>サイトトップへ >このカテゴリの一覧へ

 

B 8415-3:2020  

(1) 

目 次 

ページ 

序文  1 

1 適用範囲 1 

2 引用規格 2 

3 用語及び定義  2 

4 プロテクティブシステムの設備に適用する設計要求事項  5 

4.1 一般事項  5 

4.2 プロテクティブシステムの要求事項 6 

4.3 プロテクティブシステムのハードワイヤ部に対する不具合評価  16 

4.3A 4.2.5に適合した論理処理部のハードワイヤ部に対する不具合評価  17 

4.4 ユーティリティーの故障  17 

4.5 リセット  17 

附属書A(参考)決定論的原因故障を防止するための技術及び方策 18 

附属書B(参考)外部配線の故障を回避するための技術例  20 

附属書C(参考)リスクグラフ法を用いた安全度水準SIL決定の例  23 

附属書D(参考)JIS C 0511方式を用いた安全計装機能に対する拡張したリスクアセスメントの例  39 

附属書E(参考)プロテクティブシステム系統図の例  46 

附属書F(規定)ハードワイヤリングプロテクティブシステム  56 

附属書JA(参考)燃焼炉の点検要領の例  66 

附属書JB(参考)JIS B 8415-2及びISO 13577-2で規定されている関連製品規格  68 

附属書JC(参考)参考文献  70 

附属書JD(参考)JISと対応国際規格との対比表  71 

 

 


 

B 8415-3:2020  

(2) 

まえがき 

この規格は,産業標準化法第12条第1項の規定に基づき,一般社団法人日本工業炉協会(JIFMA)及び

一般財団法人日本規格協会(JSA)から,産業標準原案を添えて日本産業規格を制定すべきとの申出があ

り,日本産業標準調査会の審議を経て,経済産業大臣が制定した日本産業規格である。これによって,JIS 

B 8415:2008は廃止され,その一部を分割して制定したこの規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本産業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

JIS B 8415の規格群には,次に示す部編成がある。 

JIS B 8415-1 第1部:一般要求事項 

JIS B 8415-2 第2部:燃焼及び燃料取扱システム 

JIS B 8415-3 第3部:プロテクティブシステム 

 

 


 

 

日本産業規格          JIS 

 

B 8415-3:2020 

 

工業用燃焼炉の安全通則− 

第3部:プロテクティブシステム 

General safety code for industrial combustion furnaces- 

Part 3: Protective systems 

 

序文 

この規格は,2014年に第1版として発行されたISO 13577-4を基とし,我が国の実情に合わせて,技術

的内容を変更して作成した日本産業規格である。 

なお,この規格で側線又は点線の下線を施してある箇所は,対応国際規格を変更している事項である。

変更の一覧表にその説明を付けて,附属書JDに示す。また,附属書JA,附属書JB及び附属書JCは,

対応国際規格にはない事項である。 

この規格は,工業用燃焼炉及び関連装置(以下,燃焼炉という。)の電気制御システムの安全関連部(以

下,SRECSという。)であるプロテクティブシステムの要求事項について規定するために作成されたもの

である。 

燃焼炉に必要な安全関連制御機能は,JIS B 8415規格群の他の部で規定されている。 

この規格においては,燃焼炉の製造業者が燃焼炉のプロテクティブシステムの設計において選択可能な

四つの方法を提示している。 

この規格は,JIS B 9700で定義されるタイプC規格である。 

この規格は,JIS B 8415の他の部とともに使用される。JIS B 8415規格群は,JIS B 9700のタイプC規

格であるため,燃焼炉はJIS B 9700の原則に従って設計されなければならない。ただし,燃焼炉のプロテ

クティブシステムの設計において,JIS C 0511によるリスクアセスメントの方が適切な場合がある。関連

する機械類及び危険源,危険な状態又は危険な事象の含まれる領域を,この規格の適用範囲に示す。 

このタイプC規格の規定がタイプA又はタイプB規格の規定と異なる場合,このタイプC規格によっ

て設計及び製作された装置については,この規格の規定が,他の規格の規定よりも優先される。 

JIS C 0511は,プロテクティブシステムにおける低頻度モード(連続運転のためのシステム)に対する

選択肢をもっている。JIS B 9961及びJIS B 9705-1は,高頻度モード(非連続運転のためのシステム)だ

けを想定している。したがって,この規格では,JIS C 0511によるリスクアセスメントを代替方法として

選択することが可能なSRECSの追加的リスクアセスメントを許容している。 

 

適用範囲 

この規格は,工業用燃焼炉及び関連装置に用いるプロテクティブシステムの要求事項について規定する。 

プロテクティブシステムが適用される安全機能は,JIS B 8415の第1部及び第2部で規定している。 

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO 13577-4:2014,Industrial furnace and associated processing equipment−Safety−Part 4: Protective 


B 8415-3:2020  

 

systems(MOD) 

なお,対応の程度を表す記号“MOD”は,ISO/IEC Guide 21-1に基づき,“修正している”

ことを示す。 

 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。)を適用する。 

JIS B 3503 プログラマブルコントローラ−プログラム言語 

注記 対応国際規格:IEC 61131-3,Programmable controllers−Part 3: Programming languages 

JIS B 9705-1 機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則 

注記 対応国際規格:ISO 13849-1,Safety of machinery−Safety-related parts of control systems−Part 1: 

General principles for design 

JIS B 9960-1 機械類の安全性−機械の電気装置−第1部:一般要求事項 

注記 対応国際規格:IEC 60204-1,Safety of machinery−Electrical equipment of machines−Part 1: 

General requirements 

JIS B 9961 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能安全 

注記 対応国際規格:IEC 62061,Safety of machinery−Functional safety of safety-related electrical, 

electronic and programmable electronic control systems 

JIS C 0508(全ての部) 電気・電子・プログラマブル電子安全関連系の機能安全 

注記 対応国際規格:IEC 61508 (all parts),Functional safety of electrical/electronic/programmable 

electronic safety-related systems 

JIS C 0511(全ての部) 機能安全−プロセス産業分野の安全計装システム 

注記 対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the 

process industry sector 

JIS C 8201-4-1 低圧開閉装置及び制御装置−第4-1部:接触器及びモータスタータ:電気機械式接触

器及びモータスタータ 

注記 対応国際規格:IEC 60947-4-1,Low-voltage switchgear and controlgear−Part 4-1: Contactors and 

motor-starters−Electromechanical contactors and motor-starters 

JIS C 8201-5-1 低圧開閉装置及び制御装置−第5部:制御回路機器及び開閉素子−第1節:電気機械

式制御回路機器 

注記 対応国際規格:IEC 60947-5-1,Low-voltage switchgear and controlgear−Part 5-1: Control circuit 

devices and switching elements−Electromechanical control circuit devices 

JIS C 9730-2-5 家庭用及びこれに類する用途の自動電気制御装置−第2-5部:自動電気バーナコント

ロールシステムの個別要求事項 

注記 対応国際規格:IEC 60730-2-5,Automatic electrical controls−Part 2-5: Particular requirements for 

automatic electrical burner control systems 

ISO 13574,Industrial furnaces and associated processing equipment−Vocabulary 

 

用語及び定義 

この規格で用いる主な用語及び定義は,ISO 13574によるほか,次による。 


B 8415-3:2020  

 

3.1 

自動遮断弁(automatic shut-off valve) 

通電中は開放で,非通電状態では自動的に閉止して,燃料供給を遮断する弁。 

注記 ISO 13574の2.194を参照。 

3.2 

操作端(final element) 

安全状態とするために必要な物理的作用を実行するプロテクティブシステムの部分。 

注記1 附属要素を含めた弁,開閉器,モータなどがあり,例えば,安全機能に組み込まれる場合の

ソレノイド弁及びアクチュエータ。 

注記2 JIS C 0511-1の3.2.22の定義を一部修正し,かつ,“安全計装システム”を,“プロテクティ

ブシステム”に読み替えた。 

3.3 

火炎検知器(flame detector device) 

火炎を検知し,信号を送る働きをもつ装置。 

注記1 火炎センサ,火炎検出器アンプ及び信号伝達用リレーからなる。 

注記2 ISO 13574の2.65の定義を修正し,注記を追加した。 

3.4 

機能安全(functional safety) 

プロセス及び関連する設備のリスクの低減,及びそれらの安全状態を維持するために必要な動作を実行

するプロテクティブシステム又は別の手段の能力。 

注記 ISO 13574の2.73を参照。 

3.5 

論理機能(logic function) 

入力された情報(一つ以上の入力機能又はセンサによる。)と出力される情報(一つ以上の出力機能又は

操作端によって使用される。)との間の変換を行う機能。 

注記1 論理機能は,プロテクティブシステムの論理処理部(3.6)によって実行される。 

注記2 JIS C 0511-1の3.2.35の定義を一部修正し,“入力機能”は“入力機能又はセンサ”に,“出

力機能”は“出力機能又は操作端”に読み替えた。 

3.6 

論理処理部(logic solver) 

一つ以上の論理機能を実行するプロテクティブシステムの一部。 

注記1 例えば,電気システム,電子システム,プログラマブル電子システム,空気圧システム,油

圧システムなどがある。センサ及び操作端は,論理処理部の一部ではない。 

注記2 JIS C 0511-1の3.2.36の注記1を削除し,定義において“BPCS又はSIS”を“プロテクティ

ブシステム”に読み替えた。 

3.7 

手動リセット(manual reset) 

安全機器(例えば,自動バーナ制御)のロックアウト後,監視している操炉作業者が手動で行うリセッ

ト操作。 

注記 ISO 13574の2.107を参照。 


B 8415-3:2020  

 

3.8 

パフォーマンスレベル,PL(performance level) 

予見可能な条件下で,安全機能を実行するための制御システムの安全関連部の能力を規定するために用

いられる区分レベル。 

注記 JIS B 9705-1の3.1.23を参照。 

3.9 

製品規格(product standard) 

この規格を除くJIS B 8415の全ての部に記載されている,製品及び部品のための規格。 

注記 ISO 13574の2.135を参照。 

3.10 

プログラマブルコントローラ,PLC(programmable logic control) 

デジタル又はアナログの入出力を通し,種々の機械及びプロセスの制御を行い,具体的な制御機能を実

行するため,使用者が使う命令を内部のプログラマブルメモリに記憶するデジタル演算電子システム。 

注記 ISO 13574の2.125を参照。 

3.11 

プロテクティブシステム(protective system) 

一つ以上の安全関連の計装機能を実施するための計装システム。プロテクティブシステムは,センサ,

論理処理部及び操作端で構成される(図2参照)。 

注記1 プロテクティブシステムは,安全関連の計装制御機能及び/又は安全関連の計装防護機能を

含むことが可能である。 

注記2 ISO 13574の2.138を参照。 

3.12 

安全バス(safety bus) 

プロテクティブシステムが安全状態を達成及び/又は維持するために,JIS C 0508(全ての部)又はJIS 

C 9730-2-5に従って設計された安全機器間のデジタルネットワーク通信のためのバスシステム及び/又は

プロトコル。 

注記 ISO 13574の2.164を参照。 

3.13 

安全機器(safety device) 

単体又はプロテクティブシステムの一部として保護機能を実行するために用いられる機器。 

注記 例えば,センサ,リミッタ,火炎監視機器,バーナ制御システム,論理システム,操作端,自

動遮断弁など。 

3.14 

安全度水準,SIL(safety integrity level) 

安全度の値の範囲に対応する離散的水準(4水準のうちの一つ)。 

注記1 安全度水準4は最高の安全度水準であり,水準1は最低である。 

注記2 四つの安全度水準に関わる目標機能失敗尺度は,JIS C 0508-1の表2[安全度水準(SIL):低

頻度作動要求モードで運用するE/E/PE安全関連系に割り当てられる安全機能に対する目標

機能失敗尺度]及び表3[安全度水準(SIL):高頻度作動要求又は連続モードで運用するE/E/PE

安全関連系に割り当てられる安全機能に対する目標機能失敗尺度]で規定している。 


B 8415-3:2020  

 

注記3 安全度水準は,E/E/PE安全関連系に割り当てられた安全機能の安全要求事項を規定するため

に用いる。 

注記4 安全度水準(SIL)は,システム,サブシステム,要素又は機器の特性ではない。“SILn安全

関連システム”(ここで,nは1,2,3又は4)という表現の正しい解釈は,そのシステムが

nまでの安全度水準をもつ安全機能に潜在的に対応できるということである。 

注記5 JIS C 0508-4の3.5.8を参照。 

3.15 

センサ(sensor) 

プロセス上の変数に基づいて信号を発生する機器。 

注記 例えば,トランスミッタ,変換器,プロセススイッチ,位置検出スイッチなど。 

3.16 

連続運転のためのシステム(system for permanent operation) 

24時間を超えて中断なく,運転状態にあることを意図するシステム。 

注記 JIS C 9730-2-5の2.5.101では永久的動作システムと定義されているが,この規格では工業用燃

焼炉で通常使用される用語に置き換えた。 

3.17 

非連続運転のためのシステム(system for non-permanent operation) 

運転状態を継続する時間が24時間以内であることを意図するシステム。 

注記 JIS C 9730-2-5の2.5.102では非永久的動作システムと定義されているが,この規格では工業用

燃焼炉で通常使用される用語に置き換えた。 

3.18 

決定論的対応能力(systematic capability) 

ある要素が,対応する項目に対する安全マニュアルで指定している指示に従って適用された場合,その

要素の決定論的安全度が,規定した要素安全機能に関して規定したSILの要求を満たしている確かさを示

す尺度。 

注記1 SC1〜SC4で表現する。 

注記2 決定論的対応能力は,決定論的原因故障の回避及び制御のための要求事項に関連して決定す

る(JIS C 0508-2及びJIS C 0508-3参照)。 

注記3 関連する決定論的原因故障のメカニズムとして何を扱うかは,要素の性質に依存する。例え

ば,ソフトウェアだけで構成する要素では,単にソフトウェアの機能失敗メカニズムだけを

考慮する必要がある。ハードウェア及びソフトウェアで構成する要素では,ハードウェア及

びソフトウェア両方の決定論的原因故障メカニズムを考慮する必要がある。 

注記4 既定の要素安全機能に関して,要素SCnの決定論的対応能力は,その要素が対応する項目に

対する安全マニュアルに規定している指示に従って適用した場合に,その要素がSILnの決定

論的安全度を満たすことを示す。 

注記5 ISO 13574の2.183を参照。 

 

プロテクティブシステムの設備に適用する設計要求事項 

4.1 

一般事項 

電気設備はJIS B 9960-1に従って,設計段階において要求されるリスクアセスメントで同定した危険源


B 8415-3:2020  

 

に対して耐性をもつ。電気設備は外部から受ける損傷に対して保護されていなければならない。特に,連

続運転中に生じる損傷に対して十分な強度をもっていなければならない。 

機器は,安全マニュアルを含む製造業者の取扱説明書に従って使用しなければならない。発行した技術

仕様の範囲以外で用いる機器は,意図する用途に対して適切であることの検査及び妥当性確認が行われて

いなければならない。 

プロテクティブシステムの機器は,設置する環境条件に耐性があり,その意図する機能を満足しなけれ

ばならない。 

プロテクティブシステムに使用するセンサ(例 圧力トランスミッタ,温度トランスミッタ,流量トラ

ンスミッタ)は,プロセス制御システムから独立していなければならない。 

図1は,燃焼炉及びその附属設備,加熱システム,プロセス制御システム及びプロテクティブシステム

の相関の概要を示す。 

 

 

図1−制御及びプロテクティブシステムのブロックダイアグラム 

 

プロテクティブシステムのハードウェア及びソフトウェアの設計並びに開発中に不具合が生じることを

防止するために策定された適切な技術及び方策を用いる(附属書A参照)。 

外部配線の短絡による故障に対する防止策を講じなければならない(附属書B参照)。 

プロテクティブシステムに対するテスト及びテスト周期に関する要求事項を取扱説明書に記載する。

4.2.4に規定する方法Dによって許容される場合を除き,少なくとも年1回,全ての安全機能に対するテス

トを行わなければならない。全ての安全機能のテストの周期が1年を超える場合,方法Dを用いる。 

注記 SIL/PLの決定例は,附属書C及び附属書Dを参照。 

4.2 

プロテクティブシステムの要求事項 

4.2.0A 一般事項 

この規格を含むJIS B 8415の全ての部で規定する安全機能の要求事項に関するプロテクティブシステム

の構築は,次に示す四つの方法のうちから一つ又はその組合せを用いて行わなければならない。ただし,

単一の特定の安全機能に対して一つだけの方法を用いる。 

− 方法A(4.2.1に規定) 


B 8415-3:2020  

 

− 方法B(4.2.2に規定) 

− 方法C(4.2.3に規定) 

− 方法D(4.2.4に規定) 

図2にプロテクティブシステムの基本構成を示す。 

 

操作端

論理処理部

センサ

操作端

(例自動遮断弁)

論理処理部

センサ

(例火炎検出器)

操作端

(例アクチュエータ)

論理処理部

センサ

(例圧力スイッチ)

安全機能1

(例圧力スイッチ)

(方法A, B, C又はD)

安全機能1

(例圧力スイッチ)

(方法A, B, C又はD)

安全機能2

(例火炎監視)

(方法A, B, C又はD)

安全機能2

(例火炎監視)

(方法A, B, C又はD)

安全機能n

(方法A, B, C又はD)

安全機能n

(方法A, B, C又はD)

...

...

 

図2−プロテクティブシステムの基本構成 

 

図3にそれぞれの方法の基本的特徴を示す。 

注記1 ソフトウェア相互接続は,ソフトウェア機能ブロック,安全PLC入力及び安全PLC出力間

を関連させるもので,機器間のハードワイヤ相互接続と類似している。 

注記2 安全機能ソフトウェアは,ソフトウェア機能ブロック又は安全論理機能(例 プレパージ,

自動バーナ制御)を実行させるプログラムのうちのいずれかである。 

 


B 8415-3:2020  

 

 

図3−各方法の概要 

 

それぞれの方法による構成例については,附属書Eを参照。 

関連する製品規格に適合する機器

ハードウェア相互接続

SIL / PL 対応機器

安全バス

相互接続

安全PLC

ソフトウェア

相互接続

確認及び検証された

ソフトウェア機能ブロック

安全PLC

プログラム

言語,

拡張リスク

評価

4.2.2

4.2.3

4.2.4

4.2.1

又は,4.2.5に適合する機器 


B 8415-3:2020  

 

4.2.1 

方法A 

方法Aは,全ての機器(すなわち,図4に示すセンサ,論理処理部及び操作端)が,JIS B 8415(全て

の部)で規定する関連製品規格(附属書JB参照)に適合したハードワイヤシステムである。 

この形式のプロテクティブシステムに対して,JIS C 0508(全ての部),JIS C 0511(全ての部),JIS B 9961,

及びJIS B 9705-1の要求事項は適用しない。 

次のハードワイヤリングに対する要求事項を満たさなければならない。 

− 全ての論理処理部は機器によって与えられ,機器間の接続は直接接続による。 

− データ通信バスによる接続は,許容されない。 

− 関連する製品規格に適合する固定されたプログラム言語を使用した機器を用いてもよい。 

− ハードワイヤリングは,附属書Fに従わなければならない。 

 

 

図4−方法Aのハードウェア構成 

 

注記 4.2.1で用いる安全機器は,使用する分野及び関連製品規格で規定している機能要求事項に合致

する特定の安全要求事項に対応している(例 自動バーナコントロールシステム,バルブ機能

検証システム,圧力センサ,自動遮断弁)。これら安全機器に対するSIL/PL認証がなくても,

安全機器の使用に係る安全要求事項は,関連製品規格の要求事項に適合している。4.2.1に従っ

たプロテクティブシステムの実装は,選択し得るプロテクティブシステムの方法のうちの一つ

である。 

4.2.2 

方法B 

方法Bは,関連製品規格(附属書JB参照)に適合した機器及び/又は関連製品規格が存在しないSIL/PL

能力をもつ機器の組合せで構成する。安全PLCは用いない(図5参照)。 

ハードワイヤリングに対する次の要求事項を満足しなければならない。 

− 全ての論理処理部は機器によって与えられ,機器間の接続は直接接続による。 

− 関連する製品規格に適合する固定されたプログラム言語を使用した機器を用いてもよい。 

− 各要素間の接続は,ハードワイヤリング又は安全バス経由による。 

及び/又は 

4.2.5による論理処理部 


10 

B 8415-3:2020  

 

− ハードワイヤリングは,附属書Fに従わなければならない。 

関連製品規格に含まれていない機器は,次の要求事項を満たさなければならない。 

− SIL/PL能力の認証は,ハードウェア及びソフトウェアを含む完成した機器に対して行う。 

注記 機器に対するSIL/PL認証における適合確認及び妥当性確認は,通常,公認機関,国家認定試

験所又はJIS Q 17025に適合する組織によって行われる。 

制御ループ(安全機能)に対するSIL/PLの要求事項を決定し,かつ,計算している場合,SIL3/PLeの

能力以下の機器を使用することが許容される。 

SILが経験のある使用(すなわち,実績経験による使用)によって決定される場合,JIS C 0511(全ての

部)の要求事項に従わなければならない。 

プルーフテスト間隔などの機器の安全マニュアル上の全ての要求事項を遵守しなければならない。 

注記 SIL/PLの決定例は,附属書Cを参照。 

 

 

図5−方法Bのハードウェア構成 

 

及び/又は 

4.2.5による論理処理部 


11 

B 8415-3:2020  

 

4.2.3 

方法C 

4.2.3.A 一般事項 

方法Cは,関連製品規格(附属書JB参照)に適合した機器及び/又は関連製品規格が存在しないSIL/PL

能力をもつ機器及び/又は安全PLCの組合せで構成する。 

ハードワイヤリングに対する次の要求事項を満足しなければならない。 

− 全ての論理処理部は機器によって与えられ,機器間の接続は直接接続による。 

− 関連する製品規格に適合する固定されたプログラム言語を使用した機器を用いてもよい。 

− 各要素間の接続は,ハードワイヤリング,安全バス経由,又はソフトウェア接続経由のいずれかでな

ければならない。 

− ハードワイヤリングは,附属書Fに従わなければならない。 

安全機能ソフトウェアは,適合確認及び妥当性確認が行われたSIL3能力のあるソフトウェア機能ブロッ

クの形式だけが許容される(図6参照)。 

安全機能は,安全の格付けがされた機器(例えば,安全PLC)又は関連製品規格に規定する外部機器に

指定される範囲内で許容される。 

製品規格で規定されていない機器(安全PLC,タイマなど)は,次の要求事項を満たさなければならな

い。 

− 機器は,JIS C 0508(全ての部),JIS B 9961及びJIS C 0511(全ての部)によるSIL 3相当の能力を

もつか,又はJIS B 9705-1によるPL e相当の能力をもつものでなければならない。 

− プログラマブル機器が,関連製品規格に規定されている,部分的又は全ての安全機能を実行する場合,

そのソフトウェア機能は,シーケンス,タイミングなど(ただし,これらに限定されない)の適用可

能な関連製品規格の要求事項に関して,適合確認及び妥当性確認を実施しなければならない。 

− プログラマブル機器のソフトウェア接続は,機能試験によって適合確認を実施しなければならない。 

− PLCのソフトウェアプログラム言語は,JIS B 3503による。 

− ソフトウェアは,無許可,かつ,意図しない変更に対してロックされ,保護されていなければならな

い。 

注記 機器に対するSIL/PL認証における適合確認及び妥当性確認は,通常,公認機関,国家認定試験

所又はJIS Q 17025に適合する組織によって行われる。 

制御ループ(安全機能)に対するSIL/PLの要求事項を決定し,かつ,計算している場合,SIL3/PLeの

能力以下の機器を使用することが許容される。 

SILが経験のある使用(すなわち,実績経験による使用)によって決定される場合,JIS C 0511(全ての

部)の要求事項に従わなければならない。 

プルーフテスト間隔などの機器の安全マニュアル上の全ての要求事項を遵守しなければならない。 

注記 SIL/PLの決定例は,附属書Cを参照。 

 


12 

B 8415-3:2020  

 

 

図6−方法Cのハードウェア構成 

 

4.2.3.1 

アプリケーションソフトウェアに対する要求事項 

4.2.3.1.1 

要求される安全度水準に従って,選択されるプログラマブル保護装置及びそのソフトウェアは,

次に示す特定のアプリケーションの安全度の要求事項に適合しなければならない。 

− 機能の正確性 

− シーケンス及び時間関連の情報 

− タイミングの制約 

− 同時並行性(ソフトウェア割込みは避けることが望ましい。) 

− データ構造及び特性 

− 設計の前提及び設計が依存するもの 

− 試験の容易性 

4.2.3.1.2 

4.2.3.1.1に記載する項目の実証は,ソフトウェアライフサイクルにわたる設計及び開発の進捗

に従って適合確認及び妥当性確認の段階で行なわなければならない。それには,次を含む。 

及び/又は 

4.2.5による論理処理部 


13 

B 8415-3:2020  

 

− ソフトウェアの要求仕様の妥当性 

− 文書及びプログラムの完全性,一貫性,理解容易性及び明確性 

アプリケーション設計の仕様は,明確に定義された又は明確に定義された特性に限定された表記法(例 

機能ダイアグラム)に基づかなければならない。アプリケーションの設計は,実行可能な限りソフトウェ

アの安全関連部を最小化しなければならない。ソフトウェアに安全機能及び安全以外の機能の両方を実装

する場合,機能間の十分な独立性がアプリケーションの設計において実証されない限り,そのソフトウェ

ア全体を安全関連ソフトウェアとして扱わなければならない。ソフトウェアに異なる安全度水準の安全機

能を実装する場合,異なる安全度水準の安全機能間の独立性がアプリケーションの設計において示されな

い限り,全てのソフトウェアは,最も高い安全度水準に属しているソフトウェアとして扱わなければなら

ない。これらの独立性の根拠について,関連する設計文書に記録しなければならない。 

実運転で実証済みのソフトウェアモジュールをアプリケーションソフトウェアの一部として用いる場合,

そのモジュールを明確に特定し,文書化しなければならない。ソフトウェアの適合性が特定のアプリケー

ションの要求事項を満たしていることの根拠を示さなければならない。適合性は,同様のアプリケーショ

ン上での運転が満足に行われたとする証拠,又は新しく開発されたソフトウェアについて期待されるのと

同様の適合確認及び妥当性確認の手順の対象となった証拠に基づかなければならない。実運転で実証済み

のソフトウェアモジュールの場合,テストの範囲は,適切な実装の妥当性確認のために必要なテストだけ

に限定してもよい。以前のソフトウェア環境の制限事項(例 オペレーティングシステム及びコンパイラ

の依存関係)は,評価されることが望ましい。ソフトウェア開発の性質に応じて,4.2.3.1に適合させるこ

との責任の所在は,供給者だけ,ユーザだけ又はその両方となる可能性がある。責任の分担は記録されな

ければならない。提案されたソフトウェアアーキテクチャは,機器及びサブシステムに分割して構成する

ことを基準としなければならない。これらの機器及びサブシステムは,システムソフトウェア及びプラン

ト特有のアプリケーションソフトウェアの一部として特定することが可能である。 

次の情報が与えられなければならない。 

− それらが新規のもの,既存のもの又は独占的所有物のいずれであるか。 

− それらが以前に適合確認を受けたものであるか,その場合の適合確認の条件。 

− それぞれのサブシステム及びコンポーネントが安全関連であるか否か。 

− サブシステム及び機器のソフトウェア安全度水準。 

− 全てのハードウェア及びソフトウェア相互作用の重要性の特定,評価及び詳細。 

− アーキテクチャを表すために使用された表記法。アーキテクチャは明確に定義されているか,又は明

確に定義された特性に限定される。 

− 全てのデータの安全度を維持するために用いられる設計特性の同定法(このデータは,プラントへの

入出力データ,通信データ,操炉作業者とのインターフェースのデータ,保全のデータ及び内部デー

タベースのデータを含む)。 

4.2.4 

方法D 

方法DはJIS C 0508(全ての部),JIS B 9961,JIS C 0511(全ての部)又はJIS B 9705-1に完全に従わ

なければならない(図7参照)。 

注記 JIS C 0511(全ての部)による方法は,附属書Dを参照。 

方法Dは,次の要求事項も満足しなければならない。 

a) 火炎検出器は,JIS C 9730-2-5に適合しなければならない。 

b) PLC及び安全機器は,機器製造業者が作成する製品安全マニュアルの全ての指示に従って使用しなけ


14 

B 8415-3:2020  

 

ればならない。製品安全マニュアルは,保全点検頻度の要求事項を含む。 

c) JIS B 8415の他の部で規定している全ての機能安全の要求事項は,JIS C 0508(全ての部),JIS B 9961,

JIS C 0511(全ての部)又はJIS B 9705-1に従って,その必要性に応じて評価しなければならない。

また,それらは各々の機能別に要求されるSILを構築しなければならない。自動バーナコントロール,

弁の閉止確認,空燃比制御などのような安全関連システムの安全機能は,関連する製品規格の要求事

項の意図を満足しなければならない。 

注記 方法Dの拡張リスクアセスメントは,JIS B 8415(全ての部)の安全要求事項よりも優先さ

せることが可能である。方法Dの下での拡張リスクアセスメントの性質によって,全体的な

安全性は,低減されることなく,この規格の意図する要求事項を満たすか,又はそれを上回

る。 

d) 各要素間の接続は,ハードワイヤリング,安全バス経由又はソフトウェア接続経由のいずれかを使用

しなければならない。 

e) ハードワイヤリングは,附属書Fに従わなければならない。 

注記 SIL/PL認証における適合確認及び妥当性確認は,通常,公認機関,国家認定試験所又はJIS Q 

17025に適合する組織によって行われる。 

 

 

図7−方法Dのハードウェア構成 

 

4.2.5 

方法A,方法B及び方法Cの論理処理部として使用できる装置 

4.2.5.1 

一般事項 

4.2.5.2,4.2.5.3,4.2.5.4,4.2.5.5及び4.2.5.6による制御回路及び操作回路で構成された装置は,関連製品

規格に規定する機器で構成された論理処理部と同等な装置として扱うことが可能である。この論理処理部

は,方法A,方法B及び方法Cにおいて適用が可能である。 

4.2.5.2 

一般要求事項 

一般要求事項は,次による。 

a) 装置の構成部品は,その構造,性能及び特性が,意図する使用期間中に機械的・化学的・熱的に耐え


15 

B 8415-3:2020  

 

なければならない。 

b) 装置は,全作動圧力,周囲温度0 ℃〜40 ℃,及び供給電圧変動範囲±10 %において正しく動作しな

ければならない。ただし,上記とは異なる環境に設置,使用される機器は,適切な機器を選定しなけ

ればならない。また,周囲温度が機器の最高使用温度を超える場合には,冷却装置又は熱遮断装置を

用いて機器温度が上昇しない環境を整える。 

c) 圧力の加わる制御部品は,安全に関わる変形を生じる機械的応力及び熱的応力に耐えなければならな

い。 

d) 装置は,工業炉設備及び燃焼機器の放熱による影響並びに誤動作から防護しなければならない。 

e) 装置は,安全に操作でき,かつ,その操作結果が安全でない動作となることに対して防護しなければ

ならない。 

f) 

燃焼安全制御装置の作動用動力源の遮断,又は電気配線の断線などが発生する場合,直ちに燃料を遮

断する機構を設ける。 

g) 安全上の故障及び安全装置によって工業炉設備が停止した場合,通常状態に復帰する場合に,異常原

因を除去し,安全確認の上,起動スイッチによって再起動するものし,自動的に再起動してはならな

い。 

h) 安全装置は,容易にその機能を失わせることが可能であってはならない。また,安全装置を取り外し

て,又は機能をバイパスして使用してはならない。 

i) 

安全機能の点検の手法及び頻度は,附属書JAに基づいて作成することが望ましい。 

j) 

構成部品の不具合による影響を設計段階で検討しておかなければならない。制御部品の不具合が起こ

っても,危険な状態にならないように制御システムを構築しなければならない。 

4.2.5.3 

制御回路及び操作回路 

制御回路及び操作回路は,リスクアセスメントに基づく本質的安全設計方策を講じなければならず,か

つ,次による。 

a) インターロックとしての全ての接点は,自動遮断弁の保持回路に直列に設置しなければならない。 

b) 全ての遮断接点は,電源の非接地側としなければならない。また,必要に応じて漏電ブレーカ,接点

両切化などの漏電対策を実施しなければならない。 

c) 制御操作回路は,異常の場合に必要に応じ,点灯,警報音などで速やかに警報を発しなければならな

い。 

d) 点火安全時間の機能は,独立したタイマ回路及び診断回路で構成しなければならない。 

4.2.5.4 

操作盤など 

制御盤及び操作盤は,次による。 

a) 操作盤などのスイッチは,操作手順の順序に従って配列し,操炉作業者の誤操作を防止する。 

b) 周囲温度が許容温度以下の場所で,かつ,爆発,高温物の接触,落下物などによって損傷を受けない

場所に設置する。 

c) 容易に点検できる構造とする。 

4.2.5.5 

中継リレー 

燃焼安全回路のインターロックに使用する安全装置の接点は,中継リレーを介してはならない。ただし,

次の場合には,中継リレーを使用してもよいが,中継リレーを自動遮断弁ごとに設置するか,又は起動時

及び点火時に自動遮断弁の閉確認スイッチによってインターロックをとるなどして,中継リレーの誤動作,

又は接点融着に対する防護措置を講じる。 


16 

B 8415-3:2020  

 

a) 負荷が安全装置の接点容量を超えている場合 

b) 電源遮断時に安全状態に復帰するために必要な場合 

c) 安全回路論理機能が必要な場合 

4.2.5.6 

プログラマブルコントローラ(PLC) 

プロテクティブシステムにプログラマブルコントローラ(PLC)を使用する場合は,次のa)又はb)のい

ずれかによる。 

a) 4.2.3に適合しなければならない。 

b) 次の1)〜8)に適合しなければならない。 

1) 安全PLCを使用しない場合,ソフトウェアだけによる燃焼安全のインターロックを構成してはなら

ない。ここでの安全PLCとは,JIS C 0508-1のSIL 2又はSIL 3の安全機能をもつ,公認機関,国家

認定試験所又はJIS Q 17025に適合する組織によって認証されたPLCをいう。 

2) PLCで構築された燃焼安全回路は,回路の機能及び安全性を実証し,実証後は容易に回路が変更で

きない処置を講じなければならない。 

3) 火炎監視装置には,PLCを用いてはならない。また,点火安全時間の機能には,診断回路を構築す

るか又はPLCとは独立したタイマ回路を設置しなければならない。 

4) PLCのアプリケーションソフトの供給者は,全ての制御操作回路が機能を果たす状態であることを

証明する資料を,使用者に対し示さなければならない。 

5) 電源が遮断された場合に,PLCは装置が安全な初期状態に復帰することを妨げてはならない。電源

が復旧した場合には,安全な状態を維持しなければならない。 

6) PLCから独立して,装置を遮断できる緊急停止スイッチを設置しなければならない。ただし,緊急

停止の信号伝送は,通信だけで構成してはならない。また,PLCは緊急停止の信号を受け,安全な

状態に復帰し,緊急停止が解除された後も安全な状態を維持しなければならない。 

7) ハードウェア及びソフトウェアの全ての変更は文書化し,現場で維持保管しなければならない。 

8) PLCは,CPU,メモリなどの診断機能を備え,ハードウェアの故障及びソフトウェアの異常な作動

又は破壊時に,システムを安全な初期状態に復帰しなければならない。 

4.3 

プロテクティブシステムのハードワイヤ部に対する不具合評価 

プロテクティブシステムは,JIS B 8415の全ての部で要求する機器が次のとおり用いられるように設計

する。 

a) 安全機能にリレーを用いる場合,接点を監視し強制ガイド式であり,かつ,接点を流れる電流は定格

の60 %以下でなければならない。安全用途に使用する制御用リレーは,JIS C 8201-5-1又は必要な

SIL/PL要求事項に従わなければならない。安全用途に使用する電力用リレーは,ミラー接点の有無に

かかわらず,JIS C 8201-4-1又は必要なSIL/PL要求事項に従わなければならない。 

b) 機器は製造業者が定める方法に従って配線しなければならない。 

c) 方法B及び方法Cにおいて,JIS B 8415の他の部で規定する関連製品規格に適合していないタイマを

使用する場合,タイマはSC3(SIL 3能力)の決定論的対応能力をもたなければならない。調整可能な

タイマの設定は,固定又は密封しなければならない。 

d) 機器の最小接続電流値の60 %未満となるように安全回路の電流を制限するための過電流保護策を講

じなければならない。 

e) その他,附属書Fの要求事項による。 


17 

B 8415-3:2020  

 

4.3A 4.2.5に適合した論理処理部のハードワイヤ部に対する不具合評価 

4.2.5に適合した論理処理部には,4.3 a)〜e)は適用しない。ただし,附属書Fに基づき,4.2.5.2 j)の要求

事項に対する適合性を評価することが望ましい。 

4.4 

ユーティリティーの故障 

ユーティリティー(例 電力,動力エア)が燃焼炉に供給されなくなった場合は,安全な状態に移行し

なければならない(例 ロックアウト)。再起動は,必ず手動動作を介して行わなければならない。定め

られた起動及び点火の手順を適用する[JIS B 8415-2の4.2.7(加熱システム起動及びバーナ点火)又は4.3.7

(加熱システム起動及びバーナ点火)を参照]。 

4.5 

リセット 

方法Dによって許可された場合を除き,安全機能を実行する機器に対して,不具合からの復帰後,ロッ

クアウト後のリセットは手動で開始しなければならない(3.7参照)。 

リセットは,安全機能を無効にしてはならない。 

設計において,意図しないリセット及び永続的なリセットを防止する方策を講じなければならない。 

設計において意図しない燃焼炉の起動を防止する方策を講じなければならない。 

リセットを起動する前に操炉作業者が安全な運転を確認するための要求事項を取扱説明書に記載する。 

リスクアセスメントに基づき,規定の時間内における最大リセット回数を制限し,取扱説明書に記載す

る。 

燃焼炉が見えない状態で手動リセットを行う場合,リセットが行われても確実に安全な運転が行われ,

かつ,制御中のプロセスの状態及び関連する情報は,リセット動作中及びその前後において,操炉作業者

が目視で確認できるようにする。 

 


18 

B 8415-3:2020  

 

附属書A 

(参考) 

決定論的原因故障を防止するための技術及び方策 

 

A.1 一般事項 

ランダムなハードウェアの故障は,物理的な原因(例 温度超過,腐食,磨耗)を伴い,統計的な情報

をリスク分析に用いることが可能である。ただし,決定論的原因故障は,プロテクティブシステムの仕様

及び設計におけるヒューマンエラーによって生じる。決定論的原因故障は,特定の条件が発生するまで顕

在化せず,長期間見つからない可能性がある。これら特定の条件によって,同じシステムから製造された

全ての装置が同様の経緯で機能しなくなる。したがって,プロジェクトの開始段階から決定論的原因故障

を防止することが非常に重要になる。 

 

A.2 能力 

決定論的原因故障は人間によるものであるため,プロテクティブシステムの設計及び開発に携わる人員

及びその組織は,その特定の任務を遂行するのに十分な能力をもっている必要がある。個々の人員,部門,

組織又はその他のグループは,与えられた責任の内容について正しく認識する必要がある(関連がある場

合,許認可機構又は安全規制団体に関する事項も含む。)。次は,プロテクティブシステムの設計に関する

能力を確認する際に必要な項目である。 

a) 次の事項に関するエンジニアリングの知識,訓練及び経験。 

− プロセスアプリケーション 

− 適用できる技術(例 電気,電子,プログラミング) 

− センサ及び操作端 

b) 安全エンジニアリングの知識(例 プロセス安全分析) 

c) 機能安全の要求事項に関する法的及び規制上の知識 

d) 設計上の役割に対する適切なマネジメント及びリーダシップの十分なスキル 

e) 個別事象が引き起こし得る重大性に関する理解 

f) 

アプリケーション及び技術の新しさ並びに複雑さの妥当性 

能力に関する追加の情報は,JIS C 0511-1を参照。 

 

A.3 決定論的原因故障の防止 

設計段階で決定論的原因故障を回避するために必要となる典型的な業務に関する要点を次に示す。詳細

な情報はJIS C 0508-2を参照。 

次の事項に対して容易に対応できる設計方法を選択する。 

a) 透明性,モジュール性,及び複雑性を制御するその他の側面 

b) 次に対する明確かつ正確な表現 

− 機能性 

− サブシステム及び各要素インターフェース 

− シーケンス及び時間関連の情報 

− 同時並行性及び同期性 


19 

B 8415-3:2020  

 

c) 明確で正確な文書作成及び相互意思疎通の情報 

d) 適合確認及び妥当性確認 

プロテクティブシステムの決定論的及び確率論的な不具合及びハードウェア,ソフトウェア及びデータ

通信プロセスの設計不具合に対して耐久性をもつような設計方法を用いる。 

設計時において,開発者の所在地からユーザの現場に対してアクセスを要求できるような業務について

は,他と区別し特定する。 

プロテクティブシステムの安全度要求事項が,システムの全ライフサイクルにわたって適合することを

確実にするために,設計段階において保全に関する要求事項を明確にする。 

人間の能力及び限界,並びに予想される訓練又は意識度を含めた操炉作業者及び保全要員の行動を考慮

する。 

プロテクティブシステムの統合テストを計画する。加えて次を含むテスト計画の文書化に関しても立案

する。 

a) テストの種類及びその手順 

b) テスト環境,ツール,配置及びプログラム 

c) 合否判定基準 

適用可能な場合,自動テストツール及び統合開発ツールを使用する。 

 


20 

B 8415-3:2020  

 

附属書B 

(参考) 

外部配線の故障を回避するための技術例 

 

図B.1は,ケーブル2における短絡がプロテクティブシステムを損ねることを示している。通常の安全

機能において,圧力スイッチ接点が開状態であると,論理処理部が操作端を介してシステムを安全な状態

にする。ケーブル2において短絡状態が存在すると,いずれのスイッチの開状態も検出されない。 

 

 

 

ケーブル1 

ケーブル2 

ケーブル3 

注記 この図は,不適切な配線方法の例を示している。 

 

図B.1−不適切な外部配線方法 

 

図B.2は,プロテクティブシステムの方法A及び方法Bを使用したときに,安全機能に対して十分な保

護レベルをもたらすものと考えられる技術を示す。全ての接点は,ケーブルダクト又はコンジットを介し

てメインのエンクロージャまでもち込まれ,これによって機械的及び熱的な損傷から十分に保護される結

果となっている。加えて,プロテクティブシステムの論理処理部のメインエンクロージャ中で相互接続配

線がなされている。 

 

1

2

3

センサ

圧力スイッチ

端子箱

エンクロージャ

端子

論理処理部端子

エンクロージャ(制御部)

 

 1 

ケーブル1 

ケーブル2 

ケーブル3 

 

図B.2−保護された配線 


21 

B 8415-3:2020  

 

 

図B.3は,図B.2を少し変化させた形,プロテクティブシステムの機器が異なるセンサそれぞれからの

配線を個別に接続できる場合を示す。これはプロテクティブシステムの方法A,方法B,方法C及び方法

Dのいずれの場合に用いられても,安全機能に対して十分な保護レベルを与えることが可能である。 

 

 

 1 

ケーブル1 

ケーブル2 

ケーブル3 

 

図B.3−保護された配線,全ての導体は起点から終点まで分離 

 

図B.4は,両方のセンサの状態がプロテクティブシステムによって監視され,論理処理部が現場配線の

短絡による不適切な状況を検出することができる技術を示す。この技術はプロテクティブシステムの方法

A,方法B,方法C及び方法Dのいずれの場合に用いられても適切である。 

 

 

 1 

ケーブル1 

ケーブル2 

ケーブル3 

 

図B.4−両方のセンサの状態の監視 

 


22 

B 8415-3:2020  

 

図B.5は,図B.4の変化形を示し,6芯ケーブルのものを3芯2本に置き換えたものである。 

 

 

 1 

ケーブル1 

ケーブル2 

ケーブル3 

 

図B.5−両方のセンサの状態の監視,複数のケーブル 

 

図B.6は,スイッチング状態を表すアナログ信号を用いる技術を示し,プロテクティブシステムの論理

処理部は現場配線の短絡による不適切な状態を検出する(アナログレベルはハイ又はロー状態に対して許

容可能なレベルの範囲外となる。)。この技術は,プロテクティブシステムの方法A,方法B,方法C及び

方法Dのいずれの場合に用いられても適切である。 

 

 

 1 

ケーブル1 

ケーブル2 

ケーブル3 

 

図B.6−アナログ値による監視 

 


23 

B 8415-3:2020  

 

附属書C 
(参考) 

リスクグラフ法を用いた安全度水準SIL決定の例 

 

C.1 一般事項 

必要なSIL/PLの決定のために次の国際標準を用いることができる。機械類にはJIS B 9961(対応国際規

格IEC 62061)が開発され,一方プロセス産業においてはIEC 61511 1)(全ての部)が制定されている。安

全度水準SIL決定のためのリスクグラフ法は,その両方の規格[JIS B 9961及びIEC 61511(全ての部)]

に記載されている。加えて,JIS B 9705-1は,パフォーマンスレベルPLを決定することが規定されており,

SILからPLを決定する方法も含まれている(JIS B 9705-1の表3)。 

注1) 附属書Cで引用されているIEC 61511の対応JISは,JIS C 0511であるが,現行の2016年版IEC

に対して附属書Cで記載している内容に差異があるため,IEC 61511:2016の内容で記載してい

る。 

危険源及びリスク分析は,燃焼炉の個別の危険源に対して行われなければならないとされている。危険

源を記載する場合,危険な状態の原因も,また,常に特定されなければならないとされている。例えば,

炉内の爆発は,過昇温,過大な燃料圧力,空燃比の不足など,広範囲な原因によって起こり得る。これら

の原因のそれぞれは,少なくとも一つの安全関連機能(これが,結果として生じるリスクを低減する。)に

割り当てられる。 

それぞれの安全関連機能に求められるSIL/PLは,次の異なるパラメータに依存するとされている。 

− 危険事象の重大性(JIS B 9961の附属書AのパラメータSe,及びIEC 61511-3の附属書Dのパラメー

タC)。最悪のシナリオについて考慮する。 

− 危険な場所に滞在する頻度及び継続時間(JIS B 9961の附属書AのパラメータFr,及びIEC 61511-3

の附属書DのパラメータF)。滞在する時間の要素は,全ての人員の平均値ではなく,そのリスクに

最もさらされる人間を基準に決定しなければならない。このようにしてリスクが,確実に全ての人員

にわたって平均化されないようにする。 

− 危険事象の防止又は回避の可能性(JIS B 9961の附属書AのパラメータAv,及びIEC 61511-3の附属

書DのパラメータP)。 

− 危険事象又は要求頻度の発生確率(JIS B 9961の附属書AのパラメータPr,及びIEC 61511-3の附属

書DのパラメータW)。 

JIS B 9961の附属書AのパラメータAv及びIEC 61511-3の附属書DのパラメータPは,危険源からの

危害を回避又は制限するのに役立つ設計及び意図する用途の側面を考慮して見積もることが可能である。

これらの側面は,例えば,危険事象の発生の速さ(突然,急速又は緩やか),危険源から回避するための空

間的制約,機器又はシステムの特性,危険源の認識の可能性などを含む。最低の値は,次のいずれかの場

合にだけ用いることが望ましい。 

− 完全にリスクの影響下におかれる前にそのリスクの存在が明らかな場合 

− 危険源の検出からその最大限の出現の間に必要な対応事項を行うのに確実に十分な時間がある場合 

− 操炉作業者によってリスクを回避するのに用いる機器が用意されている場合 

− 危険源が存在する場所から全ての人員が避難できる場合 

JIS B 9961の附属書AのパラメータPr及びIEC 61511-3の附属書DのパラメータWは,クラス分けさ


24 

B 8415-3:2020  

 

れた安全関連機能がない場合の,段階的な危険状態の発生の可能性を含んでいる。この特定のリスク回避

のための安全機能から完全に独立している方策は,このパラメータ低減において考慮することが可能であ

る。 

 

C.2 要求されるSIL/PL決定の例 

C.2.1 事例1−表C.1 

表C.1は,JIS B 9961の附属書A又はJIS B 9705-1の表3による,異なるリスク環境下におけるSIL/PL

決定例を示す。 

C.2.2 事例2−表C.2 

表C.2は,IEC 61511-3の附属書Hによる,異なるリスク環境下におけるSIL/PL決定例を示す。 

 


25 

B 8415-3:2020  

 

表C.1−JIS B 9961及びJIS B 9705-1による異なるリスク環境におけるSIL/PL決定 

 

 

文書番号: 

 

リスクアセスメント及び安全対策 

Part of: 

プロジェクト:典型的なSIL決定の例 

 

 

発行者: 

 

 

事前リスクアセスメント 

作成日: 

 

 

中間リスクアセスメント 

改定日: 

 

 

フォローアップリスクアセスメント 

 

黒色部分=要求される安全対策 

 

 

灰色部分=推奨される安全対策 

 

結果 

危害のひどさ 

クラスCl 

頻度及び継続時間 

危険事象の発生確率 

回避 

Se 

3〜4 

5〜7 

8〜10 

11〜13 

14〜15 

Fr 

Pr 

Av 

死亡,視力又は腕を失う。 

SIL 2 

SIL 2 

SIL 2 

SIL 3 

SIL 3 

Fr≦1時間 

とても高い 

 

 

恒久的傷害,指を失う。 

 

OM 

SIL 1 

SIL 2 

SIL 3 

1時間<Fr≦1日 

起こりやすい 

 

 

回復可能,治療を要す。 

 

 

OM 

SIL 1 

SIL 2 

1日<Fr≦2週間 

時々起こる 

不可能 

回復可能,応急措置。 

 

 

 

OM 

SIL 1 

2週間<Fr≦1年 

まれには起こる 

可能 

 

 

 

 

 

 

 

1年<Fr 

無視できる 

容易 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


26 

B 8415-3:2020  

 

表C.1−JIS B 9961及びJIS B 9705-1による異なるリスク環境におけるSIL/PL決定(続き) 

SRCF 

危険事象 

安全関連制御因子(SRCF) 

結果 

発生の可能性 

クラ

ス 

区分 

コメント 

番号 

記載内容 

記載内容 

 

Se 

Fr 

Pr 

Av 

Cl 

SIL 

PL 

10 

プラント温度が
最大許容動作温
度を超えてい
る。 

論理システムと組み合わせた温度セ
ンサがプロセス温度を監視してい
る。温度が安全なレベルを上回った
場合,安全な状態にする。 

 

低いリスク環境 
時間内に脱出するのに十分な機会のある限られた
人々に対する軽微な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品による負傷 

10 

プラント温度が
最大許容動作温
度を超えてい
る。 

論理システムと組み合わせた温度セ
ンサがプロセス温度を監視してい
る。温度が安全なレベルを上回った
場合,安全な状態にする。 

 

10 

中程度のリスク環境 
時間内に脱出するのに合理的な機会のある少数の
人々に対する軽微な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品による負傷 

10 

プラント温度が
最大許容動作温
度を超えてい
る。 

論理システムと組み合わせた温度セ
ンサがプロセス温度を監視してい
る。温度が安全なレベルを上回った
場合,安全な状態にする。 

 

11 

高いリスク環境 
時間内に逃げられなかった多数の人々に対する重
大な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品による負傷 

12 

燃焼空気圧又は
流量が低すぎ
る。 

圧力スイッチ,圧力トランスミッタ
又は流量計が空気圧又は流量を監視
しており,圧力又は流量が安全なレ
ベルよりも下回った場合,論理回路
と組み合わせてプラントを安全な状
態にする。 

 

低いリスク環境 
時間内に脱出するのに十分な機会のある限られた
人々に対する軽微な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及び圧力
検出器 
危険源:爆発,火災,中毒,不完全燃焼 

12 

燃焼空気圧又は
流量が低すぎ
る。 

圧力スイッチ,圧力トランスミッタ
又は流量計が空気圧又は流量を監視
しており,圧力又は流量が安全なレ
ベルよりも下回った場合,論理回路
と組み合わせてプラントを安全な状
態にする。 

 

10 

中程度のリスク環境 
時間内に脱出するのに合理的な機会のある少数の
人々に対する軽微な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及び圧力
検出器 
危険源:爆発,火災,中毒,不完全燃焼 

 

 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


27 

B 8415-3:2020  

 

表C.1−JIS B 9961及びJIS B 9705-1による異なるリスク環境におけるSIL/PL決定(続き) 

SRCF 

危険事象 

安全関連制御因子(SRCF) 

結果 

発生の可能性 

クラ

ス 

区分 

コメント 

番号 

記載内容 

記載内容 

 

Se 

Fr 

Pr 

Av 

Cl 

SIL 

PL 

12 

燃焼空気圧又は
流量が低すぎ
る。 

圧力スイッチ,圧力トランスミッタ
又は流量計が空気圧又は流量を監視
しており,圧力又は流量が安全なレ
ベルよりも下回った場合,論理回路
と組み合わせてプラントを安全な状
態にする。 

 

11 

高いリスク環境 
時間内に逃げられなかった多数の人々に対する重
大な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及び圧力
検出器 
危険源:爆発,火災,中毒,不完全燃焼 

13 

安全動作範囲外
の空燃比 

適正な空燃比は,機械式,空気式又
は電気式システムによって制御され
る。論理システムと組み合わせた電
気式空燃比センサが安全なレベルの
空燃比を実現する。 

 

10 

低いリスク環境 
時間内に脱出するのに十分な機会のある限られた
人々に対する軽微な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3,空燃比 
危険源:爆発,火災,中毒 

13 

安全動作範囲外
の空燃比 

適正な空燃比は,機械式,空気式又
は電気式システムによって制御され
る。論理システムと組み合わせた電
気式空燃比センサが安全なレベルの
空燃比を実現する。 

 

14 

中程度のリスク環境 
時間内に脱出するのに合理的な機会のある少数の
人々に対する軽微な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3,空燃比 
危険源:爆発,火災,中毒 

13 

安全動作範囲外
の空燃比 

適正な空燃比は,機械式,空気式又
は電気式システムによって制御され
る。論理システムと組み合わせた電
気式空燃比センサが安全なレベルの
空燃比を実現する。 

 

15 

高いリスク環境 
時間内に逃げられなかった多数の人々に対する重
大な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3,空燃比 
危険源:爆発,火災,中毒 

注記 C.2.3を参照。 

 

 

 

 

 

 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


28 

B 8415-3:2020  

 

表C.2−IEC 61511-3による異なるリスク環境におけるSIL/PL決定 

プロジェクト:典型的なSIL決定の事例 
発行者: 
作成日: 
改正日: 
 

プロセス: 
安全計装機能(SIF): 
設備: 
リスク: 

リスクグラフマトリクス 

占有パラメータ 

回避パラメータ 

要求頻度パラメータ 

人が危険地帯に存在する頻
度。 
占有が限定的と認められれ
ば,結果パラメータを選ぶ
ことはできないはずであ
る。 

作動要求時に安全計装機能
(SIF)が故障した場合に,危険
事象を回避する可能性。 
危険を回避するか,全員を安全
区域に避難できるように作動
を停止するために提供された
独立した設備を意味する。 
満たすべき条件: 
・ SISが故障したことを操炉

作業者に警報する設備 

・ 安全な状態をもたらす独立

した設備 

・ 操炉作業者への警報と危険

事象発生との間の時間>1h 

推定要求頻度 

W9 

頻繁に 

1年に1回超 

W8 

とても 
よく 

1〜3年に1回 

結果パラメータ 

起こりやすさの合計(F+P+W) 

ひどさの 

レベル 

1〜2 

3〜4 

5〜6 

7〜8 9〜10 11〜12 

W7 

よく 

3〜10年に1回 

CF 壊滅的 

NR 

SIL 1 SIL 2 SIL 3 SIL 4 NO 

W6 

起こり 
得る 

10〜30年に1回 

CE 大規模  E 

NR 

NR 

SIL1 

SIL 2 SIL 3 SIL 4 

暴露率 

W5 

ときおり 30〜100年に1

回 

CD 重大 

OK 

NR 

NR 

SIL 1 SIL 2 SIL 3 

FD 

常に 

100 % 

W4 

あまり 
起こら 
ない 

100〜300年に1
回 

CC 相当 

OK 

OK 

NR 

NR 

SIL 1 SIL 2 

FC 

頻繁に 10 %〜 

100 % 

回避の可能性 

W3 

めったに 
ない 

300〜1 000年に
1回 

CB 軽微 

OK 

OK 

OK 

NR 

NR 

SIL 1 

FB 

ときお 
り 

1 %〜 
10 % 

PB 

回避条件未達 

W2 

ほとんど 
ない 

1 000〜10 000年
に1回 

CA 無視し 

得る 

OK 

OK 

OK 

OK 

NR 

NR 

FA 

まれに <1 % 

PA 

回避条件達成 

W1 

起こり 
得ない 

10 000〜100 000
年に1回 

 

 

 

 

 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


29 

B 8415-3:2020  

 

表C.2−IEC 61511-3による異なるリスク環境におけるSIL/PL決定(続き) 

SIF- 

番号 

危険事象 

安全計装機能(SIF) 

結果 

影響 

要求 
頻度 

起こり
やすさ 

区分 

危険源の記載内容及びコメント 

危害 

Sum 

SIL 

SIL 

10 

プラント温度が
最大許容動作温
度を超えている。 

論理システムと組み合わせた温度センサ
がプロセス温度を監視している。温度が
安全なレベルを上回った場合,安全な状
態にする。 

時間内に脱出するのに十分な機会のある限
られた人々に対する軽微な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品によ
る負傷 

− 

10 

プラント温度が
最大許容動作温
度を超えている。 

論理システムと組み合わせた温度センサ
がプロセス温度を監視している。温度が
安全なレベルを上回った場合,安全な状
態にする。 

時間内に脱出するのに合理的な機会のある
少数の人々に対する軽微な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品によ
る負傷 

10 

プラント温度が
最大許容動作温
度を超えている。 

論理システムと組み合わせた温度センサ
がプロセス温度を監視している。温度が
安全なレベルを上回った場合,安全な状
態にする。 

10 

時間内に逃げられなかった多数の人々に対
する重大な影響 
JIS B 8415-2の4.2.2.6/4.3.2.8,自動遮断弁 
危険源:火災,機械的故障,高温部品によ
る負傷 

NR 

12 

燃焼空気圧/流
量が低すぎる。 

圧力スイッチ,圧力トランスミッタ又は
流量計が空気圧/流量を監視しており,
圧力/流量が安全なレベルよりも下回っ
た場合,論理回路と組み合わせてプラン
トを安全な状態にする。 

時間内に脱出するのに十分な機会のある限
られた人々に対する軽微な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及
び圧力検出器 
危険源:爆発,火災,中毒,不完全燃焼 

− 

12 

燃焼空気圧/流
量が低すぎる。 

圧力スイッチ,圧力トランスミッタ又は
流量計が空気圧/流量を監視しており,
圧力/流量が安全なレベルよりも下回っ
た場合,論理回路と組み合わせてプラン
トを安全な状態にする。 

時間内に脱出するのに合理的な機会のある
少数の人々に対する軽微な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及
び圧力検出器 
危険源:爆発,火災,中毒,不完全燃焼 

− 

12 

燃焼空気圧/流
量が低すぎる。 

圧力スイッチ,圧力トランスミッタ又は
流量計が空気圧/流量を監視しており,
圧力/流量が安全なレベルよりも下回っ
た場合,論理回路と組み合わせてプラン
トを安全な状態にする。 

時間内に逃げられなかった多数の人々に対
する重大な影響 
JIS B 8415-2の4.2.3.2/4.3.3.2,空気流量及
び圧力検出器 
危険源:爆発,火災,中毒,不完全燃焼 

− 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


30 

B 8415-3:2020  

 

表C.2−IEC 61511-3による異なるリスク環境におけるSIL/PL決定(続き) 

SIF- 

番号 

危険事象 

安全計装機能(SIF) 

結果 

影響 

要求 
頻度 

起こり
やすさ 

区分 

危険源の記載内容及びコメント 

危害 

Sum 

SIL 

SIL 

13 

安全動作範囲外
の空燃比。 

適正な空燃比は,機械式,空気式又は電
気式システムによって制御する。論理シ
ステムと組み合わせた電気式空燃比セン
サが安全なレベルの空燃比を実現する。 

時間内に脱出するのに十分な機会のある限
られた人々に対する軽微な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3:空燃比 
危険源:爆発,火災,中毒 

13 

安全動作範囲外
の空燃比。 

適正な空燃比は,機械式,空気式又は電
気式システムによって制御する。論理シ
ステムと組み合わせた電気式空燃比セン
サが安全なレベルの空燃比を実現する。 

10 

時間内に脱出するのに合理的な機会のある
少数の人々に対する軽微な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3:空燃比 
危険源:爆発,火災,中毒 

NR 

13 

安全動作範囲外
の空燃比。 

適正な空燃比は,機械式,空気式又は電
気式システムによって制御する。論理シ
ステムと組み合わせた電気式空燃比セン
サが安全なレベルの空燃比を実現する。 

10 

時間内に逃げられなかった多数の人々に対
する重大な影響 
JIS B 8415-2の4.2.3.3/4.3.3.3:空燃比 
危険源:爆発,火災,中毒 

NR 

注記 C.2.4を参照。 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


31 

B 8415-3:2020  

 

C.2.3 JIS B 9961の附属書Aによるリスク見積り及びSIL割付け(例 表C.1) 

C.2.3.1 危険源の同定 

予見可能な誤使用による危険源も含め,安全関連制御因子(SRCF)によってリスク低減すべき危険源を

同定し,表C.7の危険源の欄に記載する。 

C.2.3.2 リスク見積り 

図C.1に示すように,危険源ごとに,次の項目からリスクパラメータを決定し,リスク見積りを実施す

る。 

− 危害のひどさ:Se 

− その危害の発生確率:次の項目の関数として, 

− 危険源に人が暴露する頻度及び継続時間:Fr 

− 危険事象の発生確率:Pr 

− 危害を回避又は限定できる可能性:Av 

 

 

 

図C.1−リスク見積りに用いるパラメータ 

 

表C.7に記入する推定値は,通常は,SRCFに対する最悪ケースに基づくことが望ましい。ただし,例

えば回復不可能な傷害が起こり得るが,回復可能な傷害より十分低い確率である場合は,各傷害のひどさ

のレベルを表の別々の行に記入することが望ましい。各行に対して異なるSRCFを実装する場合があり得

る。一つのSRCFで複数の行のリスクを低減する場合は,最も高い目標SILを用いることが望ましい。 

C.2.3.3 危害のひどさ(Se) 

傷害又は健康被害のひどさは,回復可能な傷害,回復不可能な傷害及び死亡という概念を尺度にして見

積もることが可能である。傷害の結果をベースにした表C.3から,傷害のひどさの適切な値を選択する。 

4: 致命的又は回復不可能な重大傷害を意味する。治ったとしても,以前の仕事を続けることは非常

に難しい。 

3: 重傷又は回復不可能な傷害を意味する。治った後に以前の仕事を続けることが可能である。手足

骨折のような回復可能ではあるが重い傷害を含めてもよい。 

2: 医師の手当てを必要とする回復可能な傷害(ひどい裂傷,突き刺し,ひどい打撲傷など)を意味

する。 

1: 応急処置で対処できる軽い傷害(すり傷,打撲傷など)を意味する。 

表C.3の危害のひどさレベルの欄から適切な行を選択して,対応する番号を表C.7のSe欄に記入する。 

 


32 

B 8415-3:2020  

 

表C.3−危害のひどさ(Se)の分類 

傷害の結果 

危害のひどさレベル(Se) 

回復不可能:死亡,目又は腕の喪失 

回復不可能:手足骨折,指の喪失 

回復可能:医師の手当てを必要 

回復可能:応急処置を必要 

 

C.2.3.4 危害の発生確率 

C.2.3.4.0A 一般事項 

危害の発生確率の3個のパラメータ(Fr,Pr及びAv)は,互いに独立に見積もることが望ましい。SRCF

が,必要なSILよりも小さいものを割り付けられることのないように,各パラメータは最悪ケースを仮定

することが望ましい。通常,危害の発生確率を予測する場合に適切な考察ができるように,タスクベース

分析を行うことをが望ましい。 

C.2.3.4.1 暴露の頻度及び継続時間 

暴露のレベル(頻度及び継続時間)を決定するに当たって,次の側面を検討する。 

− 全ての運転モード(例えば,正規運転,保全)に基づいた危険区域へのアクセスの必要性 

− アクセスの性質(例えば,材料の手動供給,設定など) 

暴露の平均間隔,すなわち,アクセスの平均頻度を見積もることが可能であることが望ましい。 

また,暴露の継続時間を推定することが可能であることが望ましい(例えば10分より長いかどうか)。

継続時間が10分に満たない場合は,暴露のレベル値を1段下げることが可能である。ただし,暴露の頻度

(間隔)が1時間以下の場合は,継続時間がどんなに短くても,暴露のレベルを下げないことが望ましい。 

継続時間は,SRCFの保護の下で実行する活動と関係がある。重要な介入を行う場合,電源断路及びエ

ネルギー消散に関連するJIS B 9960-1及びJIS B 9714の要求事項を適用することが望ましい。 

この要素は,SRCFの故障に関する考察は含んでいない。 

表C.4に示す暴露の頻度及び継続時間から適切な値(Fr)を選び,対応する数字を表C.7のFr欄に記入

する。 

 

表C.4−暴露レベル(Fr)の分類 

暴露の頻度及び暴露継続時間から決まる暴露レベル(Fr) 

暴露の頻度 

継続時間10分超の暴露レベル値 

1時間以下 

1時間超かつ1日以下 

1日超かつ2週間以下 

2週間超かつ1年以下 

1年超 

 

C.2.3.4.2 危険事象の発生確率 

危害の発生確率は,他のパラメータFr及びAvとは独立に見積もることが望ましい。SRCFが,必要な

SILよりも小さいものを割り付けられることのないように,各パラメータは最悪ケースを仮定することが

望ましい。低すぎるSIL割付けを防ぐために,危害の発生確率を見積もる場合に適切な考察ができるよう

に,タスクベース分析を行うことが望ましい。 

パラメータPrは,次のことを考慮して見積もることが可能である。 

a) 異なる運転モード(正規運転,保全,不具合調査など)における,危険源に関連する機械部分の動き


33 

B 8415-3:2020  

 

の予測可能性 

これは,特に予期しない起動のリスクに関する制御システムへの注意深い考察が必要となる。いか

なるSRECSの保護効果を考慮してはならない。これは,SRECSが故障した場合にさらされるリスク

を見積もる必要があるからである。一般論として,処理する機械又は材料が予期しない動きをする傾

向があるかどうかを考察する必要がある。 

機械の動きは,予測できるものからできないものまで多岐にわたるが,予期しない事象を無視でき

ない。 

注記 予測可能性は,機械の複雑さに関係することが多い。 

b) 危険源に関連する機械部分への介入に関して,特定又は予見できる人の行動特性。これには次のこと

が関係する。 

− ストレス(時間の制約,作業負荷,損傷の知覚限界などによる。)。 

− 危険に関連する情報の認識不足(スキル,訓練,経験,機械及び工程の複雑さなどに影響される。)。 

これらの属性は,通常,SRECS設計者の直接影響下にあるわけではないが,タスクベース分析によ

って,全ての状況に人の注意が働くことを合理的に仮定できないような活動(予期しない結果を含め

て)が見えるようになる。 

通常の生産上の制約及び最悪ケースを考慮したことを反映するために,危険事象の発生確率の指標

は,“とても高い”(5)を選択することが望ましい。低い指標を用いる場合は,それを裏付ける理由(例

えば,よく定義された使用法,使用者の高い専門知識など)が必要である。 

使用者に必要な又は想定されるスキル,知識などは,全て使用上の情報に記載することが望ましい。 

表C.5から危険事象の発生確率(Pr)を選択し,該当する数字を表C.7のPr欄に記入する。 

 

表C.5−発生確率(Pr)の分類 

発生確率 

発生確率の指標(Pr) 

とても高い 

起こりやすい 

時々起こる 

まれには起こる 

無視できる 

 

C.2.3.4.3 危害を回避又は限定できる確率(Av) 

このパラメータは,危険源による危害を回避又は限定できるかといった,機械の設計及び意図する使用

法の側面を考慮して見積もることが可能である。これらの側面には,例えば,次のものがある。 

− 突然の,高速又は低速での危険事象の出現 

− 危険から逃れるための空間の有無 

− 構成品又はシステムの性質 

例えば,ナイフは通常鋭い。乳製品工場のパイプは通常熱い。電気はその性質上,通常危険である

が見ることができない。 

− 危険源(例えば,電気の危険源)を認識できる可能性 

例えば,電気導体に電圧がかかっているか否かは目視では分からない。これを確認するためには測

定器を必要とする。騒音の大きい環境では,機械が始動する音が聞こえないことがある。 

表C.6から危害を回避又は限定できる確率(Av)を選択し,該当する数字を表C.7のAv欄に記入する。 

 


34 

B 8415-3:2020  

 

表C.6−危害を回避又は限定できる確率(Av)の分類 

危害を回避又は限定できる確率(Av) 

不可能 

可能 

容易 

 

C.2.3.5 予想危害のクラス(Cl) 

各危険源の該当する危害のひどさのレベル(Se)に対して,Fr,Pr及びAvの欄からポイントを合計し

て,その値を表C.7のCl欄に記入する。 

 

表C.7−予想危害のクラス(Cl)を決定するために用いるパラメータ 

一連番号 

危険源 

Se 

Fr 

Pr 

Av 

Cl 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

C.2.3.6 SIL割付け 

表C.8を用いる。ひどさ(Se)の行が該当するクラス(Cl)の列と交差するところを見て,リスク低減

が必要かどうかを判断する。各欄にSRCFに目標として割り付けるべきSILxが示されている。(OM)と示

されている欄は,SRECS以外の方策(OM)を推奨することを示す。 

 

表C.8−SIL割付けマトリクス 

危害のひどさ

(Se) 

クラス(Cl) 

3〜4 

5〜7 

8〜10 

11〜13 

14〜15 

SIL2 

SIL2 

SIL2 

SIL3 

SIL3 

 

(OM) 

SIL1 

SIL2 

SIL3 

 

 

(OM) 

SIL1 

SIL2 

 

 

 

(OM) 

SIL1 

 

例 ある危険源に対して,Se:3,Fr:4,Pr:5,Av:5と見積もった。したがって, 

Cl=Fr+Pr+Av=4+5+5=14 

表C.8によれば,この危険源を低減するために用いるSRCFに割り付けるべきSILは,SIL3と

なる。 

C.2.4 IEC 61511-3の附属書Hによるリスクグラフのユーザガイド(表C.2) 

C.2.4.0A 一般事項 

IEC 61511-3によるリスクグラフマトリクスは,安全計装機能のSIL割付けに用いる。SILは,リスクグ

ラフの危害の結果を表すパラメータCと,危害の発生の確かさを表すパラメータF,P及びWとの組合せ

によって決まる。各々の危険事象について,SILは,健康面(H),環境面(E),資産面(F)でそれぞれ

定義する。考察対象のSIFの全体目標となるSILは,上記の三つの側面(健康,環境及び資産)の中で最

大と確定したSILによって決まる。 

図C.1で示したリスクパラメータを決定することによって危険事象ごとにリスク見積りを実行し,次か

らリスク見積りを導き出す。 

− ひどさのレベル(C)及び 


35 

B 8415-3:2020  

 

− 上記の危害が発生する確率で,その確率は次の関数による。 

・ 占有期間を表すパラメータ(F):危険にさらされる区域が危険事象発生時に占有される確率 

・ 危険状態回避の確率を表すパラメータ(P):SIFが要求時に機能しない場合,存在する危険状態を

人が回避できる確率 

・ 作動要求率を表すパラメータ(W):考察対象のSIFが導入されない場合の残存する作動要求率又は

危険事象の頻度 

C.2.4.0B 危険源の同定 

SIFの導入によってリスクが軽減されるべき危険事象(合理的に予見可能な誤使用を含む)を明記する。

それらを表C.2の“危険事象の説明”,“安全計装機能(SIF)の説明”の欄に記載する。 

C.2.4.1 結果パラメータの選択 

結果パラメータは,危険事象の発生によって想定される死亡者及び/又は重傷者の数を表す。この数は,

危険事象に対するぜい弱性を考慮した上で,危険にさらされる場所が占有されている場合の人数を計算し

て得られる。 

ひどさのレベル(C)は危険事象の結果を見積もったものである。健康(H),環境(E)及び資産(F)

に対する適切なレベルを選択する。C列に個別の危険源に対して選択したひどさのレベルを記入する。 

注記 適切なひどさのレベルの決定は,組織のリスクマネジメント及び当局によって決定された許容

可能なリスク水準に適合するように調節された各結果のカテゴリを前提としている。 

各結果におけるひどさのレベルの詳細は,表C.9,表C.10及び表C.11を参照する。 

 

表C.9−結果的なひどさのレベル−健康被害(H) 

C a) 

健康被害(H) 

人命を失う可能性 

危険な事象による健康への 

最悪の結果 

健康結果カテゴリへの 

追加のコメント 

CF 

壊滅的 
(Catastrophic) 

PLL>1 

3人以上死亡 
10人以上の多数が重傷 

数人死亡の可能性 

CE 

大規模 
(Extensive) 

PLL=0.1〜1.0 

2人以下の死亡 
3人以上重傷 

死亡者の出る可能性 

CD 

重大 
(Serious) 

PLL=0.01〜0.1 

2人以下の重傷 
3人以上負傷 

数人の休業傷害 
一人又は複数の永続的障害 
死亡者の可能性は低いがあり得る。 

CC 

相当 
(Considerable) 

PLL<0.01 

2人以下の負傷 
深刻な不快感 

一人又は複数の休業傷害 
永続的傷害となる可能性は少ない。 
死亡者は発生しない。 

CB 

軽微 
(Marginal) 

PLL=0 

軽傷 
継続する不快感 

休業傷害者はない。 
治療が必要 

CA 

無視し得る 
(Negligible) 

PLL=0 

無視し得る負傷 
一時的な不快感 

休業傷害者はない。 
治療も必要としない。 

注a) ひどさのレベル 

 


36 

B 8415-3:2020  

 

表C.10−結果的なひどさのレベル−環境被害(E) 

C a)  環境被害(E) 

流出の影響 

流出の広がり 

危険な事象による 

環境への最悪の結果 

環境結果カテゴリへの 

追加のコメント 

CF 

壊滅的 
(Catastrophic) 

継続的 

広範囲 

広範囲で恒久的又は長
期間の被害 
汚染除去は不可能又は
困難 

川又は海に液体が流出 
広範囲の蒸気又はエアロゾルの放
出 
流出物は,植物又は野生生物に継
続的又は恒久的なダメージを与え
る。 

CE 

大規模 
(Extensive) 

継続的 

狭い範囲 

狭い範囲の流出だが恒
久的又は長期間の被害 
汚染除去は不可能又は
困難 

液体が地下水に流出 
限定的な範囲への蒸気又はエアロ
ゾルの放出 
流出物は,植物又は野生生物に継
続的又は恒久的なダメージを与え
る。 

CD 

重大 
(Serious) 

継続的 

局所的 

局所的だが恒久的又は
長期間の被害 
汚染除去は不可能又は
困難 

敷地内での液体漏えい。局所的範
囲での蒸気又はエアロゾルの放出
(フェンス内) 
流出物は,植物又は野生生物に継
続的又は恒久的なダメージを与え
る。 

CC 

相当 
(Considerable)

一時的 

広範囲/狭い
範囲 

広範囲から狭い範囲の
一時的な被害 
汚染除去は容易又は不
要 

川又は海に液体が流出 
局所的範囲での蒸気又はエアロゾ
ルの放出 
流出物は,植物又は野生生物に一
時的なダメージを与える。 

CB 

軽微 
(Marginal) 

一時的 

局所的 

局所的(現場で)一時
的な被害 
汚染除去は容易又は不
要 

敷地内での液体漏えい。局所的範
囲での蒸気又はエアロゾルの放出
(フェンス内) 
流出物は,植物又は野生生物に一
時的なダメージを与える。 

CA 

無視し得る 
(Negligible) 

無視し得る 

 

無視し得る環境被害 
汚染除去は不要 

フランジ又は弁からの少量の漏え
い。液体の少量の漏えい又はわず
かな土壌汚染で地下水には影響し
ない。環境への影響が無視し得る。 

注a) ひどさのレベル 

 


37 

B 8415-3:2020  

 

表C.11−結果的なひどさのレベル−経済的被害(F) 

C a) 

経済的被害 

(F) 

資産の被害 

(百万円)b) 

生産損失 

(百万円)b) 

危険な事象による 

金銭への最悪の結果 

金銭的結果カテゴリへの 

追加のコメント 

CF 

壊滅的 
(Catastrophic) 

>1 000 

>5 000 

生産,市場シェア及び
イメージの壊滅的損失 

生産ユニット及び/又はプラント
への壊滅的損害 
1年以上の生産停止を引き起こ
す,又は必要とする事象 

CE 

大規模 
(Extensive) 

100〜1 000 

500〜5 000 

甚大な生産損失 
市場シェア及び/又は
イメージの大きな損失 

設備及び/又は資産に対する甚大
な損害 
数箇月の生産停止を引き起こす,
又は必要とする事象 

CD 

重大 
(Serious) 

10〜100 

50〜500 

大きな生産損失 
市場シェア及び/又は
イメージのかなりの損
失 

設備及び/又は資産に対する深刻
な損害 
最大1か月の生産停止を引き起こ
す,又は必要とする事象 

CC 

相当 
(Considerable)

1〜10 

5〜50 

かなりの生産損失 
市場シェアの軽度の損
失 

設備及び/又は資産に対するかな
りの損害 
最大1週間の生産停止を引き起こ
す,又は必要とする事象 

CB 

軽微 
(Marginal) 

0.1〜1 

0.5〜5 

軽微な生産損失 
市場シェア及び/又は
イメージの損失はない 

装置への軽微な損害 
1日の生産停止の原因となる事象 

CA 

無視し得る 
(Negligible) 

<0.1 

<0.5 

無視し得る生産損失 
市場シェア及び/又は
イメージの損失はない 

装置へ損害は無視し得る 
一時的(数時間の)生産停止の原
因となる事象 

注a) ひどさのレベル 

b) 対応国際規格ではユーロで記載され,ここでは1ユーロ=100円で換算している。 

 

C.2.4.2 占有パラメータ(occupancy parameter)の選択 

占有パラメータは,暴露される領域が危険事象発生のときに占有される確率を表し,危険事象の時間に

占有されている領域の時間の割合・比率を計算することによって決定する。これには,危険事象の積上げ

中に存在し得る異常状態を調査するために危険な場所にさらされる人員数の増加の可能性を考慮に入れる

ことが望ましい(これがCパラメータに変化を与え得るかどうかも考慮する。)。 

暴露率(exposure rate)(F)は,危険事象が発生した時点で危険にさらされる場所が占有されている確率

である。暴露率は,健康(H)のリスクにだけ有効である。占有状態が定常的な場合,又は健康に対する

ひどさのレベルを選択したときに既に占有の可能性が減少していることが認められている場合,“常に”の

選択肢(FD)を選択する。占有状態が頻繁にある場合,又は占有状態が危険状態に依存する場合,暴露率

としてFC(頻繁に)を選択する。その場所がときおり専有されていて,かつ,人員がその場に居合わせる

ことが危険事象と明らかに無関係な場合は,暴露率としてFB(ときおり)の選択が望ましい。危険な場所

が囲われていて,人員が立ち入ることが“まれ”であり,かつ,それが危険事象と明らかに無関係である

場合にだけ,暴露率としてFA(無視し得る)を与えるのが望ましい。F列に,選択した番号(0〜2)を記

入する。環境(E)及び資産(F)の危険源には,1があらかじめ決められている。 

C.2.4.3 回避パラメータ(avoidance parameter)の選択 

回避パラメータは,安全計装機能(SIF)の作動要求時に故障した場合に,危険にさらされた人員が危険

な状態を回避することができる確率を表す。これは,危険事象が発生する前に危険源にさらされる人員に

注意喚起する独立した方法があること,並びに環境(E)及び資産(F)について決まった回避方法がある


38 

B 8415-3:2020  

 

ことに関係する。 

回避の可能性(P)は,考慮されている安全機能が危険事象を防止できない場合の危険事象の回避の可

能性である。通常,PB(回避条件が満たされない)を選択する。動作要求時にSIFが故障したときに危険

区域にいる全ての人員が時間内に安全区域に避難できる可能性が高い場合は,PAを健康(H)のリスクに

対して個々に選択することが可能である。時間だけでなく,危険区域にいる全ての人員に警告し,避難さ

せるための独立した施設が必要になる。PAは,危険事象が操炉作業者の手動操作で回避できる場合にも選

択することが可能である。この場合,PAは,環境(E)及び資産(F)のリスクにも関連する。機能故障

を操炉作業者に警告する,及びプロセスを手動で安全な状態にするための独立した装置は絶対に必要であ

る。PAを選択する場合,接近するのに必要な時間も重要な要求事項となる。PAとする際の操炉作業者へ

の警告から危険事象までに要する時間は最低1時間である。Pの列には,選択した回避パラメータの数字

(0又は1)を記入する。 

C.2.4.4 要求頻度パラメータ(demand rate parameter)の選択 

要求頻度パラメータは,安全計装機能(SIF)が検討されていないと仮定した場合に,危険事象が年間に

起こり得る回数を表す。これは,危険事象につながる可能性のある全ての故障を考慮し,全体的な発生確

率を見積もることによって決定可能である。検討には他の保護階層も考慮することが望ましい。 

検討されたSIFが実行されない場合,危険事象の残留要求比率又は頻度を,見積もるか又は計算するこ

とによって要求頻度パラメータ(W)を選択する。この頻度は,故障及び他の危険事象につながる発端の

事象との組合せによって決定することが可能である。プロテクティブシステム(SIS)が導入されていない

安全防護柵(safty barriers)に対しても,数値を記入することが望ましい。防護層解析(LOPA, layer of 

protection analysis)は,推奨する頻度分析の方法である。警報及び操炉作業者の対応を含め,通常の制御

システム(BPCS)内で実行される防護に対するリスク低減の値は,IEC 61511(全ての部)の定義による

と10倍まで最大化できる[リスク低減係数(RRF)>0.1]。W列に,見積もった,又は計算した残留要求

比率に対応する数を記入する。 

C.2.4.5 リスクグラフマトリクスSILの割付け 

最後に,健康(H),環境(E)及び資産(F)のそれぞれに対するF,P及びWの数字を足し合わせ,そ

の数字を“起こりやすさ,Likelifood”の列に記入する。ひどさのレベル(A〜F)と起こりやすさの合計(1

〜12)との組合せによって,それぞれの危険源に対するリスクグラフマトリクスを用いて安全度水準(SIL)

を導出する。全体的なSIL目標値は,決定された最大のSILに等しい。 

 


39 

B 8415-3:2020  

 

附属書D 
(参考) 

JIS C 0511方式を用いた安全計装機能に対する拡張した 

リスクアセスメントの例 

 

D.1 一般事項 

この附属書は,方法Dによるプロテクティブシステムの構築のためのJIS C 0511(全ての部)によるシ

ステム設計を行う場合の,設計手順の部分的な例を記載している。これは,あくまでも実例の紹介であり,

網羅的なものではないので,実際のシステムにそのまま用いることは望ましくない。 

 

D.2 制御下にある装置の概念説明 

ここで,500 ℃で負圧状態の非可燃性雰囲気で運転する熱処理炉があり,その炉には40基のバーナがそ

れぞれの炉側面の長さの半分にわたって設置されている。ブロワが2基,それぞれが一方の炉側に設置の

半数のバーナに燃焼空気を供給している。燃料流量制御弁も2基,それぞれ一方の炉側に設置の半数のバ

ーナのメインヘッダに設置されている。ブロワからの空気及び燃料流量は,プロセス温度を維持するため

に調節されている。燃料及び空気流量制御ループは,中央制御システムを介して提供されている。最低流

量は空気で25 %,燃料流量で10 %である。燃料流量の最大値は,定格燃焼量100 %で設定されている制御

弁の,80 %に制限されている。バーナへの燃料圧力は0.25 kPa(ゲージ圧)から14 kPa(ゲージ圧)まで

の範囲,空気圧力は2.5 kPa(ゲージ圧)から15 kPa(ゲージ圧)までの範囲で調節されている。 

炉は200名が従事している鉄製の施設内(10 000 m2)に設置され,炉周辺では溶接,切断,グラインダ

及び他のスパークを発生させるような作業が行われている。 

炉長は20 mで炉幅2 m。排気管が6基あり,それらは1基のマニホールドに集合され,排出管に接続さ

れている。炉は連続操業している。被処理物は炉の一方の端から装入され,もう一方の端から取り出され

る。プロセスはバッチ式で,1バッチ2時間〜12時間を要する。炉壁は,過大圧力条件70 kPa(ゲージ圧)

までで設計されている。爆発口は設けられていない。 

ブロワは外部ベアリングベルト駆動方式である。ブロワのモータは,中央制御からの4 mA〜20 mAの可

変速度制御(以下,VSDという。)で起動及び制御されている。それぞれのバーナには,燃焼空気の量を

制限することができ,保全中には閉止することができるダンパが設置されている。 

制御弁は,線間電圧によって駆動するアクチュエータ付きのバタフライ弁によって動作している。制御

信号は,中央制御システムによって与えられる4 mA〜20 mAの信号である。 

 

D.3 危険源及びリスクアセスメント 

D.3.0A 一般事項 

燃焼用空気の喪失は,燃焼室内に未燃燃料を蓄積させることにつながる。その後,燃焼用空気源が回復

すると,爆燃及び爆発を引き起こす可能性がある。 

D.3.1 事象の開始 

ブロワシステムの故障には次のようなものがある。 

a) ベアリング(内蔵型,外装型,又は回転体の不釣り合い) 

b) モータの故障(ベアリング,巻線短絡,過負荷,又はブレーカ作動) 


40 

B 8415-3:2020  

 

c) VSDの故障(短絡,又は断路) 

d) ベルト故障(摩耗,又は破断) 

e) 空気取入れ口の閉塞(泥,板,段ボール紙又は防水シート) 

f) 

ヒューマンエラー(ブロワの停止,又は取入れ口の閉塞) 

g) ヒューマンエラー(不適切なタイミングでの閉止又は不適切なダンパの閉止) 

h) ダンパ固定ねじが振動で緩むことによるダンパの閉止 

バーナダクトからの空気の漏えいには次のようなものがある。 

a) フレキシブルダクトの漏えい又は破損 

D.3.2 危険源−プロセスの逸脱−燃焼用空気の不足 

燃焼用空気の不足には,次のようなものがある。 

a) 一つ以上のバーナの空気不足 

b) 一酸化炭素(CO)及び未燃炭化水素の炉内蓄積 

c) 不安定燃焼 

 

D.4 結果 

結果として生じる重大な影響には次のようなものがある。 

a) 排気管内のアフターバーニング(負圧による空気の引込み) 

b) 燃焼用空気が回復すると,爆燃及び爆発を引き起こす可能性がある。 

 

D.5 イベントツリーの例 

イベントツリーの例を図D.1に示す。 

 


41 

B 8415-3:2020  

 

 

図D.1−イベントツリーの例 

 

D.6 プロテクティブシステムの安全要求事項の仕様 

D.6.A 一般事項 

この箇条では,プロテクティブシステム(SIS)及びアプリケーションプログラムを設計するのに必要十

分な安全要求事項の仕様について,考え得る内容の例を記載している。 

D.6.1 一般要求事項 

一般的な要求事項は,次による。 

a) 炉の運転シーケンス中のいかなる時点においても,バーナへの燃焼空気が最大空気量の20 %以下に低

下した場合,関連する全てのバーナへの燃料供給をプロセス安全時間内に遮断しなければならない。 

b) VSDからのモータ運転状態は,強制トリップ機能を有効にするために論理処理部に直接結線するもの

とする。ブロワ運転状態は,少なくともRRF=1/PFD=10のリスク低減係数(RRF)をもたらさなけ

ればならない。(PFD:作動要求当たり平均不具合確率) 

c) 燃焼空気流量センサは,燃焼室を適切にパージするのに十分な空気流量を確保するために起動シーケ

ンスに組み込まなければならない。 

d) 安全シャットダウン後は,必ず,燃焼室内部を容積の5倍相当量でパージする。パージ中,センサが

0.003 52 

0.004 4 


42 

B 8415-3:2020  

 

計測する空気流量は最大空気流量の50 %以上でなければならない。空気流量がこの流量を下回る場合,

パージの継続を行ってはならない。 

e) 安全計装機能は,プラントの定期修理と一致させるため,2年のテストインターバルの条件で352(SIL 

2)のリスク低減係数(RRF)を満足しなければならない。 

注記 付加的な方策がなければ,図D.1の場合,死亡のリスクは0.003 52となっている。許容可能

なリスクが10−5である場合,プロテクティブシステム(SIS)によって0.003 52から10−5ま

でリスク低減する必要があり,10−5/0.003 52=0.002 84以下のPFD(作動要求当たり平均故障

確率)をもつプロテクティブシステム(SIL2)が要求される。これは,RRF=1/PFD=352の

リスク低減が必要ということを意味している。 

f) 

システムの安全状態とは,炉から燃料を隔離させることである。自動遮断弁は,故障時に閉止状態と

なるものでなければならない。 

g) 燃焼空気ブロワの安全状態は,炉への最低限の空気流量を確保するものとする。空気システムは,故

障の場合,最大流量へと向かわなければならない。 

h) 手動による緊急停止の間,安全状態にすることとは,燃料及び点火源を完全に隔離することである。

電源の喪失があったとき,プロテクティブシステムは,手動による緊急停止がもたらす状態と同じ状

態をもたらさなければならない。 

i) 

動作媒体(油圧又は空圧)の喪失の場合は,自動遮断弁は,安全シャットダウンしなければならない。 

j) 

要求度は1年に1回未満,すなわち,低頻度モードである。要求度の根拠は,装置ハードウェアの故

障,コントロールループの故障及びヒューマンエラーによる。操炉作業者は,文書化されたトレーニ

ングプロセスを経た者とみなされる。 

k) 各安全機能の誤作動の発生率は,10年に1回を超えてはならない。 

l) 

安全機能は,2年ごとに90 %の診断カバー率で確認テストを行わなければならない。90 %の有効範囲

を確保し,自動遮断弁への出力が遮断されていることを確認するために,空気の流量をトリップポイ

ント以下まで低減させる。このテストを行っている間,炉の安全性が損なわれないように,燃料は手

動で炉から隔離されているものとする。自動遮断弁への動力の遮断は,他の方法,例えば,上流の手

動弁を閉じて火炎監視器の火炎の喪失信号による自動遮断弁の閉止を確認することによって,個別に

テストしなければならない。一旦,自動遮断弁が閉止した場合,漏えいテストを行わなければならな

い。 

m) 空気流量がトリップポイントを下回った場合,炉への燃料の完全に遮断するためのプロセス安全時間

は10秒未満とする。このプロセス安全時間は,未燃の燃料が10秒以内に燃焼炉の強度を上回るのに

十分なエネルギーをもつ爆発性混合物とならないことを示すLFL(燃焼下限界,lower flammability 

limit)の計算を根拠としている。 

n) 空気流量がトリップポイントを下回った時点から,炉への燃料供給の完全な遮断までのシステム応答

時間は5秒を超えてはならない。これはプロセス安全時間の半分である。 

D.6.2 安全センサの機能要求事項 

安全センサの機能要求事項は,次による。 

a) 炉のそれぞれの側面にハードウェアのフォールトトレランス(耐障害性)1をもつ1oo2D 2)で構成され

た二つの安全関連の空気流量検出器を設置する。 

注2) 1oo2Dは,二つのチャンネルのいずれかが安全機能を実施することができる,診断機能付き

構成。詳細はJIS C 0508-6,附属書Bを参照。 


43 

B 8415-3:2020  

 

b) 空気流量は,質量,速度又は差圧法を用いて直接計測する。静圧の測定値を流量に変換している場合

にありがちな,下流側の閉塞物による誤った流量測定を防止しなければならない。 

c) 共通の流路部を一般の燃焼プロセス制御と同様に安全の流量トランスミッタに用いてもよいが,共通

原因故障を避けるために,全ての検出ライン,元弁及び接続箇所は分離しなければならない。 

d) 安全センサのために全ての安全マニュアルを確認しなければならない。 

e) 空気流量センサは,次を満足する。 

1) 燃焼プロセス制御用センサと異なるモデルでなければならない。ただし,同一の製造業者のものを

使用してもよい。これは共通原因故障を避けるためである。 

2) −20 ℃〜60 ℃で適切に使用可能である。 

3) 下流側の温度によって校正可能である。 

4) 過酷な振動及び工業的な環境下で適切に動作する。センサは,衝撃,衝突などに対して十分な機械

的保護を講じて確実に設置しなければならない。 

5) 過酷な工業的EMC環境において適切に動作する。 

6) Class I Zone IIA T1の危険環境下で適切に動作する。 

7) IP 65又はそれ以上のきょう(筐)体をもつ。 

8) 高性能であり診断有効範囲ファクタは80 %以上とする。センサは,不具合状態が検出された場合,

3.8 mA以下の低アナログ出力信号に復帰する。 

9) スマートフィールドプログラマ(例 HARTコミュニケータ)で設定可能である。ただし,一旦,

安全機能がオンラインとなった場合に,通信を切断できなければならない。 

10) 2年間再校正することなく少なくとも2 %の精度を保つ。 

11) 工場出荷時に,追跡可能な校正証書をもつ。 

12) SIL 3のシステム能力をもつ。 

13) 適切なSIL証書をもつ。 

14) 1.5 mm2のツイスト配線で,論理処理部側にドレインをもつシールドペア保護計装ケーブルで配線

される。全ての高電圧及び大きなEMIを発する機器(モータ,VSD)から少なくとも1 m以上離し

たところに設置したケーブルトレー内に配線する。 

f) 

センサへの検出配管は,次を満足する。 

1) 低い位置又はゆるみができないような上り勾配とする。検出配管は燃焼空気ダクトに自然に排出す

る。 

2) 結露の影響なく高速の反応を確実にするために,配管径は最低12 mmとする。 

3) 同様の反応時間差とするために全てのセンサの検出配管の長さを同じにする。 

g) センサへの検出導線は316 SSTの耐腐食性をもつ。 

h) センサへの検出配管は,30分以上,最低10 kPa下において漏えいがないことを確認する。ねじ込み接

合の場合,センサを塞ぐことがないように初めの二つのねじ山には,ねじ込み接合潤滑剤を使用しな

い。 

i) 

それぞれのセンサにゼロ調整及びテストのための手段を講じる。適切な機器は,適切な取外しハンド

ル及び差圧圧力校正器に接続できる適切な接続口をもつ三つ又は五つの弁を備えたマニホールドであ

る。 

j) 

安全運転中,マニホールドのセンサ弁の手動ハンドルは,取り外されていなければならない。 

k) テスト中にハンドルは取り付けられている。圧力校正器をセンサに接続し,25 %,続いて20 %に相当


44 

B 8415-3:2020  

 

する差圧を一つのセンサに与える。これによってシステムに対して安全機能作動の要求とならなけれ

ばならない。プルーフテストの間に両方のセンサのテストを行う。 

D.6.3 警告,外部比較及びヒューマンマシンインターフェース(HMI)を含む論理処理部の要求事項 

警告,外部比較及びヒューマンインターフェース(HMI)を含む論理処理部の要求事項は,次による。 

a) 1oo2Dのペアのそれぞれの流量センサは,PLC上のアナログ入力カードによる別々に隔離された4 mA

〜20 mAの12ビットループに接続する。 

b) プロセス制御センサは中央制御システムに接続する。 

c) それぞれのバーナに対する自動遮断弁はPLC上の分離された24 VDCデジタル出力カードに接続する。 

d) 安全論理処理部は,1秒以下の一次ソフトウェアフィルタを備えている。 

e) 流量センサの自己診断機能が不具合を検出し,論理処理部にレンジ外信号を発した場合,論理処理部

は論理矛盾を検出し,不具合のあった流量センサ及び安全機能は1oo1に戻る。この状況下において,

流量センサに不具合があることを表示する警告が論理処理部内で起動する。この警告は,4時間おき

に再警告する。 

f) 

1oo2Dへの平均復旧時間(MTTR)は72時間とする。 

g) 予備品として少なくとも一つの空気流量センサを保管しなければならない。 

h) それぞれの空気流量センサからのアナログ値は,中央制御システムに伝送される。燃焼プロセス制御

の流量信号は,安全センサとの逸脱量及び安全センサからの不具合警告とともに表示される。HMIは,

安全システムからのそれぞれの空気流量センサのアナログ値を表示する選択肢を提供するものとする

が,操炉作業者がプロセス制御の空気流量センサの値だけを表示するために切り換えることが可能で

ある。 

i) 

HMIの更新時間は1秒未満とする。 

j) 

警告は音及び表示で行い,履歴に記録する。 

k) 操炉作業者に安全機能作動が差し迫っていることを警告するために,空気流量センサ又は燃焼プロセ

スセンサのいずれかが最大空気流量の25 %を下回った場合,警告とならなければならない。 

l) 

1oo2Dの空気流量センサのうちの一つと燃焼プロセス制御の空気流量センサとの差が10 %を超えた

とき,警告とならなければならない。この10 %は,余剰空気約15 %におけるバーナ運転条件に対応

する排ガス中のO2濃度3 %でのシステム運転に基づくものである。 

m) HMI上にそれぞれの弁の状態が表示される。バルブ位置スイッチとの不一致は警告を発する。 

n) 燃焼空気流量が燃料遮断の原因である場合は,まず,HMI上に表示されなければならない。 

o) 詳細な要求事項に関しては,論理処理部の仕様書を確認する。 

D.6.4 操作端の要求事項 

操作端の要求事項は,次による。 

a) それぞれのバーナは,二つの直列に配置された電磁式(24 VDC)自動遮断弁をトリップするための二

つのエネルギー遮断アクチュエータをもつ。 

b) その自動遮断弁は,論理処理部に結線した閉止位置スイッチのフィードバック手段をもつ。 

c) 燃料は一定の発熱量をもつ清浄な天然ガスとする。安全弁への燃料供給は,100 μm以上の不純物の通

過を確実に防止するために,上流でフィルタを通過させる。フィルタの下流側の配管は,燃料システ

ムの試運転に先立って清掃する。 

d) それぞれの自動遮断弁の上流側に圧力をかけて下流側で圧力測定ができるような手段を講じる。 

e) 自動遮断弁は次を満足する。 


45 

B 8415-3:2020  

 

1) 耐火性がある。 

2) 密閉性があり自動遮断弁の適用可能な規格(ISO 23551-1)の要求事項に適合している。 

3) 配管上での保全及びテストができるように上流及び下流側で隔離できるようにする手段を備えてい

る。 

4) −20 ℃〜60 ℃の天然ガス温度に適合している。 

5) −20 ℃〜60 ℃の周囲の温度に適合している。 

6) 危険環境については,Class I Zone IIb TC3に適合している。 

7) 1 MPa(ゲージ圧)までの圧力に適合している。 

8) 重工業環境における高振動,高EMCに適合する。 

9) 取外し及び交換を容易にするためにフランジ接合としている。 

10) 耐腐食性に優れている又は表面処理されている。 

f) 

テスト中,自動遮断弁の漏えい量は50 L/hを超えない(ISO 23551-4による)。 

g) 自動遮断弁が漏えいテストに不合格の場合,バーナは保全のために隔離可能である。炉は,一つのバ

ーナが停止している間も運転させることが可能である。 

h) 予備品として少なくとも一つの自動遮断弁を保管しなければならない。 

D.6.5 手動介入の要求事項 

手動介入の要求事項は,次による。 

a) 空気量の低下又は空気量の安全機能が喪失した場合,必ず手動リセットするものとし,装置が自動的

に再起動することを防止しなければならない。手動リセットボタンは装置の近くに設置する。また,

再起動に先立って操炉作業者が実際に確認しなければならない。 

b) 全ての燃料及び燃焼空気を直接停止するための,分離かつ独立した手動停止機能を設置しなければな

らない。一つは制御室,一つは炉の近く及び一つは最低でも20 m離れた場所に,三つの手動停止ボ

タンを設置しなければならない。手動停止機能は,JIS B 9703による,きのこ形押しボタンとし誤動

作を防ぐためにガードを設ける。安全機能に係る他の機器とともに,2年に1回,手動停止の確認を

行う。 

D.6.6 起動の要求事項 

燃焼用空気ブロワは,ESDボタンが切断されておらず,また,ブロワ切離し設定がONの場合に運転す

る。これによって,燃焼用空気流が必ず存在し,かつ,起動時において燃焼用空気流のバイパスがなくな

る。 

パージ中,パージを確実に行うために,燃焼用空気流量は最大空気流量の60 %以上でなければならない。

これはパージを行っている間の追加的条件となる。空気流量が最小パージ流量を下回った場合,パージを

停止し再起動させなければならない。パージの間,炉及び関連する煙道の少なくとも5倍の容量の置換を

確保するために,PLCは燃焼空気流量及び必要なパージ時間の計測を行わなければならない。 

 


46 

B 8415-3:2020  

 

附属書E 

(参考) 

プロテクティブシステム系統図の例 

 

図E.1〜図E.18は,種々の方法(A〜D法)の系統図の例を示す。 

 

 

 

注記 安全機能として火炎監視を想定している。 

 

図E.1−4.2.1の方法Aを適用した系統図の例(火炎監視) 

 

 

センサ:

圧力スイッチ

JIS C 9730-2-6

ISO 23550

P

論理処理部:

自動バーナ制御

JIS C 9730-2-5

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

 

 

注記 安全機能として最低圧力監視を想定している。 

 

図E.2−4.2.1の方法Aを適用した系統図の例(最低圧力監視) 

 

 

P

センサ:

圧力スイッチ

JIS C 9730-2-6

ISO 23550

論理処理部:

安全リレー

SIL 3/PL e対応

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

 

 

注記 安全機能として最低圧力監視を想定している。 

 

図E.3−4.2.2の方法Bを適用した系統図の例(最低圧力監視) 

 

論理処理部:

自動バーナ制御

JIS C 9730-2-5

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

センサ:

火炎検出器(UV検出器又はフレー

ムロッド)

JIS C 9730-2-5

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

センサ: 

火炎検出器 

(UV検出器又はフレームロット) 

JIS C 9730-2-5 


47 

B 8415-3:2020  

 

センサ:

熱電対

温度

温度

論理処理部:

安全リレー

SIL 3/PL e対応

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

 

 

注記 安全機能として高温リミット監視を想定している。 

 

図E.4−4.2.2の方法Bを適用した系統図の例(高温リミット監視) 

 

 

 

注記 安全機能として火炎監視を想定している。 

 

図E.5−4.2.3の方法Cを適用した系統図の例(火炎監視) 

 

P

センサ:

圧力スイッチ

JIS C 9730-2-6

ISO 23550

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

論理処理部:

最低圧力監視機能

安全PLCハードウェア

SIL 3/PL e対応

適合確認及び妥当性確認された

ソフトウェア機能ブロック

 

 

注記 安全機能として最低圧力の監視を想定している。 

 

図E.6−4.2.3の方法Cを適用した系統図の例(最低圧力監視) 

 

P

P

センサ:

圧力スイッチ

JIS C 9730-2-6

ISO 23550

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

操作端:

自動遮断弁

ISO 23551-1(気体燃料)
ISO 23553-1(液体燃料)

論理処理部:

最低圧力監視機能

安全PLCハードウェア

SIL 3/PL e対応

適合確認及び妥当性確認された

ソフトウェア機能ブロック

 

 

注記 安全機能として最低圧力の監視を想定している。 

 

図E.7−4.2.3の方法Cを適用した系統図の例(2センサによる最低圧力監視) 


48 

B 8415-3:2020  

 

 

 

注記 安全機能として火炎の監視を想定している。 

 

図E.8−4.2.4の方法Dを適用した系統図の例(火炎監視) 

 

 

 

 

注記 安全機能として最低圧力監視を想定している。 

 

図E.9−4.2.4の方法Dを適用した系統図の例(最低圧力監視) 

 

 

 

 

注記 安全機能として最低圧力監視を想定している。 

 

図E.10−4.2.4の方法Dを適用した系統図の例(2センサによる最低圧力監視) 

 


49 

B 8415-3:2020  

 

 

 

注記1 安全機能として空燃比監視を想定している。 
注記2 O2/CO測定器とサンプリング系とは適切な応答時間となるように選定される。 

 

図E.11−4.2.3の方法C又は4.2.4の方法Dを適用した系統図の例(空燃比監視;COセンサあり) 

 

 

 

 

注記1 安全機能として空燃比監視を想定している。 
注記2 O2測定器とサンプリング系とは適切な応答時間となるように選定される。 

 

図E.12−4.2.3の方法C又は4.2.4の方法Dを適用した系統図の例(空燃比監視;COセンサなし) 

 


50 

B 8415-3:2020  

 

 

 

注記1 安全機能として空燃比監視を想定している。 
注記2 ウォッベ指数が変化する燃料では追加的手段が必要となる。 
注記3 流量の計算のためには,ISO 5167(全ての部)を参照。 

 

図E.13−4.2.3の方法C又は4.2.4の方法Dを適用した系統図の例 

(空燃比監視;空気差圧センサ及び燃料差圧センサ) 

 


51 

B 8415-3:2020  

 

 

 

注記1 安全機能として空燃比監視を想定している。 
注記2 プロテクティブシステムO2センサとサンプリングシステムとには,適切な応答時間を選択する。 

 

図E.14−4.2.3の方法C又は4.2.4の方法Dを適用したプロテクティブシステム及び 

プロセス制御システムの例(例1) 

 


52 

B 8415-3:2020  

 

 

 

注記1 安全機能として空燃比監視を想定している。 
注記2 適切な応答時間のプロテクティブシステムO2センサとサンプリングシステムを選択する。 

 

図E.15−4.2.3の方法C又は4.2.4の方法Dを適用したプロテクティブシステム及び 

プロセス制御システムの例(例2) 

 


53 

B 8415-3:2020  

 

 

 

注記1 安全機能として4.2.2の方法Bに適合しているガス圧力低監視を想定している。 
注記2 安全機能として4.2.2の方法Bに適合しているガス圧力高監視を想定している。 
注記3 安全機能として4.2.2の方法Bに適合している空気圧力低監視を想定している。 
注記4 安全機能として4.2.2の方法Bに適合している高温リミット監視を想定している。 
注記5 安全機能として4.2.1の方法Aに適合している火炎監視を想定している。 

 

図E.16−組み合せた方法で適合している複数ループの例(例1) 

 


54 

B 8415-3:2020  

 

 

 

注記1 安全機能として4.2.3の方法Cに適合しているガス圧力低監視を想定している。 
注記2 安全機能として4.2.3の方法Cに適合しているガス圧力高監視を想定している。 
注記3 安全機能として4.2.3の方法Cに適合している空気圧力低監視を想定している。 
注記4 安全機能として4.2.2の方法Bに適合している高温リミット監視を想定している。 
注記5 安全機能として4.2.1の方法Aに適合している火炎監視を想定している。 

 

図E.17−組み合せた方法で適合している複数ループの例(例2) 

 


55 

B 8415-3:2020  

 

 

 

注記1 安全機能として4.2.4の方法Dに適合しているガス圧力低監視を想定している。 
注記2 安全機能として4.2.4の方法Dに適合しているガス圧力高監視を想定している。 
注記3 安全機能として4.2.4の方法Dに適合している空気圧力低監視を想定している。 
注記4 安全機能として4.2.4の方法Dに適合している高温リミット監視を想定している。 
注記5 安全機能として4.2.4の方法Dに適合している火炎監視を想定している。 

 

図E.18−組み合せた方法で適合している複数ループの例(例3) 

 


56 

B 8415-3:2020  

 

附属書F 

(規定) 

ハードワイヤリングプロテクティブシステム 

 

F.1 

一般事項 

この附属書は,安全の水準を損なわないように,プロテクティブシステムのハードワイヤリング方法に

ついて規定する。また,インターロック,操作端などと接続する方法についても規定する。 

この附属書は,ハードワイヤによる論理処理部内部の配線,及び直接又は間接的に操作端を制御するハ

ードワイヤによる論理処理部とハードワイヤ接続された機器との間の配線に適用する。 

この附属書は,機器(例 インターロック,アクチュエータ,操作端,火炎検出,点火装置など)間の

現場配線については適用しない。 

ハードワイヤによるプロテクティブシステムの安全の水準を維持するために,設計及び開発時において

決定論的原因故障を防止し又はその誘引を防止し,かつ,運転中にランダム及びシステマティックな不具

合をコントロールできるように設計特性(例えば,自己確認,冗長化など)を適用するための技術を用い

る。 

図F.1に示す不具合評価は,設計,不具合解析及び安全の確証のために用いる。 

注記 図F.1の適用に基づいて,単一不具合による危険な状態は除外することが可能となる。 

 

F.2 

内部不具合に対する保護 

プロテクティブシステムは,次のいずれかで設計しなければならない。 

a) プロテクティブシステムの実効性を損なう可能性のある不具合を,図F.2及び図F.3の例に示すよう

な不具合回避技術を用いて最小化する。 

注記 不適切なハードワイヤリングの例を,図F.4,図F.5及び図F.6に示す。 

b) 内部不具合(例 リレーの溶着,誤配線,内部過昇温),又は,外部からの影響(例 EMC,振動,

高温,ほこり,落雷)が発生した場合,プロテクティブシステムは,危険にならない,又は燃焼炉を

安全な状態に保つ,若しくは安全な状態に移行させなければならない(不具合制御技術を用いて)。 

異なる機器で生じる二つの独立した不具合の同時発生について考慮する必要はない(例 二つのリレー

の,共通の原因で生じたものでない同時故障)。 

図F.1に従って,検出されない第一の不具合を伴う第二の不具合の組合せを考慮しなければならない。

第一の不具合から生じる不具合(連続的不具合)は,第一の不具合と関連させて考慮しなければならない

(図F.7を参照)。 

非連続運転のためのシステムについては,起動時に不具合が検出された場合,装置は運転しない。 

連続運転のためのシステムについては,第二の不具合は第一の不具合があった24時間後に生じるものと

して考慮する(例 運転中に不具合が検出された場合,第一の不具合が検出されてから24時間を超えて

運転を継続してはならない。)。 

 

F.3 

不具合回避の方策 

開発中,不具合を防止するために,次に列挙する項目を含む(ただし,これらに限定しない。)組織的及

び設計上の注意を払わなければならない。 


57 

B 8415-3:2020  

 

a) プロジェクト特有の生産手順計画の条件を,次に例示する(ただし,これらに限定しない。)。 

1) 仕様 

2) 設計(系統図,回路ダイアグラム,部品リスト又はハードウェアの設計) 

3) テスト計画 

b) 安全関連機能の機器とそれ以外の関連機能の機器との分離 

c) 機能及び接続がテストによって確認されていなければならない。 

アプリケーション特有の集積回路を用いる場合は,不具合回避の対策において特段の注意を払わなけれ

ばならない。 

注記 決定論的原因故障を防止するための技術及び方策は,附属書Aを参照。 

 

F.4 

ハードウェアの設計 

F.4.1 

ハードウェアの一般要求事項 

ハードウェアの一般要求事項は,次による。 

a) システムの仕様は,容易に理解可能で論理的に構成し,安全の考え方及び保護機能を明確に記載しな

ければならない。 

b) 要求される機能,不具合発生時の対応,インターフェース(ソフトウェア,ハードウェア)及びシス

テム内の機能ユニットの許容可能な環境への影響を明確に規定しなければならない。 

F.4.2 

プロテクティブシステムのハードワイヤセクション 

プロテクティブシステムのハードワイヤセクションは,図F.1による不具合評価が完了するように構成

しなければならない。 

図F.1に基づくプロテクティブシステムの不具合評価においては,予備電源の故障及び接続線の破断に

ついて考慮しなければならない。機器がこのような故障の影響にさらされても安全状態(例 バイナリ回

路における閉回路運転)を維持できる場合は,次の方策を除いて,関連する部品の単一チャンネル設計を

してもよい。 

a) 安全状態の維持が想定できない場合(例 バイナリ回路における開回路運転),この機能に対するプロ

テクティブシステム(全ての空圧,油圧及び機械的操作端を含む。)の有効性を確保するために第二の

独立したトリップチャンネルを設置しなければならない。 

b) 非半導体回路の場合,燃料供給を安全に遮断するために,少なくとも二つの監視されている回路遮断

機器(すなわち,接触器又はリレー)を設置しなければならない。 

c) 図F.1に基づいた十分に短い間隔での定期検査が行われないことが想定される連続運転するバーナの

場合,全ての燃料供給を停止するために,多様な機能又はハードウェアの多様性を用いた遮断器(接

触器又はリレー)を設置する。 

d) リードリレーを保護機能に用いてはならない。 

注記 ハードウェアの多様性は,様々な構造・種類の電気−機械式スイッチ機器を用いて得ることが

可能である。例えば,異なる構造又は設計を用いたスイッチ機器を用いることが可能である。

機能の多様性は,閉回路の配置及び開回路の配置によって得ることが可能である。 

 


58 

B 8415-3:2020  

 

不具合評価

1

第一の不具合で
プロテクティブ
システムの有効
性が損なわれる

不具合発生時に
自動的に不具合

が検出される

追加の保護
方策が必要

1

追加された第二
の不具合でプロ
テクティブシス
テムの有効性が

損なわれる

信号処理

定期的な検査は

十分か

自動的な定期的
検査が要求され

ているか

連続的な監視に

よる方策か

警報から

遮断に変更

する

1

自動不具合検
出策を追加す

1

取扱説明書:
定期点検又は

トラブルシュート

不具合評価完了

遮断

警報

yes

yes

yes

yes

no

no

no

yes

no

yes

no

no

 

図F.1−プロテクティブシステムのハードワイヤ部の不具合評価 

 


59 

B 8415-3:2020  

 

 

 記号 

論理処理部 

安全入力 

安全出力 

 

自動遮断弁 

バルブ電圧 

ニュートラル(接地相) 

注記 この図は冗長性及び内部診断を伴う安全出力を表す。 

 

図F.2−不具合回避の例 

 

 

 

 

 

 

 


60 

B 8415-3:2020  

 

 

 記号 

論理処理部 

安全入力 

安全出力 

自動遮断弁 

 

バルブ電圧 

ニュートラル(接地相) 

K1 リレー1 
K2 リレー2 

注記1 リレーの故障は必ず検出される。 
注記2 リレーの要求事項は4.3 a)を参照。安全回路における基本的なリレーの形態については図F.8

を参照。 

 

図F.3−不具合回避の例 

 

 

 

 


61 

B 8415-3:2020  

 

 

 記号 

論理処理部 

安全入力 

安全出力 

自動遮断弁 

 

バルブ電圧 

ニュートラル(接地相) 

K1 リレー1 

注記1 単一の故障が危険状態となり得る。故障は検出されない。 
注記2 この図は,図F.8で示されたリレーを用いたとしても不適切なハードワイヤリ

ングを表している。 

 

図F.4−不適切なハードワイヤリングの例 

 

 

 

 

 

 

 


62 

B 8415-3:2020  

 

4

1

3

2

K1

K1

5

6

 

 記号 

論理処理部 

安全入力 

安全出力 

自動遮断弁 

 

バルブ電圧 

ニュートラル(接地相) 

K1 リレー1 

注記1 リレーの故障は検出される。単一のリレーの故障は危険状態となり得る。 
注記2 この図は,図F.8で示されたリレーを用いたとしても不適切なハードワイヤ

リングを表している。 

 

図F.5−不適切なハードワイヤリングの例 

 

 

 

 

 

 

 


63 

B 8415-3:2020  

 

 

 記号 

論理処理部 

安全入力 

安全出力 

自動遮断弁 

 

バルブ電圧 

ニュートラル(接地相) 

K1 リレー1 
K2 リレー2 

注記1 単一の故障は危険を回避するが,リレーの故障は検出されない。故障が蓄積さ

れ,危険に至る。 

注記2 この図は,図F.8で示されたリレーを用いたとしても不適切なハードワイヤリ

ングを表している。 

 

図F.6−不適切なハードワイヤリングの例 

 

 

 

 

 


64 

B 8415-3:2020  

 

 

 記号 

論理処理部 

安全入力 

安全出力 

自動遮断弁 

バルブ電圧 

 

ニュートラル(接地相) 

火炎検出器 

K1 リレー1(故障) 
K2 リレー2 

注記1 リレー1における単一の故障は,第一の不具合として検出される。論理回路は自動遮断弁を閉

止する。断火は,第一の不具合として考慮されない連続的な不具合である。 

注記2 リレーの要求事項は4.3 a)を参照。強制ガイド付き接点をもつリレーの説明は,図F.8を参照。 

 

図F.7−連続的不具合の例 

 

 

 

 

 

 

 

 

 

 


65 

B 8415-3:2020  

 

x

2

2

1

1

4

4

3

 

 記号 

通常時に閉の接点(主接点) 

通常時に開の接点(ミラー接点) 

溶着接点(不具合) 

強制ガイド付き構造 

最小距離 

 

図F.8−強制ガイド接点付きリレー 

 

安全回路に用いる,リレー位置のフィードバック可能なリレーは,強制ガイド付き接点でなければなら

ない。電力用リレーのミラー接点は,主接点の位置をフィードバックするためだけに使われなければなら

ない。 

注記 最小距離及び連動機構を適切に設計することで,リレーコイルに通電され,ノーマルクローズ

接点が溶着したときには,ノーマルオープン接点が開のままとなる。同様に,ノーマルオープ

ン接点の溶着不具合時には,リレーコイルが非通電のときに,ノーマルクローズ接点が開のま

まとなる。 

 


66 

B 8415-3:2020  

 

附属書JA 

(参考) 

燃焼炉の点検要領の例 

 

JA.1 日常点検 

この点検の目的は,炉の運転を正常に維持するため,異常を早期に発見し,必要な処置をとることにあ

る。この日常点検表に必要な点検項目及び対象の例を,表JA.1に示す。 

 

JA.2 定期点検 

この点検の目的は,炉の運転を正常に維持するため,運転中では点検できない箇所に対し,あらかじめ

定められた周期に従って炉を停止し,最適な方法で点検することである。また,点検の実施は,これらの

定められた周期のほか,炉の停止又は修理の機会を利用することもある。この定期点検に必要な点検項目

及び対象の例を,日常点検と同様に表JA.1に示す。 

 

JA.3 記録の保存 

記録の保存期間は,次期の炉の修理完了及び日常点検表の改正までとするのが一般的である。また,こ

れらの点検によって,予防保全を実施した場合又は炉の運転を変更した場合のような記録の保存は,使用

者が定めた期間とする。 

 

表JA.1−日常点検及び定期点検一覧表 

 


 

項目 

点検対象 

日常点検要領 

定期点検要領 

実施周期 

日常 

定期 

炉 炉殻 

破損・変形の有無 

目視 

目視 

○ 

 

異常温度上昇の有無 

目視 

目視 

▲ 

 

炉床 

損傷・損耗の有無 

目視 

目視 

〇 

 

炉壁及び炉天
井 

損傷・脱落の有無 

目視 

目視 

〇 

 

扉,開閉装置
など 

耐火物の損傷・脱落の有無 

目視 

開閉作動テスト 

〇 

 

開閉動作の不具合の有無 

目視 

開閉作動テスト 

〇 ▲ 

排気煙道など 

ダンパの損傷・開閉状況 

目視及び作動テス
ト 

目視及び作動テスト 

○ 

 

煙道内部の損傷の有無 

目視 

目視 

異物の付着・堆積の有無 

目視 

目視 

その他 

炉内に異物がないか 

目視 

目視 

〇 

 

 



 

搬送機構 

作動状況 

異常の有無 

作動テスト 

〇 ▲ 

損傷・変形の有無 

目視 

作動テスト 

〇 

 

駆動装置 

異常音・振動の有無 

異常の有無 

作動テスト 

〇 ▲ 

異常温度上昇の有無 

異常の有無 

作動テスト 

過電流の有無 

電流計の読み 

電流計の読み 

▲ 

 

 


67 

B 8415-3:2020  

 

表JA.1−日常点検及び定期点検一覧表(続き) 

 


 

項目 

点検対象 

日常点検要領 

定期点検要領 

実施周期 

日常 

定期 

 



 

主バーナ 

詰まり・損傷の有無 

目視 

分解調整 

〇 ▲ 

燃焼状態 

目視,異常音及び
振動の有無 

作動テスト 

▲ 

 

点火・消火時の異常の有無 

異常音の有無 

作動テスト 

点火装置 

詰まり・損傷の有無 

目視 

点検及び分解調整 

〇 

 

取付位置・作動不良の有無 

作動の確認 

分解調整及び作動テスト  ○ ▲ 

送風機 

異常音・振動・異常温度上
昇・過電流の有無 

異常の有無 

掃除 

▲ 

 

フィルタの目詰まりの有無 

目視及び圧力確認 

掃除 

〇 ▲ 

附属ダンパの開閉状態 

目視及び圧力確認 

作動テスト 

〇 

 

 




 

自動遮断弁 

作動異常の有無 

振動・異常音・過
熱の有無 

作動テスト 

〇 ▲ 

内外部の漏えい 

圧力の確認,目視
又は臭覚 

漏えいテスト 

燃焼監視装置 

機能の異常の有無 

作動確認 

作動テスト 

〇 ▲ 

稼働部の損耗・汚れの有無 

目視 

掃除及び作動テスト 

〇 

 

他の安全装置 

各種インターロック 

作動状態確認 

作動テスト及び取付状態  〇 ▲ 

 




 

燃料配管及び
バルブ 

供給圧の異常の有無 

目視 

点検及び作動テスト 

〇 ▲ 

漏えいの有無 

臭覚など異常の有
無 

点検及び漏えいテスト 

腐食の有無 

目視 

点検及びテスト 

〇 

 

温度の異常の有無 

異常の有無 

点検及びテスト 

〇 ▲ 

ろ過器の詰まりの有無 

異常の有無 

点検及び掃除 

保温状態が正常か 

目視 

点検 

ドレンの有無 

ドレン抜きテスト 

点検 

 

冷却水周り 

温度・流量・水質 
(異常損耗・変色・汚濁) 

異常の有無 

点検及び水質確認 

〇 ▲ 

 

制御盤 

盤内の汚れと異常な温度上
昇 

目視,異常の有無 

点検 

〇 ▲ 

 

焼入れ油槽及
び附属装置 

油の漏えい 

目視 

点検,掃除及び油質確認  〇 ▲ 

異常な温度上昇の有無 

目視 

点検,掃除及び油質確認 

水混入の有無 

目視 

点検,掃除及び油質確認 

 

熱交換器 

損傷の有無 

目視 

点検 

▲ 

 

漏えいの有無 

異常の有無 

点検 

異物堆積の有無 

目視 

点検及び掃除 

注記 〇:運転直前  M:1回以上/月  ▲:運転中  Y:1回以上/年 

 


68 

B 8415-3:2020  

 

附属書JB 

(参考) 

JIS B 8415-2及びISO 13577-2で規定されている関連製品規格 

 

方法A,方法B及び方法Cにおいては,JIS B 8415-2に適合した制御機器を使用することが可能である。

これらの関連製品規格を表JB.1に示す。また,ISO 13577-2では,各国の地域要求事項を記載した附属書

の規定も,本文の要求事項と同等以上の安全性能があると規定されているため,表JB.1には欧州及び米国

の地域要求事項にある関連製品規格も記載している。方法A,方法B及び方法Cを採用する場合には,こ

れらのいずれかの規格に適合した製品を使用することが可能である。 

 

表JB.1−関連製品規格リスト 

JIS B 8415-2 

細分箇条 

JIS B 8415-2に 

関連する製品規格 

ISO 13577-2 

本文の規定 

ISO 13577-2 附属書I 

欧州の地域規定 

ISO 13577-2 附属書H 

米国の地域規定 

4.2.2.4 
ガス圧力低下に
対する保護 

JIS C 9730-2-6 

IEC 60730-2-6 

EN 1854,Pressure 
sensing devices 

− UL 353,Limit Controls 
− FM 3510,Flow and Pressure 

Safety Switches 

4.2.2.5 
ガス圧力上昇に
対する保護 

JIS C 9730-2-6 

IEC 60730-2-6 

EN 1854,Pressure 
sensing devices 

− UL 353,Limit Controls 
− FM 3510,Flow and Pressure 

Safety Switches 

4.2.2.6 
自動遮断弁 

ISO 23551-1:2012 

ISO 

23551-1: 

2012 

EN 

161:2007

Automatic 

shut-off 

valve 

 

4.2.2.7 
自動遮断弁の閉
止確認(バルブ
機能検証) 

 

 

EN 1643,Automatic 
valve proving 

 

4.2.3.2 
空気流量及び圧
力検出器 

JIS C 9730-2-6 

IEC 60730-2-6 

EN 1854,Pressure 
sensing devices 

− UL 353,Limit Controls 
− FM 3510,Flow and Pressure 

Safety Switches 

4.2.3.3 
空燃比(空気式) 

ISO 23551-3 

ISO 23551-3 

EN 88-1,Pneumatic 
gas/air ratio controls 

 

4.2.3.3 
空燃比(電気式) 

ISO 23552-1 

ISO 23552-1 

EN 12067-2,Electronic 
gas/air ratio controls 

 

4.2.6 
自動バーナ制御
システム 

JIS C 9730-2-5 

IEC 60730-2-5 

EN 298 or EN 125,
Automatic 

burner 

control system 

 

4.3.2.6 
液体燃料圧力保
護 

JIS C 9730-2-6 

IEC 60730-2-6 

 

− UL 353,Limit Controls 
− FM 3510,Flow and Pressure 

Safety Switches 

4.3.2.7 
液体燃料温度保
護 

 

 

 

− UL 

873

Temperature-Indicating 

and 

-Regulating Equipment 

− FM 3545,Temperature Limit 

and Supervisory Switches 

4.3.2.8 
自動遮断弁(液
体燃料) 

ISO 23553-1 

ISO 23553-1 

EN 264 a) 

 


69 

B 8415-3:2020  

 

表JB.1−関連製品規格リスト(続き) 

JIS B 8415-2 

細分箇条 

JIS B 8415-2に 

関連する製品規格 

ISO 13577-2 

本文の規定 

ISO 13577-2 附属書I 

欧州の地域規定 

ISO 13577-2 附属書H 

米国の地域規定 

4.3.3.2 
空気流量及び圧
力検出器(液体
燃料) 

JIS C 9730-2-6 

IEC 60730-2-6 

 

− UL 353,Limit Controls 
− FM 3510,Flow and Pressure 

Safety Switches 

4.3.6 
自動バーナ制御
システム(液体
燃料) 

JIS C 9730-2-5 

IEC 60730-2-5 

 

 

注a) この規格は,廃止されており,ISO 23553-1に置き換わっている。 

 


70 

B 8415-3:2020  

 

附属書JC 

(参考) 
参考文献 

 

JIS B 9700:2013 機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減 

JIS B 9703:2019 機械類の安全性−非常停止機能−設計原則 

注記 対応国際規格:ISO 13850:2015,Safety of machinery−Emergency stop function−Principles for 

design 

JIS B 9714:2006 機械類の安全性−予期しない起動の防止 

注記 対応国際規格:ISO 14118:2017,Safety of machinery−Prevention of unexpected start-up 

JIS C 9730-2-6:2019 自動電気制御装置−第2-6部:機械的要求事項を含む自動電気圧力検出制御装置の

個別要求事項 

注記 対応国際規格:IEC 60730-2-6:2015,Automatic electrical controls−Part 2-6: Particular requirements 

for automatic electrical pressure sensing controls including mechanical requirements 

JIS Q 17025:2018 試験所及び校正機関の能力に関する一般要求事項 

注記 対応国際規格:ISO/IEC 17025:2017,General requirements for the competence of testing and 

calibration laboratories 

ISO 5167 (all parts),Measurement of fluid flow by means of pressure differential devices inserted in circular 

cross-section conduits running full 

ISO 13577-2:2014,Industrial furnaces and associated processing equipment−Safety−Part 2: Combustion and 

fuel handling systems 

ISO 23550:2018,Safety and control devices for gas and/or oil burners and appliances−General requirements 

ISO 23551-1:2012,Safety and control devices for gas burners and gas-burning appliances−Particular 

requirements−Part 1: Automatic and semi-automatic valves 

ISO 23551-3:2005,Safety and control devices for gas burners and gas-burning appliances−Particular 

requirements−Part 3: Gas/air ratio controls, pneumatic type 

ISO 23551-4:2018,Safety and control devices for gas burners and gas-burning appliances−Particular 

requirements−Part 4: Valve-proving systems for automatic shut-off valves 

ISO 23553-1:2014,Safety and control devices for oil burners and oil-burning appliances−Particular requirements

−Part 1: Automatic and semi-automatic valves 

IEC 61511-1:2016,Functional safety−Safety instrumented systems for the process industry sector−Part 1: 

Framework, definitions, system, hardware and application programming requirements 

IEC 61511-2:2016,Functional safety−Safety instrumented systems for the process industry sector−Part 2: 

Guidelines for the application of IEC 61511-1:2016 

IEC 61511-3:2016,Functional safety−Safety instrumented systems for the process industry sector−Part 3: 

Guidance for the determination of the required safety integrity levels 

EN 14597:2012,Temperature control devices and temperature limiters for heat generating systems 

 


71 

B 8415-3:2020  

 

附属書JD 

(参考) 

JISと対応国際規格との対比表 

 

JIS B 8415-3:2020 工業用燃焼炉の安全通則−第3部:プロテクティブシステム ISO 13577-4:2014,Industrial furnace and associated processing equipment−Safety−Part 

4: Protective systems 

 

(I)JISの規定 

(II) 
国際 
規格 
番号 

(III)国際規格の規定 

(IV)JISと国際規格との技術的差異の箇条
ごとの評価及びその内容 

(V)JISと国際規格との技術的差異の
理由及び今後の対策 

箇条番号 
及び題名 

内容 

箇条 
番号 

内容 

箇条ごと 
の評価 

技術的差異の内容 

1 適用範囲 工業用燃焼炉 

 

工業炉全般 

変更 

JISでは電気炉を含まない。 

JIS B 8415:2008の適用範囲と一致さ
せた。 

3.1 

自動遮断弁 

 

− 

− 

追加 

JISとして用語を追加した。 

内容に技術的差異はない。 

3.10 

プログラマブルコントロ
ーラ,PLC 

 

3.9 

プログラマブルコント
ローラ,PLC 

変更 

定義を明確化した。 

ISO規格の定義は簡易的な表現で分
かりにくいため,従来のJISの定義を
採用した。内容に技術的差異はない。 

3.16 

連続運転のためのシステ
ム 

 

3.15 

連続運転のためのシス
テム 

追加 

注記を追加した。 

JIS C 9730-2-5では同じ用語を永久的
動作システムとしているが,工業用燃
焼炉で通常使用される用語に変更し
たため,注記を追加した。内容に技術
的差異はない。 

3.17 

非連続運転のためのシス
テム 

 

3.16 

非連続運転のためのシ
ステム 

追加 

注記を追加した。 

JIS C 9730-2-5では同じ用語を非永久
的動作システムとしているが,工業用
燃焼炉で通常使用される用語に変更
したため,注記を追加した。内容に技
術的差異はない。 

4 プロテク
ティブシス
テムの設備
に適用する
設計要求事
項 

図3 各方法の概要 

 

図3 

各方法の概要 

変更 

“4.2.5に適合する機器”を追記
した。 

従来のJISに適合した制御装置は,製
品規格に適合する機器に相当する。そ
の適用範囲を明確にするため,図に追
記した。 

図4 方法Aのハードウェ
ア構成 

 

図4 

方法Aのハードウェア
構成 

変更 

“4.2.5による論理処理部”を追
記した。 

同上 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


72 

B 8415-3:2020  

 

(I)JISの規定 

(II) 
国際 
規格 
番号 

(III)国際規格の規定 

(IV)JISと国際規格との技術的差異の箇条
ごとの評価及びその内容 

(V)JISと国際規格との技術的差異の
理由及び今後の対策 

箇条番号 
及び題名 

内容 

箇条 
番号 

内容 

箇条ごと 
の評価 

技術的差異の内容 

4 プロテク
ティブシス
テムの設備
に適用する
設計要求事
項 
(続き) 

図5 方法Bのハードウェ
ア構成 

 

図5 

方法Bのハードウェア
構成 

変更 

“4.2.5による論理処理部”を追
記した。 

同上 

図6 方法Cのハードウェ
ア構成 

 

図6 

方法Cのハードウェア
構成 

変更 

“4.2.5による論理処理部”を追
記した。 

同上 

4.2.2 方法B 
4.2.3 方法C 
4.2.4 方法D 

 

4.2.2 
4.2.3 
4.2.4  

方法B 
方法C 
方法D 

変更 

ISO規格では,各要素間の接続方
法に関して許容(may be)となっ
ているが,JISでは要求事項とし
て明確化した。 

ISOでは曖昧な表現になっていたの
で,内容を明確化した。内容に技術的
差異はない。 

4.2.4 方法D 

 

4.2.4 

方法D 

変更 

ISO規格では本文中にないIEC 
61508 (all parts)[JIS C 0508(全
ての部)]の内容を本文中に追記
した。 

図7に記載があるが,利用者の便宜を
図り,本文中にも追記した。 

4.2.5 方法A,方法B及び
方法Cの論理処理部とし
て使用できる装置 

 

− 

− 

追加 

ISO規格にない,各方法の論理処
理部として使用できる装置に関
して,従来JISの規定を追加し
た。 

従来のJISに適合した制御装置は製品
規格に適合する機器に相当するため,
その規定を追加した。 

4.3A 4.2.5に適合した論
理処理部のハードワイヤ
部に対する不具合評価 

 

− 

− 

追加 

4.2.5に記載した装置に関する要
求事項を追加した。 

同上 

附属書C 

C.2.2 表C.2 IEC 61511-3
による異なるリスク環境
におけるSIL/PL決定 
C.2.4.0A 
一般事項 
C.2.4.0B 
危険源の同定 

 

附属 
書C 
C.2.2 

表C.2 IEC 61511-3に
よる異なるリスク環境
におけるSIL/PL決定 

変更 

IEC 61511-3:2016の内容に基づ
き内容を変更した。 

ISO 13577-4発行時点では,IEC 
61511-3のEd.2.0は審議中であり,
2016年に正式発行されたので,JISは,
その内容に合わせて記載を変更した。
ISOに提案する予定である。 

附属書JA 
(参考) 

燃焼炉の点検要領 

 

− 

− 

追加 

4.2.5に対応した点検要領(従来
JISの規定)を追加した。 

4.2.5に対応した点検要領として追加
した[4.2.5.2 i)参照]。 

 

6

 

B

 8

4

1

5

-3

2

0

2

0

 

 

 

 

 


73 

B 8415-3:2020  

 

(I)JISの規定 

(II) 
国際 
規格 
番号 

(III)国際規格の規定 

(IV)JISと国際規格との技術的差異の箇条
ごとの評価及びその内容 

(V)JISと国際規格との技術的差異の
理由及び今後の対策 

箇条番号 
及び題名 

内容 

箇条 
番号 

内容 

箇条ごと 
の評価 

技術的差異の内容 

附属書JB 
(参考) 

JIS B 8415-2及びISO 
13577-2で規定されてい
る関連製品規格 

 

− 

− 

追加 

JISでは,JIS及びISO規格で規
定されている関連製品規格の一
覧表を追加した。 

利用者の便宜を図るため,いずれの製
品規格に適合した製品が使用できる
のか一覧表にして明確にした。内容に
技術的差異はない。 

JISと国際規格との対応の程度の全体評価:ISO 13577-4:2014,MOD 

注記1 箇条ごとの評価欄の用語の意味は,次による。 

− 追加  国際規格にない規定項目又は規定内容を追加している。 
− 変更  国際規格の規定内容を変更している。 

注記2 JISと国際規格との対応の程度の全体評価欄の記号の意味は,次による。 

− MOD  国際規格を修正している。 

 

6

 

B

 8

4

1

5

-3

2

0

2

0