この規格ページの目次
24
C 0508-1 : 2012 (IEC 61508-1 : 2010)
注記2 安全関連系が,EUC 制御系を安全関連系とみなさなくてよい作動要求率を考慮して適切
な安全度を指定するように設計されている場合,EUC 制御系を安全関連系として指定す
る必要はない(したがって,EUC 制御系の機能はこの規格群の定義における安全機能と
して指定する必要はない。)。アプリケーションによっては,非常に高い安全度が要求され
る。このような場合,作動要求率を下げるために,EUC 制御系の故障率を通常より低く
なるように設計することが適切である。この場合,求められる故障率が安全度水準1(表
3参照)における目標安全度上限を下回る場合,この制御系は安全関連系とみなされ,こ
の規格群の要求事項を適用する。
注記3 独立の意味については,7.6.2.7参照。
7.5.2.7 7.5.2.6 のa)からd)までの要求事項を満たすことができない場合は,EUC制御系は安全関連系と
して定めなければならない。EUC制御系の安全度水準は,EUC制御系に関して,表3に従って求める危険
側故障率によって決定しなければならない(7.6.2.9の注記3 参照)。この場合,この規格群で割り当てる
安全度水準に関する要求事項は,EUC制御系に適用しなければならない。
注記 7.5.2.5及び7.6.2.10参照。
7.6 全安全要求事項の割当て
注記 このフェーズは,図2のボックス5に該当する。
7.6.1 目的
7.6.1.1 この細分箇条の要求事項は,全安全要求事項(全安全機能要求事項及び全安全度要求事項から成
る。)に関する仕様書中の全安全機能を当該E/E/PE安全関連系,他リスク軽減措置に割り当てることを第
一の目的とする。
注記 他リスク軽減措置によるリスク軽減を計算に入れなければ,E/E/PE安全関連系へのリスク軽減
の割当てを行うことができないので,必要に応じてそれらの措置を考慮する。
7.6.1.2 この細分箇条の要求事項は,目標機能失敗尺度及び付随する安全度水準を,E/E/PE安全関連系が
実施しなくてはならない各安全機能に割り当てることを第二の目的とする。
7.6.2 要求事項
7.6.2.1 要求される機能安全を達成するために用いる安全関連系を定めなければならない。必要なリスク
軽減を,次のいずれか,又は全てによって達成してもよい。
− E/E/PE安全関連系
− 他リスク軽減措置
注記 この箇条は,安全関連系の少なくとも一部がE/E/PE安全関連系による場合に限って有効であ
る。
7.6.2.2 当該E/E/PE安全関連系,及び他リスク軽減措置への安全機能の割当ての措置に際して,全安全
ライフサイクルの全てのフェーズにわたって利用可能な技術及び資源を考慮しなければならない。
注記1 複雑な科学技術を利用した安全関連系の適用の完全な意味が,しばしば過小評価されている。
例えば,複雑な科学技術の実施には,仕様から保全及び運転まで全ての段階で高度な適合性
が要求される。その他のより単純な技術による解決法にも,同等の効果又は幾つかの利点が
認められる可能性がある。
注記2 運用及び保全のための技術,資源の利便性及び運用環境は,実際の運用上で要求される機能
安全の達成ができない可能性がある。
7.6.2.3 全安全機能は,7.5に従って開発された関連する全安全度要求事項とともに,一つ又は複数の指
――――― [JIS C 0508-1 pdf 26] ―――――
25
C 0508-1 : 2012 (IEC 61508-1 : 2010)
定のE/E/PE安全関連系及び/又は他リスク軽減措置に割り当てられなければならず,それによって安全度
要求事項に対する許容リスクが低減される。この割当ては繰り返されるものであり,許容リスクを達成で
きないことが明らかになった場合は,EUC制御系,指定のE/E/PE安全関連系及び他リスク軽減措置を部
分的に改修して割当て作業を繰り返さなければならない。
注記1 特定の全安全機能を一つ又は複数のE/E/PE安全関連系又は他リスク軽減措置に割り当てる
決定は幾つかの要因に依存するが,特に全安全度要求事項に左右される。安全度要求事項が
増えれば増えるだけ,その機能を複数のE/E/PE安全関連系及び/又は他リスク軽減措置と分
担することが多くなる。
注記2 図6は全安全要求事項の割当てに対応した方法を示している。
7.6.2.4 7.6.2.3に示す割当て過程は,全安全機能を割り当て,かつ,安全度要求事項が各々の目標機能失
敗尺度に適合するように行わなければならない(7.6.2.10に指定した要求事項を最も重要な条件とする)。
7.6.2.5 各安全機能に対する安全度要求事項は,次のいずれかによって規定する。
− 低頻度作動要求モード運用に対しては,安全機能の作動要求における危険側故障の平均確率。
− 高頻度作動要求又は連続モード運用に対しては,安全機能の危険側故障の平均周期[1/h]。
7.6.2.6 安全度要求事項の割当ては,確率演算に関わる適切な技法を用いて実施する。
注記1 割当て過程は,定性的及び/又は定量的に実施してもよい。
注記2 許容リスクを達成するために複数のE/E/PE安全関連系及び/又は他リスク軽減措置が必要
な場合,実際の達成リスクは,E/E/PE安全関連系及び/又は他リスク軽減措置の間の系統的
依存性に左右される(依存性の詳細及びその解析方法の詳細については,IEC 61508-5のA.5.4
参照)。
――――― [JIS C 0508-1 pdf 27] ―――――
26
C 0508-1 : 2012 (IEC 61508-1 : 2010)
各安全機器の割当てと
安全度要求事項を指定する
当該安全度要求事項
方法
a) 必要なリスク軽減 他リスク軽減措置 E/E/PE安全関連系 他リスク軽減措置
その1 その1
E/E/PE安全関連系 その2
その2
b) 必要なリスク軽減 E/E/PE安全関連系 E/E/PE 安全関連系
その1 その2
c) 安全度水準(SIL) E/E/PE安全関連系 E/E/PE安全関連系
その1 その2
個々のE/E/PE安全関連系の設計要求事項については,7.10参照
注記1 全安全度要求事項は,割当て以前に個々の安全機能に結び付いている(7.5.2.3参照)。
注記2 全安全機能は,複数の安全関連系にまたがって割り当ててよい。
図6−E/E/PE安全関連系及び他リスク軽減措置に対する全安全要求事項の割当て
7.6.2.7 割当ては,共通原因故障の可能性を考慮して行われなければならない。EUC制御系,E/E/PE安
全関連系,他技術安全関連系及び他リスク軽減措置を,割当て過程で(故障発生に関して統計的に)独立
したものとして扱うとき,それらの多重防護は,次の条件を全て満足しなければならない。
− 多重防護は,それらの異なる防護間において故障が同時に起こる可能性が,要求された安全度に関し
て十分低いように独立していなければならない。
− 機能的に異なっている(同じ結果を達成するのに全く異なった種類の方法論を用いる。)。
− 異なった技術に基づく(同じ結果を達成するのに全く異なった種類の機器を使用する。)。
注記1 技術がどのように異なっていても,機能失敗によって過酷な被害が生じる高度安全システ
ムでは,航空機の墜落,地震などのようにどんな小さな確率をもつ共通原因事象に対して
も特別な予防策を講じることが認識されている。
− 共通の部品,サービス及び(例えば,共通の電源のような)供給システムを用いてはならない(それ
らの故障は,全システムに同時に危険側故障を引き起こす可能性がある。)。
− 共通の運用,保全又はテスト方法を区別してはならない。
注記2 この規格群は,特にE/E/PE系への安全度要求事項の割当てに関心をもち,その実施方法の
要求事項を定めているが,他技術安全関連系及び他リスク軽減措置への安全度要求事項の
詳細な割当て方法は定めない。
共通原因の解析の枠内では,E/E/PE系,下位システム,要素などの異なるチャネルの,例えば空所によ
――――― [JIS C 0508-1 pdf 28] ―――――
27
C 0508-1 : 2012 (IEC 61508-1 : 2010)
る必要な区分の点などのようなE/E/PE安全関連系を実現するための限定及び制限の条件を確認しなけれ
ばならない。このことから,例えば,二つのチャネルとマイクロプロセッサとを1枚の基板に実装するこ
と,又はオンチップ冗長性を認められなくなることがある(IEC 61508-2の附属書E参照)。
7.6.2.8 7.6.2.7の要求事項が一つでも満足していないとき,E/E/PE安全関連系及び他リスク軽減措置は,
安全割当てという点において独立として扱わない。そのため,割当ては,EUC制御系,E/E/PE安全関連系
及び他リスク軽減措置の間で関連する共通原因故障を考慮しなければならない。
注記1 従属故障を分析する詳細に関しては,NUREG/CR-4780(参考文献[13])及びNUREG/CR-4780
(参考文献[14])を参照。
注記2 十分な独立性は,E/E/PE安全関連系について従属故障の確率が全安全度要求事項に比較して
十分に低いことを示して確立する(7.6.2.7参照)。
注記3 7.6.2.3に示すように,割当ては繰り返されるものであり,共通原因故障を含む解析によって
初期の仮定に基づいて許容リスクが達成できないことが示された場合は,設計変更が必要に
なる(詳細手引きについては,IEC 61508-5のA.5.4を参照)。
7.6.2.9 割当てが十分に進んだとき,E/E/PE安全関連系に割り当てた各々の安全機能に対する安全度要求
事項を表2及び表3の安全度水準を用いて規定する。さらに,目標機能失敗尺度が次のいずれであるか明
示しなければならない。
− 低頻度作動要求モードの場合(表2),安全機能の作動要求時の機能失敗時間平均確率(PFDavg)。
− 高頻度作動要求モードの場合(表3),安全機能の危険側失敗の平均頻度(PFH)[1/h]。
− 連続モードの場合(表3),安全機能の危険側失敗の平均頻度(PFH)[1/h]。
表2−安全度水準(SIL) : 低頻度作動要求モードで運用するE/E/PE安全関連系
に割り当てられる安全機能に対する目標機能失敗尺度
安全度水準 低頻度作動要求モード運用
(作動要求当たりの設計上の機能失敗平均確率)
(PFDavg)
4 10−5以上10−4未満
3 10−4以上10−3未満
2 10−3以上10−2未満
1 10−2以上10−1未満
表3−安全度水準(SIL) : 高頻度作動要求又は連続モードで運用するE/E/PE
安全関連系に割り当てられる安全機能に対する目標機能失敗尺度
安全度水準 高頻度作動要求又は連続モード運用
安全機能の危険側失敗の平均頻度(PFH)[1/h]
4 10−9以上10−8未満
3 10−8以上10−7未満
2 10−7以上10−6未満
1 10−6以上10−5未満
注記1 用語“低頻度作動要求モード”,“高頻度作動要求モード”及び“連続モード”の定義につ
いては,JIS C 0508-4の3.5.16を参照。
――――― [JIS C 0508-1 pdf 29] ―――――
28
C 0508-1 : 2012 (IEC 61508-1 : 2010)
注記2 目標機能失敗尺度を潜在危険及びリスク解析と関連付ける運用モードの手引きについて
は,IEC 61508-5を参照。
注記3 表2及び表3は,E/E/PE安全関連系が実行する安全機能に割り当てられた目標機能失敗尺
度を安全度水準に関連付けている。E/E/PE安全関連系の全ての側面の安全度を定量的に予
測することが不可能であることは認識されている。目標機能失敗尺度の達成を確実にする
ために必要とみなされる予防措置について,定量的ではない技法,措置及び判断を用いる
ことが必要である。このことは,指定した安全度水準に対して要求される決定論的安全度
(JIS C 0508-4の3.5.6参照)を達成するために必要とみなされる予防措置に関して,定量
的ではない技法及び判断を用いる必要がある場合,特に当てはまる[(IEC 61508-2の7.4.2.2
c),7.4.3,7.4.6,7.4.7及びIEC 61508-3参照]。
注記4 ハードウェアの安全度の場合,リスクアセスメントで決定した目標安全度が達成されてい
るかどうかを,ランダムハードウェア故障(IEC 61508-2の7.4.5参照)を考慮して評価す
るために定量化した信頼性を見積もる技術を適用することが必要である。
注記5 定量的方法(例 定量的リスクグラフ)を用いて安全度水準(SIL)を決定した場合,適
宜,表2又は表3からハードウェア安全度の限界を設定する定量的機能失敗尺度が得られ
る。
注記6 二つ以上のE/E/PE安全関連系が使用されているときに要求されることがある安全度は,十
分な独立性の水準が達成されている場合,表2に示すものより高いかもしれない。例えば,
二つのE/E/PE安全関連系の間で適切な独立性の水準が達成されている場合に,二つの
E/E/PE安全関連系によって一つの安全機能を実行するならば,そうであると言えるかもし
れない。
注記7 ある指定した運転期間内でいかなる修理も行えない条件で,高頻度作動要求又は連続モー
ドで運用されるE/E/PE安全関連系の場合,安全機能に対して要求される安全度水準は,次
のように導出することができる。運転期間内の安全機能の故障確率を決定し,これを運転
時間で除して,要求される1時間当たりの故障頻度を得て,次に,表3を用いて,要求さ
れる安全度水準を導き出す。
7.6.2.10 あるE/E/PE安全関連系が,それぞれ異なる安全度水準をもつ幾つかの安全機能を実行する場合,
それら安全機能間で実施上の十分な独立性を示せない限り,安全関連ハードウェア及びソフトウェアの実
行上不十分な独立性をもつ安全関連ハードウェアは,最高の安全度水準をもつ安全機能に属するものとし
て扱う。したがって,関連する最高の安全度水準に適用される要求事項をその部分に適用する。
注記 IEC 61508-2の7.4.2.4及びIEC 61508-3の7.4.2.8参照。
7.6.2.11 割当てのプロセスで,E/E/PE安全関連系に関する要求事項がSIL4の安全機能を実施するという
結果になった場合,次の項目を適用しなければならない。
a) IL4の安全機能に対する要求事項を回避するように,何らかのリスクパラメータを部分的に改修でき
るかどうか決定するためにアプリケーションを再検討しなければならない。この再検討では,次のこ
とができるかどうか検討しなければならない。
− E/E/PE安全関連系に基づいていない安全関連系又は他リスク軽減措置を追加導入する。
− 結果の厳しさを軽減する。
− 規定の結果の可能性を軽減する。
――――― [JIS C 0508-1 pdf 30] ―――――
次のページ PDF 31
JIS C 0508-1:2012の引用国際規格 ISO 一覧
- IEC 61508-1:2010(IDT)
JIS C 0508-1:2012の国際規格 ICS 分類一覧
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム
- 13 : 環境.健康予防.安全 > 13.110 : 機械の安全
JIS C 0508-1:2012の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISC0508-4:2012
- 電気・電子・プログラマブル電子安全関連系の機能安全―第4部:用語の定義及び略語