FA・ロボット業界の片隅から

FA業界の片隅のフリーランス機械設計者のブログ。 産業用ロボットウォッチが趣味です。

【メカ屋さん向け入門編】安全関連部・安全適合・カテゴリ3PLdとは何か

機械安全 協働ロボット

本記事は、制御(電気・ソフト)のことはあまり分からないという人*1が、大枠のイメージを掴むことを目的としています。

設備に関して話をしていると、以下のようなワードが出てくると思います。

  • 安全関連部
  • 安全適合
  • カテゴリ3PLd
  • ・・・

そのような用語が何を表しているのか説明していきたいと思います。

安全・非安全

ソフト屋さんや電気屋さんは、よく「その信号は安全じゃない」「安全なIO」などという言い方をします。製品としても「安全センサ」「安全PLC」あるいは「セーフティ○○」などというものがありますね。
私も「安全じゃないってどういうこと?」「安全じゃないIOってことは触ったら感電するのかな?」と、大いに戸惑った覚えがあります。
このような文脈での「安全」というのは、「安全を守るための用途で使えるように設計されている」ということです。
安全適合も同じ使われ方ですね。
逆に、「非安全」はそのような設計がされていない機器を意味します。

例えば、人がいるときは安全のためにロボットを停止するという場合を考えると
人を検知するためのセンサーは在荷センサーで使うようなグレードはNGで、安全センサーでないといけません。

安全関連部とは

安全に関する機能を提供する部分です。
入力・論理・出力で分けて言うと、

  • 入力部(Input)・・・安全に関する情報を取得する
  • 論理部(Logic)*2・・・安全に関する判定をする
  • 出力部(Output)・・安全に関する制御を行う

となります。*3

具体的なデバイスで考えてみると

  • 入力・・人の存在を検知するセンサ、非常停止ボタン
  • 論理・・入力の情報を組み合わせて計算をしたり、停止すべきかなどの判定をするCPU*4
  • 出力・・電力遮断器など

のようになります。

カテゴリ3PLd

安全性能がどれくらいか表す指標としてカテゴリ3PLdという記載をよく見かけます。
カテゴリはBや1~4、PLはa~eがあるのですが、
ロボットで見かけることが多いカテゴリ3 PLdを1本釣りで覚えておきましょう。

カテゴリ3とは

カテゴリとは安全関連部がどのような構成になっているかを表します。*5

カテゴリ3は下記のように入力部・論理部・出力部が2つずつあります。

カテゴリ3の模式図

2つの論理部がお互いを監視、いわゆるクロスチェックを行っています。
入力部の値が違う*6、論理部の計算結果が食い違うなどがあった場合、故障という自己診断をして全体を停止します。

協働ロボットのシステムは二重化(冗長化)されている、という言い方をすることもありますが、この構成を指しています。

参考:カテゴリ / パフォーマンスレベル(ISO 13849-1) | オムロン制御機器

冗長性と多様性

たまに、多様性(ダイバーシティ)というワードが出てくることもあります。
これは冗長性からさらに踏み込んだものです。
例えば、入力部の場合で考えましょう。

  1. 同じメーカの同じ種類のエンコーダが2つ付いている場合
  2. 違うメーカの違う方式のエンコーダが2つ付いている場合

同じ原因で同時に故障する可能性が高いのは1.です。
2.は、より故障しづらく、安全性が高い構成と言えます。*7
2.のような構成の場合を指して多様性がある、などと言ったりします。*8

PLd

PL=パフォーマンスレベルとは、ざっくり言うと故障率*9を区分けしたものです。
PLはa~eまでの5段階あり、PLdは2番目に故障率が低い区分です。
本記事は入門編なので、計算(判定)方法は省略します。

参考:PLの判定 / パフォーマンスレベル(ISO 13849-1) | オムロン制御機器

カテゴリ3もう少し詳しく

簡単な例で考えます。ガスコンロで揚げ物をしている鍋の温度を監視するシステムがあったとします。
系統1は接触式の温度計で、系統2は非接触式の温度計でそれぞれ監視をしています。
出力は、火(電源)を止めるor止めないとします。
入力・論理・出力は冗長性があり、さらに入力部は、別の方式で温度を監視しているので多様性があると言えます。

例として、電源を停止する閾値は300℃、入力1,2の差が5℃以上で異常とします。

正常時

正常時は、下記のような状態です。
入力1:180℃、入力2:182℃、出力1,2はONで一致

正常

異常状態1

入力1:302℃、入力2:304℃、出力1,2はOFFで一致。

温度異常

ただし、この例では安全関連部は故障していません。

異常状態2

入力1:15℃、入力2:175℃
入力1, 2が不一致のため、出力をOFF

入力の不一致による異常

この例では、安全関連部が故障しています。

異常状態3

入力1:180℃、入力2:182℃、
出力1:ON、出力2:OFF
出力1,2が不一致のため、最終的にOFF*10

出力の不一致による異常

この例でも、安全関連部が故障しています。

という感じです。

なお、調理に応じて温度を調整する回路や装置は安全関連部に入っている必要はありません。この例では火災を防ぐために鍋の温度が閾値を超えたら止める、という機能が安全機能だからです。
何でもかんでも安全関連部に入れてしまうと、検証が大変ですし、コストも上がります。*11

ロボットで言うと、ロボットのスピードが閾値を超えていないか、ロボットが侵入禁止エリアに入っていないか、停止すべき条件で停止しているか、などを安全関連部が監視しており、
ロボットの軌跡生成やプログラム上の条件分岐は非安全関連部というように切り分けられていることが多いです。

また、正常時と異常状態1においては、安全関連部は故障していません*12が、異常状態2,3では安全関連部が故障しているため、故障状態を解消するなどの処置が必要となります。

より詳しく知りたい人は

手始めに、上記でも紹介したOmronのページを読んでみるのがいいと思います。

さらに詳しく調べたい場合は、やはり国際規格を参照するのがいいでしょう。
ISO13849-1(JIS B 9705-1)機械類の安全性-制御システムの安全関連部-第1部:設計のための一般原則
JISでも内容は同じです。

まとめ

全体像をイメージできるよう、まとめてみました。
制御の話が多いのですが、ハードウエア選定にもかかわる話なので、「俺メカ屋だから知らない」という姿勢だと、後々の手戻りにもつながりかねません。
まずはキーワードを理解しておけば制御屋さんとの話もスムーズになりますし、「あのメカ屋さんは制御側にも踏み込んで話をしてくれる」ということで、信頼を得られるかもしれません。

補足情報

PLrって?

PLに関連して、PLrという用語を聞いたことがある人もいるでしょう。
PLrの「r」は要求された(required)の意味で、システムの使われ方などを考慮したらこれくらいの安全度合い(PL)が必要だよねという意味で使われます。
つまり、PLrは要求水準、PLは達成度合いです。
例として「PLrはdで、初期検討でPLd達成見込みだったのでこのままでも大丈夫そう」といった使われ方をします。

SILって?

故障率に関連して、SIL(シル)という言葉もあります。
SILもPLと同様に故障率をレベル分けしたものです。
Safety Integrity Level (SIL)の略で、安全度水準と呼ばれます。

  • カテゴリ・PL・・ISO13849-1
  • SIL・・IEC60204

というように別の規格によって定義されていて、PLとSILのどちらを主に使うかは、分野によって若干異なるようです。
完全に互換というわけではないのですが、システム内で使っているある機器の安全度合いがSILで提供されていた場合でも、システム全体のPLを求めることは可能です。

*1:私のことです

*2:論理演算部と言ったりも

*3:なお、この入力・論理・出力は英語の頭文字でILOと言ったりしますが、安全関連に限らず、制御機器の一般的な構成を表すものです

*4:CPUなどではなく、安全リレーなどによるハード的な論理回路も可能ですが、あまり深くは考えません

*5:別記事で紹介した、停止カテゴリとは全くの別物です

*6:まったく同じデータと言うことではありません。入力部から判断される状態量が食い違う、ということです

*7:ここでの故障とは危険側故障のことです

*8:論理部・出力部でも同様に冗長性を持たせることができます

*9:詳しく言うと危険側故障

*10:どちらが間違っているかは問題にしません

*11:セーフティ機器は高いです・・

*12:正確には故障が検出されていない