安全計装
Product information
1999年にIEC 61508が規定され、「安全の仕組み(安全機能)」の性能がどうあるべきかを、化学プラントはもとより宇宙・航空、海洋、陸上輸送、原発、炭鉱、医療と全ての産業に適用することになり、欧州の機能安全の展開に促され、日本でもIEC 61508は2000年にJIS C 0508として制定されました。
SIEMENSでは創始者Werner von Siemensが1880年に「自動制御の安全を確実にすることは人間の義務であり、経済的にも意味がある」と提唱して以来、機能安全への取組はSIEMENSの伝統として、フェールセーフのコンセプトをオートメーションの基本として製品開発を続けています。
機能安全の基本規格。
リスクを基にした規格で、プラントやシステムのリスク軽減のために使用される電気・電子系ならびにソフトウェアの信頼性を規定する総合的な安全規格。以下3つの特徴がある。
- プラントやシステムの設計・運用・保守・改修・廃却に至るライフサイクルにおける安全評価。
- プラントやシステムのリスクの大きさを基に、安全装置のリスク軽減率の要求レベルである安全度水準(SIL ; Safety lntegrity Level)という定量的尺度の導入。
- 組織の機能安全管理能力、評価者の独立性および従事者のコンビテンシー(安全に係わる人間の行動特性あるいは資質)を評価。
IEC61508は、システムの故障や不具合により人間に危害が及ぶような場合はすべて対象となる。
- プロセス産業・繊維製造業
- 交通システム(鉄進一自動車など)
- 原子力などの発電分野の計装系
- 安全関連系・安全保護系に関わる部品供給など
例えば、PLC製造業者、システムインテグレータ、エンジニアリング会社、システムを利用するエンドユーザーも対象者。安全計装システムはIEC61508に適合していることを示す第三者における認証を得ていることが通常求められ、製品認証についてはドイツの第三者認証機関であるTUVによるものがスタンダードとなっている。
プロセスエンジニアリングのアプリケーション規格。
IEC 61511は「Functiona1 Safety :Safety instrumented system for the process industry sector]であり、以下のPart 1~3で構成され、Part 1が本文でPart 2&3は適用のためのガイドになる。
- Part 1 : Framework, definitions,system,hardware and software require-ments
- Part 2 : Guidelines in the application of IEC61511-1
- Part 3 : Guidance for the determination of the required safety integrity levels
この規格は、安全計装システムの仕様決定、設計、設置、運転、メンテナンスの要求が記述されている。IEC61511中にはIEC61508との関係が下左図で示されている。安全計装システムを設置する場合、IEC 61511を参照しなければならない。また、この規格のフレームワークは下右図で示されている。
IEC 61511とIEC 61508の関係
IEC61511のフレームワーク
プSISの設備(ESDや防消火設備、高度圧力保護システムなど)単位でSILが決定されてくる。
この決定は、最終ユーザ(プラントメーカから見て顧客)やライセンサーにおいて、主としてプロセス設計者を中心にいくつかの手法によるもので、決定の後に計装エンジニアのところに来ることとなり、PFD計算によりSILを満足するかどうかを検証確認することとなる。
JIS C 0508-5 : 安全度水準決定方法の事例(付属書C,D,E)IEC61511-3には,次の6つの決定方法が示されている。
- A:リスクモデル(ALARP : As Low As Reasonably Practicable)および許容リスクの概念
- B:定量的方法
- C:定性的方法による決定 : 危険事象の過酷度マトリックス
- D:定性的方法による決定 : 補正リスクグラフ
- E:定性的方法による決定 : リスクグラフ
- F:HAZOPに基づくLOPA分析
HAZOP ; Hazard and operability、LOPA ;Layer of Protection AnalysisこのうちEについて例を示す。
リスクグラフによる安全関連系のSILの決定について以下の図で説明する。(図上の赤矢印)
【例】
| 引火性ガスの漏洩によって最悪1人の人命が奪われるような事象を想定 | C2を選択 |
| ガス漏洩の発生が想定されるエリアは,巡回チエックで要員が頻繁に訪れる | F2を選択 |
| ガスは空気より重いため、そのエリアの地表近くに溜まっている可能性が高いが、透明かつ無臭なので気づきにくいまた容易に引火するのでその場合の回避可能性は非常に低い | P2を選択 |
| しかしこのガスには腐食性はなく、配管や継ぎ手からの湯れの可能性はあまり高くないと想定 | W2を選択 |
| 結果、必要な安全度 | SIL2 |
このリスク水準では,―基のSIL3の安全関連系では、十分なリスク軽減を提供しない。さらに、リスク軽減手段を追加する必要がある
このリスク水準では、―基のSIL3の安全関連系では十分なリスク軽減を提供しないかもしれない。リスク軽減手段を追加する必要の有無を決定するために、潜在危険とリスク解折が要求される
独立した安全関連系は多分要求されない
事象生起の確からしさとは、安全関連系や外的リスク軽減施設が全くないとき、危険事象が発生する確からしさである
事象生起の確からしさと独立防護層の合計数は、個々の適用に関連して決定される
| 安全水準 | 低頻度作動要求モード | 低頻度作動要求または連続モード | |
|---|---|---|---|
| PFD作動要求当たり 機能失敗平均確率 |
単位時間当たりの 危険側故障率(1/時間) |
危険側故障の頻度 (X年に1回) |
|
| SIL-1 | 10-2~10-1 | 10-6~10-5 | 10年 |
| SIL-2 | 10-3~10-2 | 10-7~10-6 | 100年 |
| SIL-3 | 10-4~10-3 | 10-8~10-7 | 1000年 |
| SIL-4 | 10-5~10-4 | 10-9~10-8 | 10000年 |
ハードウェアの一つまたは一つ以上の危険側故障が発生した場合において、安全計装システムまたはサブシステムにおいて要求される安全計装機能を保証出来る能力のことを示す。Nのハードウエアフォルトトレランスとは、N+1の故障が安全機能を喪失させることを意味する。
(a)Aタイプの安全関連サブシステムに関するアーキテクチャ上の制約
| 安全側事故比率 (SFF) |
ハードウェアのフォールト・トレランス(N)(注1参照) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| SFF < 60% | SIL1 | SIL2 | SIL3 |
| 60% ≦ SFF < 90% | SIL2 | SIL3 | SIL4 |
| 90% ≦ SFF < 99% | SIL3 | SIL4 | SIL4 |
| 99% ≦ SFF | SIL3 | SIL4 | SIL4 |
(b)Bタイプの安全関連サブシステムに関するアーキテクチャ上の制約
| 安全側事故比率 (SFF) |
ハードウェアのフォールト・トレランス(N)(注1参照) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| SFF < 60% | 許されない | SIL1 | SIL2 |
| 60% ≦ SFF < 90% | SIL1 | SIL2 | SIL3 |
| 90% ≦ SFF < 99% | SIL2 | SIL3 | SIL4 |
| 99% ≦ SFF | SIL3 | SIL4 | SIL4 |
注1:N(フォールト数)はN+1の障害により、安全機能の損失をまねく場合があることを意味
システム事例
System case
PFD計算/HFT評価によるSILの検証
例として、下図のループに関するPFDの計算を行い、SILの検証を行う。
レベルスイッチ:SIEMENS製CLS200
| Safty Related Characteristics | CLS200 |
|---|---|
| Device Type | A |
| SIL Safty Integrity Level | 2 |
| HFT | 0 |
| PFDAVG | 6.56×10-4 |
| SFF Safe Failure Fraction | 77% |
| λSD Safe detected Failure Rate | 107 FIT |
| λSU Safe undetected Failure Rate | 413 FIT |
| λDU Dangerous detected Failure Rate | 8 FIT |
| λDU Dangerous undetected Failure Rate | 150 FIT |
ポジショナ:SIEMENS製PS2
| Safty Related Characteristics | ||
|---|---|---|
| Device Type | - | A |
| SIL | Safty Integrity Level | 2 |
| HFT | Hardware Failure Tolerance | 0 |
| PFDAVG | Average Probability of Failure on Demand | 6,7×10-4 |
| λSD | Safe detected Failure Rate | 0FIT |
| λSU | Safe undetected Failure Rate | 1010FIT |
| λDU | Dangerous detected Failure Rate | 13FIT |
| λDU | Dangerous undetected Failure Rate | 152FIT |
| SFF | Safe Failure Fraction | 87% |
安全PLC(CPU):CPU315F-2DP(6ES7315-6FF04-0AB0)
PFD::2.38E-05
安全PLC(DIカード) : SM326 F-DI 24 (6ES7 326-1BK02-0AB0)
PFD : 1.00E-04 (SIL2設定)
PFD : 1.00E-05 (SIL3設定)
安全PLC(DOカード) : SM326 F-DO 10(6ES7 326-2BF10-0AB0)
PFD : 1.00E-05
SIL2の検証
PFDsys =PFDS+PFDL+PFDA
=0.000656+(0.0000238+0.0001+0.00001)+0.00067
=0.0014598
=1.46E-03 (SIL2)
上記計算より、PFDはSIL2を満足している。
レベルスイッチおよびポジショナはともにDevice Type Aであり、SFFもともに 60% ≦ SFF < 90% なので、下表のようにSIL2を満足している。(1oo1:HFT=0)
(a)Aタイプの安全関連サブシステムに関するアーキテクチャ上の制約
| 安全側事故比率 (SFF) |
ハードウェアのフォールト・トレランス(N) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| SFF < 60% | SIL1 | SIL2 | SIL3 |
| 60% ≦ SFF < 90% | SIL2 | SIL3 | SIL4 |
| 90% ≦ SFF < 99% | SIL3 | SIL4 | SIL4 |
| 99% ≦ SFF | SIL3 | SIL4 | SIL4 |
SIL3の検証
上記SIL2検証のとおり、PFD計算においてSIL3を満足していない。
よって、1oo2冗長化により、PFDを再計算する。
レベルスイッチ PFD1oo2 = 6.62E-05
ポジショナ PFD1oo2 = 6.76E-05
PFD1oo2 =(4/3*PFD1oo12)+(0,1*PFD1oo1)
PFDsys
= PFDS+PFDL+PFDA
= 0.0000662+(0.0000238+0.00001+0.00001)+0.0000676
= 0.0001776
= 1.78E-04 (SIL3)
上記計算より、PFDはSIL3を満足している。
レベルスイッチおよびポジショナはともにDevice Type Aであり、SFFもともに 60% ≦ SFF < 90% なので、下表のようにSIL3を満足している。(1oo2:HFT=1)
(a)Aタイプの安全関連サブシステムに関するアーキテクチャ上の制約
| 安全側事故比率 (SFF) |
ハードウェアのフォールト・トレランス(N) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| SFF < 60% | SIL1 | SIL2 | SIL3 |
| 60% ≦ SFF < 90% | SIL2 | SIL3 | SIL4 |
| 90% ≦ SFF < 99% | SIL3 | SIL4 | SIL4 |
| 99% ≦ SFF | SIL3 | SIL4 | SIL4 |
機器紹介
Equipment introduction
シーメンスの安全PLCは、一つシステムで標準制御と安全関連制御を実行することが可能
ネットワークはPROFIBUS、PROFINETをサポートし単一ネットワークで標準制御データ及び安全関連制御データを転送することが可能です。IOに関しても標準、安全関連のモジュールを混在して設置することができます。これらから、ハードウェアのコスト削減や制御盤の省スペース化を実現することができます。
無線で安全データを転送することが可能
PROFINETは産業用イーサネットベースのネットワークで、標準と安全制御を1本で行うことが出来ます。
また、無線モジュールに接続することにより無線で安全関連データを転送することが可能です。
非常停止付モバイルパネルや移動体等の標準制御、安全制御がワイヤレスで実現出来ます。
シーメンスの安全CPUは、一台で標準制御と安全関連制御を実行することが可能です。また、ソフトウェはSTEP7(安全機能アドオン要)のみで標準、安全プログラムを作成することが出来ます。
豊富なラインナップにより小型から大型のアプリケーションに最適な安全CPUをお使いいただけます。
演算のリダンダンシーとダイバーシティ
ユーザが作成した安全制御用のプログラムをコンパイラが自動で裏のロジックを作成し、同時に演算します。
例えば A and B = C 命令のバックグラウンドで、A or B = D = C 命令が実行され処理の正当性がチェックされます。
シーメンスが採用しているオープンフィールドバスPROFIBUS、PROFINETは世界で最も使用されているネットワークで、IEC61508 に準拠した安全プロトコルPROFIsafeをサポートしております。これらのネットワークは1本のバスで標準、安全関連データを伝送することが可能です。
特に、PROFINETはバス、スター、ツリー、リング(2重化)のトポロジを構成でき、また、ワイヤレスランにも対応しております。つまり、非常停止等の安全関連信号をワイヤレスで伝送することが出来ます。
シーメンスの安全リモートIOシステムは標準、安全関連用のモジュールを同一のステーションで混在することが可能です。よって、制御盤の省スペース化を行うことが出来ます。
ET200SP
PROFINET、PROFIBUS、PROFIsafeに対応。コンパクトで高性能、さらに使いやすさを求めたリモートIO。プッシュイン端子で工具レス配線。
ET200MP
S7-1500シリーズと同じ大きさのラックに搭載できるIOです。PROFINET、PROFIBUS、PROFIsafeに対応。
プッシュイン端子、ネジ端子の選択が可能。
ET200pro
保護等級IP65/67きわめて堅牢なモジュール型I/Oユニットで制御キャビネットが不要で、装置に直接据付することが可能です。
ET200ECOPN
保護等級IP65/67のデジタルブロックI/Oです。
シーメンスの安全PLCは小型から大型まで、広いラインナップでコントローラを提供しています。これらのエンジニアリングは「STEP7+S7 Distributed Safety、STEP7 Safety Advanced、STEP7 Safety Basic」もしくは「PCS7+Process Safety」で安全に関するソフトウェアもハンドリングできます。
標準および安全を1つのプロジェクトファイルとして管理することが出来ます。つまり、エンジニアリングや、管理の手間や時間を削減することが可能です。プログラムはTUVの第三者認証を受けたファンクションブロックを提供しています。
また、燃焼安全制御や、プレスに特化したファンクションブロックも提供しています。
安全関連制御回路の標準化、統一化に役立つファンクションブロック化もサポートしております。
シーメンスはIEC62061、ISO13849-1の機能安全の要求に対し、自動計算サポートツールを提供しています。
このソフトウェアはTUVのサポートの元、作成されています。
このソフトウェアは機能安全に関わる計算を行い、PDFにエクスポートすることが出来ます。PDFは認証機関にそのまま提出できるフォーマットで出力されます。この安全評価ツールは無料オンラインツールで、ユーザー登録さえすれば、すぐに使用することが出来ます。
ダウンロード資料
Download material
製品動画
Product movie
SafetyIntegratedとTIAを備えた安全な機械