JIS C 0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全―第４部：用語の定義及び略語 | ページ 4

14
C 0508-4 : 2012 (IEC 61508-4 : 2010)
                           入力インタフェース                 出力インタフェース
                              A-D変換器                          D-A変換器
          E/E/PE系の範囲
                                              プログラマブル
                                               電子系(PE系)
                               入力装置               出力装置及び/又は最終要素
                               (例えば,センサ)     (例えば,アクチュエータ)
                                             a) 基本PE系構造
           b) 単一のPE装置をもつ  c) 二つのPE装置を直列に構成し d) 二つのPE装置を冗長構成
              単一のPE系(すなわ     た単一PE装置(例えば,イン    にした単一PE装置。ただ
              ち単一チャネルのPE     テリジェントセンサ及びプロ    し,センサと最終要素は
              系で構成されている     グラマブル制御機器)          共通(すなわち,2チャネ
              一つのPE要素)                                       ルのPE装置からなる単一
                                                                   PE装置)
                              図2−プログラマブル電子系(PE系)
                     入力インタフェース                       出力インタフェース
   E/E/PE系の範囲        A-D変換器                                D-A変換器
                                             E/E/PE装置
                          入力装置                      出力装置及び/又は最終要素
                          (例えば,センサ)            (例えば,アクチュエータ)
 注記 E/E/PE装置を中心に描いているが,それらはE/E/PE系内の数箇所に存在する。
               図3−電気・電子・プログラマブル電子系(E/E/PE系) : 構造及び用語法
3.3.6
チャネル(channel)
  ある要素安全機能を独立して実行する要素又は要素群。
    例 2チャネル構成。同一の機能を独立して実行する2チャネルをもつ構成。

――――― [JIS C 0508-4 pdf 16] ―――――

                                                                                             15
                                                                C 0508-4 : 2012 (IEC 61508-4 : 2010)
    注記 この用語は,完全なシステムを表すことも,システムの部分(例 センサ,最終要素)を表現
          することもできる。
3.3.7
多様性(diversity)
  要求される機能を実行する異なる手段。
    注記 多様性は,異なる物理的原理又は異なる設計方法で達成される。
3.4   システム : 安全関連の観点
3.4.1
安全関連系(safety-related system)
  次の両方を満足するシステム。
− EUCを安全な状態に移行させるため,又はEUCの安全な状態を維持するために必要な,要求された
    安全機能を行う。
− それ自体で,又はその他のE/E/PE安全関連系及び他リスク軽減措置によって,要求される安全機能に
    対して必要な安全度を達成する。
    注記1 この用語は,安全関連系として指定され,要求される許容リスク(3.1.7参照)に適合するた
            めに,他リスク軽減措置(3.4.2参照)と協調して,必要なリスク軽減の達成を意図するシス
            テムに用いる。IEC 61508-5 :2010の附属書A参照。
    注記2 安全関連系は,危険事象の誘因となる状態の検出に対して適切に作動して,EUCの危険な状
            態への移行を防止するように設計されている。安全関連系の故障は,一つ又は複数の潜在危
            険に至る事象の一部になり得る。安全機能をもつその他のシステムが存在する場合でも,要
            求される許容リスクを独自に達成するために特定されたものが安全関連系である。安全関連
            系は,大きくは,安全関連制御系及び安全関連保護系に分類できる。
    注記3 安全関連系は,EUC制御系に組み込まれた一部でもよく,入力装置(センサなど)及び/又
            は出力装置(アクチュエータなど)によってEUCと接続されてもよい。すなわち,要求され
            る安全度水準は,EUC制御系の安全機能の遂行によって(そして場合によっては,更に付加
            的な区分及び独立したシステムによって)達成されてもよく,又は安全機能は,専用の区分
            及び独立したシステムによって遂行されてもよい。
    注記4 安全関連系は,次のように構成してもよい。
            a) 危険事象を防止するように設計する(すなわち,安全関連系がその安全機能を遂行する
                と,危害事象は発生しない。)。
            b) 危害事象によって生じる被害を緩和し,それによって影響を軽減することでリスクを軽
                減するように設計する。
            c)   )とb)との組合せを行うように設計する。
    注記5 人は,安全関連系の一部を構成し得る。例えば,プログラマブル電子装置からの情報を受け
            取り,この情報に基づいて安全のための業務を遂行するか,又は人がプログラマブル電子装
            置を用いて安全のための業務を実施することもある。
    注記6 安全関連系には,規定の安全機能を遂行するために必要とされる,全てのハードウェア,ソ
            フトウェア,及び全ての支援サービス(例 動力供給)を含む[したがって,検出端(セン
            サ),その他の入力装置,操作端(アクチュエータ)及びその他の出力装置が安全関連系に含
            まれる。]。

――――― [JIS C 0508-4 pdf 17] ―――――

16
C 0508-4 : 2012 (IEC 61508-4 : 2010)
    注記7 安全関連系は,電気,電子,プログラマブル電子,液圧及び空圧を含む広範な技術に基盤を
            置いてもよい。
3.4.2
他リスク軽減措置(other risk reduction measure)
  E/E/PE安全関連系から分離,区分され,かつ,それらを用いないリスクを軽減又は緩和する措置。
    例 逃がし弁(リリーフバルブ)は,他リスク軽減措置である。
3.4.3
低複雑度E/E/PE安全関連系(low complexity E/E/PE safety-related system)
  E/E/PE安全関連系(3.2.13及び3.4.1参照)のうち,次の条件が同時に成り立つもの。
− 各々の部品の故障モードが明確に定義される。
− フォールト状態でのシステムの挙動が完全に決定できる。
    注記 フォールト状態でのシステムの挙動は,解析的及び/又はテスト方法によって決定してよい。
    例 モータの動力切断を行うために,内挿された電気−機械式リレーによって接点を動作させるリミ
        ットスイッチを幾つかもつシステムは,低複雑度E/E/PE安全関連系である。
3.4.4
サブシステム(subsystem)
  安全関連系の最上位アーキテクチャ設計上の部分。当該部分は,3.6.7 a)による安全機能の危険側故障に
帰着する。
3.4.5
要素(element)
  一つ又は複数の要素安全機能を実行する,一つの部品又は部品の集まりを含んだサブシステムの部分
(JIS B 9961の3.2.6修正)。
    注記1 要素はハードウェア及び/又はソフトウェアで構成してもよい。
    注記2 代表的な要素は,検出端(センサ),プログラマブルコントローラ,操作端である。
3.4.6
冗長性(redundancy)
  要求された機能を実行するため,又は情報を表すための,二つ以上の手段の存在(IEC/TR 62059-11に
基づく。)。
    例 二重の機能要素及びパリティビットの追加は,共に冗長性の例である。
    注記1 冗長性は,一義的には,信頼性(指定した期間にわたり確実に機能する確率),又はアベイラ
            ビリティ(指定した瞬間に確実に機能する確率)を向上させるために用いる。2oo3のように,
            アーキテクチャとして誤作動を最小化するために用いてもよい。
    注記2 IEV 191(IEC 60050-191)-15-01の定義は,不完全である。
    注記3 冗長性は,“ホット”すなわち“アクティブ”(全ての冗長なアイテムが同時に動作する。),
            “コールド”すなわち“スタンバイ”(冗長なアイテムは同時に動作しない。),“混在”(同じ
            時刻に一つ又は幾つかのアイテムが待機状態,かつ,一つ又は幾つかのアイテムが動作状態
            となる。)であってもよい。
3.5   安全機能及び安全度
3.5.1

――――― [JIS C 0508-4 pdf 18] ―――――

                                                                                             17
                                                                C 0508-4 : 2012 (IEC 61508-4 : 2010)
安全機能(safety function)
  E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は,特定の危険事象に関し
て,EUCに関わる安全な状態を達成又は保持する(3.4.1及び3.4.2参照)。
    例 安全機能の例は,次の事項を含む。
        − 危険状態を避けるために,確実な措置として実行が要求される機能(例えば,モータを停止
            する。)
        − とられている措置を防止する機能(例えば,モータの起動を防止する。)
3.5.2
全安全機能(overall safety function)
  特定の危険事象に関して,EUCに関わる安全な状態を達成又は保持する手段。
3.5.3
要素安全機能(element safety function)
  要素によって遂行される安全機能(3.5.1参照)の部分。
3.5.4
安全度(safety integrity)
  あるE/E/PE安全関連系が,指定した期間内に,全ての指定した条件下で,規定する安全機能を果たす確
率。
    注記1 安全度の水準が高いほど,その安全関連系が規定する安全機能を実行できない確率,又は要
            求時に規定した状態に適合できない確率が低くなる。
    注記2 安全関連系には,4水準の安全度が存在する(3.5.8参照)。
    注記3 安全度の決定には,不安全な状態へと導く機能失敗の全原因(ランダムハードウェア故障及
            び決定論的原因故障)を含むことが望ましい。例えば,ハードウェア故障,ソフトウェア起
            因の機能失敗,電気的干渉による機能失敗などがある。それらの機能失敗の幾つかのタイプ,
            特にランダムハードウェア故障は,その故障の危険側モードでの故障平均頻度,又は安全関
            連保護系の作動要求当たりの機能失敗確率のような尺度を用いて定量化してもよい。ただし,
            安全度は,正確には定量化できず,定性的にだけ考慮できる多くの要素にも依存する。
    注記4 安全度には,ハードウェア安全度(3.5.7参照)及び決定論的安全度(3.5.6参照)で成り立っ
            ている。
    注記5 この定義は,安全関連系が安全機能を遂行する信頼度に焦点を絞っている[信頼度の定義は,
            IEV 191(IEC 60050-191)-12-01参照]。
3.5.5
ソフトウェア安全度(software safety integrity)
  安全関連系の安全度のうち,ソフトウェアに起因する,機能失敗の危険側モードに導く決定論的原因故
障(3.6.6参照)に関わる部分。
3.5.6
決定論的安全度(systematic safety integrity)
  安全関連系の安全度のうち,機能失敗の危険側モードに導く決定論的原因故障に関わる部分。
    注記 決定論的安全度は,通常,定量化不可能である(通常,定量化可能なハードウェア安全度と区
          別される。)。

――――― [JIS C 0508-4 pdf 19] ―――――

18
C 0508-4 : 2012 (IEC 61508-4 : 2010)
3.5.7
ハードウェア安全度(hardware safety integrity)
  安全関連系の安全度のうち,機能失敗の危険側モードに導くランダムハードウェア故障に関わる部分。
    注記 この用語は,危険側モードの故障,すなわち,安全度を損なう安全関連系の故障に関連してい
          る。ここでは,危険側故障の平均頻度及び作動要求時の機能失敗確率の2個のパラメータが関
          係している。危険側故障の平均頻度は,安全を維持するために連続した制御を行うことが必要
          な場合に用い,作動要求時の機能失敗確率は,安全関連保護系に対して使用する。
3.5.8
安全度水準(SIL)(safety integrity level, SIL)
  安全度の値の範囲に対応する離散的水準(4水準のうちの一つ)。安全度水準4は最高の安全度水準であ
り,1は最低である。
    注記1 四つの安全度水準に関わる目標機能失敗尺度(3.5.17参照)は,JIS C 0508-1の表2及び表3
            に規定している。
    注記2 安全度水準は,E/E/PE安全関連系に割り当てられた安全機能の安全要求事項を規定するため
            に用いる。
    注記3 安全度水準(SIL)は,システム,サブシステム,要素又はコンポーネントの特性ではない。
            “SIL n安全関連系”(ここで,nは1,2,3又は4)という表現の正しい解釈は,その系がn
            までの安全度水準をもつ安全機能に潜在的に対応できるということである。
3.5.9
決定論的対応能力(systematic capability)
  ある要素が対応する準拠項目に対する安全マニュアルで指定している指示に従って適用されたとき,そ
の要素の決定論的安全度が,規定の要素安全機能に関して規定のSILの要求を満たしている確かさを示す
尺度。SC 1SC 4で表現する。
    注記1 決定論的対応能力は,決定論的原因フォールトの回避及び制御のための要求事項に関連して
            決定する(IEC 61508-2及びIEC 61508-3参照)。
    注記2 関連する決定論的原因故障のメカニズムは何かということは,要素の性質に依存する。例え
            ば,ソフトウェアだけで構成される要素では,単にソフトウェアの機能失敗メカニズムだけ
            を考慮する必要がある。ハードウェア及びソフトウェアで構成される要素では,ハードウェ
            ア及びソフトウェア両方の決定論的原因故障のメカニズムを考慮する必要がある。
    注記3 規定の要素安全機能に関して,要素のSC nの決定論的対応能力は,その要素が対応する準拠
            項目に対する安全マニュアルに規定している指示に従って適用したときに,その要素がSIL n
            の決定論的安全度を満たすことを示す。
3.5.10
ソフトウェア安全度水準(software safety integrity level)
  安全関連系のサブシステムの一部を構成する,ソフトウェア要素の決定論的対応能力。
    注記 SILは,安全機能を担う個別のサブシステム又は要素ではなく,全安全機能を特徴付ける。し
          たがって,要素と同じように,ソフトウェア自体は,SILをもたない。ただし,“SC nソフトウ
          ェア”が,“(ソフトウェアの)要素が対応する準拠項目に対する安全マニュアルに規定してい
          る指示に従って適用されたときに,関連した決定論的原因故障のメカニズムによって,(ソフト
          ウェアの)要素安全機能が機能失敗を起こさないことを(1から4までの範囲の表現によって)

――――― [JIS C 0508-4 pdf 20] ―――――

次のページ PDF 21