この規格ページの目次
23
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
6.1.9 設計の文書化
設計及び実現の文書化に加えて,PDS(SR)設計文書にSIL能力を達成するために用いる技法及び手段
を示す[例えば,故障モード・影響解析(以下,FMEAという。),故障の木解析(以下,FTAという。)]。
6.2 PDS(SR)設計要求事項
6.2.1 基本安全原則及び十分に吟味した安全原則
PDS(SR)にカテゴリを宣言するときは,次の適用する基本安全原則及び十分に吟味した安全原則を考
慮する。
− 電気及び電気機械式PDS(SR)の場合,JIS B 9705-2:2019の表D.1及び表D.2がこれらの原則に該当
する。
− 機械式部品(例えば,エンコーダ)の場合,JIS B 9705-2:2019の表A.1及び表A.2がこれらの原則に
該当する。
6.2.2 1時間当たりの危険側ランダムハードウェア故障の確率(PFH)の推定に関する要求事項
6.2.2.1 一般要求事項
6.2.2.1.1 各安全サブ機能のPFH
PDS(SR)が実行する各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,6.2.2.1.2
及び附属書Bに従って推定し,安全度要求仕様(5.5.3を参照)で規定する目標機能失敗尺度(表3を参照)
と同じか,それよりも低くする。
SILによって定義するPFH値は,ある一つの安全サブ機能全体に適用する値である。PDS(SR)が安全
関連制御システム内で一部の安全サブ機能だけを実行する場合,PDS(SR)のPFH値は,SILによって定
義する値よりも十分に低いことが望ましい。
PFHで表す目標機能失敗尺度は,安全サブ機能が個別の目標機能失敗尺度を満たすように定める要求事
項がPDS(SR)安全度要求仕様(5.5.3を参照)にある場合を除き,個別のSILではなく安全サブ機能の
SILによって決定する(JIS C 0508-1:2012の表3を参照)。
表3−SIL : PDS(SR)安全サブ機能の目標機能失敗尺度
SIL PFH
3 10−8以上10−7未満
2 10−7以上10−6未満
1 10−6以上10−5未満
注記 PFHは,危険側故障頻度又は危険側故障率と呼ばれることもあ
り,1時間当たりの危険側故障回数を数値で表したものである。
PDS(SR)の各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,個々に推定す
る。
注記1 異なる安全サブ機能は,共通コンポーネント及び/又は固有コンポーネントをもつことがあ
り,それによって各安全サブ機能(又は同時に使用する安全サブ機能グループ)は異なるPFH
をもつ。
注記2 利用可能なモデリング方法は幾つかある。どの方法が最適かは,解析者が判断し,状況によ
って異なる。利用できる方法を,次に示す。
− FTA(JIS C 5750-4-4を参照)
− マルコフモデル(IEC 61165を参照)
――――― [JIS C 61800-5-2 pdf 26] ―――――
24
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
− 信頼性ブロック図(IEC 61078を参照)
− 部品点数(IEC 61709:2011を参照)
− JIS C 0508-6:2019に記載の一連の手順
− PLを見積もるための単純化した手順(JIS B 9705-1:2011の4.5.4を参照)
JIS C 5750-3-1も参照。
注記3 信頼性モデルで考慮する平均修復時間(IEC 60050-192:2015の192-07-23を参照)には,診
断間隔,修理時間及び修復までの他の遅延を考慮に入れる必要がある。
注記4 共通原因影響及びデータ通信プロセスに起因する故障は,ハードウェアコンポーネントの実
際の故障以外の影響(例えば,復号化エラー)から発生することがある。ただし,この規格
の目的から,そのような故障はランダムハードウェア故障として考える(JIS C 0508-6:2019
の附属書Dを参照)。
注記5 PLを宣言する場合は,更にJIS B 9705-1:2011の表3を参照。
6.2.2.1.2 PFHの推定
PDS(SR)が実行する各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,ラン
ダムハードウェア故障を要因とし,JIS C 0508-2:2014の附属書Aを用いて次を考慮に入れながら推定する。
a) 考慮対象の各安全サブ機能に関連するPDS(SR)のアーキテクチャ
b) DS(SR)の危険側故障の原因となり,かつ,診断試験で検出する全てのモードにおける,PDS(SR)
の各サブシステムの推定故障率
c) DS(SR)の危険側故障の原因となり,かつ,診断試験で検出しない全てのモードにおける,PDS(SR)
の各サブシステムの推定故障率
d) 共通原因故障に対するPDS(SR)のぜい弱性(JIS C 0508-6:2019の附属書Dを参照)
e) 診断試験の診断カバー率(DC)(JIS C 0508-2:2014の附属書A及び附属書Cに従って決定する。),及
び関連診断試験間隔。診断試験間隔を確定するときは,診断カバー率に寄与する全ての試験の間隔を
考慮する必要がある。
f) 検出した故障の修理時間
注記1 修理時間は,平均修復時間(IEC 60050-192:2015の192-07-23)の一部であり,故障の検出
にかかる時間及び修理が不可能な期間を含む(故障の確率の計算に平均修復時間をどのよ
うに用いることができるかの例は,JIS C 0508-6:2019の附属書Bを参照)。例えば,PDS
(SR)によって駆動する装置又は機械類を停止し,安全状態にするまで修理が実施できな
い状況など,特に修理不可能な期間が長い場合,その期間を十分に考慮することが重要で
ある。
g) データ通信プロセスの危険側故障の確率(6.4を参照)
注記2 低頻度作動要求用途に関して,PFHの値からPFDavgの値を推定するための情報は,附属書F
を参照。
6.2.2.1.3 故障率データ
コンポーネントの故障率データは,次のいずれかから取得する。
− 周知のデータ源
− 使用実績による証明がある(proven in use)と考えられるタイプAコンポーネントに基づく推定(JIS
C 0508-2:2014の7.4.10を参照)
コンポーネントの故障率を推定するときは,その想定平均動作温度を使用することが望ましい。
――――― [JIS C 61800-5-2 pdf 27] ―――――
25
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
現場固有の故障率データが入手できる場合は,そちらを優先する。入手できない場合は,一般的なデー
タを使用することができる。
注記1 データは,複数の業界データ源(附属書Cを参照)の公表データから導くことができる。
注記2 ほとんどの確率推定方法では,一定の故障率を仮定するが,これを適用するのは,コンポー
ネントの有効寿命を超えていない場合だけである。コンポーネントの有効寿命を超えると,
ほとんどの確率計算方法の結果は意味をなさない(なぜならば,故障の確率が時間とともに
大幅に増加するからである。)。したがって,確率推定には,コンポーネントの有効寿命の規
定を含めることができる。有効寿命は,コンポーネント自体及びその動作条件,特に温度(例
えば,電解コンデンサは非常に敏感なことがある。)に強く依存する。
注記3 附属書Dに示すフォールトリストは,故障モードの決定に役立てることができる。
使用する故障率データは,信頼水準が70 %以上でなければならない。
6.2.2.1.4 ハードウェアフォールトトレランス(HFT)が0より大きい場合の診断試験間隔
PDS(SR)のサブシステムの診断試験間隔は,要求するPFHを満たす適切なものでなければならない
(6.2.2.1.1を参照)。
注記1 診断試験間隔の数学的影響に関する情報は,B.4を参照。
注記2 PDS(SR)の冗長部の診断試験を実施する際に,PDS(SR)を用いる機械類及び/又はプラ
ント設備の稼働を中断しなければならず,それに対して妥当な技術的解決策を実施できない
場合は,許容できる値として次の最大診断試験間隔を考慮することができる。
− SIL 2,PL d/カテゴリ3の場合,1年に1回の試験
− SIL 3,PL e/カテゴリ3の場合,3か月に1回の試験
− SIL 3,PL e/カテゴリ4の場合,1日に1回の試験
PL及びカテゴリは,JIS B 9705-1による。
6.2.2.1.5 ハードウェアフォールトトレランス(HFT)が0の場合の診断試験間隔
PDS(SR)のサブシステムのハードウェアフォールトトレランス(以下,HFTという。)が0で,安全
サブ機能がそのサブシステムに完全に依存している場合,その診断試験間隔は,診断試験間隔と安全状態
の達成又は維持のための指定の作動(フォールト反応機能)を実施する時間との合計がプロセスセーフテ
ィタイム未満になるようにする。
注記 プロセスセーフティタイムの定義は,JIS C 0508-4:2012の3.6.20を参照。
6.2.3 アーキテクチャ制約
6.2.3.1 SILの制限
ハードウェア安全度において,安全サブ機能に対して宣言できるSILの最大値は,安全サブ機能を実行
するPDS(SR)のサブシステムのHFT及び安全側故障割合によって制限を受ける。HFTがNであるとい
うことは,N+1個のフォールトによって安全サブ機能の喪失が生じる可能性があることを意味する。表4
及び表5では,サブシステムのHFT及び安全側故障割合を考慮に入れ,そのサブシステムを使用する安全
サブ機能に対して宣言できるSILの最大値を規定している(JIS C 0508-2:2014の附属書Cを参照)。表4
及び表5の要求事項は,いずれか適切な方を,安全サブ機能を実行する各サブシステム,更にはPDS(SR)
のあらゆる部分に適用する。6.2.3.2.2及び6.2.3.2.3では,個々のサブシステムに対して表4及び表5のい
ずれかを適用するかについて規定する。これらの要求事項に関しては,次による。
a) FTの決定においては,フォールトの影響を制御できる他の方策(例えば,診断)は考慮しない。
b) 一つのフォールトがその後に続く一つ以上のフォールトの発生に直接つながる場合,これらは単一フ
――――― [JIS C 61800-5-2 pdf 28] ―――――
26
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
ォールトとみなす。
c) FTの決定においては,特定のフォールトが発生する可能性がサブシステムの安全度要求事項と比較
して非常に低い場合,そのフォールトを除外してもよい。そのようなフォールトの除外については,
正当な根拠を示し,文書化する(D.3を参照)。
注記1 アーキテクチャ制約は,サブシステムの複雑度を考慮に入れて,十分に堅ろう(牢)なアー
キテクチャを達成するためのものである。PDS(SR)に対して単に数学的なアプローチを採
用した場合に理論上はそれよりも高いSILを導くことができるケースであっても,アーキテ
クチャ制約によって定まるSILが宣言できる上限となる。
注記2 フォールトトレランス要求事項は,PDS(SR)をオンラインで修理している間は緩和するこ
とができる。ただし,緩和に関する重要パラメータは,事前に評価する(例えば,作動要求
の確率と比較した平均修復時間)。
注記3 この箇条は,JIS C 0508-2:2014の7.4.4のルート1Hに基づいている。ルート2Hに関連した要
求事項については,JIS C 0508-2:2014の7.4.4.3を参照。
6.2.3.2 タイプA及びタイプBサブシステム
6.2.3.2.1 一般事項
(JIS C 0508-2:2014の7.4.4.1.2及び7.4.4.1.3も参照)
6.2.3.2.2 タイプA
サブシステムは,安全サブ機能を達成するために必要なコンポーネントに関して,次の全ての基準を満
たす場合,タイプAとみなすことができる。
a) 全ての構成コンポーネントの故障モードを定義している。
b) フォールト状態下のサブシステムの挙動を完全に決定することができる。
c) 検出可能な危険側故障率(λDD)及び検出しない危険側故障率(λDU)について,現場の実績に基づい
た信頼できる故障データが存在する。
注記 附属書Dは,考慮することができるフォールト及びフォールトの除外のリストを示す。
6.2.3.2.3 タイプB
サブシステムは,安全サブ機能を達成するために必要なコンポーネントに関して,6.2.3.2.2の基準のう
ち一つでも満たしていない場合,タイプBとみなす。すなわち,サブシステムの一つ以上のコンポーネン
トがタイプBサブシステムの条件に当てはまる場合,サブシステム全体をタイプAではなくタイプBと
みなす。
注記1 例えば,マイクロコントローラなどで構成する制御部は,タイプBサブシステムとみなす。
注記2 D.3は,考慮することができるフォールト及びフォールトの除外のリストを示す。
6.2.3.3 アーキテクチャ制約
アーキテクチャ制約は,表4又は表5のいずれかを適用する。PDS(SR)を構成する全てのタイプAサ
ブシステムには,表4を適用する。PDS(SR)を構成する全てのタイプBサブシステムには,表5を適用
する。
注記1 タイプA及びタイプBについての情報は,JIS C 0508-2:2014の7.4.4.1.2及び7.4.4.1.3を参照。
――――― [JIS C 61800-5-2 pdf 29] ―――――
27
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
表4−タイプA安全関連サブシステムが実行する
安全サブ機能に対して許容できるSILの最大値
安全側故障割合a) ハードウェアフォールトトレランス(HFT)N
(6.2.3.1を参照)
0 1 2
60 %未満 SIL 1 SIL 2 SIL 3
60 %以上 90 %未満 SIL 2 SIL 3 SIL 3
90 %以上 99 %未満 SIL 3 SIL 3 SIL 3
99 %以上 SIL 3 SIL 3 SIL 3
注a) 安全側故障割合の推定方法の詳細は,6.2.4を参照。
表5−タイプB安全関連サブシステムが実行する
安全サブ機能に対して許容できるSILの最大値
安全側故障割合a) ハードウェアフォールトトレランス(HFT)N
(6.2.3.1を参照)
0 1 2
60 %未満 許容しない SIL 1 SIL 2
60 %以上 90 %未満 SIL 1 SIL 2 SIL 3
90 %以上 99 %未満 SIL 2 SIL 3 SIL 3
99 %以上 SIL 3 SIL 3 SIL 3
注a) 安全側故障割合の推定方法の詳細は,6.2.4を参照。
例外として,HFTが0で,危険側故障につながる可能性のある電気又は電子部品のフォールトに対して
フォールト除外を適用しているサブシステムに関しては,そのサブシステムのアーキテクチャ制約を理由
に,宣言できるSILの最大値を次に制限する。
− 表D.1,表D.3,表D.5,表D.6,表D.7及び表D.8を適用している場合,SIL 3
− その他の全ての場合,SIL 2
注記2 カテゴリを宣言する場合は,更にJIS B 9705-1:2011の6.2を参照。
6.2.4 安全側故障割合(SFF)の推定
6.2.4.1 解析方法
サブシステムのSFFを推定するには,解析(例えば,FMEA又はFTA)を実行し,全ての関連フォール
ト及びそれらに対応する故障モードを決定する。サブシステムの各故障モードの確率は,関連するフォー
ルトの確率に基づいて決定する。
SFFの計算については,JIS C 0508-2:2014の附属書A及び附属書Cを参照。
PDS(SR)については,ルート1Hを優先する。ルート2Hは,タイプAサブシステムに限定する。
注記1 この箇条は,JIS C 0508-2:2014の7.4.4.2のルート1Hに基づく。ルート2Hに関連した要求事
項については,JIS C 0508-2:2014の7.4.4.3を参照。
データの根拠は,6.2.2.1.3に示す。
注記2 既知のデータ源の参考リストは,附属書Cを参照。
6.2.5 PDS(SR)及びPDS(SR)サブシステムの系統的安全度の要求事項
6.2.5.1 故障回避のための要求事項
6.2.5.1.1 一般事項
JIS C 0508-2:2014の表B.2に従って,PDS(SR)のハードウェアの設計及び開発は,フォールトの誘引
――――― [JIS C 61800-5-2 pdf 30] ―――――
次のページ PDF 31
JIS C 61800-5-2:2019の引用国際規格 ISO 一覧
- IEC 61800-5-2:2016(IDT)
JIS C 61800-5-2:2019の国際規格 ICS 分類一覧
- 29 : 電気工学 > 29.200 : 整流器.変換器.安定電源装置
- 29 : 電気工学 > 29.130 : 開閉装置及び制御装置 > 29.130.99 : その他の開閉装置及び制御装置
- 13 : 環境.健康予防.安全 > 13.110 : 機械の安全
JIS C 61800-5-2:2019の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISB9960-1:2019
- 機械類の安全性―機械の電気装置―第1部:一般要求事項
- JISC4421:2008
- 可変速駆動システム(PDS)―電磁両立性(EMC)要求事項及び試験方法