機械製品に対する安全要求と設計方法

第16回 制御システムの安全設関連部(SRP/CS)

本項においてはISO-18849の内容を解説します。

1. １制御システムの安全関連部(SRC/CS)は、安全機能を提供する部分であり、ハードウェアとソフトウェアから構成する。
2. ２制御システムの安全機能は、パフォーマンスレベル（PL:Performance Level）と定義される5通りのレベル(a、b、c、d、e)のうち一つに振り分けられる。
3. ３安全機能の危険側故障発生確率は、ハードウェア並びにソフトウェアの構造、障害検出機構の程［診断範囲(DC)］、コンポーネントの信頼性［平均危険側故障時間(MTTF_d)、共通原因故障（CCF)］、設計プロセス、運転ストレス、環境条件と運転手順による。
4. ４カテゴリとは、達成したPLの査定を容易にするものであり、設計基準と障害条件に従った構造分類であり、5通りのレベル（B,1,2,3,4）に分類できる。
5. ５PLとカテゴリは表1に示す制御システムの安全関連部に適用する。

表１　PLとカテゴリの適合

1. １安全機能特性を特定し、実現方法を決定
2. ２安全要求性能レベル（PL_r:Required Performance Level）を決定
3. ３PL_rと同等以上の安全性能レベル（PL）を構築するために、カテゴリ（システムの構造）、診断範囲などを選択
4. ４システマチック故障、コンポーネントを考慮してSRC/CSを設計
5. ５ソフトウェアは、V（字）モデルに基づいて設計
6. ６SRC/CSの安全性能レベルの達成度について評価
7. ７安全性能レベルが、安全性能要求レベルを満足しているかを「分析」と「試験」により検証
8. ８分析による評価：FMEA、FTAなどの手法
9. ９試験による評価：通常および異常条件に対しての機能・性能試験

図１　制御システムの安全関連部の設計のフローチャート

１．安全機能の特性

SRC/CSにより提供される安全機能との概要と要求を表２に示す。設計者は、特定の用途の制御システムで要求される安全方策を達成するために、この表の必要な安全機能を実現しなければならない。

表２　SRC/CSにより提供される安全機能の概要と要求

２．要求PL_rを決定する

設計者は、SRP/CSに備えるべき安全機能特性を前項より選択し、図２の左に示すS(障害のひどさ)、F(危険源への接近頻度)、P（危険源を回避する可能性）からその要求性能レベル（PL_r）を決定する。次に、それに見合うように、カテゴリや診断範囲などを選択し図２の右に示す5段階（a、b、c、d、e）の性能レベルを設定する。表３にPLの性能レベルを示す。

表３　PLの性能レベル
	図２　PLrの設定とPLの見積もり

３．SRC/CSの設計

技術的実現性や用いるべき安全機能を想定して、制御システムの安全設計からSRC/CSを設計する代表的な安全機能は、図３のダイヤグラムで表現され、SRP/CSは次の組合せによる。

• 入力(SRP/CS_a)
• 論理／処理(SRP/CS_b)
• 出力／動作制御要素(SRP/CS_c)
• 相互接続手段（i_ab,i_bc）(たとえば、電気的、工学的)

図３　代表的な安全機能のダイヤグラム

４．達成されるPLの評価とSILとの関係

ISO13849においては、SRC/CSの安全機能は、性能レベル（PL：Performance Lebel）により明示される。そのため、選択されたそれぞれのSRC/CS（単独または組合せ）について、PLの評価をはじめに行う。PLとSILの関係を表４に示す。SRC/CSのPLは、以下に示すパラメータの評価によって示される。

表４　PLとSILとの関係	表５　MTTFdとDC

個々のチャンネルのMTTFdは表5に示す三つのレベルに分類されており、それぞれのチャンネル（たとえば単独のチャンネル、冗長システムの個々のチャンネル）について考慮しなければならない。

個々のコンポーネントのMTFFdのデータの見積もりは、以下に示す順序でおこなう。

• メーカのデータ
• ISO13849の付属書CおよびDに示される手法
• 10年を選択

DCは、SRP/CSにおける診断機能の尺度で、表５に示すように四つのレベルで定義される。DCは、SRP/CSの不具合に対する自己診断の範囲または有効度であり、診断の方法と監視の頻度により評価される。

DCは、検出された危険側障害の確立λ_DDと全体の危険側障害の確立λ_totalの分数で表わされる。

DC=Σλ_DD/Σλ_total

表６　CCF対策と定量化

ある原因により引き起こされる複合的な故障であり、設計や製造プロセスの修正、試験や運用手順の改訂など、すべてを検討することにより除去できる。

(i) システマチック故障を抑制する

システマチック故障は、制御の結果を監視することにより、回避可能である。そのため、監視機能や自動試験機能を組込んでおく。

(ⅱ) システマチック故障の回避

システマチック故障は、以下の手段により回避できる。

• コンポーネントや材料の選択では、使用条件に対して定格を十分に満たす。また、FMEAが明確になっているか、安全規格に合格しているコンポーネント・モジュールを使用する。
• コンポーネント・モジュールなどの仕様（電圧・電流など）を系統的にシミュレーションして故障を想定する。

(ⅲ) SRP/CSの開発過程でのシステマチック故障の回避

SRC/CSの開発過程において機能試験やプロジェクトマネージメントを実施し、その内容を文書化しておくことにより、システマチック故障を回避できる。

ソフトウェアは、SRP/CSの設計において、特にシステマチック故障の発生を自動的に繰り返し診断するソフトウェアを採用することが必要である。そのために図４に示すV（字）-モデルを採用し、ソフトウェアを読みやすく、理解しやすく、試験しやすく、かつ保守しやすくする。V（字）-モデルの左側は設計活動であり、右側はデバック（試験）である。設計時点で試験方法や期待される結果を明確にしておくことにより、試験による検証が容易になる。

図４　V(字モデル)

［１］ 安全関連の組込みソフトウェア（SRESW）

PL_rのa～dの場合の対策

• モジュール化や構造化設計、並びにコーディング。
• 機能試験、たとえば、ブラックボックス試験。　など

PL_rがcまたはdの場合の対策

• ISO9001と同等のプロジェクト管理と品質管理。
• 安全要求事項で構造化された使用と設計。　など

PL_rがeの場合は、IEC61508-3:1998 7.のSIL3を満足する。

［２］安全関連のアプリケーションソフトウェア（SRASW）

PLrのa～eの場合の対策

• ［1］と同様

PL_rがc～eの場合の追加方策

• ツール、ライブラリ、言語を統一する。
• SRASWと非SRASWのデータの論理的結合があってはならない。

５．カテゴリと各チャンネルのMTTF_d、DC_avg、CCFの関係

カテゴリは、PL_rを満足するシステムを構築するための基本的な要素であり、故障に対する耐性に関して、２，３項で述べた設計上の考慮（例えば、コンポーネントの不具合、共通原因故障を検知するための診断範囲など）に基づきSRP/CSに要求される内容を示したものである。

• カテゴリB：基本的カテゴリである。故障の発生は、安全機能の喪失つながる。
• カテゴリ1：このカテゴリにおいては、故障に対する改善は、主としてコンポーネントの選択と適用により達成される。
• カテゴリ2～4：これらのカテゴリにおいては、特定の安全機能に関し、性能上の改善は、主としてSRP/CSの対応により達成される。
• カテゴリ2：このカテゴリにおいては、特定の安全機能が実行されていることを定期的にチェックすることにより安全機能の有効性が確認される。
• カテゴリ3と4：これらのカテゴリにおいては、単一の故障が安全機能の喪失にならないことにより高い安全性が達成される。
• カテゴリ（3と）4：カテゴリ4において（とカテゴリ3において合理的に実施可能な場合）、SRP/CSの故障は検出される。カテゴリ4では、故障の蓄積に対する耐性をもつ。

表７　障害が発生した場合のSRO/CSからカテゴリへの要求事項

各SRP/CSは、関連するカテゴリの要求事項に適合しなければならない。重要なことは、図５で示されるPLは、カテゴリ、各チャンネルのMTFF_dとDC_avgによって、指定アーキテクチャに基づいているということである。

［１］カテゴリB

カテゴリBには「基本安全原則」が適用される。

カテゴリBでは、単一故障が発生すると、安全機能の損失を招くことがある。

カテゴリBのシステム内では、診断範囲がなく（DC_avg＝0％）、かつ、各チャンネルのMTTF_dは低～中までとなる。

テゴリBによって達成可能なPLは、bである。

カテゴリBの指定アーキテクチャを図５に示す。

図５　カテゴリBと1の指定アーキテクチャ

［２］カテゴリ1

カテゴリBの要求が適用される。カテゴリBと1の指定アーキテクチャは同じであり、どちらも、基本安全規格が適用される。そのうえで「十分に吟味されたコンポーネント」の使用が要求される。

十分に吟味されたとしての能力は、そのアプリケーションに依存する。たとえば、ポジティブの接点を備えた位置スイッチであり、これを確実にするために以下の対策を講じる必要がある。

• 調整後にスイッチの固定を確実にするための手段。カムの固定を確実にするための手段
• 位置スイッチのオーバトラベル回避のための手段

発生確率はカテゴリBより低いが、故障時に安全機能の喪失を招くことがある。

カテゴリ1のブ指定アーキテクチャは、カテゴリBと同じである。

［３］カテゴリ2

カテゴリBの要求と「十分吟味にされた安全原則」が適用される。安全機能は、制御システムにより適切な間隔で点検する必要がある。

カテゴリ2は、カテゴリ1に機能の監視が追加されたことが特徴である。ただし、故障が起きると、点検と点検の間で安全機能の喪失を招くことがある。このような安全機能の喪失も、点検により検出される必要がある。

カテゴリ2の指定アーキテクチャを図６に示す。

図６　カテゴリ2の指定アーキテクチャ

［４］カテゴリ3

カテゴリBの要求と「十分吟味にされた安全原則」が適用される。

カテゴリ3のSRP/CSは、以下のように設計される。

• 単一の故障が安全機能の喪失を招かないこと。
• 二つの論理装置により単一の故障を確実に検出する。

なお、検出されない故障が累積した場合には、安全機能の喪失を招くことがある。

カテゴリ3と4は、L1、L2という別々の論理装置を装備し、相互に比較することを要求している。（多様性：ダイバーシティ）。

カテゴリ3の指定アーキテクチャを図７に示す。

図７　カテゴリ3と4の指定アーキテクチャ

［５］カテゴリ4

カテゴリBの要求と「十分吟味にされた安全原則」が適用される。カテゴリ3は、単一故障を検知するだけであるが、カテゴリ4は累積故障（二つ以上の故障）を防ぐ設計とする。

カテゴリ4のSRP/CSは、以下のように設計される。

• 単一故障が安全機能の喪失を招かないこと。
• 単一故障は、次の安全装機能が働く前に検出されること。検出が不可能でも、累積故障による安全機能の損失を招かないこと。

カテゴリ4の指定アーキテクチャは、カテゴリ3と同じである。

安全機能は、入力システム、信号のプロセスユニット、出力システムなどいくつかのSRP/CSを組合せることによって実現できる。これらのSRP/CSには、いくつかの異なったカテゴリが含まれる場合があるので、SRP/CSのカテゴリ選定は、前述の五つのカテゴリを参考に選択する必要がある。

SRP/CSを組合せたもののPLは表８を参考にして決めるが、全体を監視機能（例えば、入出力、もしくは、入力と動力からのフィードバック信号を監視するなど）を設けることにより安全を確保すべきである。

表８　SRP/CSを組合わせたPLの例

６．達成したPLと要求PL_rの適合性検証

構築されたSRO/CSのPLを計算し、要求性能PL_rと同等以上であることを確認し文書化する。必要に応じて根拠となる計算式も記述しておくこと。

ここで確認された妥当性は、使用上の情報の漏れの確認を含み、提供される使用上の情報による設置後の危機対策にも活用される。

妥当性の確認の結果、PL_rが達成されていない場合には、設計変更が必要となる。

オペレータとSRP/CSとのインタフェースは、機械のすべての使用条件と誤使用において危険が発生しないように設計されなければならない。

人間工学の利用により、SRC/CSを含む機械と制御システムが操作しやすくなり、危険な作業を誘導しにくくなる。

７．妥当性の確認

妥当性の確認とは、「SRP/CSの安全機能について特別の要求事項に適合することを審査する」ことである。妥当性確認では、要求された安全機能(PL_r)とSRP/CSによる安全機能(PL)がISO13849を満足していることを明らかにすることでもある。

妥当性の確認は、以下の２項目について実施する。

• 分析：トップダウン技法として、FTAやETAを用いる。
• 適合試験：分析では十分に確認ができなかった場合、試験を実施して確認する。予想される環境条件下(振動、温度、湿度、EMCなど)で装置が機能することを確認する。

８．技術資料

SRP/CSを設計するにあたって、以下に示す情報を資料化しておく。

• SRP/CSの安全機能
• それぞれの安全機能の特徴
• SRP/CSの機能の正確な開始時点と終了時点
• 使用環境条件
• 性能レベル(PL)
• 選択したカテゴリ
• 信頼性(MTTF_d、DC、CCF、寿命時間)に関するパラメータ
• システマチック故障に対する対策
• 対策として採用した技術
• 考えられた故障
• 除外された故障
• ソフトウェアの資料
• 合理的に予見可能なご使用に対する対策

制御システムの安全設関連部(SRP/CS)(752KB)

戻る