近年、機械設備の遠隔監視やリモートメンテナンスが一般化しつつあります。しかし、これに伴い、安全機能が適切に維持されなければ、作業者の安全が脅かされるリスクが高まります。このような背景を受け、ISO 13849-1:2023では、新たに 5.2.4「Remote access(リモートアクセス)」 が追加されました。本記事では、この新要件について解説します。
5.2.4「リモートアクセス」の概要
リモートアクセスとは?
リモートアクセスとは、機械の制御システムを遠隔から操作または監視する機能のことを指します。これにより、以下が可能になります:
- 遠隔地からのトラブルシューティング
- ソフトウェアのアップデート
- リモートメンテナンス
- プロセスパラメータの調整
しかし、この機能が適切に管理されない場合、作業者が機械の近くにいるにもかかわらず、予期しない起動(unexpected start-up)が発生する危険性があります。
新規要件のポイント
ISO 13849-1:2023では、リモートアクセスに関して以下の重要な要件が追加されました。
- SRP/CS(安全関連制御システム)はリモートアクセス時も正常に動作すること
- リモートアクセスを許可する場合は、追加のリスク低減措置を適用すること
- 機械の周囲または内部に作業者がいることを検知できない場合、リモート操作を禁止すること
- 安全関連ソフトウェアの変更は、リモートでは実施できず、ローカルでの検証が必須であること
要求事項1.SRP/CSの継続動作
条文: "When the machine control system can be accessed remotely, the SRP/CS shall remain operational."
機械制御システムにリモートアクセスが可能な場合、安全関連制御システム(SRP/CS)は動作を継続しなければならない。
実務的意味:
- リモートアクセス機能の有無に関わらず、安全機能は常に有効でなければならない
- リモート接続の確立や切断によって安全機能が無効化されてはならない
- 通信障害時にも安全機能は フェイルセーフ 動作を維持する
要求事項2.追加リスク低減措置の適用
条文: "Additional risk reduction measures can be used when provided in the information for use."
使用上の情報で規定される場合、追加のリスク低減措置を使用することができる。
実務的意味:
- リモートアクセスによる追加リスクに対する補完的措置
- 取扱説明書等での明確な手順規定
- 作業者訓練や認証システムの導入
要求事項3.作業者存在による危険状況の防止措置
条文: The design of the SRP/CS shall only allow remote access of a machine when specific measures are in place to prevent dangerous situations that can arise due to the undetected presence of persons being inside or near to the machine (e.g. see 5.2.2.2)."
SRP/CSの設計は、機械の内部または近傍における人が検知されない場合により生じうる危険状況を防止する具体的措置が講じられている場合にのみ、機械のリモートアクセスを許可しなければならない。
重要な解釈:
- 単純に「検知できない場合の禁止」ではない
- 検知されない存在による危険状況を防ぐ具体的措置の実装が必要
- 5.2.2.2(手動リセット機能)との関連性を考慮する
要求事項4:安全関連ソフトウェアの変更制限
条文: "Safety-related software of the SRP/CS shall not be modifiable by remote access unless the local validation of the safety function is performed."
SRP/CSの安全関連ソフトウェアは、安全機能のローカル検証が実行される場合を除き、リモートアクセスによって変更可能であってはならない。
実務的意味:
- 安全関連パラメータのリモート変更は原則禁止
- 変更を行う場合は現地での安全機能検証が必須
- 変更履歴の適切な管理とドキュメント化
なぜこの要件が追加されたのか?
作業者の安全確保
リモートアクセスによって、遠隔地から機械を起動することが可能になると、作業者が意図せず危険な状況に晒される可能性があります。たとえば、
- メンテナンス中に機械が突然動作してしまう
- 作業者が機械の内部にいる状態でリモートスタートが実行される
- ガード開放中のリモート操作により、挟まれ・巻き込まれが発生する
といった事故を防ぐために、これらの要件が追加されました。
リモートによるソフトウェア変更のリスク
安全関連の制御ソフトウェアがリモートで変更されると、その変更が適切に機能するかどうかの検証が不十分なまま機械が動作してしまうリスクがあります。そのため、リモートでのソフトウェア変更を禁止し、現地での検証を義務付けることで、安全性を向上させることが求められています。
実務での対応策
ISO 13849-1:2023の新要件に適合するためには、以下の対応策が推奨されます。
1. リモート操作を制限する
- ローカルでのモード制御を実施し、リモートモードの時のみリモート操作可能とする。
- リモート操作は、適切な認証手続き(パスワードや多要素認証)を経てのみ可能にする。
- リモートモードで許可する操作を制限する。(現地確認が必要な操作は、リモート操作に割り当てない)
2. 作業者の存在を検知する仕組みを導入する
- 安全スキャナーなどを使用して、作業者が機械の近くにいるかどうかを検知する。
- 作業者が近くにいる場合、リモート操作を無効化する仕組みを組み込む。
- 安全機能作動後は、ローカルでの安全確認によるリセット操作を必須とする。
3. ソフトウェア変更時のローカルでの確認を徹底する
- 安全関連ソフトウェアの変更は、現場で適切に検証・確認した上で適用する。
- 変更履歴を適切に管理し、不正な変更が行われていないか監視する。
4. メンテナンスモードでのリモートアクセスを制限する
5.2.1の要求事項に基づき、メンテンナンスモード時は以下を実装する:
- リモートアクセスの完全無効化
- 現地作業者への適切な通知・表示
- メンテナンス完了まで通常運転への復帰禁止
まとめ
ISO 13849-1:2023に新たに追加された 5.2.4「リモートアクセス」 の要件は、リモート操作や遠隔監視が普及する現代において、作業者の安全を確保するために不可欠なものです。機械メーカーやエンジニアは、この新要件を理解し、適切な対策を講じることで、安全かつ効率的なリモート運用を実現することが求められます。
今後の機械設計では、リモートアクセスの利便性と安全性のバランスを取ることが重要な課題となるでしょう。
