JIS C 0511-2:2008 機能安全―プロセス産業分野の安全計装システム―第２部：ＪＩＳ　Ｃ　０５１１－１の適用指針 | ページ 12

52
C 0511-2 : 2008 (IEC 61511-2 : 2003)
幾つかある。
B.3   例1
B.3.1 一般
  ここで使用する例は,確かなシナリオによるものでなく,かつ,他の安全層による共通原因故障を検討
することを除外している。前述のSIS設計プロセスをいかに適用するかを立証する特別な構成となってい
る。
B.3.2 危険なシナリオ
  蒸気加熱反応器の温度制御が異常となり,蒸気制御弁を完全に開ける。
B.3.3 SRS及びSIL
安全要求仕様 : 反応器圧が1 MPaを超える場合,発熱反応を避けるため,20秒以内に反応器ジャケットへ
の蒸気を閉じる。オペレータの動作は必要としない。必要なSILは3である。
B.3.4 システム構成
システムコンポーネント : 圧力検出端構成,論理処理部構成,操作端構成。実績経験による使用の知能型
検出端は,論理システムの入力に直結する。
  緊急遮断弁は,電磁弁と統合し,論理システムの出力に直結する。すべてのMTTFデータは,実際の運
用経験に基づく。
使用可能な計装 : 
a) 圧力検出端がJIS C 0511-1の11.4.4に準拠する : MTTF 105 h,DC=70 %,SFF=90 %,プルーフテス
    ト間隔,毎年,MTTR=8 h.
b) 緊急遮断弁がJIS C 0511-1の11.4.4に準拠する : MTTF 8×104 h,DC=0 %,SFF=60 %,ルーフテス
    トを半年ごとに実施,MTTR=8 h.
単一要素のPFD : 
a) 検出端 : 2.2×103(A.1参照)−許容できない
b) 論理処理部(冗長化) : 1.3×104,I/Oインタフェースを含む(認証書から)
c) 弁 : 2.41×103(A.1参照)−許容できない
許容できる検出端の構成を見出す : 1oo2の冗長化の選択
  共通原因=10 %,DC=90 %(A.1参照)
  1oo2検出端構成の新PFD : 2.3×104
  JIS C 0511-1の表6及び11.4.4をチェックする。実際の故障許容=1→SIL 3−許容できる
許容できる操作端の構成を見出す : 1oo2の冗長化の選択
  共通原因=10 %(A.1参照)
  1oo2操作端構成の新PFD : 4.65×10−4
  JIS C 0511-1の表6及び11.4.4をチェックする。実際の故障許容=1→SIL 3−許容できる
PFDのチェック : 検出端+論理処理部+操作端
  (2.3+1.3+4.7)×10−4=8.3×10−4<10−3
B.3.5 付加的構成関連安全ソフトウェア
検出端構成ソフトウェア : 上記の1oo2検出端について,信号選択ソフトウェアが,次の事項を生じた場合,
蒸気弁を閉じるようにプログラムしている。
a) 二つの検出端の一つが指定プロセス値を超えた状態を検出する場合

――――― [JIS C 0511-2 pdf 56] ―――――

                                                                                             53
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
b) 診断機能が危険な故障を示す場合
操作端構成ソフトウェア : 安全出力動作が安全プログラムで実行する場合,両方の蒸気弁出力はオフとな
る。
B.4   例2
B.4.1 一般
  低いSILをもたらす結果及び類例
B.4.2 危険なシナリオ
  蒸気加熱反応器の温度制御が異常となり,蒸気制御弁を完全に開ける。
B.4.3 SRS及びSIL
安全要求仕様 : バッチ反応器圧が1 MPaを超える場合,発熱反応を避けるため,20秒以内に反応物質“A”
の反応器への供給を遮断する。オペレータの動作は必要としない。必要なSILは2である。
B.4.4 システム構成
システムコンポーネント : 圧力検出端構成,論理処理部構成及び操作端構成。実績経験による使用の知能
型検出端を,論理システムの入力に直結する。緊急遮断弁を電磁弁と統合し,論理システムの出力に直結
する。すべてのMTTFデータは,実際の運用経験に基づく。
使用可能な計装 : 
− 圧力検出端がJIS C 0511-1の11.4.4に準拠する : MTTF 105 h,DC=70 %,SFF=90 %,プルーフテス
    ト間隔,毎年,MTTR=8 h
− 緊急遮断弁がJIS C 0511-1の11.4.4に準拠する : MTTF 2.5×104 h,DC=0 %,SFF=60 %,ルーフテ
    ストを毎週 (168 h) 実施,MTTR=8 h
単一要素のPFD : 
a) 検出端 :  2.2×10−3(A.1参照)−許容される
b) 論理処理部(冗長化) : 1.3×10−4,I/Oインタフェースを含む(証明書から)
c) 弁 : 次を参照(公式については,A.1参照)
単一検出端のPFD : 
a) 1oo1検出端構成のPFD : 2.2×10−3
b)   IS C 0511-1の表6及び11.4.4をチェックする。実際の故障許容=0→SIL 2−許容される
単一操作端のPFD : (公式については,A.1参照)
  PFD = λD×tCE, λD=1/(25 000×2), tCE=168 / 2+8
  1oo1 操作端構成のPFD : 1.84×10−3
  JIS C 0511-1の表6及び11.4.4をチェックする。実際の故障許容=0→SIL 2−許容される
PFD チェック : 検出端+論理処理部+操作端
  (2.2+0.1+1.8)×10−3=4.1×10−3<10−2
B.4.5 付加的構成関連安全ソフトウェア
操作端構成ソフトウェア : 安全出力動作を安全プログラムで実行する場合,蒸気弁出力はオフとなる。さ
らに,弁が作動するたびに(バッチ当たり一度,通常8時間ごと)弁が安全状態であることを明示する監
視ソフトウェアがある。テストが失敗した場合,又は最後のテスト以来168時間以上が経過している場合,
論理処理部は安全な出力状態(緊急遮断弁は閉状態)となり,警報を発する。この自動テストでは,PFD
計算でプルーフテスト間隔を168時間に設定することができる。

――――― [JIS C 0511-2 pdf 57] ―――――

54
C 0511-2 : 2008 (IEC 61511-2 : 2003)
                                          附属書C
                                          (参考)
                          安全PLCのアプリケーション機能

序文

  この附属書は,安全PLCのアプリケーション機能について記載するものであって,規定の一部ではない。
  ここでは,小規模な安全PLC(例えば,150未満の入出力)をSISアプリケーションで利用するとき,
インテグレータが考える幾つかの重要な段階の概要について示す。初期の設計計画の段階で,読者を支援
するために提示する。
  安全PLCは,JIS C 0508規格群による認定SIS論理処理部である。特定の安全アプリケーションにおい
て,検出端及び操作端をSIS論理処理部に接続し,アプリケーションプログラムが実現する。SIS論理処
理部の故障に関連するすべての安全機能(例えば,オンラインチェック,時間管理)は,組込システムの
一部である。検出端及び操作端にとって必要なチェックは,アプリケーションソフトウェア内で行われる。
幾つかの機能に関しては,承認済機能ブロックが存在する。
  すべての装置の安全度データ(例えば,PFD,SIL要求限界など)が存在する。論理処理部の安全度デ
ータは,論理処理部のマニュアルに記載している。
C.1 システム
  SIS論理処理部は,安全アプリケーションに対して特別にデザインされたPLCであり,JIS C 0508規格
群のSIL 3まで準拠するタイプである。安全関連のプロセス信号及び他の安全PLCとの通信のための入出
力インタフェースをもち,かつ,安全関連でない信号及び通信のためのインタフェースももつ。システム
は,次からなる。
  − 機能安全の特別なハードウェア上の特徴,特別なオペレーティングシステム及び故障管理の組込機
      能をもつCPU(アプリケーションプログラミング及びソフトウェア統合において,冗長化は開発シ
      ステムとして用意される。プログラマは,一つのCPUだけを扱う。)
  − 制約可変言語(例えば,機能ブロック図)の開発システム
  − 承認された機能ブロックがあるライブラリ
  − 安全計装機能パラメータの特別な構成ツール
  − ダウンロードされたランタイムアプリケーションソフトウェアがソースアプリケーションソフトウ
      ェアと同一であることを確かめるツール
  − 安全手順書

――――― [JIS C 0511-2 pdf 58] ―――――

                                                                                             55
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
          検出端                                                  操作端
                                    論理処理部
                                       図C.1−論理処理部
C.2 作業過程
a) 安全要求仕様は,この規格に準拠する。幾つかの重要な検討事項を,次に示す。
  1) すべての安全計装機能の仕様
  2) アナログ入力範囲
  3) 検出端及び操作端のオンライン診断の定義
  4) 検出された故障モードの場合のシステム反応の記述
  5) 安全計装機能パラメータの定義(例えば,最大サイクルタイム,比較入力の相違の最大許容時間)
  6) 安全手順書の制限事項
b) アプリケーションソフトウェア安全要求仕様は,a)から導かれることが望ましい。
      安全手順書には,論理処理部のハードウェア (PLC) に関する安全要求事項を記載する。制約事項と
    しては,性能限界,記憶容量,応答時間のような項目を主として適用する。ソフトウェア構成及びコ
    ード実現の制約事項を,安全手順書に記載する。それらは,PLCの開発システムに言及する。制限事
    項の大部分は,制約可変言語の使用によって暗黙のうちに対応できる。
c) アプリケーションソフトウェア構成 デザイン アプリケーション構成デザインは,安全計装機能及び
    プロセスに特定の運用モードを密接に反映することが望ましい。
d) アプリケーションソフトウェア開発 アプリケーションソフトウェア開発は,既存の機能ブロックの
    使用で容易になる。
e) 統合 統合には,構成データ(例えば,入出力テーブル)及びアプリケーションソフトウェアのダウ
    ンロード及び初期設定と異なるすべてのパラメータの設定を含む。
f)  検証 アプリケーションソフトウェアは,システムの統合の前又はシステム統合の後に検証する。開
    発環境は,検証をサポートする。

――――― [JIS C 0511-2 pdf 59] ―――――

56
C 0511-2 : 2008 (IEC 61511-2 : 2003)
                                          附属書D
                                          (参考)
       SIS論理処理部のアプリケーションソフトウェア開発方法論の例

序文

  この附属書は,SIS論理処理部のアプリケーションソフトウェア開発方法論の例について記載するもの
であって,規定の一部ではない。
  この例では,SIS論理処理部のインテグレータが顧客の安全アプリケーションソフトウェアをどのよう
に開発するかを説明する。このソフトウェアは,通常,この附属書で示すシステム全体の統合プロセスの
一部として開発する。
  安全アプリケーションソフトウェア開発方法論が重要視されるので,アプリケーションプログラムの開
発に使用したアプリケーションソフトウェア開発ツール,プログラミング言語及びコーディング標準につ
いて論じることが重要である。この議論の目的は,SIS論理に使用するソフトウェア開発ツール,プログ
ラミング言語及び関連言語翻訳プログラムに関する典型的な特徴例を提供することである。
  SIS論理処理部には,多くのJIS B 3503言語をサポートするアプリケーションプログラミングソフトウ
ェア開発ツールがある。JIS B 3503では,PLCのはん(汎)用プログラミングのために多くの言語を定義
している。JIS B 3503では,安全の適用に対処しないため,次の事項を決定している。
a) プロセス分野に共通の制約可変言語を使用する。
b) 安全の適用に不適切な言語構築を取り除く。
c) コーディング標準を使用し,クリティカルな適用のための言語構築を更に制限する。
d) アクセス保護及びファイル保護の特徴を取り入れる。
e)   IS B 3503の機能,機能ブロック及びプロセス関連機能(例えば,アナログデータ処理,火災感知器
    及びガス検出端)の認定ライブラリを供給する。
f)  アプリケーションプログラミングソフトウェア開発ツール,ライブラリ及び言語翻訳プログラムの第
    三者証明を提供する。
  これら決定事項については,D.2で更に詳細に説明する。また,D.3でSIS論理処理部プログラマが使用
するコーディング標準の例について説明する。D.4では,ソフトウェア開発ツールのために考慮すべき追
加要件事項について論じる。
D.1 システム全体の統合プロセスの概要
  多くの業務から構成するSIS論理処理部をもつ主要なSIS統合サービスは,次の事項を含む。
a) ハードウェアの統合 これは,プロセス信号を論理処理部入出力モジュールに接続するための適切な
    ターミネーションパネルのあるキャビネットにSIS論理処理部を設置することである。また,通常,
    論理処理部及びフィールド装置用の電源と配電装置を含む。
b) アプリケーション論理の定義 SIS論理処理部統合サービスでは,顧客エンジニアと綿密な共同作業
    によって,詳細な論理を定義することもある。それぞれの安全計装機能のアプリケーション論理は,
    検出端及び操作端の冗長化を考慮に入れ,定義する。プロセスが稼働している間,SISを試験及び保
    全するためのインタフェースも顧客の操作上の要求事項を満たすために定義する。付加的な重要でな
    い論理も含むが,安全機能と同じ規格に対して厳密に分離し,設計している。

――――― [JIS C 0511-2 pdf 60] ―――――

次のページ PDF 61