安全PLC|冗長・診断でSIL/PL適合制御

2025.10.04

安全PLC

安全PLCは、機械・装置の危険源を許容リスク以下に制御するためのロジックソルバであり、一般用途のPLCとは異なり機能安全規格に適合する設計・検証・認証を受ける制御器である。二重化や自己診断により単一故障で安全機能が喪失しないこと、故障時には定義済みのセーフステートへ遷移できること、要求安全度に見合う定量的指標(PFH/PFDavgなど)を満たすことが基本要件である。典型的には非常停止、ガードドア、ライトカーテン、速度監視、トルク遮断などの安全関数を、安全PLCと安全I/O、そして安全フィールドバスで統合的に実装する。

Table Of Contents

規格体系と機能安全の位置づけ

機能安全の基本規格はIEC 61508であり、機械分野ではIEC 62061やISO 13849が参照される。設計はリスクアセスメント(ISO 12100)に基づき安全要求仕様(SRS)を定義し、必要なSILまたはPLを割り当てる。運用側では検証・妥当性確認、保全、証跡管理を含むライフサイクルで運用し、変更管理による安全度の維持が求められる。安全PLCはこのライフサイクルの「ロジックソルバ」として振る舞う。

SILとPLの概念整理

IEC 62061ではSIL(1〜3)を、ISO 13849ではPL(a〜e)を用いる。PLはMTTFd、DCavg、CCFの3要素で評価し、SILはPFH/PFDavgやHFT、SFFを重視する。両者は直接同一ではないが、概略対応表で必要リスク低減量を整合させるのが実務である。

アーキテクチャと自己診断

安全PLCのCPUはロックステップや1oo2/2oo3などの冗長化を採り、周期セルフテスト、メモリECC、ウォッチドッグ、クロスチェックで潜在故障を検出する。I/Oも二重化・相互監視を行い、異常検知時は安全出力を遮断しセーフステートへ移行する。アプリケーションは安全カーネル上で独立領域として実行され、非安全タスクと厳格に分離される。

安全I/Oと配線実務

  • 2チャネル入力(例:E-Stop、ガードスイッチ)を用い、立上がり/立下がりの不一致時間(discrepancy)を監視する。
  • 入力モジュールのテストパルスで短絡・アース故障を検出する。外部機器監視(EDM)で接触器の溶着を検知する。
  • 出力は双接点直列やカテナリ配線で共通原因故障に配慮し、要求反応時間に対して出力遮断までの合成遅延を評価する。

安全フィールドバスとBlack Channel

PROFIsafe、CIP Safety、FSoEなどはBlack Channel原則に基づき、下位の通常通信路を信頼せずに上位でCRC、シーケンス、タイムアウト、アドレス化で誤伝送を抑止する。これにより分散安全I/Oを用いた大規模セルでも定量的なデータ完全性を担保できる。

プログラミングと検証の要点

安全PLCはIEC 61131-3に準拠したF-LD、F-FBD、F-SFC、場合によりSTを用いるが、利用可能なブロックは認証済みに限定される。安全関数は機能ブロック化して再利用し、ソフトウェア要求→設計→コード→レビュー→試験→妥当性確認のV字プロセスを踏む。静的解析、相互チェック、独立レビューで体系的に誤りを除去し、最終的にSRSとのトレーサビリティを示す。

代表的な安全関数(機械安全)

  1. STO(Safe Torque Off):駆動トルクを安全遮断し危険運動を停止する。
  2. SS1/SS2:制御停止を安全に達成し、必要に応じ保持する。
  3. SLS/SLP/SLA:安全速度・位置・加速度の監視で危険運動を制限する。
  4. SOS/SSR:安全位置保持・安全制御状態の監視を行う。

設計プロセスとリスク低減

危険源同定から始め、リスクグラフや定量法で必要安全度を決める。次にセンサ(ライトカーテン、ガードスイッチ、2ハンド)、ロジック(安全PLC)、アクチュエータ(安全接触器、ドライブのSTO)で制御体系を構成し、残留リスクを評価する。診断範囲とプルーフテスト間隔を設定し、PFH/PFDavgを計算して目標達成を確認する。

安全リレーとの使い分け

固定機能の安全リレーは単純回路に強いが、多数の安全機能や条件分岐、速度・位置の連続監視を要する場合は安全PLCが有利である。後者はプログラム変更で柔軟にセル拡張へ対応でき、分散I/Oと安全バスを併用して配線を簡略化できる。

典型アプリケーション

  • ロボットセル:ガードドアとライトカーテンをゾーニングし、SLSで教示速度を制限する。協働運転ではPL d〜e相当を目標に設計する。
  • プレス機:2ハンド制御と光線式保護装置、ミューティング、EDMで危険側故障を抑止する。
  • AGV/AMR:速度域とエリア切替を安全レーザスキャナで行い、安全PLCで走行論理と安全関数を統合する。

選定指標と運用

選定では対応規格と認証範囲、CPU冗長方式、反応時間、最大安全I/O点数、サポートする安全バス、環境耐性を確認する。運用では変更管理、診断ログの定期レビュー、プルーフテスト、部品寿命管理(MTTFd)を計画し、故障率仮定の妥当性を継続検証する。これらを通じ、安全PLCは生産性と安全性の両立を実現する中核要素となる。

コメント(β版)