B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
(1)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
追補1のまえがき
このJIS B 9961の追補1は,工業標準化法に基づき,日本工業標準調査会の審議を経て,厚生労働大臣
及び経済産業大臣がJIS B 9961:2008を改正した内容だけを示すものである。
JIS B 9961:2008は,この追補1の内容の改正がされ,JIS B 9961:2015となる。
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
日本工業規格 JIS
B 9961:2015
(IEC 62061:2005/Amd.1:2012,Amd.2:2015)
機械類の安全性−安全関連の電気・電子・
プログラマブル電子制御システムの機能安全
(追補1)
Safety of machinery-Functional safety of safety-related electrical, electronic
and programmable electronic control systems
(Amendment 1)
追補1の序文
この追補は,IEC 62061:2005に対して2012年に発行されたAmendment 1及び2015年に発行された
Amendment 2について,技術的内容を変更することなくJIS B 9961:2008の追補1として作成したものであ
り,Amendment 1以前に発行されたCorrigendum 2も反映している(Corrigendum 1は2008年の版に反映済
みである。)。
なお,この追補で側線又は点線の下線を施してある参考事項は,対応国際規格のAmendment 1及び
Amendment 2にはない事項である。
JIS B 9961:2008を,次のように改正する。
序文の第2段落以降表1の前までを,次に置き換える。
自動化が進んだ結果として,機械の生産力増加及びオペレータの肉体的負荷の軽減が求められるように
なり,機械の安全関連電気制御システムSRECS(Safety-Related Electrical Control Systems)が機械の総合的
安全の達成に果たす役割が増加している。一方で,SRECS自体は,ますます複雑な電子技術を用いるよう
になってきた。
最近までは,SRECSの関連規格もなく電子制御技術の信頼性が低かったために,SRECSは機械の顕著
な危険源に対する安全関連制御機能を果たす用途には積極的に用いられなかった。
この規格は,機械設計者,制御システムの製造業者及びインテグレータ並びにSRECSの仕様作成,設
計及び妥当性確認に当たる人が利用することを想定している。この規格は,SRECSが必要な性能を達成す
るための要求事項及び実現手法を示す。
この規格は,JIS C 0508規格群の枠組の中で特に機械産業部門で適用する事項を規定する。この規格は,
機械の顕著な危険源(JIS B 9700:2013の3.8参照)がもたらすリスクを低減するために用いる電気制御シ
ステムの仕様決定のために利用されることを意図している。
この規格は,機械産業部門において機械のSRECSの機能安全を規定するために,機械産業部門特有の
枠組を示す。SRECSのライフサイクルの,安全要求事項割付段階から総合的安全妥当性確認段階を規定し
ている。さらに,SRECSライフサイクルの後半における,SRECSの安全な使用のための情報に対する要
2
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
求事項も規定している。
機械においてリスク低減方策の一部としてSRECSを用いる状況は多岐にわたる。危険区域へ人が接近
するときの安全のために,ガードが開かれるとすぐに機械の危険な運動を止めるように電気制御システム
に信号を送るインタロック付きガードのシステムは,SRECS使用の典型例である。また,オートメーショ
ンシステムにおいて,電気制御システムは機械の工程を正しく制御して制御システムの故障から直接生じ
るリスクを緩和することによって安全に寄与している。
この規格は,次の事項に関する方法及び要求事項を規定する。
− SRECSが実行する各安全機能に,必要な安全インテグリティレベル(SIL)を割り付ける。
− 割り付けた安全機能及び安全インテグリティレベル(SIL)を満たすSRECSの設計を可能にする。
− JIS B 9705-1:2011に従って設計された安全関連サブシステムをSRECSに統合する。
− SRECSの妥当性確認を行う。
この規格は,JIS B 9700に規定するリスク低減法及びJIS B 9700に規定するリスクアセスメントの原則
に関連して用いることを意図している。SILを割り付ける方法の例を,附属書Aに示す。
この規格は,SRECSの偶発故障及び系統的故障の確率並びに危害の及ぼす結果を考慮に入れて,SRECS
の性能を意図するリスク低減に調和させる方策を示している。
図1に,この規格と他の関連規格との関係を示す。
この規格のほかに,JIS B 9705-1も,機械の安全関連制御システムの設計及び実現のための要求事項を
規定する機能安全規格である。いずれの規格も,その規格の適用範囲に従って関連する安全要求を満たす
ために用いることができる。機械のための安全関連制御システムの設計における,この規格及びJIS B
9705-1のアプリケーションのガイダンスをIEC/TR 62061-1が提供している。
序文の表1及び表1の後の注記を,削除する。
序文の図1を,次に置き換える。
3
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
:機能安全の側面
:電気的安全の側面
注a) PL:Performance Level(パフォーマンスレベル)の略称
b) SRPCS:Safety-Related Parts of Control System(制御システムの安全関連部)の略称
図1−この規格と他の関連規格との関係
機械の設計及びリスクアセスメント
JIS B 9700 機械類の安全性−設計のための一般原則
−リスクアセスメント及びリスク低減
機械に用いる電気・電子・プログラマブル電子制御システム(SRECS)設計のための方法論
安全関連制御機能及びシステム的手法に立脚
・ 定量的な安全性指標をSILで表現
・ 機械のSRECSのSIL割付け法
・ アーキテクチャ志向
・ 系統的故障の回避・抑制の要求
・ 安全性指標をカテゴリ及びPLa)で表現
・ 定性的リスクグラフによるカテゴリ割付け
・ アーキテクチャ志向
機械の電気的安全の側面
JIS B 9960-1 機械類の安全性−機械
の電気装置−第1部:一般要求事項
SILに対応する
サブシステムの設計
JIS C 0508-1〜-7 電気・電子・
プログラマブル電子安全関連系
の機能安全
JIS B 9961
機械類の安全性−安全関連の電気・電子・プログラマブル電
子制御システムの機能安全
カテゴリに対応する
サブシステムの設計
JIS B 9705-1(ISO 13849-1)
機械類の安全性−制御システムの安全関
連部−第1部:設計のための一般原則
ISO 13849-2
機械類の安全性−制御システムの安全関
連部分−第2部:妥当性確認
非電気的SRPCSb)
(機械式,液圧式など)
電気的SRPCSb)
SRECSの設計目標
関連規格
4
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
箇条1(適用範囲)の注記2を,次に置き換える。
注記2 この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設
計は,IEC 61508の関連要求事項に従うこと及びルート1H(IEC 61508-2:2010の7.4.4.2参照)
の使用を想定している。ルート2H(IEC 61508-2:2010の7.4.4.3参照)は一般の機械には適用
しないと考えられる。したがって,この規格ではルート2Hは取り扱わない。この規格は,
SRECSのサブシステム又はサブシステム要素に対して,開発ではなくむしろ適用する方法を
提供する。
箇条1(適用範囲)の注記5を,次に置き換える。
注記5 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical, electronic and
programmable electronic control systems,Amendment 1:2012及びAmendment 2:2015(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”
ことを示す。
箇条2(引用規格)のJIS B 9700-1:2004及びJIS B 9700-2:2004を,次に置き換える。
JIS B 9700:2013 機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減
注記 対応国際規格:ISO 12100:2010,Safety of machinery−General principles for design−Risk
assessment and risk reduction(IDT)
箇条2(引用規格)のJIS B 9702を,削除する。
箇条2(引用規格)のJIS B 9705-1:2000を,次に置き換える。
JIS B 9705-1:2011 機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則
注記 対応国際規格:ISO 13849-1:2006,Safety of machinery−Safety-related parts of control systems−
Part 1: General principles for design(IDT)
箇条2(引用規格)のISO 13849-2:2003を,次に置き換える。
ISO 13849-2:2012,Safety of machinery−Safety-related parts of control systems−Part 2: Validation
3.2.1[機械類(machinery)]の“(JIS B 9700-1:2004の3.1による。)”を,“(JIS B 9700:2013の3.1による。)”
に置き換える。
3.2.5[サブシステム(subsystem)]の定義を,次に置き換える。
SRECSアーキテクチャの中で最上位の構成要素であって,いずれのサブシステムが危険側故障となって
もSRECSのSRCFに危険側故障をもたらすもの(JIS C 0508-4:2012の3.2.7を修正)。
注記1 完全なサブシステムは,識別可能な複数のサブシステム要素から構成することができる。そ
れらのサブシステム要素が組み合わされて,サブシステムに割り当てられた機能ブロックを
実行する。
注記2 この定義は,分解された構成要素のいずれの部分をも意味する一般的サブシステムの定義と
異なる。この規格では,サブシステムという用語は,厳格に定義した階層レベルをもつ。サ
ブシステムは,システムの最上位の区分レベルである。サブシステムを更に分解した構成要
素は,“サブシステム要素”と呼ぶ。
3.2.7[低複雑度構成品(low complexity component)]の“(JIS C 0508-4の3.4.4を修正。)”を,“(JIS C
0508-4:2012の3.4.3を修正。)”に置き換える。
5
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.2.9[機能安全(functional safety)]の“(JIS C 0508-4の3.1.9を修正。)”を,“(JIS C 0508-4:2012の3.1.12
を修正。)”に置き換える。
3.2.10[(機械類の)危険源[hazard (from machinery)]]の“(JIS B 9700-1:2004の3.6を修正。)”を,“(JIS B
9700:2013の3.6を修正。)”に置き換える。
3.2.11[危険状態(hazardous situation)]の“(JIS B 9700-1:2004の3.9を修正。)”を,“(JIS B 9700:2013の
3.10を修正。)”に置き換える。
3.2.12[保護方策(protective measure)]の“(JIS B 9700-1:2004の3.18を修正。)”を,“(JIS B 9700:2013
の3.19を修正。)”に置き換える。
3.2.13[リスク(risk)]の“(JIS B 9700-1:2004の3.11による。)”を,“(JIS B 9700:2013の3.12による。)”
に置き換える。
3.2.15[安全機能(safety function)]の“(JIS B 9700-1:2004の3.28による。)”を,“(JIS B 9700:2013の3.30
による。)”に置き換える。
3.2.19[安全インテグリティ(safety integrity)]の“(JIS C 0508-4の3.5.2を修正。)”を,“(JIS C 0508-4:2012
の3.5.4を修正。)”に置き換える。
3.2.20[ハードウェア安全インテグリティ(hardware safety integrity)]の“(JIS C 0508-4の3.5.5を修正。)”
を,“(JIS C 0508-4:2012の3.5.7を修正。)”に置き換える。
3.2.21[ソフトウェア安全インテグリティ(software safety integrity)]の“(JIS C 0508-4の3.5.3を修正。)”
を,“(JIS C 0508-4:2012の3.5.5を修正。)”に置き換える。
3.2.22[系統的安全インテグリティ(systematic safety integrity)]の“(JIS C 0508-4の3.5.4を修正。)”を,
“(JIS C 0508-4:2012の3.5.6を修正。)”に置き換える。
3.2.23[安全インテグリティレベル(SIL)(safety integrity level)]の“(JIS C 0508-4の3.5.6を修正。)”を,
“(JIS C 0508-4:2012の3.5.8を修正。)”に置き換える。
3.2.26[低頻度作動要求モード(low demand mode)]の定義を,次に置き換える。
SRECSへの作動要求頻度が,1年に1回以下となる運転モード。
注記 IEC 61508-1及びIEC 61508-2の低頻度作動要求モードの要求事項だけに従って設計した装置
は,この規格が規定するSRECSの部分としての使用には適さない場合がある。機械類におい
ては,SRECSを低頻度作動要求モードで用いることはないと考えられる。
3.2.27[高頻度作動要求又は連続モード(high demand or continuous mode)]の定義を,次に置き換える。
SRECSへの作動要求頻度が1年に1回を超える又は正規運転の一部のような安全状態にSRCFが機械を
維持する運転モード(JIS C 0508-4:2012の3.5.16を修正)。
注記1 低頻度作動要求モードは,機械類におけるSRECSに用いられるとは考えられない。したが
ってこの規格では,SRECSは高頻度作動要求又は連続モードで稼動するものと考える。
注記2 高頻度作動要求モードでは,作動要求があったときだけ機械を指定の状態に移行させるため
にSRCFが作動する。安全機能の作動要求があるまで,SRECSは機械に影響を与えない。
注記3 連続モードでは,安全機能が連続的に作動する。すなわち,SRECSは絶えず機械を制御して
おり,SRECS 機能の危険側故障は直ちに危険源をもたらすことがあり得る。
3.2.28[PFHD(probability of dangerous failure per hour)]の定義を,次に置き換える。
定められた期間にわたって決められた安全機能を実行する安全関連システム及びサブシステムにおける
時間当たりの危険側故障を起こす平均確率。
注記1 PFHDを作動要求ごとの危険側故障の確率PFDと混同してはならない。
6
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記2 この規格におけるλは,1時間当たりの一定の故障率として表される。
3.2.29[目標故障率(target failure value)]の“(JIS C 0508-4の3.5.15を修正。)”を,“(JIS C 0508-4:2012
の3.5.17を修正。)”に置き換える。
3.2.30[フォールト(fault)]の“(JIS C 0508-4の3.6.1を修正。)”を,“(JIS C 0508-4:2012の3.6.1を修正。)”
に置き換える。
3.2.31[フォールトトレランス(fault tolerance)]の“(JIS C 0508-4の3.6.3を修正。)”を,“(JIS C 0508-4:2012
の3.6.3を修正。)”に置き換える。
3.2.35[アーキテクチャ(architecture)]の“(JIS C 0508-4の3.3.5を修正。)”を,“(JIS C 0508-4:2012の
3.3.4を修正。)”に置き換える。
3.2.37[プルーフテスト(proof test)]の定義を,次に置き換える。
SRECS及びそのサブシステム内の隠れた危険側故障及び劣化を検出するために実行する周期的テスト。
必要であれば,SRECS及びそのサブシステムを新品又は新品同様状態に修復するために実行するテスト
(JIS C 0508-4:2012の3.8.5を修正。)。
注記 通常,プルーフテストによってサブシステムの残存寿命を新品同様に戻すことはできない。故
障修復後のハードウェアの偶発故障確率を新品に近くすることは可能と考えられる。
3.2.38[診断率(diagnostic coverage)]の定義を,次に置き換える。
自動オンライン診断試験によって見つけられる危険側故障の割合(JIS C 0508-4:2012の3.8.6を修正。)。
注記1 診断率DCは,次の式を用いて算出される。
DC=(ΣλDD)/λDtotal
ここに,
λDD: 診断によって検出できる危険側ハードウェア故障の発
生確率
λDtotal: 全ての危険側ハードウェア故障の発生確率
自動オンライン診断試験とは,連続又は一定間隔で自動的に行う故障検出テストをいう。
この規格では,診断によって危険側故障が検出されると,一般に次のフォールト反応が働き,
検出された危険側故障は,サブシステムを直接危険側故障に導くことがないものとする。
− フォールトトレランスをもたないSRECS又はサブシステムの場合
・ 直ちに機械及びSRECSの運転を停止する。
− フォールトトレランスをもつSRECS又はサブシステムの場合
・ 直ちに機械及びSRECSの運転を停止する。又は,
・ 故障の発生を通知する。残存系に依存して運転を続けながら故障系を修復する。
注記2 検出可能な危険側故障比率は,自動オンライン診断によって検出できる故障率を,全体の危
険側故障率で除すことによって算出する。
3.2.39[故障(failure)]の“(JIS C 0508-4の3.6.4を修正,及びJIS B 9700-1:2004の3.22による。)”を,
“(JIS C 0508-4:2012の3.6.4を修正,及びJIS B 9700:2013の3.34による。)”に置き換える。
3.2.40[危険側故障(dangerous failure)]の“(JIS C 0508-4の3.6.7を修正。)”を,削除する。
3.2.41[安全側故障(safe failure)]の“(JIS C 0508-4の3.6.8を修正。)”及び注記を,削除する。
3.2.43[共通原因故障(common cause failure)]の“(JIS C 0508-4の3.6.10を修正。)”を,“(JIS C 0508-4:2012
の3.6.10を修正。)”に置き換える。
3.2.43[共通原因故障(common cause failure)]の注記の“JIS B 9700-1”を,“JIS B 9700”に置き換える。
3.2.44[ランダムハードウェア故障(random hardware failure)]の“(JIS C 0508-4の3.6.5による。)”を,“(JIS
7
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
C 0508-4:2012の3.6.5による。)”に置き換える。
3.2.45[系統的故障(systematic failure)]の“(IEC 61508-4の3.6.6による。)”を,“(JIS C 0508-4:2012の
3.6.6による。)”に置き換える。
3.2.48[無制約可変言語(FVL)(full variability language)]の“(IEC 61511-1の3.2.81.1.3を修正。)”を,“(JIS
C 0511-1:2008の3.2.81.1.3を修正。)”に置き換える。
3.2.49[制約可変言語(LVL)(limited variability language)]の“(IEC 61511-1の3.2.81.1.2を修正。)”を,
“(JIS C 0511-1:2008の3.2.81.1.2を修正。)”に置き換える。
3.2.51[検証(verification)]の“(JIS C 0508-4の3.8.1及びIEC 61511-1の3.2.92を修正。)”を,“(JIS C
0508-4:2012の3.8.1及びJIS C 0511-1:2008の3.2.92を修正。)”に置き換える。
3.2.52[妥当性確認(validation)]の“(JIS C 0508-4の3.8.2を修正。)”を,“(JIS C 0508-4:2012の3.8.2を
修正。)”に置き換える。
5.2.1.1の“JIS B 9700-1,JIS B 9700-2及びJIS B 9702”を,“JIS B 9700”に置き換える。
5.2.1.4の注記の“IEC 61508-7のB.2.6”を,“IEC 61508-7:2010のB.2.6”に置き換える。
5.2.3 (SRCFの機能要求仕様)の全文を,次に置き換える。
SRCFの機能要求仕様には,実行する各SRCFの詳細を記述しなければならない。次のうちの該当する
項目を含める。
− SRCFを作動又は不作動にして運転する機械の条件(例えば,運転モード)
− 相入れない動きを起こす機能が同時に作動したときの優先順位
− 各SRCFの作動頻度
− 各SRCFの要求応答時間
− 他の機械機能とSRCFとのインタフェース
− (例えば,入出力機器の)要求応答時間
− 各SRCFの説明
− フォールト反応機能の説明及び最初のフォールト反応が機械を止めることである場合は,再起動又は
運転継続に対する制約などの説明
− 運転環境の説明(例えば,温度,湿度,ちり,化学物質,機械的振動及び衝撃)
− 試験及びその関連装置(例えば,試験装置及び試験アクセスポート)
− SRCFとして用いる電気・機械複合部品の作動頻度及び負荷条件,並びにその適用カテゴリ
注記1 SRECSを工業地環境で用いることを意図する場合,電磁イミュニティレベルは,JIS C
61000-6-2によるほか,IEC 61326-3-1に示す強化イミュニティレベルをもつことが望ましい。
他の電磁環境(例えば,住宅地環境)で用いることを意図するSRECSは,他のEMC規格に
基づくイミュニティレベル(例えば,JIS C 61000-6-1による住宅地環境レベル)をもつこと
が望ましい。
注記2 SRECSの電磁イミュニティレベルを決めるときは,たとえその適用頻度が少ないとしても,
他のEMC規格の基準を考慮に入れる必要がある。
注記3 SRECSの機能安全のための電磁イミュニティ性能の基準は,6.4.3に規定する。
5.2.4.2の注記4を削除し,“注記5”を,“注記4”とする。
6.4(SRECSの系統的安全インテグリティに対する要求事項)の注記1を削除し,“注記2”を“注記”と
8
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
する。
6.4.1.1のd) 及びe) の“(ISO 13849-2のD.1も参照。)”を,“(ISO 13849-2:2012のD.1も参照。)”に置き
換える。
6.4.2(系統的フォールトを抑制する方策)の注記2の“IEC 60870-5-1及びIEC 61508-2”を,“IEC 61784-3
及びIEC 61508-2”に置き換える。
6.4.3(電磁イミュニティ)の本文及び注記の“附属書E”を,“IEC 61326-3-1”に置き換える。
6.6.3.1(一般事項)の全文を,次に置き換える。
SRECSのSILは,SRECSが実行するSRCFごとに推定しなければならない。
SRECSのSILは,危険なランダム・ハードウェア故障の可能性,アーキテクチャによる制約及びSRECS
を構成するサブシステムの系統的安全インテグリティから決定しなければならない。SRECSによって達成
されるSILは,SRECSで構成されるサブシステムの中の一番低いSILCLsより低いか又は同じである。
6.6.3.4(系統的安全インテグリティ)の,全文を削除する。
6.7.2.1の全文を,次に置き換える。
サブシステムは,6.2の全ての要求事項を考慮に入れて,そのSRS(6.6.2.1.7参照)に従って,選定(6.7.3
参照)又は設計(6.7.4参照)することによって実現しなければならない。高複雑度構成品を用いるサブシ
ステムは,必要とするSILに応じてIEC 61508-2及びIEC 61508-3に適合し,設計はルート1H(IEC
61508-2:2010の7.4.4.2参照)を使用しなければならない。
例外 IEC 61508-2及びIEC 61508-3に適合する高複雑度構成品をサブシステム要素として含むサブ
システム設計をする場合は,6.7.4.2.3を適用する。
注記 この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計
は,IEC 61508の関連要求事項に従うこと及びルート1H(IEC 61508-2:2010の7.4.4.2参照)の
使用を想定している。ルート2H(IEC 61508-2:2010の7.4.4.3参照)は一般の機械には適用しな
いと考えられる。したがって,この規格ではルート2Hは取り扱わない。この規格は,SRECS
のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を
提供する。
6.7.2.2の注記1を,次に置き換える。
注記1 電気・機械複合サブシステム(例えば,リレー)においては,故障率の推定は,製造業者発
表の作動可能回数及びデューティサイクル(5.2.3参照)を考慮することが望ましい。この情
報は,製造業者が記載した動作条件下のB10値(IEC 61649参照)に基づくものとすること
が望ましい。例えば,IEC 60947-4-1:2009+A1:2012のAnnex K参照。
6.7.3.2の全文を,次に置き換える。
高複雑度構成品を含むサブシステムは,必要とするSILに応じてIEC 61508-2及びIEC 61508-3に適合
し設計はルート1H(IEC 61508-2:2010の7.4.4.2参照)を使用しなければならない。
例外 IEC 61508-2及びIEC 61508-3に適合する高複雑度構成品を,サブシステム要素として用いるサ
ブシステムを設計する場合は6.7.4.2.3による。
注記 この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計
は,IEC 61508の関連要求事項に従うこと及びルート1H(IEC 61508-2:2010の7.4.4.2参照)の
使用を想定している。ルート2H(IEC 61508-2:2010の7.4.4.3参照)は一般の機械には適用しな
いと考えられる。したがって,この規格ではルート2Hは取り扱わない。この規格は,SRECS
のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を
9
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
提供する。
6.7.4.2.2のb) の“(IEC 61508-2の7.4.7.5〜7.4.7.12参照)”を,“(IEC 61508-2の7.4.10参照)”に置き換
える。
6.7.4.2.3の全文を,次に置き換える。
サブシステムの設計において,SILCL及びルート1H(IEC 61508-2:2010の7.4.4.2参照)の使用に関連す
るIEC 61508-2及びIEC 61508-3の全ての関連要求事項を満たす高複雑度構成品をサブシステム要素とし
て用いる場合,その構成品は,サブシステム設計の観点では低複雑度構成品とみなすことができる。それ
は,関連故障モード,フォールト検出時の動き,推定故障率,及び他の安全関連情報が既知だからである。
このような構成品は,その仕様及びその供給者が提供する使用のための適切な情報に従って用いなければ
ならない。
注記 この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計
は,IEC 61508の関連要求事項に従うこと及びルート1H(IEC 61508-2:2010の7.4.4.2参照)の
使用を想定している。ルート2H(IEC 61508-2:2010の7.4.4.3参照)は一般の機械には適用しな
いと考えられる。したがって,この規格ではルート2Hは取り扱わない。この規格は,SRECS
のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を
提供する。
6.7.4.4.2のc) に,次の注記を追加する。
注記 電気・機械複合サブシステム(例えば,リレー)においては,故障率の推定は,製造業者発表
の作動可能回数及びデューティサイクル(5.2.3参照)を考慮することが望ましい。この情報は,
製造業者が記載した動作条件下のB10値(IEC 61649参照)に基づくものとすることが望まし
い。例えば,IEC 60947-4-1:2009+A1:2012のAnnex K参照。
6.7.6.3の表5を,次に置き換える。
表5−サブシステムのアーキテクチャに基づくSILCL
安全側故障比率(SFF)
ハードウェアフォールトトレランスN(注記1参照)
0
1
2
60 %未満
許されない
(例外は注記3参照)
SIL1
SIL2
60 %以上 90 %未満
SIL1
SIL2
SIL3
90 %以上 99 %未満
SIL2
SIL3
SIL3(注記2参照)
99 %以上
SIL3
SIL3(注記2参照)
SIL3(注記2参照)
注記1 ハードウェアフォールトトレランスNは,N+1個のフォールトが安全機能の失敗を起こし得ることを意味
する。
注記2 SIL4は,この規格では扱わない。SIL4に関してはIEC 61508-1を参照。
注記3 6.7.6.4参照,又は危険側故障を引き起こす可能性のある障害に対してフォールト除外が適用されるサブシ
ステム。6.7.7参照。
6.7.6.4の全文を,次に置き換え,表6を削除する。
JIS B 9705-1:2011のカテゴリ1のPL=cに従って十分吟味された構成部品(注記参照)を使った,SFF
が60 %未満でハードウェアフォールトトレランスがゼロの電気・機械複合サブシステムは,SIL1のSILCL
に適合すると考えてよい。
注記 安全関連のアプリケーションのための十分吟味された構成部品とは,次のような部品である。
10
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
a) 過去に同じようなアプリケーションで問題なく広く使用されている,又は
b) 安全関連のアプリケーションのための適合性及び信頼性が証明された原理を用いて作り
確認されている。
6.7.7.2のb) の“(附属書Dの注記2参照)”を,削除する。
6.7.7.2のc) を削除し,“d)”を“c)”とする。
6.7.7.2の最後に,次の注記1〜注記5を追加する。
注記1 電気・電子部品の故障モードの情報は,次を含む幾つかの出典で見つけることができる。
− MIL-HDBK 217F(注記2参照)Reliability Prediction of Electronic Equipment (28-02-95),
Parts Stress Analysis
− MIL-HDBK 217F(注記2参照)Reliability Prediction of Electronic Equipment (28-02-95),
Appendix A, Parts Count Reliability Prediction
− SN 29500 Part 7, Failure Rates of Components, Expected Values for Relays, April 1992
− SN 29500 Part 11, Failure Rates of Components, Expected Values for Contactors, August 1990
− SN 29500シリーズは一般公開されており,次から入手できる。
Siemens AG, CT SR SI Otto-Hahn-Ring 6, D-81739 München:
− UTE C 80-810 RDF 2000:Reliability data handbook−A universal model for reliability
prediction of electronic components, PCBs and equipment
− Failure mode/mechanism distributions FMD-91, RAC 1991
注記2 製造業者から提供される故障比率データ及び故障モード比率データを使用することを推奨す
る。
注記3 幾つかの部品規格には関連データがある。例えば,IEC 60947-4-1:2009+A1:2012のAnnex K。
注記4 ここで,各々の故障モードの詳細分析はほとんど不可能であり,故障を安全側50 %と危険側
50 %とに分けることは一般的に受け入れられる。
注記5 機械,空圧,油圧及び電気技術に関する考慮すべき故障のリストは,ISO 13849-2:2012の
Annex A,B,C及びDに示されている。
6.7.7.3の注記の“ISO 13849-2の3.3及び表D.5”を,“ISO 13849-2:2012の4.4及び表D.2”に置き換える。
6.7.8.1.2のd) の注記2の“IEC 61508-6の附属書D”を,“IEC 61508-6:2010の附属書D”に置き換える。
6.7.8.1.2のf) を,次に置き換える。
f)
診断によって検出できない危険側フォールトを見つけるために行うプルーフテストの間隔及び/又
は上記のb) 及びc) で得られる情報が妥当性を失わないために超えてはならないサブシステム要素
の製造業者が定める使用可能時間
6.7.8.1.2のg) の注記4のa),b) 及びc) を,それぞれ次に置き換える。
a) フォールトツリー分析(IEC 61508-7:2010のB.6.6.5及びIEC 61025を参照。)。
b) マルコフモデル(IEC 61508-7:2010のB.6.6.6及びIEC 61165を参照。)。
c) 信頼性ブロック線図(IEC 61508-7:2010のB.6.6.7及びIEC 61078を参照。)。
6.7.8.1.6の表7(カテゴリをもつサブシステムのPFHDの限度値)を含めた全文を,削除する。
6.7.8.2.1(一般事項)の第2段落として,次の文を追加する。
この規格では,λは1時間当たりの故障率を表す。
6.7.8.2.1(一般事項)の注記2の式“λ=1/MTTF”の後に,次の文を追加する。
ここで,MTTFは時間で表される。
11
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
6.7.8.2.1(一般事項)の注記3の式“PFHD=λD×1h”を,“PFHD=λD”に置き換える。
6.7.8.2.2[基本サブシステムアーキテクチャA:診断機能なし,フォールトトレランス0(図6参照)]の
式“PFHDssA=λDssA×1h”を,“PFHDssA=λDssA”に置き換える。
6.7.8.2.3[基本サブシステムアーキテクチャB:診断機能なし,フォールトトレランス1(図7参照)]の
式“PFHDssB=λDssB×1h”を,“PFHDssB=λDssB”に置き換える。
6.7.8.2.4[基本サブシステムアーキテクチャC:診断機能付き,フォールトトレランス0(図8参照)]の
式“PFHDssC=λDssC×1h”を,“PFHDssC=λDssC”に置き換える。
6.7.8.2.5[基本サブシステムアーキテクチャD:診断機能付き,フォールトトレランス1(図9参照)]の
式(D1)の後の式“PFHDssD=λDssD×1h”を,“PFHDssD=λDssD”に置き換える。
6.7.8.2.5[基本サブシステムアーキテクチャD:診断機能付き,フォールトトレランス1(図9参照)]の
式(D2)の後の式“PFHDssD=λDssD×1h”を,“PFHDssD=λDssD”に置き換える。
6.7.9(サブシステムの系統的安全インテグリティに関する要求事項)の,注記を削除する。
6.7.9.1.1のd) の“(ISO 13849-2のD.1参照。)”を,“(ISO 13849-2:2012のD.1参照。)”に置き換える。
6.7.9.2.1の注記2の“IEC 61508-7のA.10”を,“IEC 61508-7:2010のA.10”に置き換える。
6.7.9.2.2の注記2の“ISO 13849-2のD.3”を,“ISO 13849-2:2012の表D.2”に置き換える。
6.10.2.7の注記の“IEC 61506,ISO/IEC 15910及びISO/IEC 9254”を,“IEC 61506,ISO/IEC/IEEE 26511:2011
及びISO/IEC/IEEE 26512:2011”に置き換える。
6.12.1.2の注記1の“IEC 61508-7のB.5及びC.5.7”を,“IEC 61508-7:2010のB.5.2及びC.5.7”に置き換
える。
7.2(据付け,使用及び保全のための文書化)の注記1の“JIS B 9700-2の6.”を,“JIS B 9700:2013の6.4”
に置き換える。
8.3.1のb)の“5.2.3.2”を“5.2.3”に置き換える。
8.3.2の注記2,注記4及び注記6の“IEC 61508-7”を,“IEC 61508-7:2010”に置き換える。
A.1(一般事項)の注記2を削除し,“注記1”を,“注記”とする。
A.2.4.1(暴露の頻度及び継続時間)の表A.2[暴露レベル(Fr)の分類]を含めた全文を,次に置き換え
る。
暴露のレベル(頻度及び継続時間)を決定するに当たって,次の事項を検討する。
− 全ての運転モード(例えば,正規運転,保全)に基づいて,危険区域へのアクセスの必要性。及び,
− アクセスの性質(例えば,材料の手供給,設定など)
暴露の平均間隔,すなわち,アクセスの平均頻度を見積もることが可能であることが望ましい。
また,暴露の継続時間を推定することが望ましい。例えば,暴露継続時間は10分以上かどうか。
継続時間が10分に満たない場合は,暴露のレベル値を表A.2に示す値より一つ下げてよい。ただし,暴
露の頻度(間隔)が1時間以下には適用しない。暴露の頻度(間隔)が1時間以下の場合は,継続時間が
どんなに短くても,暴露のレベルを下げてはならない。
注記 継続時間は,SRCFの保護の下で実行する活動と関係がある。電源断路及びエネルギー消費に
関するJIS B 9960-1及びJIS B 9714の要求事項を,主要な人の介入に対して適用することが望
12
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ましい。
このファクタは,SRCFの故障に関する考察は含まない。
表A.2の暴露の頻度及び継続時間(Fr)から適切な値を選び,対応する数字を表A.5のFr欄に記入する。
表A.2−暴露の頻度及び継続時間(Fr)の分類
暴露の頻度及び継続時間(Fr)
暴露の頻度
頻度,Fr(A.2.4.1参照)
毎時1回以上
5
毎時1回未満,日に1回以上
5
日に1回未満,2週間に1回以上
4
2週間に1回未満,年に1回以上
3
年1回未満
2
A.2.6(SIL割付け)の表A.6(SIL割付けマトリクス)を,次に置き換える。
表A.6−SIL割付けマトリクス
危害のひどさ
(Se)
クラス(CI)
4
5〜7
8〜10
11〜13
14〜15
4
SIL2
SIL2
SIL2
SIL3
SIL3
3
(OM)
SIL1
SIL2
SIL3
2
(OM)
SIL1
SIL2
1
(OM)
SIL1
13
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
A.2.6(SIL割付け)の図A.3(SIL割付けに用いる見積表の例)を,次に置き換える。
リスクアセスメント及び安全方策
文書番号
構成番号
□初期リスクアセスメント
□中間リスクアセスメント
□フォローアップリスクアセスメント
対象製品:
作成者:
日付:
濃い灰色部分:安全方策必要
薄い灰色部分:安全方策推奨
危害のひどさ
クラス Cl
危害の頻度,
継続時間 Fr
危険事象
の発生確
率 Pr
回避の可
能性 Av
状態
Se
4
5〜7
8〜10 11〜13 14〜15
致死,目又
は腕の喪失
4
SIL2
SIL2
SIL2
SIL3
SIL3
毎時1回以上
5
頻繁:5
回復不可能
指の喪失
3
(OM)
SIL1
SIL2
SIL3
毎時1回未満,
日に1回以上
5
かなり:4
回復可能
医師の手当
2
(OM)
SIL1
SIL2
日に1回未満,
2週間に1回以上
4
時々:3
不可能:5
回復可能
応急処置
1
(OM)
SIL1
2週間に1回未満,
年に1回以上
3
まれに:2
可能:3
年1回未満
2
無視:1
可能性
有:1
一連番号 危険源番号
危険源
Se
Fr
Pr
Av
Cl
安全方策
SIL
コメント
図A.3−SIL割付けに用いる見積表の例
14
B 9961:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
附属書D(参考)(電気・電子部品の故障モード)の,全文を削除する。
附属書E (参考)(工業環境のSRECSに対して強化するJIS C 61000-6-2の電磁イミュニティレベル)の,
全文を削除する。
F.2(方法)の表F.1(CCF推定のための判定基準)の判定項目欄の最後の文章を,次に置き換える。
サブシステムは,IEC 61326-3-1で指定した限界までの(限度値を含む。)電磁妨害からの過酷な影響に
耐えるか。
F.2(方法)の表F.2[CCF係数(β)の推定]を,次に置き換える。
表F.2−CCF係数(β)の推定
合計得点
共通原因故障係数
(β)
≦35
10 % (0.1)
36〜 65
5 % (0.05)
66〜 85
2 % (0.02)
86〜100
1 % (0.01)
附属書JB(参考)(PFHDの計算式の考察など)の式を含めた文中の“×1時間”,“(無次元)”,“/1時間”
及び“1/時間”は,全て削除する。
JB.3.2(PFHDの計算)の第2段落を,削除する。
JB.4.2[方式a)及びb)のPFHDの計算]の“式(4-1)”を,次に置き換える。
(
)
(
)2/
1
2
1
1
2
1
2
De
De
De
De
DssB
T
λ
λ
β
λ
λ
β
λ
+
+
×
×
×
−
=
第1項 第2項
JB.6.2[診断方式a)(周期的診断,MTTR=0)及びプルーフテスト方式e)(MTTR=0)のPFHDの計算]の
“式(6-1)”を,次に置き換える。
(
)
(
)
(
)
{
}
(
)2/
2/
2
2/
1
2
1
1
2
1
2
1
2
2
1
2
1
2
De
De
De
De
De
De
DssD
T
DC
DC
T
DC
DC
λ
λ
β
λ
λ
λ
λ
β
λ
+
+
×
−
−
×
+
×
+
×
−
=
第1項前半(ケース1) 第1項後半(ケース2) 第2項
JB.6.2[診断方式a)(周期的診断,MTTR=0)及びプルーフテスト方式e)(MTTR=0)のPFHDの計算]
の(第1項の全体説明)の最終行を,次に置き換える。
第1項の後半(T1が関与)は,ケース2(2a+2b)の危険側故障率である。
JB.8.1(概説)の“式(8-1)”及び式(8-2)の次の1行の“λD×1時間=PFHDと定義したから,”を,削除する。