基本安全規格 ISO12100

国際安全規格の階層化構成

機械安全の国際規格はA、B、C 規格の階層化構造によって体系づけられています。

  • A 規格(基本安全規格):ISO12100
  • B 規格(グループ安全規格):ISO13849-1、ISO13849-2、ISO4413(油圧)、ISO4414(空圧)など
  • C 規格:個別機械安全規格

EN954-1/ISO13849-1 安全カテゴリ

カテゴリ ENISO13849-1: 2006,
JIS B9705-1:2011

カテゴリ 要求事項要約 システム挙動 安全性達成のために使用される原則 各チャンネルのMTTFd DCavg CCF
B
(6.2.3参照)
コンポーネントのみならずSRP/CS及び/又は保護装置は、予想される影響に耐えるように、関連規格に従って設計、製造、選択、組立、組み合わされること。基本安全原則を用いること。 障害発生時、安全機能の喪失を招くことがある。 主としてコンポーネントの選択によって特徴づけられる。 “低”
~”中”
”なし” 関連なし
1
(6.2.4参照)
Bの要求事項が適用されること“十分吟味された”コンポーネント及び、“十分吟味された”安全原則を用いること。 障害発生時、安全機能の喪失を招くことがあるが、発生する確率はカテゴリBより低い。 主としてコンポーネントの選択によって特徴づけられる。 “高” ”なし” 関連なし
2
(6.2.5参照)
Bの要求事項及び“十分吟味された”安全原則の使用が適用されること。安全機能は機械の制御システムによって適切な間隔でチェックされること。 チェック間の障害の発生が安全機能の喪失を招くことがある。安全機能の喪失はチェックによって検出される。 主として構造によって特徴づけられる。 “低”
~”高”
“低”
~”中”
附属書F参考
3
(6.2.6参照)
Bの要求事項及び“十分吟味された”安全原則の使用が適用されること。安全関連部は次のように設計されていること。
一、いずれの部分の単一障害も安全機能の喪失を招かない。かつ、一、合理的に実施可能な場合は常に単一障害が検出される。
単一障害発生時、安全機能が常に機能する。
全てではないが障害の幾つかは検出される。
検出されない障害の蓄積で安全機能の喪失を招くことがある。
主として構造によって特徴づけられる。 “低”
~”高”
“低”
~”中”
附属書F参考
4
(6.2.7参照)
Bの要求事項及び“十分吟味された”安全原則の使用が適用されること。安全関連部は次のように設計されていること。
一、いずれの部分の単一障害も安全機能の喪失を招かない。かつ、一、単一障害は、安全機能に対する次の動作要求のとき、又はそれ以前に検出される。それが不可能な場合、障害の蓄積が安全機能の喪失を招かないこと。
障害発生時、安全機能が常に機能する。
蓄積された障害の検出によって、安全機能の喪失の可能性が低減する。(高DC)。障害は安全機能の喪失を防止するために適時検出される。
主として構造によって特徴づけられる。 ”高” “高”
(障害の蓄積を含む)
附属書F参考

ISO13849-1:2015 機械の安全性-制御システムの安全関連部

これまでのISO13849-1:1999では、安全関連部そのものの「構造」によってカテゴリ分類を行い、制御システムの安全性を決定していました。

ISO13849-1:2006では、従来のカテゴリに加え、個々の部品の「信頼性」や「品質」を含めた安全性評価が取り入れられ、カテゴリ分類だけでは出来なかった制御システムの時間的な変化(実際の稼働条件を考慮)も評価が可能となりました。

各カテゴリの指定アーキテクチャ(構造)

im:相互接続手段
I:入力装置(例:センサ)
L:論理
O:出力装置(例:電磁弁)

カテゴリB:故障発生時、安全機能は失われる。

カテゴリ1:故障発生時、安全機能は失われるが、その発生確率はカテゴリBよりも低い。

m:監視
TE:試験装置
OTE:試験装置の出力

カテゴリ2:点検(チェック)と点検の間で故障した場合、安全機能は失われる。安全機能が失われていることが検出できること。

m:監視
c:相互監視

カテゴリ3:2チャンネルの冗長化された構造とクロスチェック(相互監視)により安全性を確保する。そのため単一故障が発生した場合でも安全機能は常に維持されるが、全ての故障が検出されるわけではない。検出されなかった故障が蓄積した場合、安全機能は失われる。

カテゴリ4:カテゴリ3と同様の冗長化構造+クロスチェック(相互監視)により安全性を確保するが、単一故障が発生した場合でも安全機能は常に維持される。安全機能は失われないように安全機能が機能する前に故障が検出される。

EN954-1 の廃案により
カテゴリはPL の一部に

パフォーマンスレベル(PL)を決める4つの項目

パフォーマンスレベル(PL)は、以下の(1)~(4)の項目で算出された値の合計値で決定されます。全ての安全関連部(入力装置、論理、出力装置<電磁弁>)のパフォーマンスレベルが、リスクアセスメントにより確定した「要求パフォーマンスレベル(PLr)」を満たす必要があります。

  • 1.カテゴリ(Category)

    制御システムの安全関連部の構造。システムの構造が、B~4までの各カテゴリの要求事項を満たすことで決定できるが、カテゴリだけではシステムの時間的な変化を評価できないため、ISO13849-1:2006では新たな基準が規定されました。(以下、2及び3)
    また、I(入力装置)、L(論理)、O(出力装置)の各要素によるカテゴリごとの具体的な構造が示されています。

  • 2.MTTFd(Mean Time To Dangerous Failure)

    制御システムの安全関連部が危険側故障に至るまでにかかる平均時間。
    高(High)、中(Medium)、低(low)で評価されます。

  • 3.DCavg(Diagnostic Coverage)

    平均自己故障診断率を意味し、制御システムの安全関連部の「全ての危険側故障率」が分母、「検出可能な危険側故障率」を分子として算出します。DCavgは、「なし、低、中、高」の4分類で評価されます。

  • 4.CCF(Common Cause Failure)

    ある共通の原因によって制御システムの複数のチャンネルのいずれも故障することを想定し、その故障リスクを低減させるためのチェック項目。カテゴリ2以上では、65点以上が求められます。

ISO13849-1:2006パフォーマンスレベル

ISO13849-1:2006では、制御システムの安全関連部(入力、論理、出力<電磁弁>)について新たに「パフォーマンスレベル(PL)」が規定され、安全関連部のリスクアセスメントの結果に応じた安全性能が要求されます。
パフォーマンスレベルは、安全関連部の性能区分として算出されますが、必ず安全関連部が要求する「要求パフォーマンスレベル(PLr)」を満たす必要があります。
もし「PLr」を下回る場合は、(1)カテゴリ:システムの構造要件、(2)MTTFd:選定した機器の信頼性、(3)DCavg:自己故障率、(4)CCF:共通故障原因、の各項目を見直して「PLr」を満たす必要があります。

パフォーマンス
レベル
(PL)
単位時間当たりの危険側
故障発生確率(PFHd)1/h
a 10-5以上10-4未満
<0.001%~0.01%>
b 3×10-6以上10-5未満
<0.0003%~0.001%>
c 10-6以上3×10-6未満
<0.0001%~0.0003%>
d 10-7以上10-6未満
<0.00001%~0.0001%>
e 10-8以上10-7未満
<0.000001%~0.00001%>
ISO13849-1:2006で示されるリスクグラフと安全機能に対するPLr