機械製品に対する安全要求と設計方法(第16回)

Similar documents
目次 1: 安全性とソフトウェア 2: 宇宙機ソフトウェアにおける 安全 とは 3:CBCS 安全要求とは 4: 宇宙機ソフトウェアの実装例 5: 安全設計から得た新たな知見 6: 今後 2

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

2015/12/24 1

国土技術政策総合研究所 研究資料

バリデーション基準 1. 医薬品 医薬部外品 GMP 省令に規定するバリデーションについては 品質リスクを考慮し 以下の バリデーション基準 に基づいて実施すること 2. バリデーション基準 (1) バリデーションの目的バリデーションは 製造所の構造設備並びに手順 工程その他の製造管理及び品質管理の

15288解説_D.pptx

ISO ISO ISO ISO ISO ISO ISO ISO/TR 機械類の安全性 機械類への常設接近手段 第 2 部 : 作業用プラットフォーム及び通路機械類の安全性 機械類への常

PowerPoint プレゼンテーション

<4D F736F F F696E74202D20D8BDB8B1BEBDD2DDC482C688C DD8C765F D B8CDD8AB B83685D>

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

Microsoft PowerPoint - 【最終提出版】 MATLAB_EXPO2014講演資料_ルネサス菅原.pptx

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

040402.ユニットテスト

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

ISO9001:2015内部監査チェックリスト

2STB240PP(AM-2S-G-005)_02

Microsoft Word - TC4011BP_BF_BFT_J_P8_060601_.doc

2STB240AA(AM-2S-H-006)_01

JIS Q 27001:2014への移行に関する説明会 資料1

AAプロセスアフローチについて_ テクノファーnews

ガードの設計 ISO 準拠

PowerPoint プレゼンテーション

PRONETA

RMS(Root Mean Square value 実効値 ) 実効値は AC の電圧と電流両方の値を規定する 最も一般的で便利な値です AC 波形の実効値はその波形から得られる パワーのレベルを示すものであり AC 信号の最も重要な属性となります 実効値の計算は AC の電流波形と それによって

<4F F824F B4B8A B818E968D802E786C73>

スライド 1

RDX へのバックアップ 3 ベアメタル復旧手順書 2014 年 11 月

<90528DB88EBF96E2955B2E786C73>

形式 :KS2TR2 プラグイン形 FA 用変換器 K UNIT シリーズ 温度センサ入力警報器 ( デジタル設定 2 点警報形 ) 主な機能と特長 指示計機能 全ての設定を前面パネルにより設定可能 アプリケーション例 アナログ値警報接点 機器の異常警報 R:24V DC( 許容範囲 ±10% リッ

卵及び卵製品の高度化基準

Microsoft PowerPoint - 1.プロセス制御の概要.pptx

個人依存開発から組織的開発への移行事例 ~ 要求モデル定義と開発プロセスの形式化 による高生産性 / 高信頼性化 ~ 三菱電機メカトロニクスソフトウエア ( 株 ) 和歌山支所岩橋正実 1

ACモーター入門編 サンプルテキスト

CSM_G6K-2F-RF-V_DS_J_1_2

CSM_E2K-F_DS_J_5_7

共通部機器仕様構造 : 壁取付シャーシに避雷器 モデム 入出力ユニットをマウント接続方式 回線 :M4 ねじ端子接続 入出力 電源 :M3.5 ねじ端子接続 接地 :M4 ねじ端子接続シャーシ材質 : 鋼板に黒色クロメート処理ハウジング材質 : 難燃性黒色樹脂アイソレーション : 回線 - 入出力

総合衛生管理製造過程と PDCAサイクル

智美塾 ゆもつよメソッドのアーキテクチャ

FSMS ISO FSMS FSMS 18

SC-S21 デジタル指示調節計 特長 奥行き 63mm のコンパクトサイズ 新型オートチューニングにより 素早い応答性と収束を実現 スタートアップチューニングを搭載し オートチューニング実行時間を削減 付加仕様として 上位システムとの通信機能を選択可能 4 種類の設定値を登録可能 大きく見やすい表

品質マニュアル(サンプル)|株式会社ハピネックス

CMOS リニアイメージセンサ用駆動回路 C10808 シリーズ 蓄積時間の可変機能付き 高精度駆動回路 C10808 シリーズは 電流出力タイプ CMOS リニアイメージセンサ S10111~S10114 シリーズ S10121~S10124 シリーズ (-01) 用に設計された駆動回路です セン

Microsoft Word - TC4013BP_BF_J_P9_060601_.doc

機械安全のための規格と法律(第10回)

5、ロット付番

車載式故障診断装置 (OBD) に関する制度と運用の現状 資料 4

注意 本製品は FCC Class A 装置です 一般家庭でご使用になると 電波干渉を起こすことがあります その際には ユーザーご自身で適切な処置を行ってください 本製品は FCC( 米国連邦通信委員会 ) 規則の Part15 に準拠したデジタル装置 Class A の制限事項を満たして設計され

Microsoft Word - TC4017BP_BF_J_P10_060601_.doc

ヤマハDante機器と他社AES67機器の接続ガイド

00_testo350カタログ貼込.indd

フロントエンド IC 付光センサ S CR S CR 各種光量の検出に適した小型 APD Si APD とプリアンプを一体化した小型光デバイスです 外乱光の影響を低減するための DC フィードバック回路を内蔵していま す また 優れたノイズ特性 周波数特性を実現しています

JISQ 原案(本体)

形式 :MXAP 計装用プラグイン形変換器 MX UNIT シリーズ アナログパルス変換器 ( デジタル設定形 ) 主な機能と特長 直流入力信号を単位パルス信号に変換 出力周波数レンジ 出力パルス幅を前面パネルで設定可能 ドロップアウト機能付 ループテスト出力付 出力パルス数をカウント表示 ( 手動

PowerPoint プレゼンテーション

Transcription:

制御システムの安全関連部 (SRP/CS) 目 次 制御システムの安全関連部 (SRP/CS) 1. 安全機能の特性 2. 要求 PL r を決定する 3. SRP/CS の設計 4. 達成される PL の評価と SIL との関係 5. カテゴリと各チャンネルの MTTF d DC avg CCF との関係 6. 達成した PL と要求 PL r の適合検証 7. 妥当性の確認 8. 技術資料 0

制御システムの安全関連部 (SRP/CS) 本項においては ISO-18849 の内容を解説します 概要 1 制御システムの安全関連部 (SRC/CS) は 安全機能を提供する部分であり ハードウェアとソフトウェアから構成する 2 制御システムの安全機能は パフォーマンスレベル (PL:Performance Level) と定義される 5 通りのレベル (a b c d e) のうち一つに振り分けられる 3 安全機能の危険側故障発生確率は ハードウェア並びにソフトウェアの構造 障害検出機構の程 [[ 診断範囲 (DC)] コンポーネントの信頼性 [ 平均危険側故障時間 (MTTF d ) 共通原因故障 (CCF)] 設計プロセス 運転ストレス 環境条件と運転手順による 4 カテゴリとは 達成した PL の査定を容易にするものであり 設計基準と障害条件に従った構造分類であり 5 通りのレベル (B,1,2,3,4) に分類できる 5 PL とカテゴリは表 1 に示す制御システムの安全関連部に適用する 安全関連制御機能の技術方式 表 1 PL とカテゴリの適合 ISO13849(JISB9705) A 非電気式 例えば液圧式 B 電気機械式 例えば リレー 非複雑電子システム Ple までの指定カテゴリ a) に適用 C 高複雑電子システム 例えば プログラム式 Pld までの指定カテゴリ a) に適用 D A と B との複合 Ple までの指定カテゴリ a) に適用 E C と B との複合 Pld までの指定カテゴリ a) に適用 F C と A または C と A 及び B との複合 X b) X 見出しに示される規格によって取り扱われるアイテム 注 ) a) 指定のカテゴリは 4.5 項に示される b) 高複雑電子システムは この規格に指定される PLd までのカテゴリ

制御システムの安全関連部 (SRP/CS) 防護策は制御システムによる SRP/CS により実行される安全機能を特定する 設計の流れ 1 安全機能特性を特定し 実現方法を決定 2 安全要求性能レベル (PL r :Required Performance Level) を決定 3 PL r と同等以上の安全性能レベル (PL) を構築するために カテゴリ ( システムの構造 ) 診断範囲などを選択 4 システマチック故障 コンポーネントを考慮して SRC/CS を設計 5 ソフトウェアは V( 字 ) モデルに基づいて設計 6 SRC/CS の安全性能レベルの達成度について評価 7 安全性能レベルが 安全性能要求レベルを満足しているかを 分析 と 試験 により検証 8 分析による評価 :FMEA FTA などの手法 9 試験による評価 : 通常および異常条件に対しての機能 性能試験 各防護策に戻る 選択した安全機能のそれぞれに対して実施 はい 各安全機能に対して 要求特性を推定する (4.1) 要求 PL を決定鶴 (4.2) 安全機能の設計および技術的実現性安全機能を実行する安全関連部を特定する (4.3) 次を考慮して PL を見積もる (4.4) -MTTF d (1) -DC(2) -CCF(3) - システマチック故障 (4) - ソフトウェアへの要求 (5) - カテゴリ (4.5) 安全機能に対する PL の検証 PL PLr(4.6,7) はい 妥当性確認 (4.8) すべての要求事項に適合するか はい すべての安全機能を確認したか 図 1 制御システムの安全関連部の設計のフローチャート 2

1. 安全機能の特性 SRC/CS により提供される安全機能との概要と要求を表 2 に示す 設計者は 特定の用途の制御システムで要求される安全方策を達成するために この表の必要な安全機能を実現しなければならない. 表 2 SRC/CS により提供される安全機能の概要と要求 安全機能 安全関連停止機能 概要 保護装置の停止機能は 作動直後に機械を安全に動作可能な状態にする この停止は 通常操作の停止機能に優先させる 要求 (ISO13849) 5.2.1 特性 安全関連パラメータ 手動リセット機能 安全防護装置により停止の命令が出た後は 再起動のための安全条件が成立するまで停止状態を維持する 5.2.2 起動 / 再起動機能 再起動は 危険状態が存在しない場合のみに自動的実行される 5.2.3 ローカルコントロール機能 機械が たとえば 携帯式制御装置やペンダントにより現場で制御される場合に適用される 5.2.4 ミューティング機能 ミューティング機能は SRP/CSによる安全機能の一時停止を可能とする 5.2.5 応答時間 安全関連パラメータ ( 速度 圧力など ) 電源の変動 損失 復旧 リスクアセスメントで要請される場合 SRP/CS の応答時間を決定しなければならない あらかじめ設定した制限値を逸脱している場合 制御システムは 適切な方法 ( たとえば 停止 警報信号 警報音など ) で危険を回避する 設計上の範囲逸脱した場合に 他の部分において安全を維持できるように出力信号を生成する 5.2.6 5.2.7 5.2.8 3

2. 要求 PL r を決定する SRP/CS によるリスク低減方法設計者は SRP/CS に備えるべき安全機能特性を前項より選択し 図 2 の左に示す S( 障害のひどさ ) F( 危険源への接近頻度 ) P( 危険源を回避する可能性 ) からその要求性能レベル (PL r ) を決定する 次に それに見合うように カテゴリや診断範囲などを選択し図 2 の右に示す 5 段階 (a b c d e) の性能レベルを設定する 表 3 に PL の性能レベルを示す 表 3 PL の性能レベル 危険側障害発生の平均 PL 確立 (1/h) a 10-5 から 10-4 b 3 10-6 から 10-5 c 10-6 から 3 10-6 d 10-7 から 10-6 e 10-8 から 10-7 4 図 2 PL r の設定と PL の見積もり

3. SRC/CS の設計 技術的実現性や用いるべき安全機能を想定して 制御システムの安全設計から SRC/CS を設計する代表的な安全機能は 図 3 のダイヤグラムで表現され SRP/CS は次の組合せによる 入力 (SRP/CS a ) 論理 / 処理 (SRP/CS b ) 出力 / 動作制御要素 (SRP/CS c ) 相互接続手段 (i ab,i bc )( たとえば 電気的 工学的 ) 図 3 代表的な安全機能のダイヤグラム 5

4. 達成される PL の評価と SIL との関係 ISO13849 においては SRC/CS の安全機能は 性能レベル (PL:Performance Lebel) により明示される そのため 選択されたそれぞれの SRC/CS( 単独または組合せ ) について PL の評価をはじめに行う PL と SIL の関係を表 4 に示す SRC/CS の PL は 以下に示すパラメータの評価によって示される (1) 危険側故障の平均時間 (MTTF d :Mean Time to Dangerous Failure) 個々のチャンネルのMTTF d は表 5に示す3つのレベルに分類されており それぞれのチャンネル ( たとえば単独のチャンネル 冗長システムの個々のチャンネル ) について考慮しなければならない 個々のコンポーネントのMTFF d のデータの見積もりは 以下に示す順序でおこなう メーカのデータ ISO13849の付属書 CおよびDに示される手法 10 年を選択 (2) 診断故障 (DC:Diagnostic Coverage) DC は SRP/CS における診断機能の尺度で 表 5 に示すように四つのレベルで定義される DC は SRP/CS の不具合に対する自己診断の範囲または有効度であり 診断の方法と監視の頻度により評価される DC は 検出された危険側障害の確立 λ DD と全体の危険側障害の確立 λ total の分数で表わされる DC=Σλ DD /Σλ total 要素内容範囲 MTTF d DC 表 4 PL と SIL との関係 表 5 MTTF d と DC 各チャンネルの平均危険側故障時間 各チャンネルの自己診断の範囲率 PL SIL a 対応なし b 1 c 1 d 2 e 3 Low:3~10 年 Medium:10~30 年 High:30~100 年なし :0% Low:60~90% Medium:90~99% High:99% 以上 6

4. 達成される PL の評価と SIL との関係 (3) 共通原因故障 (CCF:Common Cause Failure) 表 6 CCF 対策と定量化 (1/2) No CCF 対策 スコア 1 分離 / 隔離信号経路同士の物理的分離 : 配線 / 配管の分離 15 2 プリント回路基板における 十分な空間距離と沿面距離多様性異なる技術 / 設計や物理気原則が使用される 例 : ファースト チャンネル プログラマブル電子機器とセカンドチャンネル ハードワイヤード起動の種類 20 3 3.1 圧力と温度距離と圧力の測定 : デジタルとアナログ異なる製造者の部品設計 / アプリケーション / 経験過電圧 過圧力 過電流など 15 3.2 十分検討された部品を使用する 5 4 アセスメント分析故障モード影響分析の結果が 共通原因故障の防止に 設計上考慮されているか 5 5 能力 / 訓練設計者 / 保守作業車は 共通原因故障の原因と結果を理解するための訓練を受けているか 5 7

4. 達成される PL の評価と SIL との関係 表 6 CCF 対策と定量化 (2/2) No CCF 対策 スコア 6 環境 6.1 CCに対する汚染の防止と電 j 環境整合性 (EMC) は 適切な規格に従う 流体システム : 圧媒体の濾過作用 よごれ吸気の防止 圧縮空気の排出例 : 圧媒体清浄に関連する部品製造者の要求に準拠 電気システム : システムは電磁環境耐性をチェックしたか 25 6.2 例 :CCFに対する関連規格の指定されたとおり化 流体と電気系システムの組合せは 両方の側面が考慮されなければならない その他の影響温度 衝撃 振動 湿度など ( 関連する規格で規定 ) すべての関連する環境的影響への耐性要求は考慮されているか 合計 10 最大 100まで 合計点数 65 以上 65 未満 CCF 対 d 作要求に合致プロセスに問題あり 追加手段を選択 8

4. 達成される PL の評価と SIL との関係 (4) システマチック故障ある原因により引き起こされる複合的な故障であり 設計や製造プロセスの修正 試験や運用手順の改訂など すべてを検討することにより除去できる (i) システマチック故障を抑制するシステマチック故障は 制御の結果を監視することにより 回避可能である そのため 監視機能や自動試験機能を組込んでおく (ⅱ) システマチック故障の回避システマチック故障は 以下の手段により回避できる コンポーネントや材料の選択では 使用条件に対して定格を十分に満たす また FMEA が明確になっているか 安全規格に合格しているコンポーネント モジュールを使用する コンポーネント モジュールなどの仕様 ( 電圧 電流など ) を系統的にシミュレーションして故障を想定する (ⅲ) SRP/CS の開発過程でのシステマチック故障の回避 SRC/CS の開発過程において機能試験やプロジェクトマネージメントを実施し その内容を文書化しておくことにより システマチック故障を回避できる 9

4. 達成される PL の評価と SIL との関係 (5) ソフトウェアへの安全要求ソフトウェアは SRP/CS の設計において 特にシステマチック故障の発生を自動的に繰り返し診断するソフトウェアを採用することが必要である そのために図 4 に示す V( 字 )- モデルを採用し ソフトウェアを読みやすく 理解しやすく 試験しやすく かつ保守しやすくする V( 字 )- モデルの左側は設計活動であり 右側はデバック ( 試験 ) である 設計時点で試験方法や期待される結果を明確にしておくことにより 試験による検証が容易になる 1 安全関連の組込みソフトウェア (SRESW) PL r の a~d の場合の対策 モジュール化や構造化設計 並びにコーディング 機能試験 たとえば ブラックボックス試験 など PL r が c または d の場合の対策 ISO9001 と同等のプロジェクト管理と品質管理 安全要求事項で構造化された使用と設計 など PL r が e の場合いは IEC61508-3:1998 7. の SIL3 を満足する 2 安全関連のアプリケーションソフトウェア (SRASW) PL r の a~e の場合の対策 1 と同様 PL r が c~e の場合の追加方策 ツール ライブラリ 言語を統一する SRASW と非 SRASW のデータの論理的結合があってはならない 10 図 4 V( 字モデル )

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 (1) 概要カテゴリは PL r を満足するシステムを構築するための基本的な要素であり 故障に対する耐性に関して 2,3 項で述べた設計上の考慮 ( 例えば コンポーネントの不具合 共通原因故障を検知するための診断範囲など ) に基づき SRP/CS に要求される内容を示したものである カテゴリ B: 基本的カテゴリである 故障の発生は 安全機能の喪失つながる カテゴリ 1: このカテゴリにおいては 故障に対する改善は 主としてコンポーネントの選択と適用により達成される カテゴリ 2~4: これらのカテゴリにおいては 特定の安全機能に関し 性能上の改善は 主として SRP/CS の対応により達成される カテゴリ 2: このカテゴリにおいては 特定の安全機能が実行されていることを定期的にチェックすることにより安全機能の有効性が確認される カテゴリ 3 と 4: これらのカテゴリにおいては 単一の故障が安全機能の喪失にならないことにより高い安全性が達成される カテゴリ (3 と )4: カテゴリ 4 において ( とカテゴリ 3 において合理的に実施可能な場合 ) SRP/CS の故障は検出される カテゴリ 4 では 故障の蓄積に対する耐性をもつ 11

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 表 7 障害が発生した場合の SRO/CS からカテゴリへの要求事項 (1/2) カテゴリ B 1 2 要求のまとめ SRO/CSとその保護装置は その部品と同じく 予想される影響に耐えられるよう 関連企画に従い 設計 構築選択 組立てられていること 基本の安原則が使用される Bの要素が適用される 十分検討された部品と安全原則が使用っされる B の要求と十分検討された安全原則が適用される 安全機能は機械の制御システムにより適切な感覚で点検される システム動作 故障が発生すると安全機能の喪失を招くことがある 故障発生確率はカテゴリBより低いが故障時は安全機能の喪失を招くことがある 故障が起きると点検と点検の間で安全機能の喪失を招くことがある 安全機能の喪失は点検により検出される 安全実現のための原則 主に製品の選択によって特徴づけられる 主に製品の選択によって特徴づけられる 主に製品の選択によって特徴づけられる 各チャン ネルの DC avg CCF MTTF d 低 ~ 中なし関連なし 高なし付属書 F 低 ~ 高低 ~ 中付属書 F 12

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 表 7 障害が発生した場合の SRO/CS からカテゴリへの要求事項 (2/2) カテゴリ 3 4 要求のまとめ Bの要求と十分検討された安全原則が適用される 安全関連部品は以下のように設計される 1 単一故障が安全機能の喪失を招かないこと 2 実行可能な限り単一故障は検出される Bの要求と十分検討された安全原則が適用される 安全関連部品は以下のように設計される 1 単一故障が安全機能の喪失を招かないこと 2 単一故障は 次の安全機能が働く前に検出されること 検出が不可能でも 故障の累積が安全機能の喪失を招かないこと システム動作 単一故障発生時 安全機能は動作する すべてではないが故障を検出できる 検出されない故障が累積した場合 安全機能の喪失を招くことがある 単一故障発生時 安全機能は動作する 累積故障の検出により安全機能の喪失率は減少する ( 高い DC) 安全機能喪失を防止するため 故障はすぐに検出される 安全実現のための原則 主に構造によって特徴づけられる 主に構造よって特徴づけられる 各チャン ネルの DC avg CCF MTTF d 低 ~ 高低 ~ 中付属書 F 高 高 ( 故障の累積を含む ) 付属書 F 13

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 (2) カテゴリの仕様各 SRP/CS は 関連するカテゴリの要求事項に適合しなければならない 重要なことは 図 5 で示される PL は カテゴリ 各チャンネルの MTFF d と DC avg によって 指定アーキテクチャに基づいているということである 1 カテゴリ B カテゴリ B には 基本安全原則 が適用される カテゴリ B では 単一故障が発生すると 安全機能の損失を招くことがある カテゴリ B のシステム内では 診断範囲がなく (DC avg =0%) かつ 各チャンネルの MTTF d は低 ~ 中までとなる カテゴリ B によって達成可能な PL は b である カテゴリ B の指定アーキテクチャを図 5 に示す 図 5 カテゴリBと1の指定アーキテクチャ 2 カテゴリ1 カテゴリBの要求が適用される カテゴリBと1の指定アーキテクチャは同じであり どちらも 基本安全規格が適用される そのうえで 十分に吟味されたコンポーネント の使用が要求される 十分に吟味されたとしての能力は そのアプリケーションに依存する たとえば ポジティブの接点を備えた位置スイッチであり これを確実にするために以下の対策を講じる必要がある 調整後にスイッチの固定を確実にするための手段 カムの固定を確実にするための手段 位置スイッチのオーバトラベル回避のための手段発生確率はカテゴリBより低いが 故障時に安全機能の喪失を招くことがある カテゴリ1の指定アーキテクチャは カテゴリBと同じである 14

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 3 カテゴリ 2 カテゴリ B の要求と 十分吟味にされた安全原則 が適用される 安全機能は 制御システムにより適切な間隔で点検する必要がある カテゴリ 2 は カテゴリ 1 に機能の監視が追加されたことが特徴である ただし 故障が起きると 点検と点検の間で安全機能の喪失を招くことがある このような安全機能の喪失も 点検により検出される必要がある カテゴリ 2 の指定アーキテクチャを図 6 に示す 図 6 カテゴリ 2 の指定アーキテクチャ 15

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 4 カテゴリ 3 カテゴリ B の要求と 十分吟味にされた安全原則 が適用される カテゴリ 3 の SRP/CS は 以下のように設計される 単一の故障が安全機能の喪失を招かないこと 二つの論理装置により単一の故障を確実に検出する なお 検出されない故障が累積した場合には 安全機能の喪失を招くことがある カテゴリ 3 と 4 は L1 L2 という別々の論理装置を装備し 相互に比較することを要求している ( 多様性 : ダイバーシティ ) カテゴリ 3 の指定アーキテクチャを図 7 に示す 5 カテゴリ 4 カテゴリ B の要求と 十分吟味にされた安全原則 が適用される カテゴリ 3 は 単一故障を検知するだけであるが カテゴリ 4 は累積故障 ( 二つ以上の故障 ) を防ぐ設計とする カテゴリ 4 の SRP/CS は 以下のように設計される 単一故障が安全機能の喪失を招かないこと 単一故障は 次の安全装機能が働く前に検出されること 検出が不可能でも 累積故障による安全機能の損失を招かないこと カテゴリ 4 の指定アーキテクチャは カテゴリ 3 と同じである 16 図 7 カテゴリ 3 と 4 の指定アーキテクチャ

5. カテゴリと各チャンネルの MTTF d DC avg CCF の関係 (3) 異なるカテゴリに対する SRP/CS の選択と組合せ安全機能は 入力システム 信号のプロセスユニット 出力システムなどいくつかの SRP/CS を組合せることによって実現できる これらの SRP/CS には いくつかの異なったカテゴリが含まれる場合があるので SRP/CS のカテゴリ選定は 前述の五つのカテゴリを参考に選択する必要がある SRP/CS を組合せたものの PL は表 8 を参考にして決めるが 全体を監視機能 ( 例えば 入出力 もしくは 入力と動力からのフィードバック信号を監視するなど ) を設けることにより安全を確保すべきである 表 8 SRP/CS を組合わせた PL の例 PL low N low PL a b c d e >3 >2 >2 >3 >3 なし 許可していない a b c d 3 2 2 3 3 a b c d e 17

6. 達成した PL と要求 PL r の適合性検証 構築された SRO/CS の PL を計算し 要求性能 PL r と同等以上であることを確認し文書化する 必要に応じて根拠となる計算式も記述しておくこと ここで確認された妥当性は 使用上の情報の漏れの確認を含み 提供される使用上の情報による設置後の危機対策にも活用される 妥当性の確認の結果 PL r が達成されていない場合には 設計変更が必要となる オペレータと SRP/CS とのインタフェースは 機械のすべての使用条件と誤使用において危険が発生しないように設計されなければならない 人間工学の利用により SRC/CS を含む機械と制御システムが操作しやすくなり 危険な作業を誘導しにくくなる 18

7. 妥当性の確認 妥当性の確認とは SRP/CS の安全機能について特別の要求事項に適合することを審査する ことである 妥当性確認では 要求された安全機能 (PL r ) と SRP/CS による安全機能 (PL) が ISO13849 を満足していることを明らかにすることでもある 妥当性の確認は 以下の 2 項目について実施する 分析 : トップダウン技法として FTA や ETA を用いる 適合試験 : 分析では十分に確認ができなかった場合 試験を実施して確認する 予想される環境条件下 ( 振動 温度 湿度 EMC など ) で装置が機能することを確認する 19

8. 技術資料 SRP/CS を設計するにあたって 以下に示す情報を資料化しておく SRP/CS の安全機能 それぞれの安全機能の特徴 SRP/CS の機能の正確な開始時点と終了時点 使用環境条件 性能レベル (PL) 選択したカテゴリ 信頼性 (MTTF d DC CCF 寿命時間 ) に関するパラメータ システマチック故障に対する対策 対策として採用した技術 考えられた故障 除外された故障 ソフトウェアの資料 合理的に予見可能なご使用に対する対策 20

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック