「故障除外」をわかりやすく解説:ISO 13849-1, ISO 13849-2, ISO 14119 から紐解く機械安全の設計における重要な考え方
みなさん、こんにちは。ジュンイチロウです。
ジュンイチロウお久しぶり!
今回は、意外と知られていそうで、実は良くわからない「故障除外」について解説いたします。
最近、故障除外に関する質問を多く受けるようになりました。しかし、質問の内容を伺うと、多くの方が故障除外の考え方を十分に理解されていないことがわかります。さらには、「故障除外って何ですか?」という基本的な質問をされることも少なくありません。
故障除外ってなんやねん?
故障除外とは、特定の故障が「技術的に発生し得ない」と判断し、安全設計の分析対象から除外することです。そのため、故障除外を正しく理解し適用するためには、明確な基準と深い理解が必要です。
残念ながら、一部の第三者認証機関や機械の安全を標榜するエセコンサル会社から、この概念が誤って伝えられている場合があります。これにより、誤った審査や不適切なアドバイスが行われることもあるため、注意が必要です。
目次
「故障除外」をわかりやすく解説:機械安全の設計における重要な考え方
機械が安全に稼働するために、設計者は常に「もし故障したらどうなるか?」という問いに向き合う必要があります。しかし、考えられるすべての故障の可能性を詳細に検討し、対策を講じることは、現実的には非常に困難です。ここで、機械安全設計における重要な概念である「故障除外」が登場します。
故障除外とは、特定の故障が「技術的に発生し得ない」と判断し、安全設計の分析対象から除外することです。これにより、設計プロセスを効率化しつつ、実用的な安全性を確保することが可能になります。ISO 13849-1:2023 では、「安全関連制御システム (SRP/CS) 内の特定の故障が、その発生確率が無視できる場合に除外されること」と定義されており、この考え方は機械安全規格において明示的に認められています 。
この概念が機械設計者にとって重要である理由は多岐にわたります。まず、すべての微細な故障モードを考慮すると、設計と検証が非常に複雑になり、それに伴うコストも増大します。
故障除外は、最も重要で発生可能性のある故障モードに焦点を当てることを可能にし、リソースの最適配分を促します。発生確率が極めて低い故障に対して過剰な安全対策を講じるよりも、より発生しやすい、またはより深刻な結果をもたらす故障に対してリソースを集中させることが、全体としての安全性を高める上で効率的であると考えられています。また、故障除外は、リスクアセスメントの結果に基づいて行われるリスク低減プロセスの一部でもあります。
しかしながら、故障除外の適用には厳密な判断が求められます。ISO 13849-1 が「無視できる確率」という言葉を使用しているものの、具体的な数値基準は示されていません。この具体的な数値基準の欠如は、技術分野や部品の特性、過去の広範な使用データ、そして業界のコンセンサスによって「無視できる」の解釈が異なるためと考えられます。例えば、航空宇宙分野と一般産業機械では、許容される「無視できる確率」のレベルが異なる可能性があります。
このことは、故障除外の適用が、単一の技術基準だけでなく、その分野の「良い工学慣行(Good Engineering Practice)」に深く根ざしていることを示しています。したがって、故障除外は単なる簡略化ではなく、厳格な根拠と深い分析が求められるリスク管理戦略の一部であると理解することが不可欠です。効率性と実用性を追求する一方で、その適用には極めて慎重な判断と、見落としのない深い分析が不可欠であるという二面性を持つ、それが故障除外の真の姿です。
故障除外の基本:定義と目的
機械の安全設計において、「故障除外」は、設計の複雑性を管理し、リソースを最適に配分するための重要な手段です。この概念は、特定の故障モードが「技術的に発生し得ない」と判断される場合に適用されます。
ISO 規格における故障除外の定義を深掘り
ISO 13849-1:2023 は、故障除外を以下のように定義しています。
故障除外 (fault exclusion)
制御システムの安全関連回路(SRP/CS)内における特定の故障の除外。ただし、その故障の発生確率が無視できるほど小さいことによって、この除外が正当化される場合に限る。
ここでいう「無視できる確率」という表現は、単に「起こりにくいだろう」という感覚的な判断ではなく、技術的・科学的な根拠に基づいている必要があります。この定義は、安全設計において、すべての微細な故障モードを無限に追求するのではなく、現実的な範囲で安全性を確保するための枠組みを提供します。
ISO 13849-1 は「negligible probability(無視できる確率)」という言葉を使用していますが、具体的な数値基準(例: 10^-9/h以下など)は示されていません。これは、技術分野や部品の特性、過去の広範な使用データ、そして業界のコンセンサスによって「無視できる」の解釈が異なるためと考えられます。
例えば、航空宇宙分野と一般産業機械では、許容される「無視できる確率」のレベルが異なる可能性があります。この事実は、故障除外の適用が、単一の技術基準だけでなく、その分野の「良い工学慣行(Good Engineering Practice)」に深く根ざしていることを意味します。
したがって、故障除外は、単なる規格の条文解釈に留まらず、業界固有の知識と経験、そしてリスク許容度によってその適用範囲が形成される、という深い理解が求められます。
なぜ故障を除外するのか?その設計上の意図
故障除外の主な設計上の意図は以下の通りです。
- 設計の複雑性軽減: 機械の安全設計は、非常に多くの部品とそれらの相互作用を考慮する必要があります。すべての可能な故障モードを詳細に分析し、それぞれに対策を講じることは、時間とコストの観点から非現実的です。故障除外は、発生確率が極めて低い故障モードを分析対象から外すことで、設計者がより重要な故障モードに焦点を当て、リソースを効率的に配分することを可能にします。
- リソースの最適配分: 発生確率が極めて低い故障に対して過剰な安全対策を講じることは、リソースの無駄遣いにつながる可能性があります。それよりも、より発生しやすい、または発生した場合により深刻な結果をもたらす故障に対してリソースを集中させることが、全体としての安全性を高める上で効率的です。
- 現実的なリスク管理: 故障除外は、リスクアセスメント(ISO 12100:2010に準拠)の結果に基づいて行われるリスク低減プロセスの一部です 。これは、安全性を追求するだけでなく、機械の機能性や経済性とのバランスを取るための現実的なリスク管理戦略の一環として位置づけられます。
「技術的に発生し得ない」という考え方
「技術的に発生し得ない」という表現は、「絶対に起こらない」という主張とは異なります。ISO 13849-1:2023 は、「既知の物理科学の法則に基づいて、その発生の可能性が低いことが正当化できる場合にのみ可能」と規定しています。
例えば、特定の部品が過剰な応力に晒されないように設計され、かつその材料が十分な強度を持つことが証明されている場合、その部品の「破断」を故障除外の対象とすることができます。
この考え方は、単に感覚的な判断ではなく、厳密な工学的分析に基づいています。
例えば、特定のケーブルが機械的損傷から完全に保護されている場合、そのケーブルの「断線」や「短絡」を故障除外の対象とすることが考えられます。また、適切に設計され、過剰な負荷がかからないように保護された電気部品の「過熱による焼損」なども、特定の条件下で除外される可能性があります。
故障除外が許容される条件と満たすべき制約
故障除外は、安全設計を効率化する強力なツールですが、その適用には厳格な条件と制約が伴います。これらの条件を満たさなければ、除外された故障が実際に発生し、予期せぬ危険な状況を引き起こす可能性があります。
製造者の指定する使用範囲の遵守
故障除外は、部品やシステムが製造者によって指定された運用上の制限内で使用される場合にのみ有効です。
これには、温度範囲、動作圧力、電流、動作回数、振動、湿度、電磁干渉(EMI)などの環境条件が含まれます。製造者が定めたこれらの仕様の範囲を逸脱して部品が使用される場合、除外された故障の発生確率が増大し、故障除外の根拠が失われる可能性があります。
例えば、あるセンサーが特定の温度範囲で動作保証されている場合、それを超える高温環境で使用すると、そのセンサーの故障モード(例えば、出力のドリフトや完全な機能停止)を除外する根拠は失われます。
製品寿命期間中の安全性の維持
故障除外の要件は、デバイスの寿命期間中(ミッションタイム)維持されなければなりません。ISO 13849-1:2023 は、「ミッションタイム」をSRP/CS の意図された使用期間と定義しており、この期間全体にわたる安全性の維持が求められます。摩耗、表面下の欠陥、機械部品の疲労など、時間とともにデバイスの特性を劣化させる影響を考慮に入れる必要があります。
特に制約が無いい場合はミッションタイムは20年とされています。
この要求は、単に設計段階の静的な条件(例:初期強度、製造時の品質)だけでなく、実際の運用における動的な条件(例:摩耗、疲労、環境変化、使用頻度)が故障除外の有効性に影響を与えることを示唆しています。
例えば、ある部品の故障が除外されていても、その部品が設計寿命を超えて使用された場合や、想定外の振動や温度変化に晒された場合、除外の根拠が崩れる可能性があります。これは、故障除外が設計段階で一度行えば終わりというものではなく、製品のライフサイクル全体にわたる継続的なモニタリングと管理が必要であることを意味します。
したがって、故障除外は、設計の「スナップショット」ではなく、製品ライフサイクルの「動画」として捉えるべきであり、運用中の条件変化や劣化が除外の前提を覆す可能性があることを理解することが重要です。
FMEA による技術的根拠の正当化
故障除外の判断は、単なる推測ではなく、厳密な技術的根拠に基づいて正当化される必要があります。
この正当化には、FMEA(Failure Mode and Effects Analysis、故障モード影響解析)などの体系的な分析手法が用いられます。ISO 13849-1:2023 は、ISO 13849-2:2012 に記載されていない部品の場合、「FMEA(IEC 60812参照)などの方法論を用いて、考慮すべき故障を特定するための影響評価を行うべきである」と指示しています。
FMEA は、部品の潜在的な故障モード、その原因、影響、および検出方法を特定し、評価するプロセスです。これにより、「技術的に発生し得ない」という主張が、具体的な分析データと工学的判断によって裏付けられます。
スクロールできます
| 条件 | 説明 | 根拠となる規格 |
| 製造者の指定範囲内での使用 | 部品やシステムは、製造者が定めた温度、圧力、電流、動作回数、環境条件などの仕様範囲内で使用される必要がある。 | ISO 14119:2024 |
| 製品寿命期間中の維持 | 故障除外の要件は、摩耗、表面下の欠陥、疲労など、時間とともにデバイスの特性を劣化させる影響を考慮し、デバイスの寿命期間中(ミッションタイム)維持されなければならない。 | ISO 14119:2024, ISO 13849-1:2023 |
| 技術的発生不可能性の証明 | 故障の発生確率が極めて低いことが、既知の物理科学の法則に基づいて正当化できる場合にのみ除外可能である。 単に「壊れない」という主張ではなく、特定の力や環境条件下で故障しないことを具体的に示す必要がある。 | ISO 13849-1:2023 |
| FMEAによる正当化 | 故障の発生不可能性は、FMEA(IEC 60812参照)などの体系的な分析手法を用いて、技術的に正当化されなければならない。 | ISO 14119:2024, ISO 13849-1:2023 |
| 適切な環境条件の確保 | 設置場所の温度、湿度、振動、汚染、腐食性物質、電磁干渉(EMI)などの環境条件が、部品の動作保証範囲内であることを確認する。 | ISO 14119:2024 |
| 文書化 | 除外されたすべての故障、それらが設計でどのように対処されたか、および故障除外が主張される場合はその理由を明確に記載し、文書化する必要がある。 | ISO 13849-1:2023, ISO 13849-2:2012 |
この表は、故障除外の判断に必要な多角的な視点を一覧で提示することで、読者が全体像を把握しやすくなることを目的としています。抽象的な概念を具体的な条件として示すことで、「何をすれば故障除外が認められるのか」を理解しやすくなります。また、設計者がチェックリストとして活用できるため、実務への応用が容易になります。
インターロック装置の種類別に見る故障除外の適用
インターロック装置は、機械の安全を確保する上で不可欠な要素ですが、その種類によって故障除外の適用条件が大きく異なります。これは、各タイプの動作原理、構造、および故障モードの特性が異なるためです。
ISO 14119:2024 は、インターロック装置がガードとインターロック装置間のリンクの性質(タイプ1~5)や技術タイプ(電気機械式、空気圧式、電子式)など、さまざまな基準で分類されることを示しています。
タイプ1 インターロック装置の制約 (機械式作動、非コード式アクチュエータ)
タイプ1 インターロック装置は、ガードの開閉を機械的に検知する最も基本的なタイプです。ISO 14119:2024 は、
このタイプの機械部品に対する故障除外は適用できないと明記しています。
これは、機械的な直接接触に依存する構造のため、摩耗や変形、固着といった故障モードの発生確率を「無視できる」と正当化することが極めて困難であるためです。PL e またはSIL 3 を必要とするシステムでタイプ1 を使用する場合、追加でタイプ1~4 のインターロック装置を統合することで、必要な安全性能を達成する必要があります。
タイプ2 インターロック装置の条件と推奨事項 (機械式作動、コード式アクチュエータ) (ガードロックなし)
タイプ2 インターロック装置は、コード化されたアクチュエータを使用することで、タイプ1 よりも容易な無効化に対する耐性を高めています。ISO 14119:2024 は、
アクチュエータや作動システムの破損・摩耗による故障除外は、追加の機械的アライメント要素が指定されたミスアライメント範囲外での作動を防ぐ場合にのみ許容されると規定しています。
これらのアライメント要素は、動作中に予想される最大力の2倍に耐えるように設計されなければなりません。これは、ミスアライメントによる過剰なストレスが部品に加わることを防ぎ、故障の発生確率を低減するための重要な要件です。
しかし、すべての機械的故障を除外できない場合、PL d または SIL 2 以上を必要とするシステムでは、追加のインターロック装置(タイプ1~4)が必要です。この際、異なる技術や設計原理を用いた「多様性」の採用が推奨されます。多様性を導入することで、共通原因故障(CCF)のリスクを低減し、システム全体の堅牢性を高めることができます。
あわせて読みたい
ISO13849-1:2023付属書F共通故障原因CCF(Common Cause Failure)を解説と過電圧(overvoltage)の解説
あらすじ みなさん、こんにちは! 最近、ISO 13849-1 のCCF(共通故障原因) について、たくさんの質問や問い合わせが寄せられています。 PL(パフォーマンスレベル)を求…
トング式のスイッチを使っている場合は要注意です!
タイプ3 およびタイプ4 インターロック装置の適用範囲 (非接触式作動、非コード式/コード式アクチュエータ) (ガードロックなし)
タイプ3 およびタイプ4 インターロック装置は、磁気、RFID、光学などの非接触原理で動作します。ISO 14119:2024 は、
これらのタイプの機械部品に対する故障除外は、位置スイッチとアクチュエータの固定方法にのみ適用可能であると述べています。
これは、非接触式であるため、動作中の機械的摩耗や固着といった故障モードが本質的に少ないためです。ただし、固定方法の信頼性は極めて重要であり、製造者の仕様およびISO 14119 の6.2 および6.3 項に従う必要があります。固定が不十分な場合、アクチュエータやスイッチの位置ずれにより、安全機能が損なわれる可能性があります。
ガードロック装置における考慮事項
ガードロック装置は、危険な機械機能が停止するまでガードを開放できないようにロックする機能を提供します。
ISO 14119:2024 は、ガードロック装置の故障除外に関する特定の要件を定めています。指定されたロック力 (FZH) が静的力に耐え、可動ガードの跳ね返りによる剪断力を防ぐのに十分であることを確認する必要があります。
アクチュエータやロック要素(ボルト)の破損・摩耗による故障除外は、追加の機械的アライメント要素が製造者指定の制限を超える力を防ぐ場合にのみ許容されます。これらの要素は、ガードロック機構の力制限の2倍に耐えるように設計されなければなりません。
代替として、ロック手段の破損が次のガード開放時に検出され、直ちに停止コマンドが発動し、復旧まで再起動が防止される場合、機械的故障除外は不要です。この検出サブシステムは少なくともPL c または SIL 1 に適合する必要があります。これにより、故障除外の厳密な要件を満たせない場合でも、適切な検出と反応によって同等の安全性を確保することが可能になります。
タイプ5 インターロック装置(トラップドキーシステム)の特殊性
タイプ5 インターロック装置は、キーの物理的な移動によって安全シーケンスを制御するトラップドキーシステムに用いられます。ISO 14119:2024 は、タイプ5 装置が通常、機械部品に単一チャネルアーキテクチャを使用し、制御システムによる故障検出が常に可能とは限らないと指摘しています。
そのため、すべての可能な故障を評価し、危険な故障モードを排除するか、技術的に発生不可能(極めて低い確率)であることを証明する必要があります。
これは、重要部品の過剰設計(オーバーディメンション)によって達成でき、計算または試験によって検証される必要があります。
また、意図的に弱点を持つ部品(例:低力で破断するキー)を使用し、危険な故障を安全な故障に転換することも可能です。これにより、キーが破断しても安全機能が危険側故障に至ることを防ぎます。カテゴリ3 および4(ISO 13849-1)またはHFT1(IEC 62061)を達成するためには、2つのインターロック装置を実装するか、関連するカテゴリの挙動を達成する単一チャネルインターロック装置を使用する必要があります。すべての単一故障が安全機能の喪失を引き起こさないと証明された場合、カテゴリ3 の挙動が仮定され、システム全体で最大PL d が達成可能とされます。
各インターロック装置タイプで故障除外の条件が大きく異なるのは、装置の「本質的な安全性」のレベルが、故障除外の許容度に直接影響しているためです。機械的な直接接触に依存するほど、故障除外は難しくなる傾向があります。
また、故障除外が難しい場合でも、追加のインターロック装置や多様性(異なる技術や設計原理)の導入が求められるのは、故障除外が「万能薬」ではなく、他の安全対策と「補完関係」にあることを示しています。
特にタイプ5 の「弱点設計」は、故障除外の概念を逆手に取り、「危険な故障」を「安全な故障」に転換するという、より洗練された安全設計思想を示しています。これは、故障除外が、単一の技術的判断ではなく、インターロック装置のタイプが持つ固有の安全特性と、それを補完する他の安全設計原則との組み合わせによって、その適用範囲と有効性が決定されることを示しています。安全設計が多層的なアプローチを必要とすることを示す重要な側面です。
スクロールできます
| インターロック装置タイプ | 故障除外の可否と条件 | 追加の安全対策 | 関連するPLr/SILの制約 |
| タイプ1 (機械式作動、非コード式) | 機械部品の故障除外は適用不可。 | PL e/SIL 3達成には、追加でタイプ1~4 のインターロック装置の統合が必須。 | PL e/SIL 3の達成が困難。 |
| タイプ2 (機械式作動、コード式) (ガードロックなし) | アクチュエータ/作動システムの破損・摩耗は、追加の機械的アライメント要素がミスアライメント範囲外の作動を防ぐ場合にのみ許容。アライメント要素は予想最大力の2倍に耐える必要あり。 | 全ての機械的故障を除外できない場合、PL d/SIL 2以上には追加のインターロック装置(タイプ1~4)が必要。 多様性(異なる技術/設計原理)が推奨。 | PL d/SIL 2以上で追加対策が必要。 |
| タイプ3/4 (非接触式作動、非コード式/コード式) (ガードロックなし) | 機械部品の故障除外は、位置スイッチとアクチュエータの固定方法にのみ適用可能。 製造者仕様およびISO 14119 の6.2, 6.3項に従う必要あり。 | 特になし(固定方法の信頼性が重要)。 | 本質的に摩耗が少ないため、高PL/SIL達成に有利。 |
| ガードロック装置 | ロック力(FZH)が静的力に耐え、剪断力を防ぐことを確認。 アクチュエータ/ロック要素の破損・摩耗は、追加の機械的アライメント要素が製造者指定の制限を超える力を防ぐ場合にのみ許容。 要素は機構の力制限の2倍に耐える必要あり。 代替として、ロック破損が次のガード開放時に検出され、停止コマンド発動、復旧まで再起動防止される場合、機械的故障除外は不要。 (検出サブシステムはPL c/SIL 1以上) | ロック破損検出サブシステムがPL c/SIL 1以上であること。 | 検出サブシステムのPL/SILが影響。 |
| タイプ5 (トラップドキーシステム) | 全ての可能な故障を評価し、危険な故障モードを排除するか、技術的に発生不可能(極めて低い確率)であることを証明する。 重要部品の過剰設計または意図的な弱点設計(安全故障への転換)で達成可能。 | カテゴリ3/4またはHFT1達成には、2つのインターロック装置を実装するか、関連カテゴリ挙動を達成する単一チャネル装置を使用。 単一故障が安全機能喪失を引き起こさないと証明された場合、最大PL d達成可能。 | 全単一故障が除外された場合、最大PL d。 PL e達成にはカテゴリ4 の挙動が必須。 |
この表は、異なるインターロック装置タイプ間での故障除外の適用条件の違いを明確に比較できるため、設計者が特定のインターロック装置タイプを選択する際に、故障除外の観点からどのような制約や追加要件があるかを一目で把握できるようになります。多岐にわたる規格情報をタイプ別に整理することで、初心者でも理解しやすくなり、具体的な設計行動を促す実践的なガイダンスを提供します。
故障除外とパフォーマンスレベル (PLr/SIL) の関係
故障除外は、安全機能のPL やSIL の評価に直接的な影響を与えますが、特に高位のPL/SIL を達成する際には、その適用に大きな制約が伴います。
高位のPL/SIL達成における故障除外の限界
ISO 14119:2024 は、PL e または SIL 3 を達成するインターロック機能が故障除外のみに完全に依存することはできないと明確に述べています。
ISO 13849-1:2023 も同様に、PL e が故障除外のみに依存すべきではないと示唆しています。これは、最高の安全レベルを追求する際には、万が一「技術的に発生し得ない」とされた故障が発生した場合でも安全が維持されるような、より堅牢な設計(冗長性や多様性)が必要とされるためです。
故障除外は、特定の故障モードに対する設計の「簡素化」を可能にし、これにより機械の操作性やメンテナンス性を向上させる可能性がありますが、高位の安全レベルでは、その「簡素化」がシステム全体の堅牢性を損なうリスクを避けるために、他の安全対策が不可欠となります。
PL d / SIL 2 および PL e / SIL 3 の具体的な要件
PL e / SIL 3 の場合
ISO 14119:2024 は、故障除外が適用される場合でも、インターロック装置はデュアルチャネル構造またはカテゴリ4 の挙動をそのアーキテクチャの大部分で示す必要があると規定しています。
カテゴリ4 は、単一故障が安全機能の喪失につながることがなく、かつ、単一故障が次の要求時までに検出されるか、または未検出故障の蓄積が安全機能の喪失につながることがない設計を要求します 。
単一チャネルの部品も許容されますが、それは他のデュアルチャネル部品よりも先に故障しないことが証明されている場合(例:過剰設計による)に限られます。これは、故障除外が「数値的な信頼性計算」を簡略化する一方で、「物理的な設計の複雑性」(冗長化、多様化)を増大させる可能性があるというトレードオフを示唆しています。
つまり、故障除外は「計算上のトリック」ではなく、それを正当化するためのより厳格な物理的・構造的設計要件を伴う、ということになります。
PL d / SIL 2 の場合
ISO 14119:2024 は、タイプ2 装置で全ての機械的故障を除外できない場合、PL d または SIL 2 を必要とするシステムでは、追加のインターロック装置が必要であると述べています。
タイプ5 装置で全ての単一故障が安全機能の喪失を引き起こさないと除外された場合、最大PL d が達成可能とされます 。これは、中程度の安全レベルにおいても、故障除外の適用には慎重な判断と、必要に応じた追加対策が求められることを示しています
故障除外が安全機能の評価にどう影響するか
故障除外は、SRP/CS のPL の評価において、非定量化可能な定性的側面に影響を与えます 。ISO 13849-2:2012 は、故障除外が主張される場合、その部品はチャネルのMTTFd(危険側故障までの平均時間)の計算に寄与しない(無限大と仮定される)と述べています。
故障除外は、特定の部品のMTTFd を「無限大」とみなすことで、全体のPL計算に数値的に影響を与えます。
これにより、数値的なPL を向上させる効果があるように見えますが、これはあくまで計算上の仮定です。しかし、高位のPL/SIL(特にPL e/SIL 3)では、故障除外のみに依存することは許されず、冗長性やカテゴリ4 の挙動といった物理的な設計要件が求められます 。
これは、故障除外が「数値的な信頼性計算」を簡略化する一方で、「物理的な設計の複雑性」(冗長化、多様化)を増大させる可能性があるというトレードオフを示唆しています。つまり、故障除外は「計算上のトリック」ではなく、それを正当化するためのより厳格な物理的・構造的設計要件を伴う、ということになります。
故障除外は、安全設計における「信頼性計算」と「物理的実装」の間の複雑な相互作用を浮き彫りにします。高レベルの安全性を目指すほど、故障除外は単なる数値的最適化ツールではなく、より本質的な安全設計原則(冗長性、多様性)の適用を促す触媒となるのです。
故障除外の正当化と検証プロセス
故障除外は、単なる設計者の判断ではなく、厳格な検証プロセスを経て正当化される必要があります。このプロセスは、ISO 13849-1:2023 およびISO 13849-2:2012 に詳細に定められています。
ISO 13849-1 および ISO 13849-2 に基づく検証の考え方
故障除外は、ISO 13849-1:2023 および ISO 13849-2:2012 に定められた厳格な検証プロセスを経て正当化される必要があります。
ISO 13849-2:2012 は、検証がSRP/CS がISO 13849-1 の要件を満たし、指定された安全機能の特性、カテゴリ、パフォーマンスレベルを達成していることを確認することを目的としています。この検証は、設計から独立した人物によって行われるべきであると規定されています。これにより、客観性と信頼性が確保されます。
故障リストの活用と除外の根拠の明確化
ISO 13849-2:2012 の付属書A からD には、様々な技術(機械、空気圧、油圧、電気)における一般的な故障リストと、それらの故障除外が許容される場合の根拠が示されています 。設計者は、これらの一般的な故障リストを参考に、自社の製品に特化した「特定の故障リスト」を作成することができます。
ISO 13849-1:2023 は、このリストに考慮されるすべての故障、それらが設計でどのように対処されたか、および故障除外が主張される場合はその理由を明確に記載する必要があると述べています。
特に重要なのは、故障除外の根拠を明確にすることです。単に「壊れない」と主張するのではなく、特定の力や環境条件下で故障しないことを示すなど、具体的な影響を直接的に示す必要があります。例えば、ある部品の破断を除外する場合、その部品が設計上、想定される最大応力の何倍もの強度を持つことを計算や試験で証明する必要があります。
故障除外は「無視できる確率」に基づくとされますが、その判断は技術的な専門知識と経験に依存します。ISO 13849-1 と ISO 13849-2 は、故障除外の理由を明確に文書化し、正当化することを強く要求しています。これは、故障除外が単なる設計上の便宜ではなく、第三者(検証者、規制当局、ユーザー)に対して、なぜその故障が安全分析から除外されたのかを透明性を持って説明する責任があることを意味します。
特に、事故が発生した場合、この文書化された正当化が、設計の適切性を証明する上で極めて重要となります。したがって、故障除外は、技術的な判断だけでなく、その判断に対する「説明責任」を伴う概念と言えます。この透明性の確保は、安全設計の信頼性を高め、法的な要求事項を満たす上で不可欠です。
スクロールできます
| 技術分野 | 故障の種類 | 故障除外の可否と条件 | 根拠となる規格 |
| 機械システム | 摩耗/腐食 | 可 材料の慎重な選定、過剰設計、適切な製造工程、適切な潤滑、指定寿命期間内の使用。 | ISO 13849-2:2012 付属書A, Table A.4 |
| 破断 | 可 材料の慎重な選定、過剰設計、適切な製造工程、適切な潤滑、指定寿命期間内の使用。 | ISO 13849-2:2012 付属書A, Table A.4 | |
| 固着/スティッキング | 可:材料の慎重な選定、過剰設計、適切な製造工程、適切な潤滑、指定寿命期間内の使用。 | ISO 13849-2:2012 付属書A, Table A.4 | |
| 空気圧システム | 非作動/不完全作動 (固着) | 可 可動部品のガイドシステムが非制御ボールシートバルブに類似し、適切に設計されたスプリングが使用されている場合。 | ISO 13849-2:2012 付属書B, Table B.4 |
| 漏れ | 可 スプール型バルブで弾性シールがあり、十分なオーバーラップと適切な空気処理・ろ過が提供され、通常動作条件が適用される場合。 | ISO 13849-2:2012 付属書B, Table B.3 | |
| ハウジングの破裂 | 可 建設、寸法決定、設置が適切な工学慣行に従っている場合。 | ISO 13849-2:2012 付属書B, Table B.3 | |
| 油圧システム | 非作動/不完全作動 (固着) | 可 可動部品のガイドシステムが非制御ボールシートバルブに類似し、適切に設計されたスプリングが使用されている場合。 | ISO 13849-2:2012 付属書C, Table C.4 |
| 漏れ | 可:シートバルブで通常動作条件が適用され、適切なろ過システムが提供されている場合。 | ISO 13849-2:2012 付属書C, Table C.3 | |
| ハウジングの破裂 | 可 建設、寸法決定、設置が適切な工学慣行に従っている場合。 | ISO 13849-2:2012 付属書C, Table C.3 | |
| 電気システム | 隣接導体間の短絡 | 可 ケーブルが恒久的に固定され、ケーブルダクトや装甲などで外部損傷から保護されている場合。 | ISO 13849-2:2012 付属書D, Table D.4 |
| プリント基板上の短絡 | 可 基板材料、クリアランス、沿面距離が適切に設計され、保護層が適用され、導電性汚染から保護された筐体に収納されている場合。 | ISO 13849-2:2012 付属書D, Table D.5 | |
| スイッチの固着 | 不可 | ISO 13849-2:2012 付属書D, Table D.7 | |
| リレーのコイル断線 | 不可 | ISO 13849-2:2012 付属書D, Table D.9 |
この表は、抽象的な「故障除外」の概念を、具体的な故障モードと技術的根拠によって示すことで、読者の理解を深めることを目的としています。設計者が自身の製品の故障モードを検討する際の具体的な参考資料として活用でき、規格の膨大な付属書から、初心者にとって特に有用な「故障除外」に関連する情報を抜粋・整理して提供します。
故障除外を考慮した実践的な設計のヒント
故障除外は、安全設計の効率性を高める一方で、その適用には慎重な判断が求められます。特に、機械の安全機能が「容易に無効化されない」ような設計を心がけることが重要です。
安易な無効化を防ぐ設計の重要性
故障除外の概念は、機械の安全機能が「容易に無効化されない」こと(defeating)とも密接に関連します。ISO 14119:2024は、設計者が生産性向上などの理由で安全機能を迂回しようとする「動機」を最小限に抑える設計を心がけるべきであると述べています。もし、過剰な安全対策によって機械が使いにくくなれば、オペレーターは安全機能を無効化する誘惑に駆られる可能性があります。
この「無効化の動機」は、安全対策が作業の効率性や利便性を妨げる場合に発生しやすいとされています。故障除外を適切に適用することで、特定の故障モードに対する設計の「簡素化」を可能にし、これにより機械の操作性やメンテナンス性を向上させる可能性があります。
もし、過剰な安全対策によって機械が使いにくくなれば、オペレーターは安全機能を無効化する誘惑に駆られるでしょう。したがって、故障除外を適切に適用することで、設計者は「本質的な安全性」を維持しつつ、「使いやすさ」を確保し、結果的に「無効化の動機」を減らすという、人間工学的な側面からの安全性向上にも貢献できます。故障除外は、単なる技術的な計算や部品の特性評価に留まらず、人間の行動心理(無効化の動機)を考慮した、より包括的な安全設計アプローチの一部であると言えます。
無効化を防ぐための具体的な対策例としては、以下のようなものが挙げられます。
- アクセス制限: インターロック装置の要素への物理的なアクセスを制限します。例えば、手の届かない場所への設置、物理的障害物による遮蔽、または隠れた位置への設置などが考えられます。これにより、意図的な無効化を物理的に困難にします。
- 代替作動の制限: 容易に入手可能な物品(例:ネジ、針金、テープなど)によるインターロック装置の代替作動を防ぎます。これには、低・中・高レベルのコード化アクチュエータの使用が有効です。コード化のレベルが高いほど、代替作動は困難になります。
- 分解防止: インターロック装置の要素の分解や位置ずれを防ぐための非分離型固定を採用します。溶接、一方ネジ、リベット留め、ネジ頭の溝の摩耗、ボルトやネジの開口部への充填(プラスチック、樹脂、破壊でのみ取り外し可能なキャップ、金属球など)などが含まれます 。ただし、故障時の交換が必要な場合には、この対策が不適切となる可能性もあります。
- 無効化監視: 制御システムに無効化監視機能を組み込みます。これには、状態監視(例:ドアの開閉が定義された機械サイクル内で期待されるかどうかの監視)や周期テスト(例:オペレーターに安全保護装置の作動を要求し、期待される制御信号の欠如を検出する)が含まれます。これにより、安全機能が無効化された場合に、システムがそれを検知し、安全状態に移行することができます。
信頼性と安全性のバランスの取り方
故障除外は、理論的な安全性と現実的な運用性の間のバランスを取るためのツールです。
過剰な安全対策は、機械の複雑性を増し、コストを上げ、時にはオペレーターの利便性を損ない、結果的に安全機能の無効化を誘発する可能性があります。設計者は、リスクアセスメントの結果に基づき、適切なPL/SIL を目標とし、その達成のために故障除外を賢く活用する必要があります。
安全設計は、単に故障を防止するだけでなく、機械が意図された目的を効率的かつ安全に達成できるように、機能性と安全性の両立を図る必要があります。故障除外は、このバランスを取る上で不可欠な概念であり、設計者がよりスマートで、より実用的な安全ソリューションを開発するための基盤を提供します。
結論:機械安全設計における故障除外の重要性
故障除外は、機械安全設計において、リスクを効果的に管理し、かつ現実的な設計を実現するための強力なツールです。これは、単に故障を無視することではなく、「技術的に発生し得ない」と厳密に正当化された故障を、体系的な分析と検証プロセスを通じて安全分析から除外するという、高度な工学的判断です。
故障除外は、設計の効率化とリソースの最適配分を可能にしますが、その適用には深い知識と厳格な検証が不可欠です。特に高位の安全レベル(PL e / SIL 3)を目指す場合、故障除外は他の堅牢な安全対策(冗長性、多様性)と組み合わせて使用されるべきであり、単独で依存することはできません。これは、故障除外が数値的な信頼性計算を簡略化する一方で、より本質的な安全設計原則の適用を促す触媒となることを示しています。
設計者は常に最新のISO 規格を参照し、FMEA などのツールを活用し、そして最も重要なこととして、安全機能が「容易に無効化されない」ような設計を心がけることが、真に安全で実用的な機械を創り出す鍵となります。安全は、技術と知恵、そして継続的な改善の積み重ねによって実現されます。
この記事が、機械安全における「故障除外」という概念を理解し、安全設計の実践に役立つ一助となれば幸いです。