資　料

47JTEKT Engineering Journal No. 1005 (2008)

産業分野における ｢機械安全 ｣の潮流 （安全の定性的評価から定量的評価へ）

"Machine Safety" Trend in Industrial Field - From Qualitative to Quantitative Evaluation -

宮脇　信芳　N.MIYAWAKI

In the machine safety fi eld, the conventional EN954-1 1997 (former ISO13849-1) Safety of machinery general principles for design Part 1: Safety-related parts of control system has prescribed that a programmable logic controller(PLC) should not be used in safety related control system. On the other hand, as micro processor(MP)technology has remarkably progressed in recent years, safeguard devices using a microprocessor have been used or are going to be used in various industrial fi elds. This global trend has been triggered by International safety standard IEC615081), in which the conventional qualitative Machine safety standards were developed to quantitative safety standards. This international safety standard was in effect in 2000. After that, the safety system which employs MP like a safety PLC has been authorized by a third party certifi cate body and the safety device is being put in practical use in various fi elds. This report explains contents of IEC61508, the certifi cation steps and the trend and future of function safety devices in FA fi elds including safety PLC which is JTEKT s products with IEC61508 certifi cation.

Key Words: machine safety, safety standard, functional safety, SIL (safety integrity level),　　　　　　PFH (probability of failure per hour), dangerous fraction, state of the art

１．はじめに

現在，機械安全の国際安全規格 ISO12100２）（機械類の安全性̶基本概念，設計のための一般原則 , 2004年制定）において，｢プログラマブル電子制御システム

は，各々の安全機能に対して指定された性能，たとえば，

IEC61508での安全水準レベル（SIL）が達成されることを確実にするために妥当性確認を行い取り付けるべき

である．｣と規定されている．このため，マイコンなど

を使用した電子制御システムは IEC61508に基づいてSILの妥当性確認，すなわち，第三者機関の SIL認証により安全関連制御に使用することが可能となる．機械分

野においては，2006年に従来の制御システムの安全設計ガイド規格であった EN954-1（旧 ISO13849-1）が改定され，従来の定性的な安全カテゴリ評価と IEC61508の定量的安全評価を取り入れた新しい ISO13849-1３）

（2006年制定）が発効された．もっとも安全設計の急激

な変化による市場の混乱を避けるため，2008年 10月までは過渡期とされ，現在は新旧規格の併存期間となって

いる．ここでは現在さまざまな産業分野の安全制御に

影響を与えている IEC61508規格と当社機能安全製品の紹介，関連参照規格と FA分野における今後の影響，および応用分野について説明する．

２． 安全の定性的評価から定量的評価

表１に，従来の FA分野での制御システムの安全設計ガイド規格であった EN954-1による定性的な制御カテゴリの層別基準を示す．FA分野においては通常はカテゴリ２，３，４が通常の適用範囲となる．

産業分野における ｢機械安全 ｣の潮流

48 JTEKT Engineering Journal No. 1005 (2008)

カテゴリ 2：1チャンネル構造で，定期的に自動診断を実施し，チェック間隔の時間に故障した場合，次のチ

ェックまでの安全機能の喪失が考えられる（図１）．

カテゴリ 3：2チャンネル構造で，単一故障では安全機能を喪失しない．ただし，すべての単一故障を発見で

きないため，未検出故障の蓄積により安全機能の喪失が

考えられる（図２）．

カテゴリ 4：2チャンネル構造で，すべての単一故障を発見できる．複合故障の場合の故障蓄積でも安全機能

を喪失しない（図3）．

EN954規格の特長は，上記の安全カテゴリの判断は容易に理解し決定できる点である．しかし，EN954-1においては，システムが，正しく設計されていること

が前提であり，急速に発展した最新技術（state of the art technology）により複雑化している制御装置に対して適合しておらず，またそこに組み込まれているソフ

トウェアの評価にも全く対応していなかった．これらの

最新技術に対応した製品を実用化するために IEC61508が発効された．

IEC61508と EN954との相違点として，主として以下の項目が挙げられる．

（1）安全システムの定量的なリスク管理と評価（2）設計から廃棄までのライフサイクル管理（3）ソフトウェアのライフサイクル管理

表1　EN954-1 における安全制御カテゴリSafety control system category shown in EN954-1

カテゴリ 要求事項 安全確認

Ｂ・機械制御システム安全関連部の目的機能を実現すること

・故障発生時，安全機能を損なう場合が十分起こりえる

1・カテゴリＢの要件を満たすこと・十分吟味された高信頼のコンポーネントを使用し，安全の確保は安全原則に従うこと

・カテゴリＢと同様であるが，安全関連部の安全確保機能の信頼性が高い

2・カテゴリＢの要件を満たすこと・安全の確保は安全原則に従うこと・安全機能は，適当な感覚でチェックされること

・安全機能の消失はチェックによって検出されるが，チェック間隔時間の間では，安全機能は損なう

3・カテゴリＢの要件を満たすこと・安全の確保は安全原則に従うこと・設計要件：単一故障で安全機能を損なわないこと．単一故障は，出来る限り検出されること

・単一故障で安全機能は損なわれない・全てではないが，故障の検出ができる・未検出故障の蓄積によって，安全機能を損なう場合がある

4

・カテゴリＢの要件を満たすこと・安全の確保は安全原則に従うこと・設計要件：単一故障は安全機能実行時，もしくはその前に，検出されること．これが実施できないときは，故障の蓄積で安全機能を損なわないこと

・故障が生じた場合，常に安全機能は損なわない・単一故障はすべて検出できる・故障は，安全機能実施の前の段階で安全機能実施が必ず間に合うように予防措置として検出される

チェック

故障

安全機能喪失

チェックサイクル

チェック

図1　EN954で示される安全制御カテゴリ2Safety control system category 2 shown in EN954

図2　EN954で示される安全制御カテゴリ3Safety control system category 3 shown in EN954

図3　EN954で示される安全制御カテゴリ4Safety control system category 4 shown in EN954

産業分野における ｢機械安全 ｣の潮流

49JTEKT Engineering Journal No. 1005 (2008)

３．国際安全規格　IEC61508とその関連規格

IEC61508は機能安全（Functional safety）に関する規格である．機能安全については，IEC（International　Electrotechnical Commission) のホームページに以下の内容の説明がある．

Functional Safety IEC61508 -- - - - -“ What is functional safety?”たとえば，過熱保護装置において，電気モータの巻線

の中に過熱前に，モータの電源を切るために温度センサ

を使用することは機能安全の実例である．しかし，高温

に耐える特殊な断熱材を用いることは、安全の実例であ

り，同様の危険に対して保護は可能ではあるが機能安全

の実例ではない．

機能安全とは，その入力に応じて正確に作動するシス

テム・機器に依存する全体の安全システムの一部である．

すべての安全機能が実行され，各安全機能に要求される

パフォーマンスのレベルに対応する場合，機能安全が達

成される．どんな高温にも耐えられるような材質で設計

されたモータはむしろ本質的な安全に分類される．

本規格は現在においては，最新技術を安全目的に使用

するために，各産業分野で適用されている．現在の各分

野の国際安全規格の相互関連を図４に示す．

ISO26262は，自動車エレクトロニクスの機能安全規格であり現在作成中である．IEC61508については，①産業機械が対象であり消費材を対象としていく方向性は

ない．②産業機械においてはリアルタイム組込みシステ

ムの適用は現在のところ非常に少ない，③産業機械と消

費材のライフサイクルの違いなどがありそのままの適用

は難しいと考えられる．しかし，本規格が自動車などの

消費材分野にまで影響を及ぼしており，まさに工業分野

での ｢安全 ｣の潮流が変わりつつあるといえる．

４． IEC61508について

IEC61508はパート 1から 7まである膨大な規格であるが，主な記述は以下の三つの内容区分に分けられる．

また製品の認証を取得するためには，以下の各項目の要

求事項を開発製品の SIL目標にあわせ，これらを満足させることが必要である．

4.1　FSM機能安全マネジメントシステム

　・会社組織レベル

　・責任範囲の定義

　・スタッフのトレーニングと資格

　・組織内ガイドラインと参照標準類

　・独立したアセスメント部門と審査

　・各標準類の維持改善活動

　・市場で発見された不具合，クレームの分析と監視

FSMの内容は，上記内容より ISO9000シリーズのQM（品質マネジメントシステム）に非常に似ており，まさに品質を安全に置き換えた活動が必要になる．注目

すべきことは，対象製品の SIL目標にあわせて，独立したアセスメント部門が個人→部署→組織と層別されて

いることである．

4.2　ハードウェア

ハードウェアについては危険側故障率の定量的評価が

必要になり，下記データより SILを算定する．規格上は PFDと PFHの二種類であるが，FA分野では PFH（1時間当たりの危険側故障確率）が採用される（表２）．ランダムハードウェア（random hardware failures）　故障評価

FMEA 部品の故障率

安全故障率（SFF） 診断範囲（DC） 共通原因未検出故障率（β）

プルーフテスト間隔（T）

図4　IEC61508とその関連規格IEC61508 and related international safety standards

SIL　PFD,　PFHの計算

産業分野における ｢機械安全 ｣の潮流

50 JTEKT Engineering Journal No. 1005 (2008)

通常，安全 PLCなどは一般産業分野を対象としているため SIL3を開発目標としている．当社の安全 PLCの場合５）　（外観は図５参照）

中－大規模設備向け安全 PLC　 　　TOYOPUC-PCS　PFH＝ 1.56＊ 10－ 8 /h SIL3小型設備向け安全 PLC 　　　 　　TOYOPUC-Safety PLC　　　　　　　　　　　　PFH = 1.27＊ 10－ 8 /h SIL3

安全 PLCの開発発表当初，安全 PLCなどの機能安全機器に対する世間の認識が乏しかったために，故障し

ない PLCかとの質問がよく出された．機能安全では，故障を二種類に分けている．一つは安全側故障（safe failure fraction）で，安全関連システムを危険状態，または機能喪失状態にするような，潜在性を有しない故障

（[IEC　61508-4]　3.6.8）のことである．もう一つは危険側故障（dangerous failure fraction）で，安全関連システムを危険状態または機能喪失状態にするような，

潜在性を有する故障（[IEC　61508-4]　3.6.7）に分類し危険側故障だけを対象としている．当社製品の PFHを具体的なイメージで汎用の PLCと比較して示したのが図６である．規格の中の安全側故障と危険側故障の比に

ついては，特別に証明されたデータあるいは参照データ

が無い限り 1：1とされる．例では独楽を PLCに例え，回転が停止したとき（故障したとき）安全側故障，危険

側故障になるかを示すとされ，SIL3レベルで危険側故障になる確率は数千年に一回と計算されている．６）

Safety PLC

図5　JTEKT 安全 PLC シリーズJTEKT,s safety PLC series

表2　IEC61508におけるSIL（PFH）分類SIL (PFH) classifi cation shown in IEC61508

SIL PFH 適用

1 10－６ ≦　Ｘ　＜ 10－ 5 一般産業設備

2 10－ 7 ≦　Ｘ　＜ 10－ 6 一般産業設備

3 10－ 8 ≦　Ｘ　＜ 10－ 7 一般産業設備

4 10－ 9 ≦　Ｘ　＜ 10－ 8 原子力　鉄道分野

4.3　ソフトウェア

ソフトウェアに関しては，安全通信ソフト以外では

定量的評価が困難なため，系統的故障（systematic faults）の回避に重点が置かれている．そのためにライフサイクル（ソフトの場合，Vサイクル　図７参照）が審査の対象となる．ステップごとに目標の SIL別に採用手法が推奨されており，これを採用した開発・試験が

必要である．また推奨手法を採用しない場合，採用しな

い理由の説明が必要とされている．

妥当性確認については認証製品の場合，第三者機関の

認証試験が必要となり，そのテスト方法の選択について

も目標 SILによる．

図6　PLCの危険側故障と安全側故障PLC safe and dangerous failures

図7　ソフトウェアライフサイクル検査Software life cycle testing

産業分野における ｢機械安全 ｣の潮流

51JTEKT Engineering Journal No. 1005 (2008)

５．機能安全製品の開発・認証

　機能安全製品の開発・認証については、主に第 4章で述べた要求内容に基づいた認証試験に合格する必要があ

る．また製品分野での他の関連規格がある場合はそれに

も合格する必要がある．

　現在，安全 PLCとしては，ISO13849-1，EN954-1のほか，欧州規格の EMC指令などの要求項目を満足する必要がある．認証ステップとしては，製品の構想段階

から認証機関の審査があり，そのステップごとに認証機

関の審査を受ける必要がある（図8）．

6．FA分野における国際安全規格動向

　機能安全製品の開発については，通常の開発業務のほ

か，第三者機関の認証に労力，費用，および時間を要す

るのが現状である．しかしながら認証を取得することに

より，今まで安全上許可されていなかったことが可能と

なりつつある．安全 PLCでいえば，安全リレーでしか許可されていなかった安全制御を PLCできるようになり，フィールドバスにおいても従来は安全に関わる信号

を通信で伝送することは許されなかったが，認証された

安全フィールドバスでは可能になった．この傾向はいろ

いろな分野で実現されつつある．例として ISO10218-1（産業用ロボットの安全規格）が 2006年に改定され，認証をとった機能安全装置により以下の内容が可能に

なった（図９）．

図8　機能安全製品開発・認証ステップProcedures from functional safety product development to certifi cation procedures

　（1）ロボットの速度監視による人との協働作業　（2）ソフトスイッチによるロボット制限領域監視　（3）ロボットの推力の監視による人との協働作業　特に，従来産業用ロボットにおいてはロボットと人と

の分離が安全上必須との制限があったが，本規格により

緩和される可能性がある．また，ロボットと人との協働

作業に可能性をもたらしたことは，将来の労働人口の減

少が懸念される日本においては重要な意味があると思わ

れる．

7．EN954-1からISO13849-1

　2009年 10月から、従来の機械分野における制御システムの安全関連部の設計規格が改定されようとし

ている．規格のコンセプトは，EN954-1の理解しやすいリスクチャート４）など定性的評価を継承しつつ，

IEC61508の定量的評価の取入れである．今回の変更の主な点として，リスクアセスメントを行った設備の要求

安全レベルは従来のカテゴリから，定量的な要素を含む

パフォーマンスレベルが採用された．また従来，安全評

価はロジックソルバ（制御回路）に主眼が置かれていた

が５），センサからアクチュエータまでの安全チェーン全

体の評価を前提として，油圧・空圧部品までが評価の対

象としている点が挙げられる．さらに，EN954では全く触れていなかったソフトのライフサイクルについても

記述がある（図10および図11）．

図9　ISO10218-1 の内容Contents of ISO10218-1

産業分野における ｢機械安全 ｣の潮流

52 JTEKT Engineering Journal No. 1005 (2008)

参考文献

１）IEC61508-1～ 7 2000 :Functional safety of Electrical/Electronic/Programmable electronic safety related systems．

２）ISO12100-1～2 2003 :Safety of machinery, Basic concepts, general principles for design．

３）ISO13849-1 2006 Safety of machinery-Safety-related parts of control system-Part 1 General principles for design.

４）蓬原弘一 : 国際規格に基づく安全 , 長岡技術科学大学 , （2005. 5）．

５）宮脇信芳 :　JTEKT Engineering Journal, no.1004 （2007）118.

６）宮脇信芳 :　第 1回　2008 FAネットワーク・制御シンポジウム　発表資料．

＊ 工作機械・メカトロ事業本部　 メカトロ制御技術部

宮脇信芳＊

N. Miyawaki

筆　者

8．おわりに

　当社は，2004年に日本で初めて IEC61508に準拠した安全 PLC　TOYOPUC-PCSを開発した．その後，小型設備用の TOYOPUC-Safety PLCの開発を完了し，この認証を取得している．国内における機能安全機

器のパイオニアメーカとして，今後予想される FA分野の機能安全製品の開発と普及に引き続き努力し，あら

ゆる現場の作業者の安全性確保のために努力していきた

い．

＊ TOYOPUCは㈱ジェイテクトの登録商標です．

図10　ISO13849-1 の位置付けISO13849-1 situation with other standards

図11　ISO13849-1 の内容ISO13849-1 inside procedures