機能安全規格を満たす部品設計

産業用アプリケーションでは、従業員や装置を怪我や損傷から守るために、安全性が最優先されます。溶接、切断、プレス加工および、高速軸、危険なワークピースや物質などを扱う作業は、最も脅威となります。米国では、工場のオペレータは、安全な装置、操作手順、トレーニングプロトコルによって、労働安全衛生局（OSHA）の規制を満たす必要があります。これらのシステムを補完するものとして、工場固有の分析を行い、労働者のウェルビーイングと装置の寿命を向上させるための実用的な方法を特定する必要があります。また、自動機械は、潜在的あるいは明らかに安全でない状態や故障を機械が自動的に動作・修正することにより、機能安全要求を満たす必要があります。

図1：現在のシグナルタワーは、効率性と視認性のためにLEDを使用しています。また、ブザーを内蔵し、安全が損なわれたときに100dBのサイレンを鳴らすなど、安全性を高めたものもあります。（画像提供：Menics）

機能安全システムは、センサ、I/O、制御、スイッチ、電気機械式部品、流体動力部品、ソフトウェアなどのエレクトロニクスを含み、危険な状態を検知して機械の状態を変化させ、危険な状況の発生を未然に防止します。機能安全に関する設計や規制は、欧州連合から始まり、現在では世界中のサプライヤ、機械メーカー、エンドユーザーに適用されています。EU機械指令2006/42/ECに記載されている欧州規格（EN）と国際電気標準会議（IEC）の整合規格EN/IEC 62061および、国際標準化機構（ISO）の規格EN/ISO 13849-1が最も適用されています。

ISO 13849-1とIEC 62061は相互参照することができ、OEMやエンドユーザーはどちらを使っても構いません。唯一の注意点は、機能安全は機械や制御に関するものであり、装置や部品に関するものではないということです。ただし、装置や部品は所定の安全性評価を満たすための機能性を提供することができます。

EN/IEC 62061は、安全関連の 電気、電子、プログラマブル制御からなる恒久設置（非移動式）機械またはプラント設置型SRECSの設計、統合、バリデーションに関する安全度水準としての要件と推奨事項を詳述しています。EN/IEC 62061の安全度水準（SIL）では、システムの機能安全性が1（最も初歩的なもの）から4（最も統合され洗練されたもの）までに等級付けされており、機械ではSIL3が最高となっています。必要なSILを決定するリスクには、リスクにさらされる頻度、起こりうる傷害の重大性、発生確率、機械オペレータの回避行動によって被害を回避できる可能性などが含まれます。

表1：必要なSILレベルは、ある安全でない状態が発生した場合の傷害の重大性と、その状態が発生する可能性によって決まります。（表提供：IEC）

一方、EN/ISO 13849-1:2005では、SRP/CS（制御 システムの 安全関連 部分）に基づく要件と推奨事項が詳述されています。SRP/CSの性能レベルにより、サブコンポーネントに関係なく、機械の安全性能を定量化することができます。この規格では、機能安全についてよく知られたパフォーマンスレベル（PL）評価（「a」（最も初歩的なもの）から「e」（最も統合され洗練されたもの）まで）が採用されています。必要なPLを決定するリスクには、SILに適用されるリスクと、機械的な危険に繰り返しさらされる頻度や時間が含まれます。さらに、完全なPL評価には、カテゴリ番号（全体的なシステムアーキテクチャを示す）と平均危険側故障時間（MTTFd）が含まれます。

図2：ある設備に適した機能安全レベルは、質的変数、定量値および、ソフトウェアベースの解析結果に依存します。（画像提供：Design World）

IEC 61508とIEC 62061を満たすには、機械の機能安全評価を確認するための安全制御のテスト（および機械のモード、状態基準、修正の検証）が必要となります。EN ISO 13849-1および2でも、安全制御のシームレスな統合を確認するための文書化されたテスト（静的および動的）が求められています。

オペレータ作動型の安全部品

多くの安全関連部品は、機械やガードの中間部分や軸を通さず、工場の従業員から入力を受けるように設計されています。タクタイル安全マット、ライトカーテン、コンソールやヒューマンマシンインターフェース（HMI）、タッチ操作可能な機械ロックおよび、真っ赤なマッシュルームヘッド停止ボタン（緊急時のみ）など、さまざまな工夫が施されています。人命に関わる安全部品には、エンクロージャ（NEMA規格に基づく部品の保護）、マシンシールド、ワイヤダクトなどがあり、機械やその電源・制御パネルの近く（時には中）で作業する人を保護するためのシンプルで信頼性の高い機械安全要素となっています。

危険な機械部分を囲むケーブルプルスイッチは、オペレータが素早く引っ張ることで緊急停止（E-stop）を作動させます。これらの安全装置は、むき出しの機械（ガード不可）や無防備なコンベアなどの周囲によく見られ、回路の通電を遮断するディスコネクトスイッチとは異なり、危険な作業セルに人が入らないように保護します。また、工作機械の開口部（特に切断やプレス加工を行う部分）の周囲に設置するセーフティエッジ（ストリップ）や、作業者が踏んだり立ったりしたことを検知すると（専用のセーフティリレーで）安全に対応するフロアセーフティマットもあります。

さらに高機能なのが、前述のライトカーテンです。これは光電ビームを発射し、レシーバに到達するまでの間に検出面で途絶えると、危険なプロセスを迅速に停止させます。他の選択肢に比べると高価ですが、機械オペレータが頻繁に機械部分を扱うような場所では、理にかなっています。もうひとつの高機能な安全部品が、両手操作式のセーフティコンソールです。これらは一般的に、機械の運転を開始または維持するために、別々のスイッチを同時に作動させる必要があります。

これらを工場の人員や装置の保護に使用する前提条件として、オペレータ作動型のすべての安全部品（およびそれらが統合された安全ロジックや安全制御装置）を検証する必要があります。たとえば、IEC 61508とIEC 62061の試験規格では、冗長リレーを使用した緊急停止は、オペレータが安全ロジックとフィールドデバイス間の最初のチャンネルをトリップした場合に動作し、さらにそれらの間の2つ目のチャンネルでも動作する必要があると規定されています。このような冗長化された緊急停止機能は、機械の試運転の際に別途検証されます。

自動安全スイッチ、センサ、ガード

図3：レーザースキャナは、AGVの施設内移動を支援することで知られる非接触型安全フィードバック部品の一種です。しかし、その用途は広く、時にはライトカーテンの代わりにもなります。（画像提供：IDEC）

人間が作動させる安全部品とは別に、機械の自動機能に関わる安全部品があります。

ラッチとスイッチを備えた内蔵ロックアウト

機械の作業セルの外周には、スイッチやインターロックが不可欠です。安全リミットスイッチは、機械要素の位置や動作を自動的に確認するための接点を備えています。これに対して、より高機能な安全スイッチはインターロック安全スイッチと呼ばれ、タングまたはヒンジ式のインターロック機構を使用して、正駆動（NOとNCの二重検証）のスイッチング接点を持つ耐タンパのマシンガードとして使用されます。トラップキーインターロックスイッチは、メカニカルキーとロックにより、機械の作業スペースへのアクセスが安全になるまでドアを閉じた状態にします。しかし、最近では非接触型のRFID（電波による個体識別）や磁気安全スイッチが一般的になりつつあり、作業区域のドアの位置（開閉）を監視して、危険なプロセス中にオペレータのアクセスを禁止するようにされています。

電気ブレーカやアイソレータを備えた内蔵安全機構

機械の状態によって作動する安全部品には、電気的安全を確保するためのものもあります。サーキットブレーカは、ヒューズと同様に、主電源、分岐電源、信号回路における過負荷電流の有害かつ危険な影響から保護します。一部の設備では、本質安全操作を確保するために、フィールドデバイスと制御装置を電気的に分離するアイソレータが設置されています。あらゆる電気安全設計を補完するものとしては、主電源や駆動電源、フィードバックや制御信号の分配に関わる電気・電子オートメーション部品が電圧スパイクによって損傷するのを防ぐためのサージ保護部品があります。

ブレーキを備えた内蔵機械安全装置

安全ブレーキに該当するブレーキは、フェイルセーフブレーキとも呼ばれています。これらのブレーキは、電気または流体による動力が故障または除去された場合でも、停止状態（通常はモーション軸をロックまたは保持）に戻ります。このフェイルセーフの動作は、すべてスプリング装填などの機械的な動作によるものです。

その一例として、空気圧で解放されるスプリングセット摩擦ブレーキは、サーボモータ駆動の自動化アプリケーションでフェイルセーフブレーキとしてよく使用されます。ISO 13849-1に準拠していることを証明するレーティングが必要で、通常は国際的な製品試験機関であるIntertek Groupから取得します。機械的なロック機構により、保持中は電力を消費しないため、高い信頼性で安全性能を実現し、他の電気的な停止方式で起こり得るオーバーヒートを回避することができます。寿命は、シリーズ内の全部品の何パーセントかに共通の原因による（予測可能な）故障が発生するまでの数百万サイクルで評価されます。IIoT機能が有効な場合は、フェイルセーフブレーキにより、オンボード診断やセンサフィードバックによる動作状況の把握も可能です。

最高レベルの機能安全性を誇るブレーキには、複数のスプリングが組み込まれており、ブレーキハウジング内の固定要素と相互作用する摩擦面を介して機械軸を機械的にロックするようになっています。また、安全規格では、ブレーキの状態を確認するためのセンサを搭載することも義務付けられています。

セーフティリレーなどの安全制御装置

図4：安全I/Oの数が少ないシンプルな装置では、このような電気機械式セーフティリレーを経済的に採用することができます。（画像提供：Omron Automation and Safety）

安全スイッチ、センサ、ガードなどの機能をサポートするのが、セーフティリレーなどの制御装置です。すべての製品に共通しているのは、（必要に応じて）電気や流体による動力を抜いて機械を安全な状態にする、あるいは動力の止まった機械を減速またはロックして安全な状態にする機能です。

ハードワイヤードセーフティ用リレー

フェイルセーフ制御の選択肢の1つとして、セーフティリレーモジュールがあります。これらは、短絡・過電圧保護回路や補完リレーを搭載したエレクトロニクスを採用しています。電気機械式のハードワイヤードリレーは何十年も前から使用されており、自動制御装置に配線するだけで、必要に応じて機械のサブセクションを電気的に切り離すことができます（非常停止やライトカーテンと組み合わせて使用します）。現場で大掛かりな配線が必要であること、再構成が難しいことなどが欠点です。より高度なセーフティリレーは、I/Oとモジュール設計を備えており、センサ、機械制御、自動化ネットワークとの柔軟な統合を促進します。

プログラマブルセーフティに対応したセーフティコントローラ

また、フェイルセーフと認められる安全性の選択肢として、専用のセーフティコントローラを組み込むことも可能です。このようなコントローラは、PLC機能だけでなく、より大きなI/Oアレイも提供できるため、複雑な自動化システムに対してはリレーよりも適しています。ただし、このようなスタンドアロンのセーフティコントローラでは、プログラミングや担当者のトレーニングが必要になります。しかし、それらのデジタルエレクトロニクスによって、ソフトウェアで完全に構成可能な自動化機能が実現します。

図5：セーフティコントローラは、複数の安全機能を統合して、柔軟で再構成可能な安全設備を実現します。図の作業セルでは、1つ目の安全回路としてライトカーテンがあり、遮断状態を報知して回路スイッチを開き、ターンテーブルを停止させます。2つ目の安全回路は、ターンテーブルが停止しているときにワークピースが作業セルに入った場合、ロボットを正常に動作させるミューティング制御を内蔵しています。それ以外の場合は、この回路がスイッチを開き、ロボットを停止させます。3つ目の安全回路には、すべてのスイッチを開き、ターンテーブルとロボットの両方を停止させる緊急停止が含まれています。（画像提供：Panasonic Industrial Automation Sales）

エンジニアは、作業セル全体の配線を変更することなく、安全カバーが必要なゾーンを定義し、その設定を変更することが可能です。（その分、配線ハードウェアや工賃を削減できます）。通常、セーフティコントローラを使用した設備は、運用の進化に伴うネットワークの拡張やIIoTの接続にも対応します。

安全定格の産業制御装置における統合安全性

フェイルセーフ制御の3つ目の選択肢として、安全PLC、プログラマブルオートメーションコントローラ（PAC）、PCベースのその他の制御装置を統合することが、高度な機械装置で一般的になってきています。このようなエレクトロニクスには、機械の日常的な機能に加えて、安全機能を担うものもあります。その結果、自動化された機械装置とその運用に必要な安全機能の両方を、プログラムによって柔軟に制御できるようになりました。

まとめ

機械の十分な安全性は、用途の危険性に見合った保護を提供すると評価されたフィードバックと制御部品に依存します。機械の安全性には、部品の適切な統合、文書化、検証も必要になります。検証は、故障時でもすべての機械動作モードにおいて安全回路が正しく動作することを保証するものです。

IEC 61508 と 62061の安全ライフサイクル規格では、安全統合を正しく実施する方法が定義されています。最初のリスクアセスメントと設計から、OEMによる設置システムの性能に対する実環境での検証、そして機械設置後のエンドユーザーによる、またはエンドユーザーのための検証までが対象です。機械設置後の検証では、通常の運転シーケンス、減速、停止、リセットルーチンなどのテストを行い、機械の「ペース」を把握します。