サイトトップへこのカテゴリの一覧へ

B 9705-2:2019 (ISO 13849-2:2012) 

(1) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

目 次 

ページ 

序文 ··································································································································· 1 

1 適用範囲························································································································· 2 

2 引用規格························································································································· 2 

3 用語及び定義 ··················································································································· 3 

4 妥当性確認プロセス ·········································································································· 3 

4.1 妥当性確認原則 ············································································································· 3 

4.2 妥当性確認計画 ············································································································· 4 

4.3 包括的な障害リスト ······································································································· 5 

4.4 個別の障害リスト ·········································································································· 5 

4.5 妥当性確認の情報 ·········································································································· 5 

4.6 妥当性確認記録 ············································································································· 7 

5 分析による妥当性確認 ······································································································· 7 

5.1 一般 ···························································································································· 7 

5.2 分析技法 ······················································································································ 7 

6 試験による妥当性確認 ······································································································· 8 

6.1 一般 ···························································································································· 8 

6.2 測定の正確さ ················································································································ 9 

6.3 より厳格な要求事項 ······································································································· 9 

6.4 試験サンプルの数 ·········································································································· 9 

7 安全機能に対する安全要求仕様の妥当性確認 ········································································· 9 

8 安全機能の妥当性確認 ······································································································ 10 

9 パフォーマンスレベル及びカテゴリの妥当性確認 ·································································· 10 

9.1 分析及び試験 ··············································································································· 10 

9.2 カテゴリの仕様に関する妥当性確認·················································································· 11 

9.3 MTTFD,DCavg及びCCF ································································································ 13 

9.4 SRP/CSのパフォーマンスレベル及びカテゴリに関連するシステマティック故障に対する方策の 

  妥当性確認 ··················································································································· 13 

9.5 安全関連ソフトウェアの妥当性確認·················································································· 14 

9.6 パフォーマンスレベルの妥当性確認及び検証 ······································································ 14 

9.7 安全関連部の組合せの妥当性確認····················································································· 15 

10 環境要求事項の妥当性確認 ······························································································ 15 

11 保全要求事項の妥当性確認 ······························································································ 16 

12 技術文書及び使用上の情報に対する妥当性確認 ··································································· 16 

附属書A(参考)機械システムに対する妥当性確認ツール ·························································· 17 

附属書B(参考)空圧システムに対する妥当性確認ツール ··························································· 21 

B 9705-2:2019 (ISO 13849-2:2012) 目次 

(2) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ページ 

附属書C(参考)液圧システムの妥当性確認ツール ··································································· 30 

附属書D(参考)電気システムの妥当性確認ツール ··································································· 38 

附属書E(参考)障害の挙動及び診断手段の妥当性確認の例 ························································ 49 

参考文献 ···························································································································· 73 

B 9705-2:2019 (ISO 13849-2:2012) 

(3) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

まえがき 

この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人日本機械工業連合会(JMF)か

ら,工業標準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,

厚生労働大臣及び経済産業大臣が制定した日本工業規格である。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。厚生労働大臣,経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の

特許出願及び実用新案権に関わる確認について,責任はもたない。 

JIS B 9705の規格群には,次に示す部編成がある。 

JIS B 9705-1 第1部:設計のための一般原則 

JIS B 9705-2 第2部:妥当性確認 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

日本工業規格          JIS 

B 9705-2:2019 

(ISO 13849-2:2012) 

機械類の安全性−制御システムの安全関連部− 

第2部:妥当性確認 

Safety of machinery-Safety-related parts of control systems- 

Part 2: Validation 

序文 

この規格は,2012年に第2版として発行されたISO 13849-2を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。 

この規格は,制御システムの安全関連部に求められる安全機能,カテゴリ及びパフォーマンスレベルの

妥当性確認プロセスを指定する。 

制御システムの安全関連部の妥当性確認は,分析(箇条5)及び試験(箇条6)の組合せによって達成す

ることができ,また,試験が実施されるべき特定の環境を指定する。 

この規格の手順及び条件のほとんどは,JIS B 9705-1の4.5.4に規定されているPLを見積もるための単

純化した手順を使用することを仮定している。 

この規格は,PLを見積もるための他の手順(例えば,マルコフモデル)を使用する状況に対する手引き

を提供するものではない。その場合に,その規定の幾つかは適用されず,追加要件が必要となる可能性が

ある。 

使用する技術(電気,液圧,空圧,機械など)にかかわらず,制御システムの安全関連部の設計のため

の一般原則(JIS B 9700参照)に関する手引きは,JIS B 9705-1に記載されている。 

これには,幾つかの典型的な安全機能の説明,要求パフォーマンスレベル及びカテゴリ並びにパフォー

マンスレベルを含む。 

この規格の範囲では,妥当性確認の要求事項の幾つかは,一般的なものであるが,その他のものは使用

する技術の種類に対しては固有のものである。 

この規格群は,次の部編成からなる。 

JIS B 9705-1 機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則 

JIS B 9705-2 機械類の安全性−制御システムの安全関連部−第2部:妥当性確認 

この規格の附属書A〜附属書Dは参考であり,次の表1に示す構成となっている。 

background image

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表1−附属書Aから附属書Dの箇条構成 

附属書 

技術 

基本安全原則の
リスト 

十分吟味された
安全原則 

十分吟味された
コンポーネント 

障害リスト及
び障害の除外 

附属書の表 

機械式 

A.1 

A.2 

A.3 

A4,A.5 

空圧式 

B.1 

B.2 

− 

B.3〜B.18 

液圧式 

C.1 

C.2 

− 

C.3〜C.12 

電気式(電子式を含む) 

D.1 

D.2 

D.3 

D.4〜D.21 

この規格が属する機械類の安全性規格群は,JIS B 9700で示されるとおり次の規格体系で構成されてい

る。 

タイプA規格(基本安全規格)−全ての機械類に適用できる基本概念,設計原則及び一般的側面を規定

する規格 

タイプB規格(グループ安全規格)−広範な機械類に適用できる安全面又は安全防護物を規定する規格 

タイプB1規格−特定の安全面(例えば,安全距離,表面温度,騒音)に関する規格 

タイプB2規格−安全防護物(例えば,両手操作制御装置,インターロック装置,圧力検知装置,ガー

ド)に関する規格 

タイプC規格(個別機械安全規格)−個々の機械又は機械群の詳細な安全要求事項を規定する規格 

この規格は,JIS B 9700で示されるようにタイプB規格である。 

タイプC規格の規定がタイプA規格又はタイプB規格から逸脱する場合,タイプC規格の規定に従っ

て設計及び製作された機械に対しては,タイプC規格の規定がタイプA規格又はタイプB規格に優先す

る。 

適用範囲 

この規格は,次の分析及び試験による妥当性確認を実施するために従うべき手順及び条件について規定

する。 

− 指定した安全機能 

− 達成したカテゴリ 

− 達成したパフォーマンスレベル(PL) 

これらは,JIS B 9705-1に従って設計した制御システムの安全関連部(SRP/CS)によって指定又は達成

される。 

注記1 組込みソフトウェアを含むプログラマブル電子システムのための追加要求事項は,JIS B 

9705-1の4.6及びJIS C 0508規格群に規定されている。 

注記2 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO 13849-2:2012,Safety of machinery−Safety-related parts of control systems−Part 2: Validation

(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”

ことを示す。 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

引用規格は,その最新版(追補を含む。)を適用する。 

JIS B 9700 機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減 

注記 対応国際規格:ISO 12100,Safety of machinery−General principles for design−Risk assessment 

and risk reduction(IDT) 

JIS B 9705-1 機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則 

注記 対応国際規格:ISO 13849-1,Safety of machinery−Safety-related parts of control systems−Part 1: 

General principles for design(IDT) 

用語及び定義 

この規格で用いる主な用語及び定義は,JIS B 9700及びJIS B 9705-1による。 

妥当性確認プロセス 

4.1 

妥当性確認原則 

妥当性確認プロセスの目的は,SRP/CSの設計が機械の全安全要求仕様を満足していることを確実にす

ることである。妥当性確認は,各安全関連部がJIS B 9705-1の要求事項を満たしていることを実証しなけ

ればならない。特に,次に関するものである。 

a) 設計の論理的根拠に基づいた,安全関連部の安全機能に関する所定の安全特性 

b) 指定のパフォーマンスレベル(PL)の要求事項[JIS B 9705-1の4.5(達成されるパフォーマンスレベ

ルPLの評価とSILとの関係)参照] 

1) 指定のカテゴリの要求事項[JIS B 9705-1の6.2(カテゴリの仕様)参照] 

2) システマティック故障の抑制及び回避のための方策[JIS B 9705-1の附属書G(システマティック

故障)参照] 

3) 適用可能な場合,ソフトウェアの要求事項[JIS B 9705-1の4.6(ソフトウェア安全要求事項)参照] 

4) 予想される環境条件下での安全機能遂行能力 

c) オペレータインタフェースの人間工学設計,例えば,SRP/CSを無効化するような危険なやり方で作

業するよう誘惑されないような設計[JIS B 9705-1の4.8(人間工学的側面での設計)参照]。 

妥当性確認は,SRP/CSの設計から独立した人によって実施するのが望ましい。 

注記 “独立した人”とは,必ずしも第三者機関の試験を意味するものではない。 

妥当性確認とは,妥当性確認計画に基づき予見可能な条件下での分析(箇条5参照)及び機能試験(箇

条6参照)の実施から構成される。図1は妥当性確認プロセスの概要について示している。分析と試験と

のバランスは,SRP/CSに使用される技術及び要求パフォーマンスレベルによる。カテゴリ2,3及び4で

は,安全機能は障害条件下の試験によっても妥当性確認を実施しなければならない。 

分析は,なるべく早期に,また,設計プロセスと平行に開始するのが望ましい。例えば,“安全機能の設

計及び技術的実現性”のステップ及び“PLの評価(JIS B 9705-1の図3のボックス4及び5)”のステップ

の実施期間中などに問題が発生した場合,その修正作業は比較的簡単に行うことができる。設計作業が十

分に進展するまで,幾つかの部分については分析を後段に実施することが必要な場合もある。システムの

大きさ,複雑さ又は(機械の)制御システムに複雑さを統合した場合の影響によって,必要な場合,次に

対して特別な配慮をすることが望ましい。 

− 適切な入出力信号のシミュレーションを含め,統合前に別々に行うSRP/CS妥当性確認,及び 

− 機械で使用する範囲内で安全関連部を残りの制御システムに統合した場合の影響に関する妥当性確認 

background image

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

図1−妥当性確認プロセスの概要 

図1の“設計の変更”は,設計プロセスを参照。妥当性確認ができなかった場合,設計の変更が必要に

なる。そのときは,変更した安全関連部の妥当性確認を繰り返すのが望ましい。このプロセスは,全ての

安全関連部の妥当性確認ができるまで繰り返すのが望ましい。 

4.2 

妥当性確認計画 

妥当性確認計画は,特定の安全機能,そのカテゴリ及びパフォーマンスレベルの妥当性確認プロセスを

実施するための要求事項を同定し,記載しなければならない。 

また,妥当性確認計画は,特定の安全機能,カテゴリ及びパフォーマンスレベルの妥当性を確認するた

めに採用する手段も同定しなければならない。この計画は適切な場合,次の全てを策定しなければならな

はい 

いいえ 

いいえ 

はい 

いいえ 

 
 
安全機能の仕様 
 
安全機能 
 
PL及びカテゴリ 
− カテゴリの決定 
− MTTFD,DC,CCF 
− システマティック故障 
− ソフトウェア 
− SRP/CSのPLの検証 
− SRP/CSの組合せ 
 
環境要求事項 
 
保全要求事項 
 
技術仕様及び使用者情報 
 

障害の除外に対

する基準 

試 験 

終了 

設計の変更 

文 書 

試験に合格

したか? 

障害リスト 

分 析 

分析は 

十分か? 

妥当性確認 

原則 

全安全機能の妥
当性確認ができ
たか? 

カテゴリ2,3,4 

はい 

いいえ 

はい 

設計の考慮 

開始 

妥当性確認計画 

障害条件下での

安全機能の試験 

妥当性確認の 

記録 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

い。 

a) 仕様書の特定 

b) 試験中の運転及び環境条件 

c) 適用する分析及び試験 

d) 適用する試験規格の参照 

e) 妥当性確認プロセスの各段階に責任をもつ人又はグループ 

同じ仕様として,既に妥当性確認がされている安全関連部については,過去の妥当性確認を参照するだ

けでよい。 

4.3 

包括的な障害リスト 

妥当性確認プロセスには,考えられる全ての障害に対するSRP/CSの挙動を考慮することを含む。附属

書A〜附属書Dの表に示される考慮する障害の基本事項は,経験に基づいたものであり,次を含む。 

− コンポーネント又は要素,例えば,導体又はケーブル(附属書D参照)。 

− 考慮する障害,例えば,導体間の短絡 

− 環境,運転及び適用面を考慮した上で許容される障害の除外 

− 障害の除外の理由を示す注意書き 

障害リストは,恒久的な障害だけを考慮している。 

4.4 

個別の障害リスト 

必要な場合,安全関連部の妥当性確認プロセスに関する参照文書として,個別の製品に関連した障害リ

ストを作成しなければならない。このリストは,附属書に記載した適切な包括的な障害リストを基本とす

ることができる。 

個別の製品に関する障害リストが包括的なリストを基本としている場合は,次を記載しなければならな

い。 

a) 含めるべき包括的なリストから抜粋した障害 

b) 包括的なリストには含まれない他の関連する障害(例えば,共通原因故障)。 

c) 包括的なリストから抜粋した障害の除外。障害の除外の基準[JIS B 9705-1の7.3(障害の除外)参照]

に合致している場合除外してもよい。 

また,例外的に 

d) その他の関連する障害で,包括的なリストにおいては除外を許可していないが,その除外の正当性及

び論理的根拠を提示することができる障害については,障害リストに記載できる(JIS B 9705-1の7.3

参照)。 

このリストが包括的なリストを基本としていない場合には,設計者は障害除外に関する論理的根拠を示

さなければならない。 

4.5 

妥当性確認の情報 

妥当性確認に必要な情報は,使用する技術,実証されるカテゴリ及びパフォーマンスレベル,システム

の設計根拠,SRP/CSのリスク低減への寄与度など,多岐にわたる。安全関連部が要求パフォーマンスレ

ベル及びカテゴリに対して指定の安全機能を遂行するということを実証するために,妥当性確認プロセス

には,次のリストから十分な情報を備えた文書を含めなければならない。 

a) 各安全機能の要求特性,その要求カテゴリ及びパフォーマンスレベルに関する仕様 

b) 図面及び仕様書。例えば,機械,液圧及び空圧部品,プリント基板,アセンブルドボード,内部配線,

エンクロージャ,材料,取付け,実装に関するもの 

background image

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

c) 各ブロックの機能説明が記載されたブロックダイアグラム 

d) 回路図(インタフェース及び接続部を含む。) 

e) 回路図の機能説明 

f) 

スイッチング素子,安全性に関わる信号に関する時系列図(タイミングチャートなど) 

g) 過去に妥当性が確認されたコンポーネントの関連特性の説明 

h) g)のリストに一覧されたものを除く他の安全関連部について,品目,定格値,公差,関連する運転ス

トレス,型式の記載,故障率データ,コンポーネント製造業者名,及び安全性に関わるデータを付与

したコンポーネントリスト 

i) 

附属書A〜附属書Dの表に記載された関連障害の分析(4.3及び4.4参照),これには除外した障害の

正当性を含む。 

j) 

処理・加工された材料の影響分析 

k) 使用上の情報,例えば,据付及び運転マニュアル又は指示書 

ソフトウェアが安全機能に関係する場合,ソフトウェア文書には,次の内容を含まなければならない。 

− 明確であり,かつ,曖昧でなく,ソフトウェアで達成するために要求される安全性能を示す仕様 

− ソフトウェアが要求パフォーマンスレベルを達成するために設計されたものであることの証明 

− 要求安全性能が達成されていることを証明するために実施した試験の詳細(特に試験報告書) 

注記 要求事項については,JIS B 9705-1の4.6.2[安全関連組込みソフトウェア(SRESW)]及び4.6.3

[安全関連アプリケーションソフトウェア(SRASW)]参照。 

パフォーマンスレベル及び単位時間当たりの危険側故障発生の平均確率がいかに決定されるかに関する

情報が,要求される。定量的側面の文書化は,次を含まなければならない。 

− 安全関連ブロックダイアグラム[JIS B 9705-1の附属書B(ブロックメソッド及び安全関連ブロック

ダイアグラム)参照],又は指定アーキテクチャ(JIS B 9705-1の6.2参照) 

− MTTFD,DCavg及びCCFの決定 

− カテゴリの決定(表2参照) 

SRP/CSのシステム的側面に対して情報が要求される。 

SRP/CSの組合せが,いかにして要求パフォーマンスレベルを満足するかに関する情報が要求される。 

表2−パフォーマンスレベルの一部であるカテゴリに対する文書化要求事項 

文書化要求事項 

文書化が要求されるカテゴリ 

基本安全原則 

○ 

○ 

○ 

○ 

○ 

予想される運転ストレス 

○ 

○ 

○ 

○ 

○ 

加工材料の影響 

○ 

○ 

○ 

○ 

○ 

他の関連する外部からの影響を受けた場合の性能 

○ 

○ 

○ 

○ 

○ 

十分吟味されたコンポーネント 

− 

○ 

− 

− 

− 

十分吟味された安全原則 

− 

○ 

○ 

○ 

○ 

各チャネルの平均危険側故障時間(MTTFD) 

○ 

○ 

○ 

○ 

○ 

安全機能のチェック手順 

− 

− 

○ 

− 

− 

障害応答を含む診断方策 

− 

− 

○ 

○ 

○ 

指定される場合,チェック間隔 

− 

− 

○ 

○ 

○ 

診断範囲(DCavg) 

− 

− 

○ 

○ 

○ 

設計時に考慮された予見可能な単一障害及び採用された検知方法 

− 

− 

○ 

○ 

○ 

共通原因故障(CCF)の特定及び回避の方法 

− 

− 

○ 

○ 

○ 

background image

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表2−パフォーマンスレベルの一部であるカテゴリに対する文書化要求事項(続き) 

文書化要求事項 

文書化が要求されるカテゴリ 

除外される予見可能な単一障害 

− 

− 

− 

○ 

○ 

検出される障害 

− 

− 

○ 

○ 

○ 

個々の障害が発生した場合の安全機能の維持方法 

− 

− 

− 

○ 

○ 

障害が組み合わされた場合の安全機能の維持方法 

− 

− 

− 

− 

○ 

システマティック故障に対する方策 

○ 

○ 

○ 

○ 

○ 

ソフトウェア障害に対する方策 

○ 

− 

○ 

○ 

○ 

○ 文書化が要求される 
− 文書化が要求されない 

注記 カテゴリは,JIS B 9705-1に規定されている。 

4.6 

妥当性確認記録 

分析及び試験による妥当性確認は,記録しなければならない。記録は,各安全要求に対する妥当性確認

プロセスを実証しなければならない。以前の妥当性確認記録が正しく識別された場合,相互参照してもよ

い。 

妥当性確認プロセスの一部が不適合となった安全関連部に対しては,妥当性確認分析又は試験のどの部

分が不適合だったかを妥当性確認記録に記載しなければならない。修正後に,再度全ての安全関連部に対

して確実に妥当性確認を行わなければならない。 

分析による妥当性確認 

5.1 

一般 

SRP/CSの妥当性確認は,分析によって実施しなければならない(附属書Eも参照)。分析に対する入力

は,次を含む。 

− リスク分析段階で特定した安全機能,その特性及び要求パフォーマンスレベル(JIS B 9705-1の図1

及び図3参照) 

− 定量的側面(MTTFD,DCavg及びCCF) 

− システム構成(例えば,指定アーキテクチャ)[JIS B 9705-1の箇条6(カテゴリと各チャネルのMTTFD,

DCavg及びCCFとの関係)参照] 

− システムの挙動に影響を与える非定量的,定性的側面(適用可能な場合,ソフトウェア側面) 

− 決定論的な論拠 

分析による安全機能の妥当性確認は,試験による妥当性確認よりも決定論的な論拠の正当性が必要とさ

れる。 

注記1 決定論的な論拠は,定性的な側面に基づく論拠である(例えば,製造品質,使用経験)。この

考察は,アプリケーションによる。これと他のファクタが決定論的な論拠に影響し得る。 

注記2 決定論的な論拠は,システムの要求特性がそのシステムのモデルを使って論理的に導かれる

という点で他の証明とは異なる。このような論拠は,単純な,十分に理解された概念に基づ

いて構成される。 

5.2 

分析技法 

選択する分析技法は,特定の事象による。次のように基本的な2種類の技術が存在する。 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) トップダウン(演えき的)技法は,特定された頂上事象を誘発する初回事象を特定し,初回事象の可

能性から頂上事象の可能性を計算するのに適している。この技法は,複数の障害の結果を調査する場

合に利用することもできる。 

例 FTA(故障の木解析,JIS C 5750-4-4参照),ETA(事象の木解析)。 

b) ボトムアップ(帰納的)技法は,単一故障の結果を調査するのに適している。 

例 FMEA(故障モード・影響分析,JIS C 5750-4-3参照)及びFMECA(故障モード・影響及び致命

度解析)。 

試験による妥当性確認 

6.1 

一般 

分析による妥当性確認が不十分である場合,試験を実施して妥当性確認作業を完了しなければならない。

試験は常に分析結果を補足するものであり,必要とされることが多い。 

妥当性確認試験は,論理的に計画し,かつ,実行しなければならない(附属書Eも参照)。特に, 

a) 試験計画は試験開始前に作成し,次の内容を含まなければならない。 

1) 試験仕様 

2) 適合性を証明するための要求試験結果 

3) 試験の時系列 

b) 試験記録は,次の内容を含み作成しなければならない。 

1) 試験実施者の氏名 

2) 環境条件(箇条10参照) 

3) 試験手順及び使用機器 

4) 試験日 

5) 試験結果 

c) 試験記録は,指定の機能及び性能目標が達成されているということを確実にするため,作成した試験

計画と比較しなければならない。 

試験サンプルは,最終的な運転構成になるべく近い状態で運転しなければならない。すなわち,あらゆ

る周辺装置,カバーなどが取り付けられた状態である。 

この試験は,手動によって,又は自動,例えば,コンピュータなどによって実施する場合がある。 

適用可能な場合,試験による安全機能の妥当性確認は,様々な組合せで,SRP/CSに対して入力信号を

印加して実施しなければならない。出力時,結果として生じる応答は,適切に意図された出力信号と比較

しなければならない。 

これら入力信号の組合せは,系統的に制御システム及び機械に適用することが推奨される。このロジッ

ク例としては,電源投入,起動,運転,方向変更,及び再起動である。必要な場合,変則な又は異常な状

況を考慮して入力データの範囲を拡張することで,SRP/CSがどのように応答するかを確認しなければな

らない。入力データの組合せは,予見可能な不適切な運転状態を考慮しなければならない。 

試験の目的によって,次のうちの一つ又は他の試験環境条件を決定する。 

− 意図する使用状態での環境条件 

− 特定の定格での条件 

− 変化が予想される場合には与えられた条件範囲 

試験が有効であり,安定していると思われる条件範囲は,設計者と試験を実施する者とが相互に同意し,

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

記録することが望ましい。 

6.2 

測定の正確さ 

試験による妥当性確認による測定の正確さは,実行する試験に対して適切なものでなければならない。

一般的に,測定の正確さは,温度測定では5 ℃以内で,次に対しては5 %以内でなければならない。 

a) 時間測定 

b) 圧力測定 

c) 力測定 

d) 電気的測定 

e) 相対湿度測定 

f) 

長さ測定 

これらの測定の正確さから逸脱する場合は,正当性を示さなければならない。 

6.3 

より厳格な要求事項 

附属文書に従い,SRP/CSの要求事項がこの規格の範囲を超える場合,より厳格な要求事項を適用しな

ければならない。 

注記 このようなより厳格な要求事項は,制御システムが特に不利な運転条件に耐えなければならな

い場合に適用する。例えば,乱雑な取扱い,湿度による影響,加水分解,周辺温度変化,化学

物質の影響,腐食,電磁波の強度(例えば,トランスミッタのすぐ近くで)である。 

6.4 

試験サンプルの数 

他に指定がない場合,試験は,安全関連部の一つの製品サンプルで実施しなければならない。 

試験に用いられる安全関連部は,一連の試験の間改造などをしてはならない。 

コンポーネントの性能を恒久的に変化させてしまう試験もある。コンポーネントが恒久的に変化するこ

とで安全関連部が以降の試験要求事項に適合できないということが生じる場合,それ以降の試験について

は新しいサンプルを使用しなければならない。 

特定の試験が破壊的なものであり,SRP/CSの試験対象部品を別々に試験することによって,一つのサ

ンプルで試験するのと同等の結果が得られる場合,試験結果を取得する目的で,安全関連部全体を使用す

る代わりに,その部品サンプルを使用することもできる。この方法は,一安全関連部を個別に試験しても

全安全関連部の一部として試験しても,安全機能を遂行するのに同等の安全性能をもつということが分析

によって明らかな場合だけ,適用しなければならない。 

安全機能に対する安全要求仕様の妥当性確認 

安全機能を提供する単一のSRP/CS又は組合せでの設計における妥当性確認に先立って,その意図する

使用に対して一貫性及び完全性を確実にするために安全機能の要求仕様を確認しなければならない。 

安全要求仕様は,設計を始める前に分析するのが望ましい。なぜならば,他の全ての作業はこれらの要

求事項に基づくものである。 

機械制御システムの全安全機能に対する要求事項は確実に文書化しなければならない。 

仕様の妥当性を確認するために,システマティック障害(エラー,欠落又は一貫性の不備)を検出する

ための適切な方策を適用しなければならない。 

妥当性確認は,特に次の全ての側面が検討されたということを証明するためSRP/CSの安全要求事項及

び設計仕様をレビュー及び検査することによって実施する場合がある。 

− 意図するアプリケーション要求事項及び安全上の必要性 

10 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

− 運転及び環境条件,並びに想定されるヒューマンエラー(例えば,誤使用) 

製品規格がSRP/CSの設計に対する安全要求事項(例えば,統合生産システムに対してはISO 11161,又

は両手操作制御装置に対してはJIS B 9712)を規定する場合,これを考慮しなければならない。 

安全機能の妥当性確認 

安全機能の妥当性確認は,SRP/CS又はその組合せが特定した特性に従って安全機能を提供するという

ことを実証しなければならない。 

注記1 ハードウェア障害がない場合の安全機能の喪失は,設計及び統合段階(例えば,安全機能特

性の取り違い,論理の設計におけるエラー,ハードウェア組立時のエラー,ソフトウェアの

コードをタイプする場合のエラーなど)で生じるエラーによって引き起こされるシステマテ

ィック障害によるものである。幾つかのシステマティック障害は設計プロセス中に明らかに

なるが,他の障害は妥当性確認プロセス中に明らかになるか,又は気付かれずに残る。さら

に,妥当性確認プロセス中にエラーを生じる可能性もある(例えば,特性をチェックすると

きの見落とし)。 

安全機能の特定した特性に対する妥当性確認は,次のリストから適切な方策を適用することによって達

成しなければならない。 

− 系統図等の機能分析,ソフトウェアのレビュー(9.5参照) 

注記2 機械が,複雑な又は多くの安全機能をもつ場合,分析によって要求される機能試験の数を低

減することができる。 

− シミュレーション 

− 文書(例えば,製造,型式,バージョン)に一致していることを確認するために,機械に設置された

ハードウェアコンポーネント及び関連するソフトウェアの詳細の照合 

− 機械の全ての運転モードにおける安全機能(JIS B 9705-1の箇条5参照)が規定の特性に適合してい

るかどうかを立証するための機能試験。機能試験では,全ての安全関連出力信号がその全範囲にわた

り実現されているということ,及び仕様に基づいて安全関連入力信号に応答するということを確実に

しなければならない。テストケースは,通常,仕様から導かれるものであるが,系統図又はプログラ

ムの分析から導かれる場合もある。 

− 動力の中断及び回復,並びに正しくない運転を含む,あらゆる入力源からの予見可能な異常信号又は

その組合せをチェックするための拡張機能試験 

− 人間工学原則を満たすためのオペレータ−SRP/CS間インタフェースのチェック(JIS B 9705-1の4.8

参照) 

注記3 9.4で示すシステマティック故障に対する他の方策[例えば,多様性(ダイバーシティ),自

動試験による故障検出]は,機能的な障害の検出にも寄与する。 

パフォーマンスレベル及びカテゴリの妥当性確認 

9.1 

分析及び試験 

安全機能を提供するSRP/CS又は組合せSRP/CSに対して,安全要求仕様で指定される要求パフォーマ

ンスレベル(PLr)及びカテゴリを満たしているということを妥当性確認で実証しなければならない。主と

して,回路図を使用した故障分析(箇条5参照)を要求し,故障分析が確証を得ない場合は次を要求する。 

− 実際の回路への障害注入(フォールト・インジェクション)試験,及び実際のコンポーネントにおけ

11 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

る障害の発生。特に故障分析から得られる結果に関して疑いがあるシステムの部分に対して(箇条6

参照)。 

− 障害時の制御システムの挙動のシミュレーション,例えば,ハードウェア及び/又はソフトウェアモ

デルによる。 

幾つかのアプリケーションにおいて,接続した安全関連部を幾つかの機能グループに分割し,これらの

グループ及びそのインタフェースに対して障害シミュレーション試験の実施が必要な場合がある。 

試験による妥当性確認を実施する場合,その試験は必要に応じて,次を含むのが望ましい。 

− 生産サンプルへの障害注入(フォールト・インジェクション)試験 

− ハードウェアモデルへの障害注入(フォールト・インジェクション)試験 

− 障害のソフトウェアシミュレーション 

− サブシステム(例えば,電源部)の故障 

障害がシステムに注入されるタイミングが重要となることがある。障害注入(フォールト・インジェク

ション)による最悪の影響は,分析によって最も不利となるタイミングにおいて,判断されなければなら

ない。 

9.2 

カテゴリの仕様に関する妥当性確認 

9.2.1 

カテゴリB 

カテゴリBのSRP/CSは,基本安全原則(表A.1,表B.1,表C.1及び表D.1参照)に従い,コンポーネ

ントの仕様,設計,製造及び選択がJIS B 9705-1の6.2.3に適合していることを実証することによって妥当

性確認をしなければならない。チャネルのMTTFDは,少なくとも3年であることを実証しなければなら

ない。これは,SRP/CSが妥当性確認のための文書(4.5参照)で示されている仕様に従っていることをチ

ェックすることによって達成しなければならない。環境条件の妥当性確認に対しては,6.1参照。 

注記 特定のケースにおいて,より高いMTTFDの値が要求される場合がある。例えば,PLr=bの場

合である。 

9.2.2 

カテゴリ1 

カテゴリ1のSRP/CSは,次を実証することによって妥当性確認をしなければならない。 

a) カテゴリBの要求事項を満たしている。 

b) コンポーネントが少なくとも次の条件の一つに適合することによって十分吟味されたものである(表

A.3及び表D.3参照)。 

1) 同様の用途で幅広く使用し,良い結果が得られている。 

2) 安全関連の用途に対して適切性及び信頼性を示す原則を利用して製作及び検証されている。 

c) 十分吟味された安全原則(適用可能な場合,表A.2,表B.2,表C.2,及び表D.2参照)の正しい実施,

及び新たに開発した原則が使用されている場合,次について妥当性確認をしなければならない。 

1) 予期した故障モードをいかに回避しているか,及び 

2) 障害をいかに回避しているか,又はその可能性を適切なレベルにまでいかにして低減しているか。 

この箇条に適合していることを示すために,関連するコンポーネントの基準を使用する場合がある(表

A.3及び表D.3参照)。チャネルのMTTFDは,少なくとも30年を実証しなければならない。 

9.2.3 

カテゴリ2 

カテゴリ2のSRP/CSは,次を実証することによって妥当性確認をしなければならない。 

a) カテゴリBの要求事項を満たしている。 

b) 使用した十分吟味された安全原則(該当する場合)が,9.2.2 c)の要求事項を満たしている。 

12 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

c) チェック装置は,関連する全ての障害を点検プロセス1回について一つ検出し,次のような適切な制

御動作を起こす。 

1) 安全状態を始動する。 

これが不可能な場合は, 

2) 危険源の警告を発する。 

d) チェック装置によるチェックは,不安全状態に導かない。 

e) 次でチェックの始動が実行される。 

1) 機械の起動時,及び危険状態の始まる前。 

2) リスクアセスメント及び運転の種類によって必要とする場合で,設計仕様に従い運転中,定期的に。 

注記1 運転中のチェックの必要性及び範囲は,設計者のリスクアセスメント及び必要とされる運転

の種類によって決定される。 

f) 

機能チャネルのMTTFD(MTTFD,L)は,少なくとも3年。 

g) MTTFD,TEは,MTTFD,Lの半分よりも大きい。 

h) 診断試験率≧予想される動作要求率×100。 

i) 

DCavgは,少なくとも60 %。 

j) 

共通原因故障は,十分に低減されている{JIS B 9705-1の附属書F[共通原因故障(CCF)の見積り]

参照}。 

注記2 特定のケースにおいて,より高いMTTFD及び/又はDCavgの値が要求される場合がある。例

えば,高PLrによる場合である。 

9.2.4 

カテゴリ3 

カテゴリ3のSRP/CSは,次を実証することによって妥当性確認をしなければならない。 

a) カテゴリBの要求事項を満たしている。 

b) 十分吟味した安全原則(該当する場合)は,9.2.2 c)の要求事項を満たしている。 

c) 単一障害では安全機能を喪失しない。 

d) 単一障害(共通モード故障を含む)は,設計の論理的根拠及び適用される技術に基づいて検出される。 

e) 各チャネルのMTTFDは,少なくとも3年。 

f) 

DCavgは,少なくとも60 %。 

g) 共通原因故障は,十分に低減されている(JIS B 9705-1の附属書F参照)。 

注記 特定のケースにおいて,より高いMTTFD及び/又はDCavgの値が要求される場合がある。例え

ば,高PLrによる場合である。 

9.2.5 

カテゴリ4 

カテゴリ4のSRP/CSは,次を実証することによって妥当性確認をしなければならない。 

a) カテゴリBの要求事項を満たしている。 

b) 十分吟味した安全原則(該当する場合)は,9.2.2 c)の要求事項を満たしている。 

c) 単一障害(共通モード故障を含む。)では安全機能は喪失しない。 

d) 単一障害は安全機能における次の動作要求時,又は動作要求前に検出される。これは,少なくとも

DCavg99 %で達成される。 

e) 単一障害が少なくともDCavg99 %で検出されない場合,障害の蓄積が安全機能の喪失につながらない,

及び考慮される障害の蓄積の範囲が設計の論理的根拠に従っている。 

f) 

各チャネルのMTTFDは,少なくとも30年。 

13 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

g) 共通原因故障は,十分に低減されている(JIS B 9705-1の附属書F参照)。 

9.3 

MTTFD,DCavg及びCCF 

MTTFD,DCavg及びCCFの妥当性確認は,一般的には分析及び目視検査で実施する。 

コンポーネントのMTTFD値(B10D,T10D,nopを含む)は,プロウザビリティ(確かさ)のためにチェッ

クしなければならない[例えば,JIS B 9705-1の附属書C(単一コンポーネントのMTTFD値の計算又は評

価)参照]。例えば,供給者のデータシートで示された値とJIS B 9705-1の附属書Cとを比較する。 

障害の除外の宣言が,特定のコンポーネントはチャネルのMTTFDには寄与しないということを意味す

る場合,障害の除外のプロウザビリティ(確かさ)をチェックしなければならない。 

注記1 障害の除外は,非常に大きいMTTFDの値を意味する。したがって,コンポーネントはチャネ

ルのMTTFDの計算には寄与しない。 

注記2 B10D値の決定に関しては,IEC 60947-4-1の附属書K参照。 

異なる冗長チャネルを対称化する式[JIS B 9705-1の附属書D(チャネルごとのMTTFDを見積もるため

の簡易的な方法)]の適用を含み,SRP/CSの各チャネルのMTTFDは正しい計算でチェックしなければな

らない。各チャネルのMTTFDは,対称化の式を適用する前に,100年以下に制限しなければならない。 

コンポーネント及び/又は論理ブロックのDC値は,プロウザビリティ(確かさ)のチェックをしなけ

ればならない{例えば,JIS B 9705-1の附属書E[機能及びモジュールの診断範囲(DC)の見積り]の方

策に対して}。適切な障害応答を含むチェック及び診断が正しく実施されること(ソフトウェア及びハード

ウェア)の妥当性を代表的な使用環境条件下での試験によって確認しなければならない。 

SRP/CSのDCavgは,正しい計算でチェックしなければならない。 

共通原因故障に対する十分な方策が正しく実施されることの妥当性を確認しなければならない(例えば,

JIS B 9705-1の附属書Fに対して)。典型的な妥当性確認の手段は,静的ハードウェア分析及び環境条件下

での機能試験である。 

注記3 電子コンポーネントのMTTFD値の計算については,周囲温度+40 ℃を基準として採用する。

妥当性確認中,MTTFD値に対して,基準として採用されている環境条件(特定の温度)及び

機能条件に適合しているということを確実にすることは重要である。装置又はコンポーネン

トが+40 ℃の指定温度を著しく超えて作動している場合(例えば,15 ℃超),上昇した周囲

温度に対するMTTFD値を使用することが必要となる場合がある。 

9.4 

SRP/CSのパフォーマンスレベル及びカテゴリに関連するシステマティック故障に対する方策の妥

当性確認 

各SRP/CSのパフォーマンスレベル及びカテゴリに関連するシステマティック故障(JIS B 9705-1の3.1.7

参照)に対する方策の妥当性確認は,代表的には,次によって提供され得る。 

a) 次の適用を確定する設計文書の検査 

1) 基本及び十分吟味された安全原則(附属書A〜附属書D参照) 

2) システマティック故障の回避(JIS B 9705-1のG.3参照)に対する更なる方策 

3) ハードウェアの多様性(ダイバーシティ)(JIS B 9705-1の附属書G参照),変更の保護又は故障ア

サーションプログラミングのようなシステマティック故障の抑制に対する更なる方策 

b) 故障分析(例えば,FMEA) 

c) 障害注入(フォールト・インジェクション)試験,及び障害の発生 

d) 使用されている場合,データコミュニケーションの検査及び試験 

e) 品質マネジメントシステムが製造プロセスにおいてシステマティック故障の原因を回避するというこ

14 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

とのチェック 

9.5 

安全関連ソフトウェアの妥当性確認 

安全関連組込みソフトウェア(SRESW)及び安全関連アプリケーションソフトウェア(SRASW)双方

の妥当性確認は,次を含まなければならない。 

− 対象ハードウェアで実行する場合のソフトウェアの規定の機能的な挙動及び性能基準(例えば,タイ

ミングパフォーマンス) 

− ソフトウェア方策が安全機能の指定PLrに対して十分なものであるという検証 

− システマティックソフトウェア障害を回避するために,ソフトウェア開発中に採用される手段及び作

業 

最初のステップとして,安全関連ソフトウェアの仕様及び設計のための文書があるかどうかチェックす

る。この文書は,完全性及び誤った解釈,省略(遺漏)又は矛盾がないことをレビューしなければならな

い。 

注記 小規模のプログラムの場合,ソフトウェア文書(制御フローチャート,モジュール又はブロッ

クのソースコード,I/O及び変数割付けリスト,並びにクロスリファレンスリスト)を使用し

た,制御フロー,プロシージャなどのレビュー又はウォークスルーによるプログラムの解析で

十分である。 

一般的に,ソフトウェアは“ブラックボックス”又は“グレイボックス”(JIS B 9705-1の4.6.2参照)

と考えることができ,また,それぞれブラックボックス又はグレイボックス試験によって妥当性確認をす

ることができる。 

PLr[JIS B 9705-1の4.6.2(SRESWに対して)及び4.6.3(SRASWに対して)]に基づいて,試験は次を

含むのが望ましい。 

− 機能的な挙動及び性能基準(例えば,タイミングパフォーマンス)のブラックボックス試験。 

− 制限値解析による追加の拡張テストケース試験。PLd又はPLeに対して推奨される。 

− 安全関連入出力信号が適切に使用されているということを保証するためのI/O試験。 

− 想定される応答とともに,事前に分析的に決定される障害をシミュレートするテストケース。これは,

故障抑制のためのソフトウェアベースの方策の適切性を評価するためのものである。 

既に妥当性確認が実施された個々のソフトウェア機能の妥当性を再度確認する必要はない。ただし,多

くの安全機能ブロックが特定のプロジェクトに対して組み合わされている場合,安全機能全体の妥当性確

認を実施しなければならない。 

ソフトウェア文書は,簡易Vモデル(JIS B 9705-1の図6)に従いシステマティックソフトウェア障害

に対して十分な手段及び作業を実施しているということを確認するためにチェックしなければならない。 

JIS B 9705-1の4.6.2(SRESWに対して)及び4.6.3(SRASWに対して)に従いソフトウェアの実装に対

する方策は,達成するPLに基づき,正しく実装されているかどうか検査しなければならない。 

安全関連ソフトウェアが変更される場合は,適切な段階で再度妥当性を確認しなければならない。 

9.6 

パフォーマンスレベルの妥当性確認及び検証 

JIS B 9705-1の4.5.4,附属書A〜附属書F及び附属書Kに従ってSRP/CSのPLを見積もるための簡易

的な手順に対して,次の検証及び妥当性確認のステップを実施しなければならない。 

− カテゴリ,DCavg及びMTTFDに基づきPLが正確に決定されていることをチェックする(JIS B 9705-1

の4.5.4及び附属書K)。 

− SRP/CSによって達成されるPLが,機械の安全要求仕様の要求パフォーマンスレベルPLrを満足して

15 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

いるかどうか(PL≧PLr)を検証する。 

単位時間当たりの危険側故障発生の推定平均確率に基づき達成されたPLを評価するために他の方法が

使用される場合,妥当性確認は次を考慮しなければならない。 

− 各コンポーネントのMTTFD値 

− DC 

− CCF 

− 構造 

− 文書,アプリケーション及び計算。正確性のチェックをしなければならない。 

9.7 

安全関連部の組合せの妥当性確認 

安全機能が二つ以上の安全関連部によって実行される場合,その組合せが設計で指定されるパフォーマ

ンスレベルを達成するということを立証するために,組合せの妥当性確認を分析,及び必要であれば,試

験によって実施しなければならない。 

安全関連部の既存の妥当性確認結果を考慮することが可能である。次の妥当性確認のステップを実施し

なければならない。 

− 全ての安全機能を示す設計文書の検査 

− 個々の安全関連部のPLに基づき,SRP/CS(JIS B 9705-1の6.3による。)の組合せの全PLが正確に

評価されているということのチェック 

注記 組合せSRP/CSの単位時間当たり危険側故障発生の平均確率の合計は,JIS B 9705-1の表11

(SRP/CSを直列に配置した場合のPLの計算)の代替として使用することができる。全パフォ

ーマンスレベルをより低い値に制限し得るシステマティック側面,アーキテクチャ側面及び

CCF側面の定量化できない制限をチェックすることは重要である。 

− インタフェースの特性,例えば,電圧,電流,圧力,情報のデータフォーマット,信号レベルなどの

考慮 

− 例えば,FMEAによる,組合せ又は統合に関連する故障分析 

− 冗長システムに対しては,組合せ又は統合に関連する障害注入(フォールト・インジェクション)試

験 

10 環境要求事項の妥当性確認 

SRP/CSの設計において指定される性能は,制御システムに対して指定される環境条件の観点で妥当性

確認をしなければならない。 

妥当性確認は,分析によって,必要な場合,試験によって実施しなければならない。分析及び試験の範

囲は,安全関連部,それが組み込まれるシステム,使用される技術,及び妥当性確認がなされる環境条件

による。システム若しくはそのコンポーネントに関する運転上の信頼性データの使用,又は適切な環境関

連規格(例えば,防水加工,振動保護)への適合確認は,妥当性確認プロセスを支援することができる。 

適用可能な場合,妥当性確認は次を指定しなければならない。 

− 衝撃,振動によって想定される機械的応力,汚染物質の侵入 

− 機械的耐久性 

− 電気定格及び動力供給 

− 気候条件(温度及び湿度) 

− 電磁両立性(イミュニティ) 

16 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

環境要求事項への適合を判断するために試験が必要な場合,できるだけその用途で要求されるように,

関連規格で示される手順に従わなければならない。 

試験による妥当性確認が完了した後,安全機能は安全要求事項を反映した仕様に従い維持し続けるか,

又はSRP/CSは安全状態のための出力を提供しなければならない。 

11 保全要求事項の妥当性確認 

妥当性確認プロセスは,JIS B 9705-1の箇条9の第2段落で指定されているような保全要求事項に関す

る規定を満たすことを実証しなければならない。 

保全要求事項の妥当性確認は,適用可能な場合,次を含まなければならない。 

a) 次を確定するために使用上の情報のレビュー 

1) 保全指示書は完全であり[手順,要求されるツール,検査頻度,消耗したコンポーネントを交換す

る間隔(T10D)等],理解可能である。 

2) 適切な場合,熟練した保全要員によってだけ遂行される保全のための規定がある。 

b) 保全性を容易にするための方策が適用されているかのチェック(例えば,障害発見及び修理支援のた

めの診断ツールの準備等) 

さらに,次の方策を含まなければならない。 

− 保全中のミスに対する方策[例えば,プロウザビリティ(確かさ)チェックによる誤り入力データの

検出] 

− 変更に対する方策(例えば,権限が与えられていない人がプログラムへアクセスすることを防止する

ためのパスワード) 

12 技術文書及び使用上の情報に対する妥当性確認 

妥当性確認プロセスは,JIS B 9705-1の箇条10に指定されているような技術文書,及びJIS B 9705-1の

箇条11に指定されているような使用上の情報に関する要求事項を満たすことを実証しなければならない。 

background image

17 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書A 

(参考) 

機械システムに対する妥当性確認ツール 

機械システムを他の技術と組み合わせて使用する場合,附属書Aを考慮するのが望ましい。 

表A.1及び表A.2は,基本安全原則及び十分吟味された安全原則を示す。 

表A.3は,十分吟味された安全原則の適用に基づく安全関連用途のための十分吟味されたコンポーネン

ト及び/又は特定の用途における規格を示す。幾つかの用途に対する十分吟味されたコンポーネントは他

の用途に対しては適切でない場合がある。 

表A.4及び表A.5は,障害の除外及びその論理的根拠を示す。更なる除外は,4.4参照。 

障害が発生するタイミングが重要となることがある(9.1参照)。 

表A.1−基本安全原則 

基本安全原則 

留意事項 

適した材料及び適切な製造方法の採用 

例えば,次に関する材料,製造方法,処理方法の選択。 
− 応力,耐性,弾性,摩擦,摩耗,腐食,温度 

正しい数値設計及び形状 

例えば,次の要素を考慮する。 
− 応力,ひずみ,疲労,表面粗さ,公差,固着,製造方法 

コンポーネント及びシステムの適切な選択,組
合せ,配置,組立及び据付 

製造業者の適用上の留意事項,例えば,カタログ,据付指示書,
仕様書及び類似のコンポーネント及びシステムにおけるグッド
エンジニアリングプラクティスなどを適用する。 

エネルギー解放の原則の使用 

安全な状態は,エネルギーを解放することによって得られる。 
停止の最初の動作は,JIS B 9700の6.2.11.3参照。 
エネルギーは,機構の動作を起動するときに供給される。 
起動の最初の動作は,JIS B 9700の6.2.11.3参照。 
様々なモードについて考察する。例えば,運転モード,保全モー
ド。 
重要−エネルギーの喪失が危険源を生じる場合,例えば保持力の

喪失によって生じるワークピースの落下,放出,解放等を
生じる場合,この原則には従わない。 

適切な留め具 

ねじ止めの場合,製造業者の適用上の留意事項を考慮する。 
適切なトルク管理技術を適用することで締め過ぎを回避するこ
とができ,また,緩みに対する適切な耐性も達成することができ
る。 

力の発生及び/又は伝達の制限,並びに類似パ
ラメータの制限 

例えば,シャーピン,ブレークプレート,トルクリミッタ。 
重要−コンポーネントの継続的な健全性が,要求される制御レベ

ルを維持するために重要な場合,この原則に従わない。 

環境パラメータの範囲制限 

例えば,据付場所での温度,湿度及び汚染。箇条10参照,及び
製造業者の適用上の留意事項を考慮する。 

速度及び類似のパラメータの制限 

例えば,次を考慮する。 
− 用途によって必要とされる速度,加速度,減速度 

適切な応答時間 

例えば,次を考慮する。 
− ばねの疲労,摩擦,潤滑,温度,加減速時の慣性,公差の累

積 

background image

18 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.1−基本安全原則(続き) 

基本安全原則 

留意事項 

予期しない起動に対する保護 

蓄積されたエネルギーによって生じる予期しない起動,運転モー
ド,保全モードなどの様々なモードの動力源復帰後の予期しない
起動を考慮する。 
蓄積されたエネルギーの放出に特殊な装置を必要とすることも
ある(JIS B 9714の5.3.1.3参照)。 
特殊な用途,例えば,装置の保持,位置の確保にエネルギーを維
持するなどは個別に考慮する必要がある。 

簡素化 

安全関連システムにおける不要なコンポーネントを避ける。 

分離化 

安全関連機能を他の機能と分離する。 

適切な潤滑 

潤滑装置の必要性,潤滑に関する情報,及び潤滑間隔を考慮する。 

液体及びほこりの侵入の適切な防止 

IP(保護等級)を考慮する(JIS C 0920参照)。 

表A.2−十分吟味された安全原則 

十分吟味された安全原則 

留意事項 

慎重に選定した材料及び製造方法の使用 

用途に関連した適切な材料,適切な製造方法及び処理方法の選
択。 

非対称故障モードのコンポーネントの使用 

コンポーネントの顕著な故障モードは事前に知られており,常に
同じである(JIS B 9700の6.2.12.3参照)。 

余裕をもった数値設計,安全係数 

安全係数は規格で示されるもの,又は安全関連用途における十分
な経験によって示されるもの。 

安全な位置 

コンポーネントの可動部分は,機械的な手段によって安全な位置
に保持される(摩擦を利用した保持だけでは不十分)。 
安全な位置から移動するために力が必要とされる。 

オフ状態を保持する力の増加 

安全な位置及び状態は,オンとの力関係でオフの力を増加させる
ことで得る。 

用途に関連したコンポーネント及びシステム
の慎重な選択,組合せ,配置,組立及び据付 

− 

用途に関連した締め付け方法の慎重な選択 

摩擦だけに頼ることを避ける。 

ポジティブな機械的動作 

ポジティブな機械的動作を達成するためには,安全機能を遂行す
るために要求される全ての可動する機械式コンポーネントが,接
続されたコンポーネントを必然的(強制的)に動かさなければな
らない。例えば,次のようなものである。 
− ばねによってではなく,カムが電気スイッチの接点を直接開

く。 

JIS B 9700の6.2.5参照。 

複数の部品 

多様な部品(複数の部品)を使用することで障害の影響を低減す
る。例えば,幾つかのばねのうちの一つで障害が発生しても危険
状態につながらない。 

background image

19 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.2−十分吟味された安全原則(続き) 

十分吟味された安全原則 

留意事項 

十分吟味されたばねの使用(表A.3も参照) 

十分吟味されたばねには次が必要となる。 
− 慎重に選定した材料,製造方法(例えば,使用前のプリセッ

ティング及びサイクル動作),及び処理(例えば,ローリン
グ及びショットピーニング)の使用 

− ばねの十分なガイド,及び 
− 疲労応力(例えば,破断が起こりにくい)に対する十分な安

全係数 

十分吟味された圧縮コイルばねも次のように設計する。 
− 慎重に選定した材料,製造方法(例えば,使用前のプリセッ

ティング及びサイクル動作),及び処理(例えば,ローリン
グ及びショットピーニング)の使用 

− ばねの十分なガイド 
− 負荷がかけられていない状態で,ワイヤ直径より少ない巻線

の隙間,及び 

− 破断後の十分な力(すなわち,破断が危険状態につながらな

い) 

注記 圧縮ばねが望ましい。 

力及び類似パラメータの範囲制限 

経験及び用途に関連して必要な制限を決定する。 
例えば,シャーピン,ブレークプレート,トルクリミッタ。 
重要−コンポーネントの継続的な健全性が,要求される制御レベ

ルを維持するために重要な場合,この原則に従わない。 

速度及び類似パラメータの範囲制限 

経験及び用途に関連して必要な制限を決定する。例えば,遠心調
速機(ガバナ),速度及びずれの安全モニタリング機能。 

環境パラメータの範囲制限 

必要な制限を決定する。例えば,据付場所での温度,湿度,汚染。
箇条10参照及び製造業者の適用上の留意事項を考慮する。 

応答時間の範囲制限,ヒステリシスの制限 

必要な制限を決定する。例えば,次を考慮する。 
− ばねの疲労,摩擦,潤滑,温度,加減速時の慣性,公差の累

積。 

表A.3−十分吟味されたコンポーネント一覧 

十分吟味されたコン

ポーネント 

“十分吟味された”の条件 

基準又は仕様 

ねじ 

ねじ接続及び用途に影響する全ての要
因を考慮する。表A.2参照。 

ねじ,ナット,座金,リベット,ピン,ボルトな
どの機械的接合部品を標準化する。 

ばね 

表A.2の“十分吟味されたばねの使用”
を参照。 

ばね用鋼及び他の特殊な用途の技術仕様は,JIS 
G 4802に規定されている。 

カム 

カム配列に影響する全ての要因(例え
ば,インターロック装置の一部)を考慮
する。表A.2参照。 

JIS B 9710(インターロック装置)参照。 

シャーピン 

用途に影響する全ての要因を考慮する。
表A.2参照。 

− 

background image

20 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.4−障害及び障害の除外−機械装置,コンポーネント及び要素 

(例えば,カム,フォロワ,チェーン,クラッチ,ブレーキ,シャフト,ねじ,ピン,ガイド,ベアリング) 

考慮する障害 

障害の除外 

留意事項 

摩耗及び腐食 

指定の寿命に基づいて,慎重に選択した材料,
(余裕をもった)数値設計,製造プロセス,処理,
及び適切な潤滑を行った場合は,可能(表A.2
参照)。 

JIS B 9705-1の7.3参照。 

緩み 

指定の寿命に基づいて,慎重に選択した材料,製
造プロセス,固定手段,及び処理を行った場合は,
可能(表A.2参照)。 

破断 

指定の寿命に基づいて,慎重に選択した材料,
(余裕をもった)数値設計,製造プロセス,処理,
及び適切な潤滑を行った場合は,可能(表A.2
参照)。 

過剰な応力による
変形 

指定の寿命に基づいて,慎重に選択した材料,
(余裕をもった)数値設計,処理,及び製造プロ
セスの場合は,可能(表A.2参照)。 

剛性及び固着 

指定の寿命に基づいて,慎重に選択した材料,
(余裕をもった)数値設計,製造プロセス,処理,
及び適切な潤滑を行った場合は,可能(表A.2
参照)。 

表A.5−障害及び障害の除外−圧縮コイルばね 

考慮した障害 

障害の除外 

留意事項 

摩耗及び腐食 

十分吟味されたばね,及び慎重に選択した留め具
の場合は,可能(表A.2参照)。 

JIS B 9705-1の7.3参
照。 

セッティング及び破断による力の減
少 

破断 

剛性及び固着 

緩み 

過剰な応力による変形 

background image

21 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書B 

(参考) 

空圧システムに対する妥当性確認ツール 

空圧システムを他の技術と組み合わせて使用する場合,附属書Bを考慮するのが望ましい。空圧コンポ

ーネントが電気的に接続され,制御されている場合,附属書Dに記載した適切な障害リストを考慮するの

が望ましい。 

注記 国内法に追加要求事項が存在する場合がある。 

表B.1及び表B.2は,基本安全原則及び十分吟味された安全原則を示す。 

十分吟味されたコンポーネントのリストは,この版の附属書Bでは示されていない。“十分吟味された”

の状態は,主に用途ごとに特定のものである。コンポーネントがJIS B 9705-1の6.2.2及びJIS B 8370の

箇条5〜箇条7に適合している場合,“十分吟味された”とすることができる。幾つかの用途のための十分

吟味されたコンポーネントは,他の用途に対しては適切ではない場合がある。 

表B.3〜表B.18は,障害の除外及びその論理的根拠を示す。更なる除外は,4.4参照。 

障害が発生するタイミングが重要となることがある(9.1参照)。 

表B.1−基本安全原則 

基本安全原則 

留意事項 

適した材料及び適切な製造方法の採用 

例えば,次に関する材料,製造方法,処理方法の選択。 
− 応力,耐性,弾性,摩擦,摩耗,腐食,温度 

正しい数値設計及び形状 

例えば,次の要素を考慮する。 
− 応力,ひずみ,疲労,表面粗さ,公差,及び製造方法 

空圧コンポーネント及びシステムの適切な選
択,組合せ,配置,組立及び据付 

製造業者の適用上の留意事項,例えば,カタログ,据付指示書,
仕様書,及び類似の空圧コンポーネント及びシステムにおけるグ
ッドエンジニアリングプラクティスなどを適用する。 

エネルギー解放の原則の使用 

安全な状態は,全ての関連する装置からエネルギーを解放するこ
とによって得られる。停止の最初の動作は,JIS B 9700の6.2.11.3
参照。 
エネルギーは,機構の動作を起動するときに供給される。 
起動の最初の動作は,JIS B 9700の6.2.11.3参照。 
様々なモードについて考察する。例えば,運転モード,保全モー
ド。 
この原則は,例えば,圧力の損失が更なる危険を生じさせるよう
な用途においては使用してはならない。 

適切な留め具 

ねじ留め,取付部品,接着,締付けリングの場合,製造業者の適
用上の留意事項を考慮する。 
過負荷は,適切なトルク管理技術を適用することで回避すること
ができる。 

圧力の制限 

例えば,圧力リリーフ弁,減圧弁,制御弁である。 

速度制限又は低減 

例えば,流量制御弁又は絞りによるシリンダピストンの速度制限
がある。 

流体汚染の十分な回避 

流体中の固体粒子及び水分のろ過並びに分離を考慮する。 

適切な切替時間の範囲 

配管長,圧力,排気容量,力,ばねの疲労,摩擦,潤滑,温度,
加速・減速時の慣性,許容差の累積などを考慮する。 

background image

22 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.1−基本安全原則(続き) 

基本安全原則 

留意事項 

耐環境条件 

全ての想定される環境において,温度,湿度,振動,汚染などの
予見可能な不利な条件において作動させられるように装置を設
計する。箇条10参照,及び製造業者の仕様及び適用上の留意事
項を考慮する。 

予期しない起動に対する保護 

蓄積されたエネルギーによって生じる予期しない起動,運転モー
ド,保全モードなどの様々なモードの動力源復帰後の予期しない
起動を考慮する。 
蓄積されたエネルギーの放出に特殊な装置を使用する必要があ
り得る(JIS B 9714の5.3.1.3参照)。 
特殊な用途,例えば,装置の保持,位置の確保にエネルギーを維
持するなどは個別に考慮する必要がある。 

簡素化 

安全関連システムにおける不要なコンポーネントを避ける。 

適切な温度範囲 

システム全体について考慮する。 

分離化 

安全関連機能を他の機能と分離する(例えば,論理的分離)。 

表B.2−十分吟味された安全原則 

十分吟味された安全原則 

留意事項 

余裕をもった数値設計,安全係数 

安全係数は規格で示されるもの,又は安全関連用途における十分
な経験によって示されるもの。 

安全な位置 

コンポーネントの可動部分は,機械的な手段によってある一つの
所定の位置に保持される(摩擦を利用した保持だけでは不十分)。 
所定の位置を変えるために力が必要とされる。 

オフ状態を保持する力の増加 

安全な位置(オフポジション)にバルブのスプールを移動するた
めの面積比は,オンポジションにスプールを移動するよりも極め
て大きいこと(安全係数)が,一つの解決策であり得る。 

負荷圧力によるバルブの閉止 

これらは,一般的に,シート弁と呼ばれる弁であり,例えば,ポ
ペット弁,ボール弁である。 
例えば,バルブを閉じるばねが破損した場合においても,バルブ
を閉じた状態に維持するために負荷圧力のかけ方を考慮する。 

ポジティブな機械的動作 

空圧コンポーネントの内部の可動部品にポジティブな機械的動
作を使用する。表A.2参照。 

複数の部品 

表A.2参照。 

十分吟味されたばねの使用 

表A.2参照。 

流れを制限するための抗力による速度制限又
は低減 

例えば,固定オリフィス及び固定絞りがある。 

力の制限又は力の低減 

これは,十分吟味された圧力リリーフ弁で達成できる。この圧力
リリーフ弁は,例えば,十分吟味されたばねを備え,正しく数値
設計され,選択されたものである。 

作動条件の適切な範囲 

作動条件の制限,例えば,圧力範囲,流量及び温度範囲について
考慮することが望ましい。 

作動流体の汚染の十分な回避 

作動流体中の固体粒子及び水分の高精度ろ過,並びに分離の必要
性を考慮する。 

スプール弁における十分なポジティブオーバ
ラップ 

ポジティブオーバラップによって,停止機能を確実に得ることが
でき,また,許容できない動作を防ぐことができる。 

ヒステリシスの制限 

例えば,摩擦の増加又は許容差の累積がヒステリシスを増加させ
る。 

background image

23 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.3−障害及び障害の除外−方向制御弁 

考慮する障害 

障害の除外 

留意事項 

切替時間の変化 

可動コンポーネントにおけるポジティ
ブな機械動作(表A.2参照)の場合に
は,作動力が十分である限り,可能。 

− 

切り替わらない(終端部又は初
期位置における固着)又は不完
全な切替え(切替え途中の位置
での固着) 

可動コンポーネントにおけるポジティ
ブな機械動作の場合には,作動力が十
分である限り,可能(表A.2参照)。 

初期切替位置の自然変化(入力
信号なしで) 

可動コンポーネントにおけるポジティ
ブな機械動作(表A.2参照)の場合に
は,保持力が十分である限り,可能。 

又は 

十分吟味されたばねが使われており
(表A.2参照),かつ,正常な据付及び
運転条件が適用されている場合には,
可能(留意事項参照)。 

又は 

スプール弁に弾性シールが取り付けら
れ,かつ,正常な据付及び運転条件が
適用されている場合(留意事項参照)
には,可能。 

正常な据付及び運転条件は,次の場合に
適用される。 
− 製造業者によって規定された条件

が考慮されている, 

− 可動コンポーネントの重量によっ

て,安全上望ましくない動きを生じ
ない,例えば,水平な据付など, 

− 可動コンポーネントに通常ではな

い慣性力が影響しない,例えば,バ
ルブコンポーネントの運動方向に
は慣性力の大きさ及び方向を考慮
している,及び 

− 極度の振動及び衝撃応力が生じな

い。 

漏れ 

スプール弁に弾性シールが取り付けら
れており,十分なポジティブオーバラ
ップが得られている場合で[留意事項
1) 参照],かつ,正常な運転条件が適用
され,圧縮空気の処理及びろ過が適切
になされている場合には,可能。 

又は 

シート弁の場合,正常な運転条件が適
用され[留意事項2) 参照],かつ,圧
縮空気のろ過及び処理が適切になされ
ている場合には,可能。 

1) 弾性シールが取り付けられたスプ

ール弁の場合,漏れによる影響は,
通常除外することができる。しかし
ながら,少量の漏れは,長期にわた
って発生し得る。 

2) 正常な据付及び運転条件が適用さ

れるとは,製造業者によって規定さ
れた条件が考慮されている場合で
ある。 

長期にわたる使用での漏れ流
量の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又は
可動コンポーネントの破損 

構造,数値設計,及び据付がグッドエ
ンジニアリングプラクティスに基づい
ている場合には,可能。 

サーボ弁及び比例弁:制御不能
な動きを生じる空圧システム
の障害 

サーボ弁及び比例方向制御弁の場合,
設計及び構造によって技術的な安全の
観点で,これらを汎用的な方向制御弁
として評価できる場合には,可能。 

− 

制御機能が幾つかの単機能弁によってなされている場合には,故障解析は各々の弁について行うことが望まし

い。同じ手順をパイロット弁についても行うことが望ましい。 

background image

24 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.4−障害及び障害の除外−遮断(シャットオフ)弁,逆止弁,急速排気弁,シャトル弁など 

考慮する障害 

障害の除外 

留意事項 

切替時間の変化 

なし 

− 

開かない,不完全な開き,閉
じない又は不完全な閉止(ス
トロークエンド又は任意の中
間位置における固着) 

可動コンポーネントのガイドシステム
が,減衰システムを備えていない非制
御式のボールシート弁と同様に設計さ
れており(留意事項参照),十分吟味さ
れたばねが使用されている場合(表A.2
参照)には,可能。 

減衰システムを備えていない非制御式
のボールシート弁については,ガイドシ
ステムは,一般的に,可動コンポーネン
トのいかなる固着現象も起こりにくい
ように設計されている。 

初期切替位置の自然変化(入
力信号なしで) 

正常な据付及び運転条件(留意事項参
照)に対し,かつ,圧力とその受圧面
積とを基にした十分な閉じ力がある場
合には,可能(表A.2参照)。 

正常な据付及び運転条件は,次の場合,
適合している。 
− 製造業者によって規定された条件に

従っている, 

− 可動コンポーネントに通常ではない

慣性力が影響しない,例えば,可動
部品の運動方向に機械部品の運動方
向を考慮している,及び 

− 極度の振動及び衝撃応力が生じな

い。 

シャトル弁において両側の入
力部が同時に閉じる 

可動コンポーネントの構造及び設計
上,同時閉止が発生しにくい場合には,
可能。 

− 

漏れ 

正常な運転条件が適用され(留意事項
参照),かつ,圧縮空気のろ過及び処理
が適切になされている場合には,可能。 

正常な運転条件が適用されるとは,製造
業者によって規定された条件が考慮さ
れている場合である。 

長期にわたる使用での漏れ流
量の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,及び据付が,グッド
エンジニアリングプラクティスに基づ
いている場合には,可能。 

表B.5−障害及び障害の除外−流量制御弁 

考慮する障害 

障害の除外 

留意事項 

設定装置を変更せずに流量が
変化 

可動部品をもたない流量制御弁[留意
事項1)参照],例えば,スロット弁に対
しては,正常な運転条件を適用し[留
意事項2)参照],かつ,圧縮空気に対し
て適切な処理及びろ過システムを備え
ている場合には,可能。 

1) 設定装置は可動部品としてみなさな

い。圧力差の変化による流量の変化
は,この種の弁においては物理的に
制限され,ここで想定した障害には
含まれない。 

2) 正常な運転条件が適用されるとは,

製造業者によって規定された条件が
考慮されている場合である。 

固定式円形オリフィス及びノ
ズルにおける流量の変化 

直径が≧0.8 mmで,正常な運転条件を
適用し[留意事項2)参照],かつ,圧縮
空気に対して適切な処理及びろ過シス
テムを備えている場合には,可能。 

background image

25 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.5−障害及び障害の除外−流量制御弁(続き) 

考慮する障害 

障害の除外 

留意事項 

比例式流量制御弁において,
設定値の意図しない変化によ
る流量の変化 

なし 

− 

設定装置における自然変化 
 

技術的な安全仕様に基づいて,特定の
事例に対しても設定装置の効果的な保
護が行われていれば,可能。 

設定装置の操作部の意図しな
い緩み(ねじの外れ) 

緩み(ねじの外れ)に対して効果的な
ポジティブロック機構がある場合に
は,可能。 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,据付がグッドエンジ
ニアリングプラクティスに基づいてい
る場合には,可能。 

表B.6−障害及び障害の除外−圧力制御弁 

考慮する障害 

障害の除外 

留意事項 

設定圧力を超えているのに開
かない,又は不完全な開放(可
動コンポーネントの固着又は
緩慢な動き)[留意事項1)参
照] 

次の場合には,可能。 
− 可動コンポーネントに対するガイ

ドシステムが,制御機能をもたな
いボールシート弁又はダイヤフラ
ム弁,例えば,リリーフ付減圧弁
に対して同様に設計されている場
合[留意事項2)参照],かつ, 

− 十分吟味されたばねが使用されて

いる(表A.2参照)場合。 

1) この障害は,圧力制御弁がクランピ

ングなどの強制的な動作について使
用される場合だけ適用される。 
この障害は,圧力制限,減圧などの
空圧システムの通常の機能には適用
しない。 

2) 制御機能をもたないボールシート弁

又はダイヤフラム弁については,そ
のガイドシステムは,通常,可動コ
ンポーネントが固着しにくいように
設計されている。 

設定圧力より低くなっている
のに閉じない,又は不完全な
閉止(可動コンポーネントの
固着又は緩慢な動き)[留意
事項1)参照] 

設定装置を変更していないの
に圧力制御の挙動が変化した
[留意事項1)参照] 

直動型圧力制御弁及び圧力調整弁につ
いては,組み込まれたばねが十分吟味
されたものである場合には,可能(表
A.2参照)。 

比例圧力弁:設定値の意図し
ない変更によって,圧力制御
の挙動が変化した[留意事項
1)参照] 

なし 

設定装置における自然変化 

その用途の要求事項に基づいて,設定
装置の効果的な保護が行われていれ
ば,可能[例えば,リードシール(鉛
封印)]。 

− 

設定装置の操作部の意図しな
いねじの緩み 

ねじの緩みに対して効果的なポジティ
ブロック機構がある場合には,可能。 

漏れ 

シート弁,ダイヤフラム弁及び弾性シ
ール付スプール弁については,正常な
運転条件(留意事項参照)を適用し,
かつ,圧縮空気に対して適切な処理及
びろ過システムを備えている場合に
は,可能。 

正常な運転条件が適用されるとは,製造
業者によって規定された条件が考慮さ
れている場合である。 

background image

26 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.6−障害及び障害の除外−圧力制御弁(続き) 

考慮する障害 

障害の除外 

留意事項 

長期にわたっての使用での漏
れ流量の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,据付が,グッドエン
ジニアリングプラクティスに基づいて
いる場合には,可能。 

表B.7−障害及び障害の除外−配管 

考慮する障害 

障害の除外 

留意事項 

破断及び漏れ 

数値設計,材料の選定,及び固定方法
が,グッドエンジニアリングプラクテ
ィスに基づいている場合には(留意事
項参照),可能。 

樹脂チューブを使用している場合,製造
業者のデータ,特に,運転環境の影響,
例えば,熱的影響,化学的影響又は放射
線による影響を考慮する必要がある。腐
食防止処理を施していない金属管を使
用している場合,圧縮空気を十分に乾燥
させることが,特に重要である。 

継手部障害(例えば,破損,
漏れ) 

くい込み式継手又はねじ付管(すなわ
ち,金属継手,金属管)が使用されて
いて,数値設計,材料の選択,製造,
構成及び取付けが,グッドエンジニア
リングプラクティスに基づいている場
合には,可能。 

− 

詰まり 

動力系での配管については,可能。 
公称直径が≧2 mmの場合の制御系及
び計測系配管については,可能。 

呼び径が小さいことによる樹
脂チューブのねじれ 

例えば,最小曲げ半径について製造業
者の関連データを考慮し,適切に保護
され,かつ,配管されている場合には,
可能。 

表B.8−障害及び障害の除外−ホースアセンブリ 

考慮する障害 

障害の除外 

留意事項 

継手部の破断,破損及び漏れ 

ホースアセンブリがISO 4079に従い製
造されたホースを使用している,又は
類似のホースで,これに対応する継手
(留意事項参照)をもつものを使用し
ている場合には,可能。 

次の場合には障害の除外を考慮しない。 
− 意図する寿命を超過している。 
− 強化部分の疲労が発生し得る。 
− 外部の損傷が避けられない。 

詰まり 

動力系でのホースアセンブリについて
は,可能。 
公称直径が≧2 mmの場合の制御系及
び計測系配管については,可能。 

− 

background image

27 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.9−障害及び障害の除外−継手 

考慮する障害 

障害の除外 

留意事項 

ねじの破断,破損,又はねじ山
の破損 

数値設計,材料の選定,製造方法,構
成,配管及び/又はパイプ継手・ホー
ス継手への接続が,グッドエンジニア
リングプラクティスに基づいている場
合には,可能。 

− 

漏れ(耐漏えい性の喪失) 

なし(留意事項参照) 

摩耗,経年変化,弾性の劣化などによっ
て,長期にわたる障害を除外することが
できない。 
突然の重大な耐漏えい性の故障が発生
することは想定されていない。 

詰まり 

動力系については,可能。 
公称直径が≧2 mmの場合の制御系及
び計測系継手については,可能。 

− 

表B.10−障害及び障害の除外−圧力伝送器及び圧力変換器 

考慮する障害 

障害の除外 

留意事項 

圧力チャンバーの気密若しく
は油密状態が失われる,又は変
化する 

なし 

− 

圧力チャンバーの破損,及び附
属部品又はカバーのねじの破
損 

数値設計,材料の選定,構成,及び附
属部品が,グッドエンジニアリングプ
ラクティスに基づいている場合には,
可能。 

表B.11−障害及び障害の除外−圧縮空気の調質−フィルタ 

考慮する障害 

障害の除外 

留意事項 

フィルタエレメントの目詰ま
り 

なし 

− 

フィルタエレメントの破裂又
は部分的な破裂 

フィルタエレメントが十分に圧力に耐
えることができるのであれば,可能。 

汚れインディケータ又は汚れ
モニタの故障 

なし 

フィルタハウジングの破断又
はカバー若しくは接続部の破
損 

数値設計,材料の選定,システム内の
配置,及び固定方法が,グッドエンジ
ニアリングプラクティスに基づいてい
れば,可能。 

background image

28 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.12−障害及び障害の除外−圧縮空気の調質−オイラ(ルブリケータ) 

考慮する障害 

障害の除外 

留意事項 

設定装置を変更していないの
に設定値(単位時間当たりの油
量)が変化した 

なし 

− 

設定装置における自然変化 
 

特定の事例に対しても設定装置の効果
的な保護が行われていれば,可能。 

設定装置の操作部の意図しな
いねじの緩み 

ねじの緩みに対して効果的なポジティ
ブロック機構がある場合には,可能。 

ハウジングの破断又はカバー,
固定方法若しくは接続部の破
損 

数値設計,材料の選定,システム内の
配置,及び固定方法が,グッドエンジ
ニアリングプラクティスに基づいてい
る場合には,可能。 

表B.13−障害及び障害の除外−圧縮空気の処理−サイレンサ(消音器) 

考慮する障害 

障害の除外 

留意事項 

サイレンサの詰まり 
 

サイレンサエレメントの設計及び構造
が留意事項の条件を満たしていれば,
可能。 

サイレンサの直径が十分な大きさであ
り,運転条件に合致するように設計され
たものであれば,サイレンサエレメント
の詰まり及び/又は排気背圧が一定の
限界値を超える増加はほとんどない。 

表B.14−障害及び障害の除外−アキュムレータ及び圧力容器 

考慮する障害 

障害の除外 

留意事項 

アキュムレータ,圧力容器又は
接続部の破損若しくは破断,又
は固定ねじのねじ山の破損 

構造,装置の選定,材料の選定,及び
システム内の配置が,グッドエンジニ
アリングプラクティスに基づいている
場合には,可能。 

− 

表B.15−障害及び障害の除外−センサ 

考慮する障害 

障害の除外 

留意事項 

センサの障害(留意事項参照) 

なし 

この表のセンサには,特に圧力,流量,
温度の変化の取込み,処理,及び出力機
能が含まれている。 

検出又は出力特性の変化 

なし 

− 

表B.16−障害及び障害の除外−情報処理−論理素子 

考慮する障害 

障害の除外 

留意事項 

切替時間の変化,切替えできな
い,切替不良などによる論理素
子の障害(例えば,AND素子,
OR素子,論理記憶素子) 

想定される障害及び障害の除外の対応
は,表B.3,表B.4,表B.5,及び関連
のコンポーネントの箇所参照。 

− 

background image

29 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.17−障害及び障害の除外−情報処理−時間遅延装置 

考慮する障害 

障害の除外 

留意事項 

時間遅延装置(素子)の障害,
例えば,空圧式,機械式で,
時間及び計数素子の障害 

可動コンポーネントをもたない時間遅
延装置,例えば,固定抵抗で,正常の
運転条件(留意事項)を適用し,かつ,
圧縮空気の処理及びろ過が適切になさ
れている場合には,可能。 

正常な運転条件が適用されるとは,製造
業者によって規定された条件が考慮さ
れている場合である。 

検出又は出力特性の変化 

ハウジングの破断又はカバー
若しくは固定部の破損 

構造,数値設計,据付が,グッドエン
ジニアリングプラクティスに基づいて
いる場合には,可能。 

− 

表B.18−障害及び障害の除外−情報処理−変換器 

考慮する障害 

障害の除外 

留意事項 

変換器の障害[留意事項1)参
照] 

可動コンポーネントをもたないコンバ
ータ,例えば,反射ノズルで,正常な
運転条件を適用し[留意事項2)参照],
かつ,圧縮空気の処理及びろ過が適切
になされている場合には,可能。 

1) これには,例えば,空圧信号が電気

信号に変換されているもの,位置検
出(シリンダスイッチ,反射ノズ
ル),空圧信号の増幅を含む。 

2) 正常な運転条件が適用されるとは,

製造業者によって規定された条件
が考慮されている場合である。 

検出又は出力特性の変化 

ハウジングの破断又はカバー
若しくは固定部の破損 

構造,数値設計,据付がグッドエンジ
ニアリングプラクティスに基づいてい
る場合には,可能。 

− 

background image

30 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書C 
(参考) 

液圧システムの妥当性確認ツール 

液圧システムを他の技術と組み合わせて使用する場合,附属書Cを考慮するのが望ましい。液圧コンポ

ーネントが電気的に接続され,制御されている場合,附属書Dに記載した適切な障害リストを考慮するの

が望ましい。 

注記 国内法に追加要求事項が存在する場合がある。 

表C.1及び表C.2は,基本安全原則及び十分吟味された安全原則を示す。液圧流体に含まれる気泡及び

キャビテーションは,所定外の動きなど,追加の危険源,例えば,意図しない挙動をもたらす可能性があ

るため,除外するのが望ましい。 

十分吟味されたコンポーネントのリストは,この版の附属書Cでは示されていない。“十分吟味された”

の状態は,主に用途ごとに特定のものである。コンポーネントがJIS B 9705-1の6.2.2及びJIS B 8361の

箇条5〜箇条7に適合している場合,“十分吟味された”とすることができる。幾つかの用途のための十分

吟味されたコンポーネントは,他の用途に対しては適切でない場合がある。 

表C.3〜表C.12は,障害の除外及びその論理的根拠を示す。更なる除外は,4.4参照。 

障害が発生するタイミングが重要となることがある(9.1参照)。 

表C.1−基本安全原則 

基本安全原則 

留意事項 

適した材料及び適切な製造方法の採用 

例えば,次に関する材料,製造方法,処理方法の選択。 
− 応力,耐性,弾性,摩擦,摩耗,腐食,温度,作動流体 

正しい数値設計及び形状 

例えば,次の要素を考慮する。 
− 応力,ひずみ,疲労,表面粗さ,公差,及び製造方法 

液圧コンポーネント及びシステムの適切な選
択,組合せ,配置,組立及び据付 

製造業者の適用上の留意事項,例えば,カタログ,据付指示書,
仕様書,類似の液圧コンポーネント及びシステムにおけるグッド
エンジニアリングプラクティスなどを適用する。 

エネルギー解放の原則の使用 

安全な状態は,全ての関連する装置からエネルギーを解放するこ
とによって得られる。停止の最初の動作は,JIS B 9700の6.2.11.3
参照。 
エネルギーは,機構の動作を起動するときに供給される。 
起動の最初の動作は,JIS B 9700の6.2.11.3参照。 
様々なモードについて考察する。例えば,運転モード,保全モー
ド。 
この原則は,例えば,圧力の損失が更なる危険を生じさせるよう
な用途においては使用してはならない。 

適切な留め具 

ねじ留め,取付部品,接着,締付けリングの場合,製造業者の適
用上の留意事項を考慮する。 
過負荷は,適切なトルク管理技術を適用することで回避すること
ができる。 

圧力の制限 

例えば,圧力リリーフ弁,減圧弁,制御弁である。 

速度制限又は低減 

例えば,流量制御弁又は絞りによるシリンダピストンの速度制限
がある。 

background image

31 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.1−基本安全原則(続き) 

基本安全原則 

留意事項 

流体汚染の十分な回避 

流体中の固体粒子及び水分のろ過並びに分離を考慮する。 
フィルタ交換の必要性を指示することも考慮する。 

適切な切替時間の範囲 

配管長,圧力,リリーフ弁の排出容量,ばねの疲労,摩擦,潤滑,
温度,粘度,加速・減速時の慣性,許容差の累積などを考慮する。 

耐環境条件 

全ての想定される環境において,及び温度,湿度,振動,汚染な
どの予見可能な不利な条件において作動させられるように装置を
設計する。箇条10を参照し,製造業者の仕様及び適用上の留意事
項を考慮する。 

予期しない起動に対する保護 

蓄積されたエネルギーによって生じる予期しない起動,運転モー
ド,保全モードなどの様々なモードの動力源復帰後の予期しない
起動を考慮する。 
蓄積されたエネルギーの放出に特殊な装置を使用する必要がある
場合もある。 
特殊な用途,例えば,装置の保持,位置の確保にエネルギーを維
持するなどは個別に考慮する必要がある。 

簡素化 

安全関連システムにおける不要なコンポーネントを避ける。 

適切な温度範囲 

システム全体について考慮する。 

分離化 

安全関連機能を他の機能と分離する。 

表C.2−十分吟味された安全原則 

十分吟味された安全原則 

留意事項 

余裕をもった数値設計,安全係数 

安全係数は規格で示されるもの,又は安全関連用途における十分
な経験によって示されるもの。 

安全な位置 

コンポーネントの可動部分は,機械的な手段によってある一つの
所定の位置に保持される(摩擦を利用した保持だけでは不十分)。 
所定の位置を変えるために力が必要とされる。 

オフ状態を保持する力の増加 

安全な位置(オフポジション)にバルブのスプールを移動するた
めの面積比は,オンポジションにスプールを移動するよりも極め
て大きいこと(安全係数)が,一つの解決策であり得る。 

負荷圧力によるバルブの閉止 

例えば,シート弁及びカートリッジ弁がある。 
例えば,バルブを閉じるばねが破損した場合においても,バルブ
を閉じた状態に維持するために負荷圧力のかけ方を考慮する。 

ポジティブな機械的動作 

液圧コンポーネントの内部の可動部品にポジティブな機械的動作
を使用する。表A.2参照。 

複数の部品 

表A.2参照。 

十分吟味されたばねの使用 

表A.2参照。 

流れを制限するための抗力による速度制限又
は低減 

例えば,固定オリフィス及び固定絞りがある。 

力の制限又は力の低減 

これは,十分吟味された圧力リリーフ弁で達成できる。この圧力
リリーフ弁は,例えば,十分吟味されたばねを備え,正しく数値
設計され,選択されたものである。 

作動条件の適切な範囲 

作動条件の制限,例えば,圧力範囲,流量及び温度範囲について
考慮することが望ましい。 

background image

32 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.2−十分吟味された安全原則(続き) 

十分吟味された安全原則 

留意事項 

作動流体の状態の監視 
 

作動流体中の固体粒子及び水分の高度なろ過,並びに分離を考慮
する。また,作動流体中の化学的及び物理的状態についても考慮
する。 
フィルタ交換の必要性を表示することも考慮する。 

ピストン弁における十分なポジティブオーバ
ラップ 

ポジティブオーバラップによって,停止機能を確実に得ることが
でき,また,許容できない動作を防ぐことができる。 

ヒステリシスの制限 

例えば,摩擦が増えるとヒステリシスが増える。 
許容差の累積によってもヒステリシスに影響する。 

表C.3−障害及び障害の除外−方向制御弁 

考慮する障害 

障害の除外 

留意事項 

切替時間の変化 

可動コンポーネントにおけるポジティ
ブな機械動作(表A.2参照)の場合には,
作動力が十分である限り,可能。 

又は 

特別なタイプのカートリッジ式シート
弁が閉じない場合,少なくとも他の一つ
のバルブで作動流体の主要な流れを制
御する場合には,可能[留意事項1)参照]。 

1) 次の条件ならば特別なカートリッ

ジ式シート弁として受け入れられ
る。 

− 安全に関連した切替動作の起動の

ための作用面積が,可動コンポー
ネント(ポペット)の全面積の
90 %以上ある, 

− 該当するシート弁の挙動に連動し

て,作用面に働く有効な制御圧力
が回路の最高使用圧力(JIS B 0142
の1415に従う)まで上げることが
できる, 

− 可動コンポーネントの作用面の反

対側の面に働く有効な制御圧力,
例えば,圧力排出弁の戻り圧力又
は充塡弁の供給圧力が最高作動圧
力に比べて非常に低い圧力になる
まで排出開放されている, 

− 可動コンポーネント(ポペット)

の円周に圧力バランス用の溝が施
してある,及び 

− シート弁のパイロット弁がマニホ

ールドブロック内に設計されてい
る(すなわち,他のバルブと接続
するためのホースアセンブリ及び
管がない)。 

切り替わらない(終端部又は
初期位置における固着)又は
不完全な切替え(切替え途中
の位置での固着) 

可動コンポーネントにおけるポジティ
ブな機械動作の場合には,作動力が十分
である限り,可能(表A.2参照)。 

又は 

特別なタイプのカートリッジ式シート
弁が閉じない場合,少なくとも他の一つ
のバルブで作動流体の主要な流れを制
御する場合には,可能[留意事項1)参照]。 

background image

33 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.3−障害及び障害の除外−方向制御弁(続き) 

考慮する障害 

障害の除外 

留意事項 

初期切替位置の自然変化(入
力信号なしで) 

可動コンポーネントにおけるポジティ
ブな機械動作(表A.2参照)の場合には,
保持力が十分である限り,可能。 

又は 

十分吟味されたばねが使われており(表
A.2参照),かつ,正常な据付及び運転条
件が適用されている場合には,可能[留
意事項2)参照]。 

又は 

特別なタイプのカートリッジ式シート
弁が閉じない場合,少なくとも他の一つ
のバルブで作動流体の主要な流れを制
御する場合[留意事項1)参照],かつ,
正常な据付及び運転条件が適用されて
いる場合[留意事項2)参照]には,可能。 

2) 正常な据付及び運転条件は,次の

場合に適用される。 

− 製造業者によって規定された条件

が考慮されている, 

− 可動コンポーネントの重量によっ

て,安全上望ましくない動きを生
じない,例えば,水平な据付など, 

− 可動コンポーネントに通常ではな

い慣性力が影響しない,例えば,
可動部品の運動方向に機械部品の
運動方向を考慮している,及び 

− 極度の振動及び衝撃応力が生じな

い。 

漏れ 

シート弁の場合で,正常な据付及び運転
条件が適用され(留意事項参照),かつ,
適切なろ過システムが備えられている
場合には,可能。 

正常な据付及び運転条件が適用される
とは,製造業者によって規定された条
件が考慮されている場合である。 

長期にわたる使用での漏れ流
量の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,及び据付が,グッドエ
ンジニアリングプラクティスに基づい
ている場合には,可能。 

サーボ弁及び比例弁:制御不
能な動きを生じる液圧システ
ムの障害 

サーボ弁及び比例方向制御弁の場合,設
計及び構造によって安全の観点で,これ
らを汎用的な方向制御弁として評価で
きる場合には,可能。 

制御機能が幾つかの単機能弁によってなされている場合には,故障解析は各々の弁について行うことが望まし

い。同じ手順をパイロット弁についても行うことが望ましい。 

表C.4−障害及び障害の除外−遮断(シャットオフ)弁,逆止弁,シャトル弁など 

考慮する障害 

障害の除外 

留意事項 

切替時間の変化 

なし 

− 

開かない,不完全な開き,閉
じない又は不完全な閉止(ス
トロークエンド又は任意の中
間位置における固着) 

可動コンポーネントのガイドシステム
が,減衰システムを備えていない非制御
式のボールシート弁と同様に設計されて
おり(留意事項参照),十分吟味されたば
ねが使用されている場合(表A.2参照)
には,可能。 

減衰システムを備えていない非制御式
のボールシート弁については,ガイド
システムは,一般的に,可動コンポー
ネントのいかなる固着現象も起こりに
くいように設計されている。 

background image

34 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.4−障害及び障害の除外−遮断(シャットオフ)弁,逆止弁,シャトル弁など(続き) 

考慮する障害 

障害の除外 

留意事項 

初期切替位置の自然変化(入
力信号なしで) 

正常な据付及び運転条件(留意事項参照)
に対し,かつ,圧力とその受圧面積とを
基にした十分な閉じ力がある場合には,
可能(表A.2参照)。 

正常な据付及び運転条件は,次の場合,
適合している。 
− 製造業者によって規定された条件

に従っている, 

− 可動コンポーネントに通常ではな

い慣性力が影響しない,例えば,
可動部品の運動方向に機械部品の
運動方向を考慮している,及び 

− 極度の振動及び衝撃応力が生じな

い。 

シャトル弁において両側の入
力部が同時に閉じる 

可動コンポーネントの構造及び設計上,
同時閉止が発生しにくい場合には,可能。 

− 

漏れ 

正常な運転条件が適用され(留意事項参
照),かつ,適切なろ過システムが備えら
れているならば,可能。 

正常な運転条件が適用されるとは,製
造業者によって規定された条件が考慮
されている場合である。 

長期にわたる使用での漏れ流
量の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,及び据付が,グッドエ
ンジニアリングプラクティスに基づいて
いる場合には,可能。 

表C.5−障害及び障害の除外−流量制御弁 

考慮する障害 

障害の除外 

留意事項 

設定装置を変更せずに流量が
変化 

可動部品をもたない流量制御弁[留意事
項1)参照]の場合,例えば,スロットル
弁に対しては,正常な運転条件を適用し
[留意事項2)参照],かつ,適切なろ過シ
ステムを備えている場合[留意事項3)]
には,可能。 

1) 設定装置は可動部品としてみなさ

ない。圧力差及び粘度の変化によ
る流量の変化は,この種の弁にお
いては物理的に制限され,ここで
想定した障害には含まれない。 

2) 正常な運転条件が適用されると

は,製造業者によって規定された
条件が考慮されている場合であ
る。 

3) 逆止弁が流量制御弁に組み込まれ

ている場合,更に逆止弁に対する
障害を考慮しなければならない。 

固定式円形オリフィス及びノ
ズルにおける流量の変化 

直径が≧0.8 mmで,正常な運転条件を適
用し[留意事項2)参照],かつ,適切なろ
過システムを備えている場合には,可能。 

background image

35 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.5−障害及び障害の除外−流量制御弁(続き) 

考慮する障害 

障害の除外 

留意事項 

比例式流量制御弁において,
設定値の意図しない変化によ
る流量の変化 

なし 

− 

設定装置における自然変化 

技術的な安全仕様に基づいて,特定の事
例に対しても設定装置の効果的な保護が
行われていれば,可能。 

設定装置の操作部の意図しな
い緩み(ねじの外れ) 

緩み(ねじの外れ)に対して効果的なポ
ジティブロック機構がある場合には,可
能。 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,据付がグッドエンジニ
アリングプラクティスに基づいている場
合には,可能。 

表C.6−障害及び障害の除外−圧力制御弁 

考慮する障害 

障害の除外 

留意事項 

設定圧力を超えているのに開
かない,又は(空間的かつ一
時的に)不完全な開放(可動
コンポーネントの固着又は緩
慢な動き)[留意事項1)参照] 

特別なタイプのカートリッジ式シー
ト弁が閉じない場合で,少なくとも他
の一つのバルブで作動流体の主要な
流れを制御する場合[表C.3の留意事
項1)参照]には,可能。 

又は 

可動コンポーネントに対するガイド
システムが,制御機能をもたず,減衰
装置もないボールシート弁と同様に
設計されており[留意事項2)参照],
かつ,十分吟味されたばねが使用され
ている(表A.2参照)場合には,可能。 

1) この障害は,圧力制御弁がクランピン

グなどの強制的な動作について使用
される,また,負荷の中断などの危険
な動きの制御について使用される場
合だけ適用される。 
この障害は,圧力制限,減圧などの液
圧システムの通常の機能には適用し
ない。 

2) 制御機能をもたず,減衰装置もないボ

ールシート弁については,そのガイド
システムは,通常,可動コンポーネン
トが固着しにくいように設計されて
いる。 

設定圧力より低くなっている
のに閉じない,又は(空間的
かつ一時的に)不完全な閉止
(可動コンポーネントの固着
又は緩慢な動き)[留意事項
1)参照] 

設定装置を変更していないの
に圧力制御の挙動が変化した
[留意事項1)参照] 

直動式リリーフ弁で,据え付けられた
ばねが十分吟味されたものである場
合には,可能(表A.2参照)。 

比例圧力弁:設定値の意図し
ない変更によって,圧力制御
の挙動が変化した[留意事項
1)参照] 

なし 

設定装置における自然変化 

技術的な安全仕様に基づいて,特定の
事例に対しても設定装置の効果的な
保護が行われていれば,可能[例えば,
リードシール(鉛封印)]。 

− 

設定装置の操作部の意図しな
いねじの緩み 

ねじの緩みに対して効果的なポジテ
ィブロック機構がある場合には,可
能。 

漏れ 

シート弁については,正常な運転条件
を適用し(留意事項参照),かつ,適
切なろ過システムを備えている場合
には,可能。 

正常な運転条件が適用されるとは,製造
業者によって規定された条件が考慮され
ている場合である。 

background image

36 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.6−障害及び障害の除外−圧力制御弁(続き) 

考慮する障害 

障害の除外 

留意事項 

長期間使用での液漏れの流量
の変化 

なし 

− 

取付け又はバルブハウジング
のねじの破損若しくは破断と
同様に,ハウジングの破裂又
は可動コンポーネントの破損 

構造,数値設計,据付が,グッドエン
ジニアリングプラクティスに基づい
ている場合には,可能。 

表C.7−障害及び障害の除外−金属配管 

考慮する障害 

障害の除外 

留意事項 

破断及び漏れ 

数値設計,材料の選定,及び固定方

法が,グッドエンジニアリングプラク
ティスに基づいている場合には,可
能。 

− 

継手部障害(例えば,破損,
漏れ) 

溶接継手,溶接フランジ又はフレア継
手が使用されていて,数値設計,材料
の選択,製造,構成及び取付けが,グ
ッドエンジニアリングプラクティス
に基づいている場合には,可能。 

− 

詰まり 

動力系での配管については,可能。 
公称直径が≧3 mmの場合の制御系及
び計測系配管については,可能。 

表C.8−障害及び障害の除外−ホースアセンブリ 

考慮する障害 

障害の除外 

留意事項 

継手部の破断,破損,及び漏
れ 

なし 

− 

詰まり 

動力系でのホースアセンブリについて
は,可能。 
公称直径が≧3 mmの場合の制御系及
び計測系配管については,可能。 

表C.9−障害及び障害の除外−継手 

考慮する障害 

障害の除外 

留意事項 

ねじの破断,破損,又はねじ
山の破損 

数値設計,材料の選定,製造方法,構
成,配管及び/又は流体技術コンポー
ネントへの接続がグッドエンジニアリ
ングプラクティスに基づいている場合
には,可能。 

− 

漏れ(耐漏えい性の喪失) 

なし(留意事項参照) 

摩耗,経年変化,弾性の劣化などによっ
て,長期にわたる障害を除外することが
できない。 
突然の重大な耐漏えい性の故障が発生す
ることは想定されていない。 

詰まり 

動力系については,可能。 
公称直径が≧3 mmの場合の制御系及
び計測系継手については,可能。 

− 

background image

37 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表C.10−障害及び障害の除外−フィルタ 

考慮する障害 

障害の除外 

留意事項 

フィルタエレメントの目詰ま
り 

なし 

− 

フィルタエレメントの破裂 

フィルタエレメントが十分に圧力に耐
えることができ,効果的なバイパス弁
又は効果的な汚れ監視機能がある場
合,可能。 

バイパス弁の故障 

バイパス弁のガイドシステムが,制御
機能をもたず,減衰装置もないボール
シート弁と同様に設計されており(表
C.4参照),かつ,十分吟味されたばね
が使用されている(表A.2参照)場合
には,可能。 

汚れインディケータ又は汚れ
モニタの故障 

なし 

フィルタハウジングの破断,
又はカバー若しくは接続部の
破損 

数値設計,材料の選定,システム内の
配置,及び固定方法がグッドエンジニ
アリングプラクティスに基づいていれ
ば,可能。 

表C.11−障害及び障害の除外−エネルギー蓄積容器 

考慮する障害 

障害の除外 

留意事項 

エネルギー蓄積容器又は継
手,若しくはカバーねじの破
断又は破損及びねじ山の破損 

構造,装置の選定,材料の選定,及び
システム内の配置がグッドエンジニア
リングプラクティスに基づいている場
合には,可能。 

− 

ガスと作動流体を分離するエ
レメントでの漏れ 

なし 

− 

ガスと作動流体を分離するエ
レメントの故障又は破損 

ピストン式蓄積容器(留意事項参照)
の場合には,可能。 

突然の重大な漏れは考慮されない。 

気体封入用バルブの故障 

気体封入用バルブがグッドエンジニア
リングプラクティスに基づいて設置さ
れており,また,外的な影響から適切
に保護されている場合には,可能。 

− 

表C.12−障害及び障害の除外−センサ 

考慮する障害 

障害の除外 

留意事項 

センサの障害(留意事項参照) 

なし 

この種のセンサには,特に圧力,流量,
温度の変化の取込み,処理,及び出力機
能が含まれている。 

検出又は出力特性の変化 

なし 

− 

background image

38 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書D 
(参考) 

電気システムの妥当性確認ツール 

D.1 一般 

電気システムを他の技術と組み合わせて使用する場合,附属書Dを考慮するのが望ましい。 

JIS B 9960-1の環境条件を妥当性確認プロセスに適用する。他の環境条件が指定される場合,追加して,

それを考慮するのが望ましい。 

表D.1及び表D.2は,基本安全原則及び十分吟味された安全原則を示す。 

表D.3のコンポーネントは,JIS B 9705-1の6.2.4に適合している場合,“十分吟味された”とすること

ができる。表D.3の規格は,特定の用途に対して適切性及び信頼性を示すのに使用することができる。 

幾つかの用途のための十分吟味されたコンポーネントは,他の用途に対しては適切でない場合がある。 

注記 PLC,マイクロプロセッサ,及び特定用途向け集積回路のような複雑な電子装置は,“十分吟味

された”コンポーネントと同等として考慮することはできない。 

D.2及び表D.4〜表D.21は,障害の除外及びその論理的根拠を示す。更なる除外は,4.4参照。 

障害が発生するタイミングが重要となることがある(9.1参照)。 

表D.1−基本安全原則一覧 

基本安全原則 

留意事項 

適した材料及び適切な製造方法の採用 

例えば,次に関する材料,製造方法,処理方法の選択。 
− 応力,耐性,弾性,摩擦,摩耗,腐食,温度,導電性,絶縁耐

性 

正しい数値設計及び形状 

次の要素を考慮する。 
− 応力,ひずみ,疲労,表面の粗さ,公差,製造方法 

コンポーネント及びシステムの適切な選択,
組合せ,配置,組立及び据付 

製造業者の適用上の留意事項,例えば,カタログ,据付指示書,仕
様書,グッドエンジニアリングプラクティスなどを適用する。 

正しい保護ボンディング 

制御回路の一方,各電磁装置の動作コイルの一端,又は他の電気装
置の1終端を,保護ボンディング回路に接続する(JIS B 9960-1の
9.4.3.1参照)。 

絶縁状態の監視 

地絡を示すか,地絡が発生したときに回路を自動的に遮断する絶縁
監視装置を使用(JIS B 9960-1の6.3.3を参照) 

非通電の使用 

安全な状態は,全ての関連装置の通電解除で得られる。例えば,入
力についてはノーマルクローズ(NC)接点(押しボタン及び位置ス
イッチ)を使用し,リレーはノーマルオープン(NO)接点を使用す
る(JIS B 9700の6.2.11.3参照)。 
例外も幾つかの用途においては存在し得る。例えば,電源の喪失が
追加の危険源を生じるなどである。システムの安全な状態を達成す
るには時間遅延機能が必要な場合がある(JIS B 9960-1の9.2.2参
照)。 

過渡電流の抑制 

抑制素子(RC,ダイオード,バリスタ)を接点に対してではなく負
荷に対して並列に使用する。 
注記 ダイオードはスイッチを切る時間を増加させる。 

応答時間の減少 

切替装置を非通電にしたときの遅延を最小限に抑える。 

適合性 

使用電圧及び電流に適合するコンポーネントの使用 

background image

39 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.1−基本安全原則一覧(続き) 

基本安全原則 

留意事項 

耐環境条件 

全ての想定される環境において,及び予見可能な不利な条件[例え
ば,温度,湿度,振動,電磁障害(EMI)]において作動する装置を
設計する(箇条10参照)。 

入力装置の固定 

想定条件(例えば,振動,通常の摩耗,異物の進入,温度)下で,
入力装置(インターロックスイッチ,位置スイッチ,リミットスイ
ッチ,近接スイッチ等)の取付位置,アライメント,スイッチング
範囲が維持できるよう確実に固定する。 
JIS B 9710の箇条5参照。 

予期しない起動に対する保護 

予期しない起動(例えば,電源復帰後)を防止する(JIS B 9700の
6.2.11.4,JIS B 9714,及びJIS B 9960-1参照)。 

制御回路の保護 

制御回路はJIS B 9960-1の7.2及び9.1.1に従い保護されるのが望ま
しい。 

冗長回路における直列に接続された接点の
順次動作 

両方の接点の溶着による共通モード故障を回避するために,オン・
オフ切替えが同時に行われないようにする。これによって接点の一
つは常に電流が流れない状態で切り替わる。 

表D.2−十分吟味された安全原則一覧 

十分吟味された安全原則 

留意事項 

ポジティブな機械的結合接点 

ポジティブな機械的結合接点を利用する。例えば,カテゴリ2,3及
び4のシステムの監視機能に対して(EN 50205,JIS C 8201-4-1の
附属書F,JIS C 8201-5-1及び追補1の附属書L参照)。 

ケーブルの障害回避 

二つの隣接する導体の短絡を回避する。 
− 各導体に取り付けられている保護ボンディング回路に接続され

たシールドケーブルを使用する,又は 

− フラットケーブルにおいて,信号導体間に,接地した導体を使

用する。 

分離距離 

意図しない接続を回避するため,端子間,コンポーネント,及び配
線間は十分な距離をとる。 

エネルギー制限 

制限されたエネルギーを供給するためにコンデンサを使用する。タ
イマーアプリケーションなど。 

電気パラメータの制限 

不安全な状態を回避するため,電圧,電流,エネルギー又は周波数
を制限する。例えば,トルク制限,変位又は時間制限を設けたホー
ルド・ツゥ・ラン,減速など。 

不確定な状態がない 

制御システムに不確定な状態が発生するのを避ける。制御システム
は,通常の運転及び全ての想定される運転条件において,その状態,
例えば,その出力が予見可能なように設計及び構築する。 

ポジティブモード作動 

弾性要素(例えば,アクチュエータとコンタクタ間のばね)がない
形状によって直接の動作を伝達する(JIS B 9710の5.1,及びJIS B 
9700の6.2.5参照)。 

故障(障害)モードの非対称 

可能な限り装置又は回路は,安全側故障又は安全側状態に遷移する
のが望ましい。 

非対称故障モード 

実現可能な場合,非対称故障モードコンポーネント又はシステムを
使用するのが望ましい(JIS B 9700の6.2.12.3)。 

background image

40 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.2−十分吟味された安全原則一覧(続き) 

十分吟味された安全原則 

留意事項 

余裕をもった数値設計 

安全回路で使用するコンポーネントは,定格よりかなり低い条件で
使用する。例えば, 
− 切り替えた接点を通る電流は,定格電流の半分に満たないこと

とする。 

− コンポーネントの開閉頻度は,各定格値の半分に満たないこと

とする。 

− 予測される開閉動作の総数は,装置の電気的寿命(耐久性)の

10分の1未満とする。 

注記 定格低減については,設計の論理的根拠に基づく。 

障害の可能性を最小化する 

安全関連機能は他の機能から分離する。 

複雑性と簡素性のバランス 

バランスは次の二つの関係を考慮するのが望ましい。 
− より良い制御機能を達成するための複雑性 
− より高い信頼性を得るための簡素性 

表D.3−十分吟味されたコンポーネント一覧 

十分吟味されたコンポーネント 

“十分吟味された”に関する追加条件 

基準又は仕様 

ポジティブモード作動(直接開路動
作)での切替え,例えば, 
− 押しボタン 
− 位置スイッチ 
− カム操作式セレクタスイッチ,

例えば,操作モード 

− 

JIS C 8201-5-1の附属書K 

非常停止装置 

− 

JIS B 9703 
JIS C 8201-5-5 

ヒューズ 

− 

JIS C 8269-1 

サーキットブレーカ 

− 

JIS C 8201-2規格群 

スイッチ,ディスコネクタ 

− 

JIS C 8201-3 

差動サーキットブレーカ及びRCD
(残留電流検知器) 

− 

JIS C 8201-2-2 

メインコンタクタ 

次の条件を満たすものだけ“十分吟味
された”ものとみなす。 
a) 他の影響を考慮に入れる,例え

ば,振動 

b) 適切な方法による故障防止,例え

ば,余裕をもった数値設計など
(表D.2参照) 

c) 熱保護装置(サーマルプロテク

タ)によって負荷電流を制限す
る,及び 

d) 過負荷保護装置で回路を保護す

る。 

注記 障害の除外は,不可能である。 

JIS C 8201-4-1 

制御及び保護切替装置(CPS) 

− 

IEC 60947-6-2 

background image

41 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.3−十分吟味されたコンポーネント一覧(続き) 

十分吟味されたコンポーネント 

“十分吟味された”に関する追加条件 

基準又は仕様 

補助コンタクタ(コンタクタリレー
など) 

次の条件を満たすものだけ“十分吟味
された”ものとみなす。 
a) 他の影響を考慮に入れる,例え

ば,振動 

b) ポジティブな通電動作 
c) 適切な方法による故障防止,例え

ば,余裕をもった数値設計(表
D.2参照) 

d) 接点の電流はヒューズ又はサー

キットブレーカで制限され,接点
の溶着を防止する,及び 

e) 監視用に使用する接点はポジテ

ィブな機械的ガイドとする。 

注記 障害の除外は,不可能である。 

EN 50205 
JIS C 8201-5-1 
JIS C 8201-4-1の附属書F 

リレー 

次の条件を満たすものだけ“十分吟味
された”ものとみなす。 
a) 他の影響を考慮に入れる,例え

ば,振動など 

b) ポジティブな通電動作 
c) 適切な方法による故障防止,例え

ば,余裕をもった数値設計など
(表D.2参照),及び 

d) 接点の電流はヒューズ又はサー

キットブレーカで制限され,接点
の溶着を防止する。 

注記 障害の除外は,不可能である。 

JIS C 4540-1 
IEC 61810-2 

変圧器 

− 

JIS C 61558規格群 

ケーブル 

きょう体に外付けするケーブルは,機
械的な損傷から保護するのが望まし
い(振動又は曲げを含む。)。 

JIS B 9960-1の箇条12 

プラグ及びソケット 

− 

意図する用途に関連する電気規格に
よる。 
インターロックに関しては,JIS B 
9710参照。 

温度スイッチ 

− 

電気側については,EN 60730-1参照。 

圧力スイッチ 

− 

電気側については,JIS C 8201-5-1参
照。 
圧力側については,附属書B及び附
属書C参照。 

電磁弁 

− 

− 

D.2 障害の除外 

D.2.1 一般 

各部品が定格値内で作動する場合だけ,障害の除外は有効とする。 

D.2.2 すずウィスカ 

鉛フリープロセス及び製品を使用する場合,すずウィスカの発生による電気的短絡が生じ得る。コンポ

ーネントの障害の除外“短絡”を適用する場合,この可能性を評価及び考慮するのが望ましい。すずウィ

background image

42 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

スカ増加のリスクが大きいと考えられる場合,障害の除外“抵抗器の短絡”は無意味である。なぜならば,

このコンポーネントの接点間の短絡は必ず考慮しなければならないからである。 

注記1 すずウィスカの増加は,主に光沢すず仕上げに関係する現象である。針状の突起は,長さ数

百マイクロメータにまでなり,電気的短絡を生じ得る。定説として,ウィスカはすずめっき

の圧縮応力によって生じる。 

注記2 参考文献[43]及び[44]は,この現象の評価に役立つ。 

注記3 プリント基板上のウィスカは,これまで報告されていない。トラック(配線)は,通常,す

ずコーティングしていない銅からなる。パッドは,すず合金でコーティングされるが,生産

プロセスはウィスカの増加に対しては影響しないように見える。 

D.2.3 プリント基板(PCB)部品の短絡 

プリント基板に搭載される部品の短絡は,表D.5に示される障害の除外“二つの隣接するトラック(配

線)及び/又はパッド間の短絡”である場合だけ除外することができる。 

D.2.4 障害の除外及び集積回路 

集積回路の機能不良(表D.20及び表D.21参照)を生じる障害を除外することは不可能なため,単一障

害は単一の集積回路に組み込まれた安全機能の喪失につながる(チェック及び/又は試験を含む。)。した

がって,カテゴリ2,3又は4の障害に対する抵抗性(フォールトトレランス)及び/又は検出要求に必要

とされるマルチチャネル機能は単一の集積回路を使用して達成することが非常に困難であり,達成するた

めにはJIS C 0508-2の附属書E[オンチップ冗長をもつ集積回路(IC)の特殊アーキテクチャ要求事項]

の特別なアーキテクチャの要求事項を満足する必要がある。 

表D.4−障害及び障害の除外−導体及びケーブル 

考慮する障害 

障害の除外 

留意事項 

二つの導体間での短絡 

次の導体間での短絡, 
− 恒久的な接続(固定)及び外部から

の障害に対する保護,例えば,ケー
ブルダクト,がい装(アーマー)に
よる 

− 別々のマルチコアケーブル 
− 電気エンクロージャ内に収容する

(留意事項参照),又は 

− 接地接続で個々にシールドする。 

導体及びエンクロージャ両方が適切
な要求事項を満たしている(JIS B 
9960-1参照)。 

導体と露出導電性部分又は接
地若しくは保護ボンディング
導体間での短絡 

電気エンクロージャ内において導体と露
出導電性部品間で起こる短絡(留意事項
参照) 

導体の開放回路 

なし 

− 

background image

43 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.5−障害及び障害の除外−プリント基板及びアセンブリ 

考慮する障害 

障害の除外 

留意事項 

二つの隣接するトラック(配
線)及び/又はパッド間の短絡 

留意事項に基づき,隣接する導体間
での短絡 

基材として,IEC 60893-1に従ったEP GC
を最低でも使用する。 
空間距離及び沿面距離は,少なくとも,汚
損度2及び過電圧カテゴリIIIでJIS C 
60664-5(2 mm以上の距離についてはJIS C 
60664-1)の寸法とする。 
両方のトラック(配線)がSELV/PELVで
電源供給されている場合,汚損度2及び過
電圧カテゴリIIで,最小空間距離は0.1 mm
とる。 
組み付けられた基板は,導体汚染に対する
保護としてエンクロージャ内に搭載され
る。保護は,例えば,少なくともIP54の保
護性能をもつエンクロージャとする,印字
面は老朽化防止のワニスをかけてある,又
は全ての導体パスを保護層でカバーして
いる。 
注記1 ソルダレジストは,保護層として

有効であることは経験が示してい
る。 

注記2 JIS C 60664-3による保護層カバー

は沿面距離及び空間距離の寸法を
低減することができる。 

トラックの開放回路 

なし 

− 

表D.6−障害及び障害の除外−端子台 

考慮する障害 

障害の除外 

留意事項 

隣接する端子間の短絡 

留意事項1)又は留意事項2)に基づい
た隣接する端子間の短絡 

1) 使用する端子は,JIS C 8201-7-1又は

JIS C 8201-7-2,及びJIS B 9960-1の
13.1.1を満たすようにする。 

2) 設計自体で短絡を防止するようにされ

ている。例えば,接続点に収縮プラス
チックチューブを使用することによ
る。 

個々の端子の開放回路 

なし 

− 

表D.7−障害及び障害の除外−マルチピンコネクタ 

考慮する障害 

障害の除外 

留意事項 

二つの隣接するピンの間の短
絡 

留意事項に基づいた隣接するピンの
間の短絡 
コネクタがPCBに搭載されるなら
ば,障害の除外は表D.5を考慮する。 

より線を束ねるにはフェルール(棒端子)
又は他の適切な方法を用いる。沿面距離及
び空間距離,並びに全ての間隔は,少なく
ともJIS C 60664-1の過電圧カテゴリIIIを
満たすことが望ましい。 

機構的な手段によって保護さ
れてなかったため,コネクタが
誤挿入(場所及び方向等)され
た 

なし 

− 

background image

44 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.7−障害及び障害の除外−マルチピンコネクタ(続き) 

考慮する障害 

障害の除外 

留意事項 

導体(留意事項参照)と接地又
は導電性部分若しくは保護導
体間での短絡 

なし 

ケーブル芯は,マルチピンコネクタの一部
とみなす。 

個々のコネクタピンの開放回
路 

なし 

− 

表D.8−障害及び障害の除外−スイッチ−電気機械式ポジションスイッチ,手動操作用スイッチ(例えば, 

押しボタン,リセットアクチュエータ,DIPスイッチ,磁気作動式接点,リードスイッチ,圧力スイッチ, 

温度スイッチなど) 

考慮する障害 

障害の除外 

留意事項 

接点が閉じない 

JIS B 9717-1及びISO 13856-2,並び
にISO 13856-3に基づく圧力検知装
置 

− 

接点が開かない 

JIS C 8201-5-1の附属書Kに基づく
接点の場合,開くと期待される。 

− 

互いに絶縁した隣接する接点
間での短絡 

JIS C 8201-5-1に基づくスイッチに
対しては短絡を除外することができ
る(留意事項参照)。 

導電性部品が緩むことによって,接点間の
絶縁をブリッジしない。 

切替接点の三つの端子間での
同時短絡 

同時に発生した短絡は,JIS C 
8201-5-1に基づくスイッチに対して
は除外することができる(留意事項
参照)。 

PLeに対して,機械的(例えば,アクチュエータと接点要素との機械的リンク)及び電気的側面に対する障害の

除外は,許容されない。この場合,冗長系が必要とされる。JIS C 8201-5-5に適合した非常停止装置に対しては,
最大操作回数が考慮されていれば,機械的側面の障害の除外は許容される。 

注記 機械的側面に対する障害のリストは,附属書A参照。 

表D.9−障害及び障害の除外−スイッチ−電気機械装置 

(例えば,リレー,コンタクタリレーなど) 

考慮する障害 

障害の除外 

留意事項 

コイルが通電していない状態
で,全ての接点が通電位置にあ
る(機械的な障害など) 

なし 

− 

電源が印可されても,全ての接
点が非通電位置にある(機械的
な障害,コイルの断線などによ
る) 

なし 

接点が開かない 

なし 

接点が閉じない 

なし 

切替接点の三つの端子間での
同時短絡 

同時に発生した短絡は,留意事項
を考慮する場合,除外することが
できる。 

沿面距離及び空間距離は,少なくともJIS C 
60664-1で,汚損度2及び過電圧カテゴリIII
を満たす。 
導電性部品が緩むことによって,接点とコイ
ル間の絶縁をブリッジしない。 

2対の接点及び/又は複数の
接点とコイル端子の間での短
絡 

短絡は,留意事項を考慮する場合,
除外することができる。 

background image

45 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.9−障害及び障害の除外−スイッチ−電気機械装置 

(例えば,リレー,コンタクタリレーなど)(続き) 

考慮する障害 

障害の除外 

留意事項 

NO接点とNC接点が同時に閉
路 

接点の同時閉路は,留意事項を考
慮する場合,除外することができ
る。 

ポジティブに作動した(又は機械的にリンク
した)接点を使用する(JIS C 8201-5-1の附
属書L参照)。 

表D.10−障害及び障害の除外−スイッチ−近接スイッチ 

考慮する障害 

障害の除外 

留意事項 

出力の抵抗値が常に低い 

なし(留意事項参照) 

IEC 60947-5-3参照。 

出力の抵抗値が常に高い 

なし(留意事項参照) 

障害防止策を示すのが望ましい。 

電源の中断 

なし 

− 

機械的障害によって,スイッ
チが作動しない 

留意事項を考慮する場合,機械的
障害による作動はない。 

スイッチの全ての部品は十分に固定するの
が望ましい。機械的側面については,附属書
A参照。 

切替接点の三つの端子間での
短絡 

なし 

− 

表D.11−障害及び障害の除外−電磁弁 

考慮する障害 

障害の除外 

留意事項 

通電しない 

なし 

− 

通電が切れない 

なし 

注記 空圧及び液圧弁の機械的側面から見た障害一覧については,附属書B及び附属書Cでそれぞれ考慮される。 

表D.12−障害及び障害の除外−ディスクリート電気コンポーネント−変圧器 

考慮する障害 

障害の除外 

留意事項 

個々の巻線の断線 

なし 

− 

異なる複数の巻線間での短絡 

異なる巻線間での短絡は,留意事
項1)及び留意事項2)を考慮する場
合,除外できる。 

1) JIS C 61558規格群の関連要求事項を満

たすことが望ましい。 

2) 異なる複数の巻線間で,二重絶縁又は強

化絶縁,若しくは保護遮蔽物を使用す
る。試験については,JIS C 61558-1の箇
条18に従い実施する。適切な試験電圧
は,JIS C 61558-1:2012の表8 aで示され
る。 

コイル及び巻線での短絡は,例えば次のステ
ップの適切な対策を講じることで回避する
必要がある。 
− 各コイル間,及びコイル本体とコアとの

間の空洞を全て埋めるようにコイルを
含浸させる。 

− 絶縁及び高温定格をもった巻線導体を

使用する。 

3) 2次側の短絡でも,規定の運転温度を超

えて発熱しないようにする。 

一つの巻線での短絡 

一つ巻線での短絡は,留意事項1)
を考慮する場合,除外できる。 

有効な巻線比の変化 

有効な巻線比が変化するという障
害は,留意事項1)を考慮する場合,
除外できる。留意事項3)も参照。 

background image

46 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.13−障害及び障害の除外−ディスクリート電気コンポーネント−インダクタ(コイル) 

考慮する障害 

障害の除外 

留意事項 

断線 

なし 

− 

短絡 

短絡は,留意事項を考慮する場
合,除外することができる。 

コイルは1層で,エナメル又はポッティング加
工したもの,また,アキシャルリード型ワイヤ
接続及びアキシャル実装 

数値がランダムに変わる。 
0.5LN<L<LN+(許容誤差) 
ここに,LNはインダクタンスの
定格値。 

なし 

構造の種類によっては,他の範囲を考慮するこ
とができる。 

表D.14−障害及び障害の除外−ディスクリート電気コンポーネント−抵抗器 

考慮する障害 

障害の除外 

留意事項 

断線 

なし 

− 

短絡 

短絡は,留意事項1)又は留意事
項2)を考慮する場合,除外でき
る。 

1) 抵抗器はフィルムタイプ,又は破損時にワ

イヤの巻き戻りを保護する1層ワイヤ巻き
タイプで,アキシャルリード型ワイヤ接
続,アキシャル実装,ワニスがけしてある。 

2) 表面据付技術によって使用した抵抗器は,

パッケージタイプの薄膜金属,例えば,
MELF,miniMELF又はμMELF。 

3) すずウィスカのリスクが高いと考えられ

る場合,この部品の接点間のショートを考
慮しなければならないので,障害の除外
“抵抗器の短絡”は使用できない。 

数値がランダムに変わる。 
0.5RN<R<2RN 
ここに,RNは抵抗値の定格値
[留意事項3)参照] 

なし 

構造の種類によって,他の範囲を考慮すること
ができる。 

表D.15−障害及び障害の除外−ディスクリート電気コンポーネント−抵抗器ネットワーク 

考慮する障害 

障害の除外 

留意事項 

断線 

なし 

− 

二つの任意の接続間の短絡 

なし 

三つ以上の任意の接続間の短
絡 

なし 

数値がランダムに変わる。 
0.5RN<R<2RN 
ここに,RNは抵抗値の定格値。 

なし 

構造の種類によって,他の範囲を考慮すること
ができる。 

表D.16−障害及び障害の除外−ディスクリート電気コンポーネント−ポテンショメータ 

考慮する障害 

障害の除外 

留意事項 

個々の接続での断線 

なし 

− 

全ての接続間での短絡 

なし 

二つの任意の接続間での短絡 

なし 

数値がランダムに変わる。 
0.5Rp<R<2Rp 
ここに,Rpは抵抗値の定格値。 

なし 

構造の種類によって,他の範囲を考慮すること
ができる。 

background image

47 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.17−障害及び障害の除外−ディスクリート電気コンポーネント−キャパシタ(コンデンサ) 

考慮する障害 

障害の除外 

留意事項 

開放 

なし 

− 

短絡 

なし 

数値がランダムに変わる。 
0.5CN<C<CN+(許容誤差) 
ここに,CNは定格容量。 

なし 

構造の種類によって,他の範囲を考慮すること
ができる。 

Tanの値δが変わる 

なし 

− 

表D.18−障害及び障害の除外−電子コンポーネント−ディスクリート半導体 

[例えば,ダイオード,ツェナーダイオード,トランジスタ,トライアック,サイリスタ,電圧レギュレ 

ータ,水晶発振子,フォトトランジスタ,発光ダイオード(LED)など] 

考慮する障害 

障害の除外 

留意事項 

任意の接続における断線 

なし 

− 

二つの任意の接続間の短絡 

なし 

全ての接続間の短絡 

なし 

特性の変化 

なし 

表D.19−障害及び障害の除外−電子コンポーネント−フォトカプラ 

考慮する障害 

障害の除外 

留意事項 

個々の接続の断線 

なし 

− 

二つの任意の入力接続間の短
絡 

なし 

二つの任意の出力接続間の短
絡 

なし 

入出力の任意の二つの接続間
での短絡 

入出力間での短絡は,留意事項
を考慮する場合,除外すること
ができる。 

フォトカプラは,JIS C 60664-4-1の過電圧カテ
ゴリIIIとする。SELV/PELV電源供給を使用す
る場合,汚損度2及び過電圧カテゴリIIを適用
する。 
注記 表D.5参照。 
フォトカプラの内部障害が絶縁材料に過度の温
度を生じないような方策をとる。 

表D.20−障害及び障害の除外−電子コンポーネント−プログラミング不要の集積回路 

考慮する障害 

障害の除外 

留意事項 

各接続部での断線 

なし 

− 

二つの任意の接続間での短絡 

なし 

縮退故障(すなわち,絶縁され
た入力又は切断された出力が,
0又は1に短絡する故障)。全
ての入力及び出力信号が,個別
に又は同時に“0”と“1”のい
ずれかになり変化しない。 

なし 

出力回路の寄生振動 

なし 

数値の変化(例えば,アナログ
装置の入出力電圧など) 

なし 

注記 この規格では,1 000ゲート及び/又は24ピン未満のIC,オペアンプ,シフトレジスタ及びハイブリッドモ

ジュールは,非複雑部品と考える。この定義は,任意のものである。 

background image

48 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表D.21−障害及び障害の除外−電子コンポーネント−プログラマブル及び/又は複合集積回路 

考慮する障害 

障害の除外 

留意事項 

ソフトウェアの障害を含む,機能の全て,又はその
一部の障害 

なし 

− 

個々の接続の断線 

なし 

二つの任意の接続間での短絡 

なし 

縮退故障(すなわち,絶縁された入力又は切断され
た出力が,0又は1に短絡する故障)。全ての入力及
び出力信号が,個別に又は同時に“0”と“1”のい
ずれかになり変化しない。 

なし 

出力回路の寄生振動 

なし 

数値の変化(例えば,アナログ装置の入出力電圧な
ど) 

なし 

集積回路の複雑性によって,検知しにくいハードウ
ェアの未検出障害 

なし 

追加の障害は,安全機能の作動に影響する場合があるため分析によって特定するのが望ましい。 

注記 この規格では,1 000ゲート超及び/又は24ピン超のICは,複雑部品と考える。この定義は,任意のもので

ある。 

49 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書E 

(参考) 

障害の挙動及び診断手段の妥当性確認の例 

E.1 

一般 

この例は,PLの次の側面に関連する要求事項を除く,安全機能(SF1)のPLの妥当性確認を検討する。 

− MTTFD値 

− 共通原因故障(CCF) 

− ソフトウェア分析 

− システマティック故障 

この例には,次の妥当性確認は含まない。 

− 安全要求仕様(箇条7) 

− 安全機能の特性(箇条8) 

− 環境要求事項(箇条10) 

− 保全要求事項(箇条11) 

− 文書化要求事項(箇条12) 

三つの安全機能SF1,SF2及びSF3をこの例で検討する。 

SF1は,一つのインターロック付きガードを開くことによって始動する独立した四つの機械アクチュエ

ータの安全関連停止機能で,各アクチュエータ(SF1.0,SF1.1,SF1.2及びSF1.3)に対しては個別の安全

機能とみなしている。この例の範囲を狭めるために,妥当性確認はSF1.0及びSF1.3に限定する。 

附属書Aでは,障害時の挙動,及び特定の回路の診断範囲についてのガイダンスが提供されている。 

故障モード影響分析(FMEA)に基づいた診断範囲を決定するために使用される方法は,JIS B 9705-1

の附属書Eを考慮する。 

注記 この例は,SRP/CSの妥当性確認を全て網羅するものではない。特に,PLCソフトウェアに必

要とされる妥当性確認は,考慮していない。安全関連ソフトウェアの妥当性確認に関しては,

9.5参照。 

E.2 

機械の説明 

この例は,ワークピースの供給及び取出しを手動で行う自動組立機械に基づいたものである。機械の用

途は,ワークピースにボールを挿入し,ねじで固定するといった二つの連続動作を実行するものである。 

機械には,供給ステーション,取出しステーション,及び二つのワークステーションの四つのステーシ

ョンがある(図E.1参照)。最初のワークステーション(図E.1記号2)は,空圧駆動によるボール挿入工

程で,次のワークステーション(図E.1記号4)も空圧駆動による,ねじ止め工程である。 

ワークピースは,電動回転テーブルによって,各4ステーションを一回りする。ワークピースは,回転

テーブルに搭載されたホルダに手で載せ,取り出すものである。回転テーブルは,インバータ制御のモー

タ,遊星歯車及び駆動ベルトによって駆動される。 

最初のワークステーションでは,5ポート2位置の方向制御弁(シングルソレノイド)制御の水平に搭

載された空圧式シリンダによって,ボールがワークピースに挿入される(1V1,図E.3参照)。このシリン

ダのピストンロッドの原点位置(電磁弁が励磁されていない)は,ピストンロッド引き込み位置である。

50 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

挿入されるボールの深さは,シリンダのピストンロッドが完全に押し出された位置で,リミットスイッチ

を監視することによってチェックされる。供給圧力は,シリンダのピストンロッドを押し出す側の空気供

給ラインの圧力センサで監視される。 

ねじ止めワークステーションは,空圧駆動のねじ締め機をもつ垂直に搭載されたロッドなしの空圧シリ

ンダからなる。 

ねじ締め機は,5ポート2位置の方向制御弁(シングルソレノイド)(2V1)で制御されている空圧シリ

ンダによって上下する。このシリンダの原点位置(励磁されていない)は,上部位置であり,ねじ締め機

は上昇位置にある。さらに,パイロットチェック弁(2V2)は空圧シリンダの下側の接続部に設けられて

いる。 

ねじ締め機が回転する動きは,エアモータによるものであり,5ポート2位置の方向制御弁(シングル

ソレノイド)(3V1)で制御されている。このエアモータの基本(励磁されていない)は,オフ状態である。

ねじ締め機によるトルクは,空気供給ラインの圧力センサによって監視される。 

自動運転モードにおいて起動ボタンを押すことによって機械の1サイクルが始動する。1サイクルの開

始の段階で,回転テーブルには(i)新しく供給されたワークピース,(ii)部分的に加工されたワークピー

ス(ボール挿入),及び(iii)加工されたワークピース(ボールが挿入されて,ねじで固定)の三つのワー

クピースが置かれる。機械の各サイクルは,回転テーブルが90°回転し(1),新しく供給されたワークピ

ースにボールが挿入され,同時に部分的に加工されたワークピースに対してねじの締め付け作業が行われ

る(2)。その後,機械は運転を停止し,オペレータがインターロック付きガードを開き,加工されたワー

クピースを取り出し,新しいワークピースを供給する。 

ワークピースの完成は,供給ステーションから取出しステーションまで270°回転するために3サイク

ルが必要となる。 

次の運転モードが提供される。 

− 手動供給及び取出しの自動モード(インターロック付きガードが閉じた状態で,機械は全ての動作を

行う) 

− 回転テーブルの設定モード(インターロック付きガードが開いた状態で,ホールド・ツゥ・ラン制御

で回転テーブルの動作を行う。) 

機械は,空圧駆動式機械アクチュエータの動きから生じる機械的危険源をもつ(ボール挿入及びねじ締

めワークステーションにおいて)。また,電気駆動の回転テーブルをもつ。このため,供給及び取出しのア

クセス(危険区域)のためのインターロック付きガードを除き,全てが固定された機械的ガードによって

防護されている。 

background image

51 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

記号の説明 

1 搬入ステーション 

 8 ワークピース 

2 ボール挿入ワークステーション 

 9 回転テーブル 

3 ボール挿入シリンダ(A1) 

10 パルスセンサ(G2) 

4 ねじ締めワークステーション 

11 駆動ベルト 

5 搬出ステーション 

12 遊星歯車 

6 ねじ締め機(A3) 

13 モータ(M1) 

7 ねじ挿入(垂直駆動)シリンダ 

14 回転センサ(G1) 

図E.1−この附属書の例で使用される機械:自動組立機械 

E.3 

安全機能要求の仕様 

自動運転モードで危険な動きに対する防護は次の安全機能で確保されている。 

SF1 インターロック付きガードが開くことによって始動する安全関連停止。インターロック付きガ

ードが開いているときはいつでも予期しない起動を防止する。 

この例の目的に即し,四つの各機械アクチュエータに対しては別々の安全機能が提供される(表E.1参

照)。 

SF1.0 回転テーブルのモータ(M1) 

SF1.1 ボール挿入シリンダ(A1) 

SF1.2 ねじ挿入シリンダ(A2) 

SF1.3 ねじ締め機のエアモータ(A3) 

background image

52 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

注記1 この例では,同じSRP/CSの組合せで実行されるため,安全関連停止及び予期しない起動に

対する保護は単一の安全機能と考えられる。 

インターロック付きガードが開いており回転テーブルの設定モードになっている場合(SF1.1,SF1.2及

びSF1.3で空圧駆動式機械アクチュエータの動きは停止している。),回転テーブルの動きの安全条件は次

の安全機能の組合せで達成される(表E.1参照)。 

SF2:安全制限速度 

SF3:ホールド・ツゥ・ランモード 

表E.1−運転モードによる安全機能作動状況 

運転モード 

安全機能 

SF1.0 

SF1.1 

SF1.2 

SF1.3 

SF2 

SF3 

自動モード(インターロック付きガード閉) 

〇 

〇 

〇 

〇 

設定モード(インターロック付きガード開) 

〇 

〇 

〇 

〇 

〇 

○:安全機能作動 

リスクアセスメントを実施後,次のPLrの値を安全機能に割り付ける。 

SF1にPLrd(安全関連停止及び予期しない起動の防止) 

SF2にPLrd(安全制限速度) 

SF3にPLrc(ホールド・ツゥ・ランモード) 

注記2 PLdを達成したSF2を組み合わせて使用することを考慮してSF3にPLrcを選定する。 

SF1が要求される場合,次の動作を始動する。 

− 回転テーブルは,JIS B 9960-1の停止カテゴリ2に従い制御停止を実行する。 

− ボール挿入ワークステーションの水平搭載の空圧シリンダ(A1)及びねじ締めワークステーションの

垂直搭載の空圧シリンダ(A2)は,その元の位置に戻る,及び/又は元の位置にとどまる(すなわち,

格納,及び上方にとどまる。)。 

− ねじ締め機(A3)は,即座に停止する。 

注記3 この例では,リスクアセスメントの結果,インバータの機能不良の結果として回転テーブル

の制御減速の喪失は許容可能であり,空圧シリンダA1及びA2の元の位置への動作は危険で

はないと決定されている。 

インターロック付きガードと機械の可動部分との間の最小距離は,機械の停止性能に基づき,JIS B 9715

に従い決定された。 

機械には非常停止,再起動インターロック,リセット及び運転モードの選択のような他の安全機能を備

えている。しかしながら,これらはこの例では考慮していない。したがって,関連のコンポーネントは,

図E.2及び図E.3の回路図には示していない。 

background image

53 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

図E.2−自動組立機械−電気回路図 

図E.3−自動組立機械−空圧回路図 

E.4 

SRP/CSの設計 

E.4.1 一般 

この例の制御システムは,電気機械,電子及び空圧技術の組合せを使用して構成されている。 

SF1及びSF2のPLrを達成するために,カテゴリ3を選択している。したがって,安全機能に関連する

全ての電気及び空圧部分に対しては,多様な冗長及び監視構造が採用されている(図E.2及び図E.3参照)。 

SF3のPLrを達成するためには,カテゴリ2とカテゴリ3との組合せが選択されている。 

センサ及び制御アクチュエータ(インターロック付きガードの位置スイッチ,ホールド・ツゥ・ラン押

しボタン)からの信号は,分岐されており,特定のソフトウェアファンクションブロック(SRASW)を使

54 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

用して信号を処理する2種のPLC(PLC AとPLC Bは異なるタイプのハードウェアである。)に接続され

る。各PLCは,回転テーブルのインバータと空圧で駆動する機械アクチュエータも制御する。これは,も

う一方のPLCの出力経路とは独立した経路を経由してなされる。 

診断(クロスモニタリング)及び同期に対しては,二つのPLCは標準的なデータバスを経由して互いに

通信している。 

この例のインバータは,追加の部品(内部リレー)をもち,パワー半導体制御信号を無効にする(パル

ス遮断)。これは,第2のシャットダウン経路として考えることができる[IEC 61800-5-2によるセーフト

ルクオフ(STO)]。 

このパルス遮断の特性は,回転しているモータの急停止を起こさない。なぜならば,モータのインバー

タ制御を無効にすることは制御不能な減速を生じるからである。 

しかしながら,この例のパルス遮断は,オペレータが危険区域にアクセス可能となる前に回転テーブル

を停止させる。また,通常,パルス遮断に先行する静止に至る制御された減速は,SF1.0の要求特性では

ない。 

空圧回路では,各機械アクチュエータ(A1,A2及びA.3)へのエア供給は,パイロット式ソレノイドタ

イプの5ポート2位置の方向制御弁(シングルソレノイド)(1V1,2V1及び3V1)によって制御されてい

る。三つ全てのバルブへの制御エアは,同タイプの追加バルブ(1V0)によって切り替えられる。1V0は,

冗長性のある制御チャネルを提供している。このリリーフ弁の状態は,圧力スイッチ(1S0)で監視され

ている。 

A2のエア供給は,メインのエア供給から得られており,A1及びA3に対しては制御エア供給(1V0)か

ら得られている。 

加工スペースでの加工中に可動シリンダA1へのエア供給を断つことは次の二つのチャネルでなされる。 

− 1V1の通常位置への切替えによる排気,及び 

− 1V0の通常位置への切替えによるエア源の遮断 

1V1の状態は,リミットスイッチ(1S2)で監視される。 

パイロット式チェック弁(2V2)は,その制御エアを1V0から得ており,A2(垂直に搭載されたロッド

レス空圧シリンダ)の下側のポートに接続されている。これは下方側への動きを停止し,元の位置(上方

の位置)に機械アクチュエータを維持するために冗長性のあるチャネルを提供している。 

2V1の状態は,リミットスイッチ(2S2)で監視される。 

エアモータA3(ねじ締め機)のエア供給は,制御エア供給(1V0)から得られている。A3へのエア供

給を断つために,3V1に追加して1V0の使用は,制御のための冗長性のあるチャネルを提供している。こ

のチャネルは,3V1が励磁状態で故障した場合,A3が継続して回転しないことを確実にするためのもので

ある。3V1の状態は,アナログの出力信号を生成している圧力センサで監視される。 

カテゴリ3に従い,基本及び十分吟味された安全原則を考慮されており,カテゴリBの要求事項も満足

する。特に,JIS B 9960-1及びJIS B 8370の要求事項を適用している。 

SRP/CSを構成するコンポーネントの特性は,表E.2で詳細に説明される。 

background image

55 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.2−SRP/CSを実行するコンポーネントの特性(図E.2及び図E.3の部品リスト) 

コンポーネント 

機能 

要素 

特性 

十分吟味された安全原則a) 

考えられる障害除外 

B1 

インターロック付きガー
ドの位置の監視 

インターロックスイッチ 

JIS C 8201-5-1:2007,附属
書Kに従った直接開路動
作を含むJIS C 8201-5-1: 
2007 

ポジティブモード作動 

操作時にスイッチの接点
が開くため故障は除外で
きる。 
 
電気的故障 
B1がポジティブな作動モ
ードをもつため。 

B2 

インターロック付きガー
ドの位置の監視 

インターロックスイッチ 

JIS C 8201-5-1:2007 

なし 

なし 

S4 

設定モード中のホール
ド・ツゥ・ラン動作を始動 

ノーマルオープン押しボ
タン 

− 

なし 

なし 

PLC A 
PLC B 

安全関連及び非安全関連
信号の処理 

プログラマブルロジック
コントローラ(PLC) 

JIS B 3501及びJIS B 3502 

なし 

なし 

K1 

PLC A系の故障の場合に
インバータへの冗長性の
ある停止信号を発生 

コンタクタリレー 

JIS C 8201-5-1:2007の附属
書Lに従った機械的に結
合された接点素子を含む 
JIS C 8201-5-1:2007及び
EN 50205 

機械的に結合された接点 

なし 

T1 

回転テーブルのモータを
運転 

インバータ 

インバータはパルス信号
を遮断する追加の停止経
路をもつ。 

ポジティブな機械的に結
合された接点をもつリレ
ーで遮断 

なし 

G1 

回転テーブルのモータの
速度を測定 

回転センサ(cos/sinエンコ
ーダ) 

− 

なし 

なし 

G2 

回転テーブルの動作監視 

パルスセンサ 

− 

なし 

なし 

1V0 

方向制御弁1V1,2V1,3V1
及びチェック弁2V2への
パイロット圧の制御 

方向制御電磁弁 

スプリングリターン式弁,
5ポート2位置機能,パイ
ロット式,内部パイロット
式エア供給,オーバラップ
のあるスプール弁 

表B.2 余裕をもった数値
設計,安全係数,安全な位
置(十分吟味されたばねの
使用),ピストン弁の十分
なポジティブオーバラッ
プ 

排気ポートを5にした場
合に,ポート4に圧力が立
つこと,スプールの押し出
しによるシーリングの故
障,動作圧がない状態での
バルブのスプールの動き 

4

B

 9

7

0

5

-2

2

0

1

9

 (I

S

O

 1

3

8

4

9

-2

2

0

1

2

background image

56 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.2−SRP/CSを実行するコンポーネントの特性(図E.2及び図E.3の部品リスト)(続き) 

コンポーネント 

機能 

要素 

特性 

十分吟味された安全原則a) 

考えられる障害除外 

1V1 
2V1 
3V1 

ボール挿入シリンダA1の
制御 
ねじ挿入シリンダA2の制
御 
ねじ締め機(エアモータ)
A3の制御 

1V0 参照 

1V0 参照 

1V0 参照 

1V0参照 

2V2 

ねじ締め機の垂直取付ね
じ挿入シリンダ(A2)のた
めの落下防止装置 

チェック弁 

パイロット式逆止弁,ばね
懸架式ポペット弁 

表B.2 負荷圧力によるバ
ルブの閉止 

パイロット圧なしでのバ
ルブ開 

1S0 

弁1V0の状態監視 

圧力スイッチ 

固定されたスイッチング
ポイント 

監視には基本安全原則は
要求されない(安全機能で
はない)。 

なし 

1S1 
 
 
3S1 

ボール挿入過程でかかる
圧力の監視 
 
ねじ締め過程でかかるト
ルク(圧力)の監視 

圧力センサ 

アナログ出力信号 

監視には基本安全原則は
要求されない(安全機能で
はない)。 

なし 

1S2,1S3 
 
 
2S1,2S2 

ボール挿入シリンダA1の
リミットスイッチ 
 
ねじ挿入シリンダA2のリ
ミットスイッチ 

近接センサ 

磁気式センサの原則 

監視には基本安全原則は
要求されない(安全機能で
はない)。 

なし 

A1 

ボール挿入シリンダ 

空圧シリンダ 

JIS B 9705-1の3.1.1による。この規格の適用範囲ではない。 

A2 

ねじ挿入シリンダ 

外付けガイド機構付ロッ
ドレス空圧シリンダ 

JIS B 9705-1の3.1.1による。この規格の適用範囲ではない。 

A3 

ねじ締め機 

エアモータ 

JIS B 9705-1の3.1.1による。この規格の適用範囲ではない。 

注a) コンポーネントの設計にも基本安全原則が考慮されている(電気コンポーネントについては表D.1,空圧コンポーネントについては表B.1参照)。 

4

B

 9

7

0

5

-2

2

0

1

9

 (I

S

O

 1

3

8

4

9

-2

2

0

1

2

background image

57 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

E.4.2 安全機能SF1-インターロック付きガードの開放によって始動する安全関連停止,及びインターロ

ック付きガードが開放されているときの予期しない起動の防止 

機械の仕様によって,インターロック付きガードの開放が,(i)回転テーブル(インバータ制御モータ

によって運転),(ii)ボール挿入シリンダ,(iii)ねじ挿入シリンダ,(iv)ねじ締め機,の四つの機械アク

チュエータの停止を始動する。したがって,この機能は,図E.4のように示すことができる。 

図E.4−機能ブロック−SF1.0,SF1.1,SF 1.2及びSF 1.3 

インターロック付きガードが開放されると,インバータ(T1a)に停止信号を発することでPLC Aが回

転テーブルの停止を始動する。それを受けてPLC BがG2を通して回転テーブルの減速を監視し,静止状

態に達したことを検出すると,K1を非励磁化してインバータ(T1b)のパルス遮断を始動する。T1a又は

PLC Aの故障によって回転テーブルが停止しない場合,PLC Bがこの故障を検出し,更にそれ自体からイ

ンバータ(T1b)に停止信号を発する。これが停止機能に関する第二の独立したチャネルである。予期し

ない起動の防止に関連する安全機能の部分は,同じように遂行される。 

また,インターロック付きガードの開放によって,1V1,2V1及び3V1の消磁によって,PLC Aがボー

ル挿入シリンダ,ねじ挿入シリンダ,及びねじ締め機の最初の停止の始動を起こす。PLC Bは,1V0の消

磁によって,これら三つのアクチュエータの第二の停止を始動する。 

インターロック付きガードが開放され,回転テーブルが既に停止したが,ボール挿入及びねじ挿入の作

業台が動作中の場合,PLC Aが即座に1V1,2V1及び3V1を消磁し,PLC BがK1を即座に非励磁化する。

PLC Bは,ボール挿入シリンダ(A1)が後退位置への移動が完了できるように,遅れて1V0も消磁する。 

インターロック付きガードが開放位置にある場合,PLC Aの故障が制御不能な始動につながらないこと

を確実にする必要がある。これは,回転テーブルのモータが静止状態に達し次第,PLC BがK1を非励磁

化し,そのうえ,ボール挿入シリンダ又はねじ挿入シリンダの始動を防ぐために1V0も消磁することによ

って達成される。 

SF1.0を実行するSRP/CSのPLの評価は次のように実施される。 

a) 安全関連部の特定 停止機能SF1.0の安全関連部及び各チャネルへの分岐は,図E.5に示すように,

安全関連ブロック図で表すことができる。 

安全ガードの位置監視 

電子論理 

インバータ 

ボール挿入シリンダの方向制御弁 

ねじ挿入シリンダの方向制御弁 

ねじ締め機の方向制御弁 

background image

58 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

図E.5−安全関連ブロック図−SF1.0 

同様に,停止機能SF1.1,SF1.2,及びSF1.3の安全関連部及び各チャネルへの分岐は,図E.6に示す安

全関連ブロック図で表すことができる。 

 * SF 1.1 ** SF 1.2*** SF 1.3 

図E.6−安全関連ブロック図−SF1.1,SF1.2及びSF1.3 

図E.5及び図E.6二つの部分は,カテゴリ3の指定アーキテクチャのように配置することができる。し

たがって,これらの図は,図E.7に示すように二つの SRP/CS(入力,論理,出力)に簡略化することが

できる。 

図E.7−安全機能を実行するSRP/CSの組合せ 

各SRP/CSについて,JIS B 9705-1の4.5.4の簡易的な手順を適用してPLを見積もる。 

b) 各チャネルのMTTFDの見積り コンポーネントのMTTFD値の見積りには,製造業者が提供する信頼

性データを使用する。 

チャネルのMTTFDの見積りには,パーツ・カウント・メソッドを適用する(JIS B 9705-1の附属書D参

照)。異種冗長による構造は,各チャネルの異なるMTTFD値を導く。そのため対称式を適用することによ

って,SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSI及びSRP/CSL/O(JIS B 9705-1のD.2参照)両方のMTTFD

には平均25年(中)の結果が得られる。 

c) DCavgの見積り DCavgは,内部試験のDC及び異なるコンポーネントに適用される監視方法から両方

のSRP/CSに対して計算する。 

JIS B 9705-1の附属書Eに従ったPLC A及びPLC Bによって,ガードインターロックスイッチB1及び

B2のプロウザビリティ(確かさ)チェックは,SF1.0,SF1.1,SF1.2及びSF 1.3のSRP/CSIについてDCavg

=“高”(99 %)という結果となる。 

SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSL/Oの診断方法は,次による。 

− コンタクタリレーK1の接点位置を使用したPLC AによるK1の監視 

59 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

− PLC AとPLC Bの相互監視 

− G2を使用したPLC BによるT1a及びPLC Aの間接監視 

− 1S2,2S2,3S1及びG1を使用したPLC A自身による出力カードの間接監視 

− PLC A及びPLC Bのウォッチドッグ(内部監視機構)によるプログラムシーケンスの監視 

− G1を使用したPLC AによるT1aの間接監視 

− パルス遮断リレー接点の位置を使用したPLC AによるT1bの監視 

− K1接点の位置を使用したPLC AによるPLC Bの間接監視 

− 1S0を使用したPLC B自身による出力カードの間接監視 

− 1S2を使用したPLC Aによる1V1の間接監視 

− 2S2を使用したPLC Aによる2V1の間接監視 

− 3S1を使用したPLC Aによる3V1の間接監視 

− 1S0を使用したPLC Bによる1V0の間接監視 

− PLCAの障害検出は,T1a並びに1V1,2V1及び3V1のプロセス監視による 

JIS B 9705-1の附属書Eに基づき,これらの診断方法によってSF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSL/O

はDCavg=“中”(90 %)となる。 

d) 共通原因故障(CCF)に対する方策の見積り 共通原因故障に対する適切な方策[分離,多様性(ダ

イバーシティ),圧力超過に対する保護,環境面]をSF1.0,SF1.1,SF1.2及びSF1.3の両SRP/CSに

ついて取り,JIS B 9705-1の附属書Fに従うと,各SRP/CSについてはスコア75ポイントが結果とし

て見積もられる。 

e) 各SRP/CSのPLの確定 各SRP/CSのPLは,次のように決定される。 

− SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSI 

− カテゴリ3 

− 各チャネルのMTTFD=“中” 

− DCavg=“高” 

− CCFに対する方策=75ポイント 

ただし,これらの値をJIS B 9705-1の図5に適用すると,DCavg=“中”(カテゴリ3)に制限されるた

め,PL=dの結果が得られる。 

− SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSL/O 

− カテゴリ3 

− 各チャネルの MTTFD=“中” 

− DCavg=“中” 

− CCFに対する方策=75ポイント 

これらの値をJIS B 9705-1の図5に適用すると,PL=dの結果が得られる。 

f) 

SF1.0,SF1.1,SF1.2及びSF1.3を遂行するSRP/CSの組合せにおけるPLの決定 JIS B 9705-1の6.3

に従い,また,SF 1.0,SF1.1,SF1.2及びSF1.3の個々のSRP/CSが同じ値のPLをもつことを考慮し

て,SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CSの組合せの全PLは,次のように決定される。 

− PLlow=d 

− Nlow=2 

したがって,SF1.0,SF1.1,SF1.2及びSF1.3の各SRP/CSの組合せのPLは,PLdとなる。 

注記 全サブシステムのPFH値を加えることでPLの計算は,更に正確な結果となり得る。 

background image

60 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

g) システマティック故障 JIS B 9705-1の附属書Gに従って,SF1.0,SF1.1,SF1.2及びSF1.3のSRP/CS

に対してシステマティック故障に対する適切な方策が講じられたと見積もられる。 

E.4.3 安全機能 SF 2−安全制限速度(SLS) 

機械が設定モードでインターロック付きガードが開放位置の場合,回転テーブルは安全制限速度(SLS)

でだけ動くことができ,これをG1及びG2の両方で測定する。PLC AがG1からの信号を監視し,PLC B

がG2からの信号を監視し,両方のPLCが別々に,設定速度と実速度の比較を行う。速度がインバータT1a

によって制限値まで十分に減速しない場合は,PLC Aがインバータ(T1a)へ停止信号を発することで反

応し,PLC BはK1を使用してインバータ(T1b)の遅延パルス遮断を作動させるという反応をする。 

a) 安全関連部の特定 安全機能SF2の安全関連部及びチャネルへの割付けは,図E.8に示す安全関連ブ

ロック図で表すことができる。 

図E.8−安全関連ブロック図−SF2 

SRP/CSについて,JIS B 9705-1の4.5.4の簡略化した手順を適用してPLを見積もった。 

図は,カテゴリ3の指定アーキテクチャのように配置することができる。したがって,図E.9に示すよ

うに,安全機能は一つのSRP/CSが実行する。 

図E.9−安全機能SF2を実行するSRP/CS 

SRP/CSについて,JIS B 9705-1の4.5.4の簡略化した手順を適用してPLを見積もる。 

b) 各チャネルのMTTFDの見積り コンポーネントのMTTFD値の見積りには,製造業者が提供する信頼

性データを使用する。 

チャネルのMTTFD見積りには,パーツ・カウント・メソッドを適用する(JIS B 9705-1の附属書D参照)。

異種冗長による構造によって,各チャネルは異なるMTTFD値となる。そのため対称式を適用することに

よって,SRP/CSの各チャネルのMTTFD=“中”(25年以上)の結果が得られる。 

c) DCavgの見積り DCavgは,内部試験のDC及び異なるコンポーネントに適用される監視方法から

SRP/CSに対して計算する。 

診断方法は,次である。 

− コンタクタリレーK1の接点位置を使用したPLC AによるK1の監視 

− PLC AとPLC Bの相互監視 

− G2を使用したPLC BによるG1,T1a及びPLC Aの間接監視 

− パルス遮断リレー接点の位置を使用したPLC AによるT1bの監視 

− PLC A及びPLC Bのウォッチドッグ(内部監視機構)によるプログラムシーケンスの監視 

− K1接点の位置を使用したPLC AによるG2及びPLC Bの間接監視 

background image

61 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

− PLC AによるG1の監視 

− G1及びT1aの監視[sin/cos 情報のプロウザビリティ(確かさ)] 

− PLC BによるG2の監視(S4を押した後,PLC BがG2からのパルスを点検し,それがなければPLC B

がT1bを停止する。) 

JIS B 9705-1の附属書Eに基づき,これらの診断方法によってSRP/CSのDCavg=“中”(90 %)となる。 

d) 共通原因故障(CCF)に対する方策の見積り 共通原因故障に対する適切な方策[分離,多様性(ダ

イバーシティ),圧力超過に対する保護,環境面]をSRP/CSについて取り,JIS B 9705-1の附属書F

に従うと,そのSRP/CSについてはスコア75ポイントが結果として見積もられる。 

e) SRP/CSのPLの決定 SRP/CSのPLは,次のように決定される。 

− カテゴリ3 

− 各チャネルのMTTFD=“中” 

− DCavg=“中” 

− CCFに対する方策=75 ポイント 

ただし,これらの値をJIS B 9705-1の図5に適用すると,DCavg=“中”(カテゴリ3)に制限されるた

め,PL=dの結果が得られる。 

f) 

システマティック故障 JIS B 9705-1の附属書Gに従って,SRP/CSに対してシステマティック故障に

対する適切な方策が講じられたと見積もられる。 

E.4.4 安全機能SF3−ホールド・ツゥ・ランモード 

押しボタンS4が作動している間,インターロック付きガードが開放状態での回転テーブルの動き(安

全制限速度で)を始動し,その動きを続け,押しボタンを放すと停止する。押しボタンが押されていない

時は,予期しない起動を防止しなければならない。押しボタンS4からの信号は,両PLCによって処理さ

れる。 

a) 安全関連部の特定 安全機能SF3の安全関連部及びチャネルへの割付けは,図E.10に示す安全関連

ブロック図で表すことができる。 

図E.10−安全関連ブロック図−SF 3 

図の二つの部分は,カテゴリ1及びカテゴリ3の指定アーキテクチャのように配置することができる。

したがって,図E.11に示すように,二つのSRP/CS(入力,論理,出力)に簡略化することができる。 

図E.11−安全機能SF3を実行するSRP/CSの組合せ 

各SRP/CSについて,JIS B 9705-1の4.5.4の簡略化した手順を適用してPLを見積もった。 

b) 各チャネルのMTTFDの見積り SRP/CSI(ホールド・ツゥ・ラン押しボタン)のMTTFDを製造業者

62 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

のB10D値を使って計算し,MTTFD=“高”の結果を得る。 

SRP/CSL/OのMTTFDの見積りから,SF1.0のSRP/CSL/Oのように,各チャネルのMTTFD(25年超)につ

いて25年(中)という結果が得られる。 

c) DCavgの見積り DCavgは,内部試験のDC及び異なるコンポーネントに適用される監視方法から両方

のSRP/CSに対して計算する。 

診断方法は,次である。 

JIS B 9705-1の附属書Eに従いPLC A及びPLC Bによるホールド・ツゥ・ラン押しボタンS4の時間監

視(ある一定の時間枠内でのオン・オフの切替わり)から,SRP/CSIについてDCavg(75 %)=“低”の結

果になる。 

SF1.0のSRP/CSL/Oのようなモニタリング方法は,SF3のSRP/CSL/Oで得られ,SRP/CSL/OのDCavg(90 %)

=“中”の結果になる。 

d) 共通原因故障(CCF)に対する方策の見積り 共通原因故障に対する適切な方策[分離,多様性(ダ

イバーシティ),過電圧に対する保護,環境面]を各SRP/CSについて取り,JIS B 9705-1の附属書F

に従うと,両方のSRP/CSについてはスコア75ポイントが結果として見積もられる。 

e) 各SRP/CSのPLの決定 各SRP/CSのPLは,次のように決定される。 

− SRP/CSI: 

− カテゴリ1 

− チャネルのMTTFD=“高” 

これらの値をJIS B 9705-1の図5に適用すると,PL=cの結果が得られる。 

− SRP/CSL/O: 

− カテゴリ3 

− 各チャネルのMTTFD=“中” 

− DCavg=“中” 

− CCFに対する方策に75ポイント 

これらの値をJIS B 9705-1の図5に適用すると,PL=dの結果が得られる。 

f) 

SF3を遂行するSRP/CSの組合せにおけるPLの決定 JIS B 9705-1の6.3に従い,また,SF3の両

SRP/CSを考慮して,SRP/CSの組合せの全PLは,次のように決定される。 

− PLlow=c 

− Nlow=1 

したがって,SF3のSRP/CSの組合せのPLは,PLcとなる。 

g) システマティック故障 JIS B 9705-1の附属書Gに従って,SF3の両SRP/CSに対してシステマティ

ック故障に対する適切な方策が講じられたと見積もられる。 

E.5 

妥当性確認 

E.5.1 一般 

E.1で示したように,この例は安全機能SF1.0及びSF1.3の障害挙動及び診断方法の妥当性確認だけを取

り扱う。 

9.2及び9.3によって,障害挙動及び診断方法の妥当性確認は,設計文書のレビュー,故障分析,及び補

完的な障害注入(フォールト・インジェクション)試験によって実施する。 

次のステップを実行する。 

background image

63 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) 診断方法及び試験又は監視するユニット(コンポーネント,ブロック)を特定する。 

b) 特定のユニットに対して各診断方法(DC)に割り当てられたDC値を検証する。 

c) システムの障害挙動を分析し,テストケースを定義する。 

d) 各SRP/CSのDCavgの計算の正確さをチェックする。 

e) DC値を確定するのに必要な試験を実施する。 

E.5.2 障害挙動及びDCavgの妥当性確認 

設計文書(安全関連ブロック図及びSRP/CSの診断方法のリスト)のチェックによって,設計の論理的

根拠で想定される次の二つが全ての安全機能について適正であることを確認する。 

− 安全関連ブロック図の各SRP/CSとSRP/CSとの組合せに関連するブロック(コンポーネント) 

− 診断方法及び監視するユニット 

FMEAは,各SRP/CSの監視されるユニットのそれぞれに割り当てられたDCの値,及びシステムの障

害挙動をチェックするために使用される。 

安全機能SF1は,安全関連停止及びその後の予期しない起動の防止の両方を満たさなければならないの

で,関連するコンポーネントそれぞれの故障分析は,その要求事項ごとに別の系列で考える。 

分析には附属書A,附属書B,附属書C及び附属書Dで示す適切な障害リストを使用している。 

ここで,テストケースを含め,安全機能SF1.0及びSF1.3のFMEAを検討する。 

E.5.3 SF1.0及びSF1.3のFMEA及びDCavg 

E.5.3.1 SF 1.0 

SF1.0の分析を容易にするため,その安全関連ブロック図を図E.12に再掲する。 

図E.12−安全関連ブロック図−SF1.0 

表E.3及び表E.4参照。 

background image

64 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.3−SF1.0のSRP/CSIのコンポーネントに対するFMEA及びDCの見積り 

コンポーネ
ント/ユニ

ット 

障害の可能性 

障害の検出 

効果/反応 

確認試験 

F1 

インターロ
ックスイッ
チ B1 

ガードが開いたときに
接点が開かない(機械
的障害)a) 

安全機能が要求される
と,障害はB2の信号変
化を使用してPLC A及
びPLC Bによって個別
に認識される[安全ガー
ドの開放,プロウザビリ
ティ(確かさ)チェッ
ク]。 

モータM1は,PLC Aに
よってT1aを介して,
また,PLC Bによって
K1及びT1bを介して停
止する。また,再起動
が防止される。 

ガードが開く
前に,両PLC
の関連する入
力部に入力信
号を静的に印
加する。 

F2 

ガード開の間,危険な
障害がない(障害除外) 

− 

− 

− 

PLC A及びPLC BによるB1及びB2のプロウザビリティ(確かさ)チェックからB1にDC=99 %が得られる(JIS 

B 9705-1の表E.1参照) 

F3 

インターロ
ックスイッ
チ B2 

ガードが開いたときに
接点が開かない(電気
的又は機械的障害) 

安全機能が要求される
と,障害はB1の信号変
化を使用してPLC A及
びPLC Bによって個別
に認識される[安全ガー
ドの開放,プロウザビリ
ティ(確かさ)チェッ
ク]。 

モータM1は,PLC Aに
よってT1aを介して,
また,PLC Bによって
K1及びT1bを介して停
止する。また,再起動
が防止される。 

ガードが開く
前に,両PLC
の関連する入
力部に入力信
号を静的に印
加する。 

F4 

ガードが開いている
間,意図せずに接点が
閉鎖(機械的障害) 

B1に,対応する信号変
化がないことの結果と
して,PLC A及びPLC B
によって障害が個別に,
直ちに認識される。 

モータM1は,PLC Aに
よってT1aを介して,
また,PLC Bによって
K1及びT1bを介して停
止する。また,再起動
が防止される。 

ガードが開い
ている間,両
PLC の関連
する入力部に
入力信号を静
的に印加す
る。 

PLC A及びPLC BによるB1及びB2のプロウザビリティ(確かさ)チェックからB2にDC=99 %が得られる(JIS 

B 9705-1の表E.1参照)。 

注記 導体は,障害分析には含めない。それは,システマティックな原因でだけ故障するからである。 
注a) B1が直接作動モードをもつため,電気的障害は除外できる(JIS C 8201-5-1の附属書K参照)。 

分析から,SRP/CSIのいかなる単一障害も直ちに,又は安全機能の次の要求までに検出されると推定さ

れる。単一障害が起こると常に安全機能が働き,再起動が防止される。 

分析の結果として,B1及びB2の設計に対してDC(高)の前提値が適切と考えられる。両コンポーネ

ントのDCが等しい(99 %)ので,設計中に見積もられたように,SRP/CSIのDCavgは高い(99 %)。 

これらの特性は,E.3(PLr)に示される安全要求仕様に適合するために設計に対して選定された(E.4.1

参照)カテゴリ3の典型である。 

診断方法の適正な実行をチェックするため,表E.3の最後の欄で示される試験が適用可能である。 

background image

65 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.4−SF1.0のSRP/CSL/Oのコンポーネントに対するFMEA及びDCの見積り 

コンポーネント 

/ユニット 

障害の可能性 

障害の検出 

効果/反応 

確認試験 

F1 

PLC A 

ガードが開く時又は開く
前に, 
入力・出力カードの縮退故
障,又は 
CPUの縮退,誤ったコー
ディング,CPUの実行な
しによる,PLC AからT1a
への停止命令送信の妨げ。 

回転数の想定される変化
とその時間に関連する信
号とを比較するために,G2
の読取りを行いPLC Bに
よって障害が認識される。 
障害によっては(例えば,
出力カード),モータM1
の操作停止時に,又は安全
機能が要求されたときに,
G1の読取りによって,PLC 
Aによって認識される。 
他の障害は,PLC Aのウォ
ッチドッグ[WDa)]によっ
て早期に検出できる。 

ガードが開き,時間遅延の
後,K1及びT1bを通して
PLC BによってモータM1
が停止し,再起動を防止す
る。 
操作停止の間,G1の読取
りによってPLC Aが検出
した障害の場合,PLC Aが
PLC Bに情報の伝達を行
う。PLC Bへの伝達の結
果,モータM1の停止,及
び再起動防止がPLC Bに
よって実施される。 
WDによって検出された障
害の場合,安全機能が要求
される前に又はモータM1
が操作停止になる前に,
PLC AはモータM1の停
止,及びT1aを介した再起
動防止を試みる。その後
PLC Bへの情報伝達を試
みる。 

ガードが
開く前に,
PLC Aの
停止出力
部に出力
信号を静
的に印加
する。 

F2 

ガードが開いている間に, 
入力・出力カードの縮退故
障,又は 
CPUの縮退,誤ったコー
ディング,CPUの実行な
しによる,PLC AからT1a
への停止命令の喪失。 
 
 

ガードが開いているとき,
モータM1はK1及びT1b
を通してPLC Bによって
停止したままなので,G2
の読取りを通してPLC B
によって障害は認識でき
ない。 
障害によっては(出力カー
ドなど),ガードの閉鎖時
にG1の読取りを通して
PLC Aによって認識され
る。 
上の障害,その他の障害
は,ガード閉鎖時のプロセ
ス監視を通してオペレー
タによって,又は 
安全機能(ガードの開放)
の次の要求時にPLC Bに
よって検出される。 
他の障害は,PLC AのWDa) 
機能によって早期に検出
することができる。 

ガードが開いている間,モ
ータM1はK1及びT1bを
通してPLC Bによって停
止したままである。 
ガード閉鎖時のG1の読取
りを通してPLC Aによっ
て検出される障害の場合,
PLC AがPLC Bへ情報伝
達を行う。 
PLC Bへの報告の結果,モ
ータM1の意図しない起動
がPLC Bによって防止さ
れる。 
WDによって検出される障
害の場合,PLC Aはモータ
M1を停止し続けようと試
み,また,T1aを通して再
起動を防止しようと試み
る。また,PLC Bへの情報
伝達を試みる。 

ガードが
開いてい
る間に起
動信号を
インバー
タに伝え
る。 

G2を使用したPLC BによるPLC Aの間接監視,G1を使用したPLC A自体の出力カードの間接監視,内部監視機

構(ウォッチドッグ)によるプログラムシーケンスの監視,及びプロセス監視を通した障害検出の結果,PLC Aは
DC=90 %をもつと考えられる(JIS B 9705-1の表E.1参照)。 

上の方策は,JIS B 9705-1の表E.1の注記2に関連すると考えられる。 

background image

66 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.4−SF1.0のSRP/CSL/Oのコンポーネントに対するFMEA及びDCの見積り(続き) 

コンポーネント 

/ユニット 

障害の可能性 

障害の検出 

効果/反応 

確認試験 

F3 

インバータ T1a 

ガードが開く前,又はその
ときにT1aがモータを停
止させないようなインバ
ータの制御部及び電源部
の電子機器における縮退
故障及び他の複雑な内部
障害 

安全機能が要求されたと
き,G2の読取りを通して
PLC Bによって障害が認
識される。 
モータM1の操作停止時
に,又は安全機能が要求さ
れたときに,G1の読取り
を通してPLC Aによって
も障害が認識される。 

ガードが開き,時間遅延の
後,K1及びT1bを通して
PLC BによってモータM1
が停止し,再起動を防止す
る。 
操作停止の間に障害が認
識されると,PLC AがPLC 
Bへ情報伝達を行う。PLC 
Bへの報告の結果,モータ
M1が停止し,PLC Bによ
って再起動が防止される。 

ガードが
開く前,又
はそのと
きにイン
バータの
停止入力
を高に設
定する。 

F4 

ガードが開いている間,
T1aの電力半導体へのゲ
ート信号を送るようなイ
ンバータの制御部及び電
源部の電子機器における
縮退故障及び他の複雑な
内部障害 

ガードが開いている間,モ
ータM1はK1及びT1bを
通してPLC Bによって停
止したままなので,G2の
読取りを通してPLC Bに
よって障害は認識できな
い。 
ガードの閉鎖時に,プロセ
ス監視を通して,オペレー
タによって障害が検出さ
れる。 
ガードの閉鎖時にG1の読
取りを通してPLC Aによ
っても障害が検出される。 

ガードが開いている間,モ
ータM1は,K1及びT1b
を通してPLC Bによって
停止したままである。 
ガードの閉鎖時に,モータ
の意図しない起動が起こ
る(非危険)。 
故障が認識されると,PLC 
AがPLC Bへ情報伝達を
行う。PLC Bへの報告の結
果,モータM1の意図しな
い起動がPLC Bによって
防止される。また,再起動
が防止される。 

ガードが
開いてい
る間に起
動信号を
インバー
タに伝え
る。 

G2を使用したPLC BによるT1aの間接監視,G1を使用したPLC AによるT1aの間接監視,及びプロセス監視を

通した障害検出の結果,T1aはDC=99 %をもつと考えられる。 

background image

67 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.4−SF1.0のSRP/CSL/Oのコンポーネントに対するFMEA及びDCの見積り(続き) 

コンポーネント 

/ユニット 

障害の可能性 

障害の検出 

効果/反応 

確認試験 

F5 

PLC B 

ガードが開く時又は開く
前に, 
入力・出力カードの縮退故
障,又は 
CPUの縮退,誤ったコー
ディング,CPUの実行な
しによる,PLC BがK1を
非励磁にすることの妨げ。 

安全機能が要求されたと
き,PLC AがK1の機械的
に結合されたフィードバ
ック接点を監視すること
によって,障害が認識され
る。 
幾つかの障害は,PLC Bの
WDa) 機能によって早期に
検出できる。 

ガードが開く時,T1aを使
用してPLC Aによってモ
ータM1は直ちに停止し,
再起動が防止される。 
WDによって検出される障
害の場合,安全機能が要求
される前に,PLC BはPLC 
Aへの情報伝達を試み,ま
た,モータM1の停止を試
みる。さらに,T1bを使用
して再起動の防止を試み
る。 

ガードが
開く時に,
K1を励磁
位置に保
つ。 

F6 

ガードが開いている間に, 
入力・出力カードの縮退故
障,又は 
CPUの縮退,誤ったコー
ディング,CPUの実行な
しによる,PLC B からK1
への停止命令の喪失。 

PLC Aが,K1の機械的に
結合されたフィードバッ
ク接点を監視することに
よって障害が直ちに認識
される。 
幾つかの障害は,PLC Bの
WDa) 機能によって早期に
検出できる。 

ガードが開いている間,
T1aを使用してPLC Aによ
ってモータM1の停止を継
続し,再起動が防止され
る。 
WDによって検出される障
害の場合,PLC Bは,モー
タM1の停止の継続を試
み,また,T1bを通して再
起動の防止を試みる。ま
た,PLC Aへの情報伝達を
試みる。 

ガードが
開いてい
る間,K1
を励磁位
置に切り
替える。 

K1のフィードバック接点の位置を使用したPLC AによるPLC Bの間接監視,及び内部監視機構(ウォッチドッグ)

によるプログラムシーケンスの監視の結果,PLC BはDC=90 %をもつと考えられる。 

F7 

コンタクタリレ

ーK1 

ガードが開く時,接点が開
かない(電気的障害,例え
ば,接点溶着) 

安全機能が要求されたと
き,PLC AがK1の機械的
に結合されたフィードバ
ック接点を監視すること
によって,障害が認識され
る。 

ガードが開く時,T1aを使
用してPLC Aによってモ
ータM1は直ちに停止し,
再起動が防止される。 

ガードが
開く時,
K1の接点
をオン位
置に保つ。 

F8 

ガードが開いている間,危
険な障害がない(障害除
外) 

− 

− 

− 

K1の機械的に結合されたフィードバック接点の位置を使用したPLC AによるコンタクタリレーK1の監視から,

K1についてDC=99 %が得られる。 

F9 

インバータT1b 

ガードが開く時,内部リレ
ー接点の非開放 

安全機能が要求されたと
き,PLC AがT1bの内部リ
レーの機械的に結合され
たフィードバック接点を
監視することによって,障
害が認識される。 

ガードが開く時,T1aを使
用してPLC Aによってモ
ータM1は直ちに停止し,
再起動が防止される。 

ガードが
開く時,
T1b内の
パルス遮
断リレー
のコイル
を励磁状
態に保つ。 

F10 

ガードが開いている間,危
険な障害がない(障害除
外) 

− 

− 

− 

PLC AによるT1b内部(パルス遮断)リレーの監視から,T1bについてDC=99 %が得られる。 

注a) 安全機能の故障(例えば,PLCが駆動部若しくは弁に停止コマンドを送ることができない,又は駆動部若しく

は弁の停止コマンドを維持することができない)を起こさないような内部障害の幾つかは,WD機能によって
検出できるものもある。 

background image

68 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

分析から,SRP/CSの単一障害は,即座に,又はモータM1の操作停止時に,若しくは安全機能の次の要

求時に検出されると推定できる。単一障害が起こるとき,常に安全機能が働く。障害がPLC A及びPLC B

で検出されない場合,一つのチャネルだけで再起動が可能となる。 

この分析は,SRP/CSL/Oの設計中に想定されるDCの値が適切であることを確定する。SRP/CSL/Oに使用

される様々なコンポーネントについて見積もられるMTTFD値及びDC値を考慮すると,設計中に見積もら

れたように,DCavg=“中”(90 %)の結果が達成される。 

これらの特性は,E.3(PLr)に示される安全要求仕様に適合するために設計に対して選定されたカテゴ

リ3(E.4.1参照)の典型である。 

診断方法の適正な実行をチェックするため,表E.4の最後の欄に記載された試験が適用できる。 

E.5.3.2 SF1.3 

SF1.3の分析を容易にするため,その安全関連ブロック図を図E.13に再掲する。 

図E.13−SF1.3の安全関連ブロック図 

SF1.3のSRP/CSIについては,診断方法及び試験又は監視するユニットは,SF1.0についてのものと同一

である。したがって,この場合も,SRP/CSIはDCavg=“高”(99 %)である。 

表E.5参照。 

background image

69 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.5−SF1.3のSRP/CSL/OのFMEA 

コンポーネント

/ユニット 

障害/故障の可能性 

障害の検出 

効果/反応 

確認試験 

F1 

PLC A 

ガードが開く時又は開
く前に, 
入力・出力カードの縮
退故障,又は 
CPUの縮退,誤ったコ
ーディング,CPUの実
行なしによる,PLC A
が3V1を消磁すること
の妨げ。 

障害によっては(例え
ば,出力カード),エア
モータA3の操作停止時
に,又は安全機能が要求
されたときに,圧力セン
サ3S1の読取りを通し
て,PLC Aによって認識
される。 
他の障害は,PLC Aの
WDa) によって早期に検
出できる。 

ガードが開き,時間遅延
の後,1V0を通してPLC 
Bによってエアモータ
A3が停止する。 
操作停止の間,3S1の読
取りによってPLC Aが
検出した障害の場合,
PLC AがPLC Bに情報伝
達を行う。PLC Bへの伝
達の結果,エアモータ
A3が3V1を経由して停
止し,また,再起動防止
がPLC Bによって実施
される。 
WDによって検出される
障害の場合,安全機能が
要求される前に又はエ
アモータA3が操作停止
になる前に,PLC Aはエ
アモータA3を停止し,
また,3V1を経由し再起
動防止を試みる。その
後,PLC Bへの情報伝達
を試みる。 

ガードが
開く前に,
PLC Aの
3V1への
出力部に
出力信号
を静的に
印加する。 
 

F2 

ガードが開いている間
に, 
入力・出力カードの縮
退故障,又は 
CPUの縮退,誤ったコ
ーディング,CPUの実
行なしによって,PLC 
Aが3V1の励磁を引き
起こす。 

障害によっては(例え
ば,出力カード),ガー
ド閉鎖時に圧力センサ
3S1の読取りを通して,
PLC Aによって認識され
る。 
他の障害は,PLC Aの
WDa)によって早期に検
出できる。 

ガードが開いている間,
エアモータA3は1V0を
通してPLC Bによって
停止が継続される。 
ガードの閉鎖時に,PLC 
Bが1V0を励磁し,エア
モータA3が再起動する
(非危険)。 
ガード閉鎖時,3S1の読
取りによってPLC Aが
検出した障害の場合,
PLC AがPLC Bに情報伝
達を実施する。 
PLC Bへの伝達の結果,
PLC Bによって,エアモ
ータA3の意図しない起
動及び再起動が防止さ
れる。 
WDによって検出される
障害の場合,PLC Aはエ
アモータA3の停止の継
続,3V1を経由した再起
動の防止,及びPLC Bへ
の情報伝達を試みる。 

ガードが
開いてい
る間,PLC 
Aの3V1
出力を励
磁状態に
切り替え
る。 

3S1を通したPLC A自体の出力カードの間接監視,及び内部監視機構(ウォッチドッグ)によるプログラムシー

ケンスの監視の結果,PLC AはDC=90 %をもつと考えられる。 

background image

70 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.5−SF1.3のSRP/CSL/OのFMEA(続き) 

コンポーネント

/ユニット 

障害/故障の可能性 

障害の検出 

効果/反応 

確認試験 

F3 

方向制御弁 
3V1 

ガードが開く前,又は
そのときに, 
切替えがない(終端部
での固着), 
不完全な切替え(切替
え途中の位置での固
着),又は 
切替時間の変化 

障害は,エアモータA3
の操作停止時に,圧力セ
ンサ3S1の読取りを通し
て, 
又は, 
安全機能が要求された
ときに 
PLC Aによって認識され
る。 
障害は,プロセス監視を
通してオペレータによ
っても検出される。 

ガードが開き,時間遅延
の後,1V0を通してPLC 
Bによってエアモータ
A3が停止する。 
障害が認識された時,
PLC AはPLC Bに情報伝
達を行う。 
この伝達の結果として,
PLC Bは1V0を経由して
エアモータA3を停止
し,あらゆる再起動を防
止する。 

ガードが
開く時,
3V1を励
磁し,か
つ,パイロ
ット供給
ラインを
加圧する。 

F4 

ガードが開いている
間,初期切替位置の自
然変化(入力信号なし) 
注記 3V1は十分吟味

されたばねをも
ち,かつ,正常
な据付及び運転
条件が適用され
るので,この障
害は除外でき
る。 

− 

− 

− 

3S1を通したPLC Aによる3V1の間接監視,及びプロセス監視を通した障害検出の結果,3V1はDC=99 %をも

つと考えられる。 

background image

71 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.5−SF1.3のSRP/CSL/OのFMEA(続き) 

コンポーネント

/ユニット 

障害/故障の可能性 

障害の検出 

効果/反応 

確認試験 

F5 

PLC B 

ガードが開く時又は開
く前に, 
入力・出力カードの縮
退故障,又は 
CPUの縮退,誤ったコ
ーディング,CPUの実
行なしによる,PLC B
が1V0を消磁すること
の妨げ。 

障害によっては(例え
ば,出力カード),安全
機能が要求されたとき
に,圧力スイッチ1S0の
読取りによって,PLC B
によって認識される。 
他の障害は,PLC Bの
WDa) によって早期に検
出できる。 

ガードが開き,3V1を通
してPLC Aによってエ
アモータA3が直ちに停
止する。 
圧力スイッチ1S0の読取
りによってPLC Bが検
出した障害の場合,PLC 
BがPLC Aに情報伝達を
行い,K1の非作動状態
を保持する。この伝達の
結果PLC Aが再起動を
防止する。 
WDによって検出される
障害の場合,安全機能が
要求される前に,PLC B
はPLC Aに情報伝達を
試み,その後,1V0を通
して,エアモータA3の
停止,及び再起動防止を
試みる。 

ガードが
開く前に,
PLC Bの
1V0への
出力部に
出力信号
を静的に
印加する。 

F6 

ガードが開いている間
に, 
入力・出力カードの縮
退故障,又は 
CPUの縮退,誤ったコ
ーディング,CPUの実
行なしによって,PLC 
Bが1V0の励磁を引き
起こす。 

障害によっては(例え
ば,出力カード),圧力
スイッチ1S0の読取りに
よって,PLC Bによって
直ちに認識される。 
他の障害は,PLC Bの
WDa) によって早期に検
出できる。 

ガードが開き,3V1を通
してPLC Aによってエ
アモータA3が停止す
る。 
圧力スイッチ1S0の読取
りによってPLC Bが検
出した障害の場合,PLC 
BがPLC Aに情報伝達を
行い,K1の非作動状態
を保持する。この伝達の
結果PLC Aが再起動を
防止する。 
WDによって検出される
障害の場合,PLC Bは
PLC Aに情報伝達を試
み,その後,1V0を通し
て,エアモータA3の停
止状態を保持,及び再起
動防止を試みる。 

ガードが
開いてい
る間,PLC 
Bの1V0出
力を励磁
状態に切
り替える。 

1S0を通したPLC B自体の出力カードの間接監視,K1のフィードバック接点の位置を通したPLC AによるPLC B

の間接監視,及び内部監視機構(ウォッチドッグ)によるプログラムシーケンスの監視の結果,PLC BはDC=90 %
をもつと考えられる。 
注記 PLC障害のほとんどは,入力・出力カードで起こり,縮退タイプと考えられる(PLCの全障害の90 %)が,

PLCのWD機能はプログラムシーケンスに影響する障害の幾つかしか検出できない。 

background image

72 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.5−SF1.3のSRP/CSL/OのFMEA(続き) 

コンポーネント

/ユニット 

障害/故障の可能性 

障害の検出 

効果/反応 

確認試験 

F7 方向制御電磁弁 

1V0 

ガードが開く前,又は
そのときに, 
切替えがない(終端部
での固着), 
不完全な切替え(切替
え途中の位置での固
着),又は 
切替時間の変化 

安全機能が要求された
とき,圧力スイッチ 1S0
の読取りを通してPLC B
によって障害が認識さ
れる。 

ガードが開き,3V1を通
してPLC Aによってエ
アモータA3が直ちに停
止する。 
圧力スイッチ1S0の読取
りによってPLC Bが検
出した障害の場合,PLC 
BがPLC Aに情報伝達を
行い,K1の非励磁状態
を保持する。この伝達の
結果PLC Aが再起動を
防止する。 

ガードが
開く前に,
PLC Bの
1V0への
出力部に
出力信号
を静的に
印加する。 

F8 電磁弁 1V0 

ガードが開いている
間,初期切替位置の自
然変化(入力信号なし) 
注記 1V0は十分吟味

されたばねをも
ち,かつ,正常
な据付及び運転
条件が適用され
るので,この障
害は除外でき
る。 

− 

− 

− 

1S0を通したPLC Bによる1V0の間接監視によって,1V0についてDC=99 %が得られる。 

注a) 安全機能の故障(例えば,PLCが駆動部若しくは弁に停止コマンドを送ることができない,又は駆動部若し

くは弁の停止コマンドを維持することができない)を起こさないような内部障害の幾つかは,WD機能によ
って検出できるものもある。 

分析から,SRP/CSの単一障害のほとんどは,即座に,又はエアモータA3の操作停止時に,若しくは安

全機能の次の要求時に検出されると推定できる。単一障害が起こるとき,常に安全機能が働く。障害がPLC 

A及びPLC Bで検出されない場合,一つのチャネルだけで再起動が可能となる。 

この分析は,SRP/CSL/Oの設計中に想定されるDCの値が適切であることを確定する。SRP/CSL/Oに使用

される様々なコンポーネントについて見積もられるMTTFD値及びDC値を考慮すると,設計中に見積もら

れたように,DCavg=“中”(90 %)の結果が達成される。 

これらの特性は,E.3(PLr)に示される安全要求仕様に適合するために設計に対して選定されたカテゴ

リ3(E.4.1参照)の典型である。 

診断方法の適正な実行をチェックするため,表E.5の最後の欄に記載された試験が適用できる。 

73 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

参考文献 

[1] JIS B 0142 油圧・空気圧システム及び機器−用語 

注記 対応国際規格:ISO 5598,Fluid power systems and components−Vocabulary(MOD) 

[2] JIS B 3501 プログラマブルコントローラ−一般情報 

注記 対応国際規格:IEC 61131-1,Programmable controllers−Part 1: General information(IDT) 

[3] JIS B 3502 プログラマブルコントローラ−装置への要求事項及び試験 

注記 対応国際規格:IEC 61131-2,Programmable controllers−Part 2: Equipment requirements and tests

(MOD) 

[4] JIS B 8361 油圧−システム及びその機器の一般規則及び安全要求事項 

注記 対応国際規格:ISO 4413,Hydraulic fluid power−General rules and safety requirements for systems 

and their components(MOD) 

[5] JIS B 8370 空気圧−システム及びその機器の一般規則及び安全要求事項 

注記 対応国際規格:ISO 4414,Pneumatic fluid power−General rules and safety requirements for 

systems and their components(MOD) 

[6] JIS B 9703 機械類の安全性−非常停止機能−設計原則 

注記 対応国際規格:ISO 13850,Safety of machinery−Emergency stop−Principles for design(IDT) 

[7] JIS B 9710 機械類の安全性−ガードと共同するインターロック装置−設計及び選択のための原則 

注記 対応国際規格:ISO 14119,Safety of machinery−Interlocking devices associated with guards−

Principles for design and selection(IDT) 

[8] JIS B 9712 機械類の安全性−両手操作制御装置−機能的側面及び設計原則 

注記 対応国際規格:ISO 13851,Safety of machinery−Two-hand control devices−Functional aspects 

and design principles(IDT) 

[9] JIS B 9714 機械類の安全性−予期しない起動の防止 

注記 対応国際規格:ISO 14118,Safety of machinery−Prevention of unexpected start-up(IDT) 

[10] JIS B 9715 機械類の安全性−人体部位の接近速度に基づく安全防護物の位置決め 

注記 対応国際規格:ISO 13855,Safety of machinery−Positioning of safeguards with respect to the 

approach speeds of parts of the human body(IDT) 

[11] JIS B 9717-1 機械類の安全性−圧力検知保護装置−第1部:圧力検知マット及び圧力検知フロアの設

計及び試験のための一般原則 

注記 対応国際規格:ISO 13856-1,Safety of machinery−Pressure-sensitive protective devices−Part 1: 

General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors

(IDT) 

[12] JIS B 9960-1 機械類の安全性−機械の電気装置−第1部:一般要求事項 

注記 対応国際規格:IEC 60204-1,Safety of machinery−Electrical equipment of machines−Part 1: 

General requirements(MOD) 

[13] JIS C 0508(規格群) 電気・電子・プログラマブル電子安全関連系の機能安全 

注記 対応国際規格:IEC 61508 (all parts),Functional safety of electrical/electronic/programmable 

electronic safety-related systems(IDT) 

74 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

[14] JIS C 0920 電気機械器具の外郭による保護等級(IPコード) 

注記 対応国際規格:IEC 60529,Degrees of protection provided by enclosures (IP code)(IDT) 

[15] JIS C 4540-1 電磁式エレメンタリ リレー−第1部:一般要求事項 

注記 対応国際規格:IEC 61810-1,Electromechanical elementary relays−Part 1: General and safety 

requirements(IDT) 

[16] JIS C 5750-4-3 ディペンダビリティ マネジメント−第4-3部:システム信頼性のための解析技法−

故障モード・影響解析(FMEA)の手順 

注記 対応国際規格:IEC 60812,Analysis techniques for system reliability−Procedure for failure mode 

and effects analysis (FMEA)(IDT) 

[17] JIS C 5750-4-4 ディペンダビリティ マネジメント−第4-4部:システム信頼性のための解析技法−

故障の木解析(FTA) 

注記 対応国際規格:IEC 61025,Fault tree analysis (FTA)(IDT) 

[18] JIS C 60664-1 低圧系統内機器の絶縁協調−第1部:基本原則,要求事項及び試験 

注記 対応国際規格:IEC 60664-1,Insulation coordination for equipment within low-voltage systems−

Part 1: Principles, requirements and tests(IDT) 

[19] JIS C 60664-3 低圧系統内機器の絶縁協調−第3部:汚損保護のためのコーティング,ポッティング

及びモールディングの使用 

注記 対応国際規格:IEC 60664-3,Insulation coordination for equipment within low-voltage systems−

Part 3: Use of coating, potting or moulding for protection against pollution(IDT) 

[20] JIS C 60664-5 低圧系統内機器の絶縁協調−第5部:2 mm以下の空間距離及び沿面距離を決定する

ための包括的方法 

[21] JIS C 8269-1 低電圧ヒューズ−第1部:通則 

注記 対応国際規格:IEC 60269-1,Low-voltage fuses−Part 1: General requirements(IDT) 

[22] JIS C 8201(規格群)(IEC 60947) 低圧開閉装置及び制御装置 

[23] JIS C 60664(規格群)(IEC 60664) 低圧系統内機器の絶縁協調 

[24] JIS C 61558(規格群)(IEC 61558) 変圧器,電源装置,リアクトル及びこれに類する装置の安全性 

[25] JIS G 4802 ばね用冷間圧延鋼帯 

注記 対応国際規格:ISO 4960,Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %

(MOD) 

[26] ISO 4079,Rubber hoses and hose assemblies−Textile-reinforced hydraulic types for oil-based or water-based 

fluids−Specification 

[27] ISO 11161,Safety of machinery−Integrated manufacturing systems−Basic requirements 

[28] ISO 13856-2,Safety of machinery−Pressure-sensitive protective devices−Part 2: General principles for 

design and testing of pressure-sensitive edges and pressure-sensitive bars 

[29] ISO 13856-3,Safety of machinery−Pressure-sensitive protective devices−Part 3: General principles for 

design and testing of pressure-sensitive bumpers, plates, wires and similar devices 

[30] IEC 60893-1,Insulating materials−Industrial rigid laminated sheets based on thermosetting resins for 

electrical purposes−Part 1: Definitions, designations and general requirement 

[31] IEC 60947-4-1,Low-voltage switchgear and controlgear−Part 4-1: Contactors and motor-starters−

Electromechanical contactors and motor-starters 

background image

75 

B 9705-2:2019 (ISO 13849-2:2012) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

[32] IEC 60947-5-3,Low-voltage switchgear and controlgear−Part 5-3: Control circuit devices and switching 

elements−Requirements for proximity devices with defined behaviour under fault conditions (PDDB) 

[33] IEC 60947-6-2,Low-voltage switchgear and controlgear−Part 6-2: Multiple function equipment−Control and 

protective switching devices (or equipment) (CPS) 

[34] IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods 

[35] IEC 61165,Application of Markov techniques 

[36] IEC 61249 (all parts),Materials for printed boards and other interconnecting structures 

[37] IEC 61810 (all parts),Electromechanical elementary relays 

[38] IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional 

[39] EN 952,Safety of machinery−Safety requirements for fluid power systems and their components−Hydraulics 

[40] EN 953,Safety of machinery−Safety requirements for fluid power systems and their components−Pneumatics 

[41] EN 50205,Relays with forcibly guided (mechanically linked) contacts 

[42] EN 60730 (all parts),Automatic electric controls for household and similar use 

[43] JESD22A121.01,Test Method for Measuring Whisker Growth on Tin and Alloy Surfaces Finishes1) 

[44] JESD201,Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and Alloy Surface 

Finishes1) 

1) JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, 

www.jedec.org/download/search/22a1121-01.pdf