JIS C 0511-2:2008 機能安全―プロセス産業分野の安全計装システム―第２部：ＪＩＳ　Ｃ　０５１１－１の適用指針 | ページ 13

                                                                                             57
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
c) アプリケーションソフトウェアの実行及びハードウェア構成 SIS論理処理部のための安全認証アプ
    リケーションソフトウェア開発パッケージは,SIS論理処理部入出力及び通信ハードウェアを構成す
    るために使用する。各安全計装機能及びノンクリティカルなアプリケーションソフトウェアも実行し,
    テストする。
d) 立会試験(工場出荷前受入試験) 多くの顧客が工場受け入れ試験を実施し,ハードウェア及びアプ
    リケーションソフトウェアが正しく操作することを工場へ出荷する以前にチェックする。顧客の技術
    者及び他の運用要員がハードウェアとアプリケーションソフトウェアを完全に検査する。
e)   ISの顧客サイトでの設置 供給者による設置又は監督下での設置は,工場敷地で行う。
f)  工場受入試験 SIS論理処理部に接続するための各検出端及び操作端インタフェースが適切に操作し
    ているか,また校正されているかをチェックする。アプリケーションソフトウェア全体及び保全のた
    めのバイパス機能のような項目は,再テストする。
g) アプリケーションソフトウェア及びハードウェアの部分改修 最初の設置及び稼働の後のアプリケー
    ションソフトウェア及びハードウェアの部分改修は,工場で承認した厳密な部分改修手順を用いて実
    行する。
D.2 SIS論理処理部アプリケーション開発ソフトウェア
  先に述べたように,SIS論理処理部は,JIS B 3503言語に基づいたアプリケーションソフトウェア開発
パッケージを使用した。このソフトウェアは,JIS B 3503の三つの言語,すなわち構造化テキスト,ラダ
ーダイアグラム及び機能ブロックをサポートする。コーディング標準が各言語に必要である。インストラ
クションリスト (IL) は,アセンブリ言語と同様であり,かつ,アプリケーションプログラマに適さない
ため含まれていない。これらは,JIS C 0508-7の表C.1と一致している。
  JIS C 0508-3(7.4.4及び表A.3)及びJIS C 0508-7 (C.4) に概要が記述している要件と一致したJIS B 3503
の言語の定義に多くの追加制約を課している。これらには,次の事項を含む。
a)   IS B 3503では,20のデータタイプ(BOOL,SINT,INT,DINT,LINT,USINT,UINT,UDINT,
    ULINT,REAL,LREAL,TIME,DATE,TOD,DT,STRING,BYTE,WORD,DWORD及びLWORD)
    を定義している。八つの整数データタイプが単独であることに注意することが望ましい。また,これ
    らのすべてのデータタイプのサポートは数十の変換と切捨て機能のサポートを必要とする。安全アプ
    リケーションには,これらデータタイプの多くは必要ではない。サポートするデータタイプの数は11
    に制限される。特定の言語に対して与えられる選ばれたデータタイプは,BOOL,INT,DINT,DWORD,
    REAL,LREAL,STRING,TIME,DATE,TOD及びDTである。この決定は,言語サブセットを制
    限するJIS C 0508規格群の規定と一致している(JIS C 0508-3の表A.3参照)。
b)   IS B 3503のグラフィック実行制御要素(例えば,無条件ジャンプ,条件ジャンプ,無条件リターン,
    条件リターン)の使用は,ループ実行及び実行されるべき要素のバイパスを起こす可能性があるので,
    サポートしていない(JIS C 0508-7のC.4.6参照)。
c) 多くの構造化テキスト言語ステートメント(例えば,FOR···ENDFOR, WHILE···ENDWHILE,
    REPEAT···ENDREPEAT)は,ルーピングを起こす原因になるのでサポートしていない。
d) 複数のプログラムを同一のグローバル変数へ書き込めないように制限が言語に課せられている。多く
    のプログラムがグローバル変数を読めるが,重複使用及び上書きを防ぐために,一つのプログラムだ
    けがグローバル変数に書き込むことができる。さらに,複数の書き込みが誤ってプログラムされた場
    合,アプリケーションプログラミングソフトウェアは,警告を発する。

――――― [JIS C 0511-2 pdf 61] ―――――

58
C 0511-2 : 2008 (IEC 61511-2 : 2003)
e) プログラミングソフトウェアでは,プログラムにおけるすべての要素の実行順序を明確に定義するこ
    とが望ましい。言語には,実行順序を決め,各実行可能な要素の実行順序を表示するアルゴリズムが
    ある。
f)  プログラミングソフトウェアでは,安全のクリティカルソフトウェア及び非安全のクリティカルソフ
    トウェアを分離することが望ましい。プログラマは,ソフトウェアの種類を安全プログラムと非安全
    プログラムに定義することができる。また,ソフトウェアは,安全及び非安全変数を定義することも
    可能である。非安全プログラムは,安全変数に書き込むことはできない。
g)   ARINOUT変数の使用は,ほとんどのアプリケーション使用者には非常に分かりにくいことが明ら
    かになった。VARINOUT変数の使用については,完全に文書化する必要があり,プログラミング言
    語によってサポートすることが望ましくない。
D.3 アプリケーションプログラマのためのコーディング標準
  安全アプリケーションソフトウェアの開発を確実にするために,コーディング標準をアプリケーション
プログラマのために確立することが望ましい。次に,アプリケーションソフトウェアをこの特定の開発ソ
フトウェアを使って開発する場合のアプリケーションプログラマが使用する多くの指針を示す。
a) アプリケーションプログラマは,安全計装機能を実行するために制約可変言語(機能ブロック図又は
    ラダーダイアグラム)を使用することが望ましい。これらの言語でさえ,制限されることが望ましい
    (D.2参照)。
b) 構造化テキスト(ST)は,完全な可変性言語であり,その使用は,制限されることが望ましい。可能な
    限り,その使用は,機能及び機能ブロックの実現だけに制限することが望ましい。プログラミングに
    たん(堪)能でない操作員が安全プログラムを理解するように制限を加えることができる。
c) プログラムのサイズを妥当なサイズに制限することが望ましい。異なるプロセス装置に対する安全計
    装機能は,別のプログラムで処理されることが望ましい。理想的には,プログラムは,一つのプロセ
    ス装置に対して少数の安全計装機能を含めるにとどめることが望ましい。
d) エイリアシングは避けることが望ましい。例えば,プログラミングソフトウェアが配列をサポートす
    る場合,この配列を使用するプログラムは,配列ポインタをチェックし,それが有効範囲にあること
    を確認する。
e) アプリケーションプログラムが安全クリティカル論理と同様に非安全クリティカル論理を含む場合,
    非安全クリティカル論理は,別のプログラムで処理することが望ましく,プログラムに組み込んでい
    る分離規則を使用することが望ましい。
D.4 構成/プログラミングのための他の要求事項及び安全アプリケーションのためのランタイムシステ
ム
  アプリケーションプログラミングソフトウェアには,SIS論理処理部の情報へのユーザアクセスを可能
にする多くの特徴がある。しかし,開発したソフトウェアのセキュリティを保証し,使用者がソフトウェ
アの適切な操作をチェックできることが必要である。次に,これらの特徴の幾つかを概説する。
a) プログラミングソフトウェアは,すべての使用者をその職務(例えば,経営者,工場管理者,プロジ
    ェクト管理者,上級プログラマ,プログラマ,運転員)に相応した機能にだけ制限するセキュリティ
    システムを提供する。各使用者は,名前及びパスワードでシステムにログインし,割り当てられた機
    能レベルで作業を行うことができる。また,セキュリティシステムは,顧客会社が安全プログラムの

――――― [JIS C 0511-2 pdf 62] ―――――

                                                                                             59
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
    変更をサイトの数人に制限することを望む場合,安全プログラミングにユーザレベルを与え,非安全
    プログラミングに別のレベルを与える。
b) 保護又はロックされた機能及びライブラリによって,プログラマは,それらにアクセスすることも変
    更することもできない。これによって,正式な変更要求によって承認されない場合,認定又は完全に
    試験されたライブラリは,変更できないことを保証する。セキュリティシステムによって,使用者は,
    ライブラリにアクセスして変更ができる高レベルの人(通常,経営者又は工場管理者)を定義できる。
c) プログラミングソフトウェアは,開発されているプロジェクトのすべての要素のバージョン番号を提
    供する。システム構成,機能,機能ブロック又はプログラムの変更は,その要素に対するバージョン
    番号を変更することになる。これによって,使用者は,自己の文書が古いかどうかを直ちに知ること
    ができ,変更した項目にだけ集中してテストすることができる。バージョンを比較する機能があり,
    使用者は意図的でない変化を含むすべての変更内容をチェックできる。この比較機能には,グローバ
    ルなタグネームデータベース及びプログラム実行リストの変更も含むことが望ましい。
d) ソフトウェアは,アプリケーションプロジェクトの複合ファイル構造に格納したすべてのデータスト
    リームの周期的冗長チェックを計算し,チェックすることによって,ファイルセキュリティを提供す
    る。
e)   IS論理処理部は,その診断情報へのアクセスを提供する。したがって,プログラマは,論理処理部
    の状態に基づき適切な行動を取ることができる。
f)  SIS論理処理部では,プログラマが適切な四則演算をチェックできるように算術例外を発生させるラ
    ンタイム環境を提供する。
g) プログラミングソフトウェアには,プログラミングワークステーション上で開発したプログラムのす
    べてをエミュレートする能力がある。これによって,プログラマは,開発したソフトウェアのすべて
    をSIS論理処理部にロードする前にオフラインでチェックすることができる。この特徴は,システム
    が稼働中にオンラインプログラムに対して変更を行う場合に義務付けることが望ましい。
h) ソフトウェアは,シミュレーションソフトウェアとのインタフェースとして使用可能なDDE(動的デ
    ータ交換)をサポートする。これによって,アプリケーションソフトウェアを安全制御装置にロード
    する前に,アプリケーションソフトウェアがオフラインテストできるようにする。
D.5 仮定
  ここでは,アプリケーションソフトウェアの開発に使用するハードウェア及びソフトウェアに関連する
仮定について記述する。文書化及び手順についても記述する。
a)   IS論理処理部及びその関連入出力モジュールは,第三者が評価し,JIS C 0508規格群に適合する。
    第三者が与えたJIS C 0508規格群認証の適用範囲は,SIL 3安全計装機能のコンポーネントとして使
    用する。
b) 言語は,JIS B 3503の機能ブロック図 (FBD),ラダーダイアグラム (LD) 及び構造化テキスト (ST) 言
    語などの制約可変言語のサブセットである。アプリケーションライブラリにあるすべての機能及び機
    能ブロックは,機能が安全に使用できるか,又は非安全だけに制限されるかを特定する属性をもつ。
    安全属性で指定したアプリケーションプログラムの安全計装機能を実行するには,安全属性をもつ機
    能及び機能ブロックだけが使用できる。非安全属性で指定したアプリケーションプログラムは,非安
    全属性及び安全属性がある機能及び機能ブロックを使用できる。
c) サポートしているすべてのJIS B 3503プログラミング言語並びに安全属性のある各種機能のライブラ

――――― [JIS C 0511-2 pdf 63] ―――――

60
C 0511-2 : 2008 (IEC 61511-2 : 2003)
    リ及び機能ブロックは,JIS C 0508規格群に適合するための認証を受けている。
d) すべての認証機関の制限事項及び運用手順は,ユーザドキュメントに記載する。
e)   ISのすべての要素を周期的にテストするには,保全の強制書き込みの方法論として,通常,制御中
    のプロセスを停止することなく,オンラインテストを可能にする必要がある。
f)  すべてのシステム統合機能は,JIS Q 9000又は同等の手順を用いて達成される。

――――― [JIS C 0511-2 pdf 64] ―――――

                                                                                             61
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
                                           附属書E
                                          (参考)
  安全で構成されたPE論理処理部のための外部構成診断の開発に関する例

序文

  この附属書は,安全で構成されたPE論理処理部のための外部構成診断の開発に関する例について記載
するものであって,規定の一部ではない。
  実績経験によって使用するPE論理処理部は,PE論理処理部の設計で十分な診断を明示することが望ま
しい。診断機能は,ソフトウェア又はハードウェアベースとすることが可能で,入力モジュール,基本プ
ロセッサ,出力モジュール及びコミュニケーションを含む論理処理部全体を網羅することが望ましい。
  ここでは,安全構成のPE論理処理部診断で使用する基本構想を示す。
E.1   内部構成診断
  工業プロセス分野のPE論理処理部は,内部構成の診断機能をもつ。これをこの附属書では,内部ウォ
ッチドッグタイマー (IWDT) と呼ぶ。IWDTは,PE論理処理部内で,製造業者が提供するソフトウェア,
ハードウェア及びコミュニケーション診断サブシステムを含む。
  SIFアプリケーションのPE論理処理部は,PE論理処理部のすべての要素に診断機能を提供することが
望ましい。IWDTシステムは,入力カード又は出力カードの停止からシステム全体の停止に及ぶ使用者が
選択可能なオプションを提供することができる。IWDT診断では,論理処理部製造業者が最も重要である
と考える項目をチェックする。IWDTには,次に示す限界がある。
a)   WDTがその診断機能を実行不可能にする論理処理部と同じ原因によってIWDTが故障する潜在的共
    通モード故障。
b) 実施によって,使用者に論理処理部故障状態に関連する診断情報を提供しないことがある。
c) 入出力,基本プロセッサ及びコミュニケーションを含むPE論理処理部全体をモニタできない。
d) アプリケーションソフトウェアモジュールと実行をモニタできない。
E.2   外部構成診断
a)   WDTに固有の制限事項として,安全計装機能を実行するPE論理処理部に外部のウォッチドッグタ
    イマー (EWDT) を追加する必要がある。EWDTを使用しても,安全計装機能のためにIWDTの必要
    性を排除しない。
b) 頻繁に使用されるEWDT装置の例は,周期パルスモニタ又は電子タイミングモニタである。最も基本
    的な形式では,EWDTは,PE論理処理部アプリケーションソフトウェアのアプリケーションロジッ
    クによって連続して起動される。一般に使用される概念は,必要な周期の方形波を発生させるために
    幾つかの命令のグループ(キーメモリ位置に広く分離した)にプログラムすることである。この方形
    波は,EWDTへの入力として使用される。図E.1は,PE論理処理部のパルス出力及びEWDTの出力
    を示すタイムチャートである。
c) この方形波は,EWDT出力をオンに維持する正しいタイミングシーケンスでPE論理処理部出力をオ
    ン/オフする。EWDTには,内蔵の調整可能なオンディレイ及びオフディレイタイマー機能が通常あ
    ることに注意する。EWDTのオンディレイ及びオフディレイタイマー設定は,どちらの遅れもタイム

――――― [JIS C 0511-2 pdf 65] ―――――

次のページ PDF 66