JIS C 0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全―第４部：用語の定義及び略語 | ページ 6

24
C 0508-4 : 2012 (IEC 61508-4 : 2010)
    注記1 数学的には,λ(t)は,[t, t+dt]にわたる単位時間当たりの故障の条件付確率である。これは,
            次の一般式によって信頼度関数(すなわち,0からtまでは故障が起きない確率)と強く関連
            付けられる。
                                        t
                         R(t)= exp −( )   d
                                    0
              逆に,これは,信頼度関数から次式で算出する。
                               dR(t)  1
                           )
                         (t=−
                                 dt  R(t)
    注記2 故障率及びその不確実さは,標準統計法を用いて,フィールドフィードバックから推定する
            ことができる。“耐用寿命”[すなわち,バーンイン(初期故障)後,かつ,ウェアアウト(磨
            耗故障)前]の間では,単一アイテムの故障率はほぼ一定で,λ(t)≡λとなる。
    注記3 次の式で定義される,ある所定の期間[0, T]にわたるλ(t)の平均値は,注記1に示すように
            R(t)の計算には使用できないため,故障率ではない。しかし,この期間にわたる故障の平均頻
            度として解釈してもよい(すなわちPFH,IEC 61508-6:2010の附属書B参照)。
                            (T)=
                          avg
                                 1  T( )   d
                                T0
    注記4 一連のアイテムの故障率は,各アイテムの故障率の和である。
    注記5 冗長系の故障率は,一般に一定ではない。ただし,全ての故障が急速に明らかになり,独立
            で,急速に修復される場合,λ(t)は系の等価故障率である漸近値λasに急速に収束する。注記3
            で示した平均故障率は,漸近値に必ずしも収束しないため,平均故障率と混同しないほうが
            よい。
3.6.17
作動要求時の危険側機能失敗確率(probability of dangerous failure on demand, PFD)
  EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関
連系の安全アンアベイラビリティ(JIS Z 8115参照)。
    注記1 [瞬時]アンアベイラビリティ(JIS Z 8115参照)は,要求された外部リソースが提供され
            ていると仮定した場合,時間内の所定の瞬間における所定の状態下で,アイテムが要求機能
            を実行する状態にない確率である。一般に,U(t)と表記する。
    注記2 [瞬時]アベイラビリティ(JIS Z 8115による。)は, 時刻t以前にアイテムが置かれた状態
            (動作又は機能失敗)に依存しない。例えば,低頻度作動要求モードで動作しているE/E/PE
            安全関連系のように,作動要求をされたときにだけ,動作できなければならないアイテムと
            して特徴付けられる。
    注記3 定期的にテストを行う場合,E/E/PE安全関連系のPFDは,規定の安全機能に関して,テスト
            直後の小さい値からテスト直前の最大値までの広い範囲の確率をもった,きょ(鋸)歯状曲
            線として表す。
3.6.18
作動要求時の危険側機能失敗平均確率(average probability of dangerous failure on demand, PFDavg)
  EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関
連系の平均アンアベイラビリティ(JIS Z 8115参照)。

――――― [JIS C 0508-4 pdf 26] ―――――

                                                                                             25
                                                                C 0508-4 : 2012 (IEC 61508-4 : 2010)
    注記1 所定の時間間隔[t1, t2]にわたる平均アンアベイラビリティは,一般に,U(t1, t2)で表記する。
    注記2 2種類の機能失敗がPFD及びPFDavgに寄与する。最後のプルーフテスト以降に発生した検出
            されない危険側故障,及びプルーフテスト及び安全作動要求の作動要求自体によって引き起
            こされた,真の作動要求による故障。 最初の故障は時間依存性があり,その危険側故障率
            λDU(t)によって特徴付けられる。2個目の故障は作動要求の回数にだけ依存し,(γで表記され
            た)作動要求当たりの故障確率で特徴付けられる。
    注記3 真の作動要求による故障は,テストでは検出できないため,目標機能失敗尺度を計算する場
            合は,それらを識別して考慮に入れる必要がある。
3.6.19
単位時間当たりの時間平均危険側故障頻度(average frequency of a dangerous failure per hour, PFH)
  指定する期間にわたって規定の安全機能を実行するE/E/PE安全関連系の危険側故障の平均頻度。
    注記1 この規格群では,“単位時間当たりの危険側故障率”という用語を使わないが,略語PFHは,
            “危険側故障の平均頻度[時間]”という意味で使われる場合のために残している。
    注記2 理論的な見地では,PFHは,無条件故障度の平均値であり,故障頻度とも呼ばれ,一般的に
            w(t)で表記する。故障率と混同しないほうがよい(IEC 61508-6:2010の附属書B参照)。
    注記3 E/E/PE安全関連系が最終の安全層である場合,PFHは不信頼度F(T)=1−R(t)(上記の“故障
            率”参照)から計算するのがよい。最終の安全関連系ではない場合,PFHはアンアベイラビ
            リティU(t)(上記のPFD参照)から計算するのがよい。PFHの近似値は,最初の場合はF(T)/T
            及び1/MTTF,2番目の場合は1/MTBFで求める。
    注記4 E/E/PE安全関連系が急速修理を受けた,明らかになった故障だけを明示する場合,漸近的故
            障率λasに急速に達する。これは,PFHの推定値を示す。
3.6.20
プロセスセーフティタイム(process safety time)
  EUC又はEUC制御系において,危険側故障に至る潜在性をもつ故障が発生した時刻から,危険事象の
発生を防ぐためにEUCにおける処置をそれまでに完了させなければならない時刻までの時間。
3.6.21
平均修復時間(mean time to restoration, MTTR)
  修復を完了するまでの予測時間。
    注記 MTTRは次の事項を含む。
          a) 故障を検出する時間
          b) 修理を開始する前に経過した時間
          c) 修理の実施時間
          d) 構成部品を運用に戻すまでの時間
            b)の開始時間は,a)の終了時間となる。c)の開始時間は,b)の終了時間となる。d)の開始時間
          は,c)の終了時間となる。
3.6.22
平均修理時間(mean repair time, MRT)
  全修理の予測時間。
    注記 MRTには,MTTR時間のうち,3.6.21の注記のb),c)及びd)の時間を含む(3.6.21参照)。

――――― [JIS C 0508-4 pdf 27] ―――――

26
C 0508-4 : 2012 (IEC 61508-4 : 2010)
3.7   ライフサイクル業務
3.7.1
安全ライフサイクル(safety lifecycle)
  安全関連系の遂行上に必要な業務。プロジェクトの概念フェーズから出発して全てのE/E/PE安全関連系
及び他リスク軽減措置の必要性が終了するまでの期間に生じる。
    注記1 “機能安全ライフサイクル”が正確な用語であるが,この規格群では“機能”が付加されな
            い。
    注記2 この規格群に使用される安全ライフサイクルモデルは,JIS C 0508-1の図2,図3及び図4
            に指定している。
3.7.2
ソフトウェアライフサイクル(software lifecycle)
  ソフトウェアが,着想されてから完全に廃棄されるまでの間に生じる業務。
    注記1 ソフトウェアライフサイクルは,典型的に,要求事項フェーズ,開発フェーズ,テストフェ
            ーズ,統合フェーズ,設置フェーズ及び部分改修フェーズを包含する。
    注記2 ソフトウェアは,保全できないので部分改修される。
3.7.3
構成管理(configuration management)
  ライフサイクルを通じて,進展するシステム要素の変化を管理し,連続性及び追跡性を保持するために,
そのような要素を同定するための規律。
    注記 ソフトウェア構成管理の詳細については,IEC 61508-7:2010の附属書Cの5.24参照。
3.7.4
構成基準(configuration baseline)
  監査可能,かつ,系統的方法によって再生成されるソフトウェアリリースを許可する情報。この情報は,
ソフトウェアリリースを構成する,全てのソースコード,データ,ランタイムファイル,文書化,構成フ
ァイル及びインストール用スクリプトを含む。更に,ソフトウェアリリース生成に使用するコンパイラ,
オペレーティングシステム及び開発ツールも含む。
3.7.5
影響解析(impact analysis)
  あるシステムの機能又は要素の変化によって生じる,当該システムのその他の機能,要素又はその他の
システムへの影響を特定する業務。
    注記 ソフトウェアに関しては,IEC 61508-7:2010の附属書Cの5.23参照。
3.8 安全措置の確認
3.8.1
適合確認(verification)
  要求事項が満足されていることを調査して客観的証拠を提示することによって確認する業務(ISO 8402
の2.17修正)。
    注記 この規格群では,適合確認とは,関連する安全ライフサイクル(全E/E/PE系及びソフトウェア)
          の各フェーズで,解析,数学的推論及び/又はテストによって,特定の引継ぎ事項に対して,
          引渡し事項が全ての観点から当該フェーズに関わる目的と要求事項との組合せに対して適合し
          ていることを明示する業務である。

――――― [JIS C 0508-4 pdf 28] ―――――

                                                                                             27
                                                                C 0508-4 : 2012 (IEC 61508-4 : 2010)
    例 適合確認業務は,次の事項を含む。
        − あるフェーズへ引き継がれる特定の事項を考慮に入れ,引渡し事項(安全ライフサイクル全
            てのフェーズの文書)が,当該フェーズの目的及び要求事項に整合していることを保証する
            ための審査。
        − 設計審査。
        − 設計された製品がその仕様に合致する性能をもつことを確認するためのテスト。
        − システムの各々の部分が組み立てられる場所で段階的に実施され,それらの部分が指定した
            ように協調して作動することを確認するための環境テストによる統合テスト。
3.8.2
妥当性確認(validation)
  仕様上に定めた使用法に関する特定の要求事項が満足されていることの審査,及び客観的な証拠の提供
による確認[ISO 8402の2.18修正]。
    注記1 この規格群では,次の三つの妥当性確認フェーズを取り扱う。
            − 全安全妥当性確認(JIS C 0508-1の図2参照)
            − E/E/PE系妥当性確認(JIS C 0508-1の図3参照)
            − ソフトウェア妥当性確認(JIS C 0508-1の図4参照)
    注記2 妥当性確認は,検討段階又は設置前後の安全関連系が全ての観点から安全要求仕様に適合し
            ていることを実証する業務である。そのため,例えば,ソフトウェア妥当性確認は,客観的
            な根拠を審査し提示することによって,当該ソフトウェアがソフトウェア安全要求仕様を満
            足することの確認を意味する。
3.8.3
機能安全評価(functional safety assessment)
  根拠に基づいて,一基以上のE/E/PE安全関連系及び/又は他リスク軽減措置によって,機能安全が達成
されることを判定するための調査。
3.8.4
機能安全監査(functional safety audit)
  計画された定めに基づく機能安全要求事項に指定した手順が効果的に実施されているか,更に指定した
目的の達成に適切であるかを決定する決定論的,かつ,独立した審査。
    注記 機能安全監査は,機能安全評価の一部として実施してもよい。
3.8.5
プルーフテスト(proof test)
  必要に応じて,修理によって新品又は実際上これに近い状態にシステムを修復することができるように,
安全関連系の危険側隠れ故障状態を見付けるために実施する定期テスト。
    注記1 この規格群では,“プルーフテスト”という用語が使用されるが,“定期テスト”も同義語と
            して認められる。
    注記2 プルーフテストの効果は,故障範囲及び修復実効性に依存している。実際上は,低複雑度
            E/E/PE安全関連系を除いて潜在した危険側故障を100 %検出することは容易ではない。努力
            目標と考えるのがよい。最小限,実施される全ての安全機能が,E/E/PE系安全要求事項仕様
            に従って検査される。分離したチャネルが用いられている場合,それらのテストは,各々の
            チャネルごとに独立して実行される。複雑な要素の場合は解析を行って,プルーフテストで

――――― [JIS C 0508-4 pdf 29] ―――――

28
C 0508-4 : 2012 (IEC 61508-4 : 2010)
            検出されない隠れ危険側故障の確率が,E/E/PE安全関連系の寿命期間全体にわたって無視で
            きるものであることを実証する必要がある。
    注記3 プルーフテストの実施には,ある程度の時間が必要である。この期間,E/E/PE安全関連系は,
            部分的又は全面的に禁止されてもよい。運転要求がある場合にテスト対象のE/E/PE安全関連
            系の部分が利用可能なままであるときだけ,又はテスト中EUCがシャットダウンされている
            ときだけは,プルーフテストの期間を無視できる。
    注記4 プルーフテストの間,E/E/PE安全関連系が,運転要求に対して部分的又は完全に応答しない
            ことがある。EUCが修復中にシャットダウンされているときだけ,又は他リスク軽減措置が
            同等の実効性をもって実施されているときだけは,SILの計算においてMTTRを無視するこ
            とができる。
3.8.6
診断カバー率(diagnostic coverage, DC)
  自動的なオンライン診断テストによって検出される危険側故障の比率。危険側故障の比率は,検出され
た危険側故障に付随する危険側故障率を,総危険側故障率で除して計算する。
    注記1 危険側故障診断カバー率は,次の式を用いて計算する。
                         DC=
                                    Dtotal
                                   DD
            DC : 診断カバー率
                      検出された危険側故障率
                      愀     総危険側故障率
    注記2 この定義は,個々のコンポーネントが一定の故障率をもつという条件で適用することができ
            る。
3.8.7
診断テスト間隔(diagnostic test interval)
  安全関連系のフォールトを検出するために指定した診断範囲をもつオンラインテストを実施する時間間
隔。
3.8.8
検出された(detected)
現れた(revealed)
顕在的な(overt)
  ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)
又は通常の運転から当該事項が見つかり,明らかになる。
    例 これらの形容詞は,“検出されたフォールト”,“検出された故障”などのようにして用いる。
    注記 診断テストによって検出された危険側故障は現れた故障であり,自動又は手動にかかわらず有
          効な措置をとる場合,安全側故障とみなすことができる。
3.8.9
検出されない(undetected)
現れない(unrevealed)
隠された(covert)

――――― [JIS C 0508-4 pdf 30] ―――――

次のページ PDF 31