基本安全規格　ISO12100とは

安全規格は、ISO/IECガイド51（注）に従って３段階に分けて策定することが求められています。
上位から順に、�@基本安全規格、�Aグループ安全規格、�B個別機械安全規格に区分されます。 ここでは、基本安全規格であるISO12100について解説します。
基本安全規格は「タイプA規格」とも称され、主な内容は、機械を安全に設計する上で重要なリスクアセスメント、およびリスク低減方策の考え方、方法などを規定しています。
また、この規格は以前存在していた3つのタイプA規格（ISO12100-1：2003、ISO12100-2:2003およびISO14121-1：2007）を1つにまとめて、ISO12100：2010として発行されたものです。

注）ISO/IECガイド51とは、ISOとIECが共同で策定した安全規格を作るためのガイドラインです。

リスクアセスメントは、職場に存在するあるいは潜在的に存在する危険性または有害性を見つけ出して、それらによる災害が発生する前に除去、あるいは十分に低減するための、職場における組織的な活動のことです。 従来の労働災害に関する防止対策では、一度発生した労働災害の原因を調査し、その後の災害の再発を防止する対策を確立し、各職場に水平展開するという方法が主に取られてきました。それはよい方法ですが、災害が発生していない職場であっても、潜在的な危険性や有害性は存在している可能性があり、これが放置されると、いつか災害が発生する可能性があります。また、技術の進展によって、様々な機械設備や化学物質が用いられるようになると、それだけ危険性や有害性が多様化し潜在しているように思われます。
したがって、これからの安全衛生対策は、災害が発生する以前に、自主的に職場の潜在的な危険性などを見つけ出し、的確な対策を実施することが重要です。その考え方を実践できるのが「リスクアセスメントおよびリスク低減方策」です。

●安全（safety）
受容できないリスクがないこと。リスクを許容可能なレベルまで低減させることで達成されます。
●リスク（risk）
「危害の発生確率」およびその「危害のひどさ」の組合わせ。
●許容可能なリスク（tolerable risk）
社会における、その時点での状況下で評価され受け入れられるリスク。 絶対安全と比較して、利便性、目的に対する適合性、および社会の慣習などとのバランスを図ることで決定されます。したがって、許容可能なリスクは社会情勢と共に見直しが必要となります。

注）ISO/IECガイド51より引用および編集

手順(1)：機械類の制限の決定
リスクアセスメントは、対象となる機械の制限の決定から始めます。その機械が、どのような目的で使用され、どのような場所に設置され、どのような人が使用し、また保全されるかなど、機械の仕様全般を明らかにし、リスクアセスメントの範囲および条件を明確にします。そのために以下の3つを明確にすることが重要です。
●使用上の制限や条件を明確にする。これは意図する使用のみならず合理的に予見可能な誤使用を含みます。
●空間上の制限や条件を明確にする。たとえば機械の可動範囲、機械とオペレータとの適切な距離や、作業上のスペースを含みます。
●時間上の制限や条件を明確にする。たとえば消耗部品、コンポーネントの交換寿命、メンテナンス間隔を含みます。

手順(2)：危険源の同定（または特定）
●機械のライフサイクルのすべて（試作から廃棄まで）において、合理的に予見可能な危険源（常に存在する危険源および予期しない危険源を含む）、危険状態を同定します。この段階で、ある危険源が同定されなければ、以後のリスクの見積り／評価の対象にならず、潜在的に危険源が残った状態となり将来の災害の原因となります。したがって、危険源（およびそれによる危険状態）をもれなく同定することは非常に重要です。

手順(3)：リスク見積り
●手順�Aで同定した危険源のすべてに対して、個々にリスクを見積ります。
●リスクは、同定された危険源で被災した場合の「危害のひどさ」と、それが発生する「危害の発生確率」の組合わせを用いてリスクの大小の見積りを行います。
●「危害の発生確率」は、「危険源への暴露頻度」、「危険事象の発生確率」および「危害の回避の可能性」などの要素を組み合わせて見積ってもよいとされています。
●リスク見積りの具体的な手法は、複数存在します。

手順(4)：リスクの評価
●リスク見積りの結果に基づいて、リスク低減処置が必要かどうかを決定するために、リスクの評価を行います。
●リスク低減が必要と評価された場合には、リスク低減方策を適用します。
●リスク低減の妥当性は、リスク低減方策の3−ステップメソッドをすべて適用した後で検証します。

■リスクの低減とは
リスクは、前記のように「危害のひどさ」と「危害の発生確率」という2つのパラメータの組合わせで、定義されています。
したがって、リスク低減とは、それらの両方あるいは少なくとも一方を小さくすることです。一般的には、「危害の発生確率」よりも「危害のひどさ」自体を小さくすることが重要であると考えられています。リスク低減は、以下に述べる３−ステップメソッドの順序に従って実行されなければなりません。

■本質安全設計方策とは（First Step）
機械の危険源自体をできる限り除去して「危害のひどさ」を低減する。または危険源に近づかなければならない作業を極力なくして「危害の発生確率」を下げて、リスク全体を低減することです。したがって、リスク自体を小さくしてしまう本質安全設計方策は重要で、その有効性は損なわれないと考えられています。
その理由は、安全柵およびインタロックシステムなどによる「安全防護方策」が適切に適用されていても、故障や、無効化される可能性があります。また「使用上の情報」は、オペレータによっては十分に守られない可能性があることと比べてみると解ります。リスク低減のこの最初の方策だけが、工夫／知恵によって危険源を除去できる唯一の機会です。本質安全設計が適切にできれば、安全防護または付加保護方策のような「追加の保護方策」を講じなくてもリスク低減を達成してしまうことができます。

＜本質安全設計方策の例＞
・駆動エネルギーを下げる、回路の電圧を低くする、害のない物質を使用する。
・加工機械への材料の供給／取出しを自動化して、危険源への暴露機会を極力なくすこと。 など。

■安全防護および付加保護方策とは（Second Step）
（1）安全防護方策
機械本来の目的を果たすために、本質安全設計方策によって危険源を除去あるいはリスクを十分に低減することができなかった場合は、「安全防護方策」を用いて、リスクを低減します。
なお、危険源自体は存在し続けるため、主として「隔離による安全防護」あるいは「停止による安全防護」の考え方を用いて、危害の発生確率を十分に減少することに重点が置かれます。
したがって、メンテナンスなどで危険源に近づいて作業をする場合を含めて、危険源を停止させるなど、制御システムを使ったインタロックの考え方などが重要になります。

＜安全防護方策の例＞
・危険源に触れないように柵を設ける、放出物を防止するために密閉する。
・安全柵の扉を開けると危険源が停止するインタロック回路を設ける。 など。

（2）付加保護方策
安全防護方策に加えて付加保護方策も必要です。たとえば、非常停止装置を設ける、機械の動力源を確実に遮断し残留エネルギーをゼロにする方策を設けておくなど。

■使用上の情報（Third Step）
本質的安全設計方策、安全防護、および付加保護方策を用いた後に残る十分に低減できないリスクは、「使用上の情報」を用いてユーザーに明確に伝えなければなりません。
一方、ユーザーはそれを十分理解して機械を正しく安全に使用します。
使用上の情報は、以下を含みます。
・機械類の操作手順
・必要とされる訓練
・防護具（保護めがねなど）
・注意、警告マークなど。

重要：本質的安全設計方策、安全防護または付加保護方策を適切に行わずに、使用上の情報（警告マーク、訓練など）を多用しただけではリスク低減を行ったことにはなりません。

この項ではリスクアセスメントの手順を解説します。リスクアセスメントおよびリスク低減方策の図（48頁参照）の手順�@〜�Cの流れに沿って順に述べます。
機械は、安全であることに加えて、使いやすく生産性の高い性能が要求されます。そのような条件を加味して、実使用上の制限範囲を決定し、リスクアセスメントを行います。前述のように使用上の制限、空間上の制限、および時間上の制限などを明確にします。

1.使用上の制限
意図する使用と、合理的に予見可能な誤使用に分類されます。各々を考慮に入れる必要があります。
●意図する使用
設計者が意図した使用の方法であり、取扱説明書など使用上の情報として提供されている内容を基本にした正常な使用方法の範囲。
●合理的に予見可能な誤使用
設計者が意図していない使用の方法で、通常容易に予測できる人間の行動から生じる機械の誤った使用方法です。一般的には、意図的な妨害行為などは含まず、人間が取り得るヒューマンエラーとしての範囲と考えられます。

2.空間上の制限
●機械可動部分の可動範囲（ロボットのアーム部分、クレーンの移動範囲など）。
●通常作業時やメンテナンス時などで、機械と関わる人の作業の空間（適切な作業の領域）。
●「オペレータ」−「機械」間の、人と機械類との間の適切な位置関係、およびインターフェイス。
●「機械」−「動力（電力など）」間のインターフェイス。

3.時間上の制限
●機械または、機械を構成している各部品の寿命の考慮
　例として
　切削工具類の刃、エアー/オイルフィルタ、グリス、潤滑油、ガスケット、スイッチ類の開閉接点など。

前述のとおり危険源の同定は、リスクアセスメントにおいて非常に重要なステップです。
また、リスクの見積り、評価をできるだけ正確に行うには、発生する災害を具体的に記述できるように、危険源、それに基づく危険状態および危険事象の一貫性および具体性が必要になります。

■危険源、危険状態、危険事象
●ISO12100（JIS B 9700）で示す危険源の一覧表を下記に示します。(ISO12100附属書B、表B.1より抜粋)
●危険状態、危険事象などの一覧は、同規格の附属書B.2〜B.4をご覧ください。

この一覧表は、危険源のすべてを網羅したものではありません。また優先順位を示したものでもありませんが、リスクアセスメントを行う人が危険源を漏れなく同定する際に、非常に役に立つ資料となります。

危険源は一覧表にあるように、機械的・騒音・振動など種類別にグループ化され、危険源の内容に応じて「原因」と「結果」を組み合わせて表現することが推奨されています。以下に例を示します。

・「角張った部分」による「切り傷」
・「鋭利な端部」による「突刺し」
・「運動エネルギー」による「衝撃」
・「充電部」による「感電」
・「極端な（高）温度の物体」に触れることによる「火傷」
などと表現します。

■危険源を同定する際の注意事項
危険源を同定する場合の注意事項を以下に示します。

●重大な危険源
危険源は大／小すべてを抽出するにこしたことはありませんが、小さな危険源の抽出にあまりに時間を消費するよりは、重大な危険を絶対に見逃さないよう心がけなければなりません。
●確定的（恒久的）な危険源
機械の稼動部分、充電部分、高温／低温、不自然な姿勢、騒音、（X線）放射など。
これらは一般的に、機械の使用期間中に恒久的に存在するため、比較的同定しやすいと思われます。
●偶発的な危険源
予期しない再起動、加速／減速による転倒、火災や爆発など。 これらは予期せずに発生するため、特定が難しく注意が必要です。
●健康障害の危険源
一般に、健康障害に関する考え方と障害（ケガ）に対する考え方を同じテーブルで比較するのは無理があると考えられています。健康障害のように蓄積性のある「危害」を考慮する場合は、暴露される頻度や時間を考慮して「危害のひどさ」が判断されます。

■危険源同定の手法（危険源の見落としを避けるために）
ISO12100では危険源、危険事象のリストは紹介していますが、実際に危険源を同定する手法についての具体的な記載はありません。そこで、安全応用研究会発行の「安全システム構築総覧」を参考にして、手法の紹介を行います。

●危険源列挙法
材料の投入から完成品の搬出までを行う長い製造ラインなどの場合、各加工工程におけるすべての危険源を抽出する手法です。
この場合、定常作業における危険源の洗出しと比較して、非定常作業である段取換え、保守・メンテナンス、工程を止めずに異常処理を行ってしまうような場合の危険源にも気を配ることが重要です。
●作業分析から追求する方法
人が作業を行う手順に沿って危険源を同定する手法です。既存のラインには、人が作業をする上で作業手順書があります。この手順書に記載してある指示に従って作業を行い、危険源を抽出する手法です。ただし、機械などの設計段階ではまだ作業手順書はありませんので、 既存の製造ラインに関しては有効であると考えられています。
また、危険源が存在しても、その場所での作業がないからと勝手に決め込んで危険源を除外しないことが重要です。
●ユーティリティ追跡法
この手法は、主な危険源が、電力・圧縮空気・蒸気、あるいは流体の噴射などのユーティリティ（エネルギー）であるとして、そのエネルギーを使用する箇所に着目し、危険源として抽出します。ユーティリティの消費先をリストアップして、機械的動作、流体の噴射などがあれば、それらは危険源となる可能性があります。
なお、この手法は、ユーティリティ以外にも、たとえば鋭利な突起、人間工学的な危険源 （不自然な姿勢の作業）、あるいは位置エネルギー（重量物を棚の上部に置く）などの危険源への配慮も必要です。

いずれの手法を用いるにしても、ISO12100の附属書Bにある危険源一覧表を参照しながら危険源の抽出を行うと、もれを防ぐことができます。

■その他、危険源同定の際に考慮すべきこと
●同じ危険源でも、作業の形態が違えば、危険事象・危険状態も異なります。たとえば、定常作業において、手作業で上下金型の間に材料を投入し搬出する場合、被災するときは主に上腕です。そのための安全方策はライトカーテンなどが一般的です。
一方、上下金型の間に身体を入れて金型の清掃を行う場合、安全装置として上下金型の間に枕木が必要であり、仮に被災すると致命傷となってしまいます。つまり、同一の危険源に対する複数の危険事象には、複数の安全方策が必要になる場合があります。
●既に採用されている防護方策が、新たな危険源となっていないかを確認することも重要です。たとえば、設置された安全柵の角部分でケガをするようなことはないか、あるいはロボットなどの周辺に設けた安全柵で、人がロボットアームと柵の内側との間に挟まれないよう、適切な隙間が確保されているか、などです。

危険源を同定した後、各々の危険源から生じる危険状態を基にリスク見積りを行います。

■リスクおよびリスクを構成する要素
リスク（Ｒ）は、対象とする機械の危険源によって危害が発生した場合の、「危害のひどさ（Ｓ）」と「危害の発生確率（Ｐ）」の組合わせとして表されます。また、「危害の発生確率（Ｐ）」は、「危険事象の発生確率（Ｐ１）」、「暴露頻度（Ｆ）」、「暴露時間（Ｔ）」および「危害回避の可能性（Ｑ）」などの要素で構成されています。

■各要素の説明
リスクを具体的に見積るためには、「危害のひどさ（S）」と「危害の発生確率（P）」などに各々配点や判断基準を設けておくと便利です。
それによって、どの機械類に対しても同じ基準でリスク見積りの比較が可能になります。
ただし、ISO12100の規定では必ずしも判断基準は明確ではありません。

■リスク見積り
リスクを見積るにはいくつかの手法が紹介されています。ISO12100では具体的に述べられていないので、厚生労働省発行の「リスクアセスメントガイドライン」パンフレット、およびISO14121-2などを用いて紹介します。

1. 加算法/積算法 （厚生労働省 「リスクアセスメントガイドライン」パンフレットより引用）
リスク見積りに必要なすべての要素に配点を設けて、加算または積算する手法です。
下の例では、「危害のひどさ（S）」は４ランクに分類し、「危害の発生確率（P）」を「危険事象の発生確率（P1）」と「暴露頻度（F）」の組合わせで定義し、それらの要素を足し算または掛け算して数値計算を行います。 必要なすべての要素を計算の中に組み込めることが特長です。

2. リスクマトリクス法 （厚生労働省 「リスクアセスメントガイドライン」パンフレットより引用）
一般に、縦軸に「危害のひどさ（S）」、横軸に「危害の発生確率（P）」を配置し、各セクションにリスクインデックスとなる数値を当て込んでいます。リスクの大小が可視化できて解りやすい一方で、あまり多くのパラメータを用いると、表の区分が複雑になります。

3. リスクグラフ法 （厚生労働省 「リスクアセスメントガイドライン」パンフレットより引用）
基本的に、「危害のひどさ（S）」、「暴露頻度（F）」、「回避の可能性（P）」の３種類の要素を用います。二者択一方式なので、評価者によるバラツキが比較的少ないと考えられています。
ISO13849-1：1999年版では、機械の制御システムのうち、安全関連部のカテゴリ（安全レベル）を決定するため、主にこの方法が用いられていました。この方法では、危害のひどさが軽傷であれば、暴露頻度に関係なくリスクレベルは最小値�Tとなります。

4. ISO13849-1：2015附属書Aによる
ISO13849-1：2015年版で用いられています、上記のリスクグラフ法を発展・応用したものです。したがって制御システムのうち、安全関連部の安全レベル（この場合パフォーマンスレベル：PLｒ）を決定する場合に用いられます。リスクグラフ法との主な違いは、「危害のひどさ（S）」が軽傷でも「暴露頻度（F）」が高く、「回避の可能性」が不可能であればPLｒ＝ｃにまでリスクレベルが高くなります。

5. ハイブリッド法 （ IEC62061附属書A、またはISO14121-2による）

この手法は、加算法とリスクグラフ法を組み合わせた手法であると考えられます。またIEC62061では、制御システムの安全関連部の安全インテグリティレベル（ S I L ）の見積りに使用されます。

ここではIEC62061の表現を主に述べます。

(1)対象となる危険源での危害のひどさ

危害のひどさの補足事項
４：致命的または回復不可能な重大障害。仮に治ったとしても以前の仕事に従事することは非常に困難。
３：重傷または回復不可能な障害。仮に治ったとしても以前の仕事に従事することはやや困難。
２：医師の手当てを必要とするが、回復可能な障害。（より重い擦過傷、打ち傷など）
１：応急手当などで対応可能な軽い障害。（擦過傷、打ち傷など）

(2)危害の発生確率
3つの要素「暴露レベル」、「危険事象の発生確率」および「危害を回避できる確率」を各々決定して加算し、予想危害のクラス（CL）を決定します。

[1] 暴露レベル

暴露レベル値の補足事項
５：1時間に1回あるいはそれ以上の暴露頻度
５：1時間〜1日に1回程度
４：1日〜２週間に1回程度
３：２週間〜１年に1回程度
２：1年に1回あるいはそれ以下の暴露頻度

※印において暴露の継続時間が10分以下の場合は、暴露のレベルを1つ下げてもよい。

[2] 危険事象の発生確率

発生確率の補足事項
５：非常に高い。元来その用途のためには作られていない。または危険事象が発生する故障の確率が高い。ヒューマンエラーの確率が高い。
４：ありうる。危険事象が発生するような故障がある。ヒューマンエラーが発生する。
３：可能性がある。危険事象が発生するような故障がありうる。ヒューマンエラーの可能性がある。
２：まれである。危険事象が発生する故障はありそうにない。ヒューマンエラーはありそうにない。
１：無視できる。危険事象が発生するような故障はまずない。ヒューマンエラーの確率もない。

[3] 危害を回避できる確率

危害の回避の補足事項（IEC62061を引用）
５：不可能である。強力なレーザビームの突然の出現、または爆発などは回避することは不可能である。
３：可能性がある。たとえば可動部の速度が十分に遅く十分な空間がある場合、接近する危険源を回避することができる。
１：ありうる。（回避が可能と思われる）インタロックが故障しても動作が継続している場合、ある程度の安全距離が確保されていれば、インタロックガードの背後の可動部との接触が回避されることがありうる。

(3)SILの割付け
SILの割付けは以下の表を用いて行います。
横軸のCL（「暴露レベル」、「危険事象の発生確率」と「危害を回避できる確率」の合計値）と、縦軸の「危害のひどさ」との交点を求めて、要求される制御システムのSILとします。

例：・CL=暴露頻度(4)＋危険事象の発生確率(5)＋危害の回避(5)＝予想危害のクラス（CL）は14となります。 　　・危害のひどさ＝３
　　　とすれば、下図「SIL割付けマトリクス」より、SILは3となります。

リスク見積りが終了した後は、リスク低減が必要かどうかを決定するために、リスク評価を実施します。
その結果、リスクが「許容可能なリスクレベル」以下にならない場合は、 リスク低減方策（3-ステップメソッド）を適用します。
また、リスク低減のために新規の保護方策を適用した場合、その方策に関して新たな危険源が 発生しないか、または他のリスクが増大しないかをチェックしなければなりません。 新たな危険源が発生する場合は、新たな保護方策が必要となります。

許容可能なリスクレベルの考え方
許容可能なリスクレベルは、ISO12100などの国際安全規格では明確に述べていませんが、 組織体として、リスクアセスメントを行う前に許容可能なリスクレベルを決定しておくことが 重要です。仮に許容可能なリスクレベルが、リスクアセスメント活動の途中で変更になると、 これまで実施されてきた保護方策にまで影響をおよぼすことになります。

■機械的・物理的・幾何学的な方策による場合

1.幾何学的な方策
オペレータが制御を行う位置から、危険領域が直接見える範囲を広くするように機械・ 設備の配置を整える。見えない箇所には鏡などを取り付け、安全が確認できるようにすること。

2.装置間の安全な隙間の確保
可動部分があっても、挟まれず安全に進入できるように間隔を十分広げる、または体（の一部）が入らないように隙間を完全に埋めること。

3. 尖った部分を作らない
鋭い端部や突出部分を作らない。そのような部分があれば必ず覆い（カバー）をすること。
また、表面は滑らかにする、衣服が引っ掛かるような部分がないこと。

4. 物理的な方策
●機械の可動部分が危険源とならないよう、その力（エネルギー）をできる限り小さくすること。
●エミッションを抑制すること。つまり、騒音があれば音源で低減する、振動は振動源で
低減するなど、それらの根源への対策を行います。また、危険物質を安全なものに変更する、または危険性の少ないものに変更するなど、危険物質の使用をできるだけ避けること。

5. 機械設計に関する考慮
●適切な応力計算を行う。動的バランスも考慮すること。
●適切な材料とグレードの選択を行う。腐食、磨耗、引火性なども考慮して材料を選択すること。

6. 適切な技術の選択
●爆発の危険性のある雰囲気の中で使用する機械の場合は、電気回路の代わりに油／空圧制御システムを用いるか、本質安全防爆構造による電気設備を使用すること。
●空圧装置で騒音が大きければ、代わりに電気システムを利用すること。

7. ポジティブな機械的作用の適用
機械の構成部分を、剛性要素だけで組み合わせて動く動作原理。したがって、伝達経路の途中では、ばねや弾性体を使用しないこと。適用の例として、非常停止スイッチやインタロックスイッチのNC接点による直接開路動作機構などがあります。

■安定性、保全性など
1.安定性に関する規定
機械は設置位置に対して、十分な安定性があるように設計・設置されること。
2.保全性に関する規定
メンテナンスなどがしやすいように、対象となる部分への接近が容易であること。
取扱いが解りやすく、工具を極力使用しないですむようにすること。

■電気的危険源を防止する方策
この規格では、機械の電気装置の安全に関してはIEC602040-1を参照するよう規定しています。
IEC602040-1（機械の電気装置 第一部 一般要求事項）は、主に電気・制御回路の断路、開閉、感電、火災からの保護の要求事項を述べています。

■油圧／空圧の危険源の防止
空圧、油圧装置およびシステムは、以下のことを考慮して設計するように要求されています。
●圧力制限装置などを利用して規定の圧力を超えないようにすること。
●油または空気の漏れにより、配管あるいはホースなどが、「ムチ」でしなるような突発的な動きをしないよう、固定しておくこと。
●圧縮ガスなどの容器は、機械のエネルギー源を遮断すると自動で減圧すること。減圧できない場合でも、はっきり識別できる装置を設け、保全作業のときには確実に、残圧エネルギーをゼロにできるよう明瞭な警告ラベルを貼ること。

■人間工学原則の遵守
オペレータの身体的／精神的なストレスを低減できるように、以下のことを考慮して設計するように要求されています。
●機械の操作は、無理な姿勢を取らなくてすむような位置／高さとすること。
●操作の位置は、騒音･振動、あるいは（高温/低温などの）温度の影響を受けないように配置すること。
●オペレータの作業ペースは人によって異なるので、自動運転のサイクルに人が無理に合わせる必要のないようにすること。
●作業を行う箇所は、適切な照明が得られること。（眩しすぎてもいけない）
●スイッチ、レバーなどアクチュエータの選定・配置および識別
　・操作対象のスイッチなどは、はっきりと認識できること。
　・スイッチ、表示器などの配置は、オペレータが別の機械に移っても誤操作の可能性を低減できるように標準化されていること。
　・スイッチ／レバーの動きの方向は、その操作の予想される効果と一致すること。 など。
　（下図参照）

■制御システムを利用した本質安全設計方策

1. 動力源との接続による起動の防止、再起動の防止
移動機械などは、エンジンなどの始動と共に機械自体が動いてはいけません。また、機械は主電力供給源と接続することによって即、作動部分が起動してはいけません。

2. 機械の起動または停止
基本として制御システムは、
●起動は電圧または流体圧力の印加（または増大）によって行われます。2値論理で表現する場合は、０から１への移行に相当します。（１はエネルギー「高」（H：High）の状態を意味します）
●停止は、電圧または流体圧力の除去（または減少）によって行われます。2値論理で表現する場合は、１から０の状態への移行に相当します。（０はエネルギー「低」（L：Low）の状態を意味します）

3. 動力が中断した後の再起動防止
エネルギーが中断した後でそれが復帰すると、機械が自動的に再起動して危険源となる場合には、再起動を防止するようなシステムを用います。たとえば、リレーなどで自己保持回路を形成するなど。

4. 動力供給の中断
機械類は、動力供給の中断などによって危険状態とならないように設計・製作されること。
停止状態は維持されること。および、保持されたワーク（重量物）などは、それが安全に低い位置に移動できるのに必要な間は、保持されなければなりません。

5. プログラム電子制御システムによる安全機能
PLC(プログラマブルコントローラ)を含む制御システムを用いる場合には、ランダムハードウェア故障の確率が十分に低いものを、またシステマチック故障も低いものを用いなければなりません。
さらに、要求される安全インテグリティレベル（SIL）などが満たされるように妥当性の確認が必要です。
アプリケーションソフトウェアは、使用者が独自に変更できないこと。使用者による独自プログラムが必要な場合は、アクセスを制限するなど規制を加えることが必要です。（例：ロックしたり、パスワードを使用するなど）

6. 手動制御に関する原則
●停止スイッチは、起動スイッチの近くに配置すること。
●手動スイッチは、非常停止スイッチまたは教示ペンダントのように、やむを得ず危険区域内に配置および使用する場合以外は、安全な場所で、危険区域から届かない所に配置すること。
●制御器の配置は、オペレータが危険区域を十分確認できるようにすること。
●１台の機械（あるいは危険源）を複数の制御器で起動できる場合は、ただ１つの制御器だけが有効となる
ように設計すること。
この要求は、オペレータが危険区域に持って入るペンダント操作器などに適用されます。
●スイッチなどは、意図的な操作でのみ操作できるように設計し、必要に応じて誤動作に備えてスイッチの周囲にガードなどを設けること。
●オペレータが安全位置に居ることでのみ危険な機械の起動が可能となるような、両手操作装置を使用する場合もあります。
●無線による制御では、通信が途絶えたり信号が受信できないときは、機械は停止すること。 （IEC60204-1参照）

7. 各作業に対する制御モードの設定（段取り、ティーチング、工程切換え、清掃／保全など）
各種作業のためにやむを得ずガードを開いたり、安全防護装置を無効にして機械またはその一部を運転する場合は、次の要求をすべて満たして安全を確保すること。
●そのモード以外の制御モードでは作動しないようにすること。
●そのモードによる運転は、イネーブル装置、両手操作制御装置またはホールド・ツゥ・ラン制御装置の操作によってだけ可能となること。
●そのモードでの運転は、低速で、または動作制限装置に拠ってリスクが低減された状態でのみ許可されること。

なお、この制御モードは、次の3つのうちの１つまたは2つ以上を組み合わせて使用します。
（1） 危険区域に接近することをできる限りなくす手段を講じること。
（2） 非常停止スイッチ（装置）をオペレータの手の届く範囲に設置しておくこと。
（3） 教示ペンダントまたは制御する要素を確認できる場所に配置して用いること。

8. 制御および運転モードの適切な選択
複数の動作モードを使用する機械類では、各モードでのリスクの程度、および保護方策が 異なることから各々のモード位置に固定できるモード切替装置を持つことが要求されます。 モード切替装置の各位置は、明確に識別可能であることが必要です。 たとえば、キー付きセレクタスイッチなど。

■安全機能が故障する可能性を最小化する方策

1.信頼性のあるコンポーネントを使用すること
（ただし、「十分吟味されたコンポーネント（Well-tried compornent）」とは意味が異なります。）

2.「非対称故障モード」のコンポーネントの使用
故障モードが予め分かっている「非対称故障モード」のコンポーネント（あるいはシステム）を使用すること。典型的な非対称故障モードのコンポーネントの例はヒューズです。ヒューズは過電流が流れると、溶けて電流を遮断する方向にのみ働きます。このモードを利用して回路の過電流保護を行います。

3.コンポーネントまたはサブシステムの冗長（二重）化
制御システムの安全関連部に関して、コンポーネント（および信号経路）を二重化すると、１つのコンポーネントが故障した場合でも、他のコンポーネントが正常に動作して機械を安全に停止するなど、安全機能を維持できます。さらに、冗長化＋多様性（ダイバーシティ）は、共通原因故障（CCF）や共通モード故障に対しても有効となります。

4.自動監視（自己診断）機能の使用
安全関連部では、実際の安全機能（例：非常停止スイッチを押して機械を緊急停止するなど）に支障なく、単一故障を検出するために、自動監視機能が用いられます。監視によって単一故障が発見されると、機械を安全に停止させるなどの保護方策が採られます。停止した後は、再起動を防止し警報（通報）するなどの処置を行う場合があります。

■信頼性の向上による危険源への暴露頻度の減少
コンポーネントの信頼性が高ければ、修理のために危険源へ近づく必要性がなくなるので、危険事象の発生を減少させることができます。もし信頼性が低いと、システムが頻繁に停止するので、ガードや保護装置を無効化してしまいたい動機が発生します。

■搬入または搬出作業の自動化による危険源への暴露制限
機械への搬入／搬出作業の自動化は、作業位置から危険源へ近づく必要がなくなるので、その作業による危害の発生確率が減少し、リスクを小さくできます。

■設定および保全の作業位置を危険区域外にすることで危険源への暴露制限を行う
保全、給油および設定などの作業を危険区域の外から行えるようにすると、危険区域に近づく必要がなくなります。

安全防護方策は、主として「隔離」および「停止」の考え方によって行われる方策です。
●隔離による安全防護：ガードを使用して、人と機械の危険源（危険区域）を物理的に隔離する考え方。
●停止による安全防護：ガードを開けると機械の危険源は停止する、または機械の危険源が停止したことを確認して扉を開ける。人と機械の危険源を時間的に分離する考え方です。

■ガードおよび保護装置の選択と適用
選択の基準として、次の３つの場合に分類できます。

1.正常な運転中にオペレータが危険源に近づく必要がない場合。すなわち危険源はすべてガードで完全に隔離され、正常な運転中に人がガードの中に入る必要のない場合
・優先的に固定式ガードを用いることが要求されます。　
また
・ロック式またはロックなしのインタロック付きガード、
・自己閉鎖式ガード、
・検知保護装置（たとえば、ライトカーテン） などが使用されます。

2.正常な運転中にオペレータが危険源に近づく必要がある場合。すなわち加工機械の運転中に、材料の供給や取り出しのため危険源に近づく必要がある場合など
・ロック式またはロックなしのインタロック付きガード、
・検知保護装置（たとえば、ライトカーテン）、
・調整式ガード、自己閉鎖式ガード、
・両手操作制御装置、起動機能付きインタロック付きガード（制御式ガード）などが使用されます。

3.ティーチング、段取り換え、メンテナンスの場合に危険源に近づく場合
この場合は、できるだけ作業の妨げにならないように、作業要員の安全を確保できるような保護装置を選択しなければなりません。なお、動力（電力）を停止することが可能な作業では、動力の遮断、および残留したエネルギーをゼロにすることが最も有効な保護レベルです。

■主なガードの種類と機能および概略形状

1.ガードの種類
ガードの種類は、ISO14120に規定されています。どのガードを使用するかは、リスクアセスメント（ガードの開閉・調整頻度、ワークの形状の検討を含む）によります。 （下表参照）

2.各種ガードの形状
代表的なガードの概略図は以下のとおりです。

■ガードに対する要求事項
ガードに対する一般的な要求事項としては、丈夫であること、ガードが原因で新たな危険源が生じないこと、乗り越えたり、外したりするようなバイパスや無効化ができないこと、などが重要です。
これら以外にも、ガードの種類に応じて以下のような要求があります。

1.固定式ガードに対する要求事項
固定式ガードは、取り付けた位置に確実に保持されなければなりません。
●溶接などによって恒久的に固定される、または
●特殊ドライバなどの工具を使用しなければ外したり、開けたりできないように、ねじやナットを用いて固定すること。
なお、固定式ガードは、開閉を行うためにガードの片側にヒンジ構造を持っている場合もあります。

2.可動式ガードに対する要求事項
可動式ガードには、一般に次のような要求があり、必要に応じて機械の制御システムと連携しなければなりません。
●閉じているときはもちろん、開いているときもヒンジまたはガイドレールなどによって、機械類またはその構造物に固定されている状態であること。
●機械の可動部分がオペレータの動作範囲と重複しているときは、機械の可動部分の方が起動できないこと。
また、機械の可動部分が稼働する場合には、オペレータはその範囲内に入ることができないようになっていること。この仕組みは可動式ガードのうち、インタロック付きガード（必要な場合はロック付き）を用いることで実施できます。
●可動式ガードのガードがズレたり外されたり、または取り付けたインタロック装置などが欠落あるいは故障した場合は、機械可動部の起動は防止されること。または稼働していれば機械の可動部分は停止すること。これは制御システムの診断機能を用いて実施できます。

3.起動機能インタロック付きガード（制御式ガード）に対する要求事項
起動機能インタロック付きガードは、ガードを閉めると他の起動制御器
（起動スイッチなど）を用いることなく自動的に機械の起動を行う、
インタロック付きガードの特殊な形式です。このガードは、次のすべての要求を満足できる場合だけ実施してもよいとされています。
●基本的にインタロック付きガードとしてすべての要求事項を満足していること。
●機械のサイクルタイムが短い。
●ガードが開いている間の設定時間は、小さな値にセットすること。 （例：サイクルタイムと同等）
　この時間を超えると、ガードが閉じても起動できないこと。この場合、リセット作業が必要とされます。
●ガードが閉じたときには、必ず身体のすべてが危険区域から完全に外（安全位置）へ出ていること。
●起動機能付きインタロック付きガードに使用するインタロック装置は、故障によって意図しない起動などを生じないように、たとえば、二重化および診断機能を持って設計されていること。
●ガードがそれ自体の重量で下に降りている間に誤って起動を開始することがないように、たとえば、ばねまたはカウンタウエイトなどによって開いた状態を確実に維持できること。

4. エミッションの低減
本質安全設計方策で十分に低減できなかった騒音、振動、危険物質（ガス・蒸気）などは、消音装置、振動減衰装置、該当区域の強制換気などの方法で防護方策を実施すること。

■検知保護装置の選択と実施
物理的な遮蔽物であるガードとは別に、検知保護装置の種類と適用に関しても規定されています。

1.検知保護装置の種類
●ライトカーテン（能動的光電保護装置：AOPD）
検出区域に存在する不透明な物体によって、遮光されたことを検出する光電子発光器と受光器とによって検知機能を行う装置。（ESPEの1種、タイプ２と４があります。）

●レーザスキャナ（拡散反射型能動的光電保護装置：AOPDDR）
その装置の光電式投光器が発生する放射光が、設定された二次元検出区域に存在する物体を照射して生じる拡散反射光を、光電受光器が検知することによって物体を検出する装置。（ESPEの1種、タイプ３があります。）
●圧力検知マット
人がマットを踏むことにより、マットに作用する圧力の変化を感知（抵抗値の変化など）して、人体や物体の存在を検知する装置。
●トリップバー、トリップワイヤ
上記の検知保護装置は、人体など不透明な物体の通過検出（トリップ）、安全防護領域内での存在検知、またはその両方の目的のために使用されます。

参考
・ESPE（electro-sensitive protective equipment）：電気的検知保護装置
ライトカーテン、圧力検知マット、レーザスキャナなどを含み、保護トリップや存在検知を行う。
・AOPD（active opto-electronic protective device）：能動的光電保護装置
一般にライトカーテンのこと。ESPEの1つ。
・AOPDDR（active opto-electronic protective device to diffuse reflection）：拡散反射形能動的光電保護装置
一般にレーザスキャナのこと。ESPEの1つ。

2.検知保護装置の使用にあたっての留意事項
●検知保護装置を迂回して危険源に近づけることのないよう、適切な位置に取り付ける。
　ライトカーテンの場合、光軸の上下・左右の隙間から危険源に手などを入れることができないように保護構造物などを配置します。

●人と危険源との間には、検知保護装置と機械の両方に必要な総合的な停止時間を考慮に入れて安全距離を設けること。

●検知保護装置は、人または身体の一部を検出すると、即座に停止命令を発すること。
●人または身体の一部が検知区域から退出したこと自体で、機械の危険源が再起動しないこと。また、検知保護装置の停止命令は、次の命令が出されるまでシステムとして維持されなければならない。
●再起動は、オペレータが、危険区域の外に配置した制御装置（再起動用スイッチ）を、自分の意志で操作することによってのみ行われること。
●検出区域の形状範囲は明確にされること。検出されない状態で危険区域に入れたりすることを避けること。このためには、必要に応じて固定式ガードなどをともに用いる場合があります。

なお、次の場合には検知保護装置の防護だけでは不十分で、追加の防護方策が必要です。
●危険区域から、材料の切りくず、切削油などが飛び出してくる場合
●騒音、粉塵、Ｘ線などの放射線が放出される場合
●工程途中で不規則な長い停止時間があり、機械が完全に停止していると誤解されるような場合
●１サイクルの途中で緊急停止できないような特性を持っている場合（機械可動部の慣性力が大きい場合）
これらの場合には、物理的な遮蔽物・シールなどの保護方策が必要です。

3.サイクル制御が自動で再開始するための検知保護設備の安全要求事項
人または人の一部が検知保護装置の検出区域から出ることで、自動的に機械のサイクル起動が開始される検知保護設備の例外的な形式です。これには、様々な条件や要求事項があります。
詳細はISO12100（JIS B 9700）本文をご覧ください。

ガードや検知保護装置を用いてリスク低減を行っても、まだ十分にリスク低減できない場合は、付加保護方策を適用します。
付加保護方策には、主に以下のような５つの代表例があります。

●予期しない事態に備えて、人の意思で機械を即座に停止できるように、非常停止機能を備えること。
●機械に捕捉された人のための脱出手段、および脱出が不可能な場合の救助のための手段
●メンテナンス時などに備えて、動力（電力など）の完全遮断および内部に蓄積したエネルギーをなくす方策
●機械を含む重量物の安全な取扱いに関する方策
●機械類の該当部分に安全に接近または出入りできる方策

■非常停止機能
　・非常停止スイッチなどのアクチュエータ（キノコ形の押しボタンなど）は、はっきりと解り、速やかに接近して操作できること。
　・非常停止スイッチなどを押して非常停止命令が出されると、新たな危険源を生じることなく、速やかに停止すること。
　・非常停止装置は、リセットされるまでその命令が持続されること。 （機械は停止した状態を保つ）
　・非常停止命令のリセットは（非常停止スイッチのリセット）、その命令が出された位置でだけ可能であること。
 この命令のリセットでだけで機械は再起動してはならず、再起動を許可することだけが可能とすること。

■捕捉された人の脱出および救助のための方策
　・危険源から安全な外部への脱出ルートの確保。または一時的にでも安全に退避できる場所の確保。
　・非常停止命令の後で機械が停止してから、危険源に関する特定部位を手で動かせるための手段の確保。
　・特定の部分を逆転させる方策
　・安全に下へ降りる装置およびそのための係留具
　・捕捉された人が救助を求めるための手段（救助連絡）

■遮断およびエネルギの消散に関する方策
　・機械（または該当部分）を動力部分から切断、分離できること。
　・すべての遮断装置を“遮断”の位置に固定して南京錠などで施錠できること。
　・危険源となる蓄積エネルギーをなくすか、それができない場合は安全に封じ込めること。

■重量構成部品の安全な取扱い
　重い機械は、つり上げ装置による運搬の適切な装置を備えておくか、運搬用装置を安全に装着できること。
　●スリング、フック、アイボルトまたは固定用のねじ穴を備えたつり上げ用具を備えること。
　●フォークリフトで運搬される機械のための案内溝などを備えること。

■機械類への安全な接近
●すべての作業はできるだけ地上レベルで行えるように設計すること。これができない場合は、安全に接近できるプラットフォーム、階段などを設けなければならない。
●機械類の高所にある部位への接近手段は、墜落に対し保護手段を備えなければならない。（例：階段、はしご、およびはしごの安全囲い、墜落に対する係留具）
●なお、パネル表面に取り付けられたスイッチに足を掛けて踏み台にするなど、制御装置が接近のための補助具として使用されることを防止できるように設計・配置すること。

本質安全設計方策や安全防護方策などを講じてもなお、残留するリスクに関しては、使用上の情報として機械の使用者に明確に伝えます。

使用上の情報には、以下の内容が含まれます。
●機械の“意図する使用”についての情報。
●残留リスクについて通知や警告。また、訓練、保護具の必要性、追加のガードおよび保護装置などの必要性があればそれらも述べること。
●また、意図する使用以外で、合理的に予見可能な誤使用についても考慮する必要がある、 など。

■信号および警報装置を使って危険事象の警告を行うこと
表示灯・点滅灯、またはブザー・サイレンなどを機械の状態を知らせる警告信号として使用します。ただし、これらの信号は
●危険事象が発生する前に発せられること。
●人がハッキリ認識できる信号であること。

また、これら警報装置は定期的に点検が必要です。したがって、容易に点検できること。（点検に手間が掛かると、定期的な点検を怠る可能性があります。）
また頻繁な発信による感覚の飽和を避けることも必要です。

■表示、警告文、マーク
・製造業者の名前、住所、製品のシリーズ名および製造番号（あれば）。
・適合しなければならない要求事項への適合マーク（CE、ULマークなど）の表示。
・各種注意／警告マーク。（ただし、単に「危険」とだけ書くのではなく、何が危険なのかを表現すること）
・絵文字は警告文よりも素早く認識できるので、優先して用いることが望ましいが、絵文字はその国および地域で理解されていなければなりません。

■付属文書
1. 機械の運搬、取扱い、保管に関する情報
2. 機械の設置および立上げ、検収、引渡し、移管（コミッショニング）に関する情報
3. 機械自体に関する情報
4. 機械の使用に関する情報（意図する使用、合理的に予見可能な誤使用および禁止事項、使用すべき保護具、訓練など）
5. 保全に関する情報。たとえば、次による。
　・熟練要員（保全要員、専門要員）に限定して実行される保全作業に関する指示
　・使用者（たとえば、オペレータ）によって実行してよい保全作業に関する指示
6. 分解、使用停止および廃棄処分に関する情報
7. 非常事態に関する情報(消火設備など)
8. 熟練要員に対する保全指示事項、および非熟練要員に対する保全指示事項は、お互いに明確に区別して示します。

＜参考＞
IEC62079:2001（JIS C 0457）　電気及び関連分野―取扱説明の作成―構成、内容及び表示方法

※詳しくはPDFファイルをご参照ください