特集 大型機械構造物の安全化の過去・現在・将来
機能安全導入から20年、そして展望
機能安全認証の登場
2000年以降、日本の認証業界に黒船がやって来た
認証業界にとって2000年当初「機能安全認証」は、メーカ同様に我々認証機関にとっても黒船のような存在感があった。何故なら、まず規格そのものを誰も読んだこともなければ、これまでハードウェア評価試験一辺倒であった認証機関にとっても、ソフトウェアを含んだ機器の認証ということで、評価内容の困難さが頭に浮かんだ。また、同業者間でも勝手な想像や噂もあり、誰も取り組もうとする者はいない状況であった。当時、筆者は認証業界へ転職した直後であり、この業界の内情など知る由もない立場であったが、機能安全を始めようとしていた先輩が急に退社することになり、少しでもコンピュータを知っているエンジニアじゃないと対応できないだろうから、やってみろということで白羽の矢が立った。
規格や認証スキームを理解していくと分かるのだが、機能安全認証とは、大きく分けて三つの側面で構成されている。一つはISO 9001ベースのマネジメント・システムの再構築(部分追加)をする必要があること。二つ目は、大きな枠(システムブロック図)を使って、計画の初期段階で回路(システム)構成に対して徹底的にダメ出しを繰り返し行い、開発期間の後半で手戻りが起こらないようにフロントローディング手法同様、設計開始時期に重点(コスト、検証・検討時間)を置いた設計を行うこと。三つ目は、ソフトウェアの設計、評価は、機能安全用に補強されたマネジメント・システムを徹底的に使い、根拠(エビデンス)を残すことでクリアできるということ。これらの三つをうまくマネジメントできれば、製品そのものが持つ性能はともかく、機能安全認証はクリアできるといっても過言ではない。もちろん、認証期間の後半では、お馴染みの製品安全試験、EMC(ElectroMagnetic Compatibility)試験、環境試験といったラボで行われる試験が残っている。一般的には、ここまで来ればある意味、峠は越えた感は出てくるのであるが、機能安全プロジェクトの場合は、少し違っている。EMC試験や環境試験もこれまでの動作基準A、B、Cだけでなく、FS(Functional Safety)クライテリアが追加要求される。例えば、EMCのイミュニティ試験を行っている最中に、装置の挙動をモニタする必要がある。機能安全対応製品の場合、通常安全出力が装備されている。この出力はほとんどのケースで2重化され、装置の安全状態が維持されている場合に限りON(DC+24V=High)信号を出力している。つまり、装置に何か故障やトラブル、若しくは条件が違う状態が発生すると、安全出力はOFF(LOW信号レベル)になる設計が機能安全対応製品の安全設計の特長となる。この安全出力(High)が、特定の周波数帯レンジのEMC(イミュニティ)試験中では、影響を受けないことを証明する必要があり、特定の周波数帯レンジを超えた範囲の周波数帯では、出力は落ちても良いが、次の再起動まで落ちた状態(出力信号OFF状態)を維持することが求められる。また、別のケースでは、装置電源は入っている状態で、安全出力をOFFにしているケース(スタンバイ状態など)で、イミュニティ試験を行い、その時にON出力(High)が出ないことを確認したりもする。この事例を実際のケースに当てはめると、安全装置の出力が誤動作でONになるという状況は、産業機械で例えると、回転をはじめることに対応する。つまり、予期せぬ起動を起こすことになる可能性を秘めている。この状態は、非常に危険な状況である。欧州の機械指令の中でも予期せぬ起動の防止は設計時の考慮必須アイテムである。もちろん、こういった状況のアプリケーションで使うことを想定し、安全マニュアルに配線方法や使い方、それに、設計では回避できない場合は、どういった状況では危険な状況になるかもしれないということをユーザ(使用者)へ伝える義務がある。あるいは、モータ軸が減速機経由で駆動部に伝達されるアプリケーションを構成する場合であれば、場合により1瞬(数msecから0.5秒以下)のON信号の出力程度では問題にならないこともあるので、ケースバイケースでこれらの条件を考察しておく必要がある。このようにEMC試験、それに環境試験は、使用されると予想されるケース(オペレーション・モード)ごとに判断基準(FSクライテリア)を、試験前に徹底的に検討する必要がある。そして、それらは試験プランとして作成・管理され、試験所との間で合意しておく必要がある。設計対象の製品にもよるが、安全機能(安全出力)によっても、もっとさまざまなケース(オペレーション・モード)を想定する必要がある。ON/OFF以外の信号の場合は、特に上記以外のケースを想定する必要がある。EMC,環境試験において機能安全導入後の試験ボリュームは、これまでの製品安全レベルから大きくなり、確認事項も重要になることを念頭に置いていただきたい。EMC試験は、図1のような電波暗室で行われる。
キーワード:大型機械構造物の安全化の過去・現在・将来
機構模型
工部大学校の「機械学」教育機器(機械遺産第100号)
歯車を用いた往復運動
年代未詳/真鍮、鉄、木製台座/H250, W400, D300(mm)/東京大学総合研究博物館所蔵
工科大学もしくは工学部の備品番号「工キ學ニ二一〇」の木札付。本模型の年代は未詳であるが、東京大学総合研究博物館には工部大学校を示すプレート付きのものを含め、近代的な機械学教育のために明治期以降に導入された機構模型が現存する。
上野則宏撮影/東京大学総合研究博物館写真提供/インターメディアテク展示・収蔵
[東京大学総合研究博物館]