予期しない起動を防止するために、前回はエネルギーの消散に関する要求事項を紹介しました。
予期しない起動の防止 -遮断およびエネルギーの消散編ー はこちら
ただし、機械のちょっとした設定変更やワークの交換などでは、エネルギーの遮断まではしてられないということも多々あります。
そんな時でも予期しない起動を防止するための方策の要求事項(ISO14118:2017)を紹介します。
予期しない起動を防ぐためのその他の対策 基本方針
機械は
- 起動指令が出る (下記 図1のレベルA、B)
- 起動指令がアクチュエータに伝達される (図1 レベルB⇒C)
- 起動指令が伝達された動力制御装置と機械アクチュエータが、機械にエネルギーを供給する
(図1 レベルC⇒D⇒E)
ことで起動します。
これに対して、予期しない起動を防ぐために、
- 起動指令を発生させない(上記1) ⇒ 6.2項
- 起動指令を伝達させない(上記2,3) ⇒ 6.3項
を行うことをメインとして設計します。ただし、
『モノは壊れる』
ことを前提とすると、上記2つの残留リスクとして、『予期しない起動を防ぎきれない』ことが残ります。
その方策として、
- 予期しない起動が発生したら、自動で停止する ⇒ 6.4項
も残留リスクの評価結果に応じて加えていきましょう。
図1-予期しない起動をもたらす意図しない起動コマンドを防止するためのコンポーネント/デバイスと遮断およびエネルギー消散以外の対策の適用 (ISO14118:2017より)
予期しない起動を防ぐためのその他の対策 要求事項
意図しないスタートコマンドの生成を防ぐための対策(6.2項)
この項で述べられているのは、
操作ミス、不用意な接触、振動などの外部環境や制御機器の故障による起動指令の発生の防止
です。
6.1 設計戦略
(中略)起動制御装置又はその他の部品(例えば,センサ,電力制御素子)の意図しない作動,故障又は外部影響(振動, 衝撃,電源の妨害)による起動指令の発生を防止するために制御システムで講じる措置(6.2 参照)。
手動制御装置への対策
図1のレベルA:手動制御装置(アクチュエータ)への対策です。
6.2.1 手動起動装置の意図しない作動を防止するための対策
手動起動装置の意図しない作動,及びこれらの装置の作動による予期しない結果(例えば,予期しない機械の始動,誤った方向への動きの開始)は,手動始動装置の適切な設計,位置,保護及び表示によって防止しなければならない。(以下略)
ヒトが誤って操作しないように配置(起動のみ離すなど)、モノや手が間違って当たっても動作しないような構造の操作機器を使用(引き回し式のスティック型スイッチや、カバー付きのボタンなど)、起動したくてもできないように保護(キー付きスイッチなど)を盛り込むことで、ヒトの操作の意図の有無に関係なく予期しない/意図しない指令が出ないようにしましょう。
制御システムへの対策
制御システムの故障による意図しない起動指令発生の防止は、特に安全関連部での危険側故障発生防止による信頼性を担保することが求められています。(キーワード:PFHd、パフォーマンスレベル、SIL)
動力源を遮断せずに作業する場合の方策ですので、故障しずらいコンポーネントの使用、故障しても危険側にならない設計(非対称故障モード、フェイルセーフ、冗長化 など)などで、可動部を停止させる方策同様にしっかり設計しましょう。
6.2.2 制御システムの安全関連部分の設計
制御システムの安全関連部分(図 1 のレベル A,B,C)は,ISO 13849-1 または IEC 62061 に従って設計すること。
動力制御要素への対策
レベルCの動力制御要素への対策は、振動や動力源そのものなどから受ける影響の排除になります。ISO13849-2の附属書B~Dの基本安全原則や十分吟味された安全原則を基に設計していきましょう。
6.2.3 動力制御要素の選択及び位置
動力制御機器(コンタクタ,バルブなど:図 1 参照)は,意図した使用条件下で外部からの影響(最大強度の振動や衝撃など),または定義した限度内で動力源の妨害(圧力や電圧変動など)の影響を受けて状態が変化しないように選択及び/または適用しなければならない。
動力制御装置は,必要な場合(特に手動で操作できる場合),無許可または意図しない作動を防ぐために筐体内に配置しなければならない。
停止命令維持のための対策(6.3)
続いては、
停止指令の伝達を継続するインターロック、機械連結の切離し、機械的ストッパー
についてです。
6.1 設計戦略
(中略)機械のレベル A,B,C(図 1 参照)又は機械的な遮断要素若しくは可動部(固定化)において,予期しない始動につながる意図しない始動指令を防止するために講じる措置(6.3 参照)
アクチュエータによって入力された停止指令の維持
停止指令の伝達を継続するためには、指令の優先順を、
停止指令 > 起動指令
とすることが必要であり、また
OFF/STOP状態を固定すること
で、予期しない起動指令の伝達を防ぐができます。
その固定方法としては、
- ラッチ式又はキー式の停止制御装置
- 信頼できる明確な位置指示のあるロック可能な選択スイッチ
- ロックされると手動停止制御を強制的にOFF/STOP状態にするロック可能なカバー。
などが挙げられます。
( 6.3.2項 停止制御装置(レベルA)が生成する停止コマンドを保持すること 参照)
停止制御によって出力された停止指令の維持
停止制御、特に安全機能停止による停止指令を維持するには、
6.3.3 機械制御(レベル B/C)によって生成される維持された停止コマンド
(中略)機械の予期しない起動を防ぐために、保護装置(ISO 12100 に準拠)または保護装置の組合せを提供することが可能です。この装置が発生させる維持された停止コマンドは、適切なレベルで導入されなければなりません(図1参照)。
と記載されているだけで、具体的にどのように行うべきかの記載は有りません。
他の規格(ISO12100やISO13849-1)を参考に、
- 安全が確保されるまでは、停止指令を保持する
- 停止指令が解除されても、起動の許可を与えるだけで、起動のトリガーは別指令(手動リセットなど)で与える
ことを基本方針としながら、設計することをお勧めします。
制御システムにおける安全機能の関係性 安全機能 関連フロー 参照
ハード的な対策
制御システムでの対策が取れない場合(重力などで機械が動いてしまう、流体のリークが防ぎきれずエネルギーの伝達そのものをカットする必要がある)や、より停止の信頼性を上げたい場合には、クラッチによる力の遮断や、ロックピンの挿入による機械的拘束など、ハード的な対策も行いましょう。
6.3.4 機械的な切り離し(レベル D;図 1 参照)
機械操作部からの分離を確実にするため、クラッチなどの機械的な切り離し装置を設計、選択、使用し、必要な場合は監視するものとします。
6.3.5 可動部固定(レベル E;図 1 参照)
可動部が機械と一体化した機械的拘束装置(例えば,ISO 12100:2010, 3.28.7 参照),例えば,くさび,スピンドル,支柱, スコッチによって固定されている場合,この機械的拘束装置の機械的強度は機械の始動から生じる予想力に十分耐えられるものでなければならない。
カテゴリー2停止中の安全状態(停止状態)の自動監視(6.4)
停止制御による停止指令は出力するが、エネルギーを遮断せずに停止する場合(停止カテゴリー2)、安全関連部などの装置の故障によりエネルギーが機械に流出して誤作動する確率はゼロにはできません。
前項のハード的な対策など、予期しない起動の防止措置を採れない場合には、機械の誤作動が発生した場合に、エネルギーを遮断する(停止カテゴリー0)処置などを用意する必要があります。
6.1 設計戦略
(中略)機械の危険発生部位の予期しない/意図しない起動によって危険な事象が発生する前に、その部位を自動的に停止させるために制御システムに導入された手段(6.4参照)
6.4 カテゴリー2停止中の安全状態(停止状態)の自動監視
リスクアセスメントの結果,予期しない起動を防ぐための他の手段が実行不可能な場合,一つの方法は,IEC 60204-1 に定義される停止カテゴリー2の間,停止状態を監視することである。この監視機能により動きが生じたことが検出された場合、カテゴリ 0 の停止を開始しなければならない。
制御システムのうち,監視機能を実行する部分は,安全関連と見なされるものとする。
まとめ
予期しない起動の防止のうち、エネルギーの遮断をしない場合に適用する方策についての要求事項を紹介しました。
停止指令をいかに継続するか、その方策をどのレベルで行えばよいかは、誤作動・起動指令の誤出力が発生する箇所にもよりますので、その点を見極めた上で適切な方策を選択してください。
参考文献 ISO14118:2017
