この規格ページの目次
29
C 0508-1 : 2012 (IEC 61508-1 : 2010)
b) アプリケーションについて更に検討した後,SIL4の安全機能を実行する決定を下した場合,E/E/PE安
全関連系と次の系との間で生じる潜在的な共通原因故障を考慮して,定量的方法を用いて詳細なリス
クアセスメントを行う。
− その故障が作動要求を生成する他の系
− その他の安全関連系
7.6.2.12 E/E/PE安全関連系のどの機能安全機能にも,表2及び表3に規定するものを下回る目標安全度を
割り当ててはならない。すなわち,次の状況で運用する安全関連系の場合,次による。
− 低頻度作動要求モードの場合は,下限を安全機能の作動要求時の危険側機能失敗平均確率である10−5
に設定する。
− 高頻度作動要求又は連続モードの場合は,下限を危険側故障の平均頻度である10−9[1/h]に設定する。
注記 複雑でない系に対する目標安全度に関して低い値をもつ安全関連系を設計することは可能の
場合があるが,これらの限度値は,現時点では比較的複雑な系(例 プログラマブル電子安
全関連系)で達成できるものを表しているとみなされている。
7.6.2.13 7.6.2.17.6.2.12に従って得られた全安全要求事項の割当ての内容及び結果は,仮定及び根拠
(EUCの耐用年数全体にわたって管理する必要のある他リスク軽減措置に関する仮定を含む。)とともに
文書化しなければならない。
注記 各E/E/PE安全関連系については,安全機能及びそれに付随する安全度水準に関する情報が十分
にあることが望ましい。この情報は,7.10に規定するE/E/PE安全関連系に対する安全要求事項
の根拠となる。
7.7 全運用及び保全計画
注記1 このフェーズは,図2のボックス6に該当する。
注記2 運用及び保全業務モデルの事例を図7に示す。
注記3 運用及び保全管理モデルの事例を図8に示す。
注記4 7.7.2の要求事項は,E/E/PE安全関連系に固有のものである。これらは,EUCの耐用年数全
体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている仮定を
特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。
注記5 機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。
7.7.1 目的
この細分箇条の要求事項は,運用及び保全の間,要求される機能安全の維持を保証するために,E/E/PE
安全関連系の運用及び保全計画を展開することを目的とする。
7.7.2 要求事項
7.7.2.1 次の事項を指定する計画を,作成しなければならない。
a) /E/PE安全関連系に要求される機能安全の遂行に必要な通常の業務
b) 不安全状態を防止する,E/E/PE安全関連系への作動要求を減らす,又は危害事象による被害を軽減す
るために必要な(立ち上げ,定期運転,定常検査,起こり得る外乱,フォールト,シャットダウンな
どの各場合での)業務及び制限。
注記1 次の制限,条件及び措置が,E/E/PE安全関連系に関連する。
1) /E/PE安全関連系がフォールトにあるときのEUCの運用制限。
2) /E/PE安全関連系が保全状態にあるときのEUCの運用制限。
3) UC運用の制限の解除。
――――― [JIS C 0508-1 pdf 31] ―――――
30
C 0508-1 : 2012 (IEC 61508-1 : 2010)
4) 通常の運用に復帰する手順。
5) 通常の運用状態になったことの確認手順。
6) /E/PE安全関連系によって実行される安全機能が,スタートアップ,特殊運用又はテ
ストのためにバイパスされることがある状態。
7) /E/PE安全関連系が無効とされる直前,その間及び後で措置される作業手続きの許可,
及び許可する者の資格。
c) 機能安全監査及びテスト結果を示すため保持を要する記録
d) 危険事象に結び付く可能性をもつ全ての事象に関する保持を要する記録
e) 保全業務の範囲(部分改修業務と区別される。)
f) 危険事象発生時に取る措置
g) 運用と保全業務の経時的記録の内容(7.15参照)
注記2 安全関連系及び他リスク軽減措置の多くは,定期保全検査でだけ検出できる幾つかの故障
モードをもつ。この場合,検査が十分な頻度で行われない場合,当該安全関連系の要求さ
れる安全度が達成されない。
注記3 この細分箇条は,安全関連系の運転及び保全の間,要求される安全機能を使用者に保証す
る情報及び方法をソフトウェア製品に与えることが求められるソフトウェア供給者を対
象としている。これには,運転又は保全上の要求事項から生じる場合がある任意のソフト
ウェア改修のための手順の準備を含む(IEC 61508-3の7.6参照)。それらの手順の実施は,
7.15及びIEC 61508-3の7.8による。安全関連系に関わる改善要求事項の結果として生じ
る将来のソフトウェアの変更に対する手順の準備は,IEC 61508-3の7.6に規定している。
それらの手順の実施は,7.16及びIEC 61508-2の7.8による。
注記4 IEC 61508-2及びIEC 61508-3での要求事項に適合するために適用する運用及び保全手順
を考慮することが望ましい。
7.7.2.2 計画は,ハードウェアフォールトトレランスがゼロであるE/E/PE安全関連系のいずれかの下位
システムをテストのためのオフラインにしても,EUCの継続的安全が追加的措置及び制限によって確実に
維持されるようなものでなければならない。このような追加措置及び制限で得られる安全度は,E/E/PE安
全関連系が通常運用中に与える安全度と同等以上でなければならない。ハードウェアフォールトトレラン
スがゼロを超えるE/E/PE安全関連系のいずれかの下位システムの場合は,E/E/PE安全関連系の一つ以上
のチャネルがテスト中で,運用状態を維持しなければならず,かつ,テストは,目標機能失敗尺度への適
合を判断するために実施した計算において仮定したMTTRの期限内に完了しなければならない。
注記 ハードウェアフォールトトレランスは,IEC 61508-2の7.4.4.1を参照。
7.7.2.3 現れないフォールトを検出するために行う定期保全業務は,決定論的分析で決定しなければなら
ない。
注記 現れないフォールトが検出できない場合,次のようになることがある。
a) /E/PE安全関連系又は他リスク軽減措置の場合は,作動要求で動作しない。
b) 非安全関連系の場合は,E/E/PE安全関連系又は他リスク軽減措置に対して作動要求が発生
する。
7.7.2.4 E/E/PE安全関連系を保全する計画は,次の事項の運用及び保全に責任をもつ者と合意しなければ
ならない。
− E/E/PE安全関連系
――――― [JIS C 0508-1 pdf 32] ―――――
31
C 0508-1 : 2012 (IEC 61508-1 : 2010)
− 他リスク軽減措置
− E/E/PE安全関連系又は他リスク軽減措置に作動要求を送る潜在性をもつ非安全関連系
7.8 全安全妥当性確認計画
注記1 このフェーズは,図2のボックス7に該当する。
注記2 この細分箇条での要求事項は,E/E/PE安全関連系に固有のものである。これらは,EUC耐用
年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている
仮定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。
注記3 機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。
7.8.1 目的
この細分箇条の要求事項は,E/E/PE安全関連系の全安全妥当性確認を実施するための計画を規定するこ
とを目的とする。
7.8.2 要求事項
7.8.2.1 次を包含する計画を,作成しなければならない。
a) 妥当性確認を行う時期の詳細
b) 当該妥当性確認を実施する者の詳細
c) 次の事項を含む,E/E/PE安全関連系に関係するEUC運転モードの特定
− 設定及び調整を含む起動の準備
− 立ち上げ
− 教育
− 自動
− 手動
− 半自動
− 定常運転
− 再設定
− シャットダウン
− 保全
− 合理的に予見可能な異常状態
d) 引渡しの開始以前に,EUC運転の各モードに対して妥当性確認を要するE/E/PE安全関連系の仕様。
e) 妥当性確認の技術的方針(例 解析方法,統計的テスト)
f) 安全機能割当ての正しい実施を確認するために使用する手段,技法及び手順。これは,各々の安全機
能が次の事項に適合していることの確認を含む。
− 全安全機能要求事項に関わる仕様
− 全安全度要求事項に関わる仕様
g) 7.5及び7.6の引渡し事項に含まれる各々の要素に対する7.5及び7.6の事項の詳細な参照。
h) 妥当性確認業務に要求される環境(例えば,テストには校正用具及び装置を含む。)
i) 合格及び不合格の基準
j) 妥当性確認の結果,特に不合格時の評価指針
注記 全妥当性確認計画では,IEC 61508-2及びIEC 61508-3で規定するE/E/PE系安全妥当性確認
及びソフトウェア安全妥当性確認に対する計画作成業務を考慮することが望ましい。二つ以
上のE/E/PE安全関連系及び/又は他リスク軽減措置間の全ての相互干渉を配慮し,かつ,
――――― [JIS C 0508-1 pdf 33] ―――――
32
C 0508-1 : 2012 (IEC 61508-1 : 2010)
(7.5の引渡し事項に規定する。)全ての安全機能の達成を保証する必要がある。
7.8.2.2 7.8.2.1による情報を文書化するとともに,E/E/PE安全関連系の全安全妥当性確認の計画を構成し
なければならない。
7.9 全設置及び引渡し計画
注記1 このフェーズは,図2のボックス8に該当する。
注記2 この細分箇条での要求事項は,E/E/PE安全関連系に固有のものである。これらは,EUC耐用
年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている
仮定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。
注記3 機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。
7.9.1 目的
7.9.1.1 この細分箇条の要求事項は,要求される機能安全の達成を保証する秩序ある方法でE/E/PE安全
関連系を設置するための計画を作成することを第一の目的とする。
7.9.1.2 この細分箇条の要求事項は,要求される機能安全の達成を保証する秩序ある方法でE/E/PE安全
関連系の引渡しを行うための計画を作成することを第二の目的とする。
7.9.2 要求事項
7.9.2.1 次の事項を含むE/E/PE安全関連系の設置計画を作成しなければならない。
a) 設置スケジュール
b) それぞれ異なる部分の設置を担当する者
c) 設置の手順
d) 設置のフェーズ(すなわち,多様な要素を統合する順序)
e) /E/PE安全関連系又はその一部が設置できることの宣言,及び設置フェーズの完了宣言に関わる基準
f) 機能失敗及び無互換性の解決に関わる手続き
7.9.2.2 次の事項を含むE/E/PE安全関連系の引渡し計画を作成しなければならない。
a) 引渡しスケジュール
b) 引渡しの各々の部分を担当する者
c) 引渡しの手順
d) 設置での各々の段階の相互関係
e) 妥当性確認との関係
7.9.2.3 全設置及び引渡し計画を文書化しなければならない。
7.10 E/E/PE系安全要求仕様
注記 このフェーズは,図2のボックス9に該当する。
7.10.1 目的
この細分箇条の要求事項は,必要な機能安全を達成するために,E/E/PE系の安全機能要求事項をE/E/PE
系の安全機能要求仕様及びE/E/PE系の安全度要求事項の観点から定義することを目的とする。
7.10.2 要求事項
7.10.2.1 E/E/PE系の安全度要求仕様は,7.6に規定する安全要求事項の割当てから,その適用に関連する
全ての情報と合わせて導き出さなければならない。この情報は,E/E/PE安全関連系の開発者が利用できる
ようにしなければならない。
7.10.2.2 E/E/PE系の安全要求仕様は,安全機能とそれらの関連安全保全レベルのための要件を含まなけれ
ばならない。
――――― [JIS C 0508-1 pdf 34] ―――――
33
C 0508-1 : 2012 (IEC 61508-1 : 2010)
注記 目的は,機器に固有でない観点から,安全機能及びその必要な機能安全能力を説明することで
ある。したがって,仕様は,全安全要求事項及び全安全要求事項の割当てでのアウトプットに
対して適合性を確認し,E/E/PE系(IEC 61508-2の7.2参照)の実現の基礎として使用できる。
機器の設計者は,この仕様を機器及びアーキテクチャを選択するための基礎として使用するこ
とができる。
7.10.2.3 E/E/PE系の安全要求仕様をE/E/PE安全関連系の開発者に利用可能にする。
7.10.2.4 E/E/PE系の安全要求仕様は,次のような方法で表現し,かつ,構造化する。
a) 明確,正確,明白,証明可能,テスト可能,維持可能及び実行可能
b) /E/PE系の安全ライフサイクルのどんな段階でも情報を利用しそうな人の理解を支援するために書
いてある。
c) 自然言語若しくは公式言語及び/又は個々に定義される各安全機能で必要な安全機能を定義するロジ
ック図,手順図又は原因と結果の図で表現する。
7.10.2.5 E/E/PE系の安全要求事項の仕様は,E/E/PE系安全機能(7.10.2.6参照)のための要求事項及び
E/E/PE系の安全保全のための要件を含まなければならない(7.10.2.7参照)。
7.10.2.6 E/E/PE系の安全機能要求仕様書は,次の事項を含まなければならない。
a) 各安全機能に対して,次のような要求機能安全を達成するために必要な全安全機能の記述
− E/E/PE安全関連系の設計及び開発にとって十分で詳細な包括的要求事項を提供する。
− E/E/PE安全関連系が,EUCにとって安全な状態を達成又は維持するように意図された方法を含む。
− EUCの安全な状態を達成又は維持する場合に,連続制御が要求されるかどうか,かつ,その期間を
規定する。
− 安全機能を,低頻度作動要求,高頻度作動要求又は連続モードで運用するE/E/PE安全関連系に適合
するかどうかを規定する。
b) 応答時間特性(すなわち,安全機能が完了するために必要な時間)。
c) 要求機能安全を達成するために必要なE/E/PE安全関連系及びオペレータインタフェース。
d) 機能安全に関連する,E/E/PE安全関連系の設計に影響することがある全ての情報。
e) 機能安全に必要な,E/E/PE安全関連系と他の系(EUCの内側又は外側)との間の全てのインタフェー
ス。
f) 次の事項を含む,EUCの全ての関連運用モード。
− 設定及び調整を含む使用のための準備
− スタートアップ,訓練,自動,手動,半自動及び運転時の定常状態
− 停止時の定常状態,リセット,シャットダウン及び保全
− 合理的に予見可能な異常条件
注記 ある特定の運用モード(例 設定,調節又は保全)では,これらの運用を安全に実施でき
るように追加的機能が必要になる場合もある。
g) /E/PE安全関連系の全ての必要な挙動モードを規定しなければならない。特に,E/E/PE安全関連系の
故障(例 アラーム,自動停止)の場合の,目標機能失敗尺度の規定値
7.10.2.7 E/E/PE安全度要求仕様は,必要な場合は,次の事項を含まなければならない。
a) 各安全機能の安全度水準,及び必要な場合は,目標機能失敗尺度の規定値。
注記1 目標機能失敗尺度の規定値は,定量的方法(7.5.2.3参照)を使用して求めることができる。
もう一つの方法として,安全度要求事項を定量的方法で作成し,安全度水準として表して
――――― [JIS C 0508-1 pdf 35] ―――――
次のページ PDF 36
JIS C 0508-1:2012の引用国際規格 ISO 一覧
- IEC 61508-1:2010(IDT)
JIS C 0508-1:2012の国際規格 ICS 分類一覧
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム
- 13 : 環境.健康予防.安全 > 13.110 : 機械の安全
JIS C 0508-1:2012の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISC0508-4:2012
- 電気・電子・プログラマブル電子安全関連系の機能安全―第4部:用語の定義及び略語