この規格ページの目次
19
C 0508-1 : 2012 (IEC 61508-1 : 2010)
7.1.3 目的
7.1.3.1 この細分箇条の要求事項は,E/E/PE安全関連系に要求される機能安全の達成に必要であるとみな
される全安全ライフサイクルでのフェーズを,系統的な方法で構成することを第一の目的とする。
7.1.3.2 この細分箇条の要求事項は,全安全ライフサイクルを通じてE/E/PE安全関連系についての重要
な情報を記録することを第二の目的とする。
注記 箇条5及び文書化例に関わる附属書A参照。文書化構成は,各企業の手順,個々の製品及び適
用分野での実作業を考慮してもよい。
7.1.4 要求事項
7.1.4.1 この規格群に適合するために用いられなければならない全安全ライフサイクルは,図2に規定す
るものである。他の全安全ライフサイクルを用いる場合,その全安全ライフサイクルは機能安全管理業務
(箇条6参照)の一部として定め,この規格群の各々の箇条又は細分箇条の目的及び要求事項に適合しな
ければならない。
注記 適合するために用いなければならないE/E/PE系安全ライフサイクル及びソフトウェア安全ラ
イフサイクル(これらは全安全ライフサイクルの実現フェーズである。)の各部分は,この規格
群の第2部及び第3部にそれぞれ規定されている。
7.1.4.2 機能安全の管理に関する要求事項(箇条6参照)は,全安全ライフサイクルフェーズと並行して
実施しなければならない。
7.1.4.3 正当な理由がない限り,全安全ライフサイクルの各フェーズを適用し,かつ,要求事項に適合し
なければならない。
7.1.4.4 全安全ライフサイクルの各フェーズは,それら各々に対して適切に指定した適用範囲,引継ぎ事
項及び引渡し事項に関わる基本的な業務として分割しなければならない。
7.1.4.5 全安全ライフサイクルの各フェーズの適用範囲及び引継ぎ事項は,機能安全管理業務(箇条6参
照)で正当化される場合,又は適用分野の製品規格などに規定されている場合を除いて,表1による。
7.1.4.6 全安全ライフサイクルの各フェーズからの引渡し事項は,機能安全管理業務(箇条6参照)で正
当化される場合,又は適用分野の製品規格などに規定されている場合を除いて,表1による。
7.1.4.7 全安全ライフサイクルの各フェーズからの引渡し事項は,各フェーズの目的及び要求事項に適合
しなければならない(7.27.17参照)。
7.1.4.8 全安全ライフサイクルの各フェーズの適合確認の要求事項は,7.18による。
7.2 概念
注記 このフェーズは,図2のボックス1に該当する。
7.2.1 目的
この細分箇条の要求事項は,他の安全ライフサイクル業務が十分に実施できるよう,EUC及びそれが置
かれる物理的環境,法的環境などの一定水準の理解を図ることを目的とする。
7.2.2 要求事項
7.2.2.1 当該EUC及びその制御系と物理的環境に関して精通しなければならない。
7.2.2.2 潜在危険,危険状態及び危害事象の原因と考えられるものは,明確化しなければならない。
7.2.2.3 同定された潜在危険に関する情報を得なければならない(例えば,期間,程度,毒性,さらされ
る限界,機械的な力,爆発の条件,腐食性,反応性,可燃性)。
7.2.2.4 現行の(国内及び国際上の)安全規則に関する情報を得なければならない。
――――― [JIS C 0508-1 pdf 21] ―――――
20
C 0508-1 : 2012 (IEC 61508-1 : 2010)
7.2.2.5 当該EUC及びその他の装置又はシステム(設置又は設置予定の)との干渉から生じる潜在危険,
危険状態及び危害事象も考慮しなければならない。
7.2.2.6 7.2.2.17.2.2.5で得られた情報及び結果を文書化しなければならない。
7.3 全対象範囲の定義
注記 このフェーズは,図2のボックス2に該当する。
7.3.1 目的
7.3.1.1 この細分箇条での要求事項は,EUC及びEUC制御系の範囲を決定することを第一の目的とする。
7.3.1.2 この細分箇条での要求事項は,潜在危険及びリスク解析の範囲を定義することを第二の目的とす
る(例えば,プロセス潜在危険,環境潜在危険など)。
7.3.2 要求事項
7.3.2.1 EUCとEUC制御系との境界は,関連の潜在危険及び危険事象に付随する全ての機器及びシステ
ム(適宜,人を含む。)を含めるよう定めなければならない。
注記 全対象範囲の定義と潜在危険及びリスク解析とのフェーズ間では,何回かのフェーズ移行の繰
り返しが必要となることがある。
7.3.2.2 潜在危険及びリスク解析の範囲に含む物理機器をEUC及びEUC制御系を含めて定めなければな
らない。
注記 IEC 60300-3-1(参考文献 [9])及びJIS C 5750-3-1(参考文献[10])を参照。
7.3.2.3 潜在危険及びリスク解析で考慮しなければならない外的事象を定めなければならない。
7.3.2.4 潜在危険及び危険事象に関係する,機器及びシステムを定めなければならない。
7.3.2.5 検討が必要な初期事象のタイプ[例えば,部品の故障,手順の誤り,人的過誤(ヒューマンエラ
ー),事故の連鎖を引き起こす共通原因故障の発生メカニズム]を定めなければならない。
7.3.2.6 7.3.2.17.3.2.5によって得られた情報及び結果を文書化しなければならない。
7.4 潜在危険及びリスク解析
注記 このフェーズは,図2のボックス3に該当する。
7.4.1 目的
7.4.1.1 この細分箇条での要求事項は,フォールト及び合理的に予見可能な誤使用を含む全ての合理的な
予見可能状況(JIS C 0508-4の3.1.14参照)に対して,当該EUC及びその制御系の全ての運転モードにお
いて生じる潜在危険,危険状態及び危険事象を明らかにすることを第一の目的とする。
7.4.1.2 この細分箇条の要求事項は,7.4.1.1で決定した危険事象に結び付く事象連鎖を明らかにすること
を第二の目的とする。
7.4.1.3 この細分箇条の要求事項は,7.4.1.1で決定した危険事象による当該EUCリスクを明らかにする
ことを第三の目的とする。
注記1 この細分箇条は,E/E/PE安全関連系に対する安全要求事項を系統的なリスク規範の方法論に
基づいて行うために必要である。EUC及びEUC制御系の検討なしでは安全要求事項の決定
は,実行不可能である。
注記2 危険事象に関連するリスクについて妥当な仮定を置ける適用産業分野では,この細分箇条(及
び7.5)で要求する解析をこの規格群に従って展開した適用分野規格に基づいて行ってもよい。
また,単純化された図表による要求事項を用いてもよい(IEC 61508-5の附属書E及び附属
書G参照)。
――――― [JIS C 0508-1 pdf 22] ―――――
21
C 0508-1 : 2012 (IEC 61508-1 : 2010)
7.4.2 要求事項
7.4.2.1 潜在危険及びリスク解析は,全対象範囲の定義のフェーズ(7.3参照)からの情報を考慮して着
手しなければならない。全安全ライフサイクル,E/E/PE系安全ライフサイクル又はソフトウェア安全ライ
フサイクルのある段階での決定が試され,その決定によってそれ以前の決定条件が変わる場合,追加の潜
在危険及びリスク解析を実施しなければならない。
注記1 詳細として,IEC 60300-3-1(参考文献 [9])及びJIS C 5750-3-1(参考文献[10])を参照。
注記2 全安全ライフサイクルに踏み込んで潜在危険及びリスク解析を持続しなければならない事例
として,安全関連バルブをもつEUCの解析を示す。高水準の潜在危険及びリスク解析から“弁
が閉じない”と“弁が開かない”という二つの異常事象連鎖が決定される。しかし,制御系
がバルブを制御する詳細な仕組みを解析すると,新しい故障モード“弁が開閉を繰り返す”
が発見される。これは,危険事象を導く新しい事象連鎖となる場合がある。
7.4.2.2 潜在危険の除去又は軽減を考慮しなければならない。
注記 この規格群の範囲外ではあるが,EUCで特定された潜在危険を,例えば,本質的な安全の原理
及び良心的な工学的実施法の適用によって,根源で除去することは最も重要である。
7.4.2.3 EUC及びその制御系に生じる潜在危険,危険事象及び危険状態(フォールトの諸状態,合理的に
予見可能な誤使用,及び悪意をもった又は権限をもたない行為を含む。)を,全ての合理的に予見可能な状
況下で明らかにしなければならない。これには,関連する全ての人的要因の問題点を包含しなければなら
ない。さらに,EUCのまれな異常モード運転にも特別な注意を払わなければならない。危険解析によって,
安全保障を脅かす要素となる悪意をもった,又は権限をもたない行為が,合理的に予見可能であると特定
される場合,安全保障への脅威の解析を実行しなければならない。
注記1 “合理的に予見可能な誤使用”については,JIS C 0508-4の3.1.14参照。
注記2 人的要因の問題点の説明及び解析を含む,潜在危険の同定の解説としては,IEC 60300-3-9(参
考文献[11])を参照。
注記3 セキュリティの分析の詳細としては,IEC 62443シリーズを参照。
注記4 悪意をもった行為又は不正な行為は,セキュリティの脅威となる。
注記5 潜在危険及びリスク解析では,作動要求又は疑似作動要求による安全機能の起動が,更に新
たな潜在危険を招くかどうかも検討するのが望ましい。そのような状況では,その潜在危険
に対処するために新たな安全機能を開発することが必要となる。
7.4.2.4 7.4.2.3において明らかにした危険事象に結び付く事象の発生順序を,明確化しなければならない。
注記1 安全方針及びリスクマネジメントの決定事項を考慮しながら事象発生順序を検討するのがよ
い。
注記2 プロセス設計又は使用する機器の改修によって,何らかの事象発生順序を排除できるかどう
か検討するのがよい。
7.4.2.5 7.4.2.3で規定した条件に関して,それらの危険事象の確からしさを査定しなければならない。
7.4.2.6 7.4.2.3で明らかにされた危険事象に付随する結果を明確化しなければならない。
7.4.2.7 明らかにされた各危険事象に対して,EUCリスクを査定又は推定しなければならない。
7.4.2.8 7.4.2.17.4.2.7の要求事項は,潜在危険及びリスク解析手法の定性的又は定量的な方法のどちら
かを適用できる(第5部参照)。
7.4.2.9 当該手法の妥当性,及び当該手法をどの程度まで適用することが必要かは,次の事項を含む幾つ
かの要因に依存する。
――――― [JIS C 0508-1 pdf 23] ―――――
22
C 0508-1 : 2012 (IEC 61508-1 : 2010)
− 当該潜在危険及びその被害
− EUC及びEUC制御系の複雑さ
− 適用分野及びそこで受容される実践規範
− 関係法規及び安全規制の要求事項
− 当該EUCリスク
− 潜在危険及びリスク解析に用いる正確なデータの利用の可能性
7.4.2.10 潜在危険及びリスク解析は,次の事項を含まなければならない。
− 各々の決定された危険事象及びそれに寄与する要素
− 各々の危険事象が関わる事象順序の結果とその発生の確からしさ
− 各々の危険事象に対して許容されるリスク
− 潜在危険及びリスクを減少又は除去するためにとる措置
− 推定された作動要求率,機器の故障率などリスク解析での仮定。運転制限又は人の侵入に対する信ぴ
ょう性を詳しく規定する。
7.4.2.11 潜在危険及びリスク解析を構成する情報及び結果を,文書化しなければならない。
7.4.2.12 潜在危険及びリスク解析を構成する情報及び結果を,当該EUC及びその制御系に対して,全安
全ライフサイクル,すなわち,潜在危険及びリスク解析から使用終了又は廃却フェーズまで保管しなけれ
ばならない。
注記 潜在危険及びリスク解析フェーズの結果から得られる情報の保管は,顕著な潜在危険及びリス
クの進行を追跡するための重要な手段である。
7.5 全安全要求事項
注記 このフェーズは,図2のボックス4に該当する。
7.5.1 目的
この細分箇条での要求事項は,必要な機能安全を達成するために,E/E/PE安全関連系,及び他リスク軽
減措置に対して,全安全機能要求事項及び全安全度要求事項に関わる仕様の展開を目的とする。
注記 リスク,潜在危険,危害事象及びそれらによる被害について妥当な仮定を置くことのできる適
用産業分野では,この細分箇条に要求される解析を,この規格群を基に展開された適用分野規
格に基づいて行ってもよい。また,単純化した図表による要求事項を用いてもよい。そのよう
な方法をIEC 61508-5の附属書E及び附属書Fに示す。
7.5.2 要求事項
7.5.2.1 全ての必要な潜在危険及びリスク分析から導出された危険事象に基づいて安全機能の組合せを
開発しなければならない。これは全安全機能の要求事項に関する仕様を達成しなければならない。
注記1 各危険事象に対して,一つの全安全機能を作り出す必要がある。
注記2 全安全機能を遂行する方法及び技術が更に後のフェーズに至るまで判明しない場合,このフ
ェーズでは,実施しなければならない全安全機能の技術的細部までは指定しない。全安全要
求事項を割り当てる過程で(7.6参照),実施上の指定した方法を反映するように,安全機能
の記述を修正することが必要になる。
例 容器Xの温度が250 ℃を超えるのを防止すること,及び駆動部Yの速度が毎分3 000回転を超え
るのを防止することが,全安全機能の例である。
7.5.2.2 セキュリティ上の脅威が特定された場合は,セキュリティ要求事項を指定するためにぜい(脆)
弱性解析を行うことが望ましい。
――――― [JIS C 0508-1 pdf 24] ―――――
23
C 0508-1 : 2012 (IEC 61508-1 : 2010)
注記 ぜい弱性解析についての詳細については,IEC 62443シリーズ参照。
7.5.2.3 それぞれの全安全機能に対して,許容リスクに適合するように,目標安全度要求事項を決定しな
ければならない。それぞれの要求事項は,定量的及び/又は定性的な方法で決定できる。これによって,
全安全度要求機能に関する仕様を構成しなければならない。
注記1 全安全度要求仕様は,E/E/PE安全関連系が実行しなければならない安全機能に対する目標機
能失敗尺度,及びこれに付随する安全度水準を決定するための暫定のものである。安全度水
準(IEC 61508-5の附属書E及び附属書F参照)を決定するための定性的方法の一部は,リ
スクパラメータから直接,安全度水準へと進む。この場合,安全度要求事項は,方法そのも
のに組み込まれるために,明示的でなく,むしろ暗示的に示される。
注記2 EUC リスクは,危険事象の影響の軽減によるか(これが望ましい),又はEUC 及びEUC 制
御系の危険事象率の軽減によって(7.5.2.4参照),軽減することができる。
注記3 危険事象の頻度に要求される軽減は,E/E/PE安全関連系及び/又は他リスク軽減措置から成
る追加の手段によって達成できる。他リスク軽減措置は,他技術の安全関連系,避難,退避,
ばく露時間の管理などの手段を含む。
注記4 許容リスク基準を満たすためには,各安全機能に対する目標安全度を決めるとき,各個人が
他の発生源からのリスクにさらされることを考慮することが必要となる。
注記5 安全度要求事項を直接決めるための適切な方法を含めたアプリケーション分野に関する国際
標準が存在する場合は,その国際標準を,この項の要求事項に適合させるために使用しても
よい。
7.5.2.4 全安全度要求事項は,次のいずれかの点から定めなければならない。
− 許容リスクを達成するために必要なリスク軽減
− 許容リスクを満たすための許容危険事象率
7.5.2.5 EUC リスクの評価において,単一のEUC 制御系の危険側故障の平均頻度が,単位時間当たり
10−5回とされている場合は,この規格群の要求事項の対象となる安全関連制御系としなければならない。
注記 例えば,EUC 制御系について,危険側故障率が単位時間当たり10−6回から10−5回の間にある
場合,そのEUC 制御系はE/E/PE 安全関連系とみなし,安全度水準1に該当する要求事項を満
足しなければならない。
7.5.2.6 EUC 制御系の故障によって,一つ又は複数のE/E/PE 安全関連系か,又は他リスク軽減措置の設
置が求められる場合,及びEUC 制御系を安全関連系として指定することが目的となっていない場合には
次の要求事項を適用しなければならない。
a) UC 制御系に関して求める危険側故障率は,次のいずれか一つの方法で得られるデータによって裏付
けなければならない。
− 類似アプリケーションにおけるEUC 制御系の実際の運用実績
− 認定された手順に従って実施された信頼性解析
− 一般機器の信頼性に関する産業界に固有のデータベース
b) UC 制御系に関して求める危険側故障率は,単位時間当たり10−5回以上でなければならない。
注記1 7.5.2.5参照
c) 全安全要求仕様の開発においては,EUC 制御系の全ての合理的に予見可能な危険側故障モードを考慮
しなければならない。
d) UC 制御系は,E/E/PE 安全関連系及び他リスク軽減措置から独立していなければならない。
――――― [JIS C 0508-1 pdf 25] ―――――
次のページ PDF 26
JIS C 0508-1:2012の引用国際規格 ISO 一覧
- IEC 61508-1:2010(IDT)
JIS C 0508-1:2012の国際規格 ICS 分類一覧
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム
- 13 : 環境.健康予防.安全 > 13.110 : 機械の安全
JIS C 0508-1:2012の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISC0508-4:2012
- 電気・電子・プログラマブル電子安全関連系の機能安全―第4部:用語の定義及び略語