IEC 62061|機械安全SILに基づく規格

IEC 62061

IEC 62061は、機械の安全関連制御系における機能安全要求を規定する国際規格である。電気/電子/プログラマブル電子(E/E/PE)技術で実現される安全機能を対象とし、危険源の同定から設計、検証、妥当性確認、運用、変更管理までの安全ライフサイクルを与える。上位の枠組みであるIEC 61508の機械分野適用版の位置づけにあり、リスク低減の目標を安全機能ごとにSIL(Safety Integrity Level)として定量的に割り当て、PFH_DやPFDavg等の故障確率指標で適合性を示す点に特徴がある。ISO 12100のリスクアセスメントと整合しつつ、設計・計算・文書化の要求を詳細に示す。

Table Of Contents

適用範囲と位置づけ

IEC 62061は機械の安全関連E/E/PE制御系(センサ、論理、アクチュエータから構成されるチェーン)を対象とする。機械的・流体的な純粋機構は直接の範囲外だが、E/E/PE制御系と連成する場合は境界条件として取り扱う。要求は安全機能単位で適用され、安全要求仕様(SRS)により機械の運転モード、停止カテゴリ、安全状態、反応時間、診断方針などを明確化する。

基本概念(用語と指標)

  • 安全機能(Safety Function):危険状態を防止・回避・緩和するために制御系が果たす機能。

  • SIL:安全機能に要求される安全度の水準。通常SIL1~SIL3を用いる。

  • PFH_D/PFDavg:高需要・連続需要ではPFH_D(危険故障頻度/時)、低需要ではPFDavg(要求時危険故障確率)で評価する。

  • SILCL:サブシステムが主張できるSIL上限。アーキテクチャや故障特性に依存する。

  • CCF:共通原因故障。分離、冗長多様化、環境管理などで低減する。

安全ライフサイクル

  1. コンセプト・範囲定義:機械境界、想定使用、誤使用、インタフェースを明確化する。

  2. リスクアセスメント:ISO 12100に整合して危険源を特定し、保護方策を検討する。

  3. SIL割り当て:安全機能ごとに目標SILを決定し、SRSに記載する。

  4. 設計・実装:アーキテクチャ選定、部品選択、診断、ソフトウェア設計を実施する。

  5. 統合・検証:計算根拠・試験でSIL達成を検証する。

  6. 妥当性確認:SRSとの整合性、想定環境下での機能を確認する。

  7. 運用・保全・変更:点検、証明試験、変更時の再評価を行う。

リスク評価とSIL割り当て

SILは、危害のひどさ、暴露頻度、回避可能性などの因子を踏まえ、各安全機能に割り当てる。安全停止、速度監視、ガード監視、位置検出などの機能ごとに必要な反応時間と安全状態を定義し、機械の停止カテゴリや残留リスクとの整合を図る。割り当てたSILは、設計・計算・試験により達成証明され、使用環境や診断間隔、テスト間隔の仮定を含めて文書化する。

設計とアーキテクチャ

典型構成はS(センサ)–L(安全PLC等の論理)–A(アクチュエータ)で表す。要求SILに応じ、1oo1、1oo2、2oo3などの投票論理、自己診断、フェールセーフ出力、エネルギ隔離、配線監視を組み合わせる。SILCLとハードウェア故障許容度(HFT)を満たすサブシステムを選定し、診断は検出可能故障の比率と検出時間を考慮して設計する。安全関連部は安全でない制御から独立性を確保し、電源、接地、ノイズ、温湿度、振動などの環境要因にも配慮する。

計算指標とデータの扱い

PFH_D/PFDavgの算定では、部品の故障率、診断カバレッジ、テスト間隔、共通原因故障係数などを用いる。データはメーカー提供値、信頼性データ集、フィールド実績から取得し、保守的仮定を明示する。結果は各サブシステムのSILCL制約を超えないように構成し、体系的故障に対してはプロセス遵守で対策する。

ソフトウェアおよび体系的能力

ソフトウェアは要求定義からコーディング、レビュー、静的解析、単体・結合・システム試験、トレーサビリティの確保まで手順化する。構成管理、変更管理、ツール適格性、コーディング規約の遵守により、体系的能力(Systematic Capability)を確保し、目標SILと整合させる。診断や自己監視、ウォッチドッグ、メモリ保護等の設計は安全機能の反応時間内で有効に動作するよう検証する。

検証・妥当性確認・文書化

検証は計算と試験の両輪で行い、SRSの各要求に対して試験ケースと合否基準を定義する。妥当性確認は代表的な運転シナリオ(立上げ、通常、段取、非常停止、復帰)を含め、誤使用可能性も評価する。成果物として、危険源リスト、SIL割当表、アーキテクチャ図、PFH_D/PFDavg計算書、CCF対策リスト、試験記録、整備要領、教育記録を整える。

ISO 12100・ISO 13849-1との整合

リスクアセスメントはISO 12100に従い、保護方策の優先順位(本質安全設計、防護・付加保護、情報)を踏まえる。IEC 62061とISO 13849-1は記法が異なるが、付属資料によるSILとPLの整合手順を用いて一貫性を確保する。混在適用時は境界と仮定を明示し、同一安全機能内での重複計上や抜けを避ける。

変換時の留意点

  • PL↔SILの換算は前提条件に依存するため、原方式の仮定(診断、需要、テスト間隔)を明示する。

  • サブシステムのSILCL/PL制約を超えない構成で整合させる。

実務上のポイント

  • SRSの充実:安全状態、反応時間、手動/自動復帰、バイパス条件、保全モードを定義する。

  • 早期の部品適合性確認:安全リレー、安全PLC、エンコーダ、ソレノイドバルブなどのデータ可用性を確認する。

  • CCF対策:物理分離、配線の経路独立、冗長多様化、環境管理、共通電源のリスク低減。

  • 検証計画:計算・FMEA・試験を結合し、受入基準と判定責任を明確化する。

  • 保全と証明試験:点検周期と証明試験間隔を設定し、PFH_D/PFDavgの仮定と整合させる。