>サイトトップへ >このカテゴリの一覧へ

C 0508-2

:2014 (IEC 61508-2:2010)

(1)

目  次

ページ

序文  

1

1

  適用範囲  

3

2

  引用規格  

5

3

  用語,定義及び略語  

6

4

  この規格群への適合  

6

5

  文書化  

6

6

  機能安全の管理  

6

7

  E/E/PE 系安全ライフサイクル要求事項  

6

7.1

  一般  

6

7.2

  E/E/PE 系設計要求仕様  

10

7.3

  E/E/PE 系安全妥当性確認計画  

12

7.4

  E/E/PE 系設計及び開発  

13

7.5

  E/E/PE 系統合  

35

7.6

  E/E/PE 系の運用及び保全の手順  

36

7.7

  E/E/PE 系の安全妥当性確認  

37

7.8

  E/E/PE 系の部分改修  

38

7.9

  E/E/PE 系適合確認  

39

8

  機能安全評価  

40

附属書 A(規定)E/E/PE 安全関連系の技法及び手段−運用中の故障の制御  

41

附属書 B(規定)E/E/PE 安全関連系の技法及び手段−ライフサイクルの様々なフェーズ中の決定論的原因

故障の回避  

56

附属書 C(規定)診断カバー率及び安全側故障割合  

67

附属書 D(規定)準拠項目に対する安全マニュアル  

70

附属書 E(規定)オンチップ冗長をもつ集積回路(IC)の特殊アーキテクチャ要求事項  

72

附属書 F(参考)ASIC の技法及び手段−決定論的原因故障の回避  

78

参考文献  

87


C 0508-2

:2014 (IEC 61508-2:2010)

(2)

まえがき

この規格は,工業標準化法第 14 条によって準用する第 12 条第 1 項の規定に基づき,一般社団法人日本

電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工

業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工

業規格である。

これによって,JIS C 0508-2:2000 は改正され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS C 0508

の規格群には,次に示す部編成がある。

JIS

C

0508-1

  第 1 部:一般要求事項

JIS

C

0508-2

  第 2 部:電気・電子・プログラマブル電子安全関連系に対する要求事項

JIS

C

0508-3

  第 3 部:ソフトウェア要求事項

JIS

C

0508-4

  第 4 部:用語の定義及び略語

JIS

C

0508-5

  第 5 部:安全度水準決定方法の事例(改正予定)

JIS

C

0508-6

  第 6 部:第 2 部及び第 3 部の適用指針(改正予定)

JIS

C

0508-7

  第 7 部:技術及び手法の概観(改正予定)


日本工業規格

JIS

 C

0508-2

:2014

(IEC 61508-2

:2010

)

電気・電子・プログラマブル電子安全関連系の

機能安全−第 2 部:電気・電子・プログラマブル

電子安全関連系に対する要求事項

Functional safety of electrical/electronic/programmable electronic

safety-related systems-Part 2: Requirements for

electrical/electronic/programmable electronic safety-related systems

序文 

この規格は,2010 年に第 2 版として発行された IEC 61508-2 を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。

電気及び/又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年

使用されてきた。一般に,プログラマブル電子系と呼ばれるコンピュータを用いたシステムは,あらゆる

適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用される

ようになった。コンピュータシステムの技術が,効果的,かつ,安全に活用されるためには,意思決定を

行うための安全の考え方に関する十分な手引書が必須である。

この規格群及び IEC 61508 の規格群では,電気・電子・プログラマブル電子(以下,E/E/PE という。

の要素から成るシステムが,安全機能を履行するための全ての安全ライフサイクル業務に対する包括的な

扱い方について規定している。この統一された扱い方は,全ての電気的な安全関連系にわたって,合理的

かつ整合性がある技術指針を展開するためのものである。主な目的の一つは,JIS C 0508IEC 61508)規

格群を基本とした適用分野の製品規格などの制定を容易にし,促進することである。

注記 1  JIS C 0508IEC 61508)規格群を基本とした適用分野の製品規格などの事例を,参考文献(JIS 

C 0511

JIS B 9961 及び IEC 61800-5-2)に示す。

多くの状況下では,安全性は,幾つかのシステムによって達成され,複数の技術(

例  機械,液圧,空

気圧,E/E/PE 技術)に依存している。したがって,いかなる安全対策においても,個々のシステム(

例  セ

ンサ,制御機器,アクチュエータ)の要素だけでなく,全システムを構成する全ての安全関連系を考慮し

なければならない。このため,この規格群及び IEC 61508 の規格群は,一義的には E/E/PE 安全関連系を対

象とするが,更にその他の技術を基本とした安全関連系を対象とする安全の枠組みも提供する。

様々な適用分野において,E/E/PE 安全関連系を使用した応用は,多岐にわたり,多様な潜在危険及びリ

スクが存在することによって生じる複雑さに対応するものとして認識されている。いかなる適用において

も,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。この規格群及び IEC 61508

の規格群は,

包括的であるため,

今後の適用分野の製品規格などの制定版及び既存規格の改正版において,


2

C 0508-2

:2014 (IEC 61508-2:2010)

個々の手段の形成を可能とする。

この規格群及び IEC 61508 の規格群は,次の特徴をもつ。

−  安全機能を遂行するために E/E/PE 系を使用する場合の,最初の概念から,設計,実装,運用及び保全

を経て廃却に至る全 E/E/PE 系及びソフトウェアの安全ライフサイクルフェーズを考慮する。

−  急速に進歩する技術を念頭において作成された枠組みは,将来の展開に対応できる十分な耐力があり,

かつ,包括的である。

− E/E/PE 安全関連系に関して,適用分野の製品規格などを開発することを可能とする。この規格群及び

IEC 61508

の規格群の枠組み内で適用分野の製品規格などを開発することによって,適用分野内及び

適用分野間の一貫性(

例  基礎となる原理・原則,用語などの整合性)を高水準に導く。これは,安

全上かつ経済上有益である。

− E/E/PE 安全関連系に対して要求される機能安全の達成に必要な安全要求仕様を開発する方法論を提

供する。

−  安全度に関わる要求事項の決定に当たって,リスクを基本とした方法論を適用する。

− E/E/PE 安全関連系によって実装された安全機能に対して,安全度の目標水準を特定するための安全度

水準を導入する。

注記 2  この規格群及び IEC 61508 の規格群は,いかなる安全機能についても安全度水準に対する

要求事項を規定することはなく,また,安全度水準を決定する方法についても規定するこ

とはない。この規格群及び IEC 61508 の規格群は,むしろ,リスクに基づいた概念的枠組

み及び技法の事例を提供するものである。

− E/E/PE 安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設定する。

−  単一の E/E/PE 安全関連系が実現する安全機能に対して,目標機能失敗尺度の最小値を設定する。それ

らは,運用モードに応じて次による。

−  低頻度作動要求モードの場合,作動要求時の危険側機能失敗時間平均確率(PFD

avg

)を 10

5

に設定

する。

−  高頻度作動要求モード又は連続モードの場合,単位時間当たりの時間平均危険側故障頻度(PFH

を 10

9

[1/h]に設定する。

注記 3  単一の E/E/PE 安全関連系とは,必ずしも単一チャネル構成を意味するものではない。

注記 4  複雑でないシステムについては,目標安全度をより小さな値で安全関連系の設計をするこ

とが可能であるが,これらの限界値は,現時点で比較的複雑なシステム(

例  プログラマ

ブル安全関連系)に対して達成できるものを表しているものとみなされている。

−  産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの,

回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に

関連した目標機能失敗尺度は,この規格に規定する要求事項を全て満たしている場合は,達成してい

るとみなしてもよい。

−  決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論

的対応能力を導入する。

− E/E/PE 安全関連系に対して,機能安全を達成するために多岐にわたる原理,技法及び手段を適用する

が,

“フェールセーフ”の概念は明示的には使用しない。ただし,

“フェールセーフ”及び“固有(本

質)安全”の原理は,この規格の関連する要求事項に適合することを条件として適用してもよい。


3

C 0508-2

:2014 (IEC 61508-2:2010)

適用範囲 

1.1

この規格の適用範囲は,次による。

a)

機能安全の達成のための全枠組みについて規定している JIS C 0508-1 を十分に理解した上で,この規

格を使用することを前提にしている。

b)  JIS C 0508-1

で定義する一つ以上の E/E/PE 要素を,JIS C 0508-1 で定義する安全関連系に適用する。

c) E/E/PE

安全関連系内の全ての要素(センサ,アクチュエータ及びオペレータインタフェースを含む)

に適用する。

d)  JIS C 0508-1

に従って作成した E/E/PE 系安全要求仕様

(E/E/PE 系安全機能要求事項の仕様,

及び E/E/PE

系安全度要求事項の仕様を含む)を,E/E/PE 系設計要求仕様に精緻化する方法について規定する。

e) E/E/PE

安全関連系の設計及び製造の期間中に適用する業務のための要求事項について規定する(すな

わち,E/E/PE 系安全ライフサイクルモデルを確立する)が,JIS C 0508-3 で取り扱うソフトウェアを

除く(

図 2∼図 参照)。これらの要求事項には,フォールト及び故障の回避及び管理のための,安全

度水準に基づいて等級付けした技法及び手段の適用を含む。

f) E/E/PE

安全関連系の設置,引渡し及び最終安全妥当性確認の実施に必要な情報について規定する。

g) E/E/PE

安全関連系の運用及び保全フェーズには適用しない(これは JIS C 0508-1 で取り扱う)

。ただ

し,この規格は,E/E/PE 安全関連系の運用及び保全で使用者が必要とする情報及び手順の準備に関す

る要求事項について規定する。

h) E/E/PE

安全関連系の部分改修を実施する組織が満たさなければならない要求事項について規定する。

注記 1  この規格は,主に供給者及び/又は社内エンジニアリング部門に向けたものであるため,

部分改修のための要求事項を含む。

注記 2  この規格と JIS C 0508-3 との関係を,図 に示す。

i)

IEC 60601

規格群に適合する医用機器には適用しない。

注記 3  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 61508-2:2010

,Functional safety of electrical/electronic/programmable electronic safety-

related systems − Part 2: Requirements for electrical/electronic/programmable electronic 
safety-related systems(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”

ことを示す。

1.2

この規格群及び IEC 61508 の規格群のうち,JIS C 0508-1(第 1 部)

,この規格(第 2 部)

JIS C 0508-3

(第 3 部)及び JIS C 0508-4(第 4 部)は,低複雑度 E/E/PE 安全関連系(JIS C 0508-4 の 3.4.3 参照)には

適用しないが,基本安全規格である。この規格群及び IEC 61508 の規格群は,IEC Guide 104 及び ISO/IEC 

Guide 51

に規定する原則に従って規格を策定するとき,原案作成委員会が基本安全規格として使用するこ

とを意図している。また,JIS C 0508-1JIS C 0508-2JIS C 0508-3 及び JIS C 0508-4 は,独立した規格

として使用することも意図している。この規格群及び IEC 61508 の規格群の各分野で水平展開できる安全

機能は,JIS T 0601 規格群及び IEC 60601 規格群に適合する医療機器には適用しない。

1.3

個別の製品規格等の開発における責務の一つは,可能な限り,これらの開発段階において基本安全

規格群の活用を図ることにある。この関係から,この規格群及び IEC 61508 規格群で規定する要求事項,

テスト方法及びテスト条件は,個別の製品規格等で必要ならば,それらの規格に引用又は規定するので,

個別の製品規格等にあえて引用されず又は規定されていない場合,個別の製品規格等には適用しない。

注記 E/E/PE 安全関連系の機能安全は,全ての関連要求事項を満たして,初めて達成できる。したが


4

C 0508-2

:2014 (IEC 61508-2:2010)

って,全ての関連要求事項を注意深く検討し,適切に参照することが重要である。

1.4 

図 に,この規格群及び IEC 61508 規格群の全枠組み及び E/E/PE 安全関連系に対する機能安全達成

におけるこの規格

JIS C 0508-2

の役割を示す。

JIS C 0508-6

附属書 に,JIS C 0508-2 及び JIS C 0508-3

の適用について規定されている。

技術的要求事項

その他の要求事項

第  

用語の定義

及び略語

第  
文書化

箇条 及び

附属書 A

第  

機能安全の管理

箇条 6

第  

機能安全評価

箇条 8

第  

安全度水準の決定

のための方法の例

第  

第 部及び第 3

部の適用指針

第  

E/E/PE 安全関連系に対する

要求仕様

7.10 

第  

技術及び手段の

概観

第  

E/E/PE 安全関連系の設置,引渡し及び

安全妥当性確認

7.13

7.14 

第  

E/E/PE 安全関連系の運用及び保全,修理,

部分改修及び改造,使用終了又は廃却

7.15

7.17 

第  

E/E/PE 安全

関連系の実現

フェーズ

第  

安全関連ソフト

ウェアの実現

フェーズ

第  

E/E/PE 安全関連系への

安全要求事項の割当て

7.6 

第  

全体要求事項の作成

(概念,適用範囲,定義,潜在危険及

びリスク解析)

7.1

7.5

図 1−この規格群(JIS C 0508 規格群)の全枠組み 


5

C 0508-2

:2014 (IEC 61508-2:2010)

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。

は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。

)を適用する。

JIS C 0508-1

  電気・電子・プログラマブル電子安全関連系の機能安全−第 1 部:一般要求事項

注記  対 応 国 際 規 格 : IEC 61508-1:2010 , Functional safety of electrical/electronic/programmable

electronic safety-related systems−Part 1: General requirements(IDT)

JIS C 0508-3

  電気・電子・プログラマブル電子安全関連系の機能安全−第 3 部:ソフトウェア要求事

注記  対 応 国 際 規 格 : IEC 61508-3:2010 , Functional safety of electrical/electronic/programmable

electronic safety-related systems−Part 3: Software requirements(IDT)

JIS C 0508-4

  電気・電子・プログラマブル電子安全関連系の機能安全−第 4 部:用語の定義及び略語

注記  対 応 国 際 規 格 : IEC 61508-4:2010 , Functional safety of electrical/electronic/programmable

electronic safety-related systems−Part 4: Definitions and abbreviations(IDT)

JIS C 1806-3-1

  計測,制御及び試験室用の電気装置−電磁両立性要求事項−第 3-1 部:安全関連シス

テム及び安全関連機能(機能安全)の遂行を意図した装置に対するイミュニティ要求事項−一般

工業用途

注記  対応国際規格:IEC 61326-3-1,Electrical equipment for measurement, control and laboratory use

−EMC requirements−Part 3-1: Immunity requirements for safety-related systems and for equipment

intended to perform safety-related functions (functional safety)−General industrial applications

(IDT)

JIS C 8201-5-1

  低圧開閉装置及び制御装置−第 5 部:制御回路機器及び開閉素子−第 1 節:電気機械

式制御回路機器

注記  対応国際規格:IEC 60947-5-1,Low-voltage switchgear and controlgear−Part 5-1: Control circuit

devices and switching elements−Electromechanical control circuit devices(IDT)

IEC/TS 61000-1-2

, Electromagnetic compatibility (EMC) − Part 1-2: General − Methodology for the

achievement of functional safety of electrical and electronic systems including equipment with regard to

electromagnetic phenomena

IEC 61508-7:2010

,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 7: Overview of techniques and measures

注記  この規格の規定の一部ではない。

IEC 61784-3

,Industrial communication networks−Profiles−Part 3: Functional safety fieldbuses−General

rules and profile definitions

注記  この規格の規定の一部ではない。

IEC 62280-1

,Railway applications−Communication, signalling and processing systems−Part 1: Safety-

related communication in closed transmission systems

IEC 62280-2

,Railway applications−Communication, signalling and processing systems−Part 2: Safety-

related communication in open transmission systems

IEC Guide 104:1997

,The preparation of safety publications and the use of basic safety publications and group

safety publications


6

C 0508-2

:2014 (IEC 61508-2:2010)

ISO/IEC Guide 51:1999

,Safety aspects−Guidelines for their inclusion in standards

用語,定義及び略語 

この規格群で用いる主な用語及び定義並びに略語は,JIS C 0508-4 による。

この規格群への適合 

この規格群に適合するための要求事項は,JIS C 0508-1 の箇条 による。

文書化 

文書化の要求事項は,JIS C 0508-1 の箇条 による。

機能安全の管理 

機能安全の管理の要求事項は,JIS C 0508-1 の箇条 による。

7 E/E/PE

系安全ライフサイクル要求事項 

7.1 

一般 

7.1.1 

目的及び要求事項:一般 

7.1.1.1

この箇条では,E/E/PE 系安全ライフサイクルフェーズの目的及び要求事項を規定する。

注記  全安全ライフサイクルの目的及び要求事項は,この規格群の構成に関する総論と共に JIS C 

0508-1

に規定してある。

7.1.1.2 E/E/PE

系安全ライフサイクルの全フェーズに対して,

表 に次の事項を示す。

−  達成しなければならない目的

−  フェーズの適用範囲

−  要求事項を含む箇条の参照先

−  フェーズへの必要な引継ぎ事項

−  箇条に適合するために必要な引渡し事項

7.1.2 

目的 

7.1.2.1

第一の目的は,E/E/PE 安全関連系に必要な機能安全を達成するために考慮しなければならない,

E/E/PE 系安全ライフサイクルにおけるフェーズを,系統的な方法で構築する。

7.1.2.2

第二の目的は,E/E/PE 系安全ライフサイクル全体にわたり,E/E/PE 安全関連系の機能安全に関連

する全ての情報を,文書化する。

7.1.3 

要求事項 

7.1.3.1

この規格群への適合を主張するために用いなければならない E/E/PE 系安全ライフサイクルを,

図 で指定する。ASIC(Application Specific Integrated Circuit)の設計のための ASIC 開発ライフサイクル

の詳細な V モデル(JIS C 0508-4 の 3.2.15 参照)を

図 に示す。別の E/E/PE 系安全ライフサイクル又は

ASIC 開発ライフサイクルを用いる場合は,そのことを機能安全業務の管理の一環として規定しなければ

ならない(JIS C 0508-1 の箇条 参照)

。また,この規格の各箇条の全ての目的及び要求事項を満たさなけ

ればならない。

注記 1  この規格と JIS C 0508-3 との関係及び両規格の適用範囲を,図 に示す。

注記 2 ASIC 設計プロセスとソフトウェア設計プロセスとの間には,顕著な類似性がある。JIS C 


7

C 0508-2

:2014 (IEC 61508-2:2010)

0508-3

は,安全関連ソフトウェアの設計に対して V モデルを推奨している。V モデルは,決

定論的原因フォールトを回避し管理するために,明確に構造化した設計プロセス及びモジュ

ールソフトウェア構造が必要である。

図 における ASIC の設計のための ASIC 開発ライフ

サイクルは,このモデルに従っている。まず,ASIC 仕様の要求事項を,システム要求事項か

ら導き出す。その後に,ASIC アーキテクチャ,ASIC 設計及びモジュール設計が続く。V の

左側の各ステップの結果は,次のステップへの引継ぎ事項となり,また適宜,最終コードを

作成するまで,繰返しのために直前のステップにフィードバックする。最終コードは,レイ

アウト後のシミュレーション,モジュールテスト,モジュール統合テスト及び ASIC 全体の

適合確認を通して,対応する設計に従って適合性を確認する。どのようなステップであれ,

その結果は,それに先行する全てのステップに対して修正を必要とすることがある。最後に,

E/E/PE 安全関連系へ ASIC を統合した後に,その妥当性を確認する。

7.1.3.2

機能安全の管理のための手順(JIS C 0508-1 の箇条 参照)は,E/E/PE 系安全ライフサイクルフ

ェーズと並行して実施しなければならない。

7.1.3.3 E/E/PE

系安全ライフサイクルの各フェーズは,各フェーズについて規定した適用範囲,引継ぎ事

項及び引渡し事項をもつ基本業務に分割しなければならない(

表 参照)。

7.1.3.4 E/E/PE

系安全ライフサイクルの各フェーズの引渡し事項は,機能安全の業務の管理(JIS C 0508-1

の箇条 参照)の一環として正当性を裏付ける根拠がない限り,文書化しなければならない(JIS C 0508-1

の箇条 参照)

7.1.3.5 E/E/PE

系安全ライフサイクルの各フェーズからの引渡し事項は,各フェーズについて規定した目

的及び要求事項を満たさなければならない(7.27.9 参照)

表 1−概要−E/E/PE 系安全ライフサイクルの実現フェーズ 

安全ライフサイクル

フェーズ又は業務

目的

適用範囲

要求事項

細分箇条

引継ぎ事項

引渡し事項

図 
ボック
ス番号

表題

10.1 

E/E/PE 系設計
要求仕様

サブシステム及び要素
に関して,各 E/E/PE 安
全関連系の設計要求事
項を規定する。

JIS C 0508-1 の 7.10.2

参照)

E/E/PE 安
全関連系

7.2.2 

E/E/PE 系安全要求
仕様

JIS C 0508-1 

7.10

参照)

E/E/PE 系の機器及
びアーキテクチャ
を記述する E/E/PE
系設計要求仕様。

10.2 

E/E/PE 系安全
妥当性確認計

E/E/PE 安全関連系の安
全妥当性確認を計画す
る。

E/E/PE 安
全関連系

7.3.2 

E/E/PE 系安全要求
仕様及び E/E/PE 系
設計要求仕様

E/E/PE 安全関連系
の安全妥当性確認
計画。


8

C 0508-2

:2014 (IEC 61508-2:2010)

表 1−概要−E/E/PE 系安全ライフサイクルの実現フェーズ(続き) 

安全ライフサイクル

フェーズ又は業務

目的

適用範囲

要求事項

細分箇条

引継ぎ事項

引渡し事項

図 
ボック
ス番号

表題

10.3 

ASIC 及 び ソ
フトウェアを
含む E/E/PE 系
設 計 及 び 開
発。

図 及び JIS 

C 0508-3

も参

照)

E/E/PE 系設計要求仕様

[安全機能要求事項及び

安全度要求事項(7.2 
照)を伴う]を満たすた
めに,

E/E/PE 安全関連系

(適宜,ASIC を含む)を

設計及び開発する。

E/E/PE 安
全関連系

7.4.2 

7.4.11

E/E/PE 系設計要求
仕様

E/E/PE 系設計要求
仕 様 に 適 合 す る
E/E/PE 安全関連系
の設計。 
 
E/E/PE 系統合テス
トの計画。 
 
ソフトウェア要求
仕様への引継ぎ事
項としての PE 系
アーキテクチャ情
報。

10.4 

E/E/PE 系統合 E/E/PE 安全関連系を統

合してテストする。

E/E/PE 安
全関連系

7.5.2 

E/E/PE 系設計 
 
E/E/PE 系統合テス
ト計画 
 
プログラマブル電
子ハードウェア及
びソフトウェア

E/E/PE 系設計に適
合した,完全に機
能を果す E/E/PE 安
全関連系。 
 
E/E/PE 系統合テス
トの結果。

10.5 

E/E/PE 系の設
置,引渡し,
運用及び保全
の手順

運 用 及 び 保 全 中 に
E/E/PE 安全関連系が,必
要とする機能安全を確
実に維持する手順を開
発する。

E/E/PE 安
全関連系
 
EUC

7.6.2 

E/E/PE 系安全要求
仕様。 
 
E/E/PE 系設計。

個々の E/E/PE 系に
関する E/E/PE 系の
設置,引渡し,運
用 及 び 保 全 の 手
順。

10.6 

E/E/PE 系安全
妥当性確認

E/E/PE 安全関連系が,必
要とする安全機能及び
安全度に関して,全ての
点で要求事項を満たし
ていることを妥当性確
認する。

E/E/PE 安
全関連系

7.7.2 

E/E/PE 系安全要求
仕様及び E/E/PE 系
設計要求仕様。 
 
E/E/PE 安全関連系
の安全妥当性確認
計画。

完全に安全妥当性
確認された E/E/PE
安全関連系。 
 
E/E/PE 系安全妥当
性確認の結果。

− E/E/PE 系

部分改修

E/E/PE 安全関連系の修
正,機能強化又は改造を
行い,必要な安全度を確
実に達成し維持する。

E/E/PE 安
全関連系

7.8.2 

E/E/PE 系設計要求
仕様

E/E/PE 系部分改修
の結果

− E/E/PE 系

適合確認

所定のフェーズの引渡
し事項をテストして評
価し,当該フェーズに対
する引継ぎ事項として
与えられる製品及び規
格に関して,正確さ及び
一貫性を確実にする。

E/E/PE 安
全関連系

7.9.2 

上に同じ− 
フェーズによって
異なる。 
 
各 フ ェ ー ズ の
E/E/PE 安全関連系
の適合確認計画。

上に同じ− 
フェーズによって
異なる。 
 
各 フ ェ ー ズ の
E/E/PE 安全関連系
の適合確認の結果

− E/E/PE 系機能

安全の評価

E/E/PE 安全関連系が達
成する機能安全に関し
て調査し,一つの判断に
達する。

E/E/PE 安
全関連系

E/E/PE 系機能安全
評価の計画

E/E/PE 系機能安全
評価の結果


9

C 0508-2

:2014 (IEC 61508-2:2010)

注記 1  IEC 61508-6 の A.2 b)  も参照。 
注記 2  この図は,全安全ライフサイクルの実現フェーズ内にある E/E/PE 系安全ライフサイクルのフェーズだけを示

している。完全な E/E/PE 系安全ライフサイクルは,E/E/PE 安全関連系に規定した,実現フェーズの後に続く
全安全ライフサイクルの諸フェーズ(JIS C 0508-1 

図 のボックス 12∼16)も含む。

図 2E/E/PE 系安全ライフサイクル(実現フェーズ) 

図 3ASIC 開発ライフサイクル(モデル) 

E/E/PE

安全要求仕様

妥当性確認

試験

妥当性確認済み

ASIC

ASIC

アーキテクチャ

E/E/PE

アーキテクチャ

ASIC

全体の適合

確認

ASIC

設計及び

動作モデリング

モジュール

統合試験

モジュールテスト

モジュール設計

合成,配置及び

経路指定

レイアウト後

シミュレーション

最終コーディング

引渡し事項

適合確認

ASIC

安全要求仕様

ASIC

妥当性確認

10.5 

E/E/PE 系の設置,

引渡し,

運用及び保全の手順

10.1

E/E/PE 系設計

要求仕様

10.3

E/E/PE系(ASIC及びソ

フトウェアを含む。

)の

設計及び開発

E/E/PE 系安全ライフサイクル(実現フェーズ) 

10.2 

E/E/PE 系安全妥当性

確認計画

10.4

E/E/PE 系統合

10.6

E/E/PE 系

安全妥当性確認

JIS C 0508-1

図 のボックス 12 へ

JIS C 0508-1

図 のボックス 14 へ

10 

E/E/PE 安全関連系

実現

(E/E/PE 系安全ライフ

サイクルを参照)

各 E/E/PE 安全

関連系に対して

一つの E/E/PE

安全ライフサイクル

JIS C 0508-1

図 のボックス 10


10

C 0508-2

:2014 (IEC 61508-2:2010)

図 4−この規格と JIS C 0508-3 との関係 

7.2 E/E/PE

系設計要求仕様 

注記  このフェーズは,図 のボックス 10.1 である。

7.2.1 

目的 

この箇条の要求事項は,サブシステム及び要素に関して,各 E/E/PE 安全関連系の設計要求事項を規定す

ることを,目的とする。

注記  通常,E/E/PE 系設計要求仕様は,安全機能を分解し,安全機能の各部分をサブシステム(例え

ば,センサ,ロジックソルバー又はアクチュエータの各グループ)に割り当てた E/E/PE 系安全

要求仕様から,導き出す。サブシステムの要求事項は,E/E/PE 系設計要求仕様の中に含めても,

又は個別のものにして E/E/PE 系設計要求仕様から引用してもよい。サブシステムは,7.4 の設

計及び開発要求事項を満たすために,さらに各要素及びアーキテクチャに分解することもある。

これらの要素の要求事項は,サブシステムの要求事項に含めても,又は個別のものにしてサブ

システム要求事項から引用してもよい。

7.2.2 

一般 

7.2.2.1 E/E/PE

系設計要求仕様は,JIS C 0508-1 の 7.10 で規定している E/E/PE 系安全要求事項から導き

出さなければならない。

注記  安全以外の機能及び安全機能を,同一の E/E/PE 安全関連系で実現している場合は,注意するこ

とが望ましい。このことは規格で許容しているが,E/E/PE 安全ライフサイクル業務(例えば,

設計,妥当性確認,機能安全評価,保全)を実施するときには複雑さが増し,困難の度合いが

深まることがある。7.4.2.3 も参照。

7.2.2.2 E/E/PE

系設計要求仕様は,次のように表現し,構成しなければならない。

a)

明確・簡潔で,かつ,曖昧な点がなく,適合性の確認が可能であり,またテスト可能・維持可能で,

E/E/PE

系設計要求仕様

ソ フ ト ウ ェ ア
安全要求事項

プログラマブル電子

統合

(

ハードウェア及びソフトウェア)

ソフトウェア
設計及び開発

プログラマブル電子

設計及び開発

非プログラマブル

ハードウェア

設計及び開発

プログラマブル電子

ハードウェア

ハードウェア安全要求仕様

JIS C 0508-3

適用範囲

この規格の 
適用範囲

E/E/PE

アーキテクチャ

非プログラマブル

ハードウェア

E/E/PE 系

統合


11

C 0508-2

:2014 (IEC 61508-2:2010)

かつ,実行可能とする。

b) E/E/PE

安全ライフサイクルの任意のフェーズで,その情報を使用する可能性のある人が容易に理解で

きるように作成している。

c) E/E/PE

系安全要求仕様へのトレーサビリティがある。

7.2.3 E/E/PE

系設計要求仕様 

7.2.3.1 E/E/PE

系設計要求仕様は,安全機能に関連する設計要求事項(7.2.3.2 参照)及び安全度に関連す

る設計要求事項(7.2.3.3 参照)を含まなければならない。

7.2.3.2 E/E/PE

系設計要求仕様は,E/E/PE 系安全機能要求仕様によって指定するように,要求する安全機

能を履行するために必要な全てのハードウェア及びソフトウェアの詳細を含まなければならない(JIS C 

0508-1

の 7.10.2.6 参照)

。仕様は,各安全機能について次の事項を含まなければならない。

a)

サブシステムの要求事項,並びに該当する場合はハードウェア及びソフトウェア要素の要求事項。

b) E/E/PE

系安全機能要求仕様を満たすためのサブシステムと,そのハードウェア及びソフトウェア要素

とを統合するための要求事項。

c)

応答時間の要求事項を満たすために必要なスループット性能。

d)

測定及び制御に対する,精度及び安定性の要求事項。

e) E/E/PE

安全関連系とオペレータとのインタフェース。

f) E/E/PE

安全関連系と,他の任意のシステム(EUC 内部又は外部)との間のインタフェース。

g) E/E/PE

安全関連系の全ての動作モード,特に,E/E/PE 安全関連系が故障したときの挙動及び必要な応

答(例えば,アラーム,自動停止など)

h)

全てのハードウェアとソフトウェアとの間の相互関係の重要性,及び必要に応じて,ハードウェアと

ソフトウェアとの間に要求される制約。

注記  これらの相互関係が設計の終了前の段階で未知の場合,一般的な制約だけを明記することが

できる。

i) E/E/PE

安全関連系及びその関連要素の制限及び制約条件。例えば,タイミング制約,共通原因故障に

よる制約などがある。

j) E/E/PE

安全関連系を起動及び再起動するための手順に関連した特定の要求事項。

7.2.3.3 E/E/PE

系設計要求仕様は,次の事項を含め,E/E/PE 系安全度要求仕様(JIS C 0508-1 の 7.10.2.7

参照)によって指定する,安全度水準及び必要な目標機能失敗尺度を達成するための設計に関連した詳細

を含まなければならない。

a)

ハードウェア安全度に対するアーキテクチャ制約を満たすために必要な,各サブシステムのアーキテ

クチャ(7.4.4 参照)

b)

目標機能失敗尺度を達成するために必要な全てのハードウェア要素の要求プルーフテスト頻度など

の,関連する全ての信頼性モデリングのパラメタ。

注記 1  特定のアプリケーションに関する情報には,少ない値を規定できない場合がある(JIS C 

0508-1

の 7.10.2.1 参照)

特定のアプリケーションに対して規定するプルーフテスト間隔が,

そのアプリケーションで合理的に予測できる間隔よりも小さくないほうがよい場合,この

ことは保全にとって特に重要である。例えば,一般大衆が使用する大量生産品に関して現

実的に達成することができる整備と整備との間の時間は,より管理されたアプリケーショ

ンにおける時間よりも長くなる可能性が高い。

c)

危険側故障を診断によって検知した場合に講じる措置。


12

C 0508-2

:2014 (IEC 61508-2:2010)

d) E/E/PE

ハードウェアのプルーフテストの実施を可能にするための要求事項,制約,機能及び施設。

e)

製造,保管,輸送,テスト,設置,引渡し,運用及び保全を含む E/E/PE 系安全ライフサイクルの間に

必要なものとして規定した環境条件(例えば,温度,湿度,機械的環境,電気的環境など)の最も厳

しい値を満たすために使用する,機器の能力。

f)

必要な電磁イミュニティレベル(IEC/TS 61000-1-2:2008 参照)

注記 2  要求されるイミュニティレベルは,物理的な場所及び電源の配置に依存して,安全関連系

の様々な要素に対して変化することもある。

注記 3 EMC 製品規格の中に指針がある場合でも,特定の場所,又はより過酷か若しくは異なる電

磁環境での機器の使用を意図している場合は,そのような規格が規定するものよりも高い

イミュニティレベル又は追加のイミュニティ要求事項が,必要なこともある。

g)

安全管理のために必要な品質保証及び/又は品質管理の手段(JIS C 0508-1 の 6.2.5 参照)

7.2.3.4 E/E/PE

系設計要求仕様は,設計の進捗に伴って詳細に作成し,部分改修後は必要に応じて更新し

なければならない。

7.2.3.5 E/E/PE

系設計要求仕様の作成中の誤りを防ぐために,

表 B.1 に基づく一連の適切な技法及び手段

を用いなければならない。

7.2.3.6 E/E/PE

系設計要求仕様がアーキテクチャに課す付随的事項を,考慮しなければならない。

注記  これには,必要な安全度水準を達成することの実現の容易さに関する考慮(アーキテクチャの

考慮,及び構成データ又は組込みシステムへの機能の割当てを含む)を含むことが,望ましい。

7.3 E/E/PE

系安全妥当性確認計画 

注記  このフェーズは,図 のボックス 10.2 である。このフェーズは,通常,E/E/PE 系設計及び開発

と並行して実施する(7.4 参照)

7.3.1 

目的 

この箇条の要求事項は,E/E/PE 安全関連系の安全性の妥当性確認を計画することを,目的とする。

7.3.2 

要求事項 

7.3.2.1 E/E/PE

安全関連系が E/E/PE 系安全要求仕様(JIS C 0508-1 の 7.10 参照)及び E/E/PE 系設計要求

仕様(7.2 参照)を満たすことを実証するために用いる手順上及び技術上のステップを立案する計画を,立

てなければならない。

7.3.2.2 E/E/PE

安全関連系の妥当性確認計画では,次の事項を考慮しなければならない。

a) E/E/PE

系安全要求仕様及び E/E/PE 系設計要求仕様で定義している,全ての要求事項。

b)

各安全機能が正しく履行されていることを妥当性確認するために用いる手順,及びテストに用いる合

否基準。

c)

各安全機能が,要求される安全度にあることを妥当性確認するために用いる手順,及びテストに用い

る合否基準。

d)

全ての必要なツール及び機器を含む,テストを実施するために必要な環境(ツール及び機器の望まし

い校正計画も含む。

e)

テスト評価手順(妥当性の根拠を含む)

f)

規定した電磁イミュニティレベルを妥当性確認するために用いるテスト手順及び性能評価基準。

注記  安全関連系の要素に対する電磁イミュニティテストの仕様に関する手引書を,IEC/TS 

61000-1-2

に示す。

g)

妥当性確認の失敗を解決するための方針。


13

C 0508-2

:2014 (IEC 61508-2:2010)

7.4 E/E/PE

系設計及び開発 

注記  このフェーズは,図 のボックス 10.3 である。このフェーズは,通常,E/E/PE 系安全妥当性確

認計画と並行して実施する(7.3 参照)

7.4.1 

目的 

この箇条の要求事項は,E/E/PE 系設計要求仕様[安全機能要求事項及び安全度要求事項(7.2 参照)に

関する]を満たすために E/E/PE 安全関連系(該当する場合は,ASIC を含める。JIS C 0508-4 の 3.2.15 

照。

)を設計し,かつ,開発することを,目的とする。

7.4.2 

一般要求事項 

7.4.2.1 E/E/PE

安全関連系の設計は,7.2.3 の全ての要求事項を考慮して,E/E/PE 系設計要求仕様(7.2.3

参照)に従って行わなければならない。

7.4.2.2 E/E/PE

安全関連系(ハードウェア全体及びソフトウェアのアーキテクチャ,センサ,アクチュエ

ータ,プログラマブル機器,ASIC,組込みソフトウェア,アプリケーションソフトウェア,データなどを

含む)の設計は,次の要求事項 a)e)  の全てを満たさなければならない。

a)

ハードウェアの安全度要求事項。

ハードウェアの安全度要求事項は,次の全てを含む。

−  ハードウェア安全度に対するアーキテクチャ上の制約(7.4.4 参照)

−  ランダム故障の影響を定量化するための要求事項(7.4.5 参照)

b)

異なるチャネル間の同一水準の独立性について,チャネル間で異なる一連の手段を適用し達成するこ

とで妥当性の根拠を示さない限り,適切な場合には,オンチップ冗長をもつ集積回路(IC)の特殊な

アーキテクチャ要求事項(

附属書 参照)。

c)

次の適合ルートのいずれか一つを達成することで満たすことができる,決定論的安全度及び/又は決

定論的対応能力の要求事項。

ルート 1

S

:決定論的原因フォールトの回避の要求事項(7.4.6 及び JIS C 0508-3 参照)

,及び決定論

的原因フォールトの管理に関する要求事項(7.4.7 及び JIS C 0508-3 参照)への適合。

ルート 2

S

:使用実績による証明(proven in use)という証拠の要求事項(7.4.10 参照)への適合。

ルート 3

S

(既存ソフトウェア要素だけに適用)JIS C 0508-3 の 7.4.2.12 への適合。

注記  上記ルートの下付き文字“

S

”は,決定論的安全度を意味し,ハードウェア安全度のルート

1

H

及び 2

H

と区別する。

d)

フォールト検出時のシステム動作の要求事項(7.4.8 参照)

e)

データ通信プロセスの要求事項(7.4.11 参照)

7.4.2.3 E/E/PE

安全関連系が安全機能及び安全以外の機能の両方を実現しなければならない場合,安全機

能及び安全以外の機能の実現が十分に独立したものであること(すなわち,どの非安全関連機能が故障し

ても,安全関連機能には危険側故障が生じないこと)を示さない限り,全てのハードウェア及びソフトウ

ェアは,安全関連であるとして取り扱わなければならない。

注記 1  十分に独立した機能の実現を確立するには,非安全関連部分と安全関連部分との間の従属故

障の確率が,関与している安全機能に関わる最も高い安全度水準と比較して十分に低いこと

を示す。

注記 2  安全以外の機能及び安全機能を同一の E/E/PE 安全関連系で実現する場合は,十分に注意する

ことが望ましい。これは,規格では許容しているが,E/E/PE 系安全ライフサイクル業務(例

えば,設計,妥当性確認,機能安全評価及び保全など)を実施するときに複雑さが増し,困


14

C 0508-2

:2014 (IEC 61508-2:2010)

難の度合いが深まることがある。

7.4.2.4

安全度水準が異なる複数の安全機能の実現が,十分に独立したものであることを示せない限り,

最も高い安全度水準をもつ安全機能の安全度水準でハードウェア及びソフトウェアの要求事項を定めなけ

ればならない。

注記 1  十分に独立した機能の実現を確立するには,安全度水準が異なる複数の安全機能を実現して

いる部分間の従属故障の確率が,関与している安全機能に関わる最も高い安全度水準と比較

して十分に低いことを示す必要がある。

注記 2  複数の安全機能を一つの E/E/PE 安全関連系で実現する場合,単一フォールトが複数の安全機

能の故障を引き起こす可能性を考慮する必要がある。そのような状況の場合,複数の安全機

能の故障を引き起こす単一フォールトに関わるリスクに応じて関連するいかなる安全機能の

安全度水準よりも高い水準に基づいて,ハードウェア及びソフトウェアの要求事項を定める

ことが適切である。

7.4.2.5

安全機能間で独立性が要求される場合(7.4.2.3 及び 7.4.2.4 参照)

,設計中に次の事項を文書化し

なければならない。

a)

独立性を達成する方法。

b)

手段の妥当性の根拠。

例  独立性を弱体化することがある予見可能な故障モード及びその故障率に関する記述,FMECA(故

障モード影響及び致命度解析)又は従属故障分析の使用など。

7.4.2.6

安全関連ソフトウェアの要求事項(JIS C 0508-3 参照)は,E/E/PE 安全関連系の開発者が利用で

きるようにしなければならない。

7.4.2.7 E/E/PE

安全関連系の開発者は,安全関連ソフトウェア及びハードウェアの要求事項が適切である

かを,審査しなければならない。特に,次の事項を考慮しなければならない。

a)

安全機能

b) E/E/PE

安全関連系の安全度要求事項

c)

機器のオペレータインタフェース

7.4.2.8 E/E/PE

安全関連系設計文書は,安全度水準を達成するために,E/E/PE 系安全ライフサイクルフェ

ーズ中に,必要な技法及び手段を規定しなければならない。

7.4.2.9 E/E/PE

安全関連系設計文書は,必要な安全度水準を満たす統合セットを形成するために,選択し

た技法及び手段が正当であることの根拠を示さなければならない。

注記 E/E/PE 安全関連系(センサ,アクチュエータなどを含む)に関するハードウェア及びソフトウ

ェア,診断テスト並びにプログラミングツールに対して,独立した形式承認を利用して,でき

る限り最適なソフトウェア言語を使用する全体的なアプローチを採用することは,E/E/PE 系ア

プリケーションエンジニアリングの複雑さを軽減する可能性をもつ。

7.4.2.10

該当する設計及び開発業務の間,全てのハードウェア及びソフトウェアの相互作用の詳細を識別

し,評価して,かつ,文書化しなければならない。

7.4.2.11

設計は,サブシステムへの分解を基準にしなければならず,各サブシステムに対しては規定の設

計及び一連の統合テストを行う(7.5.2 参照)

注記 1  サブシステムは,単一の要素又は一連の要素からなるとみなしてよい。完成した E/E/PE 安全

関連系は,複数の識別可能な個別のサブシステムからなる。これらのサブシステムは一体と

なって,検討対象の安全機能を履行する。サブシステムは,複数のチャネルをもつことがで


15

C 0508-2

:2014 (IEC 61508-2:2010)

きる(7.4.9.3 及び 7.4.9.4 参照)

注記 2  可能な場合は常に,実現には既存のテスト済みサブシステムを使用することが望ましい。こ

の記述が有効なのは,通常,次のいずれかの場合だけである。

−  新しい要求事項への既存のサブシステム又は要素の機能,能力及び性能のマッピングが

ほぼ 100 %である場合。

−  使用者が特定のアプリケーションに対して必要な機能,能力又は性能だけを選択できる

ように,テスト済みサブシステム又は要素を構成している場合。

既存のサブシステム又は要素が“過度に複雑,又は使用しない機能を備えている場合”で,

かつ,

“意図しない動作に対する保護が得られない場合”は,過剰な機能,能力又は性能がシ

ステムの安全にとって有害になることがある。

7.4.2.12 E/E/PE

安全関連系の初期設計が完了している場合,E/E/PE 安全関連系の合理的に予見できる故障

が危険事象をもたらすか,

又は他のリスク制御の手段を必要とするかどうかを,

解析しなければならない。

何らかの合理的に予見できる故障がこれらのいずれかに影響する場合,第一の優先順位は,そのような故

障モードを避けるために E/E/PE 安全関連系の設計を変更することである。これができない場合は,そのよ

うな故障モードの可能性を目標機能失敗尺度に見合うレベルまで低減するための手段を講じなければなら

ない。これらの手段は,この規格の要求事項に従わなければならない。

注記  この箇条は,他のリスク制御措置を要求する E/E/PE 安全関連系の故障モードを特定することを

意図している。特定の故障モードの故障率を減少させることができず,更に新しい安全機能が

必要となるか,又はほかの安全機能の SIL(安全度水準)を故障率を考慮して再考する場合も

ある。

7.4.2.13

全てのハードウェア構成部品についてディレーティング(IEC 61508-7 参照)を考慮することが

望ましい。ハードウェア要素を限界で運用することについて,正当性のある根拠を文書化しなければなら

ない(JIS C 0508-1 の箇条 参照)

注記  ディレーティングが適切な場合,一般に,ディレーティング係数はほぼ 3 分の 2 である。

7.4.2.14 E/E/PE

安全関連系の設計が安全機能を実現するために一つ以上の ASIC を含む場合は,ASIC 開

発ライフサイクル(7.1.3.1 参照)を使用しなければならない。

7.4.3

必要な決定論的対応能力を達成するための要素の合成

7.4.3.1

決定論的安全度の要求事項を満たすために,指定の安全関連 E/E/PE 系は,この箇条に規定する

状況において異なる決定論的対応能力の要素に分割することがある。

注記 1  要素の決定論的対応能力は,安全機能の故障をもたらすその要素の決定論的原因フォールト

の潜在性を決定する。要素の決定論的対応能力の概念は,ハードウェア及びソフトウェアの

両方の要素に適用する。

注記 2  JIS C 0508-1 の 7.6.2.7 は,安全機能及びそれを割り当てる E/E/PE 安全関連系の水準における

独立性及び多様性の価値を認めている。これらの概念は,安全機能を実現する要素のアセン

ブリが,個々の要素よりも優れた決定論的性能を潜在的に達成できる場合には,詳細設計レ

ベルでも適用することができる。

7.4.3.2

ある要素の決定論的対応能力(SC)が NN=1, 2, 3)であるとき,その要素のある一つの決定論

的原因フォールトが規定の安全機能の故障を引き起こさないが,決定論的対応能力 SC  であるもう一つ

の要素による第二の決定論的原因フォールトと一緒になった場合だけ故障を引き起こす場合,この二つの

要素の組合せの決定論的対応能力は,二つの要素の間に十分な独立性が存在するとき,SC (N+1)  の決定


16

C 0508-2

:2014 (IEC 61508-2:2010)

論的対応能力をもつものとして扱うことができる(7.4.3.4 参照)

注記  各要素の独立性の評価は,定義された安全機能に関連して,当該要素の(安全機能を実現する

ための)具体的な用途が既知である場合にだけ,可能である。

7.4.3.3

それぞれ SC  の決定論的対応能力をもつ要素の組合せに対して与えることができる決定論的対

応能力は,最良でも SC (N+1)  である。SC の要素をこのように使用してよいのは一度だけである。SC N

の要素のアセンブリを次々に構築することによって SC (N+2)  以上を達成することは認めない。

7.4.3.4

共通原因故障分析によって,要素間及び要素と環境間の干渉の可能性が,検討対象の安全機能の

安全度水準と比較して十分に低いものであることを示すことによって,要素間の設計及び要素群のアプリ

ケーションにおける十分な独立性を正当な根拠で示さなければならない。

注記 1  決定論的対応能力の十分な独立性の達成に対するアプローチは,ハードウェア設計,実現,

運用及び保全に関して,次の事項を含む。

−  機能的多様性:同一の結果を達成するための様々なアプローチの使用。

−  多様な技術:同一の結果を達成するための様々な種類の機器の使用。

−  共通部品又は共通なサービス:その故障が全てのシステムの危険側故障モードをもたら

すことがある“共通部品,共通なサービス又は共通な支援システム(例えば,電源)

”が,

ないことを確実にすること。

−  共通な手順:共通な運用,共通な保全又は共通なテスト手順がないことを確実にするこ

と。

注記 2  アプリケーションの独立性とは,要素の相互の実行動作が,危険側故障が発生するほどに大

きく干渉しないことを意味する。

注記 3  ソフトウェア要素の独立性については,JIS C 0508-3 の 7.4.2.8 及び 7.4.2.9 を参照。

7.4.4 

ハードウェア安全度アーキテクチャ制約 

ハードウェア安全度制約に関連する計算式を

附属書 に規定し,安全度制約を表 及び表 に要約する。

IEC 61508-6

の A.2 は,ハードウェア安全度を達成するときに必要なステップの概要を示し,この箇条

7.4.4)がこの規格(JIS C 0508-2)の他の要求事項とどのように関連するかを明らかにしている。

安全機能について主張できる,ハードウェア安全度に関する最高安全度水準は,ハードウェア安全度制

約によって制限し,システム又はサブシステムレベルで,次の二つのルートのうち,いずれか一つを実現

することによって達成しなければならない。

ルート 1

H

  ハードウェアフォールトトレランス(HFT)及び安全側故障割合(SFF)の概念に基づく。

ルート 2

H

  最終使用者のフィードバックからの構成部品信頼性データに基づき,規定の安全度水準に

対して信頼度及びフォールトトレランスを向上させる。

この規格群に基づくグループ安全規格又は製品安全規格は,優先ルート(すなわち,ルート 1

H

又はルー

ト 2

H

)を規定することがある。

注記  上記ルートの中の下付き文字“

H

”は,ハードウェア安全度を意味し,決定論的安全度のルート

1

S

,ルート 2

S

及びルート 3

S

と区別する。

7.4.4.1 

一般要求事項 

7.4.4.1.1

ハードウェアフォールトトレランス要求事項に関して次に示す。

a)

ハードウェアフォールトトレランスが N であるとは,N+1 が安全機能の喪失をもたらすことがある

フォールトの最小数であることを意味する(詳細については,

注記 1,表 及び表 参照)。ハードウ

ェアフォールトトレランスを求めるときには,フォールトの影響を制御することがある診断などのよ


17

C 0508-2

:2014 (IEC 61508-2:2010)

うな他の手段を考慮してはならない。

b)

一つのフォールトがその後に続く一つ以上のフォールトの発生を直接もたらす場合,これらを単一フ

ォールトとみなす。

c)

ハードウェアフォールトトレランスを達成したことを判定する場合に,発生の可能性がサブシステム

の安全度要求事項に関して非常に低いフォールトは除外してもよい。このようなフォールトの除外は,

正当な根拠を示して,文書化しなければならない(

注記 参照)。

オンチップ冗長をもつ IC の特殊アーキテクチャ要求事項を,

附属書 に示す。

注記 1  要素及びサブシステムの複雑度を考慮して,十分に堅ろうなアーキテクチャを達成するた

めに,

ハードウェア安全度に対する制約を規定に含めている

7.4.4.1.1 及び 7.4.4.1.2 参照)

E/E/PE 安全関連系が履行する安全機能に関する安全度水準について,信頼性の計算がより

高い安全度水準を達成できることを示した場合でも,それらの構成上の制約要求事項から

導かれる安全度水準が許容される最高の安全度水準となる。また一方で,全てのサブシス

テムについてハードウェアフォールトトレランスを達成している場合でも,規定の目標機

能失敗尺度を達成していることを実証するために信頼性計算がなお必要である。このこと

によって,設計要求事項を満たすためにハードウェアフォールトトレランスを向上させる

必要がある場合もある。

注記 2  ハードウェアフォールトトレランス要求事項は,通常動作条件下で使用するサブシステム

アーキテクチャに適用する。E/E/PE 安全関連系をオンラインで修理している間は,ハード

ウェアフォールトトレランス要求事項は緩和してもよい。ただし,緩和に関連のある重要

なパラメタを,

事前に評価することが望ましい

(例えば,

作動要求の確率と比較した MTTR)

注記 3  設計及び構造(例えば,機械的アクチュエータ連結)に固有の特性によって故障確率が明

白に非常に低い要素の場合,そのフォールトは除外してもよい。要素を使用する安全機能

の安全度をハードウェアフォールトトレランスに基づいて制約することは,通常は必要で

はないとみなされている。

注記 4  ルートの選択は,アプリケーション及び分野に依存し,ルートを選択するときは次の事項

を考慮することが望ましい。

−  一つの機能の安全側故障は,新しい危険をもたらすか,又は既存の危険のさらなる原

因であることがある。

−  冗長性は,全ての機能に対して実用的であるというわけではない。

−  修理は常に可能であるか,又は迅速にできるというわけではない(例えば,プルーフ

テスト間隔と比較して無視できる時間内で実行できない。

7.4.4.1.2

要素は,安全機能を達成するために必要な構成部品に関して次の全てを満たすとき,タイプ A

とみなすことができる。

a)

全ての構成部品の故障モードを,十分に定義している。

b)

フォールト状態下の要素の動作を,完全に決定することができる。

c)

検出できる危険側故障及び検出できない危険側故障に対して,主張する故障率を満たすことを証明す

るのに十分な信頼できる故障データがある(7.4.9.37.4.9.5 参照)

7.4.4.1.3

要素は,安全機能を達成するために必要な構成部品について,次のいずれか一つに該当すると

き,タイプ B とみなさなければならない。

a)

一つ以上の構成部品の故障モードを,十分に定義していない。


18

C 0508-2

:2014 (IEC 61508-2:2010)

b)

フォールト状態下の要素の動作を,完全には決定することができない。

c)

検出できる危険側故障及び検出できない危険側故障に対して,故障率の主張の根拠となる信頼できる

故障データが不十分である(7.4.9.37.4.9.5 参照)

注記  これは,要素自体の構成部品の一つ以上がタイプ B に関する条件に該当する場合,その要素は

タイプ A ではなくタイプ B とみなすことを意味する。

7.4.4.1.4

ハードウェアフォールトトレランスが 0 のサブシステムで使用するように意図し,安全機能又

は安全機能の一部を履行し,高頻度作動要求モード又は連続モードで動作する要素の安全側故障割合を推

定する場合,次のいずれかに該当する場合以外は,診断に信用を置いてはならない。

−  診断テスト間隔及び安全な状態を達成又は維持するために,規定の動作を実施する時間の合計が,プ

ロセスセーフティタイム未満である場合。

−  高頻度作動要求モードで動作しているとき,作動要求率に対する診断テスト率の比が 100 以上である

場合(作動要求率は,作動要求が発生するまでの時間の逆数。診断テスト率は,診断テスト平均間隔

の逆数。

7.4.4.1.5

次のいずれかの要素の安全側故障割合を推定する場合,診断テスト間隔と,検出故障の修理を

実施する時間との合計が,その安全機能について達成した安全度を求める計算で使用した MTTR よりも小

さい場合以外は,診断に信用を置いてはならない。

−  ハードウェアフォールトトレランスが 1 以上で,安全機能又は安全機能の一部を履行し,高頻度作動

要求モード又は連続モードで動作する。

−  安全機能又は安全機能の一部を履行し,低頻度作動要求モードで動作する。

7.4.4.2 

ルート 1

H

7.4.4.2.1

規定の安全機能に関して主張できる最高安全度水準を求めるためには,次の手順に従わなけれ

ばならない。

1) E/E/PE

安全関連系を構成するサブシステムを定義する。

2)

各サブシステムについて,

サブシステム内の全ての要素について安全側故障割合を求める

(すなわち,

ハードウェアフォールトトレランスが 0 の各要素で,個々の要素別に求める)

。冗長要素構成の場合,

安全側故障割合(SFF)は,利用できる診断を追加することを考慮して計算してもよい(例えば,冗

長要素の比較による)

3)

各要素について,達成した安全側故障割合及び 0 のハードウェアフォールトトレランスを使用し,

2

(タイプ A 要素)及び

表 3(タイプ B 要素)の列 2 から主張することができる最高安全度水準を求

める。

4)

サブシステムについて主張することができる最高安全度水準を求めるために,7.4.4.2.3 及び 7.4.4.2.4

の方法を使用する。

5) E/E/PE

安全関連系について主張することができる最高安全度水準は,最低安全度水準を達成している

サブシステムによって求めなければならない。

7.4.4.2.2

7.4.4.2.1

の 2)4)  の要求事項を適用するための代替策として,次の 1)3)  に示す要求事項を全

て満たす要素からなるサブシステムについては,3)  の a)d)  の事項が適用できる。

1)

サブシステムが複数の要素で成り立っている。

2)

要素が同じタイプである。

3)

全ての要素が,

表 又は表 に規定する同じ範囲(次の注記参照)内にある安全側故障割合を達成し

ている場合は,次の手順に従ってよい。


19

C 0508-2

:2014 (IEC 61508-2:2010)

a)

全ての個別要素の安全側故障割合を求める。冗長要素構成の場合,安全側故障割合(SFF)は,利

用できる診断を追加することを考慮して計算してもよい(例えば,冗長要素の比較による)

b)

サブシステムのハードウェアフォールトトレランスを求める。

c)

要素がタイプ A の場合は,

表 からサブシステムについて主張することができる最高安全度水準を

求める。

d)

要素がタイプ B の場合は,

表 からサブシステムについて主張することができる最高安全度水準を

求める。

注記  上記 3)  に示す範囲とは,表 及び表 で示す,安全側故障割合の四つの範囲(すなわち,60 %

未満,60 %以上 90 %未満,90 %以上 99 %未満,及び 99 %以上)のことを指す。全ての安全側

故障割合は,同じ範囲内にある必要があることになる(例えば,全てが 90 %以上 99 %未満の

範囲内)

例 1  ある安全機能について,同様の要素安全機能をもつ並列要素から構成されるハードウェアフォ

ールトトレランス 1 のサブシステムによって達成可能な最高の安全度水準を決定するために,

そのサブシステムが 7.4.4.2.2 の要求事項を満たす条件下で,次の方法を採用してもよい。この

例において,全ての要素はタイプ B であり,かつ,要素の安全側故障割合は,90 %以上 99 %

未満の範囲内にあるとする。

表 から,ハードウェアフォールトトレランスが 1 で,両要素の安全側故障割合が 90 %以上

99 %未満の範囲内にあれば,規定の安全機能の最高許容安全度水準が SIL 3 であることが分か

る。

例 2  規定の安全機能について,要素安全機能が並列要素を介して履行するサブシステムに要求する

ハードウェアフォールトトレランスを求めるためには,サブシステムが 7.4.4.2.2 の要求事項を

満たす場合,次の方法を採用してもよい。この例において,全ての要素はタイプ A であり,か

つ,要素の安全側故障割合は,60 %以上 99 %未満の範囲内にあるとする。また,安全機能の安

全度水準は SIL 3 であるとする。

表 から,SIL 3 の要求事項を満たすためには,要求されるハードウェアフォールトトレラン

スが 1 に等しいことが必要であることが分かる。これは,二つの並列要素が必要であることを

意味する。


20

C 0508-2

:2014 (IEC 61508-2:2010)

表 2−タイプ の安全関連要素又はサブシステムによって実施する安全機能の最大許容安全度水準 

要素の安全側故障割合

(SFF)

ハードウェアフォールトトレランス(HFT)

0

1

2

60 %未満

SIL 1

SIL 2

SIL 3

60 %以上 90 %未満

SIL 2

SIL 3

SIL 4

90 %以上 99 %未満

SIL 3

SIL 4

SIL 4

99 %以上

SIL 3

SIL 4

SIL 4

安全側故障割合の算出方法の詳細については,

附属書 による。

注記 1  この表は,7.4.4.2.1 及び 7.4.4.2.2 に関連したもので,サブシステムのフォールトトレランス及び使用す

る要素に対する SFF が与えられている場合,サブシステムについて宣言できる最大の SIL を決定する

ために使用できる。

サブシステムへの一般的適用については,7.4.4.2.1 を参照。

7.4.4.2.2

の特定要求事項を満たす要素で成り立つサブシステムへの適用の場合,サブシステムが規定

の SIL を満たすことをこの表から直接決定するためには,7.4.4.2.2 の全ての要求事項を満たすことが必
要である。

注記 2  この表は,7.4.4.2.1 及び 7.4.4.2.2 に関連したものであり,次のためにも使用することができる。

a)

安全機能の要求 SIL 及び使用する要素の SFF が与えられている場合,サブシステムに必要なハー
ドウェアフォールトトレランスの決定のため。

b)

安全機能の要求 SIL 及びサブシステムのハードウェアフォールトトレランスが与えられている場

合,要素に必要な SFF 要求事項の決定のため。

注記 3  7.4.4.2.3 及び 7.4.4.2.4 の要求事項は,この表及び表 に規定するデータに基づいている。

表 3−タイプ の安全関連要素又はサブシステムによって実施する安全機能の最大許容安全度水準 

要素の安全側故障割合

(SFF)

ハードウェアフォールトトレランス(HFT)

0

1

2

60 %未満

許容しない

SIL 1

SIL 2

60 %以上 90 %未満

SIL 1

SIL 2

SIL 3

90 %以上 99 %未満

SIL 2

SIL 3

SIL 4

99 %以上

SIL 3

SIL 4

SIL 4

安全側故障割合の算出方法の詳細については,

附属書 による。

注記 1  この表は,7.4.4.2.1 及び 7.4.4.2.2 に関連したもので,サブシステムのフォールトトレランス及び使用す

る要素に対する SFF が与えられている場合,サブシステムについて宣言ができる最大の SIL を決定す

るために使用できる。

サブシステムへの一般的適用については,7.4.4.2.1 を参照。

7.4.4.2.2

の特定要求事項を満たす要素で成り立つサブシステムへの適用の場合,サブシステムが規定

の SIL を満たすことをこの表から直接決定するためには,7.4.4.2.2 の全ての要求事項を満たすことが必
要である。

注記 2  この表は,7.4.4.2.1 及び 7.4.4.2.2 に関連したものであり,次のためにも使用することができる。

a)

安全機能の要求 SIL 及び使用する要素の SFF が与えられている場合,サブシステムに必要なハー
ドウェアフォールトトレランスの決定のため。

b)

安全機能の要求 SIL 及びサブシステムのハードウェアフォールトトレランスが与えられている場

合,要素に必要な SFF 要求事項の決定のため。

注記 3  7.4.4.2.3 及び 7.4.4.2.4 の要求事項は,この表及び表 に規定するデータに基づいている。 
注記 4  ハードウェアフォールトトレランスが 1 で,両方の要素の安全側故障割合が 60 %未満のタイプ B の要

素の組合せで 7.4.4.2.1 を適用する場合,この組合せによって決定する安全機能の最大許容安全度水準
は,SIL 1 である。

7.4.4.2.3 E/E/PE

安全関連サブシステムにおいては,幾つかの要素からなる安全機能を要素の直列組合せ

を介して履行する場合,検討対象の安全機能に対して主張することができる最高安全度水準は,0 のハー


21

C 0508-2

:2014 (IEC 61508-2:2010)

ドウェアフォールトトレランスの要素が達成している安全側故障割合に対して,最低の安全度水準を達成

している要素によって求めなければならない。この方法を図示するために,

図 に示すアーキテクチャを

想定し,次の例を示す。

例  幾つかの要素からなる安全機能が,要素 1,2 及び 3 の単一チャネルで成り立つサブシステムによ

って実施され,また要素が次のように

表 及び表 の要求事項を満たすアーキテクチャを想定す

る(

図 参照)。

−  要素 1 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

1 に関する要求事項を達成する。

−  要素 2 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

2 に関する要求事項を達成する。

−  要素 3 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

1 に関する要求事項を達成する。

−  要素 1 及び要素 3 の両方の要素が達成しているハードウェアフォールトトレランス及び安全

側故障割合は,主張することができる最大の SIL を,SIL 1 に制限する。

複数の直列要素で成り立つ E/E/PE 安全関連サブシステム 

E/E/PE

安全関連サブシステムは,安全機能に関する SIL 1 のアーキテクチャ制約を満たしている。 

図 5−規定のアーキテクチャ(複数の直列要素で成り立つ E/E/PE 安全関連サブシステム,7.4.4.2.3 参照)

の最大 SIL の決定 

7.4.4.2.4 E/E/PE

安全関連サブシステムにおいて,N のチャネル数(並列要素の組合せ)をもつハードウ

ェアフォールトトレランスを介して,要素安全機能を実現する場合,検討対象の安全機能について主張す

ることができる最高安全度水準は,次によって求めなければならない。

a)

各チャネルに対する要素の直列組合せをグループ分けし,その後に,各チャネルについて検討対象の

安全機能に関して主張することができる最高安全度水準を求める(7.4.4.2.3 参照)

b)

検討対象の安全機能に関して達成されている最高の安全度水準のチャネルを選択し,N の安全度水準

を加えて,サブシステムの全体的組合せの最高安全度水準を求める。

この方法を図解するため,

図 に示すアーキテクチャを想定して,次の例で示す。

注記 1  N は,並列要素の組合せのハードウェアフォールトトレランスである(7.4.4.1.1 参照)。

注記 2  この箇条の適用に関しては,次の例を参照。

例  これらの組合せのグループ分け及び解析は,様々な方法で実施してよい。可能な一つの方法を図

示するため,ある安全機能が X 及び Y の二つのサブシステムによって実施されるアーキテクチャ

を想定する。ここに,

図 に示すように,サブシステム X は,要素 1,2,3 及び 4 から成り立っ

要素 1

タイプ A

表 2→SIL 1

要素 2

タイプ B

表 3→SIL 2

要素 3

タイプ B

表 3→SIL 1


22

C 0508-2

:2014 (IEC 61508-2:2010)

ており,サブシステム Y は,1 個の要素 5 で成り立っている。サブシステム X での並列チャネル

を使用することで,要素 1 及び 2 が要素 3 及び 4 から独立してサブシステム X の要求安全機能の

一部を実現することが可能になり,またその逆のことも可能になる。安全機能は,次のいずれか

の場合でも履行される。

−  要素 1 又は要素 2 のいずれかのフォールトの場合(要素 3 及び要素 4 の組合せが安全機能の

要求部分を実施できるため)

−  要素 3 又は要素 4 のいずれかのフォールトの場合(要素 1 及び要素 2 の組合せが安全機能の

要求部分を実施できるため)

検討対象の安全機能について主張することができる最高安全度水準の決定を,次のステップで

詳述する。

サブシステム X については,検討対象の安全機能に関して,各要素は次のように,

表 及び表

3

の要求事項を満たす。

−  要素 1 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

3 の要求事項を達成する。

−  要素 2 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

2 の要求事項を達成する。

−  要素 3 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

2 の要求事項を達成する。

−  要素 4 は,0 のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL

1 の要求事項を達成する。

要素は次のように,サブシステム X について,検討対象の安全機能の最高ハードウェア安全度

水準を提供するように,組み合わせる。

a)

要素 1 と 2 との組合せ:要素 1 と 2(それぞれが個々に SIL 3 及び SIL 2 の要求事項を満たし

ている)の組合せによって達成されるハードウェアフォールトトレランス及び安全側故障割

合が,SIL 2(要素 2 によって決定される,7.4.4.2.3 参照)の要求事項を満たす。

b)

要素 3 と 4 との組合せ:要素 3 と 4(それぞれが個々に SIL 2 と SIL 1 の要求事項を満たして

いる)の組合せによって達成されるハードウェアフォールトトレランス及び安全側故障割合

が,SIL 1(要素 4 によって決定される,7.4.4.2.3 参照)の要求事項を満たす。

c)

要素 1 と 2 との組合せ,及び要素 3 と 4 との組合せを,更に組み合わせる:検討対象の安全

機能に関して主張することができる最高安全度水準は,達成されている最高安全度水準をも

つチャネルを選択し,更に N の安全度水準を加えることによって要素の全体的組合せの最高

安全度水準を求める。この場合,サブシステムは,ハードウェアフォールトトレランスが 1

の二つの並列チャネルから成り立つ。検討対象の安全機能に対する最高安全度水準のチャネ

ルは,

SIL 2 の要求事項を達成した要素 1 及び要素 2 から成り立つものであった。したがって,

1 のハードウェアフォールトトレランスのサブシステムの最高安全度水準は,(SIL2+1)=SIL

3 である(この細分箇条の 1 行目∼7 行目を参照)。

サブシステム Y の場合,要素 5 は,0 のハードウェアフォールトトレランス,及び規定の安全

側故障割合をもち,SIL 2 の要求事項を達成する。

完成した E/E/PE 安全関連系(検討対象の安全機能に関するそれぞれ SIL 3 及び SIL 2 の要求事

項を達成している,二つのサブシステム X 及び Y から成り立つ。

)の場合,E/E/PE 安全関連系に


23

C 0508-2

:2014 (IEC 61508-2:2010)

対して主張することができる最高安全度水準は,最低安全度水準[7.4.4.2.1 の 5)]を達成してい

るサブシステムによって求められる。したがって,この例の場合,検討対象の安全機能の,E/E/PE

安全関連系に関して主張することができる最高安全度水準は,SIL 2 となる。


24

C 0508-2

:2014 (IEC 61508-2:2010)

二つのサブシステム,及び から成り立つ E/E/PE 安全関連系 

E/E/PE

安全関連系は安全機能に関して SIL 2 のアーキテクチャ制約を満たす 

 
注記 1  要素 1 及び 2 は,要素 3 及び 4 から独立してサブシステム X の要求安全機能の一部を履行する。また,その

逆の場合もある。

注記 2  安全機能を履行するサブシステムは,センサからアクチュエータまでの範囲において,E/E/PE 安全関連系全

体にわたる。

図 6−規定のアーキテクチャ(二つのサブシステム,及び から成り立つ 

E/E/PE

安全関連サブシステム,7.4.4.2.4 参照)の最高 SIL の決定 

要素 1

タイプ B

表 3→SIL 3

要素 2

タイプ A

表 2→SIL 2

要素 5

タイプ A

表 2→SIL 2

要素 3

タイプ B

表 3→SIL 2

要素 4

タイプ B

表 3→SIL 1

要素 1 及び 2

SIL 2 に制限

次のように,アーキテクチャを整理する

要素 2 及び 3

SIL 1 に制限

要素 5

SIL 2 に制限

次のように,アーキテクチャを整理する

サブシステム X 及び Y から
成り立つ E/E/PE 安全関連系

は SIL 2 に制限

要素 5

SIL 2 に制限

要素 1,2,3 及び 4

SIL 3 に制限

サブシステム X

サブシステム Y

サブシステム X

サブシステム Y

サブシステム X

サブシステム Y

次のように,アーキテクチャを整理する


25

C 0508-2

:2014 (IEC 61508-2:2010)

7.4.4.3 

ルート 2

H

7.4.4.3.1

規定の安全度水準の安全機能を履行する E/E/PE 安全関連系の各サブシステムの最小ハードウェ

アフォールトトレランスは,次による。

注記  特に規定のない限り,7.4.4.3.27.4.4.3.4 において,安全機能は低頻度作動要求モード,又は高

頻度作動要求若しくは連続モードのいずれで動作してもよい。

a)  7.4.4.3.2

の条件が適用されない限り,SIL 4 の規定の安全機能では,2 のハードウェアフォールトトレ

ランス。

b)  7.4.4.3.2

の条件が適用されない限り,SIL 3 の規定の安全機能では,1 のハードウェアフォールトトレ

ランス。

c)

7.4.4.3.2

の条件が適用されない限り,高頻度作動要求又は連続モードで動作する SIL 2 の規定の安全機

能では,1 のハードウェアフォールトトレランス。

d)

低頻度作動要求モードで動作する SIL 2 の規定の安全機能では,0 のハードウェアフォールトトレラン

ス。

e) SIL

1 の規定の安全機能では,0 のハードウェアフォールトトレランス。

7.4.4.3.2

タイプ A 要素だけの場合,0 よりも大きいハードウェアフォールトトレランスが要求される状

況に関して,7.4.4.3.1 のハードウェアフォールトトレランス要求事項に従うことによって追加の故障がも

たらされ,EUC の全体的安全が低下する場合,ハードウェアフォールトトレランスが低い,より安全な代

替アーキテクチャを実行してもよい。このような場合,この事実を正当な根拠をもって示し,文書化しな

ければならない。正当な根拠には,次の証拠を提供しなければならない。

a)  7.4.4.3.1

に規定するハードウェアフォールトトレランス要求事項への適合は,追加の故障を発生させ,

EUC の全体的安全の低下をもたらすことがある。

b)

ハードウェアフォールトトレランスが 0 まで低下すると,安全機能を実施する要素において識別され

た故障モードは除外できることがあるが,これは,識別された故障モードの危険側故障率が,検討対

象の安全機能に対する目標機能失敗尺度と比較して非常に低いためである[7.4.4.1.1 c)  参照]

。この

とき,故障除外が求められる全ての直列要素の危険側故障頻度の合計は,目標機能失敗尺度の 1 %以

下であることが望ましい。さらに,故障除外の適用範囲は,決定論的原因故障の可能性を考慮して,

正当な根拠を示さなければならない。

注記  フォールトトレランスは,堅ろうなアーキテクチャが達成されているという要求信頼を達成す

るための優先解決策である。7.4.4.3.2 を適用する場合,正当な根拠を示す目的は,提案された

代替アーキテクチャが,同等の,又はより優れた解決策を提供することを実証することである。

これは,技術的分野及び/又はそのアプリケーションに依存する。次のような例がある。

−  バックアップの配置(例えば,解析的冗長性,故障したセンサのアウトプットを他のセン

サのアウトプットからの物理的計算結果で置き換える。

−  同一技術のより信頼性の高い品目を使用すること(使用可能な場合)

−  より信頼性の高い技術に交換すること。

−  多様化技術を使用して共通原因故障の影響を減少させること。

−  設計余裕度を増大させる,及び環境条件を制約する(例えば,電子構成部品の)

−  より多くのフィールドフィードバック又は専門家の判断を収集して,信頼性不確かさを減

少させること。

7.4.4.3.3

ルート 2

H

を選択した場合,ランダムハードウェア故障(7.4.5 参照)の影響を定量化するときに


26

C 0508-2

:2014 (IEC 61508-2:2010)

使用する信頼性データは,次による。

a)

類似のアプリケーション及び環境で使用する要素に関するフィールドフィードバックに基づいてい

る。

b)

規格(例えば,JIS C 5750-3-2 又は ISO 14224)に従って収集されたデータに基づいている。

c)

次のものに従って評価している。

1)

フィールドフィードバック量。

2)

専門家の判断の実行。

3)

必要な場合,特定のテストの実施。

これは,計算に使用する各信頼性パラメタ(例えば,故障率)の平均及び不確かさ水準[例えば,90 %

信頼区間又は確率分布(

注記 参照)]を推定するためである。

注記 1  最終使用者は,発行されている規格に規定されているような,関連する構成部品の信頼性デ

ータ集を整理するとよい。

注記 2  故障率 λ の 90 %信頼区間は,その実際の値が 90 %の確率で属する区間[λ

5 %

λ

95 %

]である。

λ が,λ

5 %

より優れ,また λ

95 %

より劣る確率は 5 %である。純粋な統計に基づき,故障率の平

均を“最ゆう(尤)推定法”を使用して推定しても,又は χ

2

関数を使用して信頼限界(λ

5 %

λ

95 %

)を計算してもよい。精度は,累積観察時間及び観察した故障数に左右される。統計的

観察,専門家の判定及び特定のテスト結果を取り扱うために,ベイズ法を使用してもよい。

これは,モンテカルロシミュレーションを更に使用するために,関連の確率分布関数を合わ

せるために使用することができる。

ルート 2

H

を選択した場合,目標機能失敗尺度(すなわち,PFD

avg

又は PFH)を計算するときは,信頼

性データの不確かさを考慮しなければならず,また目標機能失敗尺度が達成されるという 90 %よりも大き

な信頼を得るまで,システムを改善しなければならない。

7.4.4.3.4

ルート 2

H

に使用される全てのタイプ B 要素は,60 %以上の診断カバー率をもたなければならな

い。

7.4.5 

ランダムハードウェア故障の影響を定量化するための要求事項 

注記  IEC 61508-6 の A.2 は,要求されるハードウェア安全度を達成するときに必要なステップの概

要を示しており,また,この箇条がこの規格の他の要求事項にどのように関連するかを示して

いる。

7.4.5.1

各安全機能について,ランダムハードウェア故障(ソフトエラーを含む)による E/E/PE 安全関

連系で達成した安全度及びデータ通信プロセスのランダム故障を 7.4.5.2 及び 7.4.11 に従って推定しなけれ

ばならず,それらは,E/E/PE 系安全要求仕様で規定する目標機能失敗尺度以下でなければならない(JIS C 

0508-1

の 7.10 参照)

注記  これを達成したことを実証するためには,適切な技法を使用して,関連安全機能の信頼性予測

を実施し(7.4.5.2 参照)

,その結果を関連安全機能の目標機能失敗尺度と比較することが必要で

ある(JIS C 0508-1 参照)

7.4.5.2

7.4.5.1

で要求する,各安全機能で達成された機能失敗尺度の推定には,次の事項を考慮しなけれ

ばならない。

a)

検討対象の各安全機能に関連するサブシステムの観点からの,E/E/PE 安全関連系のアーキテクチャ。

注記 1  これは,サブシステムの要素のどの故障モードが直列構成(すなわち,全ての故障が,実

施されなければならない関連安全機能の故障を引き起こす)で,またどれが並列構成(す


27

C 0508-2

:2014 (IEC 61508-2:2010)

なわち,関連安全機能が故障するには同時故障が必要である)であるかを決定することを

含む。

b)

検討対象の各安全機能と関連する要素の観点からの,E/E/PE 安全関連系の各サブシステムのアーキテ

クチャ。

c) E/E/PE

安全関連系の危険側故障で診断テストによって検出される,各サブシステム及びその要素の全

てのモードにおける推定故障率(7.4.9.4 及び 7.4.9.5 参照)

。故障率の正当な根拠は,データベース及

びその精度又は許容度を考慮して示すことが望ましい。これには,数多くのデータ源からのデータの

考察及び比較,並びに検討対象のシステムと非常によく似たシステムからの故障率の選択を含めても

よい。ランダムハードウェア故障の影響を定量化し,安全側故障割合又は診断カバー率を計算するた

めに使用する故障率は,規定の動作条件を考慮しなければならない。

注記 2  動作条件を考慮するために,通常,例えば負荷,温度などのデータベースから,故障率を

調整する必要がある。

d) E/E/PE

安全関連系及びそのサブシステムの共通原因故障に対するぜい(脆)弱性(

注記 及び注記 4

参照)

。実施した推定の正当な根拠を示さなければならない。

注記 3  共通原因の影響による故障は,ハードウェア要素の実際の故障以外の他の影響(例えば,

電磁妨害,復号化エラーなど)からもたらされることがある。ただし,そのような故障は,

この規格ではランダムハードウェア故障の影響の定量化で考慮する。要素のテストを相互

にずらすと,共通原因故障の可能性は減少する。

注記 4 E/E/PE 安全関連系と,作動要求原因又は他の保護層との間で,識別されている共通原因故

障の場合,安全度水準及び目標機能失敗尺度要求事項を決定していれば,これが考慮され

ていることを確認する必要がある。共通原因要因を決定する方法については,IEC 61508-6

附属書 を参照。

e)

診断テストの診断カバー率(

附属書 に従って求める),関連診断テスト間隔,及び各サブシステム

のランダムハードウェア故障が原因で,診断で検出されない危険側故障の割合。該当する場合は,

7.4.5.3

の要求事項を満たす診断テストだけを考慮しなければならない。MTTR 及び MRT(JIS C 0508-4

の 3.6.21 及び 3.6.22 参照)は,信頼性モデルで考慮しなければならない。

注記 5  診断テスト間隔を確定する場合,診断カバー率に寄与する各テストの全ての間の間隔を考

慮することが必要になる。

f)

危険側フォールトを明らかにするために実施するプルーフテストの間隔。

g)

プルーフテストが 100 %有効の可能性があるかどうか。

注記 6  不完全なプルーフテストは,“新品同様”まで回復していない安全機能となるため,故障

の確率は増大する。推定を行った正当な根拠を示すことが望ましく,特に,要素の更新周

期,又は安全機能の使用期間にわたるリスク低減による影響を含めることが望ましい。ま

た,テストを実施している間にオフライン状態となる場合は,テスト時間を考慮すること

が必要になる。

h)

検出された故障の修理時間。

注記 7  平均修理時間(MRT)は平均修復時間(MTTR)の一部であり(JIS C 0508-4 の 3.6.22 

び 3.6.21 参照)

,故障を検出するのに要する時間,及び修理が不可能な期間も含む(故障

の確率を計算するために MTTR 及び MRT をどのように使用することができるかの例につ

いては,IEC 61508-6 

附属書 を参照)。EUC のシャットダウン,又は修理中に安全な


28

C 0508-2

:2014 (IEC 61508-2:2010)

状態にある場合にだけ,修理は瞬間的であるとみなすことができる。EUC がシャットダウ

ンされているか,又は安全な状態にある間に修理を実施することができない状況において,

いかなる修理も実施することができない期間が比較的大きい場合は,その期間を十分に考

慮することが特に重要である。修理に関連する全ての要因を考慮することが望ましい。

i)

安全機能を達成するために人が措置を講じることが必要な場合の偶発的なヒューマンエラーの影響。

注記 8  ヒューマンエラーの偶発性は,安全でない状況であるという警告を人が受け,措置を講じ

ることを要求するときに考慮することが望ましく,ヒューマンエラーの確率は全体的計算

の中に含めることが望ましい。

j)

数多くのモデリング方法が利用可能であり,何が最も適切な方法かは解析者の問題であって,状況に

よって異なるという事実。利用可能な方法には,因果解析(IEC 61508-7 の B.6.6.2

,故障の木解析(フ

ォールトツリー解析,IEC 61508-7 の B.6.6.5

,マルコフモデル(IEC 61508-6 

附属書 及び IEC 

61508-7

の B.6.6.6

,信頼性ブロック図(IEC 61508-6 

附属書 及び IEC 61508-7 の B.6.6.7)及びペ

トリネット(IEC 61508-6 

附属書 及び IEC 61508-7 の B.2.3.3)を含む。

注記 9  IEC 61508-6 の附属書 には,アーキテクチャが要求目標機能故障尺度を満たすことを決

定するために,ランダムハードウェア故障による安全機能の要求時の危険側故障の平均確

率を推定するために使用できる簡易アプローチを記述している。

注記 10  IEC 61508-6 の A.2 は,要求ハードウェア安全度を達成する際に必要なステップの概要を

示しており,この箇条,要求ハードウェア安全度を達成する際に必要なステップの概要を

示しており,この箇条とこの規格の他の要求事項との関連性を示す。

注記 11  様々な要素の故障モードが適用され,E/E/PE 安全関連系(冗長性に関して)のアーキテク

チャもまた様々であり得るため,E/E/PE 安全関連系の信頼性を各安全機能に関して個々に

定量化することが必要である。

7.4.5.3

ハードウェアフォールトトレランスが 0 で,安全機能又は安全機能の一部を履行し,高頻度作動

要求モード又は連続モードで動作するサブシステムのランダムハードウェア故障の影響を定量化するとき,

次のいずれかに該当する場合以外は,診断に信用を置いてはならない。

−  診断テスト間隔,及び安全状態を達成又は維持するための特定の動作を実施するための時間の合計が,

プロセスセーフティタイム未満の場合。

−  高頻度作動要求モードで動作しているとき,診断テスト率の作動要求率に対する比が,100 以上の場

合。

7.4.5.4

次のいずれかの場合,サブシステムの診断テスト間隔は,診断テスト間隔及び検出された故障の

修理を実施するための時間の合計が,その安全機能に対して達成される安全度を求めるために計算で使用

する平均修復時間(MTTR)未満でなければならない。

−  ハードウェアフォールトトレランスが 0 よりも大きく,安全機能又は安全機能の一部を履行し,高頻

度作動要求モード又は連続モードで動作する。

−  安全機能又は安全機能の一部を履行し,低頻度作動要求モードで動作する。

7.4.5.5

特定の設計に関して,関連安全機能の安全度要求事項が達成されない場合は次による。

a)

機能の計算故障率に最も寄与する要素,サブシステム及び/又はパラメタを決定する。

b)

識別された重要な要素,サブシステム又はパラメタに対して,考えられる改善措置(例えば,さらに

信頼性の高い構成部品,共通モード故障に対する追加の防護,診断カバー率の向上,冗長性の向上,

短縮したプルーフテスト間隔,テストを相互にずらすことなど)の影響を評価する。


29

C 0508-2

:2014 (IEC 61508-2:2010)

c)

適用できる改善を選択して実行する。

d)

新しいランダムハードウェア故障率を確定するために,必要な手段を繰り返す。

7.4.6 

決定論的原因フォールトの回避のための要求事項 

注記  この箇条の要求事項を適用する場合,詳細については 7.4.2.2 c)  を参照。

7.4.6.1 

E/E/PE 安全関連系のハードウェア及びソフトウェアの設計及び開発の間にフォールトの発生を

防止するように設計した適切な一連の技法及び手段を,使用しなければならない(

表 B.2 及び JIS C 0508-3

参照)

注記  この規格は,通常のマイクロプロセッサなどの量産電子集積回路の設計時の,決定論的原因フ

ォールトの回避に関連する特定要求事項は含まない。その理由は,そのような装置内のフォー

ルトの可能性は,厳正な開発手順,厳密なテスト及び使用者からの十分なフィードバックを伴

った広範な使用経験によって最小限にとどめられるからである。そのような根拠によって正当

性を示すことができない電子集積回路(例えば,新しい装置又は ASIC)については,それらを

E/E/PE 安全関連系で使用する場合は ASIC に関する要求事項(7.4.6.7 及び附属書 参照)を適

用する。使用者からの十分なフィードバックを伴った広範な使用経験について疑義のある場合

は,

表 B.6 の“フィールド経験”の要求事項を SIL 1 及び SIL 2 についての“低”の有効性,SIL

3 についての“中”の有効性,及び SIL 4 についての“高”の有効性で考慮することが望ましい。

7.4.6.2

要求安全度水準に従い,選択した設計方法は,次のことを容易にする機能をもたなければならな

い。

a)

透明性,モジュール性及び複雑さを管理するその他の機能。

b)

明白で簡潔な次の表現。

−  機能性

−  サブシステム及び要素のインタフェース

−  順序付け及び時間関連情報

−  同時性及び同期

c)

情報の明白で簡潔な文書化及び伝達。

d)

適合確認及び妥当性確認。

7.4.6.3 E/E/PE

安全関連系の安全度要求事項が継続的に満足することを確実にするための保全要求事項

は,設計段階で形式化しなければならない。

7.4.6.4

該当する場合,自動テストツール及び統合開発ツールを使用しなければならない。

7.4.6.5

設計時に,E/E/PE 系統合テストを計画しなければならない。テスト計画の文書化には次を含めな

ければならない。

a)

実施するテストの種類及び遵守する手順。

b)

テスト環境,ツール,構成及びプログラム。

c)

合否判定基準。

7.4.6.6 

設計時に,開発者の構内で実施する可能性がある業務は,使用者敷地への立ち入りを必要とする

業務から区別しなければならない。

7.4.6.7 ASIC

の設計及び開発の間のフォールトの発生を防止するために不可欠な,一連の適切な技法及

び手段を使用しなければならない。

注記  関連特性の達成を支援する技法及び手段を,附属書 に示す。関連 ASIC 開発ライフサイクル

を,

図 に示す。


30

C 0508-2

:2014 (IEC 61508-2:2010)

7.4.7 

決定論的原因フォールトの管理要求事項 

注記  この箇条の要求事項を適用する場合の詳細については,7.4.2.2 c)  を参照。

7.4.7.1 

決定論的原因フォールトを管理するために,E/E/PE 系設計は,E/E/PE 安全関連系が次のことを許

容できるようにする設計機能を,備えていなければならない。

a)

ハードウェアに残存している設計フォールト。ただしハードウェア設計フォールトの可能性が除外で

きる場合はその限りではない(

表 A.15 参照)。

b)

電磁妨害を含む環境上のストレス(

表 A.16 参照)。

c) EUC

(被制御機器)の運転員による不手際(

表 A.17 参照)。

d)

ソフトウェアに残存している設計フォールト(JIS C 0508-3 の 7.4.3 及び関連表参照)

e)

エラー及びデータ通信プロセスから生じる他の影響(7.4.11 参照)

7.4.7.2

最終 E/E/PE 安全関連系で,これらの特性の実現を容易にするために,設計及び開発業務の間に

保全性及びテスト性を考慮しなければならない。

7.4.7.3 E/E/PE

安全関連系の設計は,人間の能力及び限界を考慮し,また運転員及び保全要員に割り当て

た業務に適したものでなければならない。このような設計要求事項は,ヒューマンファクタの適正実施規

準に従い,また,例えば,運転員が一般員である量産 E/E/PE 安全関連系において,運転員の訓練又は気付

きの可能なレベルを規定しなければならない。

注記 1  可能な場合は,運転員又は保全要員による予見可能で重大な不手際が設計によって阻止又は

除外されるか,又はその措置が完了前に二次的な確認を必要とするものが,設計目標である

ことが望ましい。

注記 2  例えば,直接の検査によるものを除いて,検出又は実際的に修復したりすることができない

場合の,EUC の幾つかの機械的な故障など,運転員又は保全要員による不手際によっては,

E/E/PE 安全関連系によって修復できないことがある。

7.4.8 

フォールト検出時のシステム動作の要求事項 

注記  この箇条の要求事項は,全安全機能が他リスク軽減措置に割り当てられていない場合に,単一

の E/E/PE 安全関連系によって履行する規定の安全機能に適用する。

7.4.8.1

ハードウェアフォールトトレランスが 0 より大きいサブシステムにおける危険側故障を検出(診

断テスト,プルーフテスト又は他の手段による)した場合には,次のいずれかの結果にならなければなら

ない。

a)

安全状態を達成又は維持するための特定の措置(

注記参照)。

b)

故障部分を修理している間,EUC の安全運用の継続を可能にするためのサブシステムの故障部分の隔

離。ランダムハードウェア故障の確率の計算(7.4.5.2 参照)で仮定した平均修理時間(MRT)

JIS C 

0508-4

の 3.6.22 参照)内に修理が完了しない場合,安全な状態を達成又は維持するための特定の措置

を実施しなければならない(

注記参照)。

注記  安全状態を達成又は維持するために要求される規定の措置は,E/E/PE 系安全要求事項(JIS C 

0508-1

の 7.10 参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存する EUC の該当部分の安全なシャットダウンで成り立つことがある。

7.4.8.2

ハードウェアフォールトトレランスが 0 のサブシステムにおける危険側故障を検出

(診断テスト,

プルーフテスト又は他の手段による)した場合には,サブシステムが低頻度作動要求モードで動作する安

全機能だけによって使用される場合,次のいずれかの結果にならなければならない。

a)

安全状態を達成又は維持するための規定の措置。


31

C 0508-2

:2014 (IEC 61508-2:2010)

b)

ランダムハードウェア故障の確率の計算(7.4.5.2 参照)で仮定した平均修理時間(MRT)

JIS C 0508-4

の 3.6.22 参照)内で故障したサブシステムの修理。この時間の間,EUC の安全の継続は,追加の措置

及び制約によって確実にされなければならない。これらの措置及び制約によってもたらされる安全度

は,少なくとも,フォールトが一切発生していないときの E/E/PE 安全関連系によってもたらされる安

全度に等しくなければならない。追加の措置及び制約は,E/E/PE 系運用及び保全手順(7.6 参照)で

規定しなければならない。

注記  安全な状態を達成又は維持するために要求される規定の措置は,E/E/PE 系安全要求仕様(JIS C 

0508-1

の 7.10 参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存する EUC の当該部分の安全なシャットダウンで成り立つことがある。

7.4.8.3

ハードウェアフォールトトレランスが 0 のサブシステムにおける危険側故障を検出

(診断テスト,

プルーフテスト又は他の手段による)した場合には,高頻度作動要求又は連続モードで動作する安全機能

を実現しているサブシステムの場合,安全状態を達成又は維持する規定の措置(

注記参照)の結果になら

なければならない。

注記  安全状態を達成又は維持するために要求される規定の措置は,E/E/PE 系安全要求事項(JIS C 

0508-1

の 7.10 参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存する EUC の当該部分の安全なシャットダウンで成り立つことがある。

7.4.9 E/E/PE

系実現の要求事項 

7.4.9.1 E/E/PE

安全関連系は,E/E/PE 系設計要求仕様(7.2.3)に従って実現しなければならない。

7.4.9.2

一つ以上の安全機能が使用する全てのサブシステム及びその要素は,安全関連サブシステム及び

要素として識別し,文書化しなければならない。

7.4.9.3

次の情報は,適宜,各安全関連サブシステム及び要素に対して利用できるようにしなければなら

ない(7.4.9.4 も参照)

注記  JIS C 0508IEC 61508)規格群に適合していると主張するサブシステム又は要素の供給者は,

この情報を準拠項目の安全マニュアルにおいて安全関連系(又は他のサブシステム若しくは要

素)の設計者が使用できるようにすることが必要になる。

附属書 を参照。

a)

適宜,サブシステム及びその要素の機能仕様。

b)

サブシステムの決定論的原因故障を防止するために順守することが望ましい,サブシステム及びその

要素の適用に関連する指示又は制約。

c)

各要素の決定論的対応能力[7.4.2.2 c)  参照]

d)  JIS C 0508-1

の 6.2.1 に従う E/E/PE 安全関連系の構成管理を可能にするための,要素のハードウェア

及び/又はソフトウェア構成の識別。

e)

サブシステム及びその要素が規定の機能要求事項及び E/E/PE 系設計要求事項の仕様(7.2.3 参照)に

従う,決定論的対応能力を満たすものとしてテストされているという証拠文書。

7.4.9.4

次の情報は,ランダムハードウェア故障に陥りやすい各安全関連要素について利用できるように

しなければならない(7.4.9.3 及び 7.4.9.5 も参照)

注記 1  JIS C 0508IEC 61508)規格群に適合していると主張する要素の供給者は,その情報を要素

安全マニュアルにおいて安全関連系の設計者が使用できるようにすることが必要になる。

属書 を参照。

a)

安全機能の故障をもたらし,かつ,要素の内部の診断テストによっては検出されないか,又は要素の

外部の診断では検出することができないランダムハードウェア故障による,要素の(アウトプットの


32

C 0508-2

:2014 (IEC 61508-2:2010)

動作に関する)故障モード(7.4.9.5 参照)

b)  a)

の各故障モードについて,規定の動作条件に関する推定故障率。

c)

安全機能の故障をもたらし,かつ,要素の内部の診断テストによって検出されるか,又は要素の外部

の診断で検出することができるランダムハードウェア故障による,要素の(アウトプットの動作に関

する)故障モード(7.4.9.5 参照)

d)  c)

の各故障モードについて,規定の動作条件に関する推定故障率。

e)

ランダムハードウェア故障による推定故障率の妥当性を維持するために順守することが望ましい,要

素の環境に対する制限。

f)

ランダムハードウェア故障による推定故障率の妥当性を維持するために超えないことが望ましい,要

素の使用期間に対する制限。

g)

定期的プルーフテスト及び/又は保全要求事項。

h)

要素内部の診断によって検出される c)  の各故障モードについて,

附属書 に従って導き出される診

断カバー率(

注記 参照)。

i)

要素内部の診断によって検出される c)  の各故障モードに対する診断テスト間隔(

注記 参照)。

注記 2  診断カバー率及び診断テスト間隔は,E/E/PE 安全系のハードウェア安全統合モデル内の要

素で実施する診断テストの措置に対する主張に信頼を置くために要求している(7.4.5.2

7.4.5.3

及び 7.4.5.4 参照)

j)

ランダムハードウェア故障による診断故障率。

k)

診断による故障検出後の,平均修理時間(MRT)

JIS C 0508-4 の 3.6.22 参照)の導出を可能にするた

めに必要な追加情報(例えば,修理時間)

l)

7.4.4

に従ったタイプ A 又はタイプ B としての分類を含め,

附属書 に従って求める,E/E/PE 安全関

連系で適用する要素の安全側故障割合(SFF)の導出を可能にするために必要な全ての情報。

m)

要素のハードウェアフォールトトレランス。

7.4.9.5

ランダムハードウェア故障による要素の推定故障率[7.4.9.4 の a)  及び c)  参照]は,次のいずれ

かで求めることができる。

a)

公認された業界のデータ源からの要素故障データを使用した,設計の故障モード及び影響解析。

b)

類似環境で要素を以前に使用した経験(7.4.10 参照)

注記 1  使用する全ての故障率データは,信頼水準が 70 %以上であることが望ましい。信頼水準の統

計学的決定は,参考文献の文献[9]に定義されている。同等の用語である“有意水準”につい

ては,文献[10]を参照。

注記 2  現場固有の故障データが入手できる場合は,そのデータを使用する。入手できない場合は,

一般的なデータを使用しなければならないことがある。

注記 3  定故障率は,多くの確率推定方法で推定されるが,これは,使用期間が要素の有効寿命を超

えない限りにおいてだけ適用できる。使用期間が有効寿命を超えると(すなわち,故障の確

率は時間の経過とともに著しく高くなるので)

,多くの確率計算方法の結果は意味がなくなる。

したがって,確率推定は,要素の有効寿命の規定を含めることが望ましい。有効寿命は,要

素自体及びその動作条件,特に温度(例えば,電解コンデンサは非常に敏感なことがある)

に強く依存している。ただし,耐用期間は,要素が仕様限界の近くで動作している場合は著

しく短くなることがある。

7.4.9.6

供給者が供給する JIS C 0508IEC 61508)規格群への適合を主張する各準拠項目に対して,供


33

C 0508-2

:2014 (IEC 61508-2:2010)

給者は

附属書 に従って準拠項目の安全マニュアルを提供しなければならない。

7.4.9.7

供給者は,準拠項目の各安全マニュアルで提供する全ての情報の正当な根拠を文書化しなければ

ならない。

注記 1  主張する要素の安全性能は,十分な証拠によって裏付けられることが不可欠である。裏付け

のない主張は,その要素が関与する安全機能の正しさ及び完全さを確立する助けとはならな

い。

注記 2  証拠の入手可能性には,商業的又は法的な制約があることがある。これらの制約は,この規

格の適用範囲外である。そのような制約が,証拠への機能安全評価の適切なアクセスを妨げ

る場合,その要素は E/E/PE 安全関連系での使用に適したものではない。

7.4.10 

使用実績による証明がある(proven in use)要素に対する要求事項 

注記  この箇条の要求事項を適用する場合の詳細については,7.4.2.2 c)  を参照。

7.4.10.1

要素は,明確に制約した及び規定した機能をもち,危険な決定論的原因フォールトの可能性が,

要素を使用する安全機能の要求される安全度水準が達成されるほどに十分に低いことを証明する十分な証

拠文書がある場合だけ,使用実績があるとみなさなければならない。証拠は,要素の特定構成の運用経験

の解析,並びに適合性解析及びテストに基づかなければならない。

注記  適合性解析及びテストは,意図したアプリケーション内の要素の性能の実証に焦点をおく。既

存の解析及びテストの結果を考慮することが望ましい。これには,機能動作,精度,故障の場

合の動作,時間応答,過負荷への応答,使いやすさ(例えば,ヒューマンエラーの防止)及び

保全性がある。

7.4.10.2

7.4.10.1

が要求する証拠文書は,次の事項を実証しなければならない。

a)

特定の要素の以前の使用条件(

注記 参照)が,E/E/PE 安全関連系の要素が経験することになる条件

と同じか,又はそれにほぼ近い。

注記 1  使用条件(運用プロファイル)には,要素のハードウェア及びソフトウェアの決定論的原

因フォールトのきっかけになることがある全ての要因を含む。例えば,環境,使用モード,

実施機能,構成,他のシステムへのインタフェース,オペレーティングシステム,トラン

スレータ,ヒューマンファクタである。運用プロファイルの類似性の厳密な条件は,IEC 

61784-3

で示す。

b)

以前の使用において,危険側故障率を超えていない。

注記 2  運用経験に基づいた,以前に開発したソフトウェアのソフトウェア安全度を決定するため

に,確率的アプローチを使用することに関する指針については,IEC 61508-7 

附属書 D

を参照。

注記 3  使用実績による証明がある要素のための証拠の収集には,故障を報告するための有効なシ

ステムが必要になる。

7.4.10.3

以前の使用条件と E/E/PE 安全関連系で経験する使用条件との間に違いがあるときは,危険な決

定論的原因フォールトの可能性が要素を使用する安全機能の要求安全度水準が達成されるほどに十分に低

いことを実証するために,適切な解析方法及びテストを使用して,その違いに関する影響解析を実施しな

ければならない。

7.4.10.4

要素が要求決定論的安全度をもつ要求安全機能を維持しているという,

使用実績による証明があ

る安全に対する正当な根拠は,7.4.10.2 から入手できる情報を使用して文書化しなければならない。これ

には,次のものを含まなければならない。


34

C 0508-2

:2014 (IEC 61508-2:2010)

a)

意図したアプリケーションに関する要素の適合性解析及びテスト。

b)

違いに関する影響解析を含む,意図した運用と以前の運用経験との間の等価性の実証。

c)

統計学上の証拠。

7.4.10.5

入手できる情報の範囲及び深さの両面において,上記の要求事項(7.4.10.17.4.10.4)が満たさ

れているかどうかを判定するときは,次の要因を考慮しなければならない(JIS C 0508-1 の 4.1 も参照)

a)

要素の複雑さ。

b)

要素に求められる決定論的対応能力。

c)

設計の斬新さ。

7.4.10.6

使用実績がない既存の要素の機能は,

使用する要素の機能の安全度に影響を与えることはあり得

ないという十分な証拠がなければならない。

注記  この要求事項は,機能が物理的に若しくは電気的に実行しないことを,又はこれらの機能を実

現するためのソフトウェアが運用構成から除外されることを確実にすることによって,又は他

の種類の主張及び証拠によって,満たすことができる。

7.4.10.7

使用実績による証明がある要素の将来の部分改修は,7.8 及び JIS C 0508-3 の要求事項に適合し

なければならない。

7.4.11 

データ通信の追加要求事項 

7.4.11.1

安全機能の実現においてデータ通信を使用するときは,通信プロセスの機能失敗尺度(残存エラ

ー率など)を,伝送エラー,繰返し,削除,挿入,再順序づけ,劣化,遅延及び偽装を考慮して推定しな

ければならない。ランダム故障による安全機能の機能失敗尺度を推定するときは,この機能失敗尺度を考

慮しなければならない(7.4.5 参照)

注記  用語:

“偽装”とは,メッセージの真の発信源が正しく識別されていないことを意味する。例え

ば,非安全要素のメッセージを,安全要素からのメッセージとして誤って識別することなどが

ある。

7.4.11.2

通信プロセス(7.4.11.1 参照)の要求機能失敗尺度(残存エラー率など)を確実にするために必

要な技法及び手段は,

この規格及び JIS C 0508-3 の要求事項に従って実現しなければならない。

これには,

次の二つのアプローチが考えられる。

−  通信チャネル全体を,JIS C 0508IEC 61508)規格群,及び IEC 61784-3 又は IEC 62280 規格群に従

って設計,実現及び妥当性確認しなければならない。これは,いわゆる“ホワイトチャネル”

図 7 a)

参照]である。

−  通信チャネルの部分が,JIS C 0508IEC 61508)規格群に従って設計又は妥当性確認されていない。

これは,いわゆる“ブラックチャネル”

図 7 b) 参照]である。この場合,通信プロセスの故障性能

を確実にするために必要な措置を,適宜,IEC 61784-3 又は IEC 62280 規格群に従った通信チャネル

と繋がる,E/E/PE 安全関連サブシステム又は要素において実現しなければならない。


35

C 0508-2

:2014 (IEC 61508-2:2010)

a)

  ホワイトチャネル 

インタフェースが IEC 61784-3 又は IEC 62280 に適合(サービス及びプロトコルを含む) 

b)

  ブラックチャネル 

図 7−データ通信のアーキテクチャ 

7.5 E/E/PE

系統合 

注記  このフェーズは,図 のボックス 10.4 である。

7.5.1 

目的 

この箇条の要求事項は,E/E/PE 安全関連系を統合し,テストすることを,目的とする。

7.5.2 

要求事項 

7.5.2.1 E/E/PE

安全関連系は,規定の E/E/PE 系設計に基づいて統合し,規定の E/E/PE 系統合テスト内容

に従ってテストしなければならない(7.4.2.11 参照)

7.5.2.2 E/E/PE

安全関連系に全てのモジュールを統合する一環として,E/E/PE 安全関連系を規定されたよ

うにテストしなければならない(7.4 参照)

。これらのテストは,全てのモジュールが正しく,相互に作用

し合って,意図した機能を実施し,かつ,意図しない機能を実施しないように設計していることを示さな

ければならない。

注記 1  これは,全てのインプットの組合せをテストすることを意味しない。全ての等価クラスをテ

ストすること(IEC 61508-7 の B.5.2 参照)で十分な場合がある。静的解析(IEC 61508-7 

B.6.4

参照)

,動的解析(IEC 61508-7 の B.6.5 参照)又は故障分析(IEC 61508-7 の B.6.6 参照)

によって,テストケースの数を許容レベルまで減らすこともある。E/E/PE 安全関連系を,構

造化設計(IEC 61508-7 の B.3.2 参照)又は準形式手法(IEC 61508-7 の B.2.3 参照)を使用

して開発する場合,要求事項はより実施しやすいものになる。

注記 2  形式手法(IEC 61508-7 の B.2.2 参照),又は形式的証明若しくは形式的アサーション(IEC 

61508-7

の C.5.12 及び C.3.3 参照)を開発で使用する場合,このテストの適用範囲が狭まるこ

とがある。

注記 3  統計的証拠も,同様に使用できる(IEC 61508-7 の B.5.3 参照)。

7.5.2.3

JIS C 0508-3

の 7.5 に従って,安全関連ソフトウェアを E/E/PE 安全関連系に組み込まなくてはな

らない。

7.5.2.4 E/E/PE

安全関連系の統合テストに関する適切な文書を作成し,その文書には,テスト結果並びに

サブシステム/要素が

JIS C 0508

に適合

通信チャネル全体[JIS C 0508IEC 61508)規格群及び IEC 

61784-3

と IEC 62280 とのいずれかに適合しているプロトコル,

サービス及びネットワーク構成部品を含む。

サブシステム/要素

が JIS C 0508 に適合

サブシステム/要素

が JIS C 0508 に適合

各インタフェース間の通信チャネル部分が,JIS C 0508 

従って設計又は妥当性確認されていない

サブシステム/要素

が JIS C 0508 に適合


36

C 0508-2

:2014 (IEC 61508-2:2010)

設計及び開発フェーズの間に規定した目的及び基準が満たされているかどうかを記述しなければならない。

故障がある場合は,故障の理由及びその是正処置を文書化しなければならない。

7.5.2.5

統合及びテストの間,E/E/PE 安全関連系の部分改修又は変更を実施する場合には,影響を受ける

全てのサブシステム及び要素並びに必要な再適合確認業務を識別する影響解析を実施しなければならない。

7.5.2.6 E/E/PE

系統合テストは,次の情報を文書化しなければならない。

a)

使用したテスト仕様書の版。

b)

統合テストの合否判定基準。

c)

テスト中の E/E/PE 安全関連系の版。

d)

使用したツール及び機器並びに校正データ。

e)

各テストの結果。

f)

予想した結果と実際の結果との差異。

g)

実施した解析,及び差異が生じたときにテストを続行するか又は変更要請を出すかについて下した決

定。

7.5.2.7 E/E/PE

系統合時に発生するフォールトを回避するために,

表 B.3 に従った一連の適切な技法及び

手段を使用しなければならない。

7.6 E/E/PE

系の運用及び保全の手順 

注記  このフェーズは,図 のボックス 10.5 である。

7.6.1 

目的 

この箇条の要求事項は,E/E/PE 安全関連システムの要求機能安全を運用及び保全の間に確実に維持する

ような手順を作成することを,目的とする。

7.6.2 

要求事項 

7.6.2.1 

E/E/PE 系の運用及び保全の手順を準備しなければならない。これには,次のことを規定しなけれ

ばならない。

a)

交換周期を指定している要素,例えば,冷却ファン,バッテリなどの定期的な交換を含め,E/E/PE 安

全関連系の設計時の機能安全を維持するために実施しなければならない定期的措置。

b)

安全でない状態に移行することを防止するために,及び/又は危害事象の結果を軽減するために必要

な措置及び制約(例えば,設置,始動,正常運用,定期テスト,予見可能な外乱,フォールト又は故

障,及びシャットダウン中)

c) E/E/PE

安全関連系のシステム故障及び作動要求率に関する,維持管理する必要のある文書。

d) E/E/PE

安全関連系の監査及びテストの結果を示す,維持管理する必要のある文書。

e)

次のものを含む,E/E/PE 安全関連系でフォールト又は故障が発生したときに従わなければならない保

全手順。

−  故障診断及び修理の手順

−  妥当性確認の再実施の手順

−  保全報告に関する要求事項

−  機器の純正部品が既に入手不可能,又は新しい形(かた)式に置き換えられている場合に妥当性確

認を再実施するための手順

f)

保全実績を報告するための手順を規定しなければならない。特に,次の手順に留意する。

−  故障を報告するための手順

−  故障を解析するための手順


37

C 0508-2

:2014 (IEC 61508-2:2010)

g)

保全及び妥当性確認を再実施するために必要なツール,並びにツール及び機器を保全するための手順。

注記 1  安全と経済上の両方の理由から,E/E/PE 系運用及び保全手順を EUC の全体的な運用及び保

全手順と統合すると都合のよいことがある。

注記 2 E/E/PE 系運用及び保全手順には,ソフトウェア部分改修手順を含めることが望ましい(JIS C 

0508-3

の 7.8 参照)

7.6.2.2 E/E/PE

安全関連系の運用及び保全手順は,機能安全監査結果,及び E/E/PE 安全関連系のテスト

などからの引継ぎ事項で継続的に更新しなければならない。

7.6.2.3 E/E/PE

安全関連系の要求機能安全が設計どおりの機能を維持するために必要な日常の保全活動

は,決定論的方法で定めなければならない。この方法は,達成される安全度の低下を引き起こすこともあ

る全ての安全関連要素(センサから操作端に至るまでの)の,明らかにされていない故障を決定しなけれ

ばならない。適切な方法には,次の事項がある。

−  故障の木解析(フォールトツリー解析)

−  故障モード及び影響解析

注記 1  ヒューマンファクタの考慮は,必要な措置及び E/E/PE 安全関連系との適切なインタフェース

を決定する上で重要な要素である。

注記 2  プルーフテストは,目標機能失敗尺度を達成するために必要な頻度で実施する。

注記 3  プルーフテストの頻度,診断テスト間隔及びその後の修理時間は,次の事項を含め,複数の

要因に依存する(IEC 61508-6 

附属書 参照)。

−  安全度水準及び関連する目標機能失敗尺度

−  アーキテクチャ

−  診断テストの診断カバー率

−  予想作動要求率

注記 4  プルーフテストの頻度及び診断テスト間隔は,ハードウェア安全度の達成に極めて重大な影

響を及ぼす可能性がある。ハードウェア信頼性解析(7.4.5.2 参照)を実施する主な理由の一

つは,二つのタイプのテストの頻度が目標ハードウェア安全度に適することを確実にするた

めである。

注記 5  製造業者の保全要求事項に従うことが望ましく,かつ,正当な根拠を(例えば,E/E/PE 安全

関連系の目標機能故障尺度が満たされていることを実証する信頼性解析によって)完全に示

すことができるまでは,信頼性重視の保全方法だけを信頼しないことが望ましい。

7.6.2.4 

E/E/PE 系運用及び保全手順では,EUC に対して及ぼすことがある影響を評価しなければならな

い。

7.6.2.5 E/E/PE

系運用及び保全手順の期間中のフォールト及び故障の回避ために,

表 B.4 に基づいた一連

の適切な技法及び手段を用いなければならない。

7.7 E/E/PE

系の安全妥当性確認 

注記  このフェーズは,図 のボックス 10.6 である。

7.7.1 

目的 

この箇条の要求事項は,E/E/PE 安全関連系が,要求安全機能及び安全度に関して,安全の要求事項を全

ての点で満たしていることの妥当性確認を,目的とする(上記 7.2 及び JIS C 0508-1 の 7.10 参照)

7.7.2 

要求事項 

7.7.2.1 E/E/PE

系安全妥当性確認は,準備した計画に従って実施しなければならない(JIS C 0508-3 の 7.7


38

C 0508-2

:2014 (IEC 61508-2:2010)

も参照)

注記 1 E/E/PE 系安全妥当性確認は,E/E/PE 系安全ライフサイクルで,設置に先だって実施するもの

としているが,場合によっては,E/E/PE 系安全妥当性確認が設置後まで実施できないことが

ある(例えば,アプリケーションソフトウェアの開発が設置後までに完了していない場合)

注記 2  プログラマブル電子式安全関連系の妥当性確認は,ハードウェア及びソフトウェアの両方の

妥当性確認で成り立つ。ソフトウェアの妥当性確認の要求事項は,JIS C 0508-3 に規定して

いる。

7.7.2.2

妥当性確認に使用する全ての試験装置は,可能な場合,国家標準とトレーサビリティが取れた基

準器,又は広く認知された手順に準拠した基準器と校正しなければならない。全てのテスト機器は,正し

く動作するかどうかをテストしなければならない。

7.7.2.3 E/E/PE

系安全要求事項(JIS C 0508-1 の 7.10 参照)で規定している各安全機能,E/E/PE 系設計要

求仕様(7.2 参照)

,並びに E/E/PE 系運用及び保全手順の十分な実現を,テスト及び/又は解析で妥当性確

認しなければならない。十分な独立性若しくは個々の要素又はサブシステムの間の非干渉化を解析的に実

証できない場合は,関連の機能動作の組合せをテストしなければならない。

注記  必要なテストの組合せの数が非常に大きくなる可能性がある場合は,システムの再構築が求め

られることもある。

7.7.2.4

各安全機能に関して次の事項を記載した,E/E/PE 系安全妥当性確認テストの適切な文書を作成し

なければならない。

a)

使用中の E/E/PE 系安全妥当性確認計画の版。

b)

テスト(又は解析)中の安全機能及び E/E/PE 系安全妥当性確認の計画中に規定した要求事項への個別

の参照先。

c)

使用したツール及び機器並びに校正データ。

d)

各テストの結果。

e)

予想した結果と実際の結果との差異。

各安全機能に関して個別の文書は必要でないが,a)e)  の情報は全ての安全機能に適用しなければなら

ず,また情報が安全機能ごとに異なっている場合は,その関係を記述しなければならない。

7.7.2.5

差異が生じた場合(すなわち,実際の結果が規定の許容差を超えて予想結果と異なっている場合)

E/E/PE 系安全妥当性確認テストの結果は,次の事項を含めて文書化しなければならない。

a)

実施した解析。

b)

テストを続行するか,又は変更要請を出して,妥当性確認テストの初期段階に戻らなければならない

かどうかについて下した決定。

7.7.2.6

供給者又は開発者は,EUC 及び EUC 制御システムの開発者が,JIS C 0508-1 の全安全妥当性確

認の要求事項を満たすことができるように,E/E/PE 系安全妥当性確認テストの結果を利用できるようにし

なければならない。

7.7.2.7 

E/E/PE 系安全妥当性確認に発生するフォールトを回避するため,表 B.5 に従った一連の適切な技

法及び手段を使用しなければならない。

7.8 E/E/PE

系の部分改修 

7.8.1 

目的 

この箇条の要求事項は,E/E/PE 安全関連系の訂正,機能強化又はそのシステムへの適応を行い,要求さ

れる安全度を確実に達成し,かつ,維持することを,目的とする。


39

C 0508-2

:2014 (IEC 61508-2:2010)

7.8.2 

要求事項 

7.8.2.1

各 E/E/PE 系部分改修作業について,適切な文書を作成し維持しなければならない。文書は,次

の事項を含まなければならない。

a)

部分改修又は変更の詳細な規定。

b)

システム全体に対する部分改修作業についての,次の全ての事項についての影響の解析。

−  ハードウェア

−  ソフトウェア(JIS C 0508-3 参照)

−  人の相互作用及び環境

−  可能な相互作用

c)

変更の全ての承認。

d)

変更の進捗。

e)

妥当性確認の再実施データを含む,サブシステム及び要素のテストケース。

f) E/E/PE

系変更管理履歴。

g)

通常運用及び条件からの逸脱。

h)

システム手順に対する必要な変更。

i)

文書に対する必要な変更。

7.8.2.2

この規格の全て又は一部への適合を主張する製造業者又はシステム供給者は,ハードウェア又は

ソフトウェアで検出された欠陥の変更作業を開始するための,かつ,その欠陥が安全に影響を与える場合

は部分改修の必要性を使用者に知らせるためのシステムを,維持しなければならない。

7.8.2.3

部分改修は,E/E/PE 安全関連系の初期開発と同じレベルの専門技術,支援ツール(自動ツール)

JIS C 0508-3 の 7.4.4.2 参照)

,並びに計画及び管理で,実施しなければならない。

7.8.2.4

部分改修後,E/E/PE 安全関連系は,適合確認及び妥当性確認を,再実施しなければならない。

注記  JIS C 0508-1 の 7.16.2.6 も参照。

7.9 E/E/PE

系適合確認 

7.9.1 

目的 

この箇条の要求事項は,所定のフェーズの引渡し事項をテスト及び評価して,そのフェーズへの引継ぎ

事項として提供する製品及び基準に関して,正確さ及び一貫性を確実なものにすることを,目的とする。

注記  便宜上,全ての適合確認業務は 7.9 にまとめられているが,実際には関連するフェーズごとに

実施する。

7.9.2 

要求事項 

7.9.2.1 E/E/PE

安全関連系の適合確認は,E/E/PE 系安全ライフサイクルのフェーズごとに,開発(7.4 

照)と同時に計画し,文書化しなければならない。

7.9.2.2 E/E/PE

系適合確認計画には,そのフェーズの適合確認で使用する全ての基準,技法及びツールを

記載しなければならない。

7.9.2.3 

E/E/PE 系適合確認計画では,そのフェーズへの引継ぎ事項として提供される製品及び基準に関し

て正確さ及び一貫性を確実にするために実施しなければならない業務を,規定しなければならない。

7.9.2.4 E/E/PE

系適合確認計画では,次の事項を考慮しなければならない。

a)

適合確認の戦略及び技法の選択。

b)

テスト機器の選択及び利用。

c)

適合確認業務の選択及び文書化。


40

C 0508-2

:2014 (IEC 61508-2:2010)

d)

適合確認機器から,直接的に得られる適合確認結果,及びテストによって得られる適合確認結果の評

価。

7.9.2.5

各設計及び開発フェーズにおいて,機能安全及び安全度要求事項を満足していることを示さなけ

ればならない。

7.9.2.6

各適合確認業務の結果を文書化し,E/E/PE 安全関連系が適合確認の合否,及び不合格の場合はそ

の理由を記述しなければならない。次の事項を考慮しなければならない。

a) E/E/PE

系安全ライフサイクルの一つ又は複数の関連要求事項(7.2 参照)に適合していない品目。

b)

一つ又は複数の製品に関連する規格に適合していない品目(7.4 参照)

c)

一つ又は複数の関連安全管理要求事項(箇条 参照)に適合していない品目。

7.9.2.7 E/E/PE

系設計要求仕様の適合確認の場合,E/E/PE 系設計要求仕様(7.2 参照)を規定した後に,

及び次のフェーズ(設計及び開発)が始まる前に,適合確認によって次のことを行わなければならない。

a) E/E/PE

系設計要求仕様が,安全計画の間に規定した“安全性”

“機能性”及び“他の要求事項”の点

で,E/E/PE 系安全要求仕様(JIS C 0508-1 の 7.10 参照)を満たすのに十分なものであるかを,判定す

る。

b)

次の事項に対する不適合のチェック。

−  各 E/E/PE 系安全要求事項(JIS C 0508-1 の 7.10 参照)

−  各 E/E/PE 系設計要求仕様(7.2 参照)

−  各 E/E/PE 系テスト(7.4 参照)

−  使用者の文書,及び他の全てのシステム文書。

7.9.2.8 E/E/PE

系設計及び開発の適合確認の場合,E/E/PE 系設計及び開発(7.4 参照)が完了した後で,

及び次のフェーズ(統合)が始まる前に,適合確認によって次のことを行わなければならない。

a) E/E/PE

系テストが,E/E/PE 系設計及び開発に対して十分なものであるかどうかを,判定する。

b) E/E/PE

系安全要求事項(JIS C 0508-1 の 7.10 参照)に関して,E/E/PE 系設計及び開発の一貫性及び完

全性(モジュールレベルまでの)を評価する。

c) 

次の事項に対する不適合のチェック。

−  各 E/E/PE 系安全要求事項(JIS C 0508-1 の 7.10 参照)

−  各 E/E/PE 系設計要求仕様(7.2 参照)

−  各 E/E/PE 系設計及び開発(7.4 参照)

−  各 E/E/PE 系テスト(7.4 参照)

注記 1  表 B.5 で,適合確認にも適用できる安全妥当性確認,故障分析及びテスト方法を推奨してい

る。

注記 2  診断カバー率を達成しているという実証では,検出しなければならないフォールト及び故障

を示す

表 A.1 を考慮することになる。

7.9.2.9 E/E/PE

系統合を適合確認する場合,E/E/PE 安全関連系の統合は,7.5 の要求事項を満たしている

ことを確定するために,適合確認しなければならない。

7.9.2.10

テストケース及びその結果は,文書化しなければならない。

機能安全評価 

機能安全評価に関する要求事項は,JIS C 0508-1 の箇条 による。


41

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 A

(規定)

E/E/PE

安全関連系の技法及び手段−運用中の故障の制御

A.1 

一般 

この附属書は,7.4 と併せて使用しなければならない。この附属書では,関連技法及び手段に関して主張

されることがある最大診断カバー率を制限している。それぞれの安全度水準について,この附属書は,ラ

ンダムハードウェア及び決定論的原因による故障,並びに環境上及び運用上の故障を管理するための技法

及び手段を推奨している。アーキテクチャ及び手段の詳しい情報については,IEC 61508-6 

附属書 

び IEC 61508-7 

附属書 を参照。

次の二つの理由から,複雑なハードウェアにおける故障の個々の物理的原因を,列挙することはできな

い。

−  フォールトと故障との間の原因及び結果の関係を明らかにするのは,難しいことが多い。

−  複雑なハードウェア及びソフトウェアを使用している場合,故障の重点は,ランダム的なものから決

定論的なものへ変化する。

E/E/PE 安全関連系の故障は,発生時間に基づいて,次のように分類できることがある。

−  システムの設置前又は設置中に発生したフォールトによる故障(例えば,ソフトウェアフォールトに

は,仕様及びプログラムのフォールトがある。また,ハードウェアフォールトには,製造上のフォー

ルト及び要素の間違った選択がある。

−  システムの設置後に発生したフォールト,又はヒューマンエラーによる故障(例えば,ランダムハー

ドウェア故障又は誤用による故障)

このような故障を回避するために,又は発生時にそれを管理するために,通常は多くの手段が必要であ

る。ここでは,これらの手段を大きく分けて,運用中に発生した故障を制御するために使用する手段を

属書 A(この附属書)に規定し,E/E/PE 系安全ライフサイクルの様々なフェーズで故障が発生することを

回避するための手段を,

附属書 に規定している。故障を管理するための手段は,E/E/PE 安全関連系の組

込み機能である。

診断カバー率及び安全側故障割合は,

表 A.1 に基づいて,また附属書 で規定している手順に従って決

める。

表 A.2∼表 A.14 は,表 A.1 の要求事項を補足して,診断テストの技法及び手段を推奨し,さらにそ

れらを使用して達成できる最高レベルの診断カバー率を推奨している。各表は,

附属書 の要求事項のど

れかに置き換わるものではない。また,

表 A.2∼表 A.14 は,全てを網羅するものではない。主張する診断

カバー率を補足する証拠を示すことができる場合,他の手段及び技法を使用してもよい。高診断カバー率

を主張する場合は,一つ以上の高診断カバー率の技法を上記の各表から適用することが望ましい。

同様に,

表 A.15∼表 A.17 では,決定論的原因故障を管理するために,安全度水準ごとの技法及び手段

を推奨している。

表 A.15 では,決定論的原因故障を管理するために,全体的手段を推奨し(JIS C 0508-3

も参照)

表 A.16 では,環境上の故障を管理するための手段を推奨し,表 A.17 では,運用上の故障を管理

するための手段を推奨している。これらの管理手段の大部分は,

表 A.18 に従って等級付けすることができ

る。

これらの表に示す全ての技法及び手段は,IEC 61508-7 

附属書 に規定している。安全度水準ごとに

要求されるソフトウェア技法及び手段は,JIS C 0508-3 に規定している。E/E/PE 安全関連系のアーキテク


42

C 0508-2

:2014 (IEC 61508-2:2010)

チャを決定するための指針は,IEC 61508-6 

附属書 に示している。

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。

−  選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。

−  それぞれの特定 E/E/PE 安全関連系の開発期間中に起きる特定の問題に対して,どの技法及び手段が最

も適切であるか。

A.2 

ハードウェア安全度 

表 A.1 には,該当レベルの診断カバー率を達成するために,ハードウェア故障を管理する技法及び手段

で検出しなければならないフォールト又は故障の要求事項を示す(

附属書 も参照)。表 A.2∼表 A.14 は,

診断テストの技法及び手段を推奨することによって,またそれらを使用して達成できる最高レベルの診断

カバー率を推奨することによって,

表 A.1 の要求事項を補足する。これらのテストは,連続的に又は定期

的に実施してもよい。各表は,7.4 の要求事項のどれかに置き換わるものではない。

表 A.2∼表 A.14 は,

全てを網羅するものではない。主張される診断カバー率を補足する証拠を示すことができる場合,他の手

段及び技法を使用してもよい。

注記 1  これらの表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 に示している。関連

箇条は,

表 A.2∼表 A.14 の第 2 列(参照先)に示している。

注記 2  低,中及び高診断カバー率の指定は,それぞれ,60 %,90 %及び 99 %と定量化されている。

表 A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障 

構成要素

参照先

主張する診断カバー率に対する要求事項

低(60 %)

中(90 %)

高(99 %)

電気機械機器

表 A.2 

励 磁 又 は 非 励 磁
にならない

励磁又は非励磁にならない 励磁又は非励磁にならない

個別の接点溶着

複数の接点溶着

個別の接点溶着

・ ポジ ティ ブ ガ イド され ない

(リレーの場合,EN 50205 

はこれと同等の規格に従って

組み込まれ,テストされてい
る場 合に 当 該 故障 は起 きな

い)

・ 能動形開放がない(ポジショ

ン ス イ ッ チ の 場 合 , JIS C 

8201-5-1

又はこれと同等の規

格に従って組み込まれ,テス
トされている場合,当該故障

は起きない)

個別

ハ ー ド
ウェア

デジタル I/O

表 A.3 
表 A.7 
表 A.9 

固着

注記 参照)

DC フォールトモデル

注記 参照)

・ DC フォールトモデル

・ ドリフト及び振動

アナログ I/O

固着

・ DC フォールトモデル

・ ドリフト及び振動

・ DC フォールトモデル

・ ドリフト及び振動

電源

固着

・ DC フォールトモデル 
・ ドリフト及び振動

・ DC フォールトモデル 
・ ドリフト及び振動


43

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障(続き) 

構成要素

参照先

主張する診断カバー率に対する要求事項

低(60 %)

中(90 %)

高(99 %)

バス

一般

表 A.3 
表 A.7 
表 A.8 

アドレスの固着

タイムアウト

タイムアウト

メモリ管理 
ユニット

(MMU)

デ ー タ 又 は ア ド
レスの固着

・ 誤アドレス復号化 
・ MMU レジスタ内のソフ

ト エ ラ ー に よ っ て も た

ら さ れ る ア ド レ ス の 変
更(

注記 及び注記 

照)

・ 誤アドレス復号化 
・ MMU レジスタ内のソフトエ

ラーによってもたらされるア

ドレスの変更

ダイレクトメ

モリアクセス

(DMA)

アクセスなし

又は 
連続アクセス

・ デ ー タ 及 び ア ド レ ス の

DC フォールトモデル

・ DMA レジスタ内のソフ

ト エ ラ ー に よ っ て も た

らされる情報の変更

・ 誤アクセス時間

・ メモリ内のデータに影響を与

える全てのフォールト

・ 誤アクセス時間

バス使用権の
割当て

注記 参照)

ア ー ビ ト レ ー シ
ョン信号の固着

使用権の割当てなし又は連
続使用権の割当て

次のいずれか 
・ 使用権の割当てなし

・ 連続使用権の割当て

・ 誤使用権の割当て

中 央 処
理 装 置

(CPU)

レジスタ, 
内部 RAM

表 A.4 

表 A.10 

デ ー タ 及 び ア ド
レスの固着

・ デ ー タ 及 び ア ド レ ス の

DC フォールトモデル

・ ソ フ ト エ ラ ー に よ っ て

も た ら さ れ る 情 報 の 変

・ データ及びアドレスの DC フ

ォールトモデル

・ メモリセルの動的クロスオー

・ ソフトエラーによってもたら

される情報の変更

・ 誤又は多重アドレス指定なし

フラグレジス

タを含む符号
化及び実行

誤符号化

又は 
実行なし

誤符号化又は誤実行

明確な故障仮定なし

アドレス計算

固着

・ DC フォールトモデル

・ ソ フ ト エ ラ ー に よ っ て

も た ら さ れ る ア ド レ ス
の変更

明確な故障仮定なし

プログラムカ
ウンタ,

スタックポイ

ンタ

固着

・ DC フォールトモデル 
・ ソ フ ト エ ラ ー に よ っ て

も た ら さ れ る ア ド レ ス

の変更

・ DC フォールトモデル 
・ ソフトエラーによってもたら

されるアドレスの変更

割 込 み
処理

割込み

表 A.4 

・ 割込みなし又

は連続割込み

注記 参照)

・ 割 込 み な し 又 は 連 続 割

込み

・ 割込みのクロスオーバ

・ 割込みなし又は連続割込み 
・ 割込みのクロスオーバ

リセット回路

・ 固着

・ 個々の構成要

素がリセット
状態に初期化

しない

・ DC フォールトモデル

・ ドリフト及び振動

・ 個 々 の 構 成 要 素 が リ セ

ッ ト 状 態 に 初 期 化 さ れ

ない

・ DC フォールトモデル

・ ドリフト及び振動

・ 個々の構成要素がリセット状

態に初期化されない


44

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障(続き) 

構成要素

参照先

主張する診断カバー率に対する要求事項

低(60 %)

中(90 %)

高(99 %)

不変メモリ

表 A.5 

デ ー タ 及 び ア ド

レスの固着

データ及びアドレスの DC

フォールトモデル

メモリ内のデータに影響を与え

る全てのフォールト

可変メモリ

表 A.6 

デ ー タ 及 び ア ド

レスの固着

・ デ ー タ 及 び ア ド レ ス の

DC フォールトモデル

・ ソ フ ト エ ラ ー に よ っ て

も た ら さ れ る 情 報 の 変

・ データ及びアドレスの DC フ

ォールトモデル

・ メモリセルの動的クロスオー

・ ソフトエラーを原因とする情

報の変化

・ アドレス指定なし,誤又は多

重アドレス指定

クロック(クォーツ,オ

シ レ ー タ , 位 相 同 期 回
路)

表 A.11  ・低調波又は超高

調波 
・周期ジッタ

・ 不正確な周波数

・ 周期ジッタ

・ 不正確な周波数

・ 周期ジッタ

通 信 及 び 大 容 量 記 憶 装

表 A.12  ・誤データ又はア

ドレス

・伝送なし

・ メ モ リ 内 の デ ー タ に 影

響 を 与 え る 全 て の フ ォ

ールト

・ 誤データ又はアドレス 
・ 誤伝送時間

・ 誤伝送シーケンス

・ メモリ内のデータに影響を与

える全てのフォールト

・ 誤データ又はアドレス

・ 誤伝送時間 
・ 誤伝送シーケンス

センサ

表 A.13  固着

・ DC フォールトモデル

・ ドリフト及び振動

・ DC フォールトモデル

・ ドリフト及び振動

操作端

表 A.14  固着

・ DC フォールトモデル

・ ドリフト及び振動

・ DC フォールトモデル

・ ドリフト及び振動

注記 1  “固着”は,ひとつの要素内の複数のピンにおいて連続する“0”,“1”又は“on”の状態になるものとし

て記述できるフォールト区分である。

注記 2  “DC フォールトモデル”は,直流回路のフォールトの分類で,次の故障モードを含む。

:固着フォールト,

スタックオープン,開又は高インピーダンスアウトプット,及び信号線間の短絡。

集積回路の場合,任意の二つの接続(ピン)の間の短絡が考えられる。

注記 3  低電圧駆動半導体のソフトエラー率(SER)は,ハードエラー率(装置の恒久的損傷)よりも二桁以上高い

値(50 倍から 500 倍)であることが,知られている。

注記 4  ソフトエラーの原因は,次のとおりである。パッケージを構成する原子核の崩壊によるアルファ粒子,中

性子,電磁障害を引き起こす外部の雑音及び内部混線。ソフトエラーの影響は,実行時の安全度措置だけ

に及ぶ。ランダムハードウェア故障に対して有効な安全度措置は,ソフトエラーに対して有効でない場合
もある。

例:ウォークパス,ガルパットなどの RAM テストは有効ではないが,パリティ及び誤り訂正符合(ECC)

を使用すれば,メモリセルの繰返し読取り監視技法又は冗長化(及び比較もしくは多数決)技法が有
効となることがある。

注記 5  バス使用権の割当ては,どの装置がバスを制御するかを決定する機構である。 
注記 6  割込みなしは,割込みが起きることが望ましい場合に割込みなしとなることを意味する。連続割込みは,

連続割込みが起きないことが望ましい場合に連続割込みとなることを意味する。

注記 7 ASIC の場合,適宜,この表及び表 A.2∼表 A.18 を適用する。


45

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.2−電気部品 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

オンライン監視によ
る故障検出

IEC 61508-7

 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード)

故障検出の診断カバー率に依存
する。

リレー接点の監視

IEC 61508-7

 

A.1.2 

ランダム故障の影響を定量化す

る場合は,リレー開閉率を考慮

することが望ましい。

コンパレータ

IEC 61508-7

 

A.1.3 

故障モードが主に安全方向であ

る場合は高。

多数決

IEC 61508-7

 

A.1.4 

多数決方式の品質によって異な
る。

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.3−電子構成部品 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

オンライン監視によ

る故障検出

IEC 61508-7

 

A.1.1 

低(低頻度作動要求モード)

中(高頻度作動要求又は連続モード)

故障検出の診断カバー率によっ

て異なる。

コンパレータ

IEC 61508-7

 

A.1.3 

故障モードが主に安全方向であ

る場合は高。

多数決

IEC 61508-7

 

A.1.4 

多数決方式の品質によって異な
る。

冗長化ハードウェア
によるテスト

IEC 61508-7

 

A.2.1 

故障検出の診断カバー率によっ
て異なる

動的原理

IEC 61508-7

 

A.2.2 

故障検出の診断カバー率によっ

て異なる。

標準テストアクセス

ポート及び境界走査

アーキテクチャ

IEC 61508-7

 

A.2.3 

故障検出の診断カバー率によっ

て異なる。

監視付き冗長化

IEC 61508-7

 

A.2.5 

冗長化の程度と監視の程度によ
って異なる。

自動チェック機能付
きハードウェア

IEC 61508-7

 

A.2.6 

テストの診断カバー率によって
異なる。

アナログ信号監視

IEC 61508-7

 

A.2.7 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。


46

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.4−処理単位 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

コンパレータ

IEC 61508-7

 

A.1.3 

比較方式の品質によって異なる。

多数決

IEC 61508-7

 

A.1.4 

多数決方式の品質によって異なる。

ソフトウェアによる自

己テスト:

パターンの数が限られ
ている(単一チャネル)

IEC 61508-7

 

A.3.1 

ソフトウェアによる自

己テスト:

ウ ォ ー キ ン グ ビ ッ ト

(単一チャネル)

IEC 61508-7

 

A.3.2 

ハードウェアが対応す
る自己テスト(単一チ

ャネル)

IEC 61508-7

 

A.3.3 

符号化処理(単一チャ

ネル)

IEC 61508-7

 

A.3.4 

ソフトウェアによる相

互比較

IEC 61508-7

 

A.3.5 

比較方式の品質によって異なる。

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。 
注記 4  多数の処理装置フォールトはフロー制御の部分改修をもたらすため,処理装置フォールトでは,表 A.10 

示す診断手段及び技法も考慮してもよい。これらの診断手段及び技法は,データフローではなく,制御フ

ローだけを取り扱う。

表 A.5−不変メモリの範囲 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

ワード保護された複数

ビットによる冗長化

IEC 61508-7

 

A.4.1 

ワード保護した複数ビットによる冗

長化の有効性は,ワードアドレスがど

の程度複数ビットによる冗長化に含
まれるかに依存する。また,複数ビッ

トに対する共通原因フォールト,例え

ば,複数アドレス指定(複数の行選択,
複数のローカル−グローバルビット

ラインスイッチを起動)

,電源問題(例

えば,チャージポンプの欠陥),生産
行列置換(生産マスク欠陥を隠すため

の生産歩留り措置)などを検出する手

段に,依存する。

部分改修チェックサム

IEC 61508-7

 

A.4.2 

1 ワード(8 ビット)の
署名

IEC 61508-7

 

A.4.3 

署名の効力は,保護される情報のブロ
ック長に対する署名の幅によって異

なる。


47

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.5−不変メモリの範囲(続き) 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

ダブルワード(16 ビッ
ト)の署名

IEC 61508-7

 

A.4.4 

署名の効力は,保護される情報のブロ
ック長に対する署名の幅によって異

なる。

ブロック複製

IEC 61508-7

 

A.4.5 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.6−可変メモリの範囲 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

RAM テストのチェック
ボード又はマーチ

IEC 61508-7

 

A.5.1 

RAM テストのウォーク
パス

IEC 61508-7

 

A.5.2 

RAM テストのガルパッ
ト又は透過ガルパット

IEC 61508-7

 

A.5.3 

RAM テストのアブラハ

IEC 61508-7

 

A.5.4 

RAM のパリティビット  IEC 61508-7  

A.5.5 

部分改修したハミング
コードによる RAM 監

視,又はエラー検出訂

正コード(EDC)によ
るデータフォールトの

検出

IEC 61508-7

 

A.5.6 

部分改修したハミングコードによる
RAM 監視の有効性,又はエラー検出
訂正コード(EDC)によるデータフォ

ールトの検出は,ハミングコードへの
アドレスに含まれることとなり,また

複数ビットに対する共通原因フォー

ルト,例えば,複数アドレス指定(複
数の行選択,複数のローカルからグロ

ーバルへのビットラインスイッチを

起動),生産行列置換(生産マスク欠
陥を隠すための生産歩留り措置)など

を検出する手段に依存する。

ハードウェア又はソフ

トウェア比較及びリー
ドライトテストが実施

されるダブル RAM

IEC 61508-7

 

A.5.7 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。 
注記 4  低頻度だけで(例えば,構成時)リードライトが行われる RAM に関しては,IEC 61508-7 の A.4.1A.4.4

の手段が,各読書きのアクセス後に実施される場合に有効である。


48

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.7I/O 装置及びインタフェース(外部通信) 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

オンライン監視による
故障検出

IEC 61508-7

 

A.1.1 

低(低頻度作動要求モード)
中(高頻度作動要求/連続モ

ード)

故障検出の診断カバー率によって異
なる。

テストパターン

IEC 61508-7

 

A.6.1 

コードの保護

IEC 61508-7

 

A.6.2 

マルチチャンネルパラ
レルアウトプット

IEC 61508-7

 

A.6.3 

診断テスト間隔内でデータフローが
変わる場合だけ。

監視付きアウトプット

IEC 61508-7

 

A.6.4 

診断テスト間隔内でデータフローが
変わる場合だけ。

インプット比較又は多

数決

(1oo2,2oo3 又はそれ以

上の冗長化)

IEC 61508-7

 

A.6.5 

診断テスト間隔内でデータフローが

変わる場合だけ。

相反信号伝送

IEC 61508-7

 

A.11.4 

例えば,反転信号の伝送。

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.8−データパス(内部通信) 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

1 ビット追加によるハ
ードウェアの冗長化

IEC 61508-7

 

A.7.1 

多面クロスバースイッチ式データパ

スでは,アドレス及び制御ラインが安
全措置によって取り扱われた場合,所

定の有効性を仮定できるにすぎない。

複数ビット追加による

ハードウェアの冗長化

IEC 61508-7

 

A.7.2 

多面クロスバースイッチ式データパ

スでは,アドレス及び制御ラインが安
全措置によって取り扱われた場合,所

定の有効性を仮定できるにすぎない。

二重化によるハードウ

ェアの冗長化

IEC 61508-7

 

A.7.3 

テストパターンを使用

する検査

IEC 61508-7

 

A.7.4 

伝送の冗長化

IEC 61508-7

 

A.7.5 

一過性のフォールトに対してだけ有

効。

情報の冗長化

IEC 61508-7

 

A.7.6 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。


49

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.9−電源 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

安全遮断又は二次電源への切換
えによる過電圧保護

IEC 61508-7

 

A.8.1 

安全遮断又は二次電源への切換

えによる電圧制御(二次制御)

IEC 61508-7

 

A.8.2 

安全遮断又は二次電源への切換

えによる電源断

IEC 61508-7

 

A.8.3 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.10−プログラムシーケンス(ウォッチドッグ) 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

時間窓なしの個別の時間基準に
よるウォッチドッグ

IEC 61508-7

 

A.9.1 

時間窓がある個別の時間基準に

よるウォッチドッグ

IEC 61508-7

 

A.9.2 

プログラムシーケンスの論理監

IEC 61508-7

 

A.9.3 

監視の品質に依存する。

プログラムシーケンスの時間的

監視と論理的監視との組合せ

IEC 61508-7

 

A.9.4 

オンラインチェックによる時間

的監視

IEC 61508-7

 

A.9.5 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.11−クロック 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

時間窓なしの個別の時間基準に

よるウォッチドッグ

IEC 61508-7

 

A.9.1 

時間窓がある個別の時間基準に

よるウォッチドッグ

IEC 61508-7

 

A.9.2 

時間窓の時間制約に依存す

る。

プログラムシーケンスの論理的

監視

IEC 61508-7

 

A.9.3 

外部からの一過性の事象が

論理プログラムフローに影
響を与える場合は,クロック

故障に対してだけ有効。

プログラムシーケンスの時間的

監視と論理的監視の組合せ

IEC 61508-7

 

A.9.4 

オンラインチェックによる時間

的監視

IEC 61508-7

 

A.9.5 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。


50

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.12−通信及び大容量記憶 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

E/E/PE 安全関連系とプ
ロセス間の情報交換

IEC 61508-7

 

A.6 

表 A.7 を参照。 I/O 装置及びインタフェース

の表を参照。

E/E/PE 安全関連系間の
情報交換

IEC 61508-7

 

A.7 

表 A.8 を参照。

データパスの表を参照。

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.13−センサ 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

オンライン監視による
故障検出

IEC 61508-7

 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード)

故障検出の診断カバー率に依
存する。

アナログ信号の監視

IEC 61508-7

 

A.2.7 

テストパターン

IEC 61508-7

 

A.6.1 

インプット比較又は多

数決(1oo2,2oo3 又は

それ以上の冗長化)

IEC 61508-7

 

A.6.5 

診断テスト間隔内でデータフ

ローが変更される場合だけ。

基準センサ

IEC 61508-7

 

A.12.1 

故障検出の診断カバー率に依
存する。

正作動スイッチ

IEC 61508-7

 

A.12.2 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。

表 A.14−操作端(アクチュエータ) 

診断技法及び手段

参照先

達成可能と考えられる

最大診断カバー率

注記 

オンライン監視による

故障検出

IEC 61508-7

 

A.1.1 

低(低頻度作動要求モード)

中(高頻度作動要求又は連続モード)

故障検出の診断カバー率に依

存する。

リレー接点の監視

IEC 61508-7

 

A.1.2 

ランダム故障の影響を定量化
する場合は,リレー開閉率を

考慮することが望ましい。

テストパターン

IEC 61508-7

 

A.6.1 

監視

IEC 61508-7

 

A.13.1 

故障検出の診断カバー率に依

存する。

複数のアクチュエータ

の相互監視

IEC 61508-7

 

A.13.2 

注記 1  この表は,附属書 のいかなる要求事項を代替するものではない。 
注記 2  附属書 の要求事項は,診断カバー率の決定に関連している。 
注記 3  この表に関する一般的な注記については,表 A.1 より前に記述している本文を参照。


51

C 0508-2

:2014 (IEC 61508-2:2010)

A.3 

決定論的安全度 

表 A.15∼表 A.18 に,次のための技法及び手段を,推奨事項として示す。

−  ハードウェア設計によって引き起こされる故障を管理する(

表 A.15 参照)

−  環境上のストレス又は影響による故障を管理する(

表 A.16 参照)

−  運用中の故障を管理する(

表 A.17 参照)

表 A.15∼表 A.17 では,まず,技法又は手段の“重要性”について規定し,次に,技法又は手段を使用

したときに求められる“有効性”について規定する。これらは,安全度水準によって要求事項又は推奨事

項を示している。

“重要性”の記号の意味は次による。

− M :技法又は手段を要求する(必須)

− HR

:技法又は手段を用いるように強く推奨する。この技法又は手段を使用しない場合は,使用しない

理論的根拠について詳述しなければならない。

− R :技法又は手段を用いることが望ましい。

− -  :技法又は手段を使用することに関しては,推奨も反対もしない。

求められる“有効性”の記号の意味は,次による。

−  低 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“低”の範囲内

で使用しなければならない。

−  中 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“中”の範囲内

で使用しなければならない。

−  高 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が“高”の範囲内で使用しな

ければならない。

代表的な技法及び手段の有効性レベルに関する指針を,

表 A.18 に示す。

手段が必須でない場合,一般に他の手段に(個別又は組合せのいずれかで)置き換えることができる。

これを,

表 A.15∼表 A.17 の最左欄に網掛けして示す。

ここに示す全ての技法及び手段は,E/E/PE 安全関連系の組込み機能であり,オンラインで故障を管理す

ることに役立つことがある。フォールトの発生を防ぐためには,手順上及び組織上の技法及び手段が

E/E/PE 系安全ライフサイクルを通じて必要とする。さらに,特定のアプリケーションに対して組込み機能

が適していることを実証するためには,予想される外部の影響に対する E/E/PE 安全関連系の動作をテスト

するための妥当性確認技法を必要とする(

附属書 参照)。

IEC 61508-6

附属書 に,共通原因故障に関する情報が示されている。

注記  表 A.15∼表 A.17 に示す手段の大部分は,表 A.18 に基づく有効性を加味して使用できる。表

A.18

は,

“低”及び“高”の有効性の例を示している。

“中”の有効性に求められる取組みは,

有効性の取組みに関する規定の“低”と“高”との間にある。


52

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.15−ハードウェア設計によって生じる決定論的原因故障を 

管理するための技法及び手段 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

プログラムシーケンス監視

IEC 61508-7

A.9 

HR

HR

HR

HR

オンライン監視による故障検出

注記 を参照)

IEC 61508-7

A.1.1 

R

R

R

R

冗長化ハードウェアによるテス

IEC 61508-7

A.2.1 

R

R

R

R

標準テストアクセスポート及び

境界走査アーキテクチャ

IEC 61508-7

A.2.3 

R

R

R

R

コード保護

IEC 61508-7

A.6.2 

R

R

R

R

多様性のあるハードウェア

IEC 61508-7

B.1.4 

-

-

R

R

灰色の網掛けを付けたグループに含まれる技法のうち一つ以上,又は JIS C 0508-3 

表 A.3 に示す技法の一

つを使用しなければならない。 
注記 1  各安全度水準の項目の意味については,A.3 を参照。 
注記 2  これらの手段は,“低”及び“高”の有効性の例を示す表 A.18 に基づいて変化する有効性に合わせて,

使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定されている

各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 A,附属書 及び附属書 にある。

関連する箇条は,この表の 3 列目(IEC 61508-7 参照先)を参照。

注記 4  低頻度作動要求モードで動作する E/E/PE 安全関連系(例えば,緊急時停止システム)に対しては,オ

ンライン監視による故障検出で達成される診断カバー率は,通常,

“低”又は“ゼロ”である。


53

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.16−環境上のストレス又は影響によって生じる決定論的原因故障を管理するための技法及び手段 

種別

技法又は手段

参照先 SIL1

SIL2

SIL3

SIL4

危険側故障をもたらすことがある電源喪失,電圧変動,

過電圧,低電圧,交流電源周波数変動などの現象に対す

る手段

IEC 61508-7

A.8 

M

M

M

M

通信線からの電力線の分離

注記 参照)

IEC 61508-7

A.11.1 

M M M M

電磁イミュニティの増大

IEC 61508-7

A.11.3 

M

M

M

M

物理的環境(例えば,温度,湿度,水,振動,ほこり,

腐食性物質)に対する手段

IEC 61508-7

A.14 

M

M

M

M

プログラムシーケンス監視

IEC 61508-7

A.9 

HR

HR

HR

HR

温度の上昇に対する手段

IEC 61508-7

A.10 

HR

HR

HR

HR

複数ラインの空間的分離

IEC 61508-7

A.11.2 

HR

HR

HR

HR

アイドル電流原理(EUC の安全な状態を達成する又は維
持するために,連続制御が必要でない場合。

IEC 61508-7

A.1.5 

R R R R

信号ラインにおける断線及び短絡を検出するための手段

R R R R

オンライン監視による故障検出(

注記 参照)

IEC 61508-7

A.1.1 

R

R

R

R

冗長化ハードウェアによるテスト

IEC 61508-7

A.2.1 

R

R

R

R

コード保護

IEC 61508-7

A.6.2 

R

R

R

R

反転信号の伝送

IEC 61508-7

A.11.4 

R

R

R

R

多様性のあるハードウェア(

注記 を参照)

IEC 61508-7

B.1.4 

-

-

-

R

ソフトウェアアーキテクチャ

JIS C 0508-3

7.4.3 

JIS C 0508-3

表 A.2 及び C.2 

この表は,最左欄の網掛けで示すように,三つのグループに分けている。灰色及び黒色の網掛けを付けたグループ

内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えることができる。ただし,灰色の網掛けを付

けたグループ内の技法のうち一つ以上,及び黒色の網掛けを付けたグループ内の技法のうち一つ以上を,使用しな

ければならない。 
注記 1  各安全度水準の項目の意味については,A.3 を参照。 
注記 2  この表に記載の手段の多くは,

“低”及び“高”の有効性の例を示す

表 A.18 に基づいて変化する有効性に合

わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定されている

各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 及び附属書 にある。関連する箇条は,

この表の 3 列目(IEC 61508-7 参照先)を参照。

注記 4  情報を光学的に送信する場合は,情報を伝送する光ケーブルと電源線などの電線とを離して設置する必要は

ない。また,E/E/PE 系の部品を通電状態にしたとき,それらの部品に情報を送受信するように設計されて

いる低電力線の場合も,その必要はない。

注記 5  低頻度作動要求モードで動作する E/E/PE 安全関連系(例えば,緊急時停止システム)に対しては,オンラ

イン監視による故障検出で達成される診断カバー率は,通常,

“低”又は“ゼロ”である。

注記 6  ハードウェアに設計のフォールトがほとんどなく,共通原因故障に対して十分に保護されており,目標機能

失敗尺度を満たすことが,妥当性確認及び包括的な運用経験で実証されている場合,多様性のあるハードウ

ェアを要求しない。


54

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.17−決定論的運用フォールトを管理するための技法及び手段 

種 

技法又は手段

参照先

SIL1 SIL2 SIL3 SIL4

部分改修の保護

IEC 61508-7

 

B.4.8 

M

M

M

M

オンライン監視による故障検出

注記 参照)

IEC 61508-7

 

A.1.1 

R

R

R

R

インプットの確認応答

IEC 61508-7

 

B.4.9 

R

R

R

R

故障挿入プログラミング

IEC 61508-7

 

C.3.3 

JIS C 0508-3

表 A.2 及び C.2 参照。

灰色の網掛けのついているグループ内に含まれる技法のうち一つ以上を,使用しなければならない。

注記 1  各安全度水準の下の項目の意味については,A.3 を参照。 
注記 2  この表で示している手段のうちの二つの手段は,“低”及び“高”の有効性の例を示す表 A.18 に基づいて

変化する有効性に合わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に

関して規定されている各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 A,附属書 及び附属書 にある。関連

する箇条は,この表の 3 列目(IEC 61508-7 参照先)を参照。

注記 4  低頻度作動要求モードで動作する E/E/PE 安全関連系(例えば,緊急時停止システム)に対しては,オンラ

イン監視による故障検出で達成される診断カバー率は,通常,

“低”又は“ゼロ”である。


55

C 0508-2

:2014 (IEC 61508-2:2010)

表 A.18−決定論的原因故障を管理するための技法及び手段の有効性 

技法又は手段

参照先

低有効性

高有効性

オ ン ラ イ ン 監 視 に よ

る 故 障 検 出 (

注 記 参

照)

IEC 61508-7

 

A.1.1 

EUC 及びその制御システムからの
トリガー信号は,E/E/PE 安全関連
系の動作が正しいかどうかをチェ

ックするために使用する(上限時間

での挙動だけ)

E/E/PE 安全関連系は,EUC 及びそ
の制御システムからの時間的及び
論理的信号で再トリガーする(一

時 的 ウ ォ ッ チ ド ッ グ 機 能 用 時 間

窓)

冗 長 化 ハ ー ド ウ ェ ア
によるテスト(

注記参

照)

IEC 61508-7

 

A.2.1 

追加のハードウェアが,E/E/PE 安
全関連系のトリガー信号をテスト

する(時間上限時での挙動だけ)

このハードウェアは,二次操作端の
切換えを行う。

追加のハードウェアが,E/E/PE 安
全関連系からの時間的及び論理的

信号で再トリガーされる(一時的

ウォッチドッグ機能用時間窓)

。複

数のチャンネル間の多数決。

標 準 テ ス ト ア ク セ ス
ポ ー ト 及 び 境 界 走 査

アーキテクチャ

IEC 61508-7

 

A.2.3 

プルーフテストの間,定義済み境界
走査テストを介して,使用したソリ

ッドステート論理回路のテスト。

E/E/PE 安全関連系の機能仕様に基
づくソリッドステート論理回路の

診断テスト。全ての機能は,全て

の 集 積 回 路 に つ い て チ ェ ッ ク す
る。

コード保護

IEC 61508-7

 

A.6.2 

信号伝送の時間冗長性を介した故

障検出。

信号伝送の時間及び情報冗長性を

介した故障検出。

電源喪失,電圧変動,

過 電 圧 及 び 低 電 圧 に

対する手段

IEC 61508-7

 

A.8 

安全遮断又は二次電源ユニットへ

の切換えによる過電圧保護。

安全遮断又は二次電源ユニットへ

の 切 換 え に よ る 過 電 圧 制 御 ( 二

次)

,又は安全遮断又は二次電源ユ

ニ ッ ト へ の 切 換 え に よ る 電 力 停

止。

プ ロ グ ラ ム シ ー ケ ン

ス監視

IEC 61508-7

 

A.9 

プログラムシーケンスの一時的又

は論理的監視。

プログラム内の非常に多くのチェ

ックポイントでのプログラムシー
ケンスの時間的及び論理的監視。

温 度 上 昇 に 対 す る 手

IEC 61508-7

 

A.10 

温度過昇の検出。

温度ヒューズを介しての安全遮断
の起動,又は幾つかのレベルの温

度過昇感知及びアラーム,又は強

制空冷の接続及び状態表示。

電 磁 イ ミ ュ ニ テ ィ の
増大(

注記参照)

IEC 61508-7

 

A.11.3 

電源,及び電磁妨害が注入されるお
それがある入出力へのフィルタの

設置。必要に応じて遮蔽。

通常,予測できない電磁妨害注入
に対するフィルタ・遮蔽。

物 理 的 環 境 に 対 す る

手段

IEC 61508-7

 

A.14 

アプリケーションに応じて通常行

っている対策。

特定アプリケーションの規格で示

された技法。

多 様 性 の あ る ハ ー ド

ウェア

IEC 61508-7

 

B.1.4 

同じ機能を実行するが,設計の点で

異なる二つ以上の品目。

異なる機能を実行する二つ以上の

品目。

部分改修の保護

IEC 61508-7

 

B.4.8 

部分改修には,特定のツールを必要

とする。

部分改修には,パスワード付きの

キーロック又は専用ツールが必要
である。

イ ン プ ッ ト の 確 認 応

IEC 61508-7

 

B.4.9 

インプット操作の運転員へのエコ

ー。

運転員によるデータインプットの

厳密な規則のチェック,又は誤っ

たインプットの拒否。

注記  IEC 61508-7 の A.1.1A.2.1A.11.3 及び A.14 を参照した技法の場合,高有効性の技法又は手段については低

有効性の取組方法も使用されることを想定している。


56

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 B

(規定)

E/E/PE

安全関連系の技法及び手段−ライフサイクルの

様々なフェーズ中の決定論的原因故障の回避

この附属書の

表 B.1∼表 B.5 では,E/E/PE 安全関連系の故障を回避するための技法及び手段を,安全度

水準ごとに推奨している。技法及び手段の詳細は,IEC 61508-7 

附属書 を参照する。運用中の故障を

管理する手段の要求事項は

附属書 に規定しており,また IEC 61508-7 の附属書 に記述されている。

次の二つの理由から,安全ライフサイクル全体において発生する決定論的原因故障の個々の原因又は対

策を,列挙することはできない。

−  決定論的原因フォールトの影響は,その故障が発生したライフサイクルフェーズによって異なる。

−  決定論的原因故障を回避するための単一のいかなる手段の有効性も,利用分野によって異なる。

したがって,決定論的原因故障を回避するための定量的解析は,不可能である。

E/E/PE 安全関連系の故障は,原因となるフォールトが発生するライフサイクルフェーズに従って,次の

ように分類できることがある。

−  システムの設置前又は設置中に発生したフォールトによる故障(例えば,ソフトウェアフォールトに

は,仕様及びプログラムのフォールトを含み,ハードウェアフォールトには,製造上のフォールト及

び要素の間違った選択によるフォールトを含む。

−  システムの設置後に発生したフォールトによる故障(例えば,ランダムハードウェア故障又は誤用に

よる故障。

このような故障を回避するために,又は発生時にそれを管理するために,通常は多くの手段を必要とす

る。これらの手段を大きく分けて,運用中の故障を管理するために使用する手段を

附属書 に規定し,

E/E/PE 系安全ライフサイクルの様々なフェーズで故障が発生することを回避するための手段を,附属書 B

(この附属書)に規定している。故障を管理するための手段は,E/E/PE 安全関連系の組込み機能であり,

故障を回避するための手段は,安全ライフサイクル中に実施する。

表 B.1∼表 B.5 では,まず,技法又は手段の“重要性”について規定し,次に,技法又は手段を使用し

たときに求められる“有効性”について規定する。これらは,安全度水準によって要求事項又は推奨事項

を示している。

“重要性”の記号の意味は次による。

− M :技法又は手段を要求する(必須)

− HR

:技法又は手段を用いるように強く推奨する。この技法又は手段を使用しない場合は,使用しない

理論的根拠について詳述しなければならない。

− R :技法又は手段を使用することを推奨する。

− -  :技法又は手段を使用することに関しては,推奨も反対もしない。

− NR

:技法又は手段を使用することを積極的には望まない。この技法又は手段を使用する場合は,使用

する理論的根拠について詳述しなければならない。

求められる“有効性”の記号の意味は,次による。

−  低 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“低”の範囲内


57

C 0508-2

:2014 (IEC 61508-2:2010)

で使用しなければならない。

−  中 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“中”の範囲内

で使用しなければならない。

−  高 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が“高”の範囲内で使用しな

ければならない。

注記  表 B.1∼表 B.5 に示す手段の大部分は,表 B.6 に基づく有効性を加味して使用できる。表 B.6

は,

“低”及び“高”の有効性の例を示している。

“中”の有効性に求められる取組みは,有効

性の取組みに関する規定の“低”と“高”との間にある。

手段が必須でない場合,一般に他の手段で(個別か組合せのいずれかで)置き換えることができる。こ

れを,表の最左欄に網掛けして示す。

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。

−  選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。

−  開発ライフサイクルの全てのフェーズにとって,どの技法及び手段が適切であるか。

−  それぞれの異なる E/E/PE 安全関連系の開発期間中に起きる特定の問題に対して,どの技法及び手段が

最も適切であるか。


58

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.1E/E/PE 系設計要求仕様中の過失を回避するための技法及び手段(7.2 参照) 

種 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

プロジェクトマネジメント

IEC 61508-7

B.1.1 

M

M

M

M

文書化

IEC 61508-7

B.1.2 

M

M

M

M

E/E/PE 系安全関機能の安全以外の機能
からの分離

IEC 61508-7

B.1.3 

HR

HR

HR

HR

構造化仕様

IEC 61508-7

B.2.1 

HR

HR

HR

HR

仕様書の検査

IEC 61508-7

B.2.6 

-

HR

HR

HR

準形式手法

IEC 61508-7

B.2.3

 

JIS C 0508-3

表 B.7 も参照

R

R

HR

HR

チェックリスト

IEC 61508-7

B.2.5 

R

R

R

R

コンピュータ支援仕様作成ツール

IEC 61508-7

B.2.4 

-

R

R

R

形式手法

IEC 61508-7

B.2.2 

-

-

R

R

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。

この安全ライフサイクルフェーズの適合確認では,この表で灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は

表 B.5 に列挙する技法又は手段のうち一つ以上を,使用しなければならない。

注記 1  各安全度水準の項目の意味については,この表より前に記述されている本文を参照。 
注記 2  この表の手段は,“低”及び“高”の有効性の例を示す表 B.6 に基づいて変化する有効性に合わせて使

用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定されている各

努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 にある。関連する箇条は,この表の

3 列目(IEC 61508-7 参照先)を参照。


59

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.2E/E/PE 系の設計及び開発中のフォールトの誘引を 

回避するための技法及び手段(7.4 参照) 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

指針及び規格の適合

IEC 61508-7

B.3.1 

M

M

M

M

プロジェクトマネジメント

IEC 61508-7

B.1.1 

M

M

M

M

文書化

IEC 61508-7

B.1.2 

M

M

M

M

構造化設計

IEC 61508-7

B.3.2 

HR

HR

HR

HR

モジュール化

IEC 61508-7

B.3.4 

HR

HR

HR

HR

十分な実績のある(well-tried)構成部

品の使用

IEC 61508-7

B.3.3 

R

R

R

R

準形式手法

IEC 61508-7

B.2.3

 

JIS C 0508-3

表 B.7 も参照

R

R

HR

HR

チェックリスト

IEC 61508-7

B.2.5 

-

R

R

R

コンピュータ支援仕様作成ツール

IEC 61508-7

B.3.5 

-

R

R

R

シミュレーション

IEC 61508-7

B.3.6 

-

R

R

R

ハードウェアの検査又はハードウェア
のウォークスルー

IEC 61508-7

B.3.7 

B.3.8 

-

R

R

R

形式手法

IEC 61508-7

B.2.2 

-

-

R

R

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。

この安全ライフサイクルフェーズの適合確認では,この表の灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は

表 B.5 に列挙する技法又は手段のうち一つ以上を,使用しなければならない。

注記 1  各安全度水準の項目の意味については,表 B.1 より前に記述されている本文を参照。 
注記 2  この表の手段の大部分は,“低”及び“高”の有効性の例を示す表 B.6 に基づいて変化する有効性に合

わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定され

ている各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 にある。関連する箇条は,この表の

3 列目(IEC 61508-7 参照先)を参照。


60

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.3E/E/PE 系の統合中のフォールトを 

回避するための技法及び手段(7.5 参照) 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

機能テスト

IEC 61508-7

B.5.1 

M

M

M

M

プロジェクトマネジメント

IEC 61508-7

B.1.1 

M

M

M

M

文書化

IEC 61508-7

B.1.2 

M

M

M

M

ブラックボックステスト

IEC 61508-7

B.5.2 

R

R

R

R

フィールドの実績

IEC 61508-7

B.5.4 

R

R

R

R

統計的テスト

IEC 61508-7

B.5.3 

-

-

R

R

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。

この安全ライフサイクルフェーズの適合確認では,この表の灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は

表 B.5 に列挙する技法又は手段のうち一つ以上を,使用しなければならない。

注記 1  各安全度水準の項目の意味については,表 B.1 より前に記述されている本文を参照。 
注記 2  この表の手段の大部分は,“低”及び“高”の有効性の例を示す表 B.6 に基づいて変化する有効性に合

わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定され

ている各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 にある。関連する箇条は,この表の

3 列目(IEC 61508-7 参照先)を参照。


61

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.4E/E/PE 系の運用及び保全手順の実施中のフォールト及び故障を 

回避するための技法及び手段(7.6 参照) 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

運用及び保全指示書

IEC 61508-7

B.4.1 

HR

HR

HR

HR

使いやすさ

IEC 61508-7

B.4.2 

HR

HR

HR

HR

保全のしやすさ

IEC 61508-7

B.4.3 

HR

HR

HR

HR

プロジェクトマネジメント

IEC 61508-7

B.1.1 

M

M

M

M

文書化

IEC 61508-7

B.1.2 

M

M

M

M

運用の可能性の制限

IEC 61508-7

B.4.4 

-

R

HR

HR

運転員の間違いに対する保護

IEC 61508-7

B.4.6 

-

R

HR

HR

熟練運転員だけによる運用

IEC 61508-7

B.4.5 

-

R

R

HR

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。

この安全ライフサイクルフェーズの適合確認では,チェックリスト(IEC 61508-7 の B.2.5 参照)又は検査(IEC 

61508-7

の B.2.6 参照)によって,実施しなければならない。

注記 1  各安全度水準の項目の意味については,表 B.1 より前に記述されている本文を参照。 
注記 2  この表の手段の大部分は,“低”及び“高”の有効性の例を示す表 B.6 に基づいて変化する有効性に合

わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定され

ている各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 にある。関連する箇条は,この表の

3 列目(IEC 61508-7 参照先)を参照。


62

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.5E/E/PE 系の安全妥当性確認中のフォールトを 

回避するための技法及び手段(7.7 参照) 

技法又は手段

参照先  SIL1 SIL2 SIL3 SIL4

機能テスト

IEC 61508-7

B.5.1 

HR

HR

HR

HR

環境条件の下での機能テスト

IEC 61508-7

B.6.1 

HR

HR

HR

HR

サージイミュニティのテスト

IEC 61508-7

B.6.2 

HR

HR

HR

HR

フォールト挿入テスト(要求される診

断カバー率≧90 %のとき)

IEC 61508-7

B.6.10 

HR

HR

HR

HR

プロジェクトマネジメント

IEC 61508-7

B.1.1 

HR

HR

HR

HR

文書化

IEC 61508-7

B.1.2 

HR

HR

HR

HR

静的解析,動的解析及び故障分析

IEC 61508-7

B.6.4 

B.6.5 

B.6.6 

-

R

R

R

シミュレーション及び故障分析

IEC 61508-7

B.3.6 

B.6.6 

-

R

R

R

最悪条件解析,動的解析及び故障分析

IEC 61508-7

B.6.7 

B.6.5 

B.6.6 

-

-

R

R

静的解析及び故障分析(

注記 参照)

IEC 61508-7

B.6.4 

B.6.6 

R

R

NR NR

拡張機能テスト

IEC 61508-7

B.6.8 

-

HR

HR

HR

ブラックボックステスト

IEC 61508-7

B.5.2 

R

R

R

R

フォールト挿入テスト(要求される診

断カバー率が 90 %未満のとき)

IEC 61508-7

B.6.10 

R

R

R

R

統計的テスト

IEC 61508-7

B.5.3 

-

-

R

R

ワーストケース状況テスト

IEC 61508-7

B.6.9 

-

-

R

R

フィールドの実績

IEC 61508-7

B.5.4 

R

R

R

NR


63

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.5E/E/PE 系の安全妥当性確認中のフォールトを 

回避するための技法及び手段(7.7 参照)(続き) 

この表は,最左欄の網掛けで示すように,三つのグループに分けている。灰色及び黒色の網掛けを付けたグ

ループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えることができる。ただし,灰色の
網掛けを付けたグループ内の技法(解析的技法)のうち一つ以上,及び黒色の網掛けを付けたグループ内の技

法(テスト技法)のうち一つ以上を,使用しなければならない。 
注記 1  各安全度水準の項目の意味については,表 B.1 より前に記述されている本文を参照。 
注記 2  この表に記載の手段の多くは,“低”及び“高”の有効性の例を示す表 B.6 に基づいて変化する有効性

に合わせて使用できる。

“中”の有効性に求められる努力は,

“低”及び“高”の有効性に関して規定

されている各努力の間のどこかにある。

注記 3  この表に関連する技法及び手段の概要は,IEC 61508-7 の附属書 にある。関連する箇条は,この表の

3 列目(IEC 61508-7 参照先)を参照。

注記 4  静的解析及び故障分析は SIL 3 及び SIL 4 に対しては好ましくないが,それは,動的解析と組み合わせ

て使用するのでない限り,これらの技法は十分なものでないためである。


64

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.6−決定論的原因故障を回避するための技法及び手段の有効性 

技法又は手段

参照先

低有効性

高有効性

プロジェクトマネ

ジメント

注記参照)

IEC 61508-7

 

B.1.1 

業務及び責任の定義,

日程計画及び資源の割当
て,

要員の訓練,

部分改修後の一貫性チェ
ック。

設計とは関係のない妥当性確認,

プロジェクト監視, 
標準化妥当性確認手順,

構成管理,故障の統計,

コンピュータ支援エンジニアリング,コンピュ
ータ支援ソフトウェアエンジニアリング。

文書化

注記参照)

IEC 61508-7

 

B.1.2 

グラフィック及び自然言

語の記述,例えば,ブロ

ックダイアグラム,フロ
ーダイアグラム。

組織全体における一貫した内容とレイアウトの

指針,

内容のチェックリスト, 
コンピュータ支援文書化管理,

公式の変更管理。

E/E/PE 系安全機能
の安全以外の機能

からの分離

IEC 61508-7

 

B.1.3 

E/E/PE 安全関連系と非安
全関連系の間の明確に定

義されているインタフェ
ース。

E/E/PE 安全関連系の非安全関連系からの全体的
な分離,すなわち,非安全関連系の E/E/PE 安全

関連系への書込み不可及び共通原因の影響を回
避するための個別の物理的場所。

構造化仕様

IEC 61508-7

 

B.2.1 

手動での副次的要求事項

への階層的分離,インタ

フェースの記述。

コンピュータ支援エンジニアリングを使用して

記述した階層的分離,

一貫性自動チェック, 
機能レベルまでへの精緻化。

形式手法

IEC 61508-7

 

B.2.2 

形式手法の経験豊かな要
員が使用。

コンピュータ支援ツールと共に類似のアプリケ
ーションで形式手法の経験豊かな要員が使用。

準形式手法

IEC 61508-7

 

B.2.3 

準形式手法で致命的とな

る部品の記述。

異なる準形式手法で全 E/E/PE 安全関連系を記

述して異なる面を示す,方法間の一貫性をチェ

ック。

コンピュータ支援

仕様作成ツール

IEC 61508-7

 

B.2.4 

一つの特定の設計方法に

偏ることのないツール。

階層的分離を行うモデル指向手順,

全てのオブジェクト及びそれらの関係の記述,
共通のデータベース,

自動一貫性チェック。

チェックリスト

IEC 61508-7

 

B.2.5 

全ての安全ライフサイク

ルフェーズのチェックリ
ストの準備,主要な安全

問題に集中。

全ての安全ライフサイクルフェーズの詳細なチ

ェックリストの準備。

仕様の検査

IEC 61508-7

 

B.2.6 

独立した人間による安全

要求仕様の検査。

検出されたフォールトは全て修復する形式的手

順を使用しての,独立した組織による検査と再

検査。

構造化設計

IEC 61508-7

 

B.3.2 

階層的回路設計, 
手動での制作。

テスト済み回路部品の再使用, 
仕様書・設計書・回路ダイアグラム・部品リス

ト間のトレーサビリティ,

コンピュータ支援方式, 
定義済み方法に基づく設計(7.4.6 も参照)

十分な実績のある

(well-tried)構成部

品の使用(

注記参

照)

IEC 61508-7

 

B.3.3 

十分な寸法記入, 
構造上の特性。

実績による使用(proven in use)

7.4.10 参照)

モジュール化

注記参照)

IEC 61508-7

 

B.3.4 

サイズが限定されている
モジュール,

各モジュールは機能上分

離。

正しく実証されたモジュールの再使用, 
容易に理解できるモジュール,

各モジュールは最大一つのインプット,一つの

アウトプット及び一つの故障状態をもつ。


65

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.6−決定論的原因故障を回避するための技法及び手段の有効性(続き) 

技法又は手段

参照先

低有効性

高有効性

コンピュータ支援

設計ツール

IEC 61508-7

 

B.3.5 

安全ライフサイクルの複

雑なフェーズに対するコ
ンピュータ支援。

使用実績があるか(7.4.10 参照)

,又は有効性確

認されているツールの使用。 
安全ライフサイクルの全てのフェーズにおける

汎用コンピュータ支援開発。

シミュレーション

IEC 61508-7

 

B.3.6 

周辺装置の境界データを

含む,モジュールレベル
でのモデル化。

境界データを含む,構成要素レベルでのモデル

化。

ハードウェアの検

IEC 61508-7

 

B.3.7 

設計とは無関係な人によ
る検査。

全てのフォールトを修復する形式手順を使用し
た,設計とは無関係な組織による検査及び再検

査。

ハードウェアの

ウォークスルー

IEC 61508-7

 

B.3.8 

ウォークスルーには,設

計とは無関係な人が含ま
れる。

ウォークスルーには,設計とは無関係な組織が

含まれ,全てのフォールトを修復する形式手順
が実施される。

運用可能性の制限

注記参照)

IEC 61508-7

 

B.4.4 

運用モードの変更を規制
するためのキー操作スイ

ッチ又はパスワード。

運用を可能にする定義済みの強じん(靭)な手
順。

熟練運転員だけに

よる運用

IEC 61508-7

 

B.4.5 

運用する安全システムの

タイプに関する基本訓練
を受けており,関連経験

を現場で 2 年間積んでい

る。

全ての運転員に対して毎年訓練が実施され,各

運転員は,安全関連装置に関して,低安全度水
準で 5 年間以上の経験を積んでいる。

運転員の過失に対

する保護(

注記参

照)

IEC 61508-7

 

B.4.6 

インプットの入力確認。

各インプットコマンドについて確認及び整合性

チェック。

ブラックボックス

テスト

注記参照)

IEC 61508-7

 

B.5.2 

事前書込みテストケース

を使用した,同等クラス

及びインプットパーティ
ションテスト,境界値テ

スト。

極端な運用境界でクリティカルケースを組み合

わせながら,原因結果ダイアグラムに基づくテ

ストケースを実行。

統計的テスト

注記参照)

IEC 61508-7

 

B.5.3 

全てのインプットデータ

の統計学的分布。

ツールによるテスト報告書の作成,

非常に多くのテストケース,

現実の利用条件及び想定故障モデルに基づくイ
ンプットデータの配付。

フィールドの実績

注記参照)

IEC 61508-7

 

B.5.4 

10 000 時間の運用時間,
異なる利用分野において
10 台以上の装置に対する
1 年間以上の経験,統計学
的正確さ 95 %,

安全性の点で極めて重大
な故障なし。

1 千万時間の運用時間, 
異なる利用分野において 10 台以上の装置に対

する 2 年間以上の経験,統計学的正確さ 99.9 %,
過去の運用中の全ての変更(軽微な変更も含む)

の詳細な文書化。

サージイミュニテ
ィテスト

IEC 61508-7

 

B.6.2 

サージイミュニティは,実使用状態での最悪値
よりも明確に高い値で試験する。

静的解析

IEC 61508-7

 

B.6.4 

ブロックダイアグラムに

基づく,弱点の洗い出し,

テストケースの指定。

詳細なダイアグラムに基づく,

テストケース中で期待される挙動の予想,テス

トツールの使用。


66

C 0508-2

:2014 (IEC 61508-2:2010)

表 B.6−決定論的原因故障を回避するための技法及び手段の有効性(続き) 

技法又は手段

参照先

低有効性

高有効性

動的解析

IEC 61508-7

 

B.6.5 

ブロックダイアグラムに

基づく,弱点の洗い出し,
テストケースの明記。

詳細なダイアグラムに基づく,

テストケース中の期待される挙動の予想, 
テストツールの使用。

故障分析

IEC 61508-7

 

B.6.6 

周辺装置の境界データを

含めて,モジュールレベ

ルで解析。

境界データを含む,

構成要素レベルで解析。

ワーストケース

状況解析

IEC 61508-7

 

B.6.7 

安全機能で実施,実際の

運用条件の境界値組合せ
を使用して概算。

安全以外の機能で実施,実際の運用条件の境界

値組合せを使用して概算。

拡張機能テスト

IEC 61508-7

 

B.6.8 

全ての安全機能が,フォ

ールトプロセス又は運用

条件によって引き起こさ
れた静的インプット状態

の場合に維持されるかど

うかをテスト。

全ての安全機能が,フォールトプロセス又は運

用条件(ほとんど発生しない条件も含む)によ

って引き起こされた静的インプット状態及び/
又は異常なインプット変化の場合に維持される

かどうかをテスト。

ワーストケース

状況テスト

IEC 61508-7

 

B.6.9 

安全機能が,実際の運用

条件で生成される境界値
の組合せに対して維持さ

れるかどうかをテスト。

安全以外の機能が,実際の運用条件で生成され

る境界値の組合せに対して維持されるかどうか
をテスト。

フォールト挿入テ

スト

IEC 61508-7

 

B.6.10 

境界データ又は周辺装置

を含めて,サブユニット
レベルでテスト。

境界データを含めて,構成要素レベルでテスト。

注記  IEC 61508-7 の B.1.1B.1.2B.3.3B.3.4B.4.4B.4.6B.5.2B.5.3B.5.4B.6.7 及び B.6.9 を参照する技

法の場合,高有効性の技法又は手段については,低有効性の取組方法も使用することを,想定している。


67

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 C 
(規定)

診断カバー率及び安全側故障割合

C.1 

ハードウェア要素の診断カバー率及び安全側故障割合の算出 

要素の診断カバー率及び安全側故障割合(JIS C 0508-4 の 3.8.6 及び 3.6.15 参照)は,次のように算出し

なければならない。

a)

自己診断テストがない場合は,E/E/PE 安全関連系の動作に対する要素の各構成要素又は構成要素群の

各故障モードの影響を評価するために,故障モード分析及び影響解析を実施する。故障モード分析及

び影響解析を実施し,安全度要求事項と釣り合った適切な信頼度水準が確立できるだけの十分な情報

が利用できなければならない(

注記 及び注記 参照)。

注記 1  この解析を実施するには,次の情報が必要となる。

−  要素及び検討対象の安全機能に影響を与える E/E/PE 安全関連系の関連箇所の相互接

続を記述する E/E/PE 安全関連系の詳細ブロック図。

−  各構成要素又は構成要素群及び構成要素間の接続を記述する要素のハードウェア概略

図。

−  各構成要素又は構成要素群の故障モード及び故障率,並びに全体故障率における安全

側故障及び危険側故障の割合(%)

注記 2  この解析に対して要求する厳密さは,多くの要因(JIS C 0508-1 の 4.1 参照)に左右され

る。特に,関連する安全機能の安全度水準を考慮する必要がある。より高い安全度水準の

場合,特定の構成要素タイプ及びアプリケーション環境によって,故障モード分析及び影

響解析は極めて固有のものであることが予想される。また,ハードウェアフォールトトレ

ランスが 0 のハードウェアアーキテクチャで使用する要素の場合は,徹底的なかつ詳細な

解析が非常に重要である。

b)

次のいずれかの故障を引き起こすかどうかに基づいて,各故障モードを分類する(自己診断テストが

実施されない場合)

−  安全側故障

−  危険側故障

c)

無影響故障及び安全以外の機能の故障は,診断カバー率又は安全側故障割合の算出に,どのような影

響も与えてはならない。

d)

構成要素又は構成要素群ごとの故障率の概算値(λ

注記 参照)及び各構成要素又は構成要素群の

故障モード分析及び影響解析の結果から,安全側故障率(λ

S

)及び危険側故障率(λ

D

)を算出する。

これらの故障率の一つが一定でない場合は,所定の期間にわたる平均を概算して,診断カバー率(DC)

及び安全側故障割合(SFF)の計算で,使用しなければならない。

注記 3  各構成要素又は構成要素群の故障率は,業界の公知の情報源からのデータを使用し,アプ

リケーション環境を考慮して概算できる。ただし,そのアプリケーションに特化したデー

タを使用することが望ましい。特に,要素が僅かな構成要素から構成されていて,特定の

構成要素の安全側故障の確率と危険側故障の確率とを概算したときの誤差が,安全側故障

割合の概算に著しい影響を与えるおそれのある場合が,これに該当する。


68

C 0508-2

:2014 (IEC 61508-2:2010)

e)

各構成要素又は構成要素群に関しては,自己診断テスト(C.2 参照)によって検出される危険側故障

の割合,すなわち,自己診断テストで検出される危険側故障率(λ

Dd

)を,概算する。

f)

要素に関しては,全危険側故障率(Σλ

D

,診断テストで検出される全危険側故障率(Σλ

Dd

)及び全安

全側故障率(Σλ

S

)を算出する。

g)

要素の診断カバー率を,

(Σλ

Dd

λ

D

)として算出する。

h)

要素の安全側故障割合を,次のように算出する。

SFF=(Σλ

S

+Σλ

Dd

)/(Σλ

S

+Σλ

Dd

+Σλ

Du

)

注記 4  上の式は,故障率が定故障率に基づいている場合に適用できる(最終式については,JIS C 

0508-4

の 3.6.15 参照)

注記 5  各安全機能について,達成された機能失敗尺度を概算するときに,E/E/PE 安全関連系の各

要素の診断カバー率がある場合には,それを考慮する(7.4.5.2 参照)

。ハードウェア安全

度に対するアーキテクチャ上の制限を決めるときは,安全側故障割合を考慮する(7.4.4 

照)

診断カバー率及び安全側故障割合の決定に使用する解析には,E/E/PE 安全関連系の要求に従って要素が

安全機能を履行できるようにするために必要な電気式,電子式,電気機械式,機械式など全ての構成要素

を含めなければならない。不安全な状態を引き起こしたり,安全応答が必要とされるときにそのような応

答を妨げたり,又は E/E/PE 安全関連系の安全度を低下させたりするような考えられる全ての危険故障モー

ドは,構成要素ごとに考慮しなければならない。

表 A.1 は,運用中に検出しなければならないか,又は安全側故障割合の概算で分析しなければならない

フォールト又は故障を示している。

現場のデータを使用して故障モード分析及び影響解析を裏付ける場合は,安全度要求事項を裏付けるだ

けの十分なものでなければならない。70 %以上の統計学的片面信頼下限値が要求される。

注記 6  診断カバー率及び安全側故障割合の算出例は,IEC 61508-6 の附属書 に示されている。

注記 7  診断カバー率を算出するために,設計で使用する E/E/PE 安全関連系の回路及び電子部品の両

方の詳細(例えば,集積回路のトランジスタのレベルまで)を含む,コンピュータモデルを

使用したフォールトのシミュレーションを伴う代替方法が使用できる。

C.2 

診断カバー率の決定 

要素の診断カバー率の算出において(C.1 参照)

,構成要素又は構成要素群ごとに,診断テストで検出さ

れる危険側故障の割合を概算する必要がある。

診断カバー率に寄与する診断テストは,

次の事項を含むが,

これらだけに限定されることはない。

−  比較チェック,例えば,冗長信号の監視及び比較

−  追加の組込みテストルーチン,例えば,メモリのチェックサム

−  外部刺激によるテスト,例えば,制御パスを通じてのパルス信号の送信

−  アナログ信号の連続監視,例えば,センサ故障を示している範囲外値の検出

診断カバー率を算出するためには,診断テストで検出される故障のモードを決定する必要がある。単純

な構成要素(抵抗器,コンデンサ,トランジスタなど)の開回路又は短絡故障は,100 %の範囲で検出で

きる。しかし,より複雑なタイプ B の要素(7.4.4.1.3 参照)の場合は,

表 A.1 に示す様々な構成要素の診

断カバー率に対する制限を考慮することが望ましい。この解析は,ハードウェア要素を構成する部品若し

くは構成する部品群のそれぞれに対して,又は E/E/PE 安全関連系の要素のそれぞれに対して実施しなけれ


69

C 0508-2

:2014 (IEC 61508-2:2010)

ばならない。

注記 1  表 A.2∼表 A.14 では,自己診断テストの技法及び手段並びに主張できる最大診断カバー率を,

推奨している。これらのテストは,自己診断テストの間隔によって連続的に又は定期的に実

施できる。これらの表は,

附属書 のいかなる要求事項を代替するものではない。

注記 2  自己診断テストによって,E/E/PE 安全関連系の機能安全を達成する上でかなりの利益を得る

ことができる。ただし,例えば,適合確認,妥当性確認,機能安全評価,保全,部分改修業

務など,困難さを増大させるおそれのある複雑さを不必要に増すことのないように,注意し

なければならない。複雑さの増大は,E/E/PE 安全関連系の長期間にわたる機能安全性の維持

を,より難しくすることもある。

診断カバー率を得るための計算,及びそれを用いる方法では,EUC が,自己診断テストで検出される危

険側フォールトを発生している状態で安全に動作できると,仮定する。その仮定が正しくない場合,E/E/PE

安全関連系は,高頻度作動要求及び連続モードで動作しているものと,みなさなければならない(7.4.8.3

7.4.5.3

及び 7.4.5.4 参照)

注記 3  診断カバー率の定義は,JIS C 0508-4 の 3.8.6 にある。診断カバー率の代替定義を仮定するこ

とがあるが,この規格内では適用できないことに注意することが重要である。

注記 4  要素内の危険側故障の検出に使用する自己診断テストは,E/E/PE 安全関連系内の別の要素で

実現されることがある。

注記 5  自己診断テストは,自己診断テストの間隔次第で,連続的に又は定期的に実施できる。テス

トがシステムの状態に悪影響を与える可能性のために,自己診断テストを実施することが望

ましくないことがある。この場合,計算におけるいかなる利益も,自己診断テストからは主

張できないことがある。


70

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 D 
(規定)

準拠項目に対する安全マニュアル

D.1 

一般 

準拠項目の安全マニュアルは,準拠項目に関連して,この規格の要求事項に従った準拠項目の安全関連

系,又はサブシステム若しくは要素への統合を可能にするために必要な全ての情報を文書化することを,

目的とする。

D.2 

内容 

D.2.1

安全マニュアルでは,準拠項目の機能を指定しなければならない。準拠項目の機能は,安全関連系

の安全機能又はサブシステム若しくは要素の機能を支援するために,使用されることがある。仕様は,機

能並びに入力及び出力インタフェースの両方を明確に記述することが望ましい。

各準拠項目について,安全マニュアルは,次の事項を含まなければならない。

a)

実施することができる機能の機能仕様。

b)  JIS C 0508-1

の 6.2.1 に従った E/E/PE 安全関連系の変更管理を可能にするための,準拠項目のハード

ウェア及び/又はソフトウェア構成の識別。

c)

準拠項目の仕様に対する制約,及び/又は品目の動作又は故障率の解析の基礎となる仮定。

D.2.2

各機能について,安全マニュアルは,次の事項を含まなければならない。

a)

ランダムハードウェア故障による,機能の故障を引き起こす準拠項目内部の診断で検出されない,準

拠項目の故障モード(出力の挙動に関して)

b)  a)

における全ての故障モードに対する推定故障率。

c)

ランダムハードウェア故障による,機能の故障を引き起こす準拠項目内部の診断で検出される,準拠

項目の故障モード(出力の挙動に関して)

d)

ランダムハードウェア故障による,機能の故障を検出する診断の失敗を引き起こす,準拠項目内部の

診断の故障モード(出力の挙動に関して)

e)

c)

及び d)  における全ての故障モードに対する推定故障率。

f)

準拠項目内部の診断で検出される c)  の各故障モードに対する,自己診断テスト間隔。

g)  c)

の全ての故障モードに対する,内部診断によって開始される,準拠項目の出力。

注記  内部診断の出力は,EUC の安全状態を達成するか又はそれを維持するための,E/E/PE 安全関

連系,サブシステム又は要素に対する技術的及び/又は手順上の追加の手段を開始するため

に,使用できることもある。

h)

定期プルーフテスト及び/又は保全要求事項。

i)

規定の機能に関する,外部診断によって検出することができる故障モードについて,外部診断能力の

開発を容易にするための十分な情報を提供しなければならない。情報は,故障モードの詳細及びそれ

らの故障モードの故障率を,含まなければならない。

j)

ハードウェアフォールトトレランス。

k)

機能を提供する準拠項目の当該部のタイプ A 又はタイプ B としての分類

7.4.4.1.2 及び 7.4.4.1.3 参照)

故障モードは,準拠項目のアプリケーションで,EUC の潜在危険が分かっている場合にだけ,安全


71

C 0508-2

:2014 (IEC 61508-2:2010)

側又は危険側として分類することができる。例えば,高い出力信号が,EUC の潜在危険(例えば,圧

力高)を伝えるために使用されるようにセンサを使用する場合,潜在危険の正しい指示を妨害する故

障モード(例えば,出力信号が低で不作動状態に固着する)は危険側と分類され,他方で,センサ出

力信号を高くする故障モードは安全側と分類されることになる。これは,センサ出力信号が安全関連

系の論理回路によってどのように解釈されるかに依存しており,したがって,センサを適用する方法

を制約することなしに指定することはできない。

また,準拠項目に関して主張される診断カバー率の水準は,システム論理内の診断の範囲,又は準

拠項目の内部診断を補完することがある外部信号処理によって,適用ごとに異なることがある。

その結果,制約が準拠項目の適用に対して行われた場合にだけ,ハードウェアフォールトトレラン

ス又は安全側故障割合を概算することができる。

これらの制約は,

準拠項目の供給者の管理外である。

したがって,基礎となる仮定が,安全側及び危険側故障モードを構成するものに関して明確に指定さ

れない場合,ハードウェアフォールトトレランス若しくは安全側故障割合,又は安全側及び危険側故

障モードに依存する他の機能安全特性に関して,安全マニュアルではいかなる主張も行ってはならな

い。

D.2.3

決定論的原因故障に陥りやすい準拠項目の全ての機能について,安全マニュアルは,次の事項を含

まなければならない。

a)

機能を提供する準拠項目,又はその要素の当該部の決定論的能力。

b)

機能に関連する,準拠項目の決定論的原因故障を回避するために順守することが望ましい,準拠項目

の適用に関連する指示又は制約。

注記  決定論的能力によって指示される決定論的安全度は,指示及び制約を順守した場合だけ達成

することができる。違反が起きた場合,決定論的能力に対する主張は,部分的又は全面的に

無効となる。

D.2.4

ソフトウェア準拠項目に関連する追加の要求事項については,JIS C 0508-3 の 7.4.2.12 及び

附属書

D

を参照。


72

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 E

(規定)

オンチップ冗長をもつ集積回路(IC)の

特殊アーキテクチャ要求事項

E.1 

一般 

この附属書は,7.4.2.2 b)  及び 7.4.4.1.1 c)  で引用している。

一つの共通半導体基板をもつ IC のオンチップ冗長の使用を可能にするための,一連の要求事項を次の

a)

q)  に示す。安全性の理由から,このアプローチは,保守的な性質をもち,例えば SIL 3 までに制限さ

れ,一連の制約要求事項が規定されている。a)q)  の要求事項は,デジタル IC だけに関連している。混

合モード及びアナログ IC については,現時点ではいかなる一般要求事項も示すことはできない。共通原因

分析(JIS C 0508-1 の 7.6.2.7 参照)は,個々のアプリケーションについて,オンチップ冗長の使用を除外

することもある。この規格で使用するオンチップ冗長は,ゼロよりも大きなハードウェアフォールトトレ

ランスを確立するための機能単位の二重化(又は三重化など)を意味する。7.4.4.1.1 a)  に従い,ハードウ

ェアフォールトトレランスを決定するときは,

診断などのフォールトの影響を制御することがある手段は,

考慮しない。

0 よりも大きなハードウェアフォールトトレランスをもつサブシステムは,一つの単一 IC 半導体基板(オ

ンチップ冗長)を使用して実現することができる。この場合,次の要求事項 a)q)  の全てを満たさなけれ

ばならず,また,E/E/PE 系及び IC の設計は,これらの要求事項を満たすものでなければならない。オン

チップ冗長をもつ IC は,それ独自の準拠項目に対する安全マニュアルをもたなければならない(

附属書 D

参照)

a)

上記のように,IC を使用する安全機能に対して主張することができる最高の安全度水準は,SIL 3 ま

でに制限する。

注記 1  現状の技術,知識及び経験では,SIL 4 に対する十分な信頼を得るための要素(単一 IC)

に関連した全ての影響に対する手段を考慮し,それを実施することは実現不可能である。

b)

決定論的能力を,要素の組合せによって増大させてはならない(7.4.3.2 参照)

c)

共通原因故障を回避するためには,例えば,ランダムハードウェアフォールトによる,温度上昇を考

慮しなければならない。少なくとも,

表 E.2 に記載する番号“6a∼6e”の手段のうちの一つを適用し

なければならない。局所フォールトが安全上重大な支障のある温度上昇をもたらすことがある設計に

おいては,適切な手段を講じなければならない。

注記 2  電源回路設計において,局所フォールトは著しい温度上昇をもたらすことが考えられる

が,論理回路における局所短絡の影響は無視できることがある。例えば,デジタル回路に

おける,デバイスパッドエリア及び電圧調整器などがある。

d)

チャネル及びウォッチドッグなどの監視要素ごとに,IC 基板上の個々の物理的ブロックを確定しなけ

ればならない。ブロックは,結束配線及び出力ピンを含まなければならない。各チャネルは,経路が

別のチャネル及び/又はブロックを通ってはならず,独自の分離された入力及び出力をもたなければ

ならない。

注記 3  このことは,異なるブロックの出力セルと入力セルとの間の配線によるブロック間の内部

接続を,除外するものではない(

表 E.1 の番号“3a”及び“3b”も参照)。


73

C 0508-2

:2014 (IEC 61508-2:2010)

注記 4  入力及び出力には次のものを含むが,これらだけに限定されることはない。

− DFT 信号(テスト性のための設計,走査チェーン)

−  クロック信号及びクロックイネーブル信号

−  電源

−  リセット信号

−  構成及びモード選択信号

−  デバッグ及びトレース信号

e)

共通原因故障を含め,電源のフォールトによって引き起こされる危険側故障を回避するために適切な

手段を講じなければならない。

注記 5  電源のフォールトには次のものを含むが,これらだけに限定されることはない。

−  ノイズ

−  電源線を経由した外乱伝ぱ(播)

−  ラッチアップ又は高突入電流などの影響をもたらすことがある非同時電源投入。

−  短絡からもたらされる過剰な電流の流れ。

注記 6  この要求事項は,次のような適切な技法を適用することによって満たすことができる。

−  いかなるブロックも別のブロックの電源を介して(例えば,内部接続を介して)給電されないよう

に,各ブロックに独自の電源ピンを備え,個々の物理的ブロックのウェルを IC 内で一つに接続しな

いようにする(

表 E.2 の番号“3”も参照)。

−  ウェルの様々な電圧によってもたらされることがある,危険側故障を回避するための外部手段の組

込み。

−  電圧モニタで電源フォールトを検出する。

−  部分的に電圧許容を増大する。

−  電源線の設計について IR ドロップを考慮する。

f)

個々の物理的ブロックの境界間の最短距離は,それらのブロック間の短絡及びクロストークを回避す

るのに十分なものでなければならない。

注記 7  短絡は,一般に,エレクトロマイグレーション,バイアマイグレーション,コンタクトマ

イグレーション,局所的欠陥ゲート酸化膜の破壊,ラッチアップなどによってもたらされ

ることがある。

注記 8  一般にクロストークは,基板電流,容量結合などによってもたらされることがある。

注記 9  最短距離は,安全係数が通常 10∼50 の間で,関連する設計規則に沿って選択することが

望ましい。

注記 10  表 E.2 に従ったポテンシャルリングについては,個々の物理的ブロックの間の距離を見積

るときはブロックの一部とみなさない。

g)

個々の物理的ブロックの隣接する線の間の短絡及び/又はクロストークが,安全機能の喪失又は監視

機能の検出されない喪失をもたらしてはならない(

表 E.2 の番号“5”)。

h)

いかなる IC 設計プロセスが使用されようとも(n ウェル又は p ウェル)

,基板は接地接続しなければ

ならない。

注記 11  p ウェルの場合,これは負電源を意味する。この使用は設計における誤りに脆弱であるこ

とがあるため,負論理は回避することが望ましい。

i)

共通原因故障に対するオンチップ冗長をもつ IC の脆弱性は,E.3 に従った β 係数を求めることによっ


74

C 0508-2

:2014 (IEC 61508-2:2010)

て推定しなければならない。β

IC

と呼ばれるこの β 係数は,7.4.5.1 に従って E/E/PE 安全関連系の達成

安全度を推定するときに使用しなければならない。また,例えば,IEC 61508-6 

附属書 による β

係数の代わりに,この β 係数を IC に対しても使用する。

j)

オンチップ冗長をもつ IC でのフォールトの検出

(自己診断テスト,

プルーフテスト又は他の手段での)

で,安全状態を達成するか又は維持するための,所定の動作をしなければならない。

注記 12  フォールトの結果が,例えば,ブロックの消勢によって制御することができる場合,この

要求事項は適用されない。

k)

各チャネルの最低診断カバー率は,60 %以上でなければならない。監視要素が一回だけ実施される場

合,この要素の最低診断カバー率も 60 %以上でなければならない。

l)

ウォッチドッグを,例えば,プログラムシーケンス監視,及び/又は要求される診断カバー率若しく

は安全側故障割合を保証するために実施することが必要な場合,機能的に異なるチャネルを使用する

場合を除き,一つのチャネルを他のチャネルのウォッチドッグとして使用してはならない。

m)

安全マージンを追加することなしに電磁両立性(EMC)をテストする場合,IC によって実施する機能

が妨害されてはならない(例えば,EMC イミュニティ規格に規定のある性能基準 A のときなど。JIS 

C 61000-6-2

又は JIS C 1806-3-1 参照)

n)

安全マージンを追加して電磁両立性をテストする場合,安全機能(IC を含む)は,JIS C 1806-3-1 

定義されている“FS”

(安全用途の性能評価基準)基準に適合しなければならない。

o)

外部非同期デジタル信号に接続したデジタル入力ポートの振動によってもたらされる,危険側故障を

回避するための適切な手段(例えば,各々に多重クロック同期段階の導入など)を,取らなければな

らない。

p)

境界走査及び特殊機能レジスタ配列などの,共通資源の共通原因の可能性を分析しなければならない。

q)

要求事項 a)p) は,オンチップ冗長をもつ IC 固有の共通原因発生源(CCI)を列挙している。他の関

連共通原因発生源(CCI)も,この規格に規定するように考慮しなければならない。

注記 13  一般に,上記の要求事項は,オンチップ冗長の使用を,ASIC などのフルカスタム又はセ

ミカスタムアプローチで設計した IC,マイクロコントローラ,又は他の特殊 SoC(エスオ

ーシー,System on Chip)に限定する。ゲートアレイ,FPGA(Field Programmable Gate Array)

などの他の設計は,全ての要求事項を満たさないこともある。

上記のオンチップ冗長を備えた IC の使用は,十分な共通原因分析(CCA)を実施する場合にだけ許さ

れる。この解析は,設計,製作,組込,手順上及び環境要因から生じる十分な範囲で,考えられる共通原

因故障を取り扱わなければならない。特に,オンチップ冗長を備えた IC の使用の結果としてのチャネル間

の物理的分離の喪失は,特別に精密な調査を実施しなければならない。E/E/PE 安全関連系に割り当てられ

る最終 SIL レベルは,この CCA の結果に従ったものでなければならない。

注記 14  “チャネル”の物理的分離(すなわち,隔離)を使用すれば,冗長システムにおける広範な

共通モード故障に対する防御を達成できる。

注記 15  提案 CCA 法は,次のステップに構造化できる。

1)

考えられるある共通原因発生源(CCI)を識別する。この附属書に記載した影響,及び他

の予見可能な物理的 CCI 及び論理的 CCI(共有資源及び信号)を考慮する。

2)

特に,CCI の影響を受ける IC 上の冗長ブロックを識別する。

3)

ステップ 2 で識別した各対の冗長ブロックに対して,ステップ 1 で識別した個々の CCI に

対する安全措置を定性的に記載して評価する。


75

C 0508-2

:2014 (IEC 61508-2:2010)

4)

ステップ 2 で識別した各対の冗長ブロックについて,

表 E.1 及び表 E.2 に対して定量的に

検討し,特定の β 係数を評価する。

5)

確率モデルに特定の β 係数を使用する。

E.2 SIL 

3

オンチップ冗長に対する追加の要求事項 

SIL 3 オンチップ冗長の場合,E.1 に示す要求事項に加えて,次の要求事項を満たさなければならない。

a)

全ての特定アプリケーションの環境条件が,仕様,解析,適合確認及び妥当性確認の間に考慮された

ものに従っているという,文書による証拠を提出しなければならない。

b) E/E/PE

系の安全な状態を達成又は維持することができる外部措置。これらの措置は,最低限,

“中”

の有効性(A.3 も参照)を達成しなければならない。決定論的原因及び/又は共通原因故障の影響を

監視するために IC 内部で実施する全ての措置は,

E/E/PE 系の安全な状態を達成又は維持するために,

これらの外部措置を使用しなければならない。

E.3 

β 係数 

オンチップ冗長をもつ IC の共通原因故障に対する脆弱性を,オンチップ冗長をもつ IC 特定の β 係数 β

IC

を求めることによって推定しなければならない[E.1 の i)  も参照]

。推定は,次の全てのものに基づかな

ければならない。

a) 33

%の,β

B-IC

と呼ばれる基本 β 係数。

b)

表 E.1 を使用した設計による基本 β 係数,β

B-IC

の増分の推定。

c)

表 E.2 を使用した設計による基本 β 係数,β

B-IC

の減分の推定。

β

IC

は,β

B-IC

及び

表 E.1 からの全ての点数を加え,その後,表 E.2 からの全ての点数を減じることによっ

て推定する。推定最終 β

IC

は,25 %を超えてはならない。

注記 1  β

IC

と呼ばれるこの β 係数は,7.4.5.1 に従った E/E/PE 安全関連系の達成安全度を推定すると

きに使用する。また,例えば,IEC 61508-6 

附属書 による β 係数の代わりに,この β 

数を IC に対しても使用する。

注記 2  選んだ β 係数が十分に安全側であることを実証するために,適用する IC 設計法に対して使用

可能な将来のデータの特定分析を実施することが望ましい。成熟した設計及び実現プロセス

をもつ IC だけを使用することが望ましい。


76

C 0508-2

:2014 (IEC 61508-2:2010)

表 E.1β

B-IC

を増大させる技法及び手段 

番号

技法又は手段

デルタ

β 係数(%)

注記 

1

監視要素として使用する 
オンチップウォッチドッグ

5

ウォッチドッグ機能のために使用する監視要素で,共
通原因故障の側面で,要求 DC 又は SFF は,なるべく
IC の外部で実現されることを保証することが必要。オ
ンチップウォッチドッグの使用は,外部実現と比較し
て,より高い DC 又は SFF をもたらすことがある。E.2 

b)

も参照。

2

ウォッチドッグ以外のオンチップ

監視要素,例えば,クロック監視

5

例えば,クロック監視のために使用する監視要素で,

共通原因故障の側面で,要求 DC 又は SFF は,なるべ
く IC の外部で実現されることを保証することが必要。

オンチップ監視要素の使用は,外部実現と比較して,

より高い DC 又は SFF をもたらすことがある。

3a

異なる層内に交差をもたない個々

の物理的ブロックのアウトプット
セルと,インプットセルとの間の配

線による,ブロック間の内部接続

2

個々の物理的ブロック間の条件及び結果の比較は,な

るべく IC の外部で実現することが望ましい。 
 
内部配線の固着故障の FMEA を含め,考えられる共

通原因故障の解析が要求される。フォールトによる温
度上昇の影響は,特に考慮しなければならない。 
 
レイアウトの適合確認を,例えば,ツールの助けを借
りて,最終レイアウトの解析で実施することが望まし

い。

3b

交差をもつ個々の物理的ブロック

のアウトプットセルと,インプット
セルとの間の配線による,ブロック

間の内部接続

4

個々の物理的ブロック間の条件及び結果の比較は,な

るべく IC の外部で実現することが望ましい。 
 
内部配線の固着故障及び短絡の FMEA を含め,考え

られる共通原因故障の解析が要求される。フォールト
による温度上昇の影響は,特に考慮しなければならな

い。

代替技法又は手段を,番号に続く文字で示す。代替技法又は手段のうちの一つだけを選択することができる。

この表に列挙した技法及び手段は,全てを網羅したものではない。承認の要求対象であるデルタ β 係数を支援す

る証拠を示すことができれば,この他の技法及び手段を使用してもよい。

手段が共通原因故障の影響を緩和するために講じられた証拠を提出できる場合,この他のデルタ β 係数を使用し

てもよい。その場合は,IEC 61508-6 

附属書 の一般助言を順守することが望ましい。

注記  冗長ブロック間のインタフェース信号線は,通常,複数の層から成り立つ。信号線が単に一つの金属層で構

成されようと,又は複数の層で形成してあろうと,信号線の組成に関わりなく,インタフェース信号全体が

単一ワイヤとみなす。一つのフォールトによる両チャネルに考えられる妨害を最小限にするために,インタ

フェース信号線のいかなるものも他のインタフェース信号線とクロストークしないことが望ましい。


77

C 0508-2

:2014 (IEC 61508-2:2010)

表 E.2β

B-IC

を減少させる技法及び手段 

番号

技法又は手段

デルタ

β 係数(%)

注記

1a

異なるチャネルにおいて故障を制
御するための様々な手段。

4

1b

異なるチャネルにおいて故障を制

御するための機能及び手段の多様

性。

6

2 E/E/PE 系の機能を妨害しない安全

マージンを追加する,電磁両立性に
関する E/E/PE 系のテスト(例えば,

性能基準 A)

5

性能基準 A は,EMC イミュニティ規格に記述されて

いる。例えば,JIS C 61000-6-2 又は JIS C 1806-3-1 
照。

3

各ブロックに,いかなるブロックも

別のブロックの電源を介して給電
されないように(例えば,内部接続

を介して)独自の電源ピンを設け,
IC 内で個々の物理的ブロックのウ
ェルを接続しないようにする。

6

ウェルの定格外の電圧によってもたらされることが

ある危険側故障を回避するための外部手段を講じな
ければならない。

4

物理的場所を分離し,非干渉化する
構造。

2 - 4

個々の物理的ブロックを非干渉化するのに有用。

5

個々の物理的ブロックの出力ピン

間の接地ピン。

2

実施しない場合,個々の物理的ブロックの隣接線の間

の短絡を実施して,結束配線の剥離の影響をテストし

なければならない[E.1 の g)  も参照]

。この場合,β

係数は減少しない。

6a

各チャネルの高診断カバー率(DC
≧99 %)

,技術的プロセスによる故

障検出,及び妥当な短時間での安全

な状態の達成。

7

例外的な場合にだけ適切なことがある。

6b

ブロック間の温度センサで,妥当な
短時間で安全な状態へ永久的シャ

ットダウン(内部的又は外部的)す

る,診断なしで低有効性。

2

表 A.18 の温度上昇に対する手段も参照。

6c

ブロック間の温度センサで,妥当な

短時間で安全な状態へ永久的シャ
ットダウン(内部的又は外部的)す

る,診断ありで高有効性。

9

表 A.18 の温度上昇に対する手段も参照。

6d

フォールト影響の解析及びテスト

(例えば,温度の上昇)

。解析及び

テストの結果によって,フォールト

検出及び妥当な短時間で安全な状

態の達成を含めたチャネル間の比
較が要求されることがある。

9

6e

上昇した温度で機能する監視回路
の設計。

7

監視機能(例えば,ウォッチドッグ)の設計は,ワー
ストケースの温度条件下で安全機能を実施しなけれ

ばならない。

代替技法及び手段を,番号に続く文字で示す。代替技法及び手段のうちの一つだけを選択することができる。

この表に列挙した技法及び手段は,全てを網羅したものではない。該当のデルタ β 係数を支援する証拠を示すこ

とができれば,この他の技法及び手段を使用してもよい。 
注記  技法及び手段 6a∼6e は,故障による温度上昇の影響を制御することを目指している。


78

C 0508-2

:2014 (IEC 61508-2:2010)

附属書 F

(参考)

ASIC

の技法及び手段−決定論的原因故障の回避

F.1 

一般 

特定アプリケーション向け集積回路(ASIC)の設計の場合,ASIC 開発中における故障の回避のために,

次の技法及び手段を適用することが望ましい。

注記 1  この附属書は,7.4.6.1 及び 7.4.6.7 で言及している。

注記 2  次の技法及び手段は,デジタル ASIC 及びユーザープログラマブル IC だけに関連する。混合

モード及びアナログ ASIC の場合,現時点ではいかなる一般的技法及び手段も示すことがで

きない。

a)

全ての設計業務並びに機能的シミュレーションに使用するテスト装置及びツール,並びにシミュレー

ションの結果は,文書化することが望ましい。

b)

全てのツール,

ライブラリ及び製造手順は,

使用実績による妥当性が証明されていることが望ましい。

これには,次の事項を含む。

−  類似の又はそれを超える複雑さのプロジェクトにおいて,十分な期間にわたる個々のツール(同等

の機能をもつ様々なバージョンを含む)の適用。

注記 3  十分な期間とは,この場合,2 年間と思われる。

−  使用中に考慮することが望ましい,所定のツール及び/又は所定のバージョンについて考えられる

バグ及び制約に関する情報を確実に得るための,共通の又は広範に使用されるツールの適用。既存

のフォールトを追跡するために,製造業者がバージョン管理及び監視を実行することが望ましい。

−  様々なツールによって作成する様々なデータベースでのフォールトを回避するための,内部の一貫

性及び整合性チェック。

注記 4  この分野における急激な変化及び進歩のために,使用者の教育・訓練は非常に重要である。

c)

全ての業務及びその結果は,例えば,シミュレーション,同等性チェック,タイミング解析又は技術

制約のチェックによって,適合性を確認することが望ましい。

d)

設計実現プロセスの再現性及び自動化の手段(スクリプトに基づく,自動化された業務及び設計実現

の流れ)を使用することが望ましい。

e)

第三者のソフトコア及びハードコアの場合,妥当性確認済みマクロブロックだけを使用することが望

ましい。また,これらは,実行可能であれば,マクロコア業者が定義する全ての制約及び処置に適合

することが望ましい。まだ使用実績がない場合,各マクロブロックは,新しく書かれたコードとして

取り扱うことが望ましい。例えば,完全に妥当性確認することが望ましい。

f)

設計には,問題向き設計手法及び高度な抽象的設計法,並びに設計記述言語を使用することが望まし

い。

注記 5  設計記述としては,VHDL(Very High speed IC hardware Description Language)又は Verilog

などのハードウェア記述言語を使用することが望ましい。これは,今日 ASIC 設計で使用

されている最も共通性のあるハードウェア記述法である。両言語とも IEEE によって定義

された言語であり,高度なプログラミング言語に関する推奨事項を満たすものと思われる。

ハードウェア記述言語は,

“設計記述”及び“機能モデル又はテストベンチ”の両方に使


79

C 0508-2

:2014 (IEC 61508-2:2010)

用してよい。設計記述に使用する場合,言語のサブセットだけを使用してもよく,この合

成可能なコードは,しばしば RTL(レジスタ転送レベル)コードと呼ばれる。機能モデル

及びテストベンチに適した合成不能なコードは,挙動コードと呼ばれる。

g)

十分なテスト性(フルカスタム及びセミカスタム ASIC の製造テストに対して)を達成することが望

ましい。

h)

テスト及び ASIC 適合確認ステップの間に,ゲート及び相互接続(ワイヤ)遅延を考慮することが望

ましい。

i)

三状態アウトプットをもつ内部ゲートは,

回避することが望ましい。

内部三状態出力を使用する場合,

これらの出力は,

“プルアップ/ダウン”又はバスホルダーを備えることが望ましい。

j)

製造する前に,ASIC 全体の十分な適合性確認(すなわち,正しいモジュール及びチップ機能を確実

にするために,設計から試作までの間に実施される各適合確認ステップを含む)を実施することが望

ましい。

注記 6 ASIC の適合性確認の程度は,要素のテストの複雑さ,及び要求される安全度水準に依存

する。

F.2 

指針:技法及び手段 

ASIC の設計及び開発中におけるフォールトの発生を防止するために不可欠な,一連の適切な技法及び

手段を使用することが望ましい。技術特性に依存しているため,フルカスタム及びセミカスタムデジタル

ASIC と,ユーザープログラマブル IC[FPGA,PLD(programmable logic device)及び CPLD(complex 
programmable logic device)]との間に,区別が必要である。関連特性の達成を支援する技法及び手段は,フ

ルカスタム及びセミカスタム ASIC については

表 F.1 に,ユーザープログラマブル IC については表 F.2 

定義している。関連 ASIC 開発ライフサイクルを,

図 に示す。

表 F.1 及び表 F.2 では,まず,技法又は手段の“重要性”について記述し,次に,技法又は手段を使用

したときに求められる“有効性”について記述する。これらは,推奨事項である。

“重要性”の記号の意味は,次のとおりである。

− HR*:この安全度水準については,技法又は手段を用いるように強く推奨する。いかなる設計もこの

技法又は手段を除外しないことが望ましい。

− HR :この安全度水準については,技法又は手段を用いるように強く推奨する。この技法又は手段を

使用しない場合,それを使用しない理論的根拠について詳述することが望ましい。

− R  :この安全度水準については,技法又は手段を用いることが望ましい。この技法又は手段を使用

しない場合,又は考えられるいかなる代替策も使用しない場合は,それを使用しない理論的根

拠について詳述することが望ましい。

− -  :技法又は手段を使用することに関しては推奨も反対もしない。

− NR :この安全度水準には,技法又は手段を使用することを積極的には推奨しない。この技法又は手

段を使用する場合は,使用する理論的根拠について詳述することが望ましい。

推奨する“有効性”の記号の意味は,次のとおりである。

−  低 :技法及び手段を使用する場合,決定論的原因故障に対して,少なくとも“低”の有効性を与える

ために必要な範囲で使用することが望ましい。

−  中 :技法及び手段を使用する場合,決定論的原因故障に対して,少なくとも“中”の有効性を与える


80

C 0508-2

:2014 (IEC 61508-2:2010)

ために必要な範囲で使用することが望ましい。

−  高 :技法及び手段を使用する場合,決定論的原因故障に対して,

“高”の有効性を与えるために必要な

範囲で使用することが望ましい。

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。

−  選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。

−  開発のライフサイクルの全てのフェーズにとって,どの技法及び手段が適切であるか。

−  それぞれの特定 E/E/PE 安全関連系の開発の間に遭遇する特定の問題に対して,どの技法及び手段が最

も適切であるか。


81

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.1ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタル ASIC7.4.6.7 参照) 




参照 
番号

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4


構造化記述

IEC 61508-7

E.3 

HR

HR

HR*

HR*

(V)HDL での設計記述(

注記参照)

IEC 61508-7

E.1 

HR

HR

HR*

HR*

回路図入力

IEC 61508-7

E.2 

NR NR NR NR

(V)HDL シミュレーション(

注記参照) IEC 61508-7 

E.5 

HR

HR

HR*

HR*

使用実績のある(proven in use)アプリ

ケーションの(V)HDL シミュレータ
の適用(

注記参照)

IEC 61508-7

E.4 

HR

HR

HR*

HR*

モジュールレベルでの機能テスト(例

えば,

(V)HDL テストベンチを使用し

た)

注記参照)

IEC 61508-7

E.6 

HR

HR

HR*

HR*

最上位の機能テスト

IEC 61508-7

E.7 

HR

HR

HR*

HR*

システム環境に埋め込まれた機能テス

IEC 61508-7

E.8 

R

R

HR

HR

非同期構成要素の使用制限

IEC 61508-7

E.9 

HR

HR

HR*

HR*

10 

一次インプットの同期化及び準安定性

の制御

IEC 61508-7

E.10 

HR

HR

HR*

HR*

11 

テスタビリティのための設計(テスト

カバレッジ割合による)

IEC 61508-7

E.11 

R

>95 %

R

>98 %

R

>99 %

R

>99 %

12 

モジュール化

IEC 61508-7

E.12 

R

R

HR

HR

13 

適合確認シナリオの適用カバレッジ

IEC 61508-7

E.13 

R

R

HR

HR

14 

コード化指針の監視

IEC 61508-7

E.14 

HR

HR

HR*

HR*

15 

コードチェッカーの適用

IEC 61508-7

E.15 

R R R R

16 

防御的プログラミング

IEC 61508-7

E.16 

R

R

HR

HR*

17 

シミュレーション結果の文書化

IEC 61508-7

E.17 

HR

HR

HR

HR*

18a 

コード検査

IEC 61508-7

E.18 

R

R

HR

HR*

18b 

ウォークスルー

IEC 61508-7

E.19 

R

R

HR

HR*

19a 

妥当性確認済みソフトコアの適用

IEC 61508-7

E.20 

R

R

HR*

HR*

19b 

ソフトコアの妥当性確認

IEC 61508-7

E.21 

R

R

HR*

HR*


82

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.1ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタル ASIC7.4.6.7 参照)(続き) 

設計段階

照 

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4

合成

20a 

タイミング制約をチェックするた

めのゲートネットリストのシミュ

レーション

IEC 61508-7

E.22 

R

R

R

R

20b 

伝ぱ(播)遅延の静的解析(STA)

IEC 61508-7

E.23 

R

R

R

R

21a 

シミュレーションによる標準モデ
ルに基づくゲートネットリストの

適合確認

IEC 61508-7

E.24 

R

R

HR

HR

21b 

ゲートネットリストと標準モデル

の比較(正式な等価性チェック)

IEC 61508-7

E.25 

R

R

HR

HR

22 

ASIC ベンダー要求事項及び制約の
チェック

IEC 61508-7

E.26 

HR

HR

HR*

HR*

23 

合成制約条件,結果及びツールの文
書化

IEC 61508-7

E.27 

HR

HR

HR*

HR*

24 

使用実績のある(proven in use)合
成ツールの適用

IEC 61508-7

E.28 

HR*

HR*

HR*

HR*

25 

使用実績のある(proven in use)目

標ライブラリの適用

IEC 61508-7

E.29 

HR*

HR*

HR*

HR*

26 

スクリプトに基づく手順

IEC 61508-7

E.30 

R

R

HR

HR

テスト挿入

及びテスト
パターンの

作成

27 

テスト構造の実現

IEC 61508-7

E.31 

R

>95 %

R

>98 %

R

>99 %

R

>99 %

28a 

シミュレーションによるテストカ

バレッジ割合の推定(達成テストカ
バレッジ割合に基づく)

IEC 61508-7

E.32 

R

>95 %

R

>98 %

R

>99 %

R

>99 %

28b 

ATPG ツールの適用によるテストカ
バレッジ割合の推定(テストカバレ

ッジ割合に基づく)

IEC 61508-7

E.33 

R

>95 %

R

>98 %

R

>99 %

R

>99 %

29a 

タイミング制約をチェックするた

めのゲートネットリストのシミュ
レーション

IEC 61508-7

E.22 

R

R

HR

HR

29b 

伝ぱ(播)遅延の静的解析(STA)

IEC 61508-7

E.23 

R

R

HR

HR

30a 

シミュレーションによる標準モデ

ルに基づくゲートネットリストの

適合確認

IEC 61508-7

E.24 

R

R

HR

HR

30b 

ゲートネットリストと標準モデル
の比較(正式な等価性チェック)

IEC 61508-7

E.25 

R

R

HR

HR


83

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.1ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタル ASIC7.4.6.7 参照)(続き) 

設計段階

参照

番号

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4

配置,

経路指定, 
レイアウト

作成

31a 

適用ハードコアには使用実績が

ある(proven in use)といえる正当な根拠

IEC 61508-7

E.34 

HR

HR

HR*

HR*

31b 

妥当性確認済みハードコアの適用

IEC 61508-7

E.35 

HR

HR

HR*

HR*

31c 

ハードコアのオンラインテスト

IEC 61508-7

E.36 

HR

HR

HR*

HR*

32a 

タイミング制約をチェックするためのゲ

ートネットリストのシミュレーション

IEC 61508-7

E.22 

HR

HR

HR*

HR*

32b 

伝ぱ(播)遅延の静的解析(STA)

IEC 61508-7

E.23 

HR

HR

HR*

HR*

33a 

シミュレーションによる標準モデルに基

づくゲートネットリストの適合確認

IEC 61508-7

E.24 

HR

HR

HR*

HR*

33b 

ゲートネットリストと標準モデルの比較

(正式な等価性チェック)

IEC 61508-7

E.25 

HR

HR

HR*

HR*

34 

設計ルールチェック(DRC)

IEC 61508-7

E.37 

HR

HR

HR

HR*

35 

回路図対レイアウト(LVS)の適合確認 IEC 61508-7 

E.38 

HR

HR

HR

HR*

36 

使用実績のある(proven in use)

設計環境の適用,使用における実証セル

ライブラリの適用

IEC 61508-7

E.4 

HR*

HR*

HR*

HR*

37 

使用されているのが 3 年未満の

プロセス技術の追加のスラック

(>20 %)

IEC 61508-7

E.39 

HR

HR

HR

HR*

チップ

製造

38 

使用実績のある(proven in use)

プロセス技術の適用

− HR

HR

HR*

HR*

39 

使用実績のある(proven in use)

製造工程

IEC 61508-7

E.42 

HR

HR

HR

HR*

40 

プロセス技術の品質保証

− HR

HR

HR

HR*

41 

製造工程の品質管理

IEC 61508-7

E.43 

HR

HR

HR

HR*

42 

装置の製造品質合格

IEC 61508-7

E.44 

R

R

HR

HR*

43 

装置の機能品質合格

IEC 61508-7

E.45 

HR

HR

HR*

HR*

44 

製造テストのテストカバレッジ割合

>95 %

>98 %

>99 %

>99 %

45 

品質規格

IEC 61508-7

E.46 

HR

HR

HR

HR*

46 

品質マネジメント,

例えば,JIS Q 9000 による

− HR

HR

HR

HR*

47 

バーンインテスト

IEC 61508-7

E.40 

R

R

HR

HR*

安全度水準に従って,適切な技法及び手段を選択することが望ましい。代替又は同等の技法及び手段を,番号に

続く文字で示す。代替又は同等の技法及び手段の一つ以上を,適用することが望ましい。 
注記  用語(V)HDL は,超高速集積回路ハードウェア記述言語(VHDL)

,又は Verilog ハードウェア記述言語を示す。


84

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.2ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブル ICFPGA/PLD/CPLD)(7.4.6.7 参照) 


参照 
番号

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4


構造化記述

IEC 61508-7

E.3 

HR

HR

HR*

HR*

(V)HDL での設計記述

注記参照)

IEC 61508-7

E.1 

HR

HR

HR*

HR*

回路図入力

IEC 61508-7

E.2 

-

-

NR NR

ブール方程式を使用する設計記述

R

R

NR

NR

5a 

ブール方程式を使用する回路記述の場合:
限定(低)複雑さをもつ設計でのマニュア

ル検査

 HR

HR

HR*

HR*

5b 

ブール方程式を使用する回路記述の場合:

より高い複雑さをもつ設計での状態移行の
シミュレーション

 HR

HR

HR*

HR*

使用実績のある(proven in use)設計環境の
適用

IEC 61508-7

E.4 

HR

HR

HR*

HR*

使用実績のある(proven in use)

(V)HDL

シミュレータの適用(

注記参照)

IEC 61508-7

E.4 

HR

HR

HR*

HR*

モジュールレベルでの機能テスト[例えば,

(V)HDL テストベンチを使用した]

注記

参照)

IEC 61508-7

E.6 

HR

HR

HR*

HR*

非同期構成要素の制限使用

IEC 61508-7

E.9 

HR

HR

HR*

HR*

10 

テスタビリティのための設計

(テストカバレッジ割合)

IEC 61508-7

E.11 

R

>95 %

R

>98 %

R

>99 %

R

>99 %

11 

モジュール化

IEC 61508-7

E.12 

R

R

HR

HR

12 

適合確認シナリオの範囲

(テストベンチ)

IEC 61508-7

E.13 

R

R

HR

HR

13 

コード化指針の監視

IEC 61508-7

E.14 

HR

HR

HR*

HR*

14 

シミュレーション結果の文書化

IEC 61508-7

E.17 

HR

HR

HR

HR*

15a 

コード検査

IEC 61508-7

E.18 

R

R

HR

HR*

15b 

ウォークスルー

IEC 61508-7

E.19 

R

R

HR

HR*

16a 

妥当性確認済みソフトコアの適用

IEC 61508-7

E.20 

R

R

HR

HR*

16b 

ソフトコアの妥当性確認

IEC 61508-7

E.21 

R

R

HR*

HR*


85

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.2ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブル ICFPGA/PLD/CPLD)(7.4.6.7 参照)(続き) 

設計段階

参照

番号

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4

合成

17 

内部整合性チェック

(例えば,IEC 61508-7E.4 参照)

 HR

HR

HR*

HR*

18a 

タイミング制約をチェックするためのゲ
ートネットリストのシミュレーション

IEC 61508-7

E.22 

R

R

R

R

18b 

伝ぱ(播)遅延の静的解析(STA)

IEC 61508-7

E.23 

R

R

R

R

19a 

シミュレーションによる標準モデルに基

づくゲートネットリストの適合確認

IEC 61508-7

E.24 

R

R

HR

HR

19b 

ゲートネットリストと標準モデルの比較

(正式な等価性チェック)

IEC 61508-7

E.25 

R

R

HR

HR

20 

複雑な設計の PLD/CPLD の場合,シミュ

レーションによる設計のチェック

 R

R

HR

HR

21 

IC ベンダー要求事項及び制約のチェック IEC 61508-7 

E.26 

HR

HR

HR*

HR*

22 

合成制約条件,結果及びツールの文書化

IEC 61508-7

E.27 

HR

HR

HR*

HR*

23 

使用実績のある(proven in use) 
合成ツールの適用

IEC 61508-7

E.28 

HR

HR

HR*

HR*

24 

使用実績のある(proven in use)

ライブラリ/CPLS 技術の適用

IEC 61508-7

E.29 

HR

HR

HR*

HR*

25 

スクリプトに基づく手順

IEC 61508-7

E.30 

R

R

HR

HR*

配置,経路指

定,レイアウ
ト作成

26a 

適 用 ハ ー ド コ ア に は 使 用 実 績 が あ る

(proven in use)といえる正当な根拠

IEC 61508-7

E.34 

HR

HR

HR*

HR*

26b 

妥当性確認済みハードコアの適用

IEC 61508-7

E.35 

HR

HR

HR*

HR*

26c 

ハードコアのオンラインテスト

IEC 61508-7

E.36 

HR

HR

HR*

HR*

27a 

タイミング制約をチェックするためのゲ
ートネットリストのシミュレーション

IEC 61508-7

E.22 

HR

HR

HR*

HR*

27b 

伝ぱ(播)遅延の静的解析(STA)

IEC 61508-7

E.23 

HR

HR

HR*

HR*

28a 

シミュレーションによる標準モデルに基

づくゲートネットリストの適合確認

IEC 61508-7

E.24 

HR

HR

HR*

HR*

28b 

ゲートネットリストと標準モデルの比較

(正式な等価性チェック)

IEC 61508-7

E.25 

HR

HR

HR*

HR*

29 

設計ルールチェック(DRC)

IEC 61508-7

E.37 

HR

HR

HR

HR*

30 

使用実績のある(proven in use) 
設計環境の適用,使用における実証セル

ライブラリの適用

IEC 61508-7

E.4 

HR*

HR*

HR*

HR*

31 

使用されているのが 3 年未満のプロセス

技術の追加のスラック

(>20 %)

IEC 61508-7

E.39 

HR

HR

HR*

HR*


86

C 0508-2

:2014 (IEC 61508-2:2010)

表 F.2ASIC の設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブル ICFPGA/PLD/CPLD)(7.4.6.7 参照)(続き) 

設計段階

参照

番号

技法及び手段

参照先

SIL 1

SIL 2

SIL 3

SIL 4

製造

32 

使用実績のある(proven in use)

プロセス技術の適用

 HR

HR

HR*

HR*

33 

使用実績のある(proven in use) 
装置シリーズの適用

IEC 61508-7

 

E.41 

HR

HR

HR*

HR*

34 

使用実績のある(proven in use) 
製造工程

IEC 61508-7

 

E.42 

HR

HR

HR

HR*

35 

製造工程の品質管理

IEC 61508-7

 

E.43 

HR

HR

HR

HR*

36 

装置の製造品質合格

IEC 61508-7

 

E.44 

R

R

HR

HR*

37 

装置の機能品質合格

IEC 61508-7

 

E.45 

HR

HR

HR*

HR*

38 

品質規格

IEC 61508-7

 

E.46 

HR

HR

HR

HR*

39 

品質マネジメント, 
例えば,JIS Q 9000 による

 HR

HR

HR

HR*

40 

システムにおける FPGA/PLD 
プロトタイプの最終適合確認

及び妥当性確認

 HR

HR

HR*

HR*

41 

大量生産中の最終適合確認

及び妥当性確認,単体チェック

 R

R

HR*

HR*

42 

バーンインテスト

IEC 61508-7

 

E.40 

R

R

R

HR*

安全度水準に従って,適切な技法及び手段を選択することが望ましい。代替又は同等の技法及び手段を,番号に

続く文字で示す。代替又は同等の技法及び手段の一つ以上を,適用することが望ましい。 
注記  用語(V)HDL は,超高速集積回路ハードウェア記述言語(VHDL),又は Verilog ハードウェア記述言語を示

す。


87

C 0508-2

:2014 (IEC 61508-2:2010)

参考文献

[1]  JIS C 0511(規格群)  機能安全−プロセス産業分野の安全計装システム

注記  対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the

process industry sector(IDT)

[2]  JIS B 9961:2008  機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能

安全

注記  対応国際規格:IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical,

electronic and programmable electronic control systems(IDT)

[3]  IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional 
[4]  IEC 61508-5:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 5: Examples of methods for the determination of safety integrity levels

[5]  IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

[6]  IEC 60601 (all parts),Medical electrical equipment 
[7]  IEC 61165,Application of Markov techniques 
[8]  IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods

[9]  IEC 61164,Reliability growth−Statistical test and estimation methods 
[10] IEC 62308,Equipment reliability−Reliability assessment methods 
[11] JIS C 61000-6-2:2008  電磁両立性−第 6-2 部:共通規格−工業環境におけるイミュニティ

[12] ISO 14224,Petroleum, petrochemical and natural gas industries−Collection and exchange of reliability and

maintenance data for equipment

[13] JIS Z 8115:2000  ディペンダビリティ(信頼性)用語

注記  対応国際規格:IEC 60050-191:1990,International Electrotechnical Vocabulary−Chapter 191:

Dependability and quality of service(MOD)

[14] JIS Q 9000:2006  品質マネジメントシステム−基本及び用語

注記  対応国際規格:ISO 9000:2005,Quality management systems−Fundamentals and vocabulary(IDT)

[15] JIS C 5750-3-2  ディペンダビリティ管理−第 3-2 部:適用の指針−フィールドからのディペンダビリ

ティデータの収集

注記  対応国際規格:IEC 60300-3-2,Dependability management−Part 3-2: Application guide−

Collection of dependability data from the field(IDT)

[16] IEEE 352:1987,IEEE guide for general principles of reliability analysis of nuclear power generating station

safety systems

[17] EN 50205,Relays with forcibly guided (mechanically linked) contacts