379

Vol. 48　No. 6（2009）

1.　は　じ　め　に

本稿でとりあげる IEC 620611）は機械類に用いられる安全関連電気制御システム（Safety─related electrical

control systems, SRECS）に適用されるもので，ISO／

IECの機械類の安全性に関する数多くの規格群の一つとして，2005年に制定された．SRECSの定型例は，インターロック付きのガードシステムである．このシステムの作動の確実性を示すのに SIL（安全インテグリティレベル＊）を用いている．この規格に類似のものに ISO 138492）がある．後述

するように，両規格の適用範囲には重複があり，現場の混乱を招いていることは事実である．しかし，昨今の電子制御技術の発展，プログラム可能な制御器（PLC）の使用の拡大を考慮すると，本 IEC 62061も

ISO 13849改訂版も必然性を持って誕生した規格といえよう．つまり、IEC 62061は多くの産業分野で機能安全の規格の必要性から生まれた包括的な IEC 61508

を機械分野で適用するというようにトップダウン的に制定されたのに対して、ISO 13849の改訂は既往の規格を電子技術を用いた安全制御部にも適用できるようにボトムアップ的に改訂されたと見ることができる．以下，本規格の概要を述べる．なお，本稿における

条文の記述は，この規格の翻訳 JISである JIS B 9961：20083）によっている．

2.　IEC 62061の機能安全規格の 体系内での位置付け

この規格は機能安全規格 IEC 615084）の傘下規格群（IEC 61511プロセスプラント，IEC 61513原子力プラント，IEC 61800─5─2電子制御モータ，IEC 62304医療機器など多方面の傘下規格が作られ，あるいは作られつつある）のなかの一つである．機械安全分野の規格である IEC 62061は IEC 61508の基本的な方法論を引き継ぎながら，機械類に適用することに特化して，不要な部分を削り使いやすくしたもので，例えば SILについては 1～3のみが規定され，SIL 4は規定されていない．これは，プロセスプラントとは異なり，多数の死者が発生する災害が想定しにくいためである．このように，この規格は IEC 61508に比してコンパクトであり，使い勝手がよくなっている．ページ数も大幅に減っている．大部分の機械の安全関連部は作動要求が頻繁にある

ので，IEC 61508に示される高頻度・連続モードに該当する．したがって，安全関連部の評価指標も PFD

（作動要求当たりの機能遂行失敗確率）ではなく，故障率に相当する 1時間当たりの平均危険側故障確率PFHDを用いている．

機械の安全関連系に関する規格である IEC 62061は IEC 61508の傘下規格として制定された．その背景には，機械類の制御に PLCなど電子技術とソフトウェアを用いた機器が使われるようになったことがある．一方，機械類の安全制御部の規格としてすでに ISO 13849があった．そこで両規格の機械安全規格体系での位置付け，適用推奨案を確認したうえで，本規格の内容の概説を行った．IEC 62061は機能安全の考え方をベースにしており，検知できない危険側故障の 1時間当たりの発生確率（PFHD）を基準に安全インテグリティレベル（SIL）を定めていることを述べ，その計算の基礎を示した．また，IEC／TR 62061─1／Ed.1に例示の PFHD推算結果を紹介した．両規格に従って 1時間当たりの危険側故障確率を求めると結果に差異が出る．また，SILは PFHDをもとにしているので，故障率データベースの構築が必要である．キーワード：機能安全，機械類の安全性，安全関連電気制御システム，信頼性

安全／環境関連国際規格特集号

IEC 62061機械の機能安全規格の概要

†福ふく

　　田だ

　　隆たか

　　文ぶみ

† 長岡技術科学大学システム安全系：〒 940―2188 新潟県長岡市上富岡町 1603―1

E―mail：t-fukuda@vos.nagaokaut.ac.jp　＊　 IEC 61508の翻訳 JISである JIS C 0508では安全度水準の

語を用いている．

380

安 全 工 学

　IEC 62061機械の機能安全規格の概要　

3.　IEC 62061の機械安全規格体系内での 位置付け

この規格は，多くの機械類に適用されるものであるから，図 1に示す B規格に位置付けられている．1章に記した ISO 13849も同様に B規格であり，図中左側に示されている．両規格に対する「適用の推奨案」（表1）が両規格に示されている．技術方式 Aつまり非電

気的な安全関連部以外は両規格が適用可能である．現実的には，Bの範疇であるリレーとコンタクタによる制御回路であれば従来から使用しているという点とPL（Performance Level）の計算が SILの計算に比べ簡便であることから ISO 13849のほうが使いやすいが，PLCなどソフトウェアの評価が入ってくると IEC

62061のほうが使いやすいといった実用面からの差異があるようだが，これから両規格が使われるなかで評

図 1　機械類の安全規格の体系

ISO／IECガイド 51

A 規格（基本安全規格）

B 規格（グループ安全規格）

C 規格（個別機械の安全規格）

機械（基本概念）：ISO 12100─1（ JIS B 9700─1）機械（技術設計）：ISO 12100─2（ JIS B 9700─2）

リスクアセスメント A 規格：ISO 14121（ JIS B 9702）

安全制御回路：ISO 13849─1（ JIS B 9705─1）インターロック規格：ISO 14119ガードシステム規格：ISO 14120　　　　　　　　　　　　など

機械の機能安全規格：IEC62061（ JIS B 9961）電気設備安全規格：IEC 60204─1（ JIS B 9960─1）

センサ一般安全規格：IEC 61496─1～4（ JIS B 9704 1～3）　　　　　　　　　　　　　　　　　　　　　　など

工作機械，産業用ロボット，無人搬送車，輸送機械， 鍛圧機械，マシニングセンタ，エレベータ，化学プラントなど

表 1　両規格の適用範囲の推奨案（一部簡略）

安全関連性能を実現する技術方式 ISO 13849─1：2006 IEC 62061：2005

A 非電気的，例えば液圧式 適用できる 適用できない

B電気 ･機械的部品（例えば，リレー），または非複雑電子部品

PL eまでの指定のアーキテクチャに適用

SIL 3までのすべてのアーキテクチャに適用

C高複雑度電子システム，例えばプログラム式

PL dまでの指定のアーキテクチャに適用

同上

D Aと Bの複合PL eまでの指定のアーキテクチャに適用

非電気的な制御システムには，サブシステムとして ISO 13849─ 1：2006に適合する部品を用いる

E Cと Bの複合PL dまでの指定のアーキテクチャに適用

SIL 3までのすべてのアーキテクチャに適用

FCと A，または Cと Aおよび Bの複合

高複雑度電子システムには，ISO 13849─1：2006に指定される PL d までのアーキテクチャまたはこの規格によるすべてのアーキテクチャを用いることができる

非電気的な制御システムには，サブシステムとして ISO 13849─1：2006に適合する部品を用いる

　注　 この表は，ISO 13849，IEC 62061で，それぞれの表 1として記載されている．

381

Vol. 48　No. 6（2009）

　IEC 62061機械の機能安全規格の概要　

価が固まり，また規格も改訂されていくと思われる．

4.　規 格 の 概 要

この規格は，機械類の安全関連電気制御システム（Safety─Related Electrical Control System, SRECS）の設計，統合および妥当性確認のための要求事項および推奨事項を規定している．この規格で扱う機械類とは，作動中は手で持ち運ばないものをいう．また，安全関連制御の作動信頼性について扱うので，制御装置自体の危険性，例えば感電などは範疇外となる．安全関連制御部の機能（安全機能）は，機械本体に危険状態が生じたとき，安全な状態に移行させることである．そこで，① 移行が適切な方法で行われるように設計・製造されているか（おもに箇条 4 .，5 . が扱っている．），② 移行が確実に行われるように設計・製造されているか（おもに箇条 6 . 以降が扱っている），が評価される．この規格の箇条（章）は図 2左に示す構成となっている．同図右に IEC 61508のフローを示し，各箇条が対応する IEC 61508のボックス番号を付記した．

SRECSは安全インテグリティレベル（SIL）で評価される（表 2）．ここで，PFHDとは，SRECSまたはサブシステムが，1時間の間に危険側故障を起こす平均確率で，これは危険側故障率に 1〔h〕を乗じて（掛けて）無次元にしたもので，数値的には危険側故障率と同じになる．このように故障率をベースにしているのは，機械類で使用される多くの SRECPでは作動要

求が頻繁で，1年に 1回以下あるいは点検周期の倍以上の間隔でしか発生しないということは考えにくく，IEC 61508でいう高頻度・連続モードに該当するからである．

SILは SRECSの危険側ランダムハードウェア故障確率に関する『ハードウェア安全インテグリティ』と危険なモードにおける系統的故障に対する抵抗力に関する『系統的安全インテグリティ』からなる．この一部に『ソフトウェア安全インテグリティ』（プログラマブル電子システムにおいて，ソフトウェアが，すべての規定条件下で規定の期間，その安全機能を達成する能力に関係する部分）がある．

5.　ランダムハードウェア故障に対する PFHD

計算式と信頼性工学との関係

この規格では，検知できない危険側故障について扱っている．したがって，安全側故障はこの規格では扱っていない．また自己診断で発見できる故障についても，その分の故障率を減じて考慮している（後述の説明と図 6参照）．つまり，あるコンポーネントの安

6 7 8

9 10 11

BOX 1～4

BOX 6，14

BOX 7，13

BOX 5

BOX 9

BOX 15

図 2　IEC 62061の構成（IEC 62061表 2, IEC 61508図 2をもとに作成）

箇条番号 箇条の目的

4機能安全の管理

SRECSが必要とする機能安全を達成するに必要な管理と技術活動を規定する．

5安全関連制御機能の仕様決定のための要求事項

安全関連制御機能に対してつぎの要求仕様を決定する手順を規定する．　・機能要求仕様　・安全インテグリティ要求仕様

安全要求仕様（SRS）に適合する SRECSの選択基準および／または設計と実現方法を規定する．つぎを含む．　・システムアーキテクチャの選択　・安全関連ハードウェアとソフトウェアの選択　・ハードウェアとソフトウェアの設計　・設計したハードウェアとソフトウェアが SRSを満たすことの検証

6安全関連電気制御システムの設計とインテグレーション

機械とともに納入する SRECSの使用のための情報に対する要求事項を規定する．つぎを含む．　・使用者マニュアルと手順書の準備　・保全マニュアルと手順書の準備

7機械の使用のための情報

8安全関連電気制御システムの妥当性確認

SRECSに適用する妥当性確認過程の要求事項を規定する．つぎを含む．　・ SRECSが SRSに規定される要求事項を満たすことを確認するための検査と試験

SRECSを変更するとき，適用しなければならない変更手順に関する要求事項を規定する．つぎを含む．　・すべての安全関連電気制御システム（SRECS）に対する変更は，変更前に適切　　にレビューし，検証する．　・どのような変更がなされた後でも，SRECSの SRSは満たされる．

9安全関連電気制御システムの変更

1 概念

すべての対象範囲の定義

潜在危険およびリスク解析

すべての安全要求事項

安全要求事項の割り当て

すべての計画の作成すべての運用および保全計画

すべての安全妥当性確認計画

すべての設置および引渡し計画

安全関連系：E／E／PE

安全関連系：その他の技術

外的リスク軽減施設

実現 実現実現（E／E／PES安全ライフサイクル参照）

2

3

4

5

すべての設置および引渡し12

すべての安全妥当性確認13

すべての運用，保全および修理14 すべての部分改修

および改造15

使用終了または廃却

適切な安全ライフサイクルフェーズに戻る

16

表 2 SILを定義する安全関連制御機能の 目標 PFHD

SIL PFHD

1 10－6 ≦PFHD＜10－5

2 10－7 ≦PFHD＜10－6

3 10－8 ≦PFHD＜10－7

382

安 全 工 学

　IEC 62061機械の機能安全規格の概要　

全側故障率を mS，危険側故障率を mDとするとコンポーネントの故障率 mは　　m＝mS＋mD

であるが　　PHFD＝mD×1h

と評価する．ところで，一般に直列系・並列（冗長）系の故障率

は図 3に示す関係がある 5）．この関係を使って，IEC

62061に示されている式（ 1 ）～（ 4 ）を見てみる．図 4は直列系なので，故障率の和をとればよいか

ら　　mDssA＝mDe1＋ … ＋mDen

（ 1 ）　

　　PFHDssA＝mDssA×1h

となる．並列系は，共通原因故障を考慮すると図 5

となる．これは，並列系の部分（第 1項）に共通原因故障の項が直列に加わったので　　mDssB＝（1－b）2×mDe1×mDe2×T1

＋b（mDe1＋mDe2）／ 2

⎫｜⎬｜⎭

（ 2 ）　　　PFHDssB＝mDssB×1h

となる．ここで，T1はプルーフテスト間隔であるプルーフテストとは，SRECSに対して定期的に実施される点検で，すべての故障が検出される（と仮定されている）．また図 6のように自己診断が T2間隔で行われ，危

険側故障が割合 DCで検出できるならこのコンポーネントの検出される危険側故障率は mDD＝mD×DCとなり，検出されない危険側故障率は mDU＝mD×（1－DC）となる＊．したがって

　　mDssC＝mDe1（1－DC 1）＋　　　　　 … ＋mDen（1－DCn）

⎫｜⎬｜⎭

（ 3 ）　　　PFHDssC＝mDssC×1h

が得られる．自己診断間隔 T2を仮定したが，直列系では結果には関係しない．さらに，図 7のように，つまりプルーフテストが

T1間隔，自己診断が T2間隔で行われるコンポーネントが並列系になっており，その共通原因故障も考慮する場合は　　mDssD＝（1－b）2｛［mDe1×mDe2（DC1+DC2）］×T2／2

　　　 　＋［mDe1×mDe2（2－DC1－DC2）］×T1／2｝　　　 　＋b（mDe1＋mDe2）／2

　　PFHDssD＝mDssD×1h

（ 4 ）　となる．この式の理解には多少解析的に考察する必要があるが，第 1項が自己診断，第 2項がプルーフテスト，第 3項が共通原因故障による項であることは理解できる．詳細は JIS B 9961の附属書 JBに記述されている．

PFHDは信頼性の指標であるからその計算にコンポーネントの信頼性データである故障率 mを用いることになるが，機械の分野ではデータが整っていない．しかし、今後は ISO 13849においても PLの評価に，MTTBF, B10dなどの信頼性データが必要となる．規格では，MIL─HDBK 217F，シーメンス社の SN 29500

を紹介しているが，わが国も自前のデータベースを構築することを視野に入れてもよいだろう．

図 3　直列系・並列（冗長）系の平均故障率

A

B

A B

msys＝ma＋mb

直列系msys＝mambT並列（冗長）系

msys，ma，mb：系，コンポーネント a，bの故障率 T：テスト間隔

図 4　直列系の論理的表現

サブシステム要素 1m De1

サブシステム要素 nm Den

サブシステム要素 1m De1（1－b）

サブシステム要素 2m De2（1－b）

共通原因故障 1）

b（m De1＋m De2）／2

図 5　共通原因故障を考慮した並列（冗長）系の論理的表現

サブシステム要素 1m De1

サブシステム要素 nm Den

診断機能

図 6　自己診断機能を有する直列系の論理的表現

サブシステム要素 1m De1（1－b）

診断機能

サブシステム要素 2m De2（1－b）

共通原因故障 1）

b（m De1＋m De2）

図 7　共通原因故障を考慮した自己診断機能 を有する並列（冗長）系の論理的表現

　＊　 DDは Dangerous Detected, DUは Dangerous Undetectedの頭文字である．

383

Vol. 48　No. 6（2009）

　IEC 62061機械の機能安全規格の概要　

6.　ISO 13849との関係と今後の展開

この規格は機械類の安全関連部の規格であり，実質的に制御システムの安全関連部の規格 ISO 13849と同じである．両規格の適用範囲の違いは 3章で述べたとおりであり，油圧によるものなど片方の規格でしか扱えないものもあるが，両方の規格で適用可能なものが多い．リレー，コンタクタ，PLCを用いた回路などはその典型である．ここでは，SILと ISO 13849で規定される PLの関係と ISOと IECにおける両規格に対する動きについて記述する．

6.1　SILと PLの関係安全度水準は PFHDで規定されており，ISO 13849

の PLは 1時間当たりの危険側故障の平均確率で定義されているが，これは従来のカテゴリーに信頼性の指標であるMTTFdなどを加味して求められる＊1．どちらも同等な指標であり，両者の関係は表 3で示される．

6.2　共通附属書作成の動き両規格は適用範囲の重なり，現場ではどちらを使用

するか判断に迷うことが予想された．その対応として，ISO 13849を担当する ISO／TC 199と IEC 62061を担当する IEC／TC44の合同チームが作られ，共通の附属書を作成して，使い分けのガイドを作成する作業が始

まった．その最初のアウトプットとして，両規格を比較および可動ガードによる動力遮断制御回路に関する計算結果の比較・考察した文書が，TR（Technical

Report，技術報告書＊2）のドラフト 6）として出された．このなかで，可動ガードの位置を二つのポジションスイッチで検知し＊3，安全モジュールで処理しコンタクタを制御することで，ガード開のときにモータへの動力を遮断する制御回路（図 8）について，両規格による比較が行われた．ISO 13849の手順にしたがって評価した結果は平均危険側故障確率 2 . 70× 10－8で PL

＝ e，一方 IEC 62061の手順に従って評価した結果は

　＊ 1　 なお，条項上は，制御システムの安全関連部が同規格に示される指定アーキテクチャの構成でなくとも，1時間当たりの危険側故障の平均確率が同規格の表 3に該当することを示せれば PLを主張できると思われる．4 . 2 . 2の表 1と 4 . 5 . 1の関係が必ずしも明快ではない．

　＊ 2　 ISO／IECでの位置付けは「まったくの参考」である（ISO／ IEC専門業務指針第 1部，3 . 3 . 1）．

　＊ 3　 可動ガードの位置は，おのおののポジションスイッチの状態（押し込まれている・押し込まれていない）の組合せから判別できる．

図 8　比較検討回路（IEC／TR 62061─1／Ed. 1：2009 6）の Fig . 1）

可動ガード Ｌ

Ｂ2

K1

S1

Q1 Q1

Q1

Q2 Q2

Q2

E

L L

M

Ｂ1a

⇒

b

c

d

shown in actuated position

3　

⇒

表 3　SILと PLの関係

ISO 13849 IEC 62061

PL　　 1時間当たりの危険側故障の平均確率注

SIL　　PFHD

a　　≧10－5 to＜10－4 PL＝aに該当する SILは規定されていない

b　　 ≧3×10－6 to＜10－5

1　　10－6≦PFHD＜10－5

c　　≧10－6 to＜3×10－6

d　　≧ 10－7 to＜10－6 2　　10－7≦PFHD＜10－6

e　　 ≧10－8 to＜10－7 3　　10－8≦PFHD＜10－7

　注 英 語 は Average probability of dangerous failure per hour［1／h］であるが，規格内では省略形での記載はない．実質的には IEC 62061の PFHDと同じである．

384

安 全 工 学

　IEC 62061機械の機能安全規格の概要　

4 . 28× 10－8で SIL 3となった．どちらも 1時間当たりの危険側故障の発生確率であるから同じ結果になるべきものであるが，この TR案は，計算結果の数値の違いは予想していた程度であり，許容される程度であるとしている．また，共通原因故障の扱いの差異が「小さく許容できる差の原因となる」としている．今回の例では，PL＝e，SIL 3と同等のレベルとなったが，PL

＝d，SIL 3のように異なるレベルとなることも十分考えられる．このような状況は混乱を招くので，両手法の一層の整合化が望まれる．当面は共通の附属書の作成を目指しているが，将来

は両規格を統合して ISO／IEC共通規格とすることが計画されている．また，使用する故障率のデータによっても結果の差

が出る．信頼性のデータが整備されることが，ISO

13849，IEC 62061規格の適切な使用に欠かせない．この点は、産業界の共通の課題として整備をして頂きたい．

6.3　C規格での扱いの例IEC 62061は B規格であるので，C規格で引用され

ることになる．例えば，印刷機械の安全に関する規格である ISO 12643においては，つぎのように参照することで PLと SILの両方で規定している．ただし，油圧による安全制御部については，規格の適用範囲から，PLのみが規定されている．“Where cylinders have gaps that exceed those defined for

smooth cylinders （see ISO 12643─1）, trip nip bars, in

accordance with ISO 12643─1, should be used. Nip guards

shall not be used with these cylinders. For such trip guards,

the requirements of PLr d of ISO 13849─1 or SIL 2 of IEC

62061 shall be satisfied and the interlocking system shall be

designed such that the requirements for stopping paths

defined in ISO 12643─1 are satisfied.”（ISO／CD12643─2,

6 . 3 . 1）今後，多くの規格で引用されることになると思われ

るが，必ずしも PLと SILの両方が参照されるとは限らない．結果として，分野ごとの使い分けが出てくることも予想される．この過程を経て，さらに先の話として両規格の統合もありうると思われる．

7.　ま　　と　　め

従来の機械の安全制御部は，故障に対する耐性をカテゴリーで評価してきた．そこに，SILや PLという信頼性評価の指標が導入されてきた．これは大きな変更で，しばらくは戸惑いもあると思われる．しかし，

ISO 13849の改訂，IEC 62061の制定は，制御部に PLC

が広く使われるようになった現実から，ソフトウェアまで一貫して扱える規格が必要になったことの反映でもある．何回か記述したが，ISO 13849と IEC 62061の関係の整理は必要である．今後の両 TCの調整が望まれる．本稿は，IEC 62061の基本の流れと多少の現実の問

題点だけを記述したが，規定の詳細はまったく触れていない．本規格は，附属書まで含めて約 100ページであり，SRECSの有すべき SILの決め方，ハードウェアフォールトトレランスなどの構成上の要求あるいはEMCに関すること，系統的安全インテグリティ，ソフトウェア安全インテグレティなど多くの事項が規定されている．したがって，規格自体あるいは JIS B

9961を確認願いたい．また，同 JISの附属書 JA，JB

は「規定」ではなく「参考」であるが，規格の平易な解説となっており，理解にきわめて有用だと思われるので，ぜひ参照して頂きたい．この附属書は JIS化に際してわが国が独自に付けたものである．また，（社）日本電機工業会 PLC技術専門委員会が

「機械・設備の安全関連系エンジニアリングにおける機能安全認証の手引き」7）＊を発行している．この手引きは認証取得の視点から準備すべき文書を中心にまとめられており，認証取得だけでなく，設計に際してのチェックリストとしても役立つと思われる．今後，このような文書が蓄積されることを期待する．

参　考　文　献

　 1）　IEC62061：2005 “Safety of machinery─Functional safety of safety─related electrical, electronic and programmable electronic control systems”

　 2）　ISO13849─1：2006 “Safety of machinery─Safety─related parts of control systems─part 1： General principles for design”

　 3）　JIS B 9961：2006 “機械類の安全性―安全関連の電気・電子・プログラマブル電子制御システムの機能安全―”

　 4）　IEC61508 Series：1998─2000 “Functional safety of electrical／ electronic／programmable electronic safety─related systems”

　 5）　福田隆文：信頼性工学の数学的基礎―安全装置を中心として―，機械安全工学―基礎理論と国際規格―，pp. 15─61，養賢堂（2000）

　 6）　IEC／TR 62061─1／Ed . 1：2009 “Guidance on the application of ISO 13849─1 & IEC 62061 in the design of safety─related control systems for machinery”

　 7）　（社）日本電機工業会 PLC技術専門委員会：機械・設備の安全関連系エンジニアリングにおける機能安全認証の手引き（2009）

https：//www. jema-net.or. jp/jema/data/fs_indus05.pdf

　＊　 web上で無償で公開されている．