>サイトトップへ >このカテゴリの一覧へ

C 0508-5 : 1999

(1) 

まえがき

この規格は,工業標準化法に基づいて,日本工業標準調査会の審議を経て,通商産業大臣が制定した日

本工業規格である。

JIS C 0508-5

には,次に示す附属書がある。

附属書 A(参考)  リスクと安全度−一般概念

附属書 B(参考)  リスクモデル (ALARP) 及び許容リスクの概念

附属書 C(参考)  安全度水準の決定:定量的方法

附属書 D(参考)  定性的方法による SIL の決定:リスクグラフ

附属書 E(参考)  定性的方法による SIL の決定:危険事象の過酷度マトリックス

JIS C 0508

は,次に示す 7 部から構成される。

第 部:一般要求事項

第 部:電気・電子・プログラマブル電子安全関連系に対する要求事項(予定)

第 部:ソフトウェア要求事項(予定)

第 部:用語の定義及び略語

第 部:安全度水準決定方法の事例

第 部:2 部及び 3 部の適用指針(予定)

第 部:技術及び手法の一覧(予定)


C 0508-5 : 1999

(1) 

目次

ページ

序文

1

1.

  適用範囲

2

2.

  引用規格

3

3.

  用語の定義及び略語

4

附属書 A(参考)  リスクと安全度−一般概念

5

附属書 B(参考)  リスクモデル (ALARP) 及び許容リスクの概念

10

附属書 C(参考)  安全度水準の決定:定量的方法

13

附属書 D(参考)  定性的方法による SIL の決定:リスクグラフ

16

附属書 E(参考)  定性的方法による SIL の決定:  危険事象の過酷度マトリックス

20

附属書 F(参考)  引用文献

22

図 1  この規格群の全フレームワーク 4

附属書 A 図 1  リスク軽減:一般概念 7

附属書 A 図 2  リスク及び安全度の概念 8

附属書 A 図 3  E/E/PE 安全関連系、他技術安全関連系及び外的リズム軽減施設に対する安全要求事項の尾

割り当て 9

附属書 B 図 1 許容リスクと ALARP  11

附属書 C 図 1  安全度の割り当て:安全関連防護系の例15

附属書 D 図 1  リスクグラフ:一般的スキーム18

附属書 D 図 2  リスクグラフ:事例(一般的原理の説明に限る)18

附属書 E 図 1  危険事象の過酷度マトリックスの例(一般原理だけを例示する。)21

附属書 B 表 1  災害に感するリスクの等級化12

附属書 B 表 2  リスク等級の説明12

附属書 D 表 1  リスクグラフ(附属書 D 図 2)に関連した事例的データ 19


日本工業規格

JIS

 C

0508-5

 : 1999

電気・電子・プログラマブル 
電子安全関連系の機能安全−

第 5 部:安全度水準決定方法の事例

Functional safety of electrical/electronic/

programmable electronic safety-related systems

Part 5 : Examples of methods for the determination of safety integrity levels

序文  この規格は,1998 年 7 月に,IEC 中央事務局から投票に付された FDIS IEC 61508-5, Functional safety

of electrical/electronic/programmable electronic safety-related systems

−Part 5 : Examples of methods for the

determination of safety integrity levels

を翻訳し,技術的内容及び規格票の様式を変更することなく作成した

日本工業規格である。

なお,この規格で点線の下線を施してある箇所は,原国際規格にはない事項である。

電気及び/又は電子構成要素があるシステムは,その適用分野において,安全機能を果たすために長年使

用されてきた。一般的にプログラマブル電子系 (PESs) とみなされるコンピュータによるシステムは,す

べての適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用

されるようになった。コンピュータシステムの技術は効果的,かつ,安全に活用されなければならないの

で,意思決定を行うための安全の考え方に関する十分な手引き書が本質的に必要である。

この規格群では,

“電気及び/又は電子及び/又はプログラマブル電子”構成要素からなるシステムすなわ

ち電気・電子・プログラマブル電子系 (E/E/PESs) が安全機能を実行するための全安全ライフサイクル業

務での包括的な扱い方が手掛けられている。この統一された扱い方は,すべての電気的な安全関連系にわ

たって,合理的,かつ,整合性がある技術指針が展開されるためのものである。主要な目的の一つは,適

用個別分野(

1

)

規格の制定を促進することである。

(

1

)

例えば,プロセス産業,機械製造業,交通運輸,医療器械などの分野。

多くの状況下では,安全性は,幾つかの防護系によって達成され,複数の技術(例えば,機械,液圧,空

圧,電気,電子,又はプログラマブル電子技術。

)に依存している。したがって,すべての安全戦略におい

て,個々のシステム(例えば,センサ,制御機器,又はアクチュエータ。

)の要素だけでなく,全システム

を構成するすべての安全関連系が考慮されなければならない。それゆえ,この規格群は,一義的には電気・

電子・プログラマブル電子安全関連系を対象とするが,更にその他の技術に基礎を置く安全関連系が対象

となる安全のフレームワークも提供する。

電気・電子・プログラマブル電子系は,多様な適用個別分野においてその応用も多岐にわたり,多様な潜

在危険及びリスクが潜在する複雑さに対応するものとして認識されている。電気・電子・プログラマブル

電子系の適用に際して,安全尺度の正確な規定は,その適用にかかわる多数の要因に関連する。この規格


2

C 0508-5 : 1999

群は,包括的であるため,今後の適用個別分野規格において,個々の規定が形成されることを可能とする。

この規格群は,次の特徴をもつ。

−  電気・電子・プログラマブル電子系が安全機能を遂行するために使用されるとき,最初の概念から,

設計,実施,運用及び保全を通して廃却に至るすべての安全ライフサイクルフェーズを考慮する。

−  急速に進歩する技術を念頭において作成されたフレームワークは,将来の展開に十分に対応できる耐

性があり,また,包括的である。

−  安全関連電気・電子・プログラマブル電子系に関して,適用個別分野の規格が展開されることを可能

とする。この規格群のフレームワーク内で適用個別分野規格を展開することによって,適用個別分野

内及び適用個別分野間の一貫性(例えば,基礎となる原理・原則,用語などの整合性)を高水準に導

く。これは,安全上,かつ,経済上有益である。

−  電気・電子・プログラマブル電子安全関連系に対して要求される安全機能の達成に必要な安全要求仕

様を展開する方法論を提供する。

−  電気・電子・プログラマブル電子安全関連系によって実行される安全機能に対して,安全度(

2

)

の目標

水準を定めるために安全度水準を用いる。

(

2

) safety

integrity

(セーフティインテグリティ,安全確度とも呼ばれる。

−  安全度水準にかかわる要求事項の決定に際してリスク規範の方法論を適用する。

−  電気・電子・プログラマブル電子安全関連系に対して数値で表された目標機能失敗尺度を設定し,こ

れを安全度水準に連結する。

−  単一の電気・電子・プログラマブル電子安全関連系に対して,機能の失敗危険側モードの当該目標機

能失敗尺度に最小限界を設定する。それらは,運用モードに応じて次による。

−  低頻度作動要求モード運用の場合の最小限界を,作動要求当たりに当該設計機能の履行に失敗する

平均確率 10

5

に設定する。

−  高頻度作動要求モード又は連続モード運用の場合,最小限界を,時間当たりの危険側失敗確率(危

険側故障率)10

9

(1/時間)に設定する。

備考  単一の電気・電子・プログラマブル電子安全関連系とは,必ずしも単一チャンネル構成を意味

していない。

−  電気・電子・プログラマブル電子安全関連系に対して,機能安全を達成するために多岐にわたる原理,

技法及び手段を適用するが,

“フェールセーフ”の概念は除外する。この概念は,フォールトモードが

完全に定義され,かつ,複雑性の水準が比較的低い場合に格別な価値をもつ。この規格群では,電気・

電子・プログラマブル電子安全関連系が広範囲にわたる複雑性をもっているため,フェールセーフの

概念の適用が不適切であると考えられている。

この規格に記載の IEC 規格番号は,1997 年 1 月 1 日から実施の IEC 規格新番号体系によるものである。

これより前に発行された規格については,規格票に記載された規格番号に 60000 を加えた番号に切り替え

る。これは,番号だけの切替えであり内容は,同一である。

1.

適用範囲

1.1

第 部は,次の情報を提供する。

−  リスクの基本的概念及び安全度並びにリスクとの関係(

附属書 参照)

− E/E/PE 安全関連系,他技術安全関連系及び外的リスク軽減施設の安全度水準の決定を可能とするであ

ろう幾つかの方法(

附属書 B,附属書 C,附属書 及び附属書 参照)


3

C 0508-5 : 1999

1.2

手法の選択は,個別適用検討対象となる特定の状況に依存するであろう。

附属書 B,附属書 C,附

属書 及び附属書 は定量的,及び定性的アプローチを示し,基本的原理を示すため単純化されている。

これらの附属書は幾つかの手法の一般的原理を示すためのもので,それらに限定されるわけではない。こ

れらの附属書に示された手法を使用する者は引用した原典を参照することが望ましい。

備考  附属書 B,附属書 及び附属書 で示すアプローチの詳細はそれぞれ,附属書 にある引用文

献[4][2][3]を参照。また,

附属書 に示す追加アプローチを説明している引用文献[5]も参照。

1.3

この規格群

第 部,第 部,第 部及び第 部は,低複雑度 E/E/PE 安全関連系(第 部 3.4.4 参照)

には適用されないものの,基本安全規格である。任意の技術委員会が ISO/IEC ガイド 104 及び ISO/IEC

ガイド 51 に示される原則に従って規格を策定する際,

これらの規格はそれらの技術委員会によって基本安

全規格として使用されることを意図している。技術委員会の責務として,規格の策定に際して,可能な限

り基本安全規格を使用することがあげられる。また,この規格群は自己完結した規格として使用されるこ

とも意図している。

備考  アメリカ合衆国とカナダでは,IEC 61508 の提案中のプロセス分野規格すなわち IEC 61511 

有効となるまで,IEC 61508 に基づいた現行の国内プロセス分野規格 ANSI/ISA S84.01-1996 を

IEC 61508

に代わってプロセス分野に適用できるものとする。

1.4

図 に,この規格群第 部から第 部までの全フレームワーク及び E/E/PE 安全関連系にかかわる機

能安全達成での

第 部の役割を示す。

2.

引用規格

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,発行年を付記してあるものは,記載の年の版だけがこの規格の規定を構成するもので

あって,その後の改正版・追補・Amendment には適用しない。発行年を付記していない引用規格は,その

最新版(追補・Amendment を含む。

)を適用する。

JIS C 0508

群  電気・電子・プログラマブル電子安全関連系の機能安全

JIS C 0508-1

  第 1 部:一般要求事項

JIS C 0508-2

  第 2 部:電気・電子・プログラマブル電子安全関連系(予定)

JIS C 0508-3

  第 3 部:ソフトウェア要求事項(予定)

JIS C 0508-4

  第 4 部:用語の定義及び略語

JIS C 0508-6

  第 6 部:2 部及び 3 部の適用指針(予定)

JIS C 0508-7

  第 7 部:技術及び手法の一覧(予定)

ISO/IEC Guide 51 : 1997

  Safety aspects−Guidelines for their inclusion in standards.

参考  現在有効なガイドは 1990 年版である。JIS C 0508 群では,97 年に投票に付されたドラフトを

引用している。最新版は,98 年 3 月に投票に付された改訂ドラフトである。

IEC Guide 104 : 1997

  The preparation of safety publications and the use of basic safety publications and

group safety publications.

参考  1984 年のガイドは,1997 年に改訂された。


4

C 0508-5 : 1999

図 1  この規格群の全フレームワーク

3.

用語の定義及び略語

用語の定義及び略語は,

第 部を適用する。


5

C 0508-5 : 1999

附属書 A(参考)  リスクと安全度−一般概念

A.1

一般  この附属書では,リスク及びリスクと安全度の関係に関する基本的概念について取り上げる。

A.2

必要なリスク軽減  必要なリスク軽減(第 部 3.5.14 参照)は,特定の状況での許容リスクに適合す

るために達成されなければならないリスク軽減である。必要なリスク軽減の概念は,E/E/PE 安全関連系に

かかわる安全要求仕様の展開(特に,安全要求仕様の安全度要求事項の部分)で基本的に重要である。あ

る特定の危険事象にかかわる許容リスクを決定する目的は,危険事象の頻度(がい然性)とそれによる特

定の結果の両方に関して何が理にかなっているかを明確にすることである。安全関連系は危険事象の頻度

(がい然性)及び/又は危険事象の結果を軽減するように設計されている。

許容リスクは多くの要因に依存する(例えば,傷害の程度,危険にさらされる人数,一人又は複数の人

が危険にさらされる頻度や時間など)

。しかし,重要な要因は,危険事象の認識と知覚である。ある特定の

適用に対して許容リスクを構成するものは多数考えられるが,その中には次のものが含まれる。

−  安全規制当局によるガイドライン

−  適用にかかわる当事者同士の論議と合意

−  工業規格とガイドライン

−  国際的な論議と合意−国内外の規格の役割は,特定の適用に関する許容リスク基準に到達するために,

ますます重要になってきている。

−  諮問機関による独立した産業的,専門的及び科学的な助言

−  法的要求事項−一般及び特定の適用に直接関連するもの

A.3  E/E/PE

安全関連系の役割  E/E/PE 安全関連系は,許容リスクに適合するために必要なリスク軽減の

達成に寄与する。

E/E/PE

安全関連系は,次の事項の双方を行う。

−  被制御装置の安全な状態を達成するため又は被制御装置の安全な状態を維持するために要求される安

全機能を実行する。

−  それ自体,又はその他の E/E/PE 安全関連系,他技術安全関連系若しくは外的リスク軽減施設と協調し

て,要求される安全機能にかかわる必要な安全度水準を達成する(

第 部 3.4.1 参照)。

備考1.  前者の定義では,安全関連系は安全機能要求仕様が規定する安全機能を履行しなければなら

ないことを定めている。例えば,安全機能要求仕様には,ある温度に達したらバルブを開い

て水を容器に入れなければならない,というような規定を設けてもよい。

2.

後者の定義では,安全機能は,許容リスクが達成されるよう,適用に適切な信頼度のある安

全関連系によって履行されなければならないことを規定している。

人員は E/E/PE 安全関連系の一部を構成し得る。例えば,表示画面から EUC の状態に関する情報を受け

取り,この情報に基づいて安全のための業務を履行することができるであろう。

E/E/PE

安全関連系は,低頻度作動要求モード,又は高頻度作動要求/連続モードで運用することができ

る(

第 部 3.5.12 参照)。


6

C 0508-5 : 1999

A.4

安全度  安全度は,ある安全関連系が定められた期間,すべての定められた条件で,要求された安全

機能を果たすがい然性,と定義されている(

第 部 3.5.2 参照)。安全度は,安全機能を実行する際の安全

関連系の遂行能力に関連している(履行する安全機能は,安全機能要求仕様に規定されるであろう。

安全度は,次の二つの要素から構成されると考えられる。

ハードウェア安全度  安全度のうち,危険モードとなるランダムハードウェア故障にかかわる部分(第

4

部 3.5.5 参照)。安全関連ハードウェアの安全度が特定の水準に到達しているかは,合理的な水準ま

で正確に評価することができる。そこで,要求事項は,確率の組合せに関し通常のルールを使用する

サブシステム間で割り当てられる。十分なハードウェア安全度を達成するには冗長化した構成方法を

使用する必要があろう。

決定論的原因安全度  安全度のうち,危険モードとなる決定論的原因故障にかかわる部分(第 部 3.5.4

参照)

。決定論的原因故障による平均故障率は評価可能であろうが,設計エラー及び共通した故障を原

因とする故障データの場合,故障の分布を予測することは難しい。そこで,特定の状況では,故障率

の計算に不確定性が増すことになる(例えば,安全関連防護系の故障率)

。そのため,この不確定性を

最小限に抑えるには,最良の技法を選択できるよう判断することである。しかし,ランダムハードウ

ェア故障率を減らすための手段が,決定論的原因故障の故障率に対し,必ずしも相応の効果を与える

とは限らない。同一のハードウェアの冗長チャネルなどの技法は,ランダムハードウェアの故障を制

御するには非常に効果的であるが,決定論的原因故障を減らす効果はほとんどない。E/E/PE 安全関連

系,他技術安全関連系及び外的リスク軽減施設に要求される安全度は,次の条件を保証する水準とす

る。

−  安全関連系の機能失敗頻度は,危険事象頻度が許容リスク量に適合するために要求される頻度を超え

ることのない十分な水準とする。及び/又は,

−  安全関連系は,許容リスクの適合に要求される範囲まで危険事象による被害を低減する。

附属書 図 ではリスク軽減の一般概念が描かれている。一般モデルでは,次のことが仮定されている。

− EUC 及び EUC 制御系が存在する。

−  関連するヒューマンファクターの問題がある。

−  安全防護の特性は以下から構成される。

−  外的リスク軽減施設

− E/E/PE 安全関連系

−  他技術安全関連系

備考  附属書 図 は,一般原則を説明するためにリスクモデルを一般化したものである。特定の適

用にかかわるリスクモデルを開発する必要がある。その際,必要なリスク軽減が達成されるの

は,実際には E/E/PE 安全関連系及び/又は他技術安全関連系及び/又は外的リスク軽減施設に

よるという点を考慮する必要がある。したがって,得られたリスクモデルは,

附属書 図 

示されるものと異なることもある。

附属書 図 に示されている種々のリスクは,次のとおりである。

−  EUC

リスク  EUC, EUC 制御系及び関連するヒューマンファクターの問題にかかわる特定の危険事象

に関連して存在するリスクである。このリスクを決定するに当たり,特別な安全防護機能は何も考慮

されてはいない(

第 部 3.2.4 参照)。

許容リスク  現今の社会的価値観から受容されるリスク(第 部 3.1.6 参照)。

残存リスク  この規格群では,EUC, EUC 制御系及び関連するヒューマンファクターの問題にかかわ


7

C 0508-5 : 1999

る特定の危険事象に関連して残存するリスクである。ただし,外的リスク軽減施設,E/E/PE 安全関連

系及び他技術安全関連系が付加されている(

第 部 3.1.7 も参照)。

EUC

リスクは,EUC それ自体に関連するリスクの作用であるが EUC 制御系によってもたらされるリス

ク軽減を考慮している。EUC 制御系の安全度に対する不合理な主張を防止するため,この規格群ではなす

ことができる主張に制約を置いている(

第 部 7.5.2.5 参照)。

必要なリスク軽減は,安全防護機能すべての組合せによって達成される。特定の許容リスクを達成する

ために必要なリスク軽減は,EUC リスクを出発点として,

附属書 図 に示されている。

附属書 図 1  リスク軽減:一般概念


8

C 0508-5 : 1999

附属書 図 2  リスク及び安全度の概念

A.5

リスク及び安全度  リスクと安全度との区別を十分に認識することは重要である。リスクとは,特定

の危険事象が発生するがい然性及び結果の尺度であり,様々な状況で査定することができる[EUC リスク,

許容リスクに適合するため要求されるリスク,実際のリスク(

附属書 図 参照)]。許容リスクは社会的

基盤の上に決定され,社会的及び政治的な要因を考慮しなければならない。安全度は,E/E/PE 安全関連系,

他技術安全関連系及び外的リスク軽減施設にだけ適用され,これらのシステム/施設が特定の安全機能に

関し必要なリスク軽減を満足に達成する確からしさを示す尺度である。いったん,

許容リスクが設定され,

必要なリスク軽減が評価されると,安全関連系に対して安全度要求事項を割り当てることができる(

第 1

部 7.47.57.6 参照)。

備考  割り当ては,様々な要求事項に適合させるため設計を最適化するために必ず反復過程になる。

安全関連系が,必要なリスク軽減を達成するための役割は,

附属書 図 及び 図 に示されている。

A.6

安全度水準とソフトウェア安全水準  安全関連系が達成しなければならない広範囲に及ぶ必要なリス

ク軽減を行うには,安全関連系に割り当てる安全機能の安全度要求事項を満足させる手段として,いくつ

かの安全度水準を用いることが有益である。ソフトウェア安全度水準は,安全関連ソフトウェアによって

実行される安全機能の安全度要求事項を満足させる規範として使用する。安全度要求仕様は,E/E/PE 安全

関連系にかかわる安全度水準を定めることが望ましい。

この規格群では,安全度水準 4 を最高,1 を最低とする 4 種類の安全度水準を定めている。

4

種類の安全度水準にかかわる安全度水準目標機能失敗尺度が,

第 部表 及び表 で定められている。

2

種類のパラメータが特定されており,一つは安全関連系の運用が低頻度作動要求モードの場合,もう一

つは安全関連系の運用が高頻度作動要求又は連続モードの場合である。

備考  安全関連系の運用が低作動要求モードの場合,影響する安全度尺度は,作動要求当たりに該当


9

C 0508-5 : 1999

設計機能の実行に失敗する確率である。また,安全関連系の運用が高頻度作動要求又は連続モ

ードの場合,

影響する安全度尺度は,

単位時間当たりの危険側の平均故障率である

第 部 3.5.12

及び 3.5.13 参照)

A.7

安全要求事項の割り当て  E/E/PE 安全関連系,他技術安全関連系及び外的リスク軽減施設への(安全

機能及び安全度要求事項ともに)安全要求事項の割り当ては

附属書 図 に示されている(第 部図 

同じもの)

。安全要求事項の割り当てフェーズにかかわる要求事項は,

第 部 7.6 に規定している。

E/E/PE

安全関連系,他技術安全関連系,及び外的リスク軽減施設へ安全度要求事項を割り当てるために

使用する方法は,一義的には,必要とされるリスク軽減が数量的な方法で明確に定められているか,又は

定性的に定められているかに依存している。これらの方法は,それぞれ,定量的方法,定性的方法といわ

れている(

附属書 B,附属書 C,附属書 及び附属書 参照)。

附属書 図 3  E/E/PE 安全関連系,他技術安全関連系及び 

外的リスク軽減施設に対する安全要求事項の割り当て


10

C 0508-5 : 1999

附属書 B(参考)  リスクモデル (ALARP) 及び許容リスクの概念

B.1

概要  この附属書では,許容リスク達成のための特定のアプローチを考察する。その方法について厳

密な説明を行うことではなく,一般的な原理を示すことを目的とする。この附属書で示されている方法の

詳細については,それぞれの引用元の文献を参照されたい。

B.2  ALARP

モデル(

1

)

B.2.1

はじめに  A.2 では,産業活動によるリスクを抑制するための主な試みについて示し,その業務には

次の事項の決定を含むことを指摘している。

a)

当該リスクは大きすぎて全く拒否される,又は,

b)

当該リスクは小さすぎる,又は小さすぎるとみなされる,又は,

c)

当該リスクは a)と b)の中間で,かつ,そのリスク水準を受け入れることによる便益及びさらに軽減す

る費用の両面を考慮して,現実的な最低限の水準まで軽減されているか。

c)

に関して,ALARP 原理は,すべてのリスクは合理的に実行可能な限り,すなわち,合理的に可能な最

低の水準  (ALARP : As Low As Reasonably Practicable)  まで軽減されなくてはならないとしている。あるリ

スクが二つの境界(すなわち,許容できない範囲と広く受け入れられる水準)の中間に位置していて,

ALARP

原理が適用されると,結果として得られるリスクは,当該適用にかかわる許容リスクとなる。こ

の三つの領域に分ける考え方について

附属書 図 に示す。

ある一定レベルより大きなリスクは,許容できないとみなされ,通常のいかなる状況においても正当化

することはできない。

上記の水準の下方に,もしある業務に関連して発生するリスクが合理的で現実的な最低限の水準まで抑

えられているならばその業務が許される,許容領域が存在する。ここでいう許容できるとは,受容するこ

ととは異なる。許容できるということは,便益を確保するために,付随して発生するリスクを進んで受け

入れようとすると同時に,そのリスクについて常に検討を続け,抑制していくことを期待することである。

この領域では,更に安全対策を実施するためにかかる費用と,その安全対策の必要性などとの兼ね合いを

みるために,費用と便益についての評価が必要である。リスクの大きさに比例して,リスク軽減のための

費用は大きくなると予想される。許容できるぎりぎりの線では,便益に比べて過大な費用も正当化される

であろう。ここでは,リスクは定義から相当なものとなり,わずかなリスク軽減しか達成できないもので

あっても,相当な努力が正当化されることが必要である。

リスクが小さくなれば小さくなるほど,リスクを軽減する費用は比例して小さくなって行き,リスク許

容領域の最下部では,費用及び便益の均衡が達成される。

許容リスク領域より下の小さなリスクは,ほとんど重大な影響がないとみなされ,それ以上の改善のた

めの対策は必要ないとみなされる。この領域のリスクは,我々すべてが日常的に経験するリスクと比較し

ても小さいリスクであり,広く一般に受容されるリスク領域である。リスクがこのリスク領域にある場合

には,ALARP を証明するための詳細な作業は不要である。しかしながら,リスクレベルがこのレベルに

とどまっているかを注意深く確認する必要がある。

(

1

) ALARP

は,As Low As Reasonably Practicable の略である。すなわち,合理的に実現可能な最低

の水準を意味している。


11

C 0508-5 : 1999

附属書 図 1  許容リスクと ALARP

ALARP

の概念は,定性的又は定量的なリスク目標が与えられたときに用いることができる。B.2.2 では,

定量的なリスク目標に対する方法を紹介する(ある特定の潜在危険に対して必要なリスク軽減を決定する

ための,

附属書 では定量的な,附属書 及び附属書 では定性的な方法を紹介する。そこで示される

各種の方法は,ALARP の概念を意志決定の過程に組み入れることができるかもしれない。

備考 ALARP の詳細は,附属書 の引用文献[4]に示されている。

B.2.2

許容リスク目標  許容リスク目標を得ることのできる方法の一つとして,リスクによって起こり得

る結果を想定列挙し,それらの許容頻度を割り振る方法がある。この結果と許容頻度との釣り合いは各利

害関係団体間(例えば安全規制当局,リスクを生成する者及びリスクにさらされる者など)の協議及び合

意によって図られることとなろう。

ALARP

の概念を考慮して,結果と許容頻度はリスク等級によって釣り合わせることができる。

附属書 B

表 は,結果と頻度の関係をリスク等級(I,II,III 及び IV)で示した例である。附属書 表 は ALARP の

考え方を用いて各リスク等級を定義したものである。すなわち,四つの各リスク等級の説明は

附属書 

1

に基づいたものである。これらのリスク等級の定義でのリスクとは,リスク軽減措置を施しても存在す

るリスクである。

附属書 図 との対応では,リスク等級は次のようになる。

−  リスク等級 I は,受容できない領域

−  リスク等級 II 及び III は,ALARP 領域である。リスク等級 II は,受容できない領域から ALARP 領域

に入るぎりぎりの領域である。

−  リスク等級 IV は,広く一般に受容されるリスク領域である。

それぞれの状況に応じて,また,各産業分野で,社会的,政治的及び経済的な要因などを広く考慮して,

附属書 表 と同様の表が作成されることとなろう。そしてそれぞれの被害について,リスク等級化した

表で頻度との釣り合いが図られることとなろう。例えば,

附属書 表 の“頻繁に起こる”は,常に起こ

りうる事象であり年 10 回よりも多く起こる事象のことを指す。また,

“重大な結果”とは,一人の死亡及


12

C 0508-5 : 1999

び/又は多数の重傷者若しくは重い職業病にかかるような被害のことを指す。

附属書 表 1  災害に関するリスクの等級化

結果

頻度

破局的な

(Catastrophic)

重大な

(Critical)

軽微な

(Margina1)

無視できる

(Negligible)

頻繁に起こる

(Frequent)

I I I II

かなり起こる (Probable)

I

I

II

III

たまに起こる (Occasional)

I

II

III

III

あまり起こらない (Remote)

II

III

III

IV

起こりそうもない (Improbable)

III

III

IV

IV

信じられない

(Incredible)

IV IV IV IV

備考1.  実際にどの事象がどの等級になるかは,適用される分野によって異なり,また“頻繁に起こる”又は“か

なり起こる”などというのが実際にどのくらいの頻度なのかに依存する。したがって,この表は,今後

利用するための仕様として見るよりは,このような表がどのようなものかを示す一例として見るべきで
ある。

2.

この表の頻度から安全度水準を決定する方法については

附属書 に示す。

附属書 表 2  リスク等級の説明

リスク等級

説明

等級 I

許容できないリスク。

等級 II

好ましくないリスク。リスク軽減が,非現実的すなわち,リスク軽減にかかる費用対
効果比が著しく不均衡であるときだけ許容しなければならない好ましくないリスク。

等級 III

リスク軽減にかかる費用が得られる改善効果を超えるときに許容できるリスク。

等級 IV

無視できるリスク。


13

C 0508-5 : 1999

附属書 C(参考)  安全度水準の決定:定量的方法

C.1

概要  この附属書では,定量的アプローチがとられたときに安全度水準がどのようにして決定される

かということ及び,

附属書 表 のような表の中の情報をどのように利用するのかについて概説する。定

量的アプローチは,次のときに大変有用である。

−  許容リスクが数値で示されるとき(例えば,ある特定の被害は 10

4

年に 1 回よりも高い頻度では起き

るべきでないなど。

−  安全関連系の安全度水準に対して数値目標が示されるとき。このような目標値はこの規格群によって

示されている(

第 部表 及び表 を参照)。

この附属書は,当該手法についての限定的な説明を行うのではなく,一般的な原則を示すことを目的と

する。リスクモデルが

附属書 図 及び附属書 図 で示されるようなものであるときには,特にこの方

法は有効である。

C.2

一般的な方法  一般的な原則を示すために使用されるモデルは,附属書 図 に示されている。この

方法の核心となるステップは,次に示すとおりであり,E/E/PE 安全関連系で実行されるそれぞれの安全機

能のために行われる必要がある。

附属書 表 のような表から許容リスクを決定する

− EUC リスクを決定する

−  許容リスクを達成するために必要なリスク軽減を決定する

− E/E/PE 安全関連系,他技術安全関連系及び外的リスク軽減施設に必要なリスク軽減を割り当てる(

1

部の 7.6 参照)。

附属書 表 にはリスク頻度が示され,許容リスクの数値目標 F

t

を設定することができる。

防護措置が何もないときの EUC 制御系及びヒューマンファクタを含む EUC に対するリスク(EUC リス

ク)の頻度は定量的リスク評価手法によって求められる。防護がないときの危険事象が起こり得る頻度 F

np

は,EUC リスクの二つの要素の一つである。もう一つの要素は危険事象による被害である。F

np

は次によ

って決定してよい。

−  同等の条件にある故障率による解析

−  妥当なデータベースからのデータ

−  適切な予測手法による計算

この規格群は EUC 制御系に置くことのできる機能失敗率の最小値について制約を設けている(

第 

7.5.2.5

を参照)

。もし,EUC 制御系が,これらの最小機能失敗率よりも低い率をもつことを要求されたな

らば,その EUC 制御系は安全関連系とみなされ,この規格群の中の安全関連系に対するすべての要求事項

に従わなければならない。

C.3

計算例  附属書 図 に一つの安全関連防護系に対する目標安全度水準の計算例を示す。このような

状況では,

PFD

avg

F

t

/F

np

ここに,


14

C 0508-5 : 1999

−  PFD

avg

は安全関連防護系の作動要求に対する機能失敗平均確率

である。この値は低頻度作動要求モードで運用中の安全関連防護

系の安全度機能失敗尺度である(

第 部表 及び第 部 3.5.12

参照)

−  Ft は許容リスク頻度である。

−  F

np

は安全関連防護系への作動要求率である。

また,

附属書 図 

−  は危険事象の結果である。

−  F

p

は防護策を講じたときのリスク頻度である。

F

np

と PFD

avg

,すなわち,安全関連防護系の安全度水準との関係から,EUC にかかわる F

np

の決定が重要

であることがわかる。

(結果 が一定であるときの)安全度水準を求めるために必要な手順を次(

附属書 図 と同様)に示

す。ただし,ここでは,1 基の安全関連防護系によって必要とされるリスク軽減が達成され,当該安全関

連系は,最低限,リスク頻度を F

np

から F

t

まで軽減しなければならないこととする。

−  防護策を何も講じていないときの EUC リスク頻度要素を決定する  (F

np

)

−  防護策を何も講じないときの結果  (C)  を決定する。

附属書 表 を用いて頻度 F

np

と結果 から許容できるリスクの水準に達しているかどうかを決定す

る。もし,

附属書 表 からリスク等級が I となったならば,更なるリスク軽減が必要である。リス

ク等級が IV 又は III であれば許容できるリスク水準である。リスク等級が II であれば更に検討が必要

である。

備考  防護策をそれ以上講じなくても許容リスクを達成可能なこともあるため,附属書 表 は,更

なるリスク軽減策が必要であるかどうかをチェックするために使用される。

−  必要なリスク軽減  (

R)

を満足するために,安全関連防護系の作動要求に対する機能失敗確率

(PFD

avg

)

を決定する。上述のように特定の状況において結果が一定の場合では,PFD

avg

=  (F

t

/F

np

)

R

である。

−  PFD

avg

=  (F

t

/F

np

)

から,

第 部表 から安全度水準が求められる(例えば,PFD

avg

=10

-2

−10

-3

であれ

ば,安全度水準は 2 である。


15

C 0508-5 : 1999

附属書 図 1  安全度の割り当て:安全関連防護系の例


16

C 0508-5 : 1999

附属書 D(参考)  定性的方法による SIL の決定:リスクグラフ

D.1

一般  この附属書は,リスクグラフ手法を記述する。リスクグラフ手法は,EUC と EUC 制御系に関

連したリスク要素の知見から安全関連系の SIL を定める定性的手法である。これは,リスクモデルが

附属

書 図 と附属書 図 に示されるような場合,特に有用である。

定性的方法が採用された場合は,事柄を簡素化するために,幾つかのパラメータが導入される。そのパ

ラメータを組み合わせることによって,安全関連系が故障したり有効でないときの,危険状態の性質を記

述する。一つのパラメータがそれぞれ四つのセットから選ばれて,そして,選択されたパラメータは,安

全関連系に割り当てられる SIL を決定するために組み合わされる。

これらのパラメータは,

−  リスクの有意な等級づけを可能とするもので,かつ,

−  重要なリスクアセスメント要素を含む。

この附属書は,方法の限定的な記述ではなく,一般原理を示すことを意図している。この附属書で示さ

れる方法を適用する場合は,引用文献の資料の参照が推奨される。

D.2

リスクグラフの合成

次の簡易化された手順は次の等式に基づく:

R

f×C

ここで, 

R

は安全関連系を装備しないときのリスクである。

f

は安全関連系を装備しないときの危険事象の頻度である。

C

は危険事象による結果である(結果には健康と安全にかかわる危害又は,

環境破壊から生じる危害があり得る。

この場合,危険事象の頻度 は,次の三つの影響要因から検討される。

危険領域にさらされる頻度と時間。

危険事象回避の可能性。

安全関連系がない時(しかし,適当な外的リスク軽減施設をもっている。

危険事象の一定時間内の発生確率−これは望ましくない事象の発生確率と

呼ばれている。

次の四つのリスクパラメータを生成する。

危険事象による結果  (C)。

危険領域にさらされる時間と頻度  (F)。

危険事象からの回避の可能性  (P)。

望ましくない事象の一定時間内の生起確率  (W)。


17

C 0508-5 : 1999

D.3

その他のリスクパラメータ  上記のリスクパラメータは,広範囲な適用に十分一般的であることが考

慮されている。しかしながら,他のリスクパラメータを追加することが求められる適用例があるかもしれ

ない。例えば,EUC での新しい技術の使用など。パラメータを追加する目的は,より正確に必要なリスク

軽減を見積もることにある(

附属書 図 参照)。

D.4

リスクグラフの実施:一般スキーム

上記のリスクパラメータの組合せによって,

附属書 図 に示されるようなリスクグラフができる。附

属書 図 では,C

A

<C

B

<C

C

<C

D

F

A

<F

B

P

A

<P

B

W

1

<W

2

<W

3

である。このリスクグラフの説明を次に示す。

−  CFのリスクパラメータの使用によって,幾つかの出力 X

1

X

2

X

3

X

n

が導かれる(出力の正確な数

はリスクグラフが用いられる特定の適用分野に依存する。

附属書 図 はより重大な影響に対する

追加条件が,適用されないような状況を示している。これらの個々の出力は,W

1

,  W

2

,  W

3

の三つの尺

度の一つに割り当てられる。これらの尺度による各ポイントが,考慮中の E/E/PE 安全関連系が適合し

なければならない安全度を指示する。実際,単一の E/E/PE 安全関連系では必要なリスク軽減が得られ

ないような状況が存在する。

−  W

1

W

2

W

3

への割り当ては他のリスク軽減手段の寄与を許容する。W

1

W

2

W

3

の尺度の派生的性質は,

他の手段によるリスク軽減の 3 段階の水準を許容することにある。すなわち,W

3

の尺度は,他の手段

によるリスク軽減が最低限の場合を示し(すなわち,望ましくない事象が起こりうる可能性が最も高

い)

W

2

は中程度の貢献で,W

1

は最大に貢献した場合である。リスクグラフのある特定の中間的な出

力(すなわち X

1

X

2

…又は X

6

)や,ある特定の 尺度  (W

1

W

2

W

3

)

によって,リスクグラフの最終出

力が E/E/PE 安全関連系の安全度水準(すなわち 1, 2, 3 又は 4)を与える。そして,この最終出力が,

この系に要求されたリスク軽減である。このリスク軽減は,の尺度を決める際考慮した他のリスク

軽減手段(例えば,他技術安全関連系や外的リスク軽減施設)によって達成されたリスク軽減と組み

合わせて,特定の状況のための必要なリスク軽減を与える。

附属書 図 に示されたパラメータ  (C

A

C

B

C

C

C

D

F

A

F

B

P

A

P

B

W

1

W

2

W

3

)

の厳密な定義とそれらの

重み付けは,それぞれの特別な状況や同種の産業分野ごとに定義される必要があろう。そして,適用分野

の国際規格でも定義される必要があろう。

D.5

リスクグラフの例  機械装置の分野におけるリスクグラフの実施例を附属書 表 のデータに基づい

附属書 図 に示す。リスクパラメータ CF,及び は 8 種の出力を導く。それらの出力の各々は,

三つの尺度  (W

1

W

2

W

3

)

のうちの一つに割り当てられる。これらの尺度による各ポイント  (a, b, c, d, e, f, g,

h)

は,安全関連系によって適合されるべき必要なリスク軽減を示している。

備考  このリスクグラフの実施に関する更なる情報は,附属書 の引用文献[6]に与えられている。


18

C 0508-5 : 1999

附属書 図 1  リスクグラフ:一般的スキーム

附属書 図 2  リスクグラフ:事例(一般的原理の説明に限る。)


19

C 0508-5 : 1999

附属書 表 1  リスクグラフ(附属書 図 2)に関連した事例的データ

リスクパラメータ

等級化

C

1

軽い傷害

C

2

一人以上の重大な傷害又は,

1

名の死亡

C

3

数名の死亡

結果  (C)

C

4

非常に多数の死亡

1

この等級化法は,人の負傷と死亡を扱うために

開発された。環境又は物質的な損害のためには,
他の等級化法が開発される必要がある。

2

C

1

C

2

C

3

C

4

の解釈では,災害の被害と正常復帰

を考慮しなければならない。

F

1

まれに,又は比較的頻繁に危
険領域にさらされる

危険領域にさらされる時
間と頻度  (F)

F

2

潜在危険領域に頻繁に又は
常にさらされる

3

上の注 1 を参照。

危 険 事 象 回 避 の 可 能 性

(P)

P

1

P

2

ある条件下で回避可能

ほとんど回避不可能

4

このパラメータでは次のことを考慮する:

−  プロセス運用(監視されているか(熟練者か,非

熟練者か)又は監視されていないか)

−  危険事象の進展速度(例えば進行が,突発か,次

第にか,徐々にか)

−  危険の認識の容易性(例えば,技術的手法又は技

術的手法を伴わない手法で検出した異常を直ち

に見ることができるか)

−  危険事象からの回避性(例えば,待避路があるか,

ないか,ある条件下でのみあるのか)

−  実際の安全に対する経験度(同一の EUC 又は同

様の EUC の経験の有無)

W

1

望ましくない事象が起きる
可能性は極めて低く,ほとん
ど起きない。

W

2

望ましくない事象が起きる
可能性は低く,まれにしか起
きない。

望ましくない事象の単位
時 間 当 た り の 生 起 確 率

(W)

W

3

望ましくないことが起きる
可能性は比較的高く,繰り返

し起きる。

5

W

の要素の目的は,いかなる安全関連系(E/E/PE

又は他の技術による)もなく,外的リスク軽減施
設を含む状態で,望ましくない事象が起こる頻度

を推定することである。

6

もし,EUC や EUC 制御系又はそれと同等の系の
経験が全くないか,わずかしかない場合は,W

要素の推定は計算に基づいてもよい。そのような
事象では最悪の予想を行うこと。


20

C 0508-5 : 1999

附属書 E(参考)  定性的方法による SIL の決定: 

危険事象の過酷度マトリックス

E.1

一般  附属書 で記述された数値化手法は,リスク(すなわち,それの頻度の部分)を定量化するこ

とができない場合には適用できない。この附属書は危険事象の過酷度マトリックス手法を記述する。この

方法は,EUC と EUC 制御系に関連したリスク要素の知識から E/E/PE 安全関連系の SIL が決定されること

を可能にする定性的手法である。リスクモデルが

附属書 図 と附属書 図 に示されるような場合,特

に有用である。

この附属書で概説されるスキームでは,各安全関連系と外的リスク軽減施設が独立であると仮定する。

この附属書は,方法の限定的記述ではなく,マトリックスの構造に関連する特定のパラメータの詳細な

知識をもつことによって,どのようにマトリックスが展開できるかの一般的原理を説明することを意図し

ている。この附属書で示される方法を適用する場合は,引用文献の資料の参照が推奨される。

備考  危険事象マトリックスの詳細は,附属書 の引用文献[3]に示す。

E.2

危険事象過酷度マトリックス  次の要求事項はマトリックス法の基盤となっており,それぞれが,こ

の手法を有効にするために必要である。

a)

外的リスク軽減施設及び安全関連系(E/E/PE 又は他の技術による。

)は独立であること。

b)

それぞれの安全関連系(E/E/PE 又は他の技術による。

)と外的リスク軽減施設は,それ自身が

附属書

A

図 に示される部分的リスク軽減を備えている防護層として見なされる。

備考1.  防護層に通常のプルーフテストが実行される場合にだけ,この仮定は有効である。

c)

一つの防護層[上の b)参照]が加えられるとき,安全度における一けたの改善が達成される。

備考2.  安全関連系と外的リスク軽減施設が十分に独立している場合にだけ,この仮定は有効である。

d)

一基の E/E/PE 安全関連系が使用され(ただし,他技術安全関連系や外的リスク軽減施設を組み合わせ

てもよい。

これに対して,この手法が必要とされる安全度水準を設定する。

附属書 図 に示される危険事象の過酷度マトリックスは,上記の項目から導かれる。マトリックスに

組み込んだ事例的データは一般原理を示すことに注意すべきである。

それぞれの状況や産業分野に応じて,

附属書 図 と同様のマトリックスが開発されるであろう。


21

C 0508-5 : 1999

附属書 図 1  危険事象の過酷度マトリックスの例(一般原理だけを例示する。)


22

C 0508-5 : 1999

附属書 F(参考)  引用文献

[1]  ANSI/ISA S84 : 1996, Application of safety Instrumented Systems for the Process Industries

[2]  Grundlegende Sicherheitberatungunge für MSR

Schutzeinrichtungen DIN V 19250, Beuth Verlin, FRG, 1994

[3]  Guidelines for safe automation of chemical process, published by the Center for Chemical Process safety of the 

American Institute of Chemical Engineering, ISBN 0-8969-0554-1, 1993

[4]  Tolerability of risk from nuclear power stations, Health and Safety Executive (UK) publication, ISBN 011 

886368 1

[5]  Development guidelines for vehicle based software, The Motor Industry Reliability Association, Watling St, 

Nuneation, Warwickshire, CV10 OTU, United Kingdom, 1994, ISBN 09524156 0 7

[6]  Procedures for treating common cause failures in safety and reliability studies

Analytical background and 

techniques, NUREG/CR-4780, Volume 2, January 1989