>サイトトップへ >このカテゴリの一覧へ

C 0511-1

:2008 (IEC 61511-1:2003)

(1)

目  次

ページ

序文

1

1

  適用範囲

3

2

  引用規格

7

3

  用語の略語及び定義

8

3.1

  略語

8

3.2

  用語及び定義

9

4

  この規格群への適合

25

5

  機能安全の管理

25

5.1

  目的

25

5.2

  要求事項

25

6

  安全ライフサイクル要求事項

31

6.1

  目的

31

6.2

  要求事項

31

7

  適合確認

33

7.1

  目的

33

8

  プロセスの潜在危険及びリスク評価

33

8.1

  目的

33

8.2

  要求事項

34

9

  防護層への安全機能の割当て

35

9.1

  目的

35

9.2

  割当過程における要求事項

35

9.3

  安全度水準 にかかわる付帯要求事項

36

9.4

  防護層としての基本プロセス制御系に対する要求事項

36

9.5

  共通原因,共通モード及び従属故障にかかわる要求事項

37

10

  SIS 安全要求仕様

38

10.1

  目的

38

10.2

  一般要求事項

38

10.3

  SIS 安全要求事項

38

11

  SIS の設計及びエンジニアリング

39

11.1

  目的

39

11.2

  一般要求事項

39

11.3

  故障検出時のシステム挙動にかかわる要求事項

40

11.4

  ハードウェア故障許容にかかわる要求事項

42

11.5

  部品及びサブシステムの選択に関する要求事項

43

11.6

  フィールドデバイス

46


C 0511-1

:2008 (IEC 61511-1:2003)  目次

(2)

ページ

11.7

  インタフェース

47

11.8

  保全又は試験設計要求事項

48

11.9

  SIF の機能失敗確率

49

12

  ユーティリティソフトウェアの選択基準を含むアプリケーションソフトウェアの要求事項

50

12.1

  アプリケーションソフトウェアの安全サイクル要求事項

50

12.2

  アプリケーションソフトウェアの安全要求仕様

56

12.3

  アプリケーションソフトウェアの安全妥当性確認計画

58

12.4

  アプリケーションソフトウェアの設計及び開発

58

12.5

  アプリケーションソフトウェアの SIS サブシステムとの統合

63

12.6

  FPL 及び LVL ソフトウェア部分改修の手順

64

12.7

  アプリケーションソフトウェアの適合確認

64

13

  立会試験(FAT)

66

13.1

  目的

66

13.2

  推奨事項

66

14

  SIS の設置及び引渡し

67

14.1

  目的

67

14.2

  要求事項

67

15

  SIS 安全妥当性確認

68

15.1

  目的

68

15.2

  要求事項

68

16

  SIS の運用及び保全

70

16.1

  目的

70

16.2

  要求事項

70

16.3

  プルーフテスト及び検査

72

17

  SIS の部分改修

73

17.1

  目的

73

17.2

  要求事項

73

18

  SIS 使用終了

74

18.1

  目的

74

18.2

  要求事項

74

19

  情報及び文書化の要求事項

74

19.1

  目的

74

19.2

  要求事項

74

附属書 A(参考)相違点

76

参考文献

77


C 0511-1

:2008 (IEC 61511-1:2003)

(3)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,社団法人日本電気計測器工業会(JEMIMA)及

び財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,日

本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に係る確認について,責任は

もたない。


C 0511-1

:2008 (IEC 61511-1:2003)

(4)

白      紙


日本工業規格

JIS

 C

0511-1

:2008

(IEC 61511-1

:2003

)

機能安全−プロセス産業分野の安全計装システム−

第 1 部:フレームワーク,定義及び

システム・ハードウェア・ソフトウェアの要求事項

Functional safety

Safety instrumented systems for the process industry

sector

Part 1: Framework, definitions, system, hardware and software

requirements

序文

この規格は,2003 年に第 1 版として発行された IEC 61511-1 を基に,技術的内容及び対応国際規格の構

成を変更することなく作成した日本工業規格である。

この規格には,その適用の基礎となる“安全ライフサイクル”と“安全度水準”との二つの概念が含ま

れる。

この規格は,電気・電子・プログラマブル電子技術に立脚する安全計装システムについて論及している。

論理処理部に電気・電子・プログラマブル電子以外の技術を使用する場合も,この規格の基本的な原理を

適用することが望ましい。また,この規格は,使用する技術にかかわらず,安全計装システムの検出端及

び操作端について記述している。この規格は,IEC 61508 のフレームワークをプロセス産業に特化したも

のである(

図 及び附属書 参照)。

この規格は,この最低限の標準を達成するために,安全ライフサイクル業務に関する一つの方法論を提

示している。


2

C 0511-1

:2008 (IEC 61511-1:2003)

箇条 及び箇条 10

安全計装システム

の設計フェーズ 

箇条 11 

安全計装システム

ソフトウエアの

設計フェーズ 

箇条 12

安全要求の安全計装機能への配置と 

安全要求仕様の開発

包括的安全要求事項の開発 

(

概念適用範囲の定義,  

潜在危険及びリスク評価

箇条 8

安全計装システムの 

立会試験, 

設置及び引渡し, 

安全妥当性確認 

箇条 13, 箇条 14 及び箇条 15 

安全計装システムの 

運用及び保全,部分改修及び旧版対応,

使用終了又は廃棄 

箇条 16, 箇条 17 及び箇条 18 

補助的部分 

技術的

要求事項

第  

第  

第  

第  

第  

引用規格 

箇条 

第  

用語の略語及び定義 

箇条 

第  

この規格群への適 

箇条 

第  

機能安全の管理 

箇条 

第  

情報及び文書化の 

要求事項 

箇条 19 

第  

相違点 

附属書 

第  

第 部の適用に 

かかわる指針

第  

安全度水準決定に 

かかわる指針 

第  

安全ライフ 

サイクル要求事項 

箇条 6

第  

適合確認 

箇条 

第  

この規格群への適合 

箇条 

図 1−この規格の総合フレームワーク


3

C 0511-1

:2008 (IEC 61511-1:2003)

1

適用範囲

この規格は,安全計装システムがプロセスを安全な状態に設定し,かつ,その状態を維持するための,

安全計装システムの仕様,設計,設置,運用及び保全にかかわる要求事項について規定する。この規格は,

JIS C 0508

の規格群とともに用いるプロセス分野規格である(

図 及び図 を参照)。

この規格では,次の事項を規定する。

a)

機能安全を達成するための要求事項を規定するが,それらの要求事項を実行する責任者(例えば,設

計者,供給者,所有/経営会社,請負人)を規定するものではない。この責任は,安全計画及び国家

の規制に従い,それぞれ異なる当事者に割り当てられる。

b)  JIS C 0508

の規格群又はこの規格の 11.5 の要求事項を満たしている機器が,プロセス分野のシステム

に組み込まれる場合に適用するが,装置がプロセス分野用安全計装システムとしての使用に適すると

製造業者が宣言する機器には適用しない(JIS C 0508-2 及び JIS C 0508-3 を参照)

c)

この規格と JIS C 0508 の規格群との関係を定義する(

図 及び図 を参照)。

d)

アプリケーションソフトウェアが変更制限又は変更できないプログラムをもつシステム用に開発され

ている場合に適用されるが,組込み形ソフトウェア(システムソフトウェア)の開発又は全可変言語

を使用する製造業者,同様に安全計装システムの設計者・システムインテグレータ・使用者には適用

しない(JIS C 0508-3 を参照)

e)

化学工業,石油精製業,石油及びガス生産業,パルプ及び製紙業並びに原子力発電を除く発電業を含

むプロセス分野の広範囲にわたる産業に適用する。

注記 1  プロセス分野の幾つかの適用(例えば,海洋開発関連業)では,更に実施しなければなら

ない別の要求事項が存在する場合がある。

f)

安全計装機能(以下,SIF という。

)とその他の機能との関係を概説する(

図 参照)。

g)

安全計装システム以外の手段によって実現されるリスク軽減を考慮して, SIF 要求及びこの SIF に対

する安全度要求の特定を促す。

h)

システムの構造及びハードウェア構成,アプリケーションソフトウェア並びにシステム統合にかかわ

る要求事項を規定する(

図 参照)。

i)

安全計装システムの使用者及びインテグレータのアプリケーションソフトウェアに関する要求事項を

規定する(箇条 12

。特に,次の要求事項を規定する。

−  アプリケーションソフトウェアの設計及び開発において適用されなければならない安全ライフサイ

クルフェーズ及び業務(ソフトウェア安全ライフサイクルモデル)

。これらの要求事項には,ソフト

ウェアにおける故障の排除及び起こり得る故障の抑制を意図した対策及び技法の適用が含まれる。

− SIS(安全計装システム)統合を実施する組織に対する,適合しなければならないソフトウェア安全

妥当性確認に関する情報。

− SIS の運用及び保全に対して,使用者が必要とするソフトウェアに関する情報及び手順の準備。

−  安全ソフトウェアの変更を行う組織が満たすべき手順及び規定。

j)

機能安全が職員の保護,一般市民の保護又は環境保全のために一つ以上の SIF を用いて達成される場

合に適用する。

k)

安全以外の資産保護のシステムなどに適用してもよい。

l)

安全機能達成のための全計画の一部として SIF を実施するための要求事項を定義する。

m)

安全ライフサイクル(

図 8)を使用し,安全計装システムにかかわる機能要求事項及び安全度要求事

項を決定するのに必要な業務一覧を定義する。


4

C 0511-1

:2008 (IEC 61511-1:2003)

n)

安全機能要求事項及びそれぞれの SIF の安全度水準を定義するために,潜在危険及びリスク評価を行

うことを要求する。

注記 2  図 リスク軽減法の概要参照。

o)

安全度水準に対して,作動要求時の平均機能失敗確率及び単位時間当たりの危険側故障頻度にかかわ

る数値目標を設定する。

p)

ハードウェア故障許容に関する最低限の要求事項を規定する。

q)

規定された安全度水準を達成するために必要な技法と対策とを規定する。

r)

この規格に従って実行される SIF に対して,達成可能な最高水準の性能,すなわち安全度水準(SIL4)

を規定する。

s)

それよりも下の水準ではこの規格が適用されない最低水準の性能(SIL1)を規定する。

t)

安全度水準設定のフレームワークを提供するが,具体的なアプリケーションに要求される安全度水準

を規定しない(これは具体的なアプリケーションにかかわる知識に基づいて設定する。

u)

検出端から操作端まで,安全計装システムの要素すべての要求事項を規定する。

v)

安全ライフサイクルにおいて必要とされる情報を定義する。

w) SIF

設計には人的要因が考慮されることを要求している。

x)

個々の運転員又は保全員に直接関連する要求事項は特定しない。

図 2−この規格と  JIS C 0508 の規格群との関係

プロセス分野

安全計装システム

安全計装システム

設計者,インテグレー

タ,使用者

この規格を参照

機器の製造業者

及び供給者

JIS C 0508

の規格群を参


5

C 0511-1

:2008 (IEC 61511-1:2003)

図 3−この規格と JIS C 0508 の規格群との関係(箇条 参照)

プロセス分野安全

計装システム規格

プロセス分野 
ハードウェア

ハ ー ド ウ ェ ア

機 器 の 新 規 開
 

JIS C 0508

規格群参照

PROVEN IN

USE

の ハ ー

ドウェア機器
の使用 

こ の 規 格 参
 

JIS C 0508

格群に従い開
発及び利用許
可されたハー

ドウェアの使
用 
 
この規格参照

組込み(システ

ム)ソフトウェ
アの開発 
 
 
 
 
JIS C 0508-3

参照

全 可 変 言 語 を

使 用 し た ア プ
リ ケ ー シ ョ ン
ソ フ ト ウ ェ ア

の開発 
 
 
JIS C 0508-3

制 約 可 変 又 は

固 定 言 語 を 使
用 し た ア プ リ
ケ ー シ ョ ン ソ

フ ト ウ ェ ア の
開発 
 
この規格参照

プロセス分野 
ソフトウェア


6

C 0511-1

:2008 (IEC 61511-1:2003)

図 4SIF と他の機能との関係

図 5−システム,ハードウェア,この規格のソフトウェアの関係

フレームワーク,システム及びハードウェア要求

安全計装システム

アプリケーションソフトウェアの要求事項(箇条 12

機能安全の管理(箇条 5 

プロセスの潜在危険及びリスク評価(箇条 8 

適合確認及び妥当性確認(箇条 712.312.7,  箇条 13 及び箇条 15 

運用,保全及び部分改修(箇条 16 及び箇条 17

安全計装機能

連続モード

安全計装制御機能

要求モード

安全計装保護機能

-  安全計装予防機能

-  安全計装緩和機能

安全計装システム

安全ライフサイクル要求事項(箇条 6

論理(機能)

ソフトウェア

入力(機能)

出力(機能)

規格は,実施される活動を定義するが詳細な要求ではない。

No

Yes

要求

Yes

安全計装

予防機能

安全計装

緩和機能

予防

緩和

安全計装

制御機能

関係なし

No

安全計装保護機能

開始

計装機能か

安全計装

機能か

安全関連

モード

種類

連続

Yes

No

基 本 プ ロ セ ス 制
御  及び/又は資
産保護機能

他の手段による

リスク軽減


7

C 0511-1

:2008 (IEC 61511-1:2003)

注記 3  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 61511-1:2003

,Functional safety−Safety instrumented systems for the process industry sector

−Part 1: Framework, definitions, system, hardware and software requirements (IDT)

なお,対応の程度を表す記号(IDT)は,ISO/IEC Guide 21 に基づき,一致していることを示

す。

2

引用規格

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。

)を適用する。

JIS C 0508-2

  電気・電子・プログラマブル電子安全関連系の機能安全−第 2 部:電気・電子・プログ

ラマブル電子安全関連系に対する要求事項

注記  対応国際規格:IEC 61508-2,Functional safety of electrical/electronic/programmable electronic

safety-related systems

− Part 2: Requirements for electrical/electronic/programmable electronic

safety-related systems (IDT)

JIS C 0508-3

  電気・電子・プログラマブル電子安全関連系の機能安全−第 3 部:ソフトウェア要求事

注記  対応国際規格:IEC 61508-3,Functional safety of electrical/electronic/programmable electronic

safety-related systems

−Part 3: Software requirements (IDT)

JIS C 1804

  工業プロセス計測制御機器の使用環境条件

注記  対応国際規格:IEC 60654-1,Industrial-process measurement and control equipment−Operating

conditions

−Part 1: Climatic conditions,IEC 60654-2,Operating conditions for industrial-process

measurement and control equipment. Part 2: Power, IEC 60654-3

, Operating conditions for

industrial-process measurement and control equipment. Part 3: Mechanical influences

及び IEC 

60654-4

,Operating conditions for industrial-process measurement and control equipment. Part 4:

Corrosive and erosive influences

(全体評価:MOD)

JIS C 1806-1

  計測・制御及び試験室使用の電気装置−電磁両立性(EMC)要求

注記  対応国際規格:IEC 61326-1,Electrical equipment for measurement, control and laboratory use−

EMC requirements

−Part 1: General requirements (IDT)

IEC 61511-2,

  Functional safety−Safety instrumented systems for the process industry sector−Part 2:

Guidelines for the application of IEC 61511-1


8

C 0511-1

:2008 (IEC 61511-1:2003)

3

用語の略語及び定義

3.1

略語

この規格で用いる略語を,

表 に示す。

表 1−この規格で用いる略語

略語 

用語

AC/DC

交流/直流  (alternating current/direct current)

ALARP

合理的に可能な限り低く  (as low as reasonably practicable)

ANSI

アメリカ規格協会  (American National Standards Institute)

BPCS

基本プロセス制御システム系  (basic process control system)

DC

自己診断カバー率 (diagnostic coverage)

E/E/PE

電気・電子・プログラマブル電子の

(electrical/electronic/programmable electronic)

E/E/PES

電気・電子・プログラマブル電子系

(electrical/electronic/programmable electronic system)

EMC

電磁両立性 (electro magnetic compatibility)

FAT

立会試験  (factory acceptance testing)

FPL

固定プログラム言語  (fixed program language)

FTA

フォールトの木解析  (fault tree analysis)

FVL

完全可変言語  (full variability language)

HFT

ハードウェア故障許容,ハードウェアフォールトトレランス

(hardware fault tolerance)

HMI

人間−機械インタフェース (human machine interface)

H & RA

潜在危険及びリスク評価  (hazard & risk assessment)

HRA

人間信頼性解析  (human reliability analysis)

H/W

ハードウェア (hardware)

IEC

国際電気標準会議  (International Electrotechnical Commission)

IEV

国際電気用語  (international electrotechnical vocabulary)

ISA

国際計測制御学会

(Instrumentation, Systems and Automation Society)

ISO

国際標準化機構  (International Organization for Standardization)

LVL

制約可変言語  (limited variability language)

MooN

“M” out of “N”

3.2.45 参照)

NP

プログラマブルできない (non-programmable)

PE

プログラマブル電子 (programmable electronics)

PES

プログラマブル電子系  (programmable electronic system)

PFD

作動要求時失敗確率  (probability of failure on demand)

PFD

avg

作動要求時失敗(時間)平均確率

(average probability of failure on demand)

PLC

プログラマブル論理制御器  (programmable logic controller)

SAT

現地受け入れ試験  (site acceptance test)

SFF

安全側故障割合 (safe failure fraction)

SIF

安全計装機能  (safety instrumented function)

SIL

安全度水準  (safety integrity level)

SIS

安全計装システム  (safety instrumented system)

SRS

安全要求仕様  (safety requirement specification)

S/W

ソフトウェア (software)


9

C 0511-1

:2008 (IEC 61511-1:2003)

3.2

用語及び定義

この規格で用いる主な用語及び定義は,次による。

3.2.1

構成,アーキテクチャ  (architecture)

あるシステムにおけるハードウェア及び/又はソフトウェアからなる要素の配置構成。次に例を示す。

1)

安全計装システム(SIS)の下位システムの配置構成

2)

安全計装システムの下位システム間の内部構造

3)

ソフトウェアプログラムの配置構成

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.2

資産保護  (asset protection)

資産に対する損失を防止するためにシステム設計に割り当てられる機能。

3.2.3

基本プロセス制御系  (BPCS)

プロセス,それに関連した機器,その他のプログラマブルシステム及び/又は運転員からの入力信号に

反応し,プロセス及び関連する機器を望ましい方法で動作させる出力信号を発生させるが,SIL1 以上とみ

なせるいかなる SIF も実行しないシステム。国内では一般的に分散形制御システム DCS と呼ばれている。

注記  A.2 参照。

3.2.4

チャネル  (channel)

相互に独立してある機能を履行する要素又は要素群。

注記 1  一つのチャネル内の要素群には,入出力モジュール,論理系(3.2.40 参照),検出端,操作端

が含まれることもある。

注記 2  一つの二重チャネル(2 チャネル)構成は,同一機能をそれぞれが独立して実行する二つの

チャネルをもつ構成法である。

注記 3  この用語は,完全なシステム,又は,システムの部分(例えば,検出端又は操作端)を表現

するのに使うことができる。

3.2.5

コーディング  (coding)

問題の解決又はデータの処理を行うために,一組の命令群を設計,規定及び試験する過程。

注記  この規格においては,プログラミングは,通常,PE に関連付けられる。

3.2.6

特別な故障

3.2.6.1

共通原因故障  (common cause failure)

多重チャネル系の二つ以上の個別のチャネルに機能喪失を引き起こし,システムの機能喪失に導く,一

つ以上の起因事象による故障。

3.2.6.2

共通モード故障  (common mode failure)

同様の誤った結果を引き起こす,二つ以上のチャネルで同様に起きる故障。


10

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.7

コンポーネント,部分,部品  (component)

特定の機能を実行するシステム,下位システム又は装置の部分の一つ。

3.2.8

コンフィグレーション,配列  (configuration)

3.2.1  構成 (architecture)”参照。

3.2.9

変更管理  (configuration management)

ライフサイクル全般にわたって,進化する(ハードウェア及びソフトウェア)システムの部分の変更を

管理し,かつ,その継続性及び変更の把握を維持するためにこの部分の同定を行う専門分野。

3.2.10

制御系  (control system)

プロセス及び/又は運転員からの入力信号に応答し,プロセスを望ましい方法で動作させるように出力

信号を発生するシステム。

注記  制御系は入力装置及び操作端を含むが,BPCS,SIS,又は両方の組合せのいずれかであっても

よい。

3.2.11

  危険側故障  (dangerous failure)

安全計装システムを危険な状況,又は機能できなくなる状況に置く可能性のある故障。

注記  可能性が発現するか否かは,システム構成に依存する。安全性を向上させるための多重チャネ

ルをもったシステムにおいては,一つのハードウェアの危険側故障によって,システム全体が

危険な状況又は機能できなくなる状況に至る可能性は小さくなる。

3.2.12

従属故障  (dependent failure)

故障の確率がその原因となる個々の事象生起の非条件付確率の単純な積として表せない故障。

注記 1  二つの事象 A と B とが従属するのは,P(A 及び B)> P(A)  ×  P(B)となる場合だけである。

ここに,P(z)は事象 z の生起確率を表す。

注記 2  防護層間の従属故障の検討事例は,9.5 を参照。

注記 3  従属故障は,共通原因故障を含む(3.2.6 参照)。

3.2.13

検出された  (detected)  

現れた  (revealed)  

顕在的な  (overt)  

ハードウェア故障及びソフトウェア故障状態に関し,診断テスト又は通常の運用を通して発見された状

態。

3.2.14

装置  (device)

規定された目的を達成することができるハードウェア及び/又はソフトウェアからなる機能単位(例え

ば,フィールドデバイス;SIS  入出力終端のフィールド側に接続された機器。このような機器には,フィ

ールド配線,検出端,操作端,論理処理部及び SIS  入出力終端に接続される操作用インタフェース装置が

含まれる。


11

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.15

自己診断カバー率  (DC : Diagnostic Cover)

自己診断テストを受ける下位システム又は部品の全故障率に対する検出可能な故障率の比。自己診断カ

バー率には,プルーフテストによって検出される故障は含まれない。

注記 1  自己診断カバー率は,全故障率(λ

total failure rate

)

から検出可能な故障の全故障率(λ

detected

)

及び検出で

きない故障の全故障率(λ

undetected

)

を次のように計算するために用いられる。

λ

detected

=DC×λ

total failure rate

及び,λ

undetected

=(1-DC)×λ

total failure rate

注記 2  自己診断率は,安全計装システムの部品又は下位システムに適用される。例えば,自己診断

カバー率は,検出端,操作端又は論理処理部に対して決定される。

注記 3  安全への適用には,自己診断カバー率は,通常,部品又は下位システムの安全側故障及び危

険側故障にそれぞれに適用される。例えば,部品又は下位システムの危険側故障の自己診断

カバー率は,DC=λ

DD

/λ

DT

,と表されるが,λ

DD

は検出可能な危険側故障の全故障率で,λ

DT

危険側故障の全故障率を意味する。

3.2.16

多様性  (diversity)

ある要求される機能を実行する異なる手段の存在。

注記  多様性は,異なる物理的方法又は異なる設計手法によって実現してよい。

3.2.17

電気・電子・プログラマブル電子の  (E/E/PE : Electrical / Electronic / Programmable Electronic)  

電気(E),電子(E)又はプログラマブル電子(PE)の少なくともいずれかの技術に基づく。

注記  この用語は,任意の及びすべての電気的原理に基づいて動作する装置又はシステムを包括する

ように意図され,次の項目を含むことがある。

−  電気機械式装置(電気的)

−  ソリッドステート式プログラム不能な電子装置(電子的)

−  コンピュータ技術に基づいた電子装置(プログラマブル電子)

3.2.55 参照)

3.2.18

エラー,誤差  (error)

計算,監視若しくは測定された値(又は状態)と真の規定された若しくは理論的に正しい値(又は状態)

との不一致。

注記  この注記を除き,IEV 191-05-24 から引用した。

3.2.19

外的リスク軽減施設  (external risk reduction facilities)

SIS

とは分離及び区別される,リスクを軽減又は緩和する手段

注記 1  例として,排出装置,防火壁又は堤防(ダイク)が含まれる。

注記 2  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.20

故障(機能喪失)(failure)

ある機能単位の要求される機能を遂行する能力の終結。すなわち,喪失(事象)

注記 1  この定義(これら注記を除く。)は,ISO/IEC 2382-14-01-09 (1997)に一致する。


12

C 0511-1

:2008 (IEC 61511-1:2003)

注記 2  詳細については,JIS C 0508-4 参照。

注記 3  要求される機能の性能は,必然的に特定の動作を除外し,幾つかの機能は避けなければなら

ない動作に関して規定されることもある。そのような挙動の発生は故障となる。

注記 4  故障はランダム又は決定論的のいずれかである(3.2.62 及び 3.2.85 参照)。

3.2.21

フォールト  (fault)

ある機能単位の要求される機能を実行する能力を縮退又は喪失させる異常な状態。

注記  IEV 191-05-01 では,[フォールト(fault)]を,予防保全,その他の計画的業務又は外部の資源の

供給停止によって引き起こされる場合を除いた要求される機能を実行できない状態と定義して

いる[ISO/IEC 2382-14-01-09

3.2.22

故障回避,フォールトアボイダンス  (fault avoidance)

安全計装システムの安全ライフサイクルの任意のフェーズにおける,フォールト発生の回避を目的とし

た技法及び手順の使用。

3.2.23

故障許容,フォールトトレランス  (fault tolerance)

フォールト又はエラーが存在しても,要求される機能の実行を継続する機能単位の能力。

注記  IEV 191-15-05 の定義は,下位アイテムのフォールトだけを指す。3.2.21 の用語“フォールト”

に対する

注記を参照[ISO/IEC 2382-14-04-06]。

3.2.24

操作端  (final element)

安全な状態の達成に必要な物理的動作を実行する安全計装システムの部分。

注記 SIF の一部を遂行するという前提で,電磁弁及びアクチュエータなどの附属要素を含むバルブ,

スイッチギア,モータなどが該当する。

3.2.25

機能安全  (functional safety)

SIS

及びその他の防護層の正しい機能に依存した,

このプロセス及び BPCS に関連した安全全体の部分。

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義とは

異なっている。

3.2.26

機能安全評価  (functional safety assessment)

一層以上の防護層によって達成される機能安全を判定する証拠に基づいた調査。

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義とは

異なっている。

3.2.27

機能安全監査  (functional safety audit)

計画された取決めに従う機能安全要求事項にかかわる処理手続が効果的に実施され,かつ,この目標を

達成するのに適切であるかを決定する系統的及び独立した審査。

注記  機能安全監査は,機能安全評価の一部として実行してもよい。


13

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.28

機能ユニット,機能単位  (functional unit)

特定の目的を実行できるハードウェア,ソフトウェア又は両者の統一体。

注記 1  IEV 191-01-01 では,より一般的な用語である“アイテム”が“機能ユニット”の代わりに使

われている。アイテムには,人が含まれる場合もある。

注記 2  これは,ISO/IEC 2382-14-01-01 で規定されている定義である。

3.2.29

ハードウェア安全度  (hardware safety integrity)

危険側故障のランダムハードウェア故障に関する SIF の安全度の一部。

注記 1  この用語は危険モードの故障に関連する。すなわち,SIF の安全度を低下させる SIF のこの

故障である。これに関連した二つのパラメータは,全体の危険側故障率及び作動要求時の作

動失敗確率である。

注記 2  3.2.86 参照。

注記 3  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.30

危害  (harm)

身体への傷害,又は所有物の毀損や環境破壊の結果として直接又は間接的に生じる人の健康逸失。

注記  JIS Z 8051 と整合している。

3.2.31

潜在危険  (hazard)

危害の潜在的な源。

注記 1  この定義(注記を除く。)は,JIS Z 8051 と整合している。

注記 2  この用語は,短時間で起きる人への危険(例えば,火災及び爆発)及び人の健康への長期間

の影響(例えば,有毒物質の放出)を含んでいる。

3.2.32

ヒューマンエラー  (human error)  

過失。

意図していない結果を生む行為又は無行為。

注記  これは,ISO/IEC 2382-14-02-03 に規定されている定義で,IEV 191-05-25 に規定されている定

義とは,

“又は無行為(or inaction)”と追記されている点で異なっている。

3.2.33

影響解析  (impact analysis)

ある機能又は部分の変更がもたらすであろうこのシステム及び他のシステムの機能群又は部分群への影

響を特定する活動。

3.2.34

独立した部局  (independent department)

機能安全評価又は妥当性確認の対象となる安全ライフサイクルのこのフェーズにおいて行われる業務に

責務をもつ部局から分離し区別された部局。


14

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.35

独立した組織  (independent organization)

機能安全評価又は妥当性確認の対象となる安全ライフサイクルのこのフェーズにおいて行われる業務に

責務をもつ組織から,経営及びその他の資源によって,分離し区別された組織。

3.2.36

独立した人員  (independent person)

機能安全評価又は妥当性確認の対象となる安全ライフサイクルのこのフェーズにおいて行われる業務か

ら分離し区別され,かつ,この業務に直接的な責務をもたない人員。

3.2.37

入力機能  (input function)

論理処理部に入力情報を与えるため,プロセスとその関連機器を監視する機能。

注記  入力機能は,手動機能であってもよい。

3.2.38

計装  (instrument)

動作を実行する場合に使用される装置器具(通常,計装システムに見られる)

注記  プロセス分野の計装システムは,典型的には検出端(例えば,圧力計,流量計及び温度計),論

理処理部又は制御システム(例えば,プログラマブル制御器及び分散形制御システム)

,及び操

作端(例えば,制御弁)から構成されている。特殊な場合に,計装システムは安全計装システ

ムになり得る(3.2.72 参照)

3.2.39

論理機能  (logic function)

(一つ以上の入力機能による)入力情報を(一つ以上の出力機能によって使用される)出力情報に変換

させる機能。論理機能は,一つ以上の入力機能を一つ以上の出力機能に変換させる。

注記  詳細な手引については,JIS B 3503 及び JIS C 0617-12 を参照。

3.2.40

論理処理部  (logic solver)

一つ以上の論理機能を実行する BPCS 又は SIS のこの部分。

注記 1  この規格では,論理系に対する次の用語が使用されている。

−  電気機械技術用の電気式論理系

−  電子技術用の電子式論理系

−  プログラマブル電子システム用の PE 式論理系

注記 2  例として,電気系,電子系,プログラマブル電子系,空気圧系及び液圧系が挙げられる。検

出端及び操作端は,論理処理部の一部ではない。

3.2.40.1

安全構成形論理処理部  (safety configured logic solver)

11.5

に準拠した,安全を目的とする使用のために特別に構成された多目的工業用 PE 論理処理部。

3.2.41

保全・エンジニアリングインタフェース  (maintenance/engineering interface)

適切に SIS の保全又は部分改修を行えるように提供されるハードウェア及びソフトウェア。ソフトウェ

アの指示書及び診断書並びに適切な情報通信規約をもったプログラム用端末,診断ツール,表示計器,バ


15

C 0511-1

:2008 (IEC 61511-1:2003)

イパス装置,試験装置及び構成装置が含まれることがある。

3.2.42

緩和  (mitigation)

危険事象の結果を軽減させる作用。

注記  例として,火災又はガスもれ検出時の非常減圧措置が挙げられる。

3.2.43

運用モード  (mode of operation)

SIF

の運用方法。

3.2.43.1

作動要求モード安全計装機能  (demand mode safety instrumented function)

プロセスの状態又はその他の作動要求に応じて定められた措置(例えば,弁の閉鎖)が取られ,SIF の

危険側故障が発生した場合,潜在危険はプロセス又は BPCS の故障時にだけ発現する運用モード。

3.2.43.2

連続モード安全計装機能  (continuous mode safety instrumented function)

SIF

の危険側故障が発生すると,更に潜在危険を予防する措置が取られない限り,潜在危険がそれ以上

の故障が起こらなくても発現する運用モード。

注記 1  連続モードは,機能安全を持続させるための連続制御を実現する SIF を含む。

注記 2  作動要求率が年 1 度より頻繁な場合での作動要求モードの適用では,危険事象率が SIF の危

険側故障率よりも大きくならなくなる。そのような場合,通常,連続モードの基準を使用す

るのが適切である。

注記 3  作動要求モード及び連続モードで作動している SIF の目標機能失敗尺度は,表 及び表 

定義されている。

注記 4  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.44

モジュール  (module)

ある特定のハードウェア機能を実行するハードウェア部品の自己完結集合(例えば,デジタル入力モジ

ュール,アナログ出力モジュール)

,又は,例えば,特定の機能を実行するコンピュータプログラムの一部

のように,ある特定の機能を支援する再利用可能な応用プログラム(これは,内部プログラム又はプログ

ラムの組合せの場合があり得る。

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義とは

異なっている。

3.2.45

MooN (MooN)

N”個の独立チャネルによって構成され,最小限“M”個のチャネルによって SIF が実行できるよう

に組み立てられた安全計装システム又はその一部分。

3.2.46

必要なリスク軽減  (necessary risk reduction)

リスクを確実に許容できる水準とするために必要な危険事象発生確率の軽減,予想される危害の厳しさ

の緩和又はそれらの両措置の程度。


16

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.47

非プログラマブルシステム,プログラムできないシステム[non-programmable (NP) system

コンピュータ技術に基づかないシステム[すなわち,プログラマブル電子(PE)又はソフトウェアに基づ

かないシステム]

注記  例として,配線接続されただけの電気若しくは電子系,又は機械的,油圧的,水圧的若しくは

空気圧的システムを含む。

3.2.48

運転員インタフェース  (operator interface)

情報を運転員と SIS との間で伝達する手段(例えば,CRT,表示ライト,押しボタン,警笛及び警報)

運転員インタフェースは,人間−機械インタフェース(HMI)と呼ばれることがある。

3.2.49

他技術安全関連系  (other technology safety-related systems)

電気,電子,プログラマブル電子以外の技術に基づいた安全関連系。

注記  安全弁は,“他技術安全関連系”である。“他技術安全関連系”には,油圧と空気圧系とが含ま

れることがある。

3.2.50

出力機能  (output function)

論理機能からの操作端操作情報に基づいて,プロセス及び関連機器を制御する機能。

3.2.51

フェーズ  (phase)

この規格で規定している業務が行われる安全ライフサイクル内の期間。

3.2.52

予防  (prevention)

危険事象頻度を軽減させる業務。

3.2.53

経験のある使用  (prior use)

部品の使用経験に基づき,この部品が安全計装システム構成要素としての使用に適切であるという適切

な証拠の存在が文書による評価によって示されている場合(11.5 参照)

注記 1  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

注記 2  11.5 では,“3.2.60(実績経験による使用)”の用語を使用している。

3.2.54

プロセスリスク  (process risk)

(BPCS の動作不良など)異常な事象が引き起こすプロセスの状態によるリスク。

注記 1  この文脈でのリスクは,必要とされるリスクの軽減の目的で SIS が使用される特定の危険事

象に関連している(すなわち,機能安全に結合しているリスク)

注記 2  プロセスリスク分析は IEC 61511-3 に規定されている。プロセスリスクを特定する主な目的

は,防護層を考慮しない場合でのリスクの基点を設定することである。

注記 3  このリスクの評価は,関連した人的要因の問題を含むことが望ましい。

注記 4  この用語は,JIS C 0508-4 の“EUC リスク(EUC risk)”と等価である。


17

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.55

プログラマブル電子[programmable electronics (PE)]

PES

の部分を構成し,かつ,コンピュータ技術に基づいた電子的要素又は装置。この用語は,ハードウ

ェア・ソフトウェアユニット及び入出力ユニットの両者を包含する。

注記 1  この用語は,関連したメモリとともに,1 個以上の中央処理装置(CPU)に基づいたマイクロ電

子装置を含む。プロセス分野のプログラマブル電子の事例を次に示す。

−  知能化検出端(スマートセンサ)及び操作端

−  プログラマブル電子論理処理部,すなわち

−  プログラマブル制御器

−  プログラマブル論理制御器

−  ループ制御器

注記 2  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.56

プログラマブル電子系  (PES)[programmable electronic system (PES)]

電源,検出端及び他の入力装置,データハイウェイ及び他の通信手段,アクチュエータ及び他の出力装

置などのシステム要素のすべてを含む,一つ以上のプログラマブル電子装置に基づいた制御,防護又は監

視のためのシステム(

図 参照)。

図 6−プログラマブル電子系  (PES):構成及び用語

3.2.57

プログラミング,プログラム作成  (programming)

3.2.5  コーディング(coding)”参照。


18

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.58

プルーフテスト  (proof test)

必要に応じて,システムの設計機能性能を回復するために,自己診断で検出できない安全計装システム

中のフォールトを見い出すために行われる試験。

3.2.59

防護層  (protection layer)

制御,予防又は緩和によってリスクを軽減する任意の独立した機構。

注記  これは,危険な化学物質を貯蔵する容器の大きさを制限するなどのプロセス工学的仕組み,安

全弁などのような機械工学的仕組み,安全計装システム又は差し迫った潜在危険に対する緊急

退避計画のような行政手続きであってもよい。これらの対処手段は,自動化されても,又は人

間によって開始されてもよい(

図 参照)。

3.2.60

実績経験による使用  (proven-in-use)

3.2.53  経験のある使用(prior use)”参照。

3.2.61

品質  (quality)

明示され及び合意された要求を満たすこの能力に関係するものの特性全体。

注記  詳細については ISO 9000 を参照。

3.2.62

ランダムハードウェア故障  (random hardware failure)

ハードウェアの様々な劣化機構の結果によって,ランダムな時刻に生じる故障。

注記 1  それぞれの部品には異なる率で起こる多くの劣化機構があり,かつ,製造上の許容誤差は,

それらの劣化機構に従って,部品を運用に供された後異なる時刻で故障させるので,多くの

部品から構成される装置全体の故障は,予測可能な率ではあるが予測不可能な(すなわち,

ランダムな)時刻に発生する。

注記 2  ランダムハードウェア故障と決定論的原因故障(3.2.85 参照)とを区別する主な特徴は,ラ

ンダムハードウェア故障によるシステムの故障率(又はその他の適切な尺度)は予測可能で

あるが,決定論的原因故障は,本質的に予測不可能である。すなわち,ランダムハードウェ

ア故障によるシステム故障率は定量化できるが,決定論的原因故障は容易には予測できない

ので,これよるシステム故障は統計的に定量化できない。

3.2.63

冗長性  (redundancy)

同じ機能を実行する複数の要素又はシステムの使用。冗長性は,同一の要素(同種冗長性)又は様々な

異なる要素(異種冗長性)によって実現できる。

注記 1  例として,2 重の機能を行う部品の使用とパリティビットの追加とが挙げられる。

注記 2  冗長性は,主として信頼性又はアベイラビリティを向上させるために使用される。

注記 3  IEV 191-15-01 の定義は,あまり完全ではない[ISO/IEC 2382-14-01-11]。

注記 4  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。


19

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.64

リスク  (risk)

危害の発生頻度及びその過酷度との組合せ。

注記  この概念の詳細については,箇条 参照。

3.2.65

安全側故障  (safe failure)

安全計装システムを潜在的に危険な,すなわち機能できない状態に置く可能性がない故障。

注記 1  可能性があるか実現されるかは,システムのチャネル構成に依存する。

注記 2  安全側故障に対する他の用語には,“迷惑故障”,“擬似トリップ故障”,“誤トリップ故障”又

は“安全側への故障”がある。

3.2.65.1

安全側故障割合  (safe failure fraction)

装置のランダムハードウェア故障の全故障率に対するこの全安全側故障率と検出可能な全危険側故障率

との和の比率。

3.2.66

安全な状態  (safe state)

安全が達成されているプロセスの状態。

注記 1  プロセスは,潜在的に危険な状態から最終的な安全な状態まで移行する場合に,多くの中間

的な状態を通過しなければならない可能性がある。状況によっては,安全な状態は,プロセ

スが連続的に制御されるときだけ存在する。そのような連続制御は短い期間又は不確定な長

期間になる可能性がある。

注記 2  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.67

安全  (safety)

受容できないリスクから免れている状態。

注記  この定義は,JIS Z 8051 による。

3.2.68

安全機能  (safety function)

特定の危険事象に関し,プロセスの安全な状態を達成又は維持する目的で,SIS,他技術安全関連系又は

外的リスク軽減施設によって実行される機能。

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義とは

異なっている。

3.2.69

安全計装制御機能  (safety instrumented control function)

危険な状況の発生を防止し,及び/又は危険な状況の結果を緩和するのに必要な連続モードで運用され

定められた SIL をもつ SIF。

3.2.70

安全計装制御システム  (safety instrumented control system)

一つ以上の安全計装制御機能を実行するのに使用される計装システム。


20

C 0511-1

:2008 (IEC 61511-1:2003)

注記  安全計装制御システムは,プロセス産業の中ではまれに使用される。そのようなシステムが特

定される場合,特殊な事例として扱われ,かつ,個別的基本命題として設計される必要がある。

この規格の要求事項の適用が望ましいが,このシステムが安全要求事項を達成できることを実

証するために,更なる詳細解析が要求されることがある。

3.2.71

安全計装機能  [safety instrumented function (SIF)]

機能安全を達成するのに必要とされる特定の安全度水準をもつ安全機能。これは,安全計装保護機能又

は安全計装制御機能のいずれかである。

3.2.72

安全計装システム  [safety instrumented system (SIS)]

一つ以上の SIF を実行するのに使用される計装システム。SIS は検出端(群)

,論理処理部(群)及び操

作端(群)を任意に組み合わせて構成される(例えば,

図 参照)。

注記 1  これは,安全計装制御機能若しくは安全計装保護機能のいずれか,又は両機能を含むことが

可能である。

注記 2 SIS 機器の製造業者及び供給者は,箇条 の a)∼d)を参照することが望ましい。

注記 3 SIS はソフトウェアを含んでも含まなくてもよい。

注記 4  A.2 参照。

注記 5  人間の行為が SIS の一部である場合,この運転操作のアベイラビリティ及び信頼性は,この

SRS

に規定され,この SIS の性能計算に含まれていなければならない。SIL の計算に運転操

作のアベイラビリティ及び信頼性をどのように含めるかの手引については,JIS C 0508-2 

参照。

図 7SIS 構成例

3.2.73

安全度  (safety integrity)

定められた期間以内に,定められたすべての条件下で,安全計装システムが必要な SIF を十分に実行で

きるであろう(時間)平均確率。

注記 1  安全度水準が高くなるにつれ,要求される SIF の遂行確率は高くなる。

注記 2 SIF の安全度は 4 水準に等級化される。

注記 3  安全度の決定には,不安全な状態に導く故障(ランダムハードウェア故障と決定論的原因故

障の両者)のすべての原因が含まれなければならない;例えば,ハードウェア故障,ソフト

ウェアが誘発する故障及び電気的干渉による故障など。これらの種類の故障の一部,特にラ

ンダムハードウェア故障は,危険モード故障の故障率又は作動要求時の安全計装システムの


21

C 0511-1

:2008 (IEC 61511-1:2003)

機能失敗確率などの尺度を用いて定量化してよい。しかし,SIF の安全度は,正確には定量

化できず,定性的にだけ検討することのできる多くの要因にも依存する。

注記 4  安全度はハードウェア安全度と決定論的安全度とからなる。

3.2.74

安全度水準  (SIL) [safety integrity level (SIL)]

安全計装システムに割り当てられる SIF の安全度要求事項を規定する(4 段階の)水準。安全度水準 4

が安全度の最高水準,安全度水準 1 が最低水準となる。

注記 1  安全度水準の目標機能失敗尺度は,表 及び表 に規定されている。

注記 2  より高水準の機能条件を満たすために,低水準の安全度水準をもつシステムを幾つか用いる

ことが可能である(例えば,SIL3 相当の機能の必要性を満たすために,SIL2 と SIL1 システ

ムを合わせて使用できる。

注記 3  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.75

安全度要求仕様  (safety integrity requirements specification)

安全計装システム(群)によって実行されなければならない SIF の安全度要求事項を含む仕様。

注記 1  この仕様は,安全要求仕様の一部(安全度部分)である(3.2.78 参照)。

注記 2  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義と

は異なっている。

3.2.76

安全ライフサイクル  (safety lifecycle)

プロジェクトの概念フェーズから,すべての SIF の使用終了に至る期間中に生じる,SIF(群)の履行に

必要な業務群。

注記 1  用語“機能安全ライフサイクル (functional safety lifecycle)”は厳密にはより正確であるが,

しかし形容詞“機能の (functional)”は,この規格の文脈上必要ないと考えられる。

注記 2  この規格で使用される安全ライフサイクルモデルが図 に示されている。

3.2.77  

安全マニュアル,安全手順書  (safety manual)

装置,下位システム又はシステムがどのようにして安全裏に適用されるかを定める手順書。

注記  これは,単独の文書,取扱説明書,プログラム用手順書,標準文書又は適用限界を規定する使

用者の文書に含まれる手順書が該当することがある。

3.2.78

安全要求仕様  (safety requirements specification)

安全計装システムによって実行されなければならない SIF の要求事項すべてを含む仕様。

3.2.79

安全ソフトウェア  (safety software)

アプリケーション,組込み又はユーティリティソフトウェア機能を伴う,安全計装システム中のソフト

ウェア。


22

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.80

検出端  (sensor)

プロセスの状態を測定する装置又は装置の組合せ(例えば,伝送器,変換器,プロセススイッチ,位置

決めスイッチ)

3.2.81

ソフトウェア  (software)

データ処理システムの運用にかかわるプログラム,手順書,データ,規則書その他の関連資料からなる

知的生産物。

注記 1  ソフトウェアは,ソフトウェアが記録される媒体からは独立している。

注記 2  この定義は注記 を除き ISO 2382-1 とは異なり,かつ,全体は,データという言葉を追加し

ているという点で,ISO 9000-3 とは異なっている。

3.2.81.1  SIS

下位システムにおけるソフトウェア言語

3.2.81.1.1

固定プログラム言語  [fixed program language (FPL)]  

使用者による調整は,幾つかの媒介変数(例えば,圧力伝送範囲,警報水準及びネットワークアドレス)

だけに制約される言語。

注記 FPL をもつ装置の典型的な例には,スマートセンサ(例えば,圧力伝送器),スマート弁,連鎖

事象制御器(シーケンス・オブ・イベント・コントローラ)

,専用スマート警報箱及び小形デー

タ記録システムがある。

3.2.81.1.2

制約可変言語  [limited variability language (LVL)]  

プロセス分野の使用者に対し,分かりやすく設計されており,安全要求仕様の履行のために事前に定義

されたアプリケーション特有の機能を組み合わせる能力を使用者に提供する言語。LVL は,このアプリケ

ーションを達成するのに必要な機能に関する密接な機能上の整合性を提供。

注記 1 LVL の典型的な例は,JIS B 3503  に規定されている。これらには,ラダー図,機能ブロック

図及びが逐次機能図が含まれる。

注記 2 LVL を使用するシステムの典型的な例は,標準 PLC(例えば,バーナ管理用のプログラマブ

ル論理制御器)

3.2.81.1.3

完全可変言語  [full variability language (FVL)]  

プログラマーに対し分かりやすく設計されており,かつ,多様な機能及びアプリケーションを実現する

能力を提供する言語。

注記 1 FVL を使用するシステムの典型的な例は,はん用コンピュータである。

注記 2  プロセス分野において,FVL の適用例は,組込み形ソフトウェアに見られるが,アプリケー

ションソフトウェアにはほとんど見られない。

注記 3 FVL の例は,Ada,C,パスカル,インストラクションリスト,アセンブラ言語,C++,Java

及び SQL である。

3.2.81.2

ソフトウェアプログラムの類形

3.2.81.2.1

アプリケーションソフトウェア  (application software)


23

C 0511-1

:2008 (IEC 61511-1:2003)

使用者の使用形態に特化されたソフトウェア。これは,一般的に,SIF 要求事項に適合するために必要

な入力,出力,計算及び決定を制御する論理順序,許可,制限及び表現を含む。固定及び制約可変言語参

照。

3.2.81.2.2

組込み形ソフトウェア  (embedded software)

製造業者から供給されるシステムの一部であり,かつ,最終使用者による変更が不可能なソフトウェア。

ファームウェア又はシステムソフトウェアとも呼ばれる。3.2.81.1.3 の完全可変言語参照。

3.2.81.2.3

ユーティリティソフトウェア  (utility software)

アプリケーションプログラムの作成,部分変更及び文書化のためのソフトウェアツール。これらのソフ

トウェアツールは,SIS の運用に必要としない。

3.2.82

ソフトウェアライフサイクル  (software lifecycle)

ソフトウェアが構想される時点からソフトウェアが永久に廃止される時点までの期間中に生じる業務。

注記 1  ソフトウェアライフサイクルは,通常,要求事項のフェーズ,開発フェーズ,試験フェーズ,

統合フェーズ,設定フェーズ及び部分改修フェーズを含む。

注記 2  ソフトウェアは保全することができない。むしろ,部分変更される。

3.2.83

下位システム  (subsystem)

3.2.84 システム”参照。

3.2.84

システム  (system)

設計に基づいて相互作用する要素の集合。システムの要素は,下位システムと呼ばれるもう一つのシス

テムであることも可能で,

この下位システムは,

制御するシステム又は制御されるシステムの場合があり,

またハードウェア,ソフトウェア及び人的干渉を含む場合もある。

注記 1  人員は,システムの一部となり得る。

注記 2  この定義は,IEV 351-01-01 とは異なる。

注記 3  システムは,検出端,論理処理部,操作端,通信及び SIS に属する補助機器(例えば,ケー

ブル,配管及び電源)を含む。

3.2.85

決定論的原因故障  (systematic failure)  

設計,製造過程,運用手順,文書又はその他の関係した要因の変更によってだけ解決できる原因に決定

論的に関係した故障。

注記 1  変更なしの事後保全は,通常,故障原因を除去できない。

注記 2  決定論的原因故障は,原因故障を模擬実験することによって誘発させることができる。

注記 3  この定義(注記 まで)は IEV 191-04-19 と一致している。

注記 4  次の事項中の人的過誤は,決定論的原因故障の原因事例である。

−  安全要求仕様

−  ハードウェアの設計,製造,設置及び運用

−  ソフトウェアの設計及び/又は実行


24

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.86

決定論的安全度  (systematic safety integrity)

危険モードの故障における,決定論的原因故障に関する SIF の安全度の一部(3.2.73 

注記 参照)。

注記 1  決定論的安全度は,通常,定量化することができない(ハードウェア安全度とは区別されて

いる。

注記 2  3.2.29 を参照。

3.2.87

目標機能失敗尺度  (target failure measure)

安全度要求事項に関し,達成されなければならない危険モード故障の目標とされる確率で,作動要求時

の設計機能遂行にかかわる時間平均失敗確率(作動要求モード)又は単位時間当たりの SIF の遂行に失敗

する時間平均確率(連続運用モード)のいずれかで規定。

注記  目標機能失敗尺度の数値は,表 及び表 を参照。

3.2.88

テンプレート  (template)

ソフトウェアテンプレート  (software template)

元の構成を維持しながら,特定の機能のために容易に変更できるアプリケーションソフトウェアの構造

化した非特定の部分。例えば,対話式(双方向)画面テンプレートは,アプリケーション画面のプロセス

の動作順序を制御するが,表示されるデータには限定されない。プログラマーは,使用者のための新しい

画面を作るために,はん用テンプレートを使って,機能特有の改訂版を作成することもある。

注記  関連する用語“ソフトウェアテンプレート”は時に使用される。通常,これは,ある目標の機

能又は目標の機能群を実行するようプログラムされ,かつ,多くの異なる事例で使用できるよ

うに構成されたあるアルゴリズム又はアルゴリズム群とみなされる。JIS B 3503 の文脈では,

テンプレートは,多くの事例に使用するために選定され得るある種のプログラムである。

3.2.89

許容リスク  (tolerable risk)

社会の今の価値に基づいて,所与の状況で受容されるリスク。

注記  IEC 61511-3 参照。(ISO/IEC Guide 51

3.2.90

検出されない  (undetected)

現れない  (unrevealed)

隠された  (covert)

自己診断テスト又は通常の運用によって発見されないハードウェア及びソフトウェアのフォールト。

注記  この用語は,(一般分野及び)プロセス分野用語の違いを反映して,JIS C 0508-4 での定義とは

異なっている。

3.2.91

妥当性確認  (validation)

設置後に検討中の SIF(群)及び安全計装システム(群)があらゆる点で安全要求仕様に適合している

ことを実証する業務。


25

C 0511-1

:2008 (IEC 61511-1:2003)

3.2.92

適合確認  (verification)

それぞれのフェーズに対する引継ぎ事項に対して,引渡し事項がすべての観点からこのフェーズに設定

された目的と要求事項とに適合していることを,分析及び/又は試験によって,関連する安全ライフサイ

クルのそれぞれのフェーズに対して実証する業務。

注記  適合確認業務の事例は,次のようなものがある。

−  このフェーズの引継ぎ事項を考慮して,引渡し事項(安全ライフサイクルのすべてのフェー

ズからの文書)がこのフェーズの目的と要求事項とに整合していることを確証するための審

査。

−  設計審査

−  設計された製品が仕様のとおりに機能することを確証するために行われる試験。

−  システムの異なる要素が,段階的に組み立てられている場合に実施される統合試験及びすべ

ての部分が定められたように協調して動作することを現場試験の性能測定によって確認する

こと。

3.2.93

ウォッチドッグ  (watchdog)

プログラマブル電子(PE)装置の正常な運用を監視し,かつ,異常動作の検出時に対処するために,自己

診断及び出力装置(通常はスイッチ)とを組み合わせたもの。

注記 1  ウォッチドッグは,ソフトウェアで制御された出力装置による外部装置(例えば,ハードウ

ェア電子ウォッチドッグタイマー)の規則的リセットによって,ソフトウェアシステムが正

常に運用されていることを確認する。

注記 2  ウォッチドッグは,危険側故障が検出されたとき,プロセスを安全な状態に導くため,安全

出力群の出力を停止させるために使用できる。ウォッチドッグは,PE 論理処理部のオンライ

ン自己診断カバー率を向上させるために使用する(3.2.15 及び 3.2.40 参照。

4

この規格群への適合

この規格に適合するためには,箇条 5∼箇条 19 に示す要求事項がそれぞれ規定された基準に照らし合わ

せて満足されなければならず,そのため,各箇条のそれぞれの目的が満たされていることを示さなければ

ならない。

5

機能安全の管理

5.1

目的

この箇条の要求事項の目的は,機能安全の目的が満たされていることを保証するために必要な管理業務

を規定することにある。

注記  この箇条の目的は,安全計装システムの機能安全の達成及び保全だけにしぼられ,職場におけ

る安全の達成に必要な一般的な安全衛生対策とは独立し,かつ,異なっている。

5.2

要求事項

5.2.1

一般

5.2.1.1

安全の達成のための方針及び戦略は,安全の達成を査定する手段とともに規定され,かつ,この

組織内で相互に理解されなければならない


26

C 0511-1

:2008 (IEC 61511-1:2003)

5.2.1.2

安全管理体制は,安全計装システムが使用される場合では,安全計装システムがプロセスを安全

な状態にし,及び/又はその安全な状態を維持する能力をもつことを保証する仕組みとして位置付けられ

なければならない。

5.2.2

組織及び人的資源

5.2.2.1

安全ライフサイクルのそれぞれのフェーズの実施及び審査に責任をもつ人員,部局,組織又は他

の責任主体は,それが特定されるとともに,割り当てられるこの責任について告知されなければならない

(この責任主体には,関連する許認可又は規制当局も含まれる。

5.2.2.2

安全ライフサイクル業務に携わる人員,部局又は組織は,責務の対象となる業務を遂行するに必

要な能力をもたなければならない。

注記  安全ライフサイクル業務にかかわる人員,部局,組織又はその他の責任主体の業務遂行能力を

考慮する場合,最低限,次の事項を検討することが望ましい。

a)

プロセス分野に適した工学上の知識,訓練及び経験

b)

使用される対応技術(例えば,電気,電子又はプログラマブル電子)に適した工学上の知識,

訓練及び経験

c)

検出端と操作端とに適した工学上の知識,訓練及び経験

d)

安全工学の知識(例えば,プロセス安全分析)

e)

法的及び安全規制上の要求事項の知識

f)

安全ライフサイクル業務の役割に適した十分な管理能力及び指導力

g)

ある事象に関して起こり得る結果に対する理解力

h) SIF

の安全度水準

i)

アプリケーション及び技術の新規性及び複雑性

5.2.3

リスク査定及びリスク管理

箇条 で規定する潜在危険を同定し,リスクが査定され,必要なリスク軽減が決定されなければならな

い。

注記  経済的理由から,潜在的な資本損失についても考慮するのがよい。

5.2.4

計画

遂行しなければならない業務及びこの業務の遂行に責任をもつ人員,部局,組織又はその他の責任主体

を定めるために,安全計画を作成しなければならない。この計画は,安全ライフサイクル全体を通して,

必要に応じ更新していかなければならない(箇条 参照)

注記  安全計画は次の事項を組み込んでもよい。

−  “安全計画”という名称の品質計画の 1 項目

−  “安全計画”という名称の独立した文書

−  社内手順書又は職務遂行書を含むような複数の文書

5.2.5

実施及び監視

5.2.5.1

手順は,次の事項について作成し,かつ,安全計装システムに関係する勧告への敏速な対応と十

分な問題解決とが保証できるように実施されなければならない。

a)

潜在危険分析及びリスク評価

b)

評価及び監査業務

c)

適合確認業務

d)

妥当性確認業務


27

C 0511-1

:2008 (IEC 61511-1:2003)

e)

異常事象後及び事故後の業務

5.2.5.2

組織に製品又はサービスを提供し,安全ライフサイクルの一つ以上のフェーズに対して全面的責

任をもついかなる製造業者も,この組織によって規定された製品又はサービスを提供するとともに品質管

理システムをもたなければならない。品質管理システムの適性を確立するために手順を整備しなければな

らない。

5.2.5.3

この安全要求事項に対する安全計装システムの性能を評価するために,次の項目を含む手順が実

施されなければならない。

a)

安全性を脅かし得る決定論的原因故障の同定及び防止

b)

安全計装システムの危険側故障率が設計中に設定した率と一致しているかの評価

注記 1  危険側故障は,プルーフテスト,故障診断又は作動要求時の機能失敗によって明らかにな

る。

注記 2  故障率が設計時に設定された値より大きい場合にとられるべき修正業務を規定する手順の

検討が望ましい。

c)

安全度水準の要求事項を決定したリスク評価で仮定した,作動要求率の仮定の適合確認を行うために,

実動作中の安全計装システムへの作動要求率を評価する。

5.2.6

評価,監査及び改定

5.2.6.1

機能安全評価

5.2.6.1.1

安全計装システムによって達成される機能安全及び安全度についての判定が可能となるように,

機能安全評価のための手順を定め,実施しなければならない。この手順では,この安全計装システムの設

置に必要な技術,アプリケーション及び運用の専門知識をもった評価チームの任命が要求されなければな

らない。

5.2.6.1.2

評価チームの構成員には,プロジェクトの設計チームに含まれていない少なくとも 1 名の上席

有資格者がいなければならない。

注記 1  評価チームが大きくなってしまった場合,プロジェクトチームから独立した上席有資格者を

2

名以上評価チームに投入することを検討することが望ましい。

注記 2  機能安全評価を計画する場合,次の項目について検討する。

−  機能安全評価の範囲

−  この安全機能評価にだれが参加するか

−  安全機能評価チームの技術,責任及び権限

−  安全機能評価業務の結果得られる情報

−  この評価にかかわった他の安全団体の身分

−  この機能安全評価業務の完了までに必要な資源

−  評価チームの独立性の水準

−  部分改修後における,機能安全評価に対する再妥当性確認の方法

5.2.6.1.3

機能安全評価業務を行うべき安全ライフサイクルの段階は,安全計画作成時に定められなけれ

ばならない。  

注記 1  部分改修後及び定期的運用の間で新しい潜在危険が同定されると,追加の機能安全評価業務

が必要となることがある。

注記 2  次のような段階では,機能安全評価業務の実施を検討することが望ましい(図 参照)。

−    段階 1

潜在危険及びリスク評価を実行した後,必要な防護層が特定され,かつ,安全


28

C 0511-1

:2008 (IEC 61511-1:2003)

要求仕様が作成されたとき

−    段階 2

安全計装システムが設計された後

−    段階 3

設置後,安全計装システムの引渡し前,かつ,最終妥当性確認が完了し,更に

運用及び保全手順が作成されたとき

  段階 4

運用及び保全の実績を得た後

  段階 5

安全計装システムの部分改修後及び使用終了前

注記 3  機能安全評価業務の回数,規模及び範囲は,個別の環境に依存することが望ましい。この決

定の要素には,次の事項を含む。

−    プロジェクトの規模

−    複雑性の度合い

−    安全度水準

−    プロジェクトの継続時間

−    機能失敗時の結果

−    設計特性の標準化度

−    安全規制上の要求事項

−    類似設計の先行実績


29

C 0511-1

:2008 (IEC 61511-1:2003)

リスク軽減の

他の手段の 
設計と開発

箇条 9

潜在危険及びリスク評価

箇条 8

機能安全

管理並びに

機能安全 
評価及び

監査

箇条 5

安全ライフ
サイクルの

構成及び

計画

 
 

6.2

安全計装システムの

設計及びエンジニアリング

箇条 11 及び箇条 12

 4

設置,引渡し,妥当性確認

箇条 14 及び箇条 15

 5

運用及び保全

6

箇条 16

改修

 7

箇条 17

適合確認

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

箇条 7

12.4

及び

12.7

使用終了

 8

箇条 18

段階1

段階2

段階 3

段階4

段階 5

安全計装システムへの

安全要求事項

箇条 10 及び箇条 12

3

この規格で要求事項が与えられる。

防護層への安全機能の割当て

箇条 9

注記 1  段階 1∼5 は 5.2.6.1.3 で定義される。

注記 2  別の方法で示されない場合,すべての参照文書は,この規格のためである。

情報の基本的な流れ

この規格では詳細な要求事項はない。

2

10

9

11

1

図 8SIS 安全ライフサイクルフェーズ及び機能安全評価段階

5.2.6.1.4

少なくとも 1 回,機能安全評価を実施しなければならない。この機能安全評価は,プロセス及

びこの関連機器から生じる潜在危険が適切に抑制されていることを保証するために遂行されなければなら

ない。少なくとも,1 回の評価が同定された潜在危険が現実化する前(すなわち,段階 3 まで)に実施さ

れなければならない。この評価チームは,同定された潜在危険が現実化する前に,次の事項を確認しなけ

ればならない。


30

C 0511-1

:2008 (IEC 61511-1:2003)

a)

潜在危険及びリスク評価が行われている(8.1 参照)

b)

安全計装システムに適用された潜在危険及びリスク評価から得られた勧告が実施されている又は問題

が解決されている。

c)

プロジェクト設計変更手順が整備され,かつ,適切に実行している。

d)

先行した機能安全評価から得られた勧告を実施している。

e)

安全要求仕様に従って,安全計装システムが設計され,組み立てられ,かつ,設置されている。また,

安全要求仕様と異なる部分が特定され,かつ,問題解決がされている。

f)

安全計装システムに関係した安全,運用,保全及び緊急時の手順を整備している。

g)

安全計装システム妥当性確認計画が適切で,かつ,妥当性確認業務が完了している。

h)

要員の訓練が終了し,かつ,安全計装システムについて適切な情報を保全及び運転要員に提供してい

る。

i)

更なる機能安全評価を履行するための計画又は戦略を整備している。

5.2.6.1.5

すべての安全ライフサイクル業務に対して,これらに開発及び生産ツールが使用される場合は,

それらのツール自身が機能安全評価の対象でなければならない。  

注記 1  これらのツールを使用することが必要になる度合いは,達成すべき安全に対する影響に依存

する。

注記 2  開発及び生産ツールの事例には,模擬及びモデルツール,測定機器,試験機器,保全業務に

おいて使用する機器及び変更管理ツールを含む。

注記 3  ツールの機能安全評価には,校正基準,運用履歴及び欠陥リストの比較修正が含まれるが,

これらだけには限定されない。

5.2.6.1.6

機能安全評価の結果及びその評価から得られるすべての勧告は,利用可能でなければならない。

5.2.6.1.7

すべての関連情報は,要求に応じて,機能安全評価チームによって利用可能でなければならな

い。

5.2.6.2

監査及び改定

5.2.6.2.1

次の要求事項への整合性を監査するための手順を定め,かつ,実行しなければならない。

a)

監査業務の頻度

b)

通常業務を行う人員,部局,組織又はその他の団体と監査業務を行う責任主体との間の独立性の程度

c)

記録及び継続管理業務

5.2.6.2.2

同種の部品交換の場合を除いて,安全計装システムの変更を開始,記録,調査,実施及び承認

するために,部分改修の管理手順を整備しなければならない。

5.2.7

SIS

変更管理

5.2.7.1

要求事項

5.2.7.1.1 SIS

の変更管理手順は,SIS 及びソフトウェア安全ライフサイクルフェーズにおいて,利用可能

でなければならない。特に,次の事項を規定しなければならない。

a)

正規の変更管理が行われるべき段階

b)

あるアイテム(ハードウェア及びソフトウェア)のすべての構成要素部を一義的に特定するために使

われる手順

c)

認定されていないアイテムが使用に供されることを防止するための手順


31

C 0511-1

:2008 (IEC 61511-1:2003)

6

安全ライフサイクル要求事項

6.1

目的

この箇条の目的を次に示す。

a)

フェーズを定めて安全ライフサイクル業務の要求事項を確立する。

b)

技術的業務を安全ライフサイクル中に組織する。

c)

安全計装システムが安全要求事項を満たしていることを明確にする適切な計画が存在する(又は,開

発されている)ことを保証する。

注記  この規格の全般的方法論は,図 8,図 10 及び図 11 に示されている。この方法は例示用で,

初期の概念から使用終了までの典型的な安全ライフサイクル業務を示すことだけを意図した

ものであることに注意する。

6.2

要求事項

6.2.1

この規格の要求事項を組み込んでいる安全ライフサイクルは,安全計画中に定義されなければなら

ない。

6.2.2

安全ライフサイクルのそれぞれのフェーズは,引継事項,引渡し事項及び適合確認業務として定め

る(

表 参照)。


32

C 0511-1

:2008 (IEC 61511-1:2003)

表 2SIS 安全ライフサイクル一覧

安全ライフサイクル

フェーズ又は業務

図 のボッ

クス番号

標題

目的

要求事項

の箇条

又は細分

箇条

引継事項

引渡し事項

1

潜 在 危 険 及

び リ ス ク 評

プロセス及び関連機器の潜在危

険及び危険事象,潜在危険につ
ながる事象連鎖,危険事象に関
連するプロセスリスク,リスク

軽減の要求及び必要なリスク軽
減を実現するのに必要な安全機
能を決定するため。

8

プロセス設計,レイア

ウト,人員の配置及び
安全目標

ハザード,要求安全機

能(群),関連のリス
ク軽減の規定 
危険 ,必 要な 安全機

能,関連したリスクの
軽減についての説明

2

防 護 層 へ の
安 全 機 能 の

割当て

防護層への安全機能とそれぞれ
の SIF 及び関連する安全度水準

の割当てのため。

9

必要な SIF(群)及び
関連安 全度水 準の説

安全 要求 の割 当ての
説明(箇条 参照)

3 SIS

安全要求

事項

必要機能安全に到達するため,

必要な SIF 及びそれらの安全度
水準という観点で,それぞれの

SIS

の必要要求を規定するため。

10 

安全要 求の割 当ての

説明(箇条 参照)

SIS

安全要求:ソフト

ウェア安全要求

4 SIS

設計及び

エ ン ジ ニ ア

リング

SIF

及び安全度の要求を満たし

た SIS を設計するため。

11

及び

12.4

SIS

安全要求

ソフト ウェア 安全要

SIS

安全要求に沿った

SIS

の設計;SIS 統合

テスト計画

5 SIS

の設置,

引 渡 し 及 び

妥当性確認

SIS

の統合及びテストを行うた

め。

あらゆる点で,SIS が必要な SIF
及び安全度に関しての安全要求
を満たしているという妥当性確

認を行うため。

12.314

及び 15

SIS

設計

SIS

統合テスト計画

SIS

安全要求

SIS

の安全妥当性確認

計画

SIS

統 合 テ ス ト で の

SIS

設計結果に従い,

十分 に機 能し ている

SIS

設置,引渡し,妥当性

確認の作業の結果

6 SIS

運用及び

保全

SIS

の機能安全が運用,保全中で

も保持されていることを確認す
るため。

16

SIS

要求

SIS

設計

SIS

運用及び保全計画

運用 及び 保全 作業の

結果

7 SIS

改修

必要な安全度に達し,かつ,保
持できているかを確認しつつ,

SIS

を修正,拡張又は適応してい

くため。

17 

改定した SIS  安全要

SIS

の修正結果

8

使用終了

適切なレビュー,セクターの編

成の実現及び SIF が適切に残っ
ていることを確認するため。

18 

安全要 求及び プロセ

ス情報の完成図書

運用を休止した SIF

9 SIS

適合確認  与えられたフェーズの引渡し事

項を試験そして評価し,そのフ
ェーズの引継事項として与えら
れた製品及び規格としての正し

さ及び一貫性を確認するため。

7

及び

12.7

それぞ れのフ ェーズ

での SIS の妥当性確認
の計画

それ ぞれ のフ ェーズ

での SIS の妥当性確認
結果

10 SIS

機能安全

評価

SIS

によって実現された機能安

全を調査し判断するため。

5 SIS

機能安全評価の計

SIS

安全要求

SIS

機能安全評価結果

6.2.3

すべての安全ライフサイクルフェーズに関して,安全計画は,次の事項によって判断基準,技法,

対策及び手順を規定する。


33

C 0511-1

:2008 (IEC 61511-1:2003)

a) SIS

安全要求事項がすべてのプロセスの関連モードに対して満たされていることを保証する。これに

は機能及び安全度の両要求事項が含まれる。

b)

安全計装システムの適切な設置及び引渡しを保証する。

c)

設置後の SIF の安全度を保証する。

d)

運用中の安全度を維持する[例えば,プルーフテストの実施及び機能失敗(故障)解析]

e)

安全計装システムの保全業務中でのプロセス潜在危険を管理する。

7

適合確認

7.1

目的

この箇条の目的は,要求される引渡し事項がこの適合確認計画に定められた安全ライフサイクルの適切

なフェーズ(

図 8)に対して定められた要求事項を満足することを,調査,分析及び/又は試験によって,

実証することにある。

7.1.1

要求事項

適合確認計画は,安全ライフサイクルの適切なフェーズ(

図 8)に対して要求される業務をすべて定め

なければならない。適合確認計画は,次の事項を提供することによって,この規格に適合しなければなら

ない。

a)

適合確認業務

b)

生じるであろう勧告の実現及び解決を含む適合確認のために使用する手順,方法及び技法

c)

適合確認業務の実施時期

d)

独立性の水準を含む,これらの業務に責任をもつ者,部局,組織

e)

適合確認すべき事項の特定

f)

適合確認を行う情報の特定

g)

不適合の取扱方法

h)

ツール及び支援分析

7.1.1.1

適合確認は,適合確認計画に従って実施しなければならない。

7.1.1.2

適合確認過程の結果は

,利用可能でなければならない。

注記 1  適合確認過程に対する技法と方法の選定及び独立性の程度は,複雑さの程度,設計の新規性,

技術の新規性及び要求される安全度水準などを含む幾つかの要因に依存する。

注記 2  適合確認業務の例には,設計審査,ソフトウェア適合確認ツール及び CAD ツールなどのよ

うなツール又は技法の利用などがある。

8

プロセスの潜在危険及びリスク評価

8.1

目的

この箇条の要求事項の目的は,次による。

a)

このプロセス及び関連する機器の潜在危険及び危険事象を決定する。

b)

危険事象を招く一連の事象連鎖を決定する。

c)

危険事象と関連したプロセスリスクを決定する。

d)

リスク軽減に対するすべての要求事項を決定する。

e)

必要なリスク軽減を達成するために要求される安全機能を決定する。

f)

いずれかの安全機能が SIF に該当するかを決定する(箇条 参照)


34

C 0511-1

:2008 (IEC 61511-1:2003)

注記 1  この規格の箇条 は,プロセスエンジニア,潜在危険及びリスクの専門家,安全管理者並

びに計装エンジニアを対象としている。その目的は,SIF の決定に通常必要とされる総合

的な取組みを認識するためである。

注記 2  合理的に適用可能な場合,プロセスは本質安全であるように設計されることが望ましい。

本質安全手法が適用できない場合,機械防護システム及び安全計装システムのようなリス

ク軽減方法を設計に追加することが必要となる可能性がある。こうしたシステムは,単独

で機能する場合もあれば,互いに連携して機能することもある。

注記 3  プロセスプラントに見られる典型的なリスク軽減方法を図 に示す(階層構造を意味して

いない。

8.2

要求事項

8.2.1

プロセス及びその関連装置(例えば BPCS)に対して,潜在危険及びリスク評価を行わなければな

らない。この評価によって次の事項を示す。

a)

それぞれ同定した危険事象及びそれを誘発する要素(人的過誤を含む。

)の規定

b)

事象の結果及び事象発生の確からしさ

c)

通常の運用,起動,停止,保全,プロセス不調,緊急シャットダウンなどの状況の検討結果

d)

この安全性を達成するために必要な追加のリスク軽減要求事項の決定

e)

潜在危険及びリスクを軽減又は除去するためにとられる対策についての情報の規定又は参照

f)

可能性のある作動要求率及び機器の故障率を含んだリスク分析上行った仮定及び運用上の制約事項又

は人的介入に対してなされたすべての評価についての詳細な規定

g)

安全層間及び安全層と BPCS(

注記 参照)間との共通原因故障による防護効果の潜在的な縮退を計

算に入れた防護層への安全機能の割当て(箇条 参照)

h) SIF

として適用されるこの安全機能の同定(箇条 参照)

注記 1  安全度要求事項を決定する場合,作動要求を出すシステムとその作動要求に応答するよう

に設計された防護システムとの間の共通原因の影響を考慮する必要がある。この例は,制

御系の故障によって作動要求が生じ,防護システムに使用されている装置が制御系で使用

されている機器と類似又は同一のものである場合が該当する。このような場合,制御系の

機器の故障によって引き起こされる作動要求は,例えば,共通原因が防護システム中の類

似の機器を機能不全にするなら,効果的に応答しないことがある。予備的な潜在危険の同

定及びリスク分析において,このような早い段階では防護システムの設計が必ずしも完成

しておらず,共通原因の問題の認識は可能でないことがある。このような場合,安全計装

システムと他の防護層の設計が完了した時点で,安全度及び SIF に対する要求事項を再検

討する必要があることがある。プロセス及び防護層全体の設計が要求事項に適合している

かを決定する場合は,共通原因故障を検討する必要がある。

注記 2 SIF に要求される SIL を確立するために使用される技術が IEC 61511-3 に例示されている。

8.2.2

防護層に作動要求をもたらす(この規格に適合していない)BPCS の危険故障率には,単位時間

当たり 10

5

よりよいという仮定をしてはならない。

8.2.3

潜在危険及びリスク評価は,上記のアイテム(プロセス及びその関連装置)間の関係が明確で,

かつ,追跡可能なように記録されていなければならない。

注記 1  上記の要求事項は,リスク及びリスク軽減目標が数値として割り当てられることを強制して

はいない。グラフを使用した方法も使用可能である(IEC 61511-3 参照)


35

C 0511-1

:2008 (IEC 61511-1:2003)

注記 2  必要なリスク軽減の程度は,適用分野及び国家の法律上の要求事項に依存して変動すべきも

のである。多くの国々で受け入れている原理は,負担する費用がリスク軽減と不均衡になる

まで追加のリスク軽減対策を適用すべきとしている。

9

防護層への安全機能の割当て

9.1

目的

この箇条の要求事項の目的は,次による。

a)

防護層へ安全機能を割り当てる。

b)

要求される SIF を決定する。

c)

それぞれの SIF に対する安全度水準を決定することにある。

注記  割当ての過程においては,プロセス産業向けの他の規格又は規則について考慮しなければな

らない。

9.2

割当過程における要求事項

9.2.1

割当過程は,次による。

a)

このプロセス及びそれに関連した機器から生じる潜在危険を予防,制御又は緩和するための個々の防

護層への安全機能の割当て

b) SIF

へのリスク軽減目標の割当て

注記  規制上の要求事項又は他の産業規則が割当て過程の優先順位を決定することもある。

9.2.2 SIF

に要求される安全度水準は,この機能から得られる必要なリスク軽減を考慮して導出されなけ

ればならない。

注記  手引として,IEC 61511-3 を参照。

9.2.3

作動要求モードで運用しているそれぞれの SIF では,要求される SIL は,

表 又は表 によって定

められなければならない。

表 が使用される場合,プルーフテスト間隔及び作動要求率のいずれも安全度

水準の決定に使用してはならない。

9.2.4

連続運用モードで運用しているそれぞれの SIF の場合,要求される SIL は,

表 によって規定しな

ければならない。

表 3−安全度水準:作動要求時の機能失敗確率

作動要求モードでの運用

安全度水準  (SIL) 

作動要求時の平均機能失敗確率の目標

リスク軽減の目標 

4 10

5

以上 10

4

未満 10

000

を超えて 100 000 以下

3

10

4

以上 10

3

未満 1

000

を超えて 10 000 以下

2 10

3

以上 10

2

未満

100

を超えて 1 000 以下

1 10

2

以上 10

1

未満 10 を超えて 100 以下

表 4−安全度水準:SIF の危険側故障の頻度

連続モードでの運用 

安全度水準 (SIL) 

SIF

を実行するための

危険側故障頻度の目標(1/時間) 

4 10

9

以上 10

8

未満

3 10

8

以上 10

7

未満

2 10

7

以上 10

6

未満

1 10

6

以上 10

5

未満


36

C 0511-1

:2008 (IEC 61511-1:2003)

注記 1  詳細は,3.2.43 を参照。

注記 2  安全度水準は,代替の設計及び解決策を比較するための客観的な目標を提供するために,数

値で定義される。しかし,多くの故障の決定論的原因は,現状の知識では,定性的にしか評

価され得ないということが認識されている。

注記 3  ある連続モードの SIF に対して要求される単位時間当たりの危険側故障頻度は,他の防護層

からの影響を考慮し,連続モードで動作する SIF の機能不全によって引き起こされるリスク

(危険事象率ともいう。

)及びこのリスクを引き起こす他の機器の故障率を共に考慮して決定

される。

注記 4  ある高水準の機能の要求を満たすために,幾つかの低安全度水準のシステムを使用すること

が可能である(例えば,SIL3 のある機能の必要性を満たすために,SIL2 及び SIL1 のシステ

ムを組み合わせて使用するなど)

9.3

安全度水準 にかかわる付帯要求事項

9.3.1 SIL4

よりも高い安全度水準をもつ SIF は,安全計装システムに割り当てられない。安全度水準 4

をもつ単独の SIF の使用を要求する適用事例は,プロセス産業ではまれである。このような適用方法は,

かかわる高水準の性能をこの安全ライフサイクル全般にわたって達成し,かつ,維持することが困難であ

るため,合理的に実現可能である限り避けなければならない。このようなシステムの使用が特定される場

合,

この安全ライフサイクル全般に含まれるすべての関係者に高水準の適格能力が要求されることがある。

分析の結果,ある SIF に安全度水準 4 を割り当てることになれば,プロセスがより固有安全となるよう

又は更に防護層を追加するなどの方法によって,プロセスの設計を変更するための検討がなされなければ

ならない。このような改善は,この SIF に対する安全度水準の要求事項を緩和させる場合がある。

9.3.2

安全度水準 4 の SIF は,次の a)  の基準を満足するか,又は b)及び c)の両基準を満足しているとき

だけ許容されるものとする。

a)

適切な分析方法及び試験の組合せによって,この目標安全度機能失敗尺度が満たされていることが明

確に実証されている。

b)

この SIF の部分として使用される構成要素の広範な運用実績が存在する。

注記  こうした実績は類似の環境で得られたものであるべきで,最低限,構成要素が同等の複雑性

水準をもつシステムで使用されたものであることが望ましい。

c)

この SIF の部分として使用される部品から得られるハードウェアの故障データが,主張されるハード

ウェア安全度目標機能失敗尺度に十分な信頼を与えるに足るだけ存在する。

注記  そのデータは,与えられる環境,アプリケーション及び複雑性の度合いに関連をもたなけれ

ばならない。

9.4

防護層としての基本プロセス制御系に対する要求事項

9.4.1 BPCS

は,

図 で示すように,防護層として分類することもある。


37

C 0511-1

:2008 (IEC 61511-1:2003)

図 9−プロセスプラントに見られる一般的なリスク軽減法

9.4.2

防護層として使われている BPCS(この規格又は JIS C 0508 の規格群に適合しないもの)のリスク

軽減係数は,10 よりも小さな値でなければならない。

注記 BPCS にどの程度のリスク軽減の信頼を与えるかを検討する場合,BPCS の一部もある事象の発

生原因となるという事実を考慮する。

9.4.3 10

より大きいリスク軽減係数を BPCS に主張する場合は,この BPCS は,この規格における要求

事項に従って設計しなければならない。

9.5

共通原因,共通モード及び従属故障にかかわる要求事項

9.5.1

防護層の設計は,防護層間及び防護層と BPCS との間の共通原因,共通モード及び従属故障の発生

の確からしさが防護層全体の全安全度要求事項に比較して十分に低いことを保証するために評価されなけ

ればならない。この評価は,定性的又は定量的なもののいずれでもよい。

注記  従属故障の定義については,3.2.12 を参照。

予防

機械的予防システム

プロセス警報及び

運転員修正対応

安全計装制御システム 
安全計装予防システム

緩和

機械的緩和システム

安全計装制御システム 
安全計装緩和システム

オペレータ監視

制御及び監視

基本プロセス制御システム

監視システム(プロセス警報)

オペレータ監視

プラント緊急対応

避難手順

地域緊急対応

緊急放送

  プロセス


38

C 0511-1

:2008 (IEC 61511-1:2003)

9.5.2

この評価では,次の事項を検討する。

a)

防護層間での独立性

b)

防護層間の技術的多様性

c)

異なる防護層間での物理的な分離

d)

防護層間及び防護層と BPCS との間の共通原因故障(例えば,開放弁の閉そくは SIS の検出端の閉そ

くという同類の問題を引き起こさないか。

10  SIS

安全要求仕様

10.1

目的

この箇条の目的は,SIF に対する要求事項を規定する。

10.2

一般要求事項

10.2.1

安全要求事項は,SIF の割当て及び安全計画策定中に定められた要求事項から導かれなければなら

ない。    

注記 SIS 要求事項は次のように表現され,かつ,構成しなければならない。

−  明確,正確,適合確認可能,維持可能で実行可能であること。

−  ライフサイクルの任意のフェーズで,この情報を利用する者の理解を促進するように規定さ

れている。

10.3  SIS

安全要求事項

10.3.1

この要求事項は,SIS を設計するのに十分で,かつ,次の項目を含まなければならない。

a)

要求される機能安全を達成するのに必要なすべての SIF の規定

b)

共通原因故障を同定し,かつ,考慮するための要求事項

c)

同定されたそれぞれの SIF に対するプロセスの安全状態の定義

d)

同時に発生する場合に別の潜在危険を生成する,個々に安全なプロセス状態すべての定義(例えば,

非常用貯蔵装置への過流入及び余剰ガス燃焼システムへの同時多重排出)

e) SIF

に対して想定される作動要求源及び作動要求率

f)

プルーフテスト間隔に関する要求事項

g) SIS

がこのプロセスを安全な状態に導くための応答時間の要求事項

h)

各 SIF に対する安全度水準及び運用モード(作動要求・連続)

i) SIS

のプロセス測定法及びそれらのトリップ点の規定

j) SIS

のプロセス出力動作及び成功動作にかかわる基準の規定,例えば,緊密緊急遮断弁に対する要求

事項

k)

論理,関数及びすべて要求される許容条件を含むプロセスの入力及び出力の機能上の関係

l)

手動による緊急停止に関する要求事項

m)

励磁トリップ又は非励磁トリップに関する要求事項

n)

緊急停止後に SIS をリセットするための要求事項

o)

許容可能な最大限の擬似トリップ発生率

p)

故障モード及びこの SIS の望ましい応答(例えば,警報及び自動緊急停止)

q) SIS

の起動及び再起動にかかわる手順に関して定められたすべての要求事項

r) SIS

及び他のすべてのシステム間のすべてのインタフェース(BPCS 及び運転員を含む。

s)

プラント運用モード及びそれぞれのモードにおいて動作するのに必要な SIF 同定の規定


39

C 0511-1

:2008 (IEC 61511-1:2003)

t)

12.2.2

に規定したアプリケーションソフトウェア安全要求事項

u)

それらがどのように解除されるかを含めた,オーバーライド・禁止・バイパス方法にかかわる要求事

v) SIS

内でフォールト(群)が検出された場合に,安全な状態を達成し又は維持するのに必要なすべて

の動作の仕様書。そのようなすべての動作は,関連するすべての人的要因を考慮して決定されなけれ

ばならない。

w)

移動時間,場所,部品保有,サービス契約及び環境的制約を考慮した,SIS に実現可能な平均修理時

x)

回避する必要のある SIS の出力状態の危険な組合せの同定

y) SIS

が遭遇するであろうすべての環境状態の極端な状態が同定されなければならない。このために次

の事項を検討する必要があることがある。

気温,湿度,汚染物,地絡,電磁妨害・無線周波妨害(EMI/RFI),衝撃・振動,静電気放電,電気地

域区分,浸水,雷及びその他の関連した要因

z)

プラント全体(例えば,プラント起動)及び個々のプラントの運用手順(例えば,機器の保全,検出

端の校正及び/又は修理)の両者に対する正常及び異常モードの同定。追加の SIF がこれらの運用モ

ードを支援する必要があることがある。

aa)

例えば,弁に対して要求される火災時での動作可能時間などのように,重大事故の場合にも残存する

必要のあるすべての安全計装機能に対する要求事項の定義

注記  非安全計装機能が秩序だった停止又は迅速な起動を保証するために用いられることがある。

これらの機能は,SIF とは区別しなければならない。

10.3.2

ソフトウェア安全要求仕様は,この安全要求仕様及び選定された SIS 構成から導出されなければな

らない。

11  SIS

の設計及びエンジニアリング

11.1

目的

この箇条の要求事項の目的は,SIF(群)を提供し,かつ,定められた安全度水準(群)に適合する一つ

の又は複数の SIS を設計することにある。

11.2

一般要求事項

11.2.1

この SIS の設計は,この箇条の要求事項すべてを遵守し,SIS 安全要求仕様に合致していなければ

ならない。

11.2.2 SIS

が安全及び非安全計装機能(群)の両機能を実行しなければならない場合,正常及びフォール

ト条件において,何らかの SIF に影響を否定的に与え得るすべてのこのハードウェア及びソフトウェアは

SIS

の一部として扱われ,かつ,この SIF 群に対する最も高い SIL にかかわる要求事項に従わなければな

らない。

注記 1  適用可能な限り,SIF は,非安全計装機能と区分しなければならない。

注記 2  適切な独立とは,いかなる非安全計装機能の機能不全もいかなる非安全ソフトウェア機能へ

のプログラミングアクセスも SIF の危険側機能不全を引き起こすことがないことを意味する。

11.2.3

この SIS が異なる安全度水準の SIF 群を実行する場合,低安全度水準の SIF 群が高安全度水準の

SIF

群に影響を否定的に与えないことが示され得ない限り,共有又は共通なハードウェア及びソフトウェ

アは

,この安全度水準のうち,最高の安全度水準に適合しなければならない。


40

C 0511-1

:2008 (IEC 61511-1:2003)

11.2.4 BPCS

をこの規格に適合させない場合,BPCS は,安全計装システムの機能の安全度が損なわれな

いように,SIS から区分及び独立するように設計しなければならない。  

注記 1 SIS と BPCS とで運用情報を交換してもよいが,SIS の機能安全を損なうべきでない。

注記 2  この BPCS の機能不全がこの SIS の SIF 群を損なわないことを示すことが可能な場合,この

SIS

の装置は,この BPCS の機能として使用に供されてもよい。

11.2.5

操作性,保全性及びテスト可能性にかかわる要求事項は,設計における人的要因の要求事項の実行

を促進するため,SIS の設計において取り組まれなければならない(例えば,オンライン試験を行うため

のバイパス設備及びバイパス中の警報)

注記  保全及び試験設備は,それらの使用に起因する危険側機能不全の可能性を実行可能な限り最小

限に抑えるよう設計する。

11.2.6 SIS

の設計は,人間の能力と限界を考慮し,かつ,運転員及び保全要員に割り当てられる職務に適

切でなければならない。すべての人間−機械インタフェースの設計は,望ましい人的要因慣習に従い,運

転員が受けるべき訓練又は意識改革の適切な水準に適応しなければならない。

11.2.7 SIS

は,安全要求仕様で他に指示されない限り,それが一度プロセスを安全な状態に置くと,リセ

ットが行われるまで,この安全状態を保持するように設計しなければならない。

11.2.8

論理部とは独立した手動手段(例えば,緊急停止押ボタン)は,安全要求仕様で他に指示されてい

ない限り,SIS の操作端を作動させるために備え付けられなければならない。

11.2.9 SIS

の設計は,この SIS と BPCS との間,及びこの SIS と他の防護層との間の独立性及び依存性の

すべての状況を考慮しなければならない。

11.2.10

ある SIF の一部を実行するために使用される装置は,リスク分析が実施されてこの全リスクが受容

可能であることを確認できる場合を除いて,この装置の故障が,この SIF への作動要求をもたらす基本プ

ロセス制御機能の機能不全を引き起こす場合,基本プロセス制御の目的として使用してはならない。

注記 SIS の一部が制御目的にも使用され,かつ,共通機器の危険側故障が SIS によって遂行される

機能に対して作動要求を引き起こす可能性がある場合,新しいリスクが発生する。このリスク

は,共有部分が機能不全に陥ることによって,SIS が応答できない可能性がある作動要求が直

ちに発生する可能性があるので,この共有部分の危険側故障率に依存する。この理由から,こ

れらの場合には,共有機器の危険側故障率が十分に低いことを確証するため,追加の分析が必

要であろう。検出端及び弁は,SIS 及び BPCS との機器の共有事例として,しばしば検討され

る。

11.2.11

動力源の喪失時に安全な状態に移行しないサブシステムでは,次のすべての要求事項に適合し,か

つ,11.3 に従った措置が遂行されなければならない。

a)

回路の安全性の喪失が検出される(例えば,配線端末監視)

b)

動力供給の安全性は,補助の動力供給を使って保証される(例えば,電池バックアップ,無停電電源)

c)

サブシステムへの動力の喪失が検出される。

11.3

故障検出時のシステム挙動にかかわる要求事項

11.3.1

単一のハードウェアの故障を許容するサブシステムにおいて,(診断試験,プルーフテスト又は何

らかの他の手段によって)危険側故障を検出した場合,次の事項のいずれかに帰結しなければならない。

a)

安全な状態を達成又は維持するための規定された措置(

注記参照)。

b)

故障部が修復されるまで,プロセスの安全運用が継続される。故障部の修復がランダムハードウェア

故障の確率計算で想定される回復するまでの平均修復時間(MTTR)内に終わらない場合,安全な状態を


41

C 0511-1

:2008 (IEC 61511-1:2003)

達成又は維持するために定められた措置を実施しなければならない(

注記参照)。

上記の措置が,警報に反応して運転員が取る特定の措置に左右される場合(例えば,弁の開閉)

,警報は,

安全計装システムの一部とする(すなわち,BPCS とは独立しているとみなす。

上記の措置が診断の警報に応答した運転員の保全員への修理依頼に依存する場合,この診断警報は,

BPCS

の一部としてもよいが,SIS の他部分とともに適切なプルーフテスト及び変更管理の対象とならなけ

ればならない。

注記  安全な状態を達成又は維持するために要求される定められた措置(故障対応)は,安全要求事

項に規定しなければならない(10.3 参照)

。定められた措置は,例えば,プロセスの安全停止又

はリスク軽減のために,この故障状態にあるサブシステムに依存するプロセス又はその他の定

められた緩和計画の部分で構成されることもある。

11.3.2

冗長性をもたない何らかのサブシステムに SIF が完全に依存し(

注記 参照),このサブシステム

での(診断試験,プルーフテスト又は何らかの他の手段による)危険側故障状態の検出は,このサブシス

テムが作動要求モード運用の SIF としてだけに使用される場合,次のいずれかに帰結しなければならない。

a)

安全な状態を達成又は維持する定められた措置。

b)

ランダムハードウェア故障の確率計算で想定される平均修復時間(MTTR)内での故障状態にあるサブ

システムの修復。この修理時間中,プロセスの継続的な安全は,追加の手段及び制約によって保証さ

れなければならない。これらの手段及び制約によって提供されるリスク軽減は,少なくとも,故障状

態にないこの安全計装システムによって与えられるリスク軽減と同等でなければならない。追加の手

段及び制約は,SIS の運用及び保全の手順に規定されていなければならない。修復が定められた平均

修復時間(MTTR)内に行われない場合,安全な状態を達成又は維持するために,定められた措置が実行

されなければならない(

注記 参照)。

上記の措置が,警報に反応して運転員が取る特定の措置に左右される場合(例えば,弁の開閉)

,警報は,

安全計装システムの一部とする(すなわち,BPCS とは独立しているとみなされる。

上記の措置が診断の警報に応答した運転員の保全員への修理依頼に依存する場合,この診断警報は,

BPCS

の一部とされてもよいが,SIS の他部分とともに適切なプルーフテスト及び変更管理の対象とならな

ければならない。

注記 1 SIF は,あるサブシステムの故障が検討対象の安全計装システムにおける SIF の故障を引き

起こし,かつ,この SIF がその他の防護層に割り当てられていないなら,完全にこのサブシ

ステムに依存すると考えられる(箇条 参照)

注記 2  安全な状態を達成又は維持するために要求される定められた措置(故障対応)は,安全要求

事項に規定しなければならない(10.3 参照)

。定められた措置は,例えば,プロセスの安全停

止,又は,リスク軽減のために,この故障状態にあるサブシステムに依存するプロセス又は

その他の定められた緩和計画の部分で構成されることもある。

11.3.3

冗長性をもたない何らかのサブシステムに SIF が完全に依存し(

注記 参照),このサブシステム

での(診断試験,プルーフテスト又は何らかの他の手段による)危険側故障状態の検出は,このサブシス

テムが連続モード(

注記 参照)運用の SIF としてだけに使用される場合,安全な状態を達成又は維持す

るために定められた措置に帰結しなければならない。

安全な状態を達成又は維持するために要求される定められた措置(故障対応)は,安全要求事項に規定

されなくてはならない。定められた措置は,例えば,プロセスの安全停止,又は,リスク軽減のために,

この故障状態にあるサブシステムに依存するプロセス又はその他の定められた緩和計画の部分で構成され


42

C 0511-1

:2008 (IEC 61511-1:2003)

ることもある。このフォールトを検出し,かつ,この措置を実行するための時間は,危険事象が発生する

までの時間よりも短くなければならない。

上記の措置が,警報に反応して運転員が取る特定の措置に左右される場合(例えば,弁の開閉)

,警報は,

安全計装システムの一部とする(すなわち,BPCS とは独立しているとみなされる。

上記の措置が診断の警報に応答した運転員の保全員への修理依頼に依存する場合,この診断警報は,

BPCS

の一部とされてもよいが,SIS の他部分とともに適切なプルーフテスト及び変更管理の対象としなけ

ればならない。

注記 1 SIF は,あるサブシステムの故障が検討対象の安全計装システムにおける SIF の故障を引き

起こし,かつ,この SIF がその他の防護層に割り当てられていないなら,完全にこのサブシ

ステムに依存すると考えられる。

注記 2  あるサブシステムの出力状態の組合せが直接危険事象を引き起こし得る可能性が存在する場

合,このサブシステムの危険側故障の検出は,連続モード運用にある SIF としてみなされる。

11.4

ハードウェア故障許容にかかわる要求事項

11.4.1 SIF

に対して,検出端,論理処理部及び操作端は,最低限のハードウェア故障許容をもたなければ

ならない。  

注記 1  ハードウェア故障許容は,ハードウェアに一つ以上の危険側フォールトがある場合でも,コ

ンポーネント又はサブシステムに要求される SIF を継続して行う能力のことである。ハード

ウェア故障許容が 1 とは,例えば,二つ装置があり,二つのコンポーネント又はサブシステ

ムのうちの一方の危険側故障が安全機能の発現を妨げない構成を意味する。

注記 2  最小のハードウェア故障許容は,各種のプロセスの適用において使用される部品及びサブシ

ステムの故障率における不確かさに加えて,SIF の設計時になされる幾つかの仮定から生じ

る可能性がある SIF 設計の潜在的な欠陥を軽減するものとして定義されている。

注記 3  ハードウェア故障許容要求事項は部品又はサブシステムの最小限の冗長性を示していること

に注意することが重要である。このアプリケーションに依存して,部品の故障率及びプルー

フテスト間隔,追加の冗長が,11.9 に従って SIF の SIL を満たすために,要求されることが

ある。

11.4.2 PE

論理処理部に対する,最小のハードウェア故障許容は,

表 に示されているものでなければな

らない。

表 5PE 論理処理部の最小のハードウェア故障許容

最小のハードウェア故障許容

SIL

SFF < 60

% SFF

60

%  ∼ 90 %

SFF > 90

1 1

0

0

2 2

1

0

3 3

2

1

4

特別要求該当(JIS C 0508 規格群を参照)

11.4.3 PE

論理処理部を除外したすべてのサブシステム(例えば,検出端,操作端,非 PE 論理処理部)に

対する最小のハードウェア故障許容は,支配的な故障モードが安全側故障である又は危険側故障が検出さ

れるという条件下で

表 に示すとおりでなければならないが,それ以外の条件では故障許容は,1 引き上

げられなければならない。


43

C 0511-1

:2008 (IEC 61511-1:2003)

注記  支配的な故障モードが安全側故障であることを立証するには,次の事項をそれぞれ検討する必

要がある。

−  装置のプロセス接続

−  プロセス信号の妥当性を確認するための装置の診断情報の使用

−  装置の本質的フェールセーフ挙動の使用[例えば,ライブ・ゼロ・シグナル(ゼロを示す有

信号がある。

,動力の喪失が安全な状態に帰結する。

11.4.4 PE

論理処理部以外のすべてのサブシステム(例えば,検出端,操作端及び非 PE 論理処理部)に対

して

表 に規定する最小のハードウェア故障許容は,使用された装置が次のすべてに適合している場合に

は,1 引き下げてもよい。

a)

この装置のハードウェアは,経験のある仕様に基づき選択する(11.5.3 参照)

b)

この装置は,例えば,測定の範囲,上側又は下側の故障方向のように,プロセス関連パラメータの調

整だけは差し支えない。

c)

この装置のプロセス関連パラメータの調整は,例えば,ジャンパー線,パスワードによって保護する。

d)

この機能は,SIL3 以下の要求事項をもつ。

表 6−検出端,操作端及び非 PE 論理処理部の最小のハードウェア故障許容

SIL

最小のハードウェア故障許容

11.4.3  及び 11.4.4 参照)

1 0

2 1

3 2

4

特別要求該当(JIS C 0508 規格群を参照)

11.4.5  JIS C 0508-2

表 及び表 の要求事項に従って評価が実施されるという条件下で,代替の故障

許容要求事項を使用してもよい。

11.5

部品及びサブシステムの選択に関する要求事項

11.5.1

目的

11.5.1.1

この細分箇条の目的は,安全計装システムの一部として使われなければならない部品又はサブシ

ステムの選択に関する要求事項を規定する。

11.5.1.2

この細分箇条の目的は,部品又はサブシステムが SIS の構成の中に統合されることを可能とする

ための要求事項を規定する。 

11.5.1.3

この細分箇条の目的は,関連する SIF と安全度に関して,部品及びサブシステムの合否基準を規

定する。

11.5.2

一般要求事項

11.5.2.1 SIL1

∼SIL3 適用の安全計装システムの一部としての使用に供される部品及びサブシステムは,適

切に,JIS C 0508-2 及び JIS C 0508-3 に,又はこの規格の 11.4 及び 11.5.311.5.6 に準拠していなければな

らない。

11.5.2.2 SIL4

アプリケーションの安全計装システムの一部としての使用に供される部品及びサブシステ

ムは,適切に,JIS C 0508-2 及び JIS C 0508-3 に準拠していなければならない。

11.5.2.3

選択された部品及びサブシステムの適合性は,次の事項を考慮して実証されなければならない。


44

C 0511-1

:2008 (IEC 61511-1:2003)

a)

製造業者によるハードウェア及び組込みソフトウェアの文書

b)

適用可能であれば,適切なアプリケーション言語及びツールの選択(12.4.4 参照)

11.5.2.4

部品及びサブシステムは

,SIS の安全要求仕様と整合していなければならない。

注記  部品及びサブシステムの選択では,構成上の制約,ハードウェア安全度,フォールト検出時の

措置及び適用ソフトウェアに対する要求事項を含んで,この規格の他の適用可能な部分がすべ

て適用される。

11.5.3

実績に基づく部品及びサブシステムの選択に関する要求事項

11.5.3.1

部品及びサブシステムが安全計装システムでの使用に適合していることの適切な根拠が利用可

能でなければならない。    

注記 1  現場で使用する要素の場合,安全又は安全以外への適用における豊富な運用実績が存在する。

これは,この根拠の基礎として使用できる。

注記 2  根拠の詳しさの程度は,この検討される部品又はサブシステムの複雑度及び SIF(群)に要

求される安全度水準を達成するのに必要な故障の確率に従わなければならない。

11.5.3.2

適合性の根拠は

,次の事項を含まなければならない。

a)

この製造業者の品質,管理及び変更管理体制(システム)についての検討

b)

この部品又はサブシステムの適切な同定及び仕様

c)

類似の運用形態及び物理的環境でのこの部品又はサブシステムの性能の実証

注記 1  ある機能を実現するフィールドデバイス(例えば,検出端及び操作端)で,この機能は,通常,

安全及び安全以外への適用において同一であり,これは,この装置が両者の適用において類似

の方法で機能を遂行していることを意味する。したがって,安全以外への適用によって,この

ようなデバイスの機能遂行能力を検討することは,この要求事項を満足しているともみなさな

ければならない。

d)

使用実績の程度

注記 2  フィールドデバイスでは,使用実績に関する情報は,安全及び安全以外への適用での豊富な成

功実績及び満足できるように機能が遂行できない装置の除外に基づく,使用者の設備での使用

のために承認された装置の使用者の一覧表の中に主に記入される。このフィールドデバイスの

一覧表は,次の事項を条件として,運用実績の主張を裏付けるために使用してもよい。

−  一覧表が定期的に更新され,監査される。

−  十分な運用実績が得られている場合に限り,フィールドデバイスが追加される。

−  このフィールドデバイスが満足できる方法で機能しない実績を示す場合,それらは一覧表

から除外される。

−  関連するプロセスへの適用の経験が一覧表に補足する。

11.5.4

実績に基づいた FPL プログラマブル部品及びサブシステム(例えば,このフィールドデバイス)

の選択にかかわる要求事項

11.5.4.1  11.5.2

及び 11.5.3 の要求事項が適用される。

11.5.4.2

部品及びサブシステムの未使用機能群は,適切性の証拠として特定され,かつ,それらが要求さ

れる SIF に悪影響を及ぼさないことが実証されなければならない。

11.5.4.3

ハードウェア及びソフトウェアの特定の構成法及び運用形態に対して,適切性の証拠として次の

事項を考慮しなければならない。

a)

入力及び出力信号の特徴


45

C 0511-1

:2008 (IEC 61511-1:2003)

b)

使用されるモード

c)

使用する機能及び構成法

d)

同様のアプリケーション及び物理的環境での使用実績

11.5.4.4 SIL3

への適用では,次の事項を示すために,FPL 装置の(5.2.6.1 に従う。

)正規の評価を実行し

なければならない。

a)

この FPL 装置は,必要な機能を実行し,かつ,この装置の使用実績は,この装置が安全計装システム

の一部として使用される場合,ハードウェア又はソフトウェアにおけるランダムハードウェア故障又

は決定論的原因フォールトのいずれかによって,危険事象を誘発させるような確率が十分小さいこと

を示すことができる。

b)

ハードウェア及びソフトウェアにかかわる適切な規格が適用されている。

c)

この FPL 装置は,運用目的にかなった形態を代表する構成方法によって使用する,又は試験する。

11.5.4.5 SIL3

への適用では,運用,保全及び故障検出にかかわる制約事項を含んだ安全手順書が,FPL 装

置の典型的な構成方法及び運用目的にかなった形態に対して供用可能でなければならない。

11.5.5

使用実績に基づく,LVL プログラマブル部品及びサブシステム(例えば,論理処理部)の選択に

かかわる要求事項  

11.5.5.1

次の要求事項は,SIL1 又は SIL2 の SIF を実行する安全計装システムにおいて使用される PE 論理

処理部だけに適用してもよい。

11.5.5.2  11.5.4

の要求事項を適用する。

11.5.5.3

以前に使用を経験した部品(又はサブシステム)の運用形態及び物理的環境と,安全計装システ

ムの一部として使用される部品(又はサブシステム)の運用形態及び物理的環境との間に何らかの相違が

存在する場合には,そのようなすべての相違点を同定しなければならない。さらに,安全計装システムの

一部として使用される場合には,決定論的原因フォールトのがい(蓋)然性が十分低いことを示すために,

適切に,分析及び試験に基づいて評価しなければならない。

11.5.5.4

適合性が正当であることを示すために必要と考えられる運用実績は,次の事項を考慮して決定し

なければならない。

a) SIF

の SIL

b)

部品及びサブシステムの複雑度及び機能性

注記  更なる手引については,IEC 61511-2  参照。

11.5.5.5 SIL1

又は SIL2 への適用では,安全構成形 PE 論理処理部は,次の追加事項がすべて適合されて

いるという条件下で使用することができる。

a)

非安全故障モードの理解

b)

同定された故障モードを処理するための安全構成にかかわる技法の使用

c)

この組込みソフトウェアが安全上の適用にかかわる良好な使用経歴をもつ

d)

許可されていない又は意図しない部分改修に対する防護

注記  安全構成形 PE 論理処理部とは,安全アプリケーションでの使用のために特別に構成された

はん用目的工業用品質の PE 論理処理部である。

11.5.5.6 SIL2

対応で使用されるいかなる PE 論理処理部においても,正規の評価(5.2.6.1 に従う。

)が次

の事項を示すために実行しなければならない。

a)

この論理処理部は,必要な機能を実行し,かつ,その使用実績は,この処理部が安全計装システムの

一部として使用される場合,ハードウェア若しくはソフトウェアにおけるランダムハードウェア故障


46

C 0511-1

:2008 (IEC 61511-1:2003)

又は決定論的原因フォールトのいずれかによって危険事象を誘発させるような確率が十分小さいこと

を示すことができる。

b)

プログラム実行中にフォールトを検出し,かつ,適切な対応を開始するための対策がされている。こ

れらの対策には,次の事項のすべてが含まれていなければならない。

−  プログラム実行順序の監視。

−  部分改修に対するコードの防護又はオンライン監視による故障検出。

−  故障表明又は異種プログラム手法。

−  変数の範囲確認又は値の妥当性確認。

−  モジュール方式化。

−  適切な符号化規格が組込み及びユーティリティソフトウェアに使用されている。

−  この対策は,意図した運用形態を代表するテストケースを用いて典型的な構成方法群に対して試験

されている。

−  信頼できる適合確認を受けたソフトウェアモジュール及び部品が使用されている。

−  このシステムは,動的分析及び試験を受けている。

−  このシステムは,人工知能及び動的再構成法とのいずれも使用していない。

−  文書化された故障注入試験が実施されている。

11.5.5.7 SIL2

への適用では,運用,保全及び故障検出にかかわる制約事項を含む安全手順書が,この PE

論理処理部の典型的な構成法及びこの対応運用形態全般に対して使用可能でなければならない。

11.5.6  FVL

によるプログラム可能な部品及びサブシステム(例えば,論理処理部)選定にかかわる要求

事項

11.5.6.1

アプリケーションが FVL を用いてプログラムされる場合,この PE 論理処理部は JIS C 0508-2  及

び  JIS C 0508-3 に従わなければならない。

11.6

フィールドデバイス

11.6.1

フィールドデバイスは,プロセス及び環境状況から生じる条件による不正確な情報をもたらす故障

を最低限に抑制するように選定され,かつ,設置されなければならない。考慮することが推奨される条件

には,腐食,パイプ中の物質の凍結,浮遊物質,重合,コーキング,気温と圧力の極大値,乾式導圧管中

の凝縮及び湿式導圧管中の不完全凝縮が含まれる。

11.6.2

緊急時起動方式の離散形信号の入出力回路群は,回路及び電源供給の安全度を保証する方法を適用

しなければならない。

注記  そのような方法の例に,配線端末監視があり,この方法では,回路の連続性を保証するため試

験電流が常時監視し,しかもこの試験電流は正しい入出力操作に影響を与えるほどの強さはな

い。

11.6.3

個々のフィールドデバイスは,次の場合を除いて,システムの入出力への専用の配線をもたなけれ

ばならない。

a)

複数の離散信号形検出端が単一の入力に対して直列に結合され,かつ,検出端すべてが同一のプロセ

ス状態(例えば,モータの過負荷)を監視する。

b)

複数の操作端が単一出力に結合している。

注記  単一の出力に結合された二つのバルブの場合,この二つのバルブを使っているすべての SIF

に対して両バルブが同時に状態を変更することが要求される。

c)

このフィールドデバイスの安全度要求事項に適合する全体的な安全性能をもつデジタルバス通信。


47

C 0511-1

:2008 (IEC 61511-1:2003)

11.6.4

スマートセンサ(知能形検出端)は,適切な安全審査によって読込み・書込みの使用が許可されな

い限り,遠隔操作による不慮の部分改修を防止するために書込み保護されていなければならない。この審

査は,手順に従うことに失敗するというような人的要因を考慮することが望ましい。

11.7

インタフェース

SIS

との人間・機械及び通信のインタフェースには次の事項を含めることができるが,これらに限定さ

れない。

a)

運転員インタフェース(群)

b)

保全・技術管理インタフェース(群)

c)

通信インタフェース(群)

11.7.1

運転員インタフェースの要求事項

11.7.1.1 SIS

運転員インタフェースが BPCS 運転員インタフェースを介している場合,BPCS 運転員インタ

フェースに起こるおそれがある故障を考慮に入れなければならない。

11.7.1.2 SIS

は,このユニットの運転中において,運転員の選択肢選択の必要性及びこのシステムをバイ

パスする必要性を最小限に抑えるよう設計されなければならない。

運転員の操作を必要とする設計ならば,

運転員の過誤に対する防護のための手段を設計に取り入れなければならない。

注記  運転員がある特定の選択肢を選択しなくてはならないなら,反復確認ステップを用意する。

11.7.1.3

バイパススイッチは,許可されていない使用を防止するために,キーロック又はパスワードによ

って保護しなければならない。

11.7.1.4 SIL

を維持するのに重要な SIS 状態情報は,運転員インタフェース部分として利用可能でなけれ

ばならない。この情報には次の事項が含まれることがある。

a)

プロセスがその工程のどの段階にあるか

b) SIS

の防護動作が生じたという表示

c)

防護機能がバイパスされているという表示

d)

多数決論理の縮退及び/又は故障処理機能などの自動動作(群)が生じたという表示

e)

検出端及び操作端の状態

f)

エネルギー逸失が安全に悪影響を及ぼす場合のエネルギーの逸失

g)

自己診断の結果

h) SIS

を支援するのに必要な環境調整機器の故障

11.7.1.5 SIS

運転員インタフェースは,

SIS

アプリケーションソフトウェアに対する変更を防止するように

設計しなければならない。安全情報が BPCS から SIS に送信される必要がある場合,BPCS から特定の SIS

変数への書込みを選択的に許可できるシステムの使用が望ましい。的確な選択が SIS に送受信され,かつ,

その選択が SIS の安全機能性を損なわないことを確認するために,機器又は手順を適用する。

注記 1  この選択肢又はバイパスが BPCS で選択され,かつ,SIS へダウンロードされる場合,BPCS

の障害は,SIS の作動要求時の運用能力に悪影響を及ぼすことがある。これが生じ得るなら,

BPCS

は安全関連となることがある。

注記 2  バッチプロセスでは,SIS は,用いられている処理法に基づき異なる設定値又は論理機能を

選択するように使用されることがある。このような場合では,運転員インタフェースは必要

な選択を行うために使用されることがある。

注記 3 BPCS から SIS への不正確な情報の提供によって,安全が損なわれてはならない。


48

C 0511-1

:2008 (IEC 61511-1:2003)

11.7.2

保全/エンジニアリングインタフェースの要求事項

11.7.2.1 PE

保全又は技術的処置エンジニアリングインタフェースの設計は,このインタフェースのすべ

ての故障が,プロセスを安全な状態に導く SIS の能力に悪影響を及ぼさないことを保証しなければならな

い。このために,プログラミングパネルなどの保全又はエンジニアリングインタフェースを,通常の SIS

運用の間,切断する必要が出てくることがある。

11.7.2.2

保全又はエンジニアリングインタフェースは,次の機能にそれぞれに対するアクセスセキュリテ

ィ保護を提供しなければならない。

a) SIS

運用モード,プログラム,データ及び警報通知を無効にする手段,試験,バイパス並びに保全

b) SIS

自己診断,多数決決定及び故障対応処理

c)

アプリケーションソフトウェアの追加,削除又は部分改修

d) SIS

を修理するために必要なデータ

e)

バイパス処置が必要な場合,それらは,警報及び手動シャットダウン設備が無効にならないように設

置する。

注記  ソフトウェアの課題は,PE 技術を使用した SIS にだけ適応される。

11.7.2.3

保全又はエンジニアリングインタフェースは,運転員インタフェースとして使用してはならない。

11.7.2.4

読取り-書込みアクセスの有効化及び無効化は,適切な文書化及びセキュリティ対策をもつ保全又

は技術的処置インタフェースを使用した変更若しくはプログラム過程によってだけ実行されなければなら

ない。

11.7.3

通信インタフェースの要求事項

11.7.3.1 SIS

通信インタフェースの設計は,この通信インタフェースのいかなる故障もプロセスを安全な

状態に導く SIS の能力に悪影響を及ぼさないことを保証しなければならない。

11.7.3.2 SIS

は,SIF に影響を与えることなく,BPCS 及び周辺機器と通信できなければならない。

11.7.3.3

通信インタフェースは,SIF に危険側故障をさせずに,電力サージを含む電磁干渉に耐える程十

分に強じんでなければならない。

11.7.3.4

通信インタフェースは,異なる接地電位を基準とする複数の装置間の通信に適したものでなけれ

ばならない。  

注記  代替の媒体手段(例えば,光ファイバなど)が必要になることもある。

11.8

保全又は試験設計要求事項

11.8.1

設計は,この SIS の端から端までの全体又は部分に対して試験を可能としなければならない。定期

的なプロセス停止間隔がプルーフテストの間隔よりも長い場合,オンライン試験の設備が必要である。

注記  “端から端までの全体”という用語は,この SIF に関連する検出端から操作端までの全体を意

味する。

11.8.2

オンラインプルーフテストが要求される場合,試験の設備は,検出不能故障に関する試験を行うた

めに,SIS の全体設計の部分でなければならない。

11.8.3

試験及び/又はバイパス設備が SIS に含まれている場合,この設備及び SIS は次の事項に適合しな

ければならない。

a)

この SIS は,安全要求仕様に定められている保全及び試験の要求事項に従って設計されなければなら

ない。

b)

運転員は,SIS の任意部分のバイパスについて,警報及び/又は運用手順によって,注意喚起されな

ければならない。


49

C 0511-1

:2008 (IEC 61511-1:2003)

11.8.4 PE

SIS

における入力及び出力の強制設定は,次の事項の一部として使用されてはならない。

a)

アプリケーションソフトウェア

b)

運用手順

c)

次の事項以外の保全

SIS

を非稼動にせずに入力及び出力を強制設定することは,手順とアクセスセキュリティとによって

補強されない限り,許可してはならない。そのような強制設定は,適切に告知又は警告しなければな

らない。

11.9  SIF

の機能失敗確率

11.9.1 SIF

のそれぞれの作動要求時の機能失敗確率は,安全要求仕様に特定された目標機能失敗確率以下

でなければならない。これは計算によって確認する。

注記 1  作動要求モードで運用している SIF の場合,目標機能失敗確率は,SIF の安全度水準によっ

て定義されているように(

表 参照),作動要求時のこの設計機能の履行に失敗する時間平均

確率として示さなければならない。

注記 2  連続モードで運用している SIF の場合,目標機能失敗確率は,SIF の安全度水準によって定

義されているように(

表 参照),単位時間当たりの危険側故障率として示すことが望ましい。

注記 3  それぞれの SIF は異なる部品故障モードをもち,かつ,SIS の構成法が(冗長性の観点から)

異なるために,それぞれの SIF の失敗確率は個別に定量化する必要がある。

注記 4  目標機能失敗確率は,定量的な解析から導出された作動要求時の時間平均機能失敗確率の特

定された値若しくは危険側故障率,又は定性的な方法によって定められる場合の特定された

SIL

の範囲となる。

11.9.2

ハードウェア故障を原因としてそれぞれの SIF に算出される機能失敗確率では,次の事項を考慮し

なければならない。

a)

検討対象のそれぞれの SIF に関連する SIS の構成。

b) SIS

の危険側故障の原因となるが自己診断テストによって検出される任意の故障モードでのランダム

ハードウェアフォールトに起因するそれぞれのサブシステムに推定する故障率。

c) SIS

の危険側故障の原因となり,かつ,自己診断テストによって検出されない任意の故障モードでの

ランダムハードウェアフォールトに起因するそれぞれのサブシステムに推定される故障率。

注記  サブシステムに推定される故障率は,広く認められた産業上の出典から,又は,70  %以上の

片側信頼区間をもつ統計的条件に基づいて平均故障時間を実証するに十分で,かつ,意図し

たアプリケーションと同様な環境条件でのサブシステムの使用実績からの部品又はサブシス

テムにかかわる故障率を用いた設計の定量的故障モード解析によって決定することが可能で

ある。

d)

共通原因故障に対する SIS の感受性

e)

IEC 61511-2 に基づき決定される)任意の周期的な自己診断テストの診断率,関連する自己診断テ

ストの間隔及び診断設備に関する信頼性

f)

プルーフテストが行われる間隔

g)

検出された故障に対する修復時間

h) SIS

の危険側故障(自己診断テストで検出されるものとされないものの両者)の原因となる任意のモ

ードにおける任意の通信プロセスに推定される危険側故障率


50

C 0511-1

:2008 (IEC 61511-1:2003)

i) SIS

の危険側故障(自己診断テストで検出されるものとされないものの両者)の原因となる任意のモ

ードにおける任意の人的操作に推定される危険側失敗率

j) EMC

障害に対する感受性(例えば,JIS C 1806-1 に従う。

k)

気候及び機械的環境に対する感受性(例えば,JIS C 1804 に基づく。

注記 1  モデル化手法群が利用可能であり,最適なモデル化手法の選定は,解析者の専権事項であ

り,また,状況に依存しなければならない。利用可能な方法には,次の事項が含まれる(IEC 

61508-6

附属書 参照)。

シミュレーション

原因結果解析

フォールトの木解析(FTA)

マルコフ  モデル

信頼性ブロック図

注記 2  自己診断テストの間隔及びそれに続く修復時間によって,信頼性モデルにおいて考慮すべ

き平均修復時間(IEV 191-13-08 参照)が構成される。

12

ユーティリティソフトウェアの選択基準を含むアプリケーションソフトウェアの要求事項

この箇条は,次を分類する。

−  3 形式のソフトウェア

−  アプリケーションソフトウェア

−  ユーティリティソフトウェア,すなわちアプリケーションソフトウェアを開発し,かつ,適合確認

するためのソフトウェアツール

−  組込みソフトウェア,すなわち PE の部分として供給されるソフトウェア

−  3 形式のソフトウェア開発言語

−  固定プログラム言語 (FPL)

−  制約可変言語 (LVL)

−  完全可変言語 (FVL)

この規格での対象は,FPL 又は LVL を使用して開発されたアプリケーションソフトウェアに限定される。

次の要求事項は,SIL3 までのアプリケーションソフトウェアの開発及び部分改修に適応する。したがって,

この規格は SIL1,SIL2 及び SIL3 を区別しない。

FPL

又は LVL を使用した SIL3 までのアプリケーションソフトウェアの開発及び部分改修は,この規格

に従わなければならない。SIL4 のアプリケーションソフトウェアの開発及び修正は,JIS C 0508 規格群に

従わなければならない。FVL を使用したアプリケーションソフトウェアの開発及び修正は,JIS C 0508 

格群に従わなければならない。

ユーティリティソフトウェア(PE システムをどのように安全に適用できるかを規定する製造業者の安全

手順書とともに)は,12.4.4 の要求事項に適合するよう選択され,かつ,適用されなければならない。組

込みソフトウェアの選定は,11.5 に従わなければならない。

12.1

アプリケーションソフトウェアの安全サイクル要求事項

12.1.1

目的


51

C 0511-1

:2008 (IEC 61511-1:2003)

12.1.1.1

この細分箇条の目的を,次に示す。

a)

それぞれプログラムされた SIS サブシステムに対して,アプリケーションソフトウェアを開発するた

めに要求される業務を定める。

b)

アプリケーションソフトウェアの開発に使用されるユーティリティソフトウェアをどのように選択,

管理及び適用するかについて定める。

c)

このアプリケーションソフトウェアに割り当てられる機能安全の目的が適合されるようにするための

適切な計画の存在を保証する。

注記  図 10 は,アプリケーションソフトウェア安全サイクル内の箇条 12 の適用範囲を示す。

SIS 

安全要求仕様 

プログラマブル電子

ハードウェア 

非プログラマブル 

ハードウェア 

ハードウェア安全要求

組み込みソフトウェアを

含むプログラマブル 

電子装置の選択 

非プログラマブル 
ハードウェア設計

及び開発 

プログラマブル電子統合 

 12.5 

SIS 

サブシステム

構成 

アプリケーション S/W 

安全要求 

  

12.2

箇条 12
の範囲

*

例:検出端,論理処理部,

    操作端 

SIS

据付けと

妥当性確認 

アプリケーション S/W 設計 

及びコンフィギュレーション

      12.4

図 10−アプリケーションソフトウェア安全ライフサイクルと SIS 安全ライフサイクルとの関係

12.1.2

要求事項

12.1.2.1

この箇条の要求事項を満たすアプリケーションソフトウェア開発にかかわる安全ライフサイク

ルは,安全計画中に規定され,かつ,SIS 安全ライフサイクルに統合しなければならない。

12.1.2.2

アプリケーションソフトウェアの安全ライフサイクルのそれぞれのフェーズは,その基本的な業

務,目的,要求される引継事項と引渡し事項,適合確認要求事項(12.7 参照)及び責務(

表 及び図 11

参照)によって定義しなければならない。


52

C 0511-1

:2008 (IEC 61511-1:2003)

注記 1  アプリケーションソフトウェアの安全ライフサイクルが表 の要求を満たしている場合,安

全度及びプロジェクトの複雑度を考慮するため,V モデル(

図 12 参照)のフェーズの階層,

数及び規模を調整することができる。

注記 2  使用するソフトウェア言語(FPL,LVL 又は FVL)の種類及びアプリケーション機能に対する

この言語の緊密度は,V モデルフェーズの適用範囲に影響を及ぼす場合がある。

注記 3  アプリケーションソフトウェア要求仕様は,SIS 安全要求仕様の一部として含まれてもよい。

注記 4  アプリケーションソフトウェアの妥当性確認計画は,SIS 又は SIS サブシステムの妥当性確

認計画の一部として含まれてもよい。

12.1.2.3

アプリケーションソフトウェアを実行する PE 装置は,この装置が実施するそれぞれの SIF に要

求される安全度に対して適合していなければならない。

12.1.2.4

方法,技法及びツールは,次のために,それぞれのライフサイクルフェーズに対して選択され,

かつ,適用されなければならない。

a)

アプリケーションソフトウェアに故障を入り込ませるリスクを最小限にする。

b)

既にソフトウェアに存在する故障を明らかにし,かつ,削除する。

c)

このソフトウェアに残存する故障が受容できない結果にならないようにする。

d)

このソフトウェアが SIS の寿命を通して保全できるようにする。

e)

ソフトウェアが要求される品質をもつことを実証する。

注記  方法及び技法の選択は,個々の状況に依存しなければならない。この決定に関する要因には,

次の事項が含まれる可能性がある。

ソフトウェアの規模

複雑度

− SIS の安全度水準

故障が生じた場合の結果

設計要素の標準化の程度

12.1.2.5

アプリケーションソフトウェアの安全ライフサイクルのそれぞれのフェーズは適合確認され

12.7 参照)

,かつ,その結果は供用可能でなければならない(箇条 19 参照)

12.1.2.6

アプリケーションソフトウェアの安全ライフサイクルのいずれの段階であっても,それ以前のラ

イフサイクルフェーズに関連する変更が要求される場合,この以前のライフサイクルフェーズ及びそれに

続くフェーズは再検討されなければならず,更に,再検討によって他の変更が要求される場合,これに対

する再検討を繰り返し,再度適合確認しなければならない。

12.1.2.7

アプリケーションソフトウェア,SIS のハードウェアと組込みソフトウェア,及びユーティリテ

ィソフトウェア(ツール)は,変更管理の対象としなければならない(5.2.7 参照)

12.1.2.8

試験計画を作成しなければならない。次の問題を検討することが望ましい。

a)

ソフトウェア及びハードウェアの統合のための方針

b)

テストケース及び試験データ

c)

実施される試験の種類

d)

ツール,支援ソフトウェア及び構成の説明を含む試験環境

e)

この試験の完了を判定する試験基準

f)

物理的な配置(例えば,工場又は現場)

g)

外部の機能性への依存


53

C 0511-1

:2008 (IEC 61511-1:2003)

h)

適切な人員

i)

不適合

SIS

安全 

妥当性確認

12.3

安全機能 
要求仕様

安全度水準 

要求仕様 

12.2

アプリケーションソフト 

ウェア安全要求仕様

図 のボックス 

ソフトウェア設計,制作 

及びシミュレーション 

ソフトウェア安全 

妥当性確認計画 

PE

統合 (ハード 

ウエア/ソフトウェア)

12.4

12.3

12.5

ソフトウェア運用 
及び改修手順 

12.6

図 のボックス 6 及び 7 

安全計装シス
テムの設計及
びエンジニア 
リング 

ソフトウェア安全ライフサイクル

図 のボックス4

図 11−アプリケーションソフトウェア安全ライフサイクル(実現フェーズ)

コード開発&テスト
- FVL

だけ –  

JIS C 0508-3

及び 12.4.2.1 参照

SIS 

安全要求仕様

アプリケーション

ソフトウェア 
安全要求仕様 

12.2

アプリケーション
モジュール開発

  12.4.5

アプリケーション
モジュール試験   
        12.4.6

PES

アプリ 

ケーション 

ソフトウエア 

統合試験 

12.5 

妥当性確認
された

SIS

出力

適合確認

サブシステム

構成 

アプリケーションソフ

トウェア構成設計 

12.4.3

及び 12.4.4 

SIS

安全 

妥当性確認 

12.3 

アプリケーショ
ンソフトウェア
開発  12.4.5

アプリケーション
ソフトウェア 
試験     12.4.7

図 12−ソフトウェア開発ライフサイクル(モデル)


54

C 0511-1

:2008 (IEC 61511-1:2003)

表 7−アプリケーションソフトウェア安全ライフサイクル:概要

安全ライフサイクル

フェーズ

図 11  の

ボック
ス番号

標題

目的

要求
事項
の細

分箇

要求される情報

要求される結果

12.2

アプリケーシ
ョンソフトウ
ェア安全要求

仕様

要求される SIF を実行するた
めに必要なそれぞれの SIS 機
能に対するソフトウェア SIF

にかかわる要求事項を規定す
るため。

その SIS に割り当てられたそ
れぞれの SIF に対するソフト
ウェア安全度にかかわる要求

事項を規定するため。

12.2.2 SIS

安全要求仕様

選定された SIS の安全

取扱書

SIS

構成法

SIS

アプリケーションソフトウ

ェア要求仕様

適合確認の情報

12.3

アプリケーシ

ョンソフトウ
ェア安全妥当
性確認計画

アプリケーションソフトウェ

アの妥当性を確認するための
計画を作成するため。

12.3.2 SIS

アプリケーション

ソフトウェア安全要
求仕様

SIS

アプリケーションソフト

ウェアの安全妥当性確認計画

適合確認の情報

アプリケーシ
ョンソフトウ

ェアの設計及
び開発

構成

ソフトウェア安全のために規
定された条件を満たすソフト
ウ ェ ア 構 成 法 を 創 出 す る た

め。

SIS

のこのハードウェア構成

法によってソフトウェアに課
せられた要求事項を調査し,
かつ,評価するため。

12.4.3 SIS

アプリケーション

ソフトウェア安全要

求仕様

SIS

ハードウェア構成

設計手順書

構成設計の規定,例えば,関連
プロセスサブシステムと SIL(s)

でのアプリケーション S/W と
の区分,ポンプ又は弁の作動制
御のような共通のアプリケー

ション S/W モジュールの識別

アプリケーションソフトウェ

ア構成とサブシステムとの統
合試験仕様

適合確認情報

12.4

アプリケーシ

ョンソフトウ
ェアの設計及
び開発

支援ツール及びプログラミン

グ言語

ソフトウェア(ユーティリテ

ィソフトウェア)の安全ライ
フサイクル全体にわたり,構
成,ライブラリ,管理,及び

シミュレーションと試験ツー
ルとの適切なセットを同定す
るため。

アプリケーションソフトウェ
ア の 開 発 手 順 を 規 定 す る た

め。

12.4.4 SIS

ア プ リ ケ ー シ ョ

ンソフトウェア安全
要求仕様

構成設計の規定

SIS

の取扱説明書

選定した SIS 論理処理
部の安全取扱説明書

ユーティリティソフトウェア

使用手順一覧

適合確認情報


55

C 0511-1

:2008 (IEC 61511-1:2003)

表 7−アプリケーションソフトウェア安全ライフサイクル:概要(続き)

安全ライフサイクル

フェーズ

図 11  の

ボック
ス番号

標題

目的

要求
事項
の細

分箇

要求される情報

要求される結果

12.4

アプリケーシ
ョンソフトウ
ェアの設計及

び開発

アプリケーションソフトウェ
アの開発及びアプリケーショ
ン モ ジ ュ ー ル を 開 発 す る た

め。

アプリケーション安全のため

に規定した要求事項を満たす
アプリケーションソフトウェ
アを実装するため。

12.4.5

構成設計の規定

ユーティ リティ ソフ

トウェア を使用 する
ために選択した PES
の使用説 明書及 び手

順書の一覧表

1)

アプリケーションソフトウ

ェアプログラム(例  ファンク
ションブロック図,ラダー論

理)

2)

アプリケーションプログラ

ムのシミュレーション及び統
合試験

3)

特別な目的のアプリケーシ

ョンソフトウェア安全要求仕

4)

適合確認情報

12.4

完全可変言語
を使ったアプ
リケーション

プログラムの
開発

プログラム開発及び試験-FVL
だけ

ソフトウェア安全のために規
定した要求事項を満たす完全
可変言語を実装するため。

12.4.6

及 び

12.4.7

特別な目 的のア プリ
ケーショ ンソフ トウ
ェア安全要求仕様

JIS C 0508-3

参照

12.4

アプリケーシ
ョンソフトウ

ェアの設計及
び開発

アプリケーションフトウェア
の試験

1)

ソフトウェア安全の要求事

項が達成されていることを適
合確認するため。

2)

すべてのアプリケーション

プログラムのサブシステム及

びシステムが意図した機能を
実行し,かつ,意図しない機
能を行わないように正しく相

互作用することを示すため。

十分な試験範囲を条件として

次のフェーズ(12.5)と統合で
きる。

12.4.6,

12.4.7

及 び

12.7

アプリケ ーショ ンプ
ログラム のシミ ュレ

ーション 及び統 合試
験仕様(構造を基本に
した試験)

ソフトウ ェア構 成統
合試験仕様

1)

ソフトウェア試験結果

2)

適合確認され,かつ,試験さ

れたソフトウェアシステム

3)

適合確認情報

12.5

プログラマブ
ル電子機器の
統合(ハード

ウェア及びソ
フトウェア)

対象プログラマブル電子ハー
ドウェアにソフトウェアを統
合するため。

12.5.2

ソフトウ ェア及 びハ
ードウェ ア統合 試験
仕様

ソフトウェア及びハードウェ
アの統合試験結果

適合確認されたソフトウェア
及びハードウェア

12.3 SIS

安全妥当

性確認

安全アプリケーションソフト

ウェアを含む SIS が安全要求
事項に適合していることを適
合確認するため。

12.3 

ソフトウェア及び SIS

の安全妥 当性確 認計

ソフトウェア及び SIS の妥当性

確認結果


56

C 0511-1

:2008 (IEC 61511-1:2003)

12.2

アプリケーションソフトウェアの安全要求仕様

注記  このフェーズは,図 11 のボックス 12.2 に該当する。

12.2.1

目的

12.2.1.1

この箇条の目的は,この SIS の構成に整合して要求される SIF(群)を実施するために必要なそ

れぞれのプログラマブル SIS サブシステムに対するアプリケーションソフトウェア安全要求事項の仕様に

かかわる要求事項を提供することにある。

注記  ハードウェア及びソフトウェアの構成上の関係については,図 13 を参照。

プログラム可能 SIS サブシステム構成

ハードウェア構成

ソフトウェア構成(ソフトウェア構成は組込みソフトウェア及びア

プリケーションソフトウェアからなる)

組込みソフトウェア

アプリケーションソフトウェア

ハードウェアの一般的又は 
アプリケーション特有の特徴 
例としては,

−  自己診断テスト 
−  冗長化プロセッサ 
−  2 重化入出力カード

例としては,

−  通信ドライバ 
−  故障対応 
−  実行ソフトウェア

例としては,

−  入出力機能 
−  派生機能(例  組込みソフトウェ

アの機能として提供されていな

い検出端のチェック)

図 13SIS のハードウェア及びソフトウェアの関係

12.2.2

要求事項

12.2.2.1

アプリケーションソフトウェアの安全要求仕様が,開発されなければならない。

注記 1 SIS は,通常,次の三つの構造上のサブシステムから構成される。検出端,論理処理部及び

操作端。さらに,要求される(安全度)水準を達成するため,サブシステムが冗長装置をも

ち得る。

注記 2  冗長検出端をもつ SIS のハードウェア構成では,SIS の論理処理部に追加の要求事項を求め

る場合がある(例えば,1oo2 ロジックの実装)

注記 3 SIS の要求事項に既に規定されている SIS サブシステムソフトウェアの安全要求事項(箇

条 10 参照)を繰り返す必要はない。

注記 4  ソフトウェアの安全要求仕様には,PE ソフトウェア機能の最低限の性能を特定し,更に,不

安全な状態を招くおそれのあるすべての機能の選択を制限することが要求される。

12.2.2.2

それぞれの SIS サブシステムにかかわるソフトウェア安全要求仕様への引継ぎ事項には,次の事

項を包含しなければならない。

a)

この SIF に定められた安全要求事項

b)

この SIS 構成に起因する要求事項

c)

安全計画のすべての要求事項(箇条 参照)

注記 1  この情報は,アプリケーションソフトウェア開発者が利用できるようにしなければならな

い。

注記 2  この要求事項は,SIS 構成の開発者,装置の構造を担当する部署及びアプリケーションソ

フトウェアの開発者の間でのやり取りを行ってもよいことを意味する。アプリケーション

ソフトウェア安全要求事項及び可能なアプリケーションソフトウェア構成(12.4.3 参照)

がより正確になるに従って,この SIS ハードウェア構成への影響因子が明らかになる場合


57

C 0511-1

:2008 (IEC 61511-1:2003)

があり,この理由から,SIS 構成開発者,SIS サブシステム供給者及びアプリケーションソ

フトウェア開発者間の密接な協力が重要である(

図 参照)。

12.2.2.3

アプリケーションソフトウェア安全要求仕様は,要求される安全度を達成する設計及び実装を可

能にし,かつ,機能安全の評価の実施を可能とするよう十分に詳細化されなければならない。次の事項を

考慮しなければならない。

a)

アプリケーションソフトウェアによって支援される機能群

b)

容量及び応答時間の性能

c)

機器及び運転員群及びその操作性

d) SIS

安全要求仕様に規定されている,プロセスのすべての関連する運用モード群

e)

検出端出力値の正常範囲からの逸脱,断線,短絡の検出などプロセス変数の異常時での対応作業

f)

外部装置のプルーフテスト及び診断試験(例えば,検出端及び操作端)

g)

ソフトウェアの自己監視(例えば,アプリケーション駆動形のウォッチドッグ及びデータ範囲の妥当

性確認など)

h) SIS

内のその他の装置の監視(例えば,検出端及び操作端)

i)

プロセスの運用状態時での SIF の周期的な試験を可能にする

j)

引継ぎ事項文書の参照(例えば,この SIF の仕様,この SIS の構成又は構造及びこの SIS のハードウ

ェアの安全度要求事項)

12.2.2.4

アプリケーションソフトウェア開発者は,この要求事項にあいまい性がなく,整合性があり,か

つ,理解可能であることを保証するために,仕様書の内容を精査しなければならない。定められた安全要

求事項中のすべてのかし(瑕疵)は,SIS のサブシステム開発に対して確認されなければならない。

12.2.2.5

ソフトウェア安全に関して規定された要求事項は,次のように表現し,構成しなければならない。

a) SIS

安全ライフサイクルのいずれの段階においても,この文書の利用者にとって明解である。これに

は,プラントの運転員と保全員及びアプリケーションプログラマーにとりあいまい性がなく,かつ,

理解可能な用語及び表現の使用を含む。

b)

適合確認可能,試験可能及び部分改修可能である。

c)

この SIS の安全要求事項の仕様のそ(遡)及確認が可能である。

12.2.2.6

アプリケーションソフトウェア安全要求仕様は,適切な機器選択ができるような情報を提供して

いなければならない。次の事項が検討されなければならない。

a)

プロセスが安全な状態を達成又は維持することを可能にする機能群

b) SIS

のすべての SIS サブシステムにおける故障の,検出,告知(annunciation)及び管理に関連する機能群

c)

オンラインで行われる SIF の定期試験に関連する機能群

d)

オフラインで行われる SIF の定期試験に関連する機能群

e) SIS

を安全に部分改修させる機能群

f)

非安全関連機能群とのインタフェース群

g)

容量及び応答時間の性能

h)

上記の機能群それぞれに対する安全度水準

注記 1  選択された SIS サブシステムの特性によっては,これら機能のうちの幾つかはシステムソ

フトウェアの一部であってもよい。

注記 2  インタフェースには,オンライン及びオフラインでの部分改修設備が含まれる。


58

C 0511-1

:2008 (IEC 61511-1:2003)

12.3

アプリケーションソフトウェアの安全妥当性確認計画

注記  このフェーズは図 11 に示したボックス 12.3 に該当する。

12.3.1

目的

12.3.1.1

この箇条の要求事項の目的は,適切なアプリケーションソフトウェア妥当性確認計画の実行を保

証することにある。

12.3.2

要求事項

12.3.2.1

アプリケーションソフトウェア妥当性確認計画作成は,

箇条 15 に従い実施しなければならない。

12.4

アプリケーションソフトウェアの設計及び開発

注記  このフェーズは,図 11 に示したボックス 12.4 に該当する。

12.4.1

目的

12.4.1.1

この箇条の要求事項の第一の目的は,ハードウェア構成と整合性があり,かつ,ソフトウェア安

全にかかわる要求事項を満たすアプリケーションソフトウェア構成を創成することにある(12.2 参照)

12.4.1.2

この箇条の要求事項の第二の目的は,SIS のハードウェア及び組込みソフトウェア構成によって

ソフトウェアに対して行った要求事項を再検討し,かつ,査定することにある。これらの精査には,SIS

のハードウェア/ソフトウェアの動作の副次的効果,SIS ハードウェアのアプリケーション特有の構成,

SIS

の本質的故障許容性及び SIS のハードウェアと安全のためのアプリケーションソフトウェアを含んだ

組込みソフトウェア構成との相互干渉が含まれる。

12.4.1.3

この箇条の要求事項の第三の目的は,アプリケーションソフトウェアを開発するための適切なツ

ールのセット(ユーティリティソフトウェアを含む。

)を選択することにある。

12.4.1.4

この箇条の要求事項の第四の目的は,分析可能,適合確認可能,かつ,安全に部分改修可能なソ

フトウェア安全に関して定められた要求事項(12.2 参照)を満足するアプリケーションソフトウェアを設

計し,かつ,実装又は選択する。

12.4.1.5

この箇条の要求事項の第五の目的は,ソフトウェア安全に関する要求事項が(要求されるソフト

ウェア SIF の点から)達成されていることを確認することにある。

12.4.2

一般要求事項

12.4.2.1

完全可変言語によるアプリケーションプログラムの開発,試験,適合確認及び妥当性確認

(validation)

は,JIS C 0508-3 に従わなければならない。

12.4.2.2

設計方法は,開発ツール及び適用する SIS のサブシステムに与えられた制約事項に整合しなけれ

ばならない。

注記  この規格への準拠を保証するために必要な SIS サブシステムの適用に関する制約事項は,機器

の安全取扱説明書に規定しなければならない。

12.4.2.3

選択された設計方法及びアプリケーション言語(LVL 及び FPL)は,次の事項を実現させる諸特

性を具備するのが望ましい。

a)

抽象化,モジュール化及び複雑性を管理するその他の特性;可能な限り,ソフトウェアは,使用者の

ライブラリを含む十分に実績あるソフトウェアモジュール及びソフトウェアモジュール群を結合させ

るための十分に明確な規則に基づくのが望ましい。

b)

次の事項に関する特性を具備する。

−  機能性,理想的には論理記述又はアルゴリズム機能として

−  アプリケーション機能のモジュール要素間の情報の流れ

−  順序要求事項


59

C 0511-1

:2008 (IEC 61511-1:2003)

− SIF が常に定められた制限時間内で動作する保証

−  規定されていない動作をしない

−  内部データアイテムが誤って重複されず,使用されるすべてのデータタイプが規定され,かつ,デ

ータが範囲逸脱又は不良化した場合に適切な動作が生じることの保証

−  設計上の仮定事項群及びそれらの相互依存性

c)

アプリケーション機能の理解及び技術上の制約事項の知識の観点から,開発者及びこの設計を理解す

ることが必要なその他の者による理解。

d)

適合確認及び妥当性確認。これらには,このアプリケーションソフトウェアコードの確認範囲,統合

されたアプリケーションの機能上の確認範囲,この SIS とのインタフェース及びその適用に特有なハ

ードウェア構成を含む。

e)

アプリケーションソフトウェアの部分改修。このような特性は,モジュール化,そ(遡)及確認性及

び文書化の諸特性を含む。

12.4.2.4

実現された設計は,次による。

a)

データの完全性検証及び合理性検証が含まれていなければならない。

注記  例えば,情報通信リンク群の境界端から境界端までの検証,検出端入力の境界検証,データ

パラメータ境界の検証,アプリケーション機能の多様な実行など。

b)

要求事項にそ(遡)及して確認可能でなければならない。

c)

試験が可能でなければならない。

d)

安全な部分改修のための能力をもたなければならない。

e) SIF

アプリケーションソフトウェアの複雑度及び規模を最小限に保たなければならない。

12.4.2.5

このアプリケーションソフトウェアが異なる安全度水準の SIF 又は非安全機能を実行しなければ

ならない,異なる安全度水準の SIF における独立性を設計に示すことができない限り,このソフトウェア

の全体は最も高い安全度水準に属しているものとして扱われなければならない。独立性の正当性は,文書

化されなければならない。独立性が主張される又はされないにかかわらず,それぞれの SIF に企図される

SIL

が特定されなければならない。

注記 1  IEC 61511-2 では,SIF 及び非安全計装機能の両者が SIS に実装される場合にアプリケーショ

ンソフトウェアをどのように設計及び開発するかについての手引が提供されている。

注記 2  IEC 61511-2 では,異なる SIL の SIF が SIS に実装される場合にアプリケーションソフトウェ

アをどのように設計及び開発するかについての手引が提供されている。

12.4.2.6

前もって開発されたアプリケーションソフトウェアライブラリ機能が設計の一部に使用されな

ければならない場合,アプリケーションソフトウェア安全に関する要求事項(12.2 参照)のこの仕様を満

たすことの適合性が正当であることを示さなければならない。適合性は,次の規定に基づかなければなら

ない。

a) FVL

を使用する場合での JIS C 0508-3 への準拠,又は

b) FPL

又は LVL を使用する場合でのこの規格への準拠,又は

c)

同様の機能性をもつと実証された又は新しく開発された任意のソフトウェアに想定されることがある

ものと同一の適合確認及び妥当性確認手順の対象となった(11.5.4 及び 11.5.5 参照)類似した適用に

おける満足できる運用経験の証拠。

注記  この正当化は,安全計画中に展開してもよい(箇条 参照)。


60

C 0511-1

:2008 (IEC 61511-1:2003)

12.4.2.7

少なくとも,次の情報がアプリケーションプログラムの文書又は関連する文書に含まれていなけ

ればならない。

a)

法的主体[例えば,会社,作成者(など)

b)

説明書

c)

アプリケーション機能上の要求事項のそ(遡)及確認可能性

d)

使用する論理の規則

e)

使用する標準的なライブラリ機能

f)

入力及び出力

g)

変更履歴を含む変更管理

12.4.3

アプリケーションソフトウェア構成にかかわる要求事項

12.4.3.1

アプリケーションソフトウェア構成の設計は,この SIS のシステム構成の制約事項の範囲内で,

要求される SIS 安全要求仕様に基づかなければならない。設計は,選択されたサブシステム設計,そのツ

ールセット及び安全取扱説明書の要求事項に準拠していなければならない。

注記 1  ソフトウェア構成は,システムの主要な要素及びサブシステム及びアプリケーションソフト

ウェアについて,それらがどのように相互に関連付けられ,更に,特に安全度など要求され

る特性がどのように達成されるかを規定する。システムソフトウェアモジュールの例には,

オペレーティングシステム,データベース,通信サブシステムが含まれる。アプリケーショ

ンソフトウェアモジュールの例には,プラント中で複製して利用されるアプリケーション機

能群が含まれる。

注記 2  アプリケーションソフトウェアの構成は,供給者によって提供される SIS サブシステムのこ

の基本的構成によっても決定しなければならない。

12.4.3.2

アプリケーションソフトウェア構成の設計の規定は,次による。

a)

内部構成及び SIS サブシステムとその要素との運用の包括的な規定を提供しなければならない。

b)

すべての同定された要素及び同定された要素(ソフトウェア及びハードウェア)間の接続と相互作用

との規定を含まなければならない。

c)

この SIS のサブシステムに含まれるが,いかなる SIF にも使用されないソフトウェアモジュールを特

定しなければならない。

d)

スキャンタイムによって課されているすべての制限を含んで,入出力サブシステム及び論理処理部の

機能性能に関するデータの論理処理の順序を規定しなければならない。

e)

すべての非 SIF を特定するとともにそれらがいかなる SIF の適切な運用にも影響し得ないことを保証

しなければならない。

注記  この構成の文書が SIS サブシステムに関して最新に更新され,かつ,完全であることは特に

重要である。

12.4.3.3

アプリケーションソフトウェアの開発に使用される方法及び技法の組合せを特定し,かつ,それ

らの選択の根拠を正当であることを示すよう記述することが望ましい。

注記  これらの方法及び技法とは,次の事項を保証することを目的とする。

− SIS のサブシステムの動作の予測性。

−  (ハードウェアと整合して)故障回避及び冗長性と多様性とを含む故障許容。

12.4.3.4

アプリケーションソフトウェアの設計に使用される方法及び技法は,SIS サブシステム安全取扱

説明書に定められたすべての制約事項に整合する。


61

C 0511-1

:2008 (IEC 61511-1:2003)

12.4.3.5

全データの安全度を維持するために使用される機能は規定され,かつ,正当であることを示さな

ければならない。そのようなデータには,プラントの入出力データ,通信データ,運用データ,保全デー

タ及び内部データベースのデータが含まれる場合がある。

注記  ハードウェアとソフトウェアとの構成には重なりがあり(図 11 参照),このためプログラマブ

ル電子ハードウェアとソフトウェアとの統合にかかわる試験仕様のような問題をハードウェア

開発者と話し合う必要性がある(12.5 参照)

12.4.4

支援ツール,取扱説明書及びアプリケーション言語にかかわる要求事項

12.4.4.1

アプリケーションプログラミング言語,構成管理,シミュレーション,テストハーネス用のツー

ルなどを含んだツール群の適切な組合せ及び適用可能であれば,自動試験範囲測定用ツールが選択されな

ければならない。

12.4.4.2

この SIS の全寿命にわたり関連するサービスを供給するための適切なツールの可用性(システム

開発の初期段階で使用するツールとは限らない。

)を考慮する。

注記  開発ツールの選択は,アプリケーションソフトウェア開発業務,組込みソフトウェア及びソフ

トウェア構成の性質に依存しなければならない(12.4.3 参照)

12.4.4.3

ツールの使用に関する適切な手順の組合せは,安全取扱説明書の制約事項,アプリケーションソ

フトウェアに故障を誘発させる可能性のある既知の弱点及び事前に実施された適合確認及び妥当性確認の

範囲から生じるすべての制限を考慮して特定する。

12.4.4.4

アプリケーション言語の選定は,次による。

a)

目的に適合していると評価されているトランスレータ・コンパイラを使用して実行されなければなら

ない。

b)

完全に及び明確に定められている又は明確に定められた機能に限定されなければならない。

c)

アプリケーションの特徴と一致しなければならない。

d)

プログラミング誤りの検出を促す機能を含まなければならない。

e)

設計方法に合致する機能を支援しなければならない。

12.4.4.5  12.4.4.4

を満たすことができない場合,使用する言語の正当性をアプリケーションソフトウェア

構成設計の規定中に文書で示さなければならない(12.4.3 参照)

。正当であることを示すために,この言語

の目的との適合性及びこの言語に同定されたすべての欠点に関するすべての対策が詳細に規定されなけれ

ばならない。

12.4.4.6

アプリケーション言語の使用にかかわる手順では,適切なプログラミングの実施例が明示され,

非安全のはん用的なソフトウェアの機能(例えば,定義されていない言語の機能,非構造化設計)が禁止

され,構成上の誤りを検出する基準が定められ,かつ,アプリケーションプログラムの文書化にかかわる

手順を規定しなければならない。

12.4.4.7

安全取扱説明書では,次の事項を適切に言及しなければならない。

a)

安全機能を実施するための自己診断の使用

b)

認証・適合確認済みの安全ライブラリのリスト

c)

強制試験及びシステム緊急停止論理

d)

ウォッチドッグの使用

e)

ツール群及びプログラミング言語群にかかわる要求事項及び制限事項

f)

この装置又はシステムが適合している安全度水準


62

C 0511-1

:2008 (IEC 61511-1:2003)

12.4.4.8

ツールの適合性は適合確認されなければならない。

12.4.5

アプリケーションソフトウェア開発にかかわる要求事項  

12.4.5.1

次の情報は,詳細なアプリケーションソフトウェア設計の開始前に供用できなければならない。

a)

ソフトウェア安全要求事項の仕様(12.2 参照)

b)

このアプリケーション論理と故障許容の機能性との同定,入出力データの一覧表,使用されるはん用

ソフトウェアモジュールと支援ツール群及びこのアプリケーションソフトウェアをプログラムするた

めの手順を含んで,このアプリケーションソフトウェア構成設計の規定(12.4.3 参照)

12.4.5.2

アプリケーションソフトウェアは,次の事項を実現するために,構造化された方法で創造する。

a)

機能性のモジュール化方式

b)

機能性(故障許容機能を含む。

)及び内部構造の試験可能性

c)

安全な部分改修にかかわる能力

d)

アプリケーション機能及び関連する制約事項に対するそ(遡)及確認可能性及び説明

注記  可能な限り,使用実績のあるソフトウェアモジュールを使用する。

12.4.5.3

それぞれのアプリケーションモジュールの設計は,次の事項を含むロバスト性に取り組まなけれ

ばならない。

a)

入力データの供給に使用されるすべてのグローバル変数を含むそれぞれの入力変数の妥当性判定

b)

入力及び出力インタフェースの完全な定義

c)

想定されるハードウェア及びソフトウェアモジュールの現存と入手しやすさを含むシステム構成の判

12.4.5.4

それぞれのアプリケーションソフトウェアモジュールの設計及びそれぞれのアプリケーション

ソフトウェアモジュールに適用する構成上の試験が定められなければならない。

12.4.5.5

アプリケーションソフトウェアは,次の事項を満たすことが望ましい。

a)

読みやすく,理解しやすく,かつ,試験可能でなければならない。

b)

関連する設計原理を満たさなければならない。

c)

安全計画策定中に特定された該当する要求事項を満たさなければならない(5.2.4 参照)

12.4.5.6

アプリケーションソフトウェアは,規定された設計,設計原理及び安全妥当性確認計画の要求事

項への適合を保証するために審査しなければならない。

注記  アプリケーションソフトウェアの審査には,ソフトウェア検査,ウォークスルー及びフォーマ

ル分析などの技法が含まれる。これには,アプリケーションソフトウェアが関連する仕様を満

たすということを保証するシミュレーション及び試験法を併せて使用しなければならない。

12.4.6

アプリケーションソフトウェアモジュール試験にかかわる要求事項

注記  アプリケーションソフトウェアモジュールが正しく仕様を満たしているかの試験は,適合確認

業務である(12.7 を参照)

。それは,アプリケーションソフトウェアモジュールがそれに関連す

る仕様を満たしていることを保証する審査と構成上の試験との組合せであり,すなわち適合確

認されたことになる。

12.4.6.1

それぞれの入力ポイントから,論理処理部を通り,出力ポイントまでの構成は,入出力データが

正しいアプリケーション論理上に変換されていることを確認するために,設計審査,シミュレーション及

び試験技法によって検査しなければならない。


63

C 0511-1

:2008 (IEC 61511-1:2003)

12.4.6.2

それぞれのアプリケーションソフトウェアモジュールは,意図した機能が正確に実行され,意図

していない機能が実行されていないことを確定するために,設計審査,シミュレーション及び試験技法に

よって検査しなければならない。

試験は,試験対象となるこのモジュールに適切でなければならず,かつ,次の事項が検討されなければ

ならない。

a)

アプリケーションモデルのすべての部分の実施

b)

データバウンダリ群の実施

c)

実行シーケンスによるタイミング効果

d)

適切なシーケンスの実行

12.4.6.3

アプリケーションソフトウェアモジュール試験の結果は供用可能でなければならない。

12.4.7

アプリケーションソフトウェア統合試験にかかわる要求事項

注記  ソフトウェアが正しく統合されているかどうかの試験は,適合確認業務である(12.7 も参照)。

12.4.7.1

アプリケーションソフトウェアの試験は,すべてのアプリケーションソフトウェアモジュールと

部品/サブシステム群とがお互いに,かつ,基本組込みソフトウェアに対しても,この意図された機能群

を実行するために正常に相互作用することを示さなければならない。

注記  試験は,このソフトウェアがその安全要求事項を損なう意図されていない機能群を実行しない

ことを確認するためにも実行する。

12.4.7.2

アプリケーションソフトウェア統合テストの結果は供用可能でなければならず,かつ,次の事項

を提示しなければならない。

a)

試験結果

b)

この試験仕様の目的及び基準が適合されているか否か。

もし,不合格がある場合は,この不合格の理由が報告されなければならない。

12.4.7.3

アプリケーションソフトウェア統合の間では,このソフトウェアに対するすべての部分改修は,

安全影響解析の対象として次の事項を決定しなければならない。

a)

影響を受けるすべてのソフトウェアモジュール。

b)

必要とされる再設計及び再適合確認業務(12.6 参照)

12.5

アプリケーションソフトウェアの SIS サブシステムとの統合

注記  このフェーズは,図 11 に示したボックス 12.5 に該当する。

12.5.1

目的

12.5.1.1

この箇条の目的は,SIS のサブシステムで使用するハードウェア及び組込みソフトウェア上でア

プリケーションソフトウェアが実行されているときに,アプリケーションソフトウェアがソフトウェア安

全要求仕様を満たしていることを実証することにある。

注記  このアプリケーションの特性によって,これらの業務は 12.4.7 と組み合わせてもよい。

12.5.2

要求事項

12.5.2.1

統合試験は,機能上及び性能上の安全要求事項が適合し,アプリケーションソフトウェアとハー

ドウェア及び組込みソフトウェアプラットフォームとの互換性を保証するために,可能な限りソフトウェ

ア安全ライフサイクルの早い段階で規定されなければならない。

注記 1  試験の範囲は,利用実績に基づき縮小してよい。

注記 2  次の事項について規定しなければならない。

−  アプリケーションソフトウェアの管理可能な統合セットへの分割


64

C 0511-1

:2008 (IEC 61511-1:2003)

−  テストケース及び試験データ

−  実施する試験の種類

−  試験環境,ツール群,構成及びプログラム

−  この試験の完了を判定する試験基準

−  試験中の故障に対する修復作業の手順

12.5.2.2

試験中では,いかなる部分改修又は変更も安全影響解析の対象として次を決定しなければならな

い。

a)

影響を受けるすべてのソフトウェアモジュール。

b)

必要となる再適合確認業務(12.7 参照)

12.5.2.3

次の試験の情報が供用可能でなければならない。

a)

試験される構成の詳細

b)

試験を支援する構成の詳細(ツール群及び外部の機能性)

c)

携わる人員

d)

テストケース及び試験手順書

e)

試験結果

f)

試験の目的と基準とが適合されているかどうか

g)

不合格の場合,不合格の理由,不合格の分析並びに再試験及び再適合確認を含む修正の記録(12.5.2.2

参照)

12.6  FPL

及び LVL ソフトウェア部分改修の手順

注記  部分改修は,主として,ソフトウェアの運用フェーズで生じる変更に適用される。

12.6.1

目的  

12.6.1.1

この箇条の要求事項の目的は,部分改修後のソフトウェアがソフトウェア安全要求仕様に適合し

続けることを保証することにある。

12.6.2

部分改修の要求事項

12.6.2.1

部分改修は,次の事項の追加要求事項を伴い,5.2.6.2.25.2.7 及び箇条 17 に従って行われなけれ

ばならない。

a)

部分改修に先立って,この部分改修のプロセスの安全及びこのソフトウェア設計状況に対する影響の

分析を実施し,かつ,その分析結果をこの部分改修を導くために使用しなければならない。

b)

この部分改修及び再適合確認にかかわる安全計画が供用可能でなければならない。

c)

部分改修及び再適合確認は,この計画に沿って行われなければならない。

d)

部分改修及び試験中に要求される条件を満たすための計画が検討されなければならない。

e)

部分改修によって影響を受けるすべての文書が更新されなければならない。

f)

すべての SIS 部分改修業務の詳細は,供用可能でなければならない(例えば,運用記録)

12.7

アプリケーションソフトウェアの適合確認

12.7.1

目的

12.7.1.1

この箇条の第一の目的は,情報が満足できることを実証することにある。

12.7.1.2

この箇条の第二の目的は,アプリケーションソフトウェア安全ライフサイクルのそれぞれのフェ

ーズにおいて,この引渡し事項が定められた要求事項を満たすと実証することにある。

12.7.2

要求事項


65

C 0511-1

:2008 (IEC 61511-1:2003)

12.7.2.1

適合確認計画は,箇条 に従って,アプリケーションソフトウェア安全ライフサイクルのそれぞ

れのフェーズで実行しなければならない。

12.7.2.2

それぞれのフェーズの結果は,次の事項に対して適合確認されなければならない。

a)

個々のライフサイクルフェーズからの引渡し事項のこのフェーズにかかわる要求事項に対する妥当性

b)

引渡し事項の審査,検査及び/又は試験範囲の妥当性

c)

異なるライフサイクルフェーズで生み出される引渡し事項間の整合性

d)

データの正確性

12.7.2.3

適合確認では,また,次の事項を考慮する。

a)

試験の可能性

b)

読取り可能性

c)

そ(遡)及確認の可能性

注記 1  アプリケーションプログラムのデータフォーマットに対し,次の事項の適合確認を行わな

ければならない。

完全性

自己一貫性

許可されていない変更に対する保護

機能上の要求事項との整合性

注記 2  アプリケーションデータに対し,次の事項の適合確認を行わなければならない。

データ構成との整合性

完全性

基本となるシステムソフトウェアとの互換性(例えば,実行順序,実行時間)

正確なデータの値

既知の安全範囲内での運用

注記 3  修正可能なパラメータは,次の事項に対して保護されることを適合確認しなければならな

い。

無効又は定義されていない初期値

誤った値

許可されていない変更

データの損傷

注記 4  情報通信,プロセスインタフェース及び関連するソフトウェアは,次の事項に関して適合

確認しなければならない。

故障検出

メッセージの損傷に対する保護

データの妥当性

12.7.2.4

安全関連信号及び機能に統合される非安全機能及びプロセスインタフェースは,次の事項に関し

て適合確認する。

a)

安全機能への非干渉

b)

非安全機能の異常時における安全機能への干渉に対する保護


66

C 0511-1

:2008 (IEC 61511-1:2003)

13

立会試験(FAT)

注記  この箇条は,参考である。

13.1

目的

13.1.1

立会試験の目的は,論理処理部と関連ソフトウェアとを一体化して,安全要求仕様で定義された要

求事項を満たしていることを確認するために,試験することにある。論理処理部と関連ソフトウェアとを

プラントに設置する前に試験することで,過誤が容易に同定され,かつ,修正され得る。

注記  立会試験は,統合試験とも呼ばれ,妥当性確認の一部になり得る。

13.2

推奨事項

13.2.1

立会試験にかかわる必要性は,プロジェクトの設計フェーズ中に規定することが望ましい。

注記 1  統合試験の開発のために,論理処理部供給者と設計請負者との密接な協力が要求される。

注記 2  この業務は,設計及び開発フェーズと設置及び引渡しフェーズとの間で行われる。

注記 3  この業務は,プログラマブル電子装置の有無にかかわらず,SIS のサブシステムに適応可能

である。

注記 4  立会試験は,通常プラントへの設置及び引渡し以前の工場の状況下で実施される。

13.2.2

立会にかかわる計画では,次の事項を規定しなければならない。

a)

実施すべき試験の種類。これには次が含まれる。ブラックボックスシステム機能性試験(すなわち,

システムを“ブラックボックス”として扱い,そのため内部構成の知識を使用しない試験の計画方法。

ブラックボックス試験計画は,

通常,機能要求事項を試験することに着目する方法として説明される。

ブラックボックスにかかわる同義語として,行動,機能的,不透明な箱及び閉鎖箱の試験が挙げられ

る。

。性能試験(タイミング,信頼性と可用性,完全性,安全目標及び制約事項)

。環境試験(EMC,

寿命と負荷試験とを含む。

。インタフェース試験,劣化モード及び/又は故障モードでの試験,例外

試験,SIS の保全及び運用取扱説明書の適用。

b)

試験項目,試験の規定及び試験データ

注記  だれが試験項目を作成し,だれが試験の実施に責任をもち,そして試験の立会人になるかを

明確にすることは非常に重要である。

c)

他のシステム・インタフェースへの従属性

d)

試験環境及びツール

e)

論理処理部の構成

f)

試験の完了を判定する試験基準

g)

試験不合格時の対応業務にかかわる手順

h)

試験要員の適正能力

i)

物理的な場所

注記  物理的に実証できない試験については,なぜこの SIS が要求事項,目標又は制約事項を達成

するかについての定められた議論によって通常解決される。

13.2.3

立会試験は,この論理処理部に定められた版に対して行わなければならない。

13.2.4

立会試験はこの立会試験計画に従い実施しなければならない。このような試験は,すべての論理が

正しく機能していることを示さなければならない。  

13.2.5

それぞれ実施される試験に対して,次の事項を検討する。

a)

使用される試験計画の版

b)

試験される SIF 及び性能特性


67

C 0511-1

:2008 (IEC 61511-1:2003)

c)

詳細な試験手順及び規定

d)

この試験業務の時系列的な記録

e)

使用されたツール,機器及びインタフェース

13.2.6

立会試験の結果は,次のように文書化する。  

a)

試験項目

b)

試験結果

c)

試験の目的及び基準が適合されたかの言及

試験中に不合格があれば,その不合格理由を文書化し,分析し,更に適切な修正業務を行う。

13.2.7

立会試験中では,いかなる部分改修又は変更も,次の事項を決定するための安全分析の対象とする

ことが望ましい。

a)

それぞれの SIF への影響の範囲

b)

新たに実施すべき再試験の範囲

注記  立会試験の結果次第では,修正作業の最中に引渡しが開始されることがある。

14  SIS

の設置及び引渡し

14.1

目的

14.1.1

この箇条の要求事項の目的を,次に示す。

a)

仕様書及び設計書に従って,安全計装システムを設置する。

b)

安全計装システムをその最終システム妥当性確認のために引き渡す。

14.2

要求事項

14.2.1

設置及び引渡し計画は,それに要求されるすべての業務を規定しなければならない。この計画は,

次の事項を提供しなければならない。

a)

設置及び引渡し業務

b)

設置及び引渡しに用いられる手順,手段及び技法

c)

この業務を実施する時期

d)

この業務に責任をもつ担当者,部局及び組織

適切であれば,設置及び引渡し計画は,全体のプロジェクト計画に統合してもよい。

14.2.2

すべての安全計装システムコンポーネントは,その設計及び設置計画書(群)に従って,適切に設

置されなければならない(14.2.1 参照)

14.2.3

安全計装システムは,最終システム妥当性確認にかかわる準備の計画に従って引き渡されなければ

ならない。引渡し業務は,次の事項の確認を含むが,これだけに制限されない。

a)

接地は適切に接続されている。

b)

エネルギー源は適切に接続され,かつ,運転可能である。

c)

搬送は終了し,かつ,こん(梱)包材料は取り除かれている。

d)

物理的損傷は,存在しない。

e)

すべての計測器が適切に校正されている。

f)

すべてのフィールドデバイスが運用可能である。

g)

論理処理部及び入出力部が運用可能である。

h)

他システム及び周辺機器とのインタフェースは運用可能である。


68

C 0511-1

:2008 (IEC 61511-1:2003)

14.2.4 SIS

の引渡しの適切な記録は,試験結果及びこの設計フェーズで定めた目的と基準とが適合されて

いるかを規定して作成しなければならない。不合格がある場合,この不合格理由は記録しなければならな

い。

14.2.5

実際の設置が設計内容と整合しないことが明らかとなった場合,その不整合は有資格者が査定し,

かつ,見込まれる安全への影響の可否を決定しなければならない。この不整合が安全に対して影響しない

ことが明らかとなった場合,この設計情報を,完成図書に合わせて更新しなければならない。この不整合

が安全に対して負の影響を与える場合,この設置を,設計要求事項に適合するように部分改修しなければ

ならない。

15  SIS

安全妥当性確認

15.1

目的

15.1.1

この箇条における要求事項の目的は,検査及び試験によって,設置され引き渡された安全計装シス

テム及びそれに関連した SIF が安全要求仕様に規定された要求事項を達成していることを妥当性確認する。

注記  これは,現場承認試験(SAT)といわれることがある。

15.2

要求事項

15.2.1 SIS

の妥当性確認計画は,妥当性確認に要求されるすべての業務を定めなければならない。それら

には,次の項目が含まれなければならない。

a)

結果として得られる勧告の実行及び解決を含む安全要求仕様に関する安全計装システムの妥当性確認

を含む妥当性確認業務

b)

次を含むこのプロセス及び関係する機器に対するすべての関連運用モードでの妥当性確認

−  設定及び調整を含んだ使用の準備

−  起動,自動,手動,半自動,定常運用の状態

−  リセット,緊急停止及び保全

−  合理的に予見可能な異常状態,例えば,リスク分析フェーズで同定された状態

c)

妥当性確認のための手順,手段及び技法

d)

この業務が実施されなければならない時期

e)

この業務に責任をもつ者,部局及び組織並びに妥当性確認業務に対する独立性の水準

f)

妥当性確認を行わなければならない情報についての参照(例えば,原因及び影響チャート)

注記  妥当性確認業務の事例には,ループテスト,校正手順及びアプリケーションソフトウェアの

シミュレーションが含まれる。

15.2.2

安全アプリケーションソフトウェアにかかわる妥当性確認追加計画には,次の事項が含まれていな

ければならない。

a)

引渡しを開始する前にそれぞれのプロセスの運用モードに対して妥当性確認が必要な安全ソフトウェ

アの特定

b)

次の事項を含む妥当性確認のための技術戦略の情報

−  手動及び自動化された技法

−  静的及び動的技法

−  分析的及び統計的技法

c)

b)

に従い,それぞれの SIF がこのソフトウェア SIF 群に対して定められた要求事項(12.2 参照)及び

ソフトウェア安全度に対して定められた要求事項(12.2 参照)に整合することを確認するために用い


69

C 0511-1

:2008 (IEC 61511-1:2003)

られなければならないこの手段(技法)及び手順。

d)

妥当性確認業務の実施に要求される環境(例えば,試験に対しては,これに校正済みのツールと機器

とが含まれる。

e)

次を含むソフトウェア妥当性確認を遂行するための合格・不合格基準

−  動作順序及び値を含んだ必要とされるプロセス及び運転員からの入力信号

−  動作順序及び値を含んだ予想される出力信号

−  その他の承認基準,例えば,メモリーの使い方,タイミング及び値の余裕

f)

妥当性確認の結果,特に不合格の査定に関する方針及び手順。

注記  こうした要求事項は,12.2 の一般要求事項に基づいている。

15.2.3

妥当性確認の一部として測定上の精度が要求される場合,この機能に使われる計装は,このアプリ

ケーションによる不確実性の範囲の標準値に比較修正可能な仕様書に照らして校正しなければならない。

校正が実行不可能な場合,別の方法が用いられ,かつ,文書化されなければならない。

15.2.4

安全計装システム及びその関連 SIF の妥当性確認は,この安全計装システム妥当性確認計画に従っ

て実施されなければならない。妥当性確認業務には,次の事項が含まれなければならないが,これだけに

制限されるものではない。

a)

安全要求仕様で同定されたように,

安全計装システムは正常と異常運用モードとで動作する(例えば,

起動,緊急停止)

b) BPCS

と他の接続したシステムとの不用な相互作用が,安全計装システムの適切な運用に影響を及ぼ

さないことの確認。

c)

安全計装システムが,

(必要な場合)BPCS 又は他のシステム又はネットワークとで適切に通信する。

d)

安全要求仕様に従って,すべての冗長チャネルを含め,検出端,論理処理部及び操作端が動作する。

注記  立会試験が箇条 13 で示されるように論理処理部に対して実施される場合,この立会試験によ

って論理処理部の妥当性確認が保証されることがある。

e)

安全計装システムの文書化は設置したシステムと一致している。

f)

この SIF が不当なプロセス変数値(例えば,範囲からの逸脱)に対して規定されたように働くことの

確認。

g)

適切な緊急停止シーケンスが発動する。

h)

安全計装システムは適切な告知及び操作表示を提供する。

i)

安全計装システムに含まれる計算機能が正しい。

j)

安全要求仕様に規定されているように,安全計装システムのリセット機能が働く。

k)

バイパス機能が正しく作動する。

l)

起動時オーバーライドは正しく作動する。

m)

手動停止システムが正しく作動する。

n)

プルーフテスト間隔が保全手順書中に文書化されている。

o)

診断警報機能が要求どおり作動する。

p)

ユーティリティ(例えば,電力,空気圧及び油圧)の喪失時に要求されるように安全計装システムが

作動することの確認及びユーティリティが回復したときに安全計装システムが望ましい状態に復帰す

ることの確認。

q)

安全要求仕様に規定されているように(10.3 参照)

,EMC 耐性(immunity)を達成していることを確認。


70

C 0511-1

:2008 (IEC 61511-1:2003)

15.2.5

ソフトウェア妥当性確認は,規定したソフトウェア安全要求事項のすべて(12.2 参照)が正しく実

行されること,及びソフトウェアが SIS 故障状態下及び劣化モードの運用中又は仕様書には規定されてい

ないソフトウェアの機能を実施することによって,この安全要求事項を損なわないことを示さなければな

らない。妥当性確認業務の情報は供用可能でなければならない。

15.2.6

次の事項を提供する SIS 妥当性確認の結果についての適切な情報が創成されなければならない。

a)

使用している SIS 妥当性確認計画の版

b)

試験(又は分析)中の SIF,SIS 妥当性確認計画中に同定された要求事項についての特定な参照

c)

使用した器具・機器及びその校正データを添付

d)

それぞれの試験の結果

e)

使用した試験仕様の版

f)

統合試験承認のための基準

g)

試験される SIS ハードウェア及びソフトウェアの版

h)

予想と実際の結果との矛盾

i)

矛盾が発生した場合,この試験を継続するか変更要求を発行するかについて行う分析及び決定

15.2.7

予想と実際の結果との間に矛盾が生じた場合,妥当性確認を継続するか,又は変更要求を発行し開

発ライフサイクルの以前の部分まで戻るかについて行う分析及び決定は,ソフトウェア安全妥当性確認の

結果の一部として供用可能でなければならない。

15.2.8

安全計装システムの妥当性確認後,かつ,同定された潜在危険の発現以前に,次の業務が実行され

なければならない。  

a)

すべてのバイパス機能(例えば,PE 論理処理部及び PE センサ強制設定,無効にされた警報)は,通

常の位置に戻さなければならない。

b)

すべてのプロセス隔離弁は,プロセス起動要求事項及び手順に従って設定されなければならない。

c)

すべてのテスト用物質(例えば,流体)は,取り除かれなければならない。

d)

すべての強制設定は取り除かれ,かつ,適用可能ならばすべての強制設定器は取り除かれなければな

らない。

16  SIS

の運用及び保全

16.1

目的

16.1.1

この箇条における要求事項の目的を,次に示す。

a)

それぞれの SIF に要求される SIL が運用及び保全中に維持されていることを保証する。

b)

設計した機能安全が保たれるように,SIS を運用及び保全する。

16.2

要求事項

16.2.1

安全計装システムにかかわる運用及び保全計画の作成を実行する。その計画は,次の事項を提供し

なければならない。

a)

通常業務及び異常時運用業務

b)

プルーフテスト,予防及び故障停止時保全業務

c)

運用及び保全のために使われる手順,手段及び技法

d)

運用及び保全手順書に対する忠実性の適合確認

e)

この業務を実施しなければならない時期

f)

この業務に責任をもつ者,部局及び組織


71

C 0511-1

:2008 (IEC 61511-1:2003)

16.2.2

運用及び保全の手順は,関連する安全計画に従って開発され,かつ,次の事項を規定しなければな

らない。

a) SIS

の“設計されたとおり(as designed)”の機能安全の保持のために実行することが必要な日常業務,

例えば,SIL の決定から定義されたプルーフテスト間隔に忠実であること

b)

保全又は運用中,不安全な状態を予防し及び/又は潜在危険事象の結果を軽減する必要のある業務及

び制約事項(例えば,システムが試験又は保全のためにバイパスされる必要がある場合,どのような

追加の緩和手順が履行される必要があるか)

c)

システムの機能不全及び SIS への作動要求率にかかわる維持することが必要な情報

d) SIS

の監査及び試験の結果を示すことにかかわる維持することが必要な情報

e) SIS

で故障又は故障状態が起こったときに実施される,次の事項を含んだ保全手順

−  フォールトの診断及び修理のための手順

−  再妥当性確認の手順

−  保全報告の要求事項

−  保全性能を追跡するための手順

注記  検討事項には,次が含まれる。

−  故障の報告に関する手順

−  決定論的原因故障の分析に関する手順

f)

通常の保全業務に使われる試験機器が適切に校正され,かつ,保全されていることの確認。

16.2.3

運用及び保全は,適切な手順に従って進められなければならない。

16.2.4

運転員は,この分野におけるこの SIS の機能及び運用について訓練されなければならない。その訓

練は,次の事項を保証しなければならない。

a)

運転員は SIS がどのように機能するか理解している(トリップ設定値及びそれによって生じる SIS の

動作)

b) SIS

が防護している潜在危険

c)

すべてのバイパススイッチの操作及びどんな環境下でこうしたバイパスが使用されることになるかに

ついて

d)

すべての手動停止スイッチの操作方法,並びに手動の起動作業及びこの手動スイッチをいつ作動させ

なければならないかについて

注記  これには,システムのリセットとシステムの再起動とを含むこともある。

e)

すべての診断警報の起動についての予測(例えば,いずれかの SIS 警報が作動し,SIS に問題がある

と示しているとき,どんな行動をとるべきか。

16.2.5

保全要員は,SIS のハードウェア及びソフトウェアの十分な機能上の性能をその目標水準まで維持

するために必要とされるように訓練されなければならない。

16.2.6 SIS

の期待される挙動と実際の挙動との間の相違は,分析され,かつ,必要ならば,要求される安

全が維持されるように部分改修がなされなければならない。これには,次の監視が含まれなければならな

い。

a)

システムへの作動要求に従ってとられる動作

b)

通常試験又は実際の作動要求の最中での,開発されたこの SIS の一部を形成している機器の故障

c)

作動要求の原因

d)

トリップの原因


72

C 0511-1

:2008 (IEC 61511-1:2003)

注記  予想挙動と実際の挙動との相違をすべて分析することが非常に重要である。これは,通常の

運用において生じる作動要求の監視と混同すべきではない。

16.2.7

運用及び保全の手順は,必要ならば,次の事項で改定を要求する場合もある。

a)

機能安全監査

b) SIS

に関する試験

16.2.8

書面のプルーフテスト手順は,自己診断で検出されない危険側故障を明らかにするために,すべて

の SIF のために開発されなければならない。これら書面にした試験手順は,行うべきすべての手順が規定

され,かつ,次の事項を含まなければならない。

a)

それぞれの検出端及び操作端の正しい運用法

b)

正しい論理動作

c)

正しい警報及び表示

注記  次の方法は,試験される必要をもつ未検出の故障の決定に使用される。

−  フォールトの木解析(FTA)

−  故障モード影響分析

−  信頼性重点保全

16.3

プルーフテスト及び検査

16.3.1

プルーフテスト

16.3.1.1

定期的なプルーフテストは,この安全要求仕様に従って,SIS の作動を阻害する検出されない故

障を明らかにするために規定した手順(16.2.8 参照)を使って実施しなければならない。

16.3.1.2

全 SIS は,検出端(群)

,論理処理部及び操作端(例えば,緊急停止弁及びモータ)を含んで試

験しなければならない。

16.3.1.3

プルーフテストの頻度は,PFD

avg

計算を使って決定しなければならない。

注記 SIS の様々な部分は,異なるテスト間隔を要求することがある。例えば,論理処理部は検出端

又は操作端とは異なるテスト間隔を要求することがある。

16.3.1.4

プルーフテスト中に発見されたいかなる欠陥も,安全,かつ,適時を得た方法で修理されなけれ

ばならない。

16.3.1.5

使用者が決めた周期間隔で,テスト頻度は,過去のテストデータ,プラントでの実績,ハードウ

ェアの劣化及びソフトウェアの信頼性などの様々な要素に基づき再査定されなければならない。

16.3.1.6

アプリケーション論理へのいかなる変更にも,完全なプルーフテストが要求される。これに対す

る例外は,この変更が正しく実装されたことを保証するために,変更の適切な審査及びこの部分の試験が

実施する場合に許容される。

16.3.2

検査

それぞれの SIS は,許可されていない部分改修及び目視可能な劣化(例えば,ボルト又は装置カバーの

紛失,さびたブラケット,裸線,壊れた導管,壊れたヒート・トレーシング及び絶縁材の紛失)が存在し

ないことを保証するために,定期的に目視検査が行われなければならない。

16.3.3

プルーフテスト及び検査の文書化

使用者は,プルーフテスト及び検査が要求されるとおりに完了したことを保証する記録を保持しなけれ

ばならない。こうした記録は,最低限,次の情報が含まれなければならない。

a)

実施した試験及び検査の規定

b)

試験及び検査の実施日


73

C 0511-1

:2008 (IEC 61511-1:2003)

c)

試験及び検査を実施した者の氏名

d)

試験されたシステムのシリアル番号又はその他固有の識別名(例えば,ループ番号,タグ番号,機器

番号,及び SIF 番号)

e)

試験及び検査の結果[例えば,何か発見したがそのままにしておく (as-found,as-left)  条件]

17  SIS

の部分改修

17.1

目的

17.1.1

この箇条における要求事項の目的を,次に示す。

a)

すべての安全計装システムに対する部分改修が,変更に先立って適切に計画され,審査され,かつ,

承認されること。

b)

この SIS に要求される安全度が,SIS になされたすべての変更にかかわらず保持されていることを保

証することにある。

注記 BPCS,他の機器,プロセス又は運用条件の部分改修は,これによってこの SIS に対する作動

要求の性質又は頻度が影響されるかを決定するために審査しなければならない。負の効果を

もつものは,このリスク軽減の水準が依然として十分かを決定するために,更に検討しなけ

ればならない。

17.2

要求事項

17.2.1

安全計装システムへのすべての部分改修に先立って,変更を認可し,かつ,管理するための適切な

手順が用意されていなければならない。

17.2.2

この手順は,影響されるかもしれない潜在危険を同定し,かつ,実施すべき作業を要求するための

明確な方法を含まなければならない。

17.2.3

提案されている部分改修の結果として,機能安全に及ぼす影響を判定するため,分析が実施されな

ければならない。この分析が提案されている部分改修は安全に影響するであろうことを示す場合,部分改

修によって影響される安全ライフサイクルの最初のフェーズに戻る措置をとらなければならない。

17.2.4

部分改修業務は,適切な認可がない限り,開始してはならない。  

17.2.5

適切な情報が,SIS のすべての変更について保持されなければならない。その情報には,次の事項

が含まれる。

a)

部分改修又は変更の規定

b)

変更の理由

c)

影響される可能性のある同定された潜在危険

d) SIS

に対する部分改修業務の影響分析

e)

変更に要求されるすべての承認

f)

変更が適切に履行され,かつ,SIS が要求のとおりに動作することを適合確認するために使用する試

g)

適切な構成変更履歴

h)

変更が修正されなかった SIS の部分に悪影響を与えていないことを適合確認するために使用する試験

17.2.6

部分改修は,適切な訓練を受けた有資格者によって行わなければならない。すべての影響を受ける

要員に対して,その変更について告知し,かつ,変更に対して訓練することが望ましい。


74

C 0511-1

:2008 (IEC 61511-1:2003)

18  SIS

使用終了

18.1

目的

18.1.1

この箇条における要求事項の目的を,次に示す。

a)

安全計装システムを実務上の供用から使用終了させることに先立って,適切な審査が行われ,かつ,

要求される認可を得ていることを保証する。

b)

要求される SIF が,使用終了業務の間稼動し続けることを保証する。

18.2

要求事項

18.2.1

安全計装システムのすべての使用終了に先立って,変更を認可し,かつ,管理するための手続きが

とられなければならない。

18.2.2

この手続きは,影響されるかもしれない潜在危険を同定し,かつ,実施すべき作業を要求するため

の明確な方法を含まなければならない。

18.2.3

分析は,提案された使用終了業務の結果としての機能安全への影響に関して行われなければならな

い。評価は,後続の安全ライフサイクルフェーズが再考されなければならない幅及び深さを決定するのに

十分な潜在危険及びリスク評価の更新を含まなければならない。

評価では,

次の事項も考慮すべきである。

a)

使用終了業務実行中の機能安全

b)

安全計装システムの使用終了の隣接する稼動中の装置及び設備の稼動に与える影響

18.2.4

影響分析の結果は,再適合確認と再妥当性確認とを含むこの規格の関連要求事項を再検討するため

の安全計画において使用されなければならない。

18.2.5

使用終了業務は,適切な認可がない限り,開始してはならない。

19

情報及び文書化の要求事項

19.1

目的

19.1.1

この箇条における要求事項の目的を,次に示す。

a)

安全ライフサイクルのすべてのフェーズが有効に実行できるように,必要な情報が利用でき,かつ,

文書化されることを保証する。

b)

適合確認,妥当性確認及び機能安全評価の諸業務が有効に行われるように,必要な情報が利用でき,

かつ,文書化されることを保証する。

注記 1  文書構造の例に関しては,JIS C 0508-1 附属書 参照。

注記 2  様々な形態で文書化を利用できる(例えば,紙,フィルム又は,画面やディスプレーで表

示できるデータ媒体)

19.2

要求事項

19.2.1

この規格で要求する文書化は,供用可能でなければならない。

19.2.2

文書化は,次による。  

a)

設置,システム又は機器及びその使用について規定する。

b)

正確である。

c)

理解しやすい。

d)

意図された目的に見合っている。

e)

手に入れやすく,保持しやすい形で利用できなければならない。

19.2.3

文書は,異なる部分を参照することを可能としなければならないので,固有の識別記号をもたなけ

ればならない。


75

C 0511-1

:2008 (IEC 61511-1:2003)

19.2.4

文書は,情報の種類を示す名称をもたなければならない。

19.2.5

文書は,この規格の要求事項に対してそ(遡)及確認可能でなければならない。

19.2.6

文書は,情報の異なる版番号を識別できるように改正インデックス(版番号)をもたなければなら

ない。

19.2.7

文書は,関連情報を検索できるような構造になっていなければならない。文書の最新版を識別でき

なければならない。

注記  文書の物理的な構造は,システムの規模,その複雑性及び組織上の要求事項など多くの要素に

依存して変化しなければならない。

19.2.8

すべての関連文書は,改正,修正,見直し,承認されなければならず,更に適切な情報管理スキー

ムのもとで管理されなければならない。

19.2.9

次の事項に関する最新の書類が保持されなければならない。

a)

潜在危険及びリスク評価の結果及び関連する仮定

b)

その安全要求事項とともに,SIF のために使用される機器

c)

機能安全の維持に責任のある組織

d) SIS

の機能安全を達成し,かつ,維持するために必要な手続き

e)

17.2.5

で定義したような部分改修情報

f)

設計,実施,試験及び妥当性確認

注記  情報に対する要求事項の詳細は,箇条 14 及び箇条 15 に規定されている。


76

C 0511-1

:2008 (IEC 61511-1:2003)

附属書 A

参考)

相違点

この附属書は,この規格と JIS C 0508 の規格群との重要な相違点を説明するものであって,規定の一部

ではない。

この規格と JIS C 0508 の規格群とは幾つかの点で異なる。この相違は,A.1 及び A.2 の中で議論され,

この規格のこの版と JIS C 0508 の規格群との比較に基づいている。

A.1

文書体系上の相違点

JIS C 0508

の規格群

この規格群

コメント

第 1 部

第 1 部

JIS C 0508-1-2-3

及び -4  は,この規格にまとめられてい

る。

第 2 部

第 1 部

この規格に含まれている。

第 3 部

第 1 部

この規格に含まれている。

第 4 部

第 1 部

この規格に含まれている。

第 5 部

第 3 部

この規格に含まれている。

第 6 部

第 2 部

この規格の適用指針

第 7 部

全部

(必要とされた場所の)附属書としてそれぞれのパートに含
まれた参考事項

A.2

用語法

JIS C 0508-4 

この規格

コメント

E/E/PE

安全関連系 SIS

JIS C 0508

の規格群は,E/E/PE 安全関連系を参照して

いるが,この規格は,安全計装システムを参照してい
る。

PES SIS

JIS C 0508

の規格群“PES”は,検出端と操作端とを含

み,この規格は,用語 SIS を使う。

プロセス制御系

基本プロセス制御系

基本プロセス制御系はプロセス産業分野のはん用用語
である。

EUC

プロセス

JIS C 0508

の規格群は EUC(被制御装置)を参照し,

この規格はプロセスを参照する。

安全機能

安全計装機能 (SIF)

JIS C 0508

の規格群安全機能は E/E/PES,他の技術安全

関連系,又は外部リスク軽減設備によって実行される。
この規格 SIF は,唯一 SIS によって実行される。


77

C 0511-1

:2008 (IEC 61511-1:2003)

参考文献

JIS B 3503:1997

プログラマブルコントローラ−プログラム言語

注記  対応国際規格:IEC 61131-3, Programmable controllers−Part 3: Programming languages (IDT)

JIS C 0508-1:1999

電気・電子・プログラマブル電子安全関連系の機能安全−第 1 部:一般要求事項

注記  対 応 国 際 規 格 : IEC 61508-1, Functional safety of electrical/electronic/programmable electronic

safety-related systems

−Part 1: General requirements (IDT)

JIS C 0508-4:1999

電気・電子・プログラマブル電子安全関連系の機能安全−第 4 部:用語の定義及び略語

注記  対 応 国 際 規 格 : IEC 61508-4, Functional safety of electrical/electronic/programmable electronic

safety-related systems

−Part 4: Definitions and abbreviations (IDT)

JIS C 0508-6:2000

電気・電子・プログラマブル電子安全関連系の機能安全−第 6 部:第 2 部及び第 3 部の

適用指針

注記  対 応 国 際 規 格 : IEC 61508-6, Functional safety of electrical/electronic/programmable electronic

safety-related systems

−Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT)

IEC 60050-191    International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service

IEC 60050-351   International Electrotechnical Vocabulary

−Part 351: Control technology

JIS C 0617-12   

電気用図記号  第 12 部:2 値論理素子

注記  対応国際規格:IEC 60617-12:1997, Graphical symbols for diagrams−Part 12: Binary logic elements

IEC 61511-3 Functional safety

−Safety instrumented systems for the process industry sector−Part 3: Guidance for

the determination of the required safety integrity levels

JIS Z 8051:2004   

安全側面−規格への導入指針

注記  対応国際規格:ISO/IEC Guide 51, Safety aspects−Guidelines for their inclusion in standards

ISO/IEC 2382 (all parts)  Information technology

−Vocabulary

ISO/IEC 2382-1:1993 Information technology

−Vocabulary−Part 1: Fundamental terms

ISO/IEC 2382-14 Description: Information technology

−Vocabulary−Part 14: Reliability, maintainability and

availability

ISO 9000:2000 Quality management systems

−Fundamentals and vocabulary

ISO 9000-3:1997  Quality management and quality assurance standards

−Part 3: Guidelines for the application of

ISO 9001:1994 to the development, supply, installation and maintenance of computer software