こんにちは!今回のブログ記事では、産業用機械メーカーの機械または制御系の設計エンジニア向けに、IEC 62061の7.4.3に関する解説を行います。このセクションは、サブシステムの異常検出時に安全関連制御システム(SCS)がどのように振る舞うべきかについての指針を提供しています。
概要
IEC 62061の7.4.3は、システムの安全性を保証するために、サブシステムの障害検出時の安全関連制御システム(SCS)の振る舞いを規定しています。これは、システムが障害に対してどのように反応し、その障害をどのように診断し、そしてその障害にどのように対処すべきかを示しています。
故障検出時の要件
このセクションでは、システムが障害に対応するための基本的なフレームワークが示されています。
- ハードウェア故障許容度が1以上のサブシステムでは、危険な故障が検出された場合に障害反応機能が実行されなければなりません。つまり、障害が発生した場合でも、システムは安全な状態を維持するために必要な措置をとらなければならないということです。
- 故障したサブシステムの一部を隔離し、故障した部分が修理される間、機械の安全な動作が継続できるようにすることが必要です。
- 故障した部分が所定の最大時間内に修理されない場合、安全な状態を達成するために2回目の異常反応が実行されなければなりません。
- 安全関連制御システム(SCS)がオンライン修理(稼動中の修理)を目的として設計されている場合でも、故障した部分の隔離は、これが安全要求仕様(SRS)で指定されたものよりもSCSのPFHを増加させない場合にのみ適用されます。
これにより、システム全体の安全性が確保されます。また、故障部分の分離が許容されている場合、機械の安全な動作を継続しながら故障部分が修理されることができます。
例1:工業用ロボットのアーム制御サブシステムがハードウェア故障許容度を1として設計されている場合を考えます。このサブシステム内で危険な故障が検出された場合、システムは指定された障害反応機能を実行します。これにより、ロボットのアームはすぐに安全な位置に移動し、作業員に危害を及ぼさないようにします。
例2:複数のサブシステムが連携して動作してる自動生産ラインで、一部のサブシステムに問題が発生した場合、他のサブシステムに影響を及ぼさないように隔離が行われます。しかし、隔離されたサブシステムの故障が修理されないまま長期間放置されると、他のサブシステムにも影響が出る可能性があります。そのため、システム全体の安全性を維持するために、故障部分の修理が推定最大時間を超えると、システムは再び障害反応を実行し、全体が安全な状態になるようにします。
この節の内容を理解することで、サブシステム内の危険な故障の検出と対処に関する重要性が把握できるでしょう。設計エンジニアは、システムの安全性を確保するために、障害反応機能の設計や故障時のシステムの挙動を慎重に検討する必要があります。また、故障部分の隔離と修理のタイミングやオンラインでの修理が可能かどうかにも注意を払う必要があります。
障害反応機能
障害反応機能は、システム内のサブシステムが危険な障害を検出したときに実行されるアクションです。これらの機能は、システムが安全な状態に戻るか、安全な状態を維持することを目的としています。以下に、障害反応機能の具体例をいくつか示します。
例3:産業用ロボットアームが過負荷状態を検出した場合、障害反応機能はロボットアームの動作を緊急停止させることができます。これにより、機器への損傷や作業者への危険が回避されます。その後、過負荷状態が解消されるまでロボットアームは再起動されません。
例4:工業用モーターの温度センサが過熱を検出した場合、障害反応機能が働き、モーターの動作が自動的に停止します。この停止により、機器の損傷や火災のリスクが軽減されます。モーターの温度が安全な範囲に戻るまで、システムは再起動されません。
例5:プレス機には、作業者が機械内に手を入れることを防ぐための安全ドアが設置されています。安全ドアが開いた状態で機械が作動しようとした場合、障害反応機能が働いて、プレス機の動作が自動的に停止します。作業者の安全が確保されるまで、機械は再起動できません。
このセクションでは、ハードウェア障害耐性がゼロのサブシステムにおいて、障害反応機能が必要な条件を示しています。
- 診断テスト間隔と障害反応機能を実行する時間の合計がプロセス安全時間(例:ISO 13855に記載)よりも短いことが求められます。 この要件は、障害が発生した場合にシステムが迅速に安全な状態に遷移することを保証します。
- 高い要求モードでの操作時には、診断テスト率と要求率の比率が100以上になるように設計する必要があります。 これにより、システムは障害が発生する可能性が高い状況でも、適切な障害対策が講じられることが保証されます。
- SIL 3として指定されたSCSの一部として障害反応機能が実行され、機械が停止した場合、故障が修理または是正されるまで、SCSを介した機械の通常操作(例:機械の再起動を可能にする)を行えるようにしてはいけません。SIL 3未満の指定された安全性能を持つSCSの場合は、関連する障害反応機能の仕様に依存して(5.2.2参照)、障害反応機能の実行後の機械の振る舞い(例:通常操作の再開)を決めます。
SIL 3のSCSに関しては、障害反応機能が実行された後、故障が修理または是正されるまで、通常の機械操作は不可能です。これは、システムの安全性を最優先し、潜在的な危険を回避するための重要な措置です。
例6:工業用ロボットの制御システムがSIL 3に指定されている場合、障害が発生しロボットが停止した後、故障が修理されるまでロボットの再起動ができません。
例7:自動制御システムがSIL 2に指定されている場合、障害反応機能が実行されても、設計者が指定した条件下で機械の通常操作を再開することができる場合があります。
これらの例からも分かるように、障害反応機能は機械やシステムの安全性を確保するために極めて重要です。このセクションは、設計エンジニアが適切な障害反応機能を実装する際の指針を提供しており、遵守することでシステム全体の安全性が向上します。機械や制御系の設計においては、障害が発生した際にシステムが迅速かつ効果的に対応できるよう、障害反応機能の設計と実装に十分な注意を払いましょう。
診断カバレッジ(DC)
診断カバレッジ(DC)は、危険故障の割合として計算され、システムの安全性を評価する上で重要な指標です。DCは以下の式を使用して計算できます。
DC = ∑ 𝜆DD /∑ 𝜆D
ここで、𝜆DDは検出されるハードウェアの危険故障率であり、𝜆Dはハードウェアの危険故障率です。
故障モード効果解析(FMEA)、故障モード効果診断解析(FMEDA)などの手法を使用してDCを推定することができます。これらの手法では、すべての関連する故障や故障モードを考慮する必要があります。
診断カバレッジが高いほど、システムは危険な故障を効果的に検出し、対処できる能力が高いと言えます。ロボットアームの診断カバレッジが90%だと仮定しましょう。これは、システムが危険な故障の90%を検出し、対処できることを意味します。しかし、残りの10%の危険な故障は、検出されずに安全関連制御システムが正常に機能せずにケガ・災害につながる可能性があります。このリスクを最小限に抑えるために、システムの診断カバレッジを向上させることが望ましいです。
ポイント
障害検出時:障害が発生した場合でも、システムは安全な状態を維持するために必要な措置をとらなければなりません。これにより、システム全体の安全性が確保されます。また、故障部分の分離が許容されている場合、機械の安全な動作を継続しながら故障部分が修理されることができます。
障害反応機能:障害反応機能の実行に必要な時間と診断テスト間隔の合計がプロセス安全時間より短くなければなりません。適切に設計、実装することで、障害が発生した際にシステムが迅速かつ効果的に対応できます。
診断カバレッジ(DC):診断カバレッジ(DC)は、システムが危険な故障を検出する能力を示す指標であり、故障モード効果解析(FMEA)や故障モード効果と診断解析(FMEDA)などの手法を使用して推定することができます。診断カバレッジを適切に評価し、システムの安全性を向上させるための改善策を検討する必要があります。
まとめ
IEC 62061の7.4.3は、システムの安全性を保証するために、サブシステムの故障検出時の安全関連制御システム(SCS)の振る舞いを規定しています。これは、システムが故障に対してどのように反応し、その故障をどのように診断し、そしてその故障にどのように対処すべきかを示しています。この理解は、システムの安全性と信頼性を確保するために重要です。
これらの知識を活用して、より安全で効率的なシステム設計を行いましょう!
それでは、次回のブログ記事でお会いしましょう。お読みいただきありがとうございました!
