ISO13849-1 　各カテゴリ指定アーキテクチャの飛行式（非公式）の理解方法

ISO13849-1 安全カテゴリの飛行式!?【非公式】な理解の仕方 安全カテゴリとは、安全関連部の構造を表す概念で、PL（パフォーマンスレベル）に大きな影響を与える重要な指 標です。安全関連部の構造は多様性があっても、その基本構成は似ていることが多く、機械分野において存在するほ とんどの構造は、以下のカテゴリの一つに分類することが可能です。 各カテゴリに対して、典型的な安全関連のブロックダイアグラムとして典型的な代表図があり、指定された“構造“が ありますが、簡単には理解できない内容になっています。　 そこで今回は、この安全カテゴリの表面的部分を簡単に理解する方法を飛行機を用いてお伝えします。　 これなら、 5段階ある各カテゴリがどれくらい安全か（どれくらい危険なのか）に関してのイメージがしやすいと思 います。 カテゴリ B 自家製超軽量（飛行）機で飛行しています。この飛行機は机の 上にあった封筒の裏側に設計図を描き、 車庫にあった旧型の芝刈り機のエンジンを使用し製造した超軽 量（飛行）機です。 FAA(Federal Aviation Administration) の認証は受けてい ません。 　 要求事項要約 制御システムや保護装置の安全関連部は、想定される外的影響に絶えられるよう、適切な規格にしたがっ て設計、構成、選定及び組立がなされること。 ISO13849-1：2015 のここ！ The SRP/CS shall, as a minimum, be designed, constructed, selected, assembled and combined in accordance with the re levant standards and use basic safety pr incip les for the specif ic application to withstand ̶ the expected operating stresses, e.g. the reliability with respect to breaking capacity and 　　frequency, ̶ the influence of the processed material, e.g. detergents in a washing machine, and ̶ other relevant external influences, e.g. mechanical vibration, electromagnetic interference, 　power supply interruptions or disturbances. 01

カテゴリ１ エンジンを一基搭載ているが、エンジン計器が付属しないセスナで飛 行しています。 エンジンの動作監視をしているエンジン計器は付属していませんが、一 基のエンジンを搭載した信頼できる飛行機製造工場で製造されたセスナ １５０（米セスナ社製造）です。　 万が一エンジンが故障して止まった場合、プロペラが回っていない事か らそのことに気づく事はできますが、その時には超高速で地面に向かっ て墜落してしまいます。FAA の検査を受けています。 　 要求事項要約 ・カテゴリ B の要件を満たしていること ・十分吟味された高い信頼性を示す部品を使用し、安全原則に従うこと。 ISO13849-1：2015 のここ！ “SPR/CS of category 1 shall be designed and constructed using well-tried components and well-tried safety principles. A“ well-tried component” for a safety-related application is a component which has been either a) Widely used in the past with successful results in similar applications, or b) Made and verified using principles which demonstrate its suitability and reliability for safety-related applications. カテゴリ 2 カテゴリ１のセスナに加えてエンジン故障ランプが付属されています。 エンジンが故障した場合、コックピットにセスナメーカーが搭載した故 障ランプが点灯し、エンジンが動作していない事に気づくことができま す。 直ぐに安全に着地できるように祈るべきだと気づきますが、超高速で地 面に向かって墜落しているので、故障ランプの必要性はあまり感じませ ん。 　 要求事項要約 ・カテゴリ B の要件を満たし、安全原則に従うこと。 ・安全機能が機械の制御システムにより適切な間隔にてチェックされること。 SO13849-1：2015 のここ！ SPR/CS of category 2 shall be designed so that their function(s) are checked at suitable intervals by the machine control system. The check of the safety function(s) shall be performed ̶ At the machine start-up, and ̶ Prior to the initiation of any hazardous situation, e.g. start of a new cycle, start of other 　　　 　 　 movements, immediately upon on demand of the safety function and/or periodically during 　　 　　 　 operation if the risk assessment and the kind of operation shows that it is necessary. 02

カテゴリ 3 エンジンを２基搭載し、完全なエンジン計器を付属している飛 行機で飛行しています。 しかしながら、パイロットは１人だけです。副操縦士はいませ ん。パイロットは飛行機を滑走路の端まで走らせ、エンジンの 回転数を上げて、エンジン計器を確認し、離陸します。その後 は、操縦士は忙しすぎてエンジン計器を確認することはできま せん。もし片方のエンジンに不具合が生じた場合、もう一つの エンジンで近い空港へ飛び、着陸できます。 　 要求事項要約 ・カテゴリ B の要件を満たし、安全原則に従うこと。 ・安全関連部は以下の方針に従って設計されること。 ①単一故障により安全機能が喪失しないこと。 ②できる限り単一故障が検出できること。 ISO13849-1：2015 のここ！ SPR/CS of category 3 shall be designed so that a single fault in any of these parts does not lead to the loss of the safety function. Whenever reasonably practicable, the single fault shall be detected at or before the next demand upon the safety function. NOTE1 The requirement of s ingle-fault detect ion does not mean that a l l fau l ts wi l l be detected . Consequently, the accumulation of undetected faults can lead to an unintended output and a hazardous situation at the machine. Typical examples of practicable measures for fault detection are use of the feedback of mechanically guided relay contacts and monitoring of redundant electrical outputs. NOTE3 Category 3 system behavior is characterized by ̶ continued performance of the safety function in the presence of a single fault, ̶ detection of some, but not all, faults, ̶ possible loss of the safety function due to accumulation of undetected faults. 03

カテゴリ 4 カテゴリ３の飛行機に操縦士と副操縦士の計２名のパイロット が乗っており、エンジン計器は動的モニタリングを行っていま す。エンジン２基と完全なエンジン計器を搭載し、副操縦士が 常にエンジン計器に目を配り、エンジンに何か少しでもおかし な動きが無いか確認しています。エンジンが止まったり、もし くはエンジンが通常とは違った動きをした場合でも、もう一つ のエンジンが問題なく、近くの飛行場まで運んでくれます。 　 要求事項要約 ・カテゴリ B の要件を満たし、安全原則に従うこと。 ・安全関連部は以下の方針に従って設計されること。 ①単一故障により安全機能が喪失しないこと。 ②次の安全機能が動作する時、又はそれ以前に単一故障が検出できること。 　　それが不可能な場合、故障が蓄積しても安全機能を喪失しないこと。 ISO13849-1：2015 のここ！ SPR/CS of category 4 shall be designed such that ̶ a single fault in any of these safety-related pars does not lead to a loss of the safety function, 　 and ̶ the single fault is detected at or before the next demand upon the safety functions, e.g. 　　　 　 immediately, at switch on, or at end of a machine operating cycle, but if this detection is not possible, then an accumulation of undetected faults shall not lead to the loss of the safety function. ISO13849-1 安全カテゴリをご理解いただけましたでしょうか。 理解が難しい安全ですが、ぜひ非公式【飛行式！？】な方法でご理解してみてはいかがでしょうか。 04