ISA-Japan Section

IS A - J a p a n S e c t i o n
NEWSLETTER
http://www.venus.dti.ne.jp/~isaj
Volume 10 No.30 2007
and even if the center of work becomes software from
From a treasurer of
Japan Section
hardware, the work of instrumentation does not change
in principle. This is applied also to the role of ISA
- ISA and volunteer activities for me -
activities
Yuichi Fujita
Although
Toyo Engineering Corp.
Japan
accomplished
revival
and
development remarkable after the world war II, now, it
rushes into an aging society and came to have many
The culture shock of my beginning was a time of
problems. How to get the purpose of life is the one of
getting to know ISA. It was a time of receiving training
them. A volunteer activity can be considered to one of
in the company of a nuclear technical-related cooperator
the measure of this.
in the U.S.A., when I was 35 years old. The American
The standardization work of ISA serves as a
engineer was performing the technical exchange freely
contribution to society. This means that the futility of
in society called ISA over the frame of a company. This
work is decreased, you urge increase the work
was what I f do not think in those days. The meaning
efficiency and the time at leisure which an individual
and importance which a standard has have also been
can use, The view of the volunteer activity of
understood only after
I got to know existence of such
contributing to society will make the human life rich,
Moreover, I considered the meaning of
and it is recognized as it being what is connected with
society.
contributing to society through such activity, and came
purpose in life.
to understand it.
In Japan, the volunteer was rather concentrated on
Since then, I advanced a certain volunteer activity,
disaster restoration activities etc. Although what is
and joined an organization called ISA Japan from
called the activity of NPO has spread in various fields,
1994.As for the history of instrumentation, I hear that
of course recently, it is less than a volunteer activity still
the name is coming from the arrangement of the musical
like U.S. ISA.
instrument
of
From the view of activation of Japan which greets
instrumentation in orchestra ]. Instrumentation work in
an aging society, I think that a volunteer activity like
the industry deal with various fields knowledge and
ISA is what should generally be accepted more. And I
summarizes them for use.
also regard establishment of economic foundations,
October 2007
of
orchestra
[just
like
work
Although a time changes,
1
ISA-Japan Section Newsletter Vol.10 No.30
such as preferential treatment of the taxation system, as
この対策のひとつにボランティア活動が考えられま
required in future Japan.
す。
ISA の標準化作業は,作業の無駄を減少し、効率化
＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜
を促し、個人の使える自由時間を増加させ、社会への
日本支部役員巻頭言
貢献となります。自主的に物事を決定し、社会に貢献
するというボランティア活動の考え方、人生を豊かに
- - -私にとってのＩＳＡとボランティア活動- -- ISA 日本支部会計担当
し、生きがいと繋がるものであると認識しています。
藤田雄一
日本ではボランティアはどちらかというと災害復
東洋エンジニアリング株式会社
旧活動などに集中していました。もちろん最近はいわ
私の最初のカルチャーショックはＩＳＡを知った
ゆるＮＰＯの活動がいろいろな分野に広がってきま
ときでした。それは私が 35 歳のとき米国の原子力技
したが、まだアメリカのＩＳＡのようなボランティア
術関係の提携先の会社でトレーニングを受けたとき
活動には及びません。
でした。アメリカの技術者は会社の枠を超えてＩＳＡ
高齢化社会を迎える日本の活性化という観点から、
という社会の中で技術的なやり取りを自由に行って
ＩＳＡのようなボランティア活動は一般的にもっと
いました。これは当時の私には考えられないことでし
認められてよいのではないかと思います。そしてそれ
た。標準の持つ意味や重要性もこのような社会の存在
を支える税制措置の優遇など、経済的基盤の確立もこ
を知ってはじめて理解できました。またそのような活
れからの日本では必要であると思います。
動を通して社会に貢献するといった意味を,私は考え、
理解するようになりました。
以来、1994 年からは微力ながらＩＳＡＪａｐａｎ
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
という組織を通して何らかのボランティア活動を進
めてきました。
レターへの投稿歓迎
計装の歴史は其の名前はオーケストラの楽器のア
＊レターは年３回の発行です。解説記事、技術報
レンジから来ているとの事。色々な分野の仕事をまと
告の他、エッセー、所感など種類は問いません。
めるのがまさに計装の仕事のようです。
会員の皆さんからの投稿をお待ちしています。
これは時代が変わり、仕事の中心がハードウエアか
問い合わせは、会報担当・小川までお知らせ下さ
らソフトウエアになってきてもかわるものではあり
い。
ません。これは ISA の役割にもあてはまります。
連絡先：[email protected]
日本は戦後めざましい復興と発展をとげましたが
＊レターのバックナンバーも若干ありますので、
今は高齢化社会に突入し多くの問題を抱えるように
ご連絡下さい。
なりました。其のひとつに生きがいの問題があります。
October 2007
2
ISA-Japan Section Newsletter Vol.10 No.30
第2部
電気・電子・プログラマブル電子安全関連系
に対する要求事項
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
技術報告
機能安全規格の最新動向
Recent trend of functional safety standard
第3部
ソフトウェア要求事項
第4部
用語の定義及び略語
第5部
安全度水準決定方法の事例
第6部
第 2 部及び第 3 部の適用指針
第7部
技術及び手法の概観
IEC 61508 は、製品規格であるとともにマネージメ
株式会社日本機能安全田辺安雄
ントの規格でもある。安全は企業一社では達成される
Japan Functional Safety Inc. Yasuo Tanabe
ことは難しく、部品メーカー、サブシステム統合会社、
エンジニアリング会社は勿論のこと、システム運用会
１．はじめに
社といった安全関連系の供給チェーンに広く関係す
様々な産業において、実用性に富むことから安全確
る。このため、規格では概念・設計・保守・改修・廃
保の目的で、コンピュータ技術が使用されるようにな
却に至る図 1 に示す全安全ライフサイクル及び安全
ってきて久しい。この結果、コンピュータのような複
関連系の設計に係るハードウェア・ソフトウェアライ
雑なシステムの使用によって、故障に対する確率論的
フサイクルの各業務フェーズへの要求事項と各フェ
な取り扱いやソフトウェアに対して安全確保の枠組
ーズからの出力が適合していることを系統的に検証
みを与える必要性が生じてきた。一方では、IEC/ISO
する業務管理が要求されている。安全ライフサイクル
a)
ガイド 51 に代表されるリスクベースの安全の考え
の導入の背景については、イギリスの HSE が出版した
方が登場してきた。このような動向を踏まえ、電気・
Out of Control d)を参照されたい。
電子・プログラマブル電子技術を使用した安全関連系
１
の設計・管理に対して IEC(International Electro
２全ての対象範囲の定義
概
念
b)
３
潜在危険リスク解析
を制定し、日本でも、ほぼ同時に JIS C 0508 c)が制定
４
全ての安全要求事項
５
安全要求事項の割当て
technical Committee)は、機能安全規格 IEC 61508
破線は規格対象外で
あることを示す。
された。
全ての計画の作成
制定当時は殆ど関心が寄せられなかったが、様々な
設置及び
安全妥当
運用及び
６保全計画７性確認計８引渡し計
画
画
産業分野の安全規格に引用され、海外からの発注条件
９
安全関連系
E/E/PE
10
実現
に規定されるようになると、次第に国内でも関心を寄
12
全ての設置及び引渡し
せられるようになってきた。最近では、自動車産業や
13
全ての安全妥当性確認
産業機械などの分野で ISO からも機能安全の分野規
14 全ての運用保全及び修理
15
格を審議・制定されるようになり、機能安全に対して
一層の関心が寄せられている。
安全関連系
その他技術
実現
11
外的リスク
軽減施設
実現
適切な安全ライフサイクル
フェーズに戻る
16 全ての部分改修及び改造
使用終了又は廃却
図 1 全安全ライフサイクル
一般にコンピュータの部品は故障する。また、使用
２．IEC 61508
するソフトウェアにはバグといった類のソフトウェ
IEC 61508(JIS C 0508)は 7 部から構成され、全 400
アエラーがある。安全関連系を作動させる必要がある
頁からなる大きな規格である。
事態に、ハードウェア部品の故障やソフトウェアのエ
JIS C 0508 ：電気・電子・プログラマブル電子安全
ラーによって正しく動作しないときには、事故に至る
関連系の機能安全
可能性がある。IEC 61508 では、安全関連系の作動信
第1部
頼性を表 1 に示す 4 段階の安全度水準（SIL; Safety
一般要求事項
October 2007
3
ISA-Japan Section Newsletter Vol.10 No.30
Integrity Level）と呼ぶ指標に照らし合わせて評価
る基本プロセス制御系と、何らかの異常により内部圧
することを要求している。
力が上昇した場合に、反応容器が破壊しないよう圧力
を監視する圧力センサー（ここでは、3 つ）、プログ
SIL が大きいほど、リスクはより軽減されること
ラマブル電子機器、遮断弁及び逃し安全弁からなる防
表 1 安全度水準（SIL）
低頻度作動要求モー
高頻度作動要求又は
SIL
ド運用（注 1）
連続モード運用（注 2）
4
10－５以上 10－４未満
10－９以上 10－８未満
－４
－３
3
10 以上 10 未満
10－８以上 10－７未満
2
10－３以上 10－２未満
10－７以上 10－６未満
－２
－１
1
10 以上 10 未満
10－６以上 10－５未満
注 1 作動要求当たりの設計上の機能失敗平均確率
注2 単位時間当たりの危険側故障確率[1/時間]
逃し安全弁
防護系
防護層
安全関連系高圧
運転員
遮断弁
応答
(SIL2)
圧力センサー
ｱﾗｰﾑ
逃し
安全弁
ｼﾅﾘｵ
1.
1
プログラマブル
電子機器
2
9×10-3
8×10-5
2.
3.
3
頻度（/年）是非
8×10-2
OK
OK
NO
反応容器
液位センサー
を示している。
遮断弁
従来の EN954-1 e)に規定されるカテゴリーのような
9×10-6
NO
5.
1×10-2
OK
6.
9×10-5
NO
制御弁
基本プロセス制御系
定性的な判断基準では、アセッサーの主観的な判断に
図2
なりがちであり、より客観的に判断が可能な定量的尺
4.
7.
1×10-5
NO
NOの頻度の合計＝ 1.9×
10-4
反応容器
度が導入されるようになったといわれている。
３．機能安全の実現
成功
0.9
プラントには制御系があるが、センサーによって状
態を監視し、異常があったときにプラントを停止する
0.9
0.9
9
10-1
などの安全機能を有する場合、安全関連系とみなされ
過圧
10-1
(/年)
る。なお、安全は機械系など他の技術による安全関連
0.9
10-２
10-1
失敗
0.9
9
系や、防護壁などの外的リスク軽減施設を必要に応じ
10-1
て設置しても確保される。しかし、IEC 61508 は
0.9
10-２
10-1
E/E/PES に基づいた安全関連系に関する安全管理や安
全技術を規定し、他技術安全関連系や外的リスク軽減
ｼﾅﾘｵ 1、2、5；物質放出なし２．７．１、3、6；逃し弁放出、4、7；
反応容器破壊
施設については対象外としている。
図3
安全関連系は、コントローラやセンサー、アクチュ
イベントツリー
エータなどのサブシステムから構成される。従って、
御系から構成される
安全機能は個々のサブシステムだけによってではな
最初にリスク目標が定義される必要があるが、ここ
く、これらのサブシステムが全て機能したときに実現
では、定量的な例とし、「1 年に 10-３以上の頻度で反
される。
応容器からガスが放出されない」とする。このシステ
反応容器の安全関連系の設計事例をもとに、3.1 で
ムにおいて過圧事象は１年に１回発生すると仮定し、
はどのように SIL を決定するかを、3.2 ではどのよう
図 3 に示すイベントツリーによって事故シナリオを
に要求された SIL を実現するかについてみてみよう。
定量化する。アラームや運転員対応及び機械的な安全
3.1 SIL の割り当て
関連系の逃し安全弁の作動失敗確率をそれぞれ 0.1
図 2 は内部で化学反応を行う反応容器である。液位
とする。
を監視し物質の流入を制御する制御弁から構成され
October 2007
さらに、2 桁以上リスク軽減をはかれる機能失敗平
4
ISA-Japan Section Newsletter Vol.10 No.30
ハードウェアフォールトトレランス N は、N+1 個のフォールトが
安全機能の喪失を引き起こすことを意味する。
均確率が 10-3 から 10-2 の範囲にある SIL2 の安全関連
系である遮断弁を設置し、圧力異常を圧力センサーに
よって検知した場合には、逃し安全弁が作動する前に
次に、サブシステムの安全側故障割合（故障しても
反応容器への物質の流入を遮断する。この場合には、
ムのアーキテクチュア制約によるハードウェア安全
7 つのシナリオが考えられ、放出頻度をイベントツリ
度水準を表 2 に示す。
-4
ーで計算すると、１年に 1.9×10 となり目標値を満
リスクの発現に至らない故障の全体の故障率に対
足する。従って、SIL2 が割り当てられる。
する割合）とフォールトトレランスとの関係で SIL が
なお、ここでは定量的な評価事例を紹介したが、リ
制約される。即ち、これ以上の SIL は認められないこ
スクグラフ、リスクマトリックスのような定性的な手
とを意味している。
が広く使用されている。
一方、センサー、コントローラ、最終要素（遮断弁）
3.2 SIL の実現
から構成される全体システムで SIL2 を実現するため
には、最低の SIL のサブシステムで制約されるので、
安全関連系は、ランダムハードウェア故障と決定論
的原因故障に対して SIL2 を実現可能な水準にあるこ
それぞれのサブシステムは SIL2 以上のアーキテクチ
とを確認する必要がある。ランダハードウェア故障は、
ュアで構成する必要がある。
主にハードウェアに関し、部品や材料の劣化などによ
(b)作動要求あたりの危険側故障確率
り起こるものであり、いつ発生するかはわからないが、
アーキテクチュア上の制約に加えて、作動要求あた
その発生頻度が定量化できる故障である。
りの危険側故障確率が目標とする SIL も同時に満足
する必要がある。
一方、決定論的原因故障は、設計の誤りや製造ミス
など、発生してみて初めてわかる定量化できない類の
ここで、危険側故障確率は安全関連系の作動要求モー
故障であり、ハードウェアとソフトウェアの両方に発
ド、プルーフ試験間隔、平均修復時間の条件を設定し
生する。
た後、個々のサブシステムの故障率λ、診断試験で検
知されない故障の共通原因故障割合β、診断試験で検
3.2.1 ハードウェア安全度水準要求事項
知される故障の共通原因故障割合βD 及び自己診断率
ランダムハードウェア故障については、アーキテク
DC を用いて計算される。
チュア上の制約事項と危険側ランダムハードウェア
故障確率の要求事項を同時に満足する必要がある。
3.3
(a) アーキテクチュア制約
次に、ランダムハードウェア故障に対するハードウ
安全機能を達成するために要求されるサブシステ
ェア安全度水準要求事項に加えてハードウェアとソ
ムに使われる部品の信頼度等によって、使用する部品
フトウェアの決定論的原因故障の要求事項を満足す
がタイプ A か B の製品として分類する。部品の素性が
ることが要求される。
より明確な場合にはタイプ A、そうではない場合には
これらの要求事項はハードウェアライフサイクル
タイプ B となる。タイプ A、B の安全関連サブシステ
及びソフトウェアライフサイクルの各開発フェーズ
について規定されている。ハードウェアについての故
表 2 ハードウェア安全度水準；安全関連サブシステ
ムのアーキテクチュア制約
安全側故障割合
＜６０％
６０％≦ ＜９
０％
９０％≦ ＜９
９％
≧９９％
October 2007
障回避手段は、第 2 部付属書 B に、運転中の故障抑制
ハードウェアフォールトトレランス
手段が第 2 部付属書 A に合計で 100 以上示されている。
（タイプＡ／タイプＢ）
０
１
２
SIL1／不可
SIL2／SIL1
SIL3／SIL2
SIL2／SIL1
SIL3／SIL2
SIL4／SIL3
SIL3／SIL2
SIL4／SIL3
SIL4／SIL4
SIL3／SIL3
SIL4／SIL4
SIL4／SIL4
決定論的故障に対する要求事項
ソフトウェアについても同様に、第 3 部付属書 A に
100 以上の手法が提示されている。
5
ISA-Japan Section Newsletter Vol.10 No.30
ISO 13849-1
IEC 62304
すなわち、これらの技法を SIL に応じて採用するこ
とで、様々なフェーズで SIL を実現・維持できるとし
ている。
2007
IEC 61800
2008
2009
ISO 26262
IEC 61508 訂 1
機械類
医療（ソフトウェア）
可変速電動ドライブ(予
定)
自動車(予定)
予定
なお、現在、IEC 61508 は 2009 年に改訂版を制定す
4.機能安全評価と認証
IEC 61508 では、規格への適合を自己宣言すること
べく審議中であり、安全側故障割合の是非、COTS ソ
が認められている。このため、適合を調査する機能安
フトウェアの適用、ASIC の開発プロセス・オンチッ
全評価を要求されている。
プ冗長などについて審議されている。
規格では、E/E/PES の安全度水準の程度、または災害
6. まとめ
の過酷度に応じた独立性をもった機能安全評価者を 1
IEC 61508 が登場した当初は国内では殆ど関心を寄
名以上任命することを要求しており、要求事項と照ら
せられなかったが、多くの分野規格の登場と海外から
し合わせて、受容、条件付受容、拒否のいずれかの勧
の発注仕様書に規定されるようになると、次第に国内
告を行う役割を担っている。
でも関心が高まってきた。IEC 61508 は製品規格でも
一方、外部の第三者機関による認証も海外では行わ
ありマネージメントの規格もある。ソフトウェア安全
れている。これまでの製品安全においては、製造者が
といった新しい概念も扱われている。また、現在の改
設計・製造する製品が関連製品規格に適合しているこ
訂版では日本が最も得意とする ASIC のような技術に
とを認証してきたが、機能安全においては、製造者だ
対する安全上の規定についても審議されており、さら
けではなく、エンジニアリング会社や運用会社をも巻
にグレードアップされる予定である。また、近年では
き込んだライフサイクルに渡りマネージメントの認
ISO から自動車の機能安全規格の制定準備が進んでい
証が展開されている。
る。国内でも、このような国際的な動向に遅れないよ
5．分野規格の動向
うにすることが肝要である。
IEC 61508 は、安全関連系の供給側使用規格の側面
参考文献
a) ISO/IEC GUIDE51，1999.
b) IEC 61508，"Functional Safety of Electrical/
Electronic/Programmable Electronic Safety
Related Systems"，1998.
c) JIS C 0508，「電気・電子・プログラマブル電子
安全関連系の機能安全」，日本規格協会，2000.
d) OUT of CONTROL， HSE Books， 1995.
e) EN 954-1，Safety of machinery - Safety-related
parts of control systems - Part 1: General
principles for design，1996
がある。規格制定の目的の一つには、分野規格の制定
を促すことがあり、運用側の分野規格や指針類が制定
され始めた。表 3 は機能安全の分野規格制定の動向に
ついて示す。分野規格は IEC 61508 の規定をそのまま
取り入れているとは限らず、取り入れ方は多様である。
年
1998
1999
2000
2001
2002
2003
2004
2005
2006
表 3 機能安全規格の制定状況
国際規格
備考
IEC 61508-1、3、
－
4、5
－
－
IEC 61508-2、6、
－
7
IEC 61513
原子力
IEC 62278
鉄道
IEC 62279
鉄道
IEC 61511-1、2、
プロセス産業
3
IEC 62061
機械類
IEC 60800
原子力（ソフトウェア）
October 2007
著者略歴：田辺安雄 1974
年 3 月大阪大学大学院工
学研究科修了応用物理専
攻，同年 4 月（株）東芝
入社，原子力事業部にて
原子炉設計，安全設計に
従事，2001 年 11 月から
電力システム社の事業開
発推進室にて IEC 61508 の普及活動に従事，2005 年
10 月，ガイア・システム・ソリューション入社，機
6
ISA-Japan Section Newsletter Vol.10 No.30
能安全コンサル業務に従事，2007 年 9 月現在，株式
会社日本機能安全で同業務に従事。
IEC 61508 国際委員会エキスパート，国内対策委員会
委員
に以下に役割を述べる。
１）S84 1996 年版の目的は IEC の機能安全規格の
発行が遅れ、OSHA の要求に対しするガイドライン
として先行発行された。作成当時から IEC/ISA とし
以上
て考慮された規格でもあった。（以降 S84 1996 年
解説
版を Grandfather と称す）
機能安全 ISA84 の歴史と安全防護層例
表 1 ISA S84 の歴史
Recent trend of functional safety standard
有限会社末沢システムズ
代表
末澤洋介
技術士（電気電子、総合技術監理部門）
発行年規格、規定名
備考
1992年 OSHA (29CFR$1910.119)
プロセス安全解析の実施
1996年 ANSI/ISA S84
dTR Part1-5の内部配布
1999年 IEC 61508 (2000年JIS化)
機能安全の全体規格
2002年 ANSI/ISA S84 TR Part1-5
dTR Part1-5の改訂版
2003年 IEC 61511
プロセス産業向けセクター規格
2004年 ANSI/ISA S84 2004
IEC61511Mod
Guide Line & Sample of 2004 年
版
2005年 ANSI/ISA S84 2005 Part1&2
１．はじめに
２）IEC61508 発行後も IEC61511 発行前は Grandfather
近年、世界で最も安全と自負してきた日本のプロセ
が USA 等各国で使用されていた。（61508 重視のヨ
ス産業において事故が多発している。原因として、長
ーロッパと 2 極化があったと考えている）なお、USA
い不況によるプラントの老朽化や 2007 年問題などが
主導で作成された経緯から IEC61511 は
ささやかれている。一方、国際的には IEC61508 を傘
Grandfather の影響を色濃く受けており Practice
にしたプロセス産業向け機能安全規格 IEC61511 が発
を重視した規格となっている。
行され、新規プラントへの適用が始まっている。
３）S84 2004 年版（IEC61511Mod）（以降 S84 と略す）
日本でも 2000 年に IEC61508 は JIS0508 として規格化
は Grandfather の継続的使用に関する項目として
され、さらに IEC61511 の JIS 翻訳版はすでに手続き
1.0y)が追記されているのみで本文は同じである。
を残すのみである。
４）S84 2005 Part１は Guideline であり Grandfather
機能安全の実現は H（健康）S（安全）E（環境）の
の継続的使用に対する留意点、S84 の文面の行間解
マネジメントシステム手順に従い PHA （ Process
釈、疑問に対しての回答、注意点及び Check Lists
Hazardous Analysis）によりリスクを特定、評価後に
等が Annex A-O に記されている。
リスクを広く社会が受容可能な領域、もしくはやむな
主要な Annex を挙げる。
くリスクを許容している領域まで低減し、極力顕在化
4-1) Annex C: Management of Functional Safety
を防ぐことにある。
安全ライフサイクル遂行に必要な構成員と要求され
ISA ニュースレター寄稿に際し、上記 IEC に先がけ
る能力及び責任を挙げている。
て発行された機能安全規格 ISA S84 に対する歴史とそ
4-2)
の役割を述べる。さらに現在進行中の PJ における安
Annex
Functional
全防護層を一例として挙げ、安全防護層の役割と主要
D:
Verification,
Validation
and
Safety Assessments (FSA)
FSA の各個条毎の Check List を挙げている。
な検討項目を記す。なお諸事情から防護層構築にいた
4-3) Annex F: BPCS and Relationship to the SIS
る PHA を始め防護層内での SIL 計算、HFT 評価等を記
安全防護層における BPCS の役割、Sensor/Logic
載できないことをご了承頂きたい。
Solver /Final Element 各サブシステム内での BPCS
と SIS の独立性の意味と共有時の問題点と対応策な
２．機能安全における ISA の歴史と役割
どを挙げている。
表１に機能安全規格と ISA S84 の歴史を記すととも
October 2007
7
ISA-Japan Section Newsletter Vol.10 No.30
4-4)
第 2 層：BPCS（Basic Process Control System）
Annex N: Design Guidance
DCS や PLC を用いプロセスを連続して制御範囲に
Design Guidance の項目に補助リレーやタイマの使
用に関する注意点が含まれている。
収める、また空気源低下や電源異常時などの対応策
５）S84 2005 Part２は塩化ビニールプラントを例に
の検討、Failsafe 及び Fault Tolerance の検討を
挙げてライフサイクル全般に渡る構築例を、
行う。SIS と Hard 及び Soft、監視、制御における
Step １ (Hazard & Risk Assessment) から Step 10
独立性の確認を行う。
(Management
of
Functional
Safety
and
条件が満足されると S84 の手続き無しに PFD
SIS
Functional Safety Assessment)
(Probability of Failure on Demand)＞ 10－１を
の１０段階に分けて解説している。
与えことができる。
第 3 層（予防）
設定値からの逸脱警報に対し、SIS システム及び
３．安全防護層の例
運転員の対応により Hazard を回避する層である。
図１に安全防護層の例を挙げ各層の役割と主要検
討項目を述べる
次の２つが柱になる。
１）各層の役割
・安全計装予防と制御システム
第 1 層：プロセス
・警報発生からの従業員対応可能時間
（十分な教育、訓練が前提条件）
品質機能展開等により事前に問題点を抽出し、特
定化学物質などの代替や低減や反応過程での
2 番目の応答可能時間と PFD 値の関係を表２に記す
Hazard（温度、圧力、暴走系）をプロセス的回避（本
(S84 2005 Annex B: Operator Action as and
Independent Protection Layer より抜粋）
質的安全設計）により対策する。
地域緊急対応
緊急放送
プラント緊急対応
避難手順
Fire & Gas Monitoring Systems
緩和
機械的緩和システム
安全計装制御システム
安全計装緩和システム
オペレータ監視
Machinery Monitoring Systems
Pipeline Monitoring Systems
SIS
Turbine and compressor safeguard
予防
機械的予防システム
プロセス警報と運転員対応
安全計装制御システム
安全計装予防システム
制御及び監視
基本プロセス制御システム
監視システム（プロセス警
報）　オペレータ監視
プロセス
October 2007
危機管理と危機管理マニアル
リスク・コミュニケーション
工場内及び地域内の通信、放送網
（TEL/Paging、 Public Address etc.）
Burner/Boiler Management Systems
BPCS　(DCS/PLC etc)
8
図１安全防護層と各種システムの役割
ISA-Japan Section Newsletter Vol.10 No.30
表２
運転員の警報に対する対応可能時間と PFD 値の関係
IPL
Hazard の目撃に対
して対応可能時間
が 10 分以上有る
場合
Hazard の目撃に対
して対応可能時間
が 40 分以上有る
場合
SIS 表示又は警報
に対して対応可能
時間が 10 分以
上有る場合
SIS 表示又は警報
に対して対応可能
時間が 40 分以
上有る場合
SIS 表示又は警報
に対して対応可能
時間が 24 時間以
上有る場合
Comments
Suggested
IPL PFD
正確で信頼性のある警報に対して簡単で
かつ十分理解しているときの操作
運転員はトラブル処理や診断を行はない。
1 x 10-1
正確で信頼性のある警報に対して簡単で
かつ十分理解しているときの操作
運転員は必要ならば処置前にトラブル処
理や診断を行える。
正確で信頼性のある警報に対して簡単で
かつ十分理解しているときの操作
運転員はトラブル処理や診断を行はない。
1 x 10-2
1 x 10-1
1 x 10-1 又は
1 x 10-1~
1x 10-２
正確で信頼性のある警報に対して簡単で
かつ十分理解しているときの操作
運転員は必要ならば処置前にトラブル処
理や診断を行える。
正確で信頼性のある警報に対して簡単で
かつ十分理解しているときの操作
運転員は必要ならば処置前にトラブル処
理や診断を行える。
1 x 10-2 又は
1 x 10-1~
1 x10-３
なお、規格上からも（NFPA72 参照）Fire Monitor
第 4 層（緩和）
の電源は BPCS や SIS とは別電源となる。
SIS を始めとして図１に記載しているような装置
2-2)接地と雷保護
が対象となる。運転員の役割の重要性は予防層と同
計装、本質安全、Fire 等の接地（機能接地系）
じである。Fire Alarm への対応は運転員のほかに
と保安用接地系を統合接地システムにより主接地
消防との連携が前提となる。
端子に集中させ、構造体を含めてボンディングによ
第 5 層及び 6 層
従業員（5 層）及び地域住民（6 層）に対する避
り等電位化を図る。さらに遮蔽や離隔を確実に行う
難回避としての層であり火災警報、ページング、構
とともに絶縁トランスや各雷保護ゾーンでの協調
内放送などの従業員への避難連絡手段やリスク・コ
がとれた雷サージ保護装置により保護する。
ミュニケーション、アカウンタビリティ及びリスク
なお、日本では既設の接地系との関係もあり各種
顕在化時の危機管理マニアルによる避難等の充実
機能接地を単独接地とする場合が多い。雷被害は共
を行う。
通故障要因となるため内部雷保護対策を計装のみ
でなく、電気、建築を含めて検討する必要がある。
また地域住民への情報伝達手段の構築や公共機
2-3) 機器の異種性の検討
関との密なる連携を要する。危機管理と広報活動の
領域でもある。
BPCS と Logic Solver (SIS)を同一メーカの製品
２）主要検討項目
とし、ネットワークを共有した。メーカを同一にす
2-1)電源回路
ると異種メーカの組合せに比べて共通要因故障原
UPS の 2 重化、BPCS と SIS(含む Gas Monitor)間
因が増加する。しかしインターフェースの削減に始
の電源の独立、又は絶縁トランスにより分離を行う。
まり、SV(Super Visor)の手配、メンテナンス体制、
October 2007
9
ISA-Japan Section Newsletter Vol.10 No.30
証明されてきている。
そして Loop の SIL 決定における支援等のメリット
なお、ISA は学会としての性格を兼ね備えており
がある。トレードオフでの決定である。
S84 2005Part1,2 の様に規格の解説が充実している。
2-4) SIS、Fire と Gas の Monitor
さらに、会員は自由に Safety Division に参加し各機
Gas の Monitor は SIS の Logic Solver を共有し、
能安全に関する技術資料を入手できる。
Gas Detector の信号を SIS に入力した。ガス漏れ
著者は IEC61511 の JIS 化（日本語化）がなされた
時にプラント遮断が可能なシステムとした。（現状
後も Copy 規格である機能安全をより理解するため、
は Monitor のみ）
ISA を最大限に利用させてもらいプロセス産業のリス
Fire Monitor は単独の Logic Solver であり、消
ク軽減に貢献する所存である。
防建屋に設置し制御室と消防建屋の両方から監視
以上
する。
著者履歴
なお Fire と SIS の Logic Solver は別メーカとな
る。これは設計上の理由ではなくコマーシャ上の理
1973 年山口大学電気工学
由による。
科大学院修業、同年川崎重
工業産機事業部入社後各
2-5) 連続モードの検討
従来からボイラの BMS (Burner Management
種公害防止プラント、石炭
System)やコンプレッサの Safe Guard などの制御は
化学、アンモニア、直接還
SIS に与える影響と応答時間の早さから連続モード
元鉄等の化学プラント計
装、電気設計に従事。
とされる。
2000 年同社退社後末沢システムズを設立、海外向け
その他、BPCS 回路としてプラント停止確率を小さ
プラントの計装設計及び電装の取纏め活動を行う。
くするため、消化ポンプなど一部の重要機器のバッ
ISA 及び日本技術士会会員
クアップ起動回路を信頼性の高い SIS の Logic
Solver (1oo2D：SIL3 認証品)で構築した。
これらも BPCS 関連の連続モードと考えている。
SIS Logic Solver は BPCS と共有するため BPCS 用の
国際計測制御学会日本支部
2007-2008 年度総会報告
I/O Card との分離、アルゴリズムの独立を確保して
いる。
ISA-Japan 2007-2008 Annual Meeting
連続モードについては S84 2005 Part２ Annex I:
Continuous Mode versus Demand Mode に説明がある。
ISA日本支部の2006-2007年度の支部総会は、2007
しかしプロセス産業においてはあまり検討されてお
年7月6日（金）学士会分館（東京都文京区本郷）にお
らず、今後の追跡事項と考えている。
いて開催され、会員出席者18名、委任状22名により総
会の定足数（総会員数152名の20％）を満たし、議事
４．おわりに
及び役員改選が行われた。
S84 はすでに 1 度の全面改訂をへて 10 年以上の実
このあと総会記念講演が開催され、次の２件の講演
績を持ち現在では IEC61511 とも統一された国際標準
が行われた。
規格である。S84 に基づきリスクマネジメントを行い、
・「FOUNDATIONフィールドバスの最新動向と適用事例
事前に潜在的的危険源を特定し事故が顕在化する前
紹介」日本フィールドバス協会会長
に対策する。さらに万一事故が起こったとしてもその
森岡義嗣(横
河電機）
事故の拡大を決められた手順に従って防止する。その
・「PROFIBUS PAの最新動向と適用事例」
結果事故は明らかに減少することが近年のデータで
日本プロフィバス協会副会長伊元雅彦
October 2007
10
ISA-Japan Section Newsletter Vol.10 No.30
c）第 29 号（2007/5 発行）
目下の話題であり、活発な質疑が行われた。
・副支部長巻頭言: 測ることと知ること
この後、午後5時30分から技術交流会が開催され、盛
・プロセスオートメーション用 Siemens 流量計(ノー
会であった。総会での昨年度活動報告および来年度の
ケン・阿木俊和）
活動計画を以下に示す。
・微少コリオリ流量計(オーバル・小林誠司）
・支部連絡、その他
ISA-J 2006-2007 年度活動報告
および 2007-2008 活動計画
ISA-J 支部長
以下、第 30 号をはじめ、年３回の発行を予定。
４．ISA-J Web 更新
黒岩重雄
来年度も引き続き、ISA-J の Web を更新していきます。
１．ISA-J・2006-07 年度総会（東京）：2006/7/21
５．ISA の話題：
２．ISA2006 Houston: 2006/10/17-19
・SP-100 Wireless Standards Committee
＊ISA EXPO 2007 Exhibition
・SICE 産業部門大会で ISA の技術者教育紹介(06/11)
・SICE 学会誌に記事(07/9)
Bus Station
Industrial Communications Pavilion
Environmental Pavilion
６．ISA-J 賛助会員制度：
Sensors
ご支援感謝します
Fair
オムロン（株）システム機器統括事業部
＊Technology Exchanges
Security
（株）ピーアンドエフ
Wireless & Networking
（株）ノーケン
Process Automation
東洋エンジニアリング（株）
Safety
日本エマソン（株）
Environmental & Quality Control
（株）フジキン
Enterprise Integration
７．第10回フォーラム：2007/2/23（東京）
＊2007 年度は、ISA2007 Houston: 2007/10/2-4 開催
次の３件の講演が行なわれ、活発な質疑があった。
・「機能安全の最新動向」
３．ニュースレター発行
日本機能安全田邊安雄
a）第 27 号（2006/3 発行）
・「総合技術監理手法による機能安全：ISA S84
・支部長巻頭言: 津波、ハリケーン、そして警報シス
2004(IEC61511MOD)実現へのアプローチ」
テム
末沢システムズ
・ガス生産フィールドの最先端リモートモニタリング
末澤洋介
・「安全計装－世界、日本の動向」
と最適化制御の動向
ノーケン
(富士電機システムズ・栗田哲郎）
中川雅造
・支部連絡、その他
b）第 28 号（2006/9 発行）
・支部長巻頭言: ISA の技術者教育
・LNG プラントの計装(日揮・平野悦生）
・支部連絡、その他
October 2007
11
ISA-Japan Section Newsletter Vol.10 No.30
2006-2007 年度決算報告
本号目次
ISA-J 会計担当藤田雄一
支部役員巻頭言（英・和）
2006-2007 年度決算報告書
収
入
支
前年度繰越金
会場費
（会計担当・藤田雄一） ―――１
出
技術報告
231,594
721,831
（日本機能安全・田辺安雄）
印刷費
総会,フォーラム参加費
―――３
104,920
276,000
ISA からの会費戻し
機能安全規格の最新動向
解
ISA への支払い
機能安全 ISA84 の歴史と安全防護層例
（有沢システムズ・有澤洋介） ―――７
60,080
230,703
説
講師車代
賛助会費
国際計測制御学会日本支部
30,000
200,000
ｲﾝﾀｰﾈｯﾄ運営費
利息
2007-2008 年度総会報告
―――１０
ＩＳＡ日本支部案内・連絡先
―――１２
20,574
143
輸送費(書類・機材)
14,580
雑費
会報担当(Newsletter Editor)：小川和彦（大阪産業大学）
88,261
Web 担当(WebMaster) ：神余浩夫（三菱電機）
繰越金
会員担当(Membership Chair) ：南雲睦（富士電機）
898,668
収入合計
以上
収入合計
1,428,677
1,428,677
支部役員連絡先
支部長黒岩重雄
e-mail : [email protected]
副支部長寒川史郎
e-mail : [email protected]
会計担当藤田雄一
e-mail: [email protected]
事務局（企画担当）三宅豊
e-mail: [email protected]
事務局（会報担当）小川和彦
e-mail: [email protected]
事務局（Web 担当）
神余浩夫
e-mail：Kanamaru.Hiroo@
db.MitsubishiElectric.co.jp
事務局（会員担当）南雲睦
e-mail：[email protected]
備考
1)H18 年 6 月１日より H19 年 5 月 31 日までを平成 18
年度の会計年度とする。
2)会場費には交流会費用を含む。
3)印刷費はﾆｭｰｽﾚﾀｰ印刷費。書類はニュースレター。
4)雑費は，会議費，封筒代、為替手数料など。
2007-2008 年度役員候補承認
＊総会において、下記の役員が満場一致で選出された。
支部長(President)
：黒岩重雄(ARC ｼﾞｬﾊﾟﾝｵﾌｨｽ）
副支部長(Vice President)：寒川史郎
ISA 日本支部ニューズレター
(FSL-Future System Laboratory）
会計担当(Treasurer)
ISA Japan Section Newsletter,Vol.10 No.30
：藤田雄一（東洋ｴﾝｼﾞﾆｱﾘﾝｸﾞ）
2007 年 10 月 31 日発行/ October 31, 2007
企画担当(Program Chair) ：三宅豊（ノーケン）
October 2007
http://www.venus.dti.ne.jp/~isaj
E-mail: [email protected]
12
ISA-Japan Section Newsletter Vol.10 No.30