　株式会社セーフティイノベーションは、長年にわたって機能安全のコンサルティングにおいて認証取得のサポートをしてきました。そこで感じるのは、認証の取得に際して、その範囲が製品や設備の全体にまで及ぶと考えられていることが多いということです。しかし、これは間違いです。機能安全の認証は「安全関連システム」のみを対象とします。製品や設備の全体を対象にするのではありません。これは非常に重要なポイントです。

　そこで連載第3回となる今回は、安全関連システムについて「どういったものなのか」「基本構成はどうなっているのか」といった内容を取り上げます。また、事故につながる故障、その対策として規格が要求する内容、さらには安全関連の基本プロセスについての要点もまとめました。

　機能安全マネジメントは、機能安全が必要な開発案件に限らず広く一般的な開発でも有効です。認証の取得以外にも大いに役立つものとして、技術者やマネジメント担当者の助けになれば幸いです。

⇒連載「これだけは知っておきたい機能安全」バックナンバー

判断ポイントは“停止機能”があるか否か

　機能安全に関する認証取得を効率よく進めるには、機能安全が対象とする範囲を知ることが重要です。冒頭で触れましたが、IEC 61508を基本規格とする機能安全関連規格類が対象とするのは安全関連システムだけです。これ以外の部分（非安全関連システム）は対象となりません。これは、前提として知っておくべきことです。

　工場内で材料や部品などを運ぶ搬送ロボットを例に説明しましょう。例えば、工場の生産ライン周辺で稼働する搬送ロボットには多数の制御機能が搭載されています。しかし、「障害物検知」や「走行路の認識」といった機能は基本的な制御系の機能であり、安全系の機能ではありません。このため、これらの機能に対して精度や反応速度などを高めても機能安全規格の認証取得には貢献しません。

　確かに、「障害物検知」や「走行路の認識」などの機能が正常であれば、稼働中の搬送ロボットが人にぶつかることは避けられると考えられます。ただ、基本的な制御系機能であっても故障や異常の発生は避けられません。安全を確保するには、これらの機能不全に対する何らかの回避策が必要になります。

　具体的には、基本制御系とは別に、人や物に対して安全を確保する制御系を用意する必要があります。これが「安全系機能」です。

　安全系機能と非安全系機能の判別には、その機能内に“機械の運転を停止させる機能”があるか否かがポイントになります。危険な場面に際し、機械の運転を安全に停止させる機能を備えた制御系が安全系機能であり、これが機能安全の認証対象になります。

安全系機能の例（機能安全が適用）
- 非常停止機能
- スピードオーバー検知停止機能
- 周囲障害物検知停止機能
- 侵入検知停止機能
非安全系機能の例（機能安全が適用されない）
- 設備の自動制御機能
- 回転位置検出装置
- 動作状況の表示機能
- 温度検知機能

安全関連システムは非安全関連システムから独立させる

　安全関連システムに必要なのは、その構成が基本制御系などの非安全関連システムから分離し、独立していることです。これは、センサー類はもちろん、電源系まで含まれます。非安全関連システムで使う電源を安全関連システムの電源にも利用するような構成は、“独立”とはなりません。この、互いが分離／独立した構成は、機能安全の認証過程において常にチェックされる要件です。

　また、運転の停止に際しては、安全関連システムが非安全関連システムの制御に優先して機能する必要があります。作業に必要な制御を行う各種の非安全関連システムが機械の動作命令を発しても、安全関連システムが動作停止の信号を発すれば、機械を停止させるというのが機能安全の考え方です。