C 0508-4:2012 (IEC 61508-4:2010)
(1)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
目 次
ページ
序文 ··································································································································· 1
1 適用範囲 ························································································································· 3
2 引用規格 ························································································································· 5
3 用語,定義及び略語 ·········································································································· 5
参考文献 ···························································································································· 31
索引 ·································································································································· 33
C 0508-4:2012 (IEC 61508-4:2010)
(2)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
まえがき
この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人日本
電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工
業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工
業規格である。これによって,JIS C 0508-4:1999は改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
JIS C 0508の規格群には,次に示す部編成がある。
JIS C 0508-1 第1部:一般要求事項
JIS C 0508-2 第2部:電気・電子・プログラマブル電子安全関連系に対する要求事項
JIS C 0508-3 第3部:ソフトウェア要求事項
JIS C 0508-4 第4部:用語の定義及び略語
JIS C 0508-5 第5部:安全度水準決定方法の事例
JIS C 0508-6 第6部:第2部及び第3部の適用指針
JIS C 0508-7 第7部:技術及び手法の概観
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
日本工業規格
JIS
C 0508-4:2012
(IEC 61508-4:2010)
電気・電子・プログラマブル電子安全関連系の
機能安全−第4部:用語の定義及び略語
Functional safety of electrical/electronic/programmable electronic
safety-related systems-Part 4: Definitions and abbreviations
序文
この規格は,2010年に第2版として発行されたIEC 61508-4を基に,技術的内容及び構成を変更するこ
となく作成した日本工業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
電気及び/又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年
使用されてきた。一般に,プログラマブル電子系と呼ばれるコンピュータを用いたシステムは,あらゆる
適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用される
ようになった。コンピュータシステムの技術が,効果的かつ安全に活用されるためには,意思決定を行う
ための安全の考え方に関する十分な手引書が必須である。
この規格群では,電気・電子・プログラマブル電子(E/E/PE)の要素から成るシステムが,安全機能を
履行するための全ての安全ライフサイクル業務に対する包括的な扱い方について規定している。この統一
された扱い方は,全ての電気的な安全関連系にわたって,合理的かつ整合性がある技術指針を展開するた
めのものである。主な目的の一つは,JIS C 0508(IEC 61508)規格群を基本とした適用分野の製品規格な
どの制定を容易にし,促進することである。
注記1 JIS C 0508(IEC 61508)規格群を基本とした適用分野の製品規格などの事例を,参考文献に
示す[JIS C 0511(参考文献[1]),JIS B 9961(参考文献[2])及びIEC 61800-5-2(参考文献[3])
を参照]。
多くの状態下では,安全性は,幾つかのシステムによって達成され,複数の技術(例 機械,液圧,空
気圧,電気,電子,プログラマブル電子技術)に依存している。したがって,いかなる安全対策において
も,個々のシステム(例 センサ,制御機器,アクチュエータ)の要素だけでなく,全システムを構成す
る全ての安全関連系を考慮しなければならない。このため,この規格群は,一義的には電気・電子・プロ
グラマブル電子安全関連系を対象とするが,更にその他の技術を基本とした安全関連系を対象とする安全
の枠組みも提供する。
様々な適用分野において,電気・電子・プログラマブル電子安全関連系を使用した応用は,多岐にわた
り,多様な潜在危険及びリスクが存在することによって生じる複雑さに対応するものとして認識されてい
2
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
る。いかなる適用においても,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。
この規格群は,包括的であるため,今後の適用分野の製品規格などの制定版及び既存規格の改正版におい
て,個々の手段の形成を可能とする。
この規格群は,次の特徴をもつ。
− 安全機能を遂行するために電気・電子・プログラマブル電子系を使用する場合の,最初の概念から,
設計,実装,運用及び保全を経て廃却に至る全電気・電子・プログラマブル電子系及びソフトウェア
の安全ライフサイクルフェーズを考慮する。
− 急速に進歩する技術を念頭において作成された枠組みは,将来の展開に対応できる十分な耐力があり,
かつ,包括的である。
− 電気・電子・プログラマブル電子安全関連系に関して,適用分野の製品規格などを開発することを可
能とする。この規格群の枠組み内で適用分野の製品規格などを開発することによって,適用分野内及
び適用分野間の一貫性(例 基礎となる原理・原則,用語などの整合性)を高水準に導く。これは,
安全上,かつ,経済上有益である。
− 電気・電子・プログラマブル電子安全関連系に対して要求される機能安全の達成に必要な安全要求仕
様を開発する方法論を提供する。
− 安全度に関わる要求事項の決定に際してリスクを基本とした方法論を適用する。
− 電気・電子・プログラマブル電子安全関連系によって実装された安全機能に対して,安全度の目標水
準を特定するための安全度水準を導入する。
注記2 この規格群は,いかなる安全機能についても安全度水準に対する要求事項を規定すること
はなく,また,安全度水準を決定する方法についても規定することはない。この規格群は,
むしろ,リスクに基づいた概念的枠組み及び技法の事例を提供するものである。
− 電気・電子・プログラマブル電子安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設
定する。
− 単一の電気・電子・プログラマブル電子安全関連系が実現する安全機能に対して,目標機能失敗尺度
の最小値を設定する。それらは,運用モードに応じて次による。
− 低頻度作動要求モードの場合,最小値を作動要求時の危険側機能失敗時間平均確率(PFDavg)10−5
に設定する。
− 高頻度作動要求モード又は連続モードは,最小値を単位時間当たりの時間平均危険側故障頻度(PFH)
10−9 [1/h]に設定する。
注記3 単一の電気・電子・プログラマブル電子安全関連系とは,必ずしも単一チャネル構成を意
味するものではない。
注記4 複雑でないシステムについては,目標安全度をより小さな値で安全関連系の設計をするこ
とが可能であるが,これらの限界値は現時点で比較的複雑なシステム(例 プログラマブ
ル安全関連系)に対して達成できるものを表しているとみなされている。
− 産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの回
避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に関
連した目標機能失敗尺度は,規格に規定する要求事項を全て満たしている場合は,達成しているとみ
なしてもよい。
− 決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論
3
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
的対応能力を導入する。
− 電気・電子・プログラマブル電子安全関連系に対して,機能安全を達成するために多岐にわたる原理,
技法及び手段を適用するが,“フェールセーフ”の概念は明示的には使用しない。ただし,“フェール
セーフ”及び“固有(本質)安全”の原理は,この規格の関連する要求事項に適合することを条件と
して適用してもよい。
1
適用範囲
1.1
この規格は,この規格群で使用する主な用語及び定義について規定する。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
IEC 61508-4:2010,Functional safety of electrical/electronic/programmable electronic safety-related
systems−Part 4 : Definitions and abbreviations(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
1.2
関連する用語を相互に関連付けて理解できるように,一般的な見出しを用いて分類している。ただ
し,見出しは,定義に意味を付加することではないことに注意しなければならない。
1.3
この規格群の第1部から第4部までは,低複雑度E/E/PE安全関連系(3.4.3参照)には適用されない
が,基本安全規格である。IEC Guide 104及びJIS Z 8051(ISO/IEC Guide 51)に示される原則に従って規
格を策定するとき,JIS C 0508-1〜-4は,基本安全規格として使用されることを意図している。また,こ
の規格群の第1部から第4部は,自己完結した規格として使用されることも意図している。この規格群の
各分野での汎用的な規格としての機能は,IEC 60601シリーズに適合する医用機器には適用しない。
1.4
規格作成上の責務として,規格を策定するときに,可能な限り基本安全規格を使用することが挙げ
られる。この点において,作成する規格において具体的に引用されているか,又は含められていない限り,
この基本安全規格にある要求事項,テスト方法又はテスト条件は適用しない。
1.5
図1に,この規格群の第1部から第7部までの全枠組み及びE/E/PE安全関連系による機能安全達成
におけるこの規格(第4部)の役割を示す。
4
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図1−この規格群の全枠組み
技術的要求事項
その他の要求事項
第4部
用語の定義
及び略語
第1部
文書化
箇条5及び
附属書A
第1部
機能安全の管理
箇条6
第1部
機能安全評価
箇条8
第6部
第2部及び第3
部の適用指針
第1部
E/E/PE安全関連系に対する
要求仕様
7.10
第7部
技術及び手法の
概観
第1部
E/E/PE安全関連系の設置,引渡し及び安
全妥当性確認
7.13〜7.14
第1部
E/E/PE安全関連系の運用及び保全,修理,部
分改修及び改造,並びに使用終了又は廃却
7.15〜7.17
第2部
E/E/PE安全
関連系の実現
フェーズ
第3部
安全関連ソフト
ウエアの実現
フェーズ
第1部
E/E/PE安全関連系への
安全度要求事項の割当て
7.6
第1部
全要求事項の作成
(概念,適用範囲の定義,潜在危険及
びリスク解析)
7.1〜7.5
第5部
安全度水準の決定
のための方法の例
5
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)
は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。
JIS Z 8051:2004 安全側面−規格への導入指針
注記 対応国際規格ISO/IEC Guide 51:1999,Safety aspects−Guidelines for their inclusion in standards
(IDT)
IEC Guide 104,The preparation of safety publications and the use of basic safety publications and group safety
publications
3
用語,定義及び略語
この規格群で用いる略語は,表1による。また,用語及び定義は,次による。
表1−この規格群で用いる略語
略語
完全な表記
用語の定義の規定箇所
ALARP
合理的に可能な限り低く
(As Low As Reasonably Practicable)
IEC 61508-5:2010 の附属書C
ASIC
特定用途向け集積回路
(Application Specific Integrated Circuit)
3.2.15
CCF
共通原因故障
(Common Cause Failure)
3.6.10
CPLD
複合プログラマブル論理装置
(Complex Programmable Logic Device)
DC
診断カバー率
(Diagnostic Coverage)
3.8.6
(E)EPLD
(電気的)消去可能プログラマブル論理装置
[(Electrically) Erasable Programmablr Logic Device]
E/E/PE
電気・電子・プログラマブル電子の
(Electrical/Electric/Programmable Electronic)
3.2.13(例 E/E/PE安全関連系)
E/E/PE(system)
電気・電子・プログラマブル電子(系)
(Electrical/Electronic/Programmable Electronic System)
3.3.2
EEPROM
電気的消去可能プログラマブルリードオンリーメモリ
(Electrically Erasable Programmable Read-Only Memory)
EPROM
消去可能プログラマブルリードオンリーメモリ
(Erasable Program Read-Only Memory)
EUC
被制御機器
(Equipment Under Control)
3.2.1
FPGA
フィールドプログラマブルゲートアレイ
(Field Programmable Gate Array)
GAL
ジェネリックアレー論理
(Generic Array Logic)
HFT
ハードウェアフォールトトレランス
(Hardware Fault Tolerance)
IEC 61508-2:2010 の7.4.4
6
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表1−この規格群で用いる略語(続き)
略語
完全な表記
用語の定義の規定箇所
MooN
M out of N チャネルアーキテクチャ(例えば,1oo2は1 out
of 2 アーキテクチャであり,この場合二つのチャネルのう
ちいずれかが安全機能を実行できる。)
(M out of N channel architecture)
(for example 1oo2 is 1 out of 2 architecture, where either of the
two channnel can perform the safety function)
IEC 61508-6:2010の附属書B
MooND
診断付M out of N チャネルアーキテクチャ
(M out of N channel architecture with Diagnostics)
IEC 61508-6:2010の附属書B
MTBF
平均故障間時間
(Mesan time between Failures)
3.6.19の注記3
MTTR
平均修復時間
(Mean Time To Restoration)
3.6.21
MRT
平均修理時間
(Mean Repair Time)
3.6.22
PAL
プログラマブルアレイ論理
(Programmable Array Logic)
PE
プログラマブル電子の
(Programmable Electronic)
3.2.12
PE(system)
プログラマブル電子(系)の
[Programmable Electronic (system)]
3.3.1
PFD
作動要求時の危険側機能失敗確率
(Probabirity of Dangerous Failure on Demand)
3.6.17
PFDavg
作動要求時の危険側機能失敗平均確率
(Average Probability of dangerous Failure on Demand)
3.6.18
PFH
単位時間当たりの時間平均危険側故障頻度(1/h)
[Average frequency of a dangerous failure (1/h)]
3.6.19
PLA
プログラマブル論理アレイ
(Programmable Logic Array)
PLC
プログラマブルコントローラ
(Programmable Logic Controller)
IEC 61508-6:2010 の附属書E
PLD
プログラマブル論理装置
(Programmable Logic Device)
PLS
プログラマブル論理処理器
(Programmable Logic Sequencer)
PML
プログラマブルマクロ論理
(Programmable Macro Logic)
RAM
ランダムアクセスメモリ
(Random Access Memory)
ROM
リードオンリーメモリ
(Read-Only Memory)
SFF
安全側故障割合
(Safe Failure Fraction)
3.6.15
SIL
安全度水準
(Safety Integrity Level)
3.5.8
VHDL
超高速集積回路設計用ハードウェア記述言語
(Very High Speed Integrated Circuit Hardware Description
Language)
IEC 61508-2:2010の附属書F
注記5
7
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.1
安全用語
3.1.1
危害(harm)
身体への傷害,人の健康逸失,所有物の毀損又は環境破壊(JIS Z 8051:2004の定義3.3)。
3.1.2
潜在危険(ハザード)(hazard)
危害の潜在的な源(JIS Z 8051:2004の定義3.5)。
注記 この用語は,(火災又は爆発のように)短時間で生じる人への危害のほかに,(例えば,中毒性
物質の放出による)長期にわたる健康への影響も含む。
3.1.3
危険状態(hazardous situation)
人,財産又は環境が,一つ又は複数の潜在危険にばく(曝)露されている状態(JIS Z 8051:2004の定義
3.6を修正)。
注記 状態は,例えば“その状態にある確率”というように確率(0から1までの数値)の尺度を用
いて数量(定量)化される。
3.1.4
危険事象(hazardous event)
結果として危害が生じることがある事象。
注記1 危険事象の結果として危害が生じるかどうかは,人,財産又は環境が危険事象の影響にばく
(曝)露されているかどうかに左右される。また,人に対する危害の場合は,こうしてばく
(曝)露された人が事象発生後の影響を免れることができるかどうかによって異なる。
注記2 事象は,例えば“1年間当たりの危害の発生回数の統計的期待値(頻度)”というように,“回
/年”又は“1/年”などの尺度を用いて数量(定量)化される。
3.1.5
危害事象(harmful event)
危険状態又は危険事象の結果として危害に至る事態。
注記 危険事象を考慮するため,JIS Z 8051:2004の定義3.4を修正。
3.1.6
リスク(risk)
危害の発生頻度及び過酷度の組合せ(JIS Z 8051:2004の定義3.2)。
注記1 この概念についての更なる詳細は,IEC 61508-5参照。
注記2 リスクは,異なる潜在危険ごとに定義できる。
3.1.7
許容リスク(tolerable risk)
現今の社会的価値観から受容されるリスク(JIS Z 8051:2004の定義3.7)。
注記 IEC 61508-5:2010の附属書C参照。
3.1.8
残存リスク(residual risk)
安全措置が取られた後でも残存するリスク(JIS Z 8051:2004の定義3.9)。
8
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.1.9
EUCリスク(EUC risk)
EUC,又はEUCとEUC制御系との相互作用によって生じるリスク。
注記1 リスクは,各々の危害事象に対応している。個々の危害事象に対して,E/E/PE安全関連系,
他リスク軽減措置を用いて,必要とされるリスク(すなわち機能安全に関わる当該リスク)
の軽減が行われる。
注記2 EUCリスクは,IEC 61508-5:2010の図A.1に示されている。EUCリスクの決定の主な目的は
E/E/PE安全関連系及び他リスク軽減措置を考慮しない場合でのリスクに対する論及点を決定
することにある。
注記3 リスクの評価には,関係するヒューマンファクタの問題が含まれることがある。
注記4 複数の危害事象が同定されると,それらの事象ごとにリスクが同定される。複雑なシステム
では,複数リスクの軽減に関するシステム最適化問題が生じることがある。
注記5 リスク評価では,運転員の操作の失敗,危険域への人の侵入の蓋然性などのヒューマンファ
クタが問題となることがある。
3.1.10
目標リスク(target risk)
特定の潜在危険について,E/E/PE安全関連系及び他リスク軽減措置と共にEUCリスクを考慮して,到
達を目指しているリスク。
3.1.11
安全(safety)
受容できないリスクから免れている状態(JIS Z 8051:2004の定義3.1)。
注記 言い換えれば,残存リスクが許容リスク以下であることが安全の必要条件である。
3.1.12
機能安全(functional safety)
EUC及びEUC制御系の全体に関する安全のうち,E/E/PE安全関連系及び他リスク軽減措置の正常な機
能に依存する部分。
3.1.13
安全な状態(safe state)
安全が達成されているEUCの状態。
注記1 EUCは,潜在的に危険な状態から最終的に安全な状態に移行する間,幾つかの中間的な状態
を遷移する場合がある。幾つかの状態では,安全な状態は,EUCが制御し続ける場合だけ存
在する。そのような連続制御は,短時間又は無期限にわたることもある。
注記2 中間的な状態とは,例えば,自動車のABSがブレーキの制動力をON-OFF制御して最終的安
全状態,すなわち,自動車の停止(又は減速)を行うような場合である。制動力は,停止又
は減速状態に至るまで,幾つかのON状態とOFF状態を遷移する(繰り返す)ことになる。
このような遷移では,安全状態があらかじめON側又はOFF側の一方に定められないので,
いわゆるフェールセーフの概念が適用できない。すなわち,ABSが制動力のON又はOFFの
いずれの側に故障しても事故の可能性が生じる。
9
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.1.14
合理的に予見可能な誤使用(reasonably foreseeable misuse)
供給者が意図しない状態又は目的による製品,プロセス又はサービスの使用法。ただし,それらの使用
法は,通常考えられる人の挙動と関連し,その挙動は容易に予測できるものとする(JIS Z 8051:2004の定
義3.14)。
3.2
機器及び装置
3.2.1
EUC,被制御機器[equipment under control (EUC)]
製造,プロセス,運輸,医療,その他の業務に供される機器,機械類,装置,プラントなど。
注記 EUC制御系は,EUCから分離かつ区別される。
3.2.2
環境(environment)
検討対象の特定の用途及び任意の安全ライフサイクルフェーズにおいて,機能安全の達成に影響を与え
る可能性のある全ての関連パラメータ。
注記 これには,例えば,物理的環境,運用環境,法的環境及び保全環境を含む。
3.2.3
機能ユニット(functional unit)
特定の目的を遂行することのできるハードウェア,ソフトウェア又はそれらの両者から成る製品。
注記 IEV 191(IEC 60050-191)-01-01では,機能ユニットではなく,より一般的な用語“アイテム”
(item)が使用されている。アイテムには,ときに人も含まれる[JIS X 0001:1994 (ISO/IEC
2382-1, 01-01-40)]。
3.2.4
アプリケーション(application)
E/E/PE系ではなく,むしろEUCに関わるタスク。
3.2.5
ソフトウェア(software)
データ処理機構の運用に関係があるプログラム,手順,データ,ルール及び任意の付随する文書化を含
む知的創造物。
注記1 ソフトウェアは,それが記録される媒体とは,区別される。
注記2 この定義は,データという語彙を付け加えなければ,注記1を除いてJIS X 0001(参考文献
[7]参照)と同様である。
3.2.6
システムソフトウェア(system software)
EUCの安全に関するタスクを実行する機能を指定するアプリケーションソフトウェアと対比をなす,プ
ログラマブル装置自体による機能実行,及びプログラマブル装置自体が提供するサービスに関する,PE 系
のソフトウェアの一部。
注記 例については,IEC 61508-7:2010を参照。
10
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.2.7
アプリケーションソフトウェア(application software)
アプリケーションデータ(application data)
構成データ(configuration data)
プログラマブル装置自体による機能実行,及びこの装置自体が提供するサービス以外のEUCに関するタ
スクを実行する機能を規定するPE系のソフトウェアの一部。
3.2.8
既存ソフトウェア(pre-existing software)
現行のプロジェクト又は安全関連系のために特別に開発したものではない既に存在しているソフトウェ
ア要素。
注記 ソフトウェアには市販製品のものもあるが,ある組織が以前の製品又はシステムのために開発
したもののこともある。既存ソフトウェアは,この規格群の要求事項に従って開発されている
ことがあるが,そうでないこともある。
3.2.9
データ(data)
コンピュータによる通信,解釈又は処理に適した方法で表現された情報。
注記1 データは,静的情報(例えば,設定点の構成又は地理的情報の表示)の場合も,命令の形式
の場合もある。
注記2 例については,IEC 61508-7:2010を参照。
3.2.10
ソフトウェアオンライン支援ツール(software on-line support tool)
ランタイム中の安全関連系に直接影響を与えることができる,ソフトウェアツール。
3.2.11
ソフトウェアオフライン支援ツール(software off-line support tool)
ソフトウェア開発ライフサイクルのフェーズを支援し,かつ,ランタイム中の安全関連系に直接影響を
与えることのできないソフトウェアツール。ソフトウェアオフラインツールは,次のクラスに分類できる。
− T1 安全関連系の実行可能コード(データを含む。)に直接又は間接的に寄与できる出力を生成しな
い。
注記1 T1の例:テキストエディタ若しくは自動的コード生成能力をもたない要求事項,又は設計
支援ツール。構成制御ツール。
− T2 ツール内にエラーがあっても欠陥を明らかにすることができないが,実行可能ソフトウェア内に
直接,エラーを生成することはなく,設計又は実行可能コードのテスト又は適合確認を支援する。
注記2 T2の例:テストハーネスジェネレータ,テスト率測定ツール:静的解析ツール。
− T3 安全関連系の実行可能コードに直接又は間接的に寄与できる出力を生成する。
注記3 T3の例:ソースコードプログラムと生成したオブジェクトコードとの間の関係が明白でな
い場合の最適化コンパイラ:実行可能なランタイムパッケージを実行可能なコードに組み
込むコンパイラ。
3.2.12
プログラマブル電子の[programmable electronic (PE)]
ハードウェア,ソフトウェア,並びに入力及び/又は出力装置などから成るコンピュータ技術に基づく。
11
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記 この用語は,1個以上の中央演算処理装置(CPU)及び関連する記憶装置などから成るマイク
ロ電子機器を包括する。
例 次に示すものは,全てプログラマブル電子機器である。
− マイクロプロセッサ
− マイクロコントローラ
− プログラマブルコントローラ
− 特定用途向け集積回路(ASIC)
− プログラマブル論理コントローラ(PLC)
− その他のコンピュータ関連装置(例えば,スマート・センサ,送信機,アクチュエータなど)。
3.2.13
電気・電子・プログラマブル電子の(E/E/PE)(electric/electronic/programmable electronic)
電気(E),電子(E)及び/又はプログラマブル電子(PE)技術に基づく。
注記 この用語は,電気的原理で作動する全ての機器又はシステムを包括する。
例 電気・電子・プログラマブル電子機器は,次のものを含む。
− 電気機械機器(電気の)
− 半導体非プログラマブル電子機器(電子の)
− コンピュータ技術に基づく電子機器(プログラマブル電子の)3.2.12参照。
3.2.14
制約可変言語(limited variability language)
適用能力がある範囲に制約された,商用及び産業用電子制御器のための,表記形式がテキスト形式若し
くは図式的,又はそれらの両方であるソフトウェアプログラム用言語。
例 次に示すものは,JIS B 3503(参考文献[8]参照)及びその他の出典から,制約可変言語である。
それらは,PLCシステムのための適用プログラムに用いられる。
− ラダー図 リレーに類似した挙動を表す出力記号に電流の方向を指示するための線で結ばれ
た通常開及び通常閉接点のような機器と同様な挙動を示す,一連の入力記号から成る図式言
語。
− ブール代数 記憶を命令できる能力を付加したAND,OR及びNOT記号のようなブール演算
子に基づく低レベルの言語。
− 機能ブロック線図 ブール演算子に加えて,データ転送ファイル,ブロック転送読込み及び
/又は書込み,シフトレジスタ及びシークエンサ命令のような,より複雑な機能を行うブロ
ックの図式表現。
− 順序機能図 相互連結ステップ,実行及び遷移条件をもった有向結合から成る順序プログラ
ムの図式表現。
3.2.15
特定用途向け集積回路(ASIC)(application specific integrated circuit)
その機能性が製品開発者によって定義された,特定の機能のために設計及び製造された集積回路。
注記 単独でのASICという用語は,次の集積回路の全てのタイプを対象とする。
− フルカスタムASIC:製品開発者が定義した機能性をもつ,設計及び生産が標準集積回路に
類似しているASIC。
12
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
標準集積回路は大量に製造されており,様々な用途に使用することができる。機能性の
創成,妥当性確認,生産及び生産テストは,半導体の売り手側の専権になっている。必要
な面積を低減するため,しばしば,レイアウト水準での手作業による操作及び最適化が行
われている。これらは,安全関連系向けに設計されてはいない。生産プロセス,プロセス
技術及びレイアウトの頻繁な変更も,コスト及び歩留まりの最適化のために行われている。
ある種のプロセス又はマスク変更(mask revision)を使用して製造した構成部品の個数は,
公表されていない。
− コアベースASIC:事前レイアウト,事前設計又は生成したマクロコアに基づいたASIC
で,追加論理によって支援されている。
例1 事前レイアウトのマクロの例には,標準マイクロプロセッサコア,周辺構成部品,
通信インタフェース,アナログブロック,特殊機能I/Oセルがある。
例2 知的財産(IP)として知られる事前設計のマクロの例には,例1に挙げた多様な
類似構成部品があり,設計データが,セルベースASICについて記述した超高速
集積回路設計用ハードウェア記述言語(VHDL,Verilog)で構成されている点が
異なる。
例3 生成マクロの例には,内蔵形RAM,ROM,EEPROM又はFLASH(フラッシュメ
モリ)を含む。生成されたブロックは,設計規則に基づいて,正しい構造をして
いると仮定する。事前レイアウト又は生成マクロはプロセス固有のものであるが,
異なる技術に移植してもよい。大半のケースで,マクロコアは,本来の個別的な
市販構成部品とは同じではない(第三者から提供された異なるプロセス)。
− セルベースASIC:セルライブラリから採ったロジックプリミティブ(AND,OR,フリッ
プフロップ,ラッチ)に基づくASIC。通常,ロジックプリミティブ及び相互接続部を含む
ゲートレベルのネットリストは,超高速集積回路設計用ハードウェア記述言語(VHDL,
Verilog HDL)から合成ツールを用いて作成する。ロジックプリミティブの機能特性及びタ
イミング特性は,セルライブラリで明らかにされている。これらの特性は,合成ツールを
動かすために使用され,また,シミュレーションでも使用する。さらに,レイアウトツー
ルは,セルの設置及び相互接続のルート決定にも使用する。
− ゲートアレイ:事前製造シリコンマスターで,定数のセルをもち,異なる構成部品に対し
て共通のスタートポイントを設定する。
機能性は,事前製造セル間の相互接続マトリックス(金属層)で定義する。設計プロセ
スは,セルベースのASICに非常に類似している。ただし,レイアウトステップは,既存
のセルを接続するためのルート決定ステップに代わっている。
− フィールドプログラマブル・ゲートアレイ(FPGA):機能ブロック間の接続及び個別ブロッ
クの機能性を構成するために,1回だけプログラミング可能な又は再プログラミング可能
な要素を使用する標準集積回路。
生産中は,プログラマブル要素の性質から,1回だけプログラミング可能なFPGAを完
全にテストすることはできない。
− プログラマブル論理装置(PLD):一般にはAND又はOR積項に基づいた,組合せ論理を
定義するために,1回だけプログラミング可能な又は電気的に消去可能な要素(ヒューズ)
及び構成可能な格納要素を用いる,複雑さが低水準から中水準の標準集積回路。
13
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
PLDは規則的な構造をしているので,同期設計において,予測可能なタイミング及び保
証最高使用周波数を提供する。
PLDのタイプには,例えば,PAL,GAL,PML,(E)EPLD,PLA,PLSがある。
− 複合プログラマブル論理装置(CPLD):単一のチップ上の複数のPLD状ブロックを,プロ
グラマブル接続マトリックス(クロスバー)で接続したもの。
プログラマブル論理要素は,大半のケースで再プログラミングが可能である(EPROM又
はEEPROM)。
3.3
システム(系):一般的観点
3.3.1
プログラマブル電子系,PE系[programmable electronic system (PE system)]
1個以上のプログラマブル電子装置に基づいて制御,防護又は監視を行うための,動力供給源,入力装
置(センサ),インタフェース及び他の通信経路,出力装置(アクチュエータなど)などの要素を全て含む
システム(図2参照)。
注記 PE系の構造を,図2 a)に示す。図2 b)には,この規格群のPE系簡略図式表現法を示す。ここ
で,PE装置は,EUCでのセンサ,アクチュエータ及びそれらのインタフェースから区別した1
個のユニットとして示しているが,PE系の複数の部分に存在することもある。図2 c)には,2
個の区分したPEユニットをもつPE系を表現している。図2 d)は,1個のセンサ及びアクチュ
エータをもつ冗長系を構成するPE装置(2チャネル)を表現している。
3.3.2
電気・電子・プログラマブル電子系,E/E/PE系[electrical/electronic/programmable electronic system (E/E/PE
system)]
制御,保護又は監視を行う1個以上のE/E/PE機器を含むシステム。動力源供給装置,入力装置(センサ),
インタフェース及び他の通信経路,出力装置(アクチュエータなど)などの要素を全て含むシステム(図
3参照)。
3.3.3
EUC制御系(EUC control system)
プロセス及び/又は運転員からの入力信号に応答して,EUCを望ましい方法で運転するための出力信号
を生成するシステム。
注記 EUC制御系は,入力装置及び最終要素を包む。
3.3.4
アーキテクチャ(architecture)
システムでのハードウェア及びソフトウェア要素の構成法。
3.3.5
ソフトウェアモジュール(software module)
手順及び/又はデータ宣言からなり,かつ,同類のその他の構造と相互作用を行うことのできる構成物。
14
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
b) 単一のPE装置をもつ
単一のPE系(すなわ
ち単一チャネルのPE
系で構成されている
一つのPE要素)
c) 二つのPE装置を直列に構成し
た単一PE装置(例えば,イン
テリジェントセンサ及びプロ
グラマブル制御機器)
d) 二つのPE装置を冗長構成
にした単一PE装置。ただ
し,センサと最終要素は
共通(すなわち,2チャネ
ルのPE装置からなる単一
PE装置)
図2−プログラマブル電子系(PE系)
注記 E/E/PE装置を中心に描いているが,それらはE/E/PE系内の数箇所に存在する。
図3−電気・電子・プログラマブル電子系(E/E/PE系):構造及び用語法
3.3.6
チャネル(channel)
ある要素安全機能を独立して実行する要素又は要素群。
例 2チャネル構成。同一の機能を独立して実行する2チャネルをもつ構成。
E/E/PE系の範囲
入力装置
(例えば,センサ)
出力装置及び/又は最終要素
(例えば,アクチュエータ)
入力インタフェース
A-D変換器
出力インタフェース
D-A変換器
プログラマブル
電子系(PE系)
a) 基本PE系構造
E/E/PE系の範囲
入力装置
(例えば,センサ)
出力装置及び/又は最終要素
(例えば,アクチュエータ)
入力インタフェース
A-D変換器
出力インタフェース
D-A変換器
E/E/PE装置
15
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記 この用語は,完全なシステムを表すことも,システムの部分(例 センサ,最終要素)を表現
することもできる。
3.3.7
多様性(diversity)
要求される機能を実行する異なる手段。
注記 多様性は,異なる物理的原理又は異なる設計方法で達成される。
3.4
システム:安全関連の観点
3.4.1
安全関連系(safety-related system)
次の両方を満足するシステム。
− EUCを安全な状態に移行させるため,又はEUCの安全な状態を維持するために必要な,要求された
安全機能を行う。
− それ自体で,又はその他のE/E/PE安全関連系及び他リスク軽減措置によって,要求される安全機能に
対して必要な安全度を達成する。
注記1 この用語は,安全関連系として指定され,要求される許容リスク(3.1.7参照)に適合するた
めに,他リスク軽減措置(3.4.2参照)と協調して,必要なリスク軽減の達成を意図するシス
テムに用いる。IEC 61508-5 :2010の附属書A参照。
注記2 安全関連系は,危険事象の誘因となる状態の検出に対して適切に作動して,EUCの危険な状
態への移行を防止するように設計されている。安全関連系の故障は,一つ又は複数の潜在危
険に至る事象の一部になり得る。安全機能をもつその他のシステムが存在する場合でも,要
求される許容リスクを独自に達成するために特定されたものが安全関連系である。安全関連
系は,大きくは,安全関連制御系及び安全関連保護系に分類できる。
注記3 安全関連系は,EUC制御系に組み込まれた一部でもよく,入力装置(センサなど)及び/又
は出力装置(アクチュエータなど)によってEUCと接続されてもよい。すなわち,要求され
る安全度水準は,EUC制御系の安全機能の遂行によって(そして場合によっては,更に付加
的な区分及び独立したシステムによって)達成されてもよく,又は安全機能は,専用の区分
及び独立したシステムによって遂行されてもよい。
注記4 安全関連系は,次のように構成してもよい。
a) 危険事象を防止するように設計する(すなわち,安全関連系がその安全機能を遂行する
と,危害事象は発生しない。)。
b) 危害事象によって生じる被害を緩和し,それによって影響を軽減することでリスクを軽
減するように設計する。
c) a)とb)との組合せを行うように設計する。
注記5 人は,安全関連系の一部を構成し得る。例えば,プログラマブル電子装置からの情報を受け
取り,この情報に基づいて安全のための業務を遂行するか,又は人がプログラマブル電子装
置を用いて安全のための業務を実施することもある。
注記6 安全関連系には,規定の安全機能を遂行するために必要とされる,全てのハードウェア,ソ
フトウェア,及び全ての支援サービス(例 動力供給)を含む[したがって,検出端(セン
サ),その他の入力装置,操作端(アクチュエータ)及びその他の出力装置が安全関連系に含
まれる。]。
16
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記7 安全関連系は,電気,電子,プログラマブル電子,液圧及び空圧を含む広範な技術に基盤を
置いてもよい。
3.4.2
他リスク軽減措置(other risk reduction measure)
E/E/PE安全関連系から分離,区分され,かつ,それらを用いないリスクを軽減又は緩和する措置。
例 逃がし弁(リリーフバルブ)は,他リスク軽減措置である。
3.4.3
低複雑度E/E/PE安全関連系(low complexity E/E/PE safety-related system)
E/E/PE安全関連系(3.2.13及び3.4.1参照)のうち,次の条件が同時に成り立つもの。
− 各々の部品の故障モードが明確に定義される。
− フォールト状態でのシステムの挙動が完全に決定できる。
注記 フォールト状態でのシステムの挙動は,解析的及び/又はテスト方法によって決定してよい。
例 モータの動力切断を行うために,内挿された電気−機械式リレーによって接点を動作させるリミ
ットスイッチを幾つかもつシステムは,低複雑度E/E/PE安全関連系である。
3.4.4
サブシステム(subsystem)
安全関連系の最上位アーキテクチャ設計上の部分。当該部分は,3.6.7 a)による安全機能の危険側故障に
帰着する。
3.4.5
要素(element)
一つ又は複数の要素安全機能を実行する,一つの部品又は部品の集まりを含んだサブシステムの部分
(JIS B 9961の3.2.6修正)。
注記1 要素はハードウェア及び/又はソフトウェアで構成してもよい。
注記2 代表的な要素は,検出端(センサ),プログラマブルコントローラ,操作端である。
3.4.6
冗長性(redundancy)
要求された機能を実行するため,又は情報を表すための,二つ以上の手段の存在(IEC/TR 62059-11に
基づく。)。
例 二重の機能要素及びパリティビットの追加は,共に冗長性の例である。
注記1 冗長性は,一義的には,信頼性(指定した期間にわたり確実に機能する確率),又はアベイラ
ビリティ(指定した瞬間に確実に機能する確率)を向上させるために用いる。2oo3のように,
アーキテクチャとして誤作動を最小化するために用いてもよい。
注記2 IEV 191(IEC 60050-191)-15-01の定義は,不完全である。
注記3 冗長性は,“ホット”すなわち“アクティブ”(全ての冗長なアイテムが同時に動作する。),
“コールド”すなわち“スタンバイ”(冗長なアイテムは同時に動作しない。),“混在”(同じ
時刻に一つ又は幾つかのアイテムが待機状態,かつ,一つ又は幾つかのアイテムが動作状態
となる。)であってもよい。
3.5
安全機能及び安全度
3.5.1
17
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
安全機能(safety function)
E/E/PE安全関連系又は他リスク軽減措置によって遂行される機能。この機能は,特定の危険事象に関し
て,EUCに関わる安全な状態を達成又は保持する(3.4.1及び3.4.2参照)。
例 安全機能の例は,次の事項を含む。
− 危険状態を避けるために,確実な措置として実行が要求される機能(例えば,モータを停止
する。)
− とられている措置を防止する機能(例えば,モータの起動を防止する。)
3.5.2
全安全機能(overall safety function)
特定の危険事象に関して,EUCに関わる安全な状態を達成又は保持する手段。
3.5.3
要素安全機能(element safety function)
要素によって遂行される安全機能(3.5.1参照)の部分。
3.5.4
安全度(safety integrity)
あるE/E/PE安全関連系が,指定した期間内に,全ての指定した条件下で,規定する安全機能を果たす確
率。
注記1 安全度の水準が高いほど,その安全関連系が規定する安全機能を実行できない確率,又は要
求時に規定した状態に適合できない確率が低くなる。
注記2 安全関連系には,4水準の安全度が存在する(3.5.8参照)。
注記3 安全度の決定には,不安全な状態へと導く機能失敗の全原因(ランダムハードウェア故障及
び決定論的原因故障)を含むことが望ましい。例えば,ハードウェア故障,ソフトウェア起
因の機能失敗,電気的干渉による機能失敗などがある。それらの機能失敗の幾つかのタイプ,
特にランダムハードウェア故障は,その故障の危険側モードでの故障平均頻度,又は安全関
連保護系の作動要求当たりの機能失敗確率のような尺度を用いて定量化してもよい。ただし,
安全度は,正確には定量化できず,定性的にだけ考慮できる多くの要素にも依存する。
注記4 安全度には,ハードウェア安全度(3.5.7参照)及び決定論的安全度(3.5.6参照)で成り立っ
ている。
注記5 この定義は,安全関連系が安全機能を遂行する信頼度に焦点を絞っている[信頼度の定義は,
IEV 191(IEC 60050-191)-12-01参照]。
3.5.5
ソフトウェア安全度(software safety integrity)
安全関連系の安全度のうち,ソフトウェアに起因する,機能失敗の危険側モードに導く決定論的原因故
障(3.6.6参照)に関わる部分。
3.5.6
決定論的安全度(systematic safety integrity)
安全関連系の安全度のうち,機能失敗の危険側モードに導く決定論的原因故障に関わる部分。
注記 決定論的安全度は,通常,定量化不可能である(通常,定量化可能なハードウェア安全度と区
別される。)。
18
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.5.7
ハードウェア安全度(hardware safety integrity)
安全関連系の安全度のうち,機能失敗の危険側モードに導くランダムハードウェア故障に関わる部分。
注記 この用語は,危険側モードの故障,すなわち,安全度を損なう安全関連系の故障に関連してい
る。ここでは,危険側故障の平均頻度及び作動要求時の機能失敗確率の2個のパラメータが関
係している。危険側故障の平均頻度は,安全を維持するために連続した制御を行うことが必要
な場合に用い,作動要求時の機能失敗確率は,安全関連保護系に対して使用する。
3.5.8
安全度水準(SIL)(safety integrity level, SIL)
安全度の値の範囲に対応する離散的水準(4水準のうちの一つ)。安全度水準4は最高の安全度水準であ
り,1は最低である。
注記1 四つの安全度水準に関わる目標機能失敗尺度(3.5.17参照)は,JIS C 0508-1の表2及び表3
に規定している。
注記2 安全度水準は,E/E/PE安全関連系に割り当てられた安全機能の安全要求事項を規定するため
に用いる。
注記3 安全度水準(SIL)は,システム,サブシステム,要素又はコンポーネントの特性ではない。
“SIL n安全関連系”(ここで,nは1,2,3又は4)という表現の正しい解釈は,その系がn
までの安全度水準をもつ安全機能に潜在的に対応できるということである。
3.5.9
決定論的対応能力(systematic capability)
ある要素が対応する準拠項目に対する安全マニュアルで指定している指示に従って適用されたとき,そ
の要素の決定論的安全度が,規定の要素安全機能に関して規定のSILの要求を満たしている確かさを示す
尺度。SC 1〜SC 4で表現する。
注記1 決定論的対応能力は,決定論的原因フォールトの回避及び制御のための要求事項に関連して
決定する(IEC 61508-2及びIEC 61508-3参照)。
注記2 関連する決定論的原因故障のメカニズムは何かということは,要素の性質に依存する。例え
ば,ソフトウェアだけで構成される要素では,単にソフトウェアの機能失敗メカニズムだけ
を考慮する必要がある。ハードウェア及びソフトウェアで構成される要素では,ハードウェ
ア及びソフトウェア両方の決定論的原因故障のメカニズムを考慮する必要がある。
注記3 規定の要素安全機能に関して,要素のSC nの決定論的対応能力は,その要素が対応する準拠
項目に対する安全マニュアルに規定している指示に従って適用したときに,その要素がSIL n
の決定論的安全度を満たすことを示す。
3.5.10
ソフトウェア安全度水準(software safety integrity level)
安全関連系のサブシステムの一部を構成する,ソフトウェア要素の決定論的対応能力。
注記 SILは,安全機能を担う個別のサブシステム又は要素ではなく,全安全機能を特徴付ける。し
たがって,要素と同じように,ソフトウェア自体は,SILをもたない。ただし,“SC nソフトウ
ェア”が,“(ソフトウェアの)要素が対応する準拠項目に対する安全マニュアルに規定してい
る指示に従って適用されたときに,関連した決定論的原因故障のメカニズムによって,(ソフト
ウェアの)要素安全機能が機能失敗を起こさないことを(1から4までの範囲の表現によって)
19
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
保障できる確かさをもったソフトウェア”を意味するとみなすことは,有用である。
3.5.11
E/E/PE系安全要求仕様(E/E/PE system safety requirements specification)
安全機能及びそれに伴う安全度水準に関わる要求事項を含む仕様。
3.5.12
E/E/PE系安全機能要求仕様(E/E/PE system safety functions requirements specification)
安全関連系が実行しなければならない安全機能に関わる要求事項を含む仕様。
注記1 この仕様は,E/E/PE系安全要求仕様の一部(安全機能の部分)であり(JIS C 0508-1の7.10
参照),安全関連系が実行しなければならない安全機能に関わる詳細事項を包括する。
注記2 仕様は,安全機能が明確に理解できるという条件を満たす場合,テキスト,流れ図,マトリ
ックス,論理図などの形式で記述してもよい。
3.5.13
E/E/PE系安全度要求仕様(E/E/PE system safety integrity requirements specification)
安全関連系が実行しなければならない安全機能に関わる安全度の要求事項を含む仕様。
注記 この仕様は,E/E/PE系安全要求仕様の一部(安全度の部分)である(JIS C 0508-1の7.10参照)。
3.5.14
E/E/PE系設計要求仕様(E/E/PE system design requirements specification)
サブシステム及び要素に関してE/E/PE安全関連系の設計安全要求事項を含む仕様。
3.5.15
安全関連ソフトウェア(safety-related software)
安全関連系の安全機能を実施するために用いるソフトウェア。
3.5.16
運用モード(mode of operation)
安全機能が作動する方法。これは,次のいずれかとしてもよい。
− 低頻度作動要求モード EUCを規定の安全状態に移行させるために,安全機能が作動要求だけに
よって動作し,作動要求の頻度が1年当たり1回以下の場合。
注記 安全機能を実行するE/E/PE安全関連系は,通常,作動要求が発生するまでは,EUC又はEUC
制御系に影響を与えない。しかし,E/E/PE安全関連系が機能失敗を起こし,安全機能を実行で
きない場合,EUCを安全状態に移行させる(IEC 61508-2:2010の7.4.6参照)。
− 高頻度作動要求モード EUCを規定の安全状態に移行させるために,安全機能が作動要求だけに
よって動作し,作動要求の頻度が1年当たり1回より大きい場合。
− 連続モード 安全機能が通常運転の一環としてEUCを安全状態に保持する場合。
3.5.17
目標機能失敗尺度(target failure measure)
次のいずれかによって決定する,安全度要求事項に関して達成しなければならない危険側モード機能失
敗の目標確率。
− 低頻度作動要求モード運用の場合,作動要求当たりの,安全機能の危険側機能失敗の平均確率。
− 高頻度作動要求モード運用又は連続モード運用の場合,時間当たり[1/h]の危険側機能失敗の平均
頻度。
注記 目標機能失敗尺度に関する数値は,JIS C 0508-1の表2及び表3参照。
20
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.5.18
必要なリスク軽減(necessary risk reduction)
許容リスクを超えないために,E/E/PE安全関連系及び/又は他リスク軽減措置によって実施する必要が
あるリスク軽減。
3.6
フォールト,故障(機能失敗)及びエラー(図4参照)
3.6.1
フォールト(fault)
機能ユニットに要求される機能遂行能力の低下又は喪失を引き起こす可能性がある異常状態(JIS X
0014の14.01.10)。
注記 IEV 191(IEC 60050-191)-05-01では,“フォールト”は,予防保全,他の計画的な活動による機
能停止状態,又は外部資源の不足による機能喪失状態以外の,要求される機能を遂行すること
のできない状態として定義している。この規格での定義,及びIEC 60050-191の191-05-01の定
義の説明を図4に示す。
3.6.2
フォールトアボイダンス(fault avoidance)
安全関連系の安全ライフサイクルの任意のフェーズで,フォールトを導き入れないようにするための技
法及び手続きの使用。
3.6.3
フォールトトレランス(fault tolerance)
フォールト又はエラーの存在下で,要求される機能を遂行し続ける機能ユニットの能力(JIS X 0014の
14.04.06)。
注記 IEV 191(IEC 60050-191)-15-05での定義は,サブアイテムのフォールトだけを考慮している。
3.6.1の用語“フォールト”の注記を参照。
3.6.4
故障(機能失敗)(failure)
ある機能ユニットの要求機能の遂行能力の終結,又は要求された以外の機能の誤運用。
注記1 これはIEV 191(IEC 60050-191)-04-01に基づいているが,例えば,仕様又はソフトウェアの
欠陥による決定論的原因故障を含むように変更されている。
注記2 JIS C 0508規格群及びJIS Z 8115でのフォールトと故障との関係については,図4参照。
注記3 要求される機能の実行は,必然的にある種の挙動を除外し,そして幾つかの機能は避けなけ
ればならない挙動として指定することもある。そのような挙動の発生は故障(機能失敗)と
なる。
注記4 故障は,(ハードウェアでの)ランダム故障と(ハードウェア又はソフトウェアでの)決定論
的原因故障とのどちらかである。3.6.5及び3.6.6参照。
21
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
a) 機能ユニットの構成
b) 全体図
c) JIS C 0508規格群及びJIS X 0014の考え方
d) JIS Z 8115の考え方
注記1 a)に示すように,ある機能ユニットは,多段階の階層構造として考えることができる。各々の階層構造中のユ
ニットもそれぞれ機能ユニットと呼ばれる。レベル(i)では,“原因”は,当該レベルの機能ユニット内での
エラー(正しい値又は状態からのある逸脱)として現れる場合がある。さらに,原因が修正又は防止されない
場合,この機能ユニットの故障を引き起こすこともある。故障が生じた場合,レベル(i)機能ユニットは,
“F”状態となり,もはや要求される機能を果たすことができない[b)参照]。レベル(i)機能ユニットの“F”
状態は,今度は,レベル(i-1)機能ユニット内のエラーとして現れる。また,この原因が修正又は防止され
ないと,当該レベル(i-1)機能ユニットの故障を引き起こすこともある。
注記2 この原因と結果との連鎖では,“エンティティX”の故障による結果をレベル(i)機能ユニットの“F”状態
としてみなすことができる。また,この状態をレベル(i-1)機能ユニット故障の原因としてもみなすことが
できる。“エンティティX”はJIS C 0508規格群及びJIS X 0014における“フォールト”の概念を結び付けて,
c)に示すように,フォールトが原因であるという観点を強調している。また,JIS Z 8115での“フォールト”
の概念では,d)に示すように,フォールト状態であるという考え方が強調されている。“F”状態はJIS Z 8115
ではフォールトと呼ばれるが,JIS C 0508規格群及びJIS X 0014では定義していない。
注記3 幾つかの場合では,故障又はエラーは,内部のフォールトではなく,雷,電磁ノイズなど外的事象によって引
き起こされる。同様に,(内・外部の意味での)フォールトが先立つ故障なしで存在する場合がある。設計の
フォールトがこのようなフォールト事例である。
図4−故障モデル
3.6.5
ランダムハードウェア故障(random hardware failure)
時間に関して無秩序に発生し,ハードウェアの多様な劣化メカニズムから生じる故障。
注記1 異なる部品ごとに異なる率で生じる多くの劣化メカニズムが存在し,製造上の許容誤差がそ
れらのメカニズムによって部品の故障を運転中の異なる時刻に引き起こす。したがって,多
くの部品から成る装置全体の故障は,予測可能な率で生じるが予測不可能な(ランダムな)
時刻で発生する。
(L=レベル,i =1,2,3など,FU=機能ユニット)
L (i-1) FU
L (i) FU
L (i+1) FU
L (i+1) FU
L (i+1) FU
L (i+1) FU
L (i) FU
L (i+1) FU
L (i+1) FU
L (i+1) FU
L (i+1) FU
レベル(i)
レベル(i-1)
“エンティティX”
“F”状態
故障
原因
“F”状態
原因
故障
レベル(i)
レベル(i-1)
“エンティティX”
故障
フォールト
フォールト
故障
レベル(i)
レベル(i-1)
“エンティティX”
フォールト
故障
故障原因
フォールト
故障原因
故障
22
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記2 ランダムハードウェア故障と決定論的原因故障(3.6.6参照)とを区別する主な性質は,ラン
ダムハードウェア故障から生じるシステムの機能失敗率(又は適当な他の尺度)が合理的な
精度で予測可能であるのに対して,決定論的原因故障(による機能失敗)が,その性質上,
正確には予測できない点にある。すなわち,ランダムハードウェア故障によるシステムの故
障(機能失敗)率が合理的な精度をもって定量化できるのに対して,決定論的原因故障によ
るものは,故障へと導く事象が容易には予測できないので,正確な統計量として把握できな
い。
3.6.6
決定論的原因故障(systematic failure)
正しい知識,認識,対策の欠如などの原因の決定的に関連する想定外の故障又は失敗。この原因は,設
計の部分改修,製造過程,運転手順,文書化又はその他の関係する要因の修正によってだけ除くことがで
きる[IEV 191(IEC 60050-191)-04-19]。
注記1 部分改修がない事後保全では,通常,決定論的原因故障の原因は除去されない。
注記2 決定論的原因故障は,同様な原因が生じると再び誘発される。
注記3 決定論的原因故障の原因事例には,次のような項目中のヒューマンエラーがある。
− 安全要求仕様(中のヒューマンエラー)
− ハードウェアの設計,製造,設置及び運転(中のヒューマンエラー)
− ソフトウェアの設計,実施,その他(中のヒューマンエラー)。
注記4 この規格群では,安全関連系の故障はランダムハードウェア故障(3.6.5参照)と決定論的原
因故障とに分類される。
3.6.7
危険側故障(dangerous failure)
安全機能を実行するときにある役割を果たす,要素及び/又はサブシステム及び/又はシステムに関す
る次のような故障。
a) EUCが危険状態又は危険になり得る状態に陥るように,作動要求モードで要求された場合に安全機能
の作動を阻止する,又は連続モードで安全機能を失敗させる。
b) 要求された場合に安全機能が正しく作動する確率を下げる。
3.6.8
安全側故障(safe failure)
安全機能を実行するときに役割を果たす,要素,サブシステム及び/又はシステムに関する次のような
故障。
a) 安全機能の誤作動が,EUC(又はその部品)を安全状態にする,又は安全状態を維持する結果となる。
b) EUC(又はその部品)を安全状態に置く,又は安全状態を維持するように安全機能が誤作動する確率
を上げる。
3.6.9
従属故障(dependent failure)
その存在確率が,故障を引き起こす各々の原因の無条件存在確率の単純な掛け算として表現できない故
障。
注記 二つの状態A, Bは,次のときにだけ従属である。
P(AかつB)>P(A)×P (B)
23
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.6.10
共通原因故障(common cause failure, CCF)
一つ以上の事象を原因とする故障で,それが複数チャネル系の二つ以上の分離したチャネルそれぞれに
故障を同時に引き起こし,システムの故障を生じさせるもの。
3.6.11
エラー(error)
“計算,観察,又は測定された”値又は状態と,“真の,規定された,又は理論的に正しい”値又は状態
との不一致[IEV 191(IEC 60050-191)-05-24修正]。
3.6.12
ソフトエラー(soft-error)
データの内容への誤った変更。物理的な回路自体への変更ではない。
注記1 ソフトエラーが発生してデータが書き換えられた場合,回路は本来の状態に回復される。
注記2 ソフトエラーはメモリ,デジタル論理,アナログ回路,伝送回線などで発生することがあり,
レジスタ及びラッチを含む半導体メモリにおいて支配的である。データは,例えば,製造業
者から入手できる。
注記3 ソフトエラーは過渡的であり,ソフトウェアのプログラム作成エラーと混同しないほうがよ
い。
3.6.13
非安全機能故障(no part failure)
安全機能の実行に役割を果たさない部品の故障。
注記 非安全機能故障は,SFFの計算には使用しない。
3.6.14
無影響故障(no effect failure)
安全機能の実行に役割を果たすが,安全機能に直接影響を与えない要素の故障。
注記1 無影響故障は定義上安全機能に影響しない。そのため,安全機能の故障率には寄与し得ない。
注記2 無影響故障はSFFの計算には使用しない。
3.6.15
安全側故障割合(safe failure fraction, SFF)
安全側故障及び検出された危険側故障の平均故障率の和と,安全側故障及び危険側故障の平均故障率の
和との比で表す,安全関連要素の特性。この比は,次の式で表す。
∑
∑
∑
∑
∑
avg
Du
avg
Dd
avg
S
avg
Dd
avg
S
SFF
λ
λ
λ
λ
λ
+
+
+
=
故障率が固定の故障率に基づいている場合,この式は簡略化できる。
∑
∑
∑
∑
∑
Du
Dd
S
Dd
S
SFF
λ
λ
λ
λ
λ
+
+
+
=
3.6.16
故障率(failure rate)
あるエンティティ(単一の部品又は系)の信頼性のパラメータ[λ(t)]。例えば,λ(t).dtは,[0, t]には故
障が起きないとしたときに,[t, t+dt]にこのエンティティの故障が起きる確率を示す。
24
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記1 数学的には,λ(t)は,[t, t+dt]にわたる単位時間当たりの故障の条件付確率である。これは,
次の一般式によって信頼度関数(すなわち,0からtまでは故障が起きない確率)と強く関連
付けられる。
∫t
d
t
R
0
)
(
exp
)
(
τ
τ
λ
−
=
逆に,これは,信頼度関数から次式で算出する。
)
(
1
)
(
)
(
t
R
dt
t
dR
t=−
λ
注記2 故障率及びその不確実さは,標準統計法を用いて,フィールドフィードバックから推定する
ことができる。“耐用寿命”[すなわち,バーンイン(初期故障)後,かつ,ウェアアウト(磨
耗故障)前]の間では,単一アイテムの故障率はほぼ一定で,λ(t)≡λとなる。
注記3 次の式で定義される,ある所定の期間[0, T]にわたるλ(t)の平均値は,注記1に示すように
R(t)の計算には使用できないため,故障率ではない。しかし,この期間にわたる故障の平均頻
度として解釈してもよい(すなわちPFH,IEC 61508-6:2010の附属書B参照)。
∫T
avg
d
T
T
0
)
(
1
)
(
τ
τ
λ
λ
=
注記4 一連のアイテムの故障率は,各アイテムの故障率の和である。
注記5 冗長系の故障率は,一般に一定ではない。ただし,全ての故障が急速に明らかになり,独立
で,急速に修復される場合,λ(t)は系の等価故障率である漸近値λasに急速に収束する。注記3
で示した平均故障率は,漸近値に必ずしも収束しないため,平均故障率と混同しないほうが
よい。
3.6.17
作動要求時の危険側機能失敗確率(probability of dangerous failure on demand, PFD)
EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関
連系の安全アンアベイラビリティ(JIS Z 8115参照)。
注記1 [瞬時]アンアベイラビリティ(JIS Z 8115参照)は,要求された外部リソースが提供され
ていると仮定した場合,時間内の所定の瞬間における所定の状態下で,アイテムが要求機能
を実行する状態にない確率である。一般に,U(t)と表記する。
注記2 [瞬時]アベイラビリティ(JIS Z 8115による。)は, 時刻t以前にアイテムが置かれた状態
(動作又は機能失敗)に依存しない。例えば,低頻度作動要求モードで動作しているE/E/PE
安全関連系のように,作動要求をされたときにだけ,動作できなければならないアイテムと
して特徴付けられる。
注記3 定期的にテストを行う場合,E/E/PE安全関連系のPFDは,規定の安全機能に関して,テスト
直後の小さい値からテスト直前の最大値までの広い範囲の確率をもった,きょ(鋸)歯状曲
線として表す。
3.6.18
作動要求時の危険側機能失敗平均確率(average probability of dangerous failure on demand, PFDavg)
EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関
連系の平均アンアベイラビリティ(JIS Z 8115参照)。
25
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記1 所定の時間間隔[t1, t2]にわたる平均アンアベイラビリティは,一般に,U(t1, t2)で表記する。
注記2 2種類の機能失敗がPFD及びPFDavgに寄与する。最後のプルーフテスト以降に発生した検出
されない危険側故障,及びプルーフテスト及び安全作動要求の作動要求自体によって引き起
こされた,真の作動要求による故障。 最初の故障は時間依存性があり,その危険側故障率
λDU(t)によって特徴付けられる。2個目の故障は作動要求の回数にだけ依存し,(γで表記され
た)作動要求当たりの故障確率で特徴付けられる。
注記3 真の作動要求による故障は,テストでは検出できないため,目標機能失敗尺度を計算する場
合は,それらを識別して考慮に入れる必要がある。
3.6.19
単位時間当たりの時間平均危険側故障頻度(average frequency of a dangerous failure per hour, PFH)
指定する期間にわたって規定の安全機能を実行するE/E/PE安全関連系の危険側故障の平均頻度。
注記1 この規格群では,“単位時間当たりの危険側故障率”という用語を使わないが,略語PFHは,
“危険側故障の平均頻度[時間]”という意味で使われる場合のために残している。
注記2 理論的な見地では,PFHは,無条件故障度の平均値であり,故障頻度とも呼ばれ,一般的に
w(t)で表記する。故障率と混同しないほうがよい(IEC 61508-6:2010の附属書B参照)。
注記3 E/E/PE安全関連系が最終の安全層である場合,PFHは不信頼度F(T)=1−R(t)(上記の“故障
率”参照)から計算するのがよい。最終の安全関連系ではない場合,PFHはアンアベイラビ
リティU(t)(上記のPFD参照)から計算するのがよい。PFHの近似値は,最初の場合はF(T)/T
及び1/MTTF,2番目の場合は1/MTBFで求める。
注記4 E/E/PE安全関連系が急速修理を受けた,明らかになった故障だけを明示する場合,漸近的故
障率λasに急速に達する。これは,PFHの推定値を示す。
3.6.20
プロセスセーフティタイム(process safety time)
EUC又はEUC制御系において,危険側故障に至る潜在性をもつ故障が発生した時刻から,危険事象の
発生を防ぐためにEUCにおける処置をそれまでに完了させなければならない時刻までの時間。
3.6.21
平均修復時間(mean time to restoration, MTTR)
修復を完了するまでの予測時間。
注記 MTTRは次の事項を含む。
a) 故障を検出する時間
b) 修理を開始する前に経過した時間
c) 修理の実施時間
d) 構成部品を運用に戻すまでの時間
b)の開始時間は,a)の終了時間となる。c)の開始時間は,b)の終了時間となる。d)の開始時間
は,c)の終了時間となる。
3.6.22
平均修理時間(mean repair time, MRT)
全修理の予測時間。
注記 MRTには,MTTR時間のうち,3.6.21の注記のb),c)及びd)の時間を含む(3.6.21参照)。
26
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3.7
ライフサイクル業務
3.7.1
安全ライフサイクル(safety lifecycle)
安全関連系の遂行上に必要な業務。プロジェクトの概念フェーズから出発して全てのE/E/PE安全関連系
及び他リスク軽減措置の必要性が終了するまでの期間に生じる。
注記1 “機能安全ライフサイクル”が正確な用語であるが,この規格群では“機能”が付加されな
い。
注記2 この規格群に使用される安全ライフサイクルモデルは,JIS C 0508-1の図2,図3及び図4
に指定している。
3.7.2
ソフトウェアライフサイクル(software lifecycle)
ソフトウェアが,着想されてから完全に廃棄されるまでの間に生じる業務。
注記1 ソフトウェアライフサイクルは,典型的に,要求事項フェーズ,開発フェーズ,テストフェ
ーズ,統合フェーズ,設置フェーズ及び部分改修フェーズを包含する。
注記2 ソフトウェアは,保全できないので部分改修される。
3.7.3
構成管理(configuration management)
ライフサイクルを通じて,進展するシステム要素の変化を管理し,連続性及び追跡性を保持するために,
そのような要素を同定するための規律。
注記 ソフトウェア構成管理の詳細については,IEC 61508-7:2010の附属書Cの5.24参照。
3.7.4
構成基準(configuration baseline)
監査可能,かつ,系統的方法によって再生成されるソフトウェアリリースを許可する情報。この情報は,
ソフトウェアリリースを構成する,全てのソースコード,データ,ランタイムファイル,文書化,構成フ
ァイル及びインストール用スクリプトを含む。更に,ソフトウェアリリース生成に使用するコンパイラ,
オペレーティングシステム及び開発ツールも含む。
3.7.5
影響解析(impact analysis)
あるシステムの機能又は要素の変化によって生じる,当該システムのその他の機能,要素又はその他の
システムへの影響を特定する業務。
注記 ソフトウェアに関しては,IEC 61508-7:2010の附属書Cの5.23参照。
3.8 安全措置の確認
3.8.1
適合確認(verification)
要求事項が満足されていることを調査して客観的証拠を提示することによって確認する業務(ISO 8402
の2.17修正)。
注記 この規格群では,適合確認とは,関連する安全ライフサイクル(全E/E/PE系及びソフトウェア)
の各フェーズで,解析,数学的推論及び/又はテストによって,特定の引継ぎ事項に対して,
引渡し事項が全ての観点から当該フェーズに関わる目的と要求事項との組合せに対して適合し
ていることを明示する業務である。
27
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
例 適合確認業務は,次の事項を含む。
− あるフェーズへ引き継がれる特定の事項を考慮に入れ,引渡し事項(安全ライフサイクル全
てのフェーズの文書)が,当該フェーズの目的及び要求事項に整合していることを保証する
ための審査。
− 設計審査。
− 設計された製品がその仕様に合致する性能をもつことを確認するためのテスト。
− システムの各々の部分が組み立てられる場所で段階的に実施され,それらの部分が指定した
ように協調して作動することを確認するための環境テストによる統合テスト。
3.8.2
妥当性確認(validation)
仕様上に定めた使用法に関する特定の要求事項が満足されていることの審査,及び客観的な証拠の提供
による確認[ISO 8402の2.18修正]。
注記1 この規格群では,次の三つの妥当性確認フェーズを取り扱う。
− 全安全妥当性確認(JIS C 0508-1の図2参照)
− E/E/PE系妥当性確認(JIS C 0508-1の図3参照)
− ソフトウェア妥当性確認(JIS C 0508-1の図4参照)
注記2 妥当性確認は,検討段階又は設置前後の安全関連系が全ての観点から安全要求仕様に適合し
ていることを実証する業務である。そのため,例えば,ソフトウェア妥当性確認は,客観的
な根拠を審査し提示することによって,当該ソフトウェアがソフトウェア安全要求仕様を満
足することの確認を意味する。
3.8.3
機能安全評価(functional safety assessment)
根拠に基づいて,一基以上のE/E/PE安全関連系及び/又は他リスク軽減措置によって,機能安全が達成
されることを判定するための調査。
3.8.4
機能安全監査(functional safety audit)
計画された定めに基づく機能安全要求事項に指定した手順が効果的に実施されているか,更に指定した
目的の達成に適切であるかを決定する決定論的,かつ,独立した審査。
注記 機能安全監査は,機能安全評価の一部として実施してもよい。
3.8.5
プルーフテスト(proof test)
必要に応じて,修理によって新品又は実際上これに近い状態にシステムを修復することができるように,
安全関連系の危険側隠れ故障状態を見付けるために実施する定期テスト。
注記1 この規格群では,“プルーフテスト”という用語が使用されるが,“定期テスト”も同義語と
して認められる。
注記2 プルーフテストの効果は,故障範囲及び修復実効性に依存している。実際上は,低複雑度
E/E/PE安全関連系を除いて潜在した危険側故障を100 %検出することは容易ではない。努力
目標と考えるのがよい。最小限,実施される全ての安全機能が,E/E/PE系安全要求事項仕様
に従って検査される。分離したチャネルが用いられている場合,それらのテストは,各々の
チャネルごとに独立して実行される。複雑な要素の場合は解析を行って,プルーフテストで
28
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
検出されない隠れ危険側故障の確率が,E/E/PE安全関連系の寿命期間全体にわたって無視で
きるものであることを実証する必要がある。
注記3 プルーフテストの実施には,ある程度の時間が必要である。この期間,E/E/PE安全関連系は,
部分的又は全面的に禁止されてもよい。運転要求がある場合にテスト対象のE/E/PE安全関連
系の部分が利用可能なままであるときだけ,又はテスト中EUCがシャットダウンされている
ときだけは,プルーフテストの期間を無視できる。
注記4 プルーフテストの間,E/E/PE安全関連系が,運転要求に対して部分的又は完全に応答しない
ことがある。EUCが修復中にシャットダウンされているときだけ,又は他リスク軽減措置が
同等の実効性をもって実施されているときだけは,SILの計算においてMTTRを無視するこ
とができる。
3.8.6
診断カバー率(diagnostic coverage, DC)
自動的なオンライン診断テストによって検出される危険側故障の比率。危険側故障の比率は,検出され
た危険側故障に付随する危険側故障率を,総危険側故障率で除して計算する。
注記1 危険側故障診断カバー率は,次の式を用いて計算する。
∑∑Dtotal
DD
λ
λ
=
DC
DC:診断カバー率
λDD:検出された危険側故障率
λDtotal:総危険側故障率
注記2 この定義は,個々のコンポーネントが一定の故障率をもつという条件で適用することができ
る。
3.8.7
診断テスト間隔(diagnostic test interval)
安全関連系のフォールトを検出するために指定した診断範囲をもつオンラインテストを実施する時間間
隔。
3.8.8
検出された(detected)
現れた(revealed)
顕在的な(overt)
ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)
又は通常の運転から当該事項が見つかり,明らかになる。
例 これらの形容詞は,“検出されたフォールト”,“検出された故障”などのようにして用いる。
注記 診断テストによって検出された危険側故障は現れた故障であり,自動又は手動にかかわらず有
効な措置をとる場合,安全側故障とみなすことができる。
3.8.9
検出されない(undetected)
現れない(unrevealed)
隠された(covert)
29
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ハードウェアに関して,診断テスト,プルーフテスト,操作員の介入(物理的な検査,手動テストなど)
又は通常の運転から当該事項が見つけ出せず,明らかにならない。
例 これらの形容詞は“検出されないフォールト”,“検出されない故障”などのようにして用いる。
3.8.10
アセッサ(assessor)
E/E/PE安全関連系及び他リスク軽減措置によって達成した機能安全について判断を下すために,機能安
全評価を行う一人の人員,複数の人員又は組織。
注記 JIS C 0508-1の箇条8も参照。
3.8.11
独立した人員(independent person)
機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系安全ライフサイクル又はソ
フトウェアの安全ライフサイクルの当該フェーズに携わる業務から分離かつ区別され,かつ,それらの活
動に直接的な責任をもたない人員。
3.8.12
独立した部局(independent department)
機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系又はソフトウェアの安全ラ
イフサイクルの指定したフェーズに携わる業務に責任をもつ部局から分離,区別された部局。
3.8.13
独立した組織(independent organization)
機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系又はソフトウェアの安全ラ
イフサイクルの指定したフェーズに携わる業務に責任をもつ組織から,管理上及び他の資源によって,分
離,区別された組織。
3.8.14
アニメーション(animation)
システム挙動の重要な諸相を表現するため,例えば,システム設計の適切なフォーマット,すなわち,
適切で高度な表現形式で要求仕様へ適用するソフトウェアシステム(又は,当該システムの重要な部分)
の模擬運用。
注記 アニメーションは,特定の挙動に関わる人の認知力を向上させるので,システムが真に要求事
項に適合しているという特別の自信を与えることができる。
3.8.15
動的テスト(dynamic testing)
必要な挙動ができ,かつ,望まない挙動を行わないことを立証するための管理された決定論的な方法に
よるソフトウェアの実行及び/又はハードウェアの運転。
注記 動的テストは,静的分析に対比される。静的分析は,ソフトウェアの実行又はハードウェアの
運転を必要としない。
3.8.16
テストハーネス(test harness)
開発段階にあるソフトウェアにテストケースを適用して応答を記録することによって,当該開発段階の
ソフトウェア又はハードウェアの運用環境を(何らかの有用な程度で)模擬することを可能とする施設。
30
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記 テストハーネスには,テストケース発生器及びテストの結果を(正しいと確認された値と自動
的に比較することによって,又は人手による解析を実施することによって)確認する施設が含
まれる。
3.8.17
準拠項目に対する安全マニュアル(safety manual for compliant items)
規定の要素安全機能に関して,システムがこの規格群の要求事項を満たすことを確認するために必要な,
要素の機能安全に関する全ての情報を提供する文書。
3.8.18
実績による使用(proven in use)
危険側の決定論的原因フォールトの可能性が十分に低いため,要素を使用する全ての安全機能がその要
求安全度水準を達成できることを,要素の特定構成の運用実績に基づいて実証すること。
31
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
参考文献
[1] JIS C 0511:2008(全ての部) 機能安全−プロセス産業分野の安全計装システム
注記 対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the process
industry sector(IDT)
[2] JIS B 9961:2008 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能
安全
注記 対応国際規格:IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical,
electronic and programmable electronic control systems(IDT)
[3] IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional
[4] IEC 61508-5:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 5: Examples of methods for the determination of safety integrity levels
[5] IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
[6] IEC 61508-7:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 7: Overview of techniques and measures
[7] JIS X 0001:1994 情報処理用語−基本用語
注記 対応国際規格:ISO/IEC 2382-1:1993,Information technology−Vocabulary−Part 1: Fundamental
terms(MOD)
[8] JIS B 3503:2012 プログラマブルコントローラ−プログラム言語
注記 対応国際規格:IEC 61131-3:2003,Programmable controllers−Part 3: Programming languages
(MOD)
[9] IEC/TR 62059-11,Electricity metering equipment−Dependability−Part 11: General concepts
[10] ISO 8402:1994,Quality management and quality assurance−Vocabulary
[11] IEC 60601 (all parts),Medical electrical equipment
[12] JIS Z 8115:2000 ディペンダビリティ(信頼性)用語
注記 対応国際規格:IEC 60050-191:1990,International Electrotechnical Vocabulary−Chapter 191:
Dependability and quality of service(MOD)
[13] IEC 60050-351:2006,International Electrotechnical Vocabulary−Part 351: Control technology
[14] JIS C 0508-1:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般要求事項
注記 対応国際規格:IEC 61508-1:2010,Functional safety of electrical/electronic/programmable electronic
safety-related systems−Part 1: General requirements(IDT)
[15] IEC 61508-2:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
[16] IEC 61508-3:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 3: Software requirements
[17] JIS X 0014:1999 情報処理用語−信頼性,保守性及び可用性
注記 対応国際規格:ISO/IEC 2382-14:1997,Information technology−Vocabulary−Part 14: Reliability,
maintainability and availability(IDT)
32
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
[18] JIS Q 9000:2006 品質マネジメントシステム−基本及び用語
注記 対応国際規格:ISO 9000:2005,Quality management systems−Fundamentals and vocabulary(IDT)
33
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
索引
用語
対応英語(参考)
細分箇条
アーキテクチャ
architecture
3.3.4
アセッサ
assessor
3.8.10
アニメーション
animation
3.8.14
アプリケーション
application
3.2.4
アプリケーションデータ
application data
3.2.7
アプリケーションソフトウェア
application software
3.2.7
現れた
revealed
3.8.8
現れない
unrevealed
3.8.9
安全
safety
3.1.11
安全側故障
safe failure
3.6.8
安全側故障割合(SFF)
safe failure fraction (SFF)
3.6.15
安全関連系
safety-related system
3.4.1
安全関連ソフトウェア
safety-related software
3.5.15
安全機能
safety function
3.5.1
安全度
safety integrity
3.5.4
安全度水準(SIL)
safety integrity level (SIL)
3.5.8
安全な状態
safe state
3.1.13
安全ライフサイクル
safety lifecycle
3.7.1
E/E/PE系安全機能要求仕様
E/E/PE system safety functions requirements specification
3.5.12
E/E/PE系安全度要求仕様
E/E/PE system safety integrity requirements specification
3.5.13
E/E/PE系安全要求仕様
E/E/PE system safety requirements specification
3.5.11
E/E/PE系設計要求仕様
E/E/PE system design requirements specification
3.5.14
EUC制御系
EUC control system
3.3.3
EUCリスク
EUC risk
3.1.9
運用モード
mode of operation
3.5.16
影響解析
impact analysis
3.7.5
エラー
error
3.6.11
隠された
covert
3.8.9
環境
environment
3.2.2
危害
harm
3.1.1
危害事象
harmful event
3.1.5
危険側故障
dangerous failure
3.6.7
危険事象
hazardous event
3.1.4
危険状態
hazardous situation
3.1.3
既存ソフトウェア
pre-existing software
3.2.8
機能安全
functional safety
3.1.12
機能安全監査
functional safety audit
3.8.4
機能安全評価
functional safety assessment
3.8.3
機能ユニット
functional unit
3.2.3
共通原因故障(CCF)
common cause failure (CCF)
3.6.10
許容リスク
tolerable risk
3.1.7
決定論的安全度
systematic safety integrity
3.5.6
決定論的原因故障
systematic failure
3.6.6
決定論的対応能力
systematic capability
3.5.9
顕在的な
overt
3.8.8
34
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
用語
対応英語(参考)
細分箇条
検出された
detected
3.8.8
検出されない
undetected
3.8.9
構成管理
configuration management
3.7.3
構成基準
configuration baseline
3.7.4
構成データ
configuration data
3.2.7
合理的に予見可能な誤使用
reasonably foreseeable misuse
3.1.14
故障(機能失敗)
failure
3.6.4
故障率
failure rate
3.6.16
作動要求時の危険側機能失敗確率(PFD)
probability of dangerous failure on demand (PFD)
3.6.17
作動要求時の危険側機能失敗平均確率
(PFDavg)
average probability of dangerous failure on demand (PFDavg)
3.6.18
サブシステム
subsystem
3.4.4
残存リスク
residual risk
3.1.8
単位時間当たりの時間平均危険側故障頻度
(PFH)
average frequency of dangerous failure per hour (PFH)
3.6.19
システムソフトウェア
system software
3.2.6
実績による使用
proven in use
3.8.18
従属故障
dependent failure
3.6.9
準拠項目に対する安全マニュアル
safety manual for compliant items
3.8.17
冗長性
redundancy
3.4.6
診断カバー率(DC)
diagnostic coverage (DC)
3.8.6
診断テスト間隔
diagnostic test interval
3.8.7
制約可変言語
limited variability language
3.2.14
全安全機能
overall safety function
3.5.2
潜在危険(ハザード)
hazard
3.1.2
ソフトウェア
software
3.2.5
ソフトウェア安全度
software safety integrity
3.5.5
ソフトウェア安全度水準
software safety integrity level
3.5.10
ソフトウェアオフライン支援ツール
software off-line support tool
3.2.11
ソフトウェアオンライン支援ツール
software on-line support tool
3.2.10
ソフトウェアモジュール
software module
3.3.5
ソフトウェアライフサイクル
software lifecycle
3.7.2
ソフトエラー
soft-error
3.6.12
妥当性確認
validation
3.8.2
多様性
diversity
3.3.7
他リスク軽減措置
other risk reduction measure
3.4.2
チャネル
channel
3.3.6
低複雑度E/E/PE安全関連系
low complexity E/E/PE safety-related system
3.4.3
適合確認
verification
3.8.1
データ
data
3.2.9
テストハーネス
test harness
3.8.16
電気・電子・プログラマブル電子系(E/E/PE
系)
electrical/electronic/programmable electronic system (E/E/PE
system)
3.3.2
電気・電子・プログラマブル電子の(E/E/PE) electric/electronic/programmable electronic (E/E/PE)
3.2.13
動的テスト
dynamic testing
3.8.15
特定用途向け集積回路(ASIC)
application specific integrated circuit (ASIC)
3.2.15
独立した人員
independent person
3.8.11
独立した組織
independent organization
3.8.13
35
C 0508-4:2012 (IEC 61508-4:2010)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
用語
対応英語(参考)
細分箇条
独立した部局
independent department
3.8.12
ハードウェア安全度
hardware safety integrity
3.5.7
非安全機能故障
no part failure
3.6.13
被制御機器(EUC)
equipment under control (EUC)
3.2.1
必要なリスク軽減
necessary risk reduction
3.5.18
フォールト
fault
3.6.1
フォールトアボイダンス
fault avoidance
3.6.2
フォールトトレランス
fault tolerance
3.6.3
プルーフテスト
proof test
3.8.5
プログラマブル電子系(PE系)
programmable electronic system (PE system)
3.3.1
プログラマブル電子の(PE)
programmable electronic (PE)
3.2.12
プロセスセーフティタイム
process safety time
3.6.20
平均修復時間(MTTR)
mean time to restoration (MTTR)
3.6.21
平均修理時間(MRT)
mean repair time (MRT)
3.6.22
無影響故障
no effect failure
3.6.14
目標機能失敗尺度
target failure measure
3.5.17
目標リスク
target risk
3.1.10
要素
element
3.4.5
要素安全機能
element safety function
3.5.3
ランダムハードウェア故障
random hardware failure
3.6.5
リスク
risk
3.1.6