安全制御システムの設計 — PL/SILで定量化する制御安全
JIS B 9705-1とJIS B 9961が示すB規格の実務、安全PLC・安全リレーの選定まで
1 はじめに — なぜ「安全な」制御システムが必要か
機械を停止させるボタンを押した。しかし機械は止まらなかった。
これは仮定の話ではない。制御系の故障に起因する労働災害(以下、災害)は、厚生労働省の災害事例データベースに多数収録されている(1)。安全防護装置が故障すれば、3ステップメソッドの第2段階が崩壊し、作業者は危険源に直接曝露される。
安衛法第20条は、事業者に対して「機械等による危険を防止するため必要な措置」を講じることを義務づけている(2)。基発指針は、リスク低減の3ステップメソッドにおいて安全防護を本質的安全設計に次ぐ第2の手段と位置づけている(3)。安全防護の第一の手段は物理的なガード(JIS B 9716、ISO 14120 IDT(4))による隔離であり、ガードで対応できない場合に安全関連制御システムによる停止制御が組み合わされる。
本記事では、安全関連制御システムの設計に用いるB規格——JIS B 9705-1(パフォーマンスレベル)とJIS B 9961(安全度水準)——の核心を解説する。記事1で学んだA規格(JIS B 9700(5))の枠組みが、B規格においてどのように具体化されるかを理解することが目的である。
2 1. 安全関連制御システムの位置づけ
2.1 3ステップメソッドにおける役割
基発指針が定める3ステップメソッドは、次の優先順位でリスクを低減する(3):
- 本質的安全設計 — 危険源そのものの除去・低減
- 安全防護 — ガード(隔離、優先)および保護装置(停止制御)
- 使用上の情報 — 残留リスクの警告・表示
安全関連制御システムは、第2段階「安全防護」においてガード(隔離)を補完する従属的手段である(5)。具体的には、インターロック、緊急停止機能、安全関連の監視機能などがこれに該当し、ガードの機能を支える役割を果たす。機械の電気設備安全に関するJIS B 9960-1(IEC 60204-1 IDT)(6)も制御安全の実装において参照される。
2.2 ガード(隔離)と制御安全(停止)の関係
JIS B 9700が定める安全防護には優先順位がある(5):
| 優先度 | 分類 | 手段 | 規格 | 役割 |
|---|---|---|---|---|
| 第一 | ガード(隔離) | 固定ガード、可動ガード、安全距離 | JIS B 9716(ISO 14120 IDT)(4)、JIS B 9718(ISO 13857 IDT)(7) | 物理的に人と危険源を隔てる |
| 第二 | 保護装置(停止制御) | 安全関連制御システム | JIS B 9705-1(8)、JIS B 9961(9) | ガードで対応できない場合に、検出→判断→停止で保護する |
ガード(隔離)は安全防護の第一手段であり、物理的な壁で人と危険源を隔てる。制御安全(停止制御)は、ガードで対応できない場合やガードの機能を支えるために用いられる従属的手段である(5)。
たとえばプレス機では、作業者の手が挟まれる領域に物理ガードを設置し(隔離)、ガードが開かれたことをインターロック装置(JIS B 9710、ISO 14119 IDT(10))で検知して機械を停止させる(停止制御)。この例が示すように、制御システムの役割はガードの開閉に連動して機械を安全状態にすることであり、ガードの運用を支える手段として機能する(8)。なお、保守時のガード無効化リスクに対しては、LOTO(ロックアウト・タグアウト)等の管理的手段で対処する。
2.3 A規格からB規格への参照関係
ISO/IECガイド51は安全規格を3段階の階層に分類しており(11)、ISO 12100(12)を具体化したJIS B 9700(A規格)は安全関連制御システムについて「適切な安全機能を果たすために十分な信頼性を持つこと」を求めている(5)。しかしA規格は「十分な信頼性」の具体的な定量基準を定めていない。
その定量基準を示すのがB規格の役割である:
- JIS B 9705-1:2019(ISO 13849-1:2015 IDT)— パフォーマンスレベル(PL)で定量化
- JIS B 9961:2015(IEC 62061:2005 IDT)— 安全度水準(SIL)で定量化
両規格はいずれも、安全関連制御システムの「1時間あたりの危険側故障確率」(PFHd)を共通の定量指標として用いる。アプローチは異なるが、最終的に「この制御系がどれだけ信頼できるか」を数値で示す点で一致している。
どちらの規格を使うか: 安全リレーモジュール等の既製品中心であればJIS B 9705-1(PL)、安全PLCを用いた複雑ロジックであればJIS B 9961(SIL)が基本的な選択基準となる。詳細な判断フローは§4で解説する。
3 2. JIS B 9705-1 — パフォーマンスレベル(PL)
JIS B 9705-1:2019(ISO 13849-1:2015 IDT)は、あらゆる技術(電気、機械、油圧、空気圧)の安全関連制御システムに適用可能なB2規格である(8)。
3.1 PLの5段階
パフォーマンスレベル(Performance Level, PL)は、安全関連制御システムが危険側故障を起こす確率に基づく5段階の等級である:
| PL | PFHd 範囲 | 定性的説明 | 適用例 |
|---|---|---|---|
| a | ≥ 10−5 〜 < 10−4 /h | 最低限 | 単純な手動停止装置 |
| b | ≥ 3×10−6 〜 < 10−5 /h | 標準的 | 一般的な安全監視 |
| c | ≥ 10−6 〜 < 3×10−6 /h | 高い | 中程度のリスクの機械 |
| d | ≥ 10−7 〜 < 10−6 /h | 非常に高い | 高リスクの機械 |
| e | ≥ 10−8 〜 < 10−7 /h | 最高 | 極めて高リスクの機械 |
PFHd(Probability of dangerous Failure per Hour)は「1時間あたりの危険側故障確率」を意味する(13)。PL eの制御系は1,000万時間(約1,140年)に1回の頻度でしか危険側故障が発生しないことを意味し、極めて高い信頼性が要求される。
3.2 必要パフォーマンスレベル(PLr)の決定
設計者はまず、リスクアセスメントの結果に基づいて必要パフォーマンスレベル(PLr)を決定する。リスクアセスメントの手法はISO 31010(14)やJIS B 9702(15)で体系化されており、JIS B 9705-1はその結果をリスクグラフに入力する方法を示している(8):
┌─ P1(軽傷)─── F1(低頻度)── PLr a
S1 ──┤ └── F2(高頻度)── PLr b
└─ P2(重傷)─── F1 ──────────── PLr b
└── F2 ──────────── PLr c
┌─ P1 ─── F1 ──────────── PLr c
S2 ──┤ └── F2 ──────────── PLr d
└─ P2 ─── F1 ──────────── PLr d
└── F2 ──────────── PLr e- S (Severity): 傷害のひどさ(S1: 軽傷、S2: 重傷〜死亡)
- F (Frequency): 危険状態への曝露頻度(F1: まれ〜少ない、F2: 頻繁〜連続)
- P (Possibility): 危険回避の可能性(P1: 可能、P2: 不可能)
製鉄所の連続鋳造機のように、重傷の可能性があり(S2)、作業者が頻繁に危険区域に入り(F2)、回避が困難な(P2)場合、PLr eが要求される。日本機械工業連合会のRA指針では、このパラメータ体系を「S/F/P方式」として解説しており(16)、厚生労働省のRA実施マニュアルでも同様の枠組みが推奨されている(17)。
3.3 カテゴリ(指定アーキテクチャ)
PLを達成するために、制御システムのハードウェア構造として5つのカテゴリが定義されている(13):
| カテゴリ | アーキテクチャ | HFT | 診断 | 達成可能PL |
|---|---|---|---|---|
| B | 基本構造、冗長化なし | 0 | なし | b |
| 1 | B + 実証済みコンポーネント使用 | 0 | なし | c |
| 2 | 単一チャンネル + テスト機能 | 0 | あり | d |
| 3 | 冗長化(2チャンネル)+ 診断 | 1 | あり | e |
| 4 | 完全冗長化 + 高度な診断 | 1+ | 高度 | e |
HFT(Hardware Fault Tolerance)は「何個の故障まで安全機能を維持できるか」を示す。カテゴリ3以上は冗長化(2チャンネル構成)により、1つの故障が発生しても安全機能が失われない設計を要求する。
3.4 PL決定の3パラメータ
カテゴリを選定した後、以下の3パラメータを評価してPLを算出する(8):
MTTFd(Mean Time To dangerous Failure) — 危険側故障の平均寿命:
| 分類 | MTTFd範囲 | 説明 |
|---|---|---|
| Low | 3〜10年 | 基本的な構成部品 |
| Medium | 10〜100年 | 産業標準の構成部品 |
| High | 100〜2,500年 | 高信頼性の構成部品 |
DCavg(Average Diagnostic Coverage) — 平均診断網羅率:
| 分類 | DCavg範囲 | 説明 |
|---|---|---|
| None | < 1% | 診断なし |
| Low | 1〜60% | 基本的な診断 |
| Medium | 60〜90% | 標準的な診断 |
| High | 90〜99% | 包括的な診断 |
CCF(Common Cause Failure) — 共通原因故障対策:
冗長化されたシステムでも、共通の原因(電源障害、温度、EMC等)で両チャンネルが同時に故障するリスクがある。JIS B 9705-1 附属書Fのチェックリスト(100点満点)で65点以上を確保する必要がある(13)。対策要素には物理的分離、コンポーネントの多様性、環境保護、保守手順の整備が含まれる。CCF対策の評価にあたっては、故障モード影響分析(FMEA、IEC 60812(18))の結果を活用することが推奨される。
3.5 PL決定の流れ
PLr決定(リスクグラフ)
↓
カテゴリ選択(B, 1, 2, 3, 4)
↓
MTTFd評価 → DCavg評価 → CCF評価
↓
附属書K(旧附属書E)の表を参照 → PL算出
↓
PLr ≤ 達成PL?
├─ Yes → 設計適合
└─ No → カテゴリ変更 or コンポーネント変更4 3. JIS B 9961 — 安全度水準(SIL)
JIS B 9961:2015(IEC 62061:2005+Amd IDT)は、IEC 61508(汎用機能安全規格)を機械分野に特化させたB2規格である(9)。2021年に国際規格IEC 62061の第2版が発行されたが、JIS化は未完了であり、現行JISは2005年版ベースである。
参考: IEC 62061:2021(未JIS化)では、テクノロジー範囲の拡大、Software Levelの導入、サイバーセキュリティ要件の追加など、大幅な改訂が行われている(19)。
4.1 SILの3段階
安全度水準(Safety Integrity Level, SIL)は、IEC 61508で定義される4段階(SIL 1〜4)のうち、機械分野ではSIL 1〜3の3段階を使用する(20):
| SIL | PFHd 範囲 | リスク低減度 | 適用例 |
|---|---|---|---|
| 1 | ≥ 10−6 〜 < 10−5 /h | 基本 | 標準的な安全機能 |
| 2 | ≥ 10−7 〜 < 10−6 /h | 中程度 | 中リスクの機械 |
| 3 | ≥ 10−8 〜 < 10−7 /h | 高度 | 高リスクの大型設備 |
SIL 4は原子力や航空宇宙分野で用いられ、一般的な機械安全の範囲外である(20)。
4.2 PFHd — 危険側故障確率
JIS B 9961もJIS B 9705-1と同じくPFHdを定量指標とする(9)。ただしアプローチが異なる:
| 項目 | JIS B 9705-1 | JIS B 9961 |
|---|---|---|
| レベル体系 | PL a〜e(5段階) | SIL 1〜3(3段階) |
| PFHd決定 | 附属書Kの表(カテゴリ×MTTFd×DCavg→PL) | サブシステム分割→各PFHd計算→合算 |
| 設計アプローチ | カテゴリ選択が中心 | サブシステムアーキテクチャ選択 |
4.3 サブシステムアーキテクチャ
JIS B 9961では、安全制御システムをサブシステムに分割し、各サブシステムのSILを以下の3要素で決定する(19):
HFT(Hardware Fault Tolerance):
- HFT = 0: 故障許容なし(単一チャンネル)
- HFT = 1: 1つの故障まで許容(冗長構成)
SFF(Safe Failure Fraction):
\[ SFF = \frac{\lambda_{SD} + \lambda_{DD}}{\lambda_{T}} \times 100\% \]
- λSD: 安全側検出故障率
- λDD: 危険側検出故障率
- λT: 全故障率
4つのサブシステムアーキテクチャ:
| タイプ | 構造 | 達成可能SIL |
|---|---|---|
| A | 単純構造、HFT = 0 | SIL 1 |
| B | 部分的冗長化 | SIL 1〜2 |
| C | 冗長化 + 診断 | SIL 2〜3 |
| D | 高度冗長化 + 高度診断 | SIL 3 |
5 4. 両規格の比較と選定基準
5.1 基本的な違い
| 観点 | JIS B 9705-1 | JIS B 9961 |
|---|---|---|
| 安全レベル指標 | PL(5段階: a〜e) | SIL(3段階: 1〜3) |
| 対象技術 | 全技術(電気・機械・油圧・空気圧) | 電気/電子/プログラマブル(※2021版で油圧・空圧追加) |
| 設計焦点 | 既製安全部品の選定・組合せ | システム全体の論理設計 |
| 上位規格 | JIS B 9700 | IEC 61508(→JIS B 9961) |
| ライフサイクル | 設計フェーズ中心 | 概念〜廃棄まで全フェーズ |
| FSM計画 | 推奨 | 必須(IEC 62061:2021) |
5.2 PL-SIL対応表
両規格の指標はPFHdを共通基盤として以下のように対応する[(9)](8):
| PL | PFHd 範囲 | 対応SIL | 対応度 |
|---|---|---|---|
| a | ≥ 10−5 〜 < 10−4 | — | SIL対象外 |
| b | ≥ 3×10−6 〜 < 10−5 | SIL 1 | おおむね対応 |
| c | ≥ 10−6 〜 < 3×10−6 | SIL 1 | PFHd範囲が重なる |
| d | ≥ 10−7 〜 < 10−6 | SIL 2 | ほぼ対応 |
| e | ≥ 10−8 〜 < 10−7 | SIL 3 | 対応 |
注意: PFHdの数値範囲は完全に一致しない。特にPL a/bとSIL 1の境界は曖昧であり、両規格の評価方法の違いに起因する(19)。同一の安全機能に対して両規格を混用することは避けるべきである。
5.3 選定の判断基準
JIS B 9705-1を選ぶ場合(13):
- 機械・電気・油圧の混合システム
- 安全リレーモジュール等の既製品中心の構成
- 比較的シンプルな安全機能
- 既存機械への安全装置後付け
- PLr c以下の要件
JIS B 9961を選ぶ場合(19):
- 安全PLC(Safety PLC)を使用するシステム
- 複雑な制御ロジック(多数の入出力、条件分岐)
- SIL 2〜3レベルの高い要件
- 全ライフサイクル管理が要求される大型設備
- プログラマブル電子系が中心
混用ルール: 同一の安全機能に対して両規格を併用してはならない。ただし、1つの機械の中で独立したサブシステムごとに異なる規格を適用することは許容される(9)。
機械安全設計開始
↓
リスクアセスメント → PLr / SILr 決定
↓
制御システムの構成は?
├─ 安全PLC / 複雑ロジック → JIS B 9961(SIL)
├─ 安全リレー / シンプル → JIS B 9705-1(PL)
└─ 混在構成 → サブシステムごとに選択5.4 2021/2023改訂による両規格の接近
ISO 13849-1:2023(第4版)とIEC 62061:2021(第2版)は、以前の版と比較して大幅に接近している[(13)](19):
| 改訂ポイント | 旧版での状況 | 新版での変化 |
|---|---|---|
| テクノロジー範囲 | 明確に分かれていた | 両規格とも全技術対応 |
| サブシステム概念 | ISO側のみ | 両規格で統一・明示化 |
| 用語体系 | 規格間で相違 | ほぼ統一 |
| Category 2 | 定義が不明確 | ISO 13849で最適化・明確化 |
| 相互認証 | 困難 | 向上(移行が容易に) |
この接近により、規格選択の判断はより合理的になり、設計者の負担が軽減されつつある。ただし現行のJIS(JIS B 9705-1:2019、JIS B 9961:2015)は旧版ベースであり、最新の国際規格とのタイムラグに留意が必要である。
6 5. 安全PLC vs 安全リレー
安全関連制御システムの実装においては、安全PLCと安全リレーモジュールの2つの選択肢がある[(21)](22)。
6.1 安全PLC(Safety PLC)
| 項目 | 内容 |
|---|---|
| 適用規格 | JIS B 9961(主)+ JIS B 9705-1(補助) |
| 対応レベル | SIL 3 / PL e まで |
| 制御複雑度 | 高(多入力・多出力、複雑な論理) |
| 通信 | EtherCAT Safety, PROFIsafe, CIP Safety等 |
| 初期コスト | 高(数十万〜数百万円) |
| 変更容易性 | ソフトウェア更新で対応可能 |
| 認証 | TUV等の第三者認証が一般的 |
安全PLCは標準PLCとは異なり、IEC 61508に基づく冗長化された演算ユニット、クロスチェック機能、認証済みファンクションブロックを備える(20)。プログラム変更で安全ロジックを柔軟に更新できることが最大の利点である。なお、安全PLCのネットワーク接続にあたっては、産業用制御システムのサイバーセキュリティ規格IEC 62443(23)への適合が求められる場面が増えている。
6.2 安全リレーモジュール
| 項目 | 内容 |
|---|---|
| 適用規格 | JIS B 9705-1(主)+ JIS B 9961(補助) |
| 対応レベル | PL e / SIL 3 まで(製品依存) |
| 制御複雑度 | 低〜中(定型的な安全機能) |
| 通信 | ハードワイヤード(有接点) |
| 初期コスト | 低(数千〜数万円/モジュール) |
| 変更容易性 | 配線変更が必要(柔軟性低) |
| 認証 | 製品として認証済み(追加認証不要) |
安全リレーモジュールは、あらかじめ認証された完成品として供給されるため、設計者はシステム全体のアーキテクチャ認証を取得する必要がない(21)。緊急停止回路、安全扉監視、両手操作制御等の標準的な安全機能に適している。
6.3 選定判断マトリックス
| シナリオ | 制御複雑度 | リスク水準 | 推奨 | 主な理由 |
|---|---|---|---|---|
| 単純な緊急停止 | 低 | 低〜中 | リレー | コスト効率、認証不要 |
| 標準的な安全扉監視 | 中 | 中 | リレー | 既製品で対応可能 |
| 多数の安全機能統合 | 高 | 中〜高 | PLC | 配線簡素化、一元管理 |
| SIL 3要件の大型設備 | 高 | 高 | PLC | 高SIL対応、全ライフサイクル管理 |
| 将来の仕様変更が見込まれる | 中〜高 | 中 | PLC | ソフト更新で対応可能 |
7 6. 設計事例
7.1 事例1: 緊急停止システム(安全リレー構成)
条件: 小型加工機械。作業者が常時機械近傍で作業。PLr d。
[非常停止ボタン] ─┐
├→ [安全リレーモジュール] → [コンタクタ] → モータ停止
[安全扉スイッチ] ─┘ (Category 3) (冗長)- 規格: JIS B 9705-1、Category 3
- 構成: 非常停止ボタン(NC接点2系統)+ 安全リレーモジュール + 冗長コンタクタ
- PL達成: d(MTTFd High, DCavg Medium, CCF 70点)
- 概算費用: 5〜15万円
7.2 事例2: ロボットセル安全システム(安全PLC構成)
条件: 産業用ロボット3台を含む自動化セル。複数の安全扉、光カーテン、安全マット。SIL 2(PLr d相当)。
[安全扉×4] ─┐
[光カーテン×2] ─┼→ [安全PLC] → [安全I/O] → 各ロボット停止
[安全マット×2] ─┤ → コンベヤ停止
[非常停止×6] ─┘ → エア遮断弁- 規格: JIS B 9961、SIL 2
- 構成: 安全PLC + 分散安全I/Oモジュール + PROFIsafe通信
- SIL達成: 2(HFT = 1, SFF > 90%, PFHd = 3.5×10−7 /h)
- 概算費用: 50〜150万円
安全PLCを採用することで、入力16点・出力8点の安全ロジックを1台で統合管理できる(19)。配線本数は安全リレー構成と比較して約60%削減され、変更時の柔軟性も確保される。
8 7. IEC 61508との関係
本記事で扱ったJIS B 9705-1とJIS B 9961は、いずれも機械分野に特化したB規格である。その上位には、あらゆる産業分野に適用可能な汎用機能安全規格IEC 61508が存在する(20)。
IEC 61508(汎用機能安全)
├── JIS B 9961(IEC 62061)── 機械分野
├── IEC 61511 ─────────── プロセス産業
├── IEC 62279 ─────────── 鉄道
└── IEC 61513 ─────────── 原子力IEC 61508はSIL 1〜4の4段階を定義し、安全ライフサイクル全体の管理を要求する(20)。記事3で論じた低頻度・高重篤度リスクへの対応では、LOPA(Layer of Protection Analysis)(24)によるSIL決定が重要な役割を果たす。プロセス産業ではIEC 61511(25)が、機械分野ではJIS B 9961が、それぞれIEC 61508を具体化した規格として機能している。SIL要件を導くHAZOP(IEC 61882(26))やLOPAの手法と組み合わせることで、リスクに比例した制御安全の設計が可能となる。
9 8. 安全関連制御システムの再評価
設計段階でPLやSILを達成しても、運用段階で条件が変化すれば再評価が必要となる。IEC 62061:2021は安全ライフサイクル全体の管理を求めており(19)、JIS B 9705-1:2019も変更管理の必要性を規定している(13)。
| 再評価トリガー | 具体例 | 確認すべき事項 |
|---|---|---|
| 設備の改造・増設 | ライン増設、機構変更 | リスクパラメータ(S/F/P)の再評価、PLr/SILrの再決定 |
| 安全部品の変更 | リレー型番変更、PLC更新 | MTTFd・DC・CCFの再計算、PL/SIL達成の再検証 |
| 運転条件の変更 | 生産速度変更、新素材導入 | 曝露頻度(F)・危険回避可能性(P)の見直し |
| 経年劣化・摩耗 | 接点摩耗、センサ劣化 | 診断試験間隔の妥当性、MTTFdの実績検証 |
| 災害・ヒヤリハットの発生 | 安全機能の作動不良 | 故障モード分析、根本原因に基づく設計見直し |
| 規格改訂 | ISO 13849-1:2023発行 | 新要件への適合性確認、移行計画の策定 |
再評価を怠り設計時の前提条件が崩れたまま運用を続けることは、安衛法第20条が求める「必要な措置」の不履行につながりうる(2)。厚労省は事業場における安全教育(27)の中で、安全関連制御システムの適切な管理を事業者の責務として位置づけている。
10 おわりに — 「定量化」が安全設計にもたらすもの
本記事で確認したように、JIS B 9705-1とJIS B 9961は、安全性を「勘と経験」ではなく定量的な指標で評価・設計するための方法論を提供する。PLrやSILrという目標値を設定し、カテゴリやサブシステムアーキテクチャを選択し、MTTFdやPFHdで検証する——この体系的プロセスが、基発指針が求める「合理的に実行可能な範囲でリスクを低減する」ことの技術的実現である(3)。
定量化の意義は、判断の透明性にある。「この安全機能は十分か」という問いに対して、PLやSILは合否判定の基準を明示する。設計者の主観に依存しないこの透明性こそが、リスクマネジメントの国際規格ISO 31000(14)の精神を技術的に実現するものであり、B規格が現場に提供する最大の価値である[(8)](9)。
次の記事5では、製鉄所という具体的な産業現場において、本記事で学んだ制御安全がどのように適用されるかを実例とともに論じる。製鉄所特有の多法令環境、プロセス間インターフェースの危険源、設備老朽化の課題は、安全制御システムの設計にどのような特殊要件をもたらすのだろうか。