JIS C 0511-2:2008 機能安全―プロセス産業分野の安全計装システム―第２部：ＪＩＳ　Ｃ　０５１１－１の適用指針

この規格ページの目次

9 防護層への安全機能の割当て
9.1 目的
9.2 割当過程における要求事項
9.3 安全度水準4にかかわる付帯要求事項
9.4 防護層としての基本プロセス制御系に対する要求事項
9.5 共通原因,共通モード及び従属故障にかかわる要求事項
JIS C 0511-2:2008の引用国際規格 ISO 一覧
JIS C 0511-2:2008の国際規格 ICS 分類一覧
JIS C 0511-2:2008の関連規格と引用規格一覧

12
C 0511-2 : 2008 (IEC 61511-2 : 2003)
いう場合は,すべての場合において妥当とはならないので,この統計的手法を用いるときには注意が必要
である。また,事象を構築する際の兆候を調査する結果として,危険事象が発生する近くにいる人々の潜
在的な増加人員も検討することが望ましい。
  SISに対する作動要求の潜在的な発生源を評価する際には,次の状況を含めることが望ましい。
  起動操作,連続運用,停止,保全過誤,手動介入(例えば,手動制御),供給停止(例えば,空気,冷却
水,窒素,動力,蒸気,トレースヒーティングなど)作動要求の頻度を検討するときには,複雑な場合は
フォールトの木解析が必要になる場合がある。これは,厳しい結果が二つ以上の同時故障だけによって生
じる場合にしばしば必要となる。潜在危険の原因となるイベントのリスト及び各イベントに使用される頻
度に,オペレータエラーを含むかどうかの判断が必要である。当該業務が手順を進める判断である場合,
又は人の関与しない施設が不適切な業務を防ぐために提供されている場合,オペレータのエラーは考慮さ
れないことがあり得る。また,オペレータ業務による作動要求頻度の軽減及び低減に対する信ぴょう(憑)
性には注意が必要である。この信ぴょう(憑)性は,いかに迅速な対応が必要なのか,及び作業の複雑さ
などヒューマンファクターの問題によって制限することが必要とされる。オペレータがアラームの結果で
行動し,その要求されるリスク軽減が10倍以上の場合,システム全体は,JIS C 0511-1に従って設計する
必要がある。そして,安全機能を行うシステムは,潜在的な危険状態を検出する検出端,警報指示,人間
の応答,及び潜在危険を終了させるためのオペレータが使用する機器で構成される。10倍までのリスク軽
減は,JIS C 0511規格群に従う必要がないと主張できることに注意することが望ましい。このような主張
が行われる場合,人的要因の問題は,慎重に考える必要がある。リスク軽減のためにアラームを使用する
とき,アラームへの対処方法を文書化することが望ましく,オペレータは是正措置を取るのに十分な時間
があり,かつ,オペレータが予防処置を取れるよう訓練することを保証することが望ましい。
  SISに関する要求頻度を低減させることによるリスク軽減方法として警報装置を使用することができる。
− 警報装置に使用する検出端は,制御不能がSIFへの要求につながる制御目的には使用しない。
− 警報装置に使用する検出端は,SISの一部として使用しない。
− BPCSと共通原因問題に主張されるリスク軽減に関する制限が考慮に入れられる。
  SISのSIL確立に使用できる技法の例は,特定のアプリケーションに使用する方法を選択するときに考
慮する指針を含むJIS C 0511-3に示す。
  リスク軽減が必要なことを確証するときには,プロセスの安全性と環境目標とをもつことが必要である。
これらは,特定のサイト又は事業会社に特有で,安全機能を付加しない場合の危険性レベルと比較するこ
とが可能である。リスク軽減の必要性を確立した後に,プロセスを安全な状態へ戻すのにどのような機能
を実行する必要があるかを考慮する必要がある。理論上,機能は,特定技術を参照することなく概括的な
言葉で記述されることがある。例えば,過圧力防護の場合では,機能は,規定値を超える圧力上昇の防止
として記述される。安全弁又はSISのどちらかがこの機能を実行できる。機能が上記のように記述される
場合,次のライフサイクルステップ(安全計装機能の防護層への割当て)で使用する技術の種類を選択す
る。実際には,選択したシステムの形式によって機能条件は異なり,場合によっては機能技術を組み合わ
せる場合がある。
  概要すれば,潜在危険と危険分析については,次の事項を考慮に入れることが望ましい。
a) それぞれの明確にされた危険事象と,それを引き起こす事象シーケンス。
b) それぞれの危険事象が関連している事象シーケンスの影響と発生確率。これらは定量的又は質的に表
    す。
c) それぞれの危険事象に必要なリスク軽減。

――――― [JIS C 0511-2 pdf 16] ―――――

                                                                                             13
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
d) 潜在危険とリスクを軽減又は取り除くために実施する対策。
e) 想定される要求確率と機器故障率を含んだ,リスク分析中に行った予測。運用上の制約又は人的評価
    も詳細に明示することが望ましい。
f)  各SISライフサイクルフェーズで安全関連システムに関連する主要な情報の言及(例えば,検証及び
    妥当性確認業務)。
  潜在危険及びリスク危険分析を構成する情報と結果は文書化することが望ましい。
  潜在危険とリスク評価は,様々な決定がなされ,入手可能な情報がより洗練されるにつれて,総合的な
SIS安全ライフサイクルの異なる段階で繰り返されることが必要になることもある。
8.2.2 BPCSの故障はプロセス産業の多くのアプリケーションで考える必要がある重要な一つの要因であ
る。BPCSの故障は,検出端,弁又は制御システムに起因する場合があることに注意することが望ましい。
  プロセス産業に使用する制御システムは,冗長なプロセッサをもっていることがあるが,検出端及び弁
は,通常,非冗長化である。故障率をBPCSに割り当てるときには,重要な制約がある。JIS C 0511-1で
制限する危険な故障率は,この規格の要件に従ってシステムを実現しない場合,特定の潜在危険に関連し
て時間当たり10-5となる。この制限の理由は,下限の危険故障率を要求する場合,JIS C 0511-1の表4の
故障率の範囲にあるということである。この制限によって,JIS C 0511-1の必要条件を満たさないシステ
ムには高いレベルの信頼度が適用されない。
8.2.3 この規格では規定しない。

9 防護層への安全機能の割当て

9.1 目的

  SIS及びその関連SILの必要性を決定するために,他にどんな防護層が存在するか(又は,存在する必
要性)及びそれらがどれほど多くの防護を提供するかを考えることは重要である。他の防護層を考慮した
後で,SIS防護層の必要性を決めることが望ましい。SIS防護層を必要とする場合,このSISの安全計装機
能のSILについて決定することが望ましい。

9.2 割当過程における要求事項

9.2.1 実際には,本質安全な設計又は他の技術システムを用いることに問題があるので,多くの場合SIS
に安全機能を割り当てている。
  このような問題の例には,フレア容量の制限又は発熱反応に対する防護がある。安全弁のような従来の
やり方ではなく計器に基づいたシステムを使用する場合は,監督官庁に適切な理由によって支持される必
要がある。
  上記のように,潜在危険,リスク評価及び割当ては,同時に発生する業務であることがあり,また,割
当ては,ある場合には潜在危険及びリスク評価の前に行われる。使用者の組織によって実用的であるとさ
れたものに基づき,安全層へ安全機能を割り当てる決定がよく行われる。例えば,安全弁を設置していて,
それらを他の日本工業規格(日本産業規格)などに従って設計及び設置している場合,これら安全弁はリスク軽減を達成す
るのに適切であると決定されることがある。SISは,安全弁の大きさ若しくは性能がアプリケーションに
対して不十分である場合,又は大気への放出が防止されなければならない場合,圧力だけを制限する。
9.2.2 この規格では規定しない。
9.2.3 安全機能を安全計装機能に割り当てる場合には,アプリケーションが作動要求モードか連続モード
であるかを考える必要がある。プロセス分野におけるアプリケーションの大部分は,作動要求がまれな作
動要求モードで運用している。そのような場合,JIS C 0511-1の表3が適切な尺度である。作動要求が頻

――――― [JIS C 0511-2 pdf 17] ―――――

14
C 0511-2 : 2008 (IEC 61511-2 : 2003)
繁にある(例えば,1年当たり1回以上の)アプリケーションが存在し,危険側故障確率が主としてSIS
の故障率によって決定されるので,連続モードでとしてみなせるアプリケーションがある。そのような場
合,JIS C 0511-1の表4の適用が適切な尺度である。故障がすぐに危険をもたらすような連続モードのア
プリケーションはまれである。防護システムが制御システムのすべての故障モードにとって不十分である
場合,バーナ又はタービン速度制御が連続モードアプリケーションとなる。
  JIS C 0511-1の表3は,SILをPFDavgで定義する。目標PFDavgは,必要なリスク軽減によって決定する。
必要とするリスク軽減は,SISのないプロセスの危険と許容リスクとの比較によって決定できる。JIS C
0511-3の手法を使用し,量的又は質的に決定することが可能である。
  JIS C 0511-1の表4では,SIFを実行するための危険側故障頻度の目標の観点からSILを定義している。
これは,特定用途における故障結果を考慮に入れSISの許容できる故障率によって決定される。JIS C
0511-1の表4が必要なSILを決定するのに使用される場合,目標となるのは,SISの危険側故障頻度に基
づいている。JIS C 0511-1の表4を使用する場合,プルーフテスト間隔又は作動要求率を使用して,危険
側故障頻度を作動要求時の危険側故障確率として変換することは誤りである。これは,装置が正常である
かのように見えている間に,JIS C 0511-1の表4の不適切な変換をもたらして,安全機能のSIL要件の不
十分な指定となることがある。
  作動要求時の平均機能失敗確率又は時間当たりの平均危険側故障頻度は,個々の構成要素又は下位シス
テムではなく,安全計装機能に適用する。構成要素又は下位システム(例えば,検出端,論理処理部,操
作端)には特定のSIFで使用する以外では,SILを割り当てることはできない。しかし,独立した最高の
SIL能力を主張することは可能である。
  “潜在危険及びリスク評価”,及び“割当て”過程の結果では,安全計装機能のための(連続又は作動要
求の運用モードの)SIL要件とともに潜在的なSISを含んだ安全システムによって行われる機能を明確に
記載することが望ましい。これによってSIS安全要求事項仕様の基礎を形成することになる。安全を維持
するのを保証するために必要な機能を明確に記述することが望ましい。
  この段階では,検出端及び弁の詳細な構成を指定する必要はない。構成を決めるのは複雑であり,特定
のシステムが検出端2oo3及び弁1oo2を必要とするかどうかは多くの要素に依存する。
9.2.4 JIS C 0511-1の表3及び表4が意味することを完全に理解する必要がある。特に,単一の安全計装
機能に要求することが可能なPFDavgは,10-5 (SIL 4) のリスク軽減に相当する10-5に制限される。信頼性解
析では,ランダムハードウェア故障によるPFDavgは10-5以下の達成が可能であることを示すが,JIS C
0511-1では,決定論的原因故障と共通モード故障が達成可能な実際の値を制限されると推定する。危険分
析が,そのような高いリスク軽減が必要であることを示す場合,プロセス分野におけるSIL 4の安全計装
機能を達成することの困難さに注意すべきことを強く推奨する。安全度の低い複数の独立したSISを使用
することに考慮を払うことが望ましい。
  JIS C 0511-1の9.2.4の注記4に関して,次に示す。
  複数のSISが,より高いレベルのリスク軽減(例えば,103以上)を達成するために使用されることがあ
る。より高いリスク軽減を達成するために複数のSISを使用する場合,それぞれのSISが独自に安全機能
を行うことができ,かつ,SIS間で十分な独立性があることが重要である。例えば,103のリスク軽減要求
の過圧力安全機能を達成するためにSIL 2圧力検出ループとSIL 1レベル検出ループとを組み合わせること
は,レベル検出端が高レベルを検出する以前に容器がその圧力制限を既に超過していることもあるため,
推奨できるものではない。
  さらに,複数のSISを使用する場合には,共通原因故障を考慮することが望ましい。その上,表5で定

――――― [JIS C 0511-2 pdf 18] ―――――

                                                                                             15
                                                                C 0511-2 : 2008 (IEC 61511-2 : 2003)
義した最小の故障許容要求を含むJIS C 0511-1で定義した他の要件のすべてを満たすことが望ましい。
  複数のSISの結合が,より高いレベルのリスク軽減を達成するためにどう使用できるかを説明するには,
次の例を考慮する。
  2oo3伝送器,2oo3論理処理部,及び1oo2操作端は3.05×10-4のPFDavg付きSISを作り出す。このSIS
は,およそ3.3×103のリスク軽減を実現する。
  このような2台のシステムを一緒に使用することによって,10×106 (3.3×103×3.3×103) のリスク軽減
をもたらすと想定するのは不正確である。類似の技術を使用したり,同じ機能仕様,人的要因(例えば,
プログラミング,設置,保全)及び外部要因(例えば,腐食,詰まり,空気路の凍結,雷)から両システ
ムを設計するといった共通原因要素で,システムの改善は制限される。また,2台のシステム間で共有す
る構成要素も考慮する必要がある。
  より実現可能な解決策としては,(潜在的な共通原因の問題を最小にするために)できるだけ多様な状態
で構成要素を使用する非冗長な第二のシステムを利用できることもある。
  例えば,SISが単一のスイッチ,リレー論理及び単一の操作端を構成し,7.7×10-3のPFDavgをもつシス
テムを構成するとする。このシステムは,およそ1.3×102のリスク軽減を実現する。
  ソフトウェアに基づいたSISを単一リレーSISと結合すると4.3×105 (3.3×103×1.3×102) の総合的な理
論上のリスク軽減が得られる。上記のように性能を結合するのが理論的に可能であるように見える一方(ど
ちらのSISもプロセス装置を停止することがあるので),もう一度,共通の原因要素を考慮に入れる必要が
あり,達成できるリスク軽減は,これらの要素によって幾分少なくなることがある。

9.3 安全度水準4にかかわる付帯要求事項

9.3.1 この規格では規定しない。
9.3.2 この規格では規定しない。

9.4 防護層としての基本プロセス制御系に対する要求事項

9.4.1 基本プロセス制御システムは,ある条件に従って防護層として特定されることがある。プロセスリ
スクを軽減するために基本プロセス制御システムで機能を実行する場合,軽減することを意図した特定し
たリスクに対してリスク軽減を基本プロセス制御システムに割り当てることが可能である。
9.4.2 JIS C 0511-1に準拠する必要なく,計装システムに対し10未満のリスク軽減が要求されることがあ
る。これは,JIS C 0511-1の要件をシステムに対して実施する必要なく,あるリスク軽減のために基本プ
ロセス制御システムを使用可能とする。どんな主張でも,基本プロセス制御システムの完全性(信頼性解
析又は性能データで決まる)及び構成,変更,運用並びに保全に用いる手順を考慮することによって正当
化することが望ましい。基本プロセス制御システムの機能にリスク軽減を割り当てる場合には,アクセス
保護と変更管理の提供を保証することが重要である。基本プロセス制御システム機能に対して主張するリ
スク軽減は,基本プロセス制御システム機能と発生原因との間の独立性の程度によって決定する。図2は,
基本プロセス制御システム機能と発生原因との独立性を示す。

――――― [JIS C 0511-2 pdf 19] ―――――

16
C 0511-2 : 2008 (IEC 61511-2 : 2003)
                 検出端A                      コント
  発生原因                    入力                           出力
                                              ローラ
                 検出端B
                              カード1         #1            カード1
   リスク        検出端C                       コント
   軽減層                     入力             ローラ        出力
                              カード2          #2           カード2
                 検出端D
                     図2−基本プロセス制御システム機能と発生原因との独立性
  例えば,流量制御ループが発生原因である場合,この発生原因には,流量伝送器,制御機器,及び制御
弁が含まれる。基本プロセス制御システムの圧力制御ループへリスク軽減を割り当てるためには,圧力伝
送器は,独立した操作端(例えば,余剰ガス燃焼システムへの通気弁)を調節する独立したコントローラ
に接続することが望ましい。
9.4.3 この規格では規定しない。

9.5 共通原因,共通モード及び従属故障にかかわる要求事項

9.5.1 初期段階で考慮すべき重要な問題は,各層内の冗長部品間(例えば,同じ容器にある二つの圧力リ
リーフ弁間),安全層間又は安全層と基本プロセス制御システムとの間に共通原因故障が存在するかどうか
である。この例では,基本プロセス制御システム系の測定に伴う故障が当該SISに作動要求を引き起こす
ことがある場合,かつ,同一の特性をもつ装置を当該SIS内で使用する場合である。そのような場合,同
時に両方の装置の故障を引き起こす可能性のある確かな故障モードがあるかどうかを明らかにする必要が
ある。故障の共通原因を特定できる場合,次の処置を取ることが可能である。
a) 共通原因は,SIS又は基本プロセス制御システム系の設計を変えることによって軽減できる。多様性
    設計及び物理的な分離は,共通原因故障の可能性を軽減させる二つの有効な手段である。通常,これ
    は好ましい方法である。
b) 総合的なリスク軽減が適切であるかどうか決定する場合,共通原因となる事象の可能性を考慮するこ
    とが望ましい。これには,防護システム故障と同様に作動要求の原因を含んで構成される故障の木解
    析を必要とすることがある。そのような故障の木解析に共通原因故障を表すことができ,総合リスク
    に及ぼすその効果が適切なモデリング方法を通して定量化することができる。
  基本プロセス制御システムとSISとによって共有される任意の検出端又はアクチュエータは,共通原因
故障を導入しやすく,装置のこのような共有の手法は,この箇条で議論されることが望ましい。
9.5.2 共通原因,共通モード及び従属故障の発生の確からしさに関して評価が行われる場合には,次の事
項を検討する。評価の範囲,形式及び深さは,意図する機能のSILに依存する。共通原因,共通モード及
び従属故障の影響は,3以上のSILに対して支配的である。次の事項を考慮することが望ましい。
a) 防護層間の独立性 故障モード影響分析は,単一の事象が一つ以上の防護層の故障又は基本プロセス
    制御システム及び防護層の故障を引き起こす可能性があることを確証するために実施することが望ま

――――― [JIS C 0511-2 pdf 20] ―――――

次のページ PDF 21

JIS C 0511-2:2008の引用国際規格 ISO 一覧

IEC 61511-2:2003(IDT)

JIS C 0511-2:2008の国際規格 ICS 分類一覧

25 : 生産工学　>　25.040 : 産業オートメーションシステム　>　25.040.01 : 産業オートメーションシステム一般

13 : 環境.健康予防.安全　>　13.110 : 機械の安全

JIS C 0511-2:2008の関連規格と引用規格一覧

規格番号: 規格名称
JISC0508-2:2014: 電気・電子・プログラマブル電子安全関連系の機能安全―第2部:電気・電子・プログラマブル電子安全関連系に対する要求事項
JISC0508-3:2014: 電気・電子・プログラマブル電子安全関連系の機能安全―第3部:ソフトウェア要求事項
JISC0508-4:2012: 電気・電子・プログラマブル電子安全関連系の機能安全―第4部:用語の定義及び略語
JISC0508-6:2019: 電気・電子・プログラマブル電子安全関連系の機能安全―第6部:第2部及び第3部の適用指針
JISC0511-1:2019: 機能安全―プロセス産業分野の安全計装システム―第1部:フレームワーク,定義,システム,ハードウェア及びアプリケーションプログラミングの要求事項
JISC0511-3:2008: 機能安全―プロセス産業分野の安全計装システム―第3部:安全度水準の決定指針
JISC0511-3:2021: 機能安全―プロセス産業分野の安全計装システム―第3部:要求安全度水準の決定のための指針