用語集

用語集

機能安全の専門用語

機能安全と機械類の安全に関連する用語をよく理解するために。

用語が見つかりませんか。お知らせください。

ご質問に対する回答が見つからない場合は、お問合せフォームにご記入ください。機能安全に関するご意見ご要望をお待ちしております。

SRP/CS(制御システムの安全関連部)の安全関連アクションの需要速度。

IEC 61508では、安全側故障割合(SFF)という用語は安全動作状態に繋がるような潜在的に危険な故障の合計として定義されています。

このタイプのソフトウェアはアプリケーションに正確にカスタマイズされています。機械メーカーによって組み込まれ、一般に、SRP/CSに関する安全要件を満たすように、論理シーケンス、リミット、および入力、出力、計算、および決定をチェックする式が含まれます。

共通の単一イベントから起因する、さまざまな要素の動作故障で、そのような故障が互いの原因や結果ではないもの。

共通因子故障(CCF)と共通モード故障(CMF)は、ISO 12100:2010, 3.36に準拠して区別されます。

再起動は、危険な状況ではない場合にのみ自動的に行われます。詳細情報は、EN ISO 12100セクション6.3.3.2.5を参照してください。

機器の10%が故障した後の動作サイクル数。

要素の特定のコンフィグレーションに対する運用経験の解析に基づくエビデンス。危険を伴うシステム故障の確率は、要素のすべての安全機能が必要な安全水準を実現できるように十分低くなければなりません。

INTERBUS-Safetyと同様に、PROFIsafeは標準ネットワーク経由で安全なデータを伝送するブラックチャネル原理を使用します。安全データは純粋に安全関連のユーザーデータと保護に必要なプロトコルオーバーヘッドだけで構成されており、非安全関連データとともにPROFIBUSやPROFINET経由で送信されます。セーフティコントローラのF-HostやI/OモジュールのF-Deviceはこの方法で安全信号を交換します。内蔵のセーフティメカニズムは予想される次のエラーを保護します。

  • メッセージの繰返し
  • メッセージの紛失
  • メッセージの割込み
  • メッセージの順不同
  • データ破損
  • メッセージの遅れ
  • スイッチで繰り返し発生するメモリエラー
  • 機器の混在

CEという略語はCommunauté Européenne(欧州委員会)を意味します。1つ以上のEU指令に該当する製品は、製品が関連する衛生安全要件をすべて満たすことを条件に、市場に出す前にCEマークを付ける必要があります。通知機関を含める必要がある場合があります。CEマークは欧州単一市場内で物品の自由な移動に参加するためのパスポートの役割を果たします。

SRP/CS(制御システムの安全関連部)の安全関連アクションの需要頻度。

特定された故障の故障率と合計故障率との間の比率で表される、診断の有効性の測定値。

診断の範囲は、システム全体に関するものまたはセンサや論理システムまたは最終要素など、特定のコンポーネントに関するものがあります。

MTTF(平均故障時間)は、機械が最初に故障するまでの時間を示します。

MTTFd(危険側故障発生までの平均時間)は、機械の最初の危険な故障まで想定される平均時間です。

MTBF(平均故障間隔)は、2つの故障の間の時間です。

ソフトウェアはシステム全体の一部で、メーカーが提供します。マシンオペレータが適応または改変することはできません。これらのソフトウェアプログラムは通常FVLで記述されています。

要素の特定のコンフィグレーションの運用能力の解析に関係します。これにより、危険を伴うシステム故障発生の確率が非常に低く、安全機能が必要なパフォーマンスレベルPLrを実現することが保証されます。

制御システムの安全関連部(SRP/CS)の適切な使用の期間。

ソフトウェアはシステム全体の一部で、メーカーが提供します。マシンオペレータが適応または改変することはできません。これらのソフトウェアプログラムは通常FVLで記述されています。

各安全機能に関して必要なリスク軽減を達成するために適用されるパフォーマンスレベル(PL)。

意図する機能を実行できないことで特徴づけられるオブジェクトの状態。計画的なアクションまたは運転リソースがないことによる予防メンテナンス中に発生する故障状態は除きます。

エラー状態は一般に、オブジェクト自体が実際にエラーを起こし、事前に存在するエラーがなかったために発生します。

エラーマスキングとは、安全関連システムで一連の複数のエラーが検出されず、互いに独立して連続的に発生する場合のことを言います。その結果として、人員が危険な状態になることがあります。無電圧接点のある安全ドアスイッチの論理直列接続の場合、別々のドアを独立して開くときにエラーマスキング効果が生じることがあります。その結果、安全ドアガードの無効化等の危険な状態が発生します。

潜在的なエラーはコンポーネントレベルとみなされ、顧客への潜在的な影響はランクをつけて評価されます。信頼性エンジニアリングでは、発生と検出の確率を解析します。

FVLは幅広い機能とアプリケーションを使用できるプログラミング言語です(C、C++、アセンブラなど)

時間あたりの危険側故障確率 PFHDは、時間あたりの危険側故障確率(probability of dangerous failure per hour)を表します。

危険な状況の潜在的な発生源は、その出どころ(機械的危険または電気的危険)、または特徴(感電、毒物の危険、火災リスクなど)で区別できます。

危険は次のように定義できます。機械類が使用されているときに恒久的に発生(危険な部品の移動、高温など)、または予期せぬときに発生(爆発、危険な物質または要素の放出)です。

人員が少なくとも1つの危険にさらされる状況。これはただちに影響があるか、後で現れるということを意味します。

SRP/CSが危険な状態または故障状態になる可能性のある故障。この状態が発生する範囲は、システム設計によって決まります。冗長システムでは、ハードウェアの故障がシステム全体の故障につながることは稀です。

セーフティテクノロジでは、低頻度要求の安全需要が発生する頻度は年に1度かそれ以下です。対応する安全パラメータはPFD値(probability of failure on demand:作動要求時失敗率)です。

回転軸の安全な速度超過監視は、機械工具のセットアップ操作における寸動モードなど、追加の方策と組み合わせることが必要な場合があります。定義された速度を超過すると、安全状態が開始されます。

共通の原因を持たないが、異なる複数のユニットの故障が単独のイベントの結果であるような故障。

「整合規格」という用語は、製品に関する欧州の規格を意味します。製品の必須要件が、規格組織CENおよびCENELECによって定義される、欧州委員会 「New Approach」の一部です。整合規格はEUの官報に掲載されています。必須要件を満たす製品とサービスのみを市場に出すことができます。証明書またはCEマーキングで識別されます。

例えば、指定された整合規格に準拠して製作された機器は、機械指令の健康と安全に関する必須要件を満たしているとみなすことができます。

HAZOPは、「hazard and operability study」の略で、プロセステクノロジアプリケーションなどで機能安全のために実施される一種のリスク解析手法です。ドイツでこれに相当するものはPAAGです。

「超過」や「超」などのキーワードと制御ワードを定義することにより、パラメータを指定して潜在的な改造の特定および回避、推奨が可能です。

P&IDは「piping and instrumentation diagram」の略で、プロセス全体のあらゆる詳細を調査して、適用される必須パラメータと、パラメータからの逸脱の範囲を特定する基礎として使用されます。そしてパラメータの逸脱を予防または軽減するために、考えられる対策が開発されます。システム全体または特定のコンポーネントに適用されます。

制御システムの安全関連部(SRP/CS)に対するコマンドの頻度が、年に1度より大きいか、機械の安全関連の制御機能により通常の運転状態として安全状態が保証されるような、運用方法。

制御システムの安全関連部(SRP/CS)に対する安全需要の頻度が、年に1度より大きいか、機械の安全関連の制御機能により通常の運転状態として安全状態が保証されるような、運用方法。

IEC 61508に基づくセクター規格として、IEC 61511規格シリーズは、プロセス産業におけるシステムの機能安全のに関する要件を説明しています。3つの部から構成されます。

機械に接続されている電気感光性保護機器の部品が、システムを制御し、正常運転中にセンサがスタートするとOFF状態に切り替えます。

身体的傷害または健康障害。

ライトカーテンは、平行に配置された複数の光電バリアで構成される安全機器です。少なくとも1つのセンサが光電バリアビームの中断を報告すると、直ちにトリップします。信頼性の高いトリップは、検出対象の物体が平行に接続された2つの光電バリアよりも大きい場合にのみ保証されます。

LVLとは、安全固有の要件を実装するために、事前定義されアプリケーション固有の関数を組み合わせることができるプログラミング言語です。

LVLの典型的な例は、規格IEC 61131-3に見られ、ここではシステムに対して通常PLC(programmable logic controller)が使用されます。

セーフティテクノロジでは、低頻度要求の安全需要が発生する頻度は年に1度かそれ以下です。対応する安全パラメータはPFD値(probability of failure on demand:作動要求時失敗率)です。

機械を再起動する前に、手動で1つ以上の安全機能をリストアするために使用される制御システムの安全関連部(SRP/CS)の機能

機械要素のさまざまな部品、オペレータ、外部制御機器、または出力信号を生成するその他の組み合わせからの入力信号に応答するシステム。

機械制御システムは任意のテクノロジまたは異なるテクノロジの組合せ(電子式、油圧式、空気圧式、または機械式テクノロジ)と組合せて機能します。

機械および安全コンポーネント商品の、欧州単一市場内での自由な移動を保証することを目的とする、重要な健康および安全要件の標準化に関する欧州指令。

障害に対する回復力と、障害時のその後の動作に関する、制御システムの安全関連部(SRP/CS)の分類。カテゴリは部品の構造的設計、障害検出、信頼性に基づいて選択されます。

SRP/CS(制御システムの安全関連部)による安全機能の一時的自動中断。

非常停止は、危険状態において安全な状態を積極的に取戻し、人々を確実に保護するために重要です。非常停止制御機器を起動することにより、危害は回避または軽減できます。安全状態は、オペレータまたは第三者が非常停止制御機器を起動すると開始されます(機械の危険な動きを停止するなど)。

パフォーマンスレベル(PL)とは、各SRP/CS(制御システムの安全関連部)の、予期しない状況が発生した場合の個別安全機能の実行能力に関する、定性的な分類です。

PROFIsafeはPROFIBUSとPROFINETに認定されているプロファイルです。PROFIsafeは、SIL 3またはEN ISO 13849-1準拠のカテゴリ4でプロセス産業および製造業の最高安全要件を満たします。安全関連通信と標準通信で同じケーブルを使用します。PROFIsafeシステムを拡張するとPROFIBUSおよびPROFINETシステムになります。自由にプログラム可能な安全機能は、このシステムで実行でき、必要な安全入力および出力データを安全なI/O機器との間で送受信できます。安全コントローラと安全バス機器はPROFIsafeプロトコルを通じて相互に通信しますが、このプロトコルは標準PROFIBUSやPROFINETプロトコルと重なっており、安全入力および出力データとデータセキュリティ情報が含まれています。

PESは、すべてのシステムコンポーネントおよびエネルギー供給、センサ、およびその他の入力機器、回路、および出力機器を含む1つ以上のプログラミング可能な電子機器の制御、保護、監視に使用されます。

ケーブルの機械的損傷の場合に、安全状態がもたらされたときに2つ以上のセンサ信号間の電気的クロス回路が安全機能の損失につながらないことを、クロス回路検出が確実にします。これにはテストクロック経由の供給信号生成器など、さまざまな技術的原理が関与しています。

安全機器のアイテムのトリガ(安全ドアを開けるなど)から、安全状態に到達(危険な動きの停止など)するまでにかかる時間。応答時間は安全機器と危険ゾーンの間に必要な最短距離を決定するのに使用されています。

安全機器と危険の最短距離は次の要因で決まります。

  • センサの遅延時間
  • セーフティコントローラのセーフティプログラム処理時間、ネットワーク伝送を含む
  • 入力および出力モジュールの処理およびフィルタ時間
  • アクチュエータの遅延時間

機能冗長性は、1つのチャネルが故障した場合に、2つ目の独立した無効化チャネルまたは有効化チャネルを使用して、安全状態をもたらす、システムの安全性に関するものです。ここではコンポーネントの冗長性とシステムの冗長性の両方が使用されます。

オンライン試験またはシステムの明らかな機能不良のいずれかによる危険側故障の検出と、修復またはシステム/コンポーネント交換後の運転再起動との間の時間。

修復率には、障害検出に必要な時間は含まれません。

保護方策を講じた後にまだ存在する残留リスク。

RFIDはRadio Frequency Identificationの略で、物理的または視覚的な接触なしに物体を識別できることを意味します。例えば、PSRswitchセーフティスイッチではRFIDテクノロジによりセンサとアクチュエータのコード化信号の交換が可能です。規格EN ISO 14119では、RFIDセーフティスイッチが、不正使用から保護するためコード化されていることが求められています。

危害の発生確率と危害の程度の組合せ。

リスク分析とリスク評価で構成される全体的なプロセス。

機械の自然な制限に関する仕様、危険源の同定およびリスク見積りの組合せ

以前のリスク分析に基づき、リスク低減目標を達成したかどうかの最終的評価。

セーフティリレーに関して、安全機能の要求からイネーブル接点を開くまでにかかる時間。安全タイマリレーの場合、例えばドライブを制御された方法でシャットダウンするために、解放時間を手動調整で延長できます。

SafetyBridge Technologyはネットワークにもコントローラにも依存しないセーフティソリューションを提供します。このテクノロジを使用すれば、安全関連のシグナルを標準オートメーションネットワーク経由で伝送して評価できます。これはセーフティコントローラを使用せずに実現できます。使用するSafetyBridgeプロトコルの特性により、このテクノロジは複数のバスシステムで使用でき、INTERBUS、PROFIBUS、PROFINET、Modbus、CANopen、DeviceNet、Ethernet/IP、sercosの各ネットワークに対応しています。

リスクを最小化するための方策。これらの方策はさまざまな人のグループによって実装できます。

開発者:特に保護方策と使用に関する情報の設計。

ユーザ:組織(安全な労働実践、監視、作業承認システム)、追加の保護方策、個人用保護具、トレーニングの提供と使用。

安全ドアは、例えばシステム内で人が危険ゾーンに入るのを保護することを意図する安全機器です。安全ドアは、機械が停止するまで開かないように(ガードロック機器)、または特定の人以外が機械に近づけないように(鍵などによる承認など)、セットアップできます。

トルクが生成されないような運転状態。安全機能の要求時に、この状態は電源からの切断によって達成されます。

加速には上限と下限があり、安全な運転を保証します。加速値が超過すると、安全状態が開始されます。

速度には上限と下限があり、安全な運転を保証します。値が下限または上限を超えると安全状態が開始されます。

安全位置の監視 位置から出て、別の安全機能が有効でない場合、安全機能が開始されます。

負荷インジケータには上限と下限があり、安全な運転を保証します。値が下限または上限を超えると安全状態が開始されます。

線形または回転運動の方向を監視 危険と宣言されている方向が検出され、別の安全機能が有効でない場合、安全機能が開始されます。

加速度や速度など、特定の値の上限値を超過すると、安全ブレーキ制御機能により、値が通常値に戻るまで機械が減速されるか、オフにします。

速度には上限と下限があり、安全な運転を保証します。値が下限または上限を超えると安全状態が開始されます。

安全カップリングリレーにより、プログラマブル電子システム(PES)とアクチュエータとの間で、安全関連の方法で信号を伝送できます。内部リレーの障害など、障害時には安全状態が開始されます。通常は内部冗長メカニズムを使用してスイッチオフされます。

この機械機能が失敗した場合は危険源のリスクが増大します。

セーフティリレーは安全方策の実装をサポートします。非常停止、ライトカーテン、安全ドアなどの安全機能を使用できるようになります。

フエニックス・コンタクトのセーフティリレーは、モジュール式に組み合わせることができ、強制ガイド付接点とTÜV証明書により最大の安全を確保します。さらに、特に省スペースで、迅速かつ安全な取付けが特徴です。

セーフティスイッチ(嵌合ロック機器)は、安全ドアの位置を監視するのに使用されます。安全ドアが開くと、制御された嵌合ロックにより安全状態が開始されます。

PSRswitchセーフティスイッチはコンパクトな設計のコーディングされた電子セーフティスイッチです。組込みのRFIDトランスポンダテクノロジとインテリジェンスで、不正使用から最大限保護し、EN ISO 14119準拠の優れた安全性を確保します。互換性のある評価ユニットとSAC配線により、デジタルファクトリー向けの柔軟な安全ドアや位置監視用の低コストで包括的なソリューションを提供します。

機械制御システム内のセーフティリレーモジュールは、安全関連のセンサとアクチュエータが必要なPLまたはSILの要件に準拠して監視されていることを確実にします。セーフティリレーモジュールは、個別機能を監視する単純なセーフティリレーとして設計したり、より複雑なタスクを監視するために使用したりできます。

SRP/CSは制御システムの安全関連部の略語です。安全関連の入力信号に応答して安全関連の出力信号を生成する、制御システムの一部です。

制御システムの安全関連部の組合せは、安全関連の入力信号がトリガされた時点(運転中のカムと位置スイッチの回転など)で開始し、電力制御エレメント(スイッチング機器のメインコンタクトを含む)の出力で終了します。

監視システムを使用して診断を行っている場合も、SRP/CSに分類されます。

安全度水準は、安全関連のE/E/PEシステムに割り当てられた安全機能の安全度要件を定義する、4つの独立したレベルで構成されます。SIL 4が最高の安全度水準でSIL 1が最低です。SIL分類は完全な安全機能に関係します。

SIL付与限界は、安全機能内のサブシステムの最大SIL能力を記述します。

ドライブが停止位置から指定された値を超えて逸脱するのを防ぐ機能。

セーフティアプリケーションを実現しようとすると、さまざまな規格の要件をすべて確実に遵守するのが難しいのと同じように、制御のシステムアーキテクチャを含めたセーフティコンセプトを適切に選択してロジックを評価することは複雑です。適切なテクノロジを使用すれば、費用対効果が高く実現しやすいだけではなく関連規格にも準拠する安全関連アプリケーションになります。

障害状態には特定の原因があり、設計、製造プロセス、運転プロセス、ドキュメント、またはその他の関連する因子を変更することによってのみ修正できます。  メンテナンスを正しく実施しても、障害状態に変化がない場合は、障害の原因は通常修正されません。系統的故障を、障害の原因をシミュレーションすることで引き出せることがあります。

人間の介在に関連する系統的故障の原因の例として以下があります。

  • 安全要件の仕様、
  • ハードウェアの設計、製造、設置、および運転、
  • ソフトウェアの設計と実装などがあります。

保護機能テスト(プルーフテスト)の間隔

SRP/CSの障害を検出するための自動テストの頻度。診断テスト間隔値に基づいて決定されます。

コンポーネントまたは要素が機能を適切に実行できなくなった時、開始される安全機能。あるいは状態が変化した時に、リスクが増加します。

EN ISO 12100に従って、嵌合ロック機器は機械式、電気式、またはその他のタイプの安全機器で、可動ガードと組み合わせて危険ゾーンに近づくときのリスクを軽減します。通常、安全ドアが閉じていないと特定の機械機能が実行できません。

「故障」という用語は物体が必要な機能を実行できなくなった場合に使用されます。「障害」という用語は、故障の結果生じる誤動作を説明するために使用されます。

これはソフトウェアのみのアイテムには該当しません。障害が発生すると、影響を受けるアイテムは不良であるとみなされます。制御されたプロセスの可用性のみに影響を与える障害は、ISO 13849-1の範囲外です。

設計者が意図していないが、容易に予測可能な人間の挙動に起因する可能性のある方法による機械の使用

ガードロック機器は、嵌合ロック機器の一部のロックまたは閉鎖メカニズムで、安全状態が達成される(危険な動きが停止するなど)まで安全ドアを閉じておくことで危険ゾーンへのアクセスを予防するものです。

基本リレーのa接点およびb接点は、強制ガイドで機械的に接続されています。このためa接点とb接点が同時に閉じることはありません。適切な回路とともに使用すると、オープンエラーを確実に検出できます。これは、人間と機器の安全性を最大限に保証するための最も確実な方法です。

フエニックス・コンタクト株式会社

〒222-0033
神奈川県横浜市港北区新横浜1-7-9
友泉新横浜一丁目ビル6階