この規格ページの目次
39
B 8415-3 : 2020
附属書D
(参考)
JIS C 0511方式を用いた安全計装機能に対する拡張した
リスクアセスメントの例
D.1 一般事項
この附属書は,方法Dによるプロテクティブシステムの構築のためのJIS C 0511(全ての部)によるシ
ステム設計を行う場合の,設計手順の部分的な例を記載している。これは,あくまでも実例の紹介であり,
網羅的なものではないので,実際のシステムにそのまま用いることは望ましくない。
D.2 制御下にある装置の概念説明
ここで,500 ℃で負圧状態の非可燃性雰囲気で運転する熱処理炉があり,その炉には40基のバーナがそ
れぞれの炉側面の長さの半分にわたって設置されている。ブロワが2基,それぞれが一方の炉側に設置の
半数のバーナに燃焼空気を供給している。燃料流量制御弁も2基,それぞれ一方の炉側に設置の半数のバ
ーナのメインヘッダに設置されている。ブロワからの空気及び燃料流量は,プロセス温度を維持するため
に調節されている。燃料及び空気流量制御ループは,中央制御システムを介して提供されている。最低流
量は空気で25 %,燃料流量で10 %である。燃料流量の最大値は,定格燃焼量100 %で設定されている制御
弁の,80 %に制限されている。バーナへの燃料圧力は0.25 kPa(ゲージ圧)から14 kPa(ゲージ圧)まで
の範囲,空気圧力は2.5 kPa(ゲージ圧)から15 kPa(ゲージ圧)までの範囲で調節されている。
炉は200名が従事している鉄製の施設内(10 000 m2)に設置され,炉周辺では溶接,切断,グラインダ
及び他のスパークを発生させるような作業が行われている。
炉長は20 mで炉幅2 m。排気管が6基あり,それらは1基のマニホールドに集合され,排出管に接続さ
れている。炉は連続操業している。被処理物は炉の一方の端から装入され,もう一方の端から取り出され
る。プロセスはバッチ式で,1バッチ2時間12時間を要する。炉壁は,過大圧力条件70 kPa(ゲージ圧)
までで設計されている。爆発口は設けられていない。
ブロワは外部ベアリングベルト駆動方式である。ブロワのモータは,中央制御からの4 mA20 mAの可
変速度制御(以下,VSDという。)で起動及び制御されている。それぞれのバーナには,燃焼空気の量を
制限することができ,保全中には閉止することができるダンパが設置されている。
制御弁は,線間電圧によって駆動するアクチュエータ付きのバタフライ弁によって動作している。制御
信号は,中央制御システムによって与えられる4 mA20 mAの信号である。
D.3 危険源及びリスクアセスメント
D.3.0A 一般事項
燃焼用空気の喪失は,燃焼室内に未燃燃料を蓄積させることにつながる。その後,燃焼用空気源が回復
すると,爆燃及び爆発を引き起こす可能性がある。
D.3.1 事象の開始
ブロワシステムの故障には次のようなものがある。
a) ベアリング(内蔵型,外装型,又は回転体の不釣り合い)
b) モータの故障(ベアリング,巻線短絡,過負荷,又はブレーカ作動)
――――― [JIS B 8415-3 pdf 41] ―――――
40
B 8415-3 : 2020
c) SDの故障(短絡,又は断路)
d) ベルト故障(摩耗,又は破断)
e) 空気取入れ口の閉塞(泥,板,段ボール紙又は防水シート)
f) ヒューマンエラー(ブロワの停止,又は取入れ口の閉塞)
g) ヒューマンエラー(不適切なタイミングでの閉止又は不適切なダンパの閉止)
h) ダンパ固定ねじが振動で緩むことによるダンパの閉止
バーナダクトからの空気の漏えいには次のようなものがある。
a) フレキシブルダクトの漏えい又は破損
D.3.2 危険源−プロセスの逸脱−燃焼用空気の不足
燃焼用空気の不足には,次のようなものがある。
a) 一つ以上のバーナの空気不足
b) 一酸化炭素(CO)及び未燃炭化水素の炉内蓄積
c) 不安定燃焼
D.4 結果
結果として生じる重大な影響には次のようなものがある。
a) 排気管内のアフターバーニング(負圧による空気の引込み)
b) 燃焼用空気が回復すると,爆燃及び爆発を引き起こす可能性がある。
D.5 イベントツリーの例
イベントツリーの例を図D.1に示す。
――――― [JIS B 8415-3 pdf 42] ―――――
41
B 8415-3 : 2020
0.004 4
0.003 52
図D.1−イベントツリーの例
D.6 プロテクティブシステムの安全要求事項の仕様
D.6.A 一般事項
この箇条では,プロテクティブシステム(SIS)及びアプリケーションプログラムを設計するのに必要十
分な安全要求事項の仕様について,考え得る内容の例を記載している。
D.6.1 一般要求事項
一般的な要求事項は,次による。
a) 炉の運転シーケンス中のいかなる時点においても,バーナへの燃焼空気が最大空気量の20 %以下に低
下した場合,関連する全てのバーナへの燃料供給をプロセス安全時間内に遮断しなければならない。
b) SDからのモータ運転状態は,強制トリップ機能を有効にするために論理処理部に直接結線するもの
とする。ブロワ運転状態は,少なくともRRF=1/PFD=10のリスク低減係数(RRF)をもたらさなけ
ればならない。(PFD : 作動要求当たり平均不具合確率)
c) 燃焼空気流量センサは,燃焼室を適切にパージするのに十分な空気流量を確保するために起動シーケ
ンスに組み込まなければならない。
d) 安全シャットダウン後は,必ず,燃焼室内部を容積の5倍相当量でパージする。パージ中,センサが
――――― [JIS B 8415-3 pdf 43] ―――――
42
B 8415-3 : 2020
計測する空気流量は最大空気流量の50 %以上でなければならない。空気流量がこの流量を下回る場合,
パージの継続を行ってはならない。
e) 安全計装機能は,プラントの定期修理と一致させるため,2年のテストインターバルの条件で352(SIL
2)のリスク低減係数(RRF)を満足しなければならない。
注記 付加的な方策がなければ,図D.1の場合,死亡のリスクは0.003 52となっている。許容可能
なリスクが10−5である場合,プロテクティブシステム(SIS)によって0.003 52から10−5ま
でリスク低減する必要があり,10−5/0.003 52=0.002 84以下のPFD(作動要求当たり平均故障
確率)をもつプロテクティブシステム(SIL2)が要求される。これは,RRF=1/PFD=352の
リスク低減が必要ということを意味している。
f) システムの安全状態とは,炉から燃料を隔離させることである。自動遮断弁は,故障時に閉止状態と
なるものでなければならない。
g) 燃焼空気ブロワの安全状態は,炉への最低限の空気流量を確保するものとする。空気システムは,故
障の場合,最大流量へと向かわなければならない。
h) 手動による緊急停止の間,安全状態にすることとは,燃料及び点火源を完全に隔離することである。
電源の喪失があったとき,プロテクティブシステムは,手動による緊急停止がもたらす状態と同じ状
態をもたらさなければならない。
i) 動作媒体(油圧又は空圧)の喪失の場合は,自動遮断弁は,安全シャットダウンしなければならない。
j) 要求度は1年に1回未満,すなわち,低頻度モードである。要求度の根拠は,装置ハードウェアの故
障,コントロールループの故障及びヒューマンエラーによる。操炉作業者は,文書化されたトレーニ
ングプロセスを経た者とみなされる。
k) 各安全機能の誤作動の発生率は,10年に1回を超えてはならない。
l) 安全機能は,2年ごとに90 %の診断カバー率で確認テストを行わなければならない。90 %の有効範囲
を確保し,自動遮断弁への出力が遮断されていることを確認するために,空気の流量をトリップポイ
ント以下まで低減させる。このテストを行っている間,炉の安全性が損なわれないように,燃料は手
動で炉から隔離されているものとする。自動遮断弁への動力の遮断は,他の方法,例えば,上流の手
動弁を閉じて火炎監視器の火炎の喪失信号による自動遮断弁の閉止を確認することによって,個別に
テストしなければならない。一旦,自動遮断弁が閉止した場合,漏えいテストを行わなければならな
い。
m) 空気流量がトリップポイントを下回った場合,炉への燃料の完全に遮断するためのプロセス安全時間
は10秒未満とする。このプロセス安全時間は,未燃の燃料が10秒以内に燃焼炉の強度を上回るのに
十分なエネルギーをもつ爆発性混合物とならないことを示すLFL(燃焼下限界,lower flammability
limit)の計算を根拠としている。
n) 空気流量がトリップポイントを下回った時点から,炉への燃料供給の完全な遮断までのシステム応答
時間は5秒を超えてはならない。これはプロセス安全時間の半分である。
D.6.2 安全センサの機能要求事項
安全センサの機能要求事項は,次による。
a) 炉のそれぞれの側面にハードウェアのフォールトトレランス(耐障害性)1をもつ1oo2D 2)で構成され
た二つの安全関連の空気流量検出器を設置する。
注2) 1oo2Dは,二つのチャンネルのいずれかが安全機能を実施することができる,診断機能付き
構成。詳細はJIS C 0508-6,附属書Bを参照。
――――― [JIS B 8415-3 pdf 44] ―――――
43
B 8415-3 : 2020
b) 空気流量は,質量,速度又は差圧法を用いて直接計測する。静圧の測定値を流量に変換している場合
にありがちな,下流側の閉塞物による誤った流量測定を防止しなければならない。
c) 共通の流路部を一般の燃焼プロセス制御と同様に安全の流量トランスミッタに用いてもよいが,共通
原因故障を避けるために,全ての検出ライン,元弁及び接続箇所は分離しなければならない。
d) 安全センサのために全ての安全マニュアルを確認しなければならない。
e) 空気流量センサは,次を満足する。
1) 燃焼プロセス制御用センサと異なるモデルでなければならない。ただし,同一の製造業者のものを
使用してもよい。これは共通原因故障を避けるためである。
2) −20 ℃60 ℃で適切に使用可能である。
3) 下流側の温度によって校正可能である。
4) 過酷な振動及び工業的な環境下で適切に動作する。センサは,衝撃,衝突などに対して十分な機械
的保護を講じて確実に設置しなければならない。
5) 過酷な工業的EMC環境において適切に動作する。
6) lass I Zone IIA T1の危険環境下で適切に動作する。
7) P 65又はそれ以上のきょう(筐)体をもつ。
8) 高性能であり診断有効範囲ファクタは80 %以上とする。センサは,不具合状態が検出された場合,
3.8 mA以下の低アナログ出力信号に復帰する。
9) スマートフィールドプログラマ(例 HARTコミュニケータ)で設定可能である。ただし,一旦,
安全機能がオンラインとなった場合に,通信を切断できなければならない。
10) 2年間再校正することなく少なくとも2 %の精度を保つ。
11) 工場出荷時に,追跡可能な校正証書をもつ。
12) IL 3のシステム能力をもつ。
13) 適切なSIL証書をもつ。
14) 1.5 mm2のツイスト配線で,論理処理部側にドレインをもつシールドペア保護計装ケーブルで配線
される。全ての高電圧及び大きなEMIを発する機器(モータ,VSD)から少なくとも1 m以上離し
たところに設置したケーブルトレー内に配線する。
f) センサへの検出配管は,次を満足する。
1) 低い位置又はゆるみができないような上り勾配とする。検出配管は燃焼空気ダクトに自然に排出す
る。
2) 結露の影響なく高速の反応を確実にするために,配管径は最低12 mmとする。
3) 同様の反応時間差とするために全てのセンサの検出配管の長さを同じにする。
g) センサへの検出導線は316 SSTの耐腐食性をもつ。
h) センサへの検出配管は,30分以上,最低10 kPa下において漏えいがないことを確認する。ねじ込み接
合の場合,センサを塞ぐことがないように初めの二つのねじ山には,ねじ込み接合潤滑剤を使用しな
い。
i) それぞれのセンサにゼロ調整及びテストのための手段を講じる。適切な機器は,適切な取外しハンド
ル及び差圧圧力校正器に接続できる適切な接続口をもつ三つ又は五つの弁を備えたマニホールドであ
る。
j) 安全運転中,マニホールドのセンサ弁の手動ハンドルは,取り外されていなければならない。
k) テスト中にハンドルは取り付けられている。圧力校正器をセンサに接続し,25 %,続いて20 %に相当
――――― [JIS B 8415-3 pdf 45] ―――――
次のページ PDF 46
JIS B 8415-3:2020の引用国際規格 ISO 一覧
- ISO 13577-4:2014(MOD)
JIS B 8415-3:2020の国際規格 ICS 分類一覧
- 13 : 環境.健康予防.安全 > 13.100 : 職業安全.産業衛生
JIS B 8415-3:2020の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISB3503:2016
- プログラマブルコントローラ―プログラム言語
- JISB9705-1:2019
- 機械類の安全性―制御システムの安全関連部―第1部:設計のための一般原則
- JISB9960-1:2019
- 機械類の安全性―機械の電気装置―第1部:一般要求事項
- JISB9961:2008
- 機械類の安全性―安全関連の電気・電子・プログラマブル電子制御システムの機能安全
- JISC8201-4-1:2020
- 低圧開閉装置及び制御装置―第4-1部:接触器及びモータスタータ:電気機械式接触器及びモータスタータ
- JISC8201-5-1:2007
- 低圧開閉装置及び制御装置―第5部:制御回路機器及び開閉素子―第1節:電気機械式制御回路機器
- JISC9730-2-5:2010
- 家庭用及びこれに類する用途の自動電気制御装置―第2-5部:自動電気バーナコントロールシステムの個別要求事項