機能安全について(ISO 13849, IEC 62061, IEC 61508)

ULの名称、ULのロゴ、ULの認証マークは、UL LLCの商標です。©2015その他のマークの権利は、それぞれのマークの所有者に帰属しています。

本内容は一般的な情報を提供するもので、法的並びに専門的助言を与えることを意図したものではありません。

UL and the UL logo are trademarks of UL LLC © 2015. All Rights Reserved. Do Not Reproduce or Distribute without Permission

Agenda

1. 機能安全とは？2. 機能安全の挑戦3. 規格と規制4. UL機能安全サービスの紹介

機能安全とは？

機能安全とは？

□ 『機能による安全』と『機能の安全』を表す用語

機能による安全：

• 危険となる事象から守るための機能を追加し、機能により安全を確保すること

• 設置されていても絶対安全とはいえないが、許容できるレベルの安全を確保すること

機能の安全：

• 製品に取り入れられた機能が壊れないことであり、故障しても安全が維持できる対策を施すこと

• 何か特別な機能を追加して安全を確保するのではなく、製品そのものに取り込まれたすべての機能が正しく動作することで安全を確保すること

□ システムを構成する要素や部品の故障リスクなどを算出し、そのリスクを減らす安全装置を“機能”として実装することで安全を確保すること

7

□ 機能安全の考え方- モノは壊れ、故障する

- 完全なソフトウェアはありえない（バグがある）

- 人はミスをする

故障/エラーが発生しても

人/装置に 危害を加えないようにしたい！

機能安全とは？

8

機能安全とは？

信頼性と安全性□ 安全性

規定された条件の下で、人の生命、健康、財産又はその環境を危険にさらす状態に移行しない度合い

→ “危険な状態に移行しないこと”であり、機能要求を満たしているかについての言及はない

□ 信頼性

要求された機能を与えられた条件の下で、与えられた期間実行すること

→ “要求された機能を与えられた期間満たしていること”であり安全 についての言及はない

9

機能安全とは？

□ 日本 vs. 欧州 - 安全に対する考え方の違い

10

日本 欧州

1 努力次第では、二度と起こらないようにできる 努力をしても、技術レベルに応じて必ず起こる

2 災害の原因は主に人である 災害防止は、技術的問題である

3 技術対策よりも人の対策を優先 人の対策より技術的対策を優先

4 管理体制により、人の教育訓練をして、規制を強化すれば、安全は確保できる

人は必ず間違いを犯すものである。そのため、技術力の向上がなければ安全確保はできない

5 安全衛生法で、人及び施設の安全化を目指し、災害が発生するたびに、規制を強化して対応する

設備の安全化とともに、事故が起こっても重大災害に至らない技術対策が必要である

6 安全は、基本的に無料である 安全は、基本的にコストがかかる

7 安全に関するコストを認めにくい 安全にはコストをかける

8 目に見える「具体的危険」に対して最低限のコストで対応し、起こる可能性の低い災害対策に対しては、技術的な詳細調査をしない

危険減を洗い出し、そのリスクを評価し、評価に応じてコストをかけ、起こる可能性のある災害を低減化するように努力をし、様々な技術を開発する

9 発生した危険をなくす技術 論理的に安全を立証する技術

10 発見件数を重視 重要災害を重視

機能安全とは？

□ 日本 vs. 欧州 - 安全対策の違い日本：

• これまで事故がなかったので、この機械は安全である！• 事故が起こって、はじめて“こんなことが起こるとは思ってなかった！”

といって対策を施す

⇒ 再発防止対策 (事後の対策)

欧州：

• 事前にリスクを洗い出す• 受け入れないリスクが存在するならば、対策を施す⇒ 未然防止対策 (事前の対策)

11

機能安全とは？

□ 規格の定義

IEC 61508-4, 3.1.12:- Part of the overall safety relating to the EUC and the EUC control system

that depends on the correct functioning of the E/E/PE safety-related systems and other risk reduction measures

EUC: Equipment Under ControlE/E/PE: Electrical/Electronic/Programmable Electronic

IEC 62061, 3.2.9:- Part of the safety of the machine and the machine control system which

depends on the correct functioning of the SRECS, other technology safety-related systems and external risk reduction facilities

SRECS: Safety-Related Electrical Control System

12

機能安全の挑戦

機能安全の挑戦

□ システムを構成する要素や部品の故障リスクなどを算出しそのリスクを減らすような安全装置を“機能”として実装することにより安全を実現する

□ 故障・エラーが発生した場合でも、『人が危険な状態にならないようにする機能を作り、常にその機能を作動できる状態を保つこと』を実現する

14

機能安全の挑戦

□ 機能安全は “製品 ＋ マネジメント”の規格製品安全:製品仕様の要求 ⇒ 製品安全認証 （製品のみを対象とする）

機能安全:安全ライフサイクルの要求 ⇒ プロセス、マネジメント

15

機能安全の挑戦

□ 安全ライフサイクル

- 製品あるいはシステムの企画から廃棄に至るまでの全ライフサイクルにわたり安全を確保する

- 各工程における実施項目と、他の段階との関連を明確にし必要事項の漏れを防ぎ、安全を確保する

16

機能安全の挑戦

□ 安全ライフサイクル

1716 使用終了または廃棄

1 コンセプト

2 対象範囲の定義

3 潜在危険及びリスク解析

4 安全要求

5 安全要求の割り当て

6運用及び保全計画

7妥当性確認計画

8設置

引渡し計画

9E/E/PE系安全要求仕様

10

E/E/PE系安全要求仕様

実現

11

他のリスク低減策

仕様と実現

12 設置及び引渡し

13 安全妥当性確認

14 運用、保全及び修理 15 変更及び改造

計画

適切な安全ライフサイクルフェーズに

戻る

安全ライフサイクル

□ Phase １：コンセプト- 対象製品とそれが設置される環境の理解

⇒具体的に製品コンセプトを記述し、関係者で共有する

□ Phase 2：対象範囲の定義- EUCとEUC制御系との境界の明確化- 潜在危険及びリスク解析範囲の特定

□ Phase 3：潜在危険及びリスク解析- リスクアセスメント

⇒ “異常発生による被害の程度”、“異常が発生する頻度”を考慮してリスクの大小を決定する

18

安全ライフサイクル

□ リスクアセスメントリスクの同定・分析・評価を行い、リスクが許容可能か判断する工程

19

開始

システム・機器の使用状況範囲を決定する

リスクの同定

リスクの分析

リスクの評価

許容可能なリスクですか？

終了

リスクの低減

STEP1

STEP2

STEP3

STEP4

YESNO

STEP5

安全ライフサイクル

□ リスクアセスメント

リスクの同定：リスクの発見・認識

- 機器の意図する使用- 合理的に予見可能な誤使用- 機器の制限

◆使用上： 意図する使用、合理的に予見可能な誤使用、設置、廃棄、メンテナンス

◆空間上： 動作範囲、操作範囲、メンテナンス範囲◆時間上： 工具、消耗品の寿命

リスクの分析： リスクレベルの確定

リスク = 危害の発生確率 × 危害のひどさ

20

安全ライフサイクル

□ リスクアセスメント

リスクの評価： 許容可能なリスクの判断

21

頻度

結果

破局的な(Catastrophic)

重大な(Critical)

軽微な(Marginal)

無視できる(Negligible)

頻繁に起こる（Frequent）

I I I II

かなり起こる(Probable)

I I II III

たまに起こる(Occasional)

I II III III

あまり起こらない(Remote)

II III III IV

起こりそうもない(Improbable)

III III IV IV

信じられない(Incredible)

IV IV IV IV

安全ライフサイクル

□ リスクアセスメント – リスクの評価

22

リスク等級 説明

等級 I • 許容できないリスク

等級 II • 好ましくないリスク• リスク軽減が、非現実的• リスク軽減にかかる費用対効果比が著しく不均衡である

ときだけ許容しなければならない好ましくないリスク

等級 III • リスク軽減にかかる費用が得られる改善効果を超えるときに許容できるリスク

等級 IV • 無視できるリスク

安全ライフサイクル

□ リスクアセスメント

23

許容可能なリスク（安全）のイメージ

安全とは許容できないリスクがないこと （Guide 51）

許容可能なリスク 受け入れ不可能なリスク

リスク大リスク小

安全規格上での“安全”

許容不可能推奨できない許容可能無視可能

安全ライフサイクル

□ リスクアセスメント

24

開始

システム・機器の使用状況範囲を決定する

リスクの同定

リスクの分析

リスクの評価

許容可能なリスクですか？

終了

リスクの低減

STEP1

STEP2

STEP3

STEP4

YESNO

STEP5

＜STEP5：リスクの低減＞

３ステップメソッド

１．本質的安全設計

２．安全防護及び追加の安全方策

３．残留リスクに関する情報の公開

リスク = 危害の発生確率 × 危害のひどさ

安全とは、許容不可能なリスクがなくなること

安全ライフサイクル

□ リスクアセスメント

リスク低減方策が制御システムに基づく場合のフロー

25

制御システムの安全関連部によって実行される安全機能を同定する

安全機能に対するPLの検証PL≧PLｒ？

PLを見積もるカテゴリ ／MTTFd／DC／CCF／安全関連ソフトウェア

すべての安全機能を分析したか？

終了

YES

YES

NO

NO

各安全機能に対して、要求特性を指定する

要求パフォーマンスレベル(PLr)を決定する

安全機能の設計及び安全機能を実行する安全関連部を特定する

安全ライフサイクル

□ Phase 4：安全要求- 危険に対する安全要求の検討 & 作成- Phase 3で発見された危険に対応するための安全要求の検討・作成

□ Phase 5：安全要求の割り当て- 安全機能の割り当て- 各安全機能への安全度水準の割り当て- 各モジュールの役割の決定※ 安全機能が設計の進行により変更された場合は、Phase 5に戻る

□ Phase 6：運用及び保全計画- 運用や保全に対する計画の立案

26

安全ライフサイクル

□ Phase 7：妥当性確認計画

- システム仕様の確認割り当てられた安全要求の確認をいつ、どのように行うかを計画する

□ Phase 8：設置引渡し計画

- 要求される安全機能を達成するための設置計画の作成

□ Phase 9：E/E/PE系安全要求仕様

- 各安全系に割り当てられた安全機能に基づき、必要な安全要求仕様を決定

※ 電気/電子/プログラマブル電子系制御以外の方法（物理的なガードなど）でリスク低減策をとる場合は、Phase 11に進む

27

安全ライフサイクル

□ Phase 10：E/E/PE系安全仕様 – 実現

- 設計の文書化

- 自己診断率、プルーフテスト間隔の決定

- 安全度水準に応じた検出できない危険側故障の割合

- FMEDA (Failure Mode, Effects and Diagnostic Analysis) による故障解析

- 各モジュールの検証（Vモデル）

Phase 10で問題が発生し、安全仕様を変更する場合：⇒ Phase 5の安全要求の割り当ての工程に戻る

28

安全ライフサイクル – Phase 10□ ランダムハードウェア故障とシステマティック故障

• ランダムハードウェア故障突発的に発生し、構成部品・機器などの多様な劣化メカニズムから生じる故障

例： ハード部品の劣化

• システマティック故障何らかの原因に確定的に関係する故障であって、設計、製造プロセス、運転手順、文書または他の関連要因を変更しなければ除去できない故障

例： 設計ミスによる故障

ソフトウェアのバグ

マニュアルの記載間違い

29

安全ライフサイクル – Phase 10

□ Vモデル

30

ソフトウェア安全要求仕様

ソフトウェアアーキテクチャ

ソフトウェアシステム設計

モジュール設計

コーディング

モジュールテスト

統合テスト(モジュール)

統合テスト(コンポーネント、サブシステム

及びプログラマブル電子)

妥当性確認テスト

E/E/PES安全要求仕様

E/E/PESアーキテクチャ

妥当性が確認されたソフトウェア

引渡事項適合確認

妥当性確認

Activity:

ランダムハードウェア故障 or システマティック故障？

安全ライフサイクル

□ Phase 11：他のリスク低減策 - 仕様と実現

- E/E/PE系以外のリスク低減策

例： ガードの強度、耐食性の決定

□ Phase 12：設置及び引渡し

- 『設置・引渡し』の妥当性確認

□ Phase 13：安全妥当性確認

- 工場出荷前、量産開始時の妥当性確認

32

安全ライフサイクル

□ Phase 14：運用、保全及び修理- 製品の使用工程製品の使用工程において、要求安全機能を達成することを目的とする

定期点検・保全作業などが対象

□ Phase 15：変更及び改造- 設計変更- 装置改造変更や改造が安全関連システムにもたらす影響を解析し、必要であれば、適切な工程へ戻す

□ Phase 16：使用終了または廃棄- 解体がもたらすリスクへの対策をする有害物質、残圧のリスク、環境への影響（電池のリサイクルなど）への対策

33

規格と規制

ISO 13849-1 vs. IEC 62061

□ ISO 13849-1とIEC 62061の適用範囲

35

ISO 13849-1 IEC 62061

対象範囲 油圧・空圧等の非電気系を含む安全システム

電気・電子制御系及びプログラマブル電子制御系

(非電気系を含んだシステムには対応できない)

複雑度 低 高

安全度 PL (Performance Level) SIL (Safety Integrity Level)

対象機器 - セーフティリレーユニット- インターロックスイッチなど

- セーフティPLC- セーフティネットワーク- ライトカーテンなど

ISO 13849-1 vs. IEC 62061

□ Performance Levelとは？- 予見可能な条件下で、安全機能を実行する制御システムの能力を

指定するレベル

36

B 1 2 3 4

カテゴリ ： 制御システムの安全関連部の構造 (B, 1, 2, 3, 4)

低

高

信頼性

ISO 13849-1 vs. IEC 62061

□ Performance Level (PL)の判定に必要なパラメータ

37

パラメータ ランク

1 Category- 制御システムの安全関連部の構造

B, 1, 2, 3, 4

2 DCavg- 平均自己診断率

高 (99%以上)中 (90 – 99%)低 (60 – 90%)なし (60%未満)

3 MTTFd- 危険側故障に至るまでの平均時間

高 (30 – 100年)中 (10 – 30年)低 (3 – 10年)

4 CCF- 共通原因故障に対する信頼性

65点以上65点未満

ISO 13849-1 vs. IEC 62061

□ SIL (Safety Integrity Level)とは？- 安全制御機能が正しく作動する信頼性を、確率的手法で定量的に

規定し、レベル分けするための指標

38

低頻度作動要求モード

SIL作動要求当たりの機能失敗平均確率（設計上）

4 10-5 ～ 10-4

3 10-4 ～ 10-3

2 10-3 ～ 10-2

1 10-2 ～ 10-1

高頻度作動要求モード

SIL1時間当たりの危険側故障平均確率

4 10-9 ～ 10-8

3 10-8 ～ 10-7

2 10-7 ～ 10-6

1 10-6 ～ 10-5

ISO 13849-1 vs. IEC 62061

□ Safety Integrity Level (SIL)判定に必要なパラメータ• プルーフテスト間隔 : T1 (hour)

安全関連系の故障を発見するために行われる定期テストの間隔

• 平均修復時間 : MTTR (hour)システムが故障したときに要した平均修復時間

• 故障率 : λ 時間当たりの故障率

- 安全側故障率：λs- 危険側故障率：λD- 検出可能な安全側故障率：λSD- 検出不可能な安全側故障率：λSU- 検出可能な危険側故障率：λDD- 検出不可能な危険側故障率：λDU

• 自己診断率: DC (%)危険側故障に対して自己診断テストがカバーする割合

- DC = λDD / (λDD + λDU)

• 共通原因故障寄与率：β 全体故障の中で共通要因故障の占める割合

39

ISO 13849-1 vs. IEC 62061

□ PLとSILとの相関関係ISO 13849-1：Table 3

40

PL SIL(高頻度作動要求モード)

PFHD(1時間あたりの危険側故障平均確率)

a - ≧ 10-5 to ＜ 10-4

b 1 ≧ 3×10-6 to ＜ 10-5

c 1 ≧ 10-6 to ＜ 3×10-6

d 2 ≧ 10-7 to ＜ 10-6

e 3 ≧ 10-8 to ＜ 10-7

規制と規格 (国際規格の階層)

41

A規格

B規格グループ安全規格

B1：安全の側面関連B2：安全関連装置

C規格個別製品規格

ISO/IEC ガイド51

ISO 機械系 IEC 電気系

ISO 12100: 設計の一般原則－リスクアセスメント及びリスク低減

ISO 11161: 統合製造システムISO 13849-1: 制御システムISO 13850: 非常停止ISO 13857: 安全距離ISO 14119: インターロックISO 14122-1: はしごISO 14122-2: プラットフォーム等

IEC 60204-1: 機械の電気機器IEC 61508: 電気的機能安全IEC 62061: 機能安全IEC 60947: スイッチIEC 61496: センサーIEC 61000: EMC等

基本安全規格

工作機械、無人搬送ロボット、射出成型機、梱包機械、輸送機械、産業用ロボット、印刷機械、手持ち工具、食品機械、プレス機械、ポンプ、等

機能安全の適用例：機械類

• 非常停止制御

• 起動防止制御

• スピード制御

• オーバーラン制御

• トルク制限

• インターロック

• ミューティング

など

42

UL機能安全サービスの紹介

ULサービスの紹介

□ 機能安全認証サービス

• 機能安全リスティング／レコグナイズド・コンポーネント・マーク

UL機能安全リスティングマークは、従来のリスティング認証に追加して、機能安全面でも評価を受け、適切な規格への適合性が認められた製品に発効されます。

機能安全リスティングマークでは、安全度水準（SIL）、パフォーマンスレベル（PL）などの安全定格を、マークと一緒に明記することができます。これにより、このマークを見るだけで、認証を受けた水準を知ることができます。

また、最終製品に搭載される部品（コンポーネント）に対しては、ULレコグナイズド・コンポーネント・マークが発行されます。

44

ULサービスの紹介

□ EC Type Examination Certificate

欧州に機械を流通する場合、機械指令に適合することが要求されます。

一般的に、機械指令のAnnex IVにリストされている機械や安全コンポーネントには、機械指令のNotified Body（第三者認証機関）による認証が要求されます。ULは、以下の安全コンポーネントに関して、Notified Bodyとして、お客様のお手伝いをさせていただきます。

• EC Type Examination Certificateを発行可能な安全コンポーネント- 人体検地のための保護装置 (Annex IV 19)- インターロック付きガード (Annex IV 20)- 安全論理ユニット (Annex IV 21)

45

ULサービスの紹介

□ 技術相談サービス

ULの技術相談サービスは、機能安全マーク認証取得に必要な事項を整備するサポートを必要とされているお客様にとって最適なサービスです。

開発や生産開始など製品のライフサイクルのあらゆる段階でお客様に寄り添い現場でお客様のお手伝いをすることで、認証評価で製品の手直しが必要となるリスクを減らします。お客様のご要望や仕様に柔軟に対応いたします。

技術相談例：

• 故障モード影響解析（FMEA）• 故障モード影響診断解析（FMEDA）• 機能安全マネジメント計画• 包括的な試験計画• SIL、PL、Classの算出、検証など• 安全マニュアル• 安全計画• 安全要求仕様書（SRS）• ソフトウェアFMEA/ソフトウェア、HAZOP分析• 妥当性確認計画

46

ULサービスの紹介

□ 機能安全サービスに関するお問い合わせ

株式会社UL Japan カスタマーサービスTel: 03-5293-6200Fax: 03-5293-6201E-mail: customerservice.jp@jp.ul.com

47

本日のご参加ありがとうございました

機械安全セミナーシリーズ 今後の日程

第5回： 9月 3日（木） 産業機械のEMCについて

第6回： 9月17日（木） 産業機械の環境規制（RoHS, WEEE）について

＊今後のセミナーへのお申し込みもお待ちしております＊

本日のセミナー資料につきましては、ご登録いただいたアドレス宛に後程 送付させていただきます