安全カテゴリとは、安全関連部の構造を表す概念で、PL(パフォーマンスレベル)に大きな影響を与える重要な指標です。安全関連部の構造は、多様性があっても、その基本構造は似ていることが多く、機械分野において存在するほとんどの構造は、以下のカテゴリの一つに分類することが可能です。
各カテゴリに対して、典型的な安全関連のブロックダイアグラムとして典型的な代表図があり、指定された”構造”がありますが、簡単には理解できない内容になっています。
そこで今回は、この安全カテゴリの表面的部分を簡単に理解する方法を飛行機を用いてお伝えいたします。
これなら、5段階ある各カテゴリがどのくらい安全か(どれくらい危険なのか)に関してイメージがしやすいと思います。
カテゴリB
自家製超軽量(飛行)機で飛行しています。この飛行機は机の上にあった封筒の裏側に設計図を描き、書庫にあった旧型の芝刈り機のエンジンを使用し製造した超軽量(飛行)機です。FAA(アメリカ連邦航空局)の認証は受けていません。
要求事項要約
制御システムや保護装置の安全関連部は、想定される外的影響に耐えられるように、適切な規格に従って設計、構成、選定及び組立がなされること。
ISO13849-1:2015では、SPR/CSは、少なくとも、関連する規格に従って設計、構築、選択、組み立て、組み合わせられ、特定のアプリケーションに耐えるための基本的な安全原則を使用する必要があります。
- 予想される動作ストレス、例えば、破壊容量と頻度に関する信頼性、
- 加工された材料の影響(例:洗濯機の洗剤)
- その他の関連する外部の影響、例えば機械的振動、電磁干渉、電源の中断または障害など。
カテゴリ1
エンジンを1基搭載していますが、エンジン計器が付属しないセスナで飛行しています。
エンジンの動作監視をしているエンジン計器は付属していませんが、1基のエンジンを搭載した信頼できる飛行機製造工場で製造されたセスナ150(米セスナ社製造)です。
万が一エンジンが故障して止まった場合、プロペラが回っていない事からそのことに気づく事はできますが、その時には超高速で地面に向かって墜落しています。FAAの検査を受けています。
要求事項要約
カテゴリBの要件を満たしていること
十分吟味された高い信頼性を示す部品を使用し、安全原則に従うこと。
ISO 13849-1:2015 では、「カテゴリー 1 の SPR/CS は、十分に試験されたコンポーネントと十分に試験された安全原則を使用して設計および構築されなければならない」と規定されています。安全関連アプリケーションにおける「十分に試験されたコンポーネント」とは、a) 過去に広く使用され、同様のアプリケーションで成功した実績があるコンポーネント、または b) 安全関連アプリケーションへの適合性と信頼性を証明する原則を使用して製造および検証されたコンポーネントです。
カテゴリ2
カテゴリ1のセスナに加えてエンジン故障ランプが付属されています。エンジンが故障した場合、コックピットにセスナメーカーが搭載した故障ランプが点灯し、エンジンが動作していない事に気づくことができます。
直ぐに安全に着地できるように祈るべきだと気づきますが、超高速で地面に向かって墜落しているので、故障ランプの必要性はあまり感じません。
要求事項要約
カテゴリBの要件を満たし、安全原則に従うこと。
安全機能が機械の制御システムにより適切な間隔にチェックされること。
ここで、ISO13849-1:2015 では、カテゴリ 2 の SPR/CS は、機械制御システムによって適切な間隔で機能がチェックされるように設計される必要があります。
- 機械の起動時に
- 危険な状況が始まる前、例えば新しいサイクルの開始、他の動作の開始、安全機能の要求に応じて直ちに、および/またはリスク評価と操作の種類により必要であると示されている場合は操作中に定期的に。
カテゴリ3
エンジンを2基搭載し、完全なエンジン計器を付属している飛行機で飛行しています。
しかしながら、パイロットは1人だけです。副操縦士はいません。パイロットは飛行機を滑走路まで走らせ、エンジンの回転数を上げて、エンジン計器を確認し、離陸します。その後は、操縦士は忙しすぎてエンジン計器を確認することはできません。もし片方のエンジンに不具合が生じた場合、もう一つのエンジンで近い空港へ飛び、着陸できます。
要求事項要約
カテゴリBの要件を満たし、安全原則に従うこと。
安全関連部は以下の方針に従って設計されること。
- 単一故障により安全機能が喪失しないこと。
- できる限り単一故障が検出できること。
ここで、ISO13849-1:2015 では、カテゴリ 3 の SPR/CS は、これらの部品のいずれかに単一の障害が発生しても安全機能が失われないように設計される必要があります。
注1
単一故障検出の要件は、すべての故障を検出することを意味するものではありません。そのため、検出されない故障が蓄積されると、意図しない出力が発生し、機械に危険な状況をもたらす可能性があります。故障検出のための実用的な対策の典型的な例としては、機械誘導式リレー接点のフィードバックの使用や、冗長化された電気出力の監視などが挙げられます。
注3
カテゴリー3のシステム動作は、
- 単一の故障が発生した場合でも安全機能が継続して機能すること
- 一部の障害の検出(すべてではない)
- 検出されない障害の蓄積により安全機能が失われる可能性があります。
カテゴリ4
カテゴリ3の飛行機に操縦士と副操縦士の計2名のパイロットが乗っており、エンジン計器は動的モニタリングを行っています。エンジン2基と完全なエンジン計器を搭載し、副操縦士が常にエンジン計器に目を配り、エンジンに何か少しでもおかしな動きが無いか確認しています。エンジンが止まったり、もしくはエンジンが通常とは違った動きをした場合でも、もう一つのエンジンが問題なく、近くの飛行場まで運んでくれます。
要求事項
カテゴリBの要件を満たし、安全原則に従うこと。
安全関連部は以下の方針に従って設計されること。
- 単一故障により安全機能が損失しないこと。
- 次の安全機能が動作する時、又はそれ以前に単一故障が検出できること。
それが不可能な場合、故障が蓄積しても安全機能を損失しないこと。
ISO13849-1:2015では、カテゴリー4のSPR/CSは次のように設計されなければならない。
- これらの安全関連部品のいずれかに単一の故障が発生しても、安全機能が失われることはなく、
- 単一の故障は、安全機能に対する次の要求時またはその前に、例えば即時、電源投入時、または機械の動作サイクルの終了時に検出されます。
しかし、この検出が不可能な場合には、検出されない障害の蓄積によって安全機能が失われることはありません。
ISO13849-1 安全カテゴリをご理解いただけましたでしょうか。理解が難しい機械安全ですが、
ぜひ飛行式!?な方法でご理解してみてはいかがでしょうか。