>サイトトップへ >このカテゴリの一覧へ

C 0508-1

:2012 (IEC 61508-1:2010)

(1) 

目  次

ページ

序文  

1

1

  適用範囲  

3

2

  引用規格  

5

3

  用語及び定義  

6

4

  この規格群への適合  

6

5

  文書化 

6

5.1

  目的  

6

5.2

  要求事項  

7

6

  機能安全の管理  

8

6.1

  目的  

8

6.2

  要求事項  

8

7

  全安全ライフサイクル要求事項  

10

7.1

  一般  

10

7.2

  概念  

19

7.3

  全対象範囲の定義  

20

7.4

  潜在危険及びリスク解析  

20

7.5

  全安全要求事項  

22

7.6

  全安全要求事項の割当て  

24

7.7

  全運用及び保全計画  

29

7.8

  全安全妥当性確認計画  

31

7.9

  全設置及び引渡し計画  

32

7.10

  E/E/PE 系安全要求仕様  

32

7.11

  E/E/PE  安全関連系:実現  

34

7.12

  他リスク軽減措置:仕様及び実現  

35

7.13

  全設置及び引渡し  

35

7.14

  全安全妥当性確認  

35

7.15

  全運用,保全及び修理  

36

7.16

  全部分改修及び改造  

40

7.17

  使用終了又は廃却  

41

7.18

  適合確認  

42

8

  機能安全評価  

43

8.1

  目的  

43

8.2

  要求事項  

43

附属書 A(参考)文書の構成事例  

47

参考文献  

54


C 0508-1

:2012 (IEC 61508-1:2010)

(2) 

まえがき

この規格は,工業標準化法第 14 条によって準用する第 12 条第 1 項の規定に基づき,一般社団法人日本

電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工

業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工

業規格である。これによって,JIS C 0508-1: 1999 は改正され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS C 0508

の規格群には,次に示す部編成がある。

JIS

C

0508-1

  第 1 部:一般要求事項

JIS

C

0508-2

  第 2 部:電気・電子・プログラマブル電子安全関連系に対する要求事項

JIS

C

0508-3

  第 3 部:ソフトウェア要求事項

JIS

C

0508-4

  第 4 部:用語の定義及び略語

JIS

C

0508-5

  第 5 部:安全度水準決定方法の事例

JIS

C

0508-6

  第 6 部:第 2 部及び第 3 部の適用指針

JIS

C

0508-7

  第 7 部:技術及び手法の概観


   

日本工業規格

JIS

 C

0508-1

:2012

(IEC 61508-1

:2010

)

電気・電子・プログラマブル電子安全関連系の

機能安全−第 1 部:一般要求事項

Functional safety of electrical/electronic/programmable electronic

safety-related systems-Part 1: General requirements

序文 

この規格は,2010 年に第 2 版として発行された IEC 61508-1 を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。

電気及び/又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年

使用されてきた。一般に,プログラマブル電子系と呼ばれるコンピュータを用いたシステムは,あらゆる

適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用される

ようになった。コンピュータシステムの技術が,効果的かつ安全に活用されるためには,意思決定を行う

ための安全の考え方に関する十分な手引書が必須である。

この規格群では,電気・電子・プログラマブル電子(E/E/PE)の要素から成るシステムが,安全機能を

履行するための全ての安全ライフサイクル業務に対する包括的な扱い方について規定している。この統一

された扱い方は,全ての電気的な安全関連系にわたって,合理的かつ整合性がある技術指針を展開するた

めのものである。主な目的の一つは,JIS C 0508IEC 61508)規格群を基本とした適用分野の製品規格な

どの制定を容易にし,促進することである。

注記 1  JIS C 0508IEC 61508)規格群を基本とした適用分野の製品規格などの事例を,参考文献に

示す[JIS C 0511(参考文献[1])

JIS B 9961(参考文献[2])及び IEC 61800-5-2(参考文献[3])

を参照]

多くの状況下では,安全性は,幾つかのシステムによって達成され,複数の技術(

例  機械,液圧,空

気圧,電気,電子,プログラマブル電子技術)に依存している。したがって,いかなる安全対策において

も,個々のシステム(

例  センサ,制御機器,アクチュエータ)の要素だけでなく,全システムを構成す

る全ての安全関連系を考慮しなければならない。このため,この規格群は,一義的には電気・電子・プロ

グラマブル電子安全関連系を対象とするが,更にその他の技術を基本とした安全関連系を対象とする安全

の枠組みも提供する。

様々な適用分野において,電気・電子・プログラマブル電子安全関連系を使用した応用は,多岐にわた

り,多様な潜在危険及びリスクが存在することによって生じる複雑さに対応するものとして認識されてい

る。いかなる適用においても,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。


2

C 0508-1

:2012 (IEC 61508-1:2010)

   

この規格群は,包括的であるため,今後の適用分野の製品規格などの制定版及び既存規格の改正版におい

て,個々の手段の形成を可能とする。

この規格群は,次の特徴をもつ。

−  安全機能を遂行するために電気・電子・プログラマブル電子系を使用する場合の,最初の概念から,

設計,実装,運用及び保全を経て廃却に至る全電気・電子・プログラマブル電子系及びソフトウェア

の安全ライフサイクルフェーズを考慮する。

−  急速に進歩する技術を念頭において作成された枠組みは,

将来の展開に対応できる十分な耐力があり,

かつ,包括的である。

−  電気・電子・プログラマブル電子安全関連系に関して,適用分野の製品規格などを開発することを可

能とする。この規格群の枠組み内で適用分野の製品規格などを開発することによって,適用分野内及

び適用分野間の一貫性(

例  基礎となる原理・原則,用語などの整合性)を高水準に導く。これは,

安全上,かつ,経済上有益である。

−  電気・電子・プログラマブル電子安全関連系に対して要求される機能安全の達成に必要な安全要求仕

様を開発する方法論を提供する。

−  安全度に関わる要求事項の決定に際して,リスクを基本とした方法論を適用する。

−  電気・電子・プログラマブル電子安全関連系によって実装された安全機能に対して,安全度の目標水

準を特定するための安全度水準を導入する。

注記 2  この規格群は,いかなる安全機能についても安全度水準に対する要求事項を規定すること

はなく,また,安全度水準を決定する方法についても規定することはない。この規格群は,

むしろ,リスクに基づいた概念的枠組み及び技法の事例を提供するものである。

−  電気・電子・プログラマブル電子安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設

定する。

−  単一の電気・電子・プログラマブル電子安全関連系が実現する安全機能に対して,目標機能失敗尺度

の最小値を設定する。それらは,運用モードに応じて次による。

−  低頻度作動要求モードの場合,最小値を作動要求時の危険側機能失敗時間平均確率(PFDavg)10

5

に設定する。

−  高頻度作動要求モード又は連続モードは,最小値を単位時間当たりの時間平均危険側故障頻度

(PFH)10

9

[1/h]に設定する。

注記 3  単一の電気・電子・プログラマブル電子安全関連系とは,必ずしも単一チャネル構成を意

味するものではない。

注記 4  複雑でないシステムについては,目標安全度をより小さな値で安全関連系の設計をするこ

とが可能であるが,これらの限界値は,現時点で比較的複雑なシステム(

例  プログラマ

ブル安全関連系)に対して達成できるものを表しているものとみなされている。

−  産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの,

回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に

関連した目標機能失敗尺度は,この規格に規定する要求事項を全て満たしている場合は,達成してい

るとみなしてもよい。

−  決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論

的対応能力を導入する。


3

C 0508-1

:2012 (IEC 61508-1:2010)

−  電気・電子・プログラマブル電子安全関連系に対して,機能安全を達成するために多岐にわたる原理,

技法及び手段を適用するが,

“フェールセーフ”の概念は明示的には使用しない。ただし,

“フェール

セーフ”及び“固有(本質)安全”の原理は,この規格の関連する要求事項に適合することを条件と

して適用してもよい。

適用範囲 

1.1

この規格は,電気・電子・プログラマブル電子(以下,E/E/PE という。

)系を,安全機能の履行に使

用する場合に必要となる考え方について規定する。この規格の主な目的は,各製品及び適用分野の技術委

員会によって,その適用分野の製品規格などの開発を可能にすることである。この規格を適用すると,各

適用分野の製品に関連する要素が全て十分に考慮でき,その製品及び適用分野のそれぞれのニーズに応え

られる。この規格の第二の目的は,適用分野の製品規格などが存在しない場合に, E/E/PE 安全関連系の

開発を可能とすることである。

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 61508-1:2010

,Functional safety of electrical/electronic/programmable electronic safety-related

systems

−Part 1 : General requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”こ

とを示す。

1.2

特に,この規格は,次の a)n)の事項を考慮している。

a) E/E/PE

機器及び協調動作をする一つ以上の安全関連系に適用する。

注記 1  低複雑度 E/E/PE 安全関連系では,この規格群に定めた要求事項のある部分を適用しなくて

もよい。この場合,それらの要求事項への適合を除外する(4.2 及び JIS C 0508-4 の 3.4.3

の,低複雑度 E/E/PE 安全関連系の定義を参照)

注記 2  人員は,安全関連系の構成要素になり得るが(JIS C 0508-4 の 3.4.1 参照),E/E/PE 安全関

連系の設計に関わるヒューマンファクタの要求事項は,この規格群では詳細には規定しな

い。

b)

適用分野に関係なく,全ての E/E/PE 安全関連系に適用可能である。

c) E/E/PE

機器それ自体で完結する潜在危険(例えば,E/E/PE 機器との接触による感電災害)を除外して,

E/E/PE

安全関連系の適用による許容リスクの達成を対象とする。

d)

防護系及び制御系を含む E/E/PE 安全関連系の全てのタイプに適用する。

e)

次に示す E/E/PE 系を対象としない。

−  単一の E/E/PE 系が,それ自身に許容リスクを満たす能力がある。

−  単一の E/E/PE 系の安全機能に求められる安全度が,安全度水準 1(この規格群で規定する最低の安

全度)よりも低い。

f)

主に,E/E/PE 安全関連系の機能失敗が,人及び/又は環境の安全に影響し得る場合を対象とする。た

だし,機能失敗の結果は重大な経済的意味合いをもつものであり,そのような場合には,この規格群

は機器又は製品の保護のために使用する E/E/PE 系を規定するために用いることもできる。

注記 3  JIS C 0508-4 の 3.1.1 参照。

g) E/E/PE

安全関連系に対する安全要求仕様を,系統的,かつ,リスクに基づいた方法論で決定できるよ

うに,E/E/PE 安全関連系及び他リスク軽減措置について規定する。

h) E/E/PE

安全関連系の機能安全を確保するために必要な業務を,系統的に扱うための技術的な枠組みと


4

C 0508-1

:2012 (IEC 61508-1:2010)

   

して,全安全ライフサイクルモデルを適用する。

注記 4  全安全ライフサイクルは,主に E/E/PE 安全関連系に関するものであるが,当該システムの

技術(例えば,機械,液圧又は空圧)に関係なく,任意の安全関連系を検討するための技

術的枠組みを提供することができる。

i)

個々の産業分野に要求する安全度水準は規定しない(これは,適用する分野に関する詳細な情報及び

知識に基づくことが望ましい。

。個々の適用分野に責任をもつ技術委員会が,適用分野規格において

安全度水準を適切に指定するものとする。

j)

適用分野の製品規格などが存在しない場合の E/E/PE 安全関連系に関わる一般的な要求事項を提供す

る。

k)

潜在危険及びリスク解析において,悪意ある行為及び不法な行為を考慮するように要求する。解析の

適用範囲は,関連する安全ライフサイクルフェーズ全てを含む。

注記 5  このテーマは,他の規格で深く掘り下げている。ISO/IEC/TR 19791 及び IEC 62443 シリー

ズ参照。

l)

権限をもたない人員が E/E/PE 安全関連系の機能安全を損なったり,その他の悪影響を与えたりするこ

とを防止するために必要な注意事項は,対象としない[上記 k)参照]

m) E/E/PE

安全関連系が要求するセキュリティ方針を満たすために必要なセキュリティ方針又はセキュ

リティサービスの開発,実装,保全及び/又は運用の要求事項については規定しない。

n)  IEC 60601

シリーズに適合する医療機器には,適用しない。

1.3

この規格では,この規格群全てにわたって適用する一般要求事項を規定する。他の部では,  次の特定

テーマに焦点を当てて規定する。

第 部及び第 部では,E/E/PE 安全関連系(ハードウェア及びソフトウェア)に対する補足的かつ特

定の要求事項を規定する。

第 部では,この規格群全体を通じて使用する用語の定義及び略語について規定する。

第 部では,事例的方法を示すことによって,安全度水準決定のためのこの規格の適用指針について

規定する。

第 部は,第 部及び第 部の適用指針である。

第 部は,技法及び手段の概観を含んでいる。

1.4

この規格群のうち,この規格(

第 部),第 部,第 部及び第 部は,低複雑度 E/E/PE 安全関連

系(JIS C 0508-4 の 3.4.3 参照)には適用しないが,基本安全規格である。IEC Guide 104 及び ISO/IEC Guide 

51

に示される原則に従って規格を策定するとき,この規格群はそれらの技術委員会によって,基本安全規

格として使用されることを意図している。また,JIS C 0508-1IEC 61508-2IEC 61508-3 及び JIS C 0508-4

も独立した規格として使用されることを意図している。

この規格群の各分野で水平展開できる安全機能は,

IEC 60601

シリーズに適合する医療機器には適用しない。

注記  技術委員会の責務の一つは,適用可能な箇所にその規格の策定における基本安全規格を使用で

きるようにすることである。このような関係においては,この基本安全規格の要求事項,テス

ト方法及びテスト条件は,技術委員会が策定した規格を参照したり包含したりせずに,適用す

ることはない。

1.5

図 に,この規格群の全枠組み及び E/E/PE 安全関連系に対する機能安全達成におけるこの規格(第

1

部)の役割を示す。


5

C 0508-1

:2012 (IEC 61508-1:2010)

技術的要求事項

その他の要求事項

第  

用語の定義

及び略語

第  
文書化

箇条 及び

附属書 A

第  

機能安全の管理

箇条 6

第  

機能安全評価

箇条 8

第  

安全度水準の決定

のための方法の例

第  

第 部及び第 3

部の適用指針

第  

E/E/PE

安全関連系に対する

要求仕様

7.10 

第  

技術及び手法の

概観

第  

E/E/PE

安全関連系の設置,引渡し及び

安全妥当性確認

7.13

7.14 

第  

E/E/PE

安全関連系の運用及び保全,修理,

部分改修及び改造,使用終了叉は廃却

7.15

7.17 

第  

E/E/PE

安全

関連系の実現

フェーズ

第  

安全関連ソフト

ウェアの実現

フェーズ

第  

E/E/PE

安全関連系への

安全度要求事項の割当て

7.6 

第  

全体要求事項の作成

(概念,適用範囲の定義,潜在危険及

びリスク解析)

7.1

7.5

図 1−この規格群の全枠組み 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。


6

C 0508-1

:2012 (IEC 61508-1:2010)

   

は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。

)を適用する。

JIS C 0508-4

  電気・電子・プログラマブル電子安全関連系の機能安全−第 4 部:用語の定義及び略語

注記  対 応 国 際 規 格 : IEC 61508-4:2010 , Functional safety of electrical/electronic/programmable

electronic safety-related systems

−Part 4 : Definitions and abbreviations(IDT)

IEC 61508-2:2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems

IEC 61508-3:2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 3: Software requirements

IEC Guide 104:1997

,The preparation of safety publications and the use of basic safety publications and group

safety publications

注記 1984 年の Guide は,1997 年に改訂された。

ISO/IEC Guide 51:1999

,Safety aspects−Guidelines for their inclusion in standards

注記  この Guide は,1999 年版が最新である。

用語及び定義 

この規格群で用いる主な用語の定義及び略語は,JIS C 0508-4 による。

この規格群への適合 

4.1

この規格群に適合するために,全ての関連する要求事項が,指定した要求基準(例えば,安全度水

準)

を満足し,

各々の箇条又は細分箇条に対して目的が全て適合していることを明示しなければならない。

4.2

この規格群は,E/E/PE 安全関連系に対する要求事項を規定し,当該システムに関わり,考えられる

全ての複雑さに対応する。ただし,要求される安全度達成に十分信頼が置ける確実なフィールド経験が存

在する低複雑度 E/E/PE 安全関連系(JIS C 0508-4 の 3.4.3 参照)では,次の選択が可能である。

−  この規格群の

第 部から第 部までの要求事項を取り入れる適用分野の製品規格などにおいて,この

規格群の要求事項の一部は不要になることがある。その場合,不要となった要求事項への適合の必要

はない。

−  適用分野の製品規格などがないため,この規格群を直接用いる場合,この規格群の要求事項の一部は

不要になる。要求事項への適合除外が正当化できる場合は,その要求事項を除外してもよい。

4.3

この規格群の枠組みで展開される E/E/PE 安全関連系に関わる適用分野の製品規格などは,ISO/IEC 

Guide 51

及び IEC Guide 104 に示す要求事項を考慮しなければならない。

文書化 

5.1 

目的 

5.1.1

この箇条の要求事項は,全安全ライフサイクル,E/E/PE 系及びソフトウェア安全ライフサイクル

での全てのフェーズを効果的に遂行できるように必要な情報の文書化を規定することを第一の目的とする。

5.1.2

この箇条の要求事項は,機能安全の管理(箇条 参照)

,適合確認(7.18 参照)及び機能安全評価

(箇条 参照)の諸業務を効果的に実施できるように,必要な情報の文書化を規定することを第二の目的

とする。

注記 1  この規格群では,文書化は,物理的な文書というよりは,本質的に情報を重視している。そ

の情報は,これが関連する細分箇条で規定されない限り具体的な書類の中に含まなくてもよ


7

C 0508-1

:2012 (IEC 61508-1:2010)

い。

注記 2  文書化は,紙面,フィルム,スクリーン,ディスプレイ上に表示する任意のデータ媒体など

の電子情報として整備した各種の方法で行う。

注記 3  可能な文書構成については,附属書 参照。

注記 4  IEC 61506(参考文献 [7])を参照。

5.2 

要求事項 

5.2.1

全安全ライフサイクル,E/E/PE 系及びソフトウェア安全ライフサイクルで実施する各フェーズに

関する情報を,十分に包括するように文書化しなければならない。それは当該フェーズに引き続くフェー

ズ,及び実施したフェーズの適合確認業務に必要である。

注記  十分な情報は,幾つかの要因によって構成される。それらには,E/E/PE 安全関連系の複雑度,

規模及び適用に関わる要求事項を含む。

5.2.2

機能安全の管理に必要な情報を漏れなく含むように,文書化しなければならない(箇条 参照)

注記  5.1.2 の注記 1∼注記 を参照。

5.2.3

機能安全評価の実施に必要な情報,並びに全ての機能安全評価から得られる情報及び結果を含むよ

うに文書化しなければならない。

注記  5.1.2 の注記 1∼注記 を参照。

5.2.4

正当性が述べられない限り,この規格群の規定に従って文書化されなければならない。又は,関連

する適用分野の製品規格などに規定されるように文書化しなくてはならない。

5.2.5

この規格群の箇条を履行しなければならない責務者に対して,十分な文書化の機会を設けなければ

ならない。

注記  各関係者は,この規格群が要求する特定の業務を実施するときに必要な情報を保存する必要が

ある。

5.2.6

次の事項に留意して文書化を行わなければならない。

−  正確で要領を得ている。

−  使用者が容易に理解できる。

−  意図した目的に合致している。

−  入手が容易で保全しやすい。

5.2.7

文書又は情報集には,この規格群が要求する情報を直ちに入手できるように,内容の範囲を示す表

題又は名称,及び何らかの見出し票を付けなければならない。

5.2.8

企業での文書化方式,及び,各製品又は適用分野での実務方式を考慮して文書化を構成してもよい。

5.2.9

文書の改訂版が識別できるように,文書又は情報集には,改訂番号を付けなければならない。

5.2.10

文書又は情報集は,関連情報の検索ができるように構成しなければならない。また,文書又は情報

集の最新の改訂番号の識別が可能でなければならない。

注記  文書の具体的な構成は,システムの規模,複雑度,組織からの要求事項など複数の要素によっ

て変化する。

5.2.11

全ての関連する文書を,適切な文書管理計画に基づき,校閲,訂正,審査及び承認しなければなら

ない。

注記  文書の作成に自動又は半自動化された手段を使用する場合,文書改訂などの文書管理の方法に

対する効果的措置を保証するために,手順を決めておく必要がある。


8

C 0508-1

:2012 (IEC 61508-1:2010)

   

機能安全の管理 

6.1 

目的 

6.1.1

この箇条の要求事項は,E/E/PE 安全関連系又は全 E/E/PE 系及びソフトウェア安全ライフサイクル

の一つ以上のフェーズに対して機能安全管理における責務を規定することを第一の目的とする。

6.1.2

この箇条の要求事項は,機能安全管理において,それぞれ責務をもつ人員が遂行しなければならな

い業務を規定することを第二の目的とする。

注記  この箇条で扱う組織上の措置は,技術上の要求事項の効果的な実施を目標とし,E/E/PE 安全関

連系,要素及び構成部品に要求される機能安全の達成及び保全の目的に限定している。機能安

全を維持するために必要な技術的要求事項は,E/E/PE 安全関連系及びその要素並びに構成部品

の供給者が提供する情報の一部として規定している。

6.2 

要求事項 

6.2.1 E/E/PE

安全関連系,又は全 E/E/PE 系若しくはソフトウェア安全ライフサイクルに責務をもつ組織

は,次の事項に全責務をもつ一人以上の個人を割り付けなければならない。

−  システム及びそのライフサイクルフェーズ

−  これらのフェーズで実施しなければならない安全関連業務の調整

−  これらのフェーズと,他の組織によって実施する他のフェーズとの間のインタフェース

−  6.2.26.2.11 及び 6.2.13 の要求事項の実施

−  機能安全評価[6.2.12 b)及び箇条 8]の調整。特に,機能安全評価の実施者がフェーズによって異なる

場合は,コミュニケーション,計画及び文書,判断及び勧告の統合を含む。

−  この規格群の目的及び要求事項に従って,機能安全が確実に達成及び実証されるようにする。

注記  安全関連業務又は安全ライフサイクルのフェーズに対する責任は,特に,関連する専門知識

をもつ人たちなど他の人員に委譲してもよく,異なる人員が異なる業務及び要求事項に対す

る責任をもつようにすることもできる。ただし,調整及び全安全機能に対する責任は,十分

な管理権限をもつ一人又は少人数の人員に与えることが望ましい。

6.2.2

機能安全を達成するための方針及び戦略は,その達成の評価手段及びその組織内でのコミュニケー

ションの手段と併せて規定しなければならない。

6.2.3

該当する全 E/E/PE 系又はソフトウェア安全ライフサイクルのフェーズにおける業務に責任をもつ

全ての人員,部局及び組織(適合確認及び機能安全評価に責任をもつ人員,並びに該当する場合は許認可

当局又は安全監督機関)を特定して,その責任を完全かつ明瞭に,これらの人員,部局及び組織に伝達し

なければならない。

6.2.4

手順を作成して,関連する当事者間でどのような情報を伝達し合わなければならないか,また,そ

の伝達をどのように行わなければならないかを明確に定めなければならない。

注記  文書要求事項については,箇条 を参照。

6.2.5 E/E/PE

安全関連系に関する勧告の速やかなフォローアップ及び満足できる解決が,次に起因する

ものを含めて確実にできるようにしなければならない。

a)

潜在危険及びリスク解析(7.4 参照)

b)

機能安全評価(箇条 参照)

c)

適合確認業務(7.18 参照)

d)

妥当性確認業務(7.8 及び 7.14 参照)

e)

変更管理(6.2.107.16IEC 61508-2 及び IEC 61508-3 参照)


9

C 0508-1

:2012 (IEC 61508-1:2010)

f)

インシデント報告及び解析(6.2.6 参照)

6.2.6

手順を作成して,検出された全ての危険事象が確実に解析され,かつ,繰返し発生の確率を最小限

にするための勧告が確実になされるようにしなければならない。

6.2.7

次のものも含め,定期的な機能安全監査に関する要求事項を規定しなければならない。

a)

機能安全監査の頻度

b)

監査を実施する人員の独立性の水準

c)

必要な文書及びフォローアップ業務

6.2.8

次のための手順を作成しなければならない。

a) E/E/PE

安全関連系に対する部分改修への着手(7.16.2.2 参照)

b)

部分改修のための承認及び権限の取得

6.2.9

手順を作成して,潜在危険及び危険事象,並びに安全機能及び E/E/PE 安全関連系に関する正確な

情報を維持しなければならない。

6.2.10

手順を作成して,全 E/E/PE 系及びソフトウェア安全ライフサイクルの各フェーズを通じて,特に

次の項目を含め,E/E/PE 安全関連系の構成管理に備えなければならない。

a)

特定のフェーズに関連して,正式な構成管理を実施しなくてはならない時点

b)

一つの項目(ハードウェア及びソフトウェア)の全ての構成部品を一意に識別するための手順

c)

承認されていない項目が使用されることを防止するための手順

6.2.11

適宜,緊急時のための教育訓練及び情報を提供しなければならない。

6.2.12

全ての E/E/PE 安全関連系又はソフトウェア安全ライフサイクルの,一つ以上のフェーズに責任を

もつ個人は,自らが責任をもつこれらのフェーズに関して,かつ,6.2.16.2.11 に規定する手順に従って,

E/E/PE

系の機能安全を確実に達成,実証及び維持するために必要な管理及び技術業務について,次の事項

を含めて規定しなければならない。

a)

規定された箇条又は細分箇条(IEC 61508-2IEC 61508-3 及び IEC 61508-6 参照)の要求事項を満た

すために選択した措置及び技法

b)

機能安全評価業務,及び機能安全評価の実施者に対して機能安全の達成を実証する方法(箇条 参照)

注記  次の事項を明確に指定するため,機能安全評価のための適切な手順を使用することが望まし

い。

−  適切な独立性の水準をもった,適切な組織又は一人若しくは複数の人員の選定

−  機能安全評価のための,委任事項の立案及びその変更

−  あるシステムのライフサイクルを通じた任意の時点における,機能安全評価を実施する

人員の交代

−  機能安全評価を実施する人員を巻き込んだ争議の解決

c)

特に,次の事項に関する運用及び保全機能を解析するための手順

−  再発フォールトを検出する定期保全中に使用する手順を含めて,機能安全を脅かしかねない決定論

的原因フォールトを認識するための手順

−  運用中及び保全中の要求確率及び故障率が,安全関連系の設計中になされた仮定のとおりかどうか

を評価する手順

6.2.13  6.2.1

及び 6.2.3 に従って指定した責任をもつ全ての人員(すなわち,適合確認,機能安全及び機能

安全評価の管理のための業務を含めて,全 E/E/PE 系又はソフトウェア安全ライフサイクルの業務に関わる

全ての人員を含む。

)は,自らが実施しなくてはならない特定の職務に関して十分な力量(すなわち,教育


10

C 0508-1

:2012 (IEC 61508-1:2010)

   

訓練,技術知識,経験及び資格)をもつことが確認できる手順を作成しなければならない。このような手

順には,力量の活性化,更新及び継続的評価に関する要求事項を含まなければならない。

6.2.14

力量の適切さは,次の事項を含む全ての関連要因を考慮して,個別のアプリケーションに関連付け

て検討しなければならない。

a)

当該人員の責任

b)

要求されている監督の水準

c) E/E/PE

安全関連系の機能の失敗時に起こり得る結果:この結果の重大性が大きい場合,力量の要求事

項をより厳しくしなければならない。

d) E/E/PE

安全関連系の安全度水準:安全度水準が高ければ,力量の規定をより厳しくしなければならな

い。

e)

設計,設計手順又はアプリケーションの新規性:新規性が高いか又は実証されていなければ,力量の

規定をより厳しくしなければならない。

f)

これまでの経験,実施しなければならない特定の職務と採用技術との関連性:この要求力量が高けれ

ば,これまでの経験から育成された力量と,実施しなくてはならない特定の業務に求められる力量と

の関係は,より緊密度の高いものでなければならない。

g)

状況に応じた適切な力量のタイプ(例えば,資格,経験,関連の教育訓練及びそれに続く実習,リー

ダシップ並びに意思決定能力)

h)

適用分野及び技術にとって適切な工学の知識

i)

技術に対する適切な安全工学の知識

j)

法令及び安全規制の枠組みについての知識

k)

実施しなくてはならない特定の業務に対する資格の妥当性

注記  Managing Competence for Safety-Related Systems(参考文献 [8])は,E/E/PE 安全関連系におけ

る力量を管理する方法の用例を記載している。

6.2.15  6.2.1

及び 6.2.3 に従って定義した責任をもつ全ての人員の力量について,文書化しなければならな

い。

6.2.16  6.2.2

6.2.15 の結果として規定された業務を実施し,監視しなければならない。

6.2.17

全 E/E/PE 系又はソフトウェア安全ライフサイクルのフェーズに責務をもつ組織(6.2.1 参照)に,

製品又はサービスを提供する供給業者は,当該組織が規定するような製品又はサービスを提供しなければ

ならない。また,適切な品質マネジメントシステムをもたなければならない。

6.2.18

機能安全の管理に関する業務は,全 E/E/PE 系又はソフトウェア安全ライフサイクルの関連フェー

ズに適用しなければならない(7.1.1.5 参照)

全安全ライフサイクル要求事項 

7.1 

一般 

7.1.1 

概要 

7.1.1.1

この規格群では,E/E/PE 安全関連系が果たす安全機能に要求される安全度の達成に必要な全ての

業務を系統的方法で取り扱うための技術的な枠組みとして,全安全ライフサイクルを用いる(

図 参照)。

注記  全安全ライフサイクルは,この規格群への適合を主張するための基盤として用いるが,この規

格群の各箇条での目的及び要求事項への適合を条件として,

図 と異なる全安全ライフサイク

ルを使用することができる。


11

C 0508-1

:2012 (IEC 61508-1:2010)

7.1.1.2

この全安全ライフサイクルは,許容されるリスクに合わせるための次の手法を包含する。

− E/E/PE 安全関連系

−  他リスク軽減措置

7.1.1.3

全安全ライフサイクルの E/E/PE 安全関連系を実現するフェーズは,

図 に示すように展開する。

この規格(

第 部)は,E/E/PE 系安全ライフサイクルと呼ばれ,この規格群の第 部の技術的な枠組みを

形成している。ソフトウェア安全ライフサイクルを,

図 に示す。これは,この規格群の第 部の技術的

な枠組みを形成している。安全関連系に関連した E/E/PE 系安全ライフサイクルとソフトウェア安全ライフ

サイクルとの関係を

図 に示す。

7.1.1.4

全安全ライフサイクル,E/E/PE 系安全ライフサイクル及びソフトウェア安全ライフサイクル(

2

図 4)は,現実を単純化して組み立てており,そのために,特定のフェーズ又はフェーズ間の反復過程

の全ては明示していない。ただし,反復過程は,安全ライフサイクルを通じて本質的で,かつ,重要な部

分となる。

7.1.1.5

機能安全の管理(箇条 参照)

,適合確認(7.18 参照)及び機能安全評価に関する業務は,全安

全ライフサイクル,E/E/PE 系安全ライフサイクル又はソフトウェア安全ライフサイクルのいずれの図にも

示していない。これは,それらの安全ライフサイクル図の複雑化を避けるためである。それらの業務は,

必要に応じて,関連する全安全ライフサイクル,E/E/PE 系安全ライフサイクル又はソフトウェア安全ライ

フサイクルのいずれのフェーズに対しても用いる。


12

C 0508-1

:2012 (IEC 61508-1:2010)

   

注記 1  “適合確認”,“機能安全の管理”及び“機能安全評価”に関連する業務は,煩雑さを防ぐために図中に記載

していないが,全安全ライフサイクル,E/E/PE 系安全ライフサイクル及びソフトウェア安全ライフサイクル
の全てのフェーズに関連する。

注記 2  ボックス 11 は,この規格群の対象外である。 
注記 3  この規格群の第 部及び第 部では,ボックス 10 の“実現”を取り扱っているが,ボックス 13,ボックス

14

及びボックス 15 のプログラマブル電子系(ハードウェア及びソフトウェア)を取り扱うこともある。

注記 4  各ボックスが表しているフェーズの目的及び対象範囲の説明については,表 を参照する。 
注記 5  “全運用,保全及び修理”,“全部分改修及び改造”,又は“使用終了又は廃却”に関して必要な技術要求事項

は,E/E/PE 安全関連系並びにその要素及び部品の供給業者が提供する情報の一部として規定している。

図 2−全安全ライフサイクル 

1

概念

2

全対象範囲の定義

潜在危険及びリスク解析

全安全要求事項

全安全要求事項の

割当て

全体計画

全運用

及び

保全計画

全安全 
妥当性

確認計画

全設置

及び

引渡し計画

E/E/PE

系安全要求仕様

10

E/E/PE

安全関連系

実現

(E/E/PE 系安全ライフサ

イクルを参照)

12

全設置及び引渡し

13

全安全妥当性確認

14

全運用,保全及び修理

16

使用終了又は廃却

15 

全部分改修

及び改造

11 

他リスク軽減措置

仕様及び実現

適切な全安全

ライフサイクルフェーズ

に戻る


13

C 0508-1

:2012 (IEC 61508-1:2010)

注記  この図は,全安全ライフサイクルの実現フェーズ内にある E/E/PE 系の安全ライフサイクルのフェーズだけを示

している。完全な E/E/PE 系の安全ライフサイクルは,全安全ライフサイクル以降のフェーズについて,E/E/PE

安全関連系に定義している項目も含むことになる(

図 のボックス 12∼16)。

図 3E/E/PE 系安全ライフサイクル(実現フェーズ) 

注記  この図は,全安全ライフサイクルの実現フェーズ内にあるソフトウェアの安全ライフサイクルのフェーズだけ

を示している。完全なソフトウェアの安全ライフサイクルは,全安全ライフサイクル以降のフェーズについて,

E/E/PE

安全関連系のソフトウェアに定義してる項目も含むことになる(

図 のボックス 12∼16)。

図 4−ソフトウェア安全ライフサイクル(実現フェーズ) 

E/E/PE

安全ライフサイクル

(

3参照)

10.1

ソフトウェア 
安全要求仕様

10.3

ソフトウェアの設計

及び開発

ソフトウェア安全ライフサイクル(実現フェーズ)

10.2 

ソフトウェアの決定
論的原因安全の側面
に対する妥当性確認

計画

10.4

PE

統合(ハードウェア

及びソフトウェア)

10.6

ソフトウェアの

決定論的原因安全の

側面の妥当性確認

図 のボックス 12 へ

図 のボックス 14 へ

10.5 

ソフトウェアの運用

及び保全の手順

10.5 

E/E/PE

系の設置,

引渡し,

運用及び保全の手順

10.1

E/E/PE

系設計

要求仕様

10.3

E/E/PE

系の設計及び

開発,ASIC及び

ソフトウェアを含む

(IEC 61508-2

及び

IEC 61508-3

も参照)

E/E/PE

系安全ライフサイクル(実現フェーズ) 

10.2 

E/E/PE

系安全妥当性

確認計画

10.4

E/E/PE

系統合

10.6

E/E/PE

安全妥当性確認

図 のボックス 12 へ

図 のボックス 14 へ

10 

E/E/PE

安全関連系

実現

(E/E/PE 系安全ライフ

サイクルを参照)

各 E/E/PE 安全

関連系に対して

一つの E/E/PE 安全

ライフサイクル

図 のボックス 10


14

C 0508-1

:2012 (IEC 61508-1:2010)

   

図 5E/E/PE 系及びソフトウェア安全ライフサイクルに対する 

全安全ライフサイクルの関係 

7.1.2 

目的及び要求事項:一般 

7.1.2.1

全安全ライフサイクルフェーズに関する目的及び要求事項は,7.27.17 による。E/E/PE 系安全

ライフサイクル及びソフトウェア安全ライフサイクルフェーズに対する目的及び要求事項を,この規格群

第 部及び第 部に規定する。

注記  7.27.17 は,図 の各々のボックス(フェーズ)に関連付けられる。これを各細分箇条の注記

に示す。

7.1.2.2

全安全ライフサイクルの全てのフェーズに対して,

表 は次の事項を示す。

−  達成されなければならない目的

−  フェーズの範囲

−  要求事項を規定する細分箇条の番号

−  フェーズに要求される引継ぎ事項

−  要求事項に従って要求される引渡し事項

10 

E/E/PE

安全関連系

実現

全安全ライフサイクルの 

ボックス10 (

2参照)

E/E/PE

安全ライフサイクル

(

3参照)

ソフトウェア

安全ライフサイクル

(

図 参照)


15

C 0508-1

:2012 (IEC 61508-1:2010)

表 1−全安全ライフサイクル:概要 

安全ライフサイクル

フェーズ

目的

範囲

要求事項
の細分箇

引継ぎ事項

引渡し事項

ボックス番号

図 2

表題

1

概念

7.2.1 

他の安全ライフサイク
ル業務が十分に実行で

きるように被制御機器
(以下,EUC)及びその
環境(物理的,法的など)

を一定水準まで理解す
る。

EUC

及びその環

境。

7.2.2 

下 位 箇 条 に
適 合 す る た
め に 必 要 な

関 連 す る 全
情報。

EUC

に関す

る 情 報 並 び
に そ の 環 境

及 び 潜 在 危
険。

2

全 対 象 範
囲の定義

7.3.1 

EUC

と EUC 制御系との

境界を明確化する。潜在

危険及びリスク解析(プ
ロセス潜在危険,環境潜
在危険など)の範囲を指

定する。

EUC

及びその環

境。

7.3.2 

EUC

に関す

る 情 報 並 び
に そ の 環 境

及 び 潜 在 危
険。

潜 在 危 険 及
び リ ス ク 解
析 の 定 義 し

た範囲。

3

潜 在 危 険

及 び リ ス
ク解析

7.4.1 

フォールト状態又は合
理的に予見可能な誤使
用を含む全ての合理的

な予見可能状況で,EUC
及び EUC 制御系の潜在
危険,危険状態及び危険

事象を全ての運転モー
ドで明確化する。危険事
象に導く事象連鎖を明

らかにする。危険事象に
関連する EUC リスクを
明らかにする。

範 囲 は 全 E/E/PE

系 及 び ソ フ ト ウ
ェ ア 安 全 ラ イ フ
サ イ ク ル に 関 わ

る フ ェ ー ズ に 依
存 す る こ と も あ
る(2 回以上の潜

在 危 険 及 び リ ス
ク 解 析 を 実 施 す
る 必 要 が あ る た

め)。予備的な潜
在 危 険 及 び リ ス
ク解析では,範囲

は 定 義 さ れ た 全
適 応 範 囲 の 出 力
に よ っ て 規 定 す

る。

7.4.2 

潜 在 危 険 及

び リ ス ク 解
析 で 定 義 さ
れ た 適 応 範

囲。

潜 在 危 険 及

び リ ス ク 解
析 の 記 述 及
び関連情報。

4

全 安 全 要
求事項

7.5.1 

必要な機能安全を達成

するために,E/E/PE 安全
関連系,他リスク軽減措
置に対して,全ての安全

機能及び安全度要求事
項に関わる仕様を展開
する。

定 義 さ れ た 全 適
応 範 囲 の 出 力 に

よって規定する。

7.5.2 

潜 在 危 険 及
び リ ス ク 解

析 の 記 述 及
び関連情報。

安 全 機 能 及
び 安 全 度 要

求 事 項 を 用
い た 全 安 全
要求仕様。


16

C 0508-1

:2012 (IEC 61508-1:2010)

   

表 1−全安全ライフサイクル:概要(続き) 

安全ライフサイクルフェ

ーズ

目的 

範囲

要求事項
の細分箇

 

引継ぎ事項

引渡し事項

ボックス番号

図 2

表題

5

全 安 全 要
求 事 項 の
割当て

7.6.1 

当該 E/E/PE 安全関連系,
他リスク軽減措置に対

して全安全要求仕様(安
全機能及び安全度要求
事項)に含まれる安全機

能を割り当てる。E/E/PE
安全関連系によって実
施される各安全機能に

安全度水準を割り当て
る。

定 義 さ れ た 全 適
応 範 囲 の 出 力 に
よって規定する。

7.6.2 

安 全 機 能 及
び 安 全 度 要
求 事 項 を 用

い た 全 安 全
要求仕様。

全 安 全 機 能
の割当て,そ
の 目 標 機 能

失 敗 尺 度 及
び こ れ に 伴
う 安 全 度 水

準 に 関 す る
情報。

EUC

の耐用

年 数 全 体 に
わ た っ て 管
理 が 必 要 な

他 リ ス ク 軽
減 措 置 に 関
す る 仮 定 事

項(7.6.2.3 
照)

6

全 運 用 及
び 保 全 計

7.7.1 

E/E/PE

安全関連系の運

用及び保全の間必要な

機能安全の維持を保証
する目的で運用及び保
全の計画を作成する。

EUC

,EUC 制御系

及 び ヒ ュ ー マ ン
ファクタ。

E/E/PE

安 全 関 連

系。

7.7.2 

全 安 全 機 能
の割当て,そ
の 目 標 機 能

失 敗 尺 度 及
び こ れ に 伴
う 安 全 度 水

準 に 関 す る
情報。

EUC

の耐用

年 数 全 体 に
わ た っ て 管
理 が 必 要 な

他 リ ス ク 軽
減 措 置 に 関
す る 仮 定 事

項(7.6.2.3 
照)

E/E/PE

安 全

関 連 系 を 運
用 及 び 保 全

す る た め の
計画。

7

全 安 全 妥
当 性 確 認
計画

7.8.1 

E/E/PE

安全関連系の全

安全妥当性確認を行う

計画を作成する。

EUC

,EUC 制御系

及 び ヒ ュ ー マ ン
ファクタ。

E/E/PE

安 全 関 連

系。

7.8.2 

全 安 全 要 求
事 項 の 割 当
て に 関 す る

情 報 及 び 結
果。

E/E/PE

安 全

関 連 系 の 全
安 全 妥 当 性

確 認 を 行 う
ための計画。


17

C 0508-1

:2012 (IEC 61508-1:2010)

表 1−全安全ライフサイクル:概要(続き) 

安全ライフサイクルフェ

ーズ

目的

範囲

要求事項
の細分箇

引継ぎ事項

引渡し事項

ボックス番号

図 2

表題

8

全 設 置 及
び 引 渡 し
計画

7.9.1 

要求される機能安全が
達成できるよう,統御さ

れた方法で E/E/PE 安全
関連系を設置するため
の計画を作成する。要求

される機能安全が達成
できるよう,統御された
方法で E/E/PE 安全関連

系を引き渡すための計
画を作成する。

EUC

,EUC 制御系

及 び ヒ ュ ー マ ン
ファクタ。

E/E/PE

安 全 関 連

系。

7.9.2 

全 安 全 要 求
事 項 の 割 当
て に 関 す る

情 報 及 び 結
果。

E/E/PE

安 全

関 連 系 の 設
置計画,及び

E/E/PE

安 全

関 連 系 の 引
渡し計画。

9 E/E/PE

安全要求
仕様

7.10.1 

E/E/PE

安全機能要求仕

様及び安全度要求事項

の観点から,要求される
機能安全を達成できる
ように E/E/PE 安全関連

系の安全要求事項を定
義する。

E/E/PE

安 全 関 連

系。

7.10.2 

全 安 全 要 求
事 項 の 割 当
て に 関 す る

情 報 及 び 結
果。

E/E/PE

安 全

関 連 系 の 安
全要求仕様。

10 E/E/PE

安 全 関 連
系:実現

7.11.1

この規格群の

第 部及び

第 部 
E/E/PE

安全関連系の安

全要求事項に適合する

E/E/PE

安全関連系の生

成(E/E/PE 機能要求事項
仕様及び安全度要求事
項仕様から成る)

E/E/PE

安 全 関 連

系。

7.11.2

この規格
群の

第 2

部及び第
3

E/E/PE

系 安

全 要 求 事 項
に 関 わ る 仕

様。

安 全 要 求 事
項 に 適 合 す
る各々の

E/E/PE

安 全

関 連 系 の 実
現。

11

他 リ ス ク
軽減措置

:仕様及び

実現

7.12.1 

安全機能要求及び安全
度要求事項に適合する,

他リスク軽減措置の生
成(この規格群の適用範
囲外)

他 リ ス ク 軽 減 措
置。

7.12.2 

他 リ ス ク 軽
減 措 置 の 全
安 全 要 求 仕

様(この規格
群 の 適 用 範
囲外。

そ の 施 策 に
対 す る 安 全
要 求 事 項 に

よる,各々の
他 リ ス ク 軽
減 措 置 の 実

現。

12

全 設 置 及

び引渡し

7.13.1 

E/E/PE

安全関連系を設

置する。

E/E/PE

安全関連系を引

き渡す。

EUC

及び EUC 制

御系。

E/E/PE

安 全 関 連

系。

7.13.2 

E/E/PE

安 全

関 連 系 の 設
置 計 画 ,

E/E/PE

安 全

関 連 系 の 引
渡し計画。

万 全 に 設 置

された

E/E/PE

安 全

関連系。

E/E/PE

安 全

関 連 系 の 万
全な引渡し。


18

C 0508-1

:2012 (IEC 61508-1:2010)

   

表 1−全安全ライフサイクル:概要(続き) 

安全ライフサイクルフェ

ーズ

目的

範囲

要求事項
の細分箇

引継ぎ事項

引渡し事項

ボックス番号

図 2

表題

13

全 安 全 妥
当性確認

7.14.1 

7.6

に従って展開された

E/E/PE

安全関連系に対す

る安全要求事項の割当て
を計算に入れて,全安全
機能要求事項及び全安全

度要求事項の形式による
全安全要求仕様に,当該

E/E/PE

安全関連系が適合

し て い る こ と を 確 認 す
る。

EUC

及び EUC 制

御系。

E/E/PE

安 全 関 連

系。

7.14.2 

E/E/PE

安 全

関連系の全安
全妥当性確認

計画。 
全安全機能要
求事項の割当

ての情報及び
結果。

E/E/PE

安 全

関連系に対す
る安全要求事

項の割当てを
計 算 に 入 れ
て,総合的な

安全要求仕様
に,全 E/E/PE
安全関連系が

適合している
ことの確認。

14

全運用,保
全 及 び 修

7.15.1 

E/E/PE

安全関連系の機能

安全を規定の水準に確実

に保つ。

E/E/EP

安全関連系の運

用,保全及び修理に必要

と さ れ る 技 術 要 求 が ,

E/E/PE

安全関連系の将来

的な保守運用責任者に確

実に提供される。

EUC

及び EUC 制

御系。

E/E/PE

安 全 関 連

系。

7.15.2 

E/E/PE

安 全

関連系に対す
る全運用及び

保全計画。

E/E/PE

安 全

関連系に要求
される機能安

全の継続的達
成。

E/E/PE

安 全

関 連 系 の 運
用,修理及び
保全の経時的

な記録。

15

全 部 分 改

修 及 び 改

7.16.1 

部分改修及び改造が行わ
れている間とその後で,

E/E/PE

安全関連系に関わ

る機能安全が適切である
ことを確実にするために
必要な手順を定義する。

EUC

及び EUC 制

御系。

E/E/PE

安 全 関 連

系。

7.16.2 

機能安全管理

のための手順
の下での改修
及び改造に関

わる要請。

改修及び改造

が行われてい
る間とその後
での,E/E/PE

安全関連系に
要求される機
能 安 全 の 達

成,E/E/PE 安
全関連系の運
用,修理及び

保全の経時的
な記録。

16

使 用 終 了

又は廃却

7.17.1 

EUC

の使用終了又は廃

却 の 間 と そ の 後 で ,

E/E/PE

安全関連系の機能

安全が適切であることを
確実にするために必要な
手順を定義する。

EUC

及び EUC 制

御系。

E/E/PE

安 全 関 連

系。

7.17.2 

機能安全管理

のための手順
の下での廃却
に 関 わ る 要

請。

EUC

の 使 用

終了又は廃却
の間とその後
での,E/E/PE

安全関連系に
要求される機
能 安 全 の 達

成,使用終了
又は廃却の経
時的な記録。


19

C 0508-1

:2012 (IEC 61508-1:2010)

7.1.3 

目的 

7.1.3.1

この細分箇条の要求事項は,E/E/PE 安全関連系に要求される機能安全の達成に必要であるとみな

される全安全ライフサイクルでのフェーズを,系統的な方法で構成することを第一の目的とする。

7.1.3.2

この細分箇条の要求事項は,全安全ライフサイクルを通じて E/E/PE 安全関連系についての重要

な情報を記録することを第二の目的とする。

注記  箇条 及び文書化例に関わる附属書 参照。文書化構成は,各企業の手順,個々の製品及び適

用分野での実作業を考慮してもよい。

7.1.4 

要求事項 

7.1.4.1

この規格群に適合するために用いられなければならない全安全ライフサイクルは,

図 に規定す

るものである。他の全安全ライフサイクルを用いる場合,その全安全ライフサイクルは機能安全管理業務

(箇条 参照)の一部として定め,この規格群の各々の箇条又は細分箇条の目的及び要求事項に適合しな

ければならない。

注記  適合するために用いなければならない E/E/PE 系安全ライフサイクル及びソフトウェア安全ラ

イフサイクル(これらは全安全ライフサイクルの実現フェーズである。

)の各部分は,この規格

群の

第 部及び第 部にそれぞれ規定されている。

7.1.4.2

機能安全の管理に関する要求事項(箇条 参照)は,全安全ライフサイクルフェーズと並行して

実施しなければならない。

7.1.4.3

正当な理由がない限り,全安全ライフサイクルの各フェーズを適用し,かつ,要求事項に適合し

なければならない。

7.1.4.4

全安全ライフサイクルの各フェーズは,それら各々に対して適切に指定した適用範囲,引継ぎ事

項及び引渡し事項に関わる基本的な業務として分割しなければならない。

7.1.4.5

全安全ライフサイクルの各フェーズの適用範囲及び引継ぎ事項は,機能安全管理業務(箇条 

照)で正当化される場合,又は適用分野の製品規格などに規定されている場合を除いて,

表 による。

7.1.4.6

全安全ライフサイクルの各フェーズからの引渡し事項は,機能安全管理業務(箇条 参照)で正

当化される場合,又は適用分野の製品規格などに規定されている場合を除いて,

表 による。

7.1.4.7

全安全ライフサイクルの各フェーズからの引渡し事項は,各フェーズの目的及び要求事項に適合

しなければならない(7.27.17 参照)

7.1.4.8

全安全ライフサイクルの各フェーズの適合確認の要求事項は,7.18 による。

7.2

概念

注記  このフェーズは,図 のボックス 1 に該当する。

7.2.1 

目的 

この細分箇条の要求事項は,他の安全ライフサイクル業務が十分に実施できるよう,EUC 及びそれが置

かれる物理的環境,法的環境などの一定水準の理解を図ることを目的とする。

7.2.2 

要求事項 

7.2.2.1

当該 EUC 及びその制御系と物理的環境に関して精通しなければならない。

7.2.2.2

潜在危険,危険状態及び危害事象の原因と考えられるものは,明確化しなければならない。

7.2.2.3

同定された潜在危険に関する情報を得なければならない(例えば,期間,程度,毒性,さらされ

る限界,機械的な力,爆発の条件,腐食性,反応性,可燃性)

7.2.2.4

現行の(国内及び国際上の)安全規則に関する情報を得なければならない。


20

C 0508-1

:2012 (IEC 61508-1:2010)

   

7.2.2.5

当該 EUC 及びその他の装置又はシステム(設置又は設置予定の)との干渉から生じる潜在危険,

危険状態及び危害事象も考慮しなければならない。

7.2.2.6

7.2.2.1

7.2.2.5 で得られた情報及び結果を文書化しなければならない。

7.3 

全対象範囲の定義 

注記  このフェーズは,図 のボックス 2 に該当する。

7.3.1 

目的 

7.3.1.1

この細分箇条での要求事項は,

EUC

及び EUC 制御系の範囲を決定することを第一の目的とする。

7.3.1.2

この細分箇条での要求事項は,潜在危険及びリスク解析の範囲を定義することを第二の目的とす

る(例えば,プロセス潜在危険,環境潜在危険など)

7.3.2 

要求事項 

7.3.2.1 EUC

と EUC 制御系との境界は,関連の潜在危険及び危険事象に付随する全ての機器及びシステ

ム(適宜,人を含む。

)を含めるよう定めなければならない。

注記  全対象範囲の定義と潜在危険及びリスク解析とのフェーズ間では,何回かのフェーズ移行の繰

り返しが必要となることがある。

7.3.2.2

潜在危険及びリスク解析の範囲に含む物理機器を EUC 及び EUC 制御系を含めて定めなければな

らない。

注記  IEC 60300-3-1(参考文献 [9])及び JIS C 5750-3-1(参考文献[10])を参照。

7.3.2.3

潜在危険及びリスク解析で考慮しなければならない外的事象を定めなければならない。

7.3.2.4

潜在危険及び危険事象に関係する,機器及びシステムを定めなければならない。

7.3.2.5

検討が必要な初期事象のタイプ[例えば,部品の故障,手順の誤り,人的過誤(ヒューマンエラ

ー)

,事故の連鎖を引き起こす共通原因故障の発生メカニズム]を定めなければならない。

7.3.2.6

7.3.2.1

7.3.2.5 によって得られた情報及び結果を文書化しなければならない。

7.4 

潜在危険及びリスク解析 

注記  このフェーズは,図 のボックス 3 に該当する。

7.4.1 

目的 

7.4.1.1

この細分箇条での要求事項は,フォールト及び合理的に予見可能な誤使用を含む全ての合理的な

予見可能状況(JIS C 0508-4 の 3.1.14 参照)に対して,当該 EUC 及びその制御系の全ての運転モードにお

いて生じる潜在危険,危険状態及び危険事象を明らかにすることを第一の目的とする。

7.4.1.2

この細分箇条の要求事項は,7.4.1.1 で決定した危険事象に結び付く事象連鎖を明らかにすること

を第二の目的とする。

7.4.1.3

この細分箇条の要求事項は,7.4.1.1 で決定した危険事象による当該 EUC リスクを明らかにする

ことを第三の目的とする。

注記 1  この細分箇条は,E/E/PE 安全関連系に対する安全要求事項を系統的なリスク規範の方法論に

基づいて行うために必要である。EUC 及び EUC 制御系の検討なしでは安全要求事項の決定

は,実行不可能である。

注記 2  危険事象に関連するリスクについて妥当な仮定を置ける適用産業分野では,この細分箇条(及

び 7.5)で要求する解析をこの規格群に従って展開した適用分野規格に基づいて行ってもよい。

また,単純化された図表による要求事項を用いてもよい(IEC 61508-5 

附属書 及び附属

書 参照)。


21

C 0508-1

:2012 (IEC 61508-1:2010)

7.4.2 

要求事項 

7.4.2.1

潜在危険及びリスク解析は,全対象範囲の定義のフェーズ(7.3 参照)からの情報を考慮して着

手しなければならない。全安全ライフサイクル,E/E/PE 系安全ライフサイクル又はソフトウェア安全ライ

フサイクルのある段階での決定が試され,その決定によってそれ以前の決定条件が変わる場合,追加の潜

在危険及びリスク解析を実施しなければならない。

注記 1  詳細として,IEC 60300-3-1(参考文献 [9])及び JIS C 5750-3-1(参考文献[10])を参照。

注記 2  全安全ライフサイクルに踏み込んで潜在危険及びリスク解析を持続しなければならない事例

として,

安全関連バルブをもつ EUC の解析を示す。高水準の潜在危険及びリスク解析から“弁

が閉じない”と“弁が開かない”という二つの異常事象連鎖が決定される。しかし,制御系

がバルブを制御する詳細な仕組みを解析すると,新しい故障モード“弁が開閉を繰り返す”

が発見される。これは,危険事象を導く新しい事象連鎖となる場合がある。

7.4.2.2

潜在危険の除去又は軽減を考慮しなければならない。

注記  この規格群の範囲外ではあるが,EUC で特定された潜在危険を,例えば,本質的な安全の原理

及び良心的な工学的実施法の適用によって,根源で除去することは最も重要である。

7.4.2.3 EUC

及びその制御系に生じる潜在危険,危険事象及び危険状態(フォールトの諸状態,合理的に

予見可能な誤使用,及び悪意をもった又は権限をもたない行為を含む。

)を,全ての合理的に予見可能な状

況下で明らかにしなければならない。これには,関連する全ての人的要因の問題点を包含しなければなら

ない。さらに,EUC のまれな異常モード運転にも特別な注意を払わなければならない。危険解析によって,

安全保障を脅かす要素となる悪意をもった,又は権限をもたない行為が,合理的に予見可能であると特定

される場合,安全保障への脅威の解析を実行しなければならない。

注記 1  “合理的に予見可能な誤使用”については,JIS C 0508-4 の 3.1.14 参照。

注記 2  人的要因の問題点の説明及び解析を含む,潜在危険の同定の解説としては,IEC 60300-3-9(参

考文献[11])を参照。

注記 3  セキュリティの分析の詳細としては,IEC 62443 シリーズを参照。

注記 4  悪意をもった行為又は不正な行為は,セキュリティの脅威となる。

注記 5  潜在危険及びリスク解析では,作動要求又は疑似作動要求による安全機能の起動が,更に新

たな潜在危険を招くかどうかも検討するのが望ましい。そのような状況では,その潜在危険

に対処するために新たな安全機能を開発することが必要となる。

7.4.2.4

7.4.2.3

において明らかにした危険事象に結び付く事象の発生順序を,

明確化しなければならない。

注記 1  安全方針及びリスクマネジメントの決定事項を考慮しながら事象発生順序を検討するのがよ

い。

注記 2  プロセス設計又は使用する機器の改修によって,何らかの事象発生順序を排除できるかどう

か検討するのがよい。

7.4.2.5

7.4.2.3

で規定した条件に関して,それらの危険事象の確からしさを査定しなければならない。

7.4.2.6

7.4.2.3

で明らかにされた危険事象に付随する結果を明確化しなければならない。

7.4.2.7

明らかにされた各危険事象に対して,EUC リスクを査定又は推定しなければならない。

7.4.2.8

7.4.2.1

7.4.2.7 の要求事項は,潜在危険及びリスク解析手法の定性的又は定量的な方法のどちら

かを適用できる(

第 部参照)。

7.4.2.9

当該手法の妥当性,及び当該手法をどの程度まで適用することが必要かは,次の事項を含む幾つ

かの要因に依存する。


22

C 0508-1

:2012 (IEC 61508-1:2010)

   

−  当該潜在危険及びその被害

− EUC 及び EUC 制御系の複雑さ

−  適用分野及びそこで受容される実践規範

−  関係法規及び安全規制の要求事項

−  当該 EUC リスク

−  潜在危険及びリスク解析に用いる正確なデータの利用の可能性

7.4.2.10

潜在危険及びリスク解析は,次の事項を含まなければならない。

−  各々の決定された危険事象及びそれに寄与する要素

−  各々の危険事象が関わる事象順序の結果とその発生の確からしさ

−  各々の危険事象に対して許容されるリスク

−  潜在危険及びリスクを減少又は除去するためにとる措置

−  推定された作動要求率,機器の故障率などリスク解析での仮定。運転制限又は人の侵入に対する信ぴ

ょう性を詳しく規定する。

7.4.2.11

潜在危険及びリスク解析を構成する情報及び結果を,文書化しなければならない。

7.4.2.12

潜在危険及びリスク解析を構成する情報及び結果を,当該 EUC 及びその制御系に対して,全安

全ライフサイクル,すなわち,潜在危険及びリスク解析から使用終了又は廃却フェーズまで保管しなけれ

ばならない。

注記  潜在危険及びリスク解析フェーズの結果から得られる情報の保管は,顕著な潜在危険及びリス

クの進行を追跡するための重要な手段である。

7.5

全安全要求事項

注記  このフェーズは,図 のボックス 4 に該当する。

7.5.1 

目的 

この細分箇条での要求事項は,必要な機能安全を達成するために,E/E/PE 安全関連系,及び他リスク軽

減措置に対して,全安全機能要求事項及び全安全度要求事項に関わる仕様の展開を目的とする。

注記  リスク,潜在危険,危害事象及びそれらによる被害について妥当な仮定を置くことのできる適

用産業分野では,この細分箇条に要求される解析を,この規格群を基に展開された適用分野規

格に基づいて行ってもよい。また,単純化した図表による要求事項を用いてもよい。そのよう

な方法を IEC 61508-5 

附属書 及び附属書 に示す。

7.5.2

要求事項

7.5.2.1

全ての必要な潜在危険及びリスク分析から導出された危険事象に基づいて安全機能の組合せを

開発しなければならない。これは全安全機能の要求事項に関する仕様を達成しなければならない。

注記 1  各危険事象に対して,一つの全安全機能を作り出す必要がある。

注記 2  全安全機能を遂行する方法及び技術が更に後のフェーズに至るまで判明しない場合,このフ

ェーズでは,実施しなければならない全安全機能の技術的細部までは指定しない。全安全要

求事項を割り当てる過程で(7.6 参照)

,実施上の指定した方法を反映するように,安全機能

の記述を修正することが必要になる。

例  容器Xの温度が 250  ℃を超えるのを防止すること,及び駆動部Yの速度が毎分 3 000 回転を超え

るのを防止することが,全安全機能の例である。

7.5.2.2

セキュリティ上の脅威が特定された場合は,セキュリティ要求事項を指定するためにぜい(脆)

弱性解析を行うことが望ましい。


23

C 0508-1

:2012 (IEC 61508-1:2010)

注記  ぜい弱性解析についての詳細については,IEC 62443 シリーズ参照。

7.5.2.3

それぞれの全安全機能に対して,許容リスクに適合するように,目標安全度要求事項を決定しな

ければならない。それぞれの要求事項は,定量的及び/又は定性的な方法で決定できる。これによって,

全安全度要求機能に関する仕様を構成しなければならない。

注記 1  全安全度要求仕様は,E/E/PE 安全関連系が実行しなければならない安全機能に対する目標機

能失敗尺度,及びこれに付随する安全度水準を決定するための暫定のものである。安全度水

準(IEC 61508-5 

附属書 及び附属書 参照)を決定するための定性的方法の一部は,リ

スクパラメータから直接,安全度水準へと進む。この場合,安全度要求事項は,方法そのも

のに組み込まれるために,明示的でなく,むしろ暗示的に示される。

注記 2 EUC

リスクは,危険事象の影響の軽減によるか(これが望ましい)

,又は EUC  及び EUC  制

御系の危険事象率の軽減によって(7.5.2.4 参照)

,軽減することができる。

注記 3  危険事象の頻度に要求される軽減は,E/E/PE 安全関連系及び/又は他リスク軽減措置から成

る追加の手段によって達成できる。他リスク軽減措置は,他技術の安全関連系,避難,退避,

ばく露時間の管理などの手段を含む。

注記 4  許容リスク基準を満たすためには,各安全機能に対する目標安全度を決めるとき,各個人が

他の発生源からのリスクにさらされることを考慮することが必要となる。

注記 5  安全度要求事項を直接決めるための適切な方法を含めたアプリケーション分野に関する国際

標準が存在する場合は,その国際標準を,この項の要求事項に適合させるために使用しても

よい。

7.5.2.4

全安全度要求事項は,次のいずれかの点から定めなければならない。

−  許容リスクを達成するために必要なリスク軽減

−  許容リスクを満たすための許容危険事象率

7.5.2.5 EUC

リスクの評価において,単一の EUC  制御系の危険側故障の平均頻度が,単位時間当たり

10

5

回とされている場合は,この規格群の要求事項の対象となる安全関連制御系としなければならない。

注記  例えば,EUC  制御系について,危険側故障率が単位時間当たり 10

6

回から 10

5

回の間にある

場合,その EUC  制御系は E/E/PE  安全関連系とみなし,安全度水準 1 に該当する要求事項を満

足しなければならない。

7.5.2.6 EUC

制御系の故障によって,一つ又は複数の E/E/PE  安全関連系か,又は他リスク軽減措置の設

置が求められる場合,及び EUC  制御系を安全関連系として指定することが目的となっていない場合には

次の要求事項を適用しなければならない。

a) EUC

制御系に関して求める危険側故障率は,次のいずれか一つの方法で得られるデータによって裏付

けなければならない。

−  類似アプリケーションにおける EUC 制御系の実際の運用実績

−  認定された手順に従って実施された信頼性解析

−  一般機器の信頼性に関する産業界に固有のデータベース

b) EUC

制御系に関して求める危険側故障率は,単位時間当たり 10

5

回以上でなければならない。

注記 1  7.5.2.5 参照

c)

全安全要求仕様の開発においては,EUC  制御系の全ての合理的に予見可能な危険側故障モードを考慮

しなければならない。

d) EUC

制御系は,E/E/PE  安全関連系及び他リスク軽減措置から独立していなければならない。


24

C 0508-1

:2012 (IEC 61508-1:2010)

   

注記 2  安全関連系が,EUC  制御系を安全関連系とみなさなくてよい作動要求率を考慮して適切

な安全度を指定するように設計されている場合,EUC  制御系を安全関連系として指定す

る必要はない(したがって,EUC  制御系の機能はこの規格群の定義における安全機能と

して指定する必要はない。

。アプリケーションによっては,非常に高い安全度が要求され

る。このような場合,作動要求率を下げるために,EUC  制御系の故障率を通常より低く

なるように設計することが適切である。この場合,求められる故障率が安全度水準 1(

3

参照)における目標安全度上限を下回る場合,この制御系は安全関連系とみなされ,こ

の規格群の要求事項を適用する。

注記 3  独立の意味については,7.6.2.7 参照。

7.5.2.7

7.5.2.6

の a)から d)までの要求事項を満たすことができない場合は,EUC 制御系は安全関連系と

して定めなければならない。EUC 制御系の安全度水準は,EUC 制御系に関して,

表 に従って求める危険

側故障率によって決定しなければならない(7.6.2.9 

注記 3  参照)。この場合,この規格群で割り当てる

安全度水準に関する要求事項は,EUC 制御系に適用しなければならない。

注記  7.5.2.5 及び 7.6.2.10 参照。

7.6 

全安全要求事項の割当て

注記  このフェーズは,図 のボックス 5 に該当する。

7.6.1 

目的

7.6.1.1

この細分箇条の要求事項は,全安全要求事項(全安全機能要求事項及び全安全度要求事項から成

る。

)に関する仕様書中の全安全機能を当該 E/E/PE 安全関連系,他リスク軽減措置に割り当てることを第

一の目的とする。

注記  他リスク軽減措置によるリスク軽減を計算に入れなければ,E/E/PE 安全関連系へのリスク軽減

の割当てを行うことができないので,必要に応じてそれらの措置を考慮する。

7.6.1.2

この細分箇条の要求事項は,目標機能失敗尺度及び付随する安全度水準を,E/E/PE 安全関連系が

実施しなくてはならない各安全機能に割り当てることを第二の目的とする。

7.6.2 

要求事項 

7.6.2.1

要求される機能安全を達成するために用いる安全関連系を定めなければならない。必要なリスク

軽減を,次のいずれか,又は全てによって達成してもよい。

− E/E/PE 安全関連系

−  他リスク軽減措置

注記  この箇条は,安全関連系の少なくとも一部が E/E/PE 安全関連系による場合に限って有効であ

る。

7.6.2.2

当該 E/E/PE 安全関連系,及び他リスク軽減措置への安全機能の割当ての措置に際して,全安全

ライフサイクルの全てのフェーズにわたって利用可能な技術及び資源を考慮しなければならない。

注記 1  複雑な科学技術を利用した安全関連系の適用の完全な意味が,しばしば過小評価されている。

例えば,複雑な科学技術の実施には,仕様から保全及び運転まで全ての段階で高度な適合性

が要求される。その他のより単純な技術による解決法にも,同等の効果又は幾つかの利点が

認められる可能性がある。

注記 2  運用及び保全のための技術,資源の利便性及び運用環境は,実際の運用上で要求される機能

安全の達成ができない可能性がある。

7.6.2.3

全安全機能は,7.5 に従って開発された関連する全安全度要求事項とともに,一つ又は複数の指


25

C 0508-1

:2012 (IEC 61508-1:2010)

定の E/E/PE 安全関連系及び/又は他リスク軽減措置に割り当てられなければならず,それによって安全度

要求事項に対する許容リスクが低減される。この割当ては繰り返されるものであり,許容リスクを達成で

きないことが明らかになった場合は,EUC 制御系,指定の E/E/PE 安全関連系及び他リスク軽減措置を部

分的に改修して割当て作業を繰り返さなければならない。

注記 1  特定の全安全機能を一つ又は複数の E/E/PE 安全関連系又は他リスク軽減措置に割り当てる

決定は幾つかの要因に依存するが,特に全安全度要求事項に左右される。安全度要求事項が

増えれば増えるだけ,その機能を複数の E/E/PE 安全関連系及び/又は他リスク軽減措置と分

担することが多くなる。

注記 2  図 は全安全要求事項の割当てに対応した方法を示している。

7.6.2.4

7.6.2.3

に示す割当て過程は,全安全機能を割り当て,かつ,安全度要求事項が各々の目標機能失

敗尺度に適合するように行わなければならない(7.6.2.10 に指定した要求事項を最も重要な条件とする)

7.6.2.5

各安全機能に対する安全度要求事項は,次のいずれかによって規定する。

−  低頻度作動要求モード運用に対しては,安全機能の作動要求における危険側故障の平均確率。

−  高頻度作動要求又は連続モード運用に対しては,安全機能の危険側故障の平均周期[1/h]

7.6.2.6

安全度要求事項の割当ては,確率演算に関わる適切な技法を用いて実施する。

注記 1  割当て過程は,定性的及び/又は定量的に実施してもよい。

注記 2  許容リスクを達成するために複数の E/E/PE 安全関連系及び/又は他リスク軽減措置が必要

な場合,実際の達成リスクは,E/E/PE 安全関連系及び/又は他リスク軽減措置の間の系統的

依存性に左右される

(依存性の詳細及びその解析方法の詳細については,

IEC 61508-5

の A.5.4

参照)


26

C 0508-1

:2012 (IEC 61508-1:2010)

   

注記 1  全安全度要求事項は,割当て以前に個々の安全機能に結び付いている(7.5.2.3 参照)。 
注記 2  全安全機能は,複数の安全関連系にまたがって割り当ててよい。

図 6E/E/PE 安全関連系及び他リスク軽減措置に対する全安全要求事項の割当て 

7.6.2.7 

割当ては,共通原因故障の可能性を考慮して行われなければならない。EUC 制御系,E/E/PE 安

全関連系,他技術安全関連系及び他リスク軽減措置を,割当て過程で(故障発生に関して統計的に)独立

したものとして扱うとき,それらの多重防護は,次の条件を全て満足しなければならない。

−  多重防護は,それらの異なる防護間において故障が同時に起こる可能性が,要求された安全度に関し

て十分低いように独立していなければならない。

−  機能的に異なっている(同じ結果を達成するのに全く異なった種類の方法論を用いる。

−  異なった技術に基づく(同じ結果を達成するのに全く異なった種類の機器を使用する。

注記 1  技術がどのように異なっていても,機能失敗によって過酷な被害が生じる高度安全システ

ムでは,航空機の墜落,地震などのようにどんな小さな確率をもつ共通原因事象に対して

も特別な予防策を講じることが認識されている。

−  共通の部品,サービス及び(例えば,共通の電源のような)供給システムを用いてはならない(それ

らの故障は,全システムに同時に危険側故障を引き起こす可能性がある。

−  共通の運用,保全又はテスト方法を区別してはならない。

注記 2  この規格群は,特に E/E/PE 系への安全度要求事項の割当てに関心をもち,その実施方法の

要求事項を定めているが,他技術安全関連系及び他リスク軽減措置への安全度要求事項の

詳細な割当て方法は定めない。

共通原因の解析の枠内では,E/E/PE 系,下位システム,要素などの異なるチャネルの,例えば空所によ

安全度要求事項を指定する

方法

a) 

必要なリスク軽減

b) 

必要なリスク軽減

c) 

安全度水準(SIL)

他リスク軽減措置

その 1

E/E/PE

安全関連系

        その 1

他リスク軽減措置

その 2

E/E/PE

安全関連系

その 1

E/E/PE

安全関連系

        その 2

E/E/PE

安全関連系

        その 1

E/E/PE

安全関連系

        その 2

個々の E/E/PE 安全関連系の設計要求事項については,7.10 参照

各安全機器の割当てと

当該安全度要求事項

E/E/PE

安全関連系

  その 2


27

C 0508-1

:2012 (IEC 61508-1:2010)

る必要な区分の点などのような E/E/PE 安全関連系を実現するための限定及び制限の条件を確認しなけれ

ばならない。このことから,例えば,二つのチャネルとマイクロプロセッサとを 1 枚の基板に実装するこ

と,又はオンチップ冗長性を認められなくなることがある(IEC 61508-2 

附属書 参照)。

7.6.2.8

7.6.2.7

の要求事項が一つでも満足していないとき,E/E/PE 安全関連系及び他リスク軽減措置は,

安全割当てという点において独立として扱わない。そのため,割当ては,EUC 制御系,E/E/PE 安全関連系

及び他リスク軽減措置の間で関連する共通原因故障を考慮しなければならない。

注記 1  従属故障を分析する詳細に関しては,NUREG/CR-4780(参考文献[13])及び NUREG/CR-4780

(参考文献[14])を参照。

注記 2  十分な独立性は,E/E/PE 安全関連系について従属故障の確率が全安全度要求事項に比較して

十分に低いことを示して確立する(7.6.2.7 参照)

注記 3  7.6.2.3 に示すように,割当ては繰り返されるものであり,共通原因故障を含む解析によって

初期の仮定に基づいて許容リスクが達成できないことが示された場合は,設計変更が必要に

なる(詳細手引きについては,IEC 61508-5 の A.5.4 を参照)

7.6.2.9

割当てが十分に進んだとき,E/E/PE 安全関連系に割り当てた各々の安全機能に対する安全度要求

事項を

表 及び表 の安全度水準を用いて規定する。さらに,目標機能失敗尺度が次のいずれであるか明

示しなければならない。

−  低頻度作動要求モードの場合(

表 2),安全機能の作動要求時の機能失敗時間平均確率(PFDavg)。

−  高頻度作動要求モードの場合(

表 3),安全機能の危険側失敗の平均頻度(PFH)[1/h]。

−  連続モードの場合(

表 3),安全機能の危険側失敗の平均頻度(PFH)[1/h]。

表 2−安全度水準(SIL):低頻度作動要求モードで運用する E/E/PE 安全関連系 

に割り当てられる安全機能に対する目標機能失敗尺度 

安全度水準

低頻度作動要求モード運用

(作動要求当たりの設計上の機能失敗平均確率)

(PFDavg)

4 10

5

以上 10

4

未満

3 10

4

以上 10

3

未満

2 10

3

以上 10

2

未満

1 10

2

以上 10

1

未満

表 3−安全度水準(SIL):高頻度作動要求又は連続モードで運用する E/E/PE 

        安全関連系に割り当てられる安全機能に対する目標機能失敗尺度 

安全度水準

高頻度作動要求又は連続モード運用

安全機能の危険側失敗の平均頻度(PFH)

[1/h]

4 10

9

以上 10

8

未満

3 10

8

以上 10

7

未満

2 10

7

以上 10

6

未満

1 10

6

以上 10

5

未満

注記 1  用語“低頻度作動要求モード”,“高頻度作動要求モード”及び“連続モード”の定義につ

いては,JIS C 0508-4 の 3.5.16 を参照。


28

C 0508-1

:2012 (IEC 61508-1:2010)

   

注記 2  目標機能失敗尺度を潜在危険及びリスク解析と関連付ける運用モードの手引きについて

は,IEC 61508-5 を参照。

注記 3  表 及び表 は,E/E/PE 安全関連系が実行する安全機能に割り当てられた目標機能失敗尺

度を安全度水準に関連付けている。E/E/PE 安全関連系の全ての側面の安全度を定量的に予

測することが不可能であることは認識されている。目標機能失敗尺度の達成を確実にする

ために必要とみなされる予防措置について,定量的ではない技法,措置及び判断を用いる

ことが必要である。このことは,指定した安全度水準に対して要求される決定論的安全度

JIS C 0508-4 の 3.5.6 参照)を達成するために必要とみなされる予防措置に関して,定量

的ではない技法及び判断を用いる必要がある場合,

特に当てはまる

IEC 61508-2 の 7.4.2.2 

c)

7.4.37.4.67.4.7 及び IEC 61508-3 参照]

注記 4  ハードウェアの安全度の場合,リスクアセスメントで決定した目標安全度が達成されてい

るかどうかを,ランダムハードウェア故障(IEC 61508-2 の 7.4.5 参照)を考慮して評価す

るために定量化した信頼性を見積もる技術を適用することが必要である。

注記 5  定量的方法(例  定量的リスクグラフ)を用いて安全度水準(SIL)を決定した場合,適

宜,

表 又は表 からハードウェア安全度の限界を設定する定量的機能失敗尺度が得られ

る。

注記 6  二つ以上の E/E/PE 安全関連系が使用されているときに要求されることがある安全度は,十

分な独立性の水準が達成されている場合,

表 に示すものより高いかもしれない。例えば,

二つの E/E/PE 安全関連系の間で適切な独立性の水準が達成されている場合に,二つの

E/E/PE

安全関連系によって一つの安全機能を実行するならば,そうであると言えるかもし

れない。

注記 7  ある指定した運転期間内でいかなる修理も行えない条件で,高頻度作動要求又は連続モー

ドで運用される E/E/PE 安全関連系の場合,安全機能に対して要求される安全度水準は,次

のように導出することができる。運転期間内の安全機能の故障確率を決定し,これを運転

時間で除して,要求される 1 時間当たりの故障頻度を得て,次に,

表 を用いて,要求さ

れる安全度水準を導き出す。

7.6.2.10

ある E/E/PE 安全関連系が,

それぞれ異なる安全度水準をもつ幾つかの安全機能を実行する場合,

それら安全機能間で実施上の十分な独立性を示せない限り,安全関連ハードウェア及びソフトウェアの実

行上不十分な独立性をもつ安全関連ハードウェアは,最高の安全度水準をもつ安全機能に属するものとし

て扱う。したがって,関連する最高の安全度水準に適用される要求事項をその部分に適用する。

注記  IEC 61508-2 の 7.4.2.4 及び IEC 61508-3 の 7.4.2.8 参照。

7.6.2.11

割当てのプロセスで,E/E/PE 安全関連系に関する要求事項が SIL4 の安全機能を実施するという

結果になった場合,次の項目を適用しなければならない。

a) SIL4

の安全機能に対する要求事項を回避するように,何らかのリスクパラメータを部分的に改修でき

るかどうか決定するためにアプリケーションを再検討しなければならない。この再検討では,次のこ

とができるかどうか検討しなければならない。

− E/E/PE 安全関連系に基づいていない安全関連系又は他リスク軽減措置を追加導入する。

−  結果の厳しさを軽減する。

−  規定の結果の可能性を軽減する。


29

C 0508-1

:2012 (IEC 61508-1:2010)

b)

アプリケーションについて更に検討した後,SIL4 の安全機能を実行する決定を下した場合,E/E/PE 安

全関連系と次の系との間で生じる潜在的な共通原因故障を考慮して,定量的方法を用いて詳細なリス

クアセスメントを行う。

−  その故障が作動要求を生成する他の系

−  その他の安全関連系

7.6.2.12 E/E/PE

安全関連系のどの機能安全機能にも,

表 及び表 に規定するものを下回る目標安全度を

割り当ててはならない。すなわち,次の状況で運用する安全関連系の場合,次による。

−  低頻度作動要求モードの場合は,下限を安全機能の作動要求時の危険側機能失敗平均確率である 10

5

に設定する。

−  高頻度作動要求又は連続モードの場合は,下限を危険側故障の平均頻度である 10

9

[1/h]に設定する。

注記  複雑でない系に対する目標安全度に関して低い値をもつ安全関連系を設計することは可能の

場合があるが,これらの限度値は,現時点では比較的複雑な系(

例  プログラマブル電子安

全関連系)で達成できるものを表しているとみなされている。

7.6.2.13  7.6.2.1

7.6.2.12 に従って得られた全安全要求事項の割当ての内容及び結果は,仮定及び根拠

(EUC の耐用年数全体にわたって管理する必要のある他リスク軽減措置に関する仮定を含む。

)とともに

文書化しなければならない。

注記  各 E/E/PE 安全関連系については,安全機能及びそれに付随する安全度水準に関する情報が十分

にあることが望ましい。この情報は,7.10 に規定する E/E/PE 安全関連系に対する安全要求事項

の根拠となる。

7.7 

全運用及び保全計画 

注記 1  このフェーズは,図 のボックス 6 に該当する。

注記 2  運用及び保全業務モデルの事例を図 に示す。

注記 3  運用及び保全管理モデルの事例を図 に示す。

注記 4  7.7.2 の要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC の耐用年数全

体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている仮定を

特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 5  機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.7.1 

目的 

この細分箇条の要求事項は,運用及び保全の間,要求される機能安全の維持を保証するために,E/E/PE

安全関連系の運用及び保全計画を展開することを目的とする。

7.7.2 

要求事項 

7.7.2.1

次の事項を指定する計画を,作成しなければならない。

a) E/E/PE

安全関連系に要求される機能安全の遂行に必要な通常の業務

b)

不安全状態を防止する,E/E/PE 安全関連系への作動要求を減らす,又は危害事象による被害を軽減す

るために必要な(立ち上げ,定期運転,定常検査,起こり得る外乱,フォールト,シャットダウンな

どの各場合での)業務及び制限。

注記 1  次の制限,条件及び措置が,E/E/PE 安全関連系に関連する。

1) E/E/PE

安全関連系がフォールトにあるときの EUC の運用制限。

2) E/E/PE

安全関連系が保全状態にあるときの EUC の運用制限。

3) EUC

運用の制限の解除。


30

C 0508-1

:2012 (IEC 61508-1:2010)

   

4)

通常の運用に復帰する手順。

5)

通常の運用状態になったことの確認手順。

6) E/E/PE

安全関連系によって実行される安全機能が,スタートアップ,特殊運用又はテ

ストのためにバイパスされることがある状態。

7) E/E/PE

安全関連系が無効とされる直前,

その間及び後で措置される作業手続きの許可,

及び許可する者の資格。

c)

機能安全監査及びテスト結果を示すため保持を要する記録

d)

危険事象に結び付く可能性をもつ全ての事象に関する保持を要する記録

e)

保全業務の範囲(部分改修業務と区別される。

f)

危険事象発生時に取る措置

g)

運用と保全業務の経時的記録の内容(7.15 参照)

注記 2  安全関連系及び他リスク軽減措置の多くは,定期保全検査でだけ検出できる幾つかの故障

モードをもつ。この場合,検査が十分な頻度で行われない場合,当該安全関連系の要求さ

れる安全度が達成されない。

注記 3  この細分箇条は,安全関連系の運転及び保全の間,要求される安全機能を使用者に保証す

る情報及び方法をソフトウェア製品に与えることが求められるソフトウェア供給者を対

象としている。これには,運転又は保全上の要求事項から生じる場合がある任意のソフト

ウェア改修のための手順の準備を含む(IEC 61508-3 の 7.6 参照)

。それらの手順の実施は,

7.15

及び IEC 61508-3 の 7.8 による。安全関連系に関わる改善要求事項の結果として生じ

る将来のソフトウェアの変更に対する手順の準備は,IEC 61508-3 の 7.6 に規定している。

それらの手順の実施は,7.16 及び IEC 61508-2 の 7.8 による。

注記 4  IEC 61508-2 及び IEC 61508-3 での要求事項に適合するために適用する運用及び保全手順

を考慮することが望ましい。

7.7.2.2

計画は,ハードウェアフォールトトレランスがゼロである E/E/PE 安全関連系のいずれかの下位

システムをテストのためのオフラインにしても,EUC の継続的安全が追加的措置及び制限によって確実に

維持されるようなものでなければならない。このような追加措置及び制限で得られる安全度は,E/E/PE 安

全関連系が通常運用中に与える安全度と同等以上でなければならない。ハードウェアフォールトトレラン

スがゼロを超える E/E/PE 安全関連系のいずれかの下位システムの場合は,E/E/PE 安全関連系の一つ以上

のチャネルがテスト中で,運用状態を維持しなければならず,かつ,テストは,目標機能失敗尺度への適

合を判断するために実施した計算において仮定した MTTR の期限内に完了しなければならない。

注記  ハードウェアフォールトトレランスは,IEC 61508-2 の 7.4.4.1 を参照。

7.7.2.3

現れないフォールトを検出するために行う定期保全業務は,決定論的分析で決定しなければなら

ない。

注記  現れないフォールトが検出できない場合,次のようになることがある。

a) E/E/PE

安全関連系又は他リスク軽減措置の場合は,作動要求で動作しない。

b)

非安全関連系の場合は,E/E/PE 安全関連系又は他リスク軽減措置に対して作動要求が発生

する。

7.7.2.4 E/E/PE

安全関連系を保全する計画は,次の事項の運用及び保全に責任をもつ者と合意しなければ

ならない。

− E/E/PE 安全関連系


31

C 0508-1

:2012 (IEC 61508-1:2010)

−  他リスク軽減措置

− E/E/PE 安全関連系又は他リスク軽減措置に作動要求を送る潜在性をもつ非安全関連系

7.8 

全安全妥当性確認計画 

注記 1  このフェーズは,図 のボックス 7 に該当する。

注記 2  この細分箇条での要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用

年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている

仮定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 3  機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.8.1 

目的 

この細分箇条の要求事項は,E/E/PE 安全関連系の全安全妥当性確認を実施するための計画を規定するこ

とを目的とする。

7.8.2 

要求事項 

7.8.2.1

次を包含する計画を,作成しなければならない。

a)

妥当性確認を行う時期の詳細

b)

当該妥当性確認を実施する者の詳細

c)

次の事項を含む,E/E/PE 安全関連系に関係する EUC 運転モードの特定

−  設定及び調整を含む起動の準備

−  立ち上げ

−  教育

−  自動

−  手動

−  半自動

−  定常運転

−  再設定

−  シャットダウン

−  保全

−  合理的に予見可能な異常状態

d)

引渡しの開始以前に,EUC 運転の各モードに対して妥当性確認を要する E/E/PE 安全関連系の仕様。

e)

妥当性確認の技術的方針(

例  解析方法,統計的テスト)

f)

安全機能割当ての正しい実施を確認するために使用する手段,技法及び手順。これは,各々の安全機

能が次の事項に適合していることの確認を含む。

−  全安全機能要求事項に関わる仕様

−  全安全度要求事項に関わる仕様

g)  7.5

及び 7.6 の引渡し事項に含まれる各々の要素に対する 7.5 及び 7.6 の事項の詳細な参照。

h)

妥当性確認業務に要求される環境(例えば,テストには校正用具及び装置を含む。

i)

合格及び不合格の基準

j)

妥当性確認の結果,特に不合格時の評価指針

注記  全妥当性確認計画では,IEC 61508-2 及び IEC 61508-3 で規定する E/E/PE 系安全妥当性確認

及びソフトウェア安全妥当性確認に対する計画作成業務を考慮することが望ましい。二つ以

上の E/E/PE 安全関連系及び/又は他リスク軽減措置間の全ての相互干渉を配慮し,かつ,


32

C 0508-1

:2012 (IEC 61508-1:2010)

   

7.5 の引渡し事項に規定する。

)全ての安全機能の達成を保証する必要がある。

7.8.2.2

7.8.2.1

による情報を文書化するとともに,E/E/PE 安全関連系の全安全妥当性確認の計画を構成し

なければならない。

7.9 

全設置及び引渡し計画 

注記 1  このフェーズは,図 のボックス 8 に該当する。

注記 2  この細分箇条での要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用

年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている

仮定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 3  機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.9.1 

目的 

7.9.1.1

この細分箇条の要求事項は,要求される機能安全の達成を保証する秩序ある方法で E/E/PE 安全

関連系を設置するための計画を作成することを第一の目的とする。

7.9.1.2

この細分箇条の要求事項は,要求される機能安全の達成を保証する秩序ある方法で E/E/PE 安全

関連系の引渡しを行うための計画を作成することを第二の目的とする。

7.9.2 

要求事項 

7.9.2.1

次の事項を含む E/E/PE 安全関連系の設置計画を作成しなければならない。

a)

設置スケジュール

b)

それぞれ異なる部分の設置を担当する者

c)

設置の手順

d)

設置のフェーズ(すなわち,多様な要素を統合する順序)

e) E/E/PE

安全関連系又はその一部が設置できることの宣言,及び設置フェーズの完了宣言に関わる基準

f)

機能失敗及び無互換性の解決に関わる手続き

7.9.2.2

次の事項を含む E/E/PE 安全関連系の引渡し計画を作成しなければならない。

a)

引渡しスケジュール

b)

引渡しの各々の部分を担当する者

c)

引渡しの手順

d)

設置での各々の段階の相互関係

e)

妥当性確認との関係

7.9.2.3

全設置及び引渡し計画を文書化しなければならない。

7.10 E/E/PE

系安全要求仕様 

注記  このフェーズは,図 のボックス 9 に該当する。

7.10.1 

目的 

この細分箇条の要求事項は,必要な機能安全を達成するために,E/E/PE 系の安全機能要求事項を E/E/PE

系の安全機能要求仕様及び E/E/PE 系の安全度要求事項の観点から定義することを目的とする。

7.10.2 

要求事項 

7.10.2.1 E/E/PE

系の安全度要求仕様は,7.6 に規定する安全要求事項の割当てから,その適用に関連する

全ての情報と合わせて導き出さなければならない。この情報は,E/E/PE 安全関連系の開発者が利用できる

ようにしなければならない。

7.10.2.2 E/E/PE

系の安全要求仕様は,安全機能とそれらの関連安全保全レベルのための要件を含まなけれ

ばならない。


33

C 0508-1

:2012 (IEC 61508-1:2010)

注記  目的は,機器に固有でない観点から,安全機能及びその必要な機能安全能力を説明することで

ある。したがって,仕様は,全安全要求事項及び全安全要求事項の割当てでのアウトプットに

対して適合性を確認し,E/E/PE 系(IEC 61508-2 の 7.2 参照)の実現の基礎として使用できる。

機器の設計者は,この仕様を機器及びアーキテクチャを選択するための基礎として使用するこ

とができる。

7.10.2.3 E/E/PE

系の安全要求仕様を E/E/PE 安全関連系の開発者に利用可能にする。

7.10.2.4 E/E/PE

系の安全要求仕様は,次のような方法で表現し,かつ,構造化する。

a)

明確,正確,明白,証明可能,テスト可能,維持可能及び実行可能

b) E/E/PE

系の安全ライフサイクルのどんな段階でも情報を利用しそうな人の理解を支援するために書

いてある。

c)

自然言語若しくは公式言語及び/又は個々に定義される各安全機能で必要な安全機能を定義するロジ

ック図,手順図又は原因と結果の図で表現する。

7.10.2.5 E/E/PE

系の安全要求事項の仕様は,E/E/PE 系安全機能(7.10.2.6 参照)のための要求事項及び

E/E/PE

系の安全保全のための要件を含まなければならない(7.10.2.7 参照)

7.10.2.6 E/E/PE

系の安全機能要求仕様書は,次の事項を含まなければならない。

a)

各安全機能に対して,次のような要求機能安全を達成するために必要な全安全機能の記述

− E/E/PE 安全関連系の設計及び開発にとって十分で詳細な包括的要求事項を提供する。

− E/E/PE 安全関連系が,EUC にとって安全な状態を達成又は維持するように意図された方法を含む。

− EUC の安全な状態を達成又は維持する場合に,連続制御が要求されるかどうか,かつ,その期間を

規定する。

−  安全機能を,低頻度作動要求,高頻度作動要求又は連続モードで運用する E/E/PE 安全関連系に適合

するかどうかを規定する。

b)

応答時間特性(すなわち,安全機能が完了するために必要な時間)

c)

要求機能安全を達成するために必要な E/E/PE 安全関連系及びオペレータインタフェース。

d)

機能安全に関連する,E/E/PE 安全関連系の設計に影響することがある全ての情報。

e)

機能安全に必要な,E/E/PE 安全関連系と他の系(EUC の内側又は外側)との間の全てのインタフェー

ス。

f)

次の事項を含む,EUC の全ての関連運用モード。

−  設定及び調整を含む使用のための準備

−  スタートアップ,訓練,自動,手動,半自動及び運転時の定常状態

−  停止時の定常状態,リセット,シャットダウン及び保全

−  合理的に予見可能な異常条件

注記  ある特定の運用モード(例  設定,調節又は保全)では,これらの運用を安全に実施でき

るように追加的機能が必要になる場合もある。

g) E/E/PE

安全関連系の全ての必要な挙動モードを規定しなければならない。特に,E/E/PE 安全関連系の

故障(

例  アラーム,自動停止)の場合の,目標機能失敗尺度の規定値

7.10.2.7 E/E/PE

安全度要求仕様は,必要な場合は,次の事項を含まなければならない。

a)

各安全機能の安全度水準,及び必要な場合は,目標機能失敗尺度の規定値。

注記 1  目標機能失敗尺度の規定値は,定量的方法(7.5.2.3 参照)を使用して求めることができる。

もう一つの方法として,安全度要求事項を定量的方法で作成し,安全度水準として表して


34

C 0508-1

:2012 (IEC 61508-1:2010)

   

いる場合は,目標機能失敗尺度は安全度水準に従って,適宜,

表 又は表 から算出でき

る。この場合,手法を改善するために異なる値を使用していない限り,規定の目標機能失

敗尺度は安全度水準の最小平均故障確率又は故障率である。

注記 2  低頻度作動要求モードで運用する安全機能の場合,目標機能失敗尺度は,安全機能に関す

る E/E/PE 系安全度要求仕様の中に特定の目標機能失敗尺度を満たすような事項がない限

り,安全度水準で規定するのではなく,安全機能の安全度水準(

表 参照)によって求め

る作動要求時の機能失敗平均確率で表す。例えば,要求される許容リスクを満たすために

1.5

×10

2

の目標機能失敗尺度(作動要求時の機能失敗平均確率)が規定されている場合は,

ランダムハードウェア故障による安全機能の作動要求時の機能失敗平均確率が 1.5×10

2

以下である必要がある。

注記 3  高頻度作動要求モード又は連続モードで運用する安全機能の場合,目標機能失敗尺度は,

全機能に関する E/E/PE 系安全度要求仕様の中に特定の目標機能失敗尺度を満たすような

事項がない限り,安全度水準で規定するのではなく,安全機能の安全度水準(

表 参照)

によって求める危険側失敗の平均頻度[1/h]で表す。例えば,要求許容リスクを満たすた

めに 1.5×10

6

の目標機能失敗尺度(危険側失敗の平均頻度[1/h]

)が規定されている場合

は,ランダムハードウェア故障による安全機能の危険側失敗の平均頻度が 1.5×10

6

[1/h]

以下である必要がある。

b)

各安全機能の運用モード(低頻度作動要求,高頻度作動要求又は連続モード)

c)

必要な稼動率及び耐用年数。

d) E/E/PE

ハードウェアのプルーフテストを実施できるようにするための要求事項,制限及び施設。

注記 4 E/E/PE 系の安全要求仕様の開発においては,E/E/PE 系を使用するアプリケーションを考慮

することが望ましい。このことは,プルーフテストの規定の間隔が特定のアプリケーショ

ンに関して合理的に予見できる保全の頻度を下回ってはならない場合,特に重要である。

例えば,一般大衆に使用される大量生産品について現実的に達成できるサービスとサービ

スとの間の時間は,より管理されたアプリケーションの場合よりも長くなる可能性が高い。

e)

製造,保管,輸送,テスト,設置,試運転,運用及び保全を含め,E/E/PE 系の安全ライフサイクルを

通じて遭遇する可能性のある全ての権限の環境条件。

f)

機能安全を達成するために必要な電磁許容限界値。これらの限界値は,電磁環境及び必要な安全度水

準(IEC/TS 61000-1-2 参照)の両方を考慮して求めることが望ましい。

注記 5  電磁現象の性質及び物理特性が原因で,ほぼ全ての電磁現象に対して必要な許容水準と安

全度水準の間で,単純かつ明白で証明可能な相互関係を確立することができない。したが

って,このような場合,要求される SIL だけに従って有効な許容水準を規定することは不

可能かつ合理的ではない。要求される SIL に従って,要求許容水準をある程度まで規定す

る代替方法を使用してもよいが,これには特別なテスト装置又は性能判定基準を用いる

IEC/TS 61000-1-2 参照)

注記 6  IEC 61326-3-1(参考文献[15])も参照する。

g)

共通原因故障(7.6.2.7 参照)の可能性による,E/E/PE 安全関連系の達成に関する限定及び制限の条件。

7.11 E/E/PE 

安全関連系:実現 

注記  このフェーズは,図 のボックス 10 並びに図 及び図 のボックス 10.1∼10.6 に該当する。


35

C 0508-1

:2012 (IEC 61508-1:2010)

7.11.1 

目的 

この細分箇条の要求事項は,E/E/PE 系の安全度要求仕様(E/E/PE 系の安全機能要求仕様及び E/E/PE 系

の安全度要求仕様で構成される。)に適合する E/E/PE 安全関連系を作り出すことを目的とする(IEC 

61508-2

及び IEC 61508-3 参照)

7.11.2 

要求事項 

適合するための要求事項は,IEC 61508-2 及び IEC 61508-3 による。

7.12 

他リスク軽減措置:仕様及び実現 

注記  このフェーズは,図 のボックス 11 に該当する。

7.12.1 

目的 

この細分箇条の要求事項は,E/E/PE 系以外の系(すなわち他リスク軽減措置)に対して規定された安全

機能要求及び安全度要求事項を満たすために,他リスク軽減措置を作り出すことを目的とする。

7.12.2 

要求事項 

他リスク軽減措置に関わる安全機能要求事項及び安全度要求事項に適合する仕様は,この規格群の対象

外である。

注記  他リスク軽減措置は,E/E/PE 以外の技術(例  油圧,空気圧)に基づくもの,又は物理的構造

物(

例  排水施設,防火壁又は堤防)の場合がある。これらは,E/E/PE 安全関連系からのリス

ク軽減が,他リスク軽減措置からのリスク軽減との関連の中で確実に決定されるようにするた

めに,全安全ライフサイクルの中に含まれている。

7.13 

全設置及び引渡し 

注記 1  このフェーズは,図 のボックス 12 に該当する。

注記 2  この細分箇条での要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用

年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている

仮定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 3  機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.13.1 

目的 

7.13.1.1

この細分箇条の要求事項は,E/E/PE 安全関連系の設置を第一の目的とする。

7.13.1.2

この細分箇条の要求事項は,E/E/PE 安全関連系の引渡しを第二の目的とする。

7.13.2 

要求事項 

7.13.2.1

設置は,E/E/PE 安全関連系の設置計画に従って行われなければならない。

7.13.2.2

設置状況の情報は,次の内容を含まなければならない。

−  設置業務記録

−  機能失敗及び不具合への対処

7.13.2.3

引渡しは,E/E/PE 安全関連系の引渡し計画に従って行われなければならない。

7.13.2.4

引渡し時の文書化された情報には,次の事項を含まなければならない。

−  引渡し業務の記録

−  機能失敗報告の参照

−  機能失敗及び不整合への対処

7.14 

全安全妥当性確認 

注記 1  このフェーズは,図 のボックス 13 に該当する。

注記 2  この細分箇条の要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用年


36

C 0508-1

:2012 (IEC 61508-1:2010)

   

数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている仮

定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 3  機能の安全性を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.14.1 

目的 

この細分箇条の要求事項は,7.6 に従って展開された E/E/PE 安全関連系への安全要求事項の割当てを考

慮して,全安全機能要求事項及び安全度要求事項を用いた全安全要求仕様への E/E/PE 安全機能の適合性を

妥当性確認することを目的とする。

7.14.2 

要求事項 

7.14.2.1

妥当性確認は,E/E/PE 安全機能の全安全妥当性確認計画に従って行わなければならない(7.8 

照)

7.14.2.2

妥当性確認の過程で定量的な計測に使用する全ての装置を,国家標準又は供給者の仕様書を参照

して校正しなければならない。

7.14.2.3

妥当性確認に関する文書化された情報には,次の事項を含めなければならない。

−  経時的な形式による妥当性確認業務の記録

−  使用した全安全要求仕様の改訂番号

−  (テスト又は解析によって)妥当性確認した当該安全機能

−  使用した機器及び装置,並びに校正データ

−  妥当性確認業務の結果

−  テストしたアイテム,適用した手順,及びテスト環境の校正の同定

−  期待したものと実際の結果との不整合

7.14.2.4

実際の成績結果と期待されたものとに不整合があるとき,妥当性確認を続行するか,又は変更の

要求によって妥当性確認業務以前のフェーズに戻るかについて,実施した解析及び決定を文書化しなけれ

ばならない。

7.15 

全運用,保全及び修理 

注記 1  このフェーズは,図 のボックス 14 に該当する。

注記 2  この細分箇条で扱う組織的措置は,技術的要求事項の効果的な実施のためのものであり,

E/E/PE

安全関連系の機能安全の達成及び維持だけを目的としている。機能安全を維持するた

めに必要な技術的要求事項は,E/E/PE 安全関連系,及び,その要素,部品の供給者から提供

される情報の一部として規定している。

注記 3  保全及び修理の間の機能安全要求事項は,運用時のものと異なることがある。

注記 4  初期設置及び試運転のために開発されたテスト手順を EUC 運用中に,妥当性及び実行可能性

を確認することなく使用できると仮定しないことが望ましい。

注記 5  この細分箇条の要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用年

数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている仮

定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 6  機能の安全性を達成するために,同様の要件が他の全てのリスク軽減対策に必要である。

7.15.1 

目的 

7.15.1.1

この細分箇条の要求事項は,E/E/PE 安全関連系が規定の水準に維持されることを保証することを

第一の目的とする。

7.15.1.2

この細分箇条の要求事項は,E/E/PE 安全関連系の運用,保全及び修理のために必要な技術要求事


37

C 0508-1

:2012 (IEC 61508-1:2010)

項を規定して,E/E/PE 安全関連系の将来の運用及び保全に責任をもつ人々に確実に提供されるようにする

ことを第二の目的とする。

7.15.2 

要求事項 

7.15.2.1

次の事項を実施しなければならない。

− E/E/PE 安全関連系の運用及び保全計画(7.7 参照)

− E/E/PE 安全関連系の運用,保全及び修理手順

7.15.2.2  7.15.2.1

に規定する事項の実施は,次の業務の立ち上げを含まなければならない。

−  手順の実施

−  保全スケジュールの遵守

−  記録の保存

−  機能安全監査の定期的な履行(6.2.7 参照)

− E/E/PE 安全関連系の改修記録

注記 1  運用及び保全業務モデルの例を図 に示す。

注記 2  運用及び保全管理モデルの例を図 に示す。

7.15.2.3 E/E/PE

安全関連系の運用,修理及び保全の経時的な記録を保存しなければならない。この記録に

は,次の事項を含まなければならない。

−  機能安全監査及びテスト結果

− E/E/PE 安全関連系に対する作動要求が生じた時間及び原因の記録(実際の運用で)

,作動要求が発生

したときの E/E/PE 安全関連系の性能,並びに定期保全で発見されたフォールト

− EUC,EUC 制御系及び E/E/PE 安全関連系の部分改修記録

7.15.2.4

当該経時記録の文書化に関わる詳細な要求事項は,製品又は個々の適用に依存する。必要であれ

ば,適用分野の製品規格などに詳細を定めなければならない。


38

C 0508-1

:2012 (IEC 61508-1:2010)

   

図 7−運用及び保全業務のモデル例 

“作業許可の終了” 

顕在化した運用上のフォールトを 
修正する業務手順

顕在化しない運用上のフォールトを除去す
る業務手順

異常な運用

異常中の運用制限

保 全 中 の 運 用
制限

運用報告

保全の要請

保全報告

正常運用へ復帰

保全の要請

保全中の運用
制限

保全報告

通常の運転

保全スケジュール

フォールト又は故障

運用手順の実施

診断及び修理

妥当性再確認

正常運用へ復帰

定期試験

不合格

合格

図 

“作業許可の発行” 

妥当性再確認

診断及び修理

図 

異常な運用

保全報告

妥当性再確認

状態(名称付き)

状態(名称なし)

文書

行動/事象

注記

図 

“作業許可の終了” 

“作業許可の発行” 


39

C 0508-1

:2012 (IEC 61508-1:2010)

図 8−運用及び保全管理のモデル例 

保全報告

7

から

故 障 又 は 作

動 要 求 の 解

インシデント

のタイプ

実 際の運 用での

性能データ

全ての故障/動作要求

ランダムハードウェア
故障又は作動要求

実際のリスク解析で使
用された性能データ

新しいデータの
解析

決定論的原因 
故障

性能の比較

予想を上回る作動要求
又は故障率

リスク解析の

更新

必要なリスク軽減又は
故障率が達成されてい
ない

部分改修の要請

故 障 及び デ ータ 要求
率データベース

新データ解析

決定論的原因故障

インシデントの

タイプ

文書

行動/事象

データ評価

評価結果

運用報告

保全報告


40

C 0508-1

:2012 (IEC 61508-1:2010)

   

7.16 

全部分改修及び改造 

注記 1  このフェーズは,図 のボックス 15 に該当する。

注記 2  この細分箇条で扱う組織上の措置は,技術上の要求事項の効果的実施の提供による E/E/PE 安

全関連系の機能安全の達成及び維持だけを目的とする。機能安全を維持するために必要な技

術上の要求事項は,通常 E/E/PE 安全関連系,及び,その要素,部品の供給者から提供される

情報の一部として規定している。

注記 3  この細分箇条の要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC 耐用年

数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている仮

定を特に考慮して,他リスク軽減措置との観点からみて検討することが望ましい。

注記 4  機能安全を達成するために,同様の要件が全ての他リスク軽減措置に必要である。

7.16.1 

目的 

この細分箇条の要求事項は,E/E/PE 安全関連系の機能安全が部分改修及び改造の間,並びにその後にも

適切であることを保証するために必要な手順を決定することを目的とする。

7.16.2 

要求事項 

7.16.2.1

いかなる部分改修又は改造業務をする前にも,手順を計画しなければならない(6.2.8 参照)

注記  部分改修手順のモデル事例を,図 に示す。

図 9−部分改修手順のモデル例 

部分改修の要請

潜在危険及びリスク解析

部分回収の

影響解析

部分改修の 
影響解析

部分改修の 
許可

影響解析の報告

部分改修設計の許可

部分改修の記録

更新

更新

更新

全 安 全 ラ イフ サ イ クル の 
適 切 な フ ェ ー ズ に 戻 る

目標を下回る安全性能

決定論的原因故障

ひやり事故/事故の経験

運用/生産要求

制定又は改正された法令

EUC

の部分改修

安全要求事項の部分改修

影響解析の報告

文書

更新

注記

部分改修要請の開始 
(図 参照)

決定論的原因故障

処理/事象


41

C 0508-1

:2012 (IEC 61508-1:2010)

7.16.2.2

部分改修及び改造のフェーズは,機能安全管理手順(6.2.8 参照)に基づき,正式な要請の表明に

よって開始しなければならない。その要請は,次の事項を明らかにしなければならない。

−  影響を受けるとして特定された潜在危険

−  変更案(ハードウェア及びソフトウェアの両方)

−  変更の理由

注記  部分改修要請の理由には,次のような要因が考えられる。

a)

機能安全が規定のものより低い

b)

決定論的原因フォールトの経験

c)

制定又は改正した安全規制

d) EUC

又はその使用法の変更

e)

全安全要求事項の変更

f)

目標を下回る性能を示す運用及び保全性能の解析

g)

定期的な機能安全監査

7.16.2.3 E/E/PE

安全関連系の機能安全に対する提案された部分改修及び改造の影響評価を含めて,影響解

析を実施しなければならない。評価は,その後の全 E/E/PE 系又はソフトウェアの安全ライフサイクルフェ

ーズの実施に必要な範囲及び程度を決定するために十分な,潜在危険及びリスク解析を含まなければなら

ない。評価は,同時に発生する他の修正又は改修業務の影響も考慮しなければならず,更に修正又は改修

が実施されている間,及びその後の両方における,機能安全も考慮しなければならない。

7.16.2.4  7.16.2.3

で規定した内容は,文書化しなければならない。

7.16.2.5

要求された部分改修及び改造実施の正式許可は,影響解析結果に従わなければならない。

7.16.2.6 E/E/PE

安全関連系の機能安全に影響する全ての部分改修は,全 E/E/PE 系又はソフトウェアの安

全ライフサイクルの適切なフェーズへ戻って開始しなければならない。

次に,

その後の全てのフェーズを,

この規格群の要求事項に従った特定のフェーズに対する規定の手順によって実施しなければならない。

注記 1 E/E/PE 安全関連系によって実現する機能安全のために,現時点で指定したものとは違う安全

度水準の必要性が生じる潜在危険解析,及びリスク解析の,完全な実施が必要になる。

注記 2  初期設置及び試運転のために開発されたテスト手順を,オンライン EUC 運用との関連で妥当

性及び実行可能性を確認することなく使用できるとは,仮定しないことが望ましい。

7.16.2.7

次の事項を含む全部分改修及び改造の詳細を,経時的に記録して保存しなければならない。

−  当該部分改修又は改造要求

−  当該影響解析

−  データ及び結果の適合再確認及び妥当性再確認

−  部分改修及び改造業務によって影響を受ける全ての文書

7.17 

使用終了又は廃却 

注記 1  このフェーズは,図 のボックス 16 に該当する。

注記 2  この細分箇条の要求事項は,E/E/PE 安全関連系に固有のものである。これらは,EUC の耐用

年数全体にわたって管理することが必要な他リスク軽減措置に関して,既に立てられている

仮定を特に考慮して,他リスク低減措置との関係から検討することが望ましい。

注記 3  機能安全を達成するためには,全ての他リスク軽減措置についても類似の要求事項が必要で

ある。


42

C 0508-1

:2012 (IEC 61508-1:2010)

   

7.17.1 

目的 

この細分箇条の要求事項は,E/E/PE 安全関連系の安全機能が EUC の使用終了又は廃却業務中,及びそ

の後の環境で適切であることを保証するために,必要な手順を規定することを目的とする。

7.17.2 

要求事項 

7.17.2.1

いずれの使用終了又は廃却業務にも先立って,影響解析を実施しなければならない。これには,

EUC

に関連する全 E/E/PE 安全関連系の機能安全に対する提示された廃却過程の影響評価を含む。影響解

析は,隣接 EUC 及びそれらの E/E/PE 安全関連系への影響を考慮しなければならない。この評価は,全

E/E/PE

系及びソフトウェアの安全ライフサイクルフェーズの,どの範囲をどの程度深く検討する必要があ

るかを決定するのに十分な潜在危険及びリスク解析を含まなければならない。

7.17.2.2  7.17.2.1

で規定された結果は,文書化しなければならない。

7.17.2.3

使用終了又は廃却フェーズは,機能安全管理に関わる手順に基づき,正式な要請がない限り開始

してはならない(箇条 参照)

7.17.2.4

要求された使用終了又は廃却の実施許可は,影響解析の結果に従わなければならない。

7.17.2.5

使用終了又は廃却に先立ち,計画を作成しなければならない。この計画には,次の手順を含む。

− E/E/PE 安全関連系の閉鎖

− E/E/PE 安全関連系の解体

7.17.2.6

使用終了又は廃却過程が E/E/PE 安全関連系の機能安全に対して影響を与える場合,全 E/E/PE 系

又はソフトウェアの安全ライフサイクルの適切なフェーズに戻らなければならない。その後の全てのフェ

ーズは,E/E/PE 安全関連系によって実施される安全機能の安全度水準に関して,この規格群で指定する手

順に従って実施しなければならない。

注記 1 E/E/PE 安全関連系によって実施される安全機能に関して,違った安全度水準の必要性をもた

らす潜在危険及びリスク解析の完全な実施が必要になることがある。

注記 2  使用終了又は廃却フェーズでの機能安全要求事項は,運用フェーズとは異なってもよい。

7.17.2.7

使用終了又は廃却過程の詳細を文書化し,かつ,次の事項を含み,経時的に記録し,維持しなけ

ればならない。

−  当該使用終了又は廃却業務の計画

−  当該影響解析

7.18

適合確認 

7.18.1 

目的 

この細分箇条の要求事項は,全 E/E/PE 系及びソフトウェアの安全ライフサイクルの各フェーズについて,

アウトプットが,全ての面において各フェーズに対する規定の目的及び要求事項を満たすことを見直し,

解析及び/又はテストによって実証することを目的とする。

7.18.2 

要求事項 

7.18.2.1

全 E/E/PE 系及びソフトウェアの安全ライフサイクルの各フェーズについて,各フェーズの開発

と同時に適合確認計画を作成しなければならない。

7.18.2.2

適合確認計画では,適合確認業務で使用する基準,技法及びツールについて文書化するか,又は

参照しなければならない。

7.18.2.3

適合確認は,適合確認計画に従って実施しなければならない。

注記  適合確認のための技術,方法の選定,及びそれらの適合確認業務に対する独立性の程度は,幾

つかの要因に依存するものであり,適用分野の製品規格などにおいて規定することもある。例


43

C 0508-1

:2012 (IEC 61508-1:2010)

えば,要因には,次の事項が含まれる。

−  プロジェクトの規模

−  複雑度

−  設計の新規性

−  技術の新規性

7.18.2.4

適合確認されたフェーズが,全ての観点から,十分に達成されたことを示す根拠によって適合確

認業務の情報を収集し,かつ,文書化しなければならない。

機能安全評価 

8.1 

目的 

この箇条の要求事項は,この規格群の関連の箇条への適合に基づいて,E/E/PE 安全関連系又は準拠項目

(例えば,要素及び/又は下位システム)によって達成される機能安全を調査し,その妥当性の判定に到

達するために必要な業務について規定することを目的とする。

8.2 

要求事項 

8.2.1

次の妥当性に対する判定に到達するために,一つ又は複数の機能安全評価を実施する一人又は複数

の人員を任命しなければならない。

−  この規格群の関連の箇条に関して,特定の環境内で E/E/PE 安全関連系によって達成される機能安全

−  要素及び/又は下位システムの場合に達成される,この規格群の関連の箇条への適合

8.2.2

機能安全評価実施者は,全 E/E/PE 系又はソフトウェアの安全ライフサイクル業務に関わる全ての

者,並びに関連する全ての情報及び機器(ハードウェア及びソフトウェアの両方)に接することができな

ければならない。

注記  安全ライフサイクルフェーズに以前関与した人々へアクセスができないことがあることは認識

されており,そのような場合は,必然的に,現時点で関連責任をもつ人々に頼らなければなら

ない。

8.2.3

機能安全評価は,機能安全の文書化,適合確認及び管理を含めて,全 E/E/PE 系及びソフトウェア

の安全ライフサイクルを通じた全てのフェーズに適用しなければならない。

8.2.4

機能安全評価を実施する人々は,全 E/E/PE 系及びソフトウェアの安全ライフサイクルの各フェー

ズを通じて実施された活動,及び得られたアウトプットを考慮し,十分な機能安全が達成されているかど

うかを,この規格群の目的及び要求事項に基づいて判定しなければならない。

8.2.5

機能安全を達成するために責任をもつ供給業者及び他の関係者によってなされる全ての適合の宣

言は,機能安全評価の中に含めなければならない。

注記  このような宣言は,運用システム,又は全 E/E/PE 系及びソフトウェアの安全ライフサイクルの

各フェーズにおける業務及び/又は機器の機能安全に寄与するために行われることがある。

8.2.6

機能安全評価は,割り出した潜在危険が顕在化する前に機能安全評価を実施しなければならないと

いう最優先の要求事項を条件として,全 E/E/PE 系及びソフトウェアの安全ライフサイクルの各フェーズの

後,又は幾つかの安全ライフサイクルフェーズの後に実施してもよい。

8.2.7

機能安全評価は,その適用範囲に関して機能安全監査が実施されたことの証拠の評価(全て又は一

部)を含まなければならない。

8.2.8

各機能安全評価は,少なくとも次の事項を考慮しなければならない。

−  前回の機能安全評価以降に行われた作業


44

C 0508-1

:2012 (IEC 61508-1:2010)

   

−  全 E/E/PE 系及びソフトウェアの安全ライフサイクルについて,更に機能安全評価を実施するための計

画又は戦略

−  前回の機能安全評価の推奨事項,及びそれらを満たすために変更が行われた範囲

8.2.9

各機能安全評価の計画を立てなければならない。計画では,次の事項を含めて,効果的な評価を行

いやすくするために必要な情報を規定しなければならない。

−  機能安全評価の範囲

−  関連する組織

−  必要な資源

−  機能安全評価を実施する者

−  機能安全評価を実施する者の独立性の程度

−  機能安全評価に関与する者の適性

−  機能安全評価からのアウトプット

−  機能安全評価が他の機能安全評価とどのように関連し,それとどのように統合させなければならない

か(6.2.1 参照)

注記 1  それぞれの機能安全評価範囲の設定には,各評価業務のためのインプットとして使用する

文書及びその改訂状況を指定する必要がある。

注記 2  計画は,機能安全評価に責任をもつ者及び/又は機能安全管理に責任をもつ者によって作

成することができる。

8.2.10

機能安全評価の実施に先立って,機能安全評価計画は,機能安全評価を実施する者及び機能安全管

理に責任をもつ者が承認しなければならない。

8.2.11

機能安全評価の結論に当たり,評価を実施する人々は,評価計画及び調査事項に従って,次の事項

を文書化しなければならない。

−  実施した業務内容

−  得られた調査成果

−  到達した結論

−  この規格群の要求事項に従った機能安全の妥当性の判定

−  評価から得られる推奨事項。合格,条件付き合格,又は不合格についての推奨事項を含む。

8.2.12

準拠項目の機能安全評価の関連アウトプットは,E/E/PE 安全関連系の設計者及び評価者を含め,

全 E/E/PE 系の又はソフトウェアの安全ライフサイクルに責任をもつ者が利用できるようにしなければな

らない。E/E/PE 安全関連系の評価のアウトプットは,E/E/PE 系統合者が利用できるようにしなければなら

ない。

注記  準拠項目とは,この規格群の箇条に関して主張がなされる項目(例  機器)である。

8.2.13

準拠項目の機能安全評価のアウトプットは,より大きな系との関連において評価結果の再利用が容

易になるように,次の情報を含まなければならない(IEC 61508-2:2010 の

附属書 DIEC 61508-3:2010 の

附属書 及び JIS C 0508-4 の 3.8.17 参照)。

a)

ハードウェア及びソフトウェアの改訂番号を含む,準拠項目の正確な識別

注記  準拠項目をより大きな系又は機器ファミリの一部として評価した場合は,その系又は機器フ

ァミリの正確な識別も文書化することが望ましい。

b)

評価中に仮定した条件(

例  E/E/PE 安全関連系の使用条件)

c)

評価の結論の基礎となった証拠文書への引用


45

C 0508-1

:2012 (IEC 61508-1:2010)

d)

決定論的対応能力を評価するために使用した手順,方法及びツール,並びにその有効性が正当だとい

う根拠

e)

ハードウェア安全度を評価するために使用した手順,方法及びツール,並びに採用した手法が正当だ

という根拠及びデータの品質(

例  故障率及び/又は分布データソース)

f)

この規格群の要求事項及び安全マニュアルにある準拠項目の安全特性の仕様に関連して得た評価結果

g)

この規格群の要求事項に対する許容された逸脱及び文書に記載した証拠の付随説明及び/又は引用文

8.2.14

機能安全評価を実施する者は,6.2.136.2.15 の要求事項に従って実施する活動に対する力量をも

っていなければならない。

8.2.15

機能安全評価を実施する者に関わる独立性の最低限の水準は,

表 及び表 による。適用分野の製

品規格などでは,規格への適合に関して,

表 及び表 に規定するものと異なる独立性の水準を規定する

ことがある。

表 及び表 の見方は,次による。

−  X:規定された独立性の水準は,特定された結果(

表 4)又は安全度水準/決定論的対応能力(表 5

にとって最低限のものである。これより低い独立性の水準を採用する場合は,

表 及び表 で規定す

る最低標準を使用しない論拠について,詳細に規定しなければならない。

− X1 及び X2:8.2.16 を参照。

−  Y:規定された独立性の水準は,特定された結果(

表 4)又は安全度水準/決定論的対応能力(表 5

にとって不十分であるとみなす。

8.2.16

表 及び表 においては,X,X1,X2 又は Y が表示されているセルだけを,独立性の水準を決定

するための根拠として使用しなければならない。X1 又は X2 が表示されているセルについては,アプリケ

ーションに固有の幾つかの要因に従って,X1 又は X2 のいずれかを適用する。X1 又は X2 を選択した論理

的根拠を詳述することが望ましい。X2 は,X1 よりも適切な水準とする。その要因は,次による。

−  類似の設計に対する,以前の経験の不足

−  より著しい複雑度

−  より著しい設計の新規性

−  より著しい技術の新規性

注記 1  企業の組織及び専門知識の程度によっては,独立した者,及び部局に関わる要求事項に適

合するために,外部組織の利用も生じる。逆に,リスク評価及び安全関連系の適用に熟達

した内部組織をもつ企業では,その内部組織が主要な開発に責務をもつ者から(管理体制

及び経営資源の観点で)独立かつ分離している場合,これを独立した組織,すなわち,要

求事項に適合する資源として有効に利用することができる。

注記 2  “独立した人員”,“独立した部局”及び“独立した組織”の定義については,それぞれ,

JIS C 0508-4

の 3.8.113.8.12 及び 3.8.13 を参照。

注記 3  機能安全評価を実施する者は,評価の範囲内の何らかに関して助言を行うときに,そのこ

とが独立性を損なうおそれがあるので慎重に行うことが望ましい。証拠不足のような,安

全が不十分であるという判定を抱かせかねない側面に関して助言することは,適切な場合

があるが,それらの側面又は他の問題に対する特定の救済策に関して助言又は推奨を行う

ことは,通常,不適切である。

8.2.17

表 との関連において,独立性の規定の水準に対する結果値は,次による。

−  結果 A:軽微な損傷(

例  機能の一時的な喪失)


46

C 0508-1

:2012 (IEC 61508-1:2010)

   

−  結果 B:一人又は複数の人に対する深刻な永久傷害,1 名の死亡

−  結果 C:数人の死亡

−  結果 D:多数の人の死亡

表 に規定する結果は,E/E/PE 安全関連系を含む,全てのリスク軽減措置の機能失敗の場合に生じ得る。

8.2.18

表 との関連において,独立性の最低の水準は,E/E/PE 安全関連系によって実施する最高安全度

水準をもつ安全機能に基づかなければならない,又は,要素及び/又は下位システムの場合は,安全度水

準の観点から規定された最高の決定論的対応能力をもつ。

表 4−機能安全評価を実施する者に関わる独立性の最低限の水準 

[全安全ライフサイクルフェーズ 1及び 1216(図 参照)] 

独立性の最低水準

結果(8.2.17 参照)

A B C D

独立した人員 X

X1

Y

Y

独立した部局

− X2 X1  Y

独立した組織

− X2  X

注記  この表の詳しい解説は,8.2.158.2.16 及び 8.2.17 を参照。

表 5−機能安全評価を実施する者に関わる独立性の最低限の水準 

E/E/PE 系及びソフトウェア安全ライフサイクルの全フェーズを含む 

安全ライフサイクルフェーズ 及び 10(図 2,図 及び図 参照)。] 

独立性の最低水準

安全度水準/決定論的対応能力

1 2 3 4

独立した人員 X

X1

Y

Y

独立した部局

− X2 X1  Y

独立した組織

− X2  X

注記  この表の詳しい解説は,8.2.158.2.16 及び 8.2.18 を参照。


47

C 0508-1

:2012 (IEC 61508-1:2010)

附属書 A

(参考)

文書の構成事例

A.1 

一般 

この附属書は,箇条 の要求事項に適合するために,文書化の構成事例,及び情報を構造化するための

文書を規定する方法を提供する。文書化には,次の事項を効果的に実施するために必要な情報が十分含ま

れなければならない。

−  全安全ライフサイクル,E/E/PE 系及びソフトウェア安全ライフサイクルの各々のフェーズ

−  機能安全の管理(箇条 参照)

−  機能安全評価(箇条 参照)

十分な情報の構成は,E/E/PE 安全関連系の複雑度及び規模,並びに当該適用に関わる要求事項を含んだ

幾つかの要素に依存する。必要とされる文書は,適用分野の製品規格などに詳細に規定することが望まし

い。

文書中に指定する各々の情報量は,数行から何ページにもわたる場合のように異なってもよい。また,

情報の完結したまとまりを分割し,一つ又は多数の物理的記録方法の中に記録してもよい。この物理的記

録方法も E/E/PE 安全関連系の複雑度及び規模に関連し,企業の方法及び各々の製品又は適用分野の実務的

慣行に関係する。

この附属書に示す文書化の構成事例は,情報が構成され,文書に標題を付ける一つの方法を解説するた

めのものである。詳細は,IEC 61506(参考文献[7])を参照。

文書とは,使用者及び/又はシステム間のユニットとして相互に交換され,人が認識するために情報を

一まとめに構成したものである[ISO 8613-1(参考文献[16])を参照]

。したがって,ここで記載する“文

書”の用語は,一般的に用いる“文書”だけではなく,データファイル及びデータベースの情報のような

ものにも適用する。

この規格群では,用語“文書”は,文書について規定している箇条又は細分箇条において,明らかに理

解できるか又は宣言される場合を除いて,物理的な記録というよりは,情報としての意味をもつと解釈で

きる。文書の表示方法は,どのような形態でもよい(

例  紙面,スクリーン又はディスプレイ上に表示す

るフィルム又はデータ媒体)

この附属書での文書化の構成事例では,文書を次の二つの部分に分ける。

−  文書の種類

−  働き又は目的

文書の種類は,ISO 8613-1(参考文献[16])に定義され,例えば,機能説明書,回路図などのように,文

書の内容が特徴付けられる。働き又は目的は,例えば,ポンプ制御系のように,内容の範囲を規定する。

この附属書に規定する基本的文書の種類を,次に示す。

仕様書  要求される機能,性能又は活動を指定する(例  要求仕様書)。

説明書  計画された又は実際の,機能,設計,性能又は活動を説明する(例  機能説明書)。

指示書  ある業務をいつまで,どのように実施するかの詳細な指示を規定する(例  操作指示書)。

計画書  当該業務がいつまで,どのように,誰によって実施するかの計画を規定する(例  保全計画

書)


48

C 0508-1

:2012 (IEC 61508-1:2010)

   

図面  線図(記号及び記号間の信号を表す線)によって機能を規定する。

一覧表  一覧表の形式で情報を提供する(例  配線一覧表,信号一覧表)。

記録  経時的な記録方式で事象についての情報を提供する。

報告書  調査,評価,テストなどの活動結果を説明する(例  試験報告書)。

要請書  要請によって,許可を受け,詳細化される業務の記述を提供する(例  保全要請書)。

文書の基本的な種類は,例えば,要求仕様書又はテスト仕様書のように,内容を特徴付ける用語を付け

ることがある。これによって,内容が更に詳細になる。

A.2 

安全ライフサイクル文書構成   

箇条 に規定する構成事例を,

表 A.1,表 A.2 及び表 A.3 に示す。これらの表は,当該文書に関係する

主な安全ライフサイクルフェーズ(通常,文書を作成するフェーズ)を示している。表中の文書に記載す

る名称は,A.1 に記載する体系に従っている。

表 A.1,表 A.2 及び表 A.3 に掲載する文書に加えて,例えば,部品一覧表,信号一覧表,ケーブル一覧

表,配線一覧表,ループ図,変数一覧表などの,詳細な追加情報又は特別な目的で構成された情報を与え

る補足的文書が存在してもよい。

注記  変数一覧表の事例には,調節器の値,変動に対する警告値,コンピュータでのタスクの優先順

がある。変数の幾つかの値は,システムの受渡し以前に与えられる場合がある。他の値は,引

渡し時又は保全時に与えられる。


49

C 0508-1

:2012 (IEC 61508-1:2010)

表 A.1−全安全ライフサイクルに関わる情報の文書構成事例 

全安全ライフサイクルフェーズ

情報の種類

概念

説明書(全概念)

全対象範囲の定義

説明書(全対象範囲の定義)

潜在危険及びリスク解析

説明書(潜在危険及びリスク解析)

全安全要求事項

仕様書(全安全機能要求事項及び全安全度要求事項から成る全安全要求事

項)

全安全要求事項の割当て

説明書(全安全要求事項の割当て)

全運用及び保全計画

計画書(全運用及び保全)

全安全妥当性確認計画

計画書(全安全妥当性確認)

全設置及び引渡し計画

計画書(全設置) 
計画書(全引渡し)

E/E/PE

系安全要求事項

仕様書(E/E/PE 系安全機能要求事項及び E/E/PE 系安全度要求で構成された

E/E/PE

系安全要求事項)

E/E/PE

安全関連系の実現

表 A.2 及び表 A.3 参照

全設置及び引渡し

報告書(全設置)

報告書(全引渡し)

全安全妥当性確認

報告書(全安全妥当性確認)

全運用及び保全

記録(全運用及び保全)

全部分改修及び改造

要請書(全部分改修)

報告書(全部分改修及び改造の影響解析) 
記録書(全部分改修及び改造)

使用終了又は廃却

報告書(全使用終了又は廃却) 
計画書(全使用終了又は廃却) 
記録(全使用終了又は廃却)

全てのフェーズに関連するもの

計画書(安全) 
計画書(適合確認)

報告書(適合確認) 
計画書(機能安全評価) 
報告書(機能安全評価)


50

C 0508-1

:2012 (IEC 61508-1:2010)

   

表 A.2E/E/PE 系安全ライフサイクルに関わる情報の文書構成事例 

E/E/PE

系安全ライフサイクルフェーズ

情報の種類

E/E/PE

系妥当性確認計画

計画書(E/E/PE 系安全妥当性確認)

E/E/PE

系の設計及び開発

E/E/PE

系アーキテクチャ

説明書(ハードウェア及びソフトウェアアーキテクチャから成る E/E/PE 系

アーキテクチャ設計) 
仕様書(プログラマブル電子統合テスト) 
仕様書(プログラマブル電子及び非プログラマブル電子ハードウェアの統

合テスト)

ハードウェアアーキテクチャ

説明書(ハードウェアアーキテクチャ設計) 
仕様書(ハードウェアアーキテクチャ統合テスト)

ハードウェアモジュール設計

仕様書(ハードウェアモジュール設計) 
仕様書(ハードウェアモジュールテスト)

部品の製造及び/又は調達

ハードウェアモジュール

報告書(ハードウェアモジュールテスト)

プログラマブル電子の統合

報告書(プログラマブル電子のハードウェアとソフトウェアとの統合テス

ト:

表 A.3 参照)

E/E/PE

系の統合

報告書(プログラマブル電子と他のハードウェアとの統合テスト)

E/E/PE

系の運用及び保全の手順

取扱説明書(使用者) 
説明書(運用及び保全)

E/E/PE

系の安全妥当性確認

報告書(E/E/PE 系安全妥当性確認)

E/E/PE

系の部分改修

説明書(E/E/PE 系部分改修手順)

要請書(E/E/PE 系部分改修) 
報告書(E/E/PE 系部分改修の影響解析) 
記録(E/E/PE 系部分改修)

全フェーズに関連するもの

計画書(E/E/PE 系安全) 
計画書(E/E/PE 系適合確認)

報告書(E/E/PE 系適合確認) 
計画書(E/E/PE 系機能安全評価) 
報告書(E/E/PE 系機能安全評価)

関連する全フェーズに関するもの

準拠項目に対する安全マニュアル


51

C 0508-1

:2012 (IEC 61508-1:2010)

表 A.3−ソフトウェア安全ライフサイクルに関わる情報の文書構成事例 

ソフトウェア安全ライフサイクルフェーズ

情報の種類

ソフトウェア安全要求事項

仕様書(ソフトウェアの安全機能及びソフトウェア安全度要求から成る

ソフトウェア安全要求事項)

ソフトウェア妥当性確認計画

計画書(ソフトウェア安全妥当性確認)

ソフトウェアの設計及び開発

ソフトウェアのアーキテクチャ

説明書(ソフトウェアアーキテクチャ設計)

表 A.2 のハードウェアアー

キテクチャ設計説明書参照) 
仕様書(ソフトウェアアーキテクチャ統合テスト) 
仕様書(プログラマブル電子のハードウェア及びソフトウェアとの統合

テスト) 
取扱説明書(開発ツール及びコーディングマニュアル)

ソフトウェアシステム設計

説明書(ソフトウェアシステム設計)

仕様書(ソフトウェアシステム統合テスト)

ソフトウェアモジュール設計

仕様書(ソフトウェアモジュール設計) 
仕様書(ソフトウェアモジュールテスト)

コーディング

一覧表(ソースコード) 
報告書(ソフトウェアモジュールテスト) 
報告書(コードレビュー)

ソフトウェアモジュールテスト

報告書(ソフトウェアモジュールテスト)

ソフトウェア統合

報告書(ソフトウェアモジュール統合テスト) 
報告書(ソフトウェアシステム統合テスト)

報告書(ソフトウェアアーキテクチャ統合テスト)

プログラマブル電子の統合

報告書(プログラマブル電子のハードウェア及びソフトウェアとの統合

テスト)

ソフトウェアの運用及び保全手順

取扱説明書(使用者) 
説明書(運用及び保全)

ソフトウェア安全妥当性確認

報告書(ソフトウェア安全妥当性確認)

ソフトウェア部分改修

説明書(ソフトウェア部分改修手順) 
要請書(ソフトウェア部分改修) 
報告書(ソフトウェア部分改修の影響解析)

記録(ソフトウェア部分改修)

全フェーズに関連するもの

計画書(ソフトウェア安全)

計画書(ソフトウェア適合確認) 
報告書(ソフトウェア適合確認) 
計画書(ソフトウェア機能安全評価)

報告書(ソフトウェア機能安全評価)

関連する全フェーズに関するもの

準拠項目に対する安全マニュアル

A.3 

具体的な文書構成 

文書の具体的な構成とは,異なる文書を大小のグループに組み合わせる方法である。同じ文書が異なる

セットに存在してよい。

大規模で複雑なシステムでは,多数の文書が幾つかの文章のまとまりに分割される場合がある。限られ

た数の文書をもつ小規模で低複雑度のシステムでは,異なる文書のセットごとに異なる見出しを付けた一

つの文書のまとまりの中に文書を組み込んでもよい。

図 A.1 に,使用者グループごとの文書セットの例を

示す。


52

C 0508-1

:2012 (IEC 61508-1:2010)

   

具体的な文書構成は,当該業務を実行する者又はグループが当該業務ごとに要求される具体的な文書化

の選定手段を提供する。したがって,幾つかの文書は,具体的には幾つかの文書の一まとまり又は他の媒

体(

例  記録媒体)に存在してもよい。

注記  表 A.1 の文書に要求される情報は,図 A.1 に示した文書の異なるセットの中に含まれる可能性

がある。例えば,エンジニアリング用のセットの中に,潜在危険及びリスク解析説明書及び/

又は全安全要求仕様を含めてもよい。

図 A.1−使用者グループごとの文書セットへの情報の構成 

A.4 

文書の一覧表 

文書の一覧表は,標準的に次のような事項を含む。

−  図面又は文書番号

−  改訂番号

−  文書指定コード

−  標題

−  改訂の日付

−  データ媒体

小 規 模 で 低 複
雑 度 の シ ス テ
ム の 使 用 者 の

た め の 文 書

セ ッ ト

完 全 な 文 書 セ ッ ト

大 規 模 で 高 複 雑 度 の シ ス テ ム の 使 用 者 の た め の 文 書 セ ッ ト

製 造 業 者 用 の

セ ッ ト

エ ン ジ ニ ア リ ン グ 用 の

セ ッ ト (再 エ ン ジ ニ ア

リ ン グ 用 の セ ッ ト )

調 整 試 験 用 の

セ ッ ト

保 全 用 の セ ッ ト

運 転 員 用 の

セ ッ ト

全 安 全

妥 当 性 確 認

報 告 書

潜 在 危 険 及 び

リ ス ク 解 析

説 明 書

全 安 全 要 求 仕

様 書

E/E/PE 安 全

要 求 仕 様 書

ソ フ ト ウ ェ ア

安 全 要 求

仕 様 書


53

C 0508-1

:2012 (IEC 61508-1:2010)

この一覧表は,例えば,図面,文書番号又は文書指定コードによって分類可能なデータベースのように,

様々な形式をとることができる。文書指定コードは,文書に表現された機能,位置又は製品の参照記号を

含めることができ,情報を検索するときに有効な手段となる。


54

C 0508-1

:2012 (IEC 61508-1:2010)

   

参考文献

[1]  JIS C 0511

(全ての部)  機能安全−プロセス産業分野の安全計装システム

注記  対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the

process industry sector

(IDT)

[2]  JIS B 9961

  機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能安全

注記  対応国際規格:IEC 62061,Safety of machinery−Functional safety of safety-related electrical,

electronic and programmable electronic control systems

(IDT)

[3]  IEC 61800-5-2

,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional

[4]  IEC/TR 61508-0:2005

, Functional safety of electrical/electronic/programmable electronic safety-related

systems

−Part 0: Functional safety and IEC 61508

[5]  IEC 61508-6:2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

[6]  IEC 61508-7:2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 7: Overview of techniques and measures

[7]  IEC 61506:1997

,Industrial-process measurement and control−Documentation of application software

[8]  Managing Competence for Safety-Related Systems, IET/BCS/HSE, 2007; (Part 1: Key guidance; Part 2

Supplementary material). HSE. 2007

[9]  IEC 60300-3-1:2003

,Dependability management−Part 3-1: Application guide−Analysis techniques for

dependability

−Guide on methodology

[10] JIS C 5750-3-1

  ディペンダビリティ管理−第 3-1 部:適用の指針−ディペンダビリティ解析手法の指

注記  対応国際規格:IEC 60300-3-1:2003,Dependability management−Part 3-1: Application guide−

Analysis techniques for dependability

−Guide on methodology(IDT)

[11]  IEC 60300-3-9:1995

,Dependability management−Part 3: Application guide−Section 9: Risk analysis of

technological systems

[12] IEC 61882: 2001

,Hazard and operability studies (HAZOP studies)−Application guide

[13] NUREG/CR-4780, Volume 1, January 1988, Procedures for treating common cause failures in safety and

reliability studies

−Procedural framework and examples

[14] NUREG/CR-4780, Volume 2, January 1989, Procedures for treating common cause failures in safety and

reliability studies

−Analytical background and techniques

[15] IEC 61326-3-1

,Electrical equipment for measurement, control and laboratory use−EMC requirements−Part

3-1: Immunity requirements for safety-related systems and for equipment intended to perform safety-related

functions (functional safety)

−General industrial applications

[16] ISO 8613-1:1994

,Information technology−Open Document Architecture (ODA) and interchange format:

Introduction and general principles

[17] JIS C 0451

  電気及び関連分野−プラント,システム及び装置用の技術文書の分類及び指定

注記  対応国際規格:IEC 61355 (all parts),Classification and designation of documents for plants,

systems and equipment


55

C 0508-1

:2012 (IEC 61508-1:2010)

[18] IEC 60601 (all parts)

,Medical electrical equipment

[19] IEC/TS 61000-1-2

, Electromagnetic compatibility (EMC) − Part 1-2: General − Methodology for the

achievement of functional safety of electrical and electronic systems including equipment with regard to

electromagnetic phenomena

[20] IEC 61508-5: 2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems

−Part 5: Examples of methods for the determination of safety integrity levels

[21] IEC 62443 (all parts)

,Industrial communication networks−Network and system security

[22] ISO/IEC/TR 19791

, Information technology− Security techniques− Security assessment of operational

systems