サイトトップへこのカテゴリの一覧へ

C 0508-2:2014 (IEC 61508-2:2010) 

(1) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

目 次 

ページ 

序文 ··································································································································· 1 

1 適用範囲························································································································· 3 

2 引用規格························································································································· 5 

3 用語,定義及び略語 ·········································································································· 6 

4 この規格群への適合 ·········································································································· 6 

5 文書化···························································································································· 6 

6 機能安全の管理 ················································································································ 6 

7 E/E/PE系安全ライフサイクル要求事項················································································· 6 

7.1 一般 ···························································································································· 6 

7.2 E/E/PE系設計要求仕様 ·································································································· 10 

7.3 E/E/PE系安全妥当性確認計画 ························································································· 12 

7.4 E/E/PE系設計及び開発 ·································································································· 13 

7.5 E/E/PE系統合 ·············································································································· 35 

7.6 E/E/PE系の運用及び保全の手順 ······················································································ 36 

7.7 E/E/PE系の安全妥当性確認 ···························································································· 37 

7.8 E/E/PE系の部分改修 ····································································································· 38 

7.9 E/E/PE系適合確認 ········································································································ 39 

8 機能安全評価 ·················································································································· 40 

附属書A(規定)E/E/PE安全関連系の技法及び手段−運用中の故障の制御 ···································· 41 

附属書B(規定)E/E/PE安全関連系の技法及び手段−ライフサイクルの様々なフェーズ中の決定論的原因

故障の回避 ··················································································································· 56 

附属書C(規定)診断カバー率及び安全側故障割合 ··································································· 67 

附属書D(規定)準拠項目に対する安全マニュアル ··································································· 70 

附属書E(規定)オンチップ冗長をもつ集積回路(IC)の特殊アーキテクチャ要求事項 ···················· 72 

附属書F(参考)ASICの技法及び手段−決定論的原因故障の回避 ················································ 78 

参考文献 ···························································································································· 87 

C 0508-2:2014 (IEC 61508-2:2010) 

(2) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

まえがき 

この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人日本

電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工

業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工

業規格である。 

これによって,JIS C 0508-2:2000は改正され,この規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

JIS C 0508の規格群には,次に示す部編成がある。 

JIS C 0508-1 第1部:一般要求事項 

JIS C 0508-2 第2部:電気・電子・プログラマブル電子安全関連系に対する要求事項 

JIS C 0508-3 第3部:ソフトウェア要求事項 

JIS C 0508-4 第4部:用語の定義及び略語 

JIS C 0508-5 第5部:安全度水準決定方法の事例(改正予定) 

JIS C 0508-6 第6部:第2部及び第3部の適用指針(改正予定) 

JIS C 0508-7 第7部:技術及び手法の概観(改正予定) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

日本工業規格          JIS 

C 0508-2:2014 

(IEC 61508-2:2010) 

電気・電子・プログラマブル電子安全関連系の 

機能安全−第2部:電気・電子・プログラマブル 

電子安全関連系に対する要求事項 

Functional safety of electrical/electronic/programmable electronic 

safety-related systems-Part 2: Requirements for 

electrical/electronic/programmable electronic safety-related systems 

序文 

この規格は,2010年に第2版として発行されたIEC 61508-2を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。 

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。 

電気及び/又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年

使用されてきた。一般に,プログラマブル電子系と呼ばれるコンピュータを用いたシステムは,あらゆる

適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用される

ようになった。コンピュータシステムの技術が,効果的,かつ,安全に活用されるためには,意思決定を

行うための安全の考え方に関する十分な手引書が必須である。 

この規格群及びIEC 61508の規格群では,電気・電子・プログラマブル電子(以下,E/E/PEという。)

の要素から成るシステムが,安全機能を履行するための全ての安全ライフサイクル業務に対する包括的な

扱い方について規定している。この統一された扱い方は,全ての電気的な安全関連系にわたって,合理的

かつ整合性がある技術指針を展開するためのものである。主な目的の一つは,JIS C 0508(IEC 61508)規

格群を基本とした適用分野の製品規格などの制定を容易にし,促進することである。 

注記1 JIS C 0508(IEC 61508)規格群を基本とした適用分野の製品規格などの事例を,参考文献(JIS 

C 0511,JIS B 9961及びIEC 61800-5-2)に示す。 

多くの状況下では,安全性は,幾つかのシステムによって達成され,複数の技術(例 機械,液圧,空

気圧,E/E/PE技術)に依存している。したがって,いかなる安全対策においても,個々のシステム(例 セ

ンサ,制御機器,アクチュエータ)の要素だけでなく,全システムを構成する全ての安全関連系を考慮し

なければならない。このため,この規格群及びIEC 61508の規格群は,一義的にはE/E/PE安全関連系を対

象とするが,更にその他の技術を基本とした安全関連系を対象とする安全の枠組みも提供する。 

様々な適用分野において,E/E/PE安全関連系を使用した応用は,多岐にわたり,多様な潜在危険及びリ

スクが存在することによって生じる複雑さに対応するものとして認識されている。いかなる適用において

も,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。この規格群及びIEC 61508

の規格群は,包括的であるため,今後の適用分野の製品規格などの制定版及び既存規格の改正版において,

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

個々の手段の形成を可能とする。 

この規格群及びIEC 61508の規格群は,次の特徴をもつ。 

− 安全機能を遂行するためにE/E/PE系を使用する場合の,最初の概念から,設計,実装,運用及び保全

を経て廃却に至る全E/E/PE系及びソフトウェアの安全ライフサイクルフェーズを考慮する。 

− 急速に進歩する技術を念頭において作成された枠組みは,将来の展開に対応できる十分な耐力があり,

かつ,包括的である。 

− E/E/PE安全関連系に関して,適用分野の製品規格などを開発することを可能とする。この規格群及び

IEC 61508の規格群の枠組み内で適用分野の製品規格などを開発することによって,適用分野内及び

適用分野間の一貫性(例 基礎となる原理・原則,用語などの整合性)を高水準に導く。これは,安

全上かつ経済上有益である。 

− E/E/PE安全関連系に対して要求される機能安全の達成に必要な安全要求仕様を開発する方法論を提

供する。 

− 安全度に関わる要求事項の決定に当たって,リスクを基本とした方法論を適用する。 

− E/E/PE安全関連系によって実装された安全機能に対して,安全度の目標水準を特定するための安全度

水準を導入する。 

注記2 この規格群及びIEC 61508の規格群は,いかなる安全機能についても安全度水準に対する

要求事項を規定することはなく,また,安全度水準を決定する方法についても規定するこ

とはない。この規格群及びIEC 61508の規格群は,むしろ,リスクに基づいた概念的枠組

み及び技法の事例を提供するものである。 

− E/E/PE安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設定する。 

− 単一のE/E/PE安全関連系が実現する安全機能に対して,目標機能失敗尺度の最小値を設定する。それ

らは,運用モードに応じて次による。 

− 低頻度作動要求モードの場合,作動要求時の危険側機能失敗時間平均確率(PFDavg)を10−5に設定

する。 

− 高頻度作動要求モード又は連続モードの場合,単位時間当たりの時間平均危険側故障頻度(PFH)

を10−9[1/h]に設定する。 

注記3 単一のE/E/PE安全関連系とは,必ずしも単一チャネル構成を意味するものではない。 

注記4 複雑でないシステムについては,目標安全度をより小さな値で安全関連系の設計をするこ

とが可能であるが,これらの限界値は,現時点で比較的複雑なシステム(例 プログラマ

ブル安全関連系)に対して達成できるものを表しているものとみなされている。 

− 産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの,

回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に

関連した目標機能失敗尺度は,この規格に規定する要求事項を全て満たしている場合は,達成してい

るとみなしてもよい。 

− 決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論

的対応能力を導入する。 

− E/E/PE安全関連系に対して,機能安全を達成するために多岐にわたる原理,技法及び手段を適用する

が,“フェールセーフ”の概念は明示的には使用しない。ただし,“フェールセーフ”及び“固有(本

質)安全”の原理は,この規格の関連する要求事項に適合することを条件として適用してもよい。 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

適用範囲 

1.1 

この規格の適用範囲は,次による。 

a) 機能安全の達成のための全枠組みについて規定しているJIS C 0508-1を十分に理解した上で,この規

格を使用することを前提にしている。 

b) JIS C 0508-1で定義する一つ以上のE/E/PE要素を,JIS C 0508-1で定義する安全関連系に適用する。 

c) E/E/PE安全関連系内の全ての要素(センサ,アクチュエータ及びオペレータインタフェースを含む)

に適用する。 

d) JIS C 0508-1に従って作成したE/E/PE系安全要求仕様(E/E/PE系安全機能要求事項の仕様,及びE/E/PE

系安全度要求事項の仕様を含む)を,E/E/PE系設計要求仕様に精緻化する方法について規定する。 

e) E/E/PE安全関連系の設計及び製造の期間中に適用する業務のための要求事項について規定する(すな

わち,E/E/PE系安全ライフサイクルモデルを確立する)が,JIS C 0508-3で取り扱うソフトウェアを

除く(図2〜図4参照)。これらの要求事項には,フォールト及び故障の回避及び管理のための,安全

度水準に基づいて等級付けした技法及び手段の適用を含む。 

f) 

E/E/PE安全関連系の設置,引渡し及び最終安全妥当性確認の実施に必要な情報について規定する。 

g) E/E/PE安全関連系の運用及び保全フェーズには適用しない(これはJIS C 0508-1で取り扱う)。ただ

し,この規格は,E/E/PE安全関連系の運用及び保全で使用者が必要とする情報及び手順の準備に関す

る要求事項について規定する。 

h) E/E/PE安全関連系の部分改修を実施する組織が満たさなければならない要求事項について規定する。 

注記1 この規格は,主に供給者及び/又は社内エンジニアリング部門に向けたものであるため,

部分改修のための要求事項を含む。 

注記2 この規格とJIS C 0508-3との関係を,図4に示す。 

i) 

IEC 60601規格群に適合する医用機器には適用しない。 

注記3 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

IEC 61508-2:2010,Functional safety of electrical/electronic/programmable electronic safety- 

related systems−Part 2: Requirements for electrical/electronic/programmable electronic 

safety-related systems(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”

ことを示す。 

1.2 

この規格群及びIEC 61508の規格群のうち,JIS C 0508-1(第1部),この規格(第2部),JIS C 0508-3

(第3部)及びJIS C 0508-4(第4部)は,低複雑度E/E/PE安全関連系(JIS C 0508-4の3.4.3参照)には

適用しないが,基本安全規格である。この規格群及びIEC 61508の規格群は,IEC Guide 104及びISO/IEC 

Guide 51に規定する原則に従って規格を策定するとき,原案作成委員会が基本安全規格として使用するこ

とを意図している。また,JIS C 0508-1,JIS C 0508-2,JIS C 0508-3及びJIS C 0508-4は,独立した規格

として使用することも意図している。この規格群及びIEC 61508の規格群の各分野で水平展開できる安全

機能は,JIS T 0601規格群及びIEC 60601規格群に適合する医療機器には適用しない。 

1.3 

個別の製品規格等の開発における責務の一つは,可能な限り,これらの開発段階において基本安全

規格群の活用を図ることにある。この関係から,この規格群及びIEC 61508規格群で規定する要求事項,

テスト方法及びテスト条件は,個別の製品規格等で必要ならば,それらの規格に引用又は規定するので,

個別の製品規格等にあえて引用されず又は規定されていない場合,個別の製品規格等には適用しない。 

注記 E/E/PE安全関連系の機能安全は,全ての関連要求事項を満たして,初めて達成できる。したが

background image

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

って,全ての関連要求事項を注意深く検討し,適切に参照することが重要である。 

1.4 

図1に,この規格群及びIEC 61508規格群の全枠組み及びE/E/PE安全関連系に対する機能安全達成

におけるこの規格(JIS C 0508-2)の役割を示す。JIS C 0508-6の附属書Aに,JIS C 0508-2及びJIS C 0508-3

の適用について規定されている。 

技術的要求事項 

その他の要求事項 

第4部 

用語の定義 

及び略語 

第1部 

文書化 

箇条5及び 

附属書A 

第1部 

機能安全の管理 

箇条6 

第1部 

機能安全評価 

箇条8 

第5部 

安全度水準の決定

のための方法の例 

第6部 

第2部及び第3

部の適用指針 

第1部 

E/E/PE安全関連系に対する 

要求仕様 

7.10 

第7部 

技術及び手段の

概観 

第1部 

E/E/PE安全関連系の設置,引渡し及び 

安全妥当性確認 

7.13〜7.14 

第1部 

E/E/PE安全関連系の運用及び保全,修理,

部分改修及び改造,使用終了又は廃却 

7.15〜7.17 

第2部 

E/E/PE安全 

関連系の実現 

フェーズ 

第3部 

安全関連ソフト 

ウェアの実現 

フェーズ 

第1部 

E/E/PE安全関連系への 

安全要求事項の割当て 

7.6 

第1部 

全体要求事項の作成 

(概念,適用範囲,定義,潜在危険及

びリスク解析) 

7.1〜7.5 

図1−この規格群(JIS C 0508規格群)の全枠組み 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)

は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。 

JIS C 0508-1 電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般要求事項 

注記 対応国際規格:IEC 61508-1:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 1: General requirements(IDT) 

JIS C 0508-3 電気・電子・プログラマブル電子安全関連系の機能安全−第3部:ソフトウェア要求事

項 

注記 対応国際規格:IEC 61508-3:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 3: Software requirements(IDT) 

JIS C 0508-4 電気・電子・プログラマブル電子安全関連系の機能安全−第4部:用語の定義及び略語 

注記 対応国際規格:IEC 61508-4:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 4: Definitions and abbreviations(IDT) 

JIS C 1806-3-1 計測,制御及び試験室用の電気装置−電磁両立性要求事項−第3-1部:安全関連シス

テム及び安全関連機能(機能安全)の遂行を意図した装置に対するイミュニティ要求事項−一般

工業用途 

注記 対応国際規格:IEC 61326-3-1,Electrical equipment for measurement, control and laboratory use

−EMC requirements−Part 3-1: Immunity requirements for safety-related systems and for equipment 

intended to perform safety-related functions (functional safety)−General industrial applications

(IDT) 

JIS C 8201-5-1 低圧開閉装置及び制御装置−第5部:制御回路機器及び開閉素子−第1節:電気機械

式制御回路機器 

注記 対応国際規格:IEC 60947-5-1,Low-voltage switchgear and controlgear−Part 5-1: Control circuit 

devices and switching elements−Electromechanical control circuit devices(IDT) 

IEC/TS 61000-1-2,Electromagnetic compatibility (EMC)−Part 1-2: General−Methodology for the 

achievement of functional safety of electrical and electronic systems including equipment with regard to 

electromagnetic phenomena 

IEC 61508-7:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 7: Overview of techniques and measures 

注記 この規格の規定の一部ではない。 

IEC 61784-3,Industrial communication networks−Profiles−Part 3: Functional safety fieldbuses−General 

rules and profile definitions 

注記 この規格の規定の一部ではない。 

IEC 62280-1,Railway applications−Communication, signalling and processing systems−Part 1: Safety- 

related communication in closed transmission systems 

IEC 62280-2,Railway applications−Communication, signalling and processing systems−Part 2: Safety- 

related communication in open transmission systems 

IEC Guide 104:1997,The preparation of safety publications and the use of basic safety publications and group 

safety publications 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ISO/IEC Guide 51:1999,Safety aspects−Guidelines for their inclusion in standards 

用語,定義及び略語 

この規格群で用いる主な用語及び定義並びに略語は,JIS C 0508-4による。 

この規格群への適合 

この規格群に適合するための要求事項は,JIS C 0508-1の箇条4による。 

文書化 

文書化の要求事項は,JIS C 0508-1の箇条5による。 

機能安全の管理 

機能安全の管理の要求事項は,JIS C 0508-1の箇条6による。 

E/E/PE系安全ライフサイクル要求事項 

7.1 

一般 

7.1.1 

目的及び要求事項:一般 

7.1.1.1 

この箇条では,E/E/PE系安全ライフサイクルフェーズの目的及び要求事項を規定する。 

注記 全安全ライフサイクルの目的及び要求事項は,この規格群の構成に関する総論と共にJIS C 

0508-1に規定してある。 

7.1.1.2 

E/E/PE系安全ライフサイクルの全フェーズに対して,表1に次の事項を示す。 

− 達成しなければならない目的 

− フェーズの適用範囲 

− 要求事項を含む箇条の参照先 

− フェーズへの必要な引継ぎ事項 

− 箇条に適合するために必要な引渡し事項 

7.1.2 

目的 

7.1.2.1 

第一の目的は,E/E/PE安全関連系に必要な機能安全を達成するために考慮しなければならない,

E/E/PE系安全ライフサイクルにおけるフェーズを,系統的な方法で構築する。 

7.1.2.2 

第二の目的は,E/E/PE系安全ライフサイクル全体にわたり,E/E/PE安全関連系の機能安全に関連

する全ての情報を,文書化する。 

7.1.3 

要求事項 

7.1.3.1 

この規格群への適合を主張するために用いなければならないE/E/PE系安全ライフサイクルを,

図2で指定する。ASIC(Application Specific Integrated Circuit)の設計のためのASIC開発ライフサイクル

の詳細なVモデル(JIS C 0508-4の3.2.15参照)を図3に示す。別のE/E/PE系安全ライフサイクル又は

ASIC開発ライフサイクルを用いる場合は,そのことを機能安全業務の管理の一環として規定しなければ

ならない(JIS C 0508-1の箇条6参照)。また,この規格の各箇条の全ての目的及び要求事項を満たさなけ

ればならない。 

注記1 この規格とJIS C 0508-3との関係及び両規格の適用範囲を,図4に示す。 

注記2 ASIC設計プロセスとソフトウェア設計プロセスとの間には,顕著な類似性がある。JIS C 

background image

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

0508-3は,安全関連ソフトウェアの設計に対してVモデルを推奨している。Vモデルは,決

定論的原因フォールトを回避し管理するために,明確に構造化した設計プロセス及びモジュ

ールソフトウェア構造が必要である。図3におけるASICの設計のためのASIC開発ライフ

サイクルは,このモデルに従っている。まず,ASIC仕様の要求事項を,システム要求事項か

ら導き出す。その後に,ASICアーキテクチャ,ASIC設計及びモジュール設計が続く。Vの

左側の各ステップの結果は,次のステップへの引継ぎ事項となり,また適宜,最終コードを

作成するまで,繰返しのために直前のステップにフィードバックする。最終コードは,レイ

アウト後のシミュレーション,モジュールテスト,モジュール統合テスト及びASIC全体の

適合確認を通して,対応する設計に従って適合性を確認する。どのようなステップであれ,

その結果は,それに先行する全てのステップに対して修正を必要とすることがある。最後に,

E/E/PE安全関連系へASICを統合した後に,その妥当性を確認する。 

7.1.3.2 

機能安全の管理のための手順(JIS C 0508-1の箇条6参照)は,E/E/PE系安全ライフサイクルフ

ェーズと並行して実施しなければならない。 

7.1.3.3 

E/E/PE系安全ライフサイクルの各フェーズは,各フェーズについて規定した適用範囲,引継ぎ事

項及び引渡し事項をもつ基本業務に分割しなければならない(表1参照)。 

7.1.3.4 

E/E/PE系安全ライフサイクルの各フェーズの引渡し事項は,機能安全の業務の管理(JIS C 0508-1

の箇条6参照)の一環として正当性を裏付ける根拠がない限り,文書化しなければならない(JIS C 0508-1

の箇条5参照)。 

7.1.3.5 

E/E/PE系安全ライフサイクルの各フェーズからの引渡し事項は,各フェーズについて規定した目

的及び要求事項を満たさなければならない(7.2〜7.9参照)。 

表1−概要−E/E/PE系安全ライフサイクルの実現フェーズ 

安全ライフサイクル 

フェーズ又は業務 

目的 

適用範囲 

要求事項

の 

細分箇条 

引継ぎ事項 

引渡し事項 

図2の
ボック
ス番号 

表題 

10.1 

E/E/PE系設計
要求仕様 

サブシステム及び要素
に関して,各E/E/PE安
全関連系の設計要求事
項を規定する。 

(JIS C 0508-1の7.10.2

参照)。 

E/E/PE安
全関連系 

7.2.2 

E/E/PE系安全要求
仕様 

(JIS C 0508-1の

7.10参照) 

E/E/PE系の機器及
びアーキテクチャ
を記述するE/E/PE
系設計要求仕様。 

10.2 

E/E/PE系安全
妥当性確認計
画 

E/E/PE安全関連系の安
全妥当性確認を計画す
る。 

E/E/PE安
全関連系 

7.3.2 

E/E/PE系安全要求
仕様及びE/E/PE系
設計要求仕様 

E/E/PE安全関連系
の安全妥当性確認
計画。 

background image

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表1−概要−E/E/PE系安全ライフサイクルの実現フェーズ(続き) 

安全ライフサイクル 

フェーズ又は業務 

目的 

適用範囲 

要求事項

の 

細分箇条 

引継ぎ事項 

引渡し事項 

図2の
ボック
ス番号 

表題 

10.3 

ASIC及びソ
フトウェアを
含むE/E/PE系
設計及び開
発。 

(図3及びJIS 

C 0508-3も参
照) 

E/E/PE系設計要求仕様

[安全機能要求事項及び

安全度要求事項(7.2参
照)を伴う]を満たすた
めに,E/E/PE安全関連系

(適宜,ASICを含む)を

設計及び開発する。 

E/E/PE安
全関連系 

7.4.2 

〜7.4.11 

E/E/PE系設計要求
仕様 

E/E/PE系設計要求
仕様に適合する
E/E/PE安全関連系
の設計。 
 
E/E/PE系統合テス
トの計画。 
 
ソフトウェア要求
仕様への引継ぎ事
項としてのPE系
アーキテクチャ情
報。 

10.4 

E/E/PE系統合 E/E/PE安全関連系を統

合してテストする。 

E/E/PE安
全関連系 

7.5.2 

E/E/PE系設計 
 
E/E/PE系統合テス
ト計画 
 
プログラマブル電
子ハードウェア及
びソフトウェア 

E/E/PE系設計に適
合した,完全に機
能を果すE/E/PE安
全関連系。 
 
E/E/PE系統合テス
トの結果。 

10.5 

E/E/PE系の設
置,引渡し,
運用及び保全
の手順 

運用及び保全中に
E/E/PE安全関連系が,必
要とする機能安全を確
実に維持する手順を開
発する。 

E/E/PE安
全関連系 
 
EUC 

7.6.2 

E/E/PE系安全要求
仕様。 
 
E/E/PE系設計。 

個々のE/E/PE系に
関するE/E/PE系の
設置,引渡し,運
用及び保全の手
順。 

10.6 

E/E/PE系安全
妥当性確認 

E/E/PE安全関連系が,必
要とする安全機能及び
安全度に関して,全ての
点で要求事項を満たし
ていることを妥当性確
認する。 

E/E/PE安
全関連系 

7.7.2 

E/E/PE系安全要求
仕様及びE/E/PE系
設計要求仕様。 
 
E/E/PE安全関連系
の安全妥当性確認
計画。 

完全に安全妥当性
確認されたE/E/PE
安全関連系。 
 
E/E/PE系安全妥当
性確認の結果。 

− 

E/E/PE系 
部分改修 

E/E/PE安全関連系の修
正,機能強化又は改造を
行い,必要な安全度を確
実に達成し維持する。 

E/E/PE安
全関連系 

7.8.2 

E/E/PE系設計要求
仕様 

E/E/PE系部分改修
の結果 

− 

E/E/PE系 
適合確認 

所定のフェーズの引渡
し事項をテストして評
価し,当該フェーズに対
する引継ぎ事項として
与えられる製品及び規
格に関して,正確さ及び
一貫性を確実にする。 

E/E/PE安
全関連系 

7.9.2 

上に同じ− 
フェーズによって
異なる。 
 
各フェーズの
E/E/PE安全関連系
の適合確認計画。 

上に同じ− 
フェーズによって
異なる。 
 
各フェーズの
E/E/PE安全関連系
の適合確認の結果 

− 

E/E/PE系機能
安全の評価 

E/E/PE安全関連系が達
成する機能安全に関し
て調査し,一つの判断に
達する。 

E/E/PE安
全関連系 

E/E/PE系機能安全
評価の計画 

E/E/PE系機能安全
評価の結果 

background image

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

注記1 IEC 61508-6のA.2 b) も参照。 
注記2 この図は,全安全ライフサイクルの実現フェーズ内にあるE/E/PE系安全ライフサイクルのフェーズだけを示

している。完全なE/E/PE系安全ライフサイクルは,E/E/PE安全関連系に規定した,実現フェーズの後に続く
全安全ライフサイクルの諸フェーズ(JIS C 0508-1の図2のボックス12〜16)も含む。 

図2−E/E/PE系安全ライフサイクル(実現フェーズ) 

図3−ASIC開発ライフサイクル(Vモデル) 

E/E/PE系 

安全要求仕様 

妥当性確認 

試験 

妥当性確認済み 

ASIC 

ASIC 

アーキテクチャ 

E/E/PE系 

アーキテクチャ 

ASIC全体の適合

確認 

ASIC設計及び 

動作モデリング 

モジュール 

統合試験 

モジュールテスト 

モジュール設計 

合成,配置及び 

経路指定 

レイアウト後 

シミュレーション 

最終コーディング 

引渡し事項 
適合確認 

ASIC 

安全要求仕様 

ASIC妥当性確認 

10.5 

E/E/PE系の設置, 

引渡し, 

運用及び保全の手順 

10.1 

E/E/PE系設計 

要求仕様 

10.3 E/E/PE系(ASIC及びソ

フトウェアを含む。)の

設計及び開発 

E/E/PE系安全ライフサイクル(実現フェーズ) 

10.2 E/E/PE系安全妥当性 

確認計画 

10.4 

E/E/PE系統合 

10.6 

E/E/PE系 

安全妥当性確認 

JIS C 0508-1の 

図2のボックス12へ 

JIS C 0508-1の 

図2のボックス14へ 

10 

E/E/PE安全関連系 

実現 

(E/E/PE系安全ライフ

サイクルを参照) 

各E/E/PE安全 

関連系に対して 

一つのE/E/PE 

安全ライフサイクル 

JIS C 0508-1の 

図2のボックス10 

background image

10 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

図4−この規格とJIS C 0508-3との関係 

7.2 

E/E/PE系設計要求仕様 

注記 このフェーズは,図2のボックス10.1である。 

7.2.1 

目的 

この箇条の要求事項は,サブシステム及び要素に関して,各E/E/PE安全関連系の設計要求事項を規定す

ることを,目的とする。 

注記 通常,E/E/PE系設計要求仕様は,安全機能を分解し,安全機能の各部分をサブシステム(例え

ば,センサ,ロジックソルバー又はアクチュエータの各グループ)に割り当てたE/E/PE系安全

要求仕様から,導き出す。サブシステムの要求事項は,E/E/PE系設計要求仕様の中に含めても,

又は個別のものにしてE/E/PE系設計要求仕様から引用してもよい。サブシステムは,7.4の設

計及び開発要求事項を満たすために,さらに各要素及びアーキテクチャに分解することもある。

これらの要素の要求事項は,サブシステムの要求事項に含めても,又は個別のものにしてサブ

システム要求事項から引用してもよい。 

7.2.2 

一般 

7.2.2.1 

E/E/PE系設計要求仕様は,JIS C 0508-1の7.10で規定しているE/E/PE系安全要求事項から導き

出さなければならない。 

注記 安全以外の機能及び安全機能を,同一のE/E/PE安全関連系で実現している場合は,注意するこ

とが望ましい。このことは規格で許容しているが,E/E/PE安全ライフサイクル業務(例えば,

設計,妥当性確認,機能安全評価,保全)を実施するときには複雑さが増し,困難の度合いが

深まることがある。7.4.2.3も参照。 

7.2.2.2 

E/E/PE系設計要求仕様は,次のように表現し,構成しなければならない。 

a) 明確・簡潔で,かつ,曖昧な点がなく,適合性の確認が可能であり,またテスト可能・維持可能で,

E/E/PE系設計要求仕様 

ソフトウェア
安全要求事項 

プログラマブル電子 

統合 

(ハードウェア及びソフトウェア) 

ソフトウェア

設計及び開発 

プログラマブル電子 

設計及び開発 

非プログラマブル 

ハードウェア 

設計及び開発 

プログラマブル電子

ハードウェア 

ハードウェア安全要求仕様 

JIS C 0508-3の

適用範囲 

この規格の 
適用範囲 

E/E/PE系 

アーキテクチャ 

非プログラマブル

ハードウェア 

E/E/PE系 

統合 

11 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

かつ,実行可能とする。 

b) E/E/PE安全ライフサイクルの任意のフェーズで,その情報を使用する可能性のある人が容易に理解で

きるように作成している。 

c) E/E/PE系安全要求仕様へのトレーサビリティがある。 

7.2.3 

E/E/PE系設計要求仕様 

7.2.3.1 

E/E/PE系設計要求仕様は,安全機能に関連する設計要求事項(7.2.3.2参照)及び安全度に関連す

る設計要求事項(7.2.3.3参照)を含まなければならない。 

7.2.3.2 

E/E/PE系設計要求仕様は,E/E/PE系安全機能要求仕様によって指定するように,要求する安全機

能を履行するために必要な全てのハードウェア及びソフトウェアの詳細を含まなければならない(JIS C 

0508-1の7.10.2.6参照)。仕様は,各安全機能について次の事項を含まなければならない。 

a) サブシステムの要求事項,並びに該当する場合はハードウェア及びソフトウェア要素の要求事項。 

b) E/E/PE系安全機能要求仕様を満たすためのサブシステムと,そのハードウェア及びソフトウェア要素

とを統合するための要求事項。 

c) 応答時間の要求事項を満たすために必要なスループット性能。 

d) 測定及び制御に対する,精度及び安定性の要求事項。 

e) E/E/PE安全関連系とオペレータとのインタフェース。 

f) 

E/E/PE安全関連系と,他の任意のシステム(EUC内部又は外部)との間のインタフェース。 

g) E/E/PE安全関連系の全ての動作モード,特に,E/E/PE安全関連系が故障したときの挙動及び必要な応

答(例えば,アラーム,自動停止など)。 

h) 全てのハードウェアとソフトウェアとの間の相互関係の重要性,及び必要に応じて,ハードウェアと

ソフトウェアとの間に要求される制約。 

注記 これらの相互関係が設計の終了前の段階で未知の場合,一般的な制約だけを明記することが

できる。 

i) 

E/E/PE安全関連系及びその関連要素の制限及び制約条件。例えば,タイミング制約,共通原因故障に

よる制約などがある。 

j) 

E/E/PE安全関連系を起動及び再起動するための手順に関連した特定の要求事項。 

7.2.3.3 

E/E/PE系設計要求仕様は,次の事項を含め,E/E/PE系安全度要求仕様(JIS C 0508-1の7.10.2.7

参照)によって指定する,安全度水準及び必要な目標機能失敗尺度を達成するための設計に関連した詳細

を含まなければならない。 

a) ハードウェア安全度に対するアーキテクチャ制約を満たすために必要な,各サブシステムのアーキテ

クチャ(7.4.4参照)。 

b) 目標機能失敗尺度を達成するために必要な全てのハードウェア要素の要求プルーフテスト頻度など

の,関連する全ての信頼性モデリングのパラメタ。 

注記1 特定のアプリケーションに関する情報には,少ない値を規定できない場合がある(JIS C 

0508-1の7.10.2.1参照)。特定のアプリケーションに対して規定するプルーフテスト間隔が,

そのアプリケーションで合理的に予測できる間隔よりも小さくないほうがよい場合,この

ことは保全にとって特に重要である。例えば,一般大衆が使用する大量生産品に関して現

実的に達成することができる整備と整備との間の時間は,より管理されたアプリケーショ

ンにおける時間よりも長くなる可能性が高い。 

c) 危険側故障を診断によって検知した場合に講じる措置。 

12 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

d) E/E/PEハードウェアのプルーフテストの実施を可能にするための要求事項,制約,機能及び施設。 

e) 製造,保管,輸送,テスト,設置,引渡し,運用及び保全を含むE/E/PE系安全ライフサイクルの間に

必要なものとして規定した環境条件(例えば,温度,湿度,機械的環境,電気的環境など)の最も厳

しい値を満たすために使用する,機器の能力。 

f) 

必要な電磁イミュニティレベル(IEC/TS 61000-1-2:2008参照)。 

注記2 要求されるイミュニティレベルは,物理的な場所及び電源の配置に依存して,安全関連系

の様々な要素に対して変化することもある。 

注記3 EMC製品規格の中に指針がある場合でも,特定の場所,又はより過酷か若しくは異なる電

磁環境での機器の使用を意図している場合は,そのような規格が規定するものよりも高い

イミュニティレベル又は追加のイミュニティ要求事項が,必要なこともある。 

g) 安全管理のために必要な品質保証及び/又は品質管理の手段(JIS C 0508-1の6.2.5参照)。 

7.2.3.4 

E/E/PE系設計要求仕様は,設計の進捗に伴って詳細に作成し,部分改修後は必要に応じて更新し

なければならない。 

7.2.3.5 

E/E/PE系設計要求仕様の作成中の誤りを防ぐために,表B.1に基づく一連の適切な技法及び手段

を用いなければならない。 

7.2.3.6 

E/E/PE系設計要求仕様がアーキテクチャに課す付随的事項を,考慮しなければならない。 

注記 これには,必要な安全度水準を達成することの実現の容易さに関する考慮(アーキテクチャの

考慮,及び構成データ又は組込みシステムへの機能の割当てを含む)を含むことが,望ましい。 

7.3 

E/E/PE系安全妥当性確認計画 

注記 このフェーズは,図2のボックス10.2である。このフェーズは,通常,E/E/PE系設計及び開発

と並行して実施する(7.4参照)。 

7.3.1 

目的 

この箇条の要求事項は,E/E/PE安全関連系の安全性の妥当性確認を計画することを,目的とする。 

7.3.2 

要求事項 

7.3.2.1 

E/E/PE安全関連系がE/E/PE系安全要求仕様(JIS C 0508-1の7.10参照)及びE/E/PE系設計要求

仕様(7.2参照)を満たすことを実証するために用いる手順上及び技術上のステップを立案する計画を,立

てなければならない。 

7.3.2.2 

E/E/PE安全関連系の妥当性確認計画では,次の事項を考慮しなければならない。 

a) E/E/PE系安全要求仕様及びE/E/PE系設計要求仕様で定義している,全ての要求事項。 

b) 各安全機能が正しく履行されていることを妥当性確認するために用いる手順,及びテストに用いる合

否基準。 

c) 各安全機能が,要求される安全度にあることを妥当性確認するために用いる手順,及びテストに用い

る合否基準。 

d) 全ての必要なツール及び機器を含む,テストを実施するために必要な環境(ツール及び機器の望まし

い校正計画も含む。)。 

e) テスト評価手順(妥当性の根拠を含む)。 

f) 

規定した電磁イミュニティレベルを妥当性確認するために用いるテスト手順及び性能評価基準。 

注記 安全関連系の要素に対する電磁イミュニティテストの仕様に関する手引書を,IEC/TS 

61000-1-2に示す。 

g) 妥当性確認の失敗を解決するための方針。 

13 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

7.4 

E/E/PE系設計及び開発 

注記 このフェーズは,図2のボックス10.3である。このフェーズは,通常,E/E/PE系安全妥当性確

認計画と並行して実施する(7.3参照)。 

7.4.1 

目的 

この箇条の要求事項は,E/E/PE系設計要求仕様[安全機能要求事項及び安全度要求事項(7.2参照)に

関する]を満たすためにE/E/PE安全関連系(該当する場合は,ASICを含める。JIS C 0508-4の3.2.15参

照。)を設計し,かつ,開発することを,目的とする。 

7.4.2 

一般要求事項 

7.4.2.1 

E/E/PE安全関連系の設計は,7.2.3の全ての要求事項を考慮して,E/E/PE系設計要求仕様(7.2.3

参照)に従って行わなければならない。 

7.4.2.2 

E/E/PE安全関連系(ハードウェア全体及びソフトウェアのアーキテクチャ,センサ,アクチュエ

ータ,プログラマブル機器,ASIC,組込みソフトウェア,アプリケーションソフトウェア,データなどを

含む)の設計は,次の要求事項a)〜e) の全てを満たさなければならない。 

a) ハードウェアの安全度要求事項。 

ハードウェアの安全度要求事項は,次の全てを含む。 

− ハードウェア安全度に対するアーキテクチャ上の制約(7.4.4参照) 

− ランダム故障の影響を定量化するための要求事項(7.4.5参照) 

b) 異なるチャネル間の同一水準の独立性について,チャネル間で異なる一連の手段を適用し達成するこ

とで妥当性の根拠を示さない限り,適切な場合には,オンチップ冗長をもつ集積回路(IC)の特殊な

アーキテクチャ要求事項(附属書E参照)。 

c) 次の適合ルートのいずれか一つを達成することで満たすことができる,決定論的安全度及び/又は決

定論的対応能力の要求事項。 

− ルート1S:決定論的原因フォールトの回避の要求事項(7.4.6及びJIS C 0508-3参照),及び決定論

的原因フォールトの管理に関する要求事項(7.4.7及びJIS C 0508-3参照)への適合。 

− ルート2S:使用実績による証明(proven in use)という証拠の要求事項(7.4.10参照)への適合。 

− ルート3S:(既存ソフトウェア要素だけに適用)JIS C 0508-3の7.4.2.12への適合。 

注記 上記ルートの下付き文字“S”は,決定論的安全度を意味し,ハードウェア安全度のルート

1H及び2Hと区別する。 

d) フォールト検出時のシステム動作の要求事項(7.4.8参照)。 

e) データ通信プロセスの要求事項(7.4.11参照)。 

7.4.2.3 

E/E/PE安全関連系が安全機能及び安全以外の機能の両方を実現しなければならない場合,安全機

能及び安全以外の機能の実現が十分に独立したものであること(すなわち,どの非安全関連機能が故障し

ても,安全関連機能には危険側故障が生じないこと)を示さない限り,全てのハードウェア及びソフトウ

ェアは,安全関連であるとして取り扱わなければならない。 

注記1 十分に独立した機能の実現を確立するには,非安全関連部分と安全関連部分との間の従属故

障の確率が,関与している安全機能に関わる最も高い安全度水準と比較して十分に低いこと

を示す。 

注記2 安全以外の機能及び安全機能を同一のE/E/PE安全関連系で実現する場合は,十分に注意する

ことが望ましい。これは,規格では許容しているが,E/E/PE系安全ライフサイクル業務(例

えば,設計,妥当性確認,機能安全評価及び保全など)を実施するときに複雑さが増し,困

14 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

難の度合いが深まることがある。 

7.4.2.4 

安全度水準が異なる複数の安全機能の実現が,十分に独立したものであることを示せない限り,

最も高い安全度水準をもつ安全機能の安全度水準でハードウェア及びソフトウェアの要求事項を定めなけ

ればならない。 

注記1 十分に独立した機能の実現を確立するには,安全度水準が異なる複数の安全機能を実現して

いる部分間の従属故障の確率が,関与している安全機能に関わる最も高い安全度水準と比較

して十分に低いことを示す必要がある。 

注記2 複数の安全機能を一つのE/E/PE安全関連系で実現する場合,単一フォールトが複数の安全機

能の故障を引き起こす可能性を考慮する必要がある。そのような状況の場合,複数の安全機

能の故障を引き起こす単一フォールトに関わるリスクに応じて関連するいかなる安全機能の

安全度水準よりも高い水準に基づいて,ハードウェア及びソフトウェアの要求事項を定める

ことが適切である。 

7.4.2.5 

安全機能間で独立性が要求される場合(7.4.2.3及び7.4.2.4参照),設計中に次の事項を文書化し

なければならない。 

a) 独立性を達成する方法。 

b) 手段の妥当性の根拠。 

例 独立性を弱体化することがある予見可能な故障モード及びその故障率に関する記述,FMECA(故

障モード影響及び致命度解析)又は従属故障分析の使用など。 

7.4.2.6 

安全関連ソフトウェアの要求事項(JIS C 0508-3参照)は,E/E/PE安全関連系の開発者が利用で

きるようにしなければならない。 

7.4.2.7 

E/E/PE安全関連系の開発者は,安全関連ソフトウェア及びハードウェアの要求事項が適切である

かを,審査しなければならない。特に,次の事項を考慮しなければならない。 

a) 安全機能 

b) E/E/PE安全関連系の安全度要求事項 

c) 機器のオペレータインタフェース 

7.4.2.8 

E/E/PE安全関連系設計文書は,安全度水準を達成するために,E/E/PE系安全ライフサイクルフェ

ーズ中に,必要な技法及び手段を規定しなければならない。 

7.4.2.9 

E/E/PE安全関連系設計文書は,必要な安全度水準を満たす統合セットを形成するために,選択し

た技法及び手段が正当であることの根拠を示さなければならない。 

注記 E/E/PE安全関連系(センサ,アクチュエータなどを含む)に関するハードウェア及びソフトウ

ェア,診断テスト並びにプログラミングツールに対して,独立した形式承認を利用して,でき

る限り最適なソフトウェア言語を使用する全体的なアプローチを採用することは,E/E/PE系ア

プリケーションエンジニアリングの複雑さを軽減する可能性をもつ。 

7.4.2.10 該当する設計及び開発業務の間,全てのハードウェア及びソフトウェアの相互作用の詳細を識別

し,評価して,かつ,文書化しなければならない。 

7.4.2.11 設計は,サブシステムへの分解を基準にしなければならず,各サブシステムに対しては規定の設

計及び一連の統合テストを行う(7.5.2参照)。 

注記1 サブシステムは,単一の要素又は一連の要素からなるとみなしてよい。完成したE/E/PE安全

関連系は,複数の識別可能な個別のサブシステムからなる。これらのサブシステムは一体と

なって,検討対象の安全機能を履行する。サブシステムは,複数のチャネルをもつことがで

15 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

きる(7.4.9.3及び7.4.9.4参照)。 

注記2 可能な場合は常に,実現には既存のテスト済みサブシステムを使用することが望ましい。こ

の記述が有効なのは,通常,次のいずれかの場合だけである。 

− 新しい要求事項への既存のサブシステム又は要素の機能,能力及び性能のマッピングが

ほぼ100 %である場合。 

− 使用者が特定のアプリケーションに対して必要な機能,能力又は性能だけを選択できる

ように,テスト済みサブシステム又は要素を構成している場合。 

既存のサブシステム又は要素が“過度に複雑,又は使用しない機能を備えている場合”で,

かつ,“意図しない動作に対する保護が得られない場合”は,過剰な機能,能力又は性能がシ

ステムの安全にとって有害になることがある。 

7.4.2.12 E/E/PE安全関連系の初期設計が完了している場合,E/E/PE安全関連系の合理的に予見できる故障

が危険事象をもたらすか,又は他のリスク制御の手段を必要とするかどうかを,解析しなければならない。

何らかの合理的に予見できる故障がこれらのいずれかに影響する場合,第一の優先順位は,そのような故

障モードを避けるためにE/E/PE安全関連系の設計を変更することである。これができない場合は,そのよ

うな故障モードの可能性を目標機能失敗尺度に見合うレベルまで低減するための手段を講じなければなら

ない。これらの手段は,この規格の要求事項に従わなければならない。 

注記 この箇条は,他のリスク制御措置を要求するE/E/PE安全関連系の故障モードを特定することを

意図している。特定の故障モードの故障率を減少させることができず,更に新しい安全機能が

必要となるか,又はほかの安全機能のSIL(安全度水準)を故障率を考慮して再考する場合も

ある。 

7.4.2.13 全てのハードウェア構成部品についてディレーティング(IEC 61508-7参照)を考慮することが

望ましい。ハードウェア要素を限界で運用することについて,正当性のある根拠を文書化しなければなら

ない(JIS C 0508-1の箇条5参照)。 

注記 ディレーティングが適切な場合,一般に,ディレーティング係数はほぼ3分の2である。 

7.4.2.14 E/E/PE安全関連系の設計が安全機能を実現するために一つ以上のASICを含む場合は,ASIC開

発ライフサイクル(7.1.3.1参照)を使用しなければならない。 

7.4.3 

必要な決定論的対応能力を達成するための要素の合成 

7.4.3.1 

決定論的安全度の要求事項を満たすために,指定の安全関連E/E/PE系は,この箇条に規定する

状況において異なる決定論的対応能力の要素に分割することがある。 

注記1 要素の決定論的対応能力は,安全機能の故障をもたらすその要素の決定論的原因フォールト

の潜在性を決定する。要素の決定論的対応能力の概念は,ハードウェア及びソフトウェアの

両方の要素に適用する。 

注記2 JIS C 0508-1の7.6.2.7は,安全機能及びそれを割り当てるE/E/PE安全関連系の水準における

独立性及び多様性の価値を認めている。これらの概念は,安全機能を実現する要素のアセン

ブリが,個々の要素よりも優れた決定論的性能を潜在的に達成できる場合には,詳細設計レ

ベルでも適用することができる。 

7.4.3.2 

ある要素の決定論的対応能力(SC)がN(N=1, 2, 3)であるとき,その要素のある一つの決定論

的原因フォールトが規定の安全機能の故障を引き起こさないが,決定論的対応能力SC Nであるもう一つ

の要素による第二の決定論的原因フォールトと一緒になった場合だけ故障を引き起こす場合,この二つの

要素の組合せの決定論的対応能力は,二つの要素の間に十分な独立性が存在するとき,SC (N+1) の決定

16 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

論的対応能力をもつものとして扱うことができる(7.4.3.4参照)。 

注記 各要素の独立性の評価は,定義された安全機能に関連して,当該要素の(安全機能を実現する

ための)具体的な用途が既知である場合にだけ,可能である。 

7.4.3.3 

それぞれSC Nの決定論的対応能力をもつ要素の組合せに対して与えることができる決定論的対

応能力は,最良でもSC (N+1) である。SC Nの要素をこのように使用してよいのは一度だけである。SC N

の要素のアセンブリを次々に構築することによってSC (N+2) 以上を達成することは認めない。 

7.4.3.4 

共通原因故障分析によって,要素間及び要素と環境間の干渉の可能性が,検討対象の安全機能の

安全度水準と比較して十分に低いものであることを示すことによって,要素間の設計及び要素群のアプリ

ケーションにおける十分な独立性を正当な根拠で示さなければならない。 

注記1 決定論的対応能力の十分な独立性の達成に対するアプローチは,ハードウェア設計,実現,

運用及び保全に関して,次の事項を含む。 

− 機能的多様性:同一の結果を達成するための様々なアプローチの使用。 

− 多様な技術:同一の結果を達成するための様々な種類の機器の使用。 

− 共通部品又は共通なサービス:その故障が全てのシステムの危険側故障モードをもたら

すことがある“共通部品,共通なサービス又は共通な支援システム(例えば,電源)”が,

ないことを確実にすること。 

− 共通な手順:共通な運用,共通な保全又は共通なテスト手順がないことを確実にするこ

と。 

注記2 アプリケーションの独立性とは,要素の相互の実行動作が,危険側故障が発生するほどに大

きく干渉しないことを意味する。 

注記3 ソフトウェア要素の独立性については,JIS C 0508-3の7.4.2.8及び7.4.2.9を参照。 

7.4.4 

ハードウェア安全度アーキテクチャ制約 

ハードウェア安全度制約に関連する計算式を附属書Cに規定し,安全度制約を表2及び表3に要約する。 

IEC 61508-6のA.2は,ハードウェア安全度を達成するときに必要なステップの概要を示し,この箇条

(7.4.4)がこの規格(JIS C 0508-2)の他の要求事項とどのように関連するかを明らかにしている。 

安全機能について主張できる,ハードウェア安全度に関する最高安全度水準は,ハードウェア安全度制

約によって制限し,システム又はサブシステムレベルで,次の二つのルートのうち,いずれか一つを実現

することによって達成しなければならない。 

− ルート1H ハードウェアフォールトトレランス(HFT)及び安全側故障割合(SFF)の概念に基づく。 

− ルート2H 最終使用者のフィードバックからの構成部品信頼性データに基づき,規定の安全度水準に

対して信頼度及びフォールトトレランスを向上させる。 

この規格群に基づくグループ安全規格又は製品安全規格は,優先ルート(すなわち,ルート1H又はルー

ト2H)を規定することがある。 

注記 上記ルートの中の下付き文字“H”は,ハードウェア安全度を意味し,決定論的安全度のルート

1S,ルート2S及びルート3Sと区別する。 

7.4.4.1 

一般要求事項 

7.4.4.1.1 

ハードウェアフォールトトレランス要求事項に関して次に示す。 

a) ハードウェアフォールトトレランスがNであるとは,N+1が安全機能の喪失をもたらすことがある

フォールトの最小数であることを意味する(詳細については,注記1,表2及び表3参照)。ハードウ

ェアフォールトトレランスを求めるときには,フォールトの影響を制御することがある診断などのよ

17 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

うな他の手段を考慮してはならない。 

b) 一つのフォールトがその後に続く一つ以上のフォールトの発生を直接もたらす場合,これらを単一フ

ォールトとみなす。 

c) ハードウェアフォールトトレランスを達成したことを判定する場合に,発生の可能性がサブシステム

の安全度要求事項に関して非常に低いフォールトは除外してもよい。このようなフォールトの除外は,

正当な根拠を示して,文書化しなければならない(注記2参照)。 

オンチップ冗長をもつICの特殊アーキテクチャ要求事項を,附属書Eに示す。 

注記1 要素及びサブシステムの複雑度を考慮して,十分に堅ろうなアーキテクチャを達成するた

めに,ハードウェア安全度に対する制約を規定に含めている(7.4.4.1.1及び7.4.4.1.2参照)。

E/E/PE安全関連系が履行する安全機能に関する安全度水準について,信頼性の計算がより

高い安全度水準を達成できることを示した場合でも,それらの構成上の制約要求事項から

導かれる安全度水準が許容される最高の安全度水準となる。また一方で,全てのサブシス

テムについてハードウェアフォールトトレランスを達成している場合でも,規定の目標機

能失敗尺度を達成していることを実証するために信頼性計算がなお必要である。このこと

によって,設計要求事項を満たすためにハードウェアフォールトトレランスを向上させる

必要がある場合もある。 

注記2 ハードウェアフォールトトレランス要求事項は,通常動作条件下で使用するサブシステム

アーキテクチャに適用する。E/E/PE安全関連系をオンラインで修理している間は,ハード

ウェアフォールトトレランス要求事項は緩和してもよい。ただし,緩和に関連のある重要

なパラメタを,事前に評価することが望ましい(例えば,作動要求の確率と比較したMTTR)。 

注記3 設計及び構造(例えば,機械的アクチュエータ連結)に固有の特性によって故障確率が明

白に非常に低い要素の場合,そのフォールトは除外してもよい。要素を使用する安全機能

の安全度をハードウェアフォールトトレランスに基づいて制約することは,通常は必要で

はないとみなされている。 

注記4 ルートの選択は,アプリケーション及び分野に依存し,ルートを選択するときは次の事項

を考慮することが望ましい。 

− 一つの機能の安全側故障は,新しい危険をもたらすか,又は既存の危険のさらなる原

因であることがある。 

− 冗長性は,全ての機能に対して実用的であるというわけではない。 

− 修理は常に可能であるか,又は迅速にできるというわけではない(例えば,プルーフ

テスト間隔と比較して無視できる時間内で実行できない。)。 

7.4.4.1.2 

要素は,安全機能を達成するために必要な構成部品に関して次の全てを満たすとき,タイプA

とみなすことができる。 

a) 全ての構成部品の故障モードを,十分に定義している。 

b) フォールト状態下の要素の動作を,完全に決定することができる。 

c) 検出できる危険側故障及び検出できない危険側故障に対して,主張する故障率を満たすことを証明す

るのに十分な信頼できる故障データがある(7.4.9.3〜7.4.9.5参照)。 

7.4.4.1.3 

要素は,安全機能を達成するために必要な構成部品について,次のいずれか一つに該当すると

き,タイプBとみなさなければならない。 

a) 一つ以上の構成部品の故障モードを,十分に定義していない。 

18 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

b) フォールト状態下の要素の動作を,完全には決定することができない。 

c) 検出できる危険側故障及び検出できない危険側故障に対して,故障率の主張の根拠となる信頼できる

故障データが不十分である(7.4.9.3〜7.4.9.5参照)。 

注記 これは,要素自体の構成部品の一つ以上がタイプBに関する条件に該当する場合,その要素は

タイプAではなくタイプBとみなすことを意味する。 

7.4.4.1.4 

ハードウェアフォールトトレランスが0のサブシステムで使用するように意図し,安全機能又

は安全機能の一部を履行し,高頻度作動要求モード又は連続モードで動作する要素の安全側故障割合を推

定する場合,次のいずれかに該当する場合以外は,診断に信用を置いてはならない。 

− 診断テスト間隔及び安全な状態を達成又は維持するために,規定の動作を実施する時間の合計が,プ

ロセスセーフティタイム未満である場合。 

− 高頻度作動要求モードで動作しているとき,作動要求率に対する診断テスト率の比が100以上である

場合(作動要求率は,作動要求が発生するまでの時間の逆数。診断テスト率は,診断テスト平均間隔

の逆数。)。 

7.4.4.1.5 

次のいずれかの要素の安全側故障割合を推定する場合,診断テスト間隔と,検出故障の修理を

実施する時間との合計が,その安全機能について達成した安全度を求める計算で使用したMTTRよりも小

さい場合以外は,診断に信用を置いてはならない。 

− ハードウェアフォールトトレランスが1以上で,安全機能又は安全機能の一部を履行し,高頻度作動

要求モード又は連続モードで動作する。 

− 安全機能又は安全機能の一部を履行し,低頻度作動要求モードで動作する。 

7.4.4.2 

ルート1H 

7.4.4.2.1 

規定の安全機能に関して主張できる最高安全度水準を求めるためには,次の手順に従わなけれ

ばならない。 

1) E/E/PE安全関連系を構成するサブシステムを定義する。 

2) 各サブシステムについて,サブシステム内の全ての要素について安全側故障割合を求める(すなわち,

ハードウェアフォールトトレランスが0の各要素で,個々の要素別に求める)。冗長要素構成の場合,

安全側故障割合(SFF)は,利用できる診断を追加することを考慮して計算してもよい(例えば,冗

長要素の比較による)。 

3) 各要素について,達成した安全側故障割合及び0のハードウェアフォールトトレランスを使用し,表

2(タイプA要素)及び表3(タイプB要素)の列2から主張することができる最高安全度水準を求

める。 

4) サブシステムについて主張することができる最高安全度水準を求めるために,7.4.4.2.3及び7.4.4.2.4

の方法を使用する。 

5) E/E/PE安全関連系について主張することができる最高安全度水準は,最低安全度水準を達成している

サブシステムによって求めなければならない。 

7.4.4.2.2 

7.4.4.2.1の2)〜4) の要求事項を適用するための代替策として,次の1)〜3) に示す要求事項を全

て満たす要素からなるサブシステムについては,3) のa)〜d) の事項が適用できる。 

1) サブシステムが複数の要素で成り立っている。 

2) 要素が同じタイプである。 

3) 全ての要素が,表2又は表3に規定する同じ範囲(次の注記参照)内にある安全側故障割合を達成し

ている場合は,次の手順に従ってよい。 

19 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) 全ての個別要素の安全側故障割合を求める。冗長要素構成の場合,安全側故障割合(SFF)は,利

用できる診断を追加することを考慮して計算してもよい(例えば,冗長要素の比較による)。 

b) サブシステムのハードウェアフォールトトレランスを求める。 

c) 要素がタイプAの場合は,表2からサブシステムについて主張することができる最高安全度水準を

求める。 

d) 要素がタイプBの場合は,表3からサブシステムについて主張することができる最高安全度水準を

求める。 

注記 上記3) に示す範囲とは,表2及び表3で示す,安全側故障割合の四つの範囲(すなわち,60 %

未満,60 %以上90 %未満,90 %以上99 %未満,及び99 %以上)のことを指す。全ての安全側

故障割合は,同じ範囲内にある必要があることになる(例えば,全てが90 %以上99 %未満の

範囲内)。 

例1 ある安全機能について,同様の要素安全機能をもつ並列要素から構成されるハードウェアフォ

ールトトレランス1のサブシステムによって達成可能な最高の安全度水準を決定するために,

そのサブシステムが7.4.4.2.2の要求事項を満たす条件下で,次の方法を採用してもよい。この

例において,全ての要素はタイプBであり,かつ,要素の安全側故障割合は,90 %以上99 %

未満の範囲内にあるとする。 

表3から,ハードウェアフォールトトレランスが1で,両要素の安全側故障割合が90 %以上

99 %未満の範囲内にあれば,規定の安全機能の最高許容安全度水準がSIL 3であることが分か

る。 

例2 規定の安全機能について,要素安全機能が並列要素を介して履行するサブシステムに要求する

ハードウェアフォールトトレランスを求めるためには,サブシステムが7.4.4.2.2の要求事項を

満たす場合,次の方法を採用してもよい。この例において,全ての要素はタイプAであり,か

つ,要素の安全側故障割合は,60 %以上99 %未満の範囲内にあるとする。また,安全機能の安

全度水準はSIL 3であるとする。 

表2から,SIL 3の要求事項を満たすためには,要求されるハードウェアフォールトトレラン

スが1に等しいことが必要であることが分かる。これは,二つの並列要素が必要であることを

意味する。 

background image

20 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表2−タイプAの安全関連要素又はサブシステムによって実施する安全機能の最大許容安全度水準 

要素の安全側故障割合

(SFF) 

ハードウェアフォールトトレランス(HFT) 

60 %未満 

SIL 1 

SIL 2 

SIL 3 

60 %以上90 %未満 

SIL 2 

SIL 3 

SIL 4 

90 %以上99 %未満 

SIL 3 

SIL 4 

SIL 4 

99 %以上 

SIL 3 

SIL 4 

SIL 4 

安全側故障割合の算出方法の詳細については,附属書Cによる。 
注記1 この表は,7.4.4.2.1及び7.4.4.2.2に関連したもので,サブシステムのフォールトトレランス及び使用す

る要素に対するSFFが与えられている場合,サブシステムについて宣言できる最大のSILを決定する
ために使用できる。 

サブシステムへの一般的適用については,7.4.4.2.1を参照。 
7.4.4.2.2の特定要求事項を満たす要素で成り立つサブシステムへの適用の場合,サブシステムが規定

のSILを満たすことをこの表から直接決定するためには,7.4.4.2.2の全ての要求事項を満たすことが必
要である。 

注記2 この表は,7.4.4.2.1及び7.4.4.2.2に関連したものであり,次のためにも使用することができる。 

a) 安全機能の要求SIL及び使用する要素のSFFが与えられている場合,サブシステムに必要なハー

ドウェアフォールトトレランスの決定のため。 

b) 安全機能の要求SIL及びサブシステムのハードウェアフォールトトレランスが与えられている場

合,要素に必要なSFF要求事項の決定のため。 

注記3 7.4.4.2.3及び7.4.4.2.4の要求事項は,この表及び表3に規定するデータに基づいている。 

表3−タイプBの安全関連要素又はサブシステムによって実施する安全機能の最大許容安全度水準 

要素の安全側故障割合

(SFF) 

ハードウェアフォールトトレランス(HFT) 

60 %未満 

許容しない 

SIL 1 

SIL 2 

60 %以上90 %未満 

SIL 1 

SIL 2 

SIL 3 

90 %以上99 %未満 

SIL 2 

SIL 3 

SIL 4 

99 %以上 

SIL 3 

SIL 4 

SIL 4 

安全側故障割合の算出方法の詳細については,附属書Cによる。 
注記1 この表は,7.4.4.2.1及び7.4.4.2.2に関連したもので,サブシステムのフォールトトレランス及び使用す

る要素に対するSFFが与えられている場合,サブシステムについて宣言ができる最大のSILを決定す
るために使用できる。 

サブシステムへの一般的適用については,7.4.4.2.1を参照。 
7.4.4.2.2の特定要求事項を満たす要素で成り立つサブシステムへの適用の場合,サブシステムが規定

のSILを満たすことをこの表から直接決定するためには,7.4.4.2.2の全ての要求事項を満たすことが必
要である。 

注記2 この表は,7.4.4.2.1及び7.4.4.2.2に関連したものであり,次のためにも使用することができる。 

a) 安全機能の要求SIL及び使用する要素のSFFが与えられている場合,サブシステムに必要なハー

ドウェアフォールトトレランスの決定のため。 

b) 安全機能の要求SIL及びサブシステムのハードウェアフォールトトレランスが与えられている場

合,要素に必要なSFF要求事項の決定のため。 

注記3 7.4.4.2.3及び7.4.4.2.4の要求事項は,この表及び表2に規定するデータに基づいている。 
注記4 ハードウェアフォールトトレランスが1で,両方の要素の安全側故障割合が60 %未満のタイプBの要

素の組合せで7.4.4.2.1を適用する場合,この組合せによって決定する安全機能の最大許容安全度水準
は,SIL 1である。 

7.4.4.2.3 

E/E/PE安全関連サブシステムにおいては,幾つかの要素からなる安全機能を要素の直列組合せ

を介して履行する場合,検討対象の安全機能に対して主張することができる最高安全度水準は,0のハー

background image

21 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ドウェアフォールトトレランスの要素が達成している安全側故障割合に対して,最低の安全度水準を達成

している要素によって求めなければならない。この方法を図示するために,図5に示すアーキテクチャを

想定し,次の例を示す。 

例 幾つかの要素からなる安全機能が,要素1,2及び3の単一チャネルで成り立つサブシステムによ

って実施され,また要素が次のように表2及び表3の要求事項を満たすアーキテクチャを想定す

る(図5参照)。 

− 要素1は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

1に関する要求事項を達成する。 

− 要素2は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

2に関する要求事項を達成する。 

− 要素3は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

1に関する要求事項を達成する。 

− 要素1及び要素3の両方の要素が達成しているハードウェアフォールトトレランス及び安全

側故障割合は,主張することができる最大のSILを,SIL 1に制限する。 

複数の直列要素で成り立つE/E/PE安全関連サブシステム 

E/E/PE安全関連サブシステムは,安全機能に関するSIL 1のアーキテクチャ制約を満たしている。 

図5−規定のアーキテクチャ(複数の直列要素で成り立つE/E/PE安全関連サブシステム,7.4.4.2.3参照)

の最大SILの決定 

7.4.4.2.4 

E/E/PE安全関連サブシステムにおいて,Nのチャネル数(並列要素の組合せ)をもつハードウ

ェアフォールトトレランスを介して,要素安全機能を実現する場合,検討対象の安全機能について主張す

ることができる最高安全度水準は,次によって求めなければならない。 

a) 各チャネルに対する要素の直列組合せをグループ分けし,その後に,各チャネルについて検討対象の

安全機能に関して主張することができる最高安全度水準を求める(7.4.4.2.3参照)。 

b) 検討対象の安全機能に関して達成されている最高の安全度水準のチャネルを選択し,Nの安全度水準

を加えて,サブシステムの全体的組合せの最高安全度水準を求める。 

この方法を図解するため,図6に示すアーキテクチャを想定して,次の例で示す。 

注記1 Nは,並列要素の組合せのハードウェアフォールトトレランスである(7.4.4.1.1参照)。 

注記2 この箇条の適用に関しては,次の例を参照。 

例 これらの組合せのグループ分け及び解析は,様々な方法で実施してよい。可能な一つの方法を図

示するため,ある安全機能がX及びYの二つのサブシステムによって実施されるアーキテクチャ

を想定する。ここに,図6に示すように,サブシステムXは,要素1,2,3及び4から成り立っ

要素1 

タイプA 

表2→SIL 1 

要素2 

タイプB 

表3→SIL 2 

要素3 

タイプB 

表3→SIL 1 

22 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ており,サブシステムYは,1個の要素5で成り立っている。サブシステムXでの並列チャネル

を使用することで,要素1及び2が要素3及び4から独立してサブシステムXの要求安全機能の

一部を実現することが可能になり,またその逆のことも可能になる。安全機能は,次のいずれか

の場合でも履行される。 

− 要素1又は要素2のいずれかのフォールトの場合(要素3及び要素4の組合せが安全機能の

要求部分を実施できるため) 

− 要素3又は要素4のいずれかのフォールトの場合(要素1及び要素2の組合せが安全機能の

要求部分を実施できるため) 

検討対象の安全機能について主張することができる最高安全度水準の決定を,次のステップで

詳述する。 

サブシステムXについては,検討対象の安全機能に関して,各要素は次のように,表2及び表

3の要求事項を満たす。 

− 要素1は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

3の要求事項を達成する。 

− 要素2は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

2の要求事項を達成する。 

− 要素3は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

2の要求事項を達成する。 

− 要素4は,0のハードウェアフォールトトレランス,及び規定の安全側故障割合をもち,SIL 

1の要求事項を達成する。 

要素は次のように,サブシステムXについて,検討対象の安全機能の最高ハードウェア安全度

水準を提供するように,組み合わせる。 

a) 要素1と2との組合せ:要素1と2(それぞれが個々にSIL 3及びSIL 2の要求事項を満たし

ている)の組合せによって達成されるハードウェアフォールトトレランス及び安全側故障割

合が,SIL 2(要素2によって決定される,7.4.4.2.3参照)の要求事項を満たす。 

b) 要素3と4との組合せ:要素3と4(それぞれが個々にSIL 2とSIL 1の要求事項を満たして

いる)の組合せによって達成されるハードウェアフォールトトレランス及び安全側故障割合

が,SIL 1(要素4によって決定される,7.4.4.2.3参照)の要求事項を満たす。 

c) 要素1と2との組合せ,及び要素3と4との組合せを,更に組み合わせる:検討対象の安全

機能に関して主張することができる最高安全度水準は,達成されている最高安全度水準をも

つチャネルを選択し,更にNの安全度水準を加えることによって要素の全体的組合せの最高

安全度水準を求める。この場合,サブシステムは,ハードウェアフォールトトレランスが1

の二つの並列チャネルから成り立つ。検討対象の安全機能に対する最高安全度水準のチャネ

ルは,SIL 2の要求事項を達成した要素1及び要素2から成り立つものであった。したがって,

1のハードウェアフォールトトレランスのサブシステムの最高安全度水準は,(SIL2+1)=SIL 

3である(この細分箇条の1行目〜7行目を参照)。 

サブシステムYの場合,要素5は,0のハードウェアフォールトトレランス,及び規定の安全

側故障割合をもち,SIL 2の要求事項を達成する。 

完成したE/E/PE安全関連系(検討対象の安全機能に関するそれぞれSIL 3及びSIL 2の要求事

項を達成している,二つのサブシステムX及びYから成り立つ。)の場合,E/E/PE安全関連系に

23 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

対して主張することができる最高安全度水準は,最低安全度水準[7.4.4.2.1の5)]を達成してい

るサブシステムによって求められる。したがって,この例の場合,検討対象の安全機能の,E/E/PE

安全関連系に関して主張することができる最高安全度水準は,SIL 2となる。 

background image

24 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

二つのサブシステム,X及びYから成り立つE/E/PE安全関連系 

E/E/PE安全関連系は安全機能に関してSIL 2のアーキテクチャ制約を満たす 

 
注記1 要素1及び2は,要素3及び4から独立してサブシステムXの要求安全機能の一部を履行する。また,その

逆の場合もある。 

注記2 安全機能を履行するサブシステムは,センサからアクチュエータまでの範囲において,E/E/PE安全関連系全

体にわたる。 

図6−規定のアーキテクチャ(二つのサブシステム,X及びYから成り立つ 

E/E/PE安全関連サブシステム,7.4.4.2.4参照)の最高SILの決定 

要素1 

タイプB 

表3→SIL 3 

要素2 

タイプA 

表2→SIL 2 

要素5 

タイプA 

表2→SIL 2 

要素3 

タイプB 

表3→SIL 2 

要素4 

タイプB 

表3→SIL 1 

要素1及び2 

SIL 2に制限 

次のように,アーキテクチャを整理する 

要素2及び3 

SIL 1に制限 

要素5 

SIL 2に制限 

次のように,アーキテクチャを整理する 

サブシステムX及びYから 
成り立つE/E/PE安全関連系

はSIL 2に制限 

要素5 

SIL 2に制限 

要素1,2,3及び4

SIL 3に制限 

サブシステムX 

サブシステムY 

サブシステムX 

サブシステムY 

サブシステムX 

サブシステムY 

次のように,アーキテクチャを整理する 

25 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

7.4.4.3 

ルート2H 

7.4.4.3.1 

規定の安全度水準の安全機能を履行するE/E/PE安全関連系の各サブシステムの最小ハードウェ

アフォールトトレランスは,次による。 

注記 特に規定のない限り,7.4.4.3.2〜7.4.4.3.4において,安全機能は低頻度作動要求モード,又は高

頻度作動要求若しくは連続モードのいずれで動作してもよい。 

a) 7.4.4.3.2の条件が適用されない限り,SIL 4の規定の安全機能では,2のハードウェアフォールトトレ

ランス。 

b) 7.4.4.3.2の条件が適用されない限り,SIL 3の規定の安全機能では,1のハードウェアフォールトトレ

ランス。 

c) 7.4.4.3.2の条件が適用されない限り,高頻度作動要求又は連続モードで動作するSIL 2の規定の安全機

能では,1のハードウェアフォールトトレランス。 

d) 低頻度作動要求モードで動作するSIL 2の規定の安全機能では,0のハードウェアフォールトトレラン

ス。 

e) SIL 1の規定の安全機能では,0のハードウェアフォールトトレランス。 

7.4.4.3.2 

タイプA要素だけの場合,0よりも大きいハードウェアフォールトトレランスが要求される状

況に関して,7.4.4.3.1のハードウェアフォールトトレランス要求事項に従うことによって追加の故障がも

たらされ,EUCの全体的安全が低下する場合,ハードウェアフォールトトレランスが低い,より安全な代

替アーキテクチャを実行してもよい。このような場合,この事実を正当な根拠をもって示し,文書化しな

ければならない。正当な根拠には,次の証拠を提供しなければならない。 

a) 7.4.4.3.1に規定するハードウェアフォールトトレランス要求事項への適合は,追加の故障を発生させ,

EUCの全体的安全の低下をもたらすことがある。 

b) ハードウェアフォールトトレランスが0まで低下すると,安全機能を実施する要素において識別され

た故障モードは除外できることがあるが,これは,識別された故障モードの危険側故障率が,検討対

象の安全機能に対する目標機能失敗尺度と比較して非常に低いためである[7.4.4.1.1 c) 参照]。この

とき,故障除外が求められる全ての直列要素の危険側故障頻度の合計は,目標機能失敗尺度の1 %以

下であることが望ましい。さらに,故障除外の適用範囲は,決定論的原因故障の可能性を考慮して,

正当な根拠を示さなければならない。 

注記 フォールトトレランスは,堅ろうなアーキテクチャが達成されているという要求信頼を達成す

るための優先解決策である。7.4.4.3.2を適用する場合,正当な根拠を示す目的は,提案された

代替アーキテクチャが,同等の,又はより優れた解決策を提供することを実証することである。

これは,技術的分野及び/又はそのアプリケーションに依存する。次のような例がある。 

− バックアップの配置(例えば,解析的冗長性,故障したセンサのアウトプットを他のセン

サのアウトプットからの物理的計算結果で置き換える。)。 

− 同一技術のより信頼性の高い品目を使用すること(使用可能な場合)。 

− より信頼性の高い技術に交換すること。 

− 多様化技術を使用して共通原因故障の影響を減少させること。 

− 設計余裕度を増大させる,及び環境条件を制約する(例えば,電子構成部品の)。 

− より多くのフィールドフィードバック又は専門家の判断を収集して,信頼性不確かさを減

少させること。 

7.4.4.3.3 

ルート2Hを選択した場合,ランダムハードウェア故障(7.4.5参照)の影響を定量化するときに

26 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

使用する信頼性データは,次による。 

a) 類似のアプリケーション及び環境で使用する要素に関するフィールドフィードバックに基づいてい

る。 

b) 規格(例えば,JIS C 5750-3-2又はISO 14224)に従って収集されたデータに基づいている。 

c) 次のものに従って評価している。 

1) フィールドフィードバック量。 

2) 専門家の判断の実行。 

3) 必要な場合,特定のテストの実施。 

これは,計算に使用する各信頼性パラメタ(例えば,故障率)の平均及び不確かさ水準[例えば,90 %

信頼区間又は確率分布(注記2参照)]を推定するためである。 

注記1 最終使用者は,発行されている規格に規定されているような,関連する構成部品の信頼性デ

ータ集を整理するとよい。 

注記2 故障率λの90 %信頼区間は,その実際の値が90 %の確率で属する区間[λ5 %,λ95 %]である。

λが,λ5 %より優れ,またλ95 %より劣る確率は5 %である。純粋な統計に基づき,故障率の平

均を“最ゆう(尤)推定法”を使用して推定しても,又はχ2関数を使用して信頼限界(λ5 %,

λ95 %)を計算してもよい。精度は,累積観察時間及び観察した故障数に左右される。統計的

観察,専門家の判定及び特定のテスト結果を取り扱うために,ベイズ法を使用してもよい。

これは,モンテカルロシミュレーションを更に使用するために,関連の確率分布関数を合わ

せるために使用することができる。 

ルート2Hを選択した場合,目標機能失敗尺度(すなわち,PFDavg又はPFH)を計算するときは,信頼

性データの不確かさを考慮しなければならず,また目標機能失敗尺度が達成されるという90 %よりも大き

な信頼を得るまで,システムを改善しなければならない。 

7.4.4.3.4 

ルート2Hに使用される全てのタイプB要素は,60 %以上の診断カバー率をもたなければならな

い。 

7.4.5 

ランダムハードウェア故障の影響を定量化するための要求事項 

注記 IEC 61508-6のA.2は,要求されるハードウェア安全度を達成するときに必要なステップの概

要を示しており,また,この箇条がこの規格の他の要求事項にどのように関連するかを示して

いる。 

7.4.5.1 

各安全機能について,ランダムハードウェア故障(ソフトエラーを含む)によるE/E/PE安全関

連系で達成した安全度及びデータ通信プロセスのランダム故障を7.4.5.2及び7.4.11に従って推定しなけれ

ばならず,それらは,E/E/PE系安全要求仕様で規定する目標機能失敗尺度以下でなければならない(JIS C 

0508-1の7.10参照)。 

注記 これを達成したことを実証するためには,適切な技法を使用して,関連安全機能の信頼性予測

を実施し(7.4.5.2参照),その結果を関連安全機能の目標機能失敗尺度と比較することが必要で

ある(JIS C 0508-1参照)。 

7.4.5.2 

7.4.5.1で要求する,各安全機能で達成された機能失敗尺度の推定には,次の事項を考慮しなけれ

ばならない。 

a) 検討対象の各安全機能に関連するサブシステムの観点からの,E/E/PE安全関連系のアーキテクチャ。 

注記1 これは,サブシステムの要素のどの故障モードが直列構成(すなわち,全ての故障が,実

施されなければならない関連安全機能の故障を引き起こす)で,またどれが並列構成(す

27 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

なわち,関連安全機能が故障するには同時故障が必要である)であるかを決定することを

含む。 

b) 検討対象の各安全機能と関連する要素の観点からの,E/E/PE安全関連系の各サブシステムのアーキテ

クチャ。 

c) E/E/PE安全関連系の危険側故障で診断テストによって検出される,各サブシステム及びその要素の全

てのモードにおける推定故障率(7.4.9.4及び7.4.9.5参照)。故障率の正当な根拠は,データベース及

びその精度又は許容度を考慮して示すことが望ましい。これには,数多くのデータ源からのデータの

考察及び比較,並びに検討対象のシステムと非常によく似たシステムからの故障率の選択を含めても

よい。ランダムハードウェア故障の影響を定量化し,安全側故障割合又は診断カバー率を計算するた

めに使用する故障率は,規定の動作条件を考慮しなければならない。 

注記2 動作条件を考慮するために,通常,例えば負荷,温度などのデータベースから,故障率を

調整する必要がある。 

d) E/E/PE安全関連系及びそのサブシステムの共通原因故障に対するぜい(脆)弱性(注記3及び注記4

参照)。実施した推定の正当な根拠を示さなければならない。 

注記3 共通原因の影響による故障は,ハードウェア要素の実際の故障以外の他の影響(例えば,

電磁妨害,復号化エラーなど)からもたらされることがある。ただし,そのような故障は,

この規格ではランダムハードウェア故障の影響の定量化で考慮する。要素のテストを相互

にずらすと,共通原因故障の可能性は減少する。 

注記4 E/E/PE安全関連系と,作動要求原因又は他の保護層との間で,識別されている共通原因故

障の場合,安全度水準及び目標機能失敗尺度要求事項を決定していれば,これが考慮され

ていることを確認する必要がある。共通原因要因を決定する方法については,IEC 61508-6

の附属書Dを参照。 

e) 診断テストの診断カバー率(附属書Cに従って求める),関連診断テスト間隔,及び各サブシステム

のランダムハードウェア故障が原因で,診断で検出されない危険側故障の割合。該当する場合は,

7.4.5.3の要求事項を満たす診断テストだけを考慮しなければならない。MTTR及びMRT(JIS C 0508-4

の3.6.21及び3.6.22参照)は,信頼性モデルで考慮しなければならない。 

注記5 診断テスト間隔を確定する場合,診断カバー率に寄与する各テストの全ての間の間隔を考

慮することが必要になる。 

f) 

危険側フォールトを明らかにするために実施するプルーフテストの間隔。 

g) プルーフテストが100 %有効の可能性があるかどうか。 

注記6 不完全なプルーフテストは,“新品同様”まで回復していない安全機能となるため,故障

の確率は増大する。推定を行った正当な根拠を示すことが望ましく,特に,要素の更新周

期,又は安全機能の使用期間にわたるリスク低減による影響を含めることが望ましい。ま

た,テストを実施している間にオフライン状態となる場合は,テスト時間を考慮すること

が必要になる。 

h) 検出された故障の修理時間。 

注記7 平均修理時間(MRT)は平均修復時間(MTTR)の一部であり(JIS C 0508-4の3.6.22及

び3.6.21参照),故障を検出するのに要する時間,及び修理が不可能な期間も含む(故障

の確率を計算するためにMTTR及びMRTをどのように使用することができるかの例につ

いては,IEC 61508-6の附属書Bを参照)。EUCのシャットダウン,又は修理中に安全な

28 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

状態にある場合にだけ,修理は瞬間的であるとみなすことができる。EUCがシャットダウ

ンされているか,又は安全な状態にある間に修理を実施することができない状況において,

いかなる修理も実施することができない期間が比較的大きい場合は,その期間を十分に考

慮することが特に重要である。修理に関連する全ての要因を考慮することが望ましい。 

i) 

安全機能を達成するために人が措置を講じることが必要な場合の偶発的なヒューマンエラーの影響。 

注記8 ヒューマンエラーの偶発性は,安全でない状況であるという警告を人が受け,措置を講じ

ることを要求するときに考慮することが望ましく,ヒューマンエラーの確率は全体的計算

の中に含めることが望ましい。 

j) 

数多くのモデリング方法が利用可能であり,何が最も適切な方法かは解析者の問題であって,状況に

よって異なるという事実。利用可能な方法には,因果解析(IEC 61508-7のB.6.6.2),故障の木解析(フ

ォールトツリー解析,IEC 61508-7のB.6.6.5),マルコフモデル(IEC 61508-6の附属書B及びIEC 

61508-7のB.6.6.6),信頼性ブロック図(IEC 61508-6の附属書B及びIEC 61508-7のB.6.6.7)及びペ

トリネット(IEC 61508-6の附属書B及びIEC 61508-7のB.2.3.3)を含む。 

注記9 IEC 61508-6の附属書Bには,アーキテクチャが要求目標機能故障尺度を満たすことを決

定するために,ランダムハードウェア故障による安全機能の要求時の危険側故障の平均確

率を推定するために使用できる簡易アプローチを記述している。 

注記10 IEC 61508-6のA.2は,要求ハードウェア安全度を達成する際に必要なステップの概要を

示しており,この箇条,要求ハードウェア安全度を達成する際に必要なステップの概要を

示しており,この箇条とこの規格の他の要求事項との関連性を示す。 

注記11 様々な要素の故障モードが適用され,E/E/PE安全関連系(冗長性に関して)のアーキテク

チャもまた様々であり得るため,E/E/PE安全関連系の信頼性を各安全機能に関して個々に

定量化することが必要である。 

7.4.5.3 

ハードウェアフォールトトレランスが0で,安全機能又は安全機能の一部を履行し,高頻度作動

要求モード又は連続モードで動作するサブシステムのランダムハードウェア故障の影響を定量化するとき,

次のいずれかに該当する場合以外は,診断に信用を置いてはならない。 

− 診断テスト間隔,及び安全状態を達成又は維持するための特定の動作を実施するための時間の合計が,

プロセスセーフティタイム未満の場合。 

− 高頻度作動要求モードで動作しているとき,診断テスト率の作動要求率に対する比が,100以上の場

合。 

7.4.5.4 

次のいずれかの場合,サブシステムの診断テスト間隔は,診断テスト間隔及び検出された故障の

修理を実施するための時間の合計が,その安全機能に対して達成される安全度を求めるために計算で使用

する平均修復時間(MTTR)未満でなければならない。 

− ハードウェアフォールトトレランスが0よりも大きく,安全機能又は安全機能の一部を履行し,高頻

度作動要求モード又は連続モードで動作する。 

− 安全機能又は安全機能の一部を履行し,低頻度作動要求モードで動作する。 

7.4.5.5 

特定の設計に関して,関連安全機能の安全度要求事項が達成されない場合は次による。 

a) 機能の計算故障率に最も寄与する要素,サブシステム及び/又はパラメタを決定する。 

b) 識別された重要な要素,サブシステム又はパラメタに対して,考えられる改善措置(例えば,さらに

信頼性の高い構成部品,共通モード故障に対する追加の防護,診断カバー率の向上,冗長性の向上,

短縮したプルーフテスト間隔,テストを相互にずらすことなど)の影響を評価する。 

29 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

c) 適用できる改善を選択して実行する。 

d) 新しいランダムハードウェア故障率を確定するために,必要な手段を繰り返す。 

7.4.6 

決定論的原因フォールトの回避のための要求事項 

注記 この箇条の要求事項を適用する場合,詳細については7.4.2.2 c) を参照。 

7.4.6.1 

E/E/PE安全関連系のハードウェア及びソフトウェアの設計及び開発の間にフォールトの発生を

防止するように設計した適切な一連の技法及び手段を,使用しなければならない(表B.2及びJIS C 0508-3

参照)。 

注記 この規格は,通常のマイクロプロセッサなどの量産電子集積回路の設計時の,決定論的原因フ

ォールトの回避に関連する特定要求事項は含まない。その理由は,そのような装置内のフォー

ルトの可能性は,厳正な開発手順,厳密なテスト及び使用者からの十分なフィードバックを伴

った広範な使用経験によって最小限にとどめられるからである。そのような根拠によって正当

性を示すことができない電子集積回路(例えば,新しい装置又はASIC)については,それらを

E/E/PE安全関連系で使用する場合はASICに関する要求事項(7.4.6.7及び附属書F参照)を適

用する。使用者からの十分なフィードバックを伴った広範な使用経験について疑義のある場合

は,表B.6の“フィールド経験”の要求事項をSIL 1及びSIL 2についての“低”の有効性,SIL 

3についての“中”の有効性,及びSIL 4についての“高”の有効性で考慮することが望ましい。 

7.4.6.2 

要求安全度水準に従い,選択した設計方法は,次のことを容易にする機能をもたなければならな

い。 

a) 透明性,モジュール性及び複雑さを管理するその他の機能。 

b) 明白で簡潔な次の表現。 

− 機能性 

− サブシステム及び要素のインタフェース 

− 順序付け及び時間関連情報 

− 同時性及び同期 

c) 情報の明白で簡潔な文書化及び伝達。 

d) 適合確認及び妥当性確認。 

7.4.6.3 

E/E/PE安全関連系の安全度要求事項が継続的に満足することを確実にするための保全要求事項

は,設計段階で形式化しなければならない。 

7.4.6.4 

該当する場合,自動テストツール及び統合開発ツールを使用しなければならない。 

7.4.6.5 

設計時に,E/E/PE系統合テストを計画しなければならない。テスト計画の文書化には次を含めな

ければならない。 

a) 実施するテストの種類及び遵守する手順。 

b) テスト環境,ツール,構成及びプログラム。 

c) 合否判定基準。 

7.4.6.6 

設計時に,開発者の構内で実施する可能性がある業務は,使用者敷地への立ち入りを必要とする

業務から区別しなければならない。 

7.4.6.7 

ASICの設計及び開発の間のフォールトの発生を防止するために不可欠な,一連の適切な技法及

び手段を使用しなければならない。 

注記 関連特性の達成を支援する技法及び手段を,附属書Fに示す。関連ASIC開発ライフサイクル

を,図3に示す。 

30 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

7.4.7 

決定論的原因フォールトの管理要求事項 

注記 この箇条の要求事項を適用する場合の詳細については,7.4.2.2 c) を参照。 

7.4.7.1 

決定論的原因フォールトを管理するために,E/E/PE系設計は,E/E/PE安全関連系が次のことを許

容できるようにする設計機能を,備えていなければならない。 

a) ハードウェアに残存している設計フォールト。ただしハードウェア設計フォールトの可能性が除外で

きる場合はその限りではない(表A.15参照)。 

b) 電磁妨害を含む環境上のストレス(表A.16参照)。 

c) EUC(被制御機器)の運転員による不手際(表A.17参照)。 

d) ソフトウェアに残存している設計フォールト(JIS C 0508-3の7.4.3及び関連表参照)。 

e) エラー及びデータ通信プロセスから生じる他の影響(7.4.11参照)。 

7.4.7.2 

最終E/E/PE安全関連系で,これらの特性の実現を容易にするために,設計及び開発業務の間に

保全性及びテスト性を考慮しなければならない。 

7.4.7.3 

E/E/PE安全関連系の設計は,人間の能力及び限界を考慮し,また運転員及び保全要員に割り当て

た業務に適したものでなければならない。このような設計要求事項は,ヒューマンファクタの適正実施規

準に従い,また,例えば,運転員が一般員である量産E/E/PE安全関連系において,運転員の訓練又は気付

きの可能なレベルを規定しなければならない。 

注記1 可能な場合は,運転員又は保全要員による予見可能で重大な不手際が設計によって阻止又は

除外されるか,又はその措置が完了前に二次的な確認を必要とするものが,設計目標である

ことが望ましい。 

注記2 例えば,直接の検査によるものを除いて,検出又は実際的に修復したりすることができない

場合の,EUCの幾つかの機械的な故障など,運転員又は保全要員による不手際によっては,

E/E/PE安全関連系によって修復できないことがある。 

7.4.8 

フォールト検出時のシステム動作の要求事項 

注記 この箇条の要求事項は,全安全機能が他リスク軽減措置に割り当てられていない場合に,単一

のE/E/PE安全関連系によって履行する規定の安全機能に適用する。 

7.4.8.1 

ハードウェアフォールトトレランスが0より大きいサブシステムにおける危険側故障を検出(診

断テスト,プルーフテスト又は他の手段による)した場合には,次のいずれかの結果にならなければなら

ない。 

a) 安全状態を達成又は維持するための特定の措置(注記参照)。 

b) 故障部分を修理している間,EUCの安全運用の継続を可能にするためのサブシステムの故障部分の隔

離。ランダムハードウェア故障の確率の計算(7.4.5.2参照)で仮定した平均修理時間(MRT)(JIS C 

0508-4の3.6.22参照)内に修理が完了しない場合,安全な状態を達成又は維持するための特定の措置

を実施しなければならない(注記参照)。 

注記 安全状態を達成又は維持するために要求される規定の措置は,E/E/PE系安全要求事項(JIS C 

0508-1の7.10参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存するEUCの該当部分の安全なシャットダウンで成り立つことがある。 

7.4.8.2 

ハードウェアフォールトトレランスが0のサブシステムにおける危険側故障を検出(診断テスト,

プルーフテスト又は他の手段による)した場合には,サブシステムが低頻度作動要求モードで動作する安

全機能だけによって使用される場合,次のいずれかの結果にならなければならない。 

a) 安全状態を達成又は維持するための規定の措置。 

31 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

b) ランダムハードウェア故障の確率の計算(7.4.5.2参照)で仮定した平均修理時間(MRT)(JIS C 0508-4

の3.6.22参照)内で故障したサブシステムの修理。この時間の間,EUCの安全の継続は,追加の措置

及び制約によって確実にされなければならない。これらの措置及び制約によってもたらされる安全度

は,少なくとも,フォールトが一切発生していないときのE/E/PE安全関連系によってもたらされる安

全度に等しくなければならない。追加の措置及び制約は,E/E/PE系運用及び保全手順(7.6参照)で

規定しなければならない。 

注記 安全な状態を達成又は維持するために要求される規定の措置は,E/E/PE系安全要求仕様(JIS C 

0508-1の7.10参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存するEUCの当該部分の安全なシャットダウンで成り立つことがある。 

7.4.8.3 

ハードウェアフォールトトレランスが0のサブシステムにおける危険側故障を検出(診断テスト,

プルーフテスト又は他の手段による)した場合には,高頻度作動要求又は連続モードで動作する安全機能

を実現しているサブシステムの場合,安全状態を達成又は維持する規定の措置(注記参照)の結果になら

なければならない。 

注記 安全状態を達成又は維持するために要求される規定の措置は,E/E/PE系安全要求事項(JIS C 

0508-1の7.10参照)で規定されている。これは,例えば,EUC,又はフォールトなサブシステ

ムに機能安全の面で依存するEUCの当該部分の安全なシャットダウンで成り立つことがある。 

7.4.9 

E/E/PE系実現の要求事項 

7.4.9.1 

E/E/PE安全関連系は,E/E/PE系設計要求仕様(7.2.3)に従って実現しなければならない。 

7.4.9.2 

一つ以上の安全機能が使用する全てのサブシステム及びその要素は,安全関連サブシステム及び

要素として識別し,文書化しなければならない。 

7.4.9.3 

次の情報は,適宜,各安全関連サブシステム及び要素に対して利用できるようにしなければなら

ない(7.4.9.4も参照)。 

注記 JIS C 0508(IEC 61508)規格群に適合していると主張するサブシステム又は要素の供給者は,

この情報を準拠項目の安全マニュアルにおいて安全関連系(又は他のサブシステム若しくは要

素)の設計者が使用できるようにすることが必要になる。附属書Dを参照。 

a) 適宜,サブシステム及びその要素の機能仕様。 

b) サブシステムの決定論的原因故障を防止するために順守することが望ましい,サブシステム及びその

要素の適用に関連する指示又は制約。 

c) 各要素の決定論的対応能力[7.4.2.2 c) 参照]。 

d) JIS C 0508-1の6.2.1に従うE/E/PE安全関連系の構成管理を可能にするための,要素のハードウェア

及び/又はソフトウェア構成の識別。 

e) サブシステム及びその要素が規定の機能要求事項及びE/E/PE系設計要求事項の仕様(7.2.3参照)に

従う,決定論的対応能力を満たすものとしてテストされているという証拠文書。 

7.4.9.4 

次の情報は,ランダムハードウェア故障に陥りやすい各安全関連要素について利用できるように

しなければならない(7.4.9.3及び7.4.9.5も参照)。 

注記1 JIS C 0508(IEC 61508)規格群に適合していると主張する要素の供給者は,その情報を要素

安全マニュアルにおいて安全関連系の設計者が使用できるようにすることが必要になる。附

属書Dを参照。 

a) 安全機能の故障をもたらし,かつ,要素の内部の診断テストによっては検出されないか,又は要素の

外部の診断では検出することができないランダムハードウェア故障による,要素の(アウトプットの

32 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

動作に関する)故障モード(7.4.9.5参照)。 

b) a) の各故障モードについて,規定の動作条件に関する推定故障率。 

c) 安全機能の故障をもたらし,かつ,要素の内部の診断テストによって検出されるか,又は要素の外部

の診断で検出することができるランダムハードウェア故障による,要素の(アウトプットの動作に関

する)故障モード(7.4.9.5参照)。 

d) c) の各故障モードについて,規定の動作条件に関する推定故障率。 

e) ランダムハードウェア故障による推定故障率の妥当性を維持するために順守することが望ましい,要

素の環境に対する制限。 

f) 

ランダムハードウェア故障による推定故障率の妥当性を維持するために超えないことが望ましい,要

素の使用期間に対する制限。 

g) 定期的プルーフテスト及び/又は保全要求事項。 

h) 要素内部の診断によって検出されるc) の各故障モードについて,附属書Cに従って導き出される診

断カバー率(注記2参照)。 

i) 

要素内部の診断によって検出されるc) の各故障モードに対する診断テスト間隔(注記2参照)。 

注記2 診断カバー率及び診断テスト間隔は,E/E/PE安全系のハードウェア安全統合モデル内の要

素で実施する診断テストの措置に対する主張に信頼を置くために要求している(7.4.5.2,

7.4.5.3及び7.4.5.4参照)。 

j) 

ランダムハードウェア故障による診断故障率。 

k) 診断による故障検出後の,平均修理時間(MRT)(JIS C 0508-4の3.6.22参照)の導出を可能にするた

めに必要な追加情報(例えば,修理時間)。 

l) 

7.4.4に従ったタイプA又はタイプBとしての分類を含め,附属書Cに従って求める,E/E/PE安全関

連系で適用する要素の安全側故障割合(SFF)の導出を可能にするために必要な全ての情報。 

m) 要素のハードウェアフォールトトレランス。 

7.4.9.5 

ランダムハードウェア故障による要素の推定故障率[7.4.9.4のa) 及びc) 参照]は,次のいずれ

かで求めることができる。 

a) 公認された業界のデータ源からの要素故障データを使用した,設計の故障モード及び影響解析。 

b) 類似環境で要素を以前に使用した経験(7.4.10参照)。 

注記1 使用する全ての故障率データは,信頼水準が70 %以上であることが望ましい。信頼水準の統

計学的決定は,参考文献の文献[9]に定義されている。同等の用語である“有意水準”につい

ては,文献[10]を参照。 

注記2 現場固有の故障データが入手できる場合は,そのデータを使用する。入手できない場合は,

一般的なデータを使用しなければならないことがある。 

注記3 定故障率は,多くの確率推定方法で推定されるが,これは,使用期間が要素の有効寿命を超

えない限りにおいてだけ適用できる。使用期間が有効寿命を超えると(すなわち,故障の確

率は時間の経過とともに著しく高くなるので),多くの確率計算方法の結果は意味がなくなる。

したがって,確率推定は,要素の有効寿命の規定を含めることが望ましい。有効寿命は,要

素自体及びその動作条件,特に温度(例えば,電解コンデンサは非常に敏感なことがある)

に強く依存している。ただし,耐用期間は,要素が仕様限界の近くで動作している場合は著

しく短くなることがある。 

7.4.9.6 

供給者が供給するJIS C 0508(IEC 61508)規格群への適合を主張する各準拠項目に対して,供

33 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

給者は附属書Dに従って準拠項目の安全マニュアルを提供しなければならない。 

7.4.9.7 

供給者は,準拠項目の各安全マニュアルで提供する全ての情報の正当な根拠を文書化しなければ

ならない。 

注記1 主張する要素の安全性能は,十分な証拠によって裏付けられることが不可欠である。裏付け

のない主張は,その要素が関与する安全機能の正しさ及び完全さを確立する助けとはならな

い。 

注記2 証拠の入手可能性には,商業的又は法的な制約があることがある。これらの制約は,この規

格の適用範囲外である。そのような制約が,証拠への機能安全評価の適切なアクセスを妨げ

る場合,その要素はE/E/PE安全関連系での使用に適したものではない。 

7.4.10 使用実績による証明がある(proven in use)要素に対する要求事項 

注記 この箇条の要求事項を適用する場合の詳細については,7.4.2.2 c) を参照。 

7.4.10.1 要素は,明確に制約した及び規定した機能をもち,危険な決定論的原因フォールトの可能性が,

要素を使用する安全機能の要求される安全度水準が達成されるほどに十分に低いことを証明する十分な証

拠文書がある場合だけ,使用実績があるとみなさなければならない。証拠は,要素の特定構成の運用経験

の解析,並びに適合性解析及びテストに基づかなければならない。 

注記 適合性解析及びテストは,意図したアプリケーション内の要素の性能の実証に焦点をおく。既

存の解析及びテストの結果を考慮することが望ましい。これには,機能動作,精度,故障の場

合の動作,時間応答,過負荷への応答,使いやすさ(例えば,ヒューマンエラーの防止)及び

保全性がある。 

7.4.10.2 7.4.10.1が要求する証拠文書は,次の事項を実証しなければならない。 

a) 特定の要素の以前の使用条件(注記1参照)が,E/E/PE安全関連系の要素が経験することになる条件

と同じか,又はそれにほぼ近い。 

注記1 使用条件(運用プロファイル)には,要素のハードウェア及びソフトウェアの決定論的原

因フォールトのきっかけになることがある全ての要因を含む。例えば,環境,使用モード,

実施機能,構成,他のシステムへのインタフェース,オペレーティングシステム,トラン

スレータ,ヒューマンファクタである。運用プロファイルの類似性の厳密な条件は,IEC 

61784-3で示す。 

b) 以前の使用において,危険側故障率を超えていない。 

注記2 運用経験に基づいた,以前に開発したソフトウェアのソフトウェア安全度を決定するため

に,確率的アプローチを使用することに関する指針については,IEC 61508-7の附属書D

を参照。 

注記3 使用実績による証明がある要素のための証拠の収集には,故障を報告するための有効なシ

ステムが必要になる。 

7.4.10.3 以前の使用条件とE/E/PE安全関連系で経験する使用条件との間に違いがあるときは,危険な決

定論的原因フォールトの可能性が要素を使用する安全機能の要求安全度水準が達成されるほどに十分に低

いことを実証するために,適切な解析方法及びテストを使用して,その違いに関する影響解析を実施しな

ければならない。 

7.4.10.4 要素が要求決定論的安全度をもつ要求安全機能を維持しているという,使用実績による証明があ

る安全に対する正当な根拠は,7.4.10.2から入手できる情報を使用して文書化しなければならない。これ

には,次のものを含まなければならない。 

34 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) 意図したアプリケーションに関する要素の適合性解析及びテスト。 

b) 違いに関する影響解析を含む,意図した運用と以前の運用経験との間の等価性の実証。 

c) 統計学上の証拠。 

7.4.10.5 入手できる情報の範囲及び深さの両面において,上記の要求事項(7.4.10.1〜7.4.10.4)が満たさ

れているかどうかを判定するときは,次の要因を考慮しなければならない(JIS C 0508-1の4.1も参照)。 

a) 要素の複雑さ。 

b) 要素に求められる決定論的対応能力。 

c) 設計の斬新さ。 

7.4.10.6 使用実績がない既存の要素の機能は,使用する要素の機能の安全度に影響を与えることはあり得

ないという十分な証拠がなければならない。 

注記 この要求事項は,機能が物理的に若しくは電気的に実行しないことを,又はこれらの機能を実

現するためのソフトウェアが運用構成から除外されることを確実にすることによって,又は他

の種類の主張及び証拠によって,満たすことができる。 

7.4.10.7 使用実績による証明がある要素の将来の部分改修は,7.8及びJIS C 0508-3の要求事項に適合し

なければならない。 

7.4.11 データ通信の追加要求事項 

7.4.11.1 

安全機能の実現においてデータ通信を使用するときは,通信プロセスの機能失敗尺度(残存エラ

ー率など)を,伝送エラー,繰返し,削除,挿入,再順序づけ,劣化,遅延及び偽装を考慮して推定しな

ければならない。ランダム故障による安全機能の機能失敗尺度を推定するときは,この機能失敗尺度を考

慮しなければならない(7.4.5参照)。 

注記 用語:“偽装”とは,メッセージの真の発信源が正しく識別されていないことを意味する。例え

ば,非安全要素のメッセージを,安全要素からのメッセージとして誤って識別することなどが

ある。 

7.4.11.2 

通信プロセス(7.4.11.1参照)の要求機能失敗尺度(残存エラー率など)を確実にするために必

要な技法及び手段は,この規格及びJIS C 0508-3の要求事項に従って実現しなければならない。これには,

次の二つのアプローチが考えられる。 

− 通信チャネル全体を,JIS C 0508(IEC 61508)規格群,及びIEC 61784-3又はIEC 62280規格群に従

って設計,実現及び妥当性確認しなければならない。これは,いわゆる“ホワイトチャネル”[図7 a)

参照]である。 

− 通信チャネルの部分が,JIS C 0508(IEC 61508)規格群に従って設計又は妥当性確認されていない。

これは,いわゆる“ブラックチャネル”[図7 b) 参照]である。この場合,通信プロセスの故障性能

を確実にするために必要な措置を,適宜,IEC 61784-3又はIEC 62280規格群に従った通信チャネル

と繋がる,E/E/PE安全関連サブシステム又は要素において実現しなければならない。 

background image

35 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) ホワイトチャネル 

インタフェースがIEC 61784-3又はIEC 62280に適合(サービス及びプロトコルを含む) 

b) ブラックチャネル 

図7−データ通信のアーキテクチャ 

7.5 

E/E/PE系統合 

注記 このフェーズは,図2のボックス10.4である。 

7.5.1 

目的 

この箇条の要求事項は,E/E/PE安全関連系を統合し,テストすることを,目的とする。 

7.5.2 

要求事項 

7.5.2.1 

E/E/PE安全関連系は,規定のE/E/PE系設計に基づいて統合し,規定のE/E/PE系統合テスト内容

に従ってテストしなければならない(7.4.2.11参照)。 

7.5.2.2 

E/E/PE安全関連系に全てのモジュールを統合する一環として,E/E/PE安全関連系を規定されたよ

うにテストしなければならない(7.4参照)。これらのテストは,全てのモジュールが正しく,相互に作用

し合って,意図した機能を実施し,かつ,意図しない機能を実施しないように設計していることを示さな

ければならない。 

注記1 これは,全てのインプットの組合せをテストすることを意味しない。全ての等価クラスをテ

ストすること(IEC 61508-7のB.5.2参照)で十分な場合がある。静的解析(IEC 61508-7の

B.6.4参照),動的解析(IEC 61508-7のB.6.5参照)又は故障分析(IEC 61508-7のB.6.6参照)

によって,テストケースの数を許容レベルまで減らすこともある。E/E/PE安全関連系を,構

造化設計(IEC 61508-7のB.3.2参照)又は準形式手法(IEC 61508-7のB.2.3参照)を使用

して開発する場合,要求事項はより実施しやすいものになる。 

注記2 形式手法(IEC 61508-7のB.2.2参照),又は形式的証明若しくは形式的アサーション(IEC 

61508-7のC.5.12及びC.3.3参照)を開発で使用する場合,このテストの適用範囲が狭まるこ

とがある。 

注記3 統計的証拠も,同様に使用できる(IEC 61508-7のB.5.3参照)。 

7.5.2.3 

JIS C 0508-3の7.5に従って,安全関連ソフトウェアをE/E/PE安全関連系に組み込まなくてはな

らない。 

7.5.2.4 

E/E/PE安全関連系の統合テストに関する適切な文書を作成し,その文書には,テスト結果並びに

サブシステム/要素が

JIS C 0508に適合 

通信チャネル全体[JIS C 0508(IEC 61508)規格群及びIEC 

61784-3とIEC 62280とのいずれかに適合しているプロトコル,

サービス及びネットワーク構成部品を含む。] 

サブシステム/要素

がJIS C 0508に適合 

サブシステム/要素

がJIS C 0508に適合 

各インタフェース間の通信チャネル部分が,JIS C 0508に 

従って設計又は妥当性確認されていない 

サブシステム/要素

がJIS C 0508に適合 

36 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

設計及び開発フェーズの間に規定した目的及び基準が満たされているかどうかを記述しなければならない。

故障がある場合は,故障の理由及びその是正処置を文書化しなければならない。 

7.5.2.5 

統合及びテストの間,E/E/PE安全関連系の部分改修又は変更を実施する場合には,影響を受ける

全てのサブシステム及び要素並びに必要な再適合確認業務を識別する影響解析を実施しなければならない。 

7.5.2.6 

E/E/PE系統合テストは,次の情報を文書化しなければならない。 

a) 使用したテスト仕様書の版。 

b) 統合テストの合否判定基準。 

c) テスト中のE/E/PE安全関連系の版。 

d) 使用したツール及び機器並びに校正データ。 

e) 各テストの結果。 

f) 

予想した結果と実際の結果との差異。 

g) 実施した解析,及び差異が生じたときにテストを続行するか又は変更要請を出すかについて下した決

定。 

7.5.2.7 

E/E/PE系統合時に発生するフォールトを回避するために,表B.3に従った一連の適切な技法及び

手段を使用しなければならない。 

7.6 

E/E/PE系の運用及び保全の手順 

注記 このフェーズは,図2のボックス10.5である。 

7.6.1 

目的 

この箇条の要求事項は,E/E/PE安全関連システムの要求機能安全を運用及び保全の間に確実に維持する

ような手順を作成することを,目的とする。 

7.6.2 

要求事項 

7.6.2.1 

E/E/PE系の運用及び保全の手順を準備しなければならない。これには,次のことを規定しなけれ

ばならない。 

a) 交換周期を指定している要素,例えば,冷却ファン,バッテリなどの定期的な交換を含め,E/E/PE安

全関連系の設計時の機能安全を維持するために実施しなければならない定期的措置。 

b) 安全でない状態に移行することを防止するために,及び/又は危害事象の結果を軽減するために必要

な措置及び制約(例えば,設置,始動,正常運用,定期テスト,予見可能な外乱,フォールト又は故

障,及びシャットダウン中)。 

c) E/E/PE安全関連系のシステム故障及び作動要求率に関する,維持管理する必要のある文書。 

d) E/E/PE安全関連系の監査及びテストの結果を示す,維持管理する必要のある文書。 

e) 次のものを含む,E/E/PE安全関連系でフォールト又は故障が発生したときに従わなければならない保

全手順。 

− 故障診断及び修理の手順 

− 妥当性確認の再実施の手順 

− 保全報告に関する要求事項 

− 機器の純正部品が既に入手不可能,又は新しい形(かた)式に置き換えられている場合に妥当性確

認を再実施するための手順 

f) 

保全実績を報告するための手順を規定しなければならない。特に,次の手順に留意する。 

− 故障を報告するための手順 

− 故障を解析するための手順 

37 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

g) 保全及び妥当性確認を再実施するために必要なツール,並びにツール及び機器を保全するための手順。 

注記1 安全と経済上の両方の理由から,E/E/PE系運用及び保全手順をEUCの全体的な運用及び保

全手順と統合すると都合のよいことがある。 

注記2 E/E/PE系運用及び保全手順には,ソフトウェア部分改修手順を含めることが望ましい(JIS C 

0508-3の7.8参照)。 

7.6.2.2 

E/E/PE安全関連系の運用及び保全手順は,機能安全監査結果,及びE/E/PE安全関連系のテスト

などからの引継ぎ事項で継続的に更新しなければならない。 

7.6.2.3 

E/E/PE安全関連系の要求機能安全が設計どおりの機能を維持するために必要な日常の保全活動

は,決定論的方法で定めなければならない。この方法は,達成される安全度の低下を引き起こすこともあ

る全ての安全関連要素(センサから操作端に至るまでの)の,明らかにされていない故障を決定しなけれ

ばならない。適切な方法には,次の事項がある。 

− 故障の木解析(フォールトツリー解析) 

− 故障モード及び影響解析 

注記1 ヒューマンファクタの考慮は,必要な措置及びE/E/PE安全関連系との適切なインタフェース

を決定する上で重要な要素である。 

注記2 プルーフテストは,目標機能失敗尺度を達成するために必要な頻度で実施する。 

注記3 プルーフテストの頻度,診断テスト間隔及びその後の修理時間は,次の事項を含め,複数の

要因に依存する(IEC 61508-6の附属書B参照)。 

− 安全度水準及び関連する目標機能失敗尺度 

− アーキテクチャ 

− 診断テストの診断カバー率 

− 予想作動要求率 

注記4 プルーフテストの頻度及び診断テスト間隔は,ハードウェア安全度の達成に極めて重大な影

響を及ぼす可能性がある。ハードウェア信頼性解析(7.4.5.2参照)を実施する主な理由の一

つは,二つのタイプのテストの頻度が目標ハードウェア安全度に適することを確実にするた

めである。 

注記5 製造業者の保全要求事項に従うことが望ましく,かつ,正当な根拠を(例えば,E/E/PE安全

関連系の目標機能故障尺度が満たされていることを実証する信頼性解析によって)完全に示

すことができるまでは,信頼性重視の保全方法だけを信頼しないことが望ましい。 

7.6.2.4 

E/E/PE系運用及び保全手順では,EUCに対して及ぼすことがある影響を評価しなければならな

い。 

7.6.2.5 

E/E/PE系運用及び保全手順の期間中のフォールト及び故障の回避ために,表B.4に基づいた一連

の適切な技法及び手段を用いなければならない。 

7.7 

E/E/PE系の安全妥当性確認 

注記 このフェーズは,図2のボックス10.6である。 

7.7.1 

目的 

この箇条の要求事項は,E/E/PE安全関連系が,要求安全機能及び安全度に関して,安全の要求事項を全

ての点で満たしていることの妥当性確認を,目的とする(上記7.2及びJIS C 0508-1の7.10参照)。 

7.7.2 

要求事項 

7.7.2.1 

E/E/PE系安全妥当性確認は,準備した計画に従って実施しなければならない(JIS C 0508-3の7.7

38 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

も参照)。 

注記1 E/E/PE系安全妥当性確認は,E/E/PE系安全ライフサイクルで,設置に先だって実施するもの

としているが,場合によっては,E/E/PE系安全妥当性確認が設置後まで実施できないことが

ある(例えば,アプリケーションソフトウェアの開発が設置後までに完了していない場合)。 

注記2 プログラマブル電子式安全関連系の妥当性確認は,ハードウェア及びソフトウェアの両方の

妥当性確認で成り立つ。ソフトウェアの妥当性確認の要求事項は,JIS C 0508-3に規定して

いる。 

7.7.2.2 

妥当性確認に使用する全ての試験装置は,可能な場合,国家標準とトレーサビリティが取れた基

準器,又は広く認知された手順に準拠した基準器と校正しなければならない。全てのテスト機器は,正し

く動作するかどうかをテストしなければならない。 

7.7.2.3 

E/E/PE系安全要求事項(JIS C 0508-1の7.10参照)で規定している各安全機能,E/E/PE系設計要

求仕様(7.2参照),並びにE/E/PE系運用及び保全手順の十分な実現を,テスト及び/又は解析で妥当性確

認しなければならない。十分な独立性若しくは個々の要素又はサブシステムの間の非干渉化を解析的に実

証できない場合は,関連の機能動作の組合せをテストしなければならない。 

注記 必要なテストの組合せの数が非常に大きくなる可能性がある場合は,システムの再構築が求め

られることもある。 

7.7.2.4 

各安全機能に関して次の事項を記載した,E/E/PE系安全妥当性確認テストの適切な文書を作成し

なければならない。 

a) 使用中のE/E/PE系安全妥当性確認計画の版。 

b) テスト(又は解析)中の安全機能及びE/E/PE系安全妥当性確認の計画中に規定した要求事項への個別

の参照先。 

c) 使用したツール及び機器並びに校正データ。 

d) 各テストの結果。 

e) 予想した結果と実際の結果との差異。 

各安全機能に関して個別の文書は必要でないが,a)〜e) の情報は全ての安全機能に適用しなければなら

ず,また情報が安全機能ごとに異なっている場合は,その関係を記述しなければならない。 

7.7.2.5 差異が生じた場合(すなわち,実際の結果が規定の許容差を超えて予想結果と異なっている場合),

E/E/PE系安全妥当性確認テストの結果は,次の事項を含めて文書化しなければならない。 

a) 実施した解析。 

b) テストを続行するか,又は変更要請を出して,妥当性確認テストの初期段階に戻らなければならない

かどうかについて下した決定。 

7.7.2.6 

供給者又は開発者は,EUC及びEUC制御システムの開発者が,JIS C 0508-1の全安全妥当性確

認の要求事項を満たすことができるように,E/E/PE系安全妥当性確認テストの結果を利用できるようにし

なければならない。 

7.7.2.7 

E/E/PE系安全妥当性確認に発生するフォールトを回避するため,表B.5に従った一連の適切な技

法及び手段を使用しなければならない。 

7.8 

E/E/PE系の部分改修 

7.8.1 

目的 

この箇条の要求事項は,E/E/PE安全関連系の訂正,機能強化又はそのシステムへの適応を行い,要求さ

れる安全度を確実に達成し,かつ,維持することを,目的とする。 

39 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

7.8.2 

要求事項 

7.8.2.1 

各E/E/PE系部分改修作業について,適切な文書を作成し維持しなければならない。文書は,次

の事項を含まなければならない。 

a) 部分改修又は変更の詳細な規定。 

b) システム全体に対する部分改修作業についての,次の全ての事項についての影響の解析。 

− ハードウェア 

− ソフトウェア(JIS C 0508-3参照) 

− 人の相互作用及び環境 

− 可能な相互作用 

c) 変更の全ての承認。 

d) 変更の進捗。 

e) 妥当性確認の再実施データを含む,サブシステム及び要素のテストケース。 

f) 

E/E/PE系変更管理履歴。 

g) 通常運用及び条件からの逸脱。 

h) システム手順に対する必要な変更。 

i) 

文書に対する必要な変更。 

7.8.2.2 

この規格の全て又は一部への適合を主張する製造業者又はシステム供給者は,ハードウェア又は

ソフトウェアで検出された欠陥の変更作業を開始するための,かつ,その欠陥が安全に影響を与える場合

は部分改修の必要性を使用者に知らせるためのシステムを,維持しなければならない。 

7.8.2.3 

部分改修は,E/E/PE安全関連系の初期開発と同じレベルの専門技術,支援ツール(自動ツール)

(JIS C 0508-3の7.4.4.2参照),並びに計画及び管理で,実施しなければならない。 

7.8.2.4 

部分改修後,E/E/PE安全関連系は,適合確認及び妥当性確認を,再実施しなければならない。 

注記 JIS C 0508-1の7.16.2.6も参照。 

7.9 

E/E/PE系適合確認 

7.9.1 

目的 

この箇条の要求事項は,所定のフェーズの引渡し事項をテスト及び評価して,そのフェーズへの引継ぎ

事項として提供する製品及び基準に関して,正確さ及び一貫性を確実なものにすることを,目的とする。 

注記 便宜上,全ての適合確認業務は7.9にまとめられているが,実際には関連するフェーズごとに

実施する。 

7.9.2 

要求事項 

7.9.2.1 

E/E/PE安全関連系の適合確認は,E/E/PE系安全ライフサイクルのフェーズごとに,開発(7.4参

照)と同時に計画し,文書化しなければならない。 

7.9.2.2 

E/E/PE系適合確認計画には,そのフェーズの適合確認で使用する全ての基準,技法及びツールを

記載しなければならない。 

7.9.2.3 

E/E/PE系適合確認計画では,そのフェーズへの引継ぎ事項として提供される製品及び基準に関し

て正確さ及び一貫性を確実にするために実施しなければならない業務を,規定しなければならない。 

7.9.2.4 

E/E/PE系適合確認計画では,次の事項を考慮しなければならない。 

a) 適合確認の戦略及び技法の選択。 

b) テスト機器の選択及び利用。 

c) 適合確認業務の選択及び文書化。 

40 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

d) 適合確認機器から,直接的に得られる適合確認結果,及びテストによって得られる適合確認結果の評

価。 

7.9.2.5 

各設計及び開発フェーズにおいて,機能安全及び安全度要求事項を満足していることを示さなけ

ればならない。 

7.9.2.6 

各適合確認業務の結果を文書化し,E/E/PE安全関連系が適合確認の合否,及び不合格の場合はそ

の理由を記述しなければならない。次の事項を考慮しなければならない。 

a) E/E/PE系安全ライフサイクルの一つ又は複数の関連要求事項(7.2参照)に適合していない品目。 

b) 一つ又は複数の製品に関連する規格に適合していない品目(7.4参照)。 

c) 一つ又は複数の関連安全管理要求事項(箇条6参照)に適合していない品目。 

7.9.2.7 

E/E/PE系設計要求仕様の適合確認の場合,E/E/PE系設計要求仕様(7.2参照)を規定した後に,

及び次のフェーズ(設計及び開発)が始まる前に,適合確認によって次のことを行わなければならない。 

a) E/E/PE系設計要求仕様が,安全計画の間に規定した“安全性”,“機能性”及び“他の要求事項”の点

で,E/E/PE系安全要求仕様(JIS C 0508-1の7.10参照)を満たすのに十分なものであるかを,判定す

る。 

b) 次の事項に対する不適合のチェック。 

− 各E/E/PE系安全要求事項(JIS C 0508-1の7.10参照)。 

− 各E/E/PE系設計要求仕様(7.2参照)。 

− 各E/E/PE系テスト(7.4参照)。 

− 使用者の文書,及び他の全てのシステム文書。 

7.9.2.8 

E/E/PE系設計及び開発の適合確認の場合,E/E/PE系設計及び開発(7.4参照)が完了した後で,

及び次のフェーズ(統合)が始まる前に,適合確認によって次のことを行わなければならない。 

a) E/E/PE系テストが,E/E/PE系設計及び開発に対して十分なものであるかどうかを,判定する。 

b) E/E/PE系安全要求事項(JIS C 0508-1の7.10参照)に関して,E/E/PE系設計及び開発の一貫性及び完

全性(モジュールレベルまでの)を評価する。 

c) 次の事項に対する不適合のチェック。 

− 各E/E/PE系安全要求事項(JIS C 0508-1の7.10参照) 

− 各E/E/PE系設計要求仕様(7.2参照) 

− 各E/E/PE系設計及び開発(7.4参照) 

− 各E/E/PE系テスト(7.4参照) 

注記1 表B.5で,適合確認にも適用できる安全妥当性確認,故障分析及びテスト方法を推奨してい

る。 

注記2 診断カバー率を達成しているという実証では,検出しなければならないフォールト及び故障

を示す表A.1を考慮することになる。 

7.9.2.9 

E/E/PE系統合を適合確認する場合,E/E/PE安全関連系の統合は,7.5の要求事項を満たしている

ことを確定するために,適合確認しなければならない。 

7.9.2.10 テストケース及びその結果は,文書化しなければならない。 

機能安全評価 

機能安全評価に関する要求事項は,JIS C 0508-1の箇条8による。 

41 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書A 

(規定) 

E/E/PE安全関連系の技法及び手段−運用中の故障の制御 

A.1 一般 

この附属書は,7.4と併せて使用しなければならない。この附属書では,関連技法及び手段に関して主張

されることがある最大診断カバー率を制限している。それぞれの安全度水準について,この附属書は,ラ

ンダムハードウェア及び決定論的原因による故障,並びに環境上及び運用上の故障を管理するための技法

及び手段を推奨している。アーキテクチャ及び手段の詳しい情報については,IEC 61508-6の附属書B及

びIEC 61508-7の附属書Aを参照。 

次の二つの理由から,複雑なハードウェアにおける故障の個々の物理的原因を,列挙することはできな

い。 

− フォールトと故障との間の原因及び結果の関係を明らかにするのは,難しいことが多い。 

− 複雑なハードウェア及びソフトウェアを使用している場合,故障の重点は,ランダム的なものから決

定論的なものへ変化する。 

E/E/PE安全関連系の故障は,発生時間に基づいて,次のように分類できることがある。 

− システムの設置前又は設置中に発生したフォールトによる故障(例えば,ソフトウェアフォールトに

は,仕様及びプログラムのフォールトがある。また,ハードウェアフォールトには,製造上のフォー

ルト及び要素の間違った選択がある。)。 

− システムの設置後に発生したフォールト,又はヒューマンエラーによる故障(例えば,ランダムハー

ドウェア故障又は誤用による故障)。 

このような故障を回避するために,又は発生時にそれを管理するために,通常は多くの手段が必要であ

る。ここでは,これらの手段を大きく分けて,運用中に発生した故障を制御するために使用する手段を附

属書A(この附属書)に規定し,E/E/PE系安全ライフサイクルの様々なフェーズで故障が発生することを

回避するための手段を,附属書Bに規定している。故障を管理するための手段は,E/E/PE安全関連系の組

込み機能である。 

診断カバー率及び安全側故障割合は,表A.1に基づいて,また附属書Cで規定している手順に従って決

める。表A.2〜表A.14は,表A.1の要求事項を補足して,診断テストの技法及び手段を推奨し,さらにそ

れらを使用して達成できる最高レベルの診断カバー率を推奨している。各表は,附属書Cの要求事項のど

れかに置き換わるものではない。また,表A.2〜表A.14は,全てを網羅するものではない。主張する診断

カバー率を補足する証拠を示すことができる場合,他の手段及び技法を使用してもよい。高診断カバー率

を主張する場合は,一つ以上の高診断カバー率の技法を上記の各表から適用することが望ましい。 

同様に,表A.15〜表A.17では,決定論的原因故障を管理するために,安全度水準ごとの技法及び手段

を推奨している。表A.15では,決定論的原因故障を管理するために,全体的手段を推奨し(JIS C 0508-3

も参照),表A.16では,環境上の故障を管理するための手段を推奨し,表A.17では,運用上の故障を管理

するための手段を推奨している。これらの管理手段の大部分は,表A.18に従って等級付けすることができ

る。 

これらの表に示す全ての技法及び手段は,IEC 61508-7の附属書Aに規定している。安全度水準ごとに

要求されるソフトウェア技法及び手段は,JIS C 0508-3に規定している。E/E/PE安全関連系のアーキテク

background image

42 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

チャを決定するための指針は,IEC 61508-6の附属書Bに示している。 

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。 

− 選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。 

− それぞれの特定E/E/PE安全関連系の開発期間中に起きる特定の問題に対して,どの技法及び手段が最

も適切であるか。 

A.2 ハードウェア安全度 

表A.1には,該当レベルの診断カバー率を達成するために,ハードウェア故障を管理する技法及び手段

で検出しなければならないフォールト又は故障の要求事項を示す(附属書Cも参照)。表A.2〜表A.14は,

診断テストの技法及び手段を推奨することによって,またそれらを使用して達成できる最高レベルの診断

カバー率を推奨することによって,表A.1の要求事項を補足する。これらのテストは,連続的に又は定期

的に実施してもよい。各表は,7.4の要求事項のどれかに置き換わるものではない。表A.2〜表A.14は,

全てを網羅するものではない。主張される診断カバー率を補足する証拠を示すことができる場合,他の手

段及び技法を使用してもよい。 

注記1 これらの表に関連する技法及び手段の概要は,IEC 61508-7の附属書Aに示している。関連

箇条は,表A.2〜表A.14の第2列(参照先)に示している。 

注記2 低,中及び高診断カバー率の指定は,それぞれ,60 %,90 %及び99 %と定量化されている。 

表A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障 

構成要素 

参照先 

主張する診断カバー率に対する要求事項 

低(60 %) 

中(90 %) 

高(99 %) 

電気機械機器 

表A.2 

励磁又は非励磁
にならない 

励磁又は非励磁にならない 励磁又は非励磁にならない 

個別の接点溶着 

複数の接点溶着 個別の接点溶着 

・ ポジティブガイドされない

(リレーの場合,EN 50205又

はこれと同等の規格に従って
組み込まれ,テストされてい
る場合に当該故障は起きな
い) 

・ 能動形開放がない(ポジショ

ンスイッチの場合,JIS C 
8201-5-1又はこれと同等の規
格に従って組み込まれ,テス
トされている場合,当該故障
は起きない) 

個別 
ハード
ウェア 

デジタルI/O 

表A.3 
表A.7 
表A.9 

固着 

(注記1参照) 

DCフォールトモデル 

(注記2参照) 

・ DCフォールトモデル 
・ ドリフト及び振動 

アナログI/O 

固着 

・ DCフォールトモデル 
・ ドリフト及び振動 

・ DCフォールトモデル 
・ ドリフト及び振動 

電源 

固着 

・ DCフォールトモデル 
・ ドリフト及び振動 

・ DCフォールトモデル 
・ ドリフト及び振動 

background image

43 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障(続き) 

構成要素 

参照先 

主張する診断カバー率に対する要求事項 

低(60 %) 

中(90 %) 

高(99 %) 

バス 

一般 

表A.3 
表A.7 
表A.8 

アドレスの固着 タイムアウト 

タイムアウト 

メモリ管理 
ユニット 

(MMU) 

データ又はアド
レスの固着 

・ 誤アドレス復号化 
・ MMUレジスタ内のソフ

トエラーによってもた
らされるアドレスの変
更(注記3及び注記4参
照) 

・ 誤アドレス復号化 
・ MMUレジスタ内のソフトエ

ラーによってもたらされるア
ドレスの変更 

ダイレクトメ
モリアクセス

(DMA) 

アクセスなし 
又は 
連続アクセス 

・ データ及びアドレスの

DCフォールトモデル 

・ DMAレジスタ内のソフ

トエラーによってもた
らされる情報の変更 

・ 誤アクセス時間 

・ メモリ内のデータに影響を与

える全てのフォールト 

・ 誤アクセス時間 

バス使用権の
割当て 

(注記5参照) 

アービトレーシ
ョン信号の固着 

使用権の割当てなし又は連
続使用権の割当て 

次のいずれか 
・ 使用権の割当てなし 
・ 連続使用権の割当て 
・ 誤使用権の割当て 

中央処
理装置

(CPU) 

レジスタ, 
内部RAM 

表A.4 

表A.10 

データ及びアド
レスの固着 

・ データ及びアドレスの

DCフォールトモデル 

・ ソフトエラーによって

もたらされる情報の変
更 

・ データ及びアドレスのDCフ

ォールトモデル 

・ メモリセルの動的クロスオー

バ 

・ ソフトエラーによってもたら

される情報の変更 

・ 誤又は多重アドレス指定なし 

フラグレジス
タを含む符号
化及び実行 

誤符号化 
又は 
実行なし 

誤符号化又は誤実行 

明確な故障仮定なし 

アドレス計算 

固着 

・ DCフォールトモデル 
・ ソフトエラーによって

もたらされるアドレス
の変更 

明確な故障仮定なし 

プログラムカ
ウンタ, 
スタックポイ
ンタ 

固着 

・ DCフォールトモデル 
・ ソフトエラーによって

もたらされるアドレス
の変更 

・ DCフォールトモデル 
・ ソフトエラーによってもたら

されるアドレスの変更 

割込み
処理 

割込み 

表A.4 

・ 割込みなし又

は連続割込み

(注記6参照) 

・ 割込みなし又は連続割

込み 

・ 割込みのクロスオーバ 

・ 割込みなし又は連続割込み 
・ 割込みのクロスオーバ 

リセット回路  

・ 固着 
・ 個々の構成要

素がリセット
状態に初期化
しない 

・ DCフォールトモデル 
・ ドリフト及び振動 
・ 個々の構成要素がリセ

ット状態に初期化され
ない 

・ DCフォールトモデル 
・ ドリフト及び振動 
・ 個々の構成要素がリセット状

態に初期化されない 

background image

44 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.1−ランダムハードウェア故障を定量化するときに想定する 

又は安全側故障割合の導出で考慮するフォールト又は故障(続き) 

構成要素 

参照先 

主張する診断カバー率に対する要求事項 

低(60 %) 

中(90 %) 

高(99 %) 

不変メモリ 

表A.5 

データ及びアド
レスの固着 

データ及びアドレスのDC
フォールトモデル 

メモリ内のデータに影響を与え
る全てのフォールト 

可変メモリ 

表A.6 

データ及びアド
レスの固着 

・ データ及びアドレスの

DCフォールトモデル 

・ ソフトエラーによって

もたらされる情報の変
更 

・ データ及びアドレスのDCフ

ォールトモデル 

・ メモリセルの動的クロスオー

バ 

・ ソフトエラーを原因とする情

報の変化 

・ アドレス指定なし,誤又は多

重アドレス指定 

クロック(クォーツ,オ
シレータ,位相同期回
路) 

表A.11 ・低調波又は超高

調波 
・周期ジッタ 

・ 不正確な周波数 
・ 周期ジッタ 

・ 不正確な周波数 
・ 周期ジッタ 

通信及び大容量記憶装
置 

表A.12 ・誤データ又はア

ドレス 
・伝送なし 

・ メモリ内のデータに影

響を与える全てのフォ
ールト 

・ 誤データ又はアドレス 
・ 誤伝送時間 
・ 誤伝送シーケンス 

・ メモリ内のデータに影響を与

える全てのフォールト 

・ 誤データ又はアドレス 
・ 誤伝送時間 
・ 誤伝送シーケンス 

センサ 

表A.13 固着 

・ DCフォールトモデル 
・ ドリフト及び振動 

・ DCフォールトモデル 
・ ドリフト及び振動 

操作端 

表A.14 固着 

・ DCフォールトモデル 
・ ドリフト及び振動 

・ DCフォールトモデル 
・ ドリフト及び振動 

注記1 “固着”は,ひとつの要素内の複数のピンにおいて連続する“0”,“1”又は“on”の状態になるものとし

て記述できるフォールト区分である。 

注記2 “DCフォールトモデル”は,直流回路のフォールトの分類で,次の故障モードを含む。:固着フォールト,

スタックオープン,開又は高インピーダンスアウトプット,及び信号線間の短絡。 

集積回路の場合,任意の二つの接続(ピン)の間の短絡が考えられる。 

注記3 低電圧駆動半導体のソフトエラー率(SER)は,ハードエラー率(装置の恒久的損傷)よりも二桁以上高い

値(50倍から500倍)であることが,知られている。 

注記4 ソフトエラーの原因は,次のとおりである。パッケージを構成する原子核の崩壊によるアルファ粒子,中

性子,電磁障害を引き起こす外部の雑音及び内部混線。ソフトエラーの影響は,実行時の安全度措置だけ
に及ぶ。ランダムハードウェア故障に対して有効な安全度措置は,ソフトエラーに対して有効でない場合
もある。 

例:ウォークパス,ガルパットなどのRAMテストは有効ではないが,パリティ及び誤り訂正符合(ECC)

を使用すれば,メモリセルの繰返し読取り監視技法又は冗長化(及び比較もしくは多数決)技法が有
効となることがある。 

注記5 バス使用権の割当ては,どの装置がバスを制御するかを決定する機構である。 
注記6 割込みなしは,割込みが起きることが望ましい場合に割込みなしとなることを意味する。連続割込みは,

連続割込みが起きないことが望ましい場合に連続割込みとなることを意味する。 

注記7 ASICの場合,適宜,この表及び表A.2〜表A.18を適用する。 

background image

45 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.2−電気部品 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

オンライン監視によ
る故障検出 

IEC 61508-7の 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード) 

故障検出の診断カバー率に依存
する。 

リレー接点の監視 

IEC 61508-7の 

A.1.2 

高 

ランダム故障の影響を定量化す
る場合は,リレー開閉率を考慮
することが望ましい。 

コンパレータ 

IEC 61508-7の 

A.1.3 

高 

故障モードが主に安全方向であ
る場合は高。 

多数決 

IEC 61508-7の 

A.1.4 

高 

多数決方式の品質によって異な
る。 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.3−電子構成部品 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

オンライン監視によ
る故障検出 

IEC 61508-7の 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード) 

故障検出の診断カバー率によっ
て異なる。 

コンパレータ 

IEC 61508-7の 

A.1.3 

高 

故障モードが主に安全方向であ
る場合は高。 

多数決 

IEC 61508-7の 

A.1.4 

高 

多数決方式の品質によって異な
る。 

冗長化ハードウェア
によるテスト 

IEC 61508-7の 

A.2.1 

中 

故障検出の診断カバー率によっ
て異なる 

動的原理 

IEC 61508-7の 

A.2.2 

中 

故障検出の診断カバー率によっ
て異なる。 

標準テストアクセス
ポート及び境界走査
アーキテクチャ 

IEC 61508-7の 

A.2.3 

高 

故障検出の診断カバー率によっ
て異なる。 

監視付き冗長化 

IEC 61508-7の 

A.2.5 

高 

冗長化の程度と監視の程度によ
って異なる。 

自動チェック機能付
きハードウェア 

IEC 61508-7の 

A.2.6 

高 

テストの診断カバー率によって
異なる。 

アナログ信号監視 

IEC 61508-7の 

A.2.7 

低 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

background image

46 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.4−処理単位 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

コンパレータ 

IEC 61508-7の 

A.1.3 

高 

比較方式の品質によって異なる。 

多数決 

IEC 61508-7の 

A.1.4 

高 

多数決方式の品質によって異なる。 

ソフトウェアによる自
己テスト: 
パターンの数が限られ
ている(単一チャネル) 

IEC 61508-7の 

A.3.1 

低 

− 

ソフトウェアによる自
己テスト: 
ウォーキングビット

(単一チャネル) 

IEC 61508-7の 

A.3.2 

中 

− 

ハードウェアが対応す
る自己テスト(単一チ
ャネル) 

IEC 61508-7の 

A.3.3 

中 

− 

符号化処理(単一チャ
ネル) 

IEC 61508-7の 

A.3.4 

高 

− 

ソフトウェアによる相
互比較 

IEC 61508-7の 

A.3.5 

高 

比較方式の品質によって異なる。 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 
注記4 多数の処理装置フォールトはフロー制御の部分改修をもたらすため,処理装置フォールトでは,表A.10に

示す診断手段及び技法も考慮してもよい。これらの診断手段及び技法は,データフローではなく,制御フ
ローだけを取り扱う。 

表A.5−不変メモリの範囲 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

ワード保護された複数
ビットによる冗長化 

IEC 61508-7の 

A.4.1 

中 

ワード保護した複数ビットによる冗
長化の有効性は,ワードアドレスがど
の程度複数ビットによる冗長化に含
まれるかに依存する。また,複数ビッ
トに対する共通原因フォールト,例え
ば,複数アドレス指定(複数の行選択,
複数のローカル−グローバルビット
ラインスイッチを起動),電源問題(例
えば,チャージポンプの欠陥),生産
行列置換(生産マスク欠陥を隠すため
の生産歩留り措置)などを検出する手
段に,依存する。 

部分改修チェックサム 

IEC 61508-7の 

A.4.2 

低 

− 

1ワード(8ビット)の
署名 

IEC 61508-7の 

A.4.3 

中 

署名の効力は,保護される情報のブロ
ック長に対する署名の幅によって異
なる。 

background image

47 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.5−不変メモリの範囲(続き) 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

ダブルワード(16ビッ
ト)の署名 

IEC 61508-7の 

A.4.4 

高 

署名の効力は,保護される情報のブロ
ック長に対する署名の幅によって異
なる。 

ブロック複製 

IEC 61508-7の 

A.4.5 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.6−可変メモリの範囲 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

RAMテストのチェック
ボード又はマーチ 

IEC 61508-7の 

A.5.1 

低 

− 

RAMテストのウォーク
パス 

IEC 61508-7の 

A.5.2 

中 

− 

RAMテストのガルパッ
ト又は透過ガルパット 

IEC 61508-7の 

A.5.3 

高 

− 

RAMテストのアブラハ
ム 

IEC 61508-7の 

A.5.4 

高 

− 

RAMのパリティビット 

IEC 61508-7の 

A.5.5 

低 

− 

部分改修したハミング
コードによるRAM監
視,又はエラー検出訂
正コード(EDC)によ
るデータフォールトの
検出 

IEC 61508-7の 

A.5.6 

中 

部分改修したハミングコードによる
RAM監視の有効性,又はエラー検出
訂正コード(EDC)によるデータフォ
ールトの検出は,ハミングコードへの
アドレスに含まれることとなり,また
複数ビットに対する共通原因フォー
ルト,例えば,複数アドレス指定(複
数の行選択,複数のローカルからグロ
ーバルへのビットラインスイッチを
起動),生産行列置換(生産マスク欠
陥を隠すための生産歩留り措置)など
を検出する手段に依存する。 

ハードウェア又はソフ
トウェア比較及びリー
ドライトテストが実施
されるダブルRAM 

IEC 61508-7の 

A.5.7 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 
注記4 低頻度だけで(例えば,構成時)リードライトが行われるRAMに関しては,IEC 61508-7のA.4.1〜A.4.4

の手段が,各読書きのアクセス後に実施される場合に有効である。 

background image

48 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.7−I/O装置及びインタフェース(外部通信) 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

オンライン監視による
故障検出 

IEC 61508-7の 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求/連続モ
ード) 

故障検出の診断カバー率によって異
なる。 

テストパターン 

IEC 61508-7の 

A.6.1 

高 

− 

コードの保護 

IEC 61508-7の 

A.6.2 

高 

− 

マルチチャンネルパラ
レルアウトプット 

IEC 61508-7の 

A.6.3 

高 

診断テスト間隔内でデータフローが
変わる場合だけ。 

監視付きアウトプット 

IEC 61508-7の 

A.6.4 

高 

診断テスト間隔内でデータフローが
変わる場合だけ。 

インプット比較又は多
数決 

(1oo2,2oo3又はそれ以

上の冗長化) 

IEC 61508-7の 

A.6.5 

高 

診断テスト間隔内でデータフローが
変わる場合だけ。 

相反信号伝送 

IEC 61508-7の 

A.11.4 

高 

例えば,反転信号の伝送。 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.8−データパス(内部通信) 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

1ビット追加によるハ
ードウェアの冗長化 

IEC 61508-7の 

A.7.1 

低 

多面クロスバースイッチ式データパ
スでは,アドレス及び制御ラインが安
全措置によって取り扱われた場合,所
定の有効性を仮定できるにすぎない。 

複数ビット追加による
ハードウェアの冗長化 

IEC 61508-7の 

A.7.2 

中 

多面クロスバースイッチ式データパ
スでは,アドレス及び制御ラインが安
全措置によって取り扱われた場合,所
定の有効性を仮定できるにすぎない。 

二重化によるハードウ
ェアの冗長化 

IEC 61508-7の 

A.7.3 

高 

− 

テストパターンを使用
する検査 

IEC 61508-7の 

A.7.4 

高 

− 

伝送の冗長化 

IEC 61508-7の 

A.7.5 

高 

一過性のフォールトに対してだけ有
効。 

情報の冗長化 

IEC 61508-7の 

A.7.6 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

background image

49 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.9−電源 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

安全遮断又は二次電源への切換
えによる過電圧保護 

IEC 61508-7の 

A.8.1 

低 

− 

安全遮断又は二次電源への切換
えによる電圧制御(二次制御) 

IEC 61508-7の 

A.8.2 

高 

− 

安全遮断又は二次電源への切換
えによる電源断 

IEC 61508-7の 

A.8.3 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.10−プログラムシーケンス(ウォッチドッグ) 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

時間窓なしの個別の時間基準に
よるウォッチドッグ 

IEC 61508-7の 

A.9.1 

低 

− 

時間窓がある個別の時間基準に
よるウォッチドッグ 

IEC 61508-7の 

A.9.2 

中 

− 

プログラムシーケンスの論理監
視 

IEC 61508-7の 

A.9.3 

中 

監視の品質に依存する。 

プログラムシーケンスの時間的
監視と論理的監視との組合せ 

IEC 61508-7の 

A.9.4 

高 

− 

オンラインチェックによる時間
的監視 

IEC 61508-7の 

A.9.5 

中 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.11−クロック 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

時間窓なしの個別の時間基準に
よるウォッチドッグ 

IEC 61508-7の 

A.9.1 

低 

− 

時間窓がある個別の時間基準に
よるウォッチドッグ 

IEC 61508-7の 

A.9.2 

高 

時間窓の時間制約に依存す
る。 

プログラムシーケンスの論理的
監視 

IEC 61508-7の 

A.9.3 

中 

外部からの一過性の事象が
論理プログラムフローに影
響を与える場合は,クロック
故障に対してだけ有効。 

プログラムシーケンスの時間的
監視と論理的監視の組合せ 

IEC 61508-7の 

A.9.4 

高 

− 

オンラインチェックによる時間
的監視 

IEC 61508-7の 

A.9.5 

中 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

background image

50 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.12−通信及び大容量記憶 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

E/E/PE安全関連系とプ
ロセス間の情報交換 

IEC 61508-7の 

A.6 

表A.7を参照。 

I/O装置及びインタフェース
の表を参照。 

E/E/PE安全関連系間の
情報交換 

IEC 61508-7の 

A.7 

表A.8を参照。 

データパスの表を参照。 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.13−センサ 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

オンライン監視による
故障検出 

IEC 61508-7の 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード) 

故障検出の診断カバー率に依
存する。 

アナログ信号の監視 

IEC 61508-7の 

A.2.7 

低 

− 

テストパターン 

IEC 61508-7の 

A.6.1 

高 

− 

インプット比較又は多
数決(1oo2,2oo3又は
それ以上の冗長化) 

IEC 61508-7の 

A.6.5 

高 

診断テスト間隔内でデータフ
ローが変更される場合だけ。 

基準センサ 

IEC 61508-7の 

A.12.1 

高 

故障検出の診断カバー率に依
存する。 

正作動スイッチ 

IEC 61508-7の 

A.12.2 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

表A.14−操作端(アクチュエータ) 

診断技法及び手段 

参照先 

達成可能と考えられる 

最大診断カバー率 

注記 

オンライン監視による
故障検出 

IEC 61508-7の 

A.1.1 

低(低頻度作動要求モード) 
中(高頻度作動要求又は連続モード) 

故障検出の診断カバー率に依
存する。 

リレー接点の監視 

IEC 61508-7の 

A.1.2 

高 

ランダム故障の影響を定量化
する場合は,リレー開閉率を
考慮することが望ましい。 

テストパターン 

IEC 61508-7の 

A.6.1 

高 

− 

監視 

IEC 61508-7の 

A.13.1 

高 

故障検出の診断カバー率に依
存する。 

複数のアクチュエータ
の相互監視 

IEC 61508-7の 

A.13.2 

高 

− 

注記1 この表は,附属書Cのいかなる要求事項を代替するものではない。 
注記2 附属書Cの要求事項は,診断カバー率の決定に関連している。 
注記3 この表に関する一般的な注記については,表A.1より前に記述している本文を参照。 

51 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

A.3 決定論的安全度 

表A.15〜表A.18に,次のための技法及び手段を,推奨事項として示す。 

− ハードウェア設計によって引き起こされる故障を管理する(表A.15参照) 

− 環境上のストレス又は影響による故障を管理する(表A.16参照) 

− 運用中の故障を管理する(表A.17参照) 

表A.15〜表A.17では,まず,技法又は手段の“重要性”について規定し,次に,技法又は手段を使用

したときに求められる“有効性”について規定する。これらは,安全度水準によって要求事項又は推奨事

項を示している。 

“重要性”の記号の意味は次による。 

− M :技法又は手段を要求する(必須)。 

− HR:技法又は手段を用いるように強く推奨する。この技法又は手段を使用しない場合は,使用しない

理論的根拠について詳述しなければならない。 

− R :技法又は手段を用いることが望ましい。 

− - :技法又は手段を使用することに関しては,推奨も反対もしない。 

求められる“有効性”の記号の意味は,次による。 

− 低 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“低”の範囲内

で使用しなければならない。 

− 中 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“中”の範囲内

で使用しなければならない。 

− 高 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が“高”の範囲内で使用しな

ければならない。 

代表的な技法及び手段の有効性レベルに関する指針を,表A.18に示す。 

手段が必須でない場合,一般に他の手段に(個別又は組合せのいずれかで)置き換えることができる。

これを,表A.15〜表A.17の最左欄に網掛けして示す。 

ここに示す全ての技法及び手段は,E/E/PE安全関連系の組込み機能であり,オンラインで故障を管理す

ることに役立つことがある。フォールトの発生を防ぐためには,手順上及び組織上の技法及び手段が

E/E/PE系安全ライフサイクルを通じて必要とする。さらに,特定のアプリケーションに対して組込み機能

が適していることを実証するためには,予想される外部の影響に対するE/E/PE安全関連系の動作をテスト

するための妥当性確認技法を必要とする(附属書B参照)。 

IEC 61508-6の附属書Dに,共通原因故障に関する情報が示されている。 

注記 表A.15〜表A.17に示す手段の大部分は,表A.18に基づく有効性を加味して使用できる。表

A.18は,“低”及び“高”の有効性の例を示している。“中”の有効性に求められる取組みは,

有効性の取組みに関する規定の“低”と“高”との間にある。 

background image

52 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.15−ハードウェア設計によって生じる決定論的原因故障を 

管理するための技法及び手段 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

プログラムシーケンス監視 

IEC 61508-7の 

A.9 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

オンライン監視による故障検出 

(注記4を参照) 

IEC 61508-7の 

A.1.1 

低 

低 

中 

高 

冗長化ハードウェアによるテス
ト 

IEC 61508-7の 

A.2.1 

低 

低 

中 

高 

標準テストアクセスポート及び
境界走査アーキテクチャ 

IEC 61508-7の 

A.2.3 

低 

低 

中 

高 

コード保護 

IEC 61508-7の 

A.6.2 

低 

低 

中 

高 

多様性のあるハードウェア 

IEC 61508-7の 

B.1.4 

低 

低 

中 

高 

灰色の網掛けを付けたグループに含まれる技法のうち一つ以上,又はJIS C 0508-3の表A.3に示す技法の一

つを使用しなければならない。 
注記1 各安全度水準の項目の意味については,A.3を参照。 
注記2 これらの手段は,“低”及び“高”の有効性の例を示す表A.18に基づいて変化する有効性に合わせて,

使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定されている
各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書A,附属書B及び附属書Cにある。

関連する箇条は,この表の3列目(IEC 61508-7参照先)を参照。 

注記4 低頻度作動要求モードで動作するE/E/PE安全関連系(例えば,緊急時停止システム)に対しては,オ

ンライン監視による故障検出で達成される診断カバー率は,通常,“低”又は“ゼロ”である。 

background image

53 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.16−環境上のストレス又は影響によって生じる決定論的原因故障を管理するための技法及び手段 

種別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

危険側故障をもたらすことがある電源喪失,電圧変動,
過電圧,低電圧,交流電源周波数変動などの現象に対す
る手段 

IEC 61508-7の 

A.8 

低 

中 

中 

高 

通信線からの電力線の分離 

(注記4参照) 

IEC 61508-7の 

A.11.1 

電磁イミュニティの増大 

IEC 61508-7の 

A.11.3 

低 

低 

中 

高 

物理的環境(例えば,温度,湿度,水,振動,ほこり,
腐食性物質)に対する手段 

IEC 61508-7の 

A.14 

低 

高 

高 

高 

プログラムシーケンス監視 

IEC 61508-7の 

A.9 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

温度の上昇に対する手段 

IEC 61508-7の 

A.10 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

複数ラインの空間的分離 

IEC 61508-7の 

A.11.2 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

アイドル電流原理(EUCの安全な状態を達成する又は維
持するために,連続制御が必要でない場合。) 

IEC 61508-7の 

A.1.5 

信号ラインにおける断線及び短絡を検出するための手段 

− 

オンライン監視による故障検出(注記5参照) 

IEC 61508-7の 

A.1.1 

低 

低 

中 

高 

冗長化ハードウェアによるテスト 

IEC 61508-7の 

A.2.1 

低 

低 

中 

高 

コード保護 

IEC 61508-7の 

A.6.2 

低 

低 

中 

高 

反転信号の伝送 

IEC 61508-7の 

A.11.4 

低 

低 

中 

高 

多様性のあるハードウェア(注記6を参照) 

IEC 61508-7の 

B.1.4 

低 

低 

中 

高 

ソフトウェアアーキテクチャ 

JIS C 0508-3の 

7.4.3 

JIS C 0508-3の表A.2及びC.2参
照 

この表は,最左欄の網掛けで示すように,三つのグループに分けている。灰色及び黒色の網掛けを付けたグループ

内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えることができる。ただし,灰色の網掛けを付
けたグループ内の技法のうち一つ以上,及び黒色の網掛けを付けたグループ内の技法のうち一つ以上を,使用しな
ければならない。 
注記1 各安全度水準の項目の意味については,A.3を参照。 
注記2 この表に記載の手段の多くは,“低”及び“高”の有効性の例を示す表A.18に基づいて変化する有効性に合

わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定されている
各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書A及び附属書Bにある。関連する箇条は,

この表の3列目(IEC 61508-7参照先)を参照。 

注記4 情報を光学的に送信する場合は,情報を伝送する光ケーブルと電源線などの電線とを離して設置する必要は

ない。また,E/E/PE系の部品を通電状態にしたとき,それらの部品に情報を送受信するように設計されて
いる低電力線の場合も,その必要はない。 

注記5 低頻度作動要求モードで動作するE/E/PE安全関連系(例えば,緊急時停止システム)に対しては,オンラ

イン監視による故障検出で達成される診断カバー率は,通常,“低”又は“ゼロ”である。 

注記6 ハードウェアに設計のフォールトがほとんどなく,共通原因故障に対して十分に保護されており,目標機能

失敗尺度を満たすことが,妥当性確認及び包括的な運用経験で実証されている場合,多様性のあるハードウ
ェアを要求しない。 

background image

54 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.17−決定論的運用フォールトを管理するための技法及び手段 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

部分改修の保護 

IEC 61508-7の 

B.4.8 

低 

中 

高 

高 

オンライン監視による故障検出 

(注記4参照) 

IEC 61508-7の 

A.1.1 

低 

低 

中 

高 

インプットの確認応答 

IEC 61508-7の 

B.4.9 

低 

低 

中 

高 

故障挿入プログラミング 

IEC 61508-7の 

C.3.3 

JIS C 0508-3の表A.2及びC.2参照。 

灰色の網掛けのついているグループ内に含まれる技法のうち一つ以上を,使用しなければならない。 

注記1 各安全度水準の下の項目の意味については,A.3を参照。 
注記2 この表で示している手段のうちの二つの手段は,“低”及び“高”の有効性の例を示す表A.18に基づいて

変化する有効性に合わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に
関して規定されている各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書A,附属書B及び附属書Cにある。関連

する箇条は,この表の3列目(IEC 61508-7参照先)を参照。 

注記4 低頻度作動要求モードで動作するE/E/PE安全関連系(例えば,緊急時停止システム)に対しては,オンラ

イン監視による故障検出で達成される診断カバー率は,通常,“低”又は“ゼロ”である。 

background image

55 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表A.18−決定論的原因故障を管理するための技法及び手段の有効性 

技法又は手段 

参照先 

低有効性 

高有効性 

オンライン監視によ
る故障検出(注記参
照) 

IEC 61508-7の 

A.1.1 

EUC及びその制御システムからの
トリガー信号は,E/E/PE安全関連
系の動作が正しいかどうかをチェ
ックするために使用する(上限時間
での挙動だけ)。 

E/E/PE安全関連系は,EUC及びそ
の制御システムからの時間的及び
論理的信号で再トリガーする(一
時的ウォッチドッグ機能用時間
窓)。 

冗長化ハードウェア
によるテスト(注記参
照) 

IEC 61508-7の 

A.2.1 

追加のハードウェアが,E/E/PE安
全関連系のトリガー信号をテスト
する(時間上限時での挙動だけ)。
このハードウェアは,二次操作端の
切換えを行う。 

追加のハードウェアが,E/E/PE安
全関連系からの時間的及び論理的
信号で再トリガーされる(一時的
ウォッチドッグ機能用時間窓)。複
数のチャンネル間の多数決。 

標準テストアクセス
ポート及び境界走査
アーキテクチャ 

IEC 61508-7の 

A.2.3 

プルーフテストの間,定義済み境界
走査テストを介して,使用したソリ
ッドステート論理回路のテスト。 

E/E/PE安全関連系の機能仕様に基
づくソリッドステート論理回路の
診断テスト。全ての機能は,全て
の集積回路についてチェックす
る。 

コード保護 

IEC 61508-7の 

A.6.2 

信号伝送の時間冗長性を介した故
障検出。 

信号伝送の時間及び情報冗長性を
介した故障検出。 

電源喪失,電圧変動,
過電圧及び低電圧に
対する手段 

IEC 61508-7の 

A.8 

安全遮断又は二次電源ユニットへ
の切換えによる過電圧保護。 

安全遮断又は二次電源ユニットへ
の切換えによる過電圧制御(二
次),又は安全遮断又は二次電源ユ
ニットへの切換えによる電力停
止。 

プログラムシーケン
ス監視 

IEC 61508-7の 

A.9 

プログラムシーケンスの一時的又
は論理的監視。 

プログラム内の非常に多くのチェ
ックポイントでのプログラムシー
ケンスの時間的及び論理的監視。 

温度上昇に対する手
段 

IEC 61508-7の 

A.10 

温度過昇の検出。 

温度ヒューズを介しての安全遮断
の起動,又は幾つかのレベルの温
度過昇感知及びアラーム,又は強
制空冷の接続及び状態表示。 

電磁イミュニティの
増大(注記参照) 

IEC 61508-7の 

A.11.3 

電源,及び電磁妨害が注入されるお
それがある入出力へのフィルタの
設置。必要に応じて遮蔽。 

通常,予測できない電磁妨害注入
に対するフィルタ・遮蔽。 

物理的環境に対する
手段 

IEC 61508-7の 

A.14 

アプリケーションに応じて通常行
っている対策。 

特定アプリケーションの規格で示
された技法。 

多様性のあるハード
ウェア 

IEC 61508-7の 

B.1.4 

同じ機能を実行するが,設計の点で
異なる二つ以上の品目。 

異なる機能を実行する二つ以上の
品目。 

部分改修の保護 

IEC 61508-7の 

B.4.8 

部分改修には,特定のツールを必要
とする。 

部分改修には,パスワード付きの
キーロック又は専用ツールが必要
である。 

インプットの確認応
答 

IEC 61508-7の 

B.4.9 

インプット操作の運転員へのエコ
ー。 

運転員によるデータインプットの
厳密な規則のチェック,又は誤っ
たインプットの拒否。 

注記 IEC 61508-7のA.1.1,A.2.1,A.11.3及びA.14を参照した技法の場合,高有効性の技法又は手段については低

有効性の取組方法も使用されることを想定している。 

56 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書B 

(規定) 

E/E/PE安全関連系の技法及び手段−ライフサイクルの 

様々なフェーズ中の決定論的原因故障の回避 

この附属書の表B.1〜表B.5では,E/E/PE安全関連系の故障を回避するための技法及び手段を,安全度

水準ごとに推奨している。技法及び手段の詳細は,IEC 61508-7の附属書Bを参照する。運用中の故障を

管理する手段の要求事項は附属書Aに規定しており,またIEC 61508-7の附属書Aに記述されている。 

次の二つの理由から,安全ライフサイクル全体において発生する決定論的原因故障の個々の原因又は対

策を,列挙することはできない。 

− 決定論的原因フォールトの影響は,その故障が発生したライフサイクルフェーズによって異なる。 

− 決定論的原因故障を回避するための単一のいかなる手段の有効性も,利用分野によって異なる。 

したがって,決定論的原因故障を回避するための定量的解析は,不可能である。 

E/E/PE安全関連系の故障は,原因となるフォールトが発生するライフサイクルフェーズに従って,次の

ように分類できることがある。 

− システムの設置前又は設置中に発生したフォールトによる故障(例えば,ソフトウェアフォールトに

は,仕様及びプログラムのフォールトを含み,ハードウェアフォールトには,製造上のフォールト及

び要素の間違った選択によるフォールトを含む。)。 

− システムの設置後に発生したフォールトによる故障(例えば,ランダムハードウェア故障又は誤用に

よる故障。)。 

このような故障を回避するために,又は発生時にそれを管理するために,通常は多くの手段を必要とす

る。これらの手段を大きく分けて,運用中の故障を管理するために使用する手段を附属書Aに規定し,

E/E/PE系安全ライフサイクルの様々なフェーズで故障が発生することを回避するための手段を,附属書B

(この附属書)に規定している。故障を管理するための手段は,E/E/PE安全関連系の組込み機能であり,

故障を回避するための手段は,安全ライフサイクル中に実施する。 

表B.1〜表B.5では,まず,技法又は手段の“重要性”について規定し,次に,技法又は手段を使用し

たときに求められる“有効性”について規定する。これらは,安全度水準によって要求事項又は推奨事項

を示している。 

“重要性”の記号の意味は次による。 

− M :技法又は手段を要求する(必須)。 

− HR:技法又は手段を用いるように強く推奨する。この技法又は手段を使用しない場合は,使用しない

理論的根拠について詳述しなければならない。 

− R :技法又は手段を使用することを推奨する。 

− - :技法又は手段を使用することに関しては,推奨も反対もしない。 

− NR:技法又は手段を使用することを積極的には望まない。この技法又は手段を使用する場合は,使用

する理論的根拠について詳述しなければならない。 

求められる“有効性”の記号の意味は,次による。 

− 低 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“低”の範囲内

57 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

で使用しなければならない。 

− 中 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が少なくとも“中”の範囲内

で使用しなければならない。 

− 高 :技法及び手段を使用する場合,決定論的原因故障に対して,有効性が“高”の範囲内で使用しな

ければならない。 

注記 表B.1〜表B.5に示す手段の大部分は,表B.6に基づく有効性を加味して使用できる。表B.6

は,“低”及び“高”の有効性の例を示している。“中”の有効性に求められる取組みは,有効

性の取組みに関する規定の“低”と“高”との間にある。 

手段が必須でない場合,一般に他の手段で(個別か組合せのいずれかで)置き換えることができる。こ

れを,表の最左欄に網掛けして示す。 

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。 

− 選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。 

− 開発ライフサイクルの全てのフェーズにとって,どの技法及び手段が適切であるか。 

− それぞれの異なるE/E/PE安全関連系の開発期間中に起きる特定の問題に対して,どの技法及び手段が

最も適切であるか。 

background image

58 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.1−E/E/PE系設計要求仕様中の過失を回避するための技法及び手段(7.2参照) 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

プロジェクトマネジメント 

IEC 61508-7の 

B.1.1 

低 

低 

中 

高 

文書化 

IEC 61508-7の 

B.1.2 

低 

低 

中 

高 

E/E/PE系安全関機能の安全以外の機能
からの分離 

IEC 61508-7の 

B.1.3 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

構造化仕様 

IEC 61508-7の 

B.2.1 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

仕様書の検査 

IEC 61508-7の 

B.2.6 

低 

HR 

低 

HR 

中 

HR 

高 

準形式手法  

IEC 61508-7の 

B.2.3, 

JIS C 0508-3の

表B.7も参照 

低 

低 

HR 

中 

HR 

高 

チェックリスト 

IEC 61508-7の 

B.2.5 

低 

低 

中 

高 

コンピュータ支援仕様作成ツール 

IEC 61508-7の 

B.2.4 

低 

低 

中 

高 

形式手法 

IEC 61508-7の 

B.2.2 

低 

低 

中 

高 

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。 

この安全ライフサイクルフェーズの適合確認では,この表で灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は表B.5に列挙する技法又は手段のうち一つ以上を,使用しなければならない。 
注記1 各安全度水準の項目の意味については,この表より前に記述されている本文を参照。 
注記2 この表の手段は,“低”及び“高”の有効性の例を示す表B.6に基づいて変化する有効性に合わせて使

用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定されている各
努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書Bにある。関連する箇条は,この表の

3列目(IEC 61508-7参照先)を参照。 

background image

59 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.2−E/E/PE系の設計及び開発中のフォールトの誘引を 

回避するための技法及び手段(7.4参照) 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

指針及び規格の適合 

IEC 61508-7の 

B.3.1 

高 

高 

高 

高 

プロジェクトマネジメント 

IEC 61508-7の 

B.1.1 

低 

低 

中 

高 

文書化 

IEC 61508-7の 

B.1.2 

低 

低 

中 

高 

構造化設計 

IEC 61508-7の 

B.3.2 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

モジュール化 

IEC 61508-7の 

B.3.4 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

十分な実績のある(well-tried)構成部
品の使用 

IEC 61508-7の 

B.3.3 

低 

低 

中 

高 

準形式手法 

IEC 61508-7の 

B.2.3, 

JIS C 0508-3の

表B.7も参照 

低 

低 

HR 

中 

HR 

高 

チェックリスト 

IEC 61508-7の 

B.2.5 

低 

低 

中 

高 

コンピュータ支援仕様作成ツール 

IEC 61508-7の 

B.3.5 

低 

低 

中 

高 

シミュレーション 

IEC 61508-7の 

B.3.6 

低 

低 

中 

高 

ハードウェアの検査又はハードウェア
のウォークスルー 

IEC 61508-7の 

B.3.7 
B.3.8 

低 

低 

中 

高 

形式手法 

IEC 61508-7の 

B.2.2 

低 

低 

中 

高 

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。 

この安全ライフサイクルフェーズの適合確認では,この表の灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は表B.5に列挙する技法又は手段のうち一つ以上を,使用しなければならない。 
注記1 各安全度水準の項目の意味については,表B.1より前に記述されている本文を参照。 
注記2 この表の手段の大部分は,“低”及び“高”の有効性の例を示す表B.6に基づいて変化する有効性に合

わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定され
ている各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書Bにある。関連する箇条は,この表の

3列目(IEC 61508-7参照先)を参照。 

background image

60 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.3−E/E/PE系の統合中のフォールトを 

回避するための技法及び手段(7.5参照) 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

機能テスト 

IEC 61508-7の 

B.5.1 

高 

高 

高 

高 

プロジェクトマネジメント 

IEC 61508-7の 

B.1.1 

低 

低 

中 

高 

文書化 

IEC 61508-7の 

B.1.2 

低 

低 

中 

高 

ブラックボックステスト 

IEC 61508-7の 

B.5.2 

低 

低 

中 

高 

フィールドの実績 

IEC 61508-7の 

B.5.4 

低 

低 

中 

高 

統計的テスト 

IEC 61508-7の 

B.5.3 

低 

低 

中 

高 

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。 

この安全ライフサイクルフェーズの適合確認では,この表の灰色の網掛けを付けた技法又は手段のうち一つ

以上,又は表B.5に列挙する技法又は手段のうち一つ以上を,使用しなければならない。 
注記1 各安全度水準の項目の意味については,表B.1より前に記述されている本文を参照。 
注記2 この表の手段の大部分は,“低”及び“高”の有効性の例を示す表B.6に基づいて変化する有効性に合

わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定され
ている各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書Bにある。関連する箇条は,この表の

3列目(IEC 61508-7参照先)を参照。 

background image

61 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.4−E/E/PE系の運用及び保全手順の実施中のフォールト及び故障を 

回避するための技法及び手段(7.6参照) 

種 
別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

運用及び保全指示書 

IEC 61508-7の 

B.4.1 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

使いやすさ 

IEC 61508-7の 

B.4.2 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

保全のしやすさ 

IEC 61508-7の 

B.4.3 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

プロジェクトマネジメント 

IEC 61508-7の 

B.1.1 

低 

低 

中 

高 

文書化 

IEC 61508-7の 

B.1.2 

低 

低 

中 

高 

運用の可能性の制限 

IEC 61508-7の 

B.4.4 

低 

低 

HR 

中 

HR 

高 

運転員の間違いに対する保護 

IEC 61508-7の 

B.4.6 

低 

低 

HR 

中 

HR 

高 

熟練運転員だけによる運用 

IEC 61508-7の 

B.4.5 

低 

低 

中 

HR 

高 

灰色の網掛けを付けたグループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えること

ができるが,これらの技法のうち一つ以上を,使用しなければならない。 

この安全ライフサイクルフェーズの適合確認では,チェックリスト(IEC 61508-7のB.2.5参照)又は検査(IEC 

61508-7のB.2.6参照)によって,実施しなければならない。 
注記1 各安全度水準の項目の意味については,表B.1より前に記述されている本文を参照。 
注記2 この表の手段の大部分は,“低”及び“高”の有効性の例を示す表B.6に基づいて変化する有効性に合

わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定され
ている各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書Bにある。関連する箇条は,この表の

3列目(IEC 61508-7参照先)を参照。 

background image

62 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.5−E/E/PE系の安全妥当性確認中のフォールトを 

回避するための技法及び手段(7.7参照) 


別 

技法又は手段 

参照先 

SIL1 

SIL2 

SIL3 

SIL4 

機能テスト 

IEC 61508-7の 

B.5.1 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

環境条件の下での機能テスト 

IEC 61508-7の 

B.6.1 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

サージイミュニティのテスト 

IEC 61508-7の 

B.6.2 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

フォールト挿入テスト(要求される診
断カバー率≧90 %のとき) 

IEC 61508-7の 

B.6.10 

HR 

高 

HR 

高 

HR 

高 

HR 

高 

プロジェクトマネジメント 

IEC 61508-7の 

B.1.1 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

文書化 

IEC 61508-7の 

B.1.2 

HR 

低 

HR 

低 

HR 

中 

HR 

高 

静的解析,動的解析及び故障分析 

IEC 61508-7の 

B.6.4 
B.6.5 
B.6.6 

低 

低 

中 

高 

シミュレーション及び故障分析 

IEC 61508-7の 

B.3.6 
B.6.6 

低 

低 

中 

高 

最悪条件解析,動的解析及び故障分析 

IEC 61508-7の 

B.6.7 
B.6.5 
B.6.6 

低 

低 

中 

高 

静的解析及び故障分析(注記4参照) 

IEC 61508-7の 

B.6.4 
B.6.6 

低 

低 

NR 

NR 

拡張機能テスト 

IEC 61508-7の 

B.6.8 

低 

HR 

低 

HR 

中 

HR 

高 

ブラックボックステスト 

IEC 61508-7の 

B.5.2 

低 

低 

中 

高 

フォールト挿入テスト(要求される診
断カバー率が90 %未満のとき) 

IEC 61508-7の 

B.6.10 

低 

低 

中 

高 

統計的テスト 

IEC 61508-7の 

B.5.3 

低 

低 

中 

高 

ワーストケース状況テスト 

IEC 61508-7の 

B.6.9 

低 

低 

中 

高 

フィールドの実績 

IEC 61508-7の 

B.5.4 

低 

低 

中 

NR 

background image

63 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.5−E/E/PE系の安全妥当性確認中のフォールトを 

回避するための技法及び手段(7.7参照)(続き) 

この表は,最左欄の網掛けで示すように,三つのグループに分けている。灰色及び黒色の網掛けを付けたグ

ループ内の“R”表示の全ての技法は,そのグループ内の他の技法と置き換えることができる。ただし,灰色の
網掛けを付けたグループ内の技法(解析的技法)のうち一つ以上,及び黒色の網掛けを付けたグループ内の技
法(テスト技法)のうち一つ以上を,使用しなければならない。 
注記1 各安全度水準の項目の意味については,表B.1より前に記述されている本文を参照。 
注記2 この表に記載の手段の多くは,“低”及び“高”の有効性の例を示す表B.6に基づいて変化する有効性

に合わせて使用できる。“中”の有効性に求められる努力は,“低”及び“高”の有効性に関して規定
されている各努力の間のどこかにある。 

注記3 この表に関連する技法及び手段の概要は,IEC 61508-7の附属書Bにある。関連する箇条は,この表の

3列目(IEC 61508-7参照先)を参照。 

注記4 静的解析及び故障分析はSIL 3及びSIL 4に対しては好ましくないが,それは,動的解析と組み合わせ

て使用するのでない限り,これらの技法は十分なものでないためである。 

background image

64 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.6−決定論的原因故障を回避するための技法及び手段の有効性 

技法又は手段 

参照先 

低有効性 

高有効性 

プロジェクトマネ
ジメント 

(注記参照) 

IEC 61508-7の 

B.1.1 

業務及び責任の定義, 
日程計画及び資源の割当
て, 
要員の訓練, 
部分改修後の一貫性チェ
ック。 

設計とは関係のない妥当性確認, 
プロジェクト監視, 
標準化妥当性確認手順, 
構成管理,故障の統計, 
コンピュータ支援エンジニアリング,コンピュ
ータ支援ソフトウェアエンジニアリング。 

文書化 

(注記参照) 

IEC 61508-7の 

B.1.2 

グラフィック及び自然言
語の記述,例えば,ブロ
ックダイアグラム,フロ
ーダイアグラム。 

組織全体における一貫した内容とレイアウトの
指針, 
内容のチェックリスト, 
コンピュータ支援文書化管理, 
公式の変更管理。 

E/E/PE系安全機能
の安全以外の機能
からの分離 

IEC 61508-7の 

B.1.3 

E/E/PE安全関連系と非安
全関連系の間の明確に定
義されているインタフェ
ース。 

E/E/PE安全関連系の非安全関連系からの全体的
な分離,すなわち,非安全関連系のE/E/PE安全
関連系への書込み不可及び共通原因の影響を回
避するための個別の物理的場所。 

構造化仕様 

IEC 61508-7の 

B.2.1 

手動での副次的要求事項
への階層的分離,インタ
フェースの記述。 

コンピュータ支援エンジニアリングを使用して
記述した階層的分離, 
一貫性自動チェック, 
機能レベルまでへの精緻化。 

形式手法 

IEC 61508-7の 

B.2.2 

形式手法の経験豊かな要
員が使用。 

コンピュータ支援ツールと共に類似のアプリケ
ーションで形式手法の経験豊かな要員が使用。 

準形式手法 

IEC 61508-7の 

B.2.3 

準形式手法で致命的とな
る部品の記述。 

異なる準形式手法で全E/E/PE安全関連系を記
述して異なる面を示す,方法間の一貫性をチェ
ック。 

コンピュータ支援
仕様作成ツール 

IEC 61508-7の 

B.2.4 

一つの特定の設計方法に
偏ることのないツール。 

階層的分離を行うモデル指向手順, 
全てのオブジェクト及びそれらの関係の記述, 
共通のデータベース, 
自動一貫性チェック。 

チェックリスト 

IEC 61508-7の 

B.2.5 

全ての安全ライフサイク
ルフェーズのチェックリ
ストの準備,主要な安全
問題に集中。 

全ての安全ライフサイクルフェーズの詳細なチ
ェックリストの準備。 

仕様の検査 

IEC 61508-7の 

B.2.6 

独立した人間による安全
要求仕様の検査。 

検出されたフォールトは全て修復する形式的手
順を使用しての,独立した組織による検査と再
検査。 

構造化設計 

IEC 61508-7の 

B.3.2 

階層的回路設計, 
手動での制作。 

テスト済み回路部品の再使用, 
仕様書・設計書・回路ダイアグラム・部品リス
ト間のトレーサビリティ, 
コンピュータ支援方式, 
定義済み方法に基づく設計(7.4.6も参照)。 

十分な実績のある

(well-tried)構成部

品の使用(注記参
照) 

IEC 61508-7の 

B.3.3 

十分な寸法記入, 
構造上の特性。 

実績による使用(proven in use) 

(7.4.10参照) 

モジュール化 

(注記参照) 

IEC 61508-7の 

B.3.4 

サイズが限定されている
モジュール, 
各モジュールは機能上分
離。 

正しく実証されたモジュールの再使用, 
容易に理解できるモジュール, 
各モジュールは最大一つのインプット,一つの
アウトプット及び一つの故障状態をもつ。 

background image

65 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.6−決定論的原因故障を回避するための技法及び手段の有効性(続き) 

技法又は手段 

参照先 

低有効性 

高有効性 

コンピュータ支援
設計ツール 

IEC 61508-7の 

B.3.5 

安全ライフサイクルの複
雑なフェーズに対するコ
ンピュータ支援。 

使用実績があるか(7.4.10参照),又は有効性確
認されているツールの使用。 
安全ライフサイクルの全てのフェーズにおける
汎用コンピュータ支援開発。 

シミュレーション 

IEC 61508-7の 

B.3.6 

周辺装置の境界データを
含む,モジュールレベル
でのモデル化。 

境界データを含む,構成要素レベルでのモデル
化。 

ハードウェアの検
査 

IEC 61508-7の 

B.3.7 

設計とは無関係な人によ
る検査。 

全てのフォールトを修復する形式手順を使用し
た,設計とは無関係な組織による検査及び再検
査。 

ハードウェアの 
ウォークスルー 

IEC 61508-7の 

B.3.8 

ウォークスルーには,設
計とは無関係な人が含ま
れる。 

ウォークスルーには,設計とは無関係な組織が
含まれ,全てのフォールトを修復する形式手順
が実施される。 

運用可能性の制限 

(注記参照) 

IEC 61508-7の 

B.4.4 

運用モードの変更を規制
するためのキー操作スイ
ッチ又はパスワード。 

運用を可能にする定義済みの強じん(靭)な手
順。 

熟練運転員だけに
よる運用 

IEC 61508-7の 

B.4.5 

運用する安全システムの
タイプに関する基本訓練
を受けており,関連経験
を現場で2年間積んでい
る。 

全ての運転員に対して毎年訓練が実施され,各
運転員は,安全関連装置に関して,低安全度水
準で5年間以上の経験を積んでいる。 

運転員の過失に対
する保護(注記参
照) 

IEC 61508-7の 

B.4.6 

インプットの入力確認。 

各インプットコマンドについて確認及び整合性
チェック。 

ブラックボックス
テスト 

(注記参照) 

IEC 61508-7の 

B.5.2 

事前書込みテストケース
を使用した,同等クラス
及びインプットパーティ
ションテスト,境界値テ
スト。 

極端な運用境界でクリティカルケースを組み合
わせながら,原因結果ダイアグラムに基づくテ
ストケースを実行。 

統計的テスト 

(注記参照) 

IEC 61508-7の 

B.5.3 

全てのインプットデータ
の統計学的分布。 

ツールによるテスト報告書の作成, 
非常に多くのテストケース, 
現実の利用条件及び想定故障モデルに基づくイ
ンプットデータの配付。 

フィールドの実績 

(注記参照) 

IEC 61508-7の 

B.5.4 

10 000時間の運用時間, 
異なる利用分野において
10台以上の装置に対する
1年間以上の経験,統計学
的正確さ95 %, 
安全性の点で極めて重大
な故障なし。 

1千万時間の運用時間, 
異なる利用分野において10台以上の装置に対
する2年間以上の経験,統計学的正確さ99.9 %,
過去の運用中の全ての変更(軽微な変更も含む)
の詳細な文書化。 

サージイミュニテ
ィテスト 

IEC 61508-7の 

B.6.2 

− 

サージイミュニティは,実使用状態での最悪値
よりも明確に高い値で試験する。 

静的解析 

IEC 61508-7の 

B.6.4 

ブロックダイアグラムに
基づく,弱点の洗い出し,
テストケースの指定。 

詳細なダイアグラムに基づく, 
テストケース中で期待される挙動の予想,テス
トツールの使用。 

background image

66 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表B.6−決定論的原因故障を回避するための技法及び手段の有効性(続き) 

技法又は手段 

参照先 

低有効性 

高有効性 

動的解析 

IEC 61508-7の 

B.6.5 

ブロックダイアグラムに
基づく,弱点の洗い出し,
テストケースの明記。 

詳細なダイアグラムに基づく, 
テストケース中の期待される挙動の予想, 
テストツールの使用。 

故障分析 

IEC 61508-7の 

B.6.6 

周辺装置の境界データを
含めて,モジュールレベ
ルで解析。 

境界データを含む, 
構成要素レベルで解析。 

ワーストケース 
状況解析 

IEC 61508-7の 

B.6.7 

安全機能で実施,実際の
運用条件の境界値組合せ
を使用して概算。 

安全以外の機能で実施,実際の運用条件の境界
値組合せを使用して概算。 

拡張機能テスト 

IEC 61508-7の 

B.6.8 

全ての安全機能が,フォ
ールトプロセス又は運用
条件によって引き起こさ
れた静的インプット状態
の場合に維持されるかど
うかをテスト。 

全ての安全機能が,フォールトプロセス又は運
用条件(ほとんど発生しない条件も含む)によ
って引き起こされた静的インプット状態及び/
又は異常なインプット変化の場合に維持される
かどうかをテスト。 

ワーストケース 
状況テスト 

IEC 61508-7の 

B.6.9 

安全機能が,実際の運用
条件で生成される境界値
の組合せに対して維持さ
れるかどうかをテスト。 

安全以外の機能が,実際の運用条件で生成され
る境界値の組合せに対して維持されるかどうか
をテスト。 

フォールト挿入テ
スト 

IEC 61508-7の 

B.6.10 

境界データ又は周辺装置
を含めて,サブユニット
レベルでテスト。 

境界データを含めて,構成要素レベルでテスト。 

注記 IEC 61508-7のB.1.1,B.1.2,B.3.3,B.3.4,B.4.4,B.4.6,B.5.2,B.5.3,B.5.4,B.6.7及びB.6.9を参照する技

法の場合,高有効性の技法又は手段については,低有効性の取組方法も使用することを,想定している。 

67 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書C 
(規定) 

診断カバー率及び安全側故障割合 

C.1 ハードウェア要素の診断カバー率及び安全側故障割合の算出 

要素の診断カバー率及び安全側故障割合(JIS C 0508-4の3.8.6及び3.6.15参照)は,次のように算出し

なければならない。 

a) 自己診断テストがない場合は,E/E/PE安全関連系の動作に対する要素の各構成要素又は構成要素群の

各故障モードの影響を評価するために,故障モード分析及び影響解析を実施する。故障モード分析及

び影響解析を実施し,安全度要求事項と釣り合った適切な信頼度水準が確立できるだけの十分な情報

が利用できなければならない(注記1及び注記2参照)。 

注記1 この解析を実施するには,次の情報が必要となる。 

− 要素及び検討対象の安全機能に影響を与えるE/E/PE安全関連系の関連箇所の相互接

続を記述するE/E/PE安全関連系の詳細ブロック図。 

− 各構成要素又は構成要素群及び構成要素間の接続を記述する要素のハードウェア概略

図。 

− 各構成要素又は構成要素群の故障モード及び故障率,並びに全体故障率における安全

側故障及び危険側故障の割合(%)。 

注記2 この解析に対して要求する厳密さは,多くの要因(JIS C 0508-1の4.1参照)に左右され

る。特に,関連する安全機能の安全度水準を考慮する必要がある。より高い安全度水準の

場合,特定の構成要素タイプ及びアプリケーション環境によって,故障モード分析及び影

響解析は極めて固有のものであることが予想される。また,ハードウェアフォールトトレ

ランスが0のハードウェアアーキテクチャで使用する要素の場合は,徹底的なかつ詳細な

解析が非常に重要である。 

b) 次のいずれかの故障を引き起こすかどうかに基づいて,各故障モードを分類する(自己診断テストが

実施されない場合)。 

− 安全側故障 

− 危険側故障 

c) 無影響故障及び安全以外の機能の故障は,診断カバー率又は安全側故障割合の算出に,どのような影

響も与えてはならない。 

d) 構成要素又は構成要素群ごとの故障率の概算値(λ)(注記4参照)及び各構成要素又は構成要素群の

故障モード分析及び影響解析の結果から,安全側故障率(λS)及び危険側故障率(λD)を算出する。

これらの故障率の一つが一定でない場合は,所定の期間にわたる平均を概算して,診断カバー率(DC)

及び安全側故障割合(SFF)の計算で,使用しなければならない。 

注記3 各構成要素又は構成要素群の故障率は,業界の公知の情報源からのデータを使用し,アプ

リケーション環境を考慮して概算できる。ただし,そのアプリケーションに特化したデー

タを使用することが望ましい。特に,要素が僅かな構成要素から構成されていて,特定の

構成要素の安全側故障の確率と危険側故障の確率とを概算したときの誤差が,安全側故障

割合の概算に著しい影響を与えるおそれのある場合が,これに該当する。 

68 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

e) 各構成要素又は構成要素群に関しては,自己診断テスト(C.2参照)によって検出される危険側故障

の割合,すなわち,自己診断テストで検出される危険側故障率(λDd)を,概算する。 

f) 

要素に関しては,全危険側故障率(ΣλD),診断テストで検出される全危険側故障率(ΣλDd)及び全安

全側故障率(ΣλS)を算出する。 

g) 要素の診断カバー率を,(ΣλDd/ΣλD)として算出する。 

h) 要素の安全側故障割合を,次のように算出する。 

SFF=(ΣλS+ΣλDd)/(ΣλS+ΣλDd+ΣλDu) 

注記4 上の式は,故障率が定故障率に基づいている場合に適用できる(最終式については,JIS C 

0508-4の3.6.15参照)。 

注記5 各安全機能について,達成された機能失敗尺度を概算するときに,E/E/PE安全関連系の各

要素の診断カバー率がある場合には,それを考慮する(7.4.5.2参照)。ハードウェア安全

度に対するアーキテクチャ上の制限を決めるときは,安全側故障割合を考慮する(7.4.4参

照)。 

診断カバー率及び安全側故障割合の決定に使用する解析には,E/E/PE安全関連系の要求に従って要素が

安全機能を履行できるようにするために必要な電気式,電子式,電気機械式,機械式など全ての構成要素

を含めなければならない。不安全な状態を引き起こしたり,安全応答が必要とされるときにそのような応

答を妨げたり,又はE/E/PE安全関連系の安全度を低下させたりするような考えられる全ての危険故障モー

ドは,構成要素ごとに考慮しなければならない。 

表A.1は,運用中に検出しなければならないか,又は安全側故障割合の概算で分析しなければならない

フォールト又は故障を示している。 

現場のデータを使用して故障モード分析及び影響解析を裏付ける場合は,安全度要求事項を裏付けるだ

けの十分なものでなければならない。70 %以上の統計学的片面信頼下限値が要求される。 

注記6 診断カバー率及び安全側故障割合の算出例は,IEC 61508-6の附属書Cに示されている。 

注記7 診断カバー率を算出するために,設計で使用するE/E/PE安全関連系の回路及び電子部品の両

方の詳細(例えば,集積回路のトランジスタのレベルまで)を含む,コンピュータモデルを

使用したフォールトのシミュレーションを伴う代替方法が使用できる。 

C.2 診断カバー率の決定 

要素の診断カバー率の算出において(C.1参照),構成要素又は構成要素群ごとに,診断テストで検出さ

れる危険側故障の割合を概算する必要がある。診断カバー率に寄与する診断テストは,次の事項を含むが,

これらだけに限定されることはない。 

− 比較チェック,例えば,冗長信号の監視及び比較 

− 追加の組込みテストルーチン,例えば,メモリのチェックサム 

− 外部刺激によるテスト,例えば,制御パスを通じてのパルス信号の送信 

− アナログ信号の連続監視,例えば,センサ故障を示している範囲外値の検出 

診断カバー率を算出するためには,診断テストで検出される故障のモードを決定する必要がある。単純

な構成要素(抵抗器,コンデンサ,トランジスタなど)の開回路又は短絡故障は,100 %の範囲で検出で

きる。しかし,より複雑なタイプBの要素(7.4.4.1.3参照)の場合は,表A.1に示す様々な構成要素の診

断カバー率に対する制限を考慮することが望ましい。この解析は,ハードウェア要素を構成する部品若し

くは構成する部品群のそれぞれに対して,又はE/E/PE安全関連系の要素のそれぞれに対して実施しなけれ

69 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ばならない。 

注記1 表A.2〜表A.14では,自己診断テストの技法及び手段並びに主張できる最大診断カバー率を,

推奨している。これらのテストは,自己診断テストの間隔によって連続的に又は定期的に実

施できる。これらの表は,附属書Cのいかなる要求事項を代替するものではない。 

注記2 自己診断テストによって,E/E/PE安全関連系の機能安全を達成する上でかなりの利益を得る

ことができる。ただし,例えば,適合確認,妥当性確認,機能安全評価,保全,部分改修業

務など,困難さを増大させるおそれのある複雑さを不必要に増すことのないように,注意し

なければならない。複雑さの増大は,E/E/PE安全関連系の長期間にわたる機能安全性の維持

を,より難しくすることもある。 

診断カバー率を得るための計算,及びそれを用いる方法では,EUCが,自己診断テストで検出される危

険側フォールトを発生している状態で安全に動作できると,仮定する。その仮定が正しくない場合,E/E/PE

安全関連系は,高頻度作動要求及び連続モードで動作しているものと,みなさなければならない(7.4.8.3,

7.4.5.3及び7.4.5.4参照)。 

注記3 診断カバー率の定義は,JIS C 0508-4の3.8.6にある。診断カバー率の代替定義を仮定するこ

とがあるが,この規格内では適用できないことに注意することが重要である。 

注記4 要素内の危険側故障の検出に使用する自己診断テストは,E/E/PE安全関連系内の別の要素で

実現されることがある。 

注記5 自己診断テストは,自己診断テストの間隔次第で,連続的に又は定期的に実施できる。テス

トがシステムの状態に悪影響を与える可能性のために,自己診断テストを実施することが望

ましくないことがある。この場合,計算におけるいかなる利益も,自己診断テストからは主

張できないことがある。 

70 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書D 
(規定) 

準拠項目に対する安全マニュアル 

D.1 一般 

準拠項目の安全マニュアルは,準拠項目に関連して,この規格の要求事項に従った準拠項目の安全関連

系,又はサブシステム若しくは要素への統合を可能にするために必要な全ての情報を文書化することを,

目的とする。 

D.2 内容 

D.2.1 安全マニュアルでは,準拠項目の機能を指定しなければならない。準拠項目の機能は,安全関連系

の安全機能又はサブシステム若しくは要素の機能を支援するために,使用されることがある。仕様は,機

能並びに入力及び出力インタフェースの両方を明確に記述することが望ましい。 

各準拠項目について,安全マニュアルは,次の事項を含まなければならない。 

a) 実施することができる機能の機能仕様。 

b) JIS C 0508-1の6.2.1に従ったE/E/PE安全関連系の変更管理を可能にするための,準拠項目のハード

ウェア及び/又はソフトウェア構成の識別。 

c) 準拠項目の仕様に対する制約,及び/又は品目の動作又は故障率の解析の基礎となる仮定。 

D.2.2 各機能について,安全マニュアルは,次の事項を含まなければならない。 

a) ランダムハードウェア故障による,機能の故障を引き起こす準拠項目内部の診断で検出されない,準

拠項目の故障モード(出力の挙動に関して)。 

b) a) における全ての故障モードに対する推定故障率。 

c) ランダムハードウェア故障による,機能の故障を引き起こす準拠項目内部の診断で検出される,準拠

項目の故障モード(出力の挙動に関して)。 

d) ランダムハードウェア故障による,機能の故障を検出する診断の失敗を引き起こす,準拠項目内部の

診断の故障モード(出力の挙動に関して)。 

e) c) 及びd) における全ての故障モードに対する推定故障率。 

f) 

準拠項目内部の診断で検出されるc) の各故障モードに対する,自己診断テスト間隔。 

g) c) の全ての故障モードに対する,内部診断によって開始される,準拠項目の出力。 

注記 内部診断の出力は,EUCの安全状態を達成するか又はそれを維持するための,E/E/PE安全関

連系,サブシステム又は要素に対する技術的及び/又は手順上の追加の手段を開始するため

に,使用できることもある。 

h) 定期プルーフテスト及び/又は保全要求事項。 

i) 

規定の機能に関する,外部診断によって検出することができる故障モードについて,外部診断能力の

開発を容易にするための十分な情報を提供しなければならない。情報は,故障モードの詳細及びそれ

らの故障モードの故障率を,含まなければならない。 

j) 

ハードウェアフォールトトレランス。 

k) 機能を提供する準拠項目の当該部のタイプA又はタイプBとしての分類(7.4.4.1.2及び7.4.4.1.3参照)。 

故障モードは,準拠項目のアプリケーションで,EUCの潜在危険が分かっている場合にだけ,安全

71 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

側又は危険側として分類することができる。例えば,高い出力信号が,EUCの潜在危険(例えば,圧

力高)を伝えるために使用されるようにセンサを使用する場合,潜在危険の正しい指示を妨害する故

障モード(例えば,出力信号が低で不作動状態に固着する)は危険側と分類され,他方で,センサ出

力信号を高くする故障モードは安全側と分類されることになる。これは,センサ出力信号が安全関連

系の論理回路によってどのように解釈されるかに依存しており,したがって,センサを適用する方法

を制約することなしに指定することはできない。 

また,準拠項目に関して主張される診断カバー率の水準は,システム論理内の診断の範囲,又は準

拠項目の内部診断を補完することがある外部信号処理によって,適用ごとに異なることがある。 

その結果,制約が準拠項目の適用に対して行われた場合にだけ,ハードウェアフォールトトレラン

ス又は安全側故障割合を概算することができる。これらの制約は,準拠項目の供給者の管理外である。

したがって,基礎となる仮定が,安全側及び危険側故障モードを構成するものに関して明確に指定さ

れない場合,ハードウェアフォールトトレランス若しくは安全側故障割合,又は安全側及び危険側故

障モードに依存する他の機能安全特性に関して,安全マニュアルではいかなる主張も行ってはならな

い。 

D.2.3 決定論的原因故障に陥りやすい準拠項目の全ての機能について,安全マニュアルは,次の事項を含

まなければならない。 

a) 機能を提供する準拠項目,又はその要素の当該部の決定論的能力。 

b) 機能に関連する,準拠項目の決定論的原因故障を回避するために順守することが望ましい,準拠項目

の適用に関連する指示又は制約。 

注記 決定論的能力によって指示される決定論的安全度は,指示及び制約を順守した場合だけ達成

することができる。違反が起きた場合,決定論的能力に対する主張は,部分的又は全面的に

無効となる。 

D.2.4 ソフトウェア準拠項目に関連する追加の要求事項については,JIS C 0508-3の7.4.2.12及び附属書

Dを参照。 

72 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書E 

(規定) 

オンチップ冗長をもつ集積回路(IC)の 

特殊アーキテクチャ要求事項 

E.1 

一般 

この附属書は,7.4.2.2 b) 及び7.4.4.1.1 c) で引用している。 

一つの共通半導体基板をもつICのオンチップ冗長の使用を可能にするための,一連の要求事項を次の

a)〜q) に示す。安全性の理由から,このアプローチは,保守的な性質をもち,例えばSIL 3までに制限さ

れ,一連の制約要求事項が規定されている。a)〜q) の要求事項は,デジタルICだけに関連している。混

合モード及びアナログICについては,現時点ではいかなる一般要求事項も示すことはできない。共通原因

分析(JIS C 0508-1の7.6.2.7参照)は,個々のアプリケーションについて,オンチップ冗長の使用を除外

することもある。この規格で使用するオンチップ冗長は,ゼロよりも大きなハードウェアフォールトトレ

ランスを確立するための機能単位の二重化(又は三重化など)を意味する。7.4.4.1.1 a) に従い,ハードウ

ェアフォールトトレランスを決定するときは,診断などのフォールトの影響を制御することがある手段は,

考慮しない。 

0よりも大きなハードウェアフォールトトレランスをもつサブシステムは,一つの単一IC半導体基板(オ

ンチップ冗長)を使用して実現することができる。この場合,次の要求事項a)〜q) の全てを満たさなけれ

ばならず,また,E/E/PE系及びICの設計は,これらの要求事項を満たすものでなければならない。オン

チップ冗長をもつICは,それ独自の準拠項目に対する安全マニュアルをもたなければならない(附属書D

参照)。 

a) 上記のように,ICを使用する安全機能に対して主張することができる最高の安全度水準は,SIL 3ま

でに制限する。 

注記1 現状の技術,知識及び経験では,SIL 4に対する十分な信頼を得るための要素(単一IC)

に関連した全ての影響に対する手段を考慮し,それを実施することは実現不可能である。 

b) 決定論的能力を,要素の組合せによって増大させてはならない(7.4.3.2参照)。 

c) 共通原因故障を回避するためには,例えば,ランダムハードウェアフォールトによる,温度上昇を考

慮しなければならない。少なくとも,表E.2に記載する番号“6a〜6e”の手段のうちの一つを適用し

なければならない。局所フォールトが安全上重大な支障のある温度上昇をもたらすことがある設計に

おいては,適切な手段を講じなければならない。 

注記2 電源回路設計において,局所フォールトは著しい温度上昇をもたらすことが考えられる

が,論理回路における局所短絡の影響は無視できることがある。例えば,デジタル回路に

おける,デバイスパッドエリア及び電圧調整器などがある。 

d) チャネル及びウォッチドッグなどの監視要素ごとに,IC基板上の個々の物理的ブロックを確定しなけ

ればならない。ブロックは,結束配線及び出力ピンを含まなければならない。各チャネルは,経路が

別のチャネル及び/又はブロックを通ってはならず,独自の分離された入力及び出力をもたなければ

ならない。 

注記3 このことは,異なるブロックの出力セルと入力セルとの間の配線によるブロック間の内部

接続を,除外するものではない(表E.1の番号“3a”及び“3b”も参照)。 

73 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

注記4 入力及び出力には次のものを含むが,これらだけに限定されることはない。 

− DFT信号(テスト性のための設計,走査チェーン) 

− クロック信号及びクロックイネーブル信号 

− 電源 

− リセット信号 

− 構成及びモード選択信号 

− デバッグ及びトレース信号 

e) 共通原因故障を含め,電源のフォールトによって引き起こされる危険側故障を回避するために適切な

手段を講じなければならない。 

注記5 電源のフォールトには次のものを含むが,これらだけに限定されることはない。 

− ノイズ 

− 電源線を経由した外乱伝ぱ(播) 

− ラッチアップ又は高突入電流などの影響をもたらすことがある非同時電源投入。 

− 短絡からもたらされる過剰な電流の流れ。 

注記6 この要求事項は,次のような適切な技法を適用することによって満たすことができる。 

− いかなるブロックも別のブロックの電源を介して(例えば,内部接続を介して)給電されないよう

に,各ブロックに独自の電源ピンを備え,個々の物理的ブロックのウェルをIC内で一つに接続しな

いようにする(表E.2の番号“3”も参照)。 

− ウェルの様々な電圧によってもたらされることがある,危険側故障を回避するための外部手段の組

込み。 

− 電圧モニタで電源フォールトを検出する。 

− 部分的に電圧許容を増大する。 

− 電源線の設計についてIRドロップを考慮する。 

f) 

個々の物理的ブロックの境界間の最短距離は,それらのブロック間の短絡及びクロストークを回避す

るのに十分なものでなければならない。 

注記7 短絡は,一般に,エレクトロマイグレーション,バイアマイグレーション,コンタクトマ

イグレーション,局所的欠陥ゲート酸化膜の破壊,ラッチアップなどによってもたらされ

ることがある。 

注記8 一般にクロストークは,基板電流,容量結合などによってもたらされることがある。 

注記9 最短距離は,安全係数が通常10〜50の間で,関連する設計規則に沿って選択することが

望ましい。 

注記10 表E.2に従ったポテンシャルリングについては,個々の物理的ブロックの間の距離を見積

るときはブロックの一部とみなさない。 

g) 個々の物理的ブロックの隣接する線の間の短絡及び/又はクロストークが,安全機能の喪失又は監視

機能の検出されない喪失をもたらしてはならない(表E.2の番号“5”)。 

h) いかなるIC設計プロセスが使用されようとも(nウェル又はpウェル),基板は接地接続しなければ

ならない。 

注記11 pウェルの場合,これは負電源を意味する。この使用は設計における誤りに脆弱であるこ

とがあるため,負論理は回避することが望ましい。 

i) 

共通原因故障に対するオンチップ冗長をもつICの脆弱性は,E.3に従ったβ係数を求めることによっ

74 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

て推定しなければならない。βICと呼ばれるこのβ係数は,7.4.5.1に従ってE/E/PE安全関連系の達成

安全度を推定するときに使用しなければならない。また,例えば,IEC 61508-6の附属書Dによるβ

係数の代わりに,このβ係数をICに対しても使用する。 

j) 

オンチップ冗長をもつICでのフォールトの検出(自己診断テスト,プルーフテスト又は他の手段での)

で,安全状態を達成するか又は維持するための,所定の動作をしなければならない。 

注記12 フォールトの結果が,例えば,ブロックの消勢によって制御することができる場合,この

要求事項は適用されない。 

k) 各チャネルの最低診断カバー率は,60 %以上でなければならない。監視要素が一回だけ実施される場

合,この要素の最低診断カバー率も60 %以上でなければならない。 

l) 

ウォッチドッグを,例えば,プログラムシーケンス監視,及び/又は要求される診断カバー率若しく

は安全側故障割合を保証するために実施することが必要な場合,機能的に異なるチャネルを使用する

場合を除き,一つのチャネルを他のチャネルのウォッチドッグとして使用してはならない。 

m) 安全マージンを追加することなしに電磁両立性(EMC)をテストする場合,ICによって実施する機能

が妨害されてはならない(例えば,EMCイミュニティ規格に規定のある性能基準Aのときなど。JIS 

C 61000-6-2又はJIS C 1806-3-1参照)。 

n) 安全マージンを追加して電磁両立性をテストする場合,安全機能(ICを含む)は,JIS C 1806-3-1で

定義されている“FS”(安全用途の性能評価基準)基準に適合しなければならない。 

o) 外部非同期デジタル信号に接続したデジタル入力ポートの振動によってもたらされる,危険側故障を

回避するための適切な手段(例えば,各々に多重クロック同期段階の導入など)を,取らなければな

らない。 

p) 境界走査及び特殊機能レジスタ配列などの,共通資源の共通原因の可能性を分析しなければならない。 

q) 要求事項a)〜p) は,オンチップ冗長をもつIC固有の共通原因発生源(CCI)を列挙している。他の関

連共通原因発生源(CCI)も,この規格に規定するように考慮しなければならない。 

注記13 一般に,上記の要求事項は,オンチップ冗長の使用を,ASICなどのフルカスタム又はセ

ミカスタムアプローチで設計したIC,マイクロコントローラ,又は他の特殊SoC(エスオ

ーシー,System on Chip)に限定する。ゲートアレイ,FPGA(Field Programmable Gate Array)

などの他の設計は,全ての要求事項を満たさないこともある。 

上記のオンチップ冗長を備えたICの使用は,十分な共通原因分析(CCA)を実施する場合にだけ許さ

れる。この解析は,設計,製作,組込,手順上及び環境要因から生じる十分な範囲で,考えられる共通原

因故障を取り扱わなければならない。特に,オンチップ冗長を備えたICの使用の結果としてのチャネル間

の物理的分離の喪失は,特別に精密な調査を実施しなければならない。E/E/PE安全関連系に割り当てられ

る最終SILレベルは,このCCAの結果に従ったものでなければならない。 

注記14 “チャネル”の物理的分離(すなわち,隔離)を使用すれば,冗長システムにおける広範な

共通モード故障に対する防御を達成できる。 

注記15 提案CCA法は,次のステップに構造化できる。 

1) 考えられるある共通原因発生源(CCI)を識別する。この附属書に記載した影響,及び他

の予見可能な物理的CCI及び論理的CCI(共有資源及び信号)を考慮する。 

2) 特に,CCIの影響を受けるIC上の冗長ブロックを識別する。 

3) ステップ2で識別した各対の冗長ブロックに対して,ステップ1で識別した個々のCCIに

対する安全措置を定性的に記載して評価する。 

75 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

4) ステップ2で識別した各対の冗長ブロックについて,表E.1及び表E.2に対して定量的に

検討し,特定のβ係数を評価する。 

5) 確率モデルに特定のβ係数を使用する。 

E.2 

SIL 3オンチップ冗長に対する追加の要求事項 

SIL 3オンチップ冗長の場合,E.1に示す要求事項に加えて,次の要求事項を満たさなければならない。 

a) 全ての特定アプリケーションの環境条件が,仕様,解析,適合確認及び妥当性確認の間に考慮された

ものに従っているという,文書による証拠を提出しなければならない。 

b) E/E/PE系の安全な状態を達成又は維持することができる外部措置。これらの措置は,最低限,“中”

の有効性(A.3も参照)を達成しなければならない。決定論的原因及び/又は共通原因故障の影響を

監視するためにIC内部で実施する全ての措置は,E/E/PE系の安全な状態を達成又は維持するために,

これらの外部措置を使用しなければならない。 

E.3 β係数 

オンチップ冗長をもつICの共通原因故障に対する脆弱性を,オンチップ冗長をもつIC特定のβ係数βIC

を求めることによって推定しなければならない[E.1のi) も参照]。推定は,次の全てのものに基づかな

ければならない。 

a) 33 %の,βB-ICと呼ばれる基本β係数。 

b) 表E.1を使用した設計による基本β係数,βB-ICの増分の推定。 

c) 表E.2を使用した設計による基本β係数,βB-ICの減分の推定。 

βICは,βB-IC及び表E.1からの全ての点数を加え,その後,表E.2からの全ての点数を減じることによっ

て推定する。推定最終βICは,25 %を超えてはならない。 

注記1 βICと呼ばれるこのβ係数は,7.4.5.1に従ったE/E/PE安全関連系の達成安全度を推定すると

きに使用する。また,例えば,IEC 61508-6の附属書Dによるβ係数の代わりに,このβ係

数をICに対しても使用する。 

注記2 選んだβ係数が十分に安全側であることを実証するために,適用するIC設計法に対して使用

可能な将来のデータの特定分析を実施することが望ましい。成熟した設計及び実現プロセス

をもつICだけを使用することが望ましい。 

background image

76 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.1−βB-ICを増大させる技法及び手段 

番号 

技法又は手段 

デルタ 

β係数(%) 

注記 

監視要素として使用する 
オンチップウォッチドッグ 

ウォッチドッグ機能のために使用する監視要素で,共
通原因故障の側面で,要求DC又はSFFは,なるべく
ICの外部で実現されることを保証することが必要。オ
ンチップウォッチドッグの使用は,外部実現と比較し
て,より高いDC又はSFFをもたらすことがある。E.2 
b) も参照。 

ウォッチドッグ以外のオンチップ
監視要素,例えば,クロック監視 

例えば,クロック監視のために使用する監視要素で,
共通原因故障の側面で,要求DC又はSFFは,なるべ
くICの外部で実現されることを保証することが必要。
オンチップ監視要素の使用は,外部実現と比較して,
より高いDC又はSFFをもたらすことがある。 

3a 

異なる層内に交差をもたない個々
の物理的ブロックのアウトプット
セルと,インプットセルとの間の配
線による,ブロック間の内部接続 

個々の物理的ブロック間の条件及び結果の比較は,な
るべくICの外部で実現することが望ましい。 
 
内部配線の固着故障のFMEAを含め,考えられる共
通原因故障の解析が要求される。フォールトによる温
度上昇の影響は,特に考慮しなければならない。 
 
レイアウトの適合確認を,例えば,ツールの助けを借
りて,最終レイアウトの解析で実施することが望まし
い。 

3b 

交差をもつ個々の物理的ブロック
のアウトプットセルと,インプット
セルとの間の配線による,ブロック
間の内部接続 

個々の物理的ブロック間の条件及び結果の比較は,な
るべくICの外部で実現することが望ましい。 
 
内部配線の固着故障及び短絡のFMEAを含め,考え
られる共通原因故障の解析が要求される。フォールト
による温度上昇の影響は,特に考慮しなければならな
い。 

代替技法又は手段を,番号に続く文字で示す。代替技法又は手段のうちの一つだけを選択することができる。 
この表に列挙した技法及び手段は,全てを網羅したものではない。承認の要求対象であるデルタβ係数を支援す

る証拠を示すことができれば,この他の技法及び手段を使用してもよい。 

手段が共通原因故障の影響を緩和するために講じられた証拠を提出できる場合,この他のデルタβ係数を使用し

てもよい。その場合は,IEC 61508-6の附属書Dの一般助言を順守することが望ましい。 
注記 冗長ブロック間のインタフェース信号線は,通常,複数の層から成り立つ。信号線が単に一つの金属層で構

成されようと,又は複数の層で形成してあろうと,信号線の組成に関わりなく,インタフェース信号全体が
単一ワイヤとみなす。一つのフォールトによる両チャネルに考えられる妨害を最小限にするために,インタ
フェース信号線のいかなるものも他のインタフェース信号線とクロストークしないことが望ましい。 

background image

77 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表E.2−βB-ICを減少させる技法及び手段 

番号 

技法又は手段 

デルタ 

β係数(%) 

注記 

1a 

異なるチャネルにおいて故障を制
御するための様々な手段。 

− 

1b 

異なるチャネルにおいて故障を制
御するための機能及び手段の多様
性。 

− 

E/E/PE系の機能を妨害しない安全
マージンを追加する,電磁両立性に
関するE/E/PE系のテスト(例えば,
性能基準A)。 

性能基準Aは,EMCイミュニティ規格に記述されて
いる。例えば,JIS C 61000-6-2又はJIS C 1806-3-1参
照。 

各ブロックに,いかなるブロックも
別のブロックの電源を介して給電
されないように(例えば,内部接続
を介して)独自の電源ピンを設け,
IC内で個々の物理的ブロックのウ
ェルを接続しないようにする。 

ウェルの定格外の電圧によってもたらされることが
ある危険側故障を回避するための外部手段を講じな
ければならない。 

物理的場所を分離し,非干渉化する
構造。 

2 - 4 

個々の物理的ブロックを非干渉化するのに有用。 

個々の物理的ブロックの出力ピン
間の接地ピン。 

実施しない場合,個々の物理的ブロックの隣接線の間
の短絡を実施して,結束配線の剥離の影響をテストし
なければならない[E.1のg) も参照]。この場合,β
係数は減少しない。 

6a 

各チャネルの高診断カバー率(DC
≧99 %),技術的プロセスによる故
障検出,及び妥当な短時間での安全
な状態の達成。 

例外的な場合にだけ適切なことがある。 

6b 

ブロック間の温度センサで,妥当な
短時間で安全な状態へ永久的シャ
ットダウン(内部的又は外部的)す
る,診断なしで低有効性。 

表A.18の温度上昇に対する手段も参照。 

6c 

ブロック間の温度センサで,妥当な
短時間で安全な状態へ永久的シャ
ットダウン(内部的又は外部的)す
る,診断ありで高有効性。 

表A.18の温度上昇に対する手段も参照。 

6d 

フォールト影響の解析及びテスト
(例えば,温度の上昇)。解析及び
テストの結果によって,フォールト
検出及び妥当な短時間で安全な状
態の達成を含めたチャネル間の比
較が要求されることがある。 

− 

6e 

上昇した温度で機能する監視回路
の設計。 

監視機能(例えば,ウォッチドッグ)の設計は,ワー
ストケースの温度条件下で安全機能を実施しなけれ
ばならない。 

代替技法及び手段を,番号に続く文字で示す。代替技法及び手段のうちの一つだけを選択することができる。 
この表に列挙した技法及び手段は,全てを網羅したものではない。該当のデルタβ係数を支援する証拠を示すこ

とができれば,この他の技法及び手段を使用してもよい。 
注記 技法及び手段6a〜6eは,故障による温度上昇の影響を制御することを目指している。 

78 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

附属書F 

(参考) 

ASICの技法及び手段−決定論的原因故障の回避 

F.1 

一般 

特定アプリケーション向け集積回路(ASIC)の設計の場合,ASIC開発中における故障の回避のために,

次の技法及び手段を適用することが望ましい。 

注記1 この附属書は,7.4.6.1及び7.4.6.7で言及している。 

注記2 次の技法及び手段は,デジタルASIC及びユーザープログラマブルICだけに関連する。混合

モード及びアナログASICの場合,現時点ではいかなる一般的技法及び手段も示すことがで

きない。 

a) 全ての設計業務並びに機能的シミュレーションに使用するテスト装置及びツール,並びにシミュレー

ションの結果は,文書化することが望ましい。 

b) 全てのツール,ライブラリ及び製造手順は,使用実績による妥当性が証明されていることが望ましい。

これには,次の事項を含む。 

− 類似の又はそれを超える複雑さのプロジェクトにおいて,十分な期間にわたる個々のツール(同等

の機能をもつ様々なバージョンを含む)の適用。 

注記3 十分な期間とは,この場合,2年間と思われる。 

− 使用中に考慮することが望ましい,所定のツール及び/又は所定のバージョンについて考えられる

バグ及び制約に関する情報を確実に得るための,共通の又は広範に使用されるツールの適用。既存

のフォールトを追跡するために,製造業者がバージョン管理及び監視を実行することが望ましい。 

− 様々なツールによって作成する様々なデータベースでのフォールトを回避するための,内部の一貫

性及び整合性チェック。 

注記4 この分野における急激な変化及び進歩のために,使用者の教育・訓練は非常に重要である。 

c) 全ての業務及びその結果は,例えば,シミュレーション,同等性チェック,タイミング解析又は技術

制約のチェックによって,適合性を確認することが望ましい。 

d) 設計実現プロセスの再現性及び自動化の手段(スクリプトに基づく,自動化された業務及び設計実現

の流れ)を使用することが望ましい。 

e) 第三者のソフトコア及びハードコアの場合,妥当性確認済みマクロブロックだけを使用することが望

ましい。また,これらは,実行可能であれば,マクロコア業者が定義する全ての制約及び処置に適合

することが望ましい。まだ使用実績がない場合,各マクロブロックは,新しく書かれたコードとして

取り扱うことが望ましい。例えば,完全に妥当性確認することが望ましい。 

f) 

設計には,問題向き設計手法及び高度な抽象的設計法,並びに設計記述言語を使用することが望まし

い。 

注記5 設計記述としては,VHDL(Very High speed IC hardware Description Language)又はVerilog

などのハードウェア記述言語を使用することが望ましい。これは,今日ASIC設計で使用

されている最も共通性のあるハードウェア記述法である。両言語ともIEEEによって定義

された言語であり,高度なプログラミング言語に関する推奨事項を満たすものと思われる。

ハードウェア記述言語は,“設計記述”及び“機能モデル又はテストベンチ”の両方に使

79 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

用してよい。設計記述に使用する場合,言語のサブセットだけを使用してもよく,この合

成可能なコードは,しばしばRTL(レジスタ転送レベル)コードと呼ばれる。機能モデル

及びテストベンチに適した合成不能なコードは,挙動コードと呼ばれる。 

g) 十分なテスト性(フルカスタム及びセミカスタムASICの製造テストに対して)を達成することが望

ましい。 

h) テスト及びASIC適合確認ステップの間に,ゲート及び相互接続(ワイヤ)遅延を考慮することが望

ましい。 

i) 

三状態アウトプットをもつ内部ゲートは,回避することが望ましい。内部三状態出力を使用する場合,

これらの出力は,“プルアップ/ダウン”又はバスホルダーを備えることが望ましい。 

j) 

製造する前に,ASIC全体の十分な適合性確認(すなわち,正しいモジュール及びチップ機能を確実

にするために,設計から試作までの間に実施される各適合確認ステップを含む)を実施することが望

ましい。 

注記6 ASICの適合性確認の程度は,要素のテストの複雑さ,及び要求される安全度水準に依存

する。 

F.2 

指針:技法及び手段 

ASICの設計及び開発中におけるフォールトの発生を防止するために不可欠な,一連の適切な技法及び

手段を使用することが望ましい。技術特性に依存しているため,フルカスタム及びセミカスタムデジタル

ASICと,ユーザープログラマブルIC[FPGA,PLD(programmable logic device)及びCPLD(complex 

programmable logic device)]との間に,区別が必要である。関連特性の達成を支援する技法及び手段は,フ

ルカスタム及びセミカスタムASICについては表F.1に,ユーザープログラマブルICについては表F.2に

定義している。関連ASIC開発ライフサイクルを,図3に示す。 

表F.1及び表F.2では,まず,技法又は手段の“重要性”について記述し,次に,技法又は手段を使用

したときに求められる“有効性”について記述する。これらは,推奨事項である。 

“重要性”の記号の意味は,次のとおりである。 

− HR*:この安全度水準については,技法又は手段を用いるように強く推奨する。いかなる設計もこの

技法又は手段を除外しないことが望ましい。 

− HR :この安全度水準については,技法又は手段を用いるように強く推奨する。この技法又は手段を

使用しない場合,それを使用しない理論的根拠について詳述することが望ましい。 

− R :この安全度水準については,技法又は手段を用いることが望ましい。この技法又は手段を使用

しない場合,又は考えられるいかなる代替策も使用しない場合は,それを使用しない理論的根

拠について詳述することが望ましい。 

− - 

:技法又は手段を使用することに関しては推奨も反対もしない。 

− NR :この安全度水準には,技法又は手段を使用することを積極的には推奨しない。この技法又は手

段を使用する場合は,使用する理論的根拠について詳述することが望ましい。 

推奨する“有効性”の記号の意味は,次のとおりである。 

− 低 :技法及び手段を使用する場合,決定論的原因故障に対して,少なくとも“低”の有効性を与える

ために必要な範囲で使用することが望ましい。 

− 中 :技法及び手段を使用する場合,決定論的原因故障に対して,少なくとも“中”の有効性を与える

80 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ために必要な範囲で使用することが望ましい。 

− 高 :技法及び手段を使用する場合,決定論的原因故障に対して,“高”の有効性を与えるために必要な

範囲で使用することが望ましい。 

この附属書の指針に従うだけでは,要求される安全度が保証されることはない。次の全ての事項を考慮

することが重要である。 

− 選択した技法及び手段の一貫性,及びそれらがいかにうまく補完し合っているか。 

− 開発のライフサイクルの全てのフェーズにとって,どの技法及び手段が適切であるか。 

− それぞれの特定E/E/PE安全関連系の開発の間に遭遇する特定の問題に対して,どの技法及び手段が最

も適切であるか。 

background image

81 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.1−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタルASIC(7.4.6.7参照) 




階 

参照 
番号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 




計 

構造化記述 

IEC 61508-7の 

E.3 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

(V)HDLでの設計記述(注記参照) 

IEC 61508-7の 

E.1 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

回路図入力 

IEC 61508-7の 

E.2 

NR 

NR 

NR 

NR 

(V)HDLシミュレーション(注記参照)  IEC 61508-7の 

E.5 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

使用実績のある(proven in use)アプリ
ケーションの(V)HDLシミュレータ
の適用(注記参照) 

IEC 61508-7の 

E.4 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

モジュールレベルでの機能テスト(例
えば,(V)HDLテストベンチを使用し
た)(注記参照) 

IEC 61508-7の 

E.6 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

最上位の機能テスト 

IEC 61508-7の 

E.7 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

システム環境に埋め込まれた機能テス
ト 

IEC 61508-7の 

E.8 

中 

中 

HR 

高 

HR 

高 

非同期構成要素の使用制限 

IEC 61508-7の 

E.9 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

10 

一次インプットの同期化及び準安定性
の制御 

IEC 61508-7の 

E.10 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

11 

テスタビリティのための設計(テスト
カバレッジ割合による) 

IEC 61508-7の 

E.11 

>95 % 

>98 % 

>99 % 

>99 % 

12 

モジュール化 

IEC 61508-7の 

E.12 

中 

中 

HR 

高 

HR 

高 

13 

適合確認シナリオの適用カバレッジ 

IEC 61508-7の 

E.13 

中 

中 

HR 

高 

HR 

高 

14 

コード化指針の監視 

IEC 61508-7の 

E.14 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

15 

コードチェッカーの適用 

IEC 61508-7の 

E.15 

16 

防御的プログラミング 

IEC 61508-7の 

E.16 

低 

中 

HR 

高 

HR* 

高 

17 

シミュレーション結果の文書化 

IEC 61508-7の 

E.17 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

18a 

コード検査 

IEC 61508-7の 

E.18 

中 

高 

HR 

高 

HR* 

高 

18b 

ウォークスルー 

IEC 61508-7の 

E.19 

中 

高 

HR 

高 

HR* 

高 

19a 

妥当性確認済みソフトコアの適用 

IEC 61508-7の 

E.20 

中 

高 

HR* 

高 

HR* 

高 

19b 

ソフトコアの妥当性確認 

IEC 61508-7の 

E.21 

中 

高 

HR* 

高 

HR* 

高 

background image

82 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.1−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタルASIC(7.4.6.7参照)(続き) 

設計段階 


照 

号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 

合成 

20a タイミング制約をチェックするた

めのゲートネットリストのシミュ
レーション 

IEC 61508-7の 

E.22 

中 

中 

高 

高 

20b 伝ぱ(播)遅延の静的解析(STA) IEC 61508-7の 

E.23 

中 

中 

高 

高 

21a シミュレーションによる標準モデ

ルに基づくゲートネットリストの
適合確認 

IEC 61508-7の 

E.24 

中 

中 

HR 

高 

HR 

高 

21b ゲートネットリストと標準モデル

の比較(正式な等価性チェック) 

IEC 61508-7の 

E.25 

中 

中 

HR 

高 

HR 

高 

22 

ASICベンダー要求事項及び制約の
チェック 

IEC 61508-7の 

E.26 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

23 

合成制約条件,結果及びツールの文
書化 

IEC 61508-7の 

E.27 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

24 

使用実績のある(proven in use)合
成ツールの適用 

IEC 61508-7の 

E.28 

HR* 

高 

HR* 

高 

HR* 

高 

HR* 

高 

25 

使用実績のある(proven in use)目
標ライブラリの適用 

IEC 61508-7の 

E.29 

HR* 

高 

HR* 

高 

HR* 

高 

HR* 

高 

26 

スクリプトに基づく手順 

IEC 61508-7の 

E.30 

中 

中 

HR 

高 

HR 

高 

テスト挿入
及びテスト
パターンの
作成 

27 

テスト構造の実現 

IEC 61508-7の 

E.31 

>95 % 

>98 % 

>99 % 

>99 % 

28a シミュレーションによるテストカ

バレッジ割合の推定(達成テストカ
バレッジ割合に基づく) 

IEC 61508-7の 

E.32 

>95 % 

>98 % 

>99 % 

>99 % 

28b ATPGツールの適用によるテストカ

バレッジ割合の推定(テストカバレ
ッジ割合に基づく) 

IEC 61508-7の 

E.33 

>95 % 

>98 % 

>99 % 

>99 % 

29a タイミング制約をチェックするた

めのゲートネットリストのシミュ
レーション 

IEC 61508-7の 

E.22 

中 

中 

HR 

高 

HR 

高 

29b 伝ぱ(播)遅延の静的解析(STA) IEC 61508-7の 

E.23 

中 

中 

HR 

高 

HR 

高 

30a シミュレーションによる標準モデ

ルに基づくゲートネットリストの
適合確認 

IEC 61508-7の 

E.24 

中 

中 

HR 

高 

HR 

高 

30b ゲートネットリストと標準モデル

の比較(正式な等価性チェック) 

IEC 61508-7の 

E.25 

中 

中 

HR 

高 

HR 

高 

background image

83 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.1−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−フルカスタム及びセミカスタムデジタルASIC(7.4.6.7参照)(続き) 

設計段階 参照 

番号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 

配置, 
経路指定, 
レイアウト 
作成 

31a 適用ハードコアには使用実績が 

ある(proven in use)といえる正当な根拠 

IEC 61508-7の 

E.34 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

31b 妥当性確認済みハードコアの適用 

IEC 61508-7の 

E.35 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

31c ハードコアのオンラインテスト 

IEC 61508-7の 

E.36 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

32a タイミング制約をチェックするためのゲ

ートネットリストのシミュレーション 

IEC 61508-7の 

E.22 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

32b 伝ぱ(播)遅延の静的解析(STA) 

IEC 61508-7の 

E.23 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

33a シミュレーションによる標準モデルに基

づくゲートネットリストの適合確認 

IEC 61508-7の 

E.24 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

33b ゲートネットリストと標準モデルの比較

(正式な等価性チェック) 

IEC 61508-7の 

E.25 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

34 設計ルールチェック(DRC) 

IEC 61508-7の 

E.37 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

35 回路図対レイアウト(LVS)の適合確認 IEC 61508-7の 

E.38 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

36 使用実績のある(proven in use) 

設計環境の適用,使用における実証セル
ライブラリの適用 

IEC 61508-7の 

E.4 

HR* 

高 

HR* 

高 

HR* 

高 

HR* 

高 

37 使用されているのが3年未満の 

プロセス技術の追加のスラック 

(>20 %) 

IEC 61508-7の 

E.39 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

チップ 
製造 

38 使用実績のある(proven in use) 

プロセス技術の適用 

− 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

39 使用実績のある(proven in use) 

製造工程 

IEC 61508-7の 

E.42 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

40 プロセス技術の品質保証 

− 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

41 製造工程の品質管理 

IEC 61508-7の 

E.43 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

42 装置の製造品質合格 

IEC 61508-7の 

E.44 

低 

中 

HR 

高 

HR* 

高 

43 装置の機能品質合格 

IEC 61508-7の 

E.45 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

44 製造テストのテストカバレッジ割合 

− 

>95 % 

>98 % 

>99 % 

>99 % 

45 品質規格 

IEC 61508-7の 

E.46 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

46 品質マネジメント, 

例えば,JIS Q 9000による 

− 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

47 バーンインテスト 

IEC 61508-7の 

E.40 

低 

中 

HR 

高 

HR* 

高 

安全度水準に従って,適切な技法及び手段を選択することが望ましい。代替又は同等の技法及び手段を,番号に

続く文字で示す。代替又は同等の技法及び手段の一つ以上を,適用することが望ましい。 
注記 用語(V)HDLは,超高速集積回路ハードウェア記述言語(VHDL),又はVerilogハードウェア記述言語を示す。 

background image

84 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.2−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブルIC(FPGA/PLD/CPLD)(7.4.6.7参照) 




階 

参照 
番号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 




計 

構造化記述 

IEC 61508-7の 

E.3 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

2 (V)HDLでの設計記述 

(注記参照) 

IEC 61508-7の 

E.1 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

回路図入力 

IEC 61508-7の 

E.2 

高 

高 

NR 

NR 

ブール方程式を使用する設計記述 

高 

高 

NR 

NR 

5a ブール方程式を使用する回路記述の場合: 

限定(低)複雑さをもつ設計でのマニュア
ル検査 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

5b ブール方程式を使用する回路記述の場合: 

より高い複雑さをもつ設計での状態移行の
シミュレーション 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

使用実績のある(proven in use)設計環境の
適用 

IEC 61508-7の 

E.4 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

使用実績のある(proven in use)(V)HDL
シミュレータの適用(注記参照) 

IEC 61508-7の 

E.4 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

モジュールレベルでの機能テスト[例えば,

(V)HDLテストベンチを使用した](注記

参照) 

IEC 61508-7の 

E.6 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

非同期構成要素の制限使用 

IEC 61508-7の 

E.9 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

10 テスタビリティのための設計 

(テストカバレッジ割合) 

IEC 61508-7の 

E.11 

>95 % 

>98 % 

>99 % 

>99 % 

11 モジュール化 

IEC 61508-7の 

E.12 

中 

中 

HR 

高 

HR 

高 

12 適合確認シナリオの範囲 

(テストベンチ)  

IEC 61508-7の 

E.13 

中 

中 

HR 

高 

HR 

高 

13 コード化指針の監視 

IEC 61508-7の 

E.14 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

14 シミュレーション結果の文書化 

IEC 61508-7の 

E.17 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

15a コード検査 

IEC 61508-7の 

E.18 

中 

高 

HR 

高 

HR* 

高 

15b ウォークスルー 

IEC 61508-7の 

E.19 

中 

高 

HR 

高 

HR* 

高 

16a 妥当性確認済みソフトコアの適用 

IEC 61508-7の 

E.20 

中 

高 

HR 

高 

HR* 

高 

16b ソフトコアの妥当性確認 

IEC 61508-7の 

E.21 

中 

高 

HR* 

高 

HR* 

高 

background image

85 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.2−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブルIC(FPGA/PLD/CPLD)(7.4.6.7参照)(続き) 

設計段階 

参照 
番号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 

合成 

17 

内部整合性チェック 

(例えば,IEC 61508-7,E.4参照) 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

18a 

タイミング制約をチェックするためのゲ
ートネットリストのシミュレーション 

IEC 61508-7の 

E.22 

中 

中 

高 

高 

18b 

伝ぱ(播)遅延の静的解析(STA) 

IEC 61508-7の 

E.23 

中 

中 

高 

高 

19a 

シミュレーションによる標準モデルに基
づくゲートネットリストの適合確認 

IEC 61508-7の 

E.24 

中 

中 

HR 

高 

HR 

高 

19b 

ゲートネットリストと標準モデルの比較

(正式な等価性チェック) 

IEC 61508-7の 

E.25 

中 

中 

HR 

高 

HR 

高 

20 

複雑な設計のPLD/CPLDの場合,シミュ
レーションによる設計のチェック 

中 

中 

HR 

高 

HR 

高 

21 

ICベンダー要求事項及び制約のチェック IEC 61508-7の 

E.26 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

22 

合成制約条件,結果及びツールの文書化 

IEC 61508-7の 

E.27 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

23 

使用実績のある(proven in use) 
合成ツールの適用 

IEC 61508-7の 

E.28 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

24 

使用実績のある(proven in use) 
ライブラリ/CPLS技術の適用 

IEC 61508-7の 

E.29 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

25 

スクリプトに基づく手順 

IEC 61508-7の 

E.30 

高 

高 

HR 

高 

HR* 

高 

配置,経路指
定,レイアウ
ト作成 

26a 

適用ハードコアには使用実績がある

(proven in use)といえる正当な根拠 

IEC 61508-7の 

E.34 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

26b 

妥当性確認済みハードコアの適用 

IEC 61508-7の 

E.35 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

26c 

ハードコアのオンラインテスト 

IEC 61508-7の 

E.36 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

27a 

タイミング制約をチェックするためのゲ
ートネットリストのシミュレーション 

IEC 61508-7の 

E.22 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

27b 

伝ぱ(播)遅延の静的解析(STA) 

IEC 61508-7の 

E.23 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

28a 

シミュレーションによる標準モデルに基
づくゲートネットリストの適合確認 

IEC 61508-7の 

E.24 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

28b 

ゲートネットリストと標準モデルの比較

(正式な等価性チェック) 

IEC 61508-7の 

E.25 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

29 

設計ルールチェック(DRC) 

IEC 61508-7の 

E.37 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

30 

使用実績のある(proven in use) 
設計環境の適用,使用における実証セル
ライブラリの適用 

IEC 61508-7の 

E.4 

HR* 

高 

HR* 

高 

HR* 

高 

HR* 

高 

31 

使用されているのが3年未満のプロセス
技術の追加のスラック 

(>20 %) 

IEC 61508-7の 

E.39 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

background image

86 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

表F.2−ASICの設計及び開発中に発生するフォールトを回避するための 

技法及び手段−ユーザープログラマブルIC(FPGA/PLD/CPLD)(7.4.6.7参照)(続き) 

設計段階 

参照 
番号 

技法及び手段 

参照先 

SIL 1 

SIL 2 

SIL 3 

SIL 4 

製造 

32 

使用実績のある(proven in use) 
プロセス技術の適用 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

33 

使用実績のある(proven in use) 
装置シリーズの適用 

IEC 61508-7の 

E.41 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

34 

使用実績のある(proven in use) 
製造工程 

IEC 61508-7の 

E.42 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

35 

製造工程の品質管理 

IEC 61508-7の 

E.43 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

36 

装置の製造品質合格 

IEC 61508-7の 

E.44 

低 

中 

HR 

高 

HR* 

高 

37 

装置の機能品質合格 

IEC 61508-7の 

E.45 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

38 

品質規格 

IEC 61508-7の 

E.46 

HR 

低 

HR 

中 

HR 

高 

HR* 

高 

39 

品質マネジメント, 
例えば,JIS Q 9000による 

HR 

高 

HR 

高 

HR 

高 

HR* 

高 

40 

システムにおけるFPGA/PLD 
プロトタイプの最終適合確認 
及び妥当性確認 

HR 

高 

HR 

高 

HR* 

高 

HR* 

高 

41 

大量生産中の最終適合確認 
及び妥当性確認,単体チェック 

高 

高 

HR* 

高 

HR* 

高 

42 

バーンインテスト 

IEC 61508-7の 

E.40 

低 

低 

中 

HR* 

高 

安全度水準に従って,適切な技法及び手段を選択することが望ましい。代替又は同等の技法及び手段を,番号に

続く文字で示す。代替又は同等の技法及び手段の一つ以上を,適用することが望ましい。 
注記 用語(V)HDLは,超高速集積回路ハードウェア記述言語(VHDL),又はVerilogハードウェア記述言語を示

す。 

87 

C 0508-2:2014 (IEC 61508-2:2010) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

参考文献 

[1] JIS C 0511(規格群) 機能安全−プロセス産業分野の安全計装システム 

注記 対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the 

process industry sector(IDT) 

[2] JIS B 9961:2008 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能

安全 

注記 対応国際規格:IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical, 

electronic and programmable electronic control systems(IDT) 

[3] IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional 

[4] IEC 61508-5:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 5: Examples of methods for the determination of safety integrity levels 

[5] IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−

Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 

[6] IEC 60601 (all parts),Medical electrical equipment 

[7] IEC 61165,Application of Markov techniques 

[8] IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods 

[9] IEC 61164,Reliability growth−Statistical test and estimation methods 

[10] IEC 62308,Equipment reliability−Reliability assessment methods 

[11] JIS C 61000-6-2:2008 電磁両立性−第6-2部:共通規格−工業環境におけるイミュニティ 

[12] ISO 14224,Petroleum, petrochemical and natural gas industries−Collection and exchange of reliability and 

maintenance data for equipment 

[13] JIS Z 8115:2000 ディペンダビリティ(信頼性)用語 

注記 対応国際規格:IEC 60050-191:1990,International Electrotechnical Vocabulary−Chapter 191: 

Dependability and quality of service(MOD) 

[14] JIS Q 9000:2006 品質マネジメントシステム−基本及び用語 

注記 対応国際規格:ISO 9000:2005,Quality management systems−Fundamentals and vocabulary(IDT) 

[15] JIS C 5750-3-2 ディペンダビリティ管理−第3-2部:適用の指針−フィールドからのディペンダビリ

ティデータの収集 

注記 対応国際規格:IEC 60300-3-2,Dependability management−Part 3-2: Application guide−

Collection of dependability data from the field(IDT) 

[16] IEEE 352:1987,IEEE guide for general principles of reliability analysis of nuclear power generating station 

safety systems 

[17] EN 50205,Relays with forcibly guided (mechanically linked) contacts