国際規格ISO13849-1に基づく「制御システムの安全関連部」の設計方法

機械設備を停止させることによって安全を確保する場合、その停止制御機能は「制御システムの安全関連部」として設計しなければなりません。
この制御機能が故障すれば事故につながるため、単なる停止制御機能回路ではなく、停止させる危険源のリスクに応じて「故障が発生した場合でも停止機能を維持できる回路」を設計しなければなりません。
この回路の設計と評価の手法は国際規格「ISO13849-1」にまとめられています。 ISO13849-1では、危険源のリスクの大きさに応じたパフォーマンスレベル(PL)に見合った制御回路とすることが求められます。
PLとは、時間当たりの危険側故障の発生確率で評価され、アルファベットの”a”~”e”までの5段階に区分されています。
止めるべき危険源のリスクの大きさに応じて制御回路を設計するためには、リスクアセスメントでの評価結果からリスクの大きさに要求されるPLを決定し、そのPLを達成可能な回路設計し、完成した制御回路が要求されるPLを達成しているかを評価し、達成していれば、制御システムの安全関連部の設計は完了します。
この時、回路構成は「カテゴリ」という回路の性能要求にしたがって設計し、使用する部品の信頼性(MTTFD)、回路の危険側故障の検知レベル(DC)、共通原因故障(CCF)を回避する設計となっていることを評価し、要求されるPLを達成しているかを判断します。

要求されるパフォーマンスレベル(PLr)

先の評価によって決定されたPLr(a〜e)が安全に関する制御システムに最低限必要なPLとなりますが、そのPLを構築するには、次の①カテゴリ ②MTTFd ③DCavg ④CCFを総合的に評価した結果が、要求パフォーマンスレベル(PLr)以上となる必要があります。

ISO13849-1:2006におけるPLrの評価

パフォーマンスレベル(PL)を決定する4つの要素

先の評価によって決定されたPLr(a〜e)が安全に関する制御システムに最低限必要な「パフォーマンスレベル」となりますが、そのパフォーマンスレベルを構築するには、次の①カテゴリ ②MTTFD ③DCavg ④CCFの総合した数値が、要求性能レベル(PLr)を超える必要があります。

1.カテゴリー(Category)
制御システムの安全関連部(機械の安全機能を実行する部分)の性能要求とを定義しています。回路の構造はI(入力機器)、L(論理処理)、O(出力機器)の要素を用いて具体的に示しています。

2.MTTFD(Mean Time To Dangerous Failure):平均危険側故障時間
ISO13849-1でMTTFDは「危険側故障を生じるまでの平均時間の期待値」と定義されています。
システムや、デバイスなどを使用開始してから危険側故障が発生するまでの平均使用時間のことで、High、Medium、Lowに分類されます。

3.DC(Diagnostic Coverage):診断範囲
ISO13849-1でCCFは「診断効果の尺度であり,検出される危険側故障率(分子)と全危険側故障率(分母)との比として決定することができる」と定義されています。
診断範囲は、制御システムの全危険側故障のうち検知可能な危険側故障の比率(パーセント)で示されます。

4.CCF(Common Cause Failure):共通原因故障
ISO13849-1でCCFは「単一の事象から生じる異なったアイテムの故障であって,これらの故障が互いの結果ではないもの。」と定義されています。
制御システムの安全関連部での共通原因故障の評価は共通原因故障を排除する設計手順や工学手法などを適切に活用しているかをチェックリスト(ISO13849-1Annex F)で確認しチェック項目の総合ポイントでCCFを考慮した設計となっているかを判断します。