>サイトトップへ >このカテゴリの一覧へ

 

B 9705-1:2019 (ISO 13849-1:2015) 

(1) 

目 次 

ページ 

序文  1 

1 適用範囲 2 

2 引用規格 3 

3 用語,定義,記号及び略号  4 

3.1 用語及び定義  4 

3.2 記号及び略号  9 

4 設計上での考慮事項  10 

4.1 設計における安全性の目標  10 

4.2 リスク低減のための方法論  11 

4.3 要求パフォーマンスレベルPLrの決定  15 

4.4 SRP/CSの設計  15 

4.5 達成されるパフォーマンスレベルPLの評価とSILとの関係  16 

4.6 ソフトウェア安全要求事項  22 

4.7 達成したPLと要求PLrとの適合検証  27 

4.8 人間工学的側面での設計  27 

5 安全機能 27 

5.1 安全機能仕様  27 

5.2 安全機能の詳細  29 

6 カテゴリと各チャネルのMTTFD,DCavg及びCCFとの関係  31 

6.1 一般  31 

6.2 カテゴリの仕様  32 

6.3 総合的なPLを達成するためのSRP/CSの組合せ  39 

7 障害の考慮及び障害の除外  40 

7.1 一般  40 

7.2 障害の考慮  40 

7.3 障害の除外  40 

8 妥当性確認  41 

9 保全 41 

10 技術文書  41 

11 使用上の情報  41 

附属書A(参考)要求パフォーマンスレベルPLrの決定 43 

附属書B(参考)ブロックメソッド及び安全関連ブロックダイアグラム  46 

附属書C(参考)単一コンポーネントのMTTFD値の計算又は評価  48 

附属書D(参考)チャネルごとのMTTFDを見積もるための簡易的な方法  55 

附属書E(参考)機能及びモジュールの診断範囲(DC)の見積り  57 


 

B 9705-1:2019 (ISO 13849-1:2015) 目次 

(2) 

ページ 

附属書F(参考)共通原因故障(CCF)の見積り  60 

附属書G(参考)システマティック故障  62 

附属書H(参考)制御システムにおける複数の安全関連部の組合せ例  65 

附属書I(参考)事例  68 

附属書J(参考)ソフトウェア  75 

附属書K(参考)図5の数の表現  78 

参考文献  82 

 

 


 

B 9705-1:2019 (ISO 13849-1:2015) 

(3) 

まえがき 

この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人日本

機械工業連合会(JMF)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,日本工

業標準調査会の審議を経て,厚生労働大臣及び経済産業大臣が改正した日本工業規格である。 

これによって,JIS B 9705-1:2011は改正され,この規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。厚生労働大臣,経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の

特許出願及び実用新案権に関わる確認について,責任はもたない。 

JIS B 9705の規格群には,次に示す部編成がある。 

JIS B 9705-1 第1部:設計のための一般原則 

JIS B 9705-2 第2部:妥当性確認 

 

 

 


 

 

日本工業規格          JIS 

 

B 9705-1:2019 

 

(ISO 13849-1:2015) 

機械類の安全性−制御システムの安全関連部− 

第1部:設計のための一般原則 

Safety of machinery-Safety-related parts of control systems- 

Part 1: General principles for design 

 

序文 

この規格は,2015年に第3版として発行されたISO 13849-1を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。 

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。 

この規格が属する機械類の安全性規格群は,JIS B 9700に示すとおり次の規格体系で構成されている。 

タイプA 規格(基本安全規格)−全ての機械類に適用できる基本概念,設計原則及び一般的側面を規定

する規格 

タイプB 規格(グループ安全規格)−広範な機械類に適用できる安全面又は安全防護物を規定する規格 

タイプB1 規格−特定の安全面(例えば,安全距離,表面温度,騒音)に関する規格 

タイプB2 規格−安全防護物(例えば,両手操作制御装置,インターロック装置,圧力検知装置,ガー

ド)に関する規格 

タイプC 規格(個別機械安全規格)−個々の機械又は機械群の詳細な安全要求事項を規定する規格 

この規格は,JIS B 9700に示すタイプB1 規格である。 

この規格は,機械類の安全性に関わる市場を代表する次のステークホルダーに,特に関係する。 

− 機械製造業者(小企業,中企業及び大企業) 

− 健康及び安全に関わる機関(法規制当局,災害防止機関,市場調査など) 

次の者は,上記のステークホルダーが提供する文書手段で達成される機械安全レベルによって影響を受

ける可能性がある。 

− 機械使用者[雇用者(小企業,中企業及び大企業)] 

− 機械使用者[従業員(例えば,労働組合,特別のニーズをもつ人のための組織)] 

− サービス提供業者,例えば,保全(小企業,中企業及び大企業) 

− 消費者(消費者による使用が意図される機械の場合) 

上記のステークホルダーは,この文書の作成に参加することが可能である。 

さらに,この規格は,タイプC規格を作成する標準化団体も対象としている。この規格の要求事項は,

タイプC規格によって補足又は変更される可能性がある。 

タイプC 規格の規定がタイプA 規格又はタイプB 規格から逸脱する場合,タイプC 規格の規定に従

って設計及び製作された機械に対しては,タイプC 規格の規定がタイプA 規格又はタイプB 規格に優先

する。 

この規格は,制御システムの設計及び査定に関係する人,及びタイプB2 規格又はタイプC規格を開発


B 9705-1:2019 (ISO 13849-1:2015) 

 

する人に対する指針を与えることを意図している。 

機械における全般的リスク低減戦略の一部として,設計者は,一つ以上の安全機能をもつ安全防護物の

使用によるリスク低減のための方策を選択して達成することになる。 

安全機能を提供するために割り当てられる機械の制御システムの部分は,制御システムの安全関連部

(SRP/CS)と呼ばれ,ハードウェア及びソフトウェアで構成することができ,かつ,これらは機械の制御

システムから分離又はその統合部分とすることができる。SRP/CSは,安全機能を提供することに追加し

て,更に運転機能を提供する場合もある(例えば,プロセス始動の手段としての両手操作制御器)。 

予見可能な条件下での制御システムの安全機能の遂行能力は,5通りのレベルのうちの一つに振り分け

られて,それはパフォーマンスレベルPLと呼ばれる。このパフォーマンスレベルは,単位時間当たりの

危険側故障発生確率の用語で定義される(表2参照)。 

安全機能の危険側故障発生確率は,ハードウェア並びにソフトウェアの構造,障害検出機構の程度[診

断範囲(DC)],コンポーネントの信頼性[平均危険側故障時間(MTTFD),共通原因故障(CCF)],設計

プロセス,運転ストレス,環境条件及び運転手順を含む幾つかの要因による。 

設計者を支援し,かつ,達成したPLの査定を容易にするために,この規格では,指定の設計基準及び

障害条件下での指定の挙動に従った構造分類に基づく方法論を採用する。この分類は,5通りのレベルの

うちの一つに振り分けられ,それはカテゴリB,1,2,3,4と呼ばれる。 

パフォーマンスレベル及びカテゴリは,次のような制御システムの安全関連部に適用することができる。 

− 保護装置(例えば,両手操作制御装置,インターロック装置),電気的検知保護装置(例えば,光電カ

ーテン),圧力検知装置 

− 制御ユニット(例えば,制御機能の論理ユニット,データ処理,監視など) 

− 動力制御要素(例えば,リレー,バルブなど) 

また,あらゆる種類の機械類−単純な据付装置(例えば,小さな調理用機械,又は自動ドア及びゲート)

から製造用の据付装置(例えば,包装機械,印刷機械,プレス機械)まで−における安全機能実行の制御

システムに適用することができる。 

この規格は,SRP/CS(及び機械)の用途に関する設計及び性能を,例えば,第三者機関によって,自社

によって,又は独立の試験先によって査定できる明確な基礎を提供することを意図している。 

この規格及びJIS B 9961は,機械類の安全関連制御システムの設計及び実装のための要求事項を規定し

ている。これらの規格は,その適用範囲に従っていずれを使用しても関連の必須安全要求事項を満たすと

いうことが想定される。 

ISO/TR 23849は,機械の安全関連制御システムの設計においてこの規格及びJIS B 9961を適用するため

の指針を示す。 

ISO/TR 22100-2はこの規格とJIS B 9700との関係を理解する重要性があるためISO/TR 23849とともに,

引用規格に追加された。 

 

適用範囲 

この規格は,ソフトウェアの設計を含み,制御システムの安全関連部(SRP/CS)の設計及び統合のため

の原則に関する安全要求事項及び指針について規定する。 

SRP/CSに対して,この規格は,安全機能を実行するために要求されるパフォーマンスレベルを含む特

性について規定する。この規格は,全ての機械類に対して,用いられるテクノロジー(技術方式)及びエ

ネルギーの形式(電気,液圧,空圧,機械など)にかかわらず,高頻度作動要求又は連続モードSRP/CS


B 9705-1:2019 (ISO 13849-1:2015) 

 

に適用する。 

個々のケースにおいて,いずれの安全機能及びパフォーマンスレベルを用いるかは規定しない。 

この規格は,プログラマブル電子システムを使用するSRP/CSのための特定の要求事項についても規定

する。 

この規格はSRP/CSの一部である製品の設計に対する特別な要求事項を規定しない。ただし,カテゴリ

又はPLのような原則は使用することができる。 

注記1 SRP/CSの一部である製品の例は,リレー,ソレノイドバルブ,位置スイッチ,PLC(プログ

ラマブルロジックコントローラ),モータコントロールユニット,両手操作制御装置,圧力検

知装置である。これらの製品の設計に対しては,特別に適用可能な規格,例えば,JIS B 9712,

JIS B 9717-1及びISO 13856-2を参照することが重要である。 

注記2 要求PLの定義は,3.1.24参照。 

注記3 プログラマブル電子システムに対するこの規格の要求事項は,JIS B 9961で規定される機械

の安全関連電気・電子・プログラマブル電子制御システムの設計及び開発の方法論と両立す

る。 

注記4 PLr(要求パフォーマンスレベル)=e のコンポーネントの安全関連組込みソフトウェアに対

しては,JIS C 0508-3の箇条7(ソフトウェア安全ライフサイクル要求事項)参照。 

注記5 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO 13849-1:2015,Safety of machinery−Safety-related parts of control systems−Part 1: General 

principles for design(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”

ことを示す。 

 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)

は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。 

JIS B 9700 機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減 

注記 対応国際規格:ISO 12100,Safety of machinery−General principles for design−Risk assessment 

and risk reduction(IDT) 

JIS B 9705-2 機械類の安全性−制御システムの安全関連部−第2部:妥当性確認 

注記 対応国際規格:ISO 13849-2,Safety of machinery−Safety-related parts of control systems−Part 2: 

Validation(IDT) 

JIS B 9961 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能安全 

注記 対応国際規格:IEC 62061,Safety of machinery−Functional safety of safety-related electrical, 

electronic and programmable electronic control systems(IDT) 

JIS C 0508-3 電気・電子・プログラマブル電子安全関連系の機能安全−第3部:ソフトウェア要求事

項 

注記 対応国際規格:IEC 61508-3,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 3: Software requirements(IDT) 

JIS C 0508-4 電気・電子・プログラマブル電子安全関連系の機能安全−第4部:用語の定義及び略語 


B 9705-1:2019 (ISO 13849-1:2015) 

 

注記 対応国際規格:IEC 61508-4,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 4: Definitions and abbreviations 

IEC 60050-191,International electrotechnical vocabulary−Chapter 191: Dependability and quality of service. 

Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999 

ISO/TR 22100-2:2013,Safety of machinery−Relationship with ISO 12100−Part 2: How ISO 12100 relates to 

ISO 13849-1 

ISO/TR 23849,Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related 

control systems for machinery 

 

用語,定義,記号及び略号 

3.1 

用語及び定義 

この規格で用いる主な用語及び定義は,JIS B 9700によるほか,次による。 

3.1.1 

制御システムの安全関連部,SRP/CS(safety-related parts of a control system) 

安全関連入力信号に応答し,安全関連出力信号を生成する制御システムの部分。 

注記1 制御システムに組み合わされた安全関連部は,安全関連入力信号の発生するところ(例えば,

位置スイッチの作用カム及びローラを含む。)で始まって,動力制御要素(例えば,接触器の

主接点を含む。)の出力で終わる。 

注記2 監視システムが診断に使用される場合,これはSRP/CSとみなされる。 

3.1.2 

カテゴリ(category) 

障害に対する抵抗性(フォールト・レジスタンス),及び障害条件下におけるその後の挙動に対する制御

システムの安全関連部の特性に関する分類であって,当該部の構造的配置,障害検出及び/又はこれらの

信頼性によって達成される。 

3.1.3 

障害(fault) 

予防保全又はその他の計画的行動若しくは外部資源の不足によって機能を実行できない状態を除き,要

求される機能を実行できないアイテムの状態。 

注記1 障害は,しばしばアイテム自体の故障の結果であるが,事前の故障がなくても存在すること

がある。 

注記2 この規格では,障害はランダム障害を意味する。 

注記3 障害(fault)は,JIS B 9700では“不具合(障害)”としているが,この規格で定義する障害

と同じ意味である。“不具合”は主に機械に対して用いる。 

(出典:IEC 60050-191の05-01) 

3.1.4 

故障(failure) 

要求される機能を遂行する能力がアイテムになくなること。 

注記1 故障後に,そのアイテムは障害をもつ。 

注記2 “故障”は事象であって,状態を示す“障害”とは異なる。 

注記3 ここに定義する概念は,ソフトウェアだけで構成されるアイテムには適用しない。 


B 9705-1:2019 (ISO 13849-1:2015) 

 

注記4 制御下のプロセスのアベイラビリティにだけ影響する故障に関しては,この規格の適用範囲

外である。 

(出典:IEC 60050-191の04-01) 

3.1.5 

危険側故障(dangerous failure) 

SRP/CSを危険状態又は機能不能状態に導く潜在性をもつ故障。 

注記 故障が現実に危険側故障を導くかどうかは,システムのチャネルアーキテクチャに依存するこ

とがある。冗長システムにおいては,危険側ハードウェア故障がSRP/CS全体を危険状態又は

機能不能状態に導く可能性は少ない。 

(出典:JIS C 0508-4の3.6.7の定義を修正) 

3.1.6 

共通原因故障[common cause failure (CCF)] 

単一の事象から生じる異なったアイテムの故障であって,これらの故障が互いの結果ではないもの。 

注記 共通原因故障は,共通モード故障(JIS B 9700の3.36参照)と混同してはならない。 

(出典:JIS B 9700の3.36) 

3.1.7 

システマティック故障(systematic failure) 

何らかの原因に確定的に関係する故障であって,設計,製造プロセス,運転手順,文書又は他の関連要

因を変更しなければ除去できない故障。 

注記1 変更を伴わない修理では,通常,システマティック故障の原因を除去できない。 

注記2 故障原因をシミュレートすることによって,システマティック故障を再現することができる。 

注記3 システマティック故障の原因の事例には,次の段階で起こす人間の過誤を含む。 

− 安全要求仕様 

− ハードウェアの設計,製造,据付及び運転 

− ソフトウェアの設計,実装など 

(出典:IEC 60050-191の04-19) 

3.1.8 

ミューティング(muting) 

SRP/CSによる安全機能の一時的自動中断。 

3.1.9 

手動リセット(manual reset) 

機械の再起動に先立って,一つ以上の安全機能を手動で回復させるために用いられるSRP/CS内の機能。 

3.1.10 

危害(harm) 

身体的傷害又は健康障害。 

(出典:JIS B 9700の3.5) 

3.1.11 

危険源(hazard) 

危害を引き起こす潜在的根源。 

注記1 用語“危険源”は,その発生源(例えば,機械的危険源,電気的危険源)を明確にし,又は


B 9705-1:2019 (ISO 13849-1:2015) 

 

潜在的な危害(例えば,感電の危険源,切断の危険源,毒性による危険源,火災による危険

源)の性質を明確にするために修飾されることがある。 

注記2 この定義において,危険源は,次を想定している。 

− 機械の“意図する使用”の期間中,恒久的に存在するもの(例えば,危険な動きをする要

素の運動,溶接工程中の電弧,不健康な姿勢,騒音放射,高温),又は 

− 予期せずに現れ得るもの(例えば,爆発,意図しない起動,予期しない起動の結果として

の押しつぶしの危険源,破損の結果としての放出,加速度又は減速度の結果としての落下) 

(出典:JIS B 9700の3.6修正) 

3.1.12 

危険状態(hazardous situation) 

人が少なくとも一つの危険源に暴露される状況。 

注記 暴露されることが,直ちに又は長期間にわたり危害を引き起こす可能性がある。 

(出典:JIS B 9700の3.10) 

3.1.13 

リスク(risk) 

危害の発生確率と危害のひどさとの組合せ。 

(出典:JIS B 9700の3.12) 

3.1.14 

残留リスク(residual risk) 

保護方策を講じた後に残るリスク。 

注記 図2参照。 

(出典:JIS B 9700の3.13修正) 

3.1.15 

リスクアセスメント(risk assessment) 

リスク分析及びリスクの評価を含む全てのプロセス。 

(出典:JIS B 9700の3.17) 

3.1.16 

リスク分析(risk analysis) 

機械の制限に関する仕様,危険源の同定及びリスク見積りの組合せ。 

(出典:JIS B 9700の3.15) 

3.1.17 

リスクの評価(risk evaluation) 

リスク分析に基づき,リスク低減目標を達成したかどうかを判断すること。 

(出典:JIS B 9700の3.16) 

3.1.18 

機械の“意図する使用”(intended use of a machine) 

使用上の指示事項の中に提供された情報に基づく機械の使用。 

(出典:JIS B 9700の3.23) 


B 9705-1:2019 (ISO 13849-1:2015) 

 

3.1.19 

合理的に予見可能な誤使用(reasonably foreseeable misuse) 

設計者が意図していない使用法で,容易に予測できる人間の挙動から生じる機械の使用。 

(出典:JIS B 9700の3.24参照) 

3.1.20 

安全機能(safety function) 

故障がリスクの増加に直ちにつながるような機械の機能。 

(出典:JIS B 9700の3.30) 

3.1.21 

監視(monitoring) 

コンポーネント又は要素の機能を実行する能力が低下する場合,又はリスク低減機能の低下を招くよう

な方向でプロセス条件が変化する場合,保護方策の始動を確実にする安全機能。 

3.1.22 

プログラマブル電子システム,PES(programmable electronic system) 

制御,保護又は監視のために,その動作が一つ以上のプログラマブル電子装置に依存するシステムであ

って,動力源,センサ及び他の入力装置,接触器及び他の出力装置のようなシステムの全ての要素を含む。 

(出典:JIS C 0508-4の3.3.2を修正) 

3.1.23 

パフォーマンスレベル,PL(performance level) 

予見可能な条件下で,安全機能を実行するための制御システムの安全関連部の能力を規定するために用

いられる区分レベル。 

注記 4.5.1参照。 

3.1.24 

要求パフォーマンスレベル,PLr(required performance level) 

安全機能の各々に対し,要求されるリスク低減を達成するために適用されるパフォーマンスレベル。 

注記 A.1参照。 

3.1.25 

平均危険側故障時間,MTTFD(mean time to dangerous failure) 

危険側故障を生じるまでの平均時間の期待値。 

(出典:JIS B 9961の3.2.34修正) 

3.1.26 

診断範囲,DC(diagnostic coverage) 

診断効果の尺度であり,検出される危険側故障率(分子)と全危険側故障率(分母)との比として決定

することができる。 

注記 診断範囲は,安全関連システムの全体又は一部に対してあり得る。例えば,診断範囲は,セン

サ及び/又は論理システム及び/又は最終要素の組合せとして存在することがあり得る。 

(出典:JIS C 0508-4の3.8.6用語を修正) 

3.1.27 

保護方策(protective measure) 

リスク低減を達成することを意図した方策。 


B 9705-1:2019 (ISO 13849-1:2015) 

 

− 例1 設計者による方策(本質的安全設計方策,安全防護及び付加保護方策,使用上の情報)及び 

− 例2 使用者による方策[組織(安全作業手順,監督,作業許可システム),追加安全防護物の準備及

び使用,保護具の使用,訓練] 

(出典:JIS B 9700の3.19修正) 

3.1.28 

使命時間,TM(mission time) 

SRP/CSの意図する使用を網羅する期間。 

3.1.29 

診断試験率,rt(test rate) 

SRP/CSにおいて,障害を検出するための自動試験頻度であって,診断試験間隔の逆数値。 

3.1.30 

動作要求率,rD(demand rate) 

SRP/CSの安全に関連する動作の要求頻度。 

3.1.31 

修復率,rr(repair rate) 

オンライン試験又はシステムの明らかな機能不良のいずれかによる危険側故障の検出から,修復又はシ

ステム・コンポーネント交換後の運転再開までに要する時間の逆数値。 

注記 修復時間は,故障検出に必要な時間幅を含まない。 

3.1.32 

機械制御システム(machine control system) 

機械要素の部分,オペレータ,外部制御装置又はこれらの組合せからの入力信号に応答し,かつ,機械

が意図するように挙動するための出力信号を生成するシステム。 

注記 機械制御システムは,全ての技術方式又は異なる技術方式の組合せ(例えば,電気・電子式,

液圧式,空圧式,機械式)で使用することができる。 

3.1.33 

安全インテグリティレベル,SIL(safety integrity level) 

電気・電子・プログラマブル電子(E/E/PE)安全関連システムに割り当てる安全機能の安全インテグリ

ティ要求事項を指定するための区分レベル(1〜4)。安全インテグリティレベル4(SIL 4)が最も高い安全

インテグリティに対応し,安全インテグリティレベル1(SIL 1)が最も低い安全インテグリティに対応す

る。 

(出典:JIS C 0508-4の3.5.8) 

3.1.34 

制約可変言語,LVL(limited variability language) 

安全要求仕様を実行するための,定義済みの,アプリケーション固有の,ライブラリ機能を結合する能

力をもつ言語の形式。 

注記1 LVLの代表的な例は,JIS B 3503で示されている。LVLには,ラダー論理,ファンクション

ブロック図などがある。 

注記2 LVLを用いるシステムの代表的例には,PLCがある。 

(出典:IEC 61511-1の3.2.81.1.2修正) 


B 9705-1:2019 (ISO 13849-1:2015) 

 

3.1.35 

無制約可変言語,FVL(full variability language) 

多様な機能及びアプリケーションを実行する能力をもつ言語の形式。 

例 C,C++,アッセンブラ 

注記1 FVLを用いるシステムの代表的な例は,組込みシステムである。 

注記2 機械類の分野では,FVLは,通常,組込みソフトウェアで使われ,アプリケーションソフト

ウェアに使われることはまれである。 

(出典:IEC 61511-1の3.2.81.1.3修正) 

3.1.36 

アプリケーションソフトウェア(application software) 

機械製造業者が作成する,固有の用途に用いるソフトウェアであって,一般にSRP/CS要求事項を満た

すために必要な,適切な入力・出力・計算・決定論理を制御する論理シーケンス,限界値及び命令を含む。 

3.1.37 

組込みソフトウェア,ファームウェア,システムソフトウェア(embedded software, firmware, system software) 

制御装置製造業者がシステムに組み込むソフトウェアであって,システムの一部であり,機械類の使用

者による変更のためにアクセスできないソフトウェア。 

注記 組込みソフトウェアは,通常FVLで記述される。 

3.1.38 

高頻度作動要求又は連続モード(high demand or continuous mode) 

SRP/CSへの作動要求頻度が,1年に1回を超える,又は安全関連制御機能が,通常運転の一部として機

械を安全状態に維持する運転モード。 

(出典:JIS B 9961の3.2.27修正) 

3.1.39 

使用実績(proven in use) 

危険側システマティック故障の可能性が十分に低いため,要素を使用する全ての安全機能がその要求パ

フォーマンスレベル(PLr)を達成できることを,要素の特定構成の運用実績に基づいて実証すること。 

(出典:JIS C 0508-4の3.8.18修正) 

3.2 

記号及び略号 

記号及び略号は,表1のとおり。 

 

表1−記号及び略号 

記号及び略号 

説明 

定義又は記載箇所 

a,b,c,d,e 

パフォーマンスレベルの記号 

表3 

AOPD 

能動的光電保護装置(例えば,ライトカーテン) 

附属書H 

B,1,2,3,4 

カテゴリの記号 

表7 

B10D 

コンポーネントの10 %が危険側に故障する(空圧式及び電気
機械式コンポーネント)までのサイクル数 

附属書C 

Cat. 

カテゴリ 

3.1.2 

CC 

電流変換器 

附属書 I 

CCF 

共通原因故障 

3.1.6 

DC 

診断範囲 

3.1.26 


10 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表1−記号及び略号(続き) 

記号及び略号 

説明 

定義又は記載箇所 

DCavg 

平均診断範囲 

E.2 

F,F1,F2 

危険源に暴露される頻度及び/又は時間 

A.2.2 

FB 

ファンクションブロック 

4.6.3 

FVL 

無制約可変言語 

3.1.35 

FMEA 

故障モード及び影響分析 

7.2 

I,I1,I2 

入力装置,例えば,センサ 

6.2 

i,j 

カウント用の添字 

附属書 D 

I/O 

入力/出力 

表 E.1 

iab,ibc 

相互接続手段 

図4 

K1A,K1B 

接触器 

附属書 I 

L,L1,L2 

論理 

6.2 

LVL 

制約可変言語 

3.1.34 

モータ 

附属書 I 

MTTF 

平均故障時間 

附属書 C 

MTTFD 

平均危険側故障時間 

3.1.25 

n,N,N~ 

アイテムの数 

6.3,D.1 

Nlow 

SRP/CSの組合せにおけるPL lowでのSRP/CSの数 

6.3 

nop 

年間の平均運転回数 

附属書 C 

O,O1,O2,OTE 

出力装置,例えば,アクチュエータ 

6.2 

P,P1,P2 

危険源回避の可能性 

A.2.3 

PES 

プログラマブル電子システム 

3.1.22 

PFHD 

単位時間当たりの危険側故障発生確率 

表2及び 表 K.1 

PL 

パフォーマンスレベル 

3.1.23 

PLC 

プログラマブルロジックコントローラ 

附属書 I 

PLlow 

SRP/CSの組合せにおける最低のパフォーマンスレベル 

6.3 

PLr 

要求パフォーマンスレベル 

3.1.24 

rD 

動作要求率 

3.1.30 

rt 

診断試験率 

3.1.29 

RS 

回転センサ 

附属書 I 

S,S1,S2 

傷害のひどさ 

A.2.1 

SW1A,SW1B,SW2 

位置スイッチ 

附属書 I 

SIL 

安全インテグリティレベル 

表3 

SRASW 

安全関連アプリケーションソフトウェア 

4.6.3 

SRESW 

安全関連組込みソフトウェア 

4.6.2 

SRP 

安全関連部 

全般 

SRP/CS 

制御システムの安全関連部 

3.1.1 

TE 

試験装置 

6.2 

TM 

使命時間 

3.1.28 

T10D 

コンポーネントの10 %が危険側に故障するまでの平均時間 

附属書 C 

 

設計上での考慮事項 

4.1 

設計における安全性の目標 

SRP/CSは,JIS B 9700の原則を十分に考慮し(図1及び図3参照),設計及び製作しなければならない。

全ての意図する使用及び合理的に予見可能な誤使用を考慮しなければならない。 

 


11 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

注a) この規格を参照 

図1−リスクアセスメント及びリスク低減の概要 

 

4.2 

リスク低減のための方法論 

4.2.1 

一般 

機械におけるリスク低減の方法論は,JIS B 9700の6.1(リスク低減−一般)で規定されており,更に指

針が,JIS B 9700の6.2(本質的安全設計方策)及びJIS B 9700の6.3(安全防護及び付加保護方策)で規

定されている。この方法論は機械のライフサイクル全体を網羅している。 

この反復的リスク低減プロセ
スは,各使用条件(タスク)
下で危険源の各々について,
個別に実施しなければならな
い。 

いいえ 

終了 

開始 

JIS B 9700に従って実施した 
リスクアセスメント 

機械類の制限の決定 

(JIS B 9700の5.3参照) 

危険源の同定 

(箇条4及びJIS B 9700の5.4参照) 

リスクの見積り 

(JIS B 9700の5.5参照) 

リスクの評価 

(JIS B 9700の5.6参照) 

リスクは適切に低
減されたか? 

危険源に対するリスク低減プロセス 
1 本質的安全設計方策による 
2 安全防護物による 
3 使用上の情報による 

(JIS B 9700の図1参照) 

選択した保護方策
は制御システムに
よるか? 

他の危険源は生
じるか? 

はい 

いいえ 

はい 

いいえ 

はい 

 
制御システムの安全関連部(SRP/CS)
の反復的プロセス 

[図3 a) 参照] 

注記 この点線内の詳細を,図3に示

す。 


12 

B 9705-1:2019 (ISO 13849-1:2015) 

 

機械の危険源分析及びリスク低減プロセスは,次の階層的方策によって危険源を除去又は低減すること

を要求している。 

− 設計による危険源除去又はリスク低減(JIS B 9700の6.2参照) 

− 安全防護及び付加保護方策によるリスク低減(JIS B 9700の6.3参照) 

− 残留リスクに関する使用上の情報の準備によるリスク低減[JIS B 9700の6.4(使用上の情報)参照] 

4.2.2 

リスク低減に対する制御システムの寄与 

機械の全般的設計手順に従うことの目的は,安全性の目標(4.1参照)を達成することである。要求のリ

スク低減を提供するSRP/CSの設計は,機械の全般的設計手順に組み込まれた一部である。SRP/CSは,要

求のリスク低減を達成する安全機能をPLとして提供する。設計の本質的な安全部分として,又はインタ

ーロックガード若しくは保護装置の制御部分として安全機能を提供する場合,SRP/CSの設計はリスク低

減の方法論の一部である。これは,反復的プロセスであり,図1及び図3に示す。 

注記 制御システムの非安全関連部,又は機械の機能要素であることが明白な部分に対しては,この

リスク低減の方法論を適用する必要はない(ISO/TR 22100-2の箇条3参照)。 

個々の安全機能に対して,その特性(箇条5参照)及び要求パフォーマンスレベルは,安全要求仕様に

おいて指定し,かつ,文書化しなければならない。 

この規格では,PLを単位時間当たりの危険側故障発生確率(Probability of a Dangerous Failure,PFHD)

で規定する。最も低いPLaから最も高いPLeまで,5通りのPLを,単位時間当たりの危険側故障発生確

率の指定範囲(表2参照)で規定する。 

PLを達成するために,定量的側面に加えて,PLの定性的側面に関連する要求事項を満足する必要もあ

る(4.5参照)。 

 

表2−パフォーマンスレベル(PL) 

PL 

単位時間当たりの危険側故障発生の平均確率(PFHD) 

1/h 

10−5≦PFHD<10−4 

3×10−6≦PFHD<10−5 

10−6≦PFHD<3×10−6 

10−7≦PFHD<10−6 

10−8≦PFHD<10−7 

 

機械におけるリスクアセスメント(JIS B 9700参照)から,設計者は,SRP/CSによって実行される,関

連のあるそれぞれの安全機能によるリスク低減への寄与度を決定しなければならない。この寄与度は,制

御下の機械類の全体にわたるリスクを網羅してはいない。例えば,機械プレス又は洗濯機の全体にわたる

リスクを網羅してはいないと考えられる。しかし,特別な安全機能の適用によって部分的リスクは低減さ

れる。そのような機能の例は,プレスの電気的検知保護装置の使用によって開始される停止機能,又は洗

濯機のドアロック機能である。 

リスク低減は,種々の保護方策(SRP/CS及び非SRP/CS共に)を適用することによって,安全条件達成

の最終結果として実現できる(図2参照)。 

 

 

 


13 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

Rh ある特定の危険状態に対する,保護方策が講じられる前のリスク 
Rr 

保護方策によって要求されるリスク低減量 

Ra  保護方策で達成される実際のリスク低減量 

解決策1−SRP/CS以外の保護方策(例えば,機械的方策)によるリスク低減が主で,SRP/CSによるリスク
低減量が低い。 

解決策2−SRP/CSによるリスク低減(例えば,ライトカーテン)が主で,SRP/CS以外の保護方策によるリ
スク低減量が低い。 

適切に低減されたリスク 

不適切に低減されたリスク 

リスク 

解決策1及び解決策2によっても残る残留リスク 

適切に低減されたリスク 

R1SRP/CS,R2SRP/CS    SRP/CS によって実行される安全機能による低減リスク 
R1M,R2M 

SRP/CS 以外の保護方策(例えば,機械的方策)による低減リスク 

注記 リスク低減に関する更なる情報は,JIS B 9700参照。 

 

図2−個々の危険状態に対するリスク低減プロセスの概要 

 

 


14 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

図3−制御システムの安全関連部(SRP/CS)の設計のための反復的プロセス 

 

いいえ 

いいえ 

はい 

はい 

要求PLrを決定する。 

(4.3及び附属書A参照) 

選択した安全
機能のそれぞ
れに対して実
施する 

はい 

SRP/CSsによって実行される安全機能 

を同定する。 

各安全機能に対して,要求特性を指定する。 

(箇条5参照) 

安全機能の設計及び技術的実現性 

安全機能を実行する安全関連部を特定する。 

(4.4参照) 

次を考慮し,PL(4.5参照)を見積もる。 
−カテゴリ(箇条6参照) 
−MTTFD(附属書C及び附属書D参照) 
−DC(附属書E参照) 
−CCF(附属書F参照) 
−システマティック故障(附属書G参照) 
−もしあれば,上の安全関連部のソフトウェア 
  (4.6及び附属書J参照) 

安全機能に対するPLの

検証 

PL≧PLr(4.7参照) 

妥当性確認 

[箇条8 a) 参照] 

全ての要求事項に適合

するか? 

全ての安全機能を

分析したか? 

図1から。 

選択した保護方
策は制御システ
ムによるか? 

図1へ。 

他の危険源は生
じるか? 

はい 

注a) JIS B 9705-2で,妥当性確認のため

の追加の支援策が示されている。 


15 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4.3 

要求パフォーマンスレベルPLrの決定 

SRP/CSによって実行される選択したそれぞれの安全機能に対して,要求パフォーマンスレベルPLrを決

定し,かつ,文書化しなければならない(PLr決定に関する指針は,附属書A参照)。要求パフォーマンス

レベルの決定は,リスクアセスメントの結果に従い,また,制御システムの安全関連部によって実行され

るリスク低減量に関わる(図2参照)。 

PLrが高くなるほど,SRP/CSによって提供されるリスク低減量は大きくなければならない。 

4.4 

SRP/CSの設計 

リスク低減プロセスの一部は,機械の安全機能を決定する。これは制御システムの安全機能,例えば,

予期しない起動の防止を含む。 

一つの安全機能は,一つ以上のSRP/CSによって実行される場合があり,かつ,複数の幾つかの安全機

能は一つ以上のSRP/CS(例えば,論理ユニット,動力制御要素)に分割される場合がある。一つのSRP/CS

が安全機能及び通常の制御機能を実行することが可能である。設計者は,有効な技術方式のいずれかを単

独又は組み合わせて用いることが望ましい。また,SRP/CSは操作機能(例えば,サイクル開始の手段と

してのAOPD)を提供する場合もある。 

代表的な安全機能は,図4のダイアグラムで表現され,制御システムの安全関連部(SRP/CS)は次の組

合せによる。 

− 入力(SRP/CSa) 

− 論理/処理(SRP/CSb) 

− 出力/動力制御要素(SRP/CSc) 

− 相互接続手段(iab,ibc)(例えば,電気的,光学的) 

注記1 同一の機械類内で,種々の安全機能とそれらに関連するSRP/CSが実行する特定の安全機能

とを区別することは重要である。 

制御システムの安全機能を同定する場合,設計者はSRP/CS(図1及び図3参照)を特定しなければな

らない。また,必要な場合,入力,論理及び出力にSRP/CSを割り当て,また,冗長系の場合には,個々

のチャネルに対してSRP/CSを割り当て,その後,パフォーマンスレベルPLを評価しなければならない。 

注記2 指定のアーキテクチャは,箇条6で示す。 

注記3 全ての相互接続手段は,安全関連部に含まれる。 

 

 

 

記号の説明 

入力(例えば,リミットスイッチ,センサ,AOPD) 

論理処理 

O 出力(例えば,バルブ,接触器,電流変換器) 

開始事象[例えば,押しボタンの手動操作,ガードの開,能動的光電保護装置(AOPD)のビーム遮断] 

機械アクチュエータ(例えば,モータ,シリンダ) 

 

図4−代表的な安全機能を処理するための制御システムの安全関連部の組合せに関するダイアグラム 

 

 

 

 

iab 

 

ibc 

SRP/CSc 

SRP/CSb 

SRP/CSa 


16 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4.5 

達成されるパフォーマンスレベルPLの評価とSILとの関係 

4.5.1 

パフォーマンスレベルPL 

この規格においては,安全関連部が安全機能を遂行する能力は,パフォーマンスレベルの決定によって

表される。 

安全機能を遂行するために選択したSRP/CSの各々及び/又はSRP/CSの組合せに対して,PLの見積り

を実施しなければならない。 

SRP/CSのPLは,次のパラメータを見積もることによって決定しなければならない。 

− 単一チャネルのMTTFDの値(附属書C及び附属書D参照) 

− DC(診断範囲)(附属書E参照) 

− CCF(共通原因故障)(附属書F参照) 

− 構造(箇条6参照) 

− 障害条件下の安全機能の挙動(箇条6参照) 

− 安全関連ソフトウェア(4.6及び附属書J参照) 

− システマティック故障(附属書G参照) 

− 予期される環境条件下での安全機能遂行能力 

注記1 他のパラメータ,例えば,運転局面,動作要求率,診断試験率も影響する可能性がある。 

これらのパラメータは,評価プロセスに関連して二つのアプローチによってグループ化できる。 

a) 定量化の側面(単一コンポーネントのMTTFD値,DC,CCF,構造) 

b) SRP/CSの挙動に影響を与える非定量,定性的側面(障害条件下での安全機能の挙動,安全関連ソフ

トウェア,システマティック故障及び環境条件) 

定量化可能な側面のうち,信頼性(例えば,MTTFD,構造)の寄与度は使用される技術によって変化し

得る。例えば,一つの技術方式で信頼性の高い安全関連部の単一チャネルは,他の技術方式による低い信

頼性のフォールトトレラント構造で同程度又はそれ以上のPLを提供することは(ある制限内で)可能で

ある。 

システムのタイプによって(例えば,複雑構造),PLの定量可能な側面を見積もるための方法は,例え

ば,マルコフモデル,一般化確率ペトリネット(GSPN),信頼性ブロックダイアグラムのように複数存在

する(例えば,JIS C 0508規格群参照)。 

PLの定量化の側面の査定をより容易にするために,この規格は,特定の設計基準及び障害条件下での挙

動を満たす5通りの指定アーキテクチャを定めることによって,単純化した方法を示す(4.5.4参照)。 

箇条6の要求事項に従って設計された単一SRP/CS又はSRP/CSの組合せに対して,危険側故障発生の

平均確率は,図5の手段によって,附属書A〜附属書H,附属書J及び附属書Kの手順によって見積もる

ことができる。 

指定アーキテクチャから逸脱するSRP/CSに対しては,要求パフォーマンスレベルPLrの達成を証明す

るための詳細な計算を示さなければならない。 

SRP/CSが単純であり,要求パフォーマンスレベルがa〜cの用途に対しては,PLの定性的見積りは,設

計の論理的根拠を示すことで正当化できる場合がある(4.5.5参照)。 

注記2 安全機能をPES(プログラマブル電子システム)のような複雑な制御システムで遂行する場

合,その設計に対しては,他の関連規格の適用が適切である(例えば,JIS C 0508規格群,

又はJIS B 9704規格群)。 

PLの定性的側面の達成は,4.6及び附属書Gに示す推奨方策を適用することによって証明することがで


17 

B 9705-1:2019 (ISO 13849-1:2015) 

 

きる。 

JIS C 0508規格群に従う規格では,安全関連制御システムが安全機能を遂行する能力は,SILとして示

される。表3は,PL及びSILに関して両概念の関係を示している。 

PLaはSILのスケールとは合わず,主に軽微なリスク,通常は回復可能な傷害を低減するために使用さ

れる。SIL 4は,プロセス産業における悲劇的な事象に対して割り当てられ,この範囲は機械のリスクには

関係がない。SIL 3に対応するPLeは最も高いレベルとして定義される。 

 

表3−パフォーマンスレベル(PL)と安全インテグリティレベル(SIL)との関係 

PL 

SIL(情報JIS C 0508-1) 

高/継続運転モード 

− 

 

安全関連制御機能が一つ以上のSRP/CSを使用して設計されている場合,各SRP/CSはこの規格,又は

JIS B 9961若しくはJIS C 0508規格群のいずれかに従い設計しなければならない(ISO/TR 23849参照)。 

なお,この規格のPLは,JIS C 0508規格群又はJIS B 9961のSILと対応している。SRP/CSは6.3に従

い組み合わせる。 

したがって,リスクを低減するための保護方策は,主として,次によらなければならない。 

− コンポーネントレベルでの障害発生確率の低減。この目的は,安全機能に影響を与える障害発生確率

又は故障の発生確率を低減することである。これは,コンポーネントの信頼性を向上させること,例

えば,重要な障害又は故障を,低減又は除去するために,“十分吟味されたコンポーネント”の選択に

よって及び/又は“十分吟味された安全原則”を適用することによって達成可能となる(JIS B 9705-2

参照)。 

− SRP/CSの構造を改良する。この目的は,障害の危険な影響を回避することである。幾つかの障害は

検知される場合があり,かつ,冗長及び/又は監視構造が必要となる。 

両方策は,個別に又は組み合わせて使用することができる。技術方式によって,リスク低減は信頼性の

あるコンポーネントの選択によって,及び障害の除外によって達成することができる。しかし,他の技術

方式では,リスク低減は,冗長及び/又は監視システムを必要とする場合がある。さらに,共通原因故障

(CCF)を考慮しなければならない(図3参照)。 

アーキテクチャの制約に対しては,箇条6参照。 

4.5.2 

各チャネルの平均危険側故障時間(MTTFD) 

各チャネルのMTTFD値は,3通りのレベルで示される(表4参照)。また,各チャネル(例えば,単一

チャネル,冗長システムの各チャネル)を個別に考慮しなければならない。 

表4に従い,各SRP/CS(サブシステム)に対しては,各チャネルの最大MTTFDは100年となる。 

カテゴリ4のSRP/CS(サブシステム)に対しては,各チャネルの最大MTTFDは2 500年まで増加する。 

注記 より高いこの値は,カテゴリ4においては他の定量的側面(構造及びDC)が,最大になるた

め,正当化される。また,これは,6.3に従いPLeを達成するためにカテゴリ4のサブシステ

ムを四つ以上直列に組み合わせてもよい。 


18 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表4−各チャネルの平均危険側故障時間 

MTTFD 

各チャネルの指定表示 

各チャネルの範囲 

“低” 

3年≦MTTFD<10年 

“中” 

10年≦MTTFD<30年 

“高” 

30年≦MTTFD<100年 

注記1 各チャネルのMTTFDの範囲選択は,現在の技術水準としてその分野で見られる故障率に基づいており,PL

のログスケールに対応して類似のログスケールを形成する。3年未満の各チャネルのMTTFD値は,現実の
SRP/CSで起こり得るということは予想していない。市場の全てのシステムのうち,およそ30 %が,1年後
に故障し,かつ,取り替えることになるということを意味するからである。100年を超える各チャネルの
MTTFD値は,受入れ不可能である。理由は,高リスク対応のSRP/CSは,コンポーネントの信頼性だけに
依存しないほうがよいからである。システマティック故障及びランダム故障に対してSRP/CSを強化するた
めには,冗長系かつ試験付きのような追加手段を必要とすることが望ましい。実用的には,MTTFDの範囲
は,3通りに制限される。各チャネルにおけるMTTFD値を最大100年に制限することは,安全機能を実行
する当該SRP/CSの単一チャネルに対して適用される。より高いMTTFD値は,単一コンポーネントで使用
することができる(表D.1参照)。 

注記2 この表の各チャネル間のしきい値は,5 %の誤差範囲内を想定している。 

 

コンポーネントのMTTFDの見積りに対して,データを探す場合は,a)による。ただし,これによれない

場合は,b)によってもよい。さらにb)によれない場合は,c)によってもよい。 

a) 製造業者のデータを使用 

b) 附属書C及び附属書Dに記載する方法の使用 

c) MTTFD値として10年を選択 

4.5.3 

診断範囲 

DC値は,表5に規定する4通りのレベルによる。 

DCの見積りに対しては,大抵の場合,FMEA(JIS C 5750-4-3参照)又は類似の方法を使用することが

できる。この場合,全ての関連障害及び/又は故障モードを考慮するのがよい。 

DCを見積もるための単純化したアプローチは,附属書E参照。 

注記 診断範囲(DC)の見積り例を附属書Eに記載する。 

 

表5−診断範囲 

DC 

DCの指定表示 

DCの範囲 

なし 

 

DC<60 % 

“低” 

60 %≦DC<90 % 

“中” 

90 %≦DC<99 % 

“高” 

 

99 %≦DC 

注記1 複数の部分で構成するSRP/CSでは,DCに対して平均のDC(DCavg)を図5,箇条6及びE.2に示すよう

に使用する。 

注記2 DCの範囲の選択は,60 %,90 %及び99 %のキー値に基づく。これは試験の診断範囲を扱う他の規格(例

えば,JIS C 0508規格群)でも設定される。特徴として,DC自体ではなく(100−DC)%の計測の方が試
験の効果に対して有効であるということが,調査によって示される。キー値の60 %,90 %及び99 %に対す
る(100−DC)%は,PLのログスケール対応の類似のログスケールを形成する。60 %未満のDC値は,試
験のシステムの信頼性に関して僅かな効果しかもたない。したがって,“なし”とする。複雑なシステムに
対する99 %以上のDC値は,達成することが困難である。実用的には,範囲数は,4通りに制限される。
この表の各DCのしきい値は,5 %の誤差内を想定する。 


19 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4.5.4 

PLの定量的側面の見積り手順の単純化 

PLは,全ての関連パラメータ及び適切な計算方法を考慮し,見積もることができる(4.5.1参照)。 

この箇条は,指定アーキテクチャに基づくSRP/CSのPLの定量的側面を見積もるための単純化した手順

を示す。類似の構造をもつ他の幾つかのアーキテクチャは,PLの見積りを行うために,指定アーキテクチ

ャに変形する必要が生じる場合がある。 

指定アーキテクチャは,ブロックダイアグラムとして表し,かつ,6.2において各カテゴリの中で示す。

ブロックメソッド及び安全関連ブロックダイアグラムに関する情報は,6.2及び附属書Bで示される。 

指定アーキテクチャは,各カテゴリに対してシステム構造の論理的表現を示す。技術的な実現,又は,

例えば,機能的回路図は,見た目には完全に異なって見える場合がある。 

組合せのSRP/CSについて,安全関連信号の開始点で起動して,動力制御要素[JIS B 9700の附属書A

(機械の構成図)参照]の出力で終了するように,指定アーキテクチャは描いている。指定アーキテクチ

ャは,また,入力信号に応答して,かつ,安全関連出力信号を生成する制御システムの一部又はサブシス

テムを記述するためにも使用できる。このように,入力要素(センサ)は,例えば,制御論理要素の入力

回路又は入力スイッチと同様にライトカーテン(AOPD)とすることができる。さらに,出力要素は,例

えば,出力信号開閉装置(OSSD)又はレーザスキャナの出力部とすることができる。 

指定アーキテクチャに対しては,次の代表的な仮定がなされる。 

− 使命時間,20年(箇条10参照) 

− 使命時間内での定故障率 

− カテゴリ2,動作要求率≦1/100の診断試験率(附属書Kの注記参照),又は安全機能の要求に基づき,

試験が直ちに実施され,かつ,障害を検出し機械を非危険な状態に導く全時間が危険源に到達する時

間より短い(JIS B 9715参照)。 

− カテゴリ2,試験チャネルのMTTFDは,機能チャネルのMTTFDの1/2より大きい 

この方法論では,カテゴリは規定の平均診断範囲DCavgをもつアーキテクチャとして考慮している。各

SRP/CSのPLは,アーキテクチャ,各チャネルの平均危険側故障時間(MTTFD)及び平均診断範囲DCavg

に依存する。 

共通原因故障(CCF)も考慮することが望ましい(指針については,附属書F参照)。 

ソフトウェアを含むSRP/CSに対しては,4.6の要求事項を適用しなければならない。 

定量的データを利用できない又は使用しない場合(例えば,低複雑システム),関連する全てのパラメー

タは最悪ケースを選択することが望ましい。 

SRP/CSの組合せ又は単一のSRP/CSは,一つのPLをもつ場合がある。異なるPLをもつ複数のPLの組

合せは,6.3において考慮する。 

PLr=a〜PLr=cの用途の場合,障害を回避する方策は十分であり,より高いリスクのPLr=d〜PLr=eの

用途に対するSRP/CSの構造には,障害の回避,検出又は耐性のための方策を提供することができる。実

用的な方策は,冗長,多様性(ダイバーシティ),監視を含む(JIS B 9700の箇条3及びJIS B 9960-1参照)。 

図5は,安全機能の要求PLrを達成するために,各チャネルのMTTFD及び平均診断範囲DCavgと組み合

わせたカテゴリ選択の手順を示す。PLの見積りに対して,図5 は平均診断範囲DCavgをもつカテゴリ(水

平軸)と,各チャネルのMTTFD(バー)との可能な組合せを示す。 

ダイアグラムのバーの部分は,要求PLrを達成するために選択可能な各チャネルの3通りのMTTFDの範

囲(“低”,“中”,“高”)を表す。 

図5(箇条6の指定アーキテクチャに基づく異なるマルコフモデルの結果を表す。)の単純化したアプロ


20 

B 9705-1:2019 (ISO 13849-1:2015) 

 

ーチを使用する前に,DCavg,及び各チャネルのMTTFDだけでなく,SRP/CSのカテゴリも決定しなければ

ならない(箇条6及び附属書C〜附属書E参照)。 

カテゴリ2,3及び4に対しては,共通原因故障(CCF)に対する十分な方策を実施しなければならない

(指針については,附属書F参照)。これらのパラメータを考慮して,SRP/CSによって達成されるPLを

決定するための図法を,図5は示している。カテゴリ(共通原因故障を含む。)と平均診断範囲DCavgとの

組合せによって,図5でいずれのコラムを選択するかが決定される。各チャネルのMTTFDによって,関

連するコラムのうちの三つの色付き部分の一つを選択しなければならない。 

達成されるPLは,この部分の垂直方向の位置によって,垂直軸で読み取ることができる。2又は3通り

のPLが選択可能な場合に達成し得るPLを表6に示す。各チャネルのMTTFDの正確な値によるPLのよ

り正確な数値的選択については,附属書K参照。 

 

 

 

記号の説明 

PL パフォーマンスレベル 

各チャネルのMTTFD=“低” 

各チャネルのMTTFD=“中” 

各チャネルのMTTFD=“高” 

 

図5−カテゴリ,DCavg,各チャネルのMTTFDとPLとの関係 

 

表6−SRP/CSによって達成されるPL を評価するための単純化手順 

カテゴリ 

DCavg 

“なし” 

“なし” 

“低” 

“中” 

“低” 

“中” 

“高” 

各チャネルのMTTFD 

 

“低” 

該当なし 

該当なし 

“中” 

該当なし 

該当なし 

“高” 

該当なし 

カテゴリ3 

DCavg低 

カテゴリB 

DCavgなし 

カテゴリ1 

DCavgなし 

カテゴリ2 

DCavg低 

カテゴリ2 

DCavg中 

カテゴリ3 

DCavg中 

カテゴリ4 

DCavg高 


21 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4.5.5 

カテゴリによるSRP/CS出力部の記述 

機械式,油圧式又は空圧式コンポーネント(又は幾つかの技術で構成されるコンポーネント)に対して,

利用可能な信頼性データがない場合,機械製造業者はMTTFDの計算なしで定量的な側面を評価してもよ

い。 

このような場合,安全関連パフォーマンスレベル(PL)は,アーキテクチャ,診断及びCCFに対する

方策によって実現される。 

表7は,(図5に従った)達成可能なPLとカテゴリ間との関係を示す。PLa及びPLbはカテゴリBで達

成可能である。PLcは,十分吟味されたコンポーネント及び十分吟味された安全原則が使用されている場

合,カテゴリ1又はカテゴリ2で達成可能である。 

カテゴリ1でPLcの安全機能を達成する場合,プロセスにおいて監視されない安全関連コンポーネント

のT10Dの値を決定する。このT10D値は,機械製造業者の使用実績(3.1.39参照)データに基づいて決定す

ることができる。 

カテゴリ2の試験チャネルのMTTFDは,少なくとも10年でなければならない。 

PLdは,十分吟味されたコンポーネント及び十分吟味された安全原則が使用されている場合,カテゴリ

3で達成可能である。 

PLeは,十分吟味されたコンポーネント及び十分吟味された安全原則が使用されている場合,カテゴリ

4で達成可能である。 

基本的に,カテゴリ2,3又は4で安全機能を実行する場合には,共通原因故障(CCF)及び十分な診断

範囲(DC)を考慮しなければならない(カテゴリ2及び3に対しては“低”又は“中”,カテゴリ4に対

しては“高”)。 

この場合,DCavgの計算は機能チャネルにおける全てのコンポーネント個々のDCの算術平均値に低減さ

れる。 

 

表7−カテゴリ,DCavg,及び十分吟味されたコンポーネントに基づく最悪ケースの場合のPL及びPFHD 

 

PFHD(1/h) 

Cat.B 

Cat.1 

Cat.2 

Cat.3 

Cat.4 

PLa 

2×10−5 

● 

○ 

○ 

○ 

○ 

PLb 

5×10−6 

● 

○ 

○ 

○ 

○ 

PLc 

1.7×10−6 

●2* 

●1* 

○ 

○ 

PLd 

2.9×10−7 

●1* 

○ 

PLe 

4.7×10−8 

●1* 

記号の説明 
● 

推奨されるカテゴリ 

○ 

オプション 

カテゴリは許容されない。 

1* “使用実績(3.1.39)”又は十分吟味された(コンポーネントの製造業者によって適切な適

用として確認された)コンポーネント,及び“十分吟味された安全原則”を使用しなけれ
ばならない。 

2* 十分吟味されたコンポーネント及び十分吟味された安全原則を使用しなければならない。 
 
プロセスにおいて監視されない安全関連コンポーネントに対しては,機械の製造業者による
使用実績(3.1.39)データに基づいてT10D値を決定することができる。 

 


22 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4.6 

ソフトウェア安全要求事項 

4.6.1 

一般 

安全関連の組込みソフトウェア又はアプリケーションソフトウェアの全ライフサイクル活動は,最初に

ソフトウェアライフサイクルの間に生じる障害の回避を考慮しなければならない(図6参照)。次の要求

事項の主目的は,読取可能,理解可能,試験可能及び保守可能なソフトウェアとすることである。 

 

 

注記 附属書Jに,ライフサイクル活動に対して,より詳細な推奨事項を示す。 

図6−ソフトウェア安全ライフサイクルの単純化V モデル 

 

4.6.2 

安全関連組込みソフトウェア(SRESW) 

要求パフォーマンスレベルPLr=aからPLr=dまでのコンポーネントのSRESWに対して,次の基本方

策を適用しなければならない。 

− 検証及び妥当性確認活動を伴うソフトウェア安全ライフサイクル(図6参照)。 

− 仕様及び設計の文書化 

− モジュール化,構造化設計及びコーディング 

− システマティック故障の抑制(G.2参照) 

− ランダムハードウェア故障の抑制のためにソフトウェアによる方策を使用する場合,正確な実装の検

証 

− 機能試験。例えば,ブラックボックス試験 

− 変更後の適切なソフトウェア安全ライフサイクル活動 

要求パフォーマンスレベルPLr=c又はPLr=dのコンポーネントのSRESWに対して,次の追加方策を

適用しなければならない。 

− 例えば,JIS C 0508規格群又はJIS Q 9001と同等のプロジェクト管理及び品質管理システム 

 

妥当性確認 

安全関連 

ソフトウェア 

仕様 

 妥当性確認 

システム 

設計 

統合 

試験 

モジュール 

設計 

モジュール 

試験 

 

コーディング 

妥当性確認後の

ソフトウェア 

安全機能 

仕様 

      結果 

      検証 


23 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− ソフトウェア安全ライフサイクルの間の全ての関連活動の文書化 

− 全ての構成品目を特定する構成管理及びSRESWの引渡しに関連した文書 

− 安全要求事項で構造化された仕様及び設計 

− 適切なプログラム言語の使用,及び使用実績のあるコンピュータベースのツール 

− モジュール化及び構造化プログラミング,安全関連ではないソフトウェアとの分離,完全に定義され

たインタフェースによって限定されたモジュールへの分割,設計標準及び標準コーディングの使用 

− 制御フロー解析におけるウォークスルー/レビューによるコーディングの検証 

− 拡張機能試験。例えば,グレイボックス試験,性能試験又はシミュレーション 

− 影響分析及び変更後の適切なソフトウェア安全ライフサイクル活動 

要求パフォーマンスレベルPLr=eのコンポーネントのSRESWは,JIS C 0508-3の箇条7に適合し,SIL 

3に適切に従う。カテゴリ3又は4のSRP/CSで使用される2チャネルシステムでの仕様,設計,及びコ

ーディングに多様性(ダイバーシティ)を使用するとき,要求パフォーマンスレベルPLr=eは,上述の要

求パフォーマンスレベルPLr=c又はPLr=dに対する方策を用いて達成することができる。 

注記1 これらの方策の詳細な記述については,例えば,JIS C 0508-7を参照。 

注記2 カテゴリ3又は4のSRP/CSで用いられるコンポーネントの設計及びコーディングにおいて

多様性(ダイバーシティ)付きSRESWでは,システマティック故障を避ける方策を施す上

での努力は,例えば,コードの各行をチェックする代わりに,構造面を考慮するだけによっ

て,ソフトウェアの部分を再検討することで低減できる。 

SRESWの要求事項を満たさないコンポーネント,例えば,製造業者による安全評価のないPLCに対し

ては,次の代替条件下で使用してもよい。 

− SRP/CSはPLa又はPLbに制限され,かつ,カテゴリB,カテゴリ2又はカテゴリ3を使用する。 

− SRP/CSはPLc又はPLdに制限され,かつ,カテゴリ2又はカテゴリ3の二つのチャネルには多重コ

ンポーネントを使用してもよい。これらの二つのチャネルのコンポーネントは多様化技術を使用する。 

4.6.3 

安全関連アプリケーションソフトウェア(SRASW) 

ソフトウェア安全ライフサイクル(図6参照)は,SRASWにも適用する(附属書J参照)。 

制約可変言語(LVL)で記述され,次の要求事項に従うSRASWは,PL=a〜PL=eを達成することがで

きる。SRASWが無制約可変言語(FVL)で記述されている場合,SRESWに対する要求事項を適用しなけ

ればならず,それによってパフォーマンスレベルPL=aからPL=eまでが達成可能となる。一つのコンポ

ーネント内のSRASWの一部が,異なるパフォーマンスレベルPLをもつ複数の安全機能に影響力(例え

ば,変更のため)をもつ場合,最も高いパフォーマンスレベルPLに関連する要求事項を適用しなければ

ならない。要求パフォーマンスレベルPLr=aからPLr=eまでのコンポーネントのSRASWは,次の基本

方策を適用しなければならない。 

− 検証及び妥当性確認での活動による安全ライフサイクルの開発(図6参照)。 

− 仕様及び設計の文書化 

− モジュール化及び構造化プログラミング 

− 機能試験 

− 変更後の適切な開発活動 

要求パフォーマンスレベルPLr=cからPLr=eまでのコンポーネントのSRASWに対して,効果向上(要

求パフォーマンスレベルPLr=cの低効果,要求パフォーマンスレベルPLr=dの中効果,要求パフォーマ

ンスレベルPLr=eの高効果)のために次の追加方策を必要とする,又は推奨する。 


24 

B 9705-1:2019 (ISO 13849-1:2015) 

 

a) 安全関連のソフトウェア仕様は,再検討されなければならず(附属書J参照),ライフサイクルに関わ

る全ての人が利用できるように作成され,次の記述を含まなければならない。 

1) 要求PLでの安全機能及び関連する運転モード 

2) 性能基準。例えば,反応時間 

3) 外部信号インタフェースをもつハードウェアアーキテクチャ 

4) 外部故障の検出及び抑制 

b) ツール,ライブラリ及び言語の選択 

1) 使用上で信用を得た適切なツール:一つのコンポーネント及びそのツールで達成されたパフォーマ

ンスレベルPL=eに対して,ツールは適切な安全規格に適合しなければならない。多様なツールを

用いて二つの多様なコンポーネントを使用する場合,使用上からの信用を十分とする必要がある。

システマティックエラー(データ形不一致,曖昧なダイナミックメモリアロケーション,インタフ

ェースの不完全な呼出し,再帰,ポインタ演算など)を引き起こす原因となり得る状態を検出する

技術的特徴が使用されなければならない。チェックは,実行中だけでなくコンパイル時にも実行さ

れることが望ましい。ツールは,言語サブセット及びコーディングガイドライン,すなわち,少な

くともスーパバイザ,又はそれらを使用する開発者のガイドで実施することが望ましい。 

2) 妥当であって,かつ,実用的であるとき,妥当性が確認されたファンクションブロック(FB)ライ

ブラリを使用することが望ましい。これには,ツールメーカによって提供される安全関連のFBラ

イブラリ(パフォーマンスレベルPL=eのために特に推奨される。),又は妥当性が確認されたアプ

リケーション特定のFBライブラリで,かつ,この規格に適合するものが該当する。 

3) モジュール化アプローチの正当なLVLサブセットを使用することが望ましい。例えば,許容された

JIS B 3503言語のサブセット。図式言語(例えば,ファンクションブロックダイアグラム,ラダー

図)は,特に強く推奨される。 

c) ソフトウェア設計は,次の特徴を備えなければならない。 

1) データ及び制御フローを記述する半形式的な方法。例えば,状態図又はプログラムフローチャート 

2) 妥当性確認された安全関連のファンクションブロックライブラリに由来するファンクションブロッ

クによって主に実現されるモジュール化及び構造化プログラミング 

3) コーディングが限定されたサイズのファンクションブロック 

4) ファンクションブロックの中でのコードの実行は,一つの入力点及び一つの出力点をもつことが望

ましい。 

5) 入力⇒処理⇒出力における3ステージのアーキテクチャモデル(図7及び附属書J参照) 

6) 安全出力の割付けはプログラム内の1か所だけとする。 

7) 外部故障の検出技術,及び入力,処理,並びに安全状態につながる出力ブロックにおける防衛的な

プログラミング技術の使用 

 

 

 


25 

B 9705-1:2019 (ISO 13849-1:2015) 

 

図7−ソフトウェアの一般的なアーキテクチャモデル 

 

d) 一つのコンポーネントでのSRASW及び非SRASWの結合 

1) SRASW及び非SRASWは,明確に定義されたデータリンクにおいて異なるファンクションブロッ

クでコード化されなければならない。 

2) 安全関連の信号のインテグリティ(健全性)の低下に通じるような,安全関連及び非安全関連のデ

ータの論理的結合があってはならない。このような結合の例には,安全関連及び非安全関連信号に

よる論理的な“OR”による結合の結果が,安全関連信号を制御する場合などである。 

e) ソフトウェアの実装/コーディング 

1) コードは,読取可能,理解可能及び試験可能でなければならない。また,これらのために,明白な

ハードウェアアドレスに代わって,記号変数を使用することが望ましい。 

2) 正当であるか,又は許容されたコーディングガイドラインを使用しなければならない。附属書J参

照。 

3) アプリケーション層(防衛的なプログラミング)で利用可能なデータのインテグリティ(健全性)

及びプロウザビリティ(確かさ)のチェック(例えば,範囲チェック)を使用することが望ましい。 

4) コードは,シミュレーションによって試験することが望ましい。 

5) PL=d又はPL=eの検証は,管理及びデータフロー分析によってなされることが望ましい。 

f) 

試験 

1) 適切な妥当性確認の方法は,機能的な挙動及び性能基準(例えば,タイミング性能)に関するブラ

ックボックス試験である。 

2) PL=d又はPL=eに対して,境界値解析によるテストケースの実行を推奨する。 

3) 試験計画書の作成を推奨する。試験計画書には完成基準及び必要なツールを伴うテストケースを含

めることが望ましい。 

4) 入出力試験は,安全関連の信号がSRASWの中で正しく使用されることを保証しなければならない。 

g) 文書化 

1) 全てのライフサイクル及び変更活動は,文書化しなければならない。 

2) 文書は,完全で,利用可能で,読込可能で,理解可能でなければならない。 

3) ソーステキストの中のコード文書には,法人名,機能及び入出力の記述,バージョン及び使用され

ているファンクションブロックライブラリのバージョン,ネットワーク/命令文の十分なコメント,

宣言文の行を記述したモジュールヘッダを含まなければならない。 

h) 検証1) 

 

入力 

 

 

処理 

 

 

出力 

 

入力ブロック 

処理ブロック 

出力ブロック 

安全入力による 

種々の安全センサからの

情報取得 

安全状態導出のための 

安全機能の実現に求められる 

処理 

安全出力による 

アクチュエータの制御 


26 

B 9705-1:2019 (ISO 13849-1:2015) 

 

例 レビュー,検査,ウォークスルー,その他の適切な活動など。 

i) 

構成管理 

特定のSRASWバージョンに関連する文書,ソフトウェアモジュール,検証・妥当性確認の結果及び特

ツール構成を特定し,かつ,記録するために,その手順及びデータのバックアップをすることが望ましい。 

j) 

変更 

SRASWの変更後に,仕様を保証するために影響分析を実施しなければならない。変更後に,適切なラ

イフサイクル活動を実施しなければならない。変更のアクセス権を管理し,変更履歴を文書化しなければ

ならない。 

注記 変更は,既に使用中のシステムには影響を与えない。 

注1) 検証はアプリケーション特有のコードにだけ必要で,妥当性が確認されたライブラリ機能には

必要ない。 

4.6.4 

ソフトウェアベースのパラメータ化 

安全関連パラメータのソフトウェアベースのパラメータ化は,ソフトウェア安全要求仕様で記述されて

いるSRP/CS設計の安全関連の側面を考慮しなければならない。 

パラメータ化は,SRP/CSの供給者によって提供される専用ソフトウェアツールを用いて遂行しなけれ

ばならない。このツールは,それ自身の識別(名前,バージョンなど)をもち,かつ,例えば,パスワー

ドの使用で権限のない変更を防止しなければならない。パラメータ化に使用される全てのデータのインテ

グリティ(健全性)を維持しなければならない。 

これは,次の方策を適用することによって達成しなければならない。 

− 有効な入力範囲の抑制 

− 伝送前のデータ破壊の抑制 

− パラメータ伝送プロセスでのエラーによる影響の抑制 

− 不完全なパラメータの伝送による影響の抑制 

− パラメータ化に使用するツールのハードウェア/ソフトウェアの障害及び故障による影響の抑制 

パラメータ化のツールは,この規格に従ってSRP/CSのための全ての要求事項を満たさなければならな

い。又は安全関連のパラメータを設定するために特別な手順を用いなければならない。この手順は,次の

いずれかによってSRP/CSへの入力パラメータの確認を含めなければならない。 

− パラメータ化ツールへ変更されたパラメータの再伝送,又は 

− パラメータのインテグリティ(健全性)を確認するための他の適切な手段 

同様に,例えば,熟練した適切な人材による及びパラメータ化ツールでの自動的チェックの手段による

ようなその後の確認も含めなければならない。 

注記1 パラメータ化がこの目的のために明確に意図されない装置(例えば,パーソナルコンピュー

タ又は同等物)を用いて実行される場合,これは特に重要である。 

伝送/再伝送プロセスでの符号化/復号化のために用いられるソフトウェアモジュール,及びユーザへ

の安全関連のパラメータの可視化のために用いられるソフトウェアモジュールは,最小限,システマティ

ック故障を回避する機能(群)において多様性(ダイバーシティ)を用いなければならない。 

ソフトウェアベースのパラメータ化の文書は,使用されるデータ(例えば,パラメータセットの事前定

義),及びSRP/CSに関連するパラメータ,パラメータ化を実施する人,パラメータ化の日付のような他の

関連する情報とともに示さなければならない。 

次の検証活動を,ソフトウェアベースのパラメータ化に対して適用しなければならない。 


27 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− それぞれの安全関連のパラメータ(最小,最大,及び代表値)に対する正しい設定の検証 

− 安全関連のパラメータがプロウザビリティ(確かさ)についてチェックされることの検証。例えば,

無効な値の使用など 

− 安全関連パラメータの権限なしの変更防止の検証 

− 障害が安全機能の喪失につながることが不可能な方法によるパラメータ化でのデータ/信号の生成及

び処理の検証 

注記2 パラメータ化がこの目的に対して明確に意図されない装置(例えば,パーソナルコンピュー

タ又は同等物)を用いて実行される場合,これは特に重要である。 

4.7 

達成したPLと要求PLrとの適合検証 

個々の安全機能に対して,安全関連SRP/CSのPLは,4.3に従って決定される要求パフォーマンスレベ

ルPLrに適合しなければならない(図3参照)。これが満たされない場合,図3に示されるプロセスを反復

することが必要である。 

安全機能の一部となる異なるSRP/CSのPLは,その安全機能の要求パフォーマンスレベルPLrと同等以

上でなければならない。 

4.8 

人間工学的側面での設計 

オペレータとSRP/CSとの間のインタフェースは,合理的に予見可能な機械の誤使用を含めて,全ての

意図する使用の間,人が危険にさらされないように設計し,実現しなければならない(JIS B 9700,EN 614-1,

ISO 9355-1,ISO 9355-2,ISO 9355-3,EN 1005-3,JIS B 9960-1の箇条10(オペレータインタフェース及

び機械に取り付けた制御機器),IEC 60447及びJIS B 9706規格群参照)。 

人間工学原則は,安全関連部を含めて機械及び制御システムを容易に使用し,かつ,オペレータが危険

な方法で試行しないように利用しなければならない。 

JIS B 9700の6.2.8(人間工学原則の遵守)に規定されている人間工学原則の安全要求事項を適用する。 

 

安全機能 

5.1 

安全機能仕様 

この箇条は,SRP/CSによって提供できる安全機能のリスト及び詳細について規定する。設計者(又は

タイプC規格作成者)は,特定の用途の制御システムで要請される安全方策を達成するために必要な安全

機能を組み込まなければならない。 

例 安全関連停止機能,予期しない起動の防止,手動リセット機能,ミューティング機能,ホールド・

ツゥ・ラン機能など。 

注記1 機械の制御システムは,運転及び/又は安全の機能を提供する。運転機能(例えば,起動,

通常停止)は,安全機能となり得るが,機械に関する十分なリスクアセスメントが実施され

た後だけ,これを確定させることができる。 

表8及び表9は,代表的な安全機能であり,その各々の特性及び安全関連パラメータをリスト化してあ

り,さらに他のJIS及び国際規格での安全機能に関する要求事項を参照している。設計者(又はタイプC 規

格作成者)は,表8及び表9に掲げてある関連する安全機能に対して,全ての適用可能な要求事項を確実

に満たさなければならない。 

この箇条では,安全機能の特性の一部について追加要求事項を規定している。 

必要な場合,特性及び安全機能の要求事項は,異なるエネルギー源での使用に適用しなければならない。 

表8及び表9で参照している規格のほとんどは,電気関連規格であるが,適用可能な要求事項について


28 

B 9705-1:2019 (ISO 13849-1:2015) 

 

は,他の技術方式(例えば,液圧式又は液圧式)の場合においても適用する必要がある。 

 

表8−典型的な機械の安全機能及びその特性に適用可能な国際規格又はJIS 

安全機能,特性 

要求事項 

追加情報 

この規格 

JIS B 9700 

安全防護物によって始動する安全
関連停止機能a) 

5.2.1 

3.28.8,6.2.11.3 

JIS B 9960-1の9.2.2,9.2.3.3,
9.2.3.6 
JIS B 9710 
JIS B 9715 

手動リセット機能 

5.2.2 

− 

JIS B 9960-1の9.2.3.3,9.2.3.4.3 

起動及び再起動機能 

5.2.3 

6.2.11.3,6.2.11.4 

JIS B 9960-1の9.2.3.2,9.2.3.1,
9.2.3.2,9.2.3.7,9.2.3.8,9.2.3.9,
9.2.3.10 

ローカル(局所)制御機能 

5.2.4 

6.2.11.8,6.2.11.10 JIS B 9960-1の10.1.5 

ミューティング機能 

5.2.5 

− 

IEC 62046の5.7 

ホールド・ツゥ・ラン機能 

 

6.2.11.8 b) 

JIS B 9960-1の9.2.3.7 

イネーブル装置機能 

 

− 

JIS B 9960-1の9.2.3.9,10.9 

予期しない起動の防止 

− 

6.2.11.4 

JIS B 9714,JIS B 9960-1の5.4 

捕捉された人の脱出及び救助 

− 

6.3.5.3 

 

遮断及びエネルギーの消散 

− 

6.3.5.4 

JIS B 9714,JIS B 9960-1の5.3,
6.3.1 

制御モード及びモード選択 

− 

6.2.11.8,6.2.11.10 JIS B 9960-1の9.2.3.5,9.3.6 

異なる制御システムの安全関連部
間の相互作用 

− 

6.2.11.1の最終文 

JIS B 9960-1の9.3.4 

安全関連入力値のパラメータ化の
監視 

4.6.4 

− 

− 

非常停止機能b) 

− 

6.3.5.2 

JIS B 9703,JIS B 9960-1の
9.2.3.4.3 

注a) インターロック付きガード及び制限装置(例えば,過速度,超過温度,超過圧力)を含む。 

b) 付加保護方策については,JIS B 9700参照。 

 

表9−安全機能及び安全関連パラメータの要求事項を示す国際規格又はJIS 

安全機能,特性 

要求事項 

追加情報 

この規格 

JIS B 9700 

応答時間 

5.2.6 

− 

JIS B 9715の3.2,A.3,A.4 

速度,温度又は圧力のような安全
関連パラメータ 

5.2.7 

6.2.11.8 e) 

JIS B 9960-1の7.1,9.3.2,9.3.4 

電源の変動,喪失及び復旧 

5.2.8 

6.2.11.8 e) 

JIS B 9960-1の4.3,7.1,7.5 

指示及び警告 

− 

6.2.6 

ISO 7731 
ISO 11428 
ISO 11429 
JIS B 9706-1 
JIS B 9960-1の10.3,10.4 
IEC 61131規格群 
JIS B 9961 

 

安全機能を同定し,かつ,指定する場合,少なくとも次を考慮しなければならない。 


29 

B 9705-1:2019 (ISO 13849-1:2015) 

 

a) 個々の危険源又は危険状態に対するリスクアセスメントの結果 

b) 次を含む,機械の運転特性 

− 機械の意図する使用(合理的に予見可能な誤使用を含む。) 

− 運転モード[例えば,ローカル(局所)モード,自動モード,機械の一区域又は一部分に関連する

モード] 

− サイクルタイム 

− 応答時間 

c) 非常操作 

d) 異なる作業プロセス及び手動作業(修理,調整,清掃,トラブルシューティングなど)での相互作用

に関する記述 

e) 安全機能で達成する又は回避する機械の挙動 

f) 

動力喪失時の機械の挙動(5.2.8参照) 

注記2 幾つかの場合,動力喪失時の機械の挙動,例えば,重力による落下を回避するために垂直軸

を保持することが必要な場合などを考慮する必要がある。これには,動力が供給されている

場合と供給されていない場合とで二つの異なる安全機能が要求されることがある。 

g) 機械が作動可能又は不可能となる条件(運転モードなど) 

h) 運転頻度 

i) 

ある機能が同時に作動した場合の優先順位 

5.2 

安全機能の詳細 

5.2.1 

安全関連停止機能 

表8の要求事項に加えて,次を適用する。 

安全関連停止機能(例えば,安全防護物によって始動する)は,作動後必要に応じて速やかに機械を安

全状態に移行しなければならない。このような停止は,通常運転の停止に対し,優先的でなければならな

い。 

一連の機械がある統制下で共に動作する場合,上述の停止条件にあることを管理制御に対して,及び/

又は他の機械に対して信号で伝えるための処置を講じなければならない。 

注記 安全関連停止機能は,運転上で問題を生じる場合があり,また,例えば,アーク溶接作業では

再起動が困難になる場合が起こる。安全関連停止機能の無効化の試みを低減するために,実際

の運転を完了させるための中止操作を先行させ,また,停止位置から容易で,かつ,迅速な再

起動手段を準備することがある(例えば,生産に対する損害を与えることなく)。この一つの解

決法は,サイクルが容易な再起動を可能にする規定の位置に到達した場合,ガード施錠が開放

されるような施錠式インターロック装置の使用である。 

5.2.2 

手動リセット機能 

表8の要求事項に加えて,次を適用する。 

停止命令が安全防護物によって始動した後,再起動のための安全条件が存在するまで,その停止条件を

維持しなければならない。 

安全防護物をリセットすることによって安全機能を再設定することは,停止命令を消去することである。

リスクアセスメントによって示される場合,この停止命令の消去は,手動で,独立して,かつ,故意の動

作(手動リセット)で確認されなければならない。 

手動リセットの機能は,次でなければならない。 


30 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− SRP/CS内で個別に,かつ,手動で操作される装置を介して提供される。 

− 全ての安全機能及び安全防護物が動作可能であるときだけ実行される。 

− リセット自体で機械の始動又は危険状態の始まりを生じない。 

− 故意の動作による。 

− 個別の起動命令を受け入れるための制御システムを備える。 

− アクチュエータの励起(オン)位置からの開放動作だけを受け入れる。 

手動リセット機能を備えるSRP/CSのパフォーマンスレベルは,手動リセット機能を備えることによっ

て関連の安全機能で要求される安全性を低下させないように選択しなければならない。 

リセットアクチュエータは,危険区域の外で,危険区域内の人の不在を目視によってチェックしやすい

ような安全な位置に配置しなければならない。 

危険区域の視認性が完全でない場合,特別のリセット手順が要求される。 

注記 一つの解決策は,第2のリセットアクチュエータの使用である。リセット機能は,危険区域の

外側(安全防護物の近くで)に配置した第2のリセットアクチュエータと組み合わせて,第1

のアクチュエータによって危険区域内で始動する。このリセットの手順は,制御システムが別

の起動命令を受け取る前の制限時間内で実現することが必要である。 

5.2.3 

起動及び再起動機能 

表8の要求事項に加えて,次を適用する。 

再起動は危険状態が存在しない場合にだけ自動的に行われなければならない。特に起動機能インターロ

ック付きガードに関しては,JIS B 9700の6.3.3.2.5[起動機能インターロック付きガード(制御式ガード)

に関する要求事項]を適用する。 

起動及び再起動に対するこれらの要求事項は,遠隔制御が可能な機械にも適用しなければならない。 

注記 制御システムへのセンサからのフィードバック信号は,自動的な再起動を始動することができ

る。 

例 機械の自動運転では,制御システムへのセンサのフィードバック信号は,プロセスフローを制御

するために使用されることが多い。加工物が加工位置からずれた場合,プロセスフローは停止す

る。インターロック付きの安全防護物の監視が自動的プロセス制御に優先しない場合,オペレー

タが加工物を再調整する間,機械を再起動する危険が生じる可能性がある。したがって,遠隔制

御による再起動は,安全防護物が再び閉じて,保全員が危険区域を離れるまで,許可されてはな

らない。制御システムによる予期しない起動の防止への寄与度は,リスクアセスメントの結果に

依存する。 

5.2.4 

ローカル(局所)制御機能 

表8の要求事項に加えて,次を適用する。 

機械が,例えば,携行式制御装置又はペンダントによってローカルに(局所で)制御される場合,次を

適用しなければならない。 

− ローカル制御を選択するための手段は,危険区域外に配置しなければならない。 

− リスクアセスメントで定めた区域におけるローカル制御器によってだけ,危険条件を始動可能としな

ければならない。 

− ローカル(局所)制御と主制御間との切替えで,危険状態を生じてはならない。 

5.2.5 

ミューティング機能 

表8の要求事項に加えて,次を適用する。 


31 

B 9705-1:2019 (ISO 13849-1:2015) 

 

ミューティングによっていかなる人も危険状態に暴露されることがあってはならない。ミューティング

中は,他の手段によって安全条件が提供されなければならない。 

ミューティングの終了ではSRP/CSの全ての安全機能が復旧しなければならない。 

ミューティング機能を備える安全関連部のパフォーマンスレベルは,ミューティング機能を含むことに

よって,関連する安全機能で要求される安全性を損なうことがないように選択しなければならない。 

注記 用途によっては,ミューティングの表示信号を必要とする。 

5.2.6 

応答時間 

表9の要求事項に加えて,次を適用する。 

リスクアセスメントで要請される場合,SRP/CSの応答時間を決定しなければならない(箇条11参照)。 

注記 制御システムの応答時間は,その機械全体の応答時間の一部である。その機械で必要な全体の

応答時間は,安全関連部の設計,例えば,ブレーキシステムを備えることの必要性に影響する

ことになる。 

5.2.7 

安全関連パラメータ 

表9の要求事項に加えて,次を適用する。 

安全関連パラメータ,例えば,位置,速度,温度又は圧力が現在の制限から逸脱する場合,制御システ

ムは適切な方策,例えば,停止動作,警告信号,アラームを始動させなければならない。 

プログラマブル電子システムの安全関連データに関する手動入力エラーによって危険状態を生じるおそ

れがある場合,安全関連制御システム内に,例えば,限界,フォーマット及び/又は論理的入力値のチェ

ックを行うようなデータチェックシステムを備えなければならない。 

5.2.8 

動力源の変動,喪失及び復旧 

表9の要求事項に加えて,次を適用する。 

エネルギー供給の喪失を含めて,設計上の動作範囲外のエネルギーレベルの変動が生じた場合,SRP/CS

は,機械システムの他の部分において安全状態を維持できるように出力信号を生成し続ける,又は始動さ

せなければならない。 

 

カテゴリと各チャネルのMTTFD,DCavg及びCCFとの関係 

6.1 

一般 

SRP/CSは,6.2で規定する5通りのカテゴリのうち,一つ以上のカテゴリの要求事項に従っていなけれ

ばならない。 

カテゴリは,特定のPLを達成するために使用される基本的なパラメータである。箇条4に記述される

設計上での考慮事項に基づく障害に対する抵抗性に関して,SRP/CS に要求される挙動を述べている。 

カテゴリBは,基本カテゴリである。障害の発生は,安全機能の喪失につながる。カテゴリ1では,障

害に対する抵抗性の向上は主としてコンポーネントの選択及び適用によって達成される。カテゴリ2,3

及び4では,指定される安全機能に関するパフォーマンスの向上は,主としてSRP/CSの構造の改良によ

って達成できる。カテゴリ2では,指定される安全機能が働くことを定期的にチェックすることによって

実現できる。カテゴリ3及び4では,単一障害が安全機能の喪失を招かないことを確実にすることによっ

て実現できる。カテゴリ4の場合,及びカテゴリ3で合理的に実施可能な場合は常に,その単一障害は検

出できるようにする。カテゴリ4では,障害の蓄積に対する抵抗性が規定される。 

表10は,SRP/CSのカテゴリの概要,要求事項及び障害が発生した場合のそのシステムの挙動を示す。 

コンポーネントの故障の原因を考える場合,障害によってはそれを除外することが可能である(箇条7


32 

B 9705-1:2019 (ISO 13849-1:2015) 

 

参照)。 

個々のSRP/CSでのカテゴリの選択は,主に次に依存する。 

− 安全関連部が寄与する安全機能によって達成されるリスクの低減 

− 要求パフォーマンスレベルPLr 

− 使用される技術 

− SRP/CSでの障害発生時におけるリスク 

− SRP/CSでの障害回避の可能性(システマティック障害) 

− SRP/CSのある部分及び障害の発生確率及び関連パラメータ 

− 平均危険側故障時間(MTTFD) 

− 診断範囲(DC) 

− カテゴリ2,3及び4の場合における共通原因故障(CCF) 

6.2 

カテゴリの仕様 

6.2.1 

一般 

各SRP/CSは,関連するカテゴリの要求事項に適合しなければならない(6.2.3〜6.2.7参照)。 

6.2.3〜6.2.7の典型的なアーキテクチャは,各カテゴリの要求事項を満たす。 

図8〜図12は,例ではなく一般的なアーキテクチャを示す。このアーキテクチャからの逸脱は常に可能

である。しかし,いずれの逸脱も,適切な分析ツール(例えば,マルコフモデル,FTA)の手段によって

正当化し,かつ,システムは要求パフォーマンスレベルPLrを満たさなければならない。 

指定アーキテクチャは,回路図としてだけでなく,論理図としても考慮することができる。カテゴリ3

及び4に対しては,全ての部分が必ずしも物理的に冗長系であるということではなく,一つの障害が安全

機能を喪失しないということを確実にするために冗長手段があるということを,これは意味している。 

図8〜図12の線及び矢印は,論理的な相互接続の手段及び論理的に可能な診断手段を示している。 

6.2.2 

指定アーキテクチャ 

SRP/CSの構造は,PLに大きな影響を及ぼすキーとなる特性である。構造の種類が多様であっても,基

本構成は,類似のものとなることが多い。このように,機械分野において存在するほとんどの構造は,カ

テゴリのうちの一つに割り当てることができる。各カテゴリに対しては,安全関連ブロックダイアグラム

として典型的な代表図を示すことができる。典型的な図は,指定アーキテクチャと呼ばれ,次の各カテゴ

リの要求事項の中でリスト化して示される(図8〜図12参照)。 

重要なことは,図5で示されるPLは,カテゴリ,各チャネルのMTTFD及びDCavgによって,指定アー

キテクチャに基づいているということである。図5がPLを見積もるために使用される場合,SRP/CSのア

ーキテクチャは,主張されるカテゴリの指定アーキテクチャと同等であるということを立証することが望

ましい。一般的に,各カテゴリの特性を満たす設計は,カテゴリの各指定アーキテクチャと同等である。 

6.2.3 

カテゴリB 

制御システムの安全関連部は,最小限,関連規格に従い,かつ,次の事項に対して抵抗性をもてるよう

に特定の用途のための基本安全原則を用いて,設計,製造,選択,組立及び結合されなければならない。 

− 予想される操作のストレス,例えば,遮断容量及び頻度に関する信頼性 

− 加工材料の影響,例えば,洗浄機の洗剤 

− 他の関連する外部影響,例えば,機械的振動,電磁干渉,動力供給の中断又は妨害 

カテゴリBのシステム内では診断範囲がなく(DCavg=0 %),かつ,各チャネルのMTTFDは,“低”か

ら“中”までとなる。そのような構造(通常,単一チャネルシステム)においては,共通原因故障への考


33 

B 9705-1:2019 (ISO 13849-1:2015) 

 

慮は不要である。 

カテゴリBによって達成可能な最大PLは,PL=bである。 

注記 一つの障害の発生が,安全機能の喪失につながり得る。 

電磁両立性の特定の要求事項は,例えば,パワードライブシステムの規格JIS C 4421の関連製品規格で

規定される。SRP/CSの機能安全に対しては,特に,イミュニティが関連する。製品規格が存在しない場

合,少なくとも,JIS C 61000-6-2のイミュニティの要求事項に従うことが望ましい。 

 

 

 

記号の説明 

im 相互接続手段 

入力装置。例えば,センサ 

論理 

O 出力装置。例えば,主接触器 

 

図8−カテゴリBの指定アーキテクチャ 

 

6.2.4 

カテゴリ1 

カテゴリ1に対しては,6.2.3のカテゴリBの要求事項を適用しなければならない。さらに,次を適用す

る。 

カテゴリ1のSRP/CSは,“十分吟味された”コンポーネント及び“十分吟味された”安全原則を用いて

設計及び製作しなければならない(JIS B 9705-2参照)。 

安全関連への適用のために“十分吟味された”コンポーネントは,次のいずれかのコンポーネントであ

る。 

a) 類似のアプリケーションにおいて好結果で過去に広く使用された。 

b) 安全関連へのアプリケーションに対して適切性及び信頼性を論証するための原則を用いて製作され,

かつ,検証された。 

新しく開発されたコンポーネント及び安全原則は,b)の条件を満たす場合,“十分吟味された”に同等と

考えてよい。 

個々のコンポーネントが“十分吟味された”と容認する決定は,アプリケーションに依存する。 

注記1 複雑な電子式コンポーネント[例えば,PLC,マイクロプロセッサ,ASIC(特定用途向け集

積回路)]は,“十分吟味された”と同等と考えることはできない。 

各チャネルのMTTFDは,“高”でなければならない。 

カテゴリ1によって達成可能な最大PLは,PL=cである。 

注記2 カテゴリ1のシステム内には診断範囲はなく(DCavg=0 %),そのような構造(単一チャネル

システム)においては,共通原因故障(CCF)への考慮は不要である。 

注記3 一つの障害発生時,安全機能の喪失につながり得る。しかし,カテゴリ1における各チャネ

ルのMTTFDは,カテゴリBよりも長く,結果として,安全機能の喪失はより少ない。 

“十分吟味された”コンポーネントと“障害の除外”(箇条7参照)との間を明確に区別することが重要

ある。 


34 

B 9705-1:2019 (ISO 13849-1:2015) 

 

コンポーネントに対する“十分吟味された”としての能力は,そのアプリケーションに依存する。例え

ば,ポジティブオープンの接点を備えた位置スイッチは,工作機械にとって“十分吟味された”と考慮さ

れ得るが,食品産業におけるアプリケーションには不適切となる。例えば,乳製品産業において,このス

イッチは,数箇月後に乳酸によって破壊されることになる。障害の除外は,非常に高いPLにつながり得

るが,この障害の除外を許すために採られる適切な方策は,装置の全寿命の間で適用されることが望まし

い。これを確実にするために,制御システム外の追加方策を必要とすることがある。位置スイッチの場合,

この種の方策の例は,次のとおりである。 

− 調整後にスイッチの固定を確実にするための手段 

− カムの固定を確実にするための手段 

− カムの方向の安定性を確実にするための手段 

− 位置スイッチのオーバトラベル回避のための手段。例えば,衝撃吸収装置及び調整装置の固定強度 

− 外部からの損傷に対して保護するための手段 

 

 

 

記号の説明 

im 相互接続手段 

入力装置。例えば,センサ 

論理 

O 出力装置。例えば,主接触器 

 

図9−カテゴリ1の指定アーキテクチャ 

 

6.2.5 

カテゴリ2 

カテゴリ2に対しては,6.2.3のカテゴリBの要求事項を適用しなければならない。また,6.2.4の“十

分吟味された”安全原則にも従わなければならない。さらに,次を適用する。 

カテゴリ2のSRP/CSは,その機能を機械制御システムによって,適切な間隔でチェックするように設

計しなければならない。安全機能のチェックは,次で遂行しなければならない。 

− 機械の起動時,及び 

− 危険状態の始まる前,例えば,新たなサイクルの起動,他の動きの起動,安全機能の要求時,即座に

及び/又はリスクアセスメント及び運転の種類によって必要とする場合で,運転中,定期的に。 

このチェックの始動は,自動的である場合がある。安全機能の全てのチェックは,次のいずれかでなけ

ればならない。 

− 障害が検出されない場合には,運転を許可する。又は 

− 障害が検出された場合には,適切な制御動作を始動するために出力信号(OTE)を発生する。 

PLr=dに対しては,出力部(OTE)は,安全状態に移行し,安全状態は障害が消失するまで維持しなけ

ればならない。 

PLr=c以下のPLrに対しては,実現可能な場合,出力部(OTE)は,安全状態に移行し,安全状態は障

害が消失するまで維持しなければならない。これが実現可能でなければ(例えば,最終開閉装置の接点溶

着),試験装置の出力(OTE)が警告を発することで十分な場合がある。 


35 

B 9705-1:2019 (ISO 13849-1:2015) 

 

カテゴリ2の指定アーキテクチャでは,図10で示すように,MTTFD及びDCavgの計算は,機能的チャ

ネルのブロック(例えば,図10のI,L及びO)だけを考慮し,試験チャネルのブロック(例えば,図10

のTE及びOTE)は考慮しないほうがよい。 

機能チャネルの診断範囲(DCavg)は,少なくとも“低”でなければならない。各チャネルのMTTFDは,

要求パフォーマンスレベルPLrによって,“低”から“高”まででなければならない。CCFに対する方策を

適用しなければならない(附属書F参照)。 

チェック自体が危険状態につながってはならない(例えば,応答時間の増加による)。試験装置は,安全

機能を提供する安全関連部に統合される,又は分離される場合がある。 

カテゴリ2によって達成可能な最大PLは,PL=dである。 

注記1 安全機能のチェックが全てのコンポーネントに適用できないために,カテゴリ2を使用でき

ない場合がある。 

注記2 カテゴリ2システムの挙動は次によって特徴づけられる。 

− チェック間での障害の発生が安全機能の喪失につながり得る。 

− 安全機能の喪失は,チェックによって検出される。 

注記3 カテゴリ2の機能の妥当性を支援するための原則は,採用の技術規定,及び,例えば,チェ

ック頻度の選択によって危険状態の発生確率を低減させ得ることに基づく。 

注記4 指定アーキテクチャに基づく単純化のアプローチを適用する場合は,4.5.4の仮定を参照。 

 

 

 

記号の説明 

im 

相互接続手段 

入力装置。例えば,センサ 

論理 

監視 

出力装置。例えば,主接触器 

TE 

試験装置 

OTE 試験装置の出力 
破線は,合理的に実行可能な障害検出を表す。 

 

図10−カテゴリ2の指定アーキテクチャ 

 

6.2.6 

カテゴリ3 

カテゴリ3に対しては,6.2.3のカテゴリBに準じた同様の要求事項を適用しなければならない。また,

6.2.4に従って“十分吟味された”安全原則にも従わなければならない。さらに加えて,次を適用する。 

カテゴリ3のSRP/CSは,そのいずれの部分に単一障害が生じても,それが安全機能の喪失につながら


36 

B 9705-1:2019 (ISO 13849-1:2015) 

 

ないように設計しなければならない。合理的に実施可能な場合はいつでも,単一障害は,安全機能の次の

動作要求時,又はそれ以前に検出されなければならない。 

全SRP/CSの診断範囲(DCavg)は,少なくとも“低”でなければならない。冗長チャネルの各々のMTTFD

は,PLrによって,“低”から“高”まででなければならない。CCFに対する方策を適用しなければならな

い(附属書F参照)。 

注記1 単一障害検出の要求事項は,全ての障害が検出されることを意味しない。結果として,未検

出の障害が蓄積し,機械的に意図しない信号の出力及び危険状態につながる場合がある。障

害検出に対して実施可能な方策の代表的な例は,機械的にガイドされるリレー接点のフィー

ドバック及び冗長な電気的出力の監視への使用である。 

注記2 Cタイプの規格作成者は,障害検出に関して,それが技術方式及び適用上の理由で必要とさ

れる場合,更に詳細を示す必要がある。 

注記3 カテゴリ3システムの挙動は次によって特徴づけられる。 

− 単一障害が存在する場合,安全機能の遂行を継続する。 

− 全てではないが,幾つかの障害を検出する。 

− 未検出の障害の蓄積によって安全機能が喪失する場合がある。 

注記4 使用される技術方式が,障害検出の実施の可能性に影響する場合がある。 

 

 

 

記号の説明 

im 

相互接続手段 

相互監視 

I1,I2 

入力装置。例えば,センサ 

L1,L2 論理処理 

監視 

O1,O2 出力装置。例えば,主接触器 
監視を示す破線は,合理的に実行可能な障害検出を示す。 

 

図11−カテゴリ3の指定アーキテクチャ 

 

6.2.7 

カテゴリ4 

カテゴリ4に対しては,6.2.3のカテゴリBに準じた同様の要求事項を適用しなければならない。また,

6.2.4の“十分吟味された”安全原則にも従わなければならない。さらに加えて,次を適用する。 

カテゴリ4のSRP/CSは,次のように設計しなければならない。 

− 安全関連部のいずれにおいても単一障害は,安全機能の喪失につながらない。かつ, 


37 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− その単一障害は,安全機能の次の動作要求時,又はそれ以前であって,例えば,直ちに,始動時,又

は機械の運転サイクルの終了時に検出される。 

しかし,この検出が不可能な場合,未検出障害の蓄積が安全機能の喪失につながってはならない。 

全SRP/CSの診断範囲(DCavg)は,障害の蓄積を含めて,“高”でなければならない。冗長チャネルの

各々のMTTFDは,“高”でなければならない。CCFに対する方策を適用しなければならない(附属書F参

照)。 

注記1 カテゴリ4システムの挙動は次によって特徴づけられる。 

− 単一障害が存在する場合,安全機能の遂行を継続する 

− 安全機能の喪失を防ぐため,障害を適時検出する。 

− 未検出障害の蓄積を考慮する。 

注記2 カテゴリ3及びカテゴリ4の相違は,カテゴリ4ではDCavgが“高”で,かつ,各チャネル

に要求されるMTTFDは,“高”だけである。 

実用的には,二つの障害の組合せとなる障害の考慮だけで十分とする場合がある。 

 

 

 

記号の説明 

im 

相互接続手段 

相互監視 

I1,I2 

入力装置。例えば,センサ 

L1,L2 論理処理 

監視 

O1,O2 出力装置。例えば,主接触器 
監視を示す線は,カテゴリ3の指定アーキテクチャよりも高い診断範囲を表す。 

 

図12−カテゴリ4の指定アーキテクチャ 

 


38 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表10−カテゴリ要求事項の要約 

カテゴリ 

要求事項要約 

システム挙動 

安全性達成
のために使
用される原

則 

各チャネ

ルの

MTTFD 

DCavg 

CCF 

(6.2.3参照) 

コンポーネントだけでなく
SRP/CS及び/又は保護装置
は,予想される影響に耐える
ように,関連規格に従って設
計,製造,選択,組立,組み
合わされること。 
基本安全原則を用いること。 

障害発生時,安全
機能の喪失を招く
ことがある。 

主としてコ
ンポーネン
トの選択に
よって特徴
づけられる。 

“低” 
〜“中” 

“なし” 

関連 
なし 

(6.2.4参照) 

Bの要求事項が適用される
こと。 
“十分吟味された”コンポー
ネント及び“十分吟味され
た”安全原則を用いること。 

障害発生時,安全
機能の喪失を招く
ことがあるが,発
生する確率はカテ
ゴリBより低い。 

主としてコ
ンポーネン
トの選択に
よって特徴
づけられる。 

“高” 

“なし” 

関連 
なし 

(6.2.5参照) 

Bの要求事項及び“十分吟味
された”安全原則の使用が適
用されること。安全機能は機
械の制御システムによって
適切な間隔でチェックされ
ること(4.5.4参照)。 

チェック間の障害
の発生が安全機能
の喪失を招くこと
がある。 
安全機能の喪失は
チェックによって
検出される。 

主として構
造によって
特徴づけら
れる。 

“低” 
〜“高” 

“低” 
〜“中” 

附属書 
F参照 

(6.2.6参照) 

Bの要求事項及び“十分吟味
された”安全原則の使用が適
用されること。安全関連部は
次のように設計されている
こと。 
− いずれの部分の単一障

害も安全機能の喪失を
招かない。かつ, 

− 合理的に実施可能な場

合は常に単一障害が検
出される。 

単一障害発生時,
安全機能が常に機
能する。 
全てではないが障
害の幾つかは検出
される。 
検出されない障害
の蓄積で安全機能
の喪失を招くこと
がある。 

主として構
造によって
特徴づけら
れる。 

“低” 
〜“高” 

“低” 
〜“中” 

附属書 
F参照 

(6.2.7参照) 

Bの要求事項及び“十分吟味
された”安全原則の使用が適
用されること。 
安全関連部は次のように設
計されること。 
− いずれの部分の単一の

障害も安全機能の喪失
を招かない。かつ, 

− 単一障害は,安全機能に

対する次の動作要求の
とき,又はそれ以前に検
出される。それが不可能
な場合,障害の蓄積が安
全機能の喪失を招かな
いこと。 

単一障害発生時,
安全機能が常に機
能する。 
蓄積された障害の
検出によって,安
全機能の喪失の可
能性が低減する
(高DC)。 
障害は安全機能の
喪失を防止するた
めに適時検出され
る。 

主として構
造によって
特徴づけら
れる。 

“高” 

“高” 
(障害の
蓄積を含 
む。) 

附属書 
F参照 

注記 完全な要求事項は,箇条6参照。 


39 

B 9705-1:2019 (ISO 13849-1:2015) 

 

6.3 

総合的なPLを達成するためのSRP/CSの組合せ 

安全機能は,複数のSRP/CSの組合せ,すなわち,入力システム,信号処理ユニット,出力システムに

よって実現可能である。この場合のSRP/CSは一つ及び/又は異なるカテゴリに割り当てられる場合があ

る。使用されるSRP/CSの各々に対して,6.2によるカテゴリを選択しなければならない。このSRP/CSの

組合せに対しては,総合的なPLをこの箇条に定める方法を使用して特定しなければならない。この場合,

SRP/CSの組合せの妥当性確認が要求される(図3参照)。 

6.2に従って組み合わされた制御システムの安全関連部は,安全関連信号で始まって,かつ,動力制御要

素の出力で終了する点を用いて起動する。しかし,組合せのSRP/CSは,線形(直列配置)又は冗長(並

列配置)の方法で接続される複数の部分で構成される場合がある。組合せのSRP/CSによるパフォーマン

スレベルPLの新たな見積りの複雑性を回避するために,全ての部分の個々のPLが既に計算されている場

合での,SRP/CSの直列配置に対する見積りは次による。 

直列接続されたN個の分離されたSRP/CSiがあると仮定し,これが全体として安全機能を遂行する。 

各SRP/CSiに対して,PLiは既に見積り済みである。この状況は図13で示してある(図4及び図H.2参

照)。 

全てのSRP/CSiのPFHD値が既知である場合,組み合わされたSRP/CSのPFHDは,個々のSRP/CSiの

PFHD値の合計である。組合せのSRP/CSのPLは,次によって制限される。 

− 安全機能の遂行に含まれる個々のSRP/CSiのうち,最も低いPL(PLが非定量的な側面によって決定

されるため),及び 

− 表2に従い組合せのSRP/CSのPFHDに対応するPL 

注記 この方法の例として,附属書H及びISO/TR 23849の8.2.6参照。 

 

 

図13−全PLを達成するためのSRP/CSの組合せ 

 

個々のSRP/CSi全てのPFHD値が既知でない場合,上記の方法の代替として最悪ケースを用い,安全機

能を遂行するSRP/CSの全組合せのPLを,次のように表11を用いて計算してもよい。 

a) 最も低いPLiを定めて,それをPLlowとする。 

b) PLi=PLlowとするSRP/CSiの個数Nlowを特定する。 

c) PLは表11を参照して定める。 

 


40 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表11−SRP/CSを直列に配置した場合のPLの計算 

PLlow 

Nlow 

⇒ 

PL 

>3 

⇒ 

“なし”,許可されない 

≦3 

⇒ 

>2 

⇒ 

≦2 

⇒ 

>2 

⇒ 

≦2 

⇒ 

>3 

⇒ 

≦3 

⇒ 

>3 

⇒ 

≦3 

⇒ 

注記 この参照表で算定される値は,各PLの中間点の信頼性データに基づく。 

 

障害の考慮及び障害の除外 

7.1 

一般 

選択のカテゴリに従って,要求パフォーマンスレベルPLrを達成するように,安全関連部を設計し,耐

障害の能力を査定しなければならない。 

7.2 

障害の考慮 

種々の技術方式での重要な故障及び障害のリストは,JIS B 9705-2で示される。障害リストは,必ずし

も全てを網羅したものではなく,必要な場合,追加の障害を考慮し,掲載しなければならない。このよう

な場合,評価方法も,また,明瞭に作成することが望ましい。JIS B 9705-2で示されていない新しいコン

ポーネントに対しては,考慮する障害を設定してFMEA(JIS C 5750-4-3参照)を実施しなければならな

い。 

一般的に,次の障害基準を考慮しなければならない。 

− 障害の結果として,更にコンポーネントに障害が生じる場合,続く全ての障害を一緒にして最初の障

害は,単一障害として考慮しなければならない。 

− 共通の原因による二つ以上の個別の障害は,単一障害としてみなされなければならない(これは,CCF

として知られている。)。 

− 個別の原因で生じる二つ以上の障害の同時発生は,著しく見込みがなく,したがって,考慮の必要は

ない。 

7.3 

障害の除外 

ある程度の障害の除外を仮定しないで,SRP/CSを評価することは必ずしも可能ではない。障害の除外

に関する詳細な情報は,JIS B 9705-2参照。 

障害の除外は,技術的な安全の要求事項と,障害の発生の理論的可能性との間の妥協である。 

障害の除外は,次による。 

− 幾つかの障害発生の技術的な非現実性 

− 考慮した用途に独立して,一般的に受け入れられる技術的経験 

− 用途及び特定の危険源に関連した技術的要求事項 

障害を除外する場合,技術文書によって詳細な理由を示さなければならない。 

 


41 

B 9705-1:2019 (ISO 13849-1:2015) 

 

妥当性確認 

SRP/CSの設計では,妥当性確認を実施しなければならない(図3参照)。妥当性確認は,各安全機能を

提供するSRP/CSの組合せが,この規格に関する全ての要求事項を満たすということを立証しなければな

らない。 

妥当性確認の詳細に対しては,JIS B 9705-2参照。 

 

保全 

予防又は是正の保全は,安全関連部の特定の性能を維持するために必要である。時間の経過とともに指

定の性能からの逸脱は,安全性の低下,又は危険状態にもなり得る。SRP/CSの使用上の情報には,SRP/CS

の保全指示書を含めなければならない(定期検査を含む。)。 

制御システムの安全関連部の保全性に関する規定は,JIS B 9700の6.2.7(保全性に関する規定)に規定

する原則に従わなければならない。保全に関する全ての情報は,JIS B 9700の6.4.5.1 e)に適合しなければ

ならない。 

 

10 技術文書 

SRP/CSを設計する場合,設計者は,少なくともSRP/CSに関連する次の情報を文書化しなければならな

い。 

− SRP/CSによって提供される安全機能 

− 各安全機能の特性 

− 安全関連部の正確な起点及び終了点 

− 環境条件 

− パフォーマンスレベルPL 

− 選択したカテゴリ又は複数の場合,各カテゴリ 

− 信頼性に関連するパラメータ(MTTFD,DC,CCF 及び使命時間) 

− システマティック故障に対する方策 

− 使用した技術方式又は複数の場合,各技術方式 

− 考慮した全ての安全関連障害 

− 障害の除外に関する正当化の根拠(JIS B 9705-2参照) 

− 設計の論理的根拠(例えば,考慮した障害,除外した障害) 

− ソフトウェア関連文書 

− 合理的に予見可能な誤使用に対する方策 

注記 一般的に,この文書類は,製造業者内部で使用すると考えられており,機械の使用者には配布

されない。 

 

11 使用上の情報 

JIS B 9700の6.4.5.2の原則及び他の関連文書[例えば,JIS B 9960-1の箇条17(技術文書)]の適用可

能な箇条を適用しなければならない。特に,SRP/CSの安全な使用に関する重要な情報は,使用者に示さ

れなければならない。これは次を含まなければならないが,この限りではない。 

− 選定したカテゴリに対する安全関連部の制限及び障害の除外の全て 

− SRP/CSの制限及び障害除外の全て(7.3参照)。選定したカテゴリ(又は複数のカテゴリ)及び安全


42 

B 9705-1:2019 (ISO 13849-1:2015) 

 

性能の維持のために必須である場合,その障害の除外を継続的に正当化するために,適切な情報(例

えば,修正,保全及び修理対応)を示さなければならない。 

− 安全機能における指定性能からの逸脱の影響 

− SRP/CS及び保護装置へのインタフェースの明瞭な記述 

− 応答時間 

− 運転制限(環境条件を含む。) 

− 指示及び警告 

− 安全機能のミューティング及び中断 

− 制御モード 

− 保全(箇条9参照) 

− 保全チェックリスト 

− 内部部品へのアクセス及び交換の容易性 

− 容易かつ安全なトラブルシューティングの手段 

− 参照カテゴリに関する適用上の情報 

− 関連する場合,試験間隔のチェック 

SRP/CSのカテゴリ(又は複数の場合,各カテゴリ)及びパフォーマンスレベルに関して,次のような

特定の情報を提供しなければならない。 

− この規格の参照及び発行年号(すなわち,“JIS B 9705-1:2019”) 

− カテゴリB,1,2,3又は4 

− パフォーマンスレベル,a,b,c,d又はe 

例 この規格に適合してSRP/CSが,カテゴリBで,かつ,パフォーマンスレベルがaの場合,次のよ

うに示す。 

JIS B 9705-1:2019カテゴリB PL a 

 


43 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書A 

(参考) 

要求パフォーマンスレベルPLrの決定 

 

A.1 PLrの選択 

この附属書は,考慮される制御システムの安全関連部によるリスク低減への寄与に関係する。ここで示

す方法は,リスク低減の見積りだけを提供し,また,SRP/CSで必要な各安全機能に対して設計者及び規

格作成者がPLrを決定するための指針としてだけの役割を意図している。 

注記 このPLrを見積もるための方法は,強制ではない。危険事象の発生確率を最悪ケースで見積も

ることは一般的な方法である(すなわち,発生確率を100 %とする。)。PLrを見積もるとき,特

定の機械に対する他のリスク見積り方法は,適切な方法として使用することが可能であり,類

似の機械又は危険源への成功例が考慮されるのが望ましい。したがって,タイプC規格で要求

されるPLは,図A.1で示される一般化した方法とは異なることもある。 

図A.1のグラフは,意図する安全機能が提供される前の状況に基づく(ISO/TR 22100-2参照)。 

意図する安全機能のPLrを決定する場合,制御システムとは独立した技術方策(例えば,機械式ガード)

によるリスク低減,又は追加の安全機能が考慮される。どの場合においても,図A.1の開始点はこれらの

方策の実施の後となる(図2参照)。 

傷害のひどさ(Sで示す。)を,大まかに見積もる(例えば,裂傷,切断,致命傷)。発生頻度に関して

は,補助パラメータがその見積り改善に使用される。これらのパラメータは,次による。 

− 危険源への暴露頻度及び時間(F) 

− 危険源回避又は危害の制限の可能性(P) 

これらのパラメータは図A.1に示すように“低”から“高”までリスクの段階的変化として組み合わせ

ることが経験上から可能である。これは,リスク見積りだけの定性的プロセスであることを強調している。 

 

A.2 リスク見積りにおけるパラメータS,F及びP選択の指針 

A.2.1 傷害のひどさS1及びS2 

安全機能の故障によって生じるリスク見積りでは,軽傷(通常,回復可能)及び重傷(通常,回復不可

能)及び死亡だけを考慮する。 

決定のために,通常,事故の重大性及び正常状態への回復過程をS1及びS2の決定では考慮することが

望ましい。例えば,単純な打撲傷及び/又は裂傷はS1に分類され,一方,切断又は死亡はS2に分類され

ることになる。 

A.2.2 

危険源への暴露頻度及び/又は暴露時間F1及びF2 

一般的に,パラメータF1又はパラメータF2を選択するための妥当な時間を特定することはできない。

しかし,疑問が生じる場合,次の説明をすることによって,決定を容易にすることがある。 

人が頻繁に,又は継続的に危険源に暴露される場合,F2を選択することが望ましい。同一又は異なる人

のいずれかが,継続的に危険源に暴露されているかは無関係である(例えば,リフトの使用)。頻度のパラ

メータは,危険源への頻度及び接近時間に従って選択することが望ましい。 

安全機能の動作要求頻度が設計者によって既知である場合,その要求頻度及び要求時間を危険源への接

近頻度及び接近時間の代わりに,選択することができる。この規格では,安全機能の動作要求頻度は,1


44 

B 9705-1:2019 (ISO 13849-1:2015) 

 

年に1回以上を想定している。 

危険源への暴露の期間は,設備使用時間の合計と関連させて,平均値をベースとして評価することが望

ましい。例えば,ワークピースを搬入及び移動するようなサイクル運転中に機械のツール間に定期的に入

ることが必要な場合,F2を選択することが望ましい。 

頻度が15分に1回を超える場合で他に正当化を行えない場合は,F2を選択することが望ましい。 

累計暴露時間が全運転時間の1/20を超えない場合で,かつ,暴露頻度が15分に1回より少ない場合,

F1を選択してもよい。 

A.2.3 危険事象回避の可能性及び発生確率P1及びP2 

危険源回避の可能性及び危険事象の発生確率は,パラメータPとして統合される。危険状態発生時に危

険源回避,又はその影響を十分に低減する現実的な可能性がある場合だけP1を選択し,それ以外はP2を

選択するのが望ましい。 

危険事象の発生確率が“低”として正当化できる場合,PLrを一つ下げてもよい(A.2.3.2参照)。 

A.2.3.1 危険源回避の可能性 

危険状態が危害を生じる前に,危険状態を認知し回避することができるかどうかを知ることは重要であ

る。例えば,危険源への暴露を直接その物理的特性によって同定できるのか,又は技術的な手段,例えば,

表示装置によってだけ認知できるのか。パラメータPの選択に影響する他の重要な要素は,例えば,次を

含む。 

− 危険源発生の速度(例えば,直ちに又はゆっくり) 

− 危険源回避の可能性(例えば,脱出) 

− 工程に関する実際の安全経験 

− 訓練された適切なオペレータによって運転されているかどうか 

− 監督付き又はなしの運転 

A.2.3.2 危険事象の発生確率 

危険事象の発生確率は人の挙動又は技術的な故障のいずれかに基づく。多くの場合,その確率は未知で

あり,特定するのは困難である。危険事象の発生確率の見積りは次を含む要因に基づいて決定することが

望ましい。 

− 信頼性データ 

− 比較可能な機械の事故履歴 

注記 事故の数が少ないということは,危険状態の発生が少ないことを必ずしも意味するものではな

く,機械の保護方策が十分であることを示す。 

比較可能な機械とは次である。 

− 関連する安全機能によって低減しようとするリスクが同じである。 

− 同様のプロセス及びオペレータの行動を必要とする。 

− 危険源を生じる同じ技術を採用している。 

 


45 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

記号の説明 

リスク低減に安全機能の寄与度を評価するための開始点 

リスク低減への寄与度“低” 

リスク低減への寄与度“高” 

PLr 要求パフォーマンスレベル 

 
リスクパラメータ 

傷害のひどさ 

S1 

軽症(通常,回復可能な傷害) 

S2 

重傷(通常,回復不可能又は死亡) 

危険源への暴露の頻度及び/又は時間 

F1 

まれ〜低頻度,及び/又は暴露時間が短い 

F2 

高頻度〜連続,及び/又は暴露時間が長い 

危険源回避又は危害の制限の可能性 

P1 

特定の条件下で可能 

P2 

ほとんど不可能 

図A.1−安全機能に対する要求PLr決定のためのグラフ 

 

図A.1に,機械全体に対するリスクアセスメントによる安全関連PLrを決定するための指針を示す。リ

スクアセスメントの方法は,JIS B 9700に基づく(図1及びISO/TR 22100-2参照)。このグラフは,各安

全機能に対して考慮することが望ましい。 

 

A.3 危険源の重複 

この規格を使用する場合,全ての危険源を特定の危険源又は危険状態として考慮する。したがって,リ

スクの定量化は,各危険源ごとに評価する。 

常に同時発生し,直接的に関連する危険源の組合せがあることが明白な場合,これらはリスク見積りの

段階で組み合わせるのが望ましい。 

各危険源を個別に又は組み合わせて考慮するかどうかの決定は,機械のリスクアセスメントの段階で検

討するのが望ましい。 

例1 連続溶接ロボットは様々な危険状態を同時に,例えば,動きによって生じる押しつぶしと溶接

工程によるやけどとを生じる場合がある。これは,直接的に関連する危険源として考慮できる。 

例2 複数のロボットが個別に動くロボットセルでは,各ロボットを個別に考慮する。 

例3 リスクアセスメントの結果として,複数のクランプ装置の付いた回転テーブルでの各クランプ

装置を個別と考慮することで十分である。 


46 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書B 

(参考) 

ブロックメソッド及び安全関連ブロックダイアグラム 

 

B.1 

ブロックメソッド 

この単純化した方法は,SRP/CSについてブロック指向の論理的表現を必要とする。SRP/CSは,次に従

って,少数のブロックに分類することが望ましい。 

− ブロックは,安全機能の実行に関連するSRP/CSの論理ユニットを表す。 

− 安全機能を遂行する異なるチャネルは,異なるブロックに分離することが望ましい。一つのブロック

がその機能を遂行できない場合,他のチャネルのブロックによる安全機能の実行に影響しない。 

− 各チャネルは,一つ又は複数のブロックで構成される場合がある。指定アーキテクチャ,入力,論理,

及び出力におけるチャネルごとの三つのブロックは,ブロック数を必須とするのではなく,各チャネ

ル内の論理的な分離の例を単純に示す。 

− SRP/CSの各ハードウェアのユニットは,正確に一つのブロックに帰属させることが望ましい。それ

によって,そのブロックに帰属するハードウェアユニットのMTTFDに基づいたブロックのMTTFDを

計算できる(例えば,FMEA 又はパーツ・カウント・メソッドによる。D.1参照)。 

− 診断に使用するだけのハードウェアユニット(例えば,試験装置)で,かつ,別のチャネルの安全機

能の実行に影響を与えないハードウェアユニットは,それらが危険側に故障する場合,別のチャネル

の安全機能の実行に必要なハードウェアユニットから分離してもよい。 

注記 この規格では,“ブロック”は,ファンクションブロック又は信頼性ブロックに対応してはいな

い。 

 

B.2 

安全関連ブロックダイアグラム 

ブロックメソッドによって定義されたブロックは,安全関連ブロックダイアグラムでのSRP/CSの論理

構造を作図によって表すために使用してもよい。このような作図による表現に対しては,次の指針を適用

できる。 

− 直列に配置された一つのブロックの故障がチャネル全体の故障につながる(例えば,SRP/CSの1 チ

ャネルのうち一つのハードウェアユニットが危険側故障を生じる場合,チャネル全体は,もはや安全

機能を実行することができない場合がある。)。 

− 並列に配置されたブロックの全てのチャネルの危険側故障だけが安全機能の喪失につながる(例えば,

複数のチャネルによって遂行される安全機能は,少なくとも1 チャネルが故障をしていない場合,そ

の機能を実行できる。)。 

− 試験目的だけに使用されるブロックで,かつ,別のチャネルの安全機能の実行に影響を与えないブロ

ックは,それが危険側に故障する場合,別のチャネルのブロックから分離してもよい。 

例は,図B.1参照。 

 


47 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

I1,I2 

入力装置。例えば,センサ 

論理処理 

O1,O2 出力装置。例えば,主接触器 

試験装置 

 

I1及びO1は,第1チャネルを構成する(直列配置)。 

I2,L及びO2は,第2チャネルを構成する(直列配置)。両チャネルをもつことによって,冗長化して

安全機能を実行する(並列配置)。 

Tは,試験のためだけに使用される。 

 

図B.1−安全関連ブロックダイアグラムの例 

 

 


48 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書C 
(参考) 

単一コンポーネントのMTTFD値の計算又は評価 

 

C.1 一般 

この附属書は,単一コンポーネントのMTTFD値を計算又は評価するために複数の方法を示す。すなわ

ち,C.2に示す方法は,異なる種類のコンポーネントに対するグッド・エンジニアリング・プラクティス

の考慮に基づいている。C.3に示す方法は,液圧式コンポーネントに適用可能である。C.4は,B10(C.4.1 参

照)による空圧式,機械式及び電気機械式コンポーネントのMTTFD値を計算する手段を提供する。C.5は,

電気式コンポーネントのMTTFD値のリストである。 

 

C.2 グッド・エンジニアリング・プラクティスメソッド 

次の基準を満たす場合,コンポーネントのMTTFD又はB10Dの値は,表C.1に従って見積もることがで

きる。 

a) コンポーネントは,JIS B 9705-2に示す基本安全原則及び“十分吟味された”安全原則,又はコンポ

ーネントの設計のための関連規格(表C.1参照)に従って,製造されている(コンポーネントのデー

タシートにおける確認)。 

注記 この情報は,コンポーネント製造業者のデータシートで見ることができる。 

b) コンポーネントの製造業者は,SRP/CSの設計者に対して適切な用途及び運転条件を指定している。 

c) SRP/CSの設計は,コンポーネントの実装及び運転に対して,JIS B 9705-2で示される基本安全原則及

び“十分吟味された”安全原則を満たしている。 

 

C.3 液圧式コンポーネント 

次の基準を満たす場合,単一液圧式コンポーネント,例えば,バルブのMTTFD値は,150年と見積もる

ことができる。 

a) 液圧式コンポーネントは,JIS B 9705-2における液圧式コンポーネント設計のための表C.1及び表C.2

に示す基本安全原則及び“十分吟味された”安全原則に従って,製造されている(コンポーネントの

データシートにおける確認)。 

注記 この情報は,コンポーネント製造業者のデータシートで見ることができる。 

b) 液圧式コンポーネントの製造業者は,SRP/CSの設計者に対して適切な用途及び運転条件を指定して

いる。SRP/CSの設計者は,液圧式コンポーネントの実装及び運転に対してJIS B 9705-2の表C.1及び

表C.2に従った基本安全原則及び“十分吟味された”安全原則を適用し,責任相応の情報を提供する

ことが望ましい。 

液圧式コンポーネントの実装及び運転については,表C.1及び表C.2。 

C.4に示される基準に適合する場合,単一の液圧式コンポーネント,例えば,バルブのMTTFD値は,150

年で見積もることができる。年間平均運転回数(nop)が1 000 000回未満の場合,MTTFD値は,表C.1で

示されるようにより高く見積もることができる。 

a)又はb)のいずれかを達成できない場合,単一液圧式コンポーネントのMTTFD値を,製造業者は提供

しなければならない。製造業者がデータを提供している場合,上記のMTTFDの固定値を使用する代わり


49 

B 9705-1:2019 (ISO 13849-1:2015) 

 

に,液圧式,空圧式,機械式及び電気機械式コンポーネントのMTTFDに対するB10Dのコンセプトを使用

してもよい。 

 

表C.1−コンポーネントのMTTFD又はB10Dを扱う国際規格,JIS及び他の規格 

 

JIS B 9705-2における基本

安全原則及び“十分吟味さ

れた”安全原則 

他の関連規格 

代表値 

MTTFD(年) 

B10D(サイクル) 

機械式コンポーネント 

表A.1及び表A.2 

− 

MTTFD=150 

液圧式コンポーネント 

nop≧1 000 000サイクル/年 

表C.1及び表C.2 

JIS B 8361 

MTTFD=150 

液圧式コンポーネント 
1 000 000>nop≧500 000サイクル/年 

表C.1及び表C.2 

JIS B 8361 

MTTFD=300 

液圧式コンポーネント 
500 000>nop≧250 000サイクル/年 

表C.1及び表C.2 

JIS B 8361 

MTTFD=600 

液圧式コンポーネント 
250 000サイクル/年>nop 

表C.1及び表C.2 

JIS B 8361 

MTTFD=1 200 

空圧式コンポーネント 

表B.1及び表B.2 

JIS B 8370 

B10D=20 000 000 

リレー及びコンタクタ接触器リレー 
低負荷 

表D.1及び表D.2 

EN 50205 
IEC 61810 規格群 
JIS C 8201 規格群 

B10D=20 000 000 

リレー及びコンタクタ接触器リレー 
定格負荷 

表D.1及び表D.2 

EN 50205 
IEC 61810 規格群 
JIS C 8201 規格群 

B10D=400 000 

近接スイッチ 
低負荷 

表D.1及び表D.2 

JIS C 8201 規格群 
JIS B 9710 

B10D=20 000 000 

近接スイッチ 
定格負荷 

表D.1及び表D.2 

JIS C 8201 規格群 
JIS B 9710 

B10D=400 000 

接触器 
低負荷 

表D.1及び表D.2 

JIS C 8201 規格群 

B10D=20 000 000 

接触器 
定格負荷 

表D.1及び表D.2 

JIS C 8201 規格群 

B10D=1 300 000 

(注記1参照) 

ポジション位置スイッチa) 
 

表D.1及び表D.2 

JIS C 8201 規格群 
JIS B 9710 

B10D=20 000 000 

ポジション位置スイッチ 
(アクチュエータ分離型,施錠付き)a) 

表D.1及び表D.2 

JIS C 8201 規格群 
JIS B 9710 

B10D=2 000 000 

非常停止装置a) 

表D.1及び表D.2 

JIS C 8201 規格群 
JIS B 9703 

B10D=100 000 

押しボタン 
(例えば,イネーブルスイッチ)a) 

表D.1及び表D.2 

JIS C 8201 規格群 

B10D=100 000 

B10Dの定義及び使用に関しては,C.4参照。 

注記1 他の利用可能な情報(例えば,製品規格)がない場合,B10Dは,B10の2倍で見積もる(50 %の危険側故障)。 
注記2 “定格負荷”又は”低負荷”は,例えば,定格電流値に対しての余裕をもった数値設計のようなJIS B 9705-2

で示される安全原則を考慮するのがよい。“低負荷”は,例えば,定格値の20 %を意味する。 

注記3 JIS C 8201-5-5及びJIS B 9703に従った非常停止装置,及びJIS C 8201-5-8に従ったイネーブルスイッチは,

電気的出力接点の数及びその後のSRP/CSの障害検出に基づきカテゴリ1,カテゴリ3又はカテゴリ4のサ
ブシステムとして見積もることができる。各接点要素(機械的な作動を含む。)は,それぞれのB10D値をも
つ1チャネルとして考慮することができる。JIS C 8201-5-8によるイネーブルスイッチに関して,これには
押込み(ポジション3)又は解放(ポジション1)の開放機能を含む。幾つかの場合,特定の用途及び装置
の環境条件を考慮し,JIS B 9705-2の表D.8に従い,機械の製造業者が障害の除外を適用可能な場合がある。 

注a) 直接開路動作の障害の除外が可能な場合。 

 


50 

B 9705-1:2019 (ISO 13849-1:2015) 

 

C.4 液圧式,機械式及び電気機械式コンポーネントのMTTFD 

C.4.1 一般 

液圧式,機械式及び電気機械式のコンポーネント(液圧バルブ,電磁リレー,接触器,位置スイッチ,

位置スイッチのカムなど)については,この規格で要求されているが,年単位での危険側故障の平均時間

(コンポーネントのMTTFD)を計算することが困難な場合がある。大抵の場合,この種のコンポーネント

の製造業者は,コンポーネントの10 %が危険側故障に至る(B10D)までの平均のサイクル数だけを示して

いる。 

この箇条では,用途に応じたサイクルに密接に関連して,製造業者によって示されるB10D又はT(ライ

フタイム)の使用によるコンポーネントのMTTFDの計算方法を示す。 

次の全ての基準を満たす場合,単一の液圧式,電気機械式,又は機械式コンポーネントのMTTFD値は,

C.4.2に従って見積もることができる。 

a) コンポーネントは,JIS B 9705-2の表A.1,表B.1又は表D.1による基本安全原則に従って設計し,製

造されている。 

注記1 この情報は,コンポーネント製造業者のデータシートで見ることができる。 

b) カテゴリ1,2,3又は4で使用されるコンポーネントは,JIS B 9705-2の表A.2,表B.2又は表D.2に

よる“十分吟味された安全原則”に従って設計し,製造されている。 

注記2 この情報は,コンポーネント製造業者のデータシートで見ることができる。 

c) コンポーネントの製造業者は,SRP/CSの設計者に対して適切な用途及び運転条件を指定している。

SRP/CSの設計者は,コンポーネントの実装及び運転に対してJIS B 9705-2の表B.1及び表D.1に従っ

た基本安全原則を満たし,責任相応の情報を提供することが望ましい。カテゴリ1,2,3又は4に関

して,使用者はコンポーネントの搭載及び運転に対してJIS B 9705-2の表B.2又は表D.2に従った“十

分吟味された安全原則”を満たし,自身の責任相応の情報を提供することが望ましい。 

C.4.2 B10DによるコンポーネントのMTTFDの計算 

コンポーネントの10 %が危険側故障を生じるまでの平均サイクル数(B10D)1) を,試験方法のための関

連製品規格(例えば,JIS C 8201-5-1,ISO 19973規格群,IEC 61810規格群)に従ってコンポーネントの

製造業者は決定することが望ましい。コンポーネントの危険側故障モードを定義することが望ましい。例

えば,終端位置での固着又は開閉回数の変化など。試験において,全てのコンポーネントが危険側故障を

生じるとは限らない場合(例えば,七つのコンポーネントの試験で,五つのコンポーネントだけが危険側

に故障した),危険側故障を生じないコンポーネントを考慮して解析を実施することが望ましい。 

B10D 1) 及びnop(年間の平均運転回数)によって,次のようにコンポーネントのMTTFDを計算すること

ができる。 

注1) B10の危険側故障の割合が示されていない場合(例えば,製造業者によって),B10D=2B10の推奨

としてB10の50 %を使用する場合がある。 

op

D

10

D

1.0

MTTF

n

B

  (C.1) 

ここに, 

cycle

op

op

op

h/s

600

3

t

h

d

n

  (C.2) 

とし,コンポーネントの適用に対して次を設定する。 

 

hop: 平均運転回数(1日当たりの時間数) 


51 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

dop: 平均運転回数(1年当たりの日数) 

 

tcycle: コンポーネントの連続2サイクルでの開始と開始の間の平

均運転時間(サイクル当たりの秒数)(例えば,バルブの開
閉) 

 

コンポーネントの運転回数は,T10Dに制限される。コンポーネントの10 %が危険側故障に至るまでの平

均時間は,次のとおりである。 

 

op

D

10

D

10

n

B

T

  (C.3) 

 

注記1 C.4.2に式の説明がある。 

コンポーネントの10 %が危険側に故障するまでのサイクルの平均回数B10Dは,年間の平均運転回数nop

を使用して,次のように,コンポーネントの10 %が危険側に故障するまでの平均時間T10Dに変換できる。 

 

op

D

10

10D

n

B

T

  (C.4) 

 

この規格の信頼性の方法は,コンポーネントの故障が長期的には指数関数[F(t)=1−exp(−λdt)]として

分布することを仮定している。液圧式及び電気機械式コンポーネントに対しては,ワイブル分布がより望

ましい。しかし,コンポーネントの運転時間は,コンポーネントの10 %が危険側故障を生じるまでの平均

時間(T10D)に限定される。その場合,この運転時間中での危険側の一定故障率(λD)は,次のように見

積もることができる。 

 

D

10

op

D

10

D

0.1

1.0

B

n

T

λ

  (C.5) 

 

式(C.5)は,一定の故障率で,コンポーネントの10 %が,B10D(サイクル)に対応してT10D(年)後に故

障するということを考慮している。正確には,次のとおりである。 

 

%

10

exp

1

D

10

D

D

10

T

λ

T

F

,すなわち,

10D

D

10

10D

D

1.0

536

10

.0

9.0

ln

T

T

T

λ

  (C.6) 

 

指数分布に対して,MTTFD=1/λDとすると,次のとおりとなる。 

 

op

D

10

D

10

D

1.0

1.0

MTTF

n

B

T

  (C.7) 

 

注記2 式で使用される全ての変数は,数値と測定単位との積として表される物理量である。例えば,

式(C.5),式(C.6)及びMTTFD=1/λDを正しく適用するには,“年”を“時間”(1年=8 760時

間)に変換する必要がある。 

C.4.3 例 

液圧バルブに対しては,製造業者はB10Dとして6千万サイクルの平均値を指定する。バルブは,年間220

日の運転回数で1日に2シフトで使用する。バルブの連続2サイクルでの開始と開始の間の平均時間(サ

イクル当たりの秒数)は,5秒として見積もる。これによって次の値を算出できる。 

− dop:1年当たり220 日間 


52 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− hop:1日当たり16時間 

− tcycle:1サイクル当たり5秒 

− B10D:6千万サイクル 

 

この入力データによって,次の数値を算定できる。 

 

サイクル

時間

時間

/

10

53

.2

s/cycle

5

/

600

3

/

16

/

220

6

op

n

 ···· (C.8) 

サイクル

サイクル

7.

23

/

10

2.53

10

60

6

6

D

10

T

  (C.9) 

237

1.0

7.

23

MTTFD

  (C.10) 

 

この数値は,表4によって,コンポーネントのMTTFDとして“高”となる。この仮定は,バルブに対

しては23.7年の制限付き運転時間だけが有効である。 

 

C.5 電気式コンポーネントのMTTFDデータ 

C.5.1 一般 

表C.2〜表C.7に,電気式コンポーネントに対するMTTFDの代表的な平均値を示す。データはSN 29500

シリーズのデータベース(参考文献の[53])から抜粋してある。全てのデータは,一般的な形式のもので

ある。種々の電気式コンポーネントに対するMTTFD値を示す種々のデータベースが利用可能である(参

考文献のデータベースリスト参照)。SRP/CSの設計者で,使用のコンポーネントに関する他の信頼できる

特定のデータを所有する場合,その特定のデータの使用を強く推奨する。 

表C.2〜表C.7に示す値は,定格の電流及び電圧で40 ℃の温度に対して有効である。 

表のMTTFの欄には,一般的コンポーネントで必ずしも危険側障害ではない潜在的故障モードの全てに

ついてSN 29500シリーズから引用した値が示してある。表のMTTFDの欄は,故障モードの全てが必ずし

も危険側故障に至るとはしないことを代表的に仮定している。これは主として用途による。コンポーネン

トの“代表的”MTTFDを決定するための適確な方法は,FMEAを実施することである。ある種のコンポー

ネント,例えば,スイッチとして使用するトランジスタは,故障として回路短絡又は断路を生じる場合が

ある。この二つのモードのうちで一方だけ危険側となる場合がある。したがって,“留意事項”の欄には

50 %の危険側障害だけを仮定して,コンポーネントのMTTFDはMTTF値の2倍となることを意味する。 

C.5.2 半導体 

表C.2及び表C.3による。 

 


53 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表C.2−トランジスタ(スイッチング用) 

トランジスタ 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

バイポーラ 

TO18,TO92, 
SOT23 

38 052 

76 104 

危険側故障50 % 

バイポーラ(低電力用) 

TO5,TO39 

 5 708 

11 416 

危険側故障50 % 

バイポーラ(電力用) 

TO3,TO220, 
D-Pack 

 1 903 

 3 806 

危険側故障50 % 

FET 

接合MOS 

22 831 

45 662 

危険側故障50 % 

MOS(電力用) 

TO3,TO220, 
D-Pack 

 1 903 

 3 806 

危険側故障50 % 

 

表C.3−ダイオード,パワー半導体及び半導体集積回路 

ダイオード 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

一般目的 

− 

114 155 

228 311 

危険側故障50 % 

サプレッサ 

− 

 16 308 

 32 616 

危険側故障50 % 

ツェナーダイオード 
Ptot<1 W 

− 

114 155 

228 311 

危険側故障50 % 

整流ダイオード 

− 

 57 078 

114 155 

危険側故障50 % 

整流ブリッジ 

− 

 11 415 

 22 831 

危険側故障50 % 

サイリスタ 

− 

  2 283 

  4 566 

危険側故障50 % 

トライアック,ダイアック 

− 

  1 522 

  3 044 

危険側故障50 % 

半導体集積回路 
(プログラマブル及び非プ
ログラマブル) 

製造業者のデータを使用 

危険側故障50 % 

 

C.6 受動素子 

表C.4〜表C.7による。 

 

表C.4−コンデンサ 

コンデンサ 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

標準(電力使用でない場合) KS,KP,KC,KT, 

MKT,MKC,MKP, 
MKU,MP,MKV 

 57 078 

114 155 

危険側故障50 % 

セラミック 

− 

 22 831 

 45 662 

危険側故障50 % 

アルミニウム(電解式) 

非固体電解質 

 22 831 

 45 662 

危険側故障50 % 

アルミニウム(電解式) 

固体電解質 

 38 052 

 76 104 

危険側故障50 % 

タンタル(電解式) 

非固体電解質 

 11 415 

 22 831 

危険側故障50 % 

タンタル(電解式) 

固体電解質 

114 155 

228 311 

危険側故障50 % 


54 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表C.5−抵抗器 

抵抗器 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

炭素フィルム 

− 

114 155 

  228 311 

危険側故障50 % 

金属フィルム 

− 

570 776 

1 141 552 

危険側故障50 % 

酸化金属及びワイヤ巻き 

− 

 22 831 

   45 662 

危険側故障50 % 

可変式 

− 

  3 805 

    7 618 

危険側故障50 % 

 

表C.6−誘導子 

誘導子 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

MC 用 

− 

38 052 

76 104 

危険側故障50 % 

低周波数誘導子及び変圧器 

− 

22 831 

45 662 

危険側故障50 % 

主変圧器, 
スイッチモード及びパワー 
供給用変圧器 

− 

11 415 

22 831 

危険側故障50 % 

 

表C.7−フォトカプラ 

フオトカプラ 

例 

MTTF(年) 

MTTFD(年) 

代表値 

留意事項 

バイポーラ出力 

SFH610 

7 610 

15 220 

危険側故障50 % 

FET出力 

LH1056  

2 854 

5 708 

危険側故障50 % 

 


55 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書D 
(参考) 

チャネルごとのMTTFDを見積もるための簡易的な方法 

 

D.1 パーツ・カウント・メソッド 

“パーツ・カウント・メソッド”の使用は,各チャネルごとのMTTFD見積りに使用する。チャネルの

一部をなす単一コンポーネントの全てのMTTFD値をこの計算に使用する1)。 

一般的な式は,次の式(D.1)のとおりである。 

 

N

j

j

N

i

i

n

~

1

D

j

~

1

D

D

MTTF

MTTF

1

MTTF

1

  (D.1) 

ここに, 

MTTFD: 1 チャネル全体の平均危険側故障時間 

 

MTTFDi,MTTFDj: 安全機能に寄与する各コンポーネントのMTTFD 

例 

1/MTTFDi=1/30+1/30+1/30 

nj/MTTFDj=3/30=1/10 

最初の合計は,各コンポーネントを個別に分割しており,次の合計は,同一のMTTFDjをもつnj 個のコ

ンポーネントの全てが一緒にグループ化される場合で,単純化してある。 

表D.1の例は,22.4年のチャネルのMTTFDを示しており,このMTTFDは,表4に従って“中”である。 

 

表D.1−回路基板の部品リストの例 

コンポーネント 

ユニット 

nj 

MTTFDj 

代表値 
(年) 

1/MTTFDj 

代表値 

(1/年) 

nj/MTTFDj 

代表値 

(1/年) 

トランジスタ,バイポーラ,低電力使
用(表C.2参照) 

 11 416 

0.000 087 6 

0.000 175 2 

抵抗器,炭素フィルム(表C.5参照) 

228 311 

0.000 004 4 

0.000 021 9 

コンデンサ,標準形,電力使用でない
(表C.4参照) 

114 155 

0.000 008 8 

0.000 035 0 

リレー,製造業者によって示された値 
(B10D=20 000 000 サイクル,nop=633 
600サイクル 年) 

   315.7 

0.003 167 6 

0.012 670 3 

接触器,製造業者によって示された値 
(B10D=2 000 000 サイクル,nop=633 
600サイクル 年) 

   31.6 

0.031 645 6 

0.031 645 6 

Σ(nj/MTTFDj) 

 

 

 

0.044 548 0 

MTTFD=1/Σ(nj/MTTFDj) (年)                            22.4 

 

注記1 この方法は,あるチャネル内のコンポーネントの危険側故障(最悪ケースの見積り)がその

チャネル全体の危険側故障を導くという仮定に基づいている。表D.1で示すMTTFDの計算は,

これに基づく。 

注記2 この例では,主な影響は,接触器から生じる。この例のMTTFD及びB10の値は,附属書Cに


56 

B 9705-1:2019 (ISO 13849-1:2015) 

 

基づく。例えば,dop=220日/年,hop=8時間/日,及びtcycle=10秒/サイクルを仮定し,nop=

633 600サイクル/年を示す。一般的に,製造業者が提供するMTTFD及びB10Dの値を採用する

ことは,附属書Cで示される値を採用するよりも良い結果につながる。すなわち,そのチャ

ネルのMTTFDをより高めることを意味する。 

注1) パーツ・カウント・メソッドは,概算値であり,常に安全側にエラーを生じる。より正確な値

を必要とする場合,設計者は故障モードを考慮するのが望ましいが,これは非常に複雑になり

得る。 

 

D.2 異なるチャネルに対するMTTFDと,各チャネルのMTTFDの対称化 

6.2の指定アーキテクチャは,冗長のSRP/CSにおける異なるチャネルについて,各チャネルのMTTFD

の値が同じであることを仮定している。このチャネルごとの値を,図5の入力データにすることが望まし

い。 

チャネル間のMTTFDが異なる場合には,次の二つの可能性がある。 

− 最悪ケースの仮定として,低い方の値を考慮することが望ましい,又は 

− MTTFDの代用値の見積りとして,式(D.2)を使用する。 

 

DC2

1

DC

DC2

DC1

D

MTTF

1

MTTF

1

1

MTTF

MTTF

3

2

MTTF

  (D.2) 

 

ここで,MTTFDC1及びMTTFDC2は,異なる冗長チャネルのMTTFD値であり,式(D.2)を適用するに当た

り最大値100年(カテゴリB,1,2及び3)又は最大値2 500年(カテゴリ4)に制限される。 

例 

一方のチャネルがMTTFDC1=3年で,他方のチャネルがMTTFDC2=100年の場合の結果は,MTTFD=66

年になる。このことは,一方のチャネルに100年のMTTFD及び他方のチャネルに3年のMTTFDをもつ冗

長システムは,それぞれのチャネルが66年のMTTFDをもつシステムに等しいことを意味している。 

2 チャネルをもち,かつ,各チャネルのMTTFD値が異なる冗長システムは,式(D.2)を使用して,各チ

ャネルで同一のMTTFDをもつ冗長システムとして置き換えることができる。この手順は,図5を正確に

使用するために必要とされる。 

注記 この方法は,独立した並列チャネルを仮定している。 


57 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書E 

(参考) 

機能及びモジュールの診断範囲(DC)の見積り 

 

E.1 

診断範囲(DC)の例 

表E.1による。 

 

表E.1−診断範囲(DC)の見積り 

方策 

DC 

入力装置 

入力信号の動的(ダイナミックな)変化による周期的試験 

90 % 

プロウザビリティ(確かさ)チェック,例えば,ノーマルオープン及びノーマル
クローズの機械的結合接点使用 

99 % 

動的試験なしの入力装置の相互監視 

適用ごとに,信号の切替頻度が
どの程度頻繁に行われるかによ
って0 %〜99 %に変動する。 

回路短絡を検出できない場合,動的試験付きの入力信号の相互監視(マルチI/O
に対して) 

90 % 

入力信号及び論理(処理)(L)内の中間結果の相互監視,プログラムフローの
一時的及び論理的ソフトウェア監視,並びに静的障害及び回路短絡の検出(マル
チI/Oに対して) 

99 % 

間接監視(例えば,圧力スイッチによる監視,アクチュエータの電気的位置監視) 適用によって,90 %〜99 %に変

動する。 

直接監視(例えば,制御バルブの電気的位置監視,機械的結合接点要素による電
気機械装置の監視) 

99 % 

処理による障害検出 

適用によって,0 %〜99 %に変動
する。 
この方策だけでは,要求パフォ
ーマンスレベル“e”に対しては
十分ではない。 

センサのある種の特性監視(応答時間,アナログ信号の範囲,例えば電気抵抗,
静電容量) 

60 % 

論理 

間接監視(例えば,圧力スイッチによる監視,アクチュエータの電気的位置監視) 適用によって,90 %〜99 %に変

動する。 

直接監視(例えば,制御バルブの電気的位置監視,機械的結合接点要素による電
気機械装置の監視) 

99 % 

論理の単純な一時的時間経過の監視(例えば,ウォッチドッグとしてのタイマ。
論理のプログラム内にトリガ点をもつ) 

60 % 

ウォッチドッグによる一時的かつ論理的監視。試験装置は論理の挙動に対するプ
ロウザビリティ(確かさ)チェック 

90 % 

論理(プログラム及びデータ記憶,入力/出力ポート,インタフェースなど)の
部分に潜在する障害を検出するための起動時の自動試験(セルフテスト) 

90 %(試験技術による。) 

主チャネルによる監視装置の応答能力のチェック(例えば,ウォッチドッグ)。
起動時,若しくは安全機能の動作要求時,又は外部信号が入力装置を介してそれ
を要求するとき。 

90 % 

 


58 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表E.1−診断範囲(DC)の見積り(続き) 

方策 

DC 

論理 

動的(ダイナミック処理)原則(安全機能の動作要求時に,論理の全てのコンポ
ーネントにオン−オフ−オン状態の変化を要求する。)。例えば,リレー実装のイ
ンターロック回路 

99 % 

不変メモリ:1 ワードによるシグネチャ(8 ビット) 

90 % 

不変メモリ:2 ワードによるシグネチャ(16 ビット) 

99 % 

可変メモリ:冗長データ,例えば,フラッグ,マーカ,定数,タイマ,及びこれ
らデータの相互比較,の使用によるRAMテスト 

60 % 

可変メモリ:使用するデータメモリセルの読込み及び書出しのチェック 

60 % 

可変メモリ:変更ハミングコードのRAM監視,又はRAMの自動監視(セルフ
テスト)(例えば,“galpat”又は“abraham”) 

99 % 

処理ユニット:ソフトウェアによる自動試験(セルフテスト) 

60 %〜90 % 

処理ユニット:コード化プロセス 

90 %〜99 % 

処理による障害検出 

適用によって,0 %〜99 %に変動
する。 
この方策だけでは,要求パフォ
ーマンスレベル“e”を満足する
のに十分ではない。 

出力装置 

動的試験なしの単一チャネルによる出力監視 

適用ごとに,信号の切替頻度が
どの程度頻繁に行われるかによ
って0 %〜99 %に変動する。 

動的試験なしの出力の相互監視 

適用ごとに,信号の切替頻度が
どの程度頻繁に行われるかによ
って0 %〜99 %に変動する。 

回路短絡検出なしの動的試験による出力の相互監視(マルチI/O) 

90 % 

出力信号及び論理(L)内の中間結果の相互監視,プログラムフローの一時的か
つ論理的ソフトウェアの監視,並びに静的障害及び回路短絡の検出(マルチI/O)。 

99 % 

論理及び試験装置によるアクチュエータを監視する冗長化遮断経路 

99 % 

間接監視(例えば,圧力スイッチによる監視,アクチュエータの電気的位置監視) 適用によって,90 %〜99 %に変

動する。 

処理による障害検出 

適用によって,0 %〜99 %に変動
する。 
この方策だけでは,要求パフォ
ーマンスレベル“e”を満足する
のに十分ではない。 

直接監視(例えば,制御バルブの電気的位置監視,機械的結合接点要素による電
気機械装置の監視) 

99 % 

注記1 DCに対する追加の見積りは,例えば,JIS C 0508-2の表A.2〜表A.15参照。 
注記2 DC“中”又はDC“高”が論理に対して要求される場合,可変メモリ,不変メモリ及び処理ユニットには,

それぞれ少なくとも60 %のDC をもつための,一方策(少なくとも)を適用しなければならない。DCの
手法は,この表に掲げた方策とは別の方策の場合がある。 

注記3 DC範囲が与えられている方策(例えば,処理による障害検出)については,正確なDC値は全ての危険側

故障を考慮することによって,また,これらのうちのどれがDC方策によって検出されるかを決定するこ
とによって,決めることができる。疑わしい場合,FMEAがDCの見積りの根拠となる。 


59 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表E.1の適用については,次の例を参照。 

例1 JIS B 9705-2の附属書Eは,自動組立機械の障害の挙動及び診断手段の妥当性確認に対して完

全な実施例(詳細な)を表す。 

例2 ISO/TR 24119は,直列接続されたインターロック装置に対する診断範囲の評価のための実際的

なステップ・バイ・ステップテーブルに基づく方法論を示している。 

例3 方策のうち“処理による障害検出”は,安全関連コンポーネントが生産処理に含まれる場合だ

け,例えば,汎用PLC又は汎用センサがワークピースの処理に使用され,また,安全機能を実

行する二つの冗長機能チャネルのうちの一つとして使用される場合,適用されることがある。

適切なDCレベルは一般に使用される機能(論理,入力/出力等)の重なりに依存する。例え

ば,印刷機械に搭載される回転エンコーダの全ての障害が印刷工程において明らかに目に見え

る中断につながる場合,安全に制限された速度を監視するためにも使用されるこのセンサのDC

は,90 %から99 %までの範囲として見積もることがある。 

 

E.2 

平均DC(DCavg)の見積り 

多くのシステムでは障害検出に対して複数の方策を使用することが可能である。これらの方策はSRP/CS

の異なる部分をチェックして,かつ,異なるDCをもつことがある。図5によるPLの見積りでは,安全

機能を実行するSRP/CS全体に対して,ただ一つの“平均”のDCを適用することができる。 

DCは,検出される危険側故障率と全危険側故障率との比として定義することができる。この定義に従

って,平均診断範囲DCavgは,次の式(E.1)で見積もる。 

 

DN

D2

1

D

DN

N

2

D

2

1

D

1

avg

MTTF

1

MTTF

1

MTTF

1

MTTF

DC

MTTF

DC

MTTF

DC

DC

  (E.1) 

 

ここに,障害の除外なしのSRP/CSの全コンポーネントを考慮して,かつ,加算しなければならない。

各ブロックに対して,MTTFD及びDCを考慮する。式(E.1)のDCは,(故障を検出するために使用される

方策には無関係に)全危険側故障率に対して,この部分で検出される危険側故障率との比を意味している。 

このように,DCは試験される部分を指しており,試験装置を指してはいない。故障検出なしのコンポ

ーネント(例えば,試験されない部分)は,DC=0であって,DCavgの分母の数値を提供するだけである。 

 


60 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書F 

(参考) 

共通原因故障(CCF)の見積り 

 

F.1 

CCFに対する要求事項 

センサ,アクチュエータ,及びこれらとは別の制御論理対応のCCF方策に対する包括的な手順は,例え

ば,JIS C 0508-6の附属書Dで示されている。そこで示される方策の全てが,必ずしも機械類に適用可能

ではない。ここでは最も重要な方策を列挙する。 

注記 この規格では,JIS C 0508-6の附属書Dに従って,冗長システムでのβファクタは2 %以下で

あることが望ましい。 

 

F.2 

CCFの影響の見積り 

この定量的プロセスは,システム全体を通して実施することが望ましい。制御システムの全ての安全関

連部を考慮するのがよい。 

表F.1に,工学的判断に基づいて,共通原因故障を低減させるような方策を列挙し,かつ,関連の値を

含める。 

各方策に対しては,満点又はゼロ点だけを主張できる。方策が部分的にだけ満足する場合,その方策に

よる得点は,ゼロ点である。 

 

表F.1−採点方法及びCCFに対する方策の定量化 

No 

CCFに対する方策 

得点 

分離又は隔離 

 

 

信号経路間の物理的な分離,例えば, 
− 配線及び配管での分離 
− 動的試験によるケーブルの短絡及び断線の検出 
− 各チャネルの信号経路の個別シールド 
− プリント基板上での回路間の十分なクリアランス及び沿面距離 

15 

多様性(ダイバーシティ) 

 

 

異なる技術的方式,設計又は物理的原理の使用,例えば, 
− 第1チャネルは電子又はプログラマブル電子方式で,第2チャネルは電気機械式のハードワ

イヤ方式 

− 安全機能の各チャネルは異なる信号によって始動(例えば,位置,圧力,温度) 
及び/又は 
 
デジタル及びアナログによる測定(例えば,距離,圧力又は温度) 
及び/又は 
 
異なる製造業者によるコンポーネント 

20 

設計,適用又は経験 

 

3.1 

過電圧,過圧力,過電流,過熱などに対する保護 

15 

3.2 

使用のコンポーネントは,“十分吟味されている” 

査定・分析 

 

 

制御システムの安全関連部の各部に対して,FMEAが実施されており,その結果は,設計段階に
おいてCCFを回避するために考慮されている。 

 


61 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表F.1−採点方法及びCCF に対する方策の定量化(続き) 

No 

CCFに対する方策 

得点 

適格性(能力),訓練 

 

 

CCFの原因及び結果を理解できるような設計者の訓練 

環境面 

 

6.1 

電気/電子システムに対して,適切な規格(例えば,IEC 61326-3-1)に従ったCCFに対する汚染
防止及び電磁妨害の防止(EMC)。 
流体システム:圧力媒体のろ過,ほこりの侵入の防止,圧縮空気の水抜き,例えば,圧力媒体の

純度に関してはコンポーネント製造業者の要求事項に従う。 

注記 流体システムと電気システムとの組合せに対しては,これらの両面を考慮することが望ま

しい。 

25 

6.2 

他の影響 
温度,衝撃,振動,湿度のような全ての環境関連(例えば,関連の規格で規定される)の影響に
対して耐性の要求事項を考慮する。 

10 

 

合計 

最大 

100 

合計得点 

CCFを回避するための方策a) 

65以上 

要求事項に適合 

65未満 

要求事項に不適合 ⇒ 追加方策の選択 

注a) 技術方式上の方策が関連しない場合でも,この欄で算定された得点は,包括的な計算のときに考慮すること

ができる。 

 


62 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書G 
(参考) 

システマティック故障 

 

G.1 

一般 

基本安全原則及び“十分に吟味された”安全原則等のシステマティック故障に対して適用される包括的

な方策リストは,JIS B 9705-2で規定されている。 

 

G.2 

システマティック故障の抑制方策 

次の方策を適用することが望ましい。 

− エネルギー非供給状態の使用(JIS B 9705-2参照) 

制御システムの安全関連部(SRP/CS)は,動力供給の喪失で機械を安全状態にするか又は安全状態を維

持できるように設計することが望ましい。 

− 降伏電圧,電圧変動,過電圧,不足電圧の影響を抑制する方策 

降伏電圧,電圧変動,過電圧,不足電圧条件へ応答するSRP/CSの挙動をあらかじめ決めることが望ま

しい。それによって,SRP/CSは機械を安全状態にするか又は安全状態を維持できる[JIS B 9960-1及びJIS 

C 0508-7のA.8(電源)参照]。 

− 物理的環境の影響(例えば,温度,湿度,水,振動,ほこり,腐食性物質,電磁干渉及びその影響)

を抑制又は回避する方策 

物理的環境の影響へ対応するSRP/CSの挙動をあらかじめ決定することが望ましい。それによって,

SRP/CSが機械を安全状態にするか又は安全状態を維持できる(例えば,JIS C 0920,JIS B 9960-1参照)。 

− ソフトウェアを含むSRP/CSには,プログラムシーケンスの欠陥を検出するためにプログラムシーケ

ンス監視を使用する。 

プログラムの個々の要素(例えば,ソフトウェアモジュール,サブプログラム又はコマンド)が誤りの

シーケンス若しくは周期時間で処理される場合,又はプロセッサのクロック信号に誤りがある場合に,欠

陥をもつプログラムシーケンスが生じる[JIS C 0508-7のA.9(時間的及び論理的プログラムシーケンス監

視)参照]。 

− データ通信プロセスから生じるエラーの影響,及びその他の影響を抑制する方策[JIS C 0508-2の7.4.8

(フォールト検出時のシステム動作の要求事項)参照] 

さらに,SRP/CSの複雑さ及びそのPLを考慮して,次の方策の一つ以上を適用するのが望ましい。 

− 自動試験による故障検出 

− 冗長ハードウェアによる試験 

− 多様性(ダイバーシティ)・ハードウェア 

− ポジティブモードによる操作 

− 機械的に結合された接点 

− 直接開路動作 

− 非対称故障モード 

− 適した係数による過大見積り(オーバディメンショニング)。製造業者は,ディレーティングを信頼性

改善に適用してそれを証明することができ,その場合適切な諸元の過大見積りは,少なくとも1.5倍


63 

B 9705-1:2019 (ISO 13849-1:2015) 

 

の係数を使用することが望ましい。 

G.3 

システマティック故障を回避する方策 

次の方策を適用することが望ましい。 

− 適した材料及び適切な製造方法の使用 

例えば,応力,耐性,弾性,摩擦,摩耗,腐食,温度,導電性,絶縁耐力を考慮した材料,製造方法及

び処理方法の選択 

− 正しい寸法及び形状 

例えば,応力,張力,疲労,温度,表面の粗さ,許容公差,製造方法の考慮 

− ケーブル接続,配線及び相互(内部)接続を含む,コンポーネントの正しい選択,組合せ,配置,組

立及び据付 

適切な規格及び製造業者の適用上の留意事項,例えば,カタログ,据付指示書,仕様書,及びグッド・

エンジニアリング・プラクティスの使用 

− 互換性 

互換性のある操作特性をもつコンポーネントの使用 

注記1 液圧式,又は空圧式バルブのようなコンポーネントは,開閉しない,又は許容できない開閉

時間の増加による故障を回避するために定期的な開閉が必要となることがある。この場合,

定期的な試験が必要になる。 

− 特定の環境条件への耐性 

全ての予想される環境条件及び予見可能な悪条件,例えば,温度,湿度,振動及び電磁障害(EMI),で

作動することができるようにSRP/CSを設計する[JIS B 9705-2のD.2(障害の除外)参照]。 

− 適切な規格で設計され,かつ,明確に定義されている故障モードをもつコンポーネントの使用 

特定の特性をもつコンポーネントの使用によって,未検出障害のリスクを低減させる[JIS C 0508-7の

B.3.3(十分な実績のある構成部品の使用)参照]。 

さらに,SRP/CSの複雑性及びそのPLを考慮して,次の方策の一つ以上を適用する。 

− ハードウェアのデザインレビュー(例えば,検査又はウォークスルーによる) 

レビュー及び分析によって仕様書と実装との間の矛盾を明らかにする{JIS C 0508-7のB.3.7[検査(レ

ビュー及び解析)]及びB.3.8(ウォークスルー)参照}。 

− シミュレーション又は分析が可能なコンピュータ支援設計ツール(CAD) 

設計手順を系統的に実行し,かつ,既に利用され,試験されている適切な自動的構築要素を含む[JIS C 

0508-7のB.3.5(コンピュータ支援設計ツール)参照]。 

− シミュレーション 

機能上の性能及びそのコンポーネントの正しい寸法の両方に関して,SRP/CS設計の系統的で完全な検

査を実行する[JIS C 0508-7のB.3.6(シミュレーション)参照]。 

注記2 JIS C 0508-2の附属書F(ASICの技法及び手段−決定論的原因故障の回避)は,ASIC,FPGA,

PLDなどの設計及び開発段階におけるシステマティック故障の回避のための技法及び方策に

ついて規定している。 

 

G.4 

SRP/CSを組み込む場合のシステマティック故障の回避の方策 

SRP/CSを組み込む場合には,次の方策を適用することが望ましい。 

− 機能試験 


64 

B 9705-1:2019 (ISO 13849-1:2015) 

 

− プロジェクト管理 

− 文書化 

さらに,SRP/CS及びそのPLの複雑さを考慮して,ブラックボックス試験を適用することが望ましい。 

 


65 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書H 
(参考) 

制御システムにおける複数の安全関連部の組合せ例 

 

図H.1は,機械アクチュエータを制御する機能の一つを示すための安全関連部の概念図である。同図は,

機能又は動作を示すのでなく,この一機能のカテゴリ及び技術方式の組合せの原理だけを説明している。 

制御系は,電子式制御論理及び液圧式方向制御バルブによって構成される。リスクは,AOPDによって

低減されており,光ビームが遮断されると,危険状態へのアクセスが検知され,液圧アクチュエータの起

動が防止される。 

安全機能を提供する安全関連部は,AOPD,電子制御論理,液圧方向制御バルブ及び相互接続手段であ

る。 

この組合せによる安全関連部は,安全機能として停止機能を備えている。AOPDが遮断された場合,そ

の出力は電子制御論理に発信され,電子制御論理は信号を液圧方向制御バルブへ伝送し,液圧方向制御バ

ルブはその信号をSRP/CSの出力として受け取り,流体の流れを停止する。機械においては,これは液圧

アクチュエータの危険な動きを停止することになる。 

安全関連部のこの組合せは,箇条6の要求事項に基づく異なるカテゴリ及び技術方式の組合せによって

達成される安全機能の証明となる。この規格の原則を使用することによって,図H.2に示す安全関連部は

次のように表すことができる。 

− 電気検知保護装置(ライトカーテン)は,カテゴリ2,PL=cである。障害の発生確率を低減するた

めに“十分吟味された”安全原則を使用する。 

− 電子式制御論理は,カテゴリ3,PL=dである。この電子式制御論理の安全性能レベルを向上させる

ためにSRP/CSの構成を冗長系として,それによって単一障害のほとんどを検出することができるよ

うな複数の障害に対する検出方策を実施している。 

− 液圧方向制御バルブは,カテゴリ1,PL=cである。“十分吟味された”状態は,主に適用によって特

定される。この例では,バルブが“十分吟味された”ものとして考えられている。障害の発生確率を

低減するために,この装置は“十分吟味された”安全原則の使用の適用による“十分に吟味された”

コンポーネントで構成され,かつ,全ての適用条件を考慮している(6.2.4参照)。 

 

注記1 接続手段の位置,大きさ及びレイアウトも考慮しなければならない。 

この組合せでは,PLlowがcであり(PLlow=c),PLlowの数が2(Nlow=2)なので,全パフォーマンスレ

ベルPLは,c(PL=c)となる(6.3参照)。 

注記2 図H.2でカテゴリ1又はカテゴリ2の部分に単一障害が発生した場合,安全機能を喪失する

場合がある。 

 

 

 

 

 

 


66 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

AOPD 能動的光電保護装置(例えば,ライトカーテン)。SRP/CSa:カテゴリ2[タイプ2(JIS B 9704-1)],PL=c 

電子式制御論理によるSRP/CSb:カテゴリ3,PL=d 

液圧式によるSRP/CSc:カテゴリ1,PL=c 

Fa 

液圧アクチュエータ 

危険な動き 

 

図H.1−例−SRP/CSの組合せを説明するためのブロックダイアグラム 

 

 

 

 

 

 

 

 

 

 

 


67 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

AOPD 

能動的光電保護装置(例えば,ライトカーテン) 

電子式制御論理系 

液圧系 

I,I1,I2 

入力装置(例えば,センサ) 

L,L1,L2 

論理 

O,O1,O2,OTE 出力装置(例えば,主接触器) 
TE 

試験装置 

 

図H.2−指定アーキテクチャによる図H.1の具体的構成図 

 


68 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書I 

(参考) 

事例 

 

I.1 

一般 

この附属書は,安全機能を同定し,かつ,PLを決定するために,附属書A〜附属書Hで示した方法の

使用例を示す。二つの制御回路の定量化が示される。ステップの手順は,図3参照。 

異なる機械の制御回路の二つの事例(A及びB)を審査する(図I.1及び図I.3参照)。両図共にインタ

ーロック付きガードのドアをもち,同じ安全機能の性能を説明しているが,これらは用途における違いか

ら異なるPLrとなっている。最初の事例は,MTTFD=“中”及び“高”の電気機械式コンポーネントの単

一チャネルとして構成されている。第2の事例は,2チャネルシステムで構成されている。一方のチャネ

ルは電気機械式で,他方のチャネルはプログラマブル電子式である。この二つのチャネルはMTTFD=“中”

及び“高”のコンポーネントで構成され,適切な診断試験をもつ。 

 

I.2 

安全機能及び要求パフォーマンスレベルPLr 

両事例に対して,ガードドアインターロック装置の安全機能の要求事項は次のようにすることができる。 

インターロックガードのドアが開くと危険な動きは停止する(モータの減速又は非通電による。)。 

注記 事例Bに対して,リスクアセスメントによって機能不良(SW2,CC又はPLC)の結果として

モータの減速制御の喪失が受入れ可能であると決定された。 

機械の停止性能に基づき,インターロックガードと機械の可動部分との間の最小距離はJIS B 9715に従

って決定する。 

事例Aに対しては,リスクグラフ法(図A.1参照)によるリスクパラメータは,次のとおりである。 

− 傷害のひどさ:S=S2(重症) 

− 危険源への暴露頻度及び/又は暴露時間:F=F1(まれ〜低頻度,及び/又は暴露時間は短い) 

− 危険源回避の可能性:P=P1(特定の条件で可能) 

これらリスクパラメータの選定によって,要求パフォーマンスレベルはPLr=cとなる。 

推奨カテゴリの決定:パフォーマンスレベルcは,高く信頼できる単一チャネルシステム(カテゴリ1),

試験機能付き単一チャネルシステム(カテゴリ2)又は冗長系のアーキテクチャ(カテゴリ3)によって,

達成することができる(図5及び箇条6参照)。 

事例Bに対しては,リスクパラメータS2及びP1は同一であるが,危険源への暴露頻度及び/又は暴露

時間についてはF=F2で,高頻度〜連続,及び/又は暴露時間は長い。 

この決定によって,要求パフォーマンスレベルPLr=dとなる。 

推奨カテゴリの決定:パフォーマンスレベルdは,冗長系のアーキテクチャ(カテゴリ2又はカテゴリ

3)によって,達成することができる(図5及び箇条6参照)。 

 

I.3 

事例A,単一チャネルシステム 

I.3.1 

安全関連部の特定 

ガードインターロックの安全機能に寄与する全てのコンポーネントを図I.1に示す。 

安全機能に寄与しない他のコンポーネント(例えば,起動及び停止スイッチ)は,省略してある。 


69 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

ガードインターロック開 

ガードインターロック閉 

モータ 

K1A 

コンタクタリレー 

SW1A 位置スイッチ(ノーマルクローズ) 

直流電源 

交流電源 

   直接開路 

 

図I.1−安全機能を遂行する制御回路A 

 

この事例では,直接開路動作付き位置スイッチSW1Aをポジティブモード作動に使用する。ただし,機

械部品に対しては,障害の除外は正当化されない。位置スイッチはコンタクタリレーK1Aに接続されてい

て,K1Aはモータへの電源を遮断することができる。この安全関連部の主な特徴は,次のとおりである。 

− 電気機械式コンポーネントの単一チャネル 

− 位置スイッチSW1A(NC)は,ポジティブな機械式動作の接点をもち,高B10Dである。 

− コンタクタリレーK1Aは,高B10Dである。 

この例における位置スイッチ及びコンタクタリレーは,JIS B 9705-2に従って実装する場合,“十分吟味

された”コンポーネントである。 

安全関連部は,図I.2で示すように,安全関連ブロックダイアグラムで図示できる。 

 

 

 

記号の説明 

K1A 

コンタクタリレー 

SW1A 位置スイッチ 
 

図I.2−事例Aの安全関連部を特定するための安全関連ブロックダイアグラム 

 

I.3.2 

MTTFD,DCavg,共通原因故障(CCF)に対する方策,カテゴリ,PLの定量化 

MTTFD,DCavg,及び共通原因故障(CCF)に対する方策の値は,附属書C,附属書D,附属書E及び附


70 

B 9705-1:2019 (ISO 13849-1:2015) 

 

属書Fに従って見積もる,又は製造業者によって示されることを仮定している。カテゴリは,6.2に従っ

て見積もる。 

− MTTFD 

位置スイッチSW1A及びコンタクタリレーK1Aは,当該単一チャネルのMTTFDに寄与する。SW1Aの

B10Dの値=20 000 000サイクル(負荷のない状態の位置スイッチ),及びK1AのB10Dの値=400 000サイク

ル(最大負荷のコンタクタリレー)は,製造業者によって示されることを仮定している。C.4.2の方法を適

用し,年間220日の運転日数,1日8時間の運転時間及びサイクルタイム60分とすると,SW1AのMTTFD

=113 636年,K1AのMTTFD=2 273年となる。D.1のパーツ・カウント・メソッドを使用すると当該単一

チャルのMTTFdは,次のように計算される。 

 

45

000

.0

273

2

1

636

113

1

MTTF

1

MTTF

1

MTTF

1

K1A

D,

SW1A

D,

D

 ·· (I.1) 

 

式(I.1)から,当該チャネルのMTTFD=2 222年(100年に制限される。)が導き出され,4.5.2,表4に従

いそのチャネルは“高”となる。 

注記 SW1A又はK1Aに関してB10Dの情報がない場合,C.2又はC.4に従って最悪ケースを想定する。 

− T10D 

C.4.2に示される方法によって,SW1AのT10D=11 364年,K1AのT10D=227年となり,両方の値とも20

年の使命時間を超える。ゆえに,予防のための交換の必要性を低減している。 

− DC 

制御回路Aでは,診断試験がされないので,4.5.3,表6に従いDC=0又は“なし”となる。 

− CCF 

単一チャネルだけが使用されるので,CCFに対する方策は関係ない。 

− カテゴリ 

カテゴリ1の特徴(基本及び十分吟味された安全原則,十分吟味されたコンポーネント)は,当該チャ

ネルのMTTFD=“高”であることを含み,満たされる。 

図5に対する入力データ:チャネルのMTTFDは,“高”(100年),DCavgは“なし”,及びカテゴリは1

である。 

図5を使用して,これはパフォーマンスレベルPL=cと解釈される。 

附属書Kを適用すると,単位時間当たりの平均危険側故障発生の平均確率(PFHD)=1.14×10−6で,PL

=cとなる。 

この結果は,I.2による要求パフォーマンスレベルPLr=cに適合する。よって,この制御回路Aは,I.2

の適用例A(S2,F1,P1,及びPLr=c)のリスク低減の要求事項を満たす。 

 

I.4 

事例B,冗長システム 

I.4.1 

安全関連部の特定 

ガードインターロックの安全機能に寄与する全てのコンポーネントは,図I.3で示される。 

安全機能に寄与しない他のコンポーネント(例えば,起動若しくは停止スイッチ,又はK1Bの遅れスイ

ッチ)は,省略してある。 

 


71 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

PLC 

プログラマブルロジックコントローラ 

CS 

停止信号(標準) 

CC 

電流変換器 

ES 

イネーブル(標準) 

モータ 

K1B 

コンタクタリレー 

RS 

回転センサ 

SW1B 位置スイッチ(ノーマルクローズ) 

ガードインターロック開 

SW2 

位置スイッチ(ノーマルオープン) 

ガードインターロック閉 

 

直接開路 

 

図I.3−安全機能を遂行する制御回路B 

 

この第2の事例では,冗長系を提供するために,2チャネルを用いている。事例Aに示されているよう

に,第1チャネルは,ポジティブモード作動で構成される直接開路動作の位置スイッチSW1Bを含む。こ

の位置スイッチはモータへの電源を遮断できるコンタクタリレーK1Bに接続されている。電子式コンポー

ネント(プログラマブル)をもつ第2チャネルでは,第2の位置スイッチSW2は,モータの電源を遮断す

るために電流変換器(CC)に指令を発するプログラマブルロジックコントローラ(PLC)に接続されてい

る。 

この安全関連部の主な特徴は,次のとおりである。 

− 冗長チャネルであり,一つが電気機械式であり,もう一つはプログラマブル電子式である。 

− 位置スイッチSW1B(NC)だけが,ポジティブな機械的作用の接点をもつ。位置スイッチSW1B及び

SW2は,高B10Dである。 

− コンタクタリレーK1Bは,MTTFD=“高”である。 

− 電子式コンポーネントPLC,及びCCは,MTTFD=“中”である。 

− PLCの安全関連アプリケーションソフトウェア(SRASW),例えば,SW2,K1B,RSの入力信号及び

電流変換器への出力信号の監視に関連する部分は,PLr=dに対して4.6.3に従い指定し,設計し,か

つ,検証する。 

安全関連部及びその各チャネルへの分割は,図I.4で示す安全関連部ブロックダイアグラムで表すこと

ができる。したがって,SW1B及びK1Bは,第1のチャネルを構成し,SW2,PLC及びCCは,第2チャ

ネルを構成する。RSは,電流変換器を試験するためにだけ使用される。 


72 

B 9705-1:2019 (ISO 13849-1:2015) 

 

 

 

記号の説明 

SW1B 位置スイッチ 
K1B 

コンタクタリレー 

SW2 

位置スイッチ 

PLC 

プログラマブルロジックコントローラ 

CC 

電流変換器 

RS 

回転センサ 

 

図I.4−事例Bの安全関連部を特定するためのブロックダイアグラム 

 

I.4.2 

各チャネルのMTTFD,DCavg,CCFに対する方策,カテゴリ及びPLの定量化 

各チャネルのMTTFD,DCavg及び共通原因故障に対する方策の値は,附属書C,附属書D,附属書E及

び附属書Fに従って見積もるか,又は製造業者が提供することを仮定している。カテゴリは,6.2によっ

て決定する。 

位置スイッチSW1Bは,直接開路動作をもち,かつ,ポジティブモードの作動で使用されるが,機械部

品に対しては障害の除外はない。 

− MTTFD 

位置スイッチSW1B及びコンタクタリレーK1Bは,第1チャネルのMTTFD,C1に寄与する。SW1BのB10D

の値=20 000 000サイクル(負荷なし位置スイッチ)及びK1BのB10Dの値=400 000サイクル(最大負荷

のコンタクタリレー)が製造業者によって提供されることを仮定している。C.4.2の方法を適用し,年間

300日の運転日数,1日16時間の運転時間及びサイクルタイム4分とすると,SW1BのMTTFD=2 778年,

K1BのMTTFD=56年となる。D.1のパーツ・カウント・メソッドを使用すると第1チャネルのMTTFD,C1

は,次のように計算される。 

 

2

018

.0

56

1

778

2

1

MTTF

1

MTTF

1

MTTF

1

K1B

D,

SW1B

D,

C1

D,

  (I.2) 

 

式(I.2)から,第1チャネルのMTTFD=55年が算出され,4.5.2,表4に従いMTTFD=“高”となる。 

第2チャネルにおいて,SW2,PLC及びCCは,全てMTTFD,C2に寄与している。SW2のB10D=1 000 000

サイクルは,製造業者によって提供されることを仮定している。第1チャネルにC.4.2の方法を適用する

ことで,SW2のMTTFD=139年が求められる。PLC及びCCに対しては,MTTFD=20年が製造業者によ

って提供されることを仮定している。D.1のパーツ・カウント・メソッドを使用すると第2チャネルの


73 

B 9705-1:2019 (ISO 13849-1:2015) 

 

MTTFD,C2は,次のように計算される。 

2

107

.0

20

1

20

1

139

1

MTTF

1

MTTF

1

MTTF

1

MTTF

1

CC

D,

PLC

D,

SW2

D,

C2

D,

 (I.3) 

 

式(I.3)から,当該チャネルのMTTFD=9.3年が算出され,4.5.2に従いMTTFD=“低”となる。 

注記 SW1B,SW2又はK1Bに関してMTTFDの情報がない場合,C.2又はC.4に従って最悪ケースを

想定する。 

両方のチャネルは,互いに異なるMTTFD値をもつので,対称2チャネルシステムに対しては同等とみ

なされるMTTFDの値を計算するために,D.2の式(D.2)を使用することができる。式(D.2)から,各チャネ

ルはMTTFD=37年となり,4.5.2,表4からチャネルは“高”が導き出される。 

− T10D 

C.4.2に示される方法によって,SW1BのT10D=278年,K1BのT10D=5.5年,及びSW2のT10D=13.9年

となり,K1B及びSW2の値とも20年の使命時間未満となる。ゆえに,PL及びPFHの見積りは,それぞ

れK1Bが5.5年,また,SW2が13.9年以内に交換される場合にだけ有効となる。 

− DC 

制御回路Bでは,安全関連部のうちの五つがPLCによって試験される。この試験はPLCによってリー

ドバックされるSW1B,SW2及びK1Bの三つ,RSを経由してPLCによってリードバックされるCC,並

びに自己試験を実施するPLCで構成される。試験する全ての部分に関連するDC値は,次のとおりである。 

1) プロウザビリティ(確かさ)チェックによって,DCSW1B=DCSW2=99 %,“高”である。表E.1参照(入

力装置部の2行目) 

2) DCK1B=99 %,“高”であり,ノーマルオープン及びノーマルクローズの機械的結合の接点による。表

E.1参照(入力装置部の2行目)。 

3) DCPLC=30 %,“なし”であり,自己試験の低有効性による(PLCの製造業者が,例えば,FMEAによ

ってこの値を計算したことを仮定している。)。 

4) DCCC=90 %,“中”であり,制御論理によるアクチュエータの間接監視をもつ。表E.1参照(出力装

置部の6行目)。PLCがCCの故障を監視する場合,イネーブル(標準)信号の停止で動きを停止させ

ることができ,コンタクタリレーK1Bを無励磁化させることができる(追加のシャットダウンパス)。 

PLの見積りに対して,図5の入力として平均DC値(DCavg)が必要となる。 

 

%

9.

67

13

.0

09

.0

20

1

20

1

139

1

56

1

778

2

1

20

9.0

20

3.0

139

99

.0

56

99

.0

778

2

99

.0

MTTF

1

MTTF

1

MTTF

1

MTTF

1

MTTF

1

MTTF

DC

MTTF

DC

MTTF

DC

MTTF

DC

MTTF

DC

DC

CC

D,

PLC

D,

SW2

D,

K1B

D,

SW1B

D,

CC

D,

CC

PLC

D,

PLC

SW2

D,

SW2

K1B

D,

K1B

SW1B

D,

SW1B

avg

  (I.4) 

 

よって,DCavgは,4.5.3及び表6に従って“低”となる。 

− CCF 

F.2に従いCCF に対する方策の見積りについて,制御回路Bのスコアを表I.1に示す。 

 


74 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表I.1−事例Bに対するCCF方策の見積り 

No 

アイテム 

制御回路のスコア 

最大可能スコア 

分離又は隔離 

 

 

 

信号経路間の物理的な分離 

15 

15 

多様性(ダイバーシティ) 

 

 

 

異なる技術的方式,設計又は物理的原理の使用 

20 

20 

設計,適用又は経験 

 

 

3.1 

過電圧,過圧,過電流,過熱などに対する保護 

15 

15 

3.2 

使用のコンポーネントは,“十分吟味されている” 

なし 

(部分的にだけ満足

する。F.2参照) 

査定・分析 

 

 

 

制御システムの安全関連部の各部に対して,FMEAが実施
されており,その結果は,設計段階においてCCFを回避す
るために考慮されている。 

なし 

適格性(能力),訓練 

 

 

 

CCFの原因及び結果を理解できるような設計者の訓練 

なし 

環境面 

 

 

6.1 

電気/電子システムに対して,適切な規格(例えば,IEC 
61326-3-1)に従ったCCFに対する汚染防止及び電磁妨害の
防止(EMC)。 

25 

25 

6.2 

他の影響 
温度,衝撃,振動,湿度(例えば,関連の規格で規定され
るように)のような全ての環境関連の影響に対して耐性の
要求事項を考慮する。 

10 

10 

 

合計 

85 

最大 

100 

 

CCFに対する十分な方策には,最低のスコア65が必要である。事例Bでは,スコア85はCCFに対す

る要求事項を満たす。 

制御回路のいずれかの部分での単一障害は,安全機能の喪失にはつながらず,合理的に実施可能な場合

はいつでも,単一障害は,安全機能に対する次の動作要求時又はその前に検出され,診断範囲(DC)は,

60 %から90 %までの範囲にあり,CCFに対する方策は十分であり,かつ,各チャネルと同等なMTTFD=

“高”のため,カテゴリ3の特性は満たされる。 

図5に対する入力データ:チャネルのMTTFDは,“高”(37年),DCavgは,“低”,及びカテゴリは3で

ある。 

図5を使用して,これは,パフォーマンスレベルPL=dと解釈できる。 

附属書Kを適用(36年使用)すると,単位時間当たりの平均危険側故障発生の平均確率(PFHD)=5.16

×10−7で,PL=dとなる。 

この結果は,I.2による要求パフォーマンスレベルPLr=dに適合する。よって,制御回路Bは,I.2の適

用例B(S2,F2,P1及びPLr=d)のリスク低減の要求事項を満たす。 

 


75 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書J 

(参考) 

ソフトウェア 

 

J.1 

事例の記述 

この附属書は,要求パフォーマンスレベルPLr=dにおける制御システムの安全関連部(SRP/CS)の安

全関連組込みソフトウェア(SRESW)実現のための模範的な活動を提示する。SRP/CSは,機械装置に連

結され,次を保証する。 

− 種々のセンサによって送られる取得情報 

− 安全要求事項を考慮に入れながら制御要素の操作が求められる処理 

− アクチュエータの制御 

ファンクションブロックレベル上でのこの適用のSRESWの設計は,図J.1に示すとおりである。 

 

 

図J.1−ソフトウェアのファンクションブロックレベルでの設計の事例 

 

J.2 

ソフトウェア安全ライフサイクルのVモデルへの適用 

表J.1は,機械制御のためのソフトウェア安全ライフサイクルのVモデルへの適用における総合的な活

動及び文書を模範的に示す。 

 

センサ 

インタフェース 

 
取得情報 

センサ1 

 
取得情報 

センサ2 

 
取得情報 

センサ3 

 
取得情報 

センサ4 

 
取得情報 

センサ5 

処理 

機能2 

出力情報 

アクチュエー

タ3 

処理 

機能1 

出力情報 

アクチュエー

タ1 

出力情報 

アクチュエー

タ2 


76 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表J.1−ソフトウェア安全ライフサイクルにおける活動及び文書 

開発活動 

検証活動 

関連する文書 

機械の側面: 
SRP/CSに関わる機能の同定 

安全関連機能の同定 

“機械制御のための安全関連
仕様” 

アーキテクチャの側面: 
センサ及びアクチュエータの制御アーキ
テクチャの定義 

選択するコンポーネントの安全特性に
関するコメント 

“制御アーキテクチャの定
義” 

ソフトウェア仕様の側面: 
ソフトウェア機能への機械機能の転写 

記述の再読(J.3参照) 

“ソフトウェアの記述” 

ソフトウェアアーキテクチャの側面: 
ファンクションブロックで機能を詳細に。 

より大きい見直し及び妥当性確認の努
力の対象となる重要なブロックの定義 

“ファンクションブロックの
モデリング” 

符号化の側面: 
プログラミング規則に従う符号化(J.4参
照) 

コードの再読。機能の検証及び規則へ
の適合 

“コード中のコメントの符号
化” 
“再読シートの符号化” 

妥当性確認の側面: 
試験シナリオの作成: 
機能の操作側面 
失敗における挙動側面 

試験範囲の検証 
試験結果の検証 

相互参照仕様パラグラフ及び
試験の“対応行列” 
試験シナリオ及び獲得した結
果のコメントを包括した“試
験シート” 

 

J.3 

ソフトウェア仕様の検証 

ソフトウェア安全ライフサイクルの一部として,ソフトウェア仕様レベルにおける検証活動には,細心

の注意を払う必要がある全てのポイントが正しく記述されていることの検討が含まれる。 

各機能を検証するときは,次を考慮することが望ましい。 

− システム仕様に関して誤りの解釈が生じた場合の制限 

− 制御システムの安全関連部(SRP/CS)の先天的な未知の挙動でもたらされる仕様上の欠落の回避 

− 機能の活性化(起動)及び不活性化(非起動)の条件の正確な定義 

− 可能な全てのケースが処理されることの正確な保証 

− 一貫性テスト 

− 異なるパラメータ化の場合 

− 故障時に引き続いて起こる反応 

 

J.4 

プログラミング規則の事例 

共通原因故障(CCF)に対して,一般に,作者によるプログラム,ロード年月日,バージョン及びアク

セスの最後の種類の信ぴょう性確認を可能にすることが望ましい。プログラミング規則に関して,次の規

則で区別することが可能である。 

a) プログラム構造レベルでのプログラミング規則 

異なる処理を容易に局所化し,一貫して,かつ,理解できる一般的な骨組みを表すためにプログラミン

グを構造化することが望ましい。これには,次を含む。 

1) 代表的なプログラム又はファンクションブロック用のテンプレート(定規)の使用 

2) “入力”,“処理”及び“出力”に対応する主要部分を同定するために,セグメントでのプログラム

の分割 

3) プログラムのアップデートを容易にするためのソースプログラム内の各セクションのコメント 


77 

B 9705-1:2019 (ISO 13849-1:2015) 

 

4) ファンクションブロックが呼ばれたときに果たす役割の記述 

5) メモリ領域は単一種のデータ形だけによって使用されて,かつ,ユニークなラベルによって印され

ることが望ましい。かつ, 

6) 動作シーケンスは,プログラムの実行時に計算されるジャンプアドレスのような変数に依存するの

ではなく,条件付きジャンプによって権限が付与されることが望ましい。 

b) 変数の使用に関するプログラミング規則 

− 全ての出力の活性化(起動)又は不活性化(非起動)は,1か所だけで行われることが望ましい(条

件の集中化)。 

− 変数をアップデートするための式は,集中化されるように構造化することが望ましい。 

− 入力又は出力の各グローバル変数は,ニューモニック・ネームにして十分に明白にし,かつ,ソース

中のコメントで説明することが望ましい。 

c) ファンクションブロックレベルでのプログラミング規則 

− 望ましくは,制御システムの安全関連部(SRP/CS)の供給者によって妥当性を確認されたファンクシ

ョンブロックを使用し,プログラムの状態に対応するこれらの妥当性を確認されたブロックに対して

想定される運転条件をチェックする。 

− コード化されたブロックの大きさは,次の参考値に制限することが望ましい。 

i)  パラメータ:最大8デジタル及び二つの整数の入力,一つの出力 

ii) 機能コード:最大10のローカル変数,最大20のブーリアン方程式 

− ファンクションブロックでグローバル変数の変更はしないほうがよい。 

− デジタル値は,正当性の領域を保証するためにプリセットベンチマークに関連して制御することが望

ましい。 

− ファンクションブロックは,処理される変数の不一致を検出することが望ましい。 

− 1ブロックの障害コードは,一つの障害を他から識別するのにアクセスしやすくすることが望ましい。 

− 障害検出後の障害コード及びブロックの状況は,コメントで説明することが望ましい。 

− ブロックのリセット又は正規の状態への回復は,コメントで説明することが望ましい。 

 


78 

B 9705-1:2019 (ISO 13849-1:2015) 

 

附属書K 

(参考) 

図5の数の表現 

 

表K.1参照。 

 

 


79 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表K.1−図5の数値 

 

危険側故障の平均確率(1/h)及び対応のパフォーマンスレベルPL 

各チャネルの

MTTFD 

年 

カテゴリB  PL 

DCavg=“なし” 

カテゴリ1  PL 

DCavg=“なし” 

カテゴリ2  PL 

DCavg=“低” 

カテゴリ2  PL 

DCavg=“中” 

カテゴリ3  PL 

DCavg=“低” 

カテゴリ3  PL 

DCavg=“中” 

カテゴリ4  PL 

DCavg=“高” 

3.80×10−5   a  

2.58×10−5   a 1.99×10−5   a 1.26×10−5   a  6.09×10−6   b  

3.3 

3.46×10−5   a  

2.33×10−5   a 1.79×10−5   a 1.13×10−5   a  5.41×10−6   b  

3.6 

3.17×10−5   a  

2.13×10−5   a 1.62×10−5   a 1.03×10−5   a  4.86×10−6   b  

3.9 

2.93×10−5   a  

1.95×10−5   a 1.48×10−5   a 9.37×10−6   b 4.40×10−6   b  

4.3 

2.65×10−5   a  

1.76×10−5   a 1.33×10−5   a 8.39×10−6   b 3.89×10−6   b  

4.7 

2.43×10−5   a  

1.60×10−5   a 1.20×10−5   a 7.58×10−6   b 3.48×10−6   b  

5.1 

2.24×10−5   a  

1.47×10−5   a 1.10×10−5   a 6.91×10−6   b 3.15×10−6   b  

5.6 

2.04×10−5   a  

1.33×10−5   a 9.87×10−6   b 6.21×10−6   b 2.80×10−6   c  

6.2 

1.84×10−5   a  

1.19×10−5   a 8.80×10−6   b 5.53×10−6   b 2.47×10−6   c  

6.8 

1.68×10−5   a  

1.08×10−5   a 7.93×10−6   b 4.98×10−6   b 2.20×10−6   c  

7.5 

1.52×10−5   a  

9.75×10−6   b 7.10×10−6   b 4.45×10−6   b 1.95×10−6   c  

8.2 

1.39×10−5   a  

8.87×10−6   b 6.43×10−6   b 4.02×10−6   b 1.74×10−6   c  

9.1 

1.25×10−5   a  

7.94×10−6   b 5.71×10−6   b 3.57×10−6   b 1.53×10−6   c  

10 

1.14×10−5   a  

7.18×10−6   b 5.14×10−6   b 3.21×10−6   b 1.36×10−6   c  

11 

1.04×10−5   a  

6.44×10−6   b 4.53×10−6   b 2.81×10−6   c  1.18×10−6   c  

12 

9.51×10−6   b  

5.84×10−6   b 4.04×10−6   b 2.49×10−6   c  1.04×10−6   c  

13 

8.78×10−6   b  

5.33×10−6   b 3.64×10−6   b 2.23×10−6   c  9.21×10−7   d  

15 

7.61×10−6   b  

4.53×10−6   b 3.01×10−6   b 1.82×10−6   c  7.44×10−7   d  

16 

7.13×10−6   b  

4.21×10−6   b 2.77×10−6   c 1.67×10−6   c  6.76×10−7   d  

18 

6.34×10−6   b  

3.68×10−6   b 2.37×10−6   c 1.41×10−6   c  5.67×10−7   d  

20 

5.71×10−6   b  

3.26×10−6   b 2.06×10−6   c 1.22×10−6   c  4.85×10−7   d  

22 

5.19×10−6   b  

2.93×10−6   c 1.82×10−6   c 1.07×10−6   c  4.21×10−7   d  

24 

4.76×10−6   b  

2.65×10−6   c 1.62×10−6   c 9.47×10−7   d 3.70×10−7   d  

27 

4.23×10−6   b  

2.32×10−6   c 1.39×10−6   c 8.04×10−7   d 3.10×10−7   d  

30 

 

3.80×10−6   b 2.06×10−6   c 1.21×10−6   c 6.94×10−7   d 2.65×10−7   d 9.54×10−8   e 

33 

 

3.46×10−6   b 1.85×10−6   c 1.06×10−6   c 5.94×10−7   d 2.30×10−7   d 8.57×10−8   e 

 

4

2

 

B

 9

7

0

5

-1

2

0

1

9

 (I

S

O

 1

3

8

4

9

-1

2

0

1

5

 

 

 


80 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表K.1−図5の数値(続き) 

 

危険側故障の平均確率(1/h)及び対応のパフォーマンスレベルPL 

各チャネルの

MTTFD 

年 

カテゴリB  PL 

DCavg=“なし” 

カテゴリ1  PL 

DCavg=“なし” 

カテゴリ2  PL 

DCavg=“低” 

カテゴリ2  PL 

DCavg=“中” 

カテゴリ3  PL 

DCavg=“低” 

カテゴリ3  PL 

DCavg=“中” 

カテゴリ4  PL 

DCavg=“高” 

36 

 

3.17×10−6   b 1.67×10−6   c 9.39×10−7   d 5.16×10−7   d 2.01×10−7   d 7.77×10−8   e 

39 

 

2.93×10−6   c  1.53×10−6   c 8.40×10−7   d 4.53×10−7   d 1.78×10−7   d 7.11×10−8   e 

43 

 

2.65×10−6   c  1.37×10−6   c 7.34×10−7   d 3.87×10−7   d 1.54×10−7   d 6.37×10−8   e 

47 

 

2.43×10−6   c  1.24×10−6   c 6.49×10−7   d 3.35×10−7   d 1.34×10−7   d 5.76×10−8   e 

51 

 

2.24×10−6   c  1.13×10−6   c 5.80×10−7   d 2.93×10−7   d 1.19×10−7   d 5.26×10−8   e 

56 

 

2.04×10−6   c  1.02×10−6   c 5.10×10−7   d 2.52×10−7   d 1.03×10−7   d 4.73×10−8   e 

62 

 

1.84×10−6   c  9.06×10−7   d 4.43×10−7   d 2.13×10−7   d 8.84×10−8   e 4.22×10−8   e 

68 

 

1.68×10−6   c  8.17×10−7   d 3.90×10−7   d 1.84×10−7   d 7.68×10−8   e 3.80×10−8   e 

75 

 

1.52×10−6   c  7.31×10−7   d 3.40×10−7   d 1.57×10−7   d 6.62×10−8   e 3.41×10−8   e 

82 

 

1.39×10−6   c  6.61×10−7   d 3.01×10−7   d 1.35×10−7   d 5.79×10−8   e 3.08×10−8   e 

91 

 

1.25×10−6   c  5.88×10−7   d 2.61×10−7   d 1.14×10−7   d 4.94×10−8   e 2.74×10−8   e 

100 

 

1.14×10−6   c  5.28×10−7   d 2.29×10−7   d 1.01×10−7   d 4.29×10−8   e 2.47×10−8   e 

110 

 

 

 

 

 

 

2.23×10−8   e 

120 

 

 

 

 

 

 

2.03×10−8   e 

130 

 

 

 

 

 

 

1.87×10−8   e 

150 

 

 

 

 

 

 

1.61×10−8   e 

160 

 

 

 

 

 

 

1.50×10−8   e 

180 

 

 

 

 

 

 

1.33×10−8   e 

200 

 

 

 

 

 

 

1.19×10−8   e 

220 

 

 

 

 

 

 

1.08×10−8   e 

240 

 

 

 

 

 

 

9.81×10−9   e 

270 

 

 

 

 

 

 

8.67×10−9   e 

300 

 

 

 

 

 

 

7.76×10−9   e 

330 

 

 

 

 

 

 

7.04×10−9   e 

360 

 

 

 

 

 

 

6.44×10−9   e 

390 

 

 

 

 

 

 

5.94×10−9   e 

430 

 

 

 

 

 

 

5.38×10−9   e 

470 

 

 

 

 

 

 

4.91×10−9   e 

 

4

2

 

B

 9

7

0

5

-1

2

0

1

9

 (I

S

O

 1

3

8

4

9

-1

2

0

1

5

 

 

 


81 

B 9705-1:2019 (ISO 13849-1:2015) 

 

表K.1−図5の数値(続き) 

 

危険側故障の平均確率(1/h)及び対応のパフォーマンスレベルPL 

各チャネルの

MTTFD 

年 

カテゴリB  PL 

DCavg=“なし” 

カテゴリ1  PL 

DCavg=“なし” 

カテゴリ2  PL 

DCavg=“低” 

カテゴリ2  PL 

DCavg=“中” 

カテゴリ3  PL 

DCavg=“低” 

カテゴリ3  PL 

DCavg=“中” 

カテゴリ4  PL 

DCavg=“高” 

510 

 

 

 

 

 

 

4.52×10−9   e 

560 

 

 

 

 

 

 

4.11×10−9   e 

620 

 

 

 

 

 

 

3.70×10−9   e 

680 

 

 

 

 

 

 

3.37×10−9   e 

750 

 

 

 

 

 

 

3.05×10−9   e 

820 

 

 

 

 

 

 

2.79×10−9   e 

910 

 

 

 

 

 

 

2.51×10−9   e 

1 000 

 

 

 

 

 

 

2.28×10−9   e 

1 100 

 

 

 

 

 

 

2.07×10−9   e 

1 200 

 

 

 

 

 

 

1.90×10−9   e 

1 300 

 

 

 

 

 

 

1.75×10−9   e 

1 500 

 

 

 

 

 

 

1.51×10−9   e 

1 600 

 

 

 

 

 

 

1.42×10−9   e 

1 800 

 

 

 

 

 

 

1.26×10−9   e 

2 000 

 

 

 

 

 

 

1,13×10−9   e 

2 200 

 

 

 

 

 

 

1.03×10−9   e 

2 300 

 

 

 

 

 

 

9.85×10−10   e 

2 400 

 

 

 

 

 

 

9.44×10−10   e 

2 500 

 

 

 

 

 

 

9.06×10−10   e 

注記1 カテゴリ2に対して,動作要求率が診断試験率の1/25以下(4.5.4参照)の場合,カテゴリ2に対するこの表に指定するPFHDの値に1.1の係数を乗じた値を

最悪ケースの値として使用することができる。 

注記2 PFHD値の計算は,次のDCavgに基づいている。 

− DCavg=低のとき,60 % 
− DCavg=中のとき,90 % 
− DCavg=高のとき,99 % 

 

 

4

2

 

B

 9

7

0

5

-1

2

0

1

9

 (I

S

O

 1

3

8

4

9

-1

2

0

1

5

 

 

 


82 

B 9705-1:2019 (ISO 13849-1:2015) 

 

参考文献 

 

1 プログラマブル電子システムに関する文献 

[1] JIS B 9704-1 機械類の安全性−電気的検知保護設備−第1部:一般要求事項及び試験 

注記 対応国際規格:IEC 61496-1,Safety of machinery−Electro-sensitive protective equipment−Part 

1: General requirements and tests(IDT) 

[2] JIS B 9704-2 機械類の安全性−電気的検知保護設備−第2部:能動的光電保護装置を使う設備に対

する要求事項 

注記 対応国際規格:IEC 61496-2,Safety of machinery−Electro-sensitive protective equipment−Part 

2: Particular requirements for equipment using active opto-electronic protective devices (AOPDs)

(IDT) 

[3] JIS B 9704-3 機械類の安全性−電気的検知保護設備−第3部:拡散反射形能動的光電保護装置に対

する要求事項 

注記 対応国際規格:IEC 61496-3,Safety of machinery−Electro-sensitive protective equipment−Part 

3: Particular requirements for Active Opto-electronic Protective Devices responsive to Diffuse 

Reflection (AOPDDR)(IDT) 

[4] JIS C 0508-1 電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般要求事項 

注記 対応国際規格:IEC 61508-1,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 1: General requirements(IDT) 

[5] JIS C 0508-2 電気・電子・プログラマブル電子安全関連系の機能安全−第2部:電気・電子・プロ

グラマブル電子安全関連系に対する要求事項 

注記 対応国際規格:IEC 61508-2,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 2: Requirements for electrical/electronic/programmable electronic 

safety-related systems(IDT) 

[6] JIS C 0508-5 電気・電子・プログラマブル電子安全関連系の機能安全−第5部:安全度水準決定方

法の事例 

注記 対応国際規格:IEC 61508-5,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 5: Examples of methods for the determination of safety integrity levels

(IDT) 

[7] JIS C 0508-6 電気・電子・プログラマブル電子安全関連系の機能安全−第6部:第2部及び第3

部の適用指針 

注記 対応国際規格:IEC 61508-6,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

(IDT) 

[8] JIS C 0508-7 電気・電子・プログラマブル電子安全関連系の機能安全−第7部:技術及び手法の概

観 

注記 対応国際規格:IEC 61508-7,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 7: Overview of techniques and measures(IDT) 

[9] JIS C 61000-4-4 電磁両立性−第4-4部:試験及び測定技術−電気的ファストトランジェント/バ


83 

B 9705-1:2019 (ISO 13849-1:2015) 

 

ーストイミュニティ試験 

注記 対応国際規格:IEC 61000-4-4,Electromagnetic compatibility (EMC)−Part 4-4: Testing and 

measurement techniques−Electrical fast transient/burst immunity test(IDT) 

[10] IEC 61511-1,Functional safety−Safety instrumented systems for the process industry sector−Part 1: 

Framework, definitions, system, hardware and application programming requirements 

[11] Guidelines HSE Programmable Electronic Systems in Safety-related Applications, Parts 1(ISBN 0 11 883906 

6) and 2 (ISBN 0 11 883906 3) 

[12] CECR-184, Personal Safety in Microprocessor Control Systems (Elektronikcentralen, Denmark) 

 

2 他の文献 

[13] JIS B 3503 プログラマブルコントローラ−プログラム言語 

注記 対応国際規格:IEC 61131-3,Programmable controllers−Part 3: Programming languages(IDT) 

[14] JIS B 8361 油圧−システム及びその機器の一般規則及び安全要求事項 

注記 対応国際規格:ISO 4413,Hydraulic fluid power−General rules and safety requirements for 

systems and their components(IDT) 

[15] JIS B 8370 空気圧−システム及びその機器の一般規則及び安全要求事項 

注記 対応国際規格:ISO 4414,Pneumatic fluid power−General rules and safety requirements for 

systems and their components(IDT) 

[16] JIS B 9703 機械類の安全性−非常停止機能−設計原則 

注記 対応国際規格:ISO 13850,Safety of machinery−Emergency stop−Principles for design(IDT) 

[17] JIS B 9706(規格群) 機械類の安全性−表示,マーキング及び操作 

注記 対応国際規格:IEC 61310 (all parts),Safety of machinery−Indication, marking and actuation

(IDT) 

[18] JIS B 9710 機械類の安全性−ガードと共同するインターロック装置−設計及び選択のための原則 

注記 対応国際規格:ISO 14119,Safety of machinery−Interlocking devices associated with guards−

Principles for design and selection(IDT) 

[19] JIS B 9712 機械類の安全性−両手操作制御装置−機能的側面及び設計原則 

注記 対応国際規格:ISO 13851,Safety of machinery−Two-hand control devices−Functional aspects 

and design principles(IDT) 

[20] JIS B 9714 機械類の安全性−予期しない起動の防止 

注記 対応国際規格:ISO 14118,Safety of machinery−Prevention of unexpected start-up(IDT) 

[21] JIS B 9715 機械類の安全性−人体部位の接近速度に基づく安全防護物の位置決め 

注記 対応国際規格:ISO 13855,Safety of machinery−Positioning of protective equipment with respect 

to the approach speeds of parts of the human body(IDT) 

[22] JIS B 9717-1 機械類の安全性−圧力検知保護装置−第1部:圧力検知マット及び圧力検知フロアの

設計及び試験のための一般原則 

注記 対応国際規格:ISO 13856-1,Safety of machinery−Pressure-sensitive protective devices−Part 

1:General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors

(IDT) 

[23] JIS B 9960-1 機械類の安全性−機械の電気装置−第1部:一般要求事項 


84 

B 9705-1:2019 (ISO 13849-1:2015) 

 

注記 対応国際規格:IEC 60204-1,Safety of machinery−Electrical equipment of machines−Part 1: 

General requirements(MOD) 

[24] JIS C 0920 電気機械器具の外郭による保護等級(IP コード) 

注記 対応国際規格:IEC 60529,Degrees of protection provided by enclosures (IP code)(IDT) 

[25] JIS C 4421 可変速駆動システム(PDS)−電磁両立性(EMC)要求事項及び試験方法 

注記 対応国際規格:IEC 61800-3,Adjustable speed electrical power drive systems−Part 3: EMC 

requirements and specific test methods(MOD) 

[26] JIS C 5750-4-3 ディペンダビリティ マネジメント−第4-3部:システム信頼性のための解析技法

−故障モード・影響解析(FMEA)の手順 

注記 対応国際規格:IEC 60812,Analysis techniques for system reliability−Procedure for failure mode 

and effects analysis (FMEA)(IDT) 

[27] JIS C 8201(規格群) 低圧開閉装置及び制御装置 

注記 対応国際規格:IEC 60947 (all parts),Low-voltage switchgear and controlgear(MOD) 

[28] JIS C 61000-6-2 電磁両立性−第6-2部:共通規格−工業環境におけるイミュニティ規格 

注記 対応国際規格:IEC 61000-6-2,Electromagnetic compatibility (EMC)−Part 6-2: Generic 

standards−Immunity for industrial environments(MOD) 

[29] JIS Q 9001 品質マネジメントシステム−要求事項 

注記 対応国際規格:ISO 9001,Quality management systems−Requirements(IDT) 

[30] ISO 13856-2,Safety of machinery−Pressure-sensitive protective devices−Part 2: General principles for the 

design and testing of pressure-sensitive edges and pressure-sensitive bars 

[31] ISO 11428,Ergonomics−Visual danger signals−General requirements, design and testing 

[32] ISO 9355-1,Ergonomic requirements for the design of displays and control actuators−Part 1: Human 

interactions with displays and control actuators 

[33] ISO 9355-2,Ergonomic requirements for the design of displays and control actuators−Part 2: Displays 

[34] ISO 9355-3,Ergonomic requirements for the design of displays and control actuators−Part 3: Control 

actuators 

[35] ISO 11429,Ergonomics−System of auditory and visual danger and information signals 

[36] ISO 7731,Ergonomics−Danger signals for public and work areas−Auditory danger signals 

[37] ISO 19973 (all parts),Pneumatic fluid power−Assessment of component reliability by testing 

[38] ISO/TR24119,Safety of machinery−Evaluation of fault masking serial connection of interlocking devices 

associated with guards with potential free contacts 

[39] IEC 60447,Basic and safety principles for man-machine interface, marking and identification−Actuating 

principles 

[40] IEC 60812,Analysis techniques for system reliability−Procedure for failure mode and effects analysis 

(FMEA) 

[41] IEC 61810 (all parts),Electromechanical elementary relays 

[42] IEC 61300 (all parts),Fibre optic interconnecting devices and passive components−Basic test and 

measurement procedures 

[43] IEC 61131-3,Programmable controllers−Part 3: Programming languages 

[44] IEC 61326-3-1,Electrical equipment for measurement, control and laboratory use−EMC requirements−


85 

B 9705-1:2019 (ISO 13849-1:2015) 

 

Part 3-1: Immunity requirements for safety-related systems and for equipment intended to perform 

safety-related functions (functional safety)−General industrial applications 

[45] IEC 62046,Safety of machinery−Application of protective equipment to detect the presence of persons 

[46] EN 457,Safety of machinery−Auditory danger signals−General requirements, design and testing 

[47] EN 614-1,Safety of machinery−Ergonomic design principles−Part 1: Terminology and general principles 

[48] EN 982,Safety of machinery−Safety requirements for fluid power systems and their components−

Hydraulic 

[49] EN 983,Safety of machinery−Safety requirements for fluid power systems and their components−

Pneumatic 

[50] EN 1005-3,Safety of machinery−Human physical performance−Part 3: Recommended force limits for 

machinery operation 

[51] EN 1088,Safety of machinery−Interlocking devices associated with guards−Principles for design and 

selection 

[52] EN 50205,Relays with forcibly guided (mechanically linked) contacts 

[53] SN 29500 (all parts),Failure rates of components 

[54] GOBLE W.M. Control systems−Evaluation and Rehability. 2nd Edition. Instrument Society of 

America(ISA), North Carolina, 1998 

[55] BGIA-Report 2/ 2008e, Functional safety of machine controls−Application of ISO 13849, German Social 

Accident Insurance (DGUV), June 2009, ISBN 978-3-88383-793-2, free download in the Internet: 

www.dguv.de/ifa/13849e 

 

3 データベース 

[56] SN 29500,Failure rates of components, Edition 1999-11, Siemens AG 1999, www.pruefinstitut.de 

[57] IEC/TR 62380,Reliability data handbook−Universal model for reliability prediction of electronics 

components, PCBs and equipment, identical to RDF 2000/Reliability Data Handbook, UTE C 80-810, 

Union Technique de lʼElectricité et de la Communication (www.ute-fr.com) 

[58] Reliability Prediction of Electronic Equipment, MIL-HDBK-217E. Department of Defense, Washington 

DC,1982 

[59] Reliability Prediction Procedure for Electronic Equipment, Telcordia SR-332, Issue 01, May 

2001(telecom-info.telcordia.com), Bellcore TR-332, Issue 06 

[60] EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill Street, 

Rome, NY 13440 

[61] NPRD-95. Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201 Mill 

Street, Rome, NY 13440 

[62] British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom 

(HRD5, last issue) 

[63] Chinese Military Standard, GJB/z 299B