>サイトトップへ >このカテゴリの一覧へ

C 0511-3

:2008 (IEC 61511-3:2003)

(1)

目  次

ページ

序文 

1

1

  適用範囲

4

1A

  引用規格

5

2

  用語及び定義 

5

3

  リスク及び安全度−一般的指針

5

3.1

  概要

5

3.2

  必要なリスク軽減

5

3.3

  SIS の役割 

5

3.4

  安全度

6

3.5

  リスク及び安全度

7

3.6

  安全要求の割当て

8

3.7

  安全度水準 

8

3.8

  必要な安全度水準を決定するための方法の選択 

9

附属書 A(参考)合理的に実行可能な最低の水準(ALARP)及び許容リスクの概念 

10

附属書 B(参考)半定量法

13

附属書 C(参考)安全層マトリクス手法 

21

附属書 D(参考)必要な安全度水準の決定−半定性的方法:基準化リスクグラフ 

26

附属書 E(参考)必要な安全度水準の決定−定性的方法:リスクグラフ 

34

附属書 F(参考)防護層解析(LOPA) 

39

附属書 JA(参考)参考文献 

46


C 0511-3

:2008 (IEC 61511-3:2003)

(2)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,社団法人日本電気計測器工業会(JEMIMA)及

び財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,日

本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権及び出願公開後の実用新案登録出願にかかわる確認について,責

任はもたない。

JIS C 0511

の規格群には,次に示す部編成がある。

JIS

C

0511-1

第 1 部:フレームワーク,定義及びシステム・ハードウェア・ソフトウェアの要求事項

JIS

C

0511-2

第 2 部:JIS C 0511-1 の適用指針

JIS

C

0511-3

第 3 部:安全度水準の決定指針


日本工業規格

JIS

 C

0511-3

:2008

(IEC 61511-3

:2003

)

機能安全−プロセス産業分野の安全計装システム−

第 3 部:安全度水準の決定指針

Functional safety-

Safety instrumented systems for the process industry sector-

Part 3: Guidance for the determination of the required safety integrity levels

序文 

この規格は,2003 年に第 1 版として発行された IEC 61511-3 を基に,技術的内容及び対応国際規格の構

成を変更することなく作成した日本工業規格である。

なお,この規格で側線を施してある事項及び

附属書 JA は,対応国際規格にはない事項である。

安全計装システム(以下,

“SIS”という。

)は,プロセス産業において,安全計装機能(SIF)の履行のた

めに長年にわたって使用されてきた。計装が SIF として有効に使用されるためには,当該計装がある最低

限の標準及び性能水準を満たすことが必要不可欠である。

この規格は,プロセス産業の SIS の適用を扱っている。また,SIS を導入するための仕様作成には,

プロセスの潜在危険とリスク評価を実施することが要求される。SIS 以外の安全システムは,SIS にかかわ

る性能要求事項を検討する段階で当該安全システムの寄与を計算するために考慮される。SIS には,検出

端から操作端までの SIF を実行するために必要なすべてのコンポーネントとサブシステムを含む。

この規格には,その適用の基礎となる“安全ライフサイクル”及び“安全度水準(以下,

“SIL”という。

の二つの概念が含まれる。

この規格は,電気(E)

・電子(E)

・プログラマブル電子(PE)技術に立脚する SIS について扱っている。

論理処理部に電気・電子・プログラマブル電子以外の技術を使用する場合も,この規格の基本的な原理を

適用することが望ましい。また,この規格は,使用する技術にかかわらず,SIS の検出端と操作端につい

ても扱っている。この規格は,JIS C 0508 のフレームワークをプロセス産業に特化したものである(JIS

C

0511-1

附属書 参照)。

この規格は,当該最低限の標準を達成するために,安全ライフサイクル業務に関する一つの方法論を提

示している。この方法論は,合理的で一貫した技術的手段をとれるよう採択したものである。

多くの場合,安全は,固有安全プロセス設計によって最良に達成できる。必要に応じて,防護システム

又は残存リスクを扱うシステムと組み合わせることもある。ここで,防護システムは,種々の技術(化学,

機械,油圧,空気圧,電気,電子及びプログラマブル電子技術)に依存する。いかなる安全戦略において

も,それぞれの SIS は,他の防護システムとの関係を考慮することが望ましい。この方法論を具現するた

め,この規格は,次の実施法の詳細を述べる。

−  全安全要求事項を特定するために,潜在危険及びリスク評価の実施要求


2

C 0511-3

:2008 (IEC 61511-3:2003)

−  安全要求事項の SIS への割当て要求

−  機能安全を達成するすべての計装手法に適用可能な枠組みの中での機能

−  機能安全の達成にかかわるすべての方法論に適用可能な,例えば,安全管理などのような特定業務

プロセス産業における SIS に関するこの規格は,最初の概念,設計,実装,運用及び保全から使用終了

までの全安全ライフサイクルフェーズを扱っている。

この規格では,プロセス産業において(例えば,原理,用語及び知識に注意するなど)高水準の整合化

に導くように意図している。これは安全及び経済上の両利益をもたらす。

当局(例えば,国又は地方自治体)がプロセス安全設計,プロセス安全管理などに関する確立された要

求事項(規制)をもつ当該管轄域では,それらの規制はこの規格で定める要求事項に対して優先権をもつ。

この規格は,潜在危険及びリスク評価(H&RA)における必要な SIL を決定する領域での指針を扱う。

ここでは,H&RA の実施に使用する広範囲でグローバルな方法の概要を提供する。提供する情報は,これ

らの手法の実行には十分に詳細なものではない。

まず,JIS

C

0511-1

で規定する安全度水準(SIL)の概念及び決定をもう一度見るべきである。この規格

における附属書では,次を取り扱う。

附属書 A  許容リスク及び ALARP の概念を提供する。

附属書 B  必要な SIL の決定に使用する半定量的方法の概要を提供する。

附属書 C  必要な SIL を決定する安全マトリクス法の概要を提供する。

附属書 D  必要な SIL を決定する半定性的リスクグラフ手法の概要を提供する。

附属書 E  必要な SIL を決定する定性的リスクグラフ手法の概要を提供する。

附属書 F  必要な SIL を選択する防護層解析(LOPA)手法の概要を提供する。

附属書 Bは,定性的及び定量的な方法を図式で示し,基本的原則を簡略化している。これらの附属

書は,数多くの方法の一般的な原則を図式で示すが,決定的な記述を提供するものではない。

図 では,この規格の総合フレームワークを示し,SIS に対する機能安全を達成するための役割を示す。


3

C 0511-3

:2008 (IEC 61511-3:2003)

図 1−この規格の総合フレームワーク 


4

C 0511-3

:2008 (IEC 61511-3:2003)

適用範囲 

この規格は,次の指針を示す。

a) 

作業員の保護,一般市民の保護又は環境保全のために一つ以上の SIF を用いて機能安全を達成する場

合に適用する。

b) 

資産保護などの安全以外に適用してもよい。

c) 

安全機能要求事項及びそれぞれの SIF の SIL を定義するために実施する代表的な潜在危険及びリスク

評価方法を示す。

d) 

要求する SIL を決定するための技法と対策を示す。

e) 

SIL

を確立するためのフレームワークを提供するが,特定のアプリケーションに要求する SIL には言

及しない。

f) 

リスク軽減の他の方法に関する要求事項を決める例は提示しない。

図 に,リスク軽減方法の概論を示す。

図 2−プロセスプラントに見られる一般的なリスク軽減法(例えば,防護層モデル) 

予防

機械的予防システム

プロセス警報及び運転員修正対応

安全計装制御システム

安全計装予防システム

緩和

機械的緩和システム

安全計装制御システム 
安全計装緩和システム

オペレータ監視

制御及び監視

基本プロセス制御システム

監視システム(プロセス警報)

オペレータ監視

プラント緊急対応

避難手順

地域緊急対応

緊急放送

プロセス

プロセス


5

C 0511-3

:2008 (IEC 61511-3:2003)

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 61511-3:2003

,Functional safety−Safety instrumented systems for the process industry sector−

Part 3: Guidance for the determination of the required safety integrity levels (IDT)

なお,対応の程度を表す記号(IDT)は,ISO/IEC Guide 21 に基づき,一致していることを示す。

1A 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用

規格は,その最新版(追補を含む。

)を適用する。

JIS C 0511-1

  機能安全−プロセス産業分野の安全計装システム−第 1 部:フレームワーク,定義及び

システム・ハードウェア・ソフトウェアの要求事項

注記  対応国際規格:IEC 61511-1:2003,Functional safety−Safety instrumented systems for the process

industry sector

−Part 1: Framework, definitions, system, hardware and software requirements (IDT)

用語及び定義 

この規格で用いる主な用語及び定義は,JIS C 0511-1 による。

リスク及び安全度−一般的指針 

3.1 

概要 

この箇条では,リスクに関する基本的概念及びリスク対安全度の関係についての情報を提供する。この

情報は,ここに示す様々な潜在危険及びリスク評価(H&RA)方法のそれぞれに共通する。

3.2 

必要なリスク軽減 

必要なリスク軽減(定性的又は定量的に表す)とは,特定の危険事象の許容リスク(プロセス安全目標

レベル)を満たすためにリスクを低減することである。必要なリスク軽減の概念は,SIF(特に,安全要求

仕様の安全度要求事項の部分)の安全要求仕様の開発において基本的に重要である。特定の危険事象の許

容リスク(プロセス安全目標レベル)を決定する目的は,危険事象の頻度及びその結果の両方に関して,

何が妥当であるか考えることである。危険事象の頻度及び/又は危険事象の結果が減少するように,防護

層(

図 参照)を設計する。

許容リスクを評価する場合の重要な要素には,危険事象にさらされる要素に関する認識と見識がある。

特定のアプリケーションに対して何が許容リスクを構成しているか判断するには多くの入力情報を考慮す

る必要がある。これらには,次の事項を含む。

−  適切な監督機関からの指針

−  アプリケーションに関与している関係者との議論及び同意

−  業界基準及び指針

−  業界からの助言,専門家の助言及び科学的な助言

−  法的及び規制要件

−  一般的要件及び特定のアプリケーションに直接関連している要件

3.3 SIS

の役割 

SIS

は,プロセスの安全な状態を達成するのに必要な SIF,又はその状態を維持するのに必要な SIF を実

行するので,これによって,許容リスクを満たすために必要なリスク軽減に貢献する。例えば,安全機能

要求仕様では,

“温度が の値に達すると,バルブ y が開き,水を容器に入れる”と規定するかもしれない。


6

C 0511-3

:2008 (IEC 61511-3:2003)

SIS

,又は SIS と他の防護層との組合せによって,必要なリスク軽減を達成することがある。

人は,安全機能の不可欠な部分である場合がある。例えば,人はプロセス状態の情報を受け,この情報

に基づく安全機能を実行できる。人が安全機能の一部である場合には,すべての人的要因を考慮すること

が望ましい。

SIF

は,作動要求モード又は連続モードで運用することができる。

注記 1  必要なリスク軽減を決定する場合に,許容リスクを確立する必要がある。JIS C 0508-5 の附

属書 及び附属書 で引用した例では必要なリスク軽減を明記していないが,定性的な方法

を概説している。 

注記 2  例えば,特定の結果をもたらす危険事象は,1 年当たりの最大発生頻度として,通常,表現

される。

3.4 

安全度 

安全度は,次の二つの要素からなる。

a) 

ハードウェア安全度  危険モードの故障における,ランダムハードウェア故障に関する安全度の一部。

指定したハードウェア SIL の達成は妥当な精度をもつとみなす。したがって,当該要求事項を,共通

原因故障を考慮した故障確率の規則を使用してサブシステム間に割り振ることができる。必要なハー

ドウェア安全度を達成するためには,冗長アーキテクチャを使用することが望ましい。

b) 

決定論的安全度  危険モードの故障における,決定論的原因故障に関する安全度の一部。決定論的故

障という要因を推定することは可能であるが,設計上の欠点及び共通原因故障から得られる故障デー

タは,故障の発生の予期が難しいということを意味する。これは,特定の状況の故障確率計算(例え

ば,SIS の故障確率)における不確かさを増加してしまう。したがって,この不確かさを最小限にす

るために,最も良い技法を選択する判断を行う必要がある。ランダムハードウェア故障の確率を減少

させる対策を取ることが,必ずしも,決定論的故障を軽減させるものではないことに注意する必要が

ある。ランダムハードウェア故障を抑制するのに非常に有効的である,同じハードウェアの冗長化チ

ャネルを使用する手法は,決定論的故障の軽減にはほとんど役に立たない。

SIF

及び他のいかなる防護層によって得られる総合リスク軽減は,次に示すように確実にする必要があ

る。

−  安全機能の故障頻度は,危険事象の頻度が許容リスクを満たすために必要とする範囲を超えることを

防ぐために十分低くなければならない。及び/又は

−  許容リスクを満たすために必要とする範囲に,安全機能の故障の結果を制限する。

図 に,リスク軽減に関する一般的概念を示す。一般的なモデルでは,次を想定する。

−  プロセス及び関連する基本プロセス制御システム(BPCS)が存在する。

−  関連する人的要因の問題がある。

−  安全防護層の特徴は,次からなる。

1) 

機械的防護システム

2)  SIS

3) 

機械的緩和システム

注記  図 は,一般的原理を示すはん(汎)用のリスクモデルを示す。特定のアプリケーションの

リスクモデルは,SIS 及び/又は他の防護層によって必要なリスク軽減を達成するように開

発する必要がある。

図 及び図 で示す様々なリスクは,次のとおりである。


7

C 0511-3

:2008 (IEC 61511-3:2003)

プロセスリスク  プロセスの特定された危険事象,基本プロセス制御システム及び関連する人的要因

問題に存在するリスク。いかなる指定された安全防護機能もこのリスクの決定には考慮されない。

許容リスク(プロセス安全目標レベル)  社会の今の価値に基づいて受容できるリスク。

残存リスク  この規格では,残存リスクは,防護層が追加された後に危険事象が起こるリスクである。

プロセスリスクは,プロセス自体に関連するリスクであるが,プロセス制御システムによって引き起こ

されるリスクの軽減も考慮に入れる。この規格では,基本プロセス制御システムの安全度に対する不合理

な要求を防ぐために,実行可能な要求に制約を加える。

必要なリスク軽減は,許容リスクを満たすために達成されなければならないリスク軽減の最低水準であ

る。それは,リスク軽減手法の一つ又はその組合せで達成することが可能である。プロセスリスクを開始

点とした,指定した許容リスクを達成するための必要なリスク軽減を,

図 に示す。

図 3−リスク軽減:一般的概念 

3.5 

リスク及び安全度 

リスク及び安全度の区別を十分に評価することが重要である。リスクは,指定した危険事象の発生の頻

度及び結果の尺度である。これは,様々な状況で評価することが可能である(プロセスリスク,許容リス

ク及び残存リスク,

図 参照)。許容リスクは,社会的要因及び政治的要因を考慮する必要がある。安全

度は,SIF 及び他の防護層が指定した安全機能を達成する見込みの尺度である。許容リスクを設定すると,

必要なリスク軽減が推定され,SIS の安全度要求を割り当てることができる。

注記  この割当ては,様々な要求事項を満たす設計を最適化するために繰り返して行う場合がある。

安全機能が必要なリスク軽減を達成するときに果たす役割を,

図 及び図 に示す。

残存リスク

許容リスク

プロセス

リスク

必要なリスク軽減

実際のリスク軽減

リスクの増加

他の非 SIS 防止・
緩和による部分的
リスク防護層

全防護層によって達成されるリスク軽減

SIS

によって適用さ

れる部分的リスク

他の防護層によっ
て適用される部分
的リスク


8

C 0511-3

:2008 (IEC 61511-3:2003)

図 4−リスク及び安全度の概念 

3.6 

安全要求の割当て 

SIS

及び他の防護層への安全要求事項(安全機能及び安全度要求)の割当てを,

図 に示す。JIS

C

0511-1

の箇条 に,安全要求割当てフェーズの要求事項を示す。

安全度要求を SIS,他の安全関連の技術システム及び外的リスク軽減施設に割り当てる方法は,主に必

要なリスク軽減が数値方式又は定性的な方法で明らかに指定できる。

これらの手法は,

それぞれ半定量的,

半定性的及び定性的な方法と呼ぶ(

附属書 B参照)。

3.7 

安全度水準 

この規格では,四つの SIL を指定し,安全度水準 4 が最高水準であり,安全度水準 1 が最も低い水準で

ある。

四つの SIL の安全度水準目標機能失敗尺度を,JIS

C

0511-1

表 及び表 に規定する。二つのパラメ

ータを指定し,一つを SIS の運用に作動要求モードで指定し,他の一つを連続モードにおける SIS 運用に

指定する。

注記  作動要求モードにおける SIS の運用に関する安全度尺度は,作動要求時の設計機能遂行にかか

わる平均失敗確率である。また,連続運用モードにおける SIS 運用に関する安全度尺度は,単

位時間当たりの危険側故障の頻度である(JIS

C

0511-1

の 3.2.43 参照)


9

C 0511-3

:2008 (IEC 61511-3:2003)

注記  安全度要求事項は,割当て前の各 SIF に関連する(JIS C 0511-1 の箇条 参照)。

図 5SIS,非 SIS 防止・緩和防護層及び他の防護層への安全要求事項の割当て 

3.8 

必要な安全度水準を決定するための方法の選択 

特定のアプリケーションに必要な SIL を確立する多くの方法がある。

附属書 Bに,使用する多くの

方法に関する情報を示す。特定のアプリケーションに選択された方法は,次のような多くの要因に依存す

る。

−  アプリケーションの複雑さ

−  監督機関からの指針

−  リスクの性質及び必要なリスク軽減

−  仕事を引き受けることができる人の経験と技能

−  リスクに関連したパラメータについての利用可能な情報

使用目的によっては,一つ以上の方法を使用する場合がある。定性的な方法を,すべての SIF の必要な

SIL

を決定するための最初の手段として使用することもある。この方法によって,SIL 3 又は SIL 4 を割当

てる場合は,要求する安全度のより厳格な理解を得るために定量的方法の使用を更に詳細に検討すること

が望ましい。


10

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 A

(参考)

合理的に実行可能な最低の水準(ALARP)及び許容リスクの概念

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

A.1 

総則 

この附属書では,許容リスク及び SIL を決定するときに適用できる一つの特定の原則[合理的に実行可

能な最低の水準:As Low as Reasonably Practicable(ALARP)

]について考察する。ALARP は,SIL の決定

のときに適用できる概念である。本来それは,SIL を決定するための方法ではない。この附属書に示す原

則を適用しようとする場合は,参考文献[1]∼[5]を参考にすることが望ましい。

A.2 ALARP

モデル 

A.2.1 

序論 

3.2

では,産業活動によるリスクを規制する場合に適用する主な基準について概説し,その業務には次の

いずれかの事項の決定を含む。

a) 

当該リスクは,大きすぎて全く拒否される。

b) 

当該リスクは,小さすぎる,又は小さすぎるとみなされる。

c) 

当該リスクは,a)及び b)の中間で,かつ,そのリスク水準を受け入れることによる便益及び更に軽減

する費用を考慮して,実行可能な最低限の水準まで軽減されているか。

c)

に関して,ALARP 原理は,すべてのリスクが,合理的に実行可能な限り,すなわち,ALARP まで軽

減されることを推奨している。あるリスクが二つの境界,すなわち,許容できない領域と広く許容できる

領域との中間に位置していて,ALARP 原理を適用すると,結果として得られるリスクは,指定したアプ

リケーションにおける許容リスクとなる。この手法に従って,あるリスクは,

“許容できない”

“許容でき

る”又は“広く許容できる”の三つの領域の一つに分けられる(

図 A.1 参照)。

ある一定の水準より大きいリスクは,許容できないとみなされる。このようなリスクは,通常のいかな

る状況においても正当化できない。このようなリスクが存在する場合,当該リスクは,許容できる領域,

又は広く許容できる領域に分けられるように軽減しなければならず,すなわち,関連した潜在危険は,除

去しなければならない。

上記の水準の下方で,あるリスクは,それが更なるリスク軽減から得られる便益がそのリスク軽減の達

成に要した費用を下回るまで軽減できるなら,又は,一般に受け入れられる規定がリスク管理に向けて適

用できるなら,

“許容できる”と考えられる。

リスクが大きくなればなるだけ,リスク軽減のための費用はかかると予想される。このように軽減した

リスクは,ALARP まで軽減していると考えられる。

許容リスク領域より下方では,リスクレベルは,重大な影響がないとみなせ,それ以上の改善のための

調整は必要ないとみなせる。この領域のリスクは,我々すべてが日常的に経験するリスクと比較して小さ

いリスクであり,広く受容できるリスク領域である。この広く受容できる領域では,ALARP を実証する

ための詳細な作業は必要としない。しかし,当該リスクがこのレベルにとどまっていることを確実にする


11

C 0511-3

:2008 (IEC 61511-3:2003)

ために引き続き確認する必要がある。

図 A.1−許容リスク及び ALARP 

定性的又は定量的なリスク目標を与える場合に ALARP の概念を用いることができる。A.2.2 では,定量

的リスク目標に対する方法を概説する。

附属書 では,半定量的な方法を概説し,附属書 及び附属書 E

では,ある特定の潜在危険に対する必要なリスク軽減の決定のための定性的な方法を概説する。ここで提

示する各種の方法は,ALARP の概念を意志決定の過程に取り入れることができるかもしれない。

ALARP

原則を使用する場合,確実にすべての仮定が正当化され,文書化されるように配慮することが

望ましい。

A.2.2 

許容リスク目標 

ALARP

原則を適用するために,ある出来事の確率と結果に関して

図 A.1 に示す三つの領域を定義する。

この定義は,関係者間(例えば,安全規制当局,リスクを生成する者及びリスクにさらされる者)の協議

及び合意による。

ALARP

の概念を考慮して,結果と許容頻度は,リスク等級によって整合をとることができる。

表 A.1

に,多くの結果と頻度につき,三つのリスク等級(I,II 及び III)の例を示す。

表 A.2 に,ALARP の概念

を用いた各リスク等級を示す。すなわち,三つの各リスク等級の説明は,

図 A.1 に基づく。これらのリス

ク等級の定義でのリスクとは,

リスク軽減措置をとっても存在するリスクである。

図 A.1 のリスク等級は,

次のとおりである。

−  リスク等級 I は,許容できない領域である。

−  リスク等級 II は,ALARP 領域である。

−  リスク等級 III は,広く許容できる領域である。

それぞれの特定の状況に応じて,また,各産業分野で,社会的,政治的及び経済的な要因を広く考慮し

て,

表 A.1 と同様の表を作成できるであろう。そして,それぞれの結果ごとに,リスク等級化した表で確

率との釣合いを図れるであろう。例えば,

表 A.1 では,年当たり 10 回以上の頻度で起こる事象のことを示


12

C 0511-3

:2008 (IEC 61511-3:2003)

す。また,重大な結果とは,1 人の死亡及び/又は多数の重傷者若しくは重い職業病をまねくような被害

のことを指す。

許容リスクの目標を決定したので,例えば,

附属書 Cに示す方法の一つを使用することで,SIF の

SIL

を決定することが可能である。

表 A.1−災害に関するリスクの分類例 

確率

リスク等級

破局的な結果

重大な結果

軽微な結果

無視できる結果

可能性が高い(Likely) I  I I II

かなり起こる(Probable) I

I  II  II

起こり得る(Possible) I II

II

II

あまり起こらない(Remote) II

II

II

III

起こりそうもない(Improbable)

 II

III

III

III

想定できない(Incredible) II

III

III

III

注記 1  リスク等級 I∼III については,表 A.2 参照。 
注記 2  リスク等級(I,II,III)を記載するこの表の実際の母集団は,適用する分野に依存し,かつ,

“可

能性が高い”又は“かなり起こる”などが実際にどのくらいの確率なのかに依存する。したがっ

て,この表は,今後利用するための仕様とするのではなく,このような表がどのようなものかを
示す一例として見るべきである。

表 A.2−リスク等級の説明 

リスク等級

説明

等級 I

許容できないリスク

等級 II

好ましくないリスク,及びリスク軽減が実際的でない,又はリスク軽減にかかる費用が

得られる改善効果に釣り合わないときにだけ許容できる。

等級 III

無視できるリスク

注記  リスク等級と安全度水準(SIL)とに関係はない。SIL は,特定の SIF に関連しているリスク削減

によって決定される。

附属書 B参照。


13

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 B

(参考) 
半定量法

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

B.1 

総則 

この附属書では,半定量的アプローチがとられたときに SIL をどのようにして決定するかを概説する。

半定量的アプローチは,許容リスクを数値で示すことができる場合に,特に有用である(例えば,ある特

定の被害は,100 年に 1 回よりも高い頻度では起きるべきでない。

この附属書は,当該手法についての限定的な説明を行うのではなく,一般的な原則を示すことを目的と

する。これは,参考文献[6]で更に詳細に説明する方法に基づく。

注記  “100 年に 1 回”の意味は,厳密には,“100 プロセス・年に 1 回”の意味で,100 のプロセス

を 1 年間運用したとき,被害が一つのプロセスで発生するという意味である。1 プロセスに限

定すれば,1 年間に 0.011 回の確率で発生することを意味する。

B.2 

JIS C 0511-1

への準拠 

この附属書の全体的な目的は,必要な SIF を特定し,その SIL を確立する手順について概説することに

ある。準拠しなければならない基本的なステップは,次のとおりである。

a) 

プロセスの安全目標(許容リスク)を確立する(ステップ 1)

b) 

既存のリスクを評価するために,潜在危険及びリスク評価を実行する(ステップ 2)

c) 

必要な安全機能を特定する(ステップ 3)

d) 

安全機能を防護層に割り当てる(ステップ 4)

注記  防護層は,互いに独立している。

e) 

SIF

が必要であるかどうか決定する(ステップ 5)

f) 

SIF

の必要な SIL を決定する(ステップ 6)

ステップ 1 でプロセスの安全目標を確立する。ステップ 2 では,プロセスのリスク分析に重点を置き,

ステップ 3 でリスク分析にどんな安全機能が必要であるか,かつ,安全目標を満たすためにどんなリスク

軽減が安全機能に必要とされるかを説明する。ステップ 4 でこれらの安全機能を防護層に割り当てた後,

SIF

が必要であるかどうか(ステップ 5)

,更に,どんな SIL が SIF を満たすのに必要とされるかが(ステ

ップ 6)明確となる。

この附属書では,JIS

C

0511

規格群の目的を満たすために半定量的リスク評価の手法を提示する。簡単

な例を使って手法を説明する。

B.3 

半定量法の例 

揮発性の可燃性液体を扱う圧力容器をもつプロセスの計装について考える(

図 B.1 参照)。プロセスの制

御は,基本プロセス制御システム(BPCS)で,レベル伝送器(LT)からの信号を監視し,バルブの操作

を制御することによって行う。利用可能なエンジニアリングシステムは,a)  材料の流入を止めるために高


14

C 0511-3

:2008 (IEC 61511-3:2003)

圧アラーム(PAH)を発動しオペレータに適切な行動を促す独立した圧力伝送器,及び,b)  オペレータが

反応しなかった場合,高い容器圧に関連する潜在危険を扱う非計装化防護層(PL)で構成する。防護層か

らの排出は,余剰ガス燃焼システムへガスを排出するノックアウトタンクに配管される。余剰ガス燃焼シ

ステムは,適切な条件の下で,設計,設置及び適切に運用されていることが,この例では想定される。し

たがって,余剰ガス燃焼システムの潜在的な故障は,この例では考えない。

注記  工学的システム(engineered system)では,他の自動防護層及びオペレータを含むプロセス要求

に反応するために利用可能なすべてのシステムを示す。

PL

:付加的な緩和防護層(すなわち,ダイク,圧力放出,立入禁止区域,貯蔵タンク)

PAH

:高圧アラーム

LT

:レベル伝送器

LCV

:レベル制御バルブ

BPCS

:基本プロセス制御システム

図 B.1−既存安全システムをもつ圧力容器 

B.3.1 

プロセス安全目標レベル 

産業リスクを適切に管理する基本的な要件は,ある好ましいプロセス安全目標レベル(許容リスク)を

簡潔で明確に定義することである。これは,各国の(又は国際的な)規格(又は規制)

,会社の方針,及び

良いエンジニアリングの経験をもつ団体(地方行政,保険会社など)からの入力を使用することで定義で

きる場合がある。プロセス安全目標レベルは,プロセス会社(又は産業)向けに特化される。したがって,

既存の規制及び規格が一般化に対応しない限り,プロセス安全目標レベルは一般化することは望ましくな

い。この例では,環境への放出の予期できる影響を考慮し,平均放出率を年当たり 10

4

以下として,プ

ロセス安全目標が設定されたと仮定する。

B.3.2 

潜在危険分析 

起こるかもしれない潜在危険,潜在的なプロセス偏差及びその原因,利用可能な工学的システム,起因

事象並びに潜在的危険事象(事故)を特定する潜在危険分析を,プロセスのために実行することが望まし

い。これは,次に示す定性的技法を使用することによって達成できる。

−  安全内容の確認

−  チェックリスト


15

C 0511-3

:2008 (IEC 61511-3:2003)

− what-if 分析

− HAZOP 分析

−  故障モードと効果分析

−  原因と結果分析

広く適用される手法の一つは,潜在危険及び操作性分析(HAZOP 分析)である。この HAZOP 分析は,

プロセスプラントにおける潜在危険及び設計の生産性を達成する能力を損なう潜在危険ではない実施性に

関する問題を特定し,評価する。

第二のステップとして,HAZOP 分析を,

図 B.1 を例に行う。HAZOP 分析の目的は,物質を環境に放出

する可能性のある危険事象を評価することである。HAZOP 分析結果を説明するために,要約したリスト

表 B.1 に示す。

HAZOP

分析結果により,超過圧力状態が可燃物を環境へ放出する可能性があることを発見した。これ

は利用可能な工学的システムの反応による危険事象シナリオにつながる可能性のある起因事象である。プ

ロセスのために完全な HAZOP 分析を行った場合,環境への放出をもたらす可能性のある他の起因事象は,

プロセス装置からの可燃物の漏出,配管穴の破裂及び火災などの外部事象を含むことがある。この説明例

として,超過圧力状態が検討される。

表 B.1HAZOP 分析結果 

項目

逸脱

原因

結果

安全装置

処置

ハイレベル BPCS の故障

高圧

オペレータ

高圧

1)

ハイレベル

2)

外部での火災

環 境 へ の 可 燃

物の放出

1)

アラーム

オペレータ 
防護層

2)

散水設備

環 境 へ 放 出 す

る 状 態 を 評 価
する

低い/ノーフロー BPCS の故障

重 要 な 結 果 で
はない

容器

逆流

重 要 な 結 果 で
はない

B.3.3 

半定量的リスク分析手法 

潜在的なプロセスの事故又は潜在的危険事象に関連するリスクを特定し,半定量的なリスク分析によっ

て,プロセスリスクを算定する。許容できるレベルまでプロセスリスクを軽減するために必要な安全機能

及び関連 SIL を特定するために,これらの結果を使用できる。半定量的手法を使用するプロセスリスクの

評価は,次の主要なステップに分類できる。最初の 4 ステップまでは,HAZOP 分析によって行う。

a) 

プロセスの潜在危険を特定する(ステップ 1)

b) 

安全層の構成要素を特定する(ステップ 2)

注記 1  安全層は,プロセスを保護するために利用可能なすべての安全システムを含み,かつ,SIS,

他の技術,外部のリスク軽減施設及びオペレータ応答の安全関連システムを含む。

注記 2  ステップ 2 は,例のような既存のプロセスに適用する。

c) 

起因事象を明確にする(ステップ 3)

d) 

あらゆる起因事象から推測できる潜在危険事象シナリオを作成する(ステップ 4)

e) 

過去のデータ又はモデリング手法[故障の木(フォールトツリー)解析,マルコフ  モデル]を使用し


16

C 0511-3

:2008 (IEC 61511-3:2003)

て,起因事象の発生頻度及び既存の安全システムの信頼性を確認する(ステップ 5)

f) 

重要な潜在危険事象の発生頻度を定量化する(ステップ 6)

g) 

すべての重要な潜在危険事象の結果を評価する(ステップ 7)

h) 

結果(事故の結果及び頻度)をそれぞれの潜在危険事象に関連したリスクに統合する。

重要な結果を,次に示す(ステップ 8)

−  プロセスに関連した潜在危険及びリスクのより良い理解,かつ,更なる詳細な理解

−  プロセスリスクに関する知識

−  当該する全リスク軽減への既存の安全システムの寄与

−  プロセスリスクを受容できるレベルまで軽減するのに必要な各安全機能の識別

−  算定プロセスリスクと目標リスクとの比較

半定量的技法は,資源集中型であるが,定性的アプローチにない利点を提供する。この技法は,潜在危

険を特定するために専門的技術に依存するところが大きく,他の技術にある既存の安全システムを扱うイ

クスプリシット(explicit)法を提供し,結果をもたらす  すべての作業を文書化するフレームワークを使

用し,ライフサイクル管理のシステムを提供する。

説明例において,一つの起因事象(圧力過度状態)が,物質を環境に放出する可能性を“HAZOP 分析”

によって特定した。この箇条で使用する手法は,生じる潜在危険事象の頻度の定量的評価と結果の定性的

評価との組合せであることに注意することが望ましい。この手法は,潜在危険事象及び SIF を特定するた

めの系統的手順を説明するために使用される。

B.3.4 

既存のプロセスのリスク分析 

次のステップは,起因事象発生の一因となる要素を特定することである。

図 B.2 に,容器内の超過圧状

態の発生の一因となる事象を特定する簡単な“故障の木”を示す。トップ事象(top event)である圧力過度状

態は,基本プロセス制御システム(BPCS)の故障,又は外部での火災を引き起こす原因となる(

表 B.1 

照)

。故障の木によって,プロセスにおける BPCS の故障の影響が明確になる。このとき BPCS は,安全機

能を果たせない。しかし,その故障は,運用する SIS におけるデマンドの増加につながる。したがって,

信頼性のある BPCS は,運用する SIS におけるデマンド発生は,少なくなるであろう。故障の木で定量化

することによって,この例では,超過圧力状態の頻度が 1 年間でほぼ 10

1

程度になると推定できる。


17

C 0511-3

:2008 (IEC 61511-3:2003)

図 B.2−容器内超過圧力のための故障の木 

起因事象の発生頻度を確立できると,異常状態に対応する安全システムの正常又は故障状態を事象の木

分析を使ってモデル化できる。安全システムの性能のための信頼性データは,フィールドデータ及び公開

データベースから獲得するか,又は信頼性モデル化技法を使用することで予測できる。この例では信頼性

データを想定したが,公開及び/又は予測できるシステム性能を表すものではない。

図 B.2 では,超過圧

力状態を前提とした作成可能な潜在的放出のシナリオを示している。事故のモデル化の結果は,次のとお

りである。a)それぞれの事故シーケンスの発生頻度,及び b)可燃物の放出による定性的な結果。

図 B.3 

は,5 件の危険事象が特定され,それぞれ潜在的放出による結果及び発生頻度を示している。放出がない

シナリオ 1 は,プロセスの設計条件である。更に,シナリオ 2 及びシナリオ 4 は,物質を余剰ガス燃焼シ

ステムに放出するので,これらもプロセスの設計条件である。残りのシナリオ,すなわち,シナリオ 3 及

びシナリオ 5 は,発生頻度が年当たり,ほぼ 9×10

4

∼1×10

3

程度で,可燃性液体を環境に放出する可能

性がある。

注記  図 B.3 の各事象は,独立していると推定される。その上,示すデータは,近似値である。した

がって,すべての事故の頻度の合計は,起因事象の頻度(0.1 回,年当たり)に近づく。

この分析では,高圧アラームの共通原因故障の可能性及び BPCS レベル検出器の故障は考慮していない

ことに注意することが望ましい。このような共通原因故障は,アラームシステムの要求に応じて,故障確

率の著しい増加につながり,したがって総合的なリスクにつながる(参考文献[7]を参照)


18

C 0511-3

:2008 (IEC 61511-3:2003)

図 B.3−既存安全システムの場合の危険事象 

B.3.5 

安全目標レベルを満たさない事象 

すでに記述したように,プラント特有のガイドラインによって,安全目標レベルが次のように確立され

る。発生頻度が年当たり 10

4

より大きいような物質の環境への放出はない。

図 B.3 における危険事象の発

生頻度及び結果データを前提として,シナリオ 3 及びシナリオ 5 が安全目標レベル以下とするためにリス

ク軽減が必要となる。

B.3.6 

他の防護層を使ったリスク軽減 

SIS

で実行する SIF の必要性を確立する前に,他の技術を使った防護層を検討することが望ましい。当

該手順の説明では,完全に独立した追加防護層を既存の安全システムを補強するために導入すると仮定す

る。

図 B.4 に,新しい防護層でのプロセスを示す。事象の木解析を,すべての潜在的危険事象を明示する

ために使用する。

図 B.4 によって,同じ超過圧力状態のとき,7 件の放出事故が起こる可能性があること

が理解できる。

図 B.4 のモデル化された危険事象の発生頻度の試験では,シナリオ 4 及びシナリオ 7 が物質を環境に放

出し,安全目標値(10

4

以下)を超えているので容器の安全目標レベルが満たされていないことを示して

いる。事実,環境への総放出頻度数は,年当たり 1.9×10

4

である。ここで,外部のリスク軽減施設を使

用する可能性について評価することが望ましい。しかし,安全目標が物質の環境への放出によるリスクを

最小限にすることであると考えれば,ダイク(堤防)のような外部リスク軽減施設が実行可能な代替リス

ク軽減手段とはならないことが推測できる。したがって,他のどんな非 SIS 防護も安全目標レベルを満た

すことができないので,

SIS

で実行する SIF を超過圧力の防止及び可燃物放出の防止のために必要とする。


19

C 0511-3

:2008 (IEC 61511-3:2003)

図 B.4−冗長防護層のある危険事象 

B.3.7 SIF

を使ったリスク軽減 

他の技術の防護層又は外部のリスク軽減施設を使用しても,当該安全目標は達成できない。

図 B.4 にお

いて,環境への総放出頻度(シナリオ 4 及びシナリオ 7 の頻度の合計)は,年当たり 1.9×10

4

である。

総合的な大気への放出頻度を軽減するために,SIS で実行する新しい SIL 2 の SIF が安全目標レベルを満た

すために必要とされる。この新しい SIF を,

図 B.5 に示す。現段階で SIF に関する詳細設計を行う必要は

ない。一般的な SIF 設計概念で十分である。この段階での目標は,SIL 2 の SIF が必要なリスク軽減を行い,

安全目標レベルの達成が可能であるかを明確にすることである。SIF の詳細設計は,安全目標レベルを達

成した後に行うことになる。例えば,この新しい SIF は,信号を論理処理部へ送る 1oo2 構成において,二

重の安全専用圧力検出端を使用することが可能である。当該論理処理部の出力は,一つの追加遮断弁を制

御している。

注記  1oo2 とは,圧力検出端のどちらかの一つがプロセス遮断する信号を送ることができることを意

味する。

この新しい SIL 2 の SIF は,超過圧力が原因となる圧力容器からの放出の頻度を最小限にするために使

用する。

図 B.5 では,新しい安全層を提示し,すべての潜在的事故シナリオを示す。この図から,この容

器からの放出の頻度は,年当たり 10

4

以下に軽減することができ,また,SIF が SIL 2 の要件と一致して

いると評価できる場合,安全目標レベルを満たすことができる。環境への総放出頻度(シナリオ 4 及びシ

ナリオ 7 の頻度の合計)は,年当たり 10

4

の安全目標より少ない年当たり 1.9×10

5

に減少している。

この故障の木解析では,高圧アラームの共通原因故障の可能性及び SIL 2 の SIF を考慮していないこと

に注意することが望ましい。また,これらの防護的な装置の両方と BPCS レベル検出器の故障には,共通

原因故障の可能性がある場合もある。

このような共通原因故障は,防護機能の要求によって失敗確率の著しい増加へとつながり,かつ,総合

的なリスクはかなりの増加へとつながる(参考文献[7]参照)


20

C 0511-3

:2008 (IEC 61511-3:2003)

図 B.5SIL 2 の SIS による安全機能をもつ場合の危険事象 


21

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 C 
(参考)

安全層マトリクス手法

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

C.1 

序論 

各プロセス内でのリスク軽減は,プロセス設計の最も基本的な要素(プロセス自体の選択,サイトの選

択,危険在庫品及びプラントレイアウトに関する決定など)から始めることが望ましい。有害化学物質の

最小在庫の維持,配管の施工及び反応化学物質の不注意な混合を物理的に防ぐ熱交換器,最大可能プロセ

ス圧力に耐えられる厚壁容器の選択,及びプロセス化学物質の分解温度を超えない最高温度の加熱媒体を

選ぶことが,運用リスクを軽減するすべてのプロセス設計の指針となる。プロセス設計及び運用パラメー

タの厳選によるリスク軽減への重点的な取組は,安全なプロセス設計において重要な措置である。また,

潜在危険を除去する方法を更に探求すること及び本質的に安全な設計施策をプロセス開発業務に適用する

ことが推奨される。残念ながら,この設計理念が最大限に適用された後でさえ,潜在的な危険は,まだ存

在していることがあり,追加防護対策を適用することが望ましい。

プロセス産業において,プロセスを保護するために複数の防護層を,

図 C.1 に示すように適用する。こ

の図では,それぞれの防護層は,プロセスリスクを制御及び/又は緩和する他の防護層と連携して機能す

る機器及び/又は管理手段から成り立っている。

図 C.1−防護層 


22

C 0511-3

:2008 (IEC 61511-3:2003)

防護層は,次の三つの基本概念に依存している。

a) 

一つの防護層は,プロセスリスクを制御又は緩和する他の防護層と連携して機能する機器及び/又は

管理手段のグループから成り立っている。

b) 

防護層(PL)は,次の基準を満たしている。

−  少なくとも 10 倍に特定されたリスクを軽減する。

−  次の重要な特性をもつ。

−  特異性−PL は,1 件の潜在的危険事象の結果を防止又は緩和するように設計されている。複数の

原因が同じ危険事象を引き起こすことがある。したがって,複数の事象シナリオが PL によって

開始される場合がある。

−  他のいかなる要求された PL との共通原因故障又は共通モード故障を引き起こす可能性がないこ

とが実証される場合,ある PL は他の防護層から独立している。

−  信頼性−PL は,その設計に際し,ランダム故障及び決定論的原因故障を取り組むことによって,

それがなすように設計されたことを実行すると期待してよい。

−  監査能力−PL は,防護機能の定期的な妥当性確認を容易にするように設計される。

c) 

SIF

の保護層は,この附属書における SIS の定義を満たす防護層である(安全層のマトリクスが作成

されると,SIS は使用される。

参考文献[8]∼[11]を参照。

プロセス安全目標 

産業リスク管理の基本的な要件は,好ましいプロセス安全目標を簡潔で明確に定義することである。こ

れは,日本工業規格,国際規格,国及び国際規制,会社の方針,並びに良いエンジニアリングの経験をも

った共同体,地方管轄及び保険会社などの関係者からの入力を使用することで定義できることがある。プ

ロセス安全目標レベルは,プロセス,会社又は産業に特定される。したがって,既存の規制及び規格が一

般化を推し進めない限り,プロセス安全目標レベルは一般化するべきではない。

C.2 

潜在危険分析 

起こるかもしれない潜在危険,潜在的なプロセス偏差及びその原因,利用可能な工学的システム,起因

事象並びに潜在的危険事象を特定する潜在危険分析は,プロセスのために実行することが望ましい。これ

は,定性的技法を使用することによって達成できる。

−  安全内容の確認

−  チェックリスト

− what-if 分析

− HAZOP 分析

−  故障モードと効果分析

−  原因と結果分析

広く適用される手法の一つは,潜在危険及び操作性分析(HAZOP 分析)である。この潜在危険及び操

作性分析(又は HAZOP 分析)は,プロセスプラントにおける潜在危険,及び設計の生産性を達成する能

力を損なうが危険ではない操作性に関する問題を特定し,評価する。

その手法は新しい設計及び適用を評価するために開発されたが,既存の運用にとっても,その手法は,

非常に効果的である。その手法には,プロセスの設計,運用及び保全について詳細な知識及び理解が必要

である。一般に,経験豊富なチームリーダーは,プロセス設計を通して適切な一連のガイドワードを使っ


23

C 0511-3

:2008 (IEC 61511-3:2003)

て系統的に分析チームを指導する。ガイドワードは,プロセスにおける特定の位置又はスタディノードで

適用され,更に意図した運用からの潜在的逸脱を識別する特定のプロセスパラメータと組み合わされる。

また,チェックリスト又はプロセスについての経験から,当該チームは分析で考えられる逸脱の必要なリ

ストを作成する。更に,当該チームは,プロセスの逸脱の考えられる原因,そのような逸脱の結果及び必

要な手順並びに技術的システムに関して合意する。原因及び結果が重要であり,安全装置が不十分である

場合,当該チームは,追加安全対策又は管理に配慮するためのフォローアップを行うことが望ましい。

特定のプロセスに対するプロセスの経験及び HAZOP 研究成果を,ある会社に存在する同様なプロセス

に適用するために,しばしば,一般化することが可能である。そのような一般化が可能な場合,安全層の

マトリクス手法の展開は,限りある資源で実現可能である。

C.3 

リスク分析手法 

HAZOP

分析の実行後に,

プロセスに関連したリスクを定性的技法又は定量的技法を使って評価できる。

これらの技法は,潜在的危険事象を特定し,その確からしさ,結果,及び影響を評価するため,プラント

要員の専門的知識,他の潜在危険,及びリスク分析専門家に依存する。

プロセスリスクを評価するために定性的アプローチを使用することができる。

そのようなアプローチは,

危険事象がどのように発生するかについての追跡を可能にし,また,発生の確からしさ(発生のおおよそ

の範囲)及び厳しさを推定することができる。

既存の PL の影響を考慮することなく,危険事象発生の確からしさをいかに予測できるか,その代表的

な手引きを

表 C.1 に示す。当該データは,一般的であり,プラント又はプロセス特有のデータを利用でき

ない場合に使用する。しかし,独自のデータが利用可能な場合,危険事象の発生の確からしさを確立する

ためにそれらを使用することが望ましい。

同様に,

 C.2 に,危険事象の影響の厳しさを相対的な評価のための過酷度(severity rating)に変換す

る一つの方法を示す。さらに,これら過酷度を,指針として提供する。危険事象の影響の厳しさ及びその

格付けは,プラント特有の専門的知識及び経験に基づいて決まる。

表 C.1−危険事象の確からしさの頻度(PL を考慮に入れない) 

確からしさ

危険事象の種類

定性的順位

各種の計器若しくはバルブの複数の故障などの事象,ストレスのない環境での複

数の人的過誤,又はプロセス容器類の自然故障。

二重化計器若しくはバルブの故障,ローディング若しくは荷下ろし場所での主要

な開放などの事象。

プロセスの漏れ,単一計器,バルブの故障,危険性物質のわずかな開放をもたら

す人為ミスなどの事象。

注記  制御機能の失敗する頻度が年当たり 10

1

を超えない要求が行われる場合,当該システムはこの規

格に従うことが望ましい。

表 C.2−危険事象の影響の過酷度を評価する基準 

過酷度

影響

設備の大規模損害。長時間にわたるプロセスの停止。要員及び環境への壊滅的な結果。

機器に対する損害。プロセスの短期間の停止。人員及び環境への重大な危害。

設備の小規模な損害。プロセスは停止しない。人員への一時的な損傷及び環境への被害。


24

C 0511-3

:2008 (IEC 61511-3:2003)

C.4 

安全層マトリクス 

リスクマトリクスは危険事象の発生する確からしさと,それが影響を及ぼす過酷度を組み合わせること

によってリスク評価のために使用される。同様のアプローチは SIS 防護層に関連付けることができる潜在

的なリスク軽減を特定するマトリクスを作成するために使用できる。そのようなリスクマトリクスを

C.2

に示す。言い換えれば,マトリクスは,特定の会社の運用経験及びリスク基準,会社の設計,運用及

び防護に関する考え方並びに会社がその安全目標レベルとして確立した安全水準に基づいている。

a)

このリスク水準では,一つの SIL 3 の SIF では,十分なリスク軽減を提供しない。リスクを軽減する

ために更に改良が必要である。

b)

このリスク水準では,一つの SIL 3 の SIF では,十分なリスク軽減を提供しない可能性がある。さら
に,見直しが必要である[d)  参照]

c)

独立した SIS 防護層は,多くの場合必要ではない。

d)

この手法は,SIL 4 に適するとは考えられない。

図 C.2−安全層マトリクスの例 

PL

の総数−分類されている SIS を含むプロセスを防護するすべての PL の数。

危険事象発生の確からしさ−機能している PL が全くないとき,危険事象が発生する確からしさ。

危険事象の過酷度−危険事象に関連する影響。指針については,

表 C.2 参照。

C.5 

基本手順 

a) 

プロセス安全目標レベルを確立する。

b) 

潜在危険の同定(例えば,HAZOP 分析)を実行して,関心のあるすべての危険事象を特定する。

c) 

危険事象のシナリオを明確にし,会社独自の指針及びデータを使って危険事象が発生する確からしさ

を推定する。


25

C 0511-3

:2008 (IEC 61511-3:2003)

d) 

会社独自の指針を使って危険事象の過酷度を確立する。

e) 

既存の PL を明確にする。推定した危険事象が発生する確からしさは,PL ごとに 10 倍に軽減される

ことが望ましい。

f) 

残存リスクを安全目標レベルと比較することによって,追加 SIS 防護層の必要性を明確にする。

g) 

図 C.2 から SIL を特定する。

注記  ユーザは,防護層間の可能な依存レベルを評価し,いかなるそのような発生も最小にしようと

試みることが望ましい。


26

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 D 
(参考)

必要な安全度水準の決定−

半定性的方法:基準化リスクグラフ

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

D.1 

序論 

この附属書は,JIS C 0508-5[13]の D.4 に示すリスクグラフの実施に関する一般的な考えに基づく。この

附属書は,プロセス産業の必要性に,より一層適するように構成されている。

この附属書は,SIF の SIL を決定するために校正したリスクグラフ方法を示す。これは,SIF の SIL をプ

ロセスに関連しているリスク要素及び基本プロセス制御システムに関する知識によって決定できる半定性

的方法である。

この手法では,SIS が故障した場合,又は利用不可能になった場合,危険状態の性質を多数のパラメー

タの組合せで示す。一つのパラメータをそれぞれ四つのセットから選び,選択したパラメータを,SIF に

割り当てる SIL を決めるために組み合わせる。これらのパラメータは,次の条件をもつ。

−  リスクの等級付け評価を可能とする。

−  重要なリスク評価要素を示す。

また,結果が深刻な環境破壊又は資産損失を含む場合,リスク軽減の必要性を決定するために,リスク

グラフ手法を使用する。この附属書の目的は,上記の問題に関する指針を提供することにある。

この附属書は,人的危険に対する防護から開始する。この附属書は,JIS C 0508-5 

図 D.1 の一般的な

リスクグラフをプロセス産業に適用したものである。最終的に,リスクグラフを環境保護及び資産保護に

適用する。

D.2 

リスクグラフの形成 

リスクは,危害が発生する可能性とその危害の厳しさとの組合せとして定義される(JIS C 0511-1 の箇

条 参照)

。プロセスの分野では,リスクは,通常,次の四つのパラメータの関数である。

−  危険状態の結果(C)

−  占有期間(危険にさらされる領域が占める確率)

(F)

−  危険状態回避の可能性(P)

−  作動要求率(考えられている SIF がないときに,危険状態が発生すると思われる年間回数)

(W)

各パラメータの説明を

表 D.1 に示す。

リスクグラフを連続モードで動作する安全機能の SIL の決定に使用する場合,リスクグラフで使用する

パラメータを変更する必要がある。パラメータは,関与するアプリケーション特性に最もよく関連するリ

スク要素を表すことが望ましい。リスクを許容レベルまで確実に軽減するために何らかの調整が必要とな

るかもしれないので,SIL をパラメータ決定の結果に対応させるための検討が必要である。一例として,

パラメータ W は,システムが運用している間,システムの寿命の割合として再定義される。したがって,

潜在危険が連続して存在しない場合,W

1

(年間 0.1 回未満の作動要求)が選択され,更に,故障が危険に


27

C 0511-3

:2008 (IEC 61511-3:2003)

つながる年間の期間は短くなる。この例では,また,かかわる決定基準及び許容リスクを確実にするため

に見直される SIL に対して,他のパラメータを考慮する必要がある。

表 D.1−プロセス産業のためのリスクグラフパラメータの記述 

リスクパラメータ

記述

結果 

C

危険事象の発生の結果生じそうな死亡者数及び/又は重傷者数。領域が危

険事象に対するぜい(脆)弱性を配慮し存在するとき,危険にさらされる
領域の数を計算することによって決まる。

占有期間 

F

危険にさらされる領域が危険事象の発生時に占める可能性。領域が危険事

象の発生時に占める一瞬の時間を計算することによって決まる。危険事象
への強化を行うに当たって,存在する異常状態を調べるために人が危険に
さらされる領域にいる確からしさの可能性を考察することが望ましい(ま

た,このことによって,パラメータ C を変えるかどうかも検討する。

危険状態回避の可

能性 

P

SIF

が要求によって失敗した場合,存在する危険状態を人が回避することが

できる可能性。これは,危険が生じる前に危険に対してさらされている人
に警告を出す独立した方法が存在するか,及び避難する手段があるかに依
存する。

作動要求率 

W

考慮中である SIF がない場合に生じる危険事象の年間の回数。これは,危
険事象に通じる可能性があるすべての故障を考察することによって,及び

危険事象の発生のすべての割合を算定することによって決定できる。他の
防護層は,検討事項に含めることが望ましい。

D.3 

校正 

校正プロセスの目的は,次のとおりである。

a)  SIL

評価チームが適用の特性に基づいた客観的判断をするのを可能とする方法で,すべてのパラメー

タを記述する。

b) 

適用のために選択された SIL が企業リスク基準に従っていること,及び他のソースからのリスクを確

実に考慮する。

c) 

パラメータ選択プロセスを確実に検証する。

リスクグラフの校正は,リスクグラフパラメータに数値を割り当てるプロセスである。これは,プロセ

スリスクの評価の基礎を成し,SIF の必要な保全度を決定する。組合せで適用する値域をそれぞれのパラ

メータに割り当て,安全特有の機能がないときに存在するリスクを等級付けで評価する。したがって,SIF

に置かれる信頼度の尺度を決定する。リスクグラフは,リスクパラメータの特定の組合せを SIL に関連付

ける。リスクパラメータと SIL との組合せの関係は,特定の潜在危険に関連している許容リスクを考察す

ることによって確立される。

リスクグラフの校正を考えるとき,所有者の予測及び監督機関の要件から生じるリスクに関する要件を

考察することは重要である。生命に対する様々なリスクは,次の二つの見出しで考察できる。

個々のリスク  最も危険にさらされている個人の年当たりのリスクで定義する。

社会的なリスク  最も危険にさらされている個人のグループの年間の総リスクで定義する。

要求事項は,通常,社会的なリスクを少なくとも許容される最大値まで軽減することであり,かつ,こ

れ以上のリスク軽減が更なるリスク軽減などの費用と不釣合いになるまで軽減することである。

指定最大値まで個々のリスクを軽減する必要がある場合,このすべてのリスク軽減を単一の SIS に割り

当てられるとは限らない。危険にさらされている人は,他の根源(例えば,落下,火災及び爆発リスク)


28

C 0511-3

:2008 (IEC 61511-3:2003)

から発生する様々なリスクを受けることがある。

必要なリスク軽減の範囲を考えるとき,組織には,災害を回避する増分費用に関連する基準が存在する

かもしれない。これは,付加的リスク軽減によるより高い SIL に関連する追加のハードウェア及びエンジ

ニアリングの年間費用を分割することによって計算できる。災害を回避する増分費用があらかじめ決めら

れた費用以下である場合,追加的 SIL は,正当化される。

社会的リスクに広く使用される基準は,死亡者数 N  の確からしさ に基づく。許容できる社会的リス

クの基準は,死亡者数と事故の頻度とを対数でプロットした並び(線)又は複数の線となる。社会的リス

クの指針に違反していないということは,すべての事故に対する累積度数と事故結果(すなわち,F-

線)とをプロットし,許容リスク曲線と交わってないことで確実に検証できる。

上記の問題は,それぞれのパラメータ値を指定する前に検討する必要がある。ある範囲がパラメータの

大部分に割り当てられる(例えば,特定プロセスの予想作動要求率が年当たり 10 の要求指定範囲にある場

合,結果として,W

3

が使用される。

。同様に,10 より低い要求範囲では,W

2

を適用し,更に低い要求範

囲では,W

1

を適用する。指定範囲を各パラメータに与えることが,当該チームが特定のアプリケーション

にどのパラメータ値を選択すべきか決定するために役立つ。リスクグラフを校正することによって,各値

又は各値の範囲が各パラメータに割り当てられる。次いで,それぞれのパラメータの組合せに関連したリ

スクが個々のリスク及び社会的リスクに関して評価される。その結果,確立したリスク基準(許容リスク

又はそれ以下)を満たすために必要なリスク軽減が確立される。この方法を使って,それぞれのパラメー

タの組合せに関連した SIL が決定できる。特定のアプリケーションに対する SIL を決定するたびに,この

校正業務を行う必要はない。通常,類似の潜在危険に対して,組織が作業を着手するときにだけ必要であ

る。校正がある特定のプロジェクトに無効であると判断される場合,最初に推定を行うときに,調整が必

要になることがある。

パラメータの割当てを行うときに,各値がどのように生成されたかについての情報は,利用可能にして

おくことが望ましい。

この校正プロセスを,安全に責任を負う組織内の上層部で合意することが重要である。下した決定によ

って,総合的な安全が実現されることを明確にする。

一般に,リスクグラフによって要求元と SIS 間で独立した故障の発生を予測することは困難である。し

たがって,SIS の有効性の過大評価につながる場合がある。

D.4 SIL

評価に取り組むチームの会員と組織 

一個人が,すべての関連パラメータ決定に必要なあらゆる技能及び経験をもっているとは思えない。通

常,SIL を決定するために特別なチームを設立しチーム的なアプローチを適用する。チームのメンバーに

は,以下を含めることがよい。

−  プロセスの専門家

−  プロセス制御技術者

−  運用管理者

−  安全に関する専門家

−  検討中のプロセス運用に関して実務経験のある人

当該チームは,通常,それぞれの SIF を順番に考察する。当該チームは,プロセスに関する包括的な情

報及びリスクにさらされそうな人数を知る必要がある。


29

C 0511-3

:2008 (IEC 61511-3:2003)

D.5 SIL

決定結果の文書化 

SIL

を決めるときに取られたすべての決定事項は,構成管理に従って文書に記録することが重要である。

チームが安全機能に関連する特定のパラメータを選択した理由を文書化することで明確になるはずである。

各安全機能の SIL の決定の理由及びその結果を記録する文書は,

関連書類としてまとめることが望ましい。

安全機能を実行する多くのシステムを単一の運用チームが担当する場合,校正結果(calibration assumptions)

の妥当性を見直す必要があるかもしれない。また,関係書類には,次の追加情報を含めることが望ましい。

−  すべてのパラメータの範囲の記述とともに使用するリスクグラフ

−  使用するすべての文書の図面及び改定番号

−  パラメータの評価に使用した人員の推定値,及びあらゆる結果研究の参考事項

−  作動要求につながる故障の参考事項,及び作動要求率決定に使用したあらゆる故障波及モデル

−  作動要求率決定に使用したデータの参考事項

D.6 

典型的な基準に基づく校正例 

パラメータごとにパラメータ記述及び範囲を示す

表 D.2 は,上記のような化学プロセスの典型的な指定

基準を満たすために作成された。どんなプロジェクトの状況の中でもこの表を使用する前に,この表が安

全責任を負う人の要求を満たしていることを確認することが重要である。

ぜい(脆)弱性の概念を,結果パラメータを変更するために,導入する。これが多くの例で使用されて

いるのは,故障が即座に死者を引き起こす原因とはならないためである。対象によって投与された量が死

者を引き起こすほど大きくない場合があるので,受容体のぜい(脆)弱性は,リスク分析を行う上で考慮

すべき重要な事項である。ある結果への受容体のぜい(脆)弱性は,人がさらされる潜在危険の集積

(concentration)及び危険にさらされる期間の関数である。この例は,故障によって機器の設計圧力を超え

る場合であるが,圧力は機器試験圧力より高く上昇しないであろう。通常,起こり得る結果は,フランジ

ガスケットからの漏出に限定される。そのような場合,漏出が拡大する速度は遅いことが多く,通常,作

業員は,被害から逃れることができるであろう。液体製品の主要な漏出の場合でさえ,被害拡大の時間が

十分遅く,作業員が潜在危険を避けることができる。もちろん,故障によって配管又は容器の破裂を引き

起こす場合は,作業員のぜい(脆)弱性が高くなる。

危険事象への強化を行うに当たって,その兆候の調査結果として,危険事象の近くで増加する人々の数

に考慮が払われるべきである。最悪の場合を想定することが望ましい。

同じ要素に二度の評価が行われないように,ぜい(脆)弱性(V)と危険事象の回避の可能性(P)の違

いを認識することが重要である。危険が発生した後,ぜい(脆)弱性は,被害拡大の速度に関する尺度で

あり,一方 P パラメータは,危険防止に関する尺度である。パラメータ PA は,オペレータが SIS の故障

を認識した後に,

オペレータの行動によって危険を防ぐことができる場合にだけ使用することが望ましい。

占有パラメータをどう選択するかに関して幾つかの制限が課せられる。要求事項は,すべての人を通じ

ての平均値でなく,最も危険にさらされている人に基づく係数を選択することである。この理由は,最も

危険にさらされている個人のリスクが,リスクにさらされるすべての人を平均化してしまったリスクにな

らないようにすることである。

パラメータが指定範囲のいずれにも含まれない場合,他の方法でリスク軽減要件を決定するか,又は上

記の方法を使って,リスクグラフ(

図 D.1)を再調整することが必要である。


30

C 0511-3

:2008 (IEC 61511-3:2003)

図 D.1−リスクグラフ:一般的スキーム 


31

C 0511-3

:2008 (IEC 61511-3:2003)

表 D.2−一般的なリスクグラフの校正例 

リスクパラメータ

等級化

説明

結果 (C)

死亡者数 
死亡者数は,危険にさらされる領域が特定さ
れた危険に対するぜい(脆)弱性によって占

拠され,かつ,増加している場合,存在する
人の数を決定することによって計算が可能
である。

ぜい(脆)弱性は,防止する危険の性質で決
まる。次の要素が使用される。

V

=0.01  少量の可燃性又は毒性の物質の放

V

=0.1  大量の可燃性又は毒性物質の放出

V

=0.5  上記のほか,更に,引火又は毒性物

質放出の高い可能性

V

=1  破裂又は爆発

C

A

C

B

C

C

C

D

軽い障害

範囲 0.01∼0.1 
範囲  >0.1∼1.0 
範囲  >1.0

1

  この等級化を,人の負傷及び

死亡を扱うために開発した。

2

  C

A

,C

B

,C

C

,及び C

D

の解釈

では,事故及び正常復帰の結果

を考慮しなければならない。

占有期間(危険領域にさらされる時間)(F)

これは,通常の就業期間中に占める危険にさ
らされる領域の時間の長さを決定すること
によって計算される。 
注記 1  危険領域での時間が勤務形態によ

って異なる場合,最高値を選択する
べきである。

注記 2  作動要求率がランダムであり,危険

にさらされる期間が通常より長い
場合に関連してない場合,F

A

だけを

使用することが適切である。後者
は,通常,作動要求が機器の立ち上
げ時に,又は異常を調べるときに必

要とされる場合である。

F

A

F

B

まれに,又は比較的頻繁に

危険領域にさらされる。 
占有率 0.1 未満

潜在危険領域に頻繁に又
は常にさらされる。

3

  上記の説明 1 参照。

防護システムが作動しない場合の危険事象

回避の可能性(P)

P

A

P

B

説明 4 のすべての条件が

満たされる場合,適用す
る。

すべての条件が満たされ
ない場合,適用する。

4

− SIS の故障をオペレータに警
告する施設がある。 
−  危険を回避できるように停

止させる,又はすべての人を安
全な領域に逃すことが可能な独
立した施設がある。

−  オペレータに警告し,危険事
象が発生するまでの時間が,1
時間を超えているか,又は必要

な行動をとるのに十分である。


32

C 0511-3

:2008 (IEC 61511-3:2003)

表 D.2−一般的なリスクグラフの校正例(続き) 

リスクパラメータ

等級化

説明

作動要求率(W)

SIF

がない状態で,危険事象が起こり得る年

当たりの回数。 
作動要求率を測定するには,一件の危険事象

に通じるすべての故障原因を考えることが
必要である。作動要求率を決定するときに,
制御システムの性能及び介入に限られた評

価が可能となる。制御システムが JIS C 0511
規格群に従って設計されていなく,かつ,保
全されていない場合に要求することができ

る性能は,SIL 1 に関連する性能の範囲以下
に制限される。

W

1

W

2

W

3

年間 0.1 未満の作動要求率

年間 0.1 と 1 との間の作動
要求率

年間 1 と 10 との間の作動
要求率

年間 10 より高い作動要求
率では,より高い安全度を

必要とする。

5  W

の要素の目的は,SIS の追

加がない状態で,起こる潜在危
険 の頻度 を推 定する ことであ
る。

作動要求率が非常に高い場合,

SIL

は別の方法,又は再調整さ

れたリスクグラフによって決定

する必要がある。リスクグラフ
手法は,連続モードで運用する
場合,最良の方法ではないかも

しれないことに注意すべきであ
る(JIS C 0511-13.2.43.2 参照)

6

  C は,校正係数であり,その

値は,リスクグラフが危険にさ
らされている人及び企業の基準
に対する他のリスクを考慮し,

許容できる残存リスクのレベル
に成果をもたらすように決定す
ることが望ましい。

注記  これは,リスクグラフの設計の原則を適用する説明の例である。特定用途及び特定潜在危険のためのリスク

グラフには,許容リスクを考慮し,関係者の同意を得る必要がある(D.1D.6 参照)

D.7 

結果が環境に悪影響を及ぼす場合のリスクグラフの使用 

リスクグラフ手法は,また,故障の結果が深刻な環境損失を生じる場合の SIL 要件を決めるために使用

される。必要な SIL は,放出された物質の特性及び環境の影響度に左右される。

表 D.3 に,環境への影響

の例を示す。それぞれのプロセスプラントでは,地方自治体に通知する義務がある特定物質の量が規定さ

れている場合がある。多くのプロジェクトでは,指定場所で何が受入可能であるかを決める必要がある。

表 D.3−一般的な環境への影響の例 

リスクパラメータ

等級化

環境への影響の例

C

A

それほど厳しくはないが,工場経営者
に報告するのに十分な量の軽い損害を

もたらす放出。

フランジ又はバルブからのあまり多くない漏出。 
小規模な液体の流出。

地下水に影響しない小規模な土壌汚染。

C

B

重大な損害を伴うフェンス内での放
出。

フランジガスケットの破損又はコンプレッサーシ
ールの故障に伴う,装置を超えて移動する立ち込め

る蒸気。

C

C

重大な永続的結果に至ることなく,即

座に一掃できる重大な損害を伴うフェ
ンス外での放出。

植物類又は動物群に一時的な損害をもたらす液体

の流出の有無にかかわらず,蒸気又はエアゾールの
放出。

結果

(C)

C

D

即座に一掃することが不可能,又は永

続的結果をもたらす重大な損害を伴う
フェンス外での放出。

川又は海への液体の流出。

植物類又は動物群に永久的損害をもたらす液体の
流出の有無にかかわらず,蒸気又はエアゾールの放
出。

固体の副産物[粉じん(塵)

,触媒,すす,灰]

地下水に影響する可能性のある液体の放出。


33

C 0511-3

:2008 (IEC 61511-3:2003)

表 D.3 は,リスクグラフを環境における損失に適用した図 D.2 と組み合わせて使用できる。危険領域に

さらされる期間(占有,オキュパンシー)の概念が適用できないので,F パラメータがこのリスクグラフ

で使用されないことに注意することが望ましい。他のパラメータ P 及び W は適用でき,上記で安全の結果

に適用した内容と同一であると定義できる。

図 D.2−リスクグラフ:環境における損失 

D.8 

結果が資産の損失となる場合のリスクグラフの使用 

リスクグラフ手法は,故障結果が資産の損失につながる場合の SIL 要求事項の決定にも使用されること

がある。資産の損失は,要求に応じて機能しないことに関連する総合的な経済損失である。それには,損

傷が発生した場合の再建費用,損失した製品又は繰延生産の費用などが含まれる。損失結果を正当化する

SIL

は,通常の費用便益分析で計算できる。リスクグラフ手法を安全及び環境への影響に関連する SIL の

決定に使用する場合,資産の損失のためのリスクグラフの使用は有益である。結果パラメータ C

A

から C

D

までを資産の損失と関連する SIL の決定に使用する場合には,定義をする必要がある。これらのパラメー

タは,一つの会社から別の会社までの広い範囲において異なることがある。

環境保護に使用するリスクグラフと同様のリスクグラフを資産損失のために使用できる。占有(危険に

さらされる)期間の概念が適用されない場合,F パラメータは使用するべきでないことに注意が必要であ

る。他のパラメータ P 及び W は,上記で安全の結果に適用した内容と同一である。

D.9 

故障の結果が 種類以上の損失を伴う場合の計器防護機能の安全度水準の決定 

多くの場合,要求に応じて作用する故障結果は,1 種類以上の損失を伴う。安全度要求事項が各種類の

損失に関連する場合には分けて決定するべきである。それぞれ別のリスクを特定するには,異なる方法を

使用してよい。当該機能が要求によって失敗する場合,その機能に指定した SIL には,すべてのリスクの

累計を考慮することが望ましい。


34

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 E

(参考)

必要な安全度水準の決定−定性的方法:リスクグラフ

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

E.1 

総則 

この附属書は,DIN V 19250[12]で詳細に説明している方法に基づく。

この附属書は,SIF の SIL を決定するリスクグラフ手法を記述する。

リスクグラフ手法は,プロセス及び基本プロセス制御システムに関連したリスク要素の知見から SIF の

SIL

を決定する定性的な方法である。

この手法では,SIS が故障又は有効でないときの危険状態を多くのパラメータの組合せで記述する。こ

れらのパラメータは,

−  リスクの等級化した評価を可能とするもので,かつ,

−  重要なリスク評価要素を示す。

リスクグラフ手法は,結果が重大な環境破壊又は資産損失を含む場合,リスク軽減の必要性を決定する

ために使用できる。

この附属書は,長年にわたって使用され,また,ドイツのプロセス産業及び機械産業分野で受け入れら

れているプロセス産業及び機械分野に関する上記の方法(DIN V 19250 及び VDI/VDE 2180 に記述されて

いる。

)を示す。TUV(ドイツの認定試験機関)及びドイツ規制当局は,上記方法の適用を受け入れる。

リスクグラフは,安全関連システムの SIL を決定するために使用される。このグラフと SIL との関連を,

図 E.1 及び図 E.2 に示す。

E.2 

計装機能の代表的な実現 

安全関連業務と,プロセス制御の手段を使ったプラントの安全防護対策における運用上の要求事項とは

明らかに区別される。したがって,プロセス制御システムを次のように分類する。

−  基本プロセス制御システム

−  プロセス監視システム

− SIS

分類の目的は,経済的に妥当な費用でプラントの総合的な必要条件を満たす各種のシステムに適切な要

件を与えることである。この分類によって,計画,組立て及び運用並びにプロセス制御システムの部分改

修について,その内容を明確にすることができる。

基本プロセス制御システムは,プラントの適切な運転のために,その正常な運用範囲内で使用される。

これには,すべての関連プロセス変量の測定,制御及び/又は記録を含む。基本プロセス制御システムは,

連続運用され,SIS の対応が必要とされるまでは高い頻度で作動及び介在が要求される(BPCS システムは,

通常,この規格に従って導入する必要はない。

プロセス監視システムは,一つ以上のプロセス変量が正常な運用領域外になると指定された運用内容で

動作する。プロセス監視システムは,プロセスの許容できる範囲内の故障状態を運用員に警告するか手動


35

C 0511-3

:2008 (IEC 61511-3:2003)

介入を促す(プロセス監視システムは,通常,この規格に従って導入する必要はない。

SIS

は,プロセスプラント(

“防護システム”

)の危険な故障状態を防止するか,又は危険事象の結果を

減少させる。

SIS

が全くなければ,人員の負傷をもたらす危険事象はあり得る。

基本プロセス制御システムの機能と比較して,通常 SIS の機能は,作動要求率が低い。これは,主とし

て危険事象の可能性が低いためである。さらに,SIS の作動要求率を軽減させる連続運用中の BPCS 及び

プロセス監視システムが,通常,存在するためである。

E.3 

リスクグラフの形成 

リスクグラフは,リスクが危険事象の結果と頻度に比例するという原則に基づいている。それは,BPCS

及び監視システムのような代表的な非 SIS が適所に設置されていても,SIS が全く存在しないことを想定

することから始まる。

結果は,健康及び安全にかかわる危害,又は環境破壊から生じる危害にも関係する。

危険事象の頻度は,次の組合せである。

−  危険領域にいる頻度及び潜在的に危険にさらされる時間

−  危険事象回避の可能性,及び

− SIS が適所に設置されていないときに危険事象が発生する確率(しかし,他のすべての外的リスク軽

減施設は,運用している。

。これを望ましくない事象の発生確率と呼ぶ。

次の四つのリスクパラメータを生成する。

−  危険事象による結果(C)

−  暴露時間を相乗した危険領域にいる頻度(F)

−  危険事象による結果を回避する可能性(P)

−  望ましくない事象発生の確率(W)

リスクグラフを連続モードで作動する安全機能の SIL の決定に使用する場合,リスクグラフで使用する

パラメータを変える必要がある。パラメータは,関連するアプリケーション特性に最もよく合致したリス

ク要素を表すことが望ましい。リスクを許容レベルまで軽減することを確実にするために調整が必要とな

るので,SIL をパラメータ決定の結果に対応付け(mapping)することを考慮する必要がある。一例として,

システムが作動している間は,システムの寿命の割合として,パラメータ W を再定義することができる。

したがって,潜在危険が連続的に存在していなく,故障が潜在危険に至る年間の期間が短い場合に W

1

選択される。この例では,他のパラメータは,関連する判断基準のため,及び許容リスクを確実にするた

めに見直した SIL の結果のために検討する必要がある。

E.4 

リスクグラフの実施:人の保護 

上記のリスクパラメータの組合せによって,

図 E.1 に示すリスクグラフができる。

より高いパラメータ指標は,より高いリスク(C

1

<C

2

<C

3

<C

4

,F

1

<F

2

,P

1

<P

2

,W

1

<W

2

<W

3

)を示す。

図 E.1 に示すパラメータの説明を表 E.1 に示す。リスクグラフは,必要な SIL を決める各安全機能に分け

て使用される。

SIS

によって回避するリスクを決定するときは,考慮中の SIS がない状態のリスクを想定する必要があ

る。この見直しにおける要点は,効果の種類及び程度並びにプロセスプラントの危険状態の予想頻度であ

る。


36

C 0511-3

:2008 (IEC 61511-3:2003)

リスクは,DIN V 19250 で詳述する方法を使って体系的及び検証可能な形で決定でき,確立したパラメ

ータでそれぞれ要件を決定できる。一般に,要件に関する等級の序数が高ければ高いほど,SIS によって

処理される部分リスクが高くなる。したがって,一般的に,要件及び対策は,より厳しくなる。

プロセス産業において,要件の等級 AK7 及び AK8 は,SIS 単独では扱わない。非プロセス制御によっ

て,少なくとも要件の等級 AK6 までリスクを軽減する必要がある。

これらの要件の等級に対する適切な対策について,個々の要件を策定するのは実用的でないので,

VDI/VDE 2180

に従って,二つの領域に分割される。

領域Ⅰ:  処理される低いリスク(SIL 1 及び SIL 2)

領域Ⅱ:  処理される高いリスク(SIL 3)

図 E.1 は,DIN V 19250 に従った要件の等級とリスク領域間の関係を示している。

図 E.1DIN V 19250  リスクグラフ−人の保護(表 E.1 参照) 


37

C 0511-3

:2008 (IEC 61511-3:2003)

表 E.1−リスクグラフに関するデータ(図 E.1 参照) 

リスクパラメータ

等級化

説明

C

1

人への軽い傷害。

C

2

1

人以上の重大な永久的傷

害。

1

名の死亡。

C

3

数名の死亡。

結果(C)

C

4

壊滅的な影響,非常に多数
の死亡。

1

  この等級化法は,人の負傷と死亡を扱うため

に開発された。環境又は資産損害のためには,他
の等級化法を開発する必要がある。

F

1

まれに,又は比較的頻繁に
危険領域にさらされる。

暴露時間を相乗した
危険領域にいる頻度
(F)

F

2

潜在危険領域に頻繁に又は

常にさらされる。

2

  上記,説明 1 参照。

P

1

ある条件下で可能。

危険事象による結果

を回避する可能性

(P)

P

2

ほとんど回避不可能。

3

  このパラメータでは,次のことを考慮する。

−  プロセス運用(監視されているか,すなわち,

熟練者又は非熟練者によって運用されてい
るか,又は監視されていないか。

−  危険事象の進展速度(例えば,進行が突発か,

速いか,ゆっくりか。

−  危険の認識の容易性(例えば,技術的手法又

は技術的手法を伴わないで検出した異常を
即座に見ることができるか。

−  危険事象からの回避性(例えば,待避路があ

るか,ないか,又はある状態下であるか。

−  実際の安全に対する経験度(同一のプロセス

又は同様のプロセスでの経験の有無)

W

1

望ましくない事象が起きる
可能性は極めて低く,まれ

にしか起きない。

W

2

望ましくない事象が起きる

可能性はわずか,ほとんど
ない。

望ましくない事象発
生の確率(W)

W

3

望ましくない事象が起きる

可能性は比較的高く,繰り
返して起きる。

4

  W の要素の目的は,SIS(E/E/PE 又は他の技術

による。)は何もないが,外的リスク軽減施設を

含む状態で,望ましくない事象が起こる頻度を推
定することである。


38

C 0511-3

:2008 (IEC 61511-3:2003)

図 E.2JIS C 0511 規格群,DIN 19250 及び VDI/VDE 2180 間の関係 

E.5 

リスクグラフの適用で考えられる当該の問題 

リスクグラフ手法を適用するとき,所有者及びあらゆる適切な監督機関からのリスク要件を考慮するこ

とは重要である。

各リスクグラフの分岐内容の解釈及び評価は,リスクグラフ手法の適用の一貫性を確実にするために明

確に,かつ,理解できる言い方で記述及び文書化することが望ましい。

リスクグラフを,安全の責任を負う組織内の上層部で合意することが重要である。


39

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 F

(参考)

防護層解析(LOPA)

序文 

この附属書は,本体の規定を補足するものであって,規定の一部ではない。 

F.1 

序論 

この附属書は,防護層解析(LOPA)と呼ばれるプロセス危険分析ツールについて示す。この手法は,

潜在危険・運転性解析手法(HAZOP 分析)において分析したデータから始め,初期要因及び,潜在危険

を回避する又は緩和する防護層を文書化することによって,それぞれの特定潜在危険を明らかにする。続

いて総合的なリスク軽減量を決定し,更なるリスク軽減の必要性を分析する。追加リスク軽減策を必要と

し,それを SIF の形で提供できる場合,LOPA 手法は,SIF に対する適切な安全度水準(SIL)を決定でき

る。

この附属書は,その手法を明確に説明することを目的とするのではなく,一般的原則を例示することを

目的とする。この附属書は,参考文献[8]に詳細に示した方法に基づいている。

F.2 

防護層解析 

JIS C 0511-1

で定義する安全ライフサイクルでは,SIF を設計するための SIL を決定する必要がある。こ

こで示す LOPA は,SIF の SIL を決定するために他分野から集まったチームが既存プラントに適用可能な

手法である。そのチームは,次のように構成されることが望ましい。

−  考慮中のプロセス運用に経験のあるオペレータ

−  プロセスの専門的知識をもつ技術者

−  生産管理者

−  プロセス制御技術者

−  考慮中のプロセスに経験のある計器・電気保全要員

−  リスク分析の専門家

チームの 1 人が LOPA 方法論の教育・訓練をされることが望ましい。

LOPA

に必要な情報には,潜在危険及び操作性分析(HAZOP 分析)において収集及び生成されたデータ

が含まれる。

表 F.1 は,防護層解析(LOPA)に必要なデータと HAZOP 分析したデータとの関係を示す。

図 F.1 は,LOPA に使用できる代表的な集計表を示す。

LOPA

は,

SIF

が必要な場合,

それぞれの SIF にとって必要な SIL を決定するために潜在危険を分析する。

F.3

F.13 に分析の手順を示す。

F.3 

影響事象(impact event 

図 F.1 を使い,HAZOP 分析によって決定する各影響事象の記述(結果)を記入欄 1 に記入する。

F.4 

厳しさレベル 

次に厳しさレベル,小[Minor, (M)]

,中[Serious, (S)]

,又は高[Extensive, (E)]を

表 F.2 に従って選び,


40

C 0511-3

:2008 (IEC 61511-3:2003)

図 F.1 の記入欄 2 に記入する。

表 F.1HAZOP 分析によって LOPA 用に生成したデータ 

LOPA

が必要とする情報 HAZOP

分析結果による情報

影響事象(Impact event)

結果(C)

厳しさレベル

結果の厳しさ

初期要因(Initiating cause)

要因(Cause)

初期要因の確からしさ(Initiating likelihood)

要因の頻度(Cause frequency)

防護層

既存の防護対策

必要な追加緩和策

推奨される新しい防護対策

注記  厳しさレベル  E=高,S=中,M=小 

確からしさの値は,年当たりの事象数であり,他の数値は,要求時の平均故障確率である。

図 F.1−防護層解析(LOPA)レポート 

表 F.2−影響事象の厳しさレベル 

厳しさレベル

結果

小[Minor (M)]

是正処置がとられない場合,結果が広範囲に及ぶ潜在性危険事象のあ

るローカルエリアに最初に限定される影響。

中[Serious (S)]

影響事象が現場又は現場から離れた場所で深刻な傷害又は死亡事故

を引き起こすことがある場合。

高[Extensive (E)]

中レベルの影響事象より 5 倍以上厳しい影響事象。

F.5 

初期要因(Initiating cause 

影響事象の初期要因のすべてを

図 F.1 の記入欄 3 に記入する。影響事象には多くの初期要因があること

があり,それらのすべてを記載することが重要である。


41

C 0511-3

:2008 (IEC 61511-3:2003)

F.6 

初期要因の確からしさ(Initiation likelihood 

1

年当たりに,生じる回数を初期要因の確からしさの値として,

図 F.1 の記入欄 4 に記入する。表 F.3 

影響事象の初期要因ごとに,代表的な初期要因の確からしさを示す。チームの経験が初期要因の確からし

さを決めるために非常に重要である。

表 F.3−初期要因の確からしさ 

確からしさ

内容

発生頻度(f )

プラントの耐用年数以内で発生する非常に低い確率の故障又は一連の故障 
例  −  3 台以上の計器で同時に発生する故障又は人為ミスによる故障

−  単一のタンク又はプロセス容器の自然故障

f

<10

4

 /

プラントの耐用年数以内で発生する低い確率の故障又は一連の故障 
例  −  二重構造の計器又はバルブの故障

−  計器故障とオペレータエラーの組合せ

−  小規模なプロセスライン又は取付部品の単一の故障

10

4

f<10

2

 /

プラントの耐用年数以内で発生する当然予期できる故障 
例  −  プロセスからの漏れ

−  単一の計器又はバルブの故障 
−  物質の放出をもたらす人為ミス

10

2

f /年

F.7 

防護層 

図 に,プロセス産業で一般的に見られる複数の防護層(PL)を示す。それぞれの防護層は,機器のグ

ループ及び/又は他の防護層と連携して機能する管理制御部から構成される。高い信頼性をもって機能を

実行する防護層は,独立防護層(IPL)としての資格がある(F.9 参照)

初期要因が起こるときに生じる影響事象の確からしさを軽減するプロセス設計を

図 F.1 の記入欄 5 の最

初に記入する。この例は,ジャケット管又は容器の場合である。一次管又は容器の安全度が損なわれる場

合,ジャケットがプロセス物質の放出を防止するであろう。

図 F.1 の記入欄 5 の次の項目は,基本プロセス制御システム(BPCS)に関連する。初期要因発生時に

BPCS

の制御ループが影響を受けるのを防止する場合,PFD

avg

(作動要求に対する機能失敗平均確率)に基

づく評価を要求する。

図 F.1 の記入欄 5 の最後の項目では,オペレータに警告し,かつ,オペレータの介

入を要求するアラームを記入する。代表的な防護層の PFD

avg

値を

表 F.4 に示す。

表 F.4−代表的な防護層(防止及び緩和)及び PFD

avg

 

防護層 PFD

avg

制御ループ 1.0×10

1

ヒューマン・パフォーマンス(教育・訓練を受けた,
ストレスがない)

1.0

×10

2

∼1.0×10

4

ヒューマン・パフォーマンス(ストレスがある) 0.5∼1.0

アラームに対するオペレータの応答 1.0×10

1

最大内部及び外部圧力以上の容器圧力定格 10

4

以上,容器安全度が維持される場合(すなわち,腐食

性が満たされ,点検及び保全が予定どおり行われる場合)

F.8 

追加緩和策 

緩和層は,通常,機械的又は構造的なもの,又は手順に基づく。次に緩和層の例を示す。


42

C 0511-3

:2008 (IEC 61511-3:2003)

−  圧力放出装置

−  障壁(堤防)

−  アクセスの制限

緩和層は,影響事象の厳しさを軽減するが,その発生を防止しない。次に例を示す。

−  火災又は蒸気放出に対する散水設備

−  発煙アラーム(fume alarm)

−  避難手順

当該 LOPA チームは,すべての緩和層に対する適切な PFD

avg

を決定し,

図 F.1 の記入欄 6 にそれらを記

入することが望ましい。

F.9 

独立防護層(IPL 

IPL

の基準を満たす防護層を,

図 F.1 の記入欄 7 に記入する。

防護層(PL)を IPL とみなす基準を,次に示す。

−  提供される防護は,特定リスクを大きく,すなわち,最小 100 倍まで軽減させる。

−  高度の有用性(0.9 以上)を防護機能に提供する。

−  次の重要な特性をもつ。

a)  IPL

は,一つの潜在的危険事象(例えば,暴走反応,有毒物質の放出,格納物質損失,火災など)

の結果だけを防ぐ又は緩和するように設計されている。複数の要因が同じ危険事象に通じることが

あり,したがって,複数の事象シナリオが一つの IPL の機能を開始する場合がある。

b) 

独立性:IPL は,特定される危険に関連している他の防護層から独立している。

c) 

信頼性:IPL は,設計どおりに動作するとみなしてよい。偶発故障モード及び決定論的原因故障モ

ードは,設計時に考慮される。

d) 

監査能力:IPL は,防護機能の定期的な妥当性確認を容易にするように設計されている。安全シス

テムのプルーフテスト及び保全が必要である。

有用性,特異性,独立性,信頼性及び監査能力の試験を満たす防護層だけが独立防護層とみなされる。

F.10 

中間的事象発生の確からしさ 

中間的事象発生の確からしさは,初期要因の確からしさ(

図 F.1 の記入欄 4)に防護層及び緩和層(図

F.1

の記入欄 5,記入欄 6 及び記入欄 7)の PFD を乗じることによって計算できる。計算結果は,1 年当た

りの事象の単位であり,

図 F.1 の記入欄 8 に記入する。

中間的事象発生の確からしさが,この厳しさレベルの当該事象に関する基準以下である場合,追加 PL

は必要としない。しかし,経済的に適切である場合,一層のリスク軽減を適用することが望ましい。

中間的事象発生の確からしさが,

重大性の事象についての基準を超える場合,

追加緩和策が必要である。

安全な方法及び解決策は,本質的に,SIS のような追加防護層を適用する前に考察することが望ましい。

本来,安全設計の変更が可能な場合,

図 F.1 を更新し,中間的事象発生の確からしさが,基準以下になる

ように再計算される。

中間的事象発生の確からしさがリスク基準以下に軽減できない場合,SIS が必要となる。

F.11 SIF

安全度水準 

新しい SIF が必要な場合,必要な SIL は,この厳しさレベルの企業基準を中間的事象発生の確からしさ


43

C 0511-3

:2008 (IEC 61511-3:2003)

で除して計算できる。この計算された数以下の SIF の PFD

avg

を SIS の最大値として選択し,記入欄 9 に記

入する。

F.12 

緩和された事象発生の確からしさ 

緩和された事象発生の確からしさは,記入欄 8 及び記入欄 9 を乗じ,その結果を記入欄 10 に記入するこ

とによって計算する。この事項は,当該チームがそれぞれの影響事象を特定し,それについての緩和され

た事象発生の確からしさを計算する。

F.13 

総合リスク 

最後の段階は,同じ潜在危険を示す重大で広範囲に及ぶ影響事象に対する緩和された事象発生の確から

しさを合計することである。例えば,火災を引き起こすすべての重大で広範囲に及ぶ事象に対する緩和さ

れた事象発生の確からしさは,次の式による。

−  火災による死亡者のリスク=a×b×c×d

a

:すべての可燃物放出に対して緩和された事象発生の確からしさ

b

:発火の可能性

c

:その領域にいる人の確率

d

:火災において致命的な負傷の確率

毒物の排出を引き起こす重大で広範囲に及ぶ影響事象は,次の式による。

−  毒物の排出による死亡者のリスク=a×b×c

a

:すべての毒物の排出に対して緩和された事象発生の確からしさ

b

:その領域にいる人の確率

c

:排出において致命的な負傷の確率

リスク分析専門家の専門的知識及び当該チームの知識によって,式の要素をプラント,影響を受ける地

域社会の状況及び業務の慣例に適応させることが重要である。

このプロセスから地域社会までの総合リスクは,その式の結果を総計することによって決定できる。

この総合リスクが被災者のための企業基準以下の場合,防護層解析(LOPA)は,完了である。しかし

ながら,被災者は,他の既存設備又は新しいプロジェクトからリスクを受けることがあるので,経済的に

達成できるなら,追加緩和策及びリスク軽減を提供することが望ましい。

F.14 

 

次の事項は,HAZOP 分析で特定された一つの影響事象についての LOPA 手法の例である。

F.14.1 

影響事象及び厳しさレベル 

HAZOP

分析によって,バッチ重合反応器での逸脱として高圧力を特定した。ステンレススチール反応

器は,束ねた強化プラスチックファイバ及びステンレスコンデンサと直列に接続されている。強化プラス

チックファイバの破裂によって,発火源があれば火災を引き起こす可能性となる可燃性蒸気を放出するで

あろう。これによる影響事象が現場で深刻な傷害又は死亡者を引き起こす場合があるので,

表 F.2 を使用

して厳しさレベルとして中が,当該 LOPA チームによって選択される。影響事象及びその厳しさをそれぞ

図 F.1 の記入欄 1 及び記入欄 2 に記入する。

F.14.2 

初期要因 

HAZOP

分析によって,高圧に対する二つの初期要因が記入する。コンデンサからの冷却水の漏失及び


44

C 0511-3

:2008 (IEC 61511-3:2003)

反応器蒸気制御ループ(reactor steam control loop)における故障の二つの初期要因を

図 F.1 の記入欄 3 に記

入する。

F.14.3 

初期要因の確からしさ 

プラントの運用では,この領域において 15 年間で 1 回,冷却水の損失の経験をしたことがある。当該チ

ームは,控えめの見積もりとして,10 年に 1 回の冷却水の損失を選択する。1 年当たり 0.1 回の事象を

F.1

の記入欄 4 に記入する。他の初期要因(反応器蒸気制御ループの故障)に取り組む前に,結果に至る

までずっとこの初期要因を保持していることが望ましい。

F.14.4 

防護層の設計 

プロセス領域は,防爆に従って設計され,その領域でプロセス安全管理計画は有効である。その計画の

一つの要素には,その領域における電気機器の交換の変更手順がある。当該 LOPA チームは,存在する発

火源のリスクが変更手順によって 10 倍に軽減されることを算出している。したがって,

図 F.1 のプロセス

設計の下で,0.1 の値を記入欄 5 に記入する。

F.14.5 BPCS 

反応器内の高圧は,反応器内の高温を伴う。BPCS には,反応器内の温度に基づき反応器ジャケットへ

のスチームの流れを調節する制御ループがある。反応器温度が設定温度を超えると,BPCS は反応器ジャ

ケットへのスチームの流れを止める。蒸気を止めることで十分に高圧を防げるので,BPCS は防護層であ

る。BPCS は,高信頼度の DCS であり,生産担当者は,温度制御ループが無効になる故障を 1 回も経験し

たことがない。当該 LOPA チームは,0.1 の PFD

avg

が適切であると決め,

図 F.1 の BPCS の下の記入欄 5

に 0.1 を記入する(BPCS にとって 0.1 は許容最小値である。

F.14.6 

アラーム 

コンデンサへ冷却水を供給する伝送器があり,その伝送器は,温度制御ループとは異なった BPCS の入

力及び制御機器へ接続される。コンデンサへの冷却水の流れがわずかになると,警報を発し,オペレータ

が蒸気を止める。この警報システムは,温度制御ループと異なった BPCS 制御機器にあることから防護層

とみなされる。当該 LOPA チームは,オペレータがいつも制御室にいるため,0.1 PFD

avg

が適切であるこ

とに同意し,

図 F.1 のアラームに関する記入欄 5 に 0.1 を記入する。

F.14.7 

追加緩和策 

プロセス運転時に操業場所に近づくことは制限される。保全作業は,機器が停止している間及びロック

アウト時にだけ実行される。プロセス安全管理計画では,当該領域に立ち入るすべての非運転要員は署名

を行い,プロセスオペレータに通知されなければならない。強制的に制限される出入手続きによって,当

該 LOPA チームは,その領域での要員のリスクを 10 倍に軽減できると見積もる。したがって,

図 F.1 の追

加緩和策及びリスク軽減の下で,0.1 を記入欄 6 に記入する。

F.14.8 

独立防護層(IPL 

反応器には,冷却水損失による過度の温度及び圧力の上昇によって生じるガスを検出するために適切な

大きさの安全弁が装備されている。材質の種類及び組成を考慮した後,リスク軽減に関して安全弁の貢献

が評価された。安全弁がガラス繊維製コラムの設計圧力以下で設定され,かつ,運用期間中安全弁からコ

ラムを隔離する可能性のある人的ミスは考えられないので,安全弁は保護層であると考えられる。安全弁

は,年に一度取り外され,検査される。そして,15 年間の運用では,安全弁又は接続配管の詰まりは,一

度も観測されたことがない。安全弁は,IPL の基準を満たすので,0.01 の PFD

avg

が割り当てられ,

図 F.1

の記入欄 7 に記入する。

F.14.9 

中間的事象発生の確からしさ 


45

C 0511-3

:2008 (IEC 61511-3:2003)

図 F.1 の行 1 の記入欄は,1∼7 を乗じ,その積を,図 F.1 の中間的事象発生の確からしさの下の記入欄

8

に記入する。この例で得られた積は 10

7

である。

F.14.10 SIS 

防護層で得られた緩和及びリスク軽減策が企業基準を満たすために十分であるが,圧力伝送器が容器の

上にあり,かつ,BPCS で警報を発するので,追加緩和策が最小費用で得られる。当該 LOPA チームでは,

反応器ジャケットの蒸気供給ラインのブロックバルブに接続した電磁弁をオフにする電流スイッチ及びリ

レーで構成する SIF を追加することを決めている。この SIF は,PFD

avg

が 10

2

で,SIL 1 のより低い範囲

に設計されている。

図 F.1 の SIF 安全度水準の下,10

2

を記入欄 9 に記入する。

緩和された事象発生の確からしさは,記入欄 8 の値に記入欄 9 の値を乗じた結果 1×10

9

図 F.1 の記

入欄 10 に記入する。

F.14.11 

次の SIF 

当該 LOPA チームは,現在,第二の初期要因(反応器蒸気制御ループの故障)を考えている。

表 F.3 は,

制御バルブの故障発生の確からしさを決定するために使用される,また,

図 F.1 の初期要因の確からしさ

の下で,0.1 を記入欄 4 に記入する。

蒸気制御ループの故障が発生した場合,プロセス設計,アラーム機能,追加緩和策及び SIS から得られ

た防護層は,まだ,存在している。失った唯一の防護層は,BPCS である。当該 LOPA チームは,中間的

事象発生の確からしさ 1×10

6

及び緩和された事象発生の確からしさ 1×10

8

を計算する。

これらの値を,

それぞれ

図 F.1 の記入欄 8 及び記入欄 10 に記入する。

当該 LOPA チームは,HAZOP 分析で特定したすべての逸脱に取り組むまで,この分析を継続するであ

ろう。

最後のステップでは,同じ潜在危険を提示する重大で広範囲に及ぶ事象に対して緩和事象発生の確から

しさを加えることであろう。

この例で,1 度の影響事象だけが総合的プロセスに特定される場合,その数は 1.1×10

8

となる。発火の

可能性がプロセス設計で 0.1 及び追加緩和策で領域内に人がいる可能性で 0.1 を占めるので,

火災による死

亡者のリスクは,次の式で示すように軽減される。

火災による死亡者のリスク=a×b

a

:すべての可燃物の排出の緩和事象発生の確からしさ

b

:火災によって致命傷を負う可能性

又は,

火災による死亡者のリスク=a×b=1.1×10

8

×0.5=5.5×10

9

a

:1.1×10

8

b

:0.5

この数は,この潜在危険に関する企業基準以下であり,一層のリスク軽減が経済的に正当であるとは考

えられないので,当該 LOPA チームの作業は完了する。


46

C 0511-3

:2008 (IEC 61511-3:2003)

附属書 JA

(参考) 
参考文献

序文 

この附属書は,参考文献について記載するものであって,規定の一部ではない。 

[1]  Reducing Risks, Protecting People, HSE, London, 2001 (ISBN 0 7176 2151 0)

[2]  Assessment principles for offshore safety cases, HSE, London, 1998 (ref. HSG 181) (ISBN 0 7176 1238 4)

[3]  Safety assessment principles for nuclear plants, HSE, London, 1992 (ISBN 0 11 882043 5)

[4]  Tolerability of risks from nuclear power stations, HMSO, London, 1992 (ISBN 0 11 886368 1)

[5]  The use of computers in safety-critical applications, Health and Safety Commission, London, 1998 (ISBN 0

7176 1620 7)

[6]  CONTINI, S., et al. Benchmark Exercise on Major Hazard Analysis, Commission of the European

Communities, 1991.

[7]  "A process industry view of IEC 61508", Dr A.G.King, IEE Computing and Control Engineering Journal,

February 2000, Institution of Electrical Engineers, London, 2000.

[8]  Guidelines for Safe Automation of Chemical Processes, American Institute of Chemical Engineers, CCPS, 345

East 47th Street, New York, NY 10017, 1993 (ISBN 0 8169 0554 1)

[9] ISA-S91.01-1995, Identification of Emergency Shutdown Systems and Controls That are Critical to 

Maintaining Safety in Process Industries, The Instrumentation, Systems, and Automation Society, 67 Alexander

Drive, PO Box 12277, Research Triangle Park, NC 27709, USA

[10] Safety Shutdown Systems: Design, Analysis and Justification, Gruhn and Cheddie, 1998,

The Instrumentation, Systems, and Automation Society, 67 Alexander Drive, PO Box 12277, Research Triangle

Park, NC 27709, USA (ISBN 1 55617 665 1)

[11] FM Global Property Loss Prevention Data Sheet 7-45, “Instrumentation and Control in Safety Applications”,

1998, FM Global, Johnston, RI, USA

[12] DIN V 19250, 1994: Control technology: Fundamental safety aspects to be considered for measurement and 

control equipment 

[13] JIS C 0508-5

  電気・電子・プログラマブル電子安全関連系の機能安全−第 5 部:安全度水準決定方法

の事例

注記  対応国際規格:IEC/FDIS 61508-5:1998,Functional safety of electrical/electronic/programmable

electronic safety-related systems

−Part 5: Examples of methods for the determination of safety

integrity levels (IDT)