指令 ステップ 3:使用上の情報 2006/42/EC では、特定の条件下で、機械の安全な 本質的安全設計方策とは、ガード又は保護装置 速度監視や挙動監視をすることを条件に、人と機 を使用しないで、機械の設計又は運転特性を変更 械の協働を認める(プロセス監視モード)条項が することで、危険源を除去することである。しか 追加された。 し、この方策の例として、機械の運動エネルギー 3.止める・止まる安全から止まらない安全へ 3.1.停止カテゴリ 用な停止方法だといえる。 安全の確保と機械の稼働率及び生産性の維持を 3.2.電源供給遮断方法 両立するには、機械の速度や挙動をいかに監視し 機械を停止することは、機械の動力源であるモ 安全な状態に制御すると共に、危険な動きをした ータをいかに停止するかと同義である。モータを 場合は、安全に機械を停止する事が求められる。 停止するには、モータへの電力供給機能を遮断す 機械の停止方法は、機械の電気装置の国際安全 れば良い。モータへの電力供給機能の遮断方法を 規格 IEC60204-1 において図1のように3つのカ 図 2 に示す。 テゴリで定められている。 ①主電源遮断 主幹電源からサーボモータドライブシステム(以 停止カテゴリ0 下サーボシステム)全体への電力供給を、コンタ 停止指令 電源供給 クタを用いて遮断する。 機械挙動 ②電気機械的遮断 モータの駆動にかかわる電力を、主幹電源とドラ 停止カテゴリ1 イバの間(入力側) 、 又はドライバとモータの間 (出 力側)で、コンタクタを用いて遮断する。ここで 入力側で電力供給を遮断すると、ドライバの制御 電源も OFF し、それに伴いモータのエンコーダ電 源も同時に OFF する。よって、電源再投入時に、 停止カテゴリ2 原点復帰作業などが伴い、機械の再起動にようす る時間が著しく長くなるので、通常は出力側でモ ータへの電源供給を OFF する。 ③電子的遮断(パルスブロック) モータ制御回路を介さずに、例えばガードに取り 図 1 停止カテゴリ 0、1、2 ①停止カテゴリ 0 機械アクチュエータの電源を即時に遮断する ことによる停止。非制御停止。 ②停止カテゴリ 1 機械アクチュエータが電源がv供給されている 状態で停止し,停止が完了してから電源を遮断す る制御停止。 ③停止カテゴリ 2 停止完了後も機械アクチュエータに電源を供給し たままにする制御停止。 停止カテゴリ2は、非常停止機能としては認め られていないが、通常の停止の方法として認めら れているので、機械の立ち上げ、調整の際は、有 付けられたインターロック装置から出力される信 号を受信すると、フォトカプラを OFF することで、 ドライバのインバータ回路の逆変換(交流生成) を不能にすることで、モータへの電力供給を停止 する。パルスブロックによるモータへの電力供給 停止の利点としては、ドライバに内蔵された機能 であるので、コンタクタが不要又は数を減らす事 が可能となりコストを抑えられること、再起動時 間が大幅に短縮できること、などがあげられる。 ④サーボ OFF 上位装置である NC コントローラからの指令に従 い、ドライバの制御回路が行うベース電流 OFF 操 作を行い、モータへの電力供給を停止する。 モータへの電力供給を停止する機能としては、 4 つの方法があり、うち①~③が安全な停止機能 として認められており、④のサーボ OFF は産業用 の標準サーボドライバに実装されている。 を構築することで、従来の機械安全の課題であっ た、作業者の安全確保と機械の稼働率及び生産性 の維持の両立が、理論的に実現可能である。 ①主電源遮断 サーボドライバ 制御回路 コンタクタ ④サーボOFF ②電気機的 遮断(入力側) 4.止まらない安全の制御システム 前述した IEC61800-5-2 に基づく Safety Drive シ コ ン タ ク タ コ ン タ ク タ ステムの構成を以下で考察する。速度制御モード M ②電気機的 遮断(出力側) 安全 信号 時の制御ブロック図を図 3 に、この場合の制御シ ステムの安全関連部のブロック図を図 4 に示す。 安全機能は、モードセレクタにより調整モード に切替たとき、コントローラ側とドライバ側のマ イクロコンピュータに制限速度が設定され、モー ③電子的遮断 パルスブロック タの速度が減速され、制限速度を超えた場合、た だちにパルスブロックにより、モータへの供給電 図 2 モータへの供給電力遮断方法 力を遮断する SLS(Safely Limited Speed)とする。 制御システムの安全関連部は以下のように構成 3.3.可変速電気駆動システムの機能安全規格 する。入力は 2 つの位置スイッチと、モードセレ 機械の稼働率や生産性を維持し、作業者の安全 クタ、エンコーダとする。ここでエンコーダは機 性を確保するには、機械の挙動を監視し、危険な 械的には 1 個であるが、信号としては A 相・B 相 場合のみ停止する事が必要があり具体的には機械 とその逆相である A-1 相・B-1 相からなるので、電 の駆動源であるモータの位置・速度・トルクを制 気的には冗長化されているものとする。また論理 御及び監視する事が要求される。これを具現化す 部は、コントローラ側のマイクロコンピュータと る可変速電気駆動システムの安全要求事項に関す モニタリングモジュールのマイクロコンピュータ る国際規格 IEC61800-5-2 が 2007 年に制定された。 で構成する。また、コントローラのマイクロコン ISO13849-1 に基づく従来の制御による機械安 ピュータ、モニタリングモジュールのマイクロコ 全では、機械の位置・速度・トルクに関わらず、 ンピュータで、それぞれエンコーダの故障検出お 例えば防護扉に設置した安全センサにより扉が開 よび制限速度と実際の速度の比較を行うとともに、 いている状態を検知し、Safety PLC 又は Safety リ お互いのデータをクロスチェックするものとする。 レーユニットを介して、コンタクタ遮断信号を出 出力は、コントローラ側からもモニタリングモジ 力するデジタル信号処理により、機械を停止して ュール側からもパルスブロック信号を送信する事 いた。一方、IEC61800-5-2 に基づく Safety Drive ができるように構成する。 では、機械の挙動に着目し、機械の動力源である 以上の構成で、ISO13849-1 の制御カテゴリ 3、 モータの、位置・速度・トルクといったアナログ パフォーマンスレベル PL=d、IEC61800-5-2 及び データの制限値を設定し、実際のデータと制限値 機能安全規格 iEC61508 の SIL2 を満足する。 を比較する事で、制限を越える場合のみ、パルス ここで、制御システムの安全関連部の構成は、 ブロックによりモータへの電源供給を遮断し機械 実現したい安全機能(停止カテゴリや を安全停止することになり、機械を安全な状態で IEC61800-5-2)やアプリケーションにより異なり、 運転しながら、作業をする事が可能となる。よっ 例えば、ハードウェアロジック回路によるダイナ て、IEC61800-5-2 に適合した Safety Drive System ミックフェイルセーフや、Safety PLC と速度監視 ユニットで構成することも可能である。それに伴 的には可能であるが、例えば多軸の産業ロボット い適合すべき安全規格も異なるので、その見極め の場合、ワークの内容等によりアプリケーション が重要となる。 毎に TCP の速度や位置の合成値を算出してパラ メータ設定する必要があり、開発コストとマンパ Speed anlog command Speed command Filte + - Speed error Amp ワーの課題がある。一方、人の検出についてはセ T orque command Filte T orque Limit T orque Command Speed detection filter s a f e t S y e l s e e c n t s o o r r ンサの応答速度とコストの課題がある。 m o d e 表1 HMI 実現に向けた課題 Encorder Signal Controller Data interchange B l o c k P W M P u l s e M onitoring M odule I n v e r t o r RE 機械の暴走検知 人の侵入検知 機械の暴走検知しモータ停 人の侵入検知しモー 止 タを停止 安全機能 モータの位置・速度・トルクを 安全センサにより人の M otor 監視。制限値を超過した場 実現方法 位置を検出 合、パルスブロックによりモー (デジタル I/O 信号) タを停止(アナログ制御) 多軸の場合、作業内容やア 図 4 Safety Drive システムの制御ブロック図 プリケーション毎に TCP の合 安全センサの応答速 成値を演算しパラメータ設定 度とコスト 課題 を行うなど設計が都度必要 Safety Sensor1 RE1 Controller P ulse Block1 6.まとめ 隔離と停止の原則に基づく機械安全において、 mode selector 労働者の安全確保と機械の稼働率及び生産性の維 Safety Sensor2 RE2 Monitoring P ulse Module Block2 持を両立する事が課題であったが、 モータの位置・ 速度・トルクを常時監視しかつ安全に制御し、危 険な動きが生じた場合は、安全に停止するという 図 5 Safety Drive システムの安全関連部 IEC61800-5-2 の Safety Drive 技 術 を ベ ー ス に 、 ISO13849-1 或いは IEC61508 に基づく制御システ 5.HMI 実現に向けた課題 ムの安全関連部を構成すれば、この課題を技術的 IEC61800-5-2 に基づく機械の駆動源であるモー に解決できるといえる。しかしながら、生産革命 タの位置・速度・トルクを常時監視、安全な状態 となりえる HMI を実現するためには、アプリケー に制御する Safety Drive 技術を利用し、 ISO13849-1 ション毎に煩雑なパラメータ設定が必要であるこ 或いは IEC61508 に基づく制御システム安全関連 と、人の位置を検出するセンサのコストと応答速 部を構成すれば、理論上、止まらない安全は実現 度の課題がある。これらの課題を解決する、要素 可能である。これは、人と機械の協働(HMI:Human 技術の開発が今後望まれる。 Machine Interaction)といった生産革命の実現可能 性を示唆している。HMI 実現に向けた課題を表 1 に示す。 機械の暴走検知については、前述したよう技術
© Copyright 2024 Paperzz