JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観

この規格ページの目次

参考文献
JIS C 0508-7:2017の引用国際規格 ISO 一覧
JIS C 0508-7:2017の国際規格 ICS 分類一覧
JIS C 0508-7:2017の関連規格と引用規格一覧

14
C 0508-7 : 2017 (IEC 61508-7 : 2010)
説明 : テスト対象のメモリ範囲を,一つの一様なビットストリームによって初期化する。その後1番目の
      セルを反転し,残りのメモリ領域を,バックグラウンドが正しいことを確実にするために検査する。
      その後,1番目のセルを,元の値に戻すために再反転し,次のセルに対して全手順を繰り返す。バ
      ックグラウンドの最初の割当てを反転して,“さまよえるビットモデル”の2回目の実行を行う。
      相違が生じた場合は,故障メッセージを生成する。
A.5.3 RAMテストの“ガルパット”又は“透過ガルパット”
    注記 この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
目的 : 静的ビット故障及び高い比率の動的結合を検出する。
説明 : RAMテスト“ガルパット”においては,最初に,選択したメモリ範囲を一様に(すなわち,全て0
      又は全て1に)初期化する。その後,テストする最初のメモリセルを反転し,残りの全てのセルを,
      これらの内容が正しいことを確実にするために検査する。残りのセルの一つへの各読取アクセス後
      に,反転したセルもチェックする。この手順を,選択したメモリ範囲内の各セルに対して繰り返す。
      2回目の実行は,初期化の逆によって実施する。相違が生じた場合は,故障メッセージを生成する。
        “透過ガルパット”のテストは,上記の手順を変化させたものである。すなわち,選択したメモ
      リ範囲内の全てのセルを初期化しないで,現在の内容を変化させず,複数の組になったセルの内容
      を比較するために署名を用いる。選択した範囲内のテスト対象の最初のセルを選択し,その範囲内
      の残りの全てのセルの署名S1を計算し,格納する。その後,その被験セルを反転し,残りの全て
      のセルの署名S2を再計算する(残りのセルの一つへの各読取アクセス後に,反転したセルもチェ
      ックする。)。S2とS1とを比較し,相違が生じた場合は,故障メッセージを生成する。被験セルを,
      元の内容を再確立するために再反転し,残りの全てのセルの署名S3を再計算し,S1と比較する。
      相違が生じた場合は,故障メッセージを生成する。選択範囲内の全てのメモリセルを,同様にテス
      トする。
A.5.4 RAMテストの“アブラハム”
    注記 この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
目的 : メモリセル間の縮退故障及び結合故障の全てを検出する。
説明 : 検出できるフォールトの比率は,RAMテストの“ガルパット”のものを超える。全メモリテスト
      を実施するために要求される操作数は,メモリ中のセル数をnとする場合,約30 nである。メモリ
      を分割し,各部分を別々の時間区分においてテストすることによって,実行サイクルからのメモリ
      アクセスからはテストが“透明”になるようにすることができる。

参考文献

: Efficient Algorithms for Testing Semiconductor Random-Access Memories. R. Nair, S. M. Thatte, J. A.
Abraham, IEEE Trans. Comput. C-27(6), 572-576, 1978
A.5.5 1ビット冗長性(例えば,パリティビットによるRAM監視)
注記この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
目的 : テストするメモリ範囲内で起こる可能性がある全てのビット故障の50 %を検出する。
説明 : メモリの各ワードを1ビット(パリティビット)で拡張し,各ワードは,そのビットを追加するこ
とで,論理1を偶数個又は奇数個もつワードとする。データワードのパリティは,読み取るごとに

――――― [JIS C 0508-7 pdf 16] ―――――

                                                                                             15
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      チェックする。1の個数が違っていることを発見した場合,故障メッセージを生成する。偶数パリ
      ティ又は奇数パリティの選択は,ゼロワード(0しかない)及びワンワード(1しかない)のどち
      らかが故障の発生時に,より好ましくないものである場合は,そのより好ましくない方のワードが
      有効コードとはならないように選択することが望ましい。パリティをデータワードとそのアドレス
      との連結のために計算する場合,パリティは,アドレス指定故障を検出するために用いることもで
      きる。
A.5.6 拡張ハミングコードによるRAM監視,又はエラー検出訂正コード(EDC)によるデータ故障の検
出
    注記1 この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
    注記2 A.4.1及びC.3.2も参照。
目的 : 全ての奇数ビット故障,全ての2ビット故障,幾つかの3ビット故障及び幾つかの複数ビット故障
      を検出する。
説明 : ハミング距離を4以上とする拡張ハミングコードを作成するために,メモリへの各アクセスを数ビ
      ットの冗長ビットだけ拡張する。データを読み取るごとに,冗長ビットをチェックすることで,改
      ざんが起こったかどうかを判定することができる。相違が生じた場合は,故障メッセージを生成す
      る。冗長ビットをデータとそのアドレスとの連結のために計算する場合,この手順をアドレス指定
      故障を検出するために用いることもできる。

参考文献

: Prfbare und korrigierbare Codes. W. W. Peterson, Mnchen, Oldenburg, 1967
Error detecting and error correcting codes. R. W. Hamming, The Bell System Technical Journal 29 (2), 147-160,
1950
A.5.7 ハードウェア又はソフトウェア比較及びリードライトテストが実施されるダブルRAM
注記この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
目的 : 全てのビット故障を検出する。
説明 : アドレス空間を,二つのメモリ内に複写する。第1のメモリは,通常の方法で操作する。第2のメ
モリは,同じ情報を収納しておき,第1のものと並行してアクセスする。出力を比較し,相違が生
じた場合は,故障メッセージを生成する。ある種のビットエラーを検出するためには,二つのメモ
リのいずれかのデータを反転して格納し,読み取るときに再び反転する必要がある。
A.6 I/O装置及びインタフェース(外部通信)
全般 : 入出力装置(デジタル,アナログ,シリアル又はパラレル)の故障を検出し,処理への許容できな
い出力を防止する。
A.6.1 テストパターン
注記この技術及び手法は,JIS C 0508-2の表A.7,表A.13及び表A.14で引用されている。
目的 : 静的故障(縮退故障)及びクロストークを検出する。
説明 : これは,入出力装置のデータフローから独立した周期的テストである。このテストでは,観測値を
対応する期待値と比較するために,定義したテストパターンを用いる。テストパターン情報,テス

――――― [JIS C 0508-7 pdf 17] ―――――

16
C 0508-7 : 2017 (IEC 61508-7 : 2010)
      トパターン受信及びテストパターン評価は,全て,それぞれ独立させる必要がある。EUCが,テス
      トパターンから許容できない影響を受けることは望ましくない。
A.6.2 コードの保護
    注記 この技術及び手法は,JIS C 0508-2の表A.7,表A.15,表A.16及び表A.18で引用されている。
目的 : 入出力データフローのランダムハードウェア故障及び決定論的原因故障を検出する。
説明 : この手順は,決定論的原因故障及びランダムハードウェア故障の両方から入出力情報を保護する。
      コード保護では,情報冗長性及び/又は時間冗長性に基づき,入出力装置のデータフロー従属故障
      の検出を行う。典型的なものとしては,冗長情報を入力及び/又は出力データに重ね合わせる。こ
      れによって,入出力回路の正しい動作を監視する手段を得る。多くの技術が可能であり,例えば,
      搬送波信号をセンサの出力信号に重ね合わせてもよい。その後,ロジック装置によって,搬送波が
      あるかどうかを確認してもよいし,ロジック装置と最終アクチュエータとの間を通過する信号の妥
      当性を監視できるように,出力チャネルに冗長コードビットを追加してもよい。
A.6.3 マルチチャネル パラレルアウトプット
    注記 この技術及び手法は,JIS C 0508-2の表A.7で引用されている。
目的 : ランダムハードウェア故障(縮退故障),外部からの影響によって発生する故障,タイミング故障,
      アドレス指定故障,ドリフト故障及び一時故障を検出する。
説明 : これは,ランダムハードウェア故障を検出するための,独立出力をもつデータフロー依存のマルチ
      チャネル パラレル出力である。故障検出は,外部のコンパレータを介して実施する。故障が起こ
      った場合,EUCはその電源を直接,遮断する。この手法は,診断テスト間隔内でデータフローが変
      化した場合だけに有効である。
A.6.4 監視付きアウトプット
    注記 この技術及び手法は,JIS C 0508-2の表A.7で引用されている。
目的 : 個別故障,外部からの影響によって発生する故障,タイミング故障,アドレス指定故障,ドリフト
      故障(アナログ信号用)及び一時故障を検出する。
説明 : これは,定義された許容範囲(時間及び値)との適合性を確実にするための,独立した入力値に対
      する,出力値のデータフロー依存の比較である。検出した故障は,必ずしも,欠陥を有する出力に
      関わるとは限らない。この手法は,診断テスト間隔内でデータフローが変化した場合だけに有効で
      ある。
A.6.5 インプット比較又は多数決
    注記 この技術及び手法は,JIS C 0508-2の表A.7及び表A.13で引用されている。
目的 : 個別故障,外部からの影響によって発生する故障,タイミング故障,アドレス指定故障,ドリフト
      故障(アナログ信号用)及び一時故障を検出する。
説明 : これは,定義された許容範囲(時間及び値)との適合性を確実にするための,独立した入力値のデ
      ータフロー依存の比較である。“1oo2,2oo3又はこれ以上の冗長化”を用いる。この手法は,診断
      テスト間隔内でデータフローが変化した場合だけに有効である。

――――― [JIS C 0508-7 pdf 18] ―――――

                                                                                             17
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
A.7 データパス(内部通信)
全般 : 情報伝送における欠陥によって発生する故障を検出する。
A.7.1 1ビット追加によるハードウェアの冗長化
    注記 この技術及び手法は,JIS C 0508-2の表A.8[データパス(内部通信)]で引用されている。
目的 : 全ての奇数ビット故障,すなわちデータストリームにおいて起こる可能性がある全てのビット故障
      の約50 %を検出する。
説明 : バスを1ライン(ビット)だけ拡張し,この追加のライン(ビット)は,パリティチェックによっ
      て故障を検出するために用いる。
A.7.2 複数ビット追加によるハードウェアの冗長化
    注記 この技術及び手法は,JIS C 0508-2の表A.8で引用されている。
目的 : バス及びシリアル伝送リンクによる通信中の故障を検出する。
説明 : バスを二つ以上のライン(ビット)だけ拡張し,これらの追加のライン(ビット)を,ハミングコ
      ード技術によって故障を検出するために用いる。
A.7.3 二重化によるハードウェアの冗長化
    注記 この技術及び手法は,JIS C 0508-2の表A.8で引用されている。
目的 : 二つのバスの信号を比較することによって,通信中の故障を検出する。
説明 : バスを二重にし,追加のライン(ビット)を故障を検出するために用いる。
A.7.4 テストパターンを用いる検査
    注記 この技術及び手法は,JIS C 0508-2の表A.8で引用されている。
目的 : 静的故障(縮退故障)及びクロストークを検出する。
説明 : これは,データ経路のデータフロー非従属周期的テストである。このテストでは,観測値を対応す
      る期待値と比較するために,テストパターンを定義して用いる。
        テストパターン情報,テストパターン受信及びテストパターン評価は,全て,それぞれ独立させ
      る必要がある。EUCが,テストパターンから許容できない影響を受けることは望ましくない。
A.7.5 伝送の冗長化
    注記 この技術及び手法は,JIS C 0508-2の表A.8で引用されている。
目的 : バス通信における一時故障を検出する。
説明 : 情報を数回,順次伝送する。繰返しは,一時故障に対してだけに有効である。
A.7.6 情報の冗長化
    注記 この技術及び手法は,JIS C 0508-2の表A.8で引用されている。
目的 : バス通信における故障を検出する。
説明 : データをブロック単位で,ブロックごとに計算したチェックサムとともに送信する。その後,受信
      側は,受信したデータのチェックサムを再計算し,その結果を受信したチェックサムと比較する。

――――― [JIS C 0508-7 pdf 19] ―――――

18
C 0508-7 : 2017 (IEC 61508-7 : 2010)
A.8 電源
全般 : 電源の欠陥によって発生する故障を検出又は許容する。
A.8.1 安全遮断又は二次電源への切換えによる過電圧保護
    注記 この技術及び手法は,JIS C 0508-2の表A.9(電源)で引用されている。
目的 : 安全関連系を過電圧から保護する。
説明 : パワーダウン処理による全ての出力の安全状態への切換え,又は二次電源(予備電源)への切換え
      が十分間に合うように過電圧を検出する。

参考文献

: Guidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:
0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
A.8.2 安全遮断又は二次電源への切換えによる電圧制御(二次制御)
注記この技術及び手法は,JIS C 0508-2の表A.9で引用されている。
目的 : 二次電圧を監視し,その電圧が規定範囲内でない場合,安全状態への移行を開始する。
説明 : 二次電圧を監視し,その電圧が規定範囲内でない場合,パワーダウンを開始するか,又は二次電源
への切換えを行う。
A.8.3 安全遮断又は二次電源への切換えによる電源断
注記この技術及び手法は,JIS C 0508-2の表A.9で引用されている。
目的 : 全ての安全重要情報を記憶して,電源を遮断する。
説明 : 内部状態を(必要ならば)不揮発性メモリで保存することができ,さらに,次のいずれかの事項が,
十分間に合うように早く,過電圧又は不足電圧を検出する。
− 全ての出力を電源断のための通常手順によって,安全状態への設定が可能になる。
− 全ての出力を電源断のための通常手順によって,安全状態への切換えが可能になる。
− 二次電源へ切り換わる。
A.9 時間的及び論理的プログラムシーケンス監視
注記この技術及び手法は,JIS C 0508-2の表A.15,表A.16及び表A.18で引用されている。
全般 : 欠陥を有するプログラムシーケンスを検出する。プログラムの個々の要素(例えば,ソフトウェア
モジュール,サブプログラム又はコマンド)が不正なシーケンス若しくは不正な時間で処理を実行
した場合,又はプロセッサのクロックが正しくない場合,欠陥を有するプログラムシーケンスが存
在する。
A.9.1 時間窓なしの個別の時間基準によるウォッチドッグ
注記この技術及び手法は,JIS C 0508-2の表A.10[プログラムシーケンス(ウォッチドッグ)]及び
表A.11(クロック)で引用されている。
目的 : プログラムシーケンスの振舞い及び確からしさを監視する。
説明 : コンピュータの挙動及びプログラムシーケンスの確からしさを監視するために,個別の時間間隔を
もつ外部タイミング要素(例えば,ウォッチドッグタイマ)を周期的にリセットする。プログラム

――――― [JIS C 0508-7 pdf 20] ―――――

次のページ PDF 21

JIS C 0508-7:2017の引用国際規格 ISO 一覧

IEC 61508-7:2010(IDT)

JIS C 0508-7:2017の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.240 : 情報技術(IT)の応用　>　35.240.50 : 産業におけるITの応用

25 : 生産工学　>　25.040 : 産業オートメーションシステム　>　25.040.40 : 工業計測及び制御

JIS C 0508-7:2017の関連規格と引用規格一覧

規格番号: 規格名称