安全回路の基礎理解

この記事では、自動化機械用安全回路の基礎事項を確認します。一連の検討では、必要な機能の指針となる規格、一般的なセットアップ、故障に対処したり不正変更を防止したりするためのメカニズム、および安全回路の設置で多く使用される部品の機能に言及します。

安全回路の歴史と機能

この業界の初期においては、機械は非常に危険なものでした。工場労働者や農業従事者が、動作中の機械にはさまれて指や手足を失ったり、命を落としたりすることがよくありました。これが、保護システムなどの安全装置を開発するきっかけになりました。

インターロックは、複数の機械機能の状態の相互依存関係を確立するもので、今日の安全システムの機能の中核となっています。これにより、機械が操作者を傷つけたり、それ自体の部品を損傷させたりすることを防ぎます。たとえば、インターロックでは、そのガードが開いている場合に機械が起動しないようにし、動作中にガードが開かれた場合に機械を停止することができます。

多くのシンプルなインターロックシステムは、純粋な意味で機械式です。たとえば、一部の機械設計では、インターロックカムが取り付けられた軸の周りをガードが旋回します。ガードが開くと、カムが機械のドライブシャフト上のマッチングカムとかみ合い、軸の動作を防ぎます。これは、ガードが閉じている場合のみ機械が動作可能であることを意味しています。

現在の機械のほとんどは、電子安全回路、さらにはマイクロプロセッサ制御を使用したインターロック安全装置を実装しています。エレクトロニクスは、ガードの配列および安全手順の複雑さという点で、機械的ソリューションよりもはるかに優れた柔軟性をもたらします。

一般的な電子安全回路は、回路が閉じている場合にのみ機械が動作できるようにします。この構造は、ノーマリークローズ（NC）動作と呼ばれています。また、電子安全回路は安全部品を直列に配線して効果を最大化するとともに、複雑さとコストを最小化します。

対応するガードのセクションが閉じているときにNCになる多くのポジションスイッチを使用した一般的な安全装置について考えてみましょう。これらのポジションスイッチは、装置に直列配線されています。したがって、ガードのいずれかの部分が適切に閉じられていないと、回路全体が開いた状態となり、機械は動作しません。実際に、安全部品配線の接続の緩みや突然の破損（切断など）が発生した場合に安全な状態を確保するには、安全回路の制御にも直列配線が必要です。

安全回路の直列配線に関連した注意事項：回路に4個以上の安全スイッチが含まれる場合、または頻繁に使用されるスイッチやゲートが含まれる場合、設計の性能レベル（PL_r - 次の記事セクションで詳述）が低下し、フォールトマスキングのリスクが増大します。後者は、1つの開いたスイッチまたはフォールトの出現および分解能によって別の開いたスイッチまたはフォールトの存在が目立たなくなるときに生じます。フォールトマスキングは、スイッチ接続用以外に電力接続がないリレーのような無電圧コンタクトが安全装置に含まれる場合に発生する可能性が最も高くなります。そのようなリスクを許容できない場合は、より高度な配線システムおよび方法が必要になります。

図1：これは、3つの安全リレーモジュールの機能が備わるように設計されたBanner EngineeringのSC10シリーズ セーフティコントローラを示しています。（画像提供：Banner Engineering）

トラップキーインターロックは、機械を動作させる前にすべてのガードのロックが確実に閉じられるようにするために多く使用されます。このようなシステムでは、それぞれの安全ガードのロックに、ガードのバーが閉じられている場合のみ取り外せる鍵があります。この鍵は制御または電源ユニットに持っていき、機械を作動させるために使用することができます。同様に、機械の作動中は鍵が拘束され、機械のシャットダウン後にのみ電源ユニットから取り外すことができます。その後でその鍵を使用して、再びガードを開くことができます。

リスク評価と管理規格要件

ISO 14119は、ガードに関連するインターロック装置を備えた機械の安全性を扱っており、機械の安全性を確保するための設計および選択原則の概要を説明しています。また、機械設計におけるリスク評価やリスク軽減の一般的な原則に関する他の規格にも言及しています。

インターロックガードの基本機能は、ガードが閉じるまで対象となる危険な動作の実行を防止することです。したがって、誰かが動作中にガードを無理やり開いたりすると、保護対象の動作が停止します。ガードロック装置が機械の動作中のガードの開放を防止するように設定されている場合もあります。

ガードが閉じているときに機械は動作可能ですが、ガードを閉じることが危険な動作の開始の要因となってはならないことに注意してください。そのような動作には個別の起動コマンドが必要になります。1つの例外は、制御ガードと呼ばれるものです。これは、個別の起動コマンドを介さず、ガードの閉鎖時に危険な動作の開始を可能にする起動機能を備えた特殊なタイプのインターロックガードです。

ISO 14119では、安全装置の無効化という概念についても取り上げられています。これは、機械のインターロックをバイパスするアクションです。たとえば、ガードが開いているときに、操作者が偶然または故意に重い物体をポジションスイッチ上に置くと、機械の動作中に危険になる作業空間へのアクセスが与えられます。適切に設計された安全装置は、合理的に予見可能ないかなる方法（手動操作やすぐに扱える周囲の物体によるもの）によってもインターロックを無効化できないようにします。これには、機械を動作させるために使用されるツール、またはスクリュードライバー、六角ツール、接着テープ、ワイヤなどのすぐに入手可能なツールを使用したスイッチやアクチュエータの取り外しが含まれます。これは、つまりトラップキーシステム用のスペアキーにもアクセスできないことを意味しています。

ISO 14119は、インターロック装置を4つのカテゴリに分類しています。

• タイプ1 のインターロック装置には、ロータリーカム、リニアカム、またはヒンジなどの非コード化アクチュエータを備えた機械的に作動するポジションスイッチがあります。これらは、スイッチ上に物体を置いたり、他の方法でスイッチをある所定の位置に保持したりすることによって比較的簡単に無効化できます。
• タイプ2 のインターロック装置には、定形アクチュエータ（タング）またはトラップキーなどのコード化アクチュエータを使用した機械的に作動するポジションスイッチがあります。これらを無効化するのかなり困難です。
• タイプ3 のインターロック装置には、近接スイッチなどの非コード化アクチュエータを備えた非接触ポジションスイッチがあります。タイプ3のインターロックの無効化の難易度は、関連するアクチュエーションの原理によって異なります。容量式、超音波、および光学アクチュエータは、さまざまな物体により無効化される可能性があります。誘導型アクチュエータは、鉄金属物体により無効化される場合があります。磁気アクチュエータを無効化するには磁石が必要です。
• タイプ4のインターロック装置には、RFIDタグ、コード化磁石、コード化光学タグなどのコード化アクチュエータを備えた非接触ポジションスイッチがあります。コード化アクチュエータを取り外せないように適切に構築されている場合、これらを無効化するのは非常に困難です。

安全回路を設計する場合、無効化の可能性を最小化するインターロック装置を選択する必要があります。以下の点も考慮する必要があります。

• 全体的なシステムの停止性能。これは、停止コマンドが発行されてから機械が安全になるまでに必要な時間で表されます。
• アクセス時間。これは、停止コマンドが開始されてから人が危険に直面するまでにかかる時間です。

全体的なシステムの停止性能はアクセス時間よりも大幅に迅速でなければなりません。ガードに外側からの手動開放を可能にする緊急リリース、または内側からの手動解放を可能にするエスケープリリースが必要かどうかを考慮する必要もあります。

ISO 14119が参照しているISO 13849は、2つの部分で構成され、制御システムの安全関連部（SRP/CS）の設計および検証についての原則を扱っています。この規格によると、SRP/CSは以下に基づいて分類できます。

• 故障への耐性
• 故障発生時の動作

安全性を組み込んだ機械のすべての設計作業は、危険を特定し、リスクを予測するために、ISO 12100に基づくリスク評価から始める必要があります。さらに、リスク軽減プロセスには、最初に本質的に安全な設計の適用、次に安全装置、最後に使用上の情報が関係します。次に、特別な反復プロセスを使用して、制御システムに依存する保護対策を評価する必要があります。これには、SRP/CSの信頼性を判断するために、各安全機能に対して必要な性能レベル（PL_r）と、平均危険側故障時間（MTTF_D） を見極めることが関係しています。各部分にはaからeの性能レベルが割り当てられます。この中で、PL_aでは危険側故障が発生する可能性が最も高くなり、PL_eではその可能性が最も低くなります。故障が発生する具体的な方法には、ISO 14119に関する上記の考慮事項が関係しています。

安全回路のバリエーションおよび配置例

ゲート型ロボットセルなどの大型エンクロージャの場合の安全配置は少し異なります。なぜなら、多くの場合アクティブな作業空間内に操作者がいる状態でガードが閉じられるからです。したがって、多くの場合、操作者が作業空間外にいることを確認するためにトラップキーシステムが使用されます。そうして初めて、ロボットは全速力で動作を開始できます。

もちろん、従来のロボットは一般的に操作者がセル内にいても低速の教示モードで動作可能でした。しかし、全速力で動作させる場合（協働ロボットとは異なる）、ロボットが人間に近接してはなりません。たとえ教示モードであっても、ロボットが力覚フィードバックシステムを備えているのでない限り、操作者が押しつぶされる危険性が残ります。したがって、通常、携帯型制御ユニットにはデッドマン装置が取り付けられています。これは、操作者が無能力状態に陥った場合に、ロボットをシャットダウンします。

図2：特にユニークなのはロボティクスと関連した安全回路です。教示ペンダント（この図を参照）や協働ロボットを採用するロボティクスについては特に当てはまります。

特殊な安全性が求められるもう一つの自動化の状況は、有人コンベヤシステムです。この状況では、動作を速くするために、コンベヤシステムに沿って人員が作業する必要があります。これには、機械にはさまれて重傷を負う重大なリスクがあり、可能な限り回避する必要があります。しかし、そのような作業空間が動作の生産性に不可欠な場合（例：Amazonのフルフィルメント（梱包配送）センター）、引き紐式の分散型停止スイッチおよび停止ストリップを設置する必要があります。これらは、コンベヤをその全体にわたって停止させるための信頼性の高い方法を人員に提供します。緊急時に操作者が探さなくても、簡単につかんだり、押したりできるように、こうした停止装置を配置する必要があります。

また、負傷したり意識不明になった人がコンベヤに落ちたり、引き込まれたりした場合にも、自動的に停止するように安全装置を配置する必要があります。複数の停止装置や冗長回路が必要になる場合があります。また、コンベヤが両側からアクセス可能な場合、安全装置も両側に設置する必要があります。

一般的な安全回路部品

機械式スイッチには、ゲートや保護位置の検出に使用されるポジションスイッチ、および緊急停止パームボタンや引き紐などの手動で起動する停止スイッチが含まれます。光および誘導型センサなどの非接触スイッチも、同様の方法で使用できる場合があります。これらのタイプのインターロック部品は、物理的ガードおよびゲートとともに使用される傾向があります。それらについては、上記で説明した規格により十分に扱われています。安全回路内で使用される安全部品の他のタイプには、ライトカーテン、レーザースキャナおよびセーフティマットが含まれます。

セーフティマットは、ゴムのプラットフォームに組み込まれた圧力センサを使用し、保護領域への人の侵入を検知するための簡単な方法を提供します。近年、これらはライトカーテンやレーザースキャナなどの光学システムによって大幅に置き換えられてきました。

ライトカーテンは、カーテンの光線のいずれかが遮られた場合に機械軸を停止させる仮想ガードを作成することにより、物理的保護の必要性を排除できます。ライトカーテンは、トランスミッタとレシーバという2つの部分で構成されています。トランスミッタは、平行な光線のアレイを投射します。レシーバはこれらの光線を検知し、いずれかが遮られた場合に、機械を停止させます。ライトカーテンの利点には、作業領域の明確な視認性だけでなく、保護領域内外の無制限アクセスや素早い移動が含まれます。

レーザースキャナは、ライトカーテンとよく似た働きをします。ただし、個別のトランスミッタとレシーバによりバリアを維持する代わりに、レーザースキャナは単体のハードウェアからゲートウェイやポータルエリアを監視します。言い換えれば、ライトカーテンでは境界を保護し、レーザースキャナではコンベヤやロボットセルなどのエリアに対し大きなポータルのための保護を行います。すべての安全部品と同様に、レーザースキャナの使用には最小安全距離の計算が必要です。この値は、全体的なシステムの停止性能とアクセス時間によって異なります。ただし、全体的なシステムの停止性能は、レーザースキャナのほうがライトカーテンよりも相当長くなる可能性があります。これは、関係する付加的な処理が原因です。

図3：Banner EngineeringのSXシリーズ 安全レーザースキャナは、産業アプリケーションのアクセスポイントや領域を保護できます。この装置は、275°の範囲を継続的にスキャンし、無料の構成ソフトウェアでカスタマイズ可能な警告やセイフティゾーンを使用して、人員と機械を保護します。このソフトウェアではミュート機能も設定できます。これにより、SXシリーズ スキャナにネットワーク接続されたミュートセンサとともに、追加モジュールやコントローラの必要性を排除します。（画像提供：Banner Engineering）

今日の電子安全回路および安全部品は、人員と設備を保護するための柔軟な選択肢を工場およびOEM設計エンジニアに提供します。従来のインターロック装置、トラップキー設計により保護された作業空間、および工場従業員や機械操作者がコンベヤ、ロボット、産業用オートメーションに関連した他の動作装置に近接して作業する必要のある領域において、ソフトウェアおよび他のサプライヤリソースは安全システムの仕様を簡素化するのに役立ちます。