JIS C 0508-2:2014 電気・電子・プログラマブル電子安全関連系の機能安全―第２部：電気・電子・プログラマブル電子安全関連系に対する要求事項 | ページ 4

14
C 0508-2 : 2014 (IEC 61508-2 : 2010)
            難の度合いが深まることがある。
7.4.2.4  安全度水準が異なる複数の安全機能の実現が,十分に独立したものであることを示せない限り,
最も高い安全度水準をもつ安全機能の安全度水準でハードウェア及びソフトウェアの要求事項を定めなけ
ればならない。
    注記1 十分に独立した機能の実現を確立するには,安全度水準が異なる複数の安全機能を実現して
            いる部分間の従属故障の確率が,関与している安全機能に関わる最も高い安全度水準と比較
            して十分に低いことを示す必要がある。
    注記2 複数の安全機能を一つのE/E/PE安全関連系で実現する場合,単一フォールトが複数の安全機
            能の故障を引き起こす可能性を考慮する必要がある。そのような状況の場合,複数の安全機
            能の故障を引き起こす単一フォールトに関わるリスクに応じて関連するいかなる安全機能の
            安全度水準よりも高い水準に基づいて,ハードウェア及びソフトウェアの要求事項を定める
            ことが適切である。
7.4.2.5  安全機能間で独立性が要求される場合(7.4.2.3及び7.4.2.4参照),設計中に次の事項を文書化し
なければならない。
a) 独立性を達成する方法。
b) 手段の妥当性の根拠。
    例 独立性を弱体化することがある予見可能な故障モード及びその故障率に関する記述,FMECA(故
        障モード影響及び致命度解析)又は従属故障分析の使用など。
7.4.2.6  安全関連ソフトウェアの要求事項(JIS C 0508-3参照)は,E/E/PE安全関連系の開発者が利用で
きるようにしなければならない。
7.4.2.7  E/E/PE安全関連系の開発者は,安全関連ソフトウェア及びハードウェアの要求事項が適切である
かを,審査しなければならない。特に,次の事項を考慮しなければならない。
a) 安全機能
b)   /E/PE安全関連系の安全度要求事項
c) 機器のオペレータインタフェース
7.4.2.8  E/E/PE安全関連系設計文書は,安全度水準を達成するために,E/E/PE系安全ライフサイクルフェ
ーズ中に,必要な技法及び手段を規定しなければならない。
7.4.2.9  E/E/PE安全関連系設計文書は,必要な安全度水準を満たす統合セットを形成するために,選択し
た技法及び手段が正当であることの根拠を示さなければならない。
    注記 E/E/PE安全関連系(センサ,アクチュエータなどを含む)に関するハードウェア及びソフトウ
          ェア,診断テスト並びにプログラミングツールに対して,独立した形式承認を利用して,でき
          る限り最適なソフトウェア言語を使用する全体的なアプローチを採用することは,E/E/PE系ア
          プリケーションエンジニアリングの複雑さを軽減する可能性をもつ。
7.4.2.10 該当する設計及び開発業務の間,全てのハードウェア及びソフトウェアの相互作用の詳細を識別
し,評価して,かつ,文書化しなければならない。
7.4.2.11 設計は,サブシステムへの分解を基準にしなければならず,各サブシステムに対しては規定の設
計及び一連の統合テストを行う(7.5.2参照)。
    注記1 サブシステムは,単一の要素又は一連の要素からなるとみなしてよい。完成したE/E/PE安全
            関連系は,複数の識別可能な個別のサブシステムからなる。これらのサブシステムは一体と
            なって,検討対象の安全機能を履行する。サブシステムは,複数のチャネルをもつことがで

――――― [JIS C 0508-2 pdf 16] ―――――

                                                                                             15
                                                                C 0508-2 : 2014 (IEC 61508-2 : 2010)
            きる(7.4.9.3及び7.4.9.4参照)。
    注記2 可能な場合は常に,実現には既存のテスト済みサブシステムを使用することが望ましい。こ
            の記述が有効なのは,通常,次のいずれかの場合だけである。
            − 新しい要求事項への既存のサブシステム又は要素の機能,能力及び性能のマッピングが
                ほぼ100 %である場合。
            − 使用者が特定のアプリケーションに対して必要な機能,能力又は性能だけを選択できる
                ように,テスト済みサブシステム又は要素を構成している場合。
              既存のサブシステム又は要素が“過度に複雑,又は使用しない機能を備えている場合”で,
            かつ,“意図しない動作に対する保護が得られない場合”は,過剰な機能,能力又は性能がシ
            ステムの安全にとって有害になることがある。
7.4.2.12 E/E/PE安全関連系の初期設計が完了している場合,E/E/PE安全関連系の合理的に予見できる故障
が危険事象をもたらすか,又は他のリスク制御の手段を必要とするかどうかを,解析しなければならない。
何らかの合理的に予見できる故障がこれらのいずれかに影響する場合,第一の優先順位は,そのような故
障モードを避けるためにE/E/PE安全関連系の設計を変更することである。これができない場合は,そのよ
うな故障モードの可能性を目標機能失敗尺度に見合うレベルまで低減するための手段を講じなければなら
ない。これらの手段は,この規格の要求事項に従わなければならない。
    注記 この箇条は,他のリスク制御措置を要求するE/E/PE安全関連系の故障モードを特定することを
          意図している。特定の故障モードの故障率を減少させることができず,更に新しい安全機能が
          必要となるか,又はほかの安全機能のSIL(安全度水準)を故障率を考慮して再考する場合も
          ある。
7.4.2.13 全てのハードウェア構成部品についてディレーティング(IEC 61508-7参照)を考慮することが
望ましい。ハードウェア要素を限界で運用することについて,正当性のある根拠を文書化しなければなら
ない(JIS C 0508-1の箇条5参照)。
    注記 ディレーティングが適切な場合,一般に,ディレーティング係数はほぼ3分の2である。
7.4.2.14 E/E/PE安全関連系の設計が安全機能を実現するために一つ以上のASICを含む場合は,ASIC開
発ライフサイクル(7.1.3.1参照)を使用しなければならない。
7.4.3  必要な決定論的対応能力を達成するための要素の合成
7.4.3.1  決定論的安全度の要求事項を満たすために,指定の安全関連E/E/PE系は,この箇条に規定する
状況において異なる決定論的対応能力の要素に分割することがある。
    注記1 要素の決定論的対応能力は,安全機能の故障をもたらすその要素の決定論的原因フォールト
            の潜在性を決定する。要素の決定論的対応能力の概念は,ハードウェア及びソフトウェアの
            両方の要素に適用する。
    注記2 JIS C 0508-1の7.6.2.7は,安全機能及びそれを割り当てるE/E/PE安全関連系の水準における
            独立性及び多様性の価値を認めている。これらの概念は,安全機能を実現する要素のアセン
            ブリが,個々の要素よりも優れた決定論的性能を潜在的に達成できる場合には,詳細設計レ
            ベルでも適用することができる。
7.4.3.2  ある要素の決定論的対応能力(SC)がN(N=1, 2, 3)であるとき,その要素のある一つの決定論
的原因フォールトが規定の安全機能の故障を引き起こさないが,決定論的対応能力SC Nであるもう一つ
の要素による第二の決定論的原因フォールトと一緒になった場合だけ故障を引き起こす場合,この二つの
要素の組合せの決定論的対応能力は,二つの要素の間に十分な独立性が存在するとき,SC (N+1) の決定

――――― [JIS C 0508-2 pdf 17] ―――――

16
C 0508-2 : 2014 (IEC 61508-2 : 2010)
論的対応能力をもつものとして扱うことができる(7.4.3.4参照)。
    注記 各要素の独立性の評価は,定義された安全機能に関連して,当該要素の(安全機能を実現する
          ための)具体的な用途が既知である場合にだけ,可能である。
7.4.3.3  それぞれSC Nの決定論的対応能力をもつ要素の組合せに対して与えることができる決定論的対
応能力は,最良でもSC (N+1) である。SC Nの要素をこのように使用してよいのは一度だけである。SC N
の要素のアセンブリを次々に構築することによってSC (N+2) 以上を達成することは認めない。
7.4.3.4  共通原因故障分析によって,要素間及び要素と環境間の干渉の可能性が,検討対象の安全機能の
安全度水準と比較して十分に低いものであることを示すことによって,要素間の設計及び要素群のアプリ
ケーションにおける十分な独立性を正当な根拠で示さなければならない。
    注記1 決定論的対応能力の十分な独立性の達成に対するアプローチは,ハードウェア設計,実現,
            運用及び保全に関して,次の事項を含む。
            − 機能的多様性 : 同一の結果を達成するための様々なアプローチの使用。
            − 多様な技術 : 同一の結果を達成するための様々な種類の機器の使用。
            − 共通部品又は共通なサービス : その故障が全てのシステムの危険側故障モードをもたら
                すことがある“共通部品,共通なサービス又は共通な支援システム(例えば,電源)”が,
                ないことを確実にすること。
            − 共通な手順 : 共通な運用,共通な保全又は共通なテスト手順がないことを確実にするこ
                と。
    注記2 アプリケーションの独立性とは,要素の相互の実行動作が,危険側故障が発生するほどに大
            きく干渉しないことを意味する。
    注記3 ソフトウェア要素の独立性については,JIS C 0508-3の7.4.2.8及び7.4.2.9を参照。
7.4.4  ハードウェア安全度アーキテクチャ制約
  ハードウェア安全度制約に関連する計算式を附属書Cに規定し,安全度制約を表2及び表3に要約する。
  IEC 61508-6のA.2は,ハードウェア安全度を達成するときに必要なステップの概要を示し,この箇条
(7.4.4)がこの規格(JIS C 0508-2)の他の要求事項とどのように関連するかを明らかにしている。
  安全機能について主張できる,ハードウェア安全度に関する最高安全度水準は,ハードウェア安全度制
約によって制限し,システム又はサブシステムレベルで,次の二つのルートのうち,いずれか一つを実現
することによって達成しなければならない。
− ルート1H ハードウェアフォールトトレランス(HFT)及び安全側故障割合(SFF)の概念に基づく。
− ルート2H 最終使用者のフィードバックからの構成部品信頼性データに基づき,規定の安全度水準に
    対して信頼度及びフォールトトレランスを向上させる。
  この規格群に基づくグループ安全規格又は製品安全規格は,優先ルート(すなわち,ルート1H又はルー
ト2H)を規定することがある。
    注記 上記ルートの中の下付き文字“H”は,ハードウェア安全度を意味し,決定論的安全度のルート
          1S,ルート2S及びルート3Sと区別する。
7.4.4.1  一般要求事項
7.4.4.1.1 ハードウェアフォールトトレランス要求事項に関して次に示す。
a) ハードウェアフォールトトレランスがNであるとは,N+1が安全機能の喪失をもたらすことがある
    フォールトの最小数であることを意味する(詳細については,注記1,表2及び表3参照)。ハードウ
    ェアフォールトトレランスを求めるときには,フォールトの影響を制御することがある診断などのよ

――――― [JIS C 0508-2 pdf 18] ―――――

                                                                                             17
                                                                C 0508-2 : 2014 (IEC 61508-2 : 2010)
    うな他の手段を考慮してはならない。
b) 一つのフォールトがその後に続く一つ以上のフォールトの発生を直接もたらす場合,これらを単一フ
    ォールトとみなす。
c) ハードウェアフォールトトレランスを達成したことを判定する場合に,発生の可能性がサブシステム
    の安全度要求事項に関して非常に低いフォールトは除外してもよい。このようなフォールトの除外は,
    正当な根拠を示して,文書化しなければならない(注記2参照)。
      オンチップ冗長をもつICの特殊アーキテクチャ要求事項を,附属書Eに示す。
      注記1 要素及びサブシステムの複雑度を考慮して,十分に堅ろうなアーキテクチャを達成するた
              めに,ハードウェア安全度に対する制約を規定に含めている(7.4.4.1.1及び7.4.4.1.2参照)。
              E/E/PE安全関連系が履行する安全機能に関する安全度水準について,信頼性の計算がより
              高い安全度水準を達成できることを示した場合でも,それらの構成上の制約要求事項から
              導かれる安全度水準が許容される最高の安全度水準となる。また一方で,全てのサブシス
              テムについてハードウェアフォールトトレランスを達成している場合でも,規定の目標機
              能失敗尺度を達成していることを実証するために信頼性計算がなお必要である。このこと
              によって,設計要求事項を満たすためにハードウェアフォールトトレランスを向上させる
              必要がある場合もある。
      注記2 ハードウェアフォールトトレランス要求事項は,通常動作条件下で使用するサブシステム
              アーキテクチャに適用する。E/E/PE安全関連系をオンラインで修理している間は,ハード
              ウェアフォールトトレランス要求事項は緩和してもよい。ただし,緩和に関連のある重要
              なパラメタを,事前に評価することが望ましい(例えば,作動要求の確率と比較したMTTR)。
      注記3 設計及び構造(例えば,機械的アクチュエータ連結)に固有の特性によって故障確率が明
              白に非常に低い要素の場合,そのフォールトは除外してもよい。要素を使用する安全機能
              の安全度をハードウェアフォールトトレランスに基づいて制約することは,通常は必要で
              はないとみなされている。
      注記4 ルートの選択は,アプリケーション及び分野に依存し,ルートを選択するときは次の事項
              を考慮することが望ましい。
              − 一つの機能の安全側故障は,新しい危険をもたらすか,又は既存の危険のさらなる原
                  因であることがある。
              − 冗長性は,全ての機能に対して実用的であるというわけではない。
              − 修理は常に可能であるか,又は迅速にできるというわけではない(例えば,プルーフ
                  テスト間隔と比較して無視できる時間内で実行できない。)。
7.4.4.1.2 要素は,安全機能を達成するために必要な構成部品に関して次の全てを満たすとき,タイプA
とみなすことができる。
a) 全ての構成部品の故障モードを,十分に定義している。
b) フォールト状態下の要素の動作を,完全に決定することができる。
c) 検出できる危険側故障及び検出できない危険側故障に対して,主張する故障率を満たすことを証明す
    るのに十分な信頼できる故障データがある(7.4.9.37.4.9.5参照)。
7.4.4.1.3 要素は,安全機能を達成するために必要な構成部品について,次のいずれか一つに該当すると
き,タイプBとみなさなければならない。
a) 一つ以上の構成部品の故障モードを,十分に定義していない。

――――― [JIS C 0508-2 pdf 19] ―――――

18
C 0508-2 : 2014 (IEC 61508-2 : 2010)
b) フォールト状態下の要素の動作を,完全には決定することができない。
c) 検出できる危険側故障及び検出できない危険側故障に対して,故障率の主張の根拠となる信頼できる
    故障データが不十分である(7.4.9.37.4.9.5参照)。
    注記 これは,要素自体の構成部品の一つ以上がタイプBに関する条件に該当する場合,その要素は
          タイプAではなくタイプBとみなすことを意味する。
7.4.4.1.4 ハードウェアフォールトトレランスが0のサブシステムで使用するように意図し,安全機能又
は安全機能の一部を履行し,高頻度作動要求モード又は連続モードで動作する要素の安全側故障割合を推
定する場合,次のいずれかに該当する場合以外は,診断に信用を置いてはならない。
− 診断テスト間隔及び安全な状態を達成又は維持するために,規定の動作を実施する時間の合計が,プ
    ロセスセーフティタイム未満である場合。
− 高頻度作動要求モードで動作しているとき,作動要求率に対する診断テスト率の比が100以上である
    場合(作動要求率は,作動要求が発生するまでの時間の逆数。診断テスト率は,診断テスト平均間隔
    の逆数。)。
7.4.4.1.5 次のいずれかの要素の安全側故障割合を推定する場合,診断テスト間隔と,検出故障の修理を
実施する時間との合計が,その安全機能について達成した安全度を求める計算で使用したMTTRよりも小
さい場合以外は,診断に信用を置いてはならない。
− ハードウェアフォールトトレランスが1以上で,安全機能又は安全機能の一部を履行し,高頻度作動
    要求モード又は連続モードで動作する。
− 安全機能又は安全機能の一部を履行し,低頻度作動要求モードで動作する。
7.4.4.2  ルート1H
7.4.4.2.1 規定の安全機能に関して主張できる最高安全度水準を求めるためには,次の手順に従わなけれ
ばならない。
1)   /E/PE安全関連系を構成するサブシステムを定義する。
2) 各サブシステムについて,サブシステム内の全ての要素について安全側故障割合を求める(すなわち,
    ハードウェアフォールトトレランスが0の各要素で,個々の要素別に求める)。冗長要素構成の場合,
    安全側故障割合(SFF)は,利用できる診断を追加することを考慮して計算してもよい(例えば,冗
    長要素の比較による)。
3) 各要素について,達成した安全側故障割合及び0のハードウェアフォールトトレランスを使用し,表
    2(タイプA要素)及び表3(タイプB要素)の列2から主張することができる最高安全度水準を求
    める。
4) サブシステムについて主張することができる最高安全度水準を求めるために,7.4.4.2.3及び7.4.4.2.4
    の方法を使用する。
5)   /E/PE安全関連系について主張することができる最高安全度水準は,最低安全度水準を達成している
    サブシステムによって求めなければならない。
7.4.4.2.2 7.4.4.2.1の2)4) の要求事項を適用するための代替策として,次の1)3) に示す要求事項を全
て満たす要素からなるサブシステムについては,3) のa)   d) の事項が適用できる。
1) サブシステムが複数の要素で成り立っている。
2) 要素が同じタイプである。
3) 全ての要素が,表2又は表3に規定する同じ範囲(次の注記参照)内にある安全側故障割合を達成し
    ている場合は,次の手順に従ってよい。

――――― [JIS C 0508-2 pdf 20] ―――――

次のページ PDF 21