前回までの連載で、「機械安全(ISO 12100)」について解説してきました。 「危険な場所にはガード(柵)を設けろ」「開けたら止まるインターロックを組め」という話でしたね。
- 【機械安全①】警告シールで逃げるな!ISO12100と「安全第一」の本当の意味
- 【機械安全②】リスクアセスメントシートの書き方!危険を計算する3つの手順
- 【機械安全③】インターロックで現場を守れ!フェールセーフとフールプルーフ3つの必須知識
しかし、ここで電気設計者には新たな疑問が生まれます。 「そのインターロック、普通のPLCで組んじゃダメなんですか?」
ガードが開いたことを検知するセンサーと、普通のPLCと、電磁接触器。これらを組み合わせれば、動作としては「開けたら止まる」を作れます。 しかし、国際規格(IEC 61508)はそれを良しとしません。
今回は、我々電気設計者の本丸である「機能安全(Functional Safety)」の基礎と、なぜ専用の機器(安全PLCなど)が必要なのかについて、実務9年の現場エンジニアが解説します。
結論から言うと、普通のPLCには「自分が壊れた時に、安全に止まる能力(自己診断)」がないからです。 この記事を読めば、「なぜ高い金を出して安全PLCを買わされるのか?」という上司からのツッコミに、論理的に反論できるようになります。
特に、安全PLCを使わずに「ラダー回路(ソフト)」だけでインターロックを組むのは自殺行為です。 もしCPUが暴走してフリーズしたら、非常停止ボタンを押しても信号が処理されず、機械が暴走し続ける…そんな悪夢が現実に起きます。
「機能安全」って結局なに?
まず言葉の定義をはっきりさせましょう。 安全には大きく分けて2つのアプローチがあります。
▼ 安全への2つのアプローチ
「物理的な工夫」で守る。
(例:指が入らない隙間、頑丈な壁)
➡ 「そこにモノがあるだけで安全」という状態。
「制御の働き」で守る。
(例:センサー検知で電源遮断)
➡ 「装置が正しく機能して初めて安全」になる状態。
鉄道の踏切で例えると?
- 本質的安全: 線路を高架(立体交差)にして、物理的に電車と車が出会わないようにする。
- 機能安全: 踏切を作る。電車が来たらセンサーが検知し、遮断機を下ろして車を止める。
高架にするのが一番ですが、コストや場所の問題で無理な場合が多いですよね。 だからこそ、「遮断機(制御システム)が絶対に故障しない(または故障しても安全側に動く)」ように設計しなければならない。これが機能安全の考え方です。
親玉規格「IEC 61508」とは?
この「機能安全」について定めた国際規格の親玉が「IEC 61508」です。 正式名称は「電気・電子・プログラマブル電子安全関連系(E/E/PE)の機能安全」。
舌を噛みそうな名前ですが、要するに「電気やコンピュータを使って安全を作るなら、このルールを守りなさい」という規格です。
この規格は非常に汎用性が高く、ここから各業界向けの規格が派生しています。
- ISO 26262: 自動車向け
- ISO 13849-1: 産業機械向け(我々FA屋が一番使うのはコレ!)
- IEC 61511: プラント向け
すべての基礎となるのがIEC 61508なので、この考え方を知っておくことは電気設計者の必須教養と言えます。
「作って終わり」じゃない!安全ライフサイクル
IEC 61508の最大の特徴は、「安全ライフサイクル」という考え方です。
普通の機械設計なら「設計 → 製造 → 試運転 → 納入」で終わりかもしれません。 しかし機能安全では、以下のような全期間(ゆりかごから墓場まで)を管理することを求めます。
- 概念・定義: 何を守るのか? 対象範囲は?
- ハザード分析: どんな危険があるか?(リスクアセスメント)
- 安全要求スペック決定: どのくらいの信頼性(SIL)が必要か?
- 設計・開発: ハードとソフトを作る。
- 設置・試運転: 正しく動くか検証する。
- 運用・保守: 定期点検や修理。
- 廃棄: 安全に捨てる。
なぜここまで管理するの?
「バグのないプログラム」や「絶対に壊れない部品」を作るのは不可能だからです。 だからこそ、「設計ミスを減らすプロセス(管理手法)」と「壊れても安全になる設計(アーキテクチャ)」の両方が必要になるのです。
なぜ「普通のPLC」じゃダメなのか?
最初の疑問に戻りましょう。 機能安全の規格では、システムを信頼するために2つの故障対策を求めます。
- ランダムハードウェア故障: 部品が劣化して壊れること。
- システマティック故障: 設計ミスやバグ、配線ミスなど「人為的」な原因。
汎用PLC(普通のPLC)は、これらが考慮されていません。 もしCPUが暴走して「出力ON」のままフリーズしたら? 接点が溶着したら? 普通のPLCは「止まる」保証がなく、そのまま機械を動かし続けて事故に繋がる可能性があります。
(※汎用PLCの危険性については、以下の記事でも詳しく解説しています!)
安全機器(安全PLC・セーフティリレー)の凄さ
一方、安全PLCやセーフティリレーユニットといった「安全機器」は違います。
- 冗長化(二重化): CPUや回路が2つあり、片方が壊れても機能する(または停止できる)。
- 自己診断(クロスモニタリング): 2つの回路が常にお互いを監視し、計算結果がズレたら即「安全側(OFF)」に移行する。
つまり、これらは「自分が壊れたことを自分で検知し、確実に機械を止める能力」を持っています。 だからこそ、命に関わるインターロックには、汎用PLCではなく、これらの「安全認証を受けた機器」を使わなければならないのです。
コラム:安全PLCとセーフティリレー、どっちを使う?
「安全機器が必要なのは分かったけど、高価な安全PLCを毎回使うの?」 そう思うかもしれませんが、使い分けがあります。
- セーフティリレーユニット(ハードウェア回路):
- 非常停止ボタンやドアスイッチが数個だけ、という小規模な装置向け。
- プログラムレスで配線だけで組めるので簡単・安価。現場ではこちらが主流。
- 安全PLC(プログラム可能):
- 入出力点数が数十点以上ある、安全ネットワーク(EtherCAT FSoEなど)を使いたい、という中〜大規模なライン向け。
- 複雑なロジックを組めるが、高価で設計工数もかかる。
「機能安全=安全PLC」ではありません。 「そのシステムに見合った、適切な安全機器を選ぶこと」が設計者の腕の見せ所です。
まとめ:機能安全は「信頼」の設計
今回は機能安全の入り口として、IEC 61508の概念解説を行いました。
- 機能安全とは: 「制御の力」で安全を確保すること。
- IEC 61508とは: 電気・電子制御で安全を作るための「親玉ルール」。
- 安全機器とは: 汎用PLCと違い、「故障検知」と「安全停止」が保証された機器(リレーユニットや安全PLC)。
- なぜ安全機器を使うか: 「故障した時に、確実に止まる」ことを保証するため。
さて、先ほどの安全ライフサイクルの手順3に、「SIL(シル)」という聞き慣れない単語がさらっと出てきたのに気付きましたか?「どのくらいの信頼性(SIL)が必要か?」という部分です。 現場でよく聞く「SIL 3(シルスリー)」とか「PL e」という言葉。 あれは一体どういう基準で決まっているのでしょうか?
次回は、機能安全の核心部分である「SIL(安全度水準)」と「確率論」について、確率の表を見ながら解説します。
安全設計マスターへの道(全7回ロードマップ)
「機械安全・機能安全シリーズ」は、以下の全7回構成でお届けします。「安全設計」は、概念、計算、ハードウェア、制御、そして法律が複雑に絡み合う総力戦です。
このシリーズを最後まで読めば、あなたはもう「ISO? 計算? よく分からんからメーカー任せ」と言っていた頃のあなたではありません。
自信を持ってリスクを計算し、仕様を決定し、堂々と「安全です」と言い切れるエンジニアになれるよう、体系的に解説していきます!
Phase 1:機械安全編(メカ・構造で守る)
まずは「物理的にどう守るか?」という機械安全の基礎を固めました。
Phase 2:機能安全編(電気・制御で守る)
次に、目に見えない「制御の信頼性」を保証する機能安全の世界へ踏み込みました。
