機能安全とは
機能安全は、システムが正しく働くことによって確保できる安全の実現を意味します。システムや設備は、事故や損傷の危険の度合いを評価した安全度水準などのレベルを満たして動作できなければなりません。
アクティブセーフティ(能動的安全)
アクティブセーフティ(能動的安全)とは、事故や危険を未然に防ぐための対策や設計が行われたシステムのことです。危険が発生しないように、システムの動作にあらかじめ予防措置を講じます。
機能安全におけるアクティブセーフティでは、センサ・アクチュエータ・コントローラの状態を継続して監視し、潜在的な故障や危険を検出して実際の事故につながらないよう予防する安全機能を実装します。これらの機能は、ソフトウェアやハードウェアにも多く組込まれており、機能安全の基本規格であるIEC 61508や、そこから派生したISO 26262などの安全規格によって規定されています。
パッシブセーフティ(非相互作用)
パッシブセーフティ(受動的安全)とは、事故や危険が起こった場合に損傷や被害を最小限に抑える対策や設計が行われたシステムのことです。危険を未然に防ぐのではなく、発生した後の危険を軽減することに着目するものです。
機能安全におけるパッシブセーフティでは、危険が発生することを前提として、発生したときに安全に故障するフェールセーフを行います。例えば、機器の故障を検出すると安全な状態に移行したり、停止したりするものがこれに当たります。サブシステム故障時にその機能を替わりに継続する冗長化システムも、パッシブセーフティの一部です。
機能安全機器で問題となるのは、供給電圧が遮断されているにもかかわらず、センサ電源USからアクチュエータ電源UAの出力側に電圧が印加されてしまうという、理論上の誤動作が起きます。
このため、ifmではこのような矛盾した動作が起きないよう、IO-Linkシステムに接続されたアクチュエータ電源(UA)の単一故障を安全遮断する製品を開発しました。これは、機能安全のアプリケーションの技術要求に対応する設計コンセプトとなっています。影響を受ける製品の設計を見直し、関連故障メカニズムを確実に排除するよう改良されています。これにより、安全機能が必要な環境での危険を排除して信頼性の高い機器動作を確保すると共に、安全関連のあらゆる規格・ガイドラインに適合できます。
IO-Linkマスタ/Ethernetモジュールの遮断
IO-LinkマスタやEthernetモジュールに接続したアクチュエータ電源UAの安全遮断をアニメーションでご覧いただけます。保護区域への立入で非常停止ボタンが押された場合などに、セーフティリレーや安全コントローラ(F-PLC)がUAからモジュールへの電源供給を遮断します。接続中のアクチュエータは、バルブによる切替えができなくなるため安全状態が確保されます。
IO-Linkモジュールの遮断
ifmでは、フィールドバスモジュール以外にも、機能安全要求に対応するIO-Linkモジュールを提供しています。このIO-Linkモジュールの例では、2つに分離されたアクチュエータ電源(UAL/UAR)があります。これにより、2通りの安全コントローラ(F-PLC)の遮断条件を保存することが可能です。UALまたはUARを遮断することにより、バルブの切替えも防止します。
IO-Linkシステムの中には、「パッシブセーフティ」という用語が頻繁に使われることがあります。この場合は、従属故障による理論的な障害が発生する可能性を排除する設計を指しますが、機能安全のパッシブセーフティ(受動的安全)としばしば混同されることがあります。IO-LinkマスタやIO-Link製品、IO-LinkのI/Oモジュールは機能安全の要件を満たす設計になっていません。また、これらは機能安全評価の対象外の製品となるため、安全関連製品に要求される所定のプロセスや手順に従った開発を行っていません。
こうした製品を、アクチュエータを安全に停止させる必要のある機能安全のアプリケーションで使用する場合は、部品が安全機能の性能や効果を阻害したり、無効化したりしないことが非常に重要です。このため、ifmでは、パッシブセーフティ(受動的安全)という用語を意図的に使用しないようにし、非相互作用型(non-interaction)や障害除外型(fault exclusion)などの用語を使って明確に区別しています。
ifmのAL1シリーズ(IO-Linkマスタ)、AL2シリーズ(IO-Link I/Oモジュール)、AL43シリーズのI/Oモジュールは、各製品ページの「ドキュメントとダウンロード」から、セーフティリレーや適合機器を使用した非干渉型アクチュエータ電源遮断システムの設定方法についてのドキュメントを提供しています。