はじめに:制御システムとは?
制御システムとは、機械がどう動くかを指示する頭脳のような部分です。
- 人やセンサーの信号を受けて、
- 油圧・空圧・電気・電子(現在はプログラム制御が主)を使って、
- 機械の動きを操作する主要部分です。
だから、制御システムが壊れたり、勝手に動いたりすると、大事故につながる可能性があります。
EHSR 1.2.1:「安全で信頼できる制御システム」の要件
制御システムは安全機能をしっかり果たし続けることが絶対条件です。具体的には:
(1)設計・構造の堅牢性
- 機械が受ける力や環境変化に耐えられること(例:衝撃、振動、ほこり、湿度、高温・低温、電磁ノイズなど)
- 設備内外の振動やノイズ、埃、衝撃に強い構造であること
(2)ハードウェア・ソフトウェアの故障耐性
- 部品(油圧バルブ、電気部品等)が壊れても、即“危険な動作”につながらないように設計されていること
- ソフトウェアのバグや不具合があっても、安全を守れる仕組みが必要
- 例:エラー検出機構、冗長化(二重化)で安全状態を維持するなど
(3)制御の論理の安全設計
- プログラム内の論理ミスや設定ミスが起きても、“危険な動き”にならない設計にすること
- 例えば、エラーや異常時には“安全停止”する
- 誤動作を避けるために、非常停止やインターロックが働くなど
(4)予見できる人為ミスへの対応
- 操作ミスや意図しない入力があっても、安全に留義するよう設計されていること
- 例えば、「非常停止を押したが機械が止まらない」は許されない
- 制御システムが人のミスにも耐え、誤動作に至らないようにする
機械指令の基本的な健康と安全の要件 Essential Health and Safety Requirements (EHSRs) の必須要求事項の中から1.2.1 の「制御システムの安全性および信頼性」について解説します。
1.2.1. 制御システムの安全性と信頼性
制御システムは、危険状態の発生を防止するように設計・構築されなければならない。とりわけ、以下の点を満たすように設計・構築されなければならない。
— 意図された動作ストレスおよび外部からの影響に耐えられること。
— 制御システムのハードウェアまたはソフトウェアの障害が危険状態につながらないこと。
— 制御システムのロジックにおけるエラーが危険状態につながらないこと。
— 操作中に合理的に予見可能な人的エラーが危険状態につながらないこと。
以下の点に特に注意を払わなければなりません。
— 機械は予期せず始動してはならない。
— 機械のパラメータは、危険な状態につながる可能性がある場合、制御不能な変化をしてはならない。
— 停止指令が既に与えられている場合、機械の停止を妨げてはならない。
— 機械の可動部分または機械に保持されている部品が落下したり、飛び出したりしてはならない。
— 可動部分の自動停止または手動停止(それが何であれ)は妨げられてはならない。
— 保護装置は完全に有効であり続けるか、停止指令を発しなければならない。
— 制御システムの安全関連部分は、機械組立体全体および/または半完成機械に一貫して適用されなければならない。
ケーブルレス制御の場合、通信の途絶を含め、正しい制御信号が受信されない場合、自動停止が作動しなければならない。1.2.1. Safety and reliability of control systems
Control systems must be designed and constructed in such a way as to prevent hazardous situations from arising. Above all, they must be designed and constructed in such a way that:
— they can withstand the intended operating stresses and external influences,
— a fault in the hardware or the software of the control system does not lead to hazardous situations,
— errors in the control system logic do not lead to hazardous situations,
— reasonably foreseeable human error during operation does not lead to hazardous situations.
Particular attention must be given to the following points:
— the machinery must not start unexpectedly,
— the parameters of the machinery must not change in an uncontrolled way, where such change may lead to hazardous situations,
— the machinery must not be prevented from stopping if the stop command has already been given,
— no moving part of the machinery or piece held by the machinery must fall or be ejected,
— automatic or manual stopping of the moving parts, whatever they may be, must be unimpeded,
— the protective devices must remain fully effective or give a stop command,
— the safety-related parts of the control system must apply in a coherent way to the whole of an assembly of machinery and/or partly completed machinery.
For cable-less control, an automatic stop must be activated when correct control signals are not received, including loss of communication.
実際に注意すべき機能例
- 無意識の突発運転を防ぐ:スイッチを入れた瞬間に機械が突然動くのではなく、意図的な操作が必要な設計に。
- パラメータの暴走を防ぐ:温度、速度、圧力などが意図せず急に変化しないように制御する。
- 停止指令が必ず効く:例えば「停止」ボタンを押したら、どんな状況でも機械が止まる。
- 部品の落下や飛散を防ぐ:くずや部品が飛び出たり落ちたりしないように安全設計されている。
- 停止/保護装置は常に動作:非常停止、インターロック、カバーなどの保護装置が、どんな時も機能する設計。
- 複数機械のシステムとして設計:装置をまとめて扱う場合でも、安全機構が一貫して働くよう統合された設計。
【無線制御の場合】
- 信号が途切れた瞬間に「安全停止」に入る仕組みを持たせる。
- 通信途絶いったん起きても、動作が止まるか、安全な状態を自動で維持できることが必要。
MSDコンサルティング
コメント