法令 安全衛生情報センター:ホームへ
ホーム > 法令・通達(検索) > 法令・通達

工作機械等の制御機構のフェールセーフ化に関するガイドラインの運用上の
留意事項について

改正履歴
		
                                                                                    内翰
                                                                          平成10年7月28日

  標記については、平成10年7月28日付け基発第464号をもって通達されたところであるが、運用上の留意
事項を別添のとおりとりまとめたので、了知の上、関係者に対する指導に遺憾のないようにされたい。
  なお、別紙1及び別紙2により関係団体あて通知したので了知されたい。


「工作機械等の制御機構のフェールセーフ化に関するガイドライン」の運用上の留意事項 

「1  総則」について
  (1) 趣旨
      ガイドラインで対象とする工作機械とは、JIS B0105に定める旋盤、ボール盤、中ぐり盤、フライ
    ス盤、平削り盤、形削り盤、立削り盤、ブローチ盤、金切り盤・切断機、研削盤、表面仕上盤、歯切
    り盤、歯車研削盤、歯車仕上盤、特殊工作機械及びその他の工作機械をいう。
      ガイドラインで対象とする成形機とは、射出成形機(労働安全衛生規則第147条)、圧縮成形機、
    押出し成形機等をいう。
      「これらの設備と一体となって使用される搬出入装置」には、製品の自動供給装置、自動排出装置、
    コンベヤ、ストッカ、フィーダ等が含まれる。
      また、「一体」とは、次のような場合が該当する。
    [1] 複数の機械の可動部の運転領域が重なる場合
    [2] 複数の機械の制御系の間で情報のやり取りがある場合
        ガイドラインの主な対象は工作機械であるが、制御回路の不都合に起因して発生する労働災害は、
      工作機械や成形機と一体となって使用される搬出入装置において多く発生していることから、ガイ
      ドラインでは、これらの機械を包括的に工作機械等としてとらえたものである。
        ガイドラインは、制御機構のフェールセーフ化に関する原則や手法について示したものであるが、
      一部、高信頼化設計とタンパレジスト設計(作業者による意図的な安全スイッチ等の無効化を防止
      するための設計)についても示している。
        高信頼化設計について示しているのは、フェールセーフな制御機構の信頼性が低いと機械が停止
      する頻度が高くなり、実用上問題が起こるためである。
        また、タンパレジスト設計について述べているのは、我が国では、安全関連機器の無効化によっ
      て災害に至る場合が多いためである。
        「開発、設計、製造及び改造等に携わる者」とは、ガイドラインが工作機械等の設計者や製造者
      だけでなく、すでに購入した工作機械等の制御機構を改造する生産技術者や安全担当者も対象とす
      る趣旨である。
  (2) フェールセーフ技術の意義
      安全確認システムとは、安全が確認されているときに限り機械の運転を許可する制御システムであ
    り、次の機能をすべて持つものである。
    [1] 安全か否かを判断するために、あらかじめ定めた安全の条件(例えば、作業者が機械の可動範囲
      内に侵入していない、機械が暴走していないなど)が満足されているかどうかを機械側で確認する
      機能
    [2] 安全の条件を満足しているときに限り、機械の運転を許可する機能
    [3] 安全の条件が満足できなくなったときは、機械の運転を開始させないか又は直ちに機械の運転を
      停止させて、作業者の安全を確保する機能
        例えば、産業用ロボットの可動範囲内に「人がいない」かどうかを安全装置によって常時確認し、
      可動範囲内に「人がいない」ことが確認できるときに限りロボットの運転を許可し、可動範囲内に
      「人がいない」ことが確認できなくなったときは、直ちにロボットの運転を停止するシステムなど
      は、安全確認システムの典型的な例である。
        図1は、ロボットを例とする安全確認システムの例である。
        図2は、インターロックガードを開いたときに電源が遮断されるように安全スイッチを設けた例
      であるが、このスイッチは、図2(a)のように使用されると、接点が接点溶着を起こしたり、バネ
      が破損したり、摺動部が引っかかったりした場合は、接点が閉じたままになるおそれがあるため、
      ガードが開いているにもかかわらず機械が運転を開始してしまう。これは、接点がバネの力だけで
      開く構造となっているからである。

      注)スイッチには、作業者による意図的な無効化を防ぐために、覆いを設ける必要がある。

        これに対し、図2(b)のようにガードの蝶番点にカムを取り付け、ガードが開いたときはカムの
      作用によって接点を直接切り離す構造とすれば、仮に接点溶着やバネの破損、摺動部の引っかかり
      等が生じていても、接点は切れ、機械は停止する。
        これは、人間がガードを開ける等の危険行為を行うときの力を直接利用して接点を強制的に引き
      離し、フェールセーフを保証しているものである。表1は、図2のインターロックガードの故障解
      析結果である。
  (3) ガイドラインで記載していない手法の扱いについて
      ガイドラインでは、工作機械等のフェールセーフ化に関する主要な手法を示しているが、今後、こ
    れと同等以上のフェールセーフ性を持つ他の手法が開発される可能性がある。
      新しく開発された手法は、安全技術の高度化を図る意味からも積極的に採用すべきと考えられるが、
    同時に、これらの手法の採用にあたっては、そのフェールセーフ性を事前に十分確認しておく必要が
    ある。
      新しく開発された手法のフェールセーフ性を事前に確認するには、例えばFMEA(Failure Mode 
    Effect Analysis)などを用いる方法が有効と考えられる。
「2 定義」について
  (1) 安全情報
      「安全装置等」には、光線式安全装置、両手操作式安全装置、ガード式安全装置等だけでなく、イ
      ンターロックガードの安全スイッチやリミットスイッチ、電磁リレー、電磁弁等の部品類も含める
      ものとする。
        「安全の確認」とは、作業者が機械の可動範囲内に侵入していない、機械が暴走していない等の
      確認などをいうものである。
        「安全情報」は、安全側を高エネルギー状態、危険及び故障側を低エネルギー状態に対応させる
      ものとする。これは、例えば、表2(a)に示す透過型の光線式安全装置は、安全を意味する信号を
      高い電圧(オン信号)に対応させているため、故障によって信号がオフになると、これは危険とみ
      なされて機械は停止する(安全確認型)が、表2(b)に示す反射型の光線式安全装置は、安全を意
      味する信号を低い電圧(オフ信号)に、危険を意味する信号を高い電圧(オン信号)に対応させて
      いる(危険検出型)ため、故障によって信号がオフになると、安全だからオフ信号となっているの
      か、故障してオフ信号となっているのか区別がつかないためである。
        表2の趣旨は、反射型の光線式安全装置を問題とすることではなく、安全装置に関する信号処理
      のあり方を問題とするものである。
  (2) 非対称誤り特性
      「安全側」とは、機械が停止する側をいう。また、「安全側の状態に固定する」とは、機械を停止
    したり、作業を中止したりすることをいう。
      「安全側に誤る故障」とは、機械が停止する側の故障をいう。これに対し、「危険側に誤る故障」
    とは、機械が停止できなくなる側の故障である。
  (3) ユネイトな情報伝達
      図2のインターロックガードでは、ガードの閉鎖が直ちに機械の運転につながるわけではなく、次
    に示すように、途中にいくつかのステップが存在する。
    [1] ガードの閉鎖によって安全スイッチの接点が閉じる。
    [2] この接点を通って電磁リレーのコイルに電流が流れる。
    [3] この電流によってコイルに吸引力が発生し、その力によってリレーの接点が閉じる。
    [4] このリレー接点を通ってブレーキの励磁コイルに電流が流れ、ブレーキを開放するとともにクラ
      ッチが閉じて機械が運転を開始する。
        以上の過程で特に重要なことは、安全情報の伝達要素であるスイッチ又はリレーに故障が生じた
      とき、各々の伝達要素が誤って安全情報を生成してはならないことである。これは、誤って安全情
      報が生成すると、実際は安全でないのに機械の運転が許可されるという事態が生じるためである。
        このような特性を実現するためには、安全情報の伝達要素が故障したとき、必ず安全情報の生成
      を停止するように各伝達要素を構成しなければならない。この関係を示したのが図3である。
「3 フェールセーフ化の原則」について
  (1) 「フェールセーフ化の対象とする制御機構」とは、安全確認システム又はその一部であり、ガイド
    ラインでは、通常の場合に安全確認システム又はその一部として扱われる回路をガイドラインの表2
    に列挙したものである。なお、フェールセーフ化の対象はガイドラインの表2に限定されるものでは
    なく、これら以外でも安全確認システム又はその一部に該当するものがあれば、フェールセーフ化の
    対象となるので留意する必要がある。
      「故障によって労働災害が発生するおそれのない場合」には、次のような場合がある。
    [1] 機械の全周囲が固定ガードで完全に防護されているシステムに、再起動防止回路や急停止用の回
      路を適用する場合
        この場合、回路に故障が起こって機械が止まらなくなったり、機械が不意作動を起こしたりして
      も、固定ガードがあるために作業者が機械と接触することはないため、必ずしも回路のフェールセ
      ーフ化を図る必要はない。
    [2] 危険領域全体を監視するエリアセンサが設けられているシステムに操作監視用の回路を適用する
      場合
        この場合、作業者が誤って起動ボタンを押しても、他の作業者が危険領域に存在している限りは
      機械が起動しないため、必ずしも操作監視用回路のフェールセーフ化を図る必要はない。
  (2) 「プログラム可能な電子制御装置」について、非対称誤り特性を有するものを使用するように努め
      るのは、非対称誤り特性を有しないプログラム可能な電子制御装置を使用すると、装置の暴走によ
      って機械が止まらなくなったり、不意作動したりすることがあるためである。
  (3) 「安全情報は、ユネイトに伝達されなければならない」について、安全情報をユネイトに伝達する
      ためには、少なくとも次の要件を満足しなければならない。
    [1] 安全情報の伝達要素の中に、否定回路を設けてはならない。
    [2] 安全情報は、周囲に存在する電磁ノイズ等のエネルギーレベルよりも十分高いエネルギーを持つ
      こと。
      [1]の否定回路とは、表3のようにシステムの入力と出力が論理的に逆転する回路をいう。図4は、
    電磁リレーを用いた否定回路の典型的な例である。なお、例示した回路では、電磁リレーの励磁コイ
    ルに断線故障が起こると、機械を停止できなくなるという問題点がある。したがって、フェールセー
    フな回路には、否定回路を設けてはならない。

      リミットスイッチがオンのときソレノイドはオフ、リミットスイッチがオフのときソレノイドはオ
    ンとなる。このような回路を否定回路という。

  (4) 「環境ノイズに対する耐性の確保」とは、通常の電磁ノイズ対策や機械的ノイズ対策(振動等)を
    実施することである。
  (5) 「行き過ぎ防止用の回路」とは、通常、限界位置検出回路と呼ばれているものである。
  (6) 「ホールド停止監視用の回路」には、例えば、機械の可動部を駆動するモータ電流を監視し、この
    電流値が定められた範囲を超えたときは直ちに機械を停止させる回路が該当する。
  (7) 「速度監視用の回路」は、通常、手動モードで機械を低速運転させるときに、機械が暴走するのを
    監視するために使用する。
  (8) 「ホールド・ツー・ラン」は、我が国では、寸動と呼ばれていることがしばしばあるが、ここでは、
    寸動は次のいずれかに該当するものとし、ホールド・ツー・ランとは分けて定義する。
    [1] 押しボタン等を押し続けても機械が一定距離又は一定角度以上動作しない方式
    [2] 押しボタン等を押し続けても機械が一定時間以上動作しない方式
「4  フェールセーフ化の一般的方法」について
      「労働災害が発生しない形で機械を停止させる」方法には、機械の特性によって、安全を確認でき
    ないときは直ちに機械を停止させる方法と、次のサイクルの運転を開始させないことで機械を停止さ
    せる方法がある。
  イ  オフ確認
      通常の起動回路では、作業者が起動ボタンを押すとボタンの接点が閉じて機械が起動するようにな
    っている。しかし、この構成では、起動ボタンの接点が溶着すると、メインスイッチを入れただけで
    機械が不意に起動し危険である。そこで、起動操作時には、起動ボタンの接点が溶着していないこと
    を確認した上で起動信号を発生するように回路を構成する。これがオフ確認と呼ばれる手法である。
      図5.1はボイラーの起動制御回路等に利用されているオフ確認回路である。この回路は次のような
    手順で動作する。
    [1] 起動ボタンPSを押すとリレーR1が励磁される。
    [2] 接点(R1―1)が閉じ、リレーR2が励磁される。これにより、接点(R2―1)が閉じ、R2が自己
      保持する。
    [3] [2]により、接点(R2―2)が閉じるが、起動ボタンの操作中は接点(R1―2)が開いているため、
      R3は励磁されない。
    [4] 起動ボタンPSを離すと、接点(R1―2)が閉じ、R3が自己保持する。
    [5] 接点(R3―2)が閉じ、機械が運転を始める。
    [6] 起動ボタンPSの接点が溶着、摺動部が固着していたりしたときは、接点(R1―2)が開いたま
      まとなるために、R3は自己保持せず、機械は起動しない。
        この回路は、リレー接点(R3―2)の溶着や停止ボタンPBの接点の溶着が起こると、機械を停
      止できなくなるという欠点を持っている。したがって、この回路は厳密な意味でのフェールセーフ
      回路とはいえないが、ここではオフ確認の意味を分かりやすく説明する必要があるために、この回
      路を記載した。
        なお、フェールセーフ化対策のためには、少なくとも溶着が問題となる接点を二重化し、二重化
      された接点の挙動が一致しないときは、機械の運転を許可しない構成とする必要がある。(このよ
      うな回路の基本構成については、図5.7を参照)      
  ロ  再起動防止
      工作機械等による労働災害の中には、製品の位置ずれ等をセンサが検出して機械が自動停止したた
    めに、作業者が位置ずれを処理したところ、機械が不意に作動して被災したり、停電後に機械への通
    電が復帰したときに、機械が不意に作動し被災するという災害がある。
      このような災害を防止するには、何らかの理由によって機械が停止した後は、作業者が再び起動操
    作をしなければ機械が再起動しないように回路を構成する必要がある。このための回路が再起動防止
    回路であり、通常は、再起動防止回路を自己保持回路として構成し、起動操作によって自己保持回路
    の保持を開始し、停電時、トラブル発生時、安全装置の作動時、非常停止装置の作動時等には、自己
    保持回路の保持を解除することによって機械の不意作動を防止する。
      図5.2は、この回路の基本構成図であり、次のような順序で動作する。
    [1] 起動ボタンPSを押すと、リレーR1が励磁されて接点(R1―1)が閉じる。この結果、ボタン
      を離してもリレーR1は励磁されたままとなる。これをリレーの自己保持という。
    [2] 接点(R1―2)が閉じることにより、メインコンタクタMSが励磁され、機械が運転を始める。
    [3] 停止ボタンPBを押すと、リレーR1が無励磁となり、接点(R1―2)が開いて機械が停止する。
    [4] その後、停止ボタンPBを離すと、ボタンPBは復帰位置に戻るが、既にR1が無励磁となってい
      るので、起動ボタンPSを押さない限り、機械は再起動しない。
    [5] 安全装置が作動したとき、位置検出用ドグが行き過ぎ防止用安全スイッチと接触したとき及び非
      常停止装置が操作されたときは、起動ボタンPSを押さない限り機械は再起動しない。
        この回路は、リレー接点(R1―2)の溶着、行き過ぎ防止用安全スイッチの接点の溶着、停止ボ
      タンPBの接点の溶着又は非常停止ボタンEMの接点の溶着が起こると、機械を停止できなくなる
      という欠点を持っている。また、起動ボタンPSの接点の溶着が起こると、電源を投入しただけで
      機械が突然作動を開始してしまう。したがって、この回路は厳密な意味のフェールセーフ回路とは
      いえないが、ここでは再起動防止の意味を分かりやすく説明する必要があるために、この回路を記
      載した。
        なお、フェールセーフ化対策のためには、少なくとも溶着が問題となる接点を二重化し、二重化
      された接点の挙動が一致しないときは、機械の運転を許可しない構成とする必要がある。(このよ
      うな回路の基本構成については、図5.7を参照)
  ハ  ノーマルクローズ型の利用
      ノーマルクローズ型の利用とは、この型の弁やブレーキを採用することによって、故障時には流路
    の遮断や機械の停止がおこり、安全が確保される方法のことである。
      例えば、ノーマルオープン型の電磁弁は、ソレノイドに断線故障が起こると、弁が常に開いた状態
    となり、機械を停止できなくなる場合がある。したがって、機械の駆動回路に使用する電磁弁は、ソ
    レノイドに通電がなくなることにより弁が閉じるノーマルクローズ型のものとする必要がある。
      また、ノーマルオープン(正作動)型のブレーキは、ブレーキの励磁コイルに断線故障が起こると、
    ブレーキが作動しなくなり、機械を停止できなくなる場合がある。したがって、機械の可動部の停止
    に使用するブレーキは、励磁コイルに通電がなくなることによりブレーキが閉じるノーマルクローズ
    (負作動)型のものとする必要がある。
  ニ  強制引き離し
      強制引き離しについては、ガード式インターロック及び行き過ぎ防止用リミットスイッチに用いら
    れる。
      強制引き離し式のガード式インターロックについては、図2を参照すること。
      また、行き過ぎ防止用リミットスイッチに関して、行き過ぎによる危険とは、機械の危険な可動部
    が行き過ぎて人体と直接接触したり、行き過ぎにより機械の他の部分を破壊し、その部分が人体に向
    けて落下するなどの危険をいう。
      いま、このスイッチにノーマルオープン型(a接点タイプ図5.3(a)参照)のリミットスイッチを使
    用すると、接点の接触不良が生じたときに機械を停止できなくなるおそれがある。このため、行き過
    ぎ防止用のリミットスイッチは、機械の可動部がリミットスイッチと直接接触したときに接点を強制
    的に引き離すノーマルクローズ型(b接点タイプ図5.3(b)参照)のものを使用する必要がある。
      表4.1は、リミットスイッチにa接点タイプのものと、b接点タイプのものを使用したときの故障
    解析結果である。
  ホ  相反モードによる監視の利用
      機械のインターロック用ガードでは、ガードが開いていることを確認するためのリミットスイッチ
  (直接作動によってスイッチがオフする方式、すなわち正モードスイッチ)と、ガードが閉じているこ
  とを確認するためのリミットスイッチ(直接作動によってスイッチがオンする方式、すなわち負モード
  スイッチ)の二種類を設けて、ガードの開閉状態の正常確認を行うことがある。正負の異なるモードの
  スイッチを使用してガードの開閉の正常性を確認することから、これを相反モードによる監視という。
    図5.4はそのための回路の構成例であり、次のような順序で動作する。
    [1] 起動ボタンPSを押すと、リレーR1が自己保持し、接点(R1―2)が閉じて、制御回路側に電圧
      が加えられる。
    [2] ガードが開いているときは、スイッチS1及びS2が閉じ、R2が自己保持する。
    [3] ガードを閉じると、スイッチS3及びS4が閉じ、R3が自己保持する。
    [4] 接点(R3―1)が開き、R2の自己保持が解除される。
    [5] 以上のように、R2自己保持→R3自己保持→R2自己保持解除という順序を経たときに限り、接点
      (R2―3)及び(R3―3)が閉じて、機械が運転を開始する。
    [6] S1に溶着が生じたときは、S3が閉じないため、R3は自己保持されない。S2に溶着が生じたとき
      は、S4が開くために、R3は自己保持されない。S3に溶着が生じたときは、S1が開くため、R2は自
      己保持されない。S4に溶着が生じたときは、S2が閉じないため、R2は自己保持されない。これら
      により、機械は運転を開始しない。
    [7] S1又はS2に接触不良が生じたときは、R2は自己保持されない。S3又はS4に接触不良が生じたと
      きは、R3は自己保持されない。これらにより、機械は運転を開始しない。
    [8] [6]及び[7]の故障は、少なくとも次にガードが閉じるときまでに検出され、そのとき機械は停止
      したままとなる。
    なお、S1からS4は、S1が溶着したときはS3が開き、S2が溶着したときはS4が開き、S3が溶着し
  たときはS1が開き、S4が溶着したときはS2が開く構造でなければならない。
    この回路は、停止ボタンPBの接点溶着が起こると、機械を停止できなくなる。また、起動ボタンPS
  の接点溶着が起こると、電源を投入しただけで機械が突然作動を開始してしまう。したがって、この回
  路は厳密な意味のフェールセーフ回路とはいえないが、ここでは相反モードによる監視の意味を分かり
  やすく説明するために、この回路を記載した。
    なお、フェールセーフ化対策のためには、少なくとも溶着が問題となる接点を二重化し、二重化され
  た接点の動作が一致しないときは、機械の運転を許可しない構成とする必要がある。(このような回路
  の基本構成については、図5.7を参照)
  ヘ  発振回路の利用
      発振回路及び交流信号を利用する回路では、回路を一種の交流発振器(発振周波数は200 kHz程度)
    として構成している。ここで交流発振を利用するのは、発振による信号は直流信号に比べて高いエネ
    ルギー消費を必要とし、かつ、通常は発振回路の故障によりエネルギーレベルの高い交流信号を生じ
    ないためである。
      図5.5(a)は、交流発振器を使用したフェールセーフなAND回路である。図でOSCは交流発振部、
    AMPは増幅部、RECは整流部を意味する。ここで、OSC部は、入力I 1 又はI 2 がないとき、
    Q1:オフ、Q2:オン、Q3:オン
    の状態であり、入力I 1 及びI 2 の同時に入力があったとき、
    Q2:オフ→Q3:オフ→Q1:オン→Q2:オン→Q3:オン→Q1:オフ
    の順序で発振を開始し、図5.5(b)のようなOSC出力を生じる。このOSC出力を増幅部で増幅し、電
    源との混触により誤って出力を生じないよう整流部で倍電圧整流した後、最終的な出力とする。
      表4.2にフェールセーフなAND回路(図5.5の回路)の故障解析結果を示す。表からも明らかなよ
    うに、この回路は故障時に誤って出力を生じないことが保証されている。
  ト  交流信号の利用
      ヘと同様の趣旨である。
  チ  電源枠外処理
      電源枠外処理とは、安全情報を電源電圧より高い電圧に設定することにより、信号線と電源線の混
    触による誤った安全情報の伝達を防止する方法のことである。
      例えば、図5.5(a)の回路では、電源電圧Eに対して、安全情報V0 をこれより高く設定すれば、仮
    に電源線が混触しても、これに起因して誤った安全情報が発生することはない。
  リ  フェールセーフなチェック回路
      「安全装置や部品類」とは、アナログ信号処理を行うものをいう。
      センサに危険検出型のものを使用すると、センサが故障したとき危険を検出できなくなることがあ
    る。そこで、センサの入力側に常時検査信号(交流信号)を与え、センサが故障したとき検査信号は
    出力しなくなる(すなわち直流出力となる。)ようにして、センサが故障したか否かを常時確認でき
    るようにシステムを構成する。このような原理によってセンサの正常性を確認するのがフェールセー
    フなチェック回路である。
      図5.6は、危険検出型のセンサを対象にしたフェールセーフなチェック回路の構成図である。これ
    は、次のような順序で動作する。
    [1] センサP S に情報a(危険情報)が入力する。なお、センサP S が危険検出型であることから、
      情報aは危険側をオン信号、安全側をオフ信号としている。
    [2] パルス信号発生器(PG)により、センサP S の入力側に検査信号bを入力する。
    [3] [1]と[2]の結果、センサP S の入力信号はd=a+bとなる。これを論理的に否定したe=dがセン
      サP S の出力信号である。
    [4] センサP S の検査結果は、自己保持回路(SH)に記憶され、検査パルスbの一サイクルが終了
      するごとに信号cでリセットされる。
    [5] 危険が検出された場合、信号aがオンとなるため、信号eはオフとなる。この結果、信号hはオ
      フとなり、機械の運転は許可されない。
    [6] センサP S が故障した場合、センサ出力信号eは直流となるから信号hはオフとなり、機械の
      運転は許可されない。
    [7] パルス発生器、AND回路、自己保持回路をフェールセーフな回路構成とすれば、これらが故障し
      た場合でも信号hはオフとなり、機械の運転は許可されない。
  ヌ  二重化不一致検出
      電磁リレーでは、a接点に溶着が起こると、機械を停止できなくなる場合がある。そこで、リレー
    のa接点を二重化し、二つのa接点の動作が不一致の時は、接点に溶着が起きたとみなして機械を停
    止させるように回路を構成する。これが、二重化不一致検出回路である。
      図5.7は二重化不一致検出回路の構成例であり、次のような順序で作動する。
    [1] 起動ボタンPSを押すと、接点(R1―1)、(R2―1)、(R1―2)及び(R2―2)が閉じているた
      め、R3が自己保持する。
    [2] 接点(R3―2)と(R3―3)が閉じ、R1とR2が自己保持する。
    [3] 接点(R1―2)と(R2―2)が開き、R3の自己保持は解除される(コンデンサによってR3の解除
      は遅延する。)。
    [4] [2]及び[3]より、接点(R1―4)、(R2―4)及び(R3―4)が閉じて、機械が運転を開始する。
    [5] R1、R2の接点のいずれかに溶着が生じたときは、接点(R1―1)又は(R2―1)が閉じないため、
      [1]のステップでR3が自己保持せず、次のステップに進まない。また、R3の接点に溶着が生じた
      ときは、(R3―4)が閉じないため、機械は運転を開始しない。
        なお、[5]が確実に実行されるためには、リレーR1、R2及びR3は、a接点が溶着したとき、対と
      なるb接点は開いた状態に保持できる構造でなければならない。そこで、実際の回路では、次のよ
      うな構造を持つリレーを使用する。
      [A] a接点とb接点の極間短絡を防止するために、a接点とb接点の間は遮蔽板によって遮蔽され
        ているか、又は、個々の接点が遮蔽室に収納された構造であること。
      [B] a接点が溶着したときは、対となるb接点を開いた状態に保持できるように、強制ガイドを持
        つこと。
      [C] [B]のとき、b接点の接点間ギャップは、0.5mm以上を確保できること。
      上記の条件を満足できるものを、強制ガイド式安全リレーという。
      この回路は、停止ボタンPBの接点の溶着が起こると機械を停止できなくなる。また、起動ボタン
    PSの接点溶着が起こると、電源を投入しただけで機械が突然作動を開始してしまう。したがって、
    この回路は厳密な意味のフェールセーフ回路とはいえないが、ここでは二重化不一致検出による監視
    の意味を分かりやすく説明するために、この回路を記載した。
  ル  バックチェック
      バックチェックとは、電磁リレーのa接点に溶着が起きたことを対となるb接点で検出し、直ちに
    機械を停止させるか、又は、次のサイクルの運転を開始させない方法のことである。b接点をバック
    接点とも呼ぶことから、このような名称がつけられた。具体的なバックチェック接点の例としては、
    次のものがある。
    [1] 図5.1の接点(R1―2)
    [2] 図5.4の接点(R3―1)、(R2―3)、S1及びS4
    [3] 図5.7の接点(R1―1)、(R2―1)、(R1―2)、(R2―2)及び(R3―4)
  ヲ  非溶着
      電磁リレーの中には、接点機構に使用する材質を適切に選定することによって、溶着が生じないよ
    うに工夫したリレーもある。これを非溶着リレーと呼ぶ。例えば、銀―炭素接点の使用によって、
    接点が溶着しそうになると接点材料の破壊により開離する構造のリレーなどは、これに該当する。
「 5フェールセーフ化の具体的方法」について
  5−1  部品類の要件
    「ばねリターン型」の電磁弁とは、ばねの復帰力を利用して弁を閉じる構造のものをいう。
    「プレッシャーリターン型」の電磁弁とは、常時加えられている圧力(通常は油圧又は空気圧)を復
  帰力に利用し、弁を閉じる構造のものをいう。
    「複式ブレーキ」とは、ブレーキに主ブレーキと補助ブレーキの両方を設けたもの及び冗長化したブ
  レーキをいう。
  5−2  回路のフェールセーフ化対策
    操作監視用回路の具体例を、図5.1に示す。
    再起動防止回路の具体例を、図5.2に示す。
    ガイドライン5(5)の「否定回路」には、例えば、図4のような回路が該当する。
「6  フェールセーフ化に準ずる方法」について
  フェールセーフ化された制御機構は、故障によってシステムが停止するため、その実用性を十分なもの
にするには、必要に応じ、高信頼化等の手法の採用によって稼働率の低下を防ぐ必要がある。一般に、装
置を高信頼に構成する方法として、次の二つの考え方があるが、ガイドラインに例を挙げたものは、次の
(2)の冗長系による高信頼化の代表的な例である。
  (1) 部品の高信頼化による方法(フォールト・アボイダンス)
      部品の信頼度そのものを高くして、装置を構成する部品を故障しないようにする方法である。従来
    の一般的な方法で、品質管理(QC)手法に基づき高信頼度の部品を作るものである。
  (2) 冗長化による高信頼化の方法(フォールト・トレランス)
      部品に故障が発生することを認めるが、他の系でこれをカバーして、外から見る限り障害のないよ
    うにする方法である。基本的には多重系を構成するものである。

参考資料 災害事例<略>


別紙1  

事務連絡
平成10年7月28日

社団法人日本自動車工業会会長
社団法人日本電機工業会会長
社団法人機械工業連合会会長
社団法人日本ロボット工業会会長
中央労働災害防止協会会長
社団法人労働安全衛生コンサルタント会会長 殿

労働省労働基準局
安全衛生部安全課長

工作機械等の制御機構のフェールセーフ化に関するガイドラインの運用上の留意事項について 

  標記については、平成10年7月28日付け基発第464号の2をもって通達されたところですが、運用上の留
意事項を別添<略>のとおりとりまとめましたので、了知の上、貴会傘下会員に対し周知されるようお願
いします。


別紙2

事務連絡
平成10年7月28日

社団法人日本産業機械工業会会長
社団法人日本工作機械工業会会長 殿

労働省労働基準局
安全衛生部安全課長

工作機械等の制御機構のフェールセーフ化に関するガイドラインの運用上の留意事項について 

  標記については、平成10年7月28日付け基発第464号の3をもって通達されたところですが、運用上の留
意事項を別添<略>のとおりとりまとめましたので、了知の上、貴会傘下会員に対し周知されるようお願
いします。