JIS C 61800-5-2:2019 可変速駆動システム（ＰＤＳ）―第５－２部：安全要求事項―機能安全

この規格ページの目次

6.3 フォールト検出時の挙動
6.4 データ通信の追加要求事項
6.5 PDS(SR)統合及び試験要求事項
7 使用上の情報
7.1 一般事項
7.2 PDS(SR)の安全に使用するための情報及び指示
JIS C 61800-5-2:2019の引用国際規格 ISO 一覧
JIS C 61800-5-2:2019の国際規格 ICS 分類一覧
JIS C 61800-5-2:2019の関連規格と引用規格一覧

28
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
を最小限にする技法及び手段を用いなければならない。
  6.2.5.1.4による計画に従って,試験を実施する。箇条9も参照。
    注記 PLを宣言する場合は,JIS B 9705-1:2011の附属書Gを参照。
6.2.5.1.2 設計方法の選択
  選択する設計方法によらず,要求SILに従って,次の全てを満たさなければならない。
a) 複雑度を最小化して設計の理解容易性を高める,透明性,モジュール性及びその他の特性
b) 次の明確かつ正確な仕様の決定
  − 機能性
  − サブシステムインタフェース
  − 順序付け及び時間関連情報
  − 同時性及び同期性
c) 情報の明確かつ正確な文書化及び伝達
d) 適合確認及び妥当性確認
6.2.5.1.3 設計方策
  次の設計方策を適用する。
a) 次を含むPDS(SR)及び/又はサブシステムの適切な設計
  − 製造業者の仕様の範囲内でのコンポーネントの使用。例えば,温度,負荷,電源,電力定格及びタ
      イミングパラメータ。
  − 目標故障率の達成に必要な場合,信頼性を高めるための設計パラメータのディレーティング
  − サブシステムの適切な組合せ及び組立て。例えば,ケーブル接続,配線及び相互接続。
  − 設計上の欠陥の早期検出のためのレビュー及び検査の利用
b) 互換性
  − 互換性のある動作特性をもつサブシステムを使用する。
c) 指定した環境条件への耐性
  − 例えば,温度,湿度,振動,電磁現象,汚損度,過電圧カテゴリ,標高など,全ての指定環境にお
      いて安全な運転ができるようにPDS(SR)を設計する。
6.2.5.1.4 試験計画
  設計の期間に,次の異なる種類の試験を必要に応じて計画する。
a) サブシステム試験
b) 統合試験
c) 妥当性確認試験
d) 構成試験(7.2を参照)
  試験計画の文書化には,次を含む。
e) 実施する試験の種類及び遵守する手順
f)  試験環境,ツール,構成及びプログラム
g) 合否判定基準
  適用できる場合,自動試験ツール及び統合開発ツールを使用する。
    注記 このようなツールの整合性は,個別の試験,広範な使用実績,又は設計中のPDS(SR)を使っ
          たツールのアウトプットに対する独立した適合性確認によって実証することができる。

――――― [JIS C 61800-5-2 pdf 31] ―――――

                                                                                             29
                                                            C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
6.2.5.1.5 設計管理の要求事項
  設計後の変更においてPDS(SR)のSILを保つために,設計段階で設計管理及び再試験のプロセスを定
義する。
6.2.5.2  系統的原因によるフォールトの管理要求事項
6.2.5.2.1 一般事項
    注記 PLを宣言する場合は,JIS B 9705-1:2011の附属書Gを参照。
6.2.5.2.2 設計指針
  系統的原因によるフォールトを管理するため,PDS(SR)及びそのサブシステムが,次の全てに耐性を
もつ設計指針とする。
a) ハードウェアに残存している設計フォールト
b)   DS(SR)に対して指定した環境に当てはまる,IEC 61800-2:2015の表6による環境上のストレス
c) 電磁イミュニティ(6.2.6)を参照
d)   DS(SR)のオペレータによる不手際(例えば,誤操作,手順の誤り)(JIS C 0508-2:2014のA.3及
    び表A.17を参照)
e) ソフトウェアに残存している設計フォールト(JIS C 0508-3:2014の7.4.3及び関連表を参照)
f)  データ通信プロセスから生じるエラー及び他の影響(6.4を参照)
  特定用途向け集積回路(ASIC)を用いてPDS(SR)に安全サブ機能を実装するときは,設計及び開発
中のフォールトの誘引防止に欠かせない一連の適切な技法及び手段を用いる。JIS C 0508-2:2014の附属書
F(参考)には,技法及び手段の例を示している。関連するASIC開発ライフサイクルは,JIS C 0508-2:2014
の図3に示す。
6.2.5.2.3 試験容易性及び保全性
  試験容易性及び保全性は,最終PDS(SR)でこれらの特性を実装するように,設計及び開発業務の中で
考慮する。
6.2.5.2.4 人的制約
  PDS(SR)の設計は,人間の能力及び限界を考慮し,また,オペレータ及び保全要員に割り当てた業務
に適したものでなければならない。オペレータインタフェースの設計は,ヒューマンファクタを適切に配
慮し,また,オペレータの適切な訓練水準又は認識水準に配慮する。
6.2.5.2.5 意図しない変更に対する保護
  PDS(SR)には,安全に関連するソフトウェア,ハードウェア,パラメータ及び構成に対する意図しな
い変更から保護するための(又は保護を容易にするための)方策を組み込まなければならない。
    注記 JIS C 0508-7:2017のB.4.8を参照。
6.2.5.2.6 入力の確認応答及びオペレータによる不手際
  PDS(SR)の設計には,操作の失敗を抑制するための入力の確認応答を組み込まなければならない。ま
た,この設計では,妥当性チェックによってオペレータによるPDS(SR)の安全サブ機能に関連する不手
際からの保護をしなければならない。
    注記 JIS C 0508-7:2017のB.4.6及びB.4.9を参照。
6.2.5.2.7 PDS(SR)のパラメータ設定
  ほぼ全てのPDS(SR)は,安全サブ機能の挙動を決定する構成パラメータを必要とする。ソフトウェア
によるパラメータ設定は,PDS(SR)設計の安全関連の側面として考え,ソフトウェアの安全要求仕様に
記載する。

――――― [JIS C 61800-5-2 pdf 32] ―――――

30
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
  設置及び保全中のパラメータ設定は,PDS(SR)の製造業者が提供する専用のパラメータ設定ツールを
用いて行わなければならない。このツールは,固有の識別(名称,バージョンなど)をもち,かつ,例え
ば,パスワードの使用によって権限のない変更を防止する。このパラメータ設定ツールに対する機能安全
要求事項はない。
  安全関連パラメータを設定する際には,専用の手順を用いなければならない。この手順には,次の両方
によるPDS(SR)への入力パラメータの確認を含めなければならない。
− 変更済みパラメータのオペレータによる検索,表示及び検証
− 次のいずれかを用いた,PDS(SR)におけるパラメータの正確性の適合確認
  − 構成試験[7.2 f)を参照]
  − PDS(SR)の製造業者が定義する他の適切な手段
  同様に,文書化した安全関連パラメータの確認を含めなければならない。例えば,適切な技能をもつ人
材による確認,及びパラメータ設定ツールによる自動検証を用いた確認を行う。
    注記1 参考として,JIS C 0508-3:2014の7.4.4を参照。
    注記2 パラメータの設定を行う以外の目的をもつ装置(例えば,パーソナルコンピュータ又は同等
            物)を用いて設定を行う場合,この細分箇条の要求事項は特に重要である。
    注記3 ソフトウェアによるパラメータ設定についての詳細は,JIS B 9705-1:2011の4.6.4及び/又は
            JIS B 9961の6.11.2を参照。
6.2.5.2.8 電源の喪失
  電源の喪失による影響を考慮に入れて,PDS(SR)の仕様を決め,設計する。
6.2.6  PDS(SR)の電磁イミュニティに関する設計要求事項
  PDS(SR)は,JIS C 4421の分類に従って指定又は想定する電磁環境(第1種環境又は第2種環境)内
で運転するための適切な電磁イミュニティをもつように設計する。
  電磁イミュニティ試験の要求事項は,9.3及び附属書Eに記載する。
6.2.7  PDS(SR)の熱的耐性に関する設計要求事項
  PDS(SR)は,IEC 61800-2の分類に従って指定又は想定する熱的環境内で運転するために適切な熱的
耐性をもつように設計する。
  熱的耐性試験の要求事項は,9.4に記載する。
6.2.8  PDS(SR)の機械的耐性に関する設計要求事項
  PDS(SR)は,JIS C 61800-5-1及びIEC 61800-2の分類に従って指定又は想定する機械的環境内で運転
するための適切な機械的耐性をもつように設計する。
  機械的耐性試験の要求事項は,9.5に記載する。

6.3 フォールト検出時の挙動

6.3.1  フォールトの検出
  PDS(SR)内のフォールトの検出は,診断試験によって実行することができる。
  安全サブ機能の喪失につながる可能性のある危険側フォールトを検出したときは,危険状態を防ぐため
にフォールト反応機能を始動する。診断及びフォールト反応機能は,指定最大フォールト反応時間内に実
行する。
6.3.2  HFTが0よりも大きい場合
  HFTが0よりも大きいサブシステムの場合で,(診断試験又は他の手段によって)危険側フォールトを
検出したときは,次のいずれかを実行する。

――――― [JIS C 61800-5-2 pdf 33] ―――――

                                                                                             31
                                                            C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
a) フォールト反応機能を始動する。
b) フォールト部分を修理している間,機械類及び/又はプラント設備が安全な運転を継続できるように
    するためのサブシステムのフォールト部分を分離する。危険側ランダムハードウェア故障の確率(6.2.2
    を参照)の計算で仮定した平均修復時間(MTTR)内に修理が完了しない場合,フォールト反応機能
    を始動する。
6.3.3  HFTが0の場合
  HFTが0のサブシステムの場合で,安全サブ機能がそのサブシステムに完全に依存している場合,その
サブシステムで(診断試験又は他の手段によって)危険側フォールトを検出したときは,フォールト反応
機能を始動する。

6.4 データ通信の追加要求事項

  PDS(SR)内での安全サブ機能の実装にデータ通信を用いる場合,通信プロセスにおいて検出しない故
障の確率を推定する。
  この確率は,ランダム故障による安全サブ機能のPFHの推定(6.2.2.1.2を参照)のときに考慮に入れな
ければならない。これは,PDS(SR)内の全てのデータ通信を対象とするものではない。例えば,プリン
ト配線板内部のデータ通信は,この要求事項の対象外である。
  詳細については,JIS C 0508-2:2014の7.4.11を参照。
    注記 安全通信チャネルに関する追加情報は,IEC 61784-3で確認することができる。

6.5 PDS(SR)統合及び試験要求事項

6.5.1  ハードウェア統合
  PDS(SR)は,指定の設計に従って統合する。全てのサブシステム及びコンポーネントをPDS(SR)に
統合する場合は,その一環として,指定の統合試験に従ってPDS(SR)を試験する。これらの試験は,適
合確認計画で指定し,全てのモジュールが正しく相互作用してその意図した機能を実行すること,及び意
図しない機能は実行しないことを確認しなければならない。
6.5.2  ソフトウェア統合
  安全関連のソフトウェア部分及びモジュールのPDS(SR)への統合は,JIS C 0508-3:2014に従って実施
する。その中には,ソフトウェア適合確認計画で指定した試験を含めなければならない。この試験によっ
て,機能性要求事項及び安全性能要求事項に対して,ソフトウェアとハードウェアとが整合していること
を保証する。
    注記 これは,全ての入力の組合せの試験を意味するものではない。全ての等価クラスの試験(JIS C
          0508-7:2017のB.5.2を参照)で十分なこともある。静的解析(JIS C 0508-7:2017のB.6.4を参
          照),動的解析(JIS C 0508-7:2017のB.6.5を参照)又は故障解析(JIS C 0508-7:2017のB.6.6
          を参照)によって,試験ケース数を許容できるレベルまで減らすことができる。
6.5.3  統合中の部分改修
  統合中のPDS(SR)に対するいかなる部分改修も,それによって影響を受ける全てのコンポーネントを
特定するための影響解析を行い,かつ,追加の適合確認を行う。
6.5.4  適用可能な統合試験
  統合試験は,適合確認計画の中で指定する。通常想定する運転を適切に特徴付ける入力値又は設定値を
PDS(SR)に与えて機能試験を実施する。安全サブ機能を始動し(例えば,STOの作動又はSLSの速度制
限値違反によって),その結果を観察し,仕様書に指定した運転と比較する(箇条9も参照)。

――――― [JIS C 61800-5-2 pdf 34] ―――――

32
C 61800-5-2 : 2019 (IEC 61800-5-2 : 2016)
6.5.5  試験の文書化
  PDS(SR)の統合試験中に,次を文書化する。
a) 使用した試験計画のバージョン
b) 統合試験の合格基準
c) 試験したPDS(SR)の種類及びバージョン
d) 使用したツール及び機器並びに校正データ
e) 各試験の結果
f)  想定結果と実際の結果との相違点

7 使用上の情報

7.1 一般事項

  PDS(SR)の製造業者は,安全マニュアルの中で使用者に情報を提供する。安全マニュアルの一般要求
事項は,JIS C 0508-2:2014の附属書D及びJIS C 0508-3:2014の附属書Dを参照。この箇条では,PDS(SR)
に関する追加要求事項を記載する。
    注記 PLを宣言する場合は,JIS B 9705-1:2011の箇条11を参照。

7.2 PDS(SR)の安全に使用するための情報及び指示

  次の情報は,製造業者によって文書化し,使用者が利用できるようにする。
a) 安全サブ機能の実装に用いることができる各安全サブ機能及びインタフェースの機能仕様。次を含め
    る。
  − 安全サブ機能の詳細な説明(制限値違反に対する反応を含む。)
  − フォールト反応機能
  − 各安全関連機能の応答時間及び関連するフォールト反応機能の応答時間
  − 安全サブ機能の有効又は無効化の対象となる条件(例えば,運転モード)
  − 同時に有効になり,互いに競合することがある安全サブ機能の優先順位
b) 次を含む各安全サブ機能の安全度情報
  − SIL又はSIL能力(系統的対応能力を含む。JIS C 0508-2を参照)
  − 各安全サブ機能のPFH値
  − 同時に有効になる安全サブ機能グループにおいて,結果として得られるPFH
  − PL及びカテゴリを適用する場合,JIS B 9705-1に従って宣言する。
c)   DS(SR)を使用する(電磁を含む)環境及び動作条件の定義(IEC 61800-1,IEC 61800-2,JIS C 4421,
    IEC 61800-4及びJIS C 61800-5-1も参照)。この定義では,保管,輸送,設置,現地調整,試験,運用
    及び保全を考慮する。
      注記1 EMCに関連する,使用上の情報の例 : “警告 : PDS(SR)から20 cm未満の距離にある携
              帯無線送信機は,PDS(SR)の安全サブ機能を妨害する可能性があります。”又は類似の文
              言[表E.3の注p)を参照]。
d)   DS(SR)に課す次の制約の表示
  − 推定故障率の有効性を維持するために遵守する環境
  − PDS(SR)の使命時間
  − 試験,校正又は保全要求事項(例えば,リレーの作動の回数制限)
  − 系統的原因故障を回避するために遵守することが望ましいPDS(SR)の適用に対する制限

――――― [JIS C 61800-5-2 pdf 35] ―――――

次のページ PDF 36

JIS C 61800-5-2:2019の引用国際規格 ISO 一覧

IEC 61800-5-2:2016(IDT)

JIS C 61800-5-2:2019の国際規格 ICS 分類一覧

29 : 電気工学　>　29.200 : 整流器.変換器.安定電源装置

29 : 電気工学　>　29.130 : 開閉装置及び制御装置　>　29.130.99 : その他の開閉装置及び制御装置

13 : 環境.健康予防.安全　>　13.110 : 機械の安全

JIS C 61800-5-2:2019の関連規格と引用規格一覧

規格番号: 規格名称
JISB9960-1:2019: 機械類の安全性―機械の電気装置―第1部:一般要求事項
JISC4421:2008: 可変速駆動システム(PDS)―電磁両立性(EMC)要求事項及び試験方法