~機能安全の基礎知識②~
淺井 由尚機能安全認証を始める方法:初心者向けガイド
【はじめに】
・機能安全が初めての方でも安心して取り組めるよう、基本的な情報から丁寧に解説していきます。
更新は不定期になりますが、できる限り短いスパンで続けていきます。難しい内容は極力省いて説明していきますので、楽しみながら読み進めてください。
今後のタイトル予定:
- PL(パフォーマンスレベル) とカテゴリについて
- 機能安全の歴史 (タイトル変更しました 今回)
- 電源の二重化について
- 故障診断について
- AGV規格 考察
- ロボット規格(更新版) 考察
- 機械規則 考察
第2回 機能安全の歴史
SILとは?
IEC 62061は、機能安全を確保するための欧州機械指令の中で用いられる国際規格であり、且つ欧州の法律体系の中の機械指令のための整合規格の一つです。この規格では、システムの設計や運用における機能安全の要件が定められています。SIL(Safety Integrity Level)は、機能安全の評価指標であり、重要な安全機能の信頼性を測定するために用いられます。
機能安全認証を始める際には、まずIEC 62061とSILについて理解することが重要です。IEC 62061では、システムの要求レベルに応じて適切なSILを選定する方法(リスクアセスメント)が示されています。SILの選定は、ハザードの発生確率とそのリスクに基づいて行われます。もとの参照規格であるIEC 61508シリーズ規格では、SILは1から4までのレベルがあり、SILの選定にはリスクアセスメントの結果や特定の業界や規制に基づく要件を考慮する必要があります。機械指令の整合規格であるIEC(EN) 62061では基本的にSIL2までの要件を中心にまとめられています。
機能安全の導入と日本の機能安全の歴史
まずは、IEC 61508、IEC 62061、ISO 13849-1やその他の機能安全規格について学び、知識を深めることが重要です。また、機能安全エンジニア(コンサルタント)や関連する専門家とのコミュニケーションを図ることもおすすめです。実際に「機能安全規格」を購入し読み込んで理解していくことは非常に難しいでしょう。ではどうやってこれらの内容を理解していくのか? 大切なことは実経験のあるエンジニアや認証機関を経験した人を見つけることです。経験のあるエンジニアたちも同様に、2000年頃から機能安全の勉強を始めています。そのころの機能安全というのは、もともと欧州で「機能安全規格」が誕生し、鉄道やプラント設備で使われ始めましたが、日本では導入が遅れ、ごく一部のPLCメーカだけが導入(認証取得)していましたが、一般産業のエンジニアリングの世界ではまだまだ誰も知らない状況でした。 そうするうちに産業機器にも機能安全機器が登場してきます。初めはロボットの安全コントローラからです。非常停止スイッチ(安全入力2系統)と動力遮断(安全出力2系統)において、セーフティリレー自身の強制ガイド接点構造を使って、接点溶着検出ができる機能を利用して安全回路を組んでいました。つまり回路としては冗長性をもたせながら、かつ強制ガイド接点構造による溶着検出機能を利用したセルフモニタリング(監視)機能を構成して安全回路が構成されていました。そう、当初はマイコンやソフトウェアは使わないリレー回路を使った制御回路が機能安全の原型となりました。今でも非常停止スイッチの回路は、ハード回路で切らないとダメ。という社内規定があるメーカさんもおられますが、それはこの当時の名残です。
同時期に国内初の半導体を用いた機能安全対応のロボット・セーフティーコントローラも登場し、ある自動車メーカの生産設備のロボットにもグローバル展開されていたものも存在しますが、設計が複雑で製造にも苦労したというものでした。しかしながら間違いなく半導体を用いた機能安全ロボット・コントローラが2000年よりも前に認証されていたことは事実です。そしてまだこの当時はIEC 61508規格は発行されていません。さらにSoftwareを用いていないという稀有な設計でした。当時はSoftwareを用いた安全回路は機械指令対象の安全設備には使うことができなかったので、技術立国の日本からSoftwareを使わないハードウェアのみで故障診断できる機能を持った機能安全ロボットコントローラが誕生していたことに驚きを隠せません。
次に国内市場で登場するのはライトカーテンです。国内セーフティコンポーネントメーカ数社が競って開発が激化します。これが1990年代後半からはじまり、いくつものモデルが開発され、その間にマーケット(ユーザ、メーカ、設計者)では機能安全への理解が深まってきます。この流れは興味深く、実際の製品規格であるライトカーテンには、様々な安全機能が搭載されていきました。当然これらはマイコンや半導体、それにソフトウェアで構成されていますので、機能安全規格の親玉であるIEC61508シリーズが発行される前に市場に普及し始めていたという足跡があります。しかもそれらは第三者認証機関の認証品であったという興味深い事実があります。
なぜ興味深いのかというと、この2000年よりも前に認証された製品群は、IEC 61508規格が誕生後も認証継続されています。つまり、IEC61508規格が出来る前に、機械指令の整合規格であるEN954-1(ISO13849-1の元となった規格)で認証されたがゆえに、後々までEN954-1で定義されたカテゴリB,1,2,3 and 4という定性的な評価手法が残ることになりました。当時のEN954-1ではSoftware評価は含まれていませんでした。また、2006年にISO 13849-1が発行されEN954-1を書き換えますが、それ以降も定性的な評価手法のカテゴリB,1,2,3 and 4という概念が設計に残ることになります。
ISO 13849-1は、本来PFH(危険側故障率)を使った定量的な評価で安全評価してく目的で、IEC 61508シリーズに並ぶようにISOで規格化されましたが、欧州のEN954-1という規格がこだわった安全の思想=定性的な評価が色濃く残っており、欧州の安全を考えるうえで非常に重要なファクターになっている事実は見逃せないと言えるでしょう。
このカテゴリの概念が規格更新時にISO 13849-1から無くなっていれば、安全機器の設計者はもっと楽になったことでしょう。定量化のみに集中して設計できプロセス系の業界と同じようなシンプルな設計ができた可能性がありますが、今となっては設計者にとっては大きな負の遺産となっています。
その後、2005年頃から国内では本格的に産業ロボット(自動車業界の製造ラインに設置される溶接、搬送、塗装ライン等の大型産業ロボット)の安全コントローラの開発がスタートします。ここから日本のロボットメーカ、安全コンポーネントメーカの機能安全製品の黄金期となります。本格的なロボットの安全コントローラは、速度や位置制御、領域監視や停止監視等の非常に高度な安全機能が実現されてくる一方、セーフティコンポーネントの方でも、これまでライトカーテンがメインプロダクトでしたが、より技術レベルの高いレーザスキャナや簡易PLC等が登場し、マーケットでは競争が激化してくるのが2010年以降ということになります。リーマンショックを超えて数年後も国内マーケットでは機能安全製品のブームが続きました。
安全/安全機器はヨーロッパ特にドイツが本場というイメージがありますが、この当時の日本の安全機器の認証製品の数は圧倒的に欧州の認証製品の数を凌駕しており、ドイツの認証機関においても全世界の機能安全認証の認証書発行枚数の半分以上が日本メーカ向けという状況が続いた時代でありました。
このような機能安全の黎明期を経験しているエンジニアは、多くのチャレンジと失敗を積み重ねて経験を積んだエンジニアですが、年齢的にすでに退職されたり、開発の第一線から離れてしまっており、安全機器メーカの中でも、何でこんなアーキテクチャになっているか説明できる人が少なくなってきているのが実情です。このような時に弊社のような機能安全の黎明期を経験してきた経験者からのアドバイスや失敗談は、現場での実務に非常に役立つことでしょう。
さらに、実践的なトレーニングやワークショップに参加することもおすすめです。実際の設計図書を使ったケーススタディやシミュレーションを通じて、機能安全の実務に慣れることができます。より実践的な内容でトレーニングやワークショップができるので、実回路や試作機を使って即戦力となるものを体験することができます。
最後に、自分がいる会社のチームにて、様々なスキルや経験を活かして実際のプロジェクトに取り組んでみましょう。現場での実体験こそが、機能安全に関する理解を深め、実力を身につける最良の方法となるでしょう。
まとめると、この記事では機能安全認証への第一歩として、機能安全の基本、機能安全認証の重要性、国内の機能安全の歴史、そしてSILについて解説しました。それに機能安全認証の際には、注意点としては、適切な専門知識や自作ツールを活用し、規格に則ったプロセスを確実に実施することが重要ですとお伝えしました。機能安全に関心がある初心者の方は、これらの情報を参考にして、経験のある人やチームからしっかりと学びましょう。国内には多くの先輩がいます!
