セーフティサブアセッサの学科試験で良く出題される内容を紹介させて頂きます。
今回は「表危険な挙動と故障の最小化」についてです。
!!試験では重要度中となる為、みなさん出来る限り覚えましょう!!
目次
- 制御の流れ
- 故障の種類
- 危険側故障率を下げるためには
- 危険側故障率の評価について
- PL判定に必要な要素
- 例外作業時の対応
- まとめ
制御の流れ
そもそも、なぜ「スイッチを押すと設備が停止するのか」というところなのですが、
入力(スイッチ) → 論理(PLC) → 出力(ドライバ) → モータ(設備)
このような流れで設備が動きます。
その中で、制御システムとは「入力→論理→出力」になります。
故障の種類
故障には「安全側故障」と「危険側故障」の2種類がありますので、紹介していきます。
| 安全側故障 | 危険側故障 |
| 制御システムを危険状態には導かない故障 | 制御システムを危険状態に導く故障 |
| スイッチの接点不良 接点に汚れが付着し、通電しなくなる そのため、機械が動かなくなる | スイッチの溶着故障 接点が溶着し、電源が遮断できなくなる そのため、機械が止まらなくなる |
危険側故障は設備が止まらなくなる危険性があり、危険側故障の発生率を低減していく必要があります。
危険側故障率を下げるためには
危険側故障率を下げる方法は大きく2つあります。
- 非対称故障モードの機器にする
- 冗長化と監視(かつ多様性)のシステムにする
非対称故障モードの機器にする
機器には安全側と危険側の両方とも可能性がある「対称故障モード」と故障の仕方が決まっており、危険側故障の確立が非常に低い「非対称故障モード」の機器があります。
| 対称故障モード | 非対称故障モード |
| 通電しなくなる接点不良(安全側故障)も 遮断しなくなる接点溶着(危険側故障)も 両方発生する | 通電しなくなる接点不良(安全側故障)はあるが、 遮断しなくなる接点溶着(危険側故障)は少ない |
| 例)スイッチ | 例)ヒューズ |
冗長化と監視(かつ多様性)のシステムにする
- 冗長化:システムに異常が発生した場合に備えて、予備装置を平常時から稼働させる
(これだけだと、故障したときに止めることが出来ない)
- 監視:冗長化したシステムで相互監視し、故障時に直ちに設備を停止させる
(これだけだと、同時に故障する可能性がある)
- 多様性:論理システムを異なる機器にする
→同時に故障する可能性を出来るだけ減らすことで、危険側故障を低減させる
冗長化や監視、多様性といった言葉も試験で出てきますので、覚えておきましょう!
危険側故障率の評価について
「危険側故障は避けるように設計すべきだ」と話してきましたが、何でもかんでも実施するのは困難なことかと思います。
そのため、制御システムを「安全関連部」と「非安全関連部」で分けて、安全関連部のみ、以下の指標で判断する手法が取られています。
そこで、リスクレベルに応じて危険側故障率を設定する為の指標として以下の3つがあります。
- PFHd(Probability of dangerous failure per hour):単位時間当たりの危険側故障発生確率
- PL(Performance Level):要求性能レベル
- SIL(Safety Integrity Failure):安全インテグリィレベル
PLは「a~e」まであり、eが最も危険側故障発生確率が低いです。
SILは「0(なし)~3」まであり、3が最も危険側故障発生確率が低いです。
PL判定に必要な要素
求めるPLを達成する為には、以下の4つのパラメータで要求性能を超えている必要があります。
- MTTF(Mean Time To Dangerous Failure):平均危険側故障時間
- カテゴリ:カテゴリ
- DCave(Average Diagnostic Coverrage):平均自己診断率
- CCF(Common Cause Failur):共通原因故障
それぞれについて簡単に説明していきます。
MTTF:〇〇年
「どれぐらいの時間で危険側故障が発生するのか」という時間です。逆に言うと、危険側故障がどれだけ起こりにくいのかを示しているパラメータになります。上記で挙げた通り、危険側故障発生確率を下げる対策をすることで故障しにくくすることが出来そうです。
安全関連制御システムが危険側故障を生じるまでの平均的な時間のことです。故障によって危険状態となる場合や安全機能を喪失する場合が危険側故障です。MTTFdはI(入力装置)、L(論理処理)、O(出力装置)で構成される1チャンネルごとに計算します。
https://www.keyence.co.jp/ss/products/safety/knowledge/performance/parameter.jsp
カテゴリ:カテゴリB/1/2/3/4
1つの安全関連部が故障した際、安全機能が喪失してしまうことに対する安全関連制御システムの構造を表しています。
カテゴリB/1は単一回路、カテゴリ2は監視、カテゴリ3/4は冗長化で相互監視されており、カテゴリ4が最も強固な構造と言えます。
カテゴリは、安全関連制御システムの構造を指します。カテゴリは、I(入力装置)、L(論理処理)、O(出力装置)で構成されており、カテゴリB、カテゴリ1、カテゴリ2、カテゴリ3、カテゴリ4の5種類に分類されます。
https://www.keyence.co.jp/ss/products/safety/knowledge/performance/parameter.jsp
DCave:無し/低/中/高 〇〇%
安全関連制御システムが監視によってどれだけ危険側故障を検出することが出来るかを示しています。冗長化し、監視することで検出頻度を向上させることが出来そうです。
検出可能な危険側故障率を分子、全ての危険側故障率を分母として計算された値です。安全関連制御システムが自己診断機能で障害を検出する頻度や確実性で決定されます。
https://www.keyence.co.jp/ss/products/safety/knowledge/performance/parameter.jsp
CCF:〇〇点
1つの原因で冗長化した両方が壊れてしまっては意味がありません。同じ原因での故障を防ぐための対応がされているかどうかとなります。機器を多様化することで、CCFは高得点が期待できます。
安全制御システム全体の機能が、単一の事象(故障となる要因)から生じる異なったアイテムの故障のことです。ISO13849-1:2006ではCCFに対する方策に応じて得点が与えられます。カテゴリ2以上の構造には、65点以上であることが求められます。
https://www.keyence.co.jp/ss/products/safety/knowledge/performance/parameter.jsp
例外作業時の対応
やむを得ず危険源付近で作業をする必要がある場合は、リスクを出来るだけ低減させた状態で作業が出来る様にシステムを検討する必要があります。
- 例外作業時は全ての制御を不作動にする
- 特定の操作によってのみ、動作を可能にする(イネーブルスイッチ、ホールドツゥラン)
- リスクを低減させる(エネルギーを低減させる、ステップを区切る)
まとめ
- 制御システムとは「入力→論理→出力」
- 故障には「安全側故障」と「危険側故障」の2種類がある
- 危険側故障発生確率の低減には、非対称故障モードの機器にする、冗長化と監視(かつ多様性)のシステムにする
- 危険側故障率を設定する為の指標には、PFHd、PL、SILがある
- PLを求めるためには、MTTF、カテゴリ、DCave、CCFというパラメータがある
- やむを得ず作業する場合は、全て不動作、特定操作のみ、リスクを低減させるなど、あらかじめモードを設けておく