機械の安全とは何か?どのように実現すべきかを考えます。

ISO 12100

メニューに戻る?

ISO 12100

機械類の安全性 - 設計のための一般原則 - リスクアセスメントおよびリスク低減

機械安全の基礎を成す規格とも言えるISO 12100-1に関してその概要を述べる。規格の副題にもあるように、リスクアセスメントに関する記述が主で、リスク低減方策として設計のための一般原則が規定されている。“規定”といえども、リスクアセスメントの要ともいえるリスクの推定やリスクの評価に関しては、ご他聞に漏れず指針レベルの記述に留まり、明確な限度値や方法を述べた規定にはなっていない。しかしながら、“shall(~しなければならない)”を用いた規定も多く難しい対応が必要となる。

この規格の4項と5項がリスクアセスメント関係、6項がリスク低減のための各種安全方策、7項がリスクアセスメントやリスク低減の文書化になっている。リスクアセスメントは、お決まりのフローチャートに従って行う。6.1項にリスク低減を3ステップ法で行うことが規定され、引き続き、6.2項で本質的安全設計方策、6.3項で安全防護と付加保護方策、6.4項で使用のための情報に対する規定を述べている。更に、付属書Bで危険源の例などがリストされている。

リスクアセスメントの各工程に関しては、他の関連ページを見ていただくとして、ここでは、6項に関してその概要を述べることとする。6.2項の本質安全設計方策では、作業域や危険領域の視認性、構造による挟み込みの防止、小さなエネルギーの使用、材料の正しい選定、ポジティブ機構の原則、安定性、保全性、人間工学の考慮などおなじみの安全方策が列挙されている。それと共に、6.2.11項以降では、制御システムに関する本質的安全設計方策が規定されていて、6.2.11.1項では、ISO 13849-1やIEC 62061に適合するいわゆる機能安全による安全方策を本質的安全設計方策として扱っている。

ISO 12100では「本質安全」の定義はなされておらず、代わりに「本質的安全設計方策」の定義がなされている。それによれば本質的安全設計方策とは、「防護や保護装置を用いずに、機械の設計もしくは運用特性の変更により、関連する危険源を無くすかそのリスクを低減する保護方策」となっている。注目すべき点は、「リスクを低減する保護方策」としているところである。リスクは、Severity(傷害の厳しさ)とProbability(傷害の可能性)の組合せであるから、そのどちらかを低減することができれば、リスクを低減できることになる。機能安全を用いることにより、その信頼性などで、傷害の可能性の低減を期待できることから、機能安全が本質安全の一つとして取り扱われていることになったのであろう。

ここで気をつけたいのは、機能安全では障害の可能性の低減は期待できても、傷害の厳しさの低減は期待できないということである。そこに機能安全手法を用いる要点がある。機能安全手法では、多くの場合故障確率が規定される。言い換えれば、その確率で故障が起こるわけで、如何に確率が低くともいつ何時故障が起こり、その結果が事故につながるかは分からない。そこで重要なのが、安全機能が故障した場合に予測される傷害の厳しさを低減する何らかの方策を用意することである。残念ながら、ISO 12100ではそこまでの規定はされていない。

6.2.11項にも、設計者あるいは使用者として当然と思われる項目も多く規定されている。各種条件における、起動や停止に関する規定などがある。機械安全の場合、“停止=安全”といった考え方だが、動力断における安全確保も必要で、掴んでいるものを離さないことや冷却ファンを停止しないことなどの例が挙げられている。

6.2.11.7項には、プログラマブル電子制御システムの規定があり、その安全機能目的としての使用が認められている。その監視機能としての使用に関しては、IEC 61508が参照されている。これは、おそらく、安全機能要求頻度に対する監視頻度に関することや、故障発見後の挙動要求に関するものと思われるが、はたしてここでIEC61508を参照するのが正しいかどうかは疑問で、むしろ、機械に関する事例が多く記載されているISO 13849-2を参照すべきかと思われる。

プログラマブル電子制御システムのハードウェアに対する規定として、適切なデバイスの選定やその構造、危険側偶発故障確率、系統的故障への対応などが規定されているが、明確な要求事項や故障確率の規定はされていない。必要に応じ、ISO 13849-1やIEC 62061を参照する必要がある。さらに、ソフトウェアに対する規定も存在し、IEC 61508-3が参照されているが、ここでも明確な規定はなく、「安全機能に対する性能特性を満たすように設計されなければならない」としているだけで、他の重要と思われる事柄、例えば、プログラム変更の防止などは“推奨”に留まっている。これらは、機械設計においては、直接プログラマブル電子制御システムを設計することは稀で、多くの場合、市販のデバイスを組み込む。そのため、そのデバイスさえ該当する要求を満たしていれば設計者には充分であるという現実があるためと思われる。

6.2.12項では、安全機能の故障確率を最小化する方法が規定されている。いわく、信頼できる部品の使用、故障モードが分かっている部品の使用、冗長性、多様性などの記載がある。6.2.14は自動化に関する記述で、自動化により人の介在を減らし、事故を減らすことを認めている。

6.3項は、安全防護(ガード)や追加保護方策に関する規定である。ここで、ガードや方策の選定、センサーの選定や設置方法に関する規定が行われている。ガードに対しては、例えば、固定ガードは恒久的方法で取り付けるか、工具なしでは取り外せないような構造にし、取り付け具無しではガードが閉じた状態にあるべきではないなど、各種ガードに対する要求事項も規定されている。起動機能付きのインターロックガードに対しては、その機械に使われている他のガードはインターロック付きであることが要求される。この要求は、他のガードが開いた状態での起動を防止するためである。このように、各種ガードの細部にわたり規定されているので要求内容をよく理解しておく必要がある。

追加保護方策としては、6.3.5項に、非常停止、エネルギー遮断などが規定されている。非常停止機能に関しては、「必ず設けなければならない」との認識が多く見受けられるが、ここでは、「リスクアセスメントの結果必要であれば備え付けること」と合理的な規定になっている。以前からある規定として、機械に捕捉された人を救助する方策が要求されるが、それも追加保護方策に一つとしてこの項に規定されている。その他、重量物の搬送手段に関することや機械へのアクセスのしやすさ(プラットフォームや階段の設置など)に関する大まかな規定がある。各方策の詳細は、各々の該当規格を参照することになる。

3ステップ方式の最後の手段は、残留リスクの伝達で、警告文や取扱説明書に関する規定になる。これらは6.4項に規定されている。機械の表示から、警告文、あるいは、取扱説明書まで要求項目や推奨項目が多く規定されている。内容の理解に難しさはなく、実務に当たって、チェックリストとしても使うことが出来る内容となっている。

規格文の最後は、7項で、リスクアセスメントとそのリスク低減の文書化が規定されている。リストされている文書類は、リスクアセスメントを行うため、あるいは、その結果として作られる文書類なので特段変わった要求ではない。

付属書Bには、危険源やその結果考えられる危険事象がリストされている。リスクアセスメントにおいて危険事象に関して用いる用語(特に日本語から英語に訳す場合)にはここに使われている単語を用いて表すことにより不適切な用語(英語など)の使用による誤解を避けることが期待できる。英語以外の他の言語に関しては、フランス語とドイツ語による主たる単語の訳が付属書Cに示されている。

powered by Quick Homepage Maker 4.27
based on PukiWiki 1.4.7 License is GPL. QHM

最新の更新 RSS  Valid XHTML 1.0 Transitional

ISO26262, IEC61508