この規格ページの目次
19
C 0508-4 : 2012 (IEC 61508-4 : 2010)
保障できる確かさをもったソフトウェア”を意味するとみなすことは,有用である。
3.5.11
E/E/PE系安全要求仕様(E/E/PE system safety requirements specification)
安全機能及びそれに伴う安全度水準に関わる要求事項を含む仕様。
3.5.12
E/E/PE系安全機能要求仕様(E/E/PE system safety functions requirements specification)
安全関連系が実行しなければならない安全機能に関わる要求事項を含む仕様。
注記1 この仕様は,E/E/PE系安全要求仕様の一部(安全機能の部分)であり(JIS C 0508-1の7.10
参照),安全関連系が実行しなければならない安全機能に関わる詳細事項を包括する。
注記2 仕様は,安全機能が明確に理解できるという条件を満たす場合,テキスト,流れ図,マトリ
ックス,論理図などの形式で記述してもよい。
3.5.13
E/E/PE系安全度要求仕様(E/E/PE system safety integrity requirements specification)
安全関連系が実行しなければならない安全機能に関わる安全度の要求事項を含む仕様。
注記 この仕様は,E/E/PE系安全要求仕様の一部(安全度の部分)である(JIS C 0508-1の7.10参照)。
3.5.14
E/E/PE系設計要求仕様(E/E/PE system design requirements specification)
サブシステム及び要素に関してE/E/PE安全関連系の設計安全要求事項を含む仕様。
3.5.15
安全関連ソフトウェア(safety-related software)
安全関連系の安全機能を実施するために用いるソフトウェア。
3.5.16
運用モード(mode of operation)
安全機能が作動する方法。これは,次のいずれかとしてもよい。
− 低頻度作動要求モード EUCを規定の安全状態に移行させるために,安全機能が作動要求だけに
よって動作し,作動要求の頻度が1年当たり1回以下の場合。
注記 安全機能を実行するE/E/PE安全関連系は,通常,作動要求が発生するまでは,EUC又はEUC
制御系に影響を与えない。しかし,E/E/PE安全関連系が機能失敗を起こし,安全機能を実行で
きない場合,EUCを安全状態に移行させる(IEC 61508-2:2010の7.4.6参照)。
− 高頻度作動要求モード EUCを規定の安全状態に移行させるために,安全機能が作動要求だけに
よって動作し,作動要求の頻度が1年当たり1回より大きい場合。
− 連続モード 安全機能が通常運転の一環としてEUCを安全状態に保持する場合。
3.5.17
目標機能失敗尺度(target failure measure)
次のいずれかによって決定する,安全度要求事項に関して達成しなければならない危険側モード機能失
敗の目標確率。
− 低頻度作動要求モード運用の場合,作動要求当たりの,安全機能の危険側機能失敗の平均確率。
− 高頻度作動要求モード運用又は連続モード運用の場合,時間当たり[1/h]の危険側機能失敗の平均
頻度。
注記 目標機能失敗尺度に関する数値は,JIS C 0508-1の表2及び表3参照。
――――― [JIS C 0508-4 pdf 21] ―――――
20
C 0508-4 : 2012 (IEC 61508-4 : 2010)
3.5.18
必要なリスク軽減(necessary risk reduction)
許容リスクを超えないために,E/E/PE安全関連系及び/又は他リスク軽減措置によって実施する必要が
あるリスク軽減。
3.6 フォールト,故障(機能失敗)及びエラー(図4参照)
3.6.1
フォールト(fault)
機能ユニットに要求される機能遂行能力の低下又は喪失を引き起こす可能性がある異常状態(JIS X
0014の14.01.10)。
注記 IEV 191(IEC 60050-191)-05-01では,“フォールト”は,予防保全,他の計画的な活動による機
能停止状態,又は外部資源の不足による機能喪失状態以外の,要求される機能を遂行すること
のできない状態として定義している。この規格での定義,及びIEC 60050-191の191-05-01の定
義の説明を図4に示す。
3.6.2
フォールトアボイダンス(fault avoidance)
安全関連系の安全ライフサイクルの任意のフェーズで,フォールトを導き入れないようにするための技
法及び手続きの使用。
3.6.3
フォールトトレランス(fault tolerance)
フォールト又はエラーの存在下で,要求される機能を遂行し続ける機能ユニットの能力(JIS X 0014の
14.04.06)。
注記 IEV 191(IEC 60050-191)-15-05での定義は,サブアイテムのフォールトだけを考慮している。
3.6.1の用語“フォールト”の注記を参照。
3.6.4
故障(機能失敗)(failure)
ある機能ユニットの要求機能の遂行能力の終結,又は要求された以外の機能の誤運用。
注記1 これはIEV 191(IEC 60050-191)-04-01に基づいているが,例えば,仕様又はソフトウェアの
欠陥による決定論的原因故障を含むように変更されている。
注記2 JIS C 0508規格群及びJIS Z 8115でのフォールトと故障との関係については,図4参照。
注記3 要求される機能の実行は,必然的にある種の挙動を除外し,そして幾つかの機能は避けなけ
ればならない挙動として指定することもある。そのような挙動の発生は故障(機能失敗)と
なる。
注記4 故障は,(ハードウェアでの)ランダム故障と(ハードウェア又はソフトウェアでの)決定論
的原因故障とのどちらかである。3.6.5及び3.6.6参照。
――――― [JIS C 0508-4 pdf 22] ―――――
21
C 0508-4 : 2012 (IEC 61508-4 : 2010)
L (i-1) U
L (i) U L (i) U レベル(i) レベル(i-1)
L (i+1) U
L (i+1) U L (i+1) U
L (i+1) U
“F”状態
故障
“エンティティX”
L (i+1) U
L (i+1) U L (i+1) U
L (i+1) U
“F”状態
故障 原因
原因
(L=レベル,i =1,2,3など,FU=機能ユニット)
a) 機能ユニットの構成 b) 全体図
レベル(i) レベル(i-1) レベル(i) レベル(i-1)
故障 フォールト
故障
“エンティティX” “エンティティX”
フォールト
故障 フォールト 故障 故障原因
フォールト 故障原因
c) IS C 0508規格群及びJIS X 0014の考え方 d) IS Z 8115の考え方
注記1 a)に示すように,ある機能ユニットは,多段階の階層構造として考えることができる。各々の階層構造中のユ
ニットもそれぞれ機能ユニットと呼ばれる。レベル(i)では,“原因”は,当該レベルの機能ユニット内での
エラー(正しい値又は状態からのある逸脱)として現れる場合がある。さらに,原因が修正又は防止されない
場合,この機能ユニットの故障を引き起こすこともある。故障が生じた場合,レベル(i)機能ユニットは,
“F”状態となり,もはや要求される機能を果たすことができない[b)参照]。レベル(i)機能ユニットの“F”
状態は,今度は,レベル(i-1)機能ユニット内のエラーとして現れる。また,この原因が修正又は防止され
ないと,当該レベル(i-1)機能ユニットの故障を引き起こすこともある。
注記2 この原因と結果との連鎖では,“エンティティX”の故障による結果をレベル(i)機能ユニットの“F”状態
としてみなすことができる。また,この状態をレベル(i-1)機能ユニット故障の原因としてもみなすことが
できる。“エンティティX”はJIS C 0508規格群及びJIS X 0014における“フォールト”の概念を結び付けて,
c)に示すように,フォールトが原因であるという観点を強調している。また,JIS Z 8115での“フォールト”
の概念では,d)に示すように,フォールト状態であるという考え方が強調されている。“F”状態はJIS Z 8115
ではフォールトと呼ばれるが,JIS C 0508規格群及びJIS X 0014では定義していない。
注記3 幾つかの場合では,故障又はエラーは,内部のフォールトではなく,雷,電磁ノイズなど外的事象によって引
き起こされる。同様に,(内・外部の意味での)フォールトが先立つ故障なしで存在する場合がある。設計の
フォールトがこのようなフォールト事例である。
図4−故障モデル
3.6.5
ランダムハードウェア故障(random hardware failure)
時間に関して無秩序に発生し,ハードウェアの多様な劣化メカニズムから生じる故障。
注記1 異なる部品ごとに異なる率で生じる多くの劣化メカニズムが存在し,製造上の許容誤差がそ
れらのメカニズムによって部品の故障を運転中の異なる時刻に引き起こす。したがって,多
くの部品から成る装置全体の故障は,予測可能な率で生じるが予測不可能な(ランダムな)
時刻で発生する。
――――― [JIS C 0508-4 pdf 23] ―――――
22
C 0508-4 : 2012 (IEC 61508-4 : 2010)
注記2 ランダムハードウェア故障と決定論的原因故障(3.6.6参照)とを区別する主な性質は,ラン
ダムハードウェア故障から生じるシステムの機能失敗率(又は適当な他の尺度)が合理的な
精度で予測可能であるのに対して,決定論的原因故障(による機能失敗)が,その性質上,
正確には予測できない点にある。すなわち,ランダムハードウェア故障によるシステムの故
障(機能失敗)率が合理的な精度をもって定量化できるのに対して,決定論的原因故障によ
るものは,故障へと導く事象が容易には予測できないので,正確な統計量として把握できな
い。
3.6.6
決定論的原因故障(systematic failure)
正しい知識,認識,対策の欠如などの原因の決定的に関連する想定外の故障又は失敗。この原因は,設
計の部分改修,製造過程,運転手順,文書化又はその他の関係する要因の修正によってだけ除くことがで
きる[IEV 191(IEC 60050-191)-04-19]。
注記1 部分改修がない事後保全では,通常,決定論的原因故障の原因は除去されない。
注記2 決定論的原因故障は,同様な原因が生じると再び誘発される。
注記3 決定論的原因故障の原因事例には,次のような項目中のヒューマンエラーがある。
− 安全要求仕様(中のヒューマンエラー)
− ハードウェアの設計,製造,設置及び運転(中のヒューマンエラー)
− ソフトウェアの設計,実施,その他(中のヒューマンエラー)。
注記4 この規格群では,安全関連系の故障はランダムハードウェア故障(3.6.5参照)と決定論的原
因故障とに分類される。
3.6.7
危険側故障(dangerous failure)
安全機能を実行するときにある役割を果たす,要素及び/又はサブシステム及び/又はシステムに関す
る次のような故障。
a) UCが危険状態又は危険になり得る状態に陥るように,作動要求モードで要求された場合に安全機能
の作動を阻止する,又は連続モードで安全機能を失敗させる。
b) 要求された場合に安全機能が正しく作動する確率を下げる。
3.6.8
安全側故障(safe failure)
安全機能を実行するときに役割を果たす,要素,サブシステム及び/又はシステムに関する次のような
故障。
a) 安全機能の誤作動が,EUC(又はその部品)を安全状態にする,又は安全状態を維持する結果となる。
b) UC(又はその部品)を安全状態に置く,又は安全状態を維持するように安全機能が誤作動する確率
を上げる。
3.6.9
従属故障(dependent failure)
その存在確率が,故障を引き起こす各々の原因の無条件存在確率の単純な掛け算として表現できない故
障。
注記 二つの状態A, Bは,次のときにだけ従属である。
P(AかつB)>P(A)×P (B)
――――― [JIS C 0508-4 pdf 24] ―――――
23
C 0508-4 : 2012 (IEC 61508-4 : 2010)
3.6.10
共通原因故障(common cause failure, CCF)
一つ以上の事象を原因とする故障で,それが複数チャネル系の二つ以上の分離したチャネルそれぞれに
故障を同時に引き起こし,システムの故障を生じさせるもの。
3.6.11
エラー(error)
“計算,観察,又は測定された”値又は状態と,“真の,規定された,又は理論的に正しい”値又は状態
との不一致[IEV 191(IEC 60050-191)-05-24修正]。
3.6.12
ソフトエラー(soft-error)
データの内容への誤った変更。物理的な回路自体への変更ではない。
注記1 ソフトエラーが発生してデータが書き換えられた場合,回路は本来の状態に回復される。
注記2 ソフトエラーはメモリ,デジタル論理,アナログ回路,伝送回線などで発生することがあり,
レジスタ及びラッチを含む半導体メモリにおいて支配的である。データは,例えば,製造業
者から入手できる。
注記3 ソフトエラーは過渡的であり,ソフトウェアのプログラム作成エラーと混同しないほうがよ
い。
3.6.13
非安全機能故障(no part failure)
安全機能の実行に役割を果たさない部品の故障。
注記 非安全機能故障は,SFFの計算には使用しない。
3.6.14
無影響故障(no effect failure)
安全機能の実行に役割を果たすが,安全機能に直接影響を与えない要素の故障。
注記1 無影響故障は定義上安全機能に影響しない。そのため,安全機能の故障率には寄与し得ない。
注記2 無影響故障はSFFの計算には使用しない。
3.6.15
安全側故障割合(safe failure fraction, SFF)
安全側故障及び検出された危険側故障の平均故障率の和と,安全側故障及び危険側故障の平均故障率の
和との比で表す,安全関連要素の特性。この比は,次の式で表す。
S avg+ Dd avg
SFF=
S avg+ Dd avg+ Du avg
故障率が固定の故障率に基づいている場合,この式は簡略化できる。
S+ Dd
SFF=
S+ Dd+ Du
3.6.16
故障率(failure rate)
あるエンティティ(単一の部品又は系)の信頼性のパラメータ[λ(t)]。例えば,λ(t).dtは,[0, t]には故
障が起きないとしたときに,[t, t+dt]にこのエンティティの故障が起きる確率を示す。
――――― [JIS C 0508-4 pdf 25] ―――――
次のページ PDF 26
JIS C 0508-4:2012の引用国際規格 ISO 一覧
- IEC 61508-4:2010(IDT)
JIS C 0508-4:2012の国際規格 ICS 分類一覧
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-4:2012の関連規格と引用規格一覧
- 規格番号
- 規格名称