>サイトトップへ >このカテゴリの一覧へ

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

(1)

追補 1 のまえがき

この JIS B 9961 の追補 1 は,工業標準化法に基づき,日本工業標準調査会の審議を経て,厚生労働大臣

及び経済産業大臣が JIS B 9961:2008 を改正した内容だけを示すものである。

JIS B 9961:2008 は,この追補 1 の内容の改正がされ,JIS B 9961:2015 となる。 


日本工業規格

JIS

 B

9961

:2015

(IEC 62061

:2005

/Amd.1

:2012

,Amd.2

:2015

)

機械類の安全性−安全関連の電気・電子・

プログラマブル電子制御システムの機能安全

(追補 1)

Safety of machinery-Functional safety of safety-related electrical, electronic

and programmable electronic control systems

(Amendment 1)

追補 の序文 

この追補は,IEC 62061:2005 に対して 2012 年に発行された Amendment 1 及び 2015 年に発行された

Amendment 2 について,技術的内容を変更することなく JIS B 9961:2008 の追補 1 として作成したものであ

り,Amendment 1 以前に発行された Corrigendum 2 も反映している(Corrigendum 1 は 2008 年の版に反映済

みである。

なお,この追補で側線又は点線の下線を施してある参考事項は,対応国際規格の Amendment 1 及び

Amendment 2 にはない事項である。

JIS B 9961:2008 を,次のように改正する。 

序文の第 2 段落以降表 の前までを,次に置き換える。

自動化が進んだ結果として,機械の生産力増加及びオペレータの肉体的負荷の軽減が求められるように

なり,機械の安全関連電気制御システム SRECS(Safety-Related Electrical Control Systems)が機械の総合的

安全の達成に果たす役割が増加している。一方で,SRECS 自体は,ますます複雑な電子技術を用いるよう

になってきた。

最近までは,SRECS の関連規格もなく電子制御技術の信頼性が低かったために,SRECS は機械の顕著

な危険源に対する安全関連制御機能を果たす用途には積極的に用いられなかった。

この規格は,機械設計者,制御システムの製造業者及びインテグレータ並びに SRECS の仕様作成,設

計及び妥当性確認に当たる人が利用することを想定している。この規格は,SRECS が必要な性能を達成す

るための要求事項及び実現手法を示す。

この規格は,JIS C 0508 規格群の枠組の中で特に機械産業部門で適用する事項を規定する。この規格は,

機械の顕著な危険源(JIS B 9700:2013 の 3.8 参照)がもたらすリスクを低減するために用いる電気制御シ

ステムの仕様決定のために利用されることを意図している。

この規格は,機械産業部門において機械の SRECS の機能安全を規定するために,機械産業部門特有の

枠組を示す。SRECS のライフサイクルの,安全要求事項割付段階から総合的安全妥当性確認段階を規定し

ている。さらに,SRECS ライフサイクルの後半における,SRECS の安全な使用のための情報に対する要


2

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

求事項も規定している。

機械においてリスク低減方策の一部として SRECS を用いる状況は多岐にわたる。危険区域へ人が接近

するときの安全のために,ガードが開かれるとすぐに機械の危険な運動を止めるように電気制御システム

に信号を送るインタロック付きガードのシステムは,SRECS 使用の典型例である。また,オートメーショ

ンシステムにおいて,電気制御システムは機械の工程を正しく制御して制御システムの故障から直接生じ

るリスクを緩和することによって安全に寄与している。

この規格は,次の事項に関する方法及び要求事項を規定する。

− SRECS が実行する各安全機能に,必要な安全インテグリティレベル(SIL)を割り付ける。

−  割り付けた安全機能及び安全インテグリティレベル(SIL)を満たす SRECS の設計を可能にする。

−  JIS B 9705-1:2011 に従って設計された安全関連サブシステムを SRECS に統合する。

− SRECS の妥当性確認を行う。

この規格は,JIS B 9700 に規定するリスク低減法及び JIS B 9700 に規定するリスクアセスメントの原則

に関連して用いることを意図している。SIL を割り付ける方法の例を,

附属書 に示す。

この規格は,SRECS の偶発故障及び系統的故障の確率並びに危害の及ぼす結果を考慮に入れて,SRECS

の性能を意図するリスク低減に調和させる方策を示している。

図 に,この規格と他の関連規格との関係を示す。

この規格のほかに,JIS B 9705-1 も,機械の安全関連制御システムの設計及び実現のための要求事項を

規定する機能安全規格である。いずれの規格も,その規格の適用範囲に従って関連する安全要求を満たす

ために用いることができる。機械のための安全関連制御システムの設計における,この規格及び JIS B 

9705-1 のアプリケーションのガイダンスを IEC/TR 62061-1 が提供している。

序文の表 及び表 の後の注記を,削除する。

序文の図 を,次に置き換える。


3

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

                        :

機能安全の側面

                        :

電気的安全の側面

a)

 PL:Performance Level(パフォーマンスレベル)の略称

b)

 SRPCS:Safety-Related Parts of Control System(制御システムの安全関連部)の略称

図 1−この規格と他の関連規格との関係 

機械の設計及びリスクアセスメント 

JIS B 9700  機械類の安全性−設計のための一般原則

−リスクアセスメント及びリスク低減

機械に用いる電気・電子・プログラマブル電子制御システム(SRECS)設計のための方法論 

安全関連制御機能及びシステム的手法に立脚

・  定量的な安全性指標を SIL で表現

・  機械の SRECS の SIL 割付け法

・  アーキテクチャ志向

・  系統的故障の回避・抑制の要求

・  安全性指標をカテゴリ及び PL

a)

で表現

・  定性的リスクグラフによるカテゴリ割付け

・  アーキテクチャ志向

機械の電気的安全の側面 

JIS B 9960-1  機械類の安全性−機械

の電気装置−第 1 部:一般要求事項

SIL に対応する 

サブシステムの設計 

JIS C 0508-1-7  電気・電子・

プログラマブル電子安全関連系

の機能安全

JIS B 9961 

機械類の安全性−安全関連の電気・電子・プログラマブル電

子制御システムの機能安全

カテゴリに対応する 

サブシステムの設計 

JIS B 9705-1ISO 13849-1

機械類の安全性−制御システムの安全関

連部−第 1 部:設計のための一般原則

ISO 13849-2 

機械類の安全性−制御システムの安全関

連部分−第 2 部:妥当性確認

非電気的 SRPCS

b)

(機械式,液圧式など)

電気的 SRPCS

b)

SRECS の設計目標 

関連規格 


4

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

箇条 1(適用範囲)の

注記 を,次に置き換える。

注記 2  この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設

計は,IEC 61508 の関連要求事項に従うこと及びルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)

の使用を想定している。ルート 2

H

IEC 61508-2:2010 の 7.4.4.3 参照)は一般の機械には適用

しないと考えられる。したがって,この規格ではルート 2

H

は取り扱わない。この規格は,

SRECS のサブシステム又はサブシステム要素に対して,開発ではなくむしろ適用する方法を

提供する。

箇条 1(適用範囲)の

注記 を,次に置き換える。

注記 5  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical, electronic and

programmable electronic control systems,Amendment 1:2012 及び Amendment 2:2015(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”

ことを示す。

箇条 2(引用規格)の JIS B 9700-1:2004 及び JIS B 9700-2:2004 を,次に置き換える。

JIS B 9700:2013  機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減

注記  対応国際規格:ISO 12100:2010,Safety of machinery−General principles for design−Risk

assessment and risk reduction(IDT)

箇条 2(引用規格)の JIS B 9702 を,削除する。

箇条 2(引用規格)の JIS B 9705-1:2000 を,次に置き換える。

JIS B 9705-1:2011  機械類の安全性−制御システムの安全関連部−第 1 部:設計のための一般原則

注記  対応国際規格:ISO 13849-1:2006,Safety of machinery−Safety-related parts of control systems−

Part 1: General principles for design(IDT)

箇条 2(引用規格)の ISO 13849-2:2003 を,次に置き換える。

ISO 13849-2:2012,Safety of machinery−Safety-related parts of control systems−Part 2: Validation 

3.2.1[機械類(machinery)]の“(JIS B 9700-1:2004 の 3.1 による。)”を,

JIS B 9700:2013 の 3.1 による。

に置き換える。

3.2.5[サブシステム(subsystem)]の定義を,次に置き換える。

SRECS アーキテクチャの中で最上位の構成要素であって,いずれのサブシステムが危険側故障となって

も SRECS の SRCF に危険側故障をもたらすもの(JIS C 0508-4:2012 の 3.2.7 を修正)

注記 1  完全なサブシステムは,識別可能な複数のサブシステム要素から構成することができる。そ

れらのサブシステム要素が組み合わされて,サブシステムに割り当てられた機能ブロックを

実行する。

注記 2  この定義は,分解された構成要素のいずれの部分をも意味する一般的サブシステムの定義と

異なる。この規格では,サブシステムという用語は,厳格に定義した階層レベルをもつ。サ

ブシステムは,システムの最上位の区分レベルである。サブシステムを更に分解した構成要

素は,

“サブシステム要素”と呼ぶ。

3.2.7[低複雑度構成品(low complexity component)]の“(JIS C 0508-4 の 3.4.4 を修正。)”を,“(JIS C 
0508-4
:2012 の 3.4.3 を修正。)”に置き換える。


5

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

3.2.9[機能安全(functional safety)]の“(JIS C 0508-4 の 3.1.9 を修正。)”を,

JIS C 0508-4:2012 の 3.1.12

を修正。

”に置き換える。

3.2.10[(機械類の)危険源[hazard (from machinery)]]の“(JIS B 9700-1:2004 の 3.6 を修正。)”を,“(JIS B 
9700
:2013 の 3.6 を修正。)”に置き換える。 
3.2.11[危険状態(hazardous situation)]の“(JIS B 9700-1:2004 の 3.9 を修正。)”を,“(JIS B 9700:2013 の

3.10 を修正。)”に置き換える。 
3.2.12[保護方策(protective measure)]の“(JIS B 9700-1:2004 の 3.18 を修正。)”を,“(JIS B 9700:2013

の 3.19 を修正。

”に置き換える。

3.2.13[リスク(risk)]の“(JIS B 9700-1:2004 の 3.11 による。)”を,“(JIS B 9700:2013 の 3.12 による。)”

に置き換える。

3.2.15[安全機能(safety function)]の“(JIS B 9700-1:2004 の 3.28 による。)”を,

JIS B 9700:2013 の 3.30

による。

”に置き換える。

3.2.19[安全インテグリティ(safety integrity)]の“(JIS C 0508-4 の 3.5.2 を修正。)”を,

JIS C 0508-4:2012

の 3.5.4 を修正。

”に置き換える。

3.2.20[ハードウェア安全インテグリティ(hardware safety integrity)]の“(JIS C 0508-4 の 3.5.5 を修正。)”

を,

JIS C 0508-4:2012 の 3.5.7 を修正。

”に置き換える。

3.2.21[ソフトウェア安全インテグリティ(software safety integrity)]の“(JIS C 0508-4 の 3.5.3 を修正。)”

を,

JIS C 0508-4:2012 の 3.5.5 を修正。

”に置き換える。

3.2.22[系統的安全インテグリティ(systematic safety integrity)]の“(JIS C 0508-4 の 3.5.4 を修正。)”を,

JIS C 0508-4:2012 の 3.5.6 を修正。

”に置き換える。

3.2.23[安全インテグリティレベル(SIL)

(safety integrity level)

]の“

JIS C 0508-4 の 3.5.6 を修正。

”を,

JIS C 0508-4:2012 の 3.5.8 を修正。

”に置き換える。

3.2.26[低頻度作動要求モード(low demand mode)]の定義を,次に置き換える。

SRECS への作動要求頻度が,1 年に 1 回以下となる運転モード。

注記  IEC 61508-1 及び IEC 61508-2 の低頻度作動要求モードの要求事項だけに従って設計した装置

は,この規格が規定する SRECS の部分としての使用には適さない場合がある。機械類におい

ては,SRECS を低頻度作動要求モードで用いることはないと考えられる。

3.2.27[高頻度作動要求又は連続モード(high demand or continuous mode)]の定義を,次に置き換える。

SRECS への作動要求頻度が 1 年に 1 回を超える又は正規運転の一部のような安全状態に SRCF が機械を

維持する運転モード(JIS C 0508-4:2012 の 3.5.16 を修正)

注記 1  低頻度作動要求モードは,機械類における SRECS に用いられるとは考えられない。したが

ってこの規格では,SRECS は高頻度作動要求又は連続モードで稼動するものと考える。

注記 2  高頻度作動要求モードでは,作動要求があったときだけ機械を指定の状態に移行させるため

に SRCF が作動する。安全機能の作動要求があるまで,SRECS は機械に影響を与えない。

注記 3  連続モードでは,安全機能が連続的に作動する。すなわち,SRECS は絶えず機械を制御して

おり,SRECS  機能の危険側故障は直ちに危険源をもたらすことがあり得る。

3.2.28PFH

D

(probability of dangerous failure per hour)

]の定義を,次に置き換える。

定められた期間にわたって決められた安全機能を実行する安全関連システム及びサブシステムにおける

時間当たりの危険側故障を起こす平均確率。

注記 1  PFH

D

を作動要求ごとの危険側故障の確率 PFD と混同してはならない。


6

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

注記 2  この規格における λ は,1 時間当たりの一定の故障率として表される。

3.2.29[目標故障率(target failure value)]の“(JIS C 0508-4 の 3.5.15 を修正。)”を,“(JIS C 0508-4:2012

の 3.5.17 を修正。

”に置き換える。

3.2.30[フォールト(fault)]の“(JIS C 0508-4 の 3.6.1 を修正。)”を,

JIS C 0508-4:2012 の 3.6.1 を修正。

に置き換える。

3.2.31[フォールトトレランス(fault tolerance)]の“(JIS C 0508-4 の 3.6.3 を修正。)”を,

JIS C 0508-4:2012

の 3.6.3 を修正。

”に置き換える。

3.2.35[アーキテクチャ(architecture)]の“(JIS C 0508-4 の 3.3.5 を修正。)”を,“(JIS C 0508-4:2012 の

3.3.4 を修正。)”に置き換える。 
3.2.37[プルーフテスト(proof test)]の定義を,次に置き換える。

SRECS 及びそのサブシステム内の隠れた危険側故障及び劣化を検出するために実行する周期的テスト。

必要であれば,SRECS 及びそのサブシステムを新品又は新品同様状態に修復するために実行するテスト

JIS C 0508-4:2012 の 3.8.5 を修正。

注記  通常,プルーフテストによってサブシステムの残存寿命を新品同様に戻すことはできない。故

障修復後のハードウェアの偶発故障確率を新品に近くすることは可能と考えられる。

3.2.38[診断率(diagnostic coverage)]の定義を,次に置き換える。

自動オンライン診断試験によって見つけられる危険側故障の割合

JIS C 0508-4:2012 の 3.8.6 を修正。

注記 1  診断率 DC は,次の式を用いて算出される。

DC=(Σλ

DD

)/λ

Dtotal

ここに,

λ

DD

診断によって検出できる危険側ハードウェア故障の発
生確率

λ

Dtotal

全ての危険側ハードウェア故障の発生確率

自動オンライン診断試験とは,連続又は一定間隔で自動的に行う故障検出テストをいう。

この規格では,診断によって危険側故障が検出されると,一般に次のフォールト反応が働き,

検出された危険側故障は,サブシステムを直接危険側故障に導くことがないものとする。

−  フォールトトレランスをもたない SRECS 又はサブシステムの場合

・  直ちに機械及び SRECS の運転を停止する。

−  フォールトトレランスをもつ SRECS 又はサブシステムの場合

・  直ちに機械及び SRECS の運転を停止する。又は,

・  故障の発生を通知する。残存系に依存して運転を続けながら故障系を修復する。

注記 2  検出可能な危険側故障比率は,自動オンライン診断によって検出できる故障率を,全体の危

険側故障率で除すことによって算出する。

3.2.39[故障(failure)]の“(JIS C 0508-4 の 3.6.4 を修正,及び JIS B 9700-1:2004 の 3.22 による。)”を,

JIS C 0508-4:2012 の 3.6.4 を修正,及び JIS B 9700:2013 の 3.34 による。

”に置き換える。

3.2.40[危険側故障(dangerous failure)]の“(JIS C 0508-4 の 3.6.7 を修正。)”を,削除する。

3.2.41[安全側故障(safe failure)]の“(JIS C 0508-4 の 3.6.8 を修正。)”及び注記を,削除する。 
3.2.43[共通原因故障(common cause failure)]の“(JIS C 0508-4 の 3.6.10 を修正。)”を,

JIS C 0508-4:2012

の 3.6.10 を修正。

”に置き換える。

3.2.43[共通原因故障(common cause failure)]の注記の“JIS B 9700-1”を,“JIS B 9700”に置き換える。 
3.2.44[ランダムハードウェア故障(random hardware failure)]の“(JIS C 0508-4 の 3.6.5 による。)”を,

JIS 


7

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

C 0508-4:2012 の 3.6.5 による。)”に置き換える。 
3.2.45[系統的故障(systematic failure)]の“(IEC 61508-4 の 3.6.6 による。)”を,“(JIS C 0508-4:2012 の

3.6.6 による。)”に置き換える。 
3.2.48[無制約可変言語(FVL (full variability language)]の“(IEC 61511-1 の 3.2.81.1.3 を修正。)”を,

JIS 

C 0511-1:2008 の 3.2.81.1.3 を修正。)”に置き換える。

3.2.49[制約可変言語(LVL)(limited variability language)]の“(IEC 61511-1 の 3.2.81.1.2 を修正。)”を,

JIS C 0511-1:2008 の 3.2.81.1.2 を修正。

”に置き換える。

3.2.51[検証(verification)]の“(JIS C 0508-4 の 3.8.1 及び IEC 61511-1 の 3.2.92 を修正。)”を,“(JIS C 

0508-4:2012 の 3.8.1 及び JIS C 0511-1:2008 の 3.2.92 を修正。)”に置き換える。 
3.2.52[妥当性確認(validation)]の“(JIS C 0508-4 の 3.8.2 を修正。)”を,“(JIS C 0508-4:2012 の 3.8.2 

修正。

”に置き換える。

5.2.1.1 の“JIS B 9700-1JIS B 9700-2 及び JIS B 9702”を,“JIS B 9700”に置き換える。 
5.2.1.4 の注記の“IEC 61508-7 の B.2.6”を,“IEC 61508-7:2010 の B.2.6”に置き換える。 
5.2.3  (SRCF の機能要求仕様)の全文を,次に置き換える。

SRCF の機能要求仕様には,実行する各 SRCF の詳細を記述しなければならない。次のうちの該当する

項目を含める。

− SRCF を作動又は不作動にして運転する機械の条件(例えば,運転モード)

−  相入れない動きを起こす機能が同時に作動したときの優先順位

−  各 SRCF の作動頻度

−  各 SRCF の要求応答時間

−  他の機械機能と SRCF とのインタフェース

−  (例えば,入出力機器の)要求応答時間

−  各 SRCF の説明

−  フォールト反応機能の説明及び最初のフォールト反応が機械を止めることである場合は,再起動又は

運転継続に対する制約などの説明

−  運転環境の説明(例えば,温度,湿度,ちり,化学物質,機械的振動及び衝撃)

−  試験及びその関連装置(例えば,試験装置及び試験アクセスポート)

− SRCF として用いる電気・機械複合部品の作動頻度及び負荷条件,並びにその適用カテゴリ

注記 1 SRECS を工業地環境で用いることを意図する場合,電磁イミュニティレベルは,JIS C 

61000-6-2 によるほか,IEC 61326-3-1 に示す強化イミュニティレベルをもつことが望ましい。

他の電磁環境(例えば,住宅地環境)で用いることを意図する SRECS は,他の EMC 規格に

基づくイミュニティレベル(例えば,JIS C 61000-6-1 による住宅地環境レベル)をもつこと

が望ましい。

注記 2 SRECS の電磁イミュニティレベルを決めるときは,たとえその適用頻度が少ないとしても,

他の EMC 規格の基準を考慮に入れる必要がある。

注記 3 SRECS の機能安全のための電磁イミュニティ性能の基準は,6.4.3 に規定する。

5.2.4.2 の注記 を削除し,“注記 5”を,“注記 4”とする。

6.4(SRECS の系統的安全インテグリティに対する要求事項)の注記 を削除し,“注記 2”を“注記”と


8

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

する。

6.4.1.1 の d)  及び e)  の“(ISO 13849-2 の D.1 も参照。)”を,“(ISO 13849-2:2012 の D.1 も参照。)”に置き

換える。

6.4.2(系統的フォールトを抑制する方策)の注記 の“IEC 60870-5-1 及び IEC 61508-2”を,

IEC 61784-3

及び IEC 61508-2”に置き換える。

6.4.3(電磁イミュニティ)の本文及び注記の“附属書 E”を,“IEC 61326-3-1”に置き換える。 
6.6.3.1(一般事項)の全文を,次に置き換える。

SRECS の SIL は,SRECS が実行する SRCF ごとに推定しなければならない。

SRECS の SIL は,危険なランダム・ハードウェア故障の可能性,アーキテクチャによる制約及び SRECS

を構成するサブシステムの系統的安全インテグリティから決定しなければならない。SRECS によって達成

される SIL は,SRECS で構成されるサブシステムの中の一番低い SILCLs より低いか又は同じである。

6.6.3.4(系統的安全インテグリティ)の,全文を削除する。 
6.7.2.1 の全文を,次に置き換える。

サブシステムは,6.2 の全ての要求事項を考慮に入れて,その SRS(6.6.2.1.7 参照)に従って,選定(6.7.3

参照)又は設計(6.7.4 参照)することによって実現しなければならない。高複雑度構成品を用いるサブシ

ステムは,必要とする SIL に応じて IEC 61508-2 及び IEC 61508-3 に適合し,設計はルート 1

H

IEC 

61508-2:2010 の 7.4.4.2 参照)を使用しなければならない。

例外  IEC 61508-2 及び IEC 61508-3 に適合する高複雑度構成品をサブシステム要素として含むサブ

システム設計をする場合は,6.7.4.2.3 を適用する。

注記  この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計

は,IEC 61508 の関連要求事項に従うこと及びルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)の

使用を想定している。ルート 2

H

IEC 61508-2:2010 の 7.4.4.3 参照)は一般の機械には適用しな

いと考えられる。したがって,この規格ではルート 2

H

は取り扱わない。この規格は,SRECS

のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を

提供する。

6.7.2.2 の注記 を,次に置き換える。

注記 1  電気・機械複合サブシステム(例えば,リレー)においては,故障率の推定は,製造業者発

表の作動可能回数及びデューティサイクル(5.2.3 参照)を考慮することが望ましい。この情

報は,製造業者が記載した動作条件下の B10 値(IEC 61649 参照)に基づくものとすること

が望ましい。例えば,IEC 60947-4-1:2009+A1:2012 の Annex K 参照。

6.7.3.2 の全文を,次に置き換える。

高複雑度構成品を含むサブシステムは,必要とする SIL に応じて IEC 61508-2 及び IEC 61508-3 に適合

し設計はルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)を使用しなければならない。

例外  IEC 61508-2 及び IEC 61508-3 に適合する高複雑度構成品を,サブシステム要素として用いるサ

ブシステムを設計する場合は 6.7.4.2.3 による。

注記  この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計

は,IEC 61508 の関連要求事項に従うこと及びルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)の

使用を想定している。ルート 2

H

IEC 61508-2:2010 の 7.4.4.3 参照)は一般の機械には適用しな

いと考えられる。したがって,この規格ではルート 2

H

は取り扱わない。この規格は,SRECS

のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を


9

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

提供する。

6.7.4.2.2 の b)  の“(IEC 61508-2 の 7.4.7.57.4.7.12 参照)”を,“(IEC 61508-2 の 7.4.10 参照)”に置き換

える。

6.7.4.2.3 の全文を,次に置き換える。

サブシステムの設計において,SILCL 及びルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)の使用に関連す

る IEC 61508-2 及び IEC 61508-3 の全ての関連要求事項を満たす高複雑度構成品をサブシステム要素とし

て用いる場合,その構成品は,サブシステム設計の観点では低複雑度構成品とみなすことができる。それ

は,関連故障モード,フォールト検出時の動き,推定故障率,及び他の安全関連情報が既知だからである。

このような構成品は,その仕様及びその供給者が提供する使用のための適切な情報に従って用いなければ

ならない。

注記  この規格では,高複雑度のプログラマブル電子式のサブシステム及びサブシステム要素の設計

は,IEC 61508 の関連要求事項に従うこと及びルート 1

H

IEC 61508-2:2010 の 7.4.4.2 参照)の

使用を想定している。ルート 2

H

IEC 61508-2:2010 の 7.4.4.3 参照)は一般の機械には適用しな

いと考えられる。したがって,この規格ではルート 2

H

は取り扱わない。この規格は,SRECS

のサブシステム又はサブシステム要素に対しては,開発ではなくむしろ使用するための方法を

提供する。

6.7.4.4.2 の c)  に,次の注記を追加する。

注記  電気・機械複合サブシステム(例えば,リレー)においては,故障率の推定は,製造業者発表

の作動可能回数及びデューティサイクル(5.2.3 参照)を考慮することが望ましい。この情報は,

製造業者が記載した動作条件下の B10 値(IEC 61649 参照)に基づくものとすることが望まし

い。例えば,IEC 60947-4-1:2009+A1:2012 の Annex K 参照。

6.7.6.3 の表 を,次に置き換える。

表 5−サブシステムのアーキテクチャに基づく SILCL 

安全側故障比率(SFF)

ハードウェアフォールトトレランス N

注記 参照)

0 1 2

60 %未満

許されない

(例外は

注記 参照)

SIL1 SIL2

60 %以上  90 %未満 SIL1

SIL2

SIL3

90 %以上  99 %未満 SIL2

SIL3 SIL3(注記 参照)

99 %以上 SIL3

SIL3(注記 参照) SIL3(注記 参照)

注記 1  ハードウェアフォールトトレランス は,N+1 個のフォールトが安全機能の失敗を起こし得ることを意味

する。

注記 2 SIL4 は,この規格では扱わない。SIL4 に関しては IEC 61508-1 を参照。 
注記 3  6.7.6.4 参照,又は危険側故障を引き起こす可能性のある障害に対してフォールト除外が適用されるサブシ

ステム。6.7.7 参照。

6.7.6.4 の全文を,次に置き換え,表 を削除する。

JIS B 9705-1:2011 のカテゴリ 1 の PL=c に従って十分吟味された構成部品(注記参照)を使った,SFF

が 60 %未満でハードウェアフォールトトレランスがゼロの電気・機械複合サブシステムは,SIL1 の SILCL

に適合すると考えてよい。

注記  安全関連のアプリケーションのための十分吟味された構成部品とは,次のような部品である。


10

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

a)  過去に同じようなアプリケーションで問題なく広く使用されている,又は 
b)  安全関連のアプリケーションのための適合性及び信頼性が証明された原理を用いて作り

確認されている。

6.7.7.2 の b)  の“(附属書 の注記 参照)”を,削除する。 
6.7.7.2 の c)  を削除し,“d)”を“c)”とする。

6.7.7.2 の最後に,次の注記 1∼注記 を追加する。

注記 1  電気・電子部品の故障モードの情報は,次を含む幾つかの出典で見つけることができる。

−  MIL-HDBK 217F

注記 参照)Reliability Prediction of Electronic Equipment (28-02-95),

Parts Stress Analysis

−  MIL-HDBK 217F

注記 参照)Reliability Prediction of Electronic Equipment (28-02-95),

Appendix A, Parts Count Reliability Prediction

−  SN 29500 Part 7, Failure Rates of Components, Expected Values for Relays, April 1992

−  SN 29500 Part 11, Failure Rates of Components, Expected Values for Contactors, August 1990

−  SN 29500 シリーズは一般公開されており,次から入手できる。

Siemens AG, CT SR SI  Otto-Hahn-Ring 6, D-81739 München:

−  UTE C 80-810 RDF 2000:Reliability data handbook − A universal model for reliability

prediction of electronic components, PCBs and equipment

−  Failure mode/mechanism distributions FMD-91, RAC 1991

注記 2  製造業者から提供される故障比率データ及び故障モード比率データを使用することを推奨す

る。

注記 3  幾つかの部品規格には関連データがある。例えば,IEC 60947-4-1:2009+A1:2012 の Annex K

注記 4  ここで,各々の故障モードの詳細分析はほとんど不可能であり,故障を安全側 50 %と危険側

50 %とに分けることは一般的に受け入れられる。

注記 5  機械,空圧,油圧及び電気技術に関する考慮すべき故障のリストは,ISO 13849-2:2012 の

Annex AB及び に示されている。

6.7.7.3 の注記の“ISO 13849-2 の 3.3 及び表 D.5”を,

ISO 13849-2:2012 の 4.4 及び

表 D.2”に置き換える。

6.7.8.1.2 の d)  の注記 の“IEC 61508-6 の附属書 D”を,“IEC 61508-6:2010 の附属書 D”に置き換える。 
6.7.8.1.2 の f)  を,次に置き換える。

f)  診断によって検出できない危険側フォールトを見つけるために行うプルーフテストの間隔及び/又

は上記の b)  及び c)  で得られる情報が妥当性を失わないために超えてはならないサブシステム要素

の製造業者が定める使用可能時間

6.7.8.1.2 の g)  の注記 の a)b)  及び c)  を,それぞれ次に置き換える。

a)  フォールトツリー分析(IEC 61508-7:2010 の B.6.6.5 及び IEC 61025 を参照。)。 
b)  マルコフモデル(IEC 61508-7:2010 の B.6.6.6 及び IEC 61165 を参照。)。 
c)  信頼性ブロック線図(IEC 61508-7:2010 の B.6.6.7 及び IEC 61078 を参照。)。

6.7.8.1.6 の表 7(カテゴリをもつサブシステムの PFH

D

の限度値)を含めた全文を,削除する。

6.7.8.2.1(一般事項)の第 2 段落として,次の文を追加する。

この規格では,λ は 1 時間当たりの故障率を表す。

6.7.8.2.1(一般事項)の注記 の式“λ=1/MTTF”の後に,次の文を追加する。

ここで,MTTF は時間で表される。


11

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

6.7.8.2.1(一般事項)の注記 の式“PFH

D

=λ

D

×1h”を,“PFH

D

=λ

D

”に置き換える。

6.7.8.2.2[基本サブシステムアーキテクチャ A:診断機能なし,フォールトトレランス 0(図 参照)]の

式“PFH

DssA

=λ

DssA

×1h”を,“PFH

DssA

=λ

DssA

”に置き換える。

6.7.8.2.3[基本サブシステムアーキテクチャ B:診断機能なし,フォールトトレランス 1(図 参照)]の

式“PFH

DssB

=λ

DssB

×1h”を,“PFH

DssB

=λ

DssB

”に置き換える。

6.7.8.2.4[基本サブシステムアーキテクチャ C:診断機能付き,フォールトトレランス 0(図 参照)]の

式“PFH

DssC

=λ

DssC

×1h”を,“PFH

DssC

=λ

DssC

”に置き換える。

6.7.8.2.5[基本サブシステムアーキテクチャ D:診断機能付き,フォールトトレランス 1(図 参照)]の

式(D1)の後の式“PFH

DssD

=λ

DssD

×1h”を,“PFH

DssD

=λ

DssD

”に置き換える。

6.7.8.2.5[基本サブシステムアーキテクチャ D:診断機能付き,フォールトトレランス 1(図 参照)]の

式(D2)の後の式“PFH

DssD

=λ

DssD

×1h”を,“PFH

DssD

=λ

DssD

”に置き換える。

6.7.9(サブシステムの系統的安全インテグリティに関する要求事項)の,注記を削除する。 
6.7.9.1.1 の d)  の“(ISO 13849-2 の D.1 参照。)”を,“(ISO 13849-2:2012 の D.1 参照。)”に置き換える。 
6.7.9.2.1 の注記 の“IEC 61508-7 の A.10”を,“IEC 61508-7:2010 の A.10”に置き換える。 
6.7.9.2.2 の注記 の“ISO 13849-2 の D.3”を,“ISO 13849-2:2012 の表 D.2”に置き換える。 
6.10.2.7 の注記の“IEC 61506ISO/IEC 15910 及び ISO/IEC 9254”を,

IEC 61506

ISO/IEC/IEEE 26511:2011

及び ISO/IEC/IEEE 26512:2011”に置き換える。

6.12.1.2 の注記 の“IEC 61508-7 の B.5 及び C.5.7”を,“IEC 61508-7:2010 の B.5.2 及び C.5.7”に置き換

える。

7.2(据付け,使用及び保全のための文書化)の注記 の“JIS B 9700-2 の 6.”を,

JIS B 9700:2013 の 6.4

に置き換える。

8.3.1 の b)の“5.2.3.2”を“5.2.3”に置き換える。 
8.3.2 の注記 2,注記 及び注記 の“IEC 61508-7”を,“IEC 61508-7:2010”に置き換える。

A.1(一般事項)の注記 を削除し,“注記 1”を,“注記”とする。

A.2.4.1(暴露の頻度及び継続時間)の表 A.2[暴露レベル(Fr)の分類]を含めた全文を,次に置き換え

る。

暴露のレベル(頻度及び継続時間)を決定するに当たって,次の事項を検討する。

−  全ての運転モード(例えば,正規運転,保全)に基づいて,危険区域へのアクセスの必要性。及び,

−  アクセスの性質(例えば,材料の手供給,設定など)

暴露の平均間隔,すなわち,アクセスの平均頻度を見積もることが可能であることが望ましい。

また,暴露の継続時間を推定することが望ましい。例えば,暴露継続時間は 10 分以上かどうか。

継続時間が 10 分に満たない場合は,暴露のレベル値を

表 A.2 に示す値より一つ下げてよい。ただし,暴

露の頻度(間隔)が 1 時間以下には適用しない。暴露の頻度(間隔)が 1 時間以下の場合は,継続時間が

どんなに短くても,暴露のレベルを下げてはならない。

注記  継続時間は,SRCF の保護の下で実行する活動と関係がある。電源断路及びエネルギー消費に

関する JIS B 9960-1 及び JIS B 9714 の要求事項を,主要な人の介入に対して適用することが望


12

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

ましい。

このファクタは,SRCF の故障に関する考察は含まない。

表 A.2 の暴露の頻度及び継続時間(Fr)から適切な値を選び,対応する数字を表 A.5 の Fr 欄に記入する。

表 A.2−暴露の頻度及び継続時間(Fr)の分類 

暴露の頻度及び継続時間(Fr)

暴露の頻度

頻度,Fr(A.2.4.1 参照)

毎時 1 回以上 5

毎時 1 回未満,日に 1 回以上 5

日に 1 回未満,2 週間に 1 回以上 4 
2 週間に 1 回未満,年に 1 回以上 3

年 1 回未満 2

A.2.6(SIL 割付け)の表 A.6(SIL 割付けマトリクス)を,次に置き換える。

表 A.6SIL 割付けマトリクス 

危害のひどさ

(Se)

クラス(CI)

4 5∼7 8∼10 11∼13 14∼15

4

SIL2

SIL2

SIL2

SIL3

SIL3

3

(OM)

SIL1

SIL2

SIL3

2

(OM)

SIL1

SIL2

1

(OM)

SIL1


13

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

A.2.6(SIL 割付け)の図 A.3(SIL 割付けに用いる見積表の例)を,次に置き換える。

リスクアセスメント及び安全方策 

文書番号

構成番号

□初期リスクアセスメント

□中間リスクアセスメント

□フォローアップリスクアセスメント

対象製品:                       
作成者:                         
日付:

濃い灰色部分:安全方策必要 
薄い灰色部分:安全方策推奨

危害のひどさ

クラス  Cl

危害の頻度,

継続時間  Fr

危険事象
の発生確

率  Pr

回避の可

能性  Av

状態

Se

4 5∼7 8∼10 11∼13 14∼15

致 死 , 目 又

は腕の喪失

4

SIL2

SIL2

SIL2

SIL3

SIL3

毎時 1 回以上

5

頻繁:5

回復不可能 
指の喪失

3  (OM)

SIL1

SIL2

SIL3

毎時 1 回未満, 
日に 1 回以上

5

かなり:4

回復可能

医師の手当

2

  (OM)

SIL1

SIL2

日に 1 回未満, 
2 週間に 1 回以上

4

時々:3

不可能:5

回復可能

応急処置

1

  (OM)

SIL1

2 週間に 1 回未満,
年に 1 回以上

3

まれに:2

可能:3

年 1 回未満

2

無視:1

可能性

有:1

一連番号  危険源番号

危険源 Se

Fr

Pr

Av

Cl

安全方策 SIL

コメント

図 A.3SIL 割付けに用いる見積表の例 


14

B 9961

:2015 (IEC 62061:2005/Amd.1:2012,Amd.2:2015)

附属書 D(参考)(電気・電子部品の故障モード)の,全文を削除する。

附属書 (参考)(工業環境の SRECS に対して強化する JIS C 61000-6-2 の電磁イミュニティレベル)の,

全文を削除する。

F.2(方法)の表 F.1(CCF 推定のための判定基準)の判定項目欄の最後の文章を,次に置き換える。

サブシステムは,IEC 61326-3-1 で指定した限界までの(限度値を含む。

)電磁妨害からの過酷な影響に

耐えるか。

F.2(方法)の表 F.2[CCF 係数(β)の推定]を,次に置き換える。

表 F.2CCF 係数(β)の推定 

合計得点

共通原因故障係数

(β)

≦35

10 % (0.1)

36∼  65

5 % (0.05)

66∼  85

2 % (0.02)

86∼100

1 % (0.01)

附属書 JB(参考)

PFH

D

の計算式の考察など)の式を含めた文中の“×1 時間”

“(無次元)

“/1 時間”

及び“1/時間”は,全て削除する。

JB.3.2PFH

D

の計算)の第 2 段落を,削除する。

JB.4.2[方式 a)及び b)の PFH

D

の計算]の“式(4-1)”を,次に置き換える。

(

)

(

)

2

/

1

2

1

1

2

1

2

De

De

De

De

DssB

T

λ

λ

β

λ

λ

β

λ

+

+

×

×

×

=

第 1 項            第 2 項

JB.6.2[診断方式 a)(周期的診断,MTTR=0)及びプルーフテスト方式 e)MTTR=0)の PFH

D

の計算]の

“式(6-1)”を,次に置き換える。

(

)

(

)

(

)

{

}

)

2

/

2

/

2

2

/

1

2

1

1

2

1

2

1

2

2

1

2

1

2

De

De

De

De

De

De

DssD

T

DC

DC

T

DC

DC

λ

λ

β

λ

λ

λ

λ

β

λ

+

+

×

×

+

×

+

×

=

1

項前半(ケース

1

)        第

1

項後半(ケース

2

2

JB.6.2[診断方式 a)(周期的診断,

MTTR

0

)及びプルーフテスト方式 e)

MTTR

0

)の

PFH

D

の計算]

の(第

1

項の全体説明)の最終行を,次に置き換える。

1

項の後半(

T

1

が関与)は,ケース

2

2a

2b

)の危険側故障率である。

JB.8.1(概説)の“式

(8-1)

”及び式

(8-2)

の次の

1

行の“

λ

D

×

1

時間

=PFH

D

と定義したから,

”を,削除する。