この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語、定義、記号、略語
3.1 用語と定義
この文書の目的のために、ISO 12100:2010 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1.1
制御システムの安全関連部分
希望小売価格/CS
安全機能 (3.1.27) を実行する制御システムの一部。安全関連の入力から始まり、安全関連の出力を生成します。
注記 1:制御システムの安全関連部分は、安全関連の入力が開始されるwhere (例えば、作動したカムや位置スイッチのローラーを含む) で始まり、その出力で終了します。電力制御要素(たとえば、コンタクタの主接点を含む)。
3.1.2
機械制御システム
機械要素の一部、オペレーター、外部制御装置、またはこれらの組み合わせからの入力信号に応答し、機械を意図した方法で動作させる出力信号を生成するシステム
注記 1:機械制御システムは、任意の技術、またはさまざまな技術の任意の組み合わせ (電気/電子、油圧、空気圧、機械など) を使用できます。
3.1.3
安全要件の仕様
SRS
安全機能 の特性 (機能要件) および 要求される性能レベル (PL r ) (3.1.6) に関して、安全関連制御システムが満たさなければならない安全機能の要件 (3.1.27) を含む仕様。
[出典:IEC 61508‑4:2010, 3.5.11, 修正済み — IEC 61508‑4:2010, 3.5.12 の情報が含まれています。]
3.1.4
カテゴリー
障害 (3.1.8) に対する耐性に関するサブシステム (3.1.45 ) の分類、および部品の構造配置、障害検出、および/またはそれらの信頼性によって達成される障害状態でのその後の動作
3.1.5
パフォーマンスレベル
pl
予見可能な条件下で 安全機能 (3.1.27) を実行する制御システム (SRP/CS) (3.1.1) の安全関連部分の能力を指定するために使用される個別レベル
注記 1:パフォーマンスレベルの概要については、6.1 を参照。
3.1.6
必要なパフォーマンスレベル
pl r
各 安全機能 (3.1.27) に必要な リスク (3.1.19) の低減を達成するために必要な 性能レベル (3.1.5)
注記 1:要求される性能レベル (PL r ) の詳細については、5.3 および図 A.1 を参照。
3.1.7
安全完全性レベル
シル
安全関連システムに割り当てられる 安全機能 (3.1.27) の安全完全性要件を指定するための個別レベル (可能な 4 つのうち 1 つ)ここで, 安全完全性レベル 4 は最高レベルの安全完全性と安全完全性を持ちます。レベル1が最も低い
注記 1:この文書では、SIL 1 から SIL 3 のみが考慮されます。
[出典:IEC 61508‑4:2010, 3.5.8, 修正 - 「安全関連システムに割り当てられる」が定義に追加され、注が削除され、エントリに新しい注 1 が追加されました。]
3.1.8
障害
必要な機能を実行する機能単位の能力の低下または喪失を引き起こす可能性のある異常な状態
注記 1:障害は、多くの場合、項目自体の 障害 (3.1.10) の結果ですが、事前の障害がなくても存在する可能性があります。
注記 2:この文書において、「障害」とは、ランダムな障害、または 系統的な障害 (3.1.14) によって引き起こされる障害を意味します。
[出典:IEC 60050‑192:2015, 修正済み — エントリの注記 2 が修正されました。]
3.1.9
障害の除外
制御システム(SRP/CS)の安全関連部分内の特定の 故障(3.1.8) の除外(これらの故障の確率が無視できるため、この除外が正当化できる場合)
3.1.10
失敗
必要な機能を実行するためのデバイスの能力の終了
注記 1: 障害の後、デバイスには 障害が発生します (3.1.8) 。
注記 2: 「障害」はイベントであり、状態である「障害」とは区別されます。
注記 3:制御下にあるプロセスの可用性にのみ影響する障害は、この文書の範囲外です。
[出典:IEC 60050‑192:2015, 修正 — エントリの注 3 が修正されました。]
3.1.11
永久故障
事後保守のアクションが実行されるまで持続する項目の 障害 (3.1.8)
[出典:IEC 60050‑192:2015]
3.1.12
危険な失敗
- a)必要なときに安全機能が動作しないようにする (デマンドモード)、または安全機能が機能しなくなる (連続モード) ため、機械/機械が危険な状態または危険な状態になる可能性があります。また
- b)必要なときに安全機能が正しく動作する確率が低下します。
[出典:IEC 61508-4:2010, 3.6.7, 修正版 - 「EUC」は「機械/機械」に置き換えられました。]
3.1.13
よくある原因の失敗
CCF
1 つ以上のイベントの結果として発生する 障害 (3.1.10) 。複数のチャネル サブシステム (3.1.45) 内の 2 つ以上の個別の チャネル (3.1.47) の同時障害を引き起こし、 安全機能 (3.1) の障害につながります。 .27)
注記 1:共通原因障害は、共通モード障害と同一ではありません (ISO 12100:2010, 3.36 を参照)
[出典:IEC 61508‑4:2010, 3.6.10, 修正 - 「システム障害」は「安全機能の障害」に変更されました。エントリに注記 1 が追加されました。]
3.1.14
系統的な障害
特定の原因に決定論的に関連する 故障(3.1.10) 。設計または製造プロセス、操作手順、文書、またはその他の関連要素を変更することによってのみ除去できます。
注記 1:修正を行わない事後保守では、通常、障害の原因は除去されません。
注記 2:系統的な障害は、障害の原因をシミュレートすることによって誘発される可能性があります。
- 安全要件仕様 (SRS) (3.1.3) 、
- ハードウェアの設計、製造、設置、運用、
- ソフトウェアの設計、実装、および
- 環境条件の指定が不十分である。
[出典:IEC 60050‑192:2015]
3.1.15
無音
SRP/CS による 安全機能 (3.1.27) の一時的な自動停止
[出典:IEC 61496-1:2020, 3.16]
3.1.16
危害
身体的損傷または健康被害
[出典:ISO 12100:2010, 3.5]
3.1.17
危険
潜在的な 危害源 (3.1.16)
注記 1: 「危険」という用語は、その起源 (例: 機械的危険、電気的危険) または潜在的な危害の性質 (例: 感電の危険、切断の危険、有毒の危険、および火災の危険) を定義するために修飾することができます。
- 機械の意図された使用中に永続的に存在するもの(危険な可動要素の動き、溶接段階中の電気アーク、不健康な姿勢、騒音の放出、高温など)。また
- 予期せぬ事態が発生する可能性があります(例:爆発、意図しない/予期せぬ始動の結果としての圧壊の危険、破損の結果としての放出、加速/減速の結果としての落下)。
[出典:ISO 12100:2010, 3.6, 修正 — エントリの注 3 は削除されました。]
3.1.18
危険な状況
人が少なくとも 1 つの 危険にさらされる状況 (3.1.17)
注記 1: 曝露により、直ちにまたは長期間にわたって 危害が生じる可能性があります (3.1.16) 。
[出典:ISO 12100:2010, 3.10]
3.1.19
危険
危害の発生確率 (3.1.16) とその危害の重大度の組み合わせ
[出典:ISO 12100:2010, 3.12]
3.1.20
残留リスク
リスク低減措置 (保護措置)(3.1.22)が 講じられた後に残る リスク(3.1.19)
注記 1: 図 3 を参照。
[出典:ISO 12100:2010, 3.13, 修正 — エントリの注 1 が修正されました。]
3.1.21
リスクアセスメント
リスク分析 (3.1.23) と リスク評価 (3.1.24) からなるプロセス全体
[出典:ISO 12100:2010, 3.17]
3.1.22
リスク軽減策
保護措置
危険を排除する(3.1.17) または リスクを軽減する(3.1.19) ための行動または手段
例:
本質的に安全な設計。保護装置。個人用保護具;使用および設置に関する情報。仕事の組織化。トレーニング;機器の応用。監督。
[出典:ISO/IEC Guide 51:2014, 3.13]
3.1.23
リスク分析
機械の限界の仕様、 危険性 (3.1.17) の 特定、および リスク (3.1.19) の推定の組み合わせ
[出典:ISO 12100:2010, 3.15]
3.1.24
リスク評価
リスク分析(3.1.23) に基づいて、リスク低減目標が達成されたかどうかの判断
[出典:ISO 12100:2010, 3.16]
3.1.25
機械の使用目的
使用説明書に記載されている情報に従って機械を使用すること
[出典:ISO 12100:2010, 3.23]
3.1.26
合理的に予見可能な悪用
設計者が意図したものではないが、容易に予測できる人間の行動から生じる可能性のある方法での機械の使用
[出典:ISO 12100:2010, 3.24]
3.1.27
安全機能
故障 (3.1.10) により直ちに リスクが増大する可能性がある機械の機能 (3.1.19)
注記 1:安全機能とは、制御システムの安全関連部分によって実装される機能であり、特定の危険な事象に関して機械の安全な状態を達成または維持するために必要となります。
[出典:ISO 12100:2010, 3.30, 修正 — エントリに注記 1 が追加されました。]
3.1.28
サブ関数
安全機能 (3.1.27) の一部であり、その 故障 (3.1.10) により安全機能が故障するもの
注記 1: サブ機能とは、制御システム (SRP/CS) の安全関連部分の サブシステム (3.1.45) によって実装される機能です。 IEC 61800-5-2:2016 も参照してください。
例:
IEC 61800-5-2 に基づくサブ機能には、安全トルクオフ (STO)、安全停止 1 (SS1) などがあります。図 6 を参照してください。
3.1.29
モニタリング
状態を検出し、それを期待値と比較する診断手段
注記 1:モニタリングは、以下の方法、例えば、 妥当性チェック (3.1.52) 、直接的、間接的または 相互モニタリング (3.1.30) (付属書 E を参照)、周期的テスト刺激によって実現される。
3.1.30
クロスモニタリング
冗長 サブシステム (3.1.45) の両方の チャネル (3.1.47) で冗長信号の妥当性をチェックする診断手段
3.1.31
プログラム可能な電子システム
PEシステム
電源、センサーおよびその他の入力デバイス、データハイウェイおよびその他の通信パス、アクチュエーターおよびその他の出力などのシステムのすべての要素を含む、1 つまたは複数のプログラム可能な電子デバイスに基づく制御、保護、または 監視のためのシステム (3.1.29) デバイス
[出典:IEC 61508‑4:2010, 3.3.1]
3.1.32
危険な失敗に至るまでの平均時間
MTTF D
危険な失敗に至るまでの平均時間の予想
注記 1:危険な故障までの動作時間が指数関数的に分布している品目 (つまり故障率が一定) の場合、MTTF D は危険な故障率の逆数に数値的に等しくなります。
[出典:IEC 62061:2021, 3.2.38, 修正 — エントリの注 1 が修正されました。]
3.1.33
MTBF
平均故障間隔
連続 故障間の動作時間の期待値(3.1.10)
3.1.34
RDF
危険な故障の割合
全体的な 故障 (3.1.10) の うち、危険な故障 (3.1.12) を引き起こす可能性のある要素の割合
3.1.35
診断範囲
直流
診断の有効性の尺度。検出された 危険な故障 ( 3.1.12) の故障 ( 3.1.10) 率と、危険な故障全体の故障率との比として決定されます。
注記 1:診断範囲は、安全関連システムの全体または一部に対して存在することができます。たとえば、診断範囲は、センサー、論理システム、および/または電力制御要素に対して存在できます。
3.1.36
ミッションタイム
T M
制御システムの安全関連部分 (SRP/CS) の意図された使用をカバーする期間
3.1.37
テスト率
r t
制御システム(SRP/CS)の安全関連部分の 故障(3.1.8) を検出するためのテストの頻度
注記 1:テスト率は、診断テスト間隔の逆数値としても使用されます。
3.1.38
需要率
r d
制御システムの安全関連部分 (SRP/CS) によって実行される 安全機能 (3.1.27) に対する要求の頻度
3.1.39
限られた可変言語
LVL
事前定義されたアプリケーション固有のライブラリ関数を組み合わせて安全要件仕様 (SRS) を実装する機能を提供する言語のタイプ (3.1.3)
注記 1: LVL は、アプリケーションを実現するために必要な機能との密接な機能的対応を提供します。
注記 2: LVL の典型的な例は、IEC 61131-3 に示されています。ラダー図、機能ブロック図、シーケンシャル機能図などが含まれます。命令リストと構造化テキストは LVL とみなされません。
注記 3: LVL を使用するシステムの典型的な例: マシン制御用に構成されたプログラマブル ロジック コントローラー (PLC)
[出典:IEC 62061:2021, 3.2.62]
3.1.40
完全な可変言語
アトコ
さまざまな機能やアプリケーションを実装する機能を提供する言語の種類
注記 1: FVL を使用するシステムの典型的な例は、汎用コンピュータです。
注記 2: FVL は通常、組み込みソフトウェアで使用され、アプリケーション・ソフトウェアで使用されることはほとんどありません。
注記 3: FVL の例には、Ada, C, Pascal, 命令リスト、アセンブラー言語、C++、Java, SQL が含まれます。
[出典:IEC 62061:2021, 3.2.61]
3.1.41
安全関連アプリケーションソフト
SRSW
アプリケーションに固有のソフトウェアで、一般に制御システムの安全関連部分 (SRP/CS) 要件を満たすために必要な適切な入力、出力、計算、決定を制御する論理シーケンス、制限、および式が含まれています。
3.1.42
安全関連の組み込みソフトウェア
SRESW
製造元が提供するシステムの一部であり、エンドユーザーによる変更を意図していないソフトウェア
注記 1: 組み込みソフトウェアは、ファームウェアまたはシステムソフトウェアとも呼ばれます。 完全可変言語 (FVL) (3.1.40) を参照してください。
[出典:IEC 61511-1:2016, 3.2.76.2]
3.1.43
高要求モードまたは連続モード
制御システムの安全関連部分 (SRP/CS) に対する 安全機能 (3.1.27) の実行要求の頻度が年に 1 回を超える、または安全機能により機械が安全な場所に保持される動作モード通常動作の一部としての状態
[出典:IEC 61508-4:2010, 3.5.16]
3.1.44
低需要モード
制御システムの安全関連部分 (SRP/CS) に対する 安全機能 (3.1.27) の実行要求の頻度が年に 1 回以下である動作モード
注記 1: 低要求モードについては、この文書では扱いません。詳細については、第 1 項を参照してください。
[出典:IEC 61508‑4:2010, 3.5.16, 修正 — エントリの注 1 が修正されました。]
3.1.45
サブシステム
制御システム (SRP/CS) の安全関連部分の第 1 レベルの分解から生じ、その 危険な故障 (3.1.12) が 安全機能 (3.1.27) の危険な故障を引き起こす実体。
注記 1: サブシステム仕様には、安全機能におけるその役割と、SRP/CS の他のサブシステムとのインターフェースが含まれます。
注記 2: 1 つのサブシステムは、1 つまたは複数の SRP/CS の一部とすることができます。たとえば、危険ゾーン内で人が検出された場合や開放された場合に、同じコンタクタの組み合わせを使用してモータの電源を切ることができます。安全策。
3.1.46
サブシステム要素
単一のコンポーネントまたはコンポーネントのグループから構成される サブシステム (3.1.45) の一部
注記 1:サブシステム要素は、ハードウェア、またはハードウェアとソフトウェアの組み合わせで構成できます。このドキュメントの目的上、ソフトウェアのみのコンポーネントはサブシステム要素とはみなされません。
注記 2:制御システムのコンポーネントまたは部品の安全関連の値については、附属書 O を参照。
3.1.47
チャネル
安全機能 (3.1.27) またはその一部を独立して実装する要素または要素のグループ
注 1:チャネルは、機能チャネルまたはテスト・チャネルのいずれかになります。
[出典:IEC 61508‑4:2010, 3.3.6, 修正 - 「またはその一部」が定義に追加され、項目に注 1 が追加されました。
3.1.48
動作モード
事前定義された機械機能とそれらの機能に関連する安全対策を選択するための機械の動作モード (自動、手動、メンテナンスなど)
注記 1:特定の動作モードごとに、関連する 安全機能 (3.1.27) および/またはリスク 軽減措置 (3.1.22) が実装されます。
注記 2: 動作モードは、マシンの機能そのものではありません。動作モードにまとめられた機能(安全機能を含む)は、その特定の動作モードがアクティブになっている場合にのみ使用できます。
3.1.49
よく試された安全原則
安全or ( 3.1 . 27)
注記 1:新たに開発された安全原則は、安全関連用途への適合性と信頼性を実証する方法を使用して検証された場合にのみ、十分に試行されたものと同等であるとみなすことができます。
注記 2: 十分に試行された安全原則は、偶発的なハードウェア障害に対してだけでなく、製品ライフサイクルの途中のある時点で製品に侵入する可能性のある 組織的障害 (3.1.14) に対しても効果的です。例: 発生する障害製品の設計、統合、改造、または劣化の際。
注記 3: ISO 13849-2:2012, 表 A.2, B.2, C.2, および D.2 は、さまざまな技術について十分に試行された安全原則を取り上げています。
3.1.50
よく試されたコンポーネント
コンポーネントは安全関連用途で成功的に使用されています
注記 1: 要件については6.1.11 を、十分に試行されていると認識されているコンポーネントのリストについては ISO 13849-2:2012 を参照。
3.1.51
動的テスト
必要な動作が存在し、望ましくない動作が存在しないことを実証するために、制御された体系的な方法でソフトウェアまたはオペレーティングハードウェア、あるいはその両方を実行すること
注 1: モニタリング (3.1.29) が 期待どおりに変更を検出しなかった場合、テストは失敗します。
注記 2:テスト・パルスの使用は動的テストの一般的な技術であり、信号経路の短絡や遮断、または誤動作を検出するために広く使用されています。
3.1.52
妥当性チェック
入力 (出力) の状態がシステムまたは他の入力 (出力) の状態に適合するかどうか を監視する診断手段 (3.1.29)
3.1.53
検証
客観的証拠の提供による、指定された要件が満たされていることの確認
注記 1: 検証に必要な客観的証拠は、検査の結果、あるいは代替計算の実行や文書のレビューなどの他の形式の決定の結果である場合があります。
注記 2:検証のために実行される活動は、適格性評価プロセスと呼ばれることもあります。
注記 3: 「検証済み」という語は、対応するステータスを示すために使用されます。
[出典:ISO 9000:2015, 3.8.12]
3.1.54
検証
特定の使用目的に対する特定の要件が満たされていることを検査し、客観的証拠を提供することによる確認
注記 1: 検証に必要な客観的証拠は、テスト、または代替計算の実行や文書のレビューなどの他の形式の決定の結果です。
注記 2: 「検証済み」という語は、対応するステータスを示すために使用されます。
注記 3:検証のための使用条件は、実際のものでも、シミュレートされたものでもよい。
[出典:IEC 61508-4:2010, 3.8.2]
3.1.55
熟練者
関連する機器に関連 するリスク (3.1.19) を 認識し、 危険 (3.1.17) を回避できるようにするための、関連するトレーニング、教育、および経験を持つ人
グレード 1 からエントリーまで:専門トレーニングの評価では、関連する技術分野での数年間の実践が考慮されます。
[出典:ISO 14990‑1:2016, 3.5.4, 修正 - 定義内の「電気」が「関連機器」に置き換えられ、項目への注記 1 が追加されました。
3.1.56
ブラックボックス
入力と出力の観点からのみ見ることができるデバイス、システム、またはオブジェクト
3.1.57
グレーのボックス
内部機能の一部where 知られているデバイス、システム、またはオブジェクト
注記 1:機能テストの 3 番目の方法は「ホワイト ボックス」ここで, すべての内部機能が既知です。
3.1.58
1時間当たりの危険な故障の平均頻度
PFH
指定された安全機能を実行するために 制御システム (SRP/CS) (3.1.1) の安全関連部分が 一定期間内に発生する危険な故障の平均頻度
[出典:IEC 61508-4:2010, 3.6.19, 修正 - 「E/E/PE」は削除されました。]
3.2 記号と略語
表 1 —記号と略語
| アイコンまたは 略語 | 説明 | 副節またはセクション |
|---|---|---|
| a, b, c, d, e | パフォーマンスレベルの表記 | 表 K.1 |
| AOPD | アクティブ光電子保護デバイス (例: ライトバリア) | 付録 H |
| B, 1, 2, 3, 4 | カテゴリの表記 | 表5 |
| B _ | コンポーネントの 10% が危険なほど故障するまでのサイクル数 (機械的摩耗のあるコンポーネントの場合) | 付録C |
| 猫。 | カテゴリー | 3.1.4 |
| CC | 電流変換器 | 附属書I |
| CCF | よくある原因の失敗 | 3.1.13 |
| 直流 | 診断範囲 | 3.1.35 |
| 直流平均 | 平均的な診断範囲 | E.2 |
| EMI | 電磁妨害 | F.3.6.1 |
| 到着予定時刻 | イベントツリー分析 | 10.3.2 |
| F, F1, F2 | 危険にさらされる頻度および/または暴露時間 | A.3.2 |
| FB | ファンクションブロック | 付録 J |
| アトコ | 完全な可変言語 | 3.1.40 |
| FMEA | 故障モードと影響の分析 | 6.1.5 |
| FMECA | 故障モード、影響、臨界度の分析 | 10.3.2 |
| FTA | フォルトツリー解析 | 10.3.2 |
| F D (t) | 累積分布関数 | C.4.3 |
| HFT | ハードウェア耐障害性 | 6.1 |
| I, I1, I2 | 入力デバイス(センサーなど) | 6.1 |
| 私、j | 数を数えるインデックス | 付録D |
| I/O | 入力/出力 | 表 E.1 |
| i m | 相互接続手段 | 図7, 8, 9, 10 |
| K1A, K1B | 接触器 | 附属書I |
| L, L1, L2 | 論理 | 6.1 |
| LVL | 限られた可変言語 | 3.1.39 |
| D | コンポーネントの危険な故障率 | 付録C |
| M | エンジン | 附属書I |
| MTTF | 平均失敗時間 | 付録C |
| MTTF D | 危険な失敗に至るまでの平均時間 | 3.1.32 |
| MTTR | 復元にかかる平均時間 | 付録D |
| n, N, Ñ | アイテム数 | 6.2, D.1 |
| N 低 | サブシステムの組み合わせで PL が低いサブシステムの数 | 6.2 |
| n _ | 年間手術の平均数 | 付録C |
| O, O1, O2, OTE | 出力デバイス、テスト装置の出力、例: 電力制御要素 | 6.1 |
| P, P1, P2 | 危害を回避または制限できる可能性 | A.3.3 |
| PEシステム | プログラム可能な電子システム | 3.1.31, 付録 H |
| PFH | 1時間あたりの危険な故障の平均頻度 | 3.1.58, 表 2, 表 K.1 |
| pl | パフォーマンスレベル | 3.1.5 |
| PLC | プログラマブルロジックコントローラー | 附属書I |
| 低くpl | サブシステムの組み合わせにおけるサブシステムの最低のパフォーマンス レベル | 6.2 |
| pl r | 必要なパフォーマンスレベル | 3.1.6 |
| r d | 需要率 | 3.1.38 |
| r t | テスト率 | 3.1.37 |
| RDF | 危険な故障の割合 | 3.1.34 |
| RS | 回転センサー | 附属書I |
| S, S1, S2 | 怪我の重症度 | A.3.1 |
| SB | サブシステム | 図 13, H.1, H.2 |
| SOS | 安全な運転停止 | 5.2.2.2 |
| SS2 | 安全停止 2 | 5.2.2.2 |
| SW1A, SW1B, SW2 | ポジションスイッチ | 附属書I |
| シル | 安全完全性レベル | 3.1.7, 第 6 条 |
| SLS | 安全に制限された速度 | 表3 |
| SRSW | 安全関連アプリケーションソフト | 3.1.41 |
| SRESW | 安全関連の組み込みソフトウェア | 3.1.42 |
| 希望小売価格/CS | 制御システムの安全関連部分 | 3.1.1 |
| SRS | 安全要件の仕様 | 3.1.3 |
| STO | 安全トルクオフ | 表3およびN.2 |
| te | 試験装置 | 6.1 |
| T M | ミッションタイム | 3.1.36 |
| T _ | コンポーネントの 10% が危険なほど故障するまでの平均時間 | 付録C |
参考文献
| 1 | ISO/IEC Guide 51:2014, 安全面 - 規格に含めるためのガイドライン |
| 2 | ISO 4413:2010, 油圧流体動力 - システムとそのコンポーネントの一般規則と安全要件 |
| 3 | ISO 4414:2010, 空気圧流体動力 - システムとそのコンポーネントの一般規則と安全要件 |
| 4 | ISO 7731:2003, 人間工学 — 公共および作業エリアの危険信号 — 聴覚による危険信号 |
| 5 | ISO 8573-1, 圧縮空気 — Part 1: 汚染物質と純度クラス |
| 6 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 7 | ISO 9001:2015, 品質マネジメントシステム — 要件 |
| 8 | ISO 9241-210, 人間とシステムの相互作用の人間工学 — Part 210: インタラクティブ システムのための人間中心の設計 |
| 9 | ISO 10218-1:2011, ロボットおよびロボット装置 — 産業用ロボットの安全要件 — Part 1: ロボット |
| 10 | ISO 10218-2, ロボットおよびロボット装置 — 産業用ロボットの安全要件 — Part 2: ロボット システムと統合 |
| 11 | ISO 11161:2007, 機械の安全性 - 統合製造システム - 基本要件 |
| 12 | ISO 11428:1996, 人間工学 - 視覚的な危険信号 - 一般要件、設計およびテスト |
| 13 | ISO 11429:1996, 人間工学 — 聴覚および視覚による危険および情報信号のシステム |
| 14 | ISO 13850:2015, 機械の安全性 - 緊急停止機能 - 設計原則 |
| 15 | ISO 13851, 機械の安全性 - 両手制御装置 - 設計と選択の原則 |
| 16 | ISO 13856-1, 機械の安全性 — 感圧保護装置 — Part 1: 感圧マットおよび感圧床の設計およびテストに関する一般原則 |
| 17 | ISO 13856-2, 機械の安全性 — 感圧保護装置 — Part 2: 感圧エッジおよび感圧バーの設計およびテストに関する一般原則 |
| 18 | ISO 14118:2017, 機械の安全性 - 予期せぬ始動の防止 |
| 19 | ISO 14119:2013, 機械の安全性 - ガードに関連するインターロック装置 - 設計と選択の原則 |
| 20 | ISO/TR 14121-2, 機械の安全性 — リスク評価 — Part 2: 実践的なガイダンスと方法の例 |
| 21 | ISO/TS 15066:2016, ロボットおよびロボット装置 — 協働ロボット |
| 22 | ISO 16090-1, 工作機械の安全性 — マシニングセンター、フライス盤、トランスファーマシン — Part 1: 安全要件 |
| 23 | ISO 1997, 空気圧流体動力 - テストによるコンポーネントの信頼性の評価 |
| 24 | ISO/TR 22100-2:2013, 機械の安全性 — ISO 12100 との関係 — Part 2: ISO 12100 と ISO 13849-1 の関係 |
| 25 | ISO/TR 22100-3, 機械の安全性 — ISO 12100 との関係 — Part 3: 安全規格における人間工学的原則の導入 |
| 26 | ISO/TR 22100-4, 機械の安全性 — ISO 12100 との関係 — Part 4: 関連する IT セキュリティ (サイバー セキュリティ) の側面を考慮するための機械メーカーへのガイダンス |
| 27 | ISO 23125, 工作機械 - 安全性 - 旋盤 |
| 28 | ISO/IEC/IEEE 26512, システムおよびソフトウェアエンジニアリング — ユーザー向け情報の取得者および供給者に対する要件 |
| 29 | EN 614-1, 機械の安全性 — 人間工学に基づいた設計原則 — Part 1: 用語と一般原則 |
| 30 | EN 1005-3, 機械の安全性 - 人間の身体的パフォーマンス - Part 3: 機械操作の推奨力制限 |
| 31 | EN 50178, 電力設備で使用する電子機器 |
| 32 | IEC 60204-1:2016+AMD1:2021, 機械の安全性 — 機械の電気機器 — Part 1: 一般要件 |
| 33 | IEC 60447, マンマシンインターフェイス (MMI) の基本原則と安全原則 - 作動原理 |
| 34 | IEC 60050-192:2015, 国際電気技術用語集 - Part 192: 信頼性 |
| 35 | IEC 60529, エンクロージャによって提供される保護の程度 (IP コード) |
| 36 | IEC 60812, システム信頼性の分析手法 - 故障モードおよび影響分析の手順 (FMEA) |
| 37 | IEC 6094, 低電圧スイッチギアおよび制御ギア |
| 38 | IEC 60950-1, 情報技術機器 - 安全性 - Part 1: 一般要件 |
| 39 | IEC 61000-1-2, 電磁両立性 (EMC) — Part 1‑2: 一般 — 電磁現象に関する機器を含む電気および電子システムの機能安全を達成するための方法論 |
| 40 | IEC 61000-6-2, 電磁両立性 (EMC) — Part 6‑2: 一般規格 — 産業環境に対する耐性 |
| 41 | IEC 61000-6-7:2014, 電磁両立性 (EMC) - Part 6‑7: 一般規格 - 産業現場における安全関連システム (機能安全) の機能を実行することを目的とした機器のイミュニティ要件 |
| 42 | IEC 61025, フォールトツリー解析 (FTA) |
| 43 | IEC 61078, 信頼性のブロック図 |
| 44 | IEC 6130, 光ファイバー相互接続デバイスおよび受動コンポーネント — 基本的なテストおよび測定手順 |
| 45 | IEC 6131, 機械の安全性 - 表示、マーキングおよび作動 |
| 46 | IEC 61131-3:2013, プログラマブル コントローラー - Part 3: プログラミング言語 |
| 47 | IEC 61310-1:2007, 機械の安全性 - 表示、マーキングおよび作動 - Part 1: 視覚、音響、および触覚信号の要件 |
| 48 | IEC 61326-3-1, 測定、制御および実験室で使用する電気機器 - EMC 要件 - Part 3‑1: 安全関連システムおよび安全関連機能 (機能安全) の実行を目的とした機器のイミュニティ要件 - 一般産業用途 |
| 49 | IEC 61496-1:2020, 機械の安全性 — 電気感応性保護装置 — Part 1: 一般要件およびテスト |
| 50 | IEC 61496-2, 機械の安全性 — 電気感応性保護装置 — Part 2: アクティブ光電子保護装置を使用する装置の特定要件 |
| 51 | IEC 61496-3, 機械の安全性 — 電気感応性保護装置 — Part 3: 拡散反射に応答するアクティブ光電子保護装置 (AOPDDR) に関する特定の要件 |
| 52 | IEC 61506, 産業プロセスの測定と制御 — プロセス制御システムおよび設備用のソフトウェアの文書化 |
| 53 | IEC 61508-1, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 1: 一般要件 |
| 54 | IEC 61508-2:2010, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 2: 電気/電子/プログラム可能な電子安全関連システムの要件 |
| 55 | IEC 61508-4:2010, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 4: 定義と略語 |
| 56 | IEC 61508-5, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 5: 安全完全性レベルを決定する方法の例 |
| 57 | IEC 61508-6:2010, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 6: IEC 61508-2 および IEC 61508-3 の適用に関するガイドライン |
| 58 | IEC 61508-7:2010, 電気/電子/プログラム可能な電子安全関連システムの機能安全 — Part 7: 技術と対策の概要 |
| 59 | IEC 61511-1:2016, 機能安全 — プロセス産業部門向けの安全計装システム — Part 1: フレームワーク、定義、システム、ハードウェア、およびアプリケーション プログラミング要件 |
| 60 | IEC 61558-2-16, 変圧器、リアクトル、電源ユニットおよびそれらの組み合わせの安全性 - Part 2-16: 一般用途向けのスイッチ モード電源ユニットおよびスイッチ モード電源ユニット用の変圧器に対する特定の要件とテスト |
| 61 | IEC 61709, 2 電気コンポーネント — 信頼性 —変換のための故障率およびストレス モデルの基準条件 |
| 62 | IEC 6178, 産業用通信ネットワーク — プロファイル |
| 63 | IEC 61800-3, 可変速電力駆動システム - Part 3: EMC 要件と特定の試験方法 |
| 64 | IEC 61800-5-2:2016, 可変速電力駆動システム - Part 5‑2: 安全要件 - 機能 |
| 65 | IEC 61810-2-1, 電気機械式基本リレー - Part 2-1: 信頼性 - B 10値の検証手順 |
| 66 | IEC 61810-3, 電気機械基本リレー - Part 3: 強制的にガイドされる (機械的にリンクされた) 接点を備えたリレー |
| 67 | IEC 6202, 絶縁液体 - 酸性度の測定 |
| 68 | IEC 6202, 高周波誘導部品 - 電気的特性と測定方法 |
| 69 | IEC 62368-1, オーディオ/ビデオ、情報および通信技術機器 - Part 1: 安全要件 |
| 70 | IEC 62502, ディペンダビリティの分析手法 - イベント ツリー分析 (ETA) |
| 71 | IEC/TR 63074, 機械の安全性 - 安全関連制御システムの機能安全に関連するセキュリティ側面 |
| 72 | EN 50495:2010, 爆発の危険性に関して機器が安全に機能するために必要な安全装置 |
| 73 | ANSI B11.26:2018,機器の機能安全: ISO 13849-1 を使用した安全制御システムの設計に関する一般原則 |
| 74 | SN 2950, コンポーネントの故障率、エディション 1999-11, Siemens AG 1999 s |
| 75 | VDMA 66413, 機能安全—制御システムのコンポーネントまたは部品の安全関連値の汎用データ形式 |
| 76 | VDMA 24584:2020, 規制および非規制(流体)機械システムの安全機能 |
| 77 | Goble WM, 制御システムの安全性評価と信頼性。第 3 版:2010 (ISBN-101934394807) |
| 78 | IFA レポート 2/2017e, 機械制御の機能安全 – ISO 13849 の適用、ドイツ社会傷害保険 (DGUV)、2009 年 6 月、ISBN 978‑3‑88383‑793‑2, インターネットで無料ダウンロード: www.dguv.de/ifa/13849e |
| 79 | Chinniah Yuvin, 2015) 機械の可動部品に関連する重大かつ死亡事故の分析と防止、Safety Science 75 (2015) 163-173 |
| 80 | Haghighi A, Jocelyn S, Chinniah Y, 「産業用機械の安全装置のバイパスを防ぐ ISO 14119 にインスピレーションを得たツールのテストと改善」;安全性、第 6 巻、第 3 号、2020 年 https://www.mdpi.com/2313-576X/6/3/42 |
| 81 | もし。 「 SISTEMA クックブック 6: 安全機能の定義: 何が重要ですか?」 ” ( https://www.dguv.de/webcode.jsp?query=e109249 ) |
| 82 | 電子機器の信頼性予測、MIL-HDBK‑217E 、通知-2, 国防総省、ワシントン DC, 1995 年 |
| 83 | 電気通信システムで使用されるコンポーネントの信頼性データに関する英国ハンドブック、英国テレコム (HRD5, 最終号) |
| 84 | 中国軍事規格 GJB/Z 299C-2006電子機器の信頼性予測ハンドブック(英語版) |
| 85 | EMC The easy way 、ポケット ガイド、ドイツのフランクフルト/マインにある ZVEI (ドイツ電気電子製造業者協会) のスイッチング デバイス、配電盤、産業制御部門が発行 ( https://www.zvei.org/fileadmin/user_upload/Presse_und_Medien/ Publikationen/2008/ January/EMC-Pocket-Guide-ZVEI-english.pdf ) |
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100:2010 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1.1
safety-related part of a control system
SRP/CS
part of a control system that performs a safety function (3.1.27) , starting from a safety-related input(s) to generating a safety-related output(s)
Note 1 to entry: The safety-related parts of a control system start at the point where the safety-related inputs are initiated (including, for example, the actuating cam and the roller of the position switch) and end at the output of the power control elements (including, for example, the main contacts of a contactor).
3.1.2
machine control system
system which responds to input signals from parts of machine elements, operators, external control equipment or any combination of these and generates output signals causing the machine to behave in the intended manner
Note 1 to entry: The machine control system can use any technology or any combination of different technologies (e.g. electrical/electronic, hydraulic, pneumatic and mechanical).
3.1.3
safety requirements specification
SRS
specification containing the requirements for the safety functions (3.1.27) that have to be met by the safety-related control system in terms of characteristics of the safety functions (functional requirements) and required performance levels (PLr) (3.1.6)
[SOURCE:IEC 61508‑4:2010, 3.5.11, modified — Information from IEC 61508‑4:2010, 3.5.12 has been included.]
3.1.4
category
classification of the subsystem (3.1.45) in respect to its resistance to faults (3.1.8) and the subsequent behaviour in the fault condition which is achieved by the structural arrangement of the parts, fault detection and/or by their reliability
3.1.5
performance level
pl
discrete level used to specify the ability of safety-related parts of control systems (SRP/CS) (3.1.1) to perform a safety function (3.1.27) under foreseeable conditions
Note 1 to entry: See 6.1 for a general overview of performance level.
3.1.6
required performance level
plr
performance level (3.1.5) required in order to achieve the required risk (3.1.19) reduction for each safety function (3.1.27)
Note 1 to entry: See 5.3 and Figure A.1 for further information on required performance level (PLr).
3.1.7
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of safety functions (3.1.27) to be allocated to the safety-related systems ここで, safety integrity level 4 has the highest level of safety integrity and safety integrity level 1 has the lowest
Note 1 to entry: In this document only SIL 1 to SIL 3 are considered.
[SOURCE:IEC 61508‑4:2010, 3.5.8, modified — “allocated to safety-related systems” has been added to definition, NOTES have been deleted and new Note 1 to entry has been added.]
3.1.8
fault
abnormal condition that may cause a reduction in, or loss of, the capability of a functional unit to perform a required function
Note 1 to entry: A fault is often the result of a failure (3.1.10) of the item itself, but can exist without prior failure.
Note 2 to entry: In this document “fault” means random fault or fault caused by a systematic failure (3.1.14) .
[SOURCE:IEC 60050‑192:2015, modified — Note 2 to entry has been amended.]
3.1.9
fault exclusion
exclusion of certain faults (3.1.8) within a safety-related part of a control system (SRP/CS), if this exclusion can be justified due to the negligible probability of these faults
3.1.10
failure
termination of the ability of a device to perform a required function
Note 1 to entry: After a failure, the device has a fault (3.1.8) .
Note 2 to entry: “Failure” is an event, as distinguished from “fault”, which is a state.
Note 3 to entry: Failures which only affect the availability of the process under control are outside of the scope of this document.
[SOURCE:IEC 60050‑192:2015, modified — Note 3 to entry has been amended.]
3.1.11
permanent fault
fault (3.1.8) of an item that persists until an action of corrective maintenance is performed
[SOURCE:IEC 60050‑192:2015]
3.1.12
dangerous failure
- a) prevents a safety function from operating when required (demand mode) or causes a safety function to fail (continuous mode) such that the machine/machinery is put into a hazardous or potentially hazardous state; or
- b) decreases the probability that the safety function operates correctly when required
[SOURCE:IEC 61508-4:2010, 3.6.7, modified —"EUC" has been replaced by"machine/machinery".]
3.1.13
common cause failure
CCF
failure (3.1.10) that is the result of one or more events, causing concurrent failures of two or more separate channels (3.1.47) in a multiple channel subsystem (3.1.45) , leading to failure of a safety function (3.1.27)
Note 1 to entry: Common cause failures are not identical with common mode failures (see ISO 12100:2010, 3.36).
[SOURCE:IEC 61508‑4:2010, 3.6.10, modified —"system failure" has been changed to"failure of a safety function". Note 1 to entry has been added.]
3.1.14
systematic failure
failure (3.1.10) related in a deterministic way to a certain cause, which can only be eliminated by a modification of the design or of the manufacturing process, operational procedures, documentation or other relevant factors
Note 1 to entry: Corrective maintenance without modification will usually not eliminate the failure cause.
Note 2 to entry: A systematic failure can be induced by simulating the failure cause.
- the safety requirements specification (SRS) (3.1.3) ,
- the design, manufacture, installation, operation of the hardware,
- the design, implementation, of the software, and
- inadequately specifying environmental conditions.
[SOURCE:IEC 60050‑192:2015]
3.1.15
muting
temporary automatic suspension of a safety function(s) (3.1.27) by the SRP/CS
[SOURCE:IEC 61496-1:2020, 3.16]
3.1.16
harm
physical injury or damage to health
[SOURCE:ISO 12100:2010, 3.5]
3.1.17
hazard
potential source of harm (3.1.16)
Note 1 to entry: The term"hazard" can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard) or the nature of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard and fire hazard).
- is permanently present during the intended use of the machine (e.g. motion of hazardous moving elements, electric arc during a welding phase, unhealthy posture, noise emission, high temperature); or
- can appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected start-up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[SOURCE:ISO 12100:2010, 3.6, modified — Note 3 to entry has been deleted.]
3.1.18
hazardous situation
circumstance in which a person is exposed to at least one hazard (3.1.17)
Note 1 to entry: The exposure can result in harm (3.1.16) immediately or over a period of time.
[SOURCE:ISO 12100:2010, 3.10]
3.1.19
risk
combination of the probability of occurrence of harm (3.1.16) and the severity of that harm
[SOURCE:ISO 12100:2010, 3.12]
3.1.20
residual risk
risk (3.1.19) remaining after risk reduction measures (protective measures) (3.1.22) have been taken
Note 1 to entry: See Figure 3.
[SOURCE:ISO 12100:2010, 3.13, modified — Note 1 to entry has been modified.]
3.1.21
risk assessment
overall process comprising risk analysis (3.1.23) and risk evaluation (3.1.24)
[SOURCE:ISO 12100:2010, 3.17]
3.1.22
risk reduction measure
protective measure
action or means to eliminate hazards (3.1.17) or reduce risks (3.1.19)
EXAMPLE:
Inherently safe design; protective devices; personal protective equipment; information for use and installation; organization of work; training; application of equipment; supervision.
[SOURCE:ISO/IEC Guide 51:2014, 3.13]
3.1.23
risk analysis
combination of the specification of the limits of the machine, hazard (3.1.17) identification and risk (3.1.19) estimation
[SOURCE:ISO 12100:2010, 3.15]
3.1.24
risk evaluation
judgement, on the basis of risk analysis (3.1.23) , of whether risk reduction objectives have been achieved
[SOURCE:ISO 12100:2010, 3.16]
3.1.25
intended use of the machine
use of a machine in accordance with the information provided in the instructions for use
[SOURCE:ISO 12100:2010, 3.23]
3.1.26
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which can result from readily predictable human behaviour
[SOURCE:ISO 12100:2010, 3.24]
3.1.27
safety function
function of a machine whose failure (3.1.10) can result in an immediate increase of the risk(s) (3.1.19)
Note 1 to entry: A safety function is a function implemented by a safety-related part of a control system, which is needed to achieve or maintain a safe state for the machine, in respect of a specific hazardous event.
[SOURCE:ISO 12100:2010, 3.30, modified — Note 1 to entry has been added.]
3.1.28
sub-function
part of a safety function (3.1.27) whose failure (3.1.10) results in a failure of the safety function
Note 1 to entry: A sub-function is a function implemented by a subsystem (3.1.45) of the safety-related part of a control system (SRP/CS). See also IEC 61800-5-2:2016.
EXAMPLE:
Sub-functions according to IEC 61800-5-2 are, e.g. safe torque off (STO), safe stop 1 (SS1). See Figure 6.
3.1.29
monitoring
diagnostic measure which detects a state and compares it to the expected value
Note 1 to entry: Monitoring is realised by the following methods, e.g. plausibility check (3.1.52) , direct, indirect or cross monitoring (3.1.30) (see Annex E), cyclic test stimulus.
3.1.30
cross monitoring
diagnostic measure which checks plausibility of redundant signals in both channels (3.1.47) of a redundant subsystem (3.1.45)
3.1.31
programmable electronic system
PE system
system for control, protection or monitoring (3.1.29) based on one or more programmable electronic devices, including all elements of the system such as power supplies, sensors and other input devices, data highways and other communication paths, and actuators and other output devices
[SOURCE:IEC 61508‑4:2010, 3.3.1]
3.1.32
mean time to dangerous failure
MTTFD
expectation of the mean time to dangerous failure
Note 1 to entry: In the case of items with an exponential distribution of operating times to dangerous failure (i.e. a constant failure rate) the MTTFD is numerically equal to the reciprocal of the dangerous failure rate.
[SOURCE:IEC 62061:2021, 3.2.38, modified — Note 1 to entry has been modified.]
3.1.33
MTBF
mean time between failures
expected value of the operating time between consecutive failures (3.1.10)
3.1.34
RDF
ratio of dangerous failures
fraction of the overall failure (3.1.10) rate of an element that can result in a dangerous failure (3.1.12)
3.1.35
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which is determined as the ratio between the failure (3.1.10) rate of detected dangerous failures (3.1.12) and the failure rate of total dangerous failures
Note 1 to entry: Diagnostic coverage can exist for the whole or parts of a safety-related system. For example, diagnostic coverage can exist for sensors and/or logic systems and/or power control elements.
3.1.36
mission time
TM
period of time covering the intended use of a safety-related part of a control system (SRP/CS)
3.1.37
test rate
rt
frequency of tests to detect faults (3.1.8) in a safety-related part of a control system (SRP/CS)
Note 1 to entry: Test rate is also used as reciprocal value of diagnostic test interval.
3.1.38
demand rate
rd
frequency of demands for a safety function (3.1.27) to be performed by the safety-related part of a control system (SRP/CS)
3.1.39
limited variability language
LVL
type of language that provides the capability to combine predefined, application specific, library functions to implement the safety requirements specifications (SRSs) (3.1.3)
Note 1 to entry: An LVL provides a close functional correspondence with the functions required to achieve the application.
Note 2 to entry: Typical examples of LVL are given in IEC 61131-3. They include ladder diagram, function block diagram and sequential function chart. Instruction lists and structured text are not considered to be LVL.
Note 3 to entry: Typical example of systems using LVL: Programmable Logic Controller (PLC) configured for machine control.
[SOURCE:IEC 62061: 2021, 3.2.62]
3.1.40
full variability language
FVL
type of language that provides the capability to implement a wide variety of functions and applications
Note 1 to entry: Typical example of systems using FVL are general-purpose computers.
Note 2 to entry: FVL is normally found in embedded software and is rarely used in application software.
Note 3 to entry: FVL examples include: Ada, C, Pascal, Instruction List, assembler languages, C++, Java, SQL.
[SOURCE:IEC 62061: 2021, 3.2.61]
3.1.41
safety-related application software
SRASW
software specific to the application and generally containing logic sequences, limits and expressions that control the appropriate inputs, outputs, calculations and decisions necessary to meet the safety-related part of a control system (SRP/CS) requirements
3.1.42
safety-related embedded software
SRESW
software that is part of the system supplied by the manufacturer and is not intended for modification by the end-user
Note 1 to entry: Embedded software is also referred to as firmware or system software. See, full variability language (FVL) (3.1.40) .
[SOURCE:IEC 61511‑1:2016, 3.2.76.2]
3.1.43
high demand or continuous mode
mode of operation in which the frequency of demands on a safety-related part of a control system (SRP/CS) to perform its safety function (3.1.27) is greater than one per year or the safety function retains the machine in a safe state as part of normal operation
[SOURCE:IEC 61508‑4:2010, 3.5.16]
3.1.44
low demand mode
mode of operation in which the frequency of demands on the safety-related part of a control system (SRP/CS) to perform its safety function (3.1.27) is not greater than once per year
Note 1 to entry: Low demand mode is not addressed in this document. See Clause 1 for further details.
[SOURCE:IEC 61508‑4:2010, 3.5.16, modified — Note 1 to entry has been amended.]
3.1.45
subsystem
entity which results from a first-level decomposition of a safety-related part of a control system (SRP/CS) and whose dangerous failure (3.1.12) results in a dangerous failure of a safety function (3.1.27)
Note 1 to entry: The subsystem specification includes its role in the safety function and its interface with the other subsystems of the SRP/CS.
Note 2 to entry: One subsystem can be part of one or several SRP/CS, e.g. the same combination of contactors can be used to de-energise a motor in case of detection of a person in a danger zone and also in case of opening a safe guard.
3.1.46
subsystem element
part of a subsystem (3.1.45) comprising a single component or any group of components
Note 1 to entry: A subsystem element can comprise hardware or a combination of hardware and software. For the purposes of this document, software-only components are not considered subsystem elements.
Note 2 to entry: For the safety-related values of components or parts of control systems, see Annex O.
3.1.47
channel
element or group of elements that independently implement a safety function (3.1.27) or a part of it
Note 1 to entry: Channel can be a functional channel or a testing channel.
[SOURCE:IEC 61508‑4:2010, 3.3.6, modified — “or a part of it” has been added to the definition and Note 1 to entry has been added.]
3.1.48
operating mode
mode of operation in a machine (e.g. automatic, manual, maintenance) to select predefined machine functions and safety measures related to those functions
Note 1 to entry: For each specific operating mode, the relevant safety functions (3.1.27) and/or risk reduction measures (3.1.22) are implemented.
Note 2 to entry: Operating mode is not a machine function itself. The functions (including safety functions) summarized under an operating mode can only be used when that particular operating mode has been activated.
3.1.49
well-tried safety principle
principle that has proved effective in the design or integration of safety-related control systems in the past, to avoid or control critical faults (3.1.8) or failures (3.1.10) which can influence the performance of a safety function (3.1.27)
Note 1 to entry: Newly developed safety principles can only be considered as equivalent to well-tried if they are verified using methods which demonstrate their suitability and reliability for safety-related applications.
Note 2 to entry: Well-tried safety principles are effective not only against random hardware failures, but also against systematic failures (3.1.14) which can creep into the product at some point in the course of the product life cycle, e.g. faults arising during product design, integration, modification or deterioration.
Note 3 to entry: ISO 13849-2:2012, Tables A.2, B.2, C.2 and D.2 address well-tried safety principles for different technologies.
3.1.50
well-tried component
component successfully used in safety-related applications
Note 1 to entry: See 6.1.11 for requirements and ISO 13849-2:2012 for a list of recognized well-tried components.
3.1.51
dynamic test
executing either software or operating hardware, or both, in a controlled and systematic way, so as to demonstrate the presence of the required behaviour and the absence of unwanted behaviour
Note 1 to entry: The test fails if monitoring (3.1.29) did not detect the change as expected.
Note 2 to entry: The use of test pulses is a common technology of dynamic testing and is widely used to detect short circuits or interruptions in signal paths or malfunctions.
3.1.52
plausibility check
diagnostic measure which is monitoring (3.1.29) that the state of an input (output) fits to the state of the system or other inputs (outputs)
3.1.53
verification
confirmation, through the provision of objective evidence, that specified requirements have been fulfilled
Note 1 to entry: The objective evidence needed for a verification can be the result of an inspection or of other forms of determination such as performing alternative calculations or reviewing documents.
Note 2 to entry: The activities carried out for verification are sometimes called a qualification process.
Note 3 to entry: The word “verified” is used to designate the corresponding status.
[SOURCE:ISO 9000:2015, 3.8.12]
3.1.54
validation
confirmation by examination and provision of objective evidence that the particular requirements for a specific intended use are fulfilled
Note 1 to entry: The objective evidence needed for a validation is the result of a test or other form of determination such as performing alternative calculations or reviewing documents.
Note 2 to entry: The word “validated” is used to designate the corresponding status.
Note 3 to entry: The use conditions for validation can be real or simulated.
[SOURCE:IEC 61508-4:2010, 3.8.2]
3.1.55
skilled person
person with relevant training, education, and experience to enable him or her to perceive risks (3.1.19) and to avoid hazards (3.1.17) associated with the relevant equipment
Note 1 to entry: Several years of practice in the relevant technical field can be taken into consideration in assessment of professional training.
[SOURCE:ISO 14990‑1:2016, 3.5.4, modified — “electricity” has been replaced by “the relevant equipment” in the definition and Note 1 to entry has been added.]
3.1.56
black box
device, system or object which can be viewed in terms of its inputs and outputs only
3.1.57
grey box
device, system or object where some of the internal functions are known
Note 1 to entry: The third way for functional testing is “white box” ここで, all internal functions are known.
3.1.58
average frequency of a dangerous failure per hour
PFH
average frequency of a dangerous failure of a safety-related part of a control system (SRP/CS) (3.1.1) to perform the specified safety function over a given period of time
[SOURCE:IEC 61508-4:2010, 3.6.19, modified — “an E/E/PE” has been deleted.]
3.2 Symbols and abbreviated terms
Table 1 — Symbols and abbreviated terms
| Symbol or abbreviated term | Description | Subclause or section |
|---|---|---|
| a, b, c, d, e | denotation of performance levels | Table K.1 |
| AOPD | active optoelectronic protective device (e.g. light barrier) | Annex H |
| B, 1, 2, 3, 4 | denotation of categories | Table 5 |
| B10D | number of cycles until 10 % of the components fail dangerously (for components with mechanical wear) | Annex C |
| Cat. | category | 3.1.4 |
| CC | current converter | Annex I |
| CCF | common cause failure | 3.1.13 |
| DC | diagnostic coverage | 3.1.35 |
| DCavg | average diagnostic coverage | E.2 |
| EMI | electromagnetic interference | F.3.6.1 |
| ETA | event tree analysis | 10.3.2 |
| F, F1, F2 | frequency and/or exposure times to hazard | A.3.2 |
| FB | function block | Annex J |
| FVL | full variability language | 3.1.40 |
| FMEA | failure modes and effects analysis | 6.1.5 |
| FMECA | failure modes, effects and criticality analysis | 10.3.2 |
| FTA | fault tree analysis | 10.3.2 |
| FD(t) | cumulated distribution function | C.4.3 |
| HFT | hardware fault tolerance | 6.1 |
| I, I1, I2 | input device, e.g. sensor | 6.1 |
| i, j | index for counting | Annex D |
| I/O | inputs/outputs | Table E.1 |
| im | interconnecting means | Figures 7, 8, 9, 10 |
| K1A, K1B | contactors | Annex I |
| L, L1, L2 | logic | 6.1 |
| LVL | limited variability language | 3.1.39 |
| λD | dangerous failure rate of a component | Annex C |
| M | motor | Annex I |
| MTTF | mean time to failure | Annex C |
| MTTFD | mean time to dangerous failure | 3.1.32 |
| MTTR | mean time to restoration | Annex D |
| n, N, Ñ | number of items | 6.2, D.1 |
| Nlow | number of subsystems with PLlow in a combination of subsystems | 6.2 |
| nop | mean number of annual operations | Annex C |
| O, O1, O2, OTE | output device, output of the test equipment, e.g. power control elements | 6.1 |
| P, P1, P2 | possibility of avoiding or limiting harm | A.3.3 |
| PE system | programmable electronic system | 3.1.31, Annex H |
| PFH | average frequency of a dangerous failure per hour | 3.1.58, Table 2, Table K.1 |
| pl | performance level | 3.1.5 |
| PLC | programmable logic controller | Annex I |
| pllow | lowest performance level of a subsystem in a combination of subsystems | 6.2 |
| plr | required performance level | 3.1.6 |
| rd | demand rate | 3.1.38 |
| rt | test rate | 3.1.37 |
| RDF | ratio of dangerous failures | 3.1.34 |
| RS | rotation sensor | Annex I |
| S, S1, S2 | severity of injury | A.3.1 |
| SB | subsystem | Figures 13, H.1, H.2 |
| SOS | safe operating stop | 5.2.2.2 |
| SS2 | safe stop 2 | 5.2.2.2 |
| SW1A, SW1B, SW2 | position switches | Annex I |
| SIL | safety integrity level | 3.1.7, Clause 6 |
| SLS | safely limited speed | Table 3 |
| SRASW | safety-related application software | 3.1.41 |
| SRESW | safety-related embedded software | 3.1.42 |
| SRP/CS | safety-related part of a control system | 3.1.1 |
| SRS | safety requirements specification | 3.1.3 |
| STO | safe torque off | Tables 3 and N.2 |
| te | test equipment | 6.1 |
| TM | mission time | 3.1.36 |
| T10D | mean time until 10 % of the components fail dangerously | Annex C |
Bibliography
| 1 | ISO/IEC Guide 51:2014, Safety aspects — Guidelines for their inclusion in standards |
| 2 | ISO 4413:2010, Hydraulic fluid power — General rules and safety requirements for systems and their components |
| 3 | ISO 4414:2010, Pneumatic fluid power — General rules and safety requirements for systems and their components |
| 4 | ISO 7731:2003, Ergonomics — Danger signals for public and work areas — Auditory danger signals |
| 5 | ISO 8573-1, Compressed air — Part 1: Contaminants and purity classes |
| 6 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 7 | ISO 9001:2015, Quality management systems — Requirements |
| 8 | ISO 9241-210, Ergonomics of human-system interaction — Part 210: Human-centred design for interactive systems |
| 9 | ISO 10218-1:2011, Robots and robotic devices — Safety requirements for industrial robots — Part 1: Robots |
| 10 | ISO 10218-2, Robots and robotic devices — Safety requirements for industrial robots — Part 2: Robot systems and integration |
| 11 | ISO 11161:2007, Safety of machinery — Integrated manufacturing systems — Basic requirements |
| 12 | ISO 11428:1996, Ergonomics — Visual danger signals — General requirements, design and testing |
| 13 | ISO 11429:1996, Ergonomics — System of auditory and visual danger and information signals |
| 14 | ISO 13850:2015, Safety of machinery — Emergency stop function — Principles for design |
| 15 | ISO 13851, Safety of machinery — Two-hand control devices — Principles for design and selection |
| 16 | ISO 13856-1, Safety of machinery — Pressure-sensitive protective devices — Part 1: General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors |
| 17 | ISO 13856-2, Safety of machinery — Pressure-sensitive protective devices — Part 2: General principles for design and testing of pressure-sensitive edges and pressure-sensitive bars |
| 18 | ISO 14118:2017, Safety of machinery — Prevention of unexpected start-up |
| 19 | ISO 14119:2013, Safety of machinery — Interlocking devices associated with guards — Principles for design and selection |
| 20 | ISO/TR 14121-2, Safety of machinery — Risk assessment — Part 2: Practical guidance and examples of methods |
| 21 | ISO/TS 15066:2016, Robots and robotic devices — Collaborative robots |
| 22 | ISO 16090-1, Machine tools safety — Machining centres, Milling machines, Transfer machines — Part 1: Safety requirements |
| 23 | ISO 19973 (all parts), Pneumatic fluid power — Assessment of component reliability by testing |
| 24 | ISO/TR 22100-2:2013, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100 relates to ISO 13849-1 |
| 25 | ISO/TR 22100-3, Safety of machinery — Relationship with ISO 12100 — Part 3: Implementation of ergonomic principles in safety standards |
| 26 | ISO/TR 22100-4, Safety of machinery — Relationship with ISO 12100 — Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects |
| 27 | ISO 23125, Machine tools — Safety — Turning machines |
| 28 | ISO/IEC/IEEE 26512, Systems and software engineering — Requirements for acquirers and suppliers of information for users |
| 29 | EN 614-1, Safety of machinery — Ergonomic design principles — Part 1: Terminology and general principles |
| 30 | EN 1005-3, Safety of machinery — Human physical performance — Part 3: Recommended force limits for machinery operation |
| 31 | EN 50178, Electronic equipment for use in power installations |
| 32 | IEC 60204-1:2016+AMD1:2021, Safety of machinery — Electrical equipment of machines — Part 1: General requirements |
| 33 | IEC 60447, Basic and safety principles for man-machine interface (MMI) — Actuating principles |
| 34 | IEC 60050-192:2015, International electrotechnical vocabulary — Part 192: Dependability |
| 35 | IEC 60529, Degrees of protection provided by enclosures (IP code) |
| 36 | IEC 60812, Analysis techniques for system reliability — Procedure for failure mode and effects analysis (FMEA) |
| 37 | IEC 60947 (all parts), Low-voltage switchgear and controlgear |
| 38 | IEC 60950-1, Information technology equipment — Safety — Part 1: General requirements |
| 39 | IEC 61000-1-2, Electromagnetic compatibility (EMC) — Part 1‑2: General — Methodology for the achievement of functional safety of electrical and electronic systems including equipment with regard to electromagnetic phenomena |
| 40 | IEC 61000-6-2, Electromagnetic compatibility (EMC) — Part 6‑2: Generic standards — Immunity for industrial environments |
| 41 | IEC 61000-6-7:2014, Electromagnetic compatibility (EMC) — Part 6‑7: Generic standards — Immunity requirements for equipment intended to perform functions in a safety-related system (functional safety) in industrial locations |
| 42 | IEC 61025, Fault tree analysis (FTA) |
| 43 | IEC 61078, Reliability block diagrams |
| 44 | IEC 61300 (all parts), Fibre optic interconnecting devices and passive components — Basic test and measurement procedures |
| 45 | IEC 61310 (all parts), Safety of machinery — Indication, marking and actuation |
| 46 | IEC 61131-3:2013, Programmable controllers — Part 3: Programming languages |
| 47 | IEC 61310-1:2007, Safety of machinery — Indication, marking and actuation — Part 1: Requirements for visual, acoustic and tactile signals |
| 48 | IEC 61326-3-1, Electrical equipment for measurement, control and laboratory use — EMC requirements — Part 3‑1: Immunity requirements for safety-related systems and for equipment intended to perform safety-related functions (functional safety) — General industrial applications |
| 49 | IEC 61496-1:2020, Safety of machinery — Electro-sensitive protective equipment — Part 1: General requirements and tests |
| 50 | IEC 61496-2, Safety of machinery — Electro-sensitive protective equipment — Part 2: Particular requirements for equipment using active opto-electronic protective devices |
| 51 | IEC 61496-3, Safety of machinery — Electro-sensitive protective equipment — Part 3: Particular requirements for active opto-electronic protective devices responsive to diffuse reflection (AOPDDR) |
| 52 | IEC 61506, Industrial-process measurement and control — Documentation of software for process control systems and facilities |
| 53 | IEC 61508-1, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 1: General requirements |
| 54 | IEC 61508-2:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems |
| 55 | IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and abbreviations |
| 56 | IEC 61508-5, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 5: Examples of methods for the determination of safety integrity levels |
| 57 | IEC 61508-6:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 6: Guidelines on the application of IEC 61508‑2 and IEC 61508‑3 |
| 58 | IEC 61508-7:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 7: Overview of techniques and measures |
| 59 | IEC 61511-1:2016, Functional safety — Safety instrumented systems for the process industry sector — Part 1: Framework, definitions, system, hardware and application programming requirements |
| 60 | IEC 61558-2-16, Safety of transformers, reactors, power supply units and combinations thereof - Part 2-16: Particular requirements and tests for switch mode power supply units and transformers for switch mode power supply units for general applications |
| 61 | IEC 61709, 2Electric components — Reliability — Reference conditions for failure rates and stress models for conversion |
| 62 | IEC 61784 (all parts), Industrial communication networks — Profiles |
| 63 | IEC 61800-3, Adjustable speed electrical power drive systems — Part 3: EMC requirements and specific test methods |
| 64 | IEC 61800-5-2:2016, Adjustable speed electrical power drive systems — Part 5‑2: Safety requirements — Functional |
| 65 | IEC 61810-2-1, Electromechanical elementary relays — Part 2-1: Reliability — Procedure for the verification of B10 values |
| 66 | IEC 61810-3, Electromechanical elementary relays — Part 3: Relays with forcibly guided (mechanically linked) contacts |
| 67 | IEC 62021 (all parts), Insulating liquids — Determination of acidity |
| 68 | IEC 62024 (all parts), High frequency inductive components — Electrical characteristics and measuring methods |
| 69 | IEC 62368-1, Audio/video, information and communication technology equipment — Part 1: Safety requirements |
| 70 | IEC 62502, Analysis techniques for dependability — Event tree analysis (ETA) |
| 71 | IEC/TR 63074, Safety of machinery — Security aspects related to functional safety of safety-related control systems |
| 72 | EN 50495:2010, Safety devices required for the safe functioning of equipment with respect to explosion risks |
| 73 | ANSI B11.26:2018 Functional Safety for Equipment: General Principles for the Design of Safety Control Systems Using ISO 13849-1 |
| 74 | SN 29500 (all parts), Failure rates of components, Edition 1999-11, Siemens AG 1999s |
| 75 | VDMA 66413, Functional Safety — Universal data format for safety-related values of components or parts of control system |
| 76 | VDMA 24584:2020, Safety functions of regulated and unregulated (fluid) mechanical systems |
| 77 | Goble W.M., Control systems Safety Evaluation and Reliability. 3rd Edition:2010 (ISBN-101934394807) |
| 78 | IFA-Report 2/2017e, Functional safety of machine controls – Application of ISO 13849, German Social Accident Insurance (DGUV), June 2009, ISBN 978‑3‑88383‑793‑2, free download in the Internet: www.dguv.de/ifa/13849e |
| 79 | Chinniah Yuvin, 2015) Analysis and prevention of serious and fatal accidents related to moving parts of machinery, Safety Science 75 (2015) 163–173 |
| 80 | Haghighi A., Jocelyn S., Chinniah Y., “Testing and Improving an ISO 14119-Inspired Tool to Prevent Bypassing Safeguards on Industrial Machines”; Safety, volume 6, issue 3, 2020 https://www.mdpi.com/2313-576X/6/3/42 |
| 81 | IFA. “SISTEMA Cookbook 6: Definition of safety functions: what is important?” ( https://www.dguv.de/webcode.jsp?query=e109249 ) |
| 82 | Reliability Prediction of Electronic Equipment, MIL-HDBK‑217E, Notice-2, Department of Defense, Washington, DC, 1995 |
| 83 | British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom (HRD5, last issue) |
| 84 | Chinese Military Standard, GJB/Z 299C-2006 Reliability prediction handbook for electronic equipment (English Version) |
| 85 | EMC The easy way, Pocket guide, published by Division of Switching Devices, Switchboards and Industrial Controls of the ZVEI (German Electrical and Electronic Manufacturer’s Association), Frankfurt/Main, Germany ( https://www.zvei.org/fileadmin/user_upload/Presse_und_Medien/Publikationen/2008/Januar/EMC-Pocket-Guide-ZVEI-english.pdf ) |