サイトトップへこのカテゴリの一覧へ

C 0508-6:2019 (IEC 61508-6:2010) 

(1) 

目 次 

ページ 

序文 ··································································································································· 1 

1 適用範囲························································································································· 3 

2 引用規格························································································································· 5 

3 用語及び定義 ··················································································································· 5 

附属書A(参考)JIS C 0508-2及びJIS C 0508-3の適用 ······························································· 6 

附属書B(参考)ハードウェア故障の確率を算出するための技法の例 ············································ 16 

附属書C(参考)診断カバー率及び安全側故障割合の算出−実施例··············································· 76 

附属書D(参考)E/E/PE系におけるハードウェア関連の共通原因故障の影響を定量化する方法·········· 79 

附属書E(参考)JIS C 0508-3のソフトウェア安全度の表の適用例 ··············································· 94 

参考文献 ··························································································································· 110 

C 0508-6:2019 (IEC 61508-6:2010) 

(2) 

まえがき 

この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人日本

電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工

業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工

業規格である。これによって,JIS C 0508-6:2000は改正され,この規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

JIS C 0508の規格群には,次に示す部編成がある。 

JIS C 0508-1 第1部:一般要求事項 

JIS C 0508-2 第2部:電気・電子・プログラマブル電子安全関連系に対する要求事項 

JIS C 0508-3 第3部:ソフトウェア要求事項 

JIS C 0508-4 第4部:用語の定義及び略語 

JIS C 0508-5 第5部:安全度水準決定方法の事例 

JIS C 0508-6 第6部:第2部及び第3部の適用指針 

JIS C 0508-7 第7部:技術及び手法の概観 

  

日本工業規格          JIS 

C 0508-6:2019 

(IEC 61508-6:2010) 

電気・電子・プログラマブル電子安全関連系の機能

安全−第6部:第2部及び第3部の適用指針 

Functional safety of electrical/electronic/programmable electronic 

safety-related systems-Part 6: Guidelines on the application of IEC 

61508-2 and IEC 61508-3 

序文 

この規格は,2010年に第2版として発行されたIEC 61508-6を基に,技術的内容及び構成を変更するこ

となく作成した日本工業規格である。 

なお,この規格で側線を施してある参考事項は,対応国際規格にはない事項である。 

電気及び/又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年

用いられてきた。一般に,プログラマブル電子系(以下,PE系という。)と呼ばれるコンピュータを用い

たシステムは,あらゆる適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機

能の履行にも用いられるようになった。コンピュータシステムの技術が,効果的かつ安全に活用されるた

めには,意思決定を行うための安全の考え方に関する十分な手引書が必須である。 

JIS C 0508規格群(以下,この規格群という。)では,電気・電子・プログラマブル電子(以下,E/E/PE

という。)の要素から成るシステムが,安全機能を履行するための全ての安全ライフサイクル作業に対する

包括的な扱い方について規定している。この統一された扱い方は,全ての電気的な安全関連系にわたって,

合理的かつ整合性がある技術指針を展開するためのものである。主な目的の一つは,この規格群を基本と

した適用分野の製品規格などの制定を容易にし,促進することである。 

注記1 この規格群を基本とした適用分野の製品規格などの事例を,参考文献(JIS B 9961,JIS C 0511

規格群及びIEC 61800-5-2)に示す。 

多くの状況下では,安全性は,幾つかのシステムによって達成され,複数の技術(例 機械,液圧,空

気圧,E/E/PE技術)に依存している。したがって,いかなる安全対策においても,個々のシステムの要素

(例 センサ,制御機器,アクチュエータ)だけでなく,全システムを構成する全ての安全関連系を考慮

しなければならない。このため,この規格群は,一義的にはE/E/PE安全関連系を対象とするが,更にその

他の技術を基本とした安全関連系を対象とする安全の枠組みも提供する。 

様々な適用分野において,E/E/PE安全関連系を使用した応用は,多岐にわたり,多様な潜在危険及びリ

スクが存在することによって生じる複雑さに対応するものとして認識されている。いかなる適用において

も,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。この規格群は,包括的で

あるため,今後の適用分野の製品規格などの制定版及び既存規格の改正版において,個々の手段の形成を

可能とする。 

この規格群は,次の特徴をもつ。 

C 0508-6:2019 (IEC 61508-6:2010) 

  

− 安全機能を遂行するためにE/E/PE系を用いる場合,E/E/PE系及びソフトウェアの安全ライフサイク

ルフェーズ(例えば,最初の概念から,設計,実装,運用及び保全を経て廃却に至る。)の全てを考慮

する。 

− 急速に進歩する技術を念頭において作成された枠組みは,将来の展開に対応できる十分な耐力があり,

かつ,包括的である。 

− E/E/PE安全関連系に関して,適用分野の製品規格などを開発することを可能とする。この規格群の枠

組み内で適用分野の製品規格などを開発することによって,適用分野内及び適用分野間の一貫性(例 

基礎となる原理・原則,用語などの整合性)を高水準に導く。これは,安全上かつ経済上有益である。 

− E/E/PE安全関連系に対して要求される機能安全の達成に必要な安全要求仕様を作成する方法論を提

供する。 

− 安全度に関わる要求事項の決定に際して,リスクを基本とした方法論を適用する。 

− E/E/PE安全関連系によって実装された安全機能に対して,安全度の目標水準を特定するための安全度

水準を導入する。 

注記2 この規格群は,いかなる安全機能についても安全度水準に対する要求事項を規定することは

なく,また,安全度水準を決定する方法についても規定することはない。この規格群は,む

しろ,リスクに基づいた概念的枠組み及び技術の事例を提供するものである。 

− E/E/PE安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設定する。 

− 単一のE/E/PE安全関連系が実現する安全機能に対して,目標機能失敗尺度の最小値を設定する。これ

らは,運用モードに応じて次による。 

・ 低頻度作動要求モードの場合,作動要求時の危険側機能失敗平均確率(PFDavg)を10−5に設定す

る。 

・ 高頻度作動要求モード又は連続モードの場合,単位時間当たりの時間平均危険側故障頻度(PFH)

を10−9(1/h)に設定する。 

注記3 単一のE/E/PE安全関連系とは,必ずしも単一チャネルアーキテクチャを意味するものではな

い。 

注記4 複雑でないシステムについては,目標安全度をより小さな値で安全関連系の設計をすること

が可能であるが,これらの限界値は,現時点で比較的複雑なシステム(例 プログラマブル

安全関連系)に対して達成できるものを表しているものとみなされている。 

− 産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの,

回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に

関連した目標機能失敗尺度は,この規格に規定する要求事項を全て満たしている場合は,達成してい

るとみなしてもよい。 

− 決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論

的対応能力を導入する。 

− E/E/PE安全関連系に対して,機能安全を達成するために多岐にわたる原理,技法及び手段を適用する

が,“フェールセーフ”の概念は明示的には用いない。ただし,“フェールセーフ”及び“固有(本質)

安全”の原理は,この規格の関連する要求事項に適合することを条件として適用してもよい。 

C 0508-6:2019 (IEC 61508-6:2010) 

適用範囲 

1.1 

この規格は,電気・電子・プログラマブル電子安全関連系に対する要求事項を規定するJIS C 0508-2

及びソフトウェア要求事項を規定するJIS C 0508-3に関する情報及び指針を示す。附属書A〜附属書Eで

は,それぞれ次の事項について記載する。 

− 附属書A JIS C 0508-2及びJIS C 0508-3の要求事項の簡単な概要及びこれらの規格を適用する際の

機能上のステップの提示 

− 附属書B ハードウェア故障の確率を算出する技法の例。JIS C 0508-2の7.4.3(必要な決定論的対応

能力を達成するための要素の合成)及び附属書C(診断カバー率及び安全側故障割合),並びにこの規

格の附属書Dを併読することが望ましい。 

− 附属書C 診断カバー率を算出する実施例。JIS C 0508-2の附属書Cと併読することが望ましい。 

− 附属書D ハードウェア関連の共通原因故障が故障の確率に及ぼす影響を定量化する方法 

− 附属書E JIS C 0508-3の附属書A(技法及び手段の選択の手引書)に規定するソフトウェア安全度

の表について,安全度水準がSIL 2及びSIL 3の場合の応用例 

1.2 

JIS C 0508-1,JIS C 0508-2,JIS C 0508-3及びJIS C 0508-4は基本安全規格であるが,低複雑度E/E/PE

安全関連系(JIS C 0508-4の3.4.3参照)には適用しない。これらの規格は基本安全規格として,各専門委

員会がIEC Guide 104及びISO/IEC Guide 51に記載する原則に従った規格の作成において用いることを意

図している。さらに,これらの規格は,独立した規格として用いることも意図している。ただし,この規

格の横断的安全機能は,JIS T 0601規格群及びIEC 60601規格群を適用する医療機器には適用しない。 

1.3 

適用可能な場合,規格の作成において基本安全規格を活用することは,各専門委員会の責務である。

したがって,専門委員会が作成する規格に具体的に引用も規定もされていない場合は,基本安全規格の要

求事項,テスト方法又はテスト条件は適用しない。 

1.4 

図1に,この規格群の第1部から第7部までの全体の枠組みを示し,さらに,この規格がE/E/PE安

全関連系の機能安全の達成のために果たす役割を示す。 

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related 

systems−Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ

とを示す。 

background image

C 0508-6:2019 (IEC 61508-6:2010) 

  

図1−この規格群(JIS C 0508規格群)の全枠組み 

技術的要求事項 

その他の要求事項 

第4部 

用語の定義 

及び略語 

第5部 

安全度水準の決定の

ための方法の事例 

第1部 

全安全要求事項の作成 

(概念,適用範囲の定義, 
潜在危険及びリスク解析) 

7.1〜7.5 

第1部 
文書化 

箇条5及び 

附属書A 

第1部 

機能安全の管理 

箇条6 

第1部 

機能安全評価 

箇条8 

第1部 

E/E/PE安全関連系に対する 

安全要求仕様 

7.10 

第1部 

E/E/PE安全関連系への 

安全要求事項の割当て 

7.6 

第1部 

E/E/PE安全関連系の設置, 

引渡し及び安全妥当性確認 

7.13〜7.14 

第1部 

E/E/PE安全関連系の運用, 

保全及び修理,部分改修 

及び改造,並びに使用終了 

又は廃却 

7.15〜7.17 

第6部 

第2部及び第3

部の適用の指針 

第7部 

技術及び手法 

の概観 

第3部 

安全関連 

ソフトウェアの 

実現フェーズ 

第2部 

E/E/PE安全 

関連系の 

実現フェーズ 

C 0508-6:2019 (IEC 61508-6:2010) 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。 

JIS C 0508-2:2014 電気・電子・プログラマブル電子安全関連系の機能安全−第2部:電気・電子・

プログラマブル電子安全関連系に対する要求事項 

注記 対応国際規格:IEC 61508-2:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 2: Requirements for electrical/electronic/programmable 

electronic safety-related systems(IDT) 

JIS C 0508-3:2014 電気・電子・プログラマブル電子安全関連系の機能安全−第3部:ソフトウェア

要求事項 

注記 対応国際規格:IEC 61508-3:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 3: Software requirements(IDT) 

JIS C 0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第4部:用語の定義及

び略語 

注記 対応国際規格:IEC 61508-4:2010,Functional safety of electrical/electronic/programmable 

electronic safety-related systems−Part 4: Definitions and abbreviations(IDT) 

用語及び定義 

この規格で用いる主な用語,定義及び略語は,JIS C 0508-4による。 

C 0508-6:2019 (IEC 61508-6:2010) 

  

附属書A 

(参考) 

JIS C 0508-2及びJIS C 0508-3の適用 

A.1 一般 

機械類,プロセスプラント及びその他の機器は,(E/E/PE系の装置の故障などによる)機能不全があっ

た場合,火災,爆発,放射線の過剰照射,機械トラップなどの危険事象によるリスクを人及び環境にもた

らすことがある。故障は,(ランダムハードウェア故障などによる)装置の物理的なフォールト,(入力の

特定の組合せの下で決定論的原因故障を引き起こす,システムの仕様及び設計に起因する人的ミスなどの)

決定論的原因フォールト,又は環境上の特定の状態から発生する。 

JIS C 0508-1では,電気機械装置,電子装置又はプログラマブル電子装置の故障を防止及び/又は抑制

するための,リスクからのアプローチに基づく全体的な枠組みが示されている。 

全体としての目標は,プラント及び機器が安全に自動化できることを確かなものにすることである。こ

の規格の重要な目的は,次のことを防止することにある。 

− 制御系の故障が他の事象を引き起こし,更にその事象が危険(例 火災,有毒物質の放出,機械の予

期しないストローク反復など)をもたらすこと。 

− 防護系(例 緊急停止システム)による安全動作が必要なときに,防護系を働かないようにしてしま

う,検出できない故障。 

JIS C 0508-1では,アプリケーションのリスク基準を満たすために必要なリスク軽減措置を決定するた

め,プロセス又は機械レベルにおける潜在危険及びリスク解析を実施することを要求している。リスクは,

危険事象の結果(又は過酷度)及び発生頻度(又は発生確率)の両方の評価に基づいている。 

JIS C 0508-1では,さらに,一つ以上の安全関連系1) を要求するか,及びそれぞれの安全関連系がどの

安全機能(それぞれが指定の安全度をもつ。)2) を必要とするかを決定するためにリスク解析で確定した

リスク軽減措置を用いることを要求している。 

注1) 安全関連系とは,機能安全に必要なシステムのことで,E/E/PE安全関連系と呼ばれる電気(電

気機械),電子又はプログラマブル電子(E/E/PE)装置を一つ以上装備し,必要な安全機能(JIS 

C 0508-4の3.5.1参照)を実行するために必要な全ての機器を含む。 

2) 安全度は,四つの水準のうちの一つを指定する。SIL 4が最も高い水準で,SIL 1が最も低い水

準である[JIS C 0508-4の3.5.4(安全度)及び3.5.8(安全度水準)参照]。 

JIS C 0508-2及びJIS C 0508-3では,JIS C 0508-1の適用によって,E/E/PE安全関連系として指定され

た,システムに割り当てられる安全機能及び安全度の要求事項を取り上げており,次のような安全ライフ

サイクル作業の要求事項を規定している。 

− これらの要求事項は,ハードウェア及びソフトウェアの,仕様作成,設計及び部分改修の作業中に適

用する。 

− 安全ライフサイクル作業では,ランダムハードウェア故障及び決定論的原因故障を防止及び/又は抑

制するための手段[E/E/PE系安全ライフサイクル及びソフトウェア安全ライフサイクル3)]に焦点を

当てる。 

C 0508-6:2019 (IEC 61508-6:2010) 

注3) この規格の要求事項を明確に構造化するために,各段階において,定義された順序で反復を

ほぼ伴わずに連続する開発プロセスモデル(ウォーターフォールモデルと呼ばれる。)を用い

て,要求事項を順序立てるように要求している。だだし,プロジェクトの安全計画の中で,

この開発プロセスモデルと同等であることが記載されている場合は,どのようなライフサイ

クルによるアプローチを用いてもよいことを強調しておく[JIS C 0508-1の箇条7(全安全ラ

イフサイクル要求事項)参照]。 

JIS C 0508-2及びJIS C 0508-3には,要求される許容リスクに対してどの安全度水準が適切であるか,

指針が示されていない。安全度の決定は,適用先の性質,他のシステムが実行する安全機能の範囲,社会

的及び経済的要因を含め,多くの要因に依存する(JIS C 0508-1及びJIS C 0508-5参照)。 

JIS C 0508-2及びJIS C 0508-3では,次の要求事項が含まれている。 

− 予防的方法による決定論的原因故障5) の回避のために,安全度水準に基づいて等級付けしている技法

及び手段4) の適用。 

− フォールト検出,冗長性及びアーキテクチャ上の特徴(例 多様性)などの設計上の機能による決定

論的原因故障(ソフトウェア故障を含む)及びランダムハードウェア故障の抑制。 

注4) 安全度水準ごとに要求する技法及び手段は,JIS C 0508-2及びJIS C 0508-3の附属書A及び

附属書Bの各表に示されている。 

5) 決定論的原因故障は,通常,定量化できない。原因には,ハードウェア及びソフトウェアの

仕様及び設計上のフォールト,環境(例 温度)の考慮不足,運転に関するフォールト(例 

貧弱なインタフェース)などがある。 

JIS C 0508-2では,次に基づいて,危険側のランダムハードウェア故障に対する安全度目標を満たすこ

とを確かなものにしている。 

− ハードウェアフォールトトレランスの要求事項[JIS C 0508-2の表2(タイプAの安全関連要素又は

サブシステムによって実施する安全機能の最大許容安全度水準)及び表3(タイプBの安全関連要素

又はサブシステムによって実施する安全機能の最大許容安全度水準)参照]。 

− 適切なデータを用いて信頼性解析を実施することによる,サブシステム及び構成部品のプルーフテス

トの診断カバー率及びテスト間隔。 

JIS C 0508-2及びJIS C 0508-3では,次によって,決定論的原因故障に対する安全度目標を満たすこと

を確かなものにしている。 

− 安全管理手順の正しい適用 

− 有能な要員の活用 

− 規定の技法及び手段6) を含め,規定の安全ライフサイクル作業の適用 

− 独立した機能安全評価7) 

注6) 安全計画の立案中に正当な理由付けを文書化している場合は,この規格に規定する手段の代

替は許容できる[JIS C 0508-1の箇条6(機能安全の管理)参照]。 

7) 独立した評価は,必ずしも第三者による評価を意味しない[JIS C 0508-1の箇条8(機能安全

評価)参照]。 

C 0508-6:2019 (IEC 61508-6:2010) 

  

全体としての目標は,安全度水準に応じて残存する決定論的原因故障によって,E/E/PE安全関連系の故

障を引き起こさないようにすることである。 

JIS C 0508-2は,センサ及び操作端を含めて,E/E/PE安全関連系のハードウェア8) の安全度を達成する

ための要求事項を示す目的で作成されている。ランダムハードウェア故障及び決定論的ハードウェア故障

の両方に対する技法及び手段を要求する。これらには,フォールト回避及び故障抑制手段の適切な組合せ

を含む。機能安全のために手動作業が必要な場合は,オペレータインタフェースの要求事項が与えられる。

また,ランダムハードウェア故障を検出するための,ソフトウェア及びハードウェア(例 多様性)に基

づく自己診断テストの技法及び手段もJIS C 0508-2で規定している。 

注8) 特定用途の集積回路などのように,ハードウェアに固定化された組込みソフトウェア,又はフ

ァームウェアとも呼ばれるソフトウェアと同等のものを含む。 

JIS C 0508-3は,組込みソフトウェア(診断用のフォールト検出サービスを含む)及びアプリケーショ

ンソフトウェアの安全度を達成するための要求事項を規定するために作成されている。JIS C 0508-3では,

比較的複雑な安全関連ソフトウェアにおいてフォールトがないこと,特に,仕様上及び設計上のフォール

トがないこと,を証明する既知の方法がないため,フォールト回避(品質保証)とフォールトトレランス

によるアプローチ(ソフトウェアアーキテクチャ)とを組み合わせることを要求している。 

JIS C 0508-3では,トップダウン設計,モジュール性,開発ライフサイクルの各フェーズの適合確認,

検証済みのソフトウェアモジュール及びソフトウェアモジュールライブラリ,並びに適合確認及び妥当性

確認を容易にするための明確な文書化など,ソフトウェア工学の原則を採用することを要求している。様々

なレベルのソフトウェアは,そのレベルに応じて,これらの原則を正しく適用しているという様々なレベ

ルの確証が必要である。 

ソフトウェアの開発者は,E/E/PE系の全体を開発する組織から独立していてもよいし,独立していなく

てもよい。いずれの場合でも,プログラマブル電子装置のアーキテクチャを開発する場合は,特にハード

ウェアアーキテクチャとソフトウェアアーキテクチャとの間のトレードオフを,安全性の影響の観点から

考慮する必要があり,緊密な協力が必要である[JIS C 0508-2の図4(この規格とJIS C 0508-3との関係)

参照]。 

A.2 JIS C 0508-2の適用における機能ステップ 

JIS C 0508-2の適用における機能ステップを,図A.1及び図A.2に示す。 

JIS C 0508-2の機能ステップ(図A.1及び図A.2参照)は,次による。 

a) 安全要求事項の割当てを得る(JIS C 0508-1参照)。E/E/PE安全関連系の開発中,適宜,適切に安全計

画を更新する。 

b) 安全機能ごとに,安全度要求事項を含めて,E/E/PE安全関連系の要求事項を決定する[JIS C 0508-2

の7.2(E/E/PE系設計要求仕様)参照]。JIS C 0508-3も適用する場合は,要求事項をソフトウェアに

割り当て,ソフトウェア供給者及び/又は開発者に渡す。 

注記1 この段階では,EUC(被制御機器)制御系とE/E/PE安全関連系との同時発生的な故障の可

能性を考慮する必要がある[JIS C 0508-5のA.5.4(共通原因故障及び従属故障)参照]。

同時発生的な故障は,例えば,類似の環境による共通原因をもつ構成部品の故障に起因す

る場合がある。このような故障が存在する場合,適切に対処しない限り,予想よりも高い

残存リスクをもたらす可能性がある。 

C 0508-6:2019 (IEC 61508-6:2010) 

c) E/E/PE安全関連系の安全妥当性確認計画のフェーズを開始する[JIS C 0508-2の7.3(E/E/PE系安全

妥当性確認計画)参照]。 

d) E/E/PE安全関連系の論理サブシステム,センサ及び操作端のアーキテクチャ(構成)を指定する。ソ

フトウェア供給者及び開発者とともに,ハードウェア及びソフトウェアのアーキテクチャ,並びにハ

ードウェアとソフトウェアとの間の安全上のトレードオフを検討する(JIS C 0508-2の図4参照)。必

要に応じて,このステップを繰り返す。 

e) E/E/PE安全関連系のハードウェアアーキテクチャのモデルを作成する。各安全機能を個別に検討して

モデルを作成し,この機能を実行するために用いるサブシステム(構成部品)を決定する。 

f) 

E/E/PE安全関連系で用いる個々のサブシステム(構成部品)について,システムパラメータを設定す

る。サブシステム(要素)ごとに,次の事項を決定する。 

− 自動的に明らかにならない故障を検出するためのプルーフテスト間隔 

− 平均修復時間 

− 診断カバー率[JIS C 0508-2の附属書C(診断カバー率及び安全側故障割合)参照] 

− 故障確率 

− 要求するアーキテクチャ上の制約。ルート1HについてはJIS C 0508-2の7.4.4.2(ルート1H)及

び附属書Cを,ルート2HについてはJIS C 0508-2の7.4.4.3(ルート2H)を参照。 

g) E/E/PE安全関連系によって実行が必要となる個々の安全機能について,信頼性モデルを作成する。 

注記2 信頼性モデルとは,機器及び使用条件に関連する信頼性と関連パラメータとの関係を示す

数式のことである。 

h) 適切な技法を用いて,安全機能ごとの信頼性予測値を算出する。この結果を,b) で決定した目標機能

失敗尺度,及びルート1H(JIS C 0508-2の7.4.4.2参照)又はルート2H(JIS C 0508-2の7.4.4.3参照)

の要求事項と比較する。予測した信頼性が目標機能失敗尺度を満たさない場合及び/又はルート1H

若しくはルート2Hの要求事項を満たさない場合は,次について修正する。 

− 可能な場合は,一つ以上のサブシステムパラメータ[f) をやり直す。]。 

− ハードウェアアーキテクチャ[d) をやり直す。] 

注記3 多くのモデリング法が利用可能であり,解析者は,最適なものを選択することが望ましい

(幾つかの利用可能な方法の指針については,附属書B参照)。 

i) 

E/E/PE安全関連系の設計を実施する。決定論的ハードウェア故障,環境影響が引き起こす故障,並び

に運用上の故障を抑制するための手段及び技法を選択する[JIS C 0508-2の附属書A(E/E/PE安全関

連系の技法及び手段−運用中の故障の制御)参照]。 

j) 

検証済みのソフトウェア(JIS C 0508-3参照)を対象のハードウェアに統合する[JIS C 0508-2の7.5

(E/E/PE系統合)及びJIS C 0508-2の附属書B(E/E/PE安全関連系の技法及び手段−ライフサイクル

の様々なフェーズ中の決定論的原因故障の回避)参照]。これと並行して,使用者及び保全要員がシス

テムを運用するときに従う手順を作成する[JIS C 0508-2の7.6(E/E/PE系の運用及び保全の手順)及

びJIS C 0508-2の附属書B参照]。ソフトウェア側面[A.3のf) 参照]も含める。 

k) ソフトウェア開発者とともに[JIS C 0508-3の7.7(ソフトウェアのシステム安全妥当性確認)参照],

E/E/PE系の妥当性確認を実施する[JIS C 0508-2の7.7(E/E/PE系の安全妥当性確認)及びJIS C 0508-2

の附属書B参照]。 

l) 

ハードウェア及びE/E/PE安全関連系の安全妥当性確認の結果を,全体的なシステムへの統合のため

に,システムエンジニアに渡す。 

10 

C 0508-6:2019 (IEC 61508-6:2010) 

  

m) E/E/PE安全関連系の運用寿命中に保全又は部分改修が必要になった場合,適宜,JIS C 0508-2を再度

実施する[JIS C 0508-2の7.8(E/E/PE系の部分改修)参照]。 

多くの作業を,E/E/PE安全関連系の安全ライフサイクルを通じて実行する。これらの作業には,適合確

認[JIS C 0508-2の7.9(E/E/PE系適合確認)参照]及び機能安全評価(JIS C 0508-1の箇条8参照)を含

む。 

これらのステップの実施に当たっては,要求する安全度水準に適したE/E/PE安全関連系の技法及び手段

を選択する。この選択を容易にするために,表が示されており,様々な技法及び手段を四つの安全度水準

に基づいてランク付けしている(JIS C 0508-2の附属書B参照)。この表には,各技法及び手段の概要の参

照先が示されており,更なる情報源への参照を行っている[JIS C 0508-7の附属書A(E/E/PE安全関連系

のための技術及び手法の概要:ランダムハードウェア故障の管理)及び附属書B(E/E/PE安全関連系のた

めの技術及び手法の概要:決定論的原因故障の回避)参照]。 

附属書Bに,E/E/PE安全関連系のハードウェア故障の確率を算出するための可能な一つの技法を示す。 

注記4 上記のステップの実施に当たって,安全計画立案中に正当な理由付けを文書化している場合

は,この規格に規定する手段の代替は許容できる(JIS C 0508-1の箇条6参照)。 

background image

11 

C 0508-6:2019 (IEC 61508-6:2010) 

図A.1−JIS C 0508-2の適用 

次のJIS C 0508-2の細分箇条を参

照する。 

□ 7.4.6−決定論的原因フォール

トの回避のための要求事項 

□ 7.4.7−決定論的原因フォール

トの管理要求事項 

□ 7.4.8−フォールト検出時のシ

ステム動作の要求事項 

□ 7.4.9−E/E/PE系実現の要求事

項 

□ 7.4.10−使用実績による証明

がある要素に対する要求事項 

JIS C 0508-1の7.6参照 

ハードウェアアーキテクチャの 

モデルを作成する。 

E/E/PE安全関連系の妥当性確認計画を 

開始する。 

図A.2の“B”からの入力 

JIS C 0508-2の7.3参照 

E/E/PE系設計要求事項を作成する。 

安全要求事項の割当てに関する記述を

入手又は作成する。 

安全機能ごとの信頼性モデルを 

作成する。 

ルート1H又はルート2Hの 

安全パラメータを決定する。 

E/E/PE安全関連系のパラメータを 

決定する。 

ランダムハードウェア故障の
影響を定量化するための要求

事項については,JIS C 0508-2

の7.4.5を参照。 

ルート1HについてはJIS C 

0508-2の7.4.4.2を,ルート2H

についてはJIS C 0508-2の

7.4.4.3を参照。 

見積もった安全機能の
故障確率が要求する目
標機能失敗尺度を満た

しているか? 

安全機能ごとに,E/E/PE安全関連系によって達成可

能な妥当な目標機能失敗尺度を決める。 

注記 PE安全関連系の場合は,ソフト

ウェアに対する作業と並行して
実施する(図A.3参照)。 

図A.2の“A”へ 

設計を実現し,決定論的原因故障を 

回避又は抑制する手段及び技法を選択する 

重要なパラメータを決定し,改

善策を選択及び実行する。 

いいえ 

はい

background image

12 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図A.2−JIS C 0508-2の適用(図A.1の続き) 

図A.1の“A”から 

運用及び保全手順の作成を開始する。 

JIS C 0508-2の7.5及び 

附属書B参照。 

妥当性確認については,JIS C 

0508-2の7.7及び附属書Bを
参照。ソフトウェアの妥当性

確認については,JIS C 0508-3

を参照。 

E/E/PE設計要求仕様 

との差異が 

あるか? 

E/E/PE安全関連系(ソフトウェアを含む) 

の妥当性確認を実施する。 

検証済みのソフトウェアを対象のハード

ウェアに統合する。 

JIS C 0508-2の7.5及び 

附属書B参照。 

E/E又はPEの 

どちらか 

図A.1の“B”へ 

妥当性確認済みのE/E/PE安全関連系を 

全体的システムに統合できる。 

JIS C 0508-1参照。 

注記 PE安全関連系の場合,ソフトウェアに対

する作業と並行して実施する(図A.3参

照)。 

検証済みのハードウェアを統合する。 

いいえ 

はい 

E/E 

PE 

13 

C 0508-6:2019 (IEC 61508-6:2010) 

A.3 JIS C 0508-3の適用における機能ステップ 

JIS C 0508-3の適用における機能ステップを,図A.3に示す。 

JIS C 0508-3の機能上のステップ(図A.3参照)は,次による。 

a) 安全計画から,E/E/PE安全関連系及び関連部品の要求事項を入手する(JIS C 0508-2の7.3参照)。ソ

フトウェアの開発中,適宜,安全計画を更新する。 

注記1 初期のライフサイクルフェーズでは,既に次のことが実施されている。 

− 要求する安全機能及びこれらに関連する安全度水準を指定する[JIS C 0508-1の7.4(潜

在危険及びリスク解析)及び7.5(全安全要求事項)参照]。 

− 安全機能を個々のE/E/PE安全関連系に割り当てる[JIS C 0508-1の7.6(全安全要求

事項の割当て)参照]。 

− 個々のE/E/PE安全関連系の中にソフトウェアとしての機能を割り当てる(JIS C 

0508-2の7.2参照)。 

b) ソフトウェアに割り当てられた全ての安全機能に対して,ソフトウェアアーキテクチャを決定する

[JIS C 0508-3の7.4(ソフトウェア設計及び開発)及びJIS C 0508-3の附属書A(技法及び手段の選

択の手引書)参照]。 

c) E/E/PE安全関連系の供給者及び開発者とともに,ソフトウェア及びハードウェアのアーキテクチャ,

並びにハードウェアとソフトウェアとの安全上のトレードオフを検討する(JIS C 0508-2の図4参照)。

必要に応じて,このステップを繰り返す。 

d) ソフトウェアの安全性の適合確認及び妥当性確認の計画の立案を開始する[JIS C 0508-3の7.3(シス

テム安全のソフトウェアの妥当性確認計画)及び7.9(ソフトウェア適合確認)参照]。 

e) 次に従って,ソフトウェアの設計,開発,並びに適合確認及び/又はテストを実施する。 

− ソフトウェアの安全計画立案 

− ソフトウェアの安全度水準 

− ソフトウェアの安全ライフサイクル 

f) 

ソフトウェアの最終の適合確認作業を完了し,検証済みのソフトウェアを対象のハードウェアに統合

し[JIS C 0508-3の7.5(プログラマブル電子装置統合(ハードウェア及びソフトウェア))参照],こ

れと並行して,使用者及び保全要員がシステムを運用するときに従う運用手順をソフトウェアの観点

から作成する[A.2のk) 及びJIS C 0508-3の7.6(ソフトウェアの運用及び部分改修手順)参照]。 

g) ハードウェア開発者とともに(JIS C 0508-2の7.7参照),統合したE/E/PE安全関連系のソフトウェア

の妥当性確認を実施する(JIS C 0508-3の7.7参照)。 

h) ソフトウェア安全妥当性確認の結果を,システム全体への更なる統合のために,システムエンジニア

に渡す。 

i) 

E/E/PE安全関連系のソフトウェアの部分改修が運用寿命までに必要になった場合,適宜,a)〜i) に示

すJIS C 0508-3の各フェーズを再度実施する[JIS C 0508-3の7.8(ソフトウェア部分改修)参照]。 

多くの作業を,ソフトウェアの安全ライフサイクルを通じて実行する。これらの作業には,適合確認(JIS 

C 0508-3の7.9参照)及び機能安全評価[JIS C 0508-3の箇条8(機能安全評価)参照]を含む。 

これらのステップの実施に当たっては,要求する安全度水準に適したソフトウェア安全の技法及び手段

を選択する。この選択を容易にするために,表が示されており,様々な技法及び手段を四つの安全度水準

に基づいてランク付けしている(JIS C 0508-3の附属書A参照)。この表には,各技法及び手段の概要の参

14 

C 0508-6:2019 (IEC 61508-6:2010) 

  

照先が示されており,更なる情報源の参照を行っている[JIS C 0508-7の附属書C(ソフトウェア安全度

を達成するための技術及び手法の概要)参照]。 

安全度の表の適用実施例を,附属書Eに示す。JIS C 0508-7には,以前に開発したソフトウェアのソフ

トウェア安全度を決定するための確率論的アプローチを示している[JIS C 0508-7の附属書D(既存ソフ

トウェアのソフトウェア安全度を判定するための確率的アプローチ)参照]。 

注記2 上記のステップの実施に当たって,安全計画立案中に正当な理由付けを文書化している場合

は,この規格に規定する手段の代替は許容できる(JIS C 0508-1の箇条6参照)。 

background image

15 

C 0508-6:2019 (IEC 61508-6:2010) 

図A.3−JIS C 0508-3の適用 

安全計画からE/E/PE系設計要求事項及び

部品の仕様書を入手する 

E/E/PE安全関連系開発者

と緊密に調整する 

ソフトウェアの設計,開発並びに適合確認

及び/又はテストを実施する 

ソフトウェアの適合確認及び妥当性

確認の計画立案を開始する 

ソフトウェアアーキテ
クチャ及びハードウェ

アアーキテクチャは 

両立しているか 

システムエンジニアにソフトウェア

及び文書を渡す 

ソフトウェアアーキテクチャを 

決定する 

いいえ 

はい 

検証済みのソフトウェアを対象のハード

ウェアに統合する 

運用及び保全の手順を作成する 

ソフトウェアの妥当性確認を 

実施する 

ソフトウェアの保全及び部分改修 

適切な安全性ライフ 

サイクルのフェーズに戻る 

16 

C 0508-6:2019 (IEC 61508-6:2010) 

  

附属書B 

(参考) 

ハードウェア故障の確率を算出するための技法の例 

B.1 

一般 

この附属書は,JIS C 0508-1,JIS C 0508-2及びJIS C 0508-3に基づいたE/E/PE安全関連系のハードウ

ェア故障の確率を算出するために利用可能な技法を示す。ここに示す情報は,技法の性質上,参考情報で

あり,利用可能な唯一の評価技法であるとみなすことは望ましくない。 

なお,この附属書では,E/E/PE安全関連系の能力を評価するための比較的簡易なアプローチ及び古典的

な信頼性計算技法から得られた代替技法,を用いるための指針の両方について示す。 

注記1 ここに示すシステムアーキテクチャは,例であって,他にも多くのアーキテクチャが用いら

れており,ここに示す例は全てを網羅しているとは考えないほうがよい。 

注記2 参考文献ISA-TR84.00.02:2002 [17]参照。 

多くの信頼性技法は,多少なりともE/E/PE安全関連系のハードウェア安全度の解析に直接用いることが

できる。古典的に,これらの技法は,次の二つの観点に従って分類される。 

− 静的(ブール)モデル及び動的(状態遷移)モデルからの解析 

− 解析的計算及びモンテカルロシミュレーションによる計算からの解析 

ブールモデルには,単純な故障とシステム全体の故障との間の静的な論理的連結を記述する全てのモデ

ルを含む。信頼性ブロック図(以下,RBDという。)[JIS C 0508-7のC.6.4(信頼性ブロック図)及びIEC 

61078 [4]参照],及びフォールトの木(以下,FTという。)[JIS C 0508-7のB.6.6.5(フォールトの木解析)

及びB.6.6.9(フォールトの木モデル),並びにJIS C 5750-4-4 [18]参照]は,ブールモデルに属する。 

状態遷移モデルには,出現する事象(故障,修復,テストなど)に従って,システムがどのように挙動

する(ある状態からある状態にジャンプする)かを記述する全てのモデルを含む。マルコフモデル[JIS C 

0508-7のB.6.6.6(マルコフモデル)及びIEC 61165 [5]参照],ペトリネットモデル[JIS C 0508-7のB.2.3.3

(タイムペトリネット)及びB.6.6.10(一般化確率ペトリネットモデル)並びにIEC 62551 [19]参照]及び

形式言語モデルは,状態遷移モデルに属する。ここでは,固有の公式に基づく簡易的なアプローチ(B.3

参照),及びマルコフ図上で直接計算が可能な一般的なアプローチ(B.5.2参照)の二つのマルコフによる

アプローチを掘り下げる。マルコフ性をもたない安全関連系の場合は,モンテカルロシミュレーションを

用いることで代用できる。これは,現在のパーソナルコンピュータでSIL 4の計算まで達成可能である。

この附属書では,B.5.3及びB.5.4において,ペトリネット及び形式言語モデリングに基づく挙動モデルに

関するモンテカルロシミュレーション[JIS C 0508-7のB.6.6.8(モンテカルロシミュレーション)参照]

を取り扱うための指針を示す。 

最初に紹介する簡易的なアプローチは,RBDの図式表現,並びにテイラー展開及びB.3.1に示すやや安

全側の基本的仮定から得られる特定のマルコフ式に基づいている。 

ここに示す全ての方法は,大半の安全関連系に用いることができるが,特定のアプリケーションにどの

技法を用いるかを決定する場合,使用者がどの特定の技法を用いることに長けていることが非常に重要で

あり,このことは,実際に用いる技法の選択以上に重要な場合がある。 

なお,特定の方法の基本となる仮定を満たしていること,又は十分に現実的な安全側の結果を得るため

に何らかの修正が必要かの検証は,解析者の責務である。信頼性データが正確さに欠けていたり,共通原

background image

17 

C 0508-6:2019 (IEC 61508-6:2010) 

因故障(以下,CCFという。)が支配的であったりする場合は,最も単純なモデル及び技法を用いること

で十分なこともある。精度の低下が重要かどうかは,特定の状況においてだけ決定することができる。 

計算するためにソフトウェアプログラムを用いる場合,担当者は,その使用が特定のアプリケーション

に適していることを確認するために,ソフトウェアパッケージが用いている公式及び技法の知識をもって

いなければならない。また,担当者は,出力結果を手計算したテストケースでも検査して,ソフトウェア

パッケージを検証することが望ましい。 

EUC制御系の故障によってE/E/PE安全関連系が必要になった場合,危険事象の発生確率は,EUC制御

系の故障確率によって決まる。この状況では,EUC制御系及びE/E/PE安全関連系におけるCCFメカニズ

ムによる,構成部品の同時故障の可能性を考慮することが必要である。このような同時故障の存在は,適

切に取り組まないと予想よりも高い残存リスクをもたらすことがある。 

B.2 

基本的確率計算についての考慮事項 

B.2.1 概要 

図B.1のRBDでは,三つのセンサ(A,B及びC),一つの論理処理部(D),二つの操作端(E及びF),

及び二つのCCFで構成した安全ループを示している。 

図B.1−安全ループ全体のRBD(信頼性ブロック図) 

これによって,E/E/PE安全関連系の故障がもたらす五つの故障の組合せの特定が容易になる。次に示す

五つの故障は,いわゆるミニマルカットセットである。 

− (A,B,C)は,三重故障 

− (E,F)は,二重故障 

− (D),(CCF1),(CCF2)は,それぞれ,単一故障 

B.2.2 低頻度作動要求におけるE/E/PE安全関連系 

E/E/PE安全関連系を低頻度作動要求モードで用いる場合,PFDavg(作動要求時の危険側機能失敗平均確

率)を評価することが必要である。期間[0,T]におけるE/E/PE安全関連系の平均ダウン時間をMDT(T) と

したとき,PFDavgは,単純に,MDT(T)/Tで表される比である。 

安全関連系の場合,通常,故障確率が非常に低く,また,同時に二つのミニマルカットセットが起きる

確率は無視できるものである。したがって,各カットセットによる平均ダウン時間の和は,システム全体

の平均ダウン時間MDTの保守的な推定値となる。図B.1から,次の式が推定できる。 

EF

D

ABC

MDT

MDT

MDT

MDT

+

+

18 

C 0508-6:2019 (IEC 61508-6:2010) 

  

この式をTで除すと,次の式で表される。 

EF

avg

D

avg

ABC

avg

avg

PFD

PFD

PFD

PFD

+

+

したがって,直列接続の部品の場合,PFDavgの計算は,PFDavgが1と比べて非常に小さい場合の通常の

確率計算と非常に類似したものになる。 

なお,並列接続の部品の場合は,機能の喪失の前に(E,F)のように多重故障が起きることを考える必

要があるため,MDTEFは,MDTE及びMDTFから単純には計算できないことは明らかである。システム(E,

F)の平均ダウン時間MDTEFは,次のように計算する。 

()

()

=

T

dt

t

PFD

t

PFD

MDT

0

F

E

EF

したがって,通常の確率計算(加算及び乗算)は,並列接続の部品のPFDavgの計算(積分)は有効には

ならない。PFDavgは,純粋な確率と同じ特性をもたず,また,純粋な確率と同一であるとみなすことは保

守的ではない結果をもたらす可能性が高い。特に,従来の方法で構成部品のPFDavg,iを組み合わせるだけ

では,E/E/PE安全関連系のPFDavgを得ることはできない。この理由から,市販のブールソフトウェアパッ

ケージが奨励されることがよくあるが,安全を取り扱うときには望ましくないような保守的でない計算を

避けるために,解析者は市販のパッケージの使用に注意することが望ましい。 

例 プルーフテスト間隔τでは検出できない危険側故障率λDUをもつ冗長(1oo2)チャネルの場合,

実際の結果が (λDU×τ)2/3であるにもかかわらず,不正確な確率モデル計算では,(λDU×τ)2/4となる

場合がある。 

計算は,解析的手法又はモンテカルロシミュレーションのいずれを用いてもよい。この附属書では,ブ

ール形式(RBD又はFT)に基づく従来の信頼性モデル,又は状態遷移モデル(マルコフ,ペトリネット

など)を用いて行う方法を示す。 

B.2.3 連続モード又は高頻度作動要求モードにおけるE/E/PE安全関連系 

B.2.3.1 PFHの一般式 

E/E/PE安全関連系を連続モード又は高頻度作動要求モードで用いる場合,PFH(単位時間当たりの時間

平均危険側故障頻度)を計算することが必要である。PFHは,対象期間における,いわゆる無条件故障度

(故障頻度ともいう。)w(t) の平均値で,次の式で表すことができる。 

()

()

=

T

dt

t

w

T

T

PFH

0

1

連続モードで動作するE/E/PE安全関連系が最終の安全防護措置である場合,安全関連系全体の故障は,

直接,潜在危険の状況をもたらすことになる。したがって,安全機能全体の喪失を引き起こす故障の場合,

全体的な安全関連系の修復は,計算上では考慮することができない。ただし,安全関連系全体の故障が他

の何らかの安全防護措置によって,直接的に,機器の故障又は潜在危険をもたらすことがない場合は,安

全関連系の検出及び修復を安全関連系のリスクの軽減計算において検討してもよい場合がある。 

B.2.3.2 不信頼度の例(連続モードで動作する単一防護措置) 

この事例は,連続モードで動作するE/E/PE安全関連系が最終の安全防護措置の場合に該当する。したが

って,潜在危険は,E/E/PE安全関連系が故障したとき直ちに発生する可能性がある。対象期間中,いかな

る全体システムの故障も容認できない。 

19 

C 0508-6:2019 (IEC 61508-6:2010) 

この場合,PFHは,対象期間にわたる不信頼性を用いて計算してよい。計算式を,次に示す。 

()

()

()

()

T

T

F

T

dt

t

Λ

T

PFH

T

F

T

=

=

∫0

exp

1

:

ここに, 

Λ(t): 全体システム故障率。時間に依存する場合,又は一定の

場合がある。 

Λ(t) が時間に依存する場合は,次の式となる。 

()

(

)

avg

avg

exp

1

Λ

T

T

Λ

T

PFH

=

システムが,一定の故障率及び修復率(例 検出可能な危険側故障)をもつ完全かつ迅速に修理可能な

構成部品で構成されている場合は,Λ(t) は漸近故障率の定数値Λasに素早く達し,また,PFH(T)≪1の場

合は,次の式となる。 

()

(

)

MTTF

Λ

T

T

Λ

T

PFH

1

exp

1

as

as

=

=

Λasは,連続モードで動作するE/E/PE安全関連系が安全側故障及びDD故障(すなわち,素早く検出し

修復する。)だけを含む場合に存在する。安全機能の全体故障を直接引き起こす可能性がある故障の修復は

考慮していない。冗長構成でプルーフテストを検討することが必要な場合,漸近故障率の適用は適切では

ないため,前述の計算式を用いる。どの事例が適切であるかを検証することは解析者の業務である。 

B.2.3.3 アンアベイラビリティの例(複数の安全防護措置) 

連続モードで動作するE/E/PE安全関連系が最終の防護措置でない場合,故障によって,他の安全防護措

置に対する要求頻度が増大する。高頻度作動要求モードで動作するE/E/PE安全関連系が最終の防護措置で

はない場合,予想する作動要求の期間内に安全機能を直ちに喪失させることがあるフォールトが(自動的

又は手動によって)検出され,修復される。この場合,該当するE/E/PE安全関連系の全体故障は修復が可

能であり,PFHは,システムのアベイラビリティA(t) 及び条件付き故障強度Λv(t) から計算することがで

きる。 

さらに,システムが完全かつ迅速に修理可能な構成部品で構成されている場合(すなわち,劣化した状

況において,良好な動作状態に素早く戻る確率が高い場合)は,Λv(t) は,素早く漸近値Λvasに達する。こ

れは,さらに,B.2.3.2に示す真の漸近的な全体システム故障率Λasの適切な概算値である。 

これによって,PFHは,次の式となる。 

MTTF

MUT

MTBF

MDT

MUT

PFH

1

1

1

1

=

+

=

ここに, 

MUT: 平均アップ時間(Mean Up Time) 

MDT: 平均ダウン時間(Mean Down Time) 

MTBF: 平均故障間時間(Mean Time Between Failure) 

MTTF: 平均故障時間(Mean Time To Failure) 

B.2.3.4 故障率の検討 

ここまでの議論で示した式では,全体システム故障率Λ(t) を用いてきた。全体システム故障率の評価は

それほど容易ではなく,注意が必要である。 

直列構造は故障率を加算することができるため,取扱いが非常に単純である。図B.1は,次の式で説明

することができる。 

20 

C 0508-6:2019 (IEC 61508-6:2010) 

  

Λ(t)=Λabc(t)+λCCF1(t)+λd(t)+Λef(t)+λCCF2(t) 

ここに,Λ(t) は,E/E/PE安全関連系の全体故障率で,Λabc(t),λCCF1(t),λd(t),Λef(t)及びλCCF2(t) は,五つ

のミニマルカットセットの故障率とする。 

並列構造の場合,これは個々の構成部品の故障率に単純な関係がないため,計算はそう簡単ではない。

例えば,次のカットセット(E,F)を考えてみる。 

1) E及びFが直ちに修復できない(例 DU故障)場合 Λef(t) は0からλ(E又はFの故障率)まで連

続的に変化する。二つの構成部品のうちの一つが故障した可能性がある場合は,漸近値に達する。こ

れは,tが1/λよりも大きくなったときに起きるため,非常に緩やかなプロセスである。ただし,E及

びFを,テスト間隔τ≪1/λで定期的にプルーフテストする場合は,この漸近値には実運用上では決し

て達することはない。 

2) E及びFを比較的短時間で修復する場合(例 DD故障) Λef(t) は非常に素早く,等価な一定故障率

として用いることができる漸近値ΛefAs=2λ2/μに向かう。tが構成部品の大きい方のMTTR(平均修復

時間)の2倍又は3倍よりも大きくなる場合,この値に達する。これは,B.2.3.2で示した完全かつ迅

速に修理可能なシステムに特有な場合である。 

したがって,並列構造の一般的な事例において全体システム故障率を評価することは,より単純な直列

構造に対するよりも,より複雑な計算となることを示している。 

B.3 

一定の故障率を仮定するRBD(信頼性ブロック図)によるアプローチ 

B.3.1 基本的仮定 

計算は,次の仮定に基づいて行う。 

− システムの作動要求時の結果として発生する機能失敗時間平均確率は10−1未満であるか,又はシステ

ムの結果として発生する単位時間当たりの時間平均危険側故障頻度は,10−5 /h未満である。 

注記1 この仮定は,E/E/PE安全関連系がこの規格群の適用範囲であり,かつ,SIL 1範囲以内に

あることを意味している[JIS C 0508-1の表2(安全度水準(SIL):低頻度作動要求モー

ドで運用するE/E/PE安全関連系に割り当てられる安全機能に対する目標機能失敗尺度)及

び表3(安全度水準(SIL):高頻度作動要求又は連続モードで運用するE/E/PE安全関連系

に割り当てられる安全機能に対する目標機能失敗尺度)参照]。 

− 構成部品の故障率は,システムの寿命全体にわたって一定である。 

− センサ(入力)サブシステムは,センサそのもの,他の構成部品及び配線で構成し,多数決その他の

処理によって信号を最初に組み合わせる構成部品は含まない(例 二つのセンサチャネルの場合,図

B.2に示す構成となる。)。 

− 論理サブシステムは,信号を最初に組み合わせる構成部品,及び最終信号を操作端サブシステムへの

出力を含む,他の全ての構成部品で構成する。 

− 操作端(出力)サブシステムは,最終的に作動する構成部品を含む,論理サブシステムからの最終信

号を処理する全ての構成部品及び配線で構成する。 

− 計算及び表への入力として用いるハードウェア故障率は,サブシステムの単一チャネルのためのもの

である(例 2oo3センサを用いる場合,故障率は,単一センサに対するものであるため,2oo3の影響

は,それぞれのセンサ別に計算する。)。 

− 票決回路構成内にあるチャネルは,全て,同じ故障率及び自己診断カバー率をもつ。 

21 

C 0508-6:2019 (IEC 61508-6:2010) 

− サブシステムの各チャネル全体のハードウェア故障率は,このチャネルの危険側故障率と安全側故障

率との合計である。また,危険側故障率と安全側故障率は等しいと仮定する。 

注記2 この仮定は,安全側故障割合(JIS C 0508-2の附属書C参照)に影響を与えるが,安全側

故障割合は,この附属書に示す故障確率の算出値に影響を与えることはない。 

− 安全機能ごとに,完全なプルーフテスト及び修復がある(すなわち,検出できないままになっている

全ての故障は,プルーフテストによって検出する。)。不完全なプルーフテストの影響については,

B.3.2.5を参照する。 

− プルーフテスト間隔は,MRT(平均修理時間)の10倍以上である。 

− サブシステムごとに,単一のプルーフテスト間隔及びMRTが存在する。 

− 予想する作動要求の間隔は,プルーフテスト間隔の10倍以上である。 

− 低頻度作動要求モードで動作する全てのサブシステム,及び高頻度作動要求モード又は連続モードで

動作する1oo2,1oo2D,1oo3及び2oo3の票決回路構成の場合,自己診断がカバーする故障について

は,ハードウェアの安全度要求事項を決定するために用いるMTTRの時間内に検出され修復される。 

例 MTTRを8時間と仮定した場合,この時間には,通常,1時間未満の診断間隔と,残りのMRT

とを含む。 

注記3 1oo2,1oo2D,1oo3及び2oo3の票決回路構成の場合,全ての修復はオンラインで行うもの

と仮定する。フォールトの検出時にEUCを安全状態に置くようにE/E/PE安全関連系を構

成することによって,作動要求時の機能失敗平均確率を改善する。改善の度合いは,自己

診断カバー率によって異なる。 

− 高頻度作動要求モード又は連続モードで動作する1oo1及び2oo2票決回路構成の場合,E/E/PE安全関

連系は,危険側フォールトを検出した後では常に安全状態を達成する。 

なお,これを達成するためには,予想する作動要求の間隔を,診断間隔の10倍以上とするか,又は

診断間隔と安全状態とを達成するまでの時間の総計がプロセスセーフティタイムよりも短くする必要

がある。 

注記4 プロセスセーフティタイムは,JIS C 0508-4の3.6.20(プロセスセーフティタイム)を参

照。 

− 電源が故障して,E/E/PE安全関連系に電力が供給されなくなり,安全状態へのシステム作動が始まる

場合,電源がE/E/PE安全関連系の作動要求時の機能失敗平均確率に影響を与えることはない。 

なお,システム作動のために電源を必要とするか,又は電源がE/E/PE安全関連系の危険な動作を引

き起こす可能性がある故障モードをもつ場合,機能失敗平均確率の評価に電源を含めることが望まし

い。 

− ここでは,チャネルという用語は,通常,対象とするセンササブシステム,論理サブシステム又は操

作端サブシステムのいずれかに該当する部分に限定して用いる。 

− 略語を,表B.1に示す。 

background image

22 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図B.2−二つのセンサチャネルの構成例 

表B.1−この附属書で用いる用語とその範囲 

(1oo1,1oo2,2oo2,1oo2D,1oo3及び2oo3に適用) 

略語 

用語(単位) 

表B.2〜表B.5及び表B.10〜表B.13

のパラメータ範囲 

T1 

プルーフテスト間隔(時間) 

1か月(730時間)a) 
3か月(2 190時間)a) 
6か月(4 380時間) 
1年間(8 760時間) 
2年間(17 520時間)b) 
10年間(87 600時間)b) 

MTTR 

平均修復時間(時間) 

8時間 
注記 MTTR=MRT=8(時間)の場

合,自動検出によって危険側
故障の検出時間がMRTより
も十分に小さいという仮定に
基づいている。 

MRT 

平均修理時間(時間) 

8時間 
注記 MTTR=MRT=8(時間)の場

合,自動検出によって危険側
故障の検出時間がMRTより
も十分に小さいという仮定に
基づいている。 

DC 

自己診断カバー率 
(式の中では分数,他の場合は百分率で表す。) 

 0 % 
60 % 
90 % 
99 % 

β 

CCF(共通原因故障)のうち,検出できない部分 
(式の中では分数,他の場合は百分率で表す。) 
(表B.2〜表B.5及び表B.10〜表B.13では,β=2×βDと仮定する。) 

 2 % 
10 % 
20 % 

βD 

CCF(共通原因故障)のうち,自己診断テストで検出できる部分 
(式の中では分数,他の場合は百分率で表す。) 
(表B.2〜表B.5及び表B.10〜表B.13では,β=2×βDと仮定する。) 

 1 % 
 5 % 
10 % 

センサ 

入力モジュール 

入力モジュール 

センサ 

論理的な多数決を行う 

構成部品 

センササブシステム 

background image

23 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.1−この附属書で用いる用語とその範囲 

(1oo1,1oo2,2oo2,1oo2D,1oo3及び2oo3に適用)(続き) 

略語 

用語(単位) 

表B.2〜表B.5及び表B.10〜表B.13

のパラメータ範囲 

λDU 

サブシステムにおけるチャネルの(1時間当たりの)検出できな
い危険側故障率 
注記 この略語は,故障率λの種類を説明している箇所にも記載

している。 

0.05×10−6 
0.25×10−6 
0.5×10−6 
2.5×10−6 
5×10−6 
25×10−6 

PFDG 

多数決回路のチャネル構成の作動要求時の機能失敗平均確率(セ
ンササブシステム,論理サブシステム又は操作端サブシステムを
単一の票決回路で構成している場合,PFDGは,それぞれ,PFDS,

PFDL又はPFDFEに等しい。) 

− 

PFDS 

センササブシステムの作動要求時の機能失敗平均確率 

− 

PFDL 

論理サブシステムの作動要求時の機能失敗平均確率 

− 

PFDFE 

操作端サブシステムの作動要求時の機能失敗平均確率 

− 

PFDSYS 

E/E/PE安全関連系の安全機能の作動要求時の機能失敗平均確率 

− 

PFHG 

多数決回路のチャネル構成の単位時間(1時間)当たりの時間平
均危険側故障頻度 
(センササブシステム,論理サブシステム又は操作端サブシステ
ムを単一の票決回路で構成している場合,PFHGは,それぞれ,

PFHS,PFHL又はPFHFEに等しい。) 

− 

PFHS 

センササブシステムの単位時間当たりの時間平均危険側故障頻
度 

− 

PFHL 

論理サブシステムの単位時間当たりの時間平均危険側故障頻度 

− 

PFHFE 

操作端サブシステムの単位時間当たりの時間平均危険側故障頻
度 

− 

PFHSYS 

E/E/PE安全関連系の安全機能の単位時間当たりの時間平均危険
側故障頻度 

− 

λ 

サブシステムにおけるチャネルの(1時間当たりの)全故障率 

− 

λD 

サブシステムにおけるチャネルの(1時間当たりの)危険側故障
率。0.5λに等しい(50 %の危険側故障及び50 %の安全側故障を仮
定)。 

− 

λDD 

サブシステムにおけるチャネルの(1時間当たりの)検出できる
危険側故障率(これは,サブシステムのチャネル内で検出される
危険側故障率の総計である)。 

− 

λDU 

サブシステムにおけるチャネルの(1時間当たりの)検出できな
い危険側故障率(これは,サブシステムのチャネル内で検出され
ない危険側故障率の総計である)。 

− 

λSD 

サブシステムにおけるチャネルの(1時間当たりの)検出できる
安全側故障率(これは,サブシステムのチャネル内で検出される
安全側故障率の総計である)。 

− 

tCE 

1oo1,1oo2,2oo2及び2oo3の各アーキテクチャのチャネル等価
平均ダウン時間(これは,サブシステムにおけるチャネルの全て
の構成部品を組み合わせた動作停止時間である)。単位は,時間。 

− 

tGE 

1oo2及び2oo3の票決回路構成の等価平均ダウン時間(これは,
票決回路構成における全てのチャネルを組み合わせた動作停止
時間である)。単位は,時間。 

− 

background image

24 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.1−この附属書で用いる用語とその範囲 

(1oo1,1oo2,2oo2,1oo2D,1oo3及び2oo3に適用)(続き) 

略語 

用語(単位) 

表B.2〜表B.5及び表B.10〜表B.13

のパラメータ範囲 

tCE' 

1oo2Dアーキテクチャのチャネル等価平均ダウン時間(これは,
サブシステムにおけるチャネルの全ての構成部品を組み合わせ
たダウン時間である)。単位は,時間。 

− 

tGE' 

1oo2Dアーキテクチャの票決回路構成の等価平均ダウン時間(こ
れは,票決回路構成における全てのチャネルを組み合わせたダウ
ン時間である)。単位は,時間。 

− 

T2 

作動要求の間隔。単位は,時間。 

− 

1oo2D系における自動テスト回路の成功の分率 

− 

PTC 

プルーフテストカバー率 

− 

注a) 高頻度作動要求モード又は連続モードだけに用いる。 

b) 低頻度作動要求モードだけに用いる。 

B.3.2 作動要求時の機能失敗平均確率(低頻度作動要求モードの場合) 

B.3.2.1 計算手順 

E/E/PE安全関連系の安全機能の作動要求時の機能失敗平均確率は,系として安全機能を提供するサブシ

ステム全ての作動要求時の機能失敗平均確率を計算し,組み合わせることによって決定する。この附属書

では確率が低いため,次の式によって表すことができる(図B.3参照)。 

PFDSYS=PFDS+PFDL+PFDFE 

ここに, 

PFDSYS: E/E/PE安全関連系の安全機能の作動要求時の機能失敗

平均確率 

PFDS: センササブシステムの作動要求時の機能失敗平均確率 

PFDL: 論理サブシステムの作動要求時の機能失敗平均確率 

PFDFE: 操作端サブシステムの作動要求時の機能失敗平均確率 

図B.3−サブシステムの構造 

各サブシステムの作動要求時の機能失敗平均確率を決定するには,各サブシステムに対して,順次,次

の手順を実施することが望ましい。 

a) センササブシステム(入力)構成部品,論理サブシステム構成部品又は操作端サブシステム(出力)

構成部品を示すブロック図を描く。例えば,センササブシステム構成部品は,センサ,バリア及び入

力調節回路などである。論理サブシステム構成部品は,プロセッサ及び走査装置などである。操作端

サブシステム構成部品は,出力調節回路,バリア及びアクチュエータなどである。各サブシステムを,

一つ以上の1oo1,1oo2,2oo2,1oo2D,1oo3又は2oo3の票決回路構成として表す。 

b) 6か月,1年,2年及び10年に対するプルーフテスト間隔は,表B.2〜表B.5の該当する表を参照する。

これらの表では,発生した各故障の修復までの平均時間を8時間と仮定している。 

センササブシステム 

(センサ及び入力 
インタフェース) 

操作端サブシステム 

(出力インタフェース 

及び操作端) 

論理サブシステム 

25 

C 0508-6:2019 (IEC 61508-6:2010) 

c) サブシステムの票決回路構成ごとに,表B.2〜表B.5の関連する表から次の事項を選択する。 

− アーキテクチャ(例 2oo3) 

− 各チャネルの診断カバー率(例 60 %) 

− 各チャネルの(1時間当たりの)危険側故障率,λD(例 2.5×10−6) 

− 票決回路構成の各チャネル間の相互連携に関するCCFのβ係数,β及びβD(例 それぞれ,2 %

及び1 %) 

注記1 票決回路構成の全てのチャネルは,自己診断カバー率及び故障率が同じであると仮定して

いる(表B.1参照)。 

注記2 表B.2〜表B.5(及び表B.10〜表B.13)では,自己診断テストがない場合用いる(又は自

己診断テストを実施しても検出できない危険側故障にも用いる)β係数を表すβは,自己

診断テストで検出できる故障のβ係数を表すβDの2倍であると仮定している。 

d) 表B.2〜表B.5の関連する表から,票決回路構成の作動要求時の機能失敗平均確率を得る。 

e) 安全機能がセンサ又はアクチュエータの複数の票決回路構成に依存する場合,組合せによるセンサ又

は操作端サブシステムの作動要求時の機能失敗平均確率PFDS又はPFDFEは,それぞれ,次の式から

求める。 

=

i

i

PFD

PFD

G

S

=

j

j

PFD

PFD

G

FE

ここに, 

PFDGi: 各センサの票決回路構成の作動要求時の機能失敗平均

確率 

PFDGj: 各操作端の票決回路構成の作動要求時の機能失敗平均

確率 

PFD及びシステム故障率の両方に関する全ての計算式は,全て,構成部品の故障率と平均ダウン時間

(MDT)との関数である。システムの中に多数の要素があるため,組み合わせた要素全体のPFD又はシ

ステム故障率を計算することが必要な場合は,計算式の中のMDTに単一の値を用いることが必要なこと

が多い。ただし,各要素はそれぞれが異なるMDTの故障検出機構をもつことがあり,また,同一の故障

機構に対して各要素が異なるMDT値をもつこともある。このような場合は,経路の中の全ての要素を代

表する単一のMDT値を求めることが必要である。単一のMDT値は,合計経路の全体故障率を考慮し,そ

の後,個々のMDT値を,検討中の全故障率に対する個々の故障率寄与に比例させることによって達成す

ることができる。 

例として,二つの要素が直列に接続されており,一方の要素はプルーフテスト間隔T1をもち,他方の要

素はプルーフテスト間隔T2をもつ場合,MDTに対する等価な単一値MDTEは,次の式で表すことができ

る。 

λT=λ1+λ2 

かつ, 

+

=

2

2

2

T

2

1

T

1

E

T

T

MDT

λ

λ

λ

λ

B.3.2.2 低頻度作動要求用モードのアーキテクチャ 

注記1 各アーキテクチャにとって有効な式を初出のときだけ示すため,この細分箇条は順に読み進

background image

26 

C 0508-6:2019 (IEC 61508-6:2010) 

  

んでいくのがよい。 

注記2 この細分箇条に示す式は,B.3.1に示す仮定に基づいている。 

注記3 この細分箇条に示す例は標準的構成であり,全てを網羅することを目的としていない。 

B.3.2.2.1 1oo1 

このアーキテクチャは,作動要求が発生したときに危険側故障が安全機能の故障を引き起こす,単一チ

ャネルで構成している。 

図B.4−1oo1物理的ブロック図 

図B.5−1oo1のRBD(信頼性ブロック図) 

対応するブロック図を,図B.4及び図B.5に示す。チャネルの危険側故障率λDを,次の式に示す。 

DD

DU

D

λ

λ

λ

+

=

図B.5のRBDでは,チャネルは,一方の構成部品は検出できない故障がもたらす危険側故障率λDUをも

ち,他方の構成部品は検出できる故障がもたらす危険側故障率λDDをもつ,二つの構成部品で構成すると

考えられることを示している。チャネル等価平均ダウン時間tCEは,チャネルの故障確率に対する各構成

部品の寄与に正比例する,両方の構成部品によるそれぞれのダウン時間,tc1及びtc2を加算することで算出

できる。 

MTTR

MRT

T

t

D

DD

1

D

DU

CE

2

λ

λ

λ

λ

+

+

=

各アーキテクチャに対する検出できる危険側故障率及び検出できない危険側故障率は,次の式で表すこ

とができる。 

(

)

DC

=

1

D

DU

λ

λ

DC

D

DD

λ

λ=

ここで,危険側故障がもたらすダウン時間tCEをもつチャネルの場合,次の式となる。 

1

1

CE

D

CE

D

CE

D

なぜなら

t

t

e

PFD

t

λ

λ

λ

=

したがって,このアーキテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

λDU 

tc1=21

T+MRT 

λDD 

tc2=MTTR 

λD 

tCE 

チャネル 

診断 

background image

27 

C 0508-6:2019 (IEC 61508-6:2010) 

(

)CE

DD

DU

G

t

PFD

λ

λ+

=

B.3.2.2.2 1oo2 

このアーキテクチャは,並列に接続した二つのチャネルで構成しており,いずれかのチャネルで安全機

能を処理することができる。したがって,作動要求時に安全機能が失敗する前に,両チャネルには危険側

故障が発生していることになる。どのような自己診断テストに対しても,検出したフォールトを報告する

だけであり,何らかの出力状態を変更したり,出力の票決を変更したりすることはないと仮定している。 

図B.6−1oo2物理的ブロック図 

図B.7−1oo2のRBD(信頼性ブロック図) 

図B.6及び図B.7に対応するブロック図を示す。tCEの値は,B.3.2.2.1に示すとおりであるが,ここでは,

次の式から算出するシステム等価ダウン時間tGEも算出する必要がある。 

MTTR

MRT

T

t

D

DD

1

D

DU

GE

3

λ

λ

λ

λ

+

+

=

このアーキテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

(

)

(

)

[

]

+

+

+

+

=

MRT

T

MTTR

t

t

PFD

2

1

1

2

1

DU

DD

D

GE

CE

2

DU

DD

D

G

βλ

λ

β

λ

β

λ

β

B.3.2.2.3 2oo2 

このアーキテクチャは,並列に接続した二つのチャネルで構成しており,両方のチャネルに安全機能の

作動要求をする必要がある。どのような自己診断テストに対しても,検出したフォールトを報告するだけ

であり,何らかの出力状態を変更したり,出力の票決を変更したりすることはないと仮定している。 

CCF 

(共通原因故障) 

チャネル 

チャネル 

診  断 

background image

28 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図B.8−2oo2物理的ブロック図 

図B.9−2oo2のRBD(信頼性ブロック図) 

図B.8及び図B.9に,対応するブロック図を示す。tCEの値は,B.3.2.2.1に示すとおりであり,このアー

キテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

PFDG=2λDtCE 

B.3.2.2.4 1oo2D 

このアーキテクチャは,並列に接続した二つのチャネルで構成している。通常動作時には,両方のチャ

ネルが安全機能を実行するための作動要求をする必要がある。さらに,いずれかのチャネルの自己診断テ

ストでフォールトを検出したときに,出力の票決を実施し,全体の出力状態をフォールトのない他のチャ

ネルの出力状態に変更する。自己診断テストで両方のチャネルがフォールトを検出した場合,又はいずれ

のチャネルにも割り当てられるはずのない不一致を検出した場合には,全体の出力を安全状態にする。チ

ャネル間の不一致を検出するために,いずれのチャネルも,他方のチャネルから独立した手段によって他

方のチャネルの状態を判定できるようにする。チャネル比較及び切換えの機構は100 %有効でない場合が

あるため,チャネル間比較及び切換えの機構の効率Kを用いる。この場合,出力は,一つのチャネルが不

良であると検出したときも,2oo2多数決決定から除外されず,そのまま残ることもある。 

注記 係数Kは,FMEAによって決定する必要がある。 

チャネル 

診  断 

チャネル 

background image

29 

C 0508-6:2019 (IEC 61508-6:2010) 

図B.10−1oo2D物理的ブロック図 

図B.11−1oo2DのRBD(信頼性ブロック図) 

各チャネルの検出できる安全側故障率を,次の式に示す。 

DC

S

SD

λ

λ=

ここに, 

λS: 各チャネルの安全側故障率 

図B.10及び図B.11に,対応するブロック図を示す。等価平均ダウン時間を示す値は,B.3.2.2の他のア

ーキテクチャで示す値とは異なるため,これらの値をtCE'及びtGE'としている。これらの値は,次の式に示

す。 

(

)

(

)

MRT

T

'

t

MTTR

MRT

T

'

t

+

=

+

+

+

+

+

=

3

2

1

GE

SD

DD

DU

SD

DD

1

DU

CE

λ

λ

λ

λ

λ

λ

このアーキテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

(

)

(

)

(

)

[

]

(

)

+

+

+

+

+

=

MRT

T

'

t

K

'

t'

t

PFD

2

1

2

1

1

1

2

1

DU

CE

DD

GE

CE

SD

DD

D

DU

DU

G

βλ

λ

λ

λ

β

λ

β

λ

β

B.3.2.2.5 2oo3 

このアーキテクチャは,出力信号のための票決回路構成部及びこれと並列に接続した三つのチャネルで

構成しており,一つのチャネルだけが他の二つのチャネルと異なる結果を出した場合,票決回路構成部の

出力状態を変更しないようになっている。 

どのような自己診断テストに対しても,検出したフォールトを報告するだけであり,何らかの出力状態

を変更したり,出力の票決を変更したりすることはないと仮定している。 

CCF(共通原因故

障) 

チャネル 

診  断 

チャネル 

診  断 

background image

30 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図B.12−2oo3物理的ブロック図 

図B.13−2oo3のRBD(信頼性ブロック図) 

図B.12及び図B.13に,対応するブロック図を示す。tCE及びtGEの値は,それぞれB.3.2.2.1及びB.3.2.2.2

に示すとおりである。このアーキテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

(

)

(

)

[

]

+

+

+

+

=

MRT

T

MTTR

t

t

PFD

2

1

1

6

1

DU

DD

D

GE

CE

2

DU

DD

D

G

βλ

λ

β

λ

β

λ

β

B.3.2.2.6 1oo3 

このアーキテクチャは,並列に接続した三つのチャネル及び出力信号のための票決回路構成部で構成し

ており,出力状態は1oo3票決に従う。 

どのような自己診断テストに対しても,検出したフォールトを報告するだけであり,何らかの出力状態

を変更したり,出力の票決を変更したりすることはないと仮定している。 

RBDは“2oo3”と同じだが,決定は1oo3票決となる。tCEの値はB.3.2.2.1に,tGEの値はB.3.2.2.2に,

それぞれ示すとおりである。このアーキテクチャの作動要求時の機能失敗平均確率は,次の式となる。 

(

)

(

)

[

]

+

+

+

+

=

MRT

T

MTTR

t

t

t

PFD

2

1

1

6

1

DU

DD

D

G2E

GE

CE

3

DU

DD

D

G

βλ

λ

β

λ

β

λ

β

ここに, 

MTTR

MRT

T

t

D

DD

1

D

DU

E

2

G

4

λ

λ

λ

λ

+

+

=

CCF(共通原因

故障) 

チャネル 

診 断 

チャネル 

チャネル 

background image

31 

C 0508-6:2019 (IEC 61508-6:2010) 

B.3.2.3 低頻度作動要求モードの詳細表 

表B.2−プルーフテスト間隔が6か月及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率 

アーキテ

クチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2

参照) 

 0 % 

1.1×10−4 

5.5×10−4 

1.1×10−3 

60 % 

4.4×10−5 

2.2×10−4 

4.4×10−4 

90 % 

1.1×10−5 

5.7×10−5 

1.1×10−4 

99 % 

1.5×10−6 

7.5×10−6 

1.5×10−5 

1oo2 

 0 % 2.2×10−6 1.1×10−5 2.2×10−5 1.1×10−5 5.5×10−5 1.1×10−4 2.4×10−5 1.1×10−4 2.2×10−4 

60 % 8.8×10−7 4.4×10−6 8.8×10−6 4.5×10−6 2.2×10−5 4.4×10−5 9.1×10−6 4.4×10−5 8.8×10−5 

90 % 2.2×10−7 1.1×10−6 2.2×10−6 1.1×10−6 5.6×10−6 1.1×10−5 2.3×10−6 1.1×10−5 2.2×10−5 

99 % 2.6×10−8 1.3×10−7 2.6×10−7 1.3×10−7 6.5×10−7 1.3×10−6 2.6×10−7 1.3×10−6 2.6×10−6 

2oo2 

(注記2

参照) 

 0 % 

2.2×10−4 

1.1×10−3 

2.2×10−3 

60 % 

8.8×10−5 

4.4×10−4 

8.8×10−4 

90 % 

2.3×10−5 

1.1×10−4 

2.3×10−4 

99 % 

3.0×10−6 

1.5×10−5 

3.0×10−5 

1oo2D 

(注記3

参照) 

 0 % 2.2×10−6 1.1×10−5 2.2×10−5 1.1×10−5 5.5×10−5 1.1×10−4 2.4×10−5 1.1×10−4 2.2×10−4 

60 % 1.4×10−6 4.9×10−6 9.3×10−6 7.1×10−6 2.5×10−5 4.7×10−5 1.4×10−5 5.0×10−5 9.3×10−5 

90 % 4.3×10−7 1.3×10−6 2.4×10−6 2.2×10−6 6.6×10−6 1.2×10−5 4.3×10−6 1.3×10−5 2.4×10−5 

99 % 6.0×10−8 1.5×10−7 2.6×10−7 3.0×10−7 7.4×10−7 1.3×10−6 6.0×10−7 1.5×10−6 2.6×10−6 

2oo3 

 0 % 2.2×10−6 1.1×10−5 2.2×10−5 1.2×10−5 5.6×10−5 1.1×10−4 2.7×10−5 1.1×10−4 2.2×10−4 

60 % 8.9×10−7 4.4×10−6 8.8×10−6 4.6×10−6 2.2×10−5 4.4×10−5 9.6×10−6 4.5×10−5 8.9×10−5 

90 % 2.2×10−7 1.1×10−6 2.2×10−6 1.1×10−6 5.6×10−6 1.1×10−5 2.3×10−6 1.1×10−5 2.2×10−5 

99 % 2.6×10−8 1.3×10−7 2.6×10−7 1.3×10−7 6.5×10−7 1.3×10−6 2.6×10−7 1.3×10−6 2.6×10−6 

1oo3 

 0 % 2.2×10−6 1.1×10−5 2.2×10−5 1.1×10−5 5.5×10−5 1.1×10−4 2.2×10−5 1.1×10−4 2.2×10−4 

60 % 8.8×10−7 4.4×10−6 8.8×10−6 4.4×10−6 2.2×10−5 4.4×10−5 8.8×10−6 4.4×10−5 8.8×10−5 

90 % 2.2×10−7 1.1×10−6 2.2×10−6 1.1×10−6 5.6×10−6 1.1×10−5 2.2×10−6 1.1×10−5 2.2×10−5 

99 % 2.6×10−8 1.3×10−7 2.6×10−7 1.3×10−7 6.5×10−7 1.3×10−6 2.6×10−7 1.3×10−6 2.6×10−6 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2

参照) 

 0 % 

5.5×10−3 

1.1×10−2 

5.5×10−2 

60 % 

2.2×10−3 

4.4×10−3 

2.2×10−2 

90 % 

5.7×10−4 

1.1×10−3 

5.7×10−3 

99 % 

7.5×10−5 

1.5×10−4 

7.5×10−4 

1oo2 

 0 % 1.5×10−4 5.8×10−4 1.1×10−3 3.7×10−4 1.2×10−3 2.3×10−3 5.0×10−3 8.8×10−3 1.4×10−2 

60 % 5.0×10−5 2.3×10−4 4.5×10−4 1.1×10−4 4.6×10−4 9.0×10−4 1.1×10−3 2.8×10−3 4.9×10−3 

90 % 1.2×10−5 5.6×10−5 1.1×10−4 2.4×10−5 1.1×10−4 2.2×10−4 1.5×10−4 6.0×10−4 1.2×10−3 

99 % 1.3×10−6 6.5×10−6 1.3×10−5 2.6×10−6 1.3×10−5 2.6×10−5 1.4×10−5 6.6×10−5 1.3×10−4 

2oo2 

(注記2

参照) 

 0 % 

1.1×10−2 

2.2×10−2 

>1×10−1 

60 % 

4.4×10−3 

8.8×10−3 

4.4×10−2 

90 % 

1.1×10−3 

2.3×10−3 

1.1×10−2 

99 % 

1.5×10−4 

3.0×10−4 

1.5×10−3 

background image

32 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.2−プルーフテスト間隔が6か月及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率(続き) 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo2D 

(注記3

参照) 

 0 % 1.5×10−4 5.8×10−4 1.1×10−3 3.8×10−4 1.2×10−3 2.3×10−3 5.0×10−3 9.0×10−3 1.4×10−2 

60 % 7.7×10−5 2.5×10−4 4.7×10−4 1.7×10−4 5.2×10−4 9.5×10−4 1.3×10−3 3.0×10−3 5.1×10−3 

90 % 2.2×10−5 6.6×10−5 1.2×10−4 4.5×10−5 1.3×10−4 2.4×10−4 2.6×10−4 6.9×10−4 1.2×10−3 

99 % 3.0×10−6 7.4×10−6 1.3×10−5 6.0×10−6 1.5×10−5 2.6×10−5 3.0×10−5 7.4×10−5 1.3×10−4 

2oo3 

 0 % 2.3×10−4 6.5×10−4 1.2×10−3 6.8×10−4 1.5×10−3 2.5×10−3 1.3×10−2 1.5×10−2 1.9×10−2 

60 % 6.3×10−5 2.4×10−4 4.6×10−4 1.6×10−4 5.1×10−4 9.4×10−4 2.3×10−3 3.9×10−3 5.9×10−3 

90 % 1.2×10−5 5.7×10−5 1.1×10−4 2.7×10−5 1.2×10−4 2.3×10−4 2.4×10−4 6.8×10−4 1.2×10−3 

99 % 1.3×10−6 6.5×10−6 1.3×10−5 2.7×10−6 1.3×10−5 2.6×10−5 1.5×10−5 6.7×10−5 1.3×10−4 

1oo3 

 0 % 1.1×10−4 5.5×10−4 1.1×10−3 2.2×10−4 1.1×10−3 2.2×10−3 1.4×10−2 5.7×10−2 1.1×10−2 

60 % 4.4×10−5 2.2×10−4 4.4×10−4 8.8×10−4 4.4×10−4 8.8×10−4 4.6×10−3 2.2×10−3 4.4×10−3 

90 % 1.1×10−5 5.6×10−5 1.1×10−4 2.2×10−5 1.1×10−4 2.2×10−4 1.1×10−4 5.6×10−4 1.1×10−3 

99 % 1.3×10−6 6.5×10−6 1.3×10−5 2.6×10−6 1.3×10−5 2.6×10−5 1.3×10−5 6.5×10−5 1.3×10−4 

注記1 この表は,B.3.2の式を用いて,B.3.1の仮定に基づいて算出した,PFDGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一の票決回路のチャネルで構成している場合,PFDGは,それ
ぞれ,PFDS,PFDL又はPFDFEに等しい(B.3.2.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

表B.3−プルーフテスト間隔が1年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.2×10−4 

1.1×10−3 

2.2×10−3 

60 % 

8.8×10−5 

4.4×10−4 

8.8×10−4 

90 % 

2.2×10−5 

1.1×10−4 

2.2×10−4 

99 % 

2.6×10−6 

1.3×10−5 

2.6×10−5 

1oo2 

 0 % 4.4×10−6 2.2×10−5 4.4×10−5 2.3×10−5 1.1×10−4 2.2×10−4 5.0×10−5 2.2×10−4 4.4×10−4 

60 % 1.8×10−6 8.8×10−6 1.8×10−6 9.0×10−6 4.4×10−5 8.8×10−5 1.9×10−6 8.9×10−5 1.8×10−5 

90 % 4.4×10−7 2.2×10−6 4.4×10−6 2.2×10−6 1.1×10−5 2.2×10−5 4.5×10−6 2.2×10−5 4.4×10−5 

99 % 4.8×10−8 2.4×10−7 4.8×10−7 2.4×10−7 1.2×10−6 2.4×10−6 4.8×10−7 2.4×10−6 4.8×10−6 

2oo2 

(注記2 

参照) 

 0 % 

4.4×10−4 

2.2×10−3 

4.4×10−3 

60 % 

1.8×10−4 

8.8×10−4 

1.8×10−3 

90 % 

4.5×10−5 

2.2×10−4 

4.5×10−4 

99 % 

5.2×10−6 

2.6×10−5 

5.2×10−5 

1oo2D 

(注記3 

参照) 

 0 % 4.5×10−6 2.2×10−5 4.4×10−5 2.4×10−5 1.1×10−4 2.2×10−4 5.0×10−5 2.2×10−4 4.4×10−4 

60 % 2.8×10−6 9.8×10−6 1.9×10−6 1.4×10−6 4.9×10−5 9.3×10−5 2.9×10−5 9.9×10−5 1.9×10−4 

90 % 8.5×10−7 2.6×10−6 4.8×10−6 4.3×10−6 1.3×10−5 2.4×10−5 8.5×10−6 2.6×10−5 4.8×10−5 

99 % 1.0×10−7 2.8×10−7 5.0×10−7 5.2×10−7 1.4×10−6 2.5×10−6 1.0×10−7 2.8×10−6 5.0×10−6 

background image

33 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.3−プルーフテスト間隔が1年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率(続き) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 4.6×10−6 2.2×10−5 4.4×10−5 2.7×10−5 1.1×10−4 2.2×10−4 6.2×10−5 2.4×10−4 4.5×10−4 

60 % 1.8×10−6 8.8×10−6 1.8×10−5 9.5×10−6 4.5×10−5 8.8×10−5 2.1×10−5 9.1×10−5 1.8×10−4 

90 % 4.4×10−7 2.2×10−6 4.4×10−6 2.3×10−6 1.1×10−5 2.2×10−5 4.6×10−6 2.2×10−5 4.4×10−5 

99 % 4.8×10−8 2.4×10−7 4.8×10−7 2.4×10−7 1.2×10−6 2.4×10−6 4.8×10−7 2.4×10−6 4.8×10−6 

1oo3 

 0 % 4.4×10−6 2.2×10−5 4.4×10−5 2.2×10−5 1.1×10−4 2.2×10−4 4.4×10−5 2.2×10−4 4.4×10−4 

60 % 1.8×10−6 8.8×10−6 1.8×10−5 8.8×10−6 4.4×10−5 8.8×10−5 1.8×10−5 8.81×10−5 1.8×10−4 

90 % 4.4×10−7 2.2×10−6 4.4×10−6 2.2×10−6 1.1×10−5 2.2×10−5 4.4×10−6 2.2×10−5 4.4×10−5 

99 % 4.8×10−8 2.4×10−7 4.8×10−7 2.4×10−7 1.2×10−6 2.4×10−6 4.8×10−7 2.4×10−6 4.8×10−6 

 アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

1.1×10−2 

2.2×10−2 

>1×10−1 

60 % 

4.4×10−3 

8.8×10−3 

4.4×10−2 

90 % 

1.1×10−3 

2.2×10−3 

1.1×10−2 

99 % 

1.3×10−4 

2.6×10−4 

1.3×10−3 

1oo2 

 0 % 3.7×10−4 1.2×10−3 2.3×10−3 1.1×10−3 2.7×10−3 4.8×10−3 1.8×10−2 2.4×10−2 3.2×10−2 

60 % 1.1×10−4 4.6×10−4 9.0×10−4 2.8×10−4 9.7×10−4 1.8×10−3 3.4×10−3 6.6×10−3 1.1×10−2 

90 % 2.4×10−5 1.1×10−4 2.2×10−4 5.1×10−5 2.3×10−4 4.5×10−4 3.8×10−4 1.3×10−4 2.3×10−3 

99 % 2.4×10−6 1.2×10−5 2.4×10−5 4.9×10−6 2.4×10−5 4.8×10−5 2.6×10−5 1.2×10−5 2.4×10−4 

2oo2 

(注記2 

参照) 

 0 % 

2.2×10−2 

4.4×10−2 

>1×10−1 

60 % 

8.8×10−3 

1.8×10−2 

8.8×10−2 

90 % 

2.2×10−3 

4.5×10−3 

2.2×10−2 

99 % 

2.6×10−4 

5.2×10−4 

2.6×10−3 

1oo2D 

(注記3 

参照) 

 0 % 3.8×10−4 1.2×10−3 2.3×10−3 1.1×10−3 2.7×10−3 4.9×10−3 1.8×10−2 2.5×10−2 3.4×10−2 

60 % 1.7×10−4 5.1×10−4 9.5×10−4 3.8×10−4 1.1×10−4 1.9×10−3 3.9×10−3 7.1×10−3 1.1×10−3 

90 % 4.4×10−5 1.3×10−4 2.4×10−4 9.1×10−5 2.7×10−4 4.8×10−4 5.8×10−4 1.4×10−3 2.5×10−3 

99 % 5.2×10−6 1.4×10−5 2.5×10−5 1.0×10−5 2.8×10−5 5.0×10−5 5.4×10−5 1.4×10−4 2.5×10−4 

2oo3 

 0 % 6.8×10−4 1.5×10−3 2.5×10−3 2.3×10−3 3.8×10−3 5.6×10−3 4.8×10−2 5.0×10−2 5.3×10−2 

60 % 1.6×10−4 5.1×10−4 9.4×10−4 4.8×10−4 1.1×10−3 2.0×10−3 8.4×10−3 1.1×10−2 1.5×10−2 

90 % 2.7×10−5 1.2×10−4 2.3×10−4 6.4×10−5 2.4×10−4 4.6×10−4 7.1×10−4 1.6×10−3 2.6×10−3 

99 % 2.5×10−6 1.2×10−5 2.4×10−5 5.1×10−6 2.4×10−5 4.8×10−5 3.1×10−5 1.3×10−4 2.5×10−4 

1oo3 

 0 % 2.2×10−4 1.1×10−3 2.2×10−3 4.6×10−3 2.2×10−3 4.4×10−3 4.7×10−2 1.3×10−2 2.3×10−2 

60 % 8.8×10−4 4.4×10−4 8.8×10−4 1.8×10−4 8.8×10−3 1.8×10−3 1.0×10−3 4.5×10−2 8.9×10−2 

90 % 2.2×10−5 1.1×10−4 2.2×10−4 4.4×10−5 2.2×10−4 4.4×10−4 2.2×10−4 1.1×10−3 2.2×10−3 

99 % 2.4×10−6 1.2×10−5 2.4×10−5 4.8×10−6 2.4×10−5 4.8×10−5 2.4×10−5 1.2×10−4 2.4×10−4 

注記1 この表は,B.3.2の式を用いて,B.3.1の仮定に基づいて算出した,PFDGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一の票決回路のチャネルで構成している場合,PFDGは,それ
ぞれ,PFDS,PFDL又はPFDFEに等しい(B.3.2.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

background image

34 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.4−プルーフテスト間隔が2年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

4.4×10−4 

2.2×10−3 

4.4×10−3 

60 % 

1.8×10−4 

8.8×10−4 

1.8×10−3 

90 % 

4.4×10−5 

2.2×10−4 

4.4×10−4 

99 % 

4.8×10−6 

2.4×10−5 

4.8×10−5 

1oo2 

 0 % 9.0×10−6 4.4×10−5 8.8×10−5 5.0×10−5 2.2×10−4 4.4×10−4 1.1×10−4 4.6×10−4 8.9×10−4 

60 % 3.5×10−6 1.8×10−5 3.5×10−5 1.9×10−5 8.9×10−5 1.8×10−4 3.9×10−5 1.8×10−4 3.5×10−4 

90 % 8.8×10−7 4.4×10−6 8.8×10−6 4.5×10−6 2.2×10−5 4.4×10−5 9.1×10−6 4.4×10−5 8.8×10−5 

99 % 9.2×10−8 4.6×10−7 9.2×10−7 4.6×10−7 2.3×10−6 4.6×10−6 9.2×10−7 4.6×10−6 9.2×10−6 

2oo2 

(注記2 

参照) 

 0 % 

8.8×10−4 

4.4×10−3 

8.8×10−3 

60 % 

3.5×10−5 

1.8×10−3 

3.5×10−3 

90 % 

8.8×10−5 

4.4×10−4 

8.8×10−4 

99 % 

9.6×10−6 

4.8×10−5 

9.6×10−5 

1oo2D 

(注記3 

参照) 

 0 % 9.0×10−6 4.4×10−5 8.8×10−5 5.0×10−5 2.2×10−4 4.4×10−4 1.1×10−4 4.6×10−4 9.0×10−4 

60 % 5.7×10−6 2.0×10−6 3.7×10−5 2.9×10−5 9.9×10−5 1.9×10−4 6.0×10−5 2.0×10−4 3.7×10−4 

90 % 1.7×10−7 5.2×10−6 9.6×10−6 8.5×10−6 2.6×10−5 4.8×10−5 1.7×10−6 5.2×10−5 9.6×10−5 

99 % 1.9×10−8 5.4×10−7 9.8×10−7 9.5×10−7 2.7×10−6 4.9×10−6 1.9×10−7 5.4×10−6 9.8×10−6 

2oo3 

 0 % 9.5×10−6 4.4×10−5 8.8×10−5 6.2×10−5 2.3×10−4 4.5×10−4 1.6×10−4 5.0×10−4 9.3×10−4 

60 % 3.6×10−6 1.8×10−5 3.5×10−5 2.1×10−5 9.0×10−5 1.8×10−4 4.7×10−5 1.9×10−4 3.6×10−4 

90 % 8.9×10−7 4.4×10−6 8.8×10−6 4.6×10−6 2.2×10−5 4.4×10−5 9.6×10−6 4.5×10−5 8.9×10−5 

99 % 9.2×10−8 4.6×10−7 9.2×10−7 4.6×10−7 2.3×10−6 4.6×10−6 9.3×10−7 4.6×10−6 9.2×10−6 

1oo3 

 0 % 8.8×10−6 4.4×10−5 8.8×10−5 4.4×10−5 2.2×10−4 4.4×10−4 8.8×10−4 4.4×10−4 8.8×10−4 

60 % 3.5×10−6 1.8×10−5 3.5×10−5 1.8×10−5 8.8×10−5 1.8×10−4 3.5×10−5 1.8×10−4 3.5×10−4 

90 % 8.8×10−7 4.4×10−6 8.8×10−6 4.4×10−6 2.2×10−5 4.4×10−5 8.8×10−6 4.4×10−5 8.8×10−5 

99 % 9.2×10−8 4.6×10−7 9.2×10−7 4.6×10−7 2.3×10−6 4.6×10−6 9.2×10−7 4.6×10−6 9.2×10−6 

 アーキ 

テクチャ 

DC 

λD=0.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.2×10−2 

4.4×10−2 

>1×10−1 

60 % 

8.8×10−3 

1.8×10−2 

8.8×10−2 

90 % 

2.2×10−3 

4.4×10−3 

2.2×10−2 

99 % 

2.4×10−4 

4.8×10−4 

2.4×10−3 

1oo2 

 0 % 1.1×10−3 2.7×10−3 4.8×10−3 3.3×10−3 6.5×10−3 1.0×10−2 6.6×10−2 7.4×10−2 8.5×10−2 

60 % 2.8×10−4 9.7×10−4 1.8×10−3 7.5×10−4 2.1×10−3 3.8×10−3 1.2×10−2 1.8×10−2 2.5×10−2 

90 % 5.0×10−5 2.3×10−4 4.5×10−4 1.1×10−4 4.6×10−4 9.0×10−4 1.1×10−3 2.8×10−3 4.9×10−3 

99 % 4.7×10−6 2.3×10−5 4.6×10−5 9.5×10−6 4.6×10−5 9.2×10−5 5.4×10−5 2.4×10−4 4.6×10−4 

2oo2 

(注記2 

参照) 

 0 % 

4.4×10−2 

8.8×10−2 

>1×10−1 

60 % 

1.8×10−2 

3.5×10−2 

>1×10−1 

90 % 

4.4×10−3 

8.8×10−3 

4.4×10−2 

99 % 

4.8×10−4 

9.6×10−4 

4.8×10−3 

1oo2D 

(注記3 

参照) 

 0 % 1.1×10−3 2.7×10−3 4.8×10−3 3.4×10−3 6.6×10−3 1.1×10−2 6.7×10−2 7.7×10−2 9.0×10−2 

60 % 3.8×10−4 1.1×10−4 1.9×10−3 9.6×10−4 2.3×10−3 4.0×10−3 1.3×10−3 1.9×10−2 2.6×10−2 

90 % 9.0×10−5 2.6×10−4 4.8×10−4 1.9×10−5 5.4×10−4 9.8×10−4 1.5×10−4 3.2×10−3 5.3×10−3 

99 % 9.6×10−6 2.7×10−5 4.9×10−5 1.9×10−6 5.4×10−5 9.8×10−5 1.0×10−5 2.8×10−4 5.0×10−4 

background image

35 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.4−プルーフテスト間隔が2年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率(続き) 

アーキ 

テクチャ 

DC 

λD=0.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 2.3×10−3 3.7×10−3 5.6×10−3 8.3×10−3 1.1×10−2 1.4×10−2 1.9×10−1 1.8×10−1 1.7×10−1 

60 % 4.8×10−4 1.1×10−3 2.0×10−3 1.6×10−3 2.8×10−3 4.4×10−3 3.2×10−2 3.5×10−2 4.0×10−2 

90 % 6.3×10−5 2.4×10−4 4.6×10−4 1.6×10−4 5.1×10−4 9.4×10−4 2.4×10−3 4.0×10−3 6.0×10−3 

99 % 4.8×10−6 2.3×10−5 4.6×10−5 1.0×10−6 4.7×10−5 9.2×10−5 6.9×10−5 2.5×10−4 4.8×10−4 

1oo3 

 0 % 4.6×10−3 2.2×10−3 4.4×10−3 1.0×10−3 4.5×10−2 8.9×10−2 2.4×10−1 3.7×10−1 5.5×10−1 

60 % 1.8×10−4 8.8×10−3 1.8×10−3 3.6×10−3 1.8×10−3 3.5×10−3 3.1×10−2 9.9×10−2 1.8×10−2 

90 % 4.4×10−5 2.2×10−4 4.4×10−4 8.8×10−4 4.4×10−4 8.8×10−4 4.6×10−3 2.2×10−3 4.4×10−3 

99 % 4.6×10−6 2.3×10−5 4.6×10−5 9.2×10−6 4.6×10−5 9.2×10−5 4.6×10−5 2.3×10−4 4.6×10−4 

注記1 この表は,B.3.2の式を用いて,B.3.1の仮定に基づいて算出した,PFDGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一の票決回路のチャネルで構成している場合,PFDGは,それ
ぞれ,PFDS,PFDL又はPFDFEに等しい(B.3.2.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

表B.5−プルーフテスト間隔が10年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.2×10−3 

1.1×10−2 

2.2×10−2 

60 % 

8.8×10−4 

4.4×10−3 

8.8×10−3 

90 % 

2.2×10−4 

1.1×10−3 

2.2×10−3 

99 % 

2.2×10−5 

1.1×10−4 

2.2×10−4 

1oo2 

 0 % 5.0×10−5 2.2×10−4 4.4×10−4 3.7×10−4 1.2×10−3 2.3×10−3 1.1×10−3 2.7×10−3 4.8×10−3 

60 % 1.9×10−5 8.9×10−5 1.8×10−4 1.1×10−4 4.6×10−4 9.0×10−4 2.7×10−4 9.6×10−4 1.8×10−3 

90 % 4.4×10−6 2.2×10−5 4.4×10−5 2.3×10−5 1.1×10−4 2.2×10−4 5.0×10−5 2.2×10−4 4.4×10−4 

99 % 4.4×10−7 2.2×10−6 4.4×10−6 2.2×10−6 1.1×10−5 2.2×10−5 4.5×10−6 2.2×10−5 4.4×10−5 

2oo2 

(注記2 

参照) 

 0 % 

4.4×10−3 

2.2×10−2 

4.4×10−2 

60 % 

1.8×10−3 

8.8×10−3 

1.8×10−2 

90 % 

4.4×10−4 

2.2×10−3 

4.4×10−3 

99 % 

4.5×10−5 

2.2×10−4 

4.5×10−4 

1oo2D 

(注記3 

参照) 

 0 % 5.0×10−5 2.2×10−4 4.4×10−4 3.7×10−4 1.2×10−3 2.3×10−3 1.1×10−3 2.7×10−3 4.8×10−3 

60 % 2.9×10−5 9.9×10−5 1.9×10−4 1.7×10−4 5.1×10−4 9.5×10−4 3.8×10−4 1.1×10−3 1.9×10−3 

90 % 8.4×10−6 2.6×10−5 4.8×10−5 4.3×10−5 1.3×10−4 2.4×10−4 9.0×10−5 2.6×10−4 4.8×10−4 

99 % 8.9×10−7 2.6×10−6 4.8×10−6 4.5×10−6 1.3×10−5 2.4×10−5 8.9×10−6 2.6×10−5 4.8×10−5 

2oo3 

 0 % 6.2×10−5 2.3×10−4 4.5×10−4 6.8×10−4 1.5×10−3 2.5×10−3 2.3×10−3 3.7×10−3 5.6×10−3 

60 % 2.1×10−5 9.0×10−5 1.8×10−4 1.6×10−4 5.0×10−4 9.3×10−4 4.7×10−4 1.1×10−3 2.0×10−3 

90 % 4.6×10−6 2.2×10−5 4.4×10−5 2.7×10−5 1.1×10−4 2.2×10−4 6.3×10−5 2.4×10−4 4.5×10−4 

99 % 4.4×10−7 2.2×10−6 4.4×10−6 2.3×10−6 1.1×10−5 2.2×10−5 4.6×10−6 2.2×10−5 4.4×10−5 

background image

36 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.5−プルーフテスト間隔が10年間及び平均修復時間が8時間の場合の 

作動要求時の機能失敗平均確率(続き) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo3 

 0 % 4.4×10−5 2.2×10−4 4.4×10−4 2.2×10−4 1.1×10−3 2.2×10−3 4.6×10−4 2.2×10−3 4.4×10−3 

60 % 1.8×10−5 8.8×10−5 1.8×10−4 8.8×10−5 4.4×10−4 8.8×10−4 1.8×10−4 8.8×10−4 1.8×10−3 

90 % 4.4×10−6 2.2×10−5 4.4×10−5 2.2×10−5 1.1×10−4 2.2×10−4 4.4×10−5 2.2×10−4 4.4×10−4 

99 % 4.4×10−7 2.2×10−6 4.4×10−6 2.2×10−6 1.1×10−5 2.2×10−5 4.4×10−6 2.2×10−5 4.4×10−5 

 アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

>1×10−1 

>1×10−1 

>1×10−1 

60 % 

4.4×10−2 

8.8×10−2 

>1×10−1 

90 % 

1.1×10−2 

2.2×10−2 

>1×10−1 

99 % 

1.1×10−3 

2.2×10−3 

1.1×10−2 

1oo2 

 0 % 1.8×10−2 2.4×10−2 3.2×10−2 6.6×10−2 7.4×10−2 8.5×10−2 >1×10−1 >1×10−1 >1×10−1 

60 % 3.4×10−3 6.6×10−3 1.1×10−2 1.2×10−2 1.8×10−2 2.5×10−2 >1×10−1 >1×10−1 >1×10−1 

90 % 3.8×10−4 1.2×10−3 2.3×10−3 1.1×10−3 2.8×10−3 4.9×10−3 1.8×10−2 2.5×10−2 3.5×10−2 

99 % 2.4×10−5 1.1×10−4 2.2×10−4 5.1×10−5 2.3×10−4 4.5×10−4 3.8×10−4 1.3×10−3 2.3×10−3 

2oo2 

(注記2 

参照) 

 0 % 

>1×10−1 

>1×10−1 

>1×10−1 

60 % 

8.8×10−2 

>1×10−1 

>1×10−1 

90 % 

2.2×10−2 

4.4×10−2 

>1×10−1 

99 % 

2.2×10−3 

4.5×10−3 

2.2×10−2 

1oo2D 

(注記3 

参照) 

 0 % 1.8×10−2 2.5×10−2 3.3×10−2 6.6×10−2 7.7×10−2 9.0×10−2 1.6×10+0 1.5×10+0 1.4×10+0 

60 % 3.9×10−3 7.1×10−3 1.1×10−3 1.3×10−3 1.9×10−2 2.6×10−2 2.6×10−2 2.7×10−1 2.8×10−1 

90 % 5.7×10−4 1.4×10−3 2.5×10−3 1.5×10−4 3.1×10−3 5.2×10−3 2.0×10−3 2.7×10−2 3.5×10−2 

99 % 4.6×10−5 1.3×10−4 2.4×10−4 9.5×10−5 2.7×10−4 4.9×10−4 6.0×10−4 1.5×10−3 2.5×10−3 

2oo3 

 0 % 4.8×10−2 5.0×10−2 5.3×10−2 1.9×10−1 1.8×10−1 1.7×10−1 4.6×10+0 4.0×10+0 3.3×10+0 

60 % 8.3×10−3 1.1×10−2 1.4×10−2 3.2×10−2 3.5×10−2 4.0×10−2 7.6×10−1 7.1×10−1 6.6×10−1 

90 % 6.9×10−4 1.5×10−3 2.6×10−3 2.3×10−3 3.9×10−3 5.9×10−3 4.9×10−2 5.4×10−2 6.0×10−2 

99 % 2.7×10−5 1.2×10−4 2.3×10−4 6.4×10−5 2.4×10−4 4.6×10−4 7.1×10−4 1.6×10−3 2.6×10−3 

1oo3 

 0 % 4.7×10−3 1.3×10−2 2.3×10−2 2.4×10−2 3.7×10−2 5.5×10−2 2.5×10+0 2.0×10+0 1.6×10+0 

60 % 1.0×10−3 4.5×10−3 8.9×10−3 3.0×10−3 9.8×10−3 1.8×10−2 1.7×10−1 1.8×10−1 1.9×10−1 

90 % 2.2×10−4 1.1×10−3 2.2×10−3 4.6×10−4 2.2×10−3 4.4×10−3 4.8×10−3 1.3×10−2 2.4×10−2 

99 % 2.2×10−5 1.1×10−4 2.2×10−4 4.4×10−5 2.2×10−4 4.4×10−4 2.2×10−4 1.1×10−3 2.2×10−3 

注記1 この表は,B.3.2の式を用いて,B.3.1の仮定に基づいて算出した,PFDGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一の票決回路のチャネルで構成している場合,PFDGは,それ
ぞれ,PFDS,PFDL又はPFDFEに等しい(B.3.2.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

B.3.2.4 低頻度作動要求モードの例 

ここでは,SIL 2システムを必要とする安全機能を考察する。システムアーキテクチャの初期評価は,従

来の方法に基づく場合,一つのグループを構成する三つのアナログ圧力センサに対する多数決決定が2oo3

によるものであると仮定する。論理サブシステムは,一つの閉止弁及び一つのベント弁を駆動する1oo2D

background image

37 

C 0508-6:2019 (IEC 61508-6:2010) 

構成の冗長性をもつPE系とする。安全機能を実現するためには,閉止弁及びベント弁の両方の作動が必

要である。このアーキテクチャを,図B.14に示す。この初期評価では,プルーフテスト期間を1年間と仮

定する。 

図B.14−低頻度作動要求モードのアーキテクチャの例 

表B.6−低頻度作動要求モードの例におけるセンササブシステムの作動要求時の機能失敗平均確率 

(プルーフテスト間隔が1年間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=2.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 

6.8×10−4 

1.5×10−3 

2.5×10−3 

60 % 

1.6×10−4 

5.1×10−4 

9.4×10−4 

90 % 

2.7×10−5 

1.2×10−4 

2.3×10−4 

99 % 

2.5×10−6 

1.2×10−5 

2.4×10−5 

注記 この表は,表B.3からの抜粋である。 

センササブシステム 

論理サブシステム 

電子式インタ

フェース 

操作端サブシステム 

電子式インタ

フェース 

電子式インタ

フェース 

電子式インタ

フェース 

電子式インタ

フェース 

ベント 

弁 

多数決決定= 1oo1 

閉止 

弁 

多数決決定は,1oo1による。 

論理多数決決定は,1oo2Dによる。 

センサ多数決決定は,2oo3による。 

background image

38 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.7−低頻度作動要求モードの例における論理サブシステムの作動要求時の機能失敗平均確率 

(プルーフテスト間隔が1年間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=2.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 

6.8×10−4 

1.5×10−3 

2.5×10−3 

60 % 

1.6×10−4 

5.1×10−4 

9.4×10−4 

90 % 

2.7×10−5 

1.2×10−4 

2.3×10−4 

99 % 

2.5×10−6 

1.2×10−5 

2.4×10−5 

注記 この表は,表B.3からの抜粋である。 

表B.8−低頻度作動要求モードの例における操作端サブシステムの作動要求時の機能失敗平均確率 

(プルーフテスト間隔が1年間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

1oo1 

 0 % 

1.1×10−2 

2.2×10−2 

60 % 

4.4×10−3 

8.8×10−3 

90 % 

1.1×10−3 

2.2×10−3 

99 % 

1.3×10−4 

2.6×10−4 

注記 この表は,表B.3からの抜粋である。 

表B.6〜表B.8から,各サブシステムのPFDとして,次の値を得ることができる。 

センササブシステム: 

PFDS 

= 

2.3×10−4 

論理サブシステム: 

PFDL 

= 

4.8×10−6 

操作端サブシステム: 

PFDFE 

= 

4.4×10−3+8.8×10−3 

= 

1.3×10−2 

したがって,この安全機能のPFDは次の値となり,“SIL 1(安全度水準1)”であることが分かる。 

PFDSYS 

= 

2.3×10−4+4.8×10−6+1.3×10−2 

= 

1.3×10−2 

≡ 

SIL 1 

システムがSIL 2を満たすように改善するためには,次のa) 又はb) のいずれかで達成できる。 

a) プルーフテスト間隔を,6か月に変更する。 

PFDS 

= 

1.1×10−4 

PFDL 

= 

2.6×10−6 

PFDFE 

= 

2.2×10−3+4.4×10−3 

= 

6.6×10−3 

PFDSYS 

= 

6.7×10−3 

≡ 

SIL 2 

b) 閉止弁を1oo1(信頼性の低い出力装置)から1oo2(β=10 %及びβD=5 %と仮定する。)へ変更する。 

PFDS 

= 

2.3×10−4 

background image

39 

C 0508-6:2019 (IEC 61508-6:2010) 

PFDL 

= 

4.8×10−6 

PFDFE 

= 

4.4×10−3+9.7×10−4 

= 

5.4×10−3 

PFDSYS 

= 

5.6×10−3 

≡ 

SIL 2 

B.3.2.5 不完全なプルーフテストの影響 

自己診断テストでもプルーフテストでも検出できない安全関連系のフォールトは,安全機能の作動を必

要とする危険事象の発生,機器のオーバホール中など,他の方法によって見つかることがある。フォール

トがこのような方法でも検出できない場合,フォールトは機器の寿命期間にわたって残存すると推定する

のがよい。通常のプルーフテスト間隔T1の考察に当たっては,プルーフテストを実施したときに検出する

フォールトの割合をPTC(プルーフテストカバー率)とし,プルーフテストを実施しても検出できないフ

ォールトの割合を,1−PTCとする。プルーフテストでは検出できない,後者のフォールトは,作動要求

間隔T2において安全関連系に作動要求があった場合にだけ明らかになる。したがって,ダウン時間は,プ

ルーフテスト間隔(T1)及び作動要求間隔(T2)によって決定される。 

1oo2アーキテクチャの場合の例を,次に示す。T2は,システムに対する各作動要求の間の時間である。 

(

)

(

)

MTTR

MRT

T

PTC

MRT

T

PTC

t

D

DD

2

D

DU

1

D

DU

CE

2

1

2

λ

λ

λ

λ

λ

λ

+

+

+

+

=

(

)

(

)

MTTR

MRT

T

PTC

MRT

T

PTC

t

D

DD

2

D

DU

1

D

DU

GE

3

1

3

λ

λ

λ

λ

λ

λ

+

+

+

+

=

(

)

(

)

[

]

(

)

(

)

+

+

+

+

+

+

=

MRT

T

PTC

MRT

T

PTC

MTTR

t

t

PFD

2

1

2

1

1

2

2

DU

1

DU

DD

D

GE

CE

2

DU

DD

D

G

βλ

βλ

λ

β

λ

β

λ

β

作動要求間隔T2を10年間と仮定した,プルーフテスト間隔T1が1年間の100 %プルーフテストをもつ

1oo2系について,90 %プルーフテストと比較したテスト結果を,表B.9に数値で示す。この数値は,1時

間当たりの故障率を0.5×10−5,β値を10 %,及びβD値を5 %と仮定して算出している。 

表B.9−不完全プルーフテストの例 

アーキテクチャ 

DC 

λD=0.5×10−5 

100 %プルーフテスト 

90 %プルーフテスト 

β=10 % 
βD=5 % 

β=10 % 
βD=5 % 

1oo2 

 0 % 

2.7×10−3 

6.0×10−3 

60 % 

9.7×10−4 

2.0×10−3 

90 % 

2.3×10−4 

4.4×10−4 

99 % 

2.4×10−5 

4.4×10−5 

B.3.3 単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モードの場合) 

B.3.3.1 計算手順 

高頻度作動要求モード又は連続モードで動作するE/E/PE安全関連系の安全機能の故障確率の計算方法

40 

C 0508-6:2019 (IEC 61508-6:2010) 

  

は,作動要求時の機能失敗平均確率(PFDSYS)を単位時間当たりの時間平均危険側故障頻度(PFHSYS)と

置き換えるという点を除いて,低頻度作動要求モードの場合の計算方法(B.2.2参照)と同じである。 

E/E/PE安全関連系における安全機能の危険側故障の全体の確率である,PFHSYSは,安全機能を提供する

全てのサブシステムの危険側故障率を算出し,これらの算出値を合計することによって決まる。ただし,

この附属書では確率が低いサブシステムがあるため,PFHSYSは次の式によって表すことができる。 

FE

L

S

SYS

PFH

PFH

PFH

PFH

+

+

=

ここに, 

PFHSYS: E/E/PE安全関連系の安全機能の単位時間当たりの時間

平均危険側故障頻度 

PFHS: センササブシステムの単位時間当たりの時間平均危険

側故障頻度 

PFHL: 論理サブシステムの単位時間当たりの時間平均危険側

故障頻度 

PFHFE: 操作端サブシステムの単位時間当たりの時間平均危険

側故障頻度 

B.3.3.2 高頻度作動要求モード又は連続モードの場合のアーキテクチャ 

注記1 各アーキテクチャにとって有効な式を初出のときだけ示すため,この細分箇条は順に読み進

んでいくのがよい。B.3.2.2も参照する。 

注記2 この細分箇条に示す式は,B.3.1に示す仮定に基づいている。 

B.3.3.2.1 1oo1 

図B.4及び図B.5に,対応するブロック図を示す。 

チャネルの危険側故障率λD及びチャネル等価平均ダウン時間tCEを,次の式に示す。 

DD

DU

D

λ

λ

λ

+

=

MTTR

MRT

T

t

D

DD

1

D

DU

CE

2

λ

λ

λ

λ

+

+

=

ここに, 

λDU=λD(1−DC);   λDD=λDDC 

何らかの故障の検出時に,安全関連系がEUCを安全な状態に置くと仮定した場合,このアーキテクチャ

のPFHGは,次の式となる。 

PFHG=λDU 

B.3.3.2.2 1oo2 

図B.6及び図B.7に,対応する関連ブロック図を示す。tCEの値は,B.3.3.2.1に示すとおりである。両チ

ャネルにおいて故障を検出した場合,安全関連系がEUCを安全な状態に置くと仮定し,安全側のアプロー

チを取ったとき,このアーキテクチャのPFHGは,次の式となる。 

PFHG=2[(1−βD)λDD+(1−β)λDU] (1−β)λDUtCE+βλDU 

B.3.3.2.3 2oo2 

図B.8及び図B.9に,対応するブロック図を示す。何らかのフォールトの検出時に,各チャネルを安全

な状態に置くと仮定する場合,2oo2アーキテクチャのPFHGは,次の式となる。 

PFHG=2λDU 

B.3.3.2.4 1oo2D 

図B.10及び図B.11に,対応するブロック図を示す。 

このアーキテクチャのλSD,tCE' 及びPFHGは,次の式となる。 

41 

C 0508-6:2019 (IEC 61508-6:2010) 

DC

2

SD

λ

λ=

(

)

SD

DD

DU

SD

DD

1

DU

CE

2

λ

λ

λ

λ

λ

λ

+

+

+

+

+

=

MTTR

MRT

T

'

t

(

)

(

)

(

)

[

]

(

)

DU

DD

CE

SD

DD

D

DU

DU

G

1

2

1

1

1

2

βλ

λ

λ

λ

β

λ

β

λ

β

+

+

+

+

=

K

'

t

PFH

B.3.3.2.5 2oo3 

図B.12及び図B.13に,対応するブロック図を示す。tCEの値は,B.3.3.2.1に示すとおりである。いずれ

か二つのチャネルで故障を検出した場合,安全関連系がEUCを安全な状態に置くと仮定し,安全側のアプ

ローチを取ったとき,このアーキテクチャのPFHGは,次の式となる。 

(

)

(

)

[

](

)

DU

CE

DU

DU

DD

D

G

1

1

1

6

βλ

λ

β

λ

β

λ

β

+

+

=

t

PFH

B.3.3.2.6 1oo3 

図B.12及び図B.13に,対応するブロック図を示す。tCE及びtGEの値は,それぞれB.3.3.2.1及びB.3.2.2.2

に示すとおりである。三つのチャネルにおいて故障を検出した場合,安全関連系がEUCを安全な状態にお

くと仮定し,安全側のアプローチを取ったとき,このアーキテクチャのPFHGは,次の式となる。 

(

)

(

)

[

](

)

DU

GE

CE

DU

2

DU

DD

D

G

1

1

1

6

βλ

λ

β

λ

β

λ

β

+

+

=

t

t

PFH

background image

42 

C 0508-6:2019 (IEC 61508-6:2010) 

  

B.3.3.3 高頻度作動要求モード又は連続モードの詳細表 

表B.10−プルーフテスト間隔が1か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

5.0×10−8 

2.5×10−7 

5.0×10−7 

60 % 

2.0×10−8 

1.0×10−7 

2.0×10−7 

90 % 

5.0×10−9 

2.5×10−8 

5.0×10−8 

99 % 

5.0×10−10 

2.5×10−9 

5.0×10−9 

1oo2 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.0×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

2oo2 

(注記2 

参照) 

 0 % 

1.0×10−7 

5.0×10−7 

1.0×10−6 

60 % 

4.0×10−8 

2.0×10−7 

4.0×10−7 

90 % 

1.0×10−8 

5.0×10−8 

1.0×10−7 

99 % 

1.0×10−9 

5.0×10−9 

1.0×10−8 

1oo2D 

(注記3 

参照) 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 1.6×10−9 3.2×10−9 5.2×10−9 8.0×10−9 1.6×10−8 2.6×10−8 1.6×10−8 3.2×10−8 5.2×10−8 

90 % 1.9×10−9 2.3×10−9 2.8×10−9 9.5×10−9 1.2×10−8 1.4×10−8 1.9×10−8 2.3×10−8 2.8×10−8 

99 % 2.0×10−9 2.0×10−9 2.1×10−9 1.0×10−8 1.0×10−8 1.0×10−8 2.0×10−8 2.0×10−8 2.1×10−8 

2oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.1×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.1×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

1oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.0×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.5×10−6 

5.0×10−6 

2.5×10−5 

60 % 

1.0×10−6 

2.0×10−6 

1.0×10−5 

90 % 

2.5×10−7 

5.0×10−7 

2.5×10−6 

99 % 

2.5×10−8 

5.0×10−8 

2.5×10−7 

1oo2 

 0 % 5.4×10−8 2.5×10−7 5.0×10−7 1.2×10−7 5.2×10−7 1.0×10−6 9.5×10−7 2.9×10−6 5.3×10−6 

60 % 2.1×10−8 1.0×10−7 2.0×10−7 4.3×10−8 2.0×10−7 4.0×10−7 2.7×10−7 1.1×10−6 2.1×10−6 

90 % 5.1×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 5.5×10−8 2.5×10−7 5.0×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.1×10−9 2.5×10−8 5.0×10−8 

2oo2 

(注記2 

参照) 

 0 % 

5.0×10−6 

1.0×10−5 

5.0×10−5 

60 % 

2.0×10−6 

4.0×10−6 

2.0×10−5 

90 % 

5.0×10−7 

1.0×10−6 

5.0×10−6 

99 % 

5.0×10−8 

1.0×10−7 

5.0×10−7 

background image

43 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.10−プルーフテスト間隔が1か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード)(続き) 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo2D 

(注記3 

参照) 

 0 % 5.4×10−8 2.5×10−7 5.0×10−7 1.2×10−7 5.2×10−7 1.0×10−6 9.5×10−7 2.9×10−6 5.3×10−6 

60 % 8.1×10−8 1.6×10−7 2.6×10−7 1.6×10−7 3.2×10−7 5.2×10−7 8.7×10−7 1.7×10−6 2.7×10−6 

90 % 9.5×10−8 1.2×10−7 1.4×10−7 1.9×10−7 2.3×10−7 2.8×10−7 9.6×10−7 1.2×10−6 1.4×10−6 

99 % 1.0×10−7 1.0×10−7 1.0×10−7 2.0×10−7 2.0×10−7 2.1×10−7 1.0×10−6 1.0×10−6 1.0×10−6 

2oo3 

 0 % 6.3×10−8 2.6×10−7 5.1×10−7 1.5×10−7 5.5×10−7 1.0×10−6 1.8×10−6 3.6×10−6 5.9×10−6 

60 % 2.2×10−8 1.0×10−7 2.0×10−7 4.9×10−8 2.1×10−7 4.1×10−7 4.2×10−7 1.2×10−6 2.2×10−6 

90 % 5.2×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.1×10−8 1.0×10−7 6.6×10−8 2.6×10−7 5.1×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.4×10−9 2.5×10−8 5.0×10−8 

1oo3 

 0 % 5.0×10−8 2.5×10−7 5.0×10−7 1.0×10−7 5.0×10−7 1.0×10−6 5.1×10−7 2.5×10−6 5.0×10−6 

60 % 2.0×10−8 1.0×10−7 2.0×10−7 4.0×10−8 2.0×10−7 4.0×10−7 2.0×10−7 1.0×10−6 2.0×10−6 

90 % 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 5.0×10−8 2.5×10−7 5.0×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 

注記1 この表は,B.3.3の式を用いて,B.3.1の仮定に基づいて算出した,PFHGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一のグループの多数決回路のチャネルで構成している場合,

PFHGは,それぞれ,PFHS,PFHL又はPFHFEに等しい(B.3.3.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

表B.11−プルーフテスト間隔が3か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

5.0×10−8 

2.5×10−7 

5.0×10−7 

60 % 

2.0×10−8 

1.0×10−7 

2.0×10−7 

90 % 

5.0×10−9 

2.5×10−8 

5.0×10−8 

99 % 

5.0×10−10 

2.5×10−9 

5.0×10−9 

1oo2 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.1×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.1×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

2oo2 

(注記2 

参照) 

 0 % 

1.0×10−7 

5.0×10−7 

1.0×10−6 

60 % 

4.0×10−8 

2.0×10−7 

4.0×10−7 

90 % 

1.0×10−8 

5.0×10−8 

1.0×10−7 

99 % 

1.0×10−9 

5.0×10−9 

1.0×10−8 

1oo2D 

(注記3 

参照) 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.1×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.0×10−8 1.0×10−7 

60 % 1.6×10−9 3.2×10−9 5.2×10−9 8.0×10−9 1.6×10−8 2.6×10−8 1.6×10−8 3.2×10−8 5.2×10−8 

90 % 1.9×10−9 2.3×10−9 2.8×10−9 9.5×10−9 1.2×10−8 1.4×10−8 1.9×10−8 2.3×10−8 2.8×10−8 

99 % 2.0×10−9 2.0×10−9 2.1×10−9 1.0×10−8 1.0×10−8 1.0×10−8 2.0×10−8 2.0×10−8 2.1×10−8 

background image

44 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.11−プルーフテスト間隔が3か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード)(続き) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.4×10−9 2.5×10−8 5.0×10−8 1.2×10−8 5.1×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.1×10−9 1.0×10−8 2.0×10−8 4.3×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

1oo3 

 0 % 

1.0×10 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.0×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.5×10−6 

5.0×10−6 

2.5×10−5 

60 % 

1.0×10−6 

2.0×10−6 

1.0×10−5 

90 % 

2.5×10−7 

5.0×10−7 

2.5×10−6 

99 % 

2.5×10−8 

5.0×10−8 

2.5×10−7 

1oo2 

 0 % 6.3×10−8 2.6×10−7 5.1×10−7 1.5×10−7 5.4×10−7 1.0×10−6 1.8×10−6 3.6×10−6 5.9×10−6 

60 % 2.2×10−8 1.0×10−7 2.0×10−7 4.9×10−8 2.1×10−7 4.1×10−7 4.2×10−7 1.2×10−6 2.2×10−6 

90 % 5.1×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.0×10−8 1.0×10−7 6.4×10−8 2.6×10−7 5.1×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.2×10−9 2.5×10−8 5.0×10−8 

2oo2 

(注記2 

参照) 

 0 % 

5.0×10−6 

1.0×10−5 

5.0×10−5 

60 % 

2.0×10−6 

4.0×10−6 

2.0×10−5 

90 % 

5.0×10−7 

1.0×10−6 

5.0×10−6 

99 % 

5.0×10−8 

1.0×10−7 

5.0×10−7 

1oo2D 

(注記3 

参照) 

 0 % 6.3×10−8 2.6×10−7 5.1×10−7 1.5×10−7 5.4×10−7 1.0×10−6 1.8×10−6 3.6×10−6 5.9×10−6 

60 % 8.2×10−8 1.6×10−7 2.6×10−7 1.7×10−7 3.3×10−7 5.3×10−7 1.0×10−6 1.8×10−6 2.8×10−6 

90 % 9.5×10−8 1.2×10−7 1.4×10−7 1.9×10−7 2.3×10−7 2.8×10−7 9.6×10−7 1.2×10−6 1.4×10−6 

99 % 1.0×10−7 1.0×10−7 1.0×10−7 2.0×10−7 2.0×10−7 2.1×10−7 1.0×10−6 1.0×10−6 1.0×10−6 

2oo3 

 0 % 9.0×10−8 2.8×10−7 5.3×10−7 2.6×10−7 6.3×10−7 1.1×10−6 4.5×10−6 5.9×10−6 7.6×10−6 

60 % 2.6×10−8 1.1×10−7 2.0×10−7 6.6×10−8 2.2×10−7 4.2×10−7 8.5×10−7 1.6×10−6 2.5×10−6 

90 % 5.4×10−9 2.5×10−8 5.0×10−8 1.2×10−8 5.1×10−8 1.0×10−7 9.3×10−8 2.9×10−7 5.3×10−7 

99 % 5.1×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.7×10−9 2.6×10−8 5.1×10−8 

1oo3 

 0 % 5.0×10−8 2.5×10−7 5.0×10−7 1.0×10−7 5.0×10−7 1.0×10−6 5.5×10−7 2.5×10−6 5.0×10−6 

60 % 2.0×10−8 1.0×10−7 2.0×10−7 4.0×10−8 2.0×10−7 4.0×10−7 2.0×10−7 1.0×10−6 2.0×10−6 

90 % 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 5.0×10−8 2.5×10−7 5.0×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 

注記1 この表は,B.3.3の式を用いて,B.3.1の仮定に基づいて算出した,PFHGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一のグループの多数決回路のチャネルで構成している場合,

PFHGは,それぞれ,PFHS,PFHL又はPFHFEに等しい(B.3.3.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

background image

45 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.12−プルーフテスト間隔が6か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

5.0×10−8 

2.5×10−7 

5.0×10−7 

60 % 

2.0×10−8 

1.0×10−7 

2.0×10−7 

90 % 

5.0×10−9 

2.5×10−8 

5.0×10−8 

99 % 

5.0×10−10 

2.5×10−9 

5.0×10−9 

1oo2 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.3×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.1×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.2×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

2oo2 

(注記2 

参照) 

 0 % 

1.0×10−7 

5.0×10−7 

1.0×10−6 

60 % 

4.0×10−8 

2.0×10−7 

4.0×10−7 

90 % 

1.0×10−8 

5.0×10−8 

1.0×10−7 

99 % 

1.0×10−9 

5.0×10−9 

1.0×10−8 

1oo2D 

(注記3 

参照) 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.3×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.1×10−8 1.0×10−7 

60 % 1.6×10−9 3.2×10−9 5.2×10−9 8.0×10−9 1.6×10−8 2.6×10−8 1.6×10−8 3.2×10−8 5.2×10−8 

90 % 1.9×10−9 2.3×10−9 2.8×10−9 9.5×10−9 1.2×10−8 1.4×10−8 1.9×10−8 2.3×10−8 2.8×10−8 

99 % 2.0×10−9 2.0×10−9 2.1×10−9 1.0×10−8 1.0×10−8 1.0×10−8 2.0×10−8 2.0×10−8 2.1×10−8 

2oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.8×10−9 2.6×10−8 5.1×10−8 1.3×10−8 5.3×10−8 1.0×10−7 

60 % 4.1×10−10 2.0×10−9 4.0×10−9 2.1×10−9 1.0×10−8 2.0×10−8 4.5×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.1×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

1oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.0×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.5×10−6 

5.0×10−6 

2.5×10−5 

60 % 

1.0×10−6 

2.0×10−6 

1.0×10−5 

90 % 

2.5×10−7 

5.0×10−7 

2.5×10−6 

99 % 

2.5×10−8 

5.0×10−8 

2.5×10−7 

1oo2 

 0 % 7.6×10−8 2.7×10−7 5.2×10−7 2.1×10−7 5.9×10−7 1.1×10−6 3.1×10−6 4.7×10−6 6.8×10−6 

60 % 2.4×10−8 1.0×10−7 2.0×10−7 5.7×10−8 2.1×10−7 4.1×10−7 6.3×10−7 1.4×10−6 2.3×10−6 

90 % 5.3×10−9 2.5×10−8 5.0×10−8 1.1×10−8 5.1×10−8 1.0×10−7 7.8×10−8 2.7×10−7 5.2×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.4×10−9 2.5×10−8 5.0×10−8 

2oo2 

(注記2 

参照) 

 0 % 

5.0×10−6 

1.0×10−5 

5.0×10−5 

60 % 

2.0×10−6 

4.0×10−6 

2.0×10−5 

90 % 

5.0×10−7 

1.0×10−6 

5.0×10−6 

99 % 

5.0×10−8 

1.0×10−7 

5.0×10−7 

1oo2D 

(注記3 

参照) 

 0 % 7.6×10−8 2.7×10−7 5.2×10−7 2.1×10−7 5.9×10−7 1.1×10−6 3.1×10−6 4.7×10−6 6.8×10−6 

60 % 8.4×10−8 1.6×10−7 2.6×10−7 1.8×10−7 3.3×10−7 5.3×10−7 1.2×10−6 2.0×10−6 2.9×10−6 

90 % 9.5×10−8 1.2×10−7 1.4×10−7 1.9×10−7 2.3×10−7 2.8×10−7 9.8×10−7 1.2×10−6 1.4×10−6 

99 % 1.0×10−7 1.0×10−7 1.0×10−7 2.0×10−7 2.0×10−7 2.1×10−7 1.0×10−6 1.0×10−6 1.0×10−6 

background image

46 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表B.12−プルーフテスト間隔が6か月及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード)(続き) 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 1.3×10−7 3.2×10−7 5.5×10−7 4.2×10−7 7.7×10−7 1.2×10−6 8.4×10−6 9.2×10−6 1.0×10−5 

60 % 3.3×10−8 1.1×10−7 2.1×10−7 9.1×10−8 2.4×10−7 4.4×10−7 1.5×10−6 2.1×10−6 2.9×10−6 

90 % 5.8×10−9 2.6×10−8 5.1×10−8 1.3×10−8 5.3×10−8 1.0×10−7 1.3×10−7 3.2×10−7 5.6×10−7 

99 % 5.1×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 6.1×10−9 2.6×10−8 5.1×10−8 

1oo3 

 0 % 5.0×10−8 2.5×10−7 5.0×10−7 1.0×10−7 5.0×10−7 1.0×10−6 7.1×10−7 2.7×10−6 5.1×10−6 

60 % 2.0×10−8 1.0×10−7 2.0×10−7 4.0×10−8 2.0×10−7 4.0×10−7 2.1×10−7 1.0×10−6 2.0×10−6 

90 % 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 5.0×10−8 2.5×10−7 5.0×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 

注記1 この表は,B.3.3の式を用いて,B.3.1の仮定に基づいて算出した,PFHGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一のグループの多数決回路のチャネルで構成している場合,

PFHGは,それぞれ,PFHS,PFHL又はPFHFEに等しい(B.3.3.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

表B.13−プルーフテスト間隔が1年間及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

5.0×10−8 

2.5×10−7 

5.0×10−7 

60 % 

2.0×10−8 

1.0×10−7 

2.0×10−7 

90 % 

5.0×10−9 

2.5×10−8 

5.0×10−8 

99 % 

5.0×10−10 

2.5×10−9 

5.0×10−9 

1oo2 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.5×10−9 2.5×10−8 5.0×10−8 1.2×10−8 5.2×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.1×10−9 1.0×10−8 2.0×10−8 4.3×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.1×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

2oo2 

(注記2 

参照) 

 0 % 

1.0×10−7 

5.0×10−7 

1.0×10−6 

60 % 

4.0×10−8 

2.0×10−7 

4.0×10−7 

90 % 

1.0×10−8 

5.0×10−8 

1.0×10−7 

99 % 

1.0×10−9 

5.0×10−9 

1.0×10−8 

1oo2D 

(注記3 

参照) 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.5×10−9 2.5×10−8 5.0×10−8 1.2×10−8 5.2×10−8 1.0×10−7 

60 % 1.6×10−9 3.2×10−9 5.2×10−9 8.1×10−9 1.6×10−8 2.6×10−8 1.6×10−8 3.2×10−8 5.2×10−8 

90 % 1.9×10−9 2.3×10−9 2.8×10−9 9.5×10−9 1.2×10−8 1.4×10−8 1.9×10−8 2.3×10−8 2.8×10−8 

99 % 2.0×10−9 2.0×10−9 2.1×10−9 1.0×10−8 1.0×10−8 1.0×10−8 2.0×10−8 2.0×10−8 2.1×10−8 

2oo3 

 0 % 1.1×10−9 5.1×10−9 1.0×10−8 6.6×10−9 2.6×10−8 5.1×10−8 1.6×10−8 5.5×10−8 1.0×10−7 

60 % 4.1×10−10 2.0×10−9 4.0×10−9 2.3×10−9 1.0×10−8 2.0×10−8 5.0×10−9 2.1×10−8 4.1×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.2×10−10 2.5×10−9 5.0×10−9 1.1×10−9 5.1×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

background image

47 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.13−プルーフテスト間隔が1年間及び平均修復時間が8時間の場合の 

単位時間当たりの時間平均危険側故障頻度(高頻度作動要求モード又は連続モード)(続き) 

アーキ 

テクチャ 

DC 

λD=0.5×10−7 

λD=2.5×10−7 

λD=0.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo3 

 0 % 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 

60 % 4.0×10−10 2.0×10−9 4.0×10−9 2.0×10−9 1.0×10−8 2.0×10−8 4.0×10−9 2.0×10−8 4.0×10−8 

90 % 1.0×10−10 5.0×10−10 1.0×10−9 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 

99 % 1.0×10−11 5.0×10−11 1.0×10−10 5.0×10−11 2.5×10−10 5.0×10−10 1.0×10−10 5.0×10−10 1.0×10−9 

アーキ 

テクチャ 

DC 

λD=2.5×10−6 

λD=0.5×10−5 

λD=2.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo1 

(注記2 

参照) 

 0 % 

2.5×10−6 

5.0×10−6 

2.5×10−5 

60 % 

1.0×10−6 

2.0×10−6 

1.0×10−5 

90 % 

2.5×10−7 

5.0×10−7 

2.5×10−6 

99 % 

2.5×10−8 

5.0×10−8 

2.5×10−7 

1oo2 

 0 % 1.0×10−7 2.9×10−7 5.4×10−7 3.1×10−7 6.8×10−7 1.1×10−6 5.8×10−6 6.9×10−6 8.5×10−6 

60 % 2.9×10−8 1.1×10−7 2.1×10−7 7.4×10−8 2.3×10−7 4.2×10−7 1.1×10−6 1.7×10−6 2.6×10−6 

90 % 5.5×10−9 2.5×10−8 5.0×10−8 1.2×10−8 5.2×10−8 1.0×10−7 1.0×10−7 3.0×10−7 5.4×10−7 

99 % 5.1×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.6×10−9 2.6×10−8 5.0×10−8 

2oo2 

(注記2 

参照) 

 0 % 

5.0×10−6 

1.0×10−5 

5.0×10−5 

60 % 

2.0×10−6 

4.0×10−6 

2.0×10−5 

90 % 

5.0×10−7 

1.0×10−6 

5.0×10−6 

99 % 

5.0×10−8 

1.0×10−7 

5.0×10−7 

1oo2D 

(注記3 

参照) 

 0 % 1.0×10−7 2.9×10−7 5.4×10−7 3.1×10−7 6.8×10−7 1.1×10−6 5.8×10−6 6.9×10−6 8.5×10−6 

60 % 8.9×10−8 1.7×10−7 2.7×10−7 1.9×10−7 3.5×10−7 5.4×10−7 1.7×10−6 2.3×10−6 3.2×10−6 

90 % 9.6×10−8 1.2×10−7 1.4×10−7 1.9×10−7 2.3×10−7 2.8×10−7 1.0×10−6 1.2×10−6 1.4×10−6 

99 % 1.0×10−7 1.0×10−7 1.0×10−7 2.0×10−7 2.0×10−7 2.1×10−7 1.0×10−6 1.0×10−6 1.0×10−6 

2oo3 

 0 % 2.1×10−7 3.8×10−7 6.1×10−7 7.3×10−7 1.0×10−6 1.4×10−6 1.6×10−5 1.6×10−5 1.6×10−5 

60 % 4.6×10−8 1.2×10−7 2.2×10−7 1.4×10−7 2.9×10−7 4.7×10−7 2.8×10−6 3.2×10−6 3.8×10−6 

90 % 6.6×10−9 2.6×10−8 5.1×10−8 1.6×10−8 5.6×10−8 1.0×10−7 2.1×10−7 3.9×10−7 6.2×10−7 

99 % 5.2×10−10 2.5×10−9 5.0×10−9 1.1×10−9 5.1×10−9 1.0×10−8 6.9×10−9 2.7×10−8 5.1×10−8 

1oo3 

 0 % 5.1×10−8 2.5×10−7 5.0×10−7 1.1×10−7 5.1×10−7 1.0×10−6 1.4×10−6 3.2×10−6 5.5×10−6 

60 % 2.0×10−8 1.0×10−7 2.0×10−7 4.0×10−8 2.0×10−7 4.0×10−7 2.6×10−7 1.0×10−6 2.0×10−6 

90 % 5.0×10−9 2.5×10−8 5.0×10−8 1.0×10−8 5.0×10−8 1.0×10−7 5.1×10−8 2.5×10−7 5.0×10−7 

99 % 5.0×10−10 2.5×10−9 5.0×10−9 1.0×10−9 5.0×10−9 1.0×10−8 5.0×10−9 2.5×10−8 5.0×10−8 

注記1 この表は,B.3.3の式を用いて,B.3.1の仮定に基づいて算出した,PFHGの値の例を示すものである。セン

サ,論理又は操作端の各サブシステムを,単一のグループの多数決回路のチャネルで構成している場合,

PFHGは,それぞれ,PFHS,PFHL又はPFHFEに等しい(B.3.3.1参照)。 

注記2 この表では,β=2×βDと仮定している。1oo1及び2oo2のアーキテクチャの場合,β及びβDの値は,単位

時間当たりの時間平均危険側故障頻度に影響しない。 

注記3 安全側故障率は,危険側故障率に等しいと仮定している。また,K=0.98と仮定している。 

B.3.3.4 高頻度作動要求モード又は連続モードの例 

ここでは,SIL 2システムを必要とする安全機能を考察する。システムアーキテクチャの初期評価は,従

来の方法に基づく場合,一つのグループを構成する二つのセンサに対する多数決決定が1oo2によるもので

あると仮定する。論理サブシステムは,一つの遮断接触器を駆動する2oo3構成の冗長性をもつPE系とす

background image

48 

C 0508-6:2019 (IEC 61508-6:2010) 

  

る。このアーキテクチャを,図B.15に示す。この初期評価では,プルーフテスト期間を6か月間と仮定す

る。 

注記 ここでは,操作端サブシステムは,全体の60 %以上の安全側故障割合をもつと仮定する。 

図B.15−高頻度作動要求モード又は連続モードの場合のアーキテクチャの例 

表B.14−高頻度作動要求モード又は連続モードの例におけるセンササブシステムの単位時間当たりの 

時間平均危険側故障頻度 

(プルーフテスト間隔が6か月間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=2.5×10−6 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

1oo2 

 0 % 

7.6×10−8 

2.7×10−7 

5.2×10−7 

60 % 

2.4×10−8 

1.0×10−7 

2.0×10−7 

90 % 

5.3×10−9 

2.5×10−8 

5.0×10−8 

99 % 

5.0×10−10 

2.5×10−9 

5.0×10−9 

注記 この表は,表B.12からの抜粋である。 

センササブシステム 

電子式インタ

フェース 

電子式インタ

フェース 

電子式インタ

フェース 

接触器 

多数決決定は,1oo1による。 

注記参照 

多数決決定は,1oo2による。 

多数決決定は,2oo3による。 

論理サブシステム 

操作端 

サブシステム 

background image

49 

C 0508-6:2019 (IEC 61508-6:2010) 

表B.15−高頻度作動要求モード又は連続モードの例における論理サブシステムの単位時間当たりの 

時間平均危険側故障頻度 

(プルーフテスト間隔が6か月間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=0.5×10−5 

β=2 % 

βD=1 % 

β=10 % 
βD=5 % 

β=20 % 

βD=10 % 

2oo3 

 0 % 

4.2×10−7 

7.7×10−7 

1.2×10−6 

60 % 

9.1×10−8 

2.4×10−7 

4.4×10−7 

90 % 

1.3×10−8 

5.3×10−8 

1.0×10−7 

99 % 

1.0×10−9 

5.0×10−9 

1.0×10−8 

注記 この表は,表B.12からの抜粋である。 

表B.16−高頻度作動要求モード又は連続モードの例における操作端サブシステムの単位時間当たりの 

時間平均危険側故障頻度 

(プルーフテスト間隔が6か月間及び平均修復時間が8時間の場合) 

アーキテクチャ 

DC 

λD=0.5×10−6 

1oo1 

 0 % 

5.0×10−7 

60 % 

2.0×10−7 

90 % 

5.0×10−8 

99 % 

5.0×10−9 

注記 この表は,表B.12からの抜粋である。 

表B.14〜表B.16から各サブシステムのPFHとして,次の三つの値を得ることができる。 

センササブシステム: 

PFHS 

= 

5.2×10−7(/h) 

論理サブシステム: 

PFHL 

= 

1.0×10−9(/h) 

操作端サブシステム: 

PFHFE 

= 

5.0×10−7(/h) 

したがって,この安全機能のPFHは次の値となり,“SIL 1(安全度水準1)”であることが分かる。 

PFHSYS 

= 

5.2×10−7+1.0×10−9+5.0×10−7 

= 

1.02×10−6/h 

≡ 

SIL 1 

システムがSIL 2を満たすように改善するためには,次のa) 又はb) のいずれかで達成できる。 

a) 入力センサタイプ及び取付方法を変更して,CCFに対する防護を強化する。これによって,βが20 %

から10 %に,βDが10 %から5 %に改善する。 

PFHS 

= 

2.7×10−7(/h) 

PFHL 

= 

1.0×10−9(/h) 

PFHFE 

= 

5.0×10−7(/h) 

PFHSYS 

= 

7.7×10−7(/h) 

≡ 

SIL 2 

b) 出力装置を1台から2台に変更し,1oo2構成とする(β=10 %及びβD=5 %)。 

background image

50 

C 0508-6:2019 (IEC 61508-6:2010) 

  

PFHS 

= 

5.2×10−7(/h) 

PFHL 

= 

1.0×10−9(/h) 

PFHFE 

= 

5.1×10−8(/h) 

PFHSYS 

= 

5.7×10−7(/h) 

≡ 

SIL 2 

B.4 

ブールによるアプローチ 

B.4.1 一般 

ブールによるアプローチには,個々の構成部品の故障を全体のシステム故障に結び付ける論理関数を表

現する技法が含まれる。信頼性分野で用いる主なブールモデルは,RBD,FT,事象の木及び因果図である。

ここでは,RBD及びFTだけを考察する。これらのモデル技法は,システムの論理的構造を示すために用

いるが,時間経過に伴うシステムの挙動は含まれない。したがって,計算を実施するとき,挙動の特徴(例 

定期プルーフテストなどの時間依存の特徴)を考慮する場合には注意を要する。ブールモデルを用いるた

めの最初のアプローチは,ブール計算から図式表現を抽出することである。このことは,B.3に示したと

おり,RBDを用いて,構造をモデリングし用い,さらに,PFD又はPFHを評価するためにマルコフ計算

を用いている。この箇条では,RBD及びFTに関する確率計算について,詳細に考察する。 

なお,このアプローチは,合理的に互いに独立して動作する構成部品に限定して用いる。 

B.4.2 RBD(信頼性ブロック図)モデル 

RBDの多くの例は,B.3に示しており,図B.1では,例として1oo3で動作する三つのセンサ(A,B及

びC),一つのロジック解析機(D),及び1oo2で動作する二つの操作端(E及びF)で構成される安全ル

ープ全体を示している。 

図B.16−2oo3論理として組み込んだセンサをもつ単純ループ全体のRBD(信頼性ブロック図) 

図B.16は,2oo3で動作するセンサをもつ類似のループを示している。このような図式表現の主な利点

は,次の3点である。 

− 対象とするシステムの物理的構造に非常に近い。 

− 技術者に幅広く用いられている。 

− 議論のための充実した支援となる。 

主な欠点は,RBDは解析方法そのものというよりも,表現方法であるということである。 

RBDの詳細については,JIS C 0508-7のC.6.4及びIEC 61078を参照する。 

B.4.3 FT(フォールトの木)モデル 

FTはRBDと全く同じ特性をもつが,それに加えて有効な演えき(繹)的(トップダウン)解析法を構

background image

51 

C 0508-6:2019 (IEC 61508-6:2010) 

成し,信頼性技術者がトップ事象(好ましくない事象又は望ましくない事象)から,個々の構成部品の故

障までのモデルを着実に展開する手助けとなる。 

図B.17−図B.1に示すRBD(信頼性ブロック図)と同等の単純なFT(フォールトの木) 

図B.17に示すFTは,図B.1に示すRBDと完全に同一のモデルを示しているが,更にトップダウン解

析の手順も示している(例 上から,E/E/PE安全関連系故障,センササブシステム故障,センサA故障の

順)。FTにおいては,直列の要素は“ORゲート”によって連結し,並列(すなわち,冗長)の要素は“AND

ゲート”によって連結している。 

FTの詳細については,JIS C 0508-7のB.6.6.5及びB.6.6.9,並びにJIS C 5750-4-4を参照する。 

B.4.4 PFD計算 

B.4.4.1 一般概要 

RBD及びFTは完全に同一の同じモデルを示しているため,計算も完全に同一の方法で取り扱うことが

できる。図B.18に,主な計算原理を示すために用いる小規模で同等なRBD及びFTを示す。 

注記 この図の中では,イタリック体の文字は故障項目を,イタリック体以外の文字は動作項目を表す。 

図B.18−RBD(信頼性ブロック図)及びFT(フォールトの木)の同等性 

図B.18のFTは,Sfをシステムの故障,並びにD,E及びFを個々の構成部品の故障としたときの,論

理関数Sf=D∪(E∩F) を表している。また,図B.18のRBDは,Swをシステムの良好な機能動作,並び

にD,E及びFを個々の構成部品の良好な機能動作としたときの,論理関数Sw=D∩(E∪F) を表している。

したがって,Sf=NOT Swであり,Sf及びSwは同じ情報(すなわち,論理関数及びこれに対応する双対関

数)を表している。 

SISの故障 

G1 

トップ事象 

(好ましくない 

事象) 

センサ故障 

G2 

ロジック 

ソルバ 

G3 

操作端 

故障 

センサA 

センサC 

操作端F 

操作端E 

センサB 

中間事象 

基本 
事象 

ORゲート 

AND 

ゲート 

トップダウン 

解析 

52 

C 0508-6:2019 (IEC 61508-6:2010) 

  

RBD及びFTの主な用途は,全体のシステム故障を引き起こす様々な構成部品の故障の組合せを特定す

ることである。これらの図は,入力から送られる信号が出力に到達しなくなるためにはRBDのどこで切

断(カット)するのかを示しているため,ミニマルカットセットと呼ばれている。この事例では,単一故

障(D)及び二重故障(E,F)の二つのカットセットが存在する。 

論理関数に基礎的な確率数学を適用することで,直接的にシステムの故障確率PSfは,次の式となる。 

()

)

(

)

(

Sf

F

E

D

P

F

E

P

D

P

P

Ι

Ι

Ι

+

=

各構成部品が独立したものである場合,PSfは次の式となる。 

F

E

D

F

E

D

Sf

P

P

P

P

P

P

P

+

=

ここに, 

Pi: 構成部品iが故障する確率 

(iは,それぞれD,E又はFを表す。) 

この式は,時間に対する依存性をもたず,システムの論理的構造だけを反映している。 

したがって,RDB及びFTは,基本的に静的,すなわち,非時間依存モデルである。 

ただし,時間tにおける個々の構成部品の故障確率が,[0,t] にわたって他の構成部品に起こる故障か

ら独立している場合,上記の式はどのような時間にも有効であるため,次の式で表すことができる。 

()

()

()()

()()()t

P

t

P

t

P

t

P

t

P

t

P

t

P

F

E

D

F

E

D

Sf

+

=

解析者は,要求する近似が受入れ可能かを検証することが望ましいため,最終的には,システムの瞬時

アンアベイラビリティUSf(t) を次の式から得る。 

()

()

()()

()()()t

U

t

U

t

U

t

U

t

U

t

U

t

U

F

E

D

F

E

D

Sf

+

=

RDB及びFTは,E/E/PE安全関連系の瞬時アンアベイラビリティUSf(t) を直接計算することができる。

また,追加の計算及びB.2.2に従って,次の式を得ることができる。 

()

()

()

=

=

T

dt

t

U

T

T

MDT

T

T

PFD

0

Sf

avg

1

1

この原理は,次のミニマルカットセットにも適用することができる。 

− 単一故障(D): 

()

2

/

.

1

D

0

D

D

τ

λ

λ

τ

τ

τ∫

=

=

dt

t

PFD

− 二重故障(E,F): 

()

3/

.

.

1

2

F

E

0

2

F

E

EF

τ

λ

λ

λ

λ

τ

τ

τ∫

=

=

dt

t

PFD

B.4.4.2 RBD(信頼性ブロック図)又はFT(フォールトの木)のツールに基づく計算 

B.4.4.1に示す式,USf(t)=UD(t)+UE(t)UF(t)−UD(t)UE(t)UF(t) は,いわゆるポアンカレの式の特殊事例であ

る。 

より一般的には,

Υ

i

i

C

Sf=

の場合,次の式で表すことができる。 

()

(

)

(

Ι

Ι

Ι

Υ

+

=

∑∑

∑∑∑

=

=

=

=

=

=

k

i

j

n

j

j

i

n

j

j

i

j

k

i

j

n

j

j

n

i

i

C

C

C

P

C

C

P

C

P

C

P

1

1

1

3

1

2

1

1

1

1

ここに, 

Ci,Cj,Ck,…: システムのミニマルカットセット 

background image

53 

C 0508-6:2019 (IEC 61508-6:2010) 

個々の構成部品の数が増えたとき,ミニマルカットセットの数は指数関数的に増加する。したがって,

ポアンカレの式は,素早く扱うには手に余るような項の爆発的な組合せをもたらす。幸いなことに,この

問題はここ40年にわたって解析され,このような計算を処理するために数多くのアルゴリズムが開発され

ている。現在では,最新かつ最も強力なアルゴリズムは,論理関数の高度なシャノン展開から導かれた,

いわゆる二分決定図(BDD:Binary Decision Diagram)に基づいたものである。 

様々な工業分野(原子力,石油,航空,自動車など)の信頼性工学技術者は,主にFTモデルに基づい

た多くの商用ソフトウェアパッケージを日常的に用いている。これらのパッケージはPFDavg計算に用いる

ことができるが,一部のものは誤ったPFDavgを計算するため,解析者は注意する必要がある。よくある主

な誤りとしては,システム全体のPFDavgと思い込んで,結果算出のために個々の構成部品のPFDavg,i(一

般に単純にλi×τ/2によって得られる。)を慣例的に組み合わせてしまうことである。これは誤りであり,

かつ,安全側にはならない。 

このことに注意して,FTソフトウェアパッケージを用いることによって,構成部品の瞬時アンアベイラ

ビリティUi(t) から,システムの瞬時アンアベイラビリティUSf(t) を計算することができる。さらに,PFDavg

を評価する期間にわたって,USf(t) の平均値を計算することができる。USf(t) の平均値は,用いるソフトウ

ェアによって,ソフトウェア自体又は追加の計算で求めることができる。 

図B.19−定期的にテストされる単一構成部品の瞬時アンアベイラビリティU(t) 

理想的な事例を,図B.19の左側の図に示すことができ,次の式で表すことができる。 

Ui(t)=λζ かつ ζ=t modulo τ 

Ui(t) は,0からλτまで直線的に増加し,テスト又は修理後に0から再開する,いわゆる,のこぎり歯曲

線である(テスト又は修理は,その間EUCを停止させるので瞬間的であると考える。)。 

冗長構造で複数の構成部品を用いる場合は,図B.19の右側の図に示すように,テストは時間差を設けて

実施してもよい(ここでは,最初のテスト間隔はそれ以降のテスト間隔と異なる例としている)。いずれの

場合でも,PFDavg又はλτ/2及び×τの最大値には影響を与えない。 

理想的でない場合においては,これらの曲線はより複雑になる。より正確なのこぎり歯曲線を描くため

の指針をB.5.2に示すが,ここでの目的には,図B.19に示す曲線で十分である。 

この方法は,図B.20(この図では,DUは危険側で検出できないことを意味する。)で示すように,図

B.18のような小さなFTの場合に適用することができる。ここでは,システムは二つの冗長構成部品(E

及びF)からなり,(D)はこれらの構成部品のCCFと考える。また,計算は,次の数字を用いて行う。 

λDU=3.5×10−6(/h),τ=4 380(時間)及びβ=1(%) 

なお,ここではCCFが最上位の結果を支配しないことを確実にし,それがどのように働くかをよりよく

理解するために,小さなβ係数を選択した。 

U(t) 

U(t) 

background image

54 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図B.20−FT(フォールトの木)を用いた場合のPFDavg計算の原理 

図B.19の左側の図に示す種類ののこぎり歯曲線は,D,E及びFの入力であると認識することは容易で

ある。CCF(D)は,E又はFをテストするたびにテストする。したがって,E及びFを6か月ごとに同時

にテストするとき,CCF(D)も6か月ごとにテストすることになる。 

FT計算のために開発したアルゴリズムの一つを用いることで,全ての論理ゲートの出力に対してのこぎ

り歯曲線を描くことは容易である。PFDavgを,トップ事象について得た結果を平均化することによって計

算する。PFDavgは,FTソフトウェア自体又は手計算によって求めることができる。この規格群において,

PFDavg=1.4×10−4が得られた場合,低頻度作動要求モードのSIL 3の目標機能失敗尺度を満たす。 

図B.20に示すように,テストとテストとの間ではグラフは滑らかである。したがって,テストの瞬間を

特定して考慮する場合,平均を評価することに困難はない。 

興味深いことに,冗長性が実現されたとき直ちに,トップ事象レベルののこぎり歯曲線はテストとテス

トとの間で直線でなくなる(すなわち,全体のシステム故障率は,一定でなくなる。)。 

さらに,複数の冗長構成部品のテストを同時に実施する代わりに,時間差を設けて実施することによっ

て,PFDavgに対する影響を測定する方法も興味深い。これを図B.21に示すが,ここでは,構成部品Fの

テストは,構成部品Eのテストから3か月ずらしている。 

この方法は,次のような重要な効果をもつ。 

− CCFのテストを,3か月ごとに実施することになる(すなわち,その都度Eをテストし,その都度F

をテストする。)。このプルーフテスト頻度は,時間差を設けない場合の2倍である。 

− トップ事象ののこぎり歯曲線も,時間差を設けない場合の2倍のプルーフテスト頻度をもつ。 

− のこぎり歯曲線は,時間差を設けない場合よりも平均の周りでの広がりが少ない。 

− PFDavgは8.3×10−5まで減少する。この新しいテストの基本方針によって,システムはSIL 4になる。 

DU故障 

CCF 

DU故障 

独立した 

DU故障 

構成要素E 

のDU故障 

構成要素F 

のDU故障 

background image

55 

C 0508-6:2019 (IEC 61508-6:2010) 

図B.21−時間差を設けたテストの効果 

テストに時間差を設けて,適切な手順で実施した場合,CCFを検出する可能性が増大する。これは低頻

度作動要求モードで動作するシステムのCCFを軽減する有効な方法である。ここでは,安全度水準はSIL 

3からSIL 4に改善している(ただし,ハードウェア故障の観点から見た場合で,かつ,この規格群の他の

要求事項を満たす場合。)。 

図B.22に,図B.20でモデリングしたシステムに構成部品G[λDU=7×10−9(/h)で,テストを実施して

いないもの]及び構成部品H[λDU=4×10−8(/h)で2年ごとにテストを実施するもの]を直列に追加し

たときに得られるのこぎり歯曲線を示す。 

図B.22−複雑なテストパターンの例 

テストしていない構成部品Gの影響は,次の2点である。 

− PFD(t) は,2年ごとに実施するテストの後でもゼロに戻らない。 

− PFDavgは,連続的に増加する(点線に示す期間にわたるPFDavgを,点線の右側に接する黒丸で示す)。 

(図B.19に示すような)基本的なのこぎり歯曲線が非常に単純なものであっても,トップ事象レベルに

おける結果は複雑なものになることもあるが,これが特別な困難さを引き起こすことはない。 

この箇条では,ブールモデルを用いて計算の原理を分かりやすく示すことだけを目指している。マルコ

CCF 

DU故障 

独立した 

DU故障 

コンポーネ

ントEの 

DU故障 

コンポーネ

ントFの 

DU故障 

DU故障 

56 

C 0508-6:2019 (IEC 61508-6:2010) 

  

フによるアプローチを示すB.5.2では,基本的な構成部品のためのより高度な入力のこぎり歯曲線を描く

ため,いくつかの指針を示す。 

個々の構成部品が合理的に独立している場合,古典的なブール技法を用いてE/E/PE安全関連系のための

PFDavg計算を取り扱うことに何の問題もないと結論できる。ただし,理論的観点からそれほど単純なもの

ではなく,調査を実施する解析者は,しばしば遭遇する誤ったPFDavgの導出を見極めて排除するために,

確率計算の確固とした知識を取得していることが望ましい。これらの予防策を講じることによって,全て

のFTソフトウェアパッケージでも,PFDavgの計算に用いることができる。 

なお,ブール技法は,PFH計算にも用いることができるが,その論理的展開は,この附属書では取り扱

わない。 

B.5 

状態遷移によるアプローチ 

B.5.1 一般 

ブールモデルは基本的に時間に依存しないため,時間の導入は特定の特殊な場合にだけ可能である。時

間の導入は,かなり人為的なものであるため,誤りを避けるには確率計算に対して十分な知識が必要にな

る。したがって,ブールモデルの代わりに,他の本質的に動的な確率モデルを用いるのがよい。信頼性分

野では,本質的に動的な確率モデルは,基本的に次の二段階の取組みに基づいている。 

− 対象とするシステムの全ての状態の特定 

− システムが稼働中に発生する事象に従った,ある状態から次の状態へのシステムのジャンプ(遷移)

の解析 

この取組みが,本質的に動的な確率モデルを,状態遷移モデルのカテゴリの中に入れる理由である。 

一般的なアプローチは,事象(故障,修理,テストなど)が発生したときに対象とするシステムのよう

に振る舞う,一種のオートマトンを構築することである。この規格に示すとおり,E/E/PE安全関連系は離

散的な状態だけをもち,すなわち,これはいわゆる有限状態オートマトンを構築することに等しい。これ

らのモデルは本質的に動的であり,図式表現,特定の形式言語又は一般のプログラミング言語のような様々

な方法で実装してもよい。この附属書では,これらの中から,大きく異なるが相互補完的な次の二つのモ

デルを示す。 

− マルコフモデル。このモデルは20世紀のごく初期に開発された。このモデルはかなり良く知られてお

り,解析的に扱われている。 

− ペトリネットモデル。このモデルは1960年代に開発された。マルコフモデルほどには知られていない

(ただし,柔軟性があるため,徐々に用いられてきている)。モンテカルロシミュレーションによって,

取り扱われる。 

両方のモデルとも,利用者にとって非常に有用なグラフィックによる図に基づいている。形式言語モデ

リングに基づく他の技法について,B.5.4でごく手短に分析する。 

B.5.2 マルコフによるアプローチ 

B.5.2.1 モデリングの原理 

マルコフによるアプローチは,信頼性分野で用いる全ての動的なアプローチの中で,最も古い。マルコ

フ過程は,“記憶消失性”のもの(全ての遷移率が一定である,時間的に一様なマルコフ過程)とそれ以外

のもの(セミマルコフ過程)とに分けることができる。時間的に一様なマルコフ過程において,未来は過

去に依存しないため,解析的計算は相対的に簡単である。セミマルコフ過程の場合はもっと難しいが,こ

の場合は,モンテカルロシミュレーションを用いることができる。この規格では,時間的に一様なマルコ

background image

57 

C 0508-6:2019 (IEC 61508-6:2010) 

フ過程だけを検討し,簡易化のため,“マルコフ過程”の語句を用いる(JIS C 0508-7のC.6.4及びIEC 61165

参照)。 

マルコフ過程の基本公式を,次に示す。 

(

)

()

()

+

=

+

i

k

i

k

ki

i

ki

k

i

dt

t

P

dt

t

P

dt

t

P

λ

λ

1

この公式において,λkiは,状態iから状態kへの遷移率(例 故障率又は修復率)である。また,自明

ではあるが,t+dtの時点で状態iにある確率は,tとt+dtの間で,iに向かって遷移しているか(別の状

態kにある場合),又は状態iに残ったままでいるか(既にこの状態にある場合)のいずれかである確率で

ある。 

図B.23−二つの構成部品システムの挙動をモデリングしたマルコフ図 

上記の公式と図B.23のような図式表現との間には直接的な関係がある。図B.23は,単一の修理チーム

(構成部品Aが修理を受ける優先権をもっている)と一つのCCFをもつ二つの構成部品からなるシステ

ムのモデルを示している。この図では,太文字のAはAが動作していることを示し,斜体文字のAはA

が故障していることを示す。検出時間として,構成部品の修復率である図B.23のμa及びμb(ここに,μa

=1/MTTRa及びμb=1/MTTRb)を考慮する。 

例えば,状態4にある確率は,次の式で計算できる。 

(

)

()

()(

)

()(

)

[

]

()(

)

dt

t

P

dt

t

P

t

P

t

P

dt

t

P

a

4

ccf

a

3

ccf

b

2

ccf

1

4

λ

λ

λ

λ

λ

+

+

+

+

+

=

+

この式は,次のベクトル微分方程式となる。 

()

[]()t

P

M

dt

t

P

d

=

/

ここに, 

[M]: 遷移率及び初期状態のベクトル()0

P

(通常,完全状態の

場合は1をもち,その他の状態の場合は0をもつ列ベク
トル)を含むマルコフ行列 

この方程式を解くと,次の式となる。 

()

[]()0

P

e

t

P

M

t

=

ここに, 

()0

P

行列の指数関数が通常の指数関数と全く同じ特性をもつわけではないが,次の式のように表すことがで

きる。 

修理の 
優先順位 

background image

58 

C 0508-6:2019 (IEC 61508-6:2010) 

  

()

(

)[]

[]()

(

)[]()1

0

1

1

1

t

P

e

P

e

e

t

P

M

t

t

M

t

M

t

t

=

=

この式は,マルコフ過程の基本特性を示している。すなわち,所定の瞬間t1における各状態の確率を知

ることによって,全ての過去を要約することができ,これによって,システムがt1から次にどの状態に遷

移するかを計算するためには,この知識だけで十分である。この式は,PFD計算には非常に有用である。 

上記の微分方程式を解くために,古くから有効なアルゴリズムが開発され,ソフトウェアパッケージに

実装されている。したがって,このアプローチを用いる場合,解析者は,少なくともこの附属書の中に何

を示しているかを理解する必要があっても,土台となる数学ではなく,モデルの構築だけに注力すること

ができる。 

図B.24に,PFD計算の原理を示す。 

図B.24−多フェーズマルコフモデルの原理 

PFD計算は,低頻度作動要求モードで動作して定期的に(プルーフ)テストを実施するE/E/PE安全関

連系に関連する。このようなシステムの場合,修理はテストを実施したときだけ開始する。テストは時間

軸上の特異点であるが,多フェーズマルコフによるアプローチを用いて取り扱うことで,問題にはならな

い。 

例えば,図B.24に,定期的にテストする単一構成部品からなる単純なシステムが三つの状態をもつ場合

の原理を示す。この図では,動作中を“W”,検出できない危険側故障を“DU”及び修理中を“R”で表

す。 

最初に,テストとテストとの間の挙動を,図B.24の上の部分のマルコフ過程によってモデリングする。

ここでの挙動は,故障する場合(W→DU)又は修理中の場合(R→W)が想定できる。テスト間隔中には

いかなる場合も修理を始めることはないため,DUからRへの遷移はない。故障の診断は,状態Rに入る

前に既に実施しているため,図B.24のμは構成部品の修復率(すなわち,μ=1/MRT)である。 

テストを実施した場合(図B.24の連結行列を参照),故障が発生したとき修理を開始し(DU→R),構

成部品が良好な機能状態にあるときは,動作状態のまま(W→W)であり,全くの仮定として前回のテス

ト時に開始した修理がまだ終了していないときには構成部品は修理中のまま(R→R)である。状態i+1

マルコフ

図 

マルコフ

図 

連結行列 

テスト 

テスト 

テスト 

フェーズ 

フェーズ 

background image

59 

C 0508-6:2019 (IEC 61508-6:2010) 

の開始時の初期状態をテストiの終了時の状態における確率から計算するために,連結行列[L]を用いる

ことができる。これによって,次の式が得られる。 

()()()

()()()

()[]()

τ

τττ

i

i

i

i

P

L

P

P

P

P

P

P

P

=

=

+

+

0

1

0

0

0

1

0

1

0

0

0

0

0

1

R

W

DU

1

R

W

DU

()

τ

i

P

を実際の値に置き換えることで,各テスト間隔の初めにおける初期状態を計算することが可能に

なる次の漸化式が導かれる。 

()[][]()0

0

1

i

M

t

i

P

e

L

P

=

+

この式を用いて,任意の時間t=iτ+ζにおける確率を計算することができる。例えば,テスト間隔i内

では,次の式となる。 

()

()

[]()0

i

M

i

P

e

P

t

P

ζ

ζ=

=

,(

)

τ

τ

i

t

i

1

τ

ζ

mod

t

=

瞬時アンアベイラビリティは,システムが使用不能な各状態の確率を合計することによって簡単に得ら

れる。行ベクトル(qk)は,次の式を表すのに有用である。 

()

()

=

=

n

k

t

p

q

t

U

1

k

k

ここで,状態kでシステムが使用不能の場合はqk=1で,その他の場合はqk=0である。 

単純なモデルとして,PFD(t)=U(t)=PDU(t)+PR(t) が得られる場合,このモデルにおけるのこぎり歯曲

線の外観を,図B.25に示す。 

PFDavgを,平均ダウン時間MDTを介して計算する(B.4.4.1参照)。MDTは,各状態で経過した平均累

積時間MCTから容易に計算することができる。 

()

()

=

T

dt

t

P

T

T

C

M

0

()t

Pの場合と同様に,この計算を [0,T] にわたって行う有効なアルゴリズムはよく知られていて,最

終的に次の式を得ることができる。 

()

()

=

=

n

k

T

MCT

q

T

T

PFD

1

k

k

avg

1

図B.25−多フェーズマルコフによるアプローチで得られるのこぎり歯曲線 

background image

60 

C 0508-6:2019 (IEC 61508-6:2010) 

  

この式を図B.24に示したモデルに適用したとき,次の式となる。 

()

()

()

[

]

T

MCT

T

MCT

T

T

PFD

R

DU

avg

1

+

=

修理期間中にEUCを動作停止する場合は,右辺を最初の項だけになる場合がある。 

図B.25の黒丸は,計算の全期間にわたるのこぎり歯曲線のPFDavgである。 

図B.26−近似マルコフモデル 

この計算は,しばしば,図B.26に示す近似モデルを用いて実施されることに注意する。この図では,状

態DU及びRを統合しており,また,τ/2(すなわち,故障を検出するまでの平均時間)を修復時間と等価

な値として用いている。ただし,この等価を見つけるためにマルコフ方程式が別の方法でそれ以前に解か

れている場合だけに有効である。また,この近似は,修復時間が無視できるほど短い場合だけに適用でき

る。この方法は,大規模で複雑なシステムに用いるのは非常に難しいかもしれない。 

図B.24に示す単純モデルの場合,より現実的な構成部品に対しては容易に改善できる。すなわち,図

B.27では,連結行列は,テストによって失敗する(すなわち,真の作動要求時の機能失敗)確率γ及び(ヒ

ューマンエラーで)テストによって故障が発見できなかった確率σの両方をもつ構成部品をモデリングし

ている。 

図B.27−作動要求自体による故障の影響 

図B.27に示すとおり,のこぎり歯曲線の形は変化しており,各テストで測定できる遷移は,作動要求時

の機能失敗の確率γに対応する。ここでも,黒丸はPFDavgを表す。 

テストのために(冗長)構成部品を分離した場合,この構成部品はテストの全実施期間中で使用不能と

なるため,PFDavgに影響する。したがって,テスト期間πを考慮した追加のフェーズを,テストとテスト

との間に導入する必要がある。これを,図B.28に示す。ここでは,状態R及び状態Wを,完全性のため

だけにこのフェーズにもモデリングしている。 

background image

61 

C 0508-6:2019 (IEC 61508-6:2010) 

図B.28−テスト期間中の影響のモデリング 

このマルコフモデルの場合,システムは,状態R,状態DU及び状態Tstにおいて使用不能になる。これ

によって,より複雑なモデルになるが,計算の原理は全く同じである。この場合ののこぎり歯曲線の動き

を,図B.28の右側の図に示す。このシステムはテスト期間中は使用不能となり,これがPFDavgに最大の

影響を与える可能性がある。 

ここに示すマルコフ図は,検出できない危険側故障(DU故障)だけを考慮したが,検出できる危険側

故障(DD故障)も同様に表すことができる。両者の違いは,図B.29に示すように,修理を直ちに開始す

るか否かである。したがって,μDUを構成部品の修復率としたとき(μDU=1/MRT),μDDは構成部品の修復

率となる(μDD=1/MTTR)。 

                 マルコフ図      連結行列 

図B.29−DD故障及びDU故障の両方を含む多フェーズマルコフモデル 

必要な場合,安全側故障を表すことが望ましいが,ここに示すマルコフ図はできるだけ単純になるよう

に選択している。 

マルコフ図の主要な問題は,対象とするシステムの構成部品の数が増えたとき,状態の数が指数関数的

に増加することである。したがって,マルコフ図を構築し,徹底した近似を行わないでマルコフ計算を実

施した場合,直ちに手に負えないものとなる。 

効率的なマルコフソフトウェアパッケージを用いることで,計算の複雑さに対処する助けとなる。PFDavg

の計算のために必ずしも直接利用できるものではないとはいえ,このような利用可能なパッケージは数多

くあり,ほとんどのパッケージは瞬間アンアベイラビリティの計算を実施する。ただし,各状態内で経過

する平均累積時間を計算し,多フェーズモデリングが可能なものは僅かしかない。ともあれ,これらのパ

ッケージをPFDavg計算に適応させることは,本質的困難さはない。 

テスト 

background image

62 

C 0508-6:2019 (IEC 61508-6:2010) 

  

モデリング自体に関しては,構成部品間の依存関係が希薄な場合には,マルコフによるアプローチとブ

ールによるアプローチとを,次のようにすることで組み合わせることができる。 

− マルコフモデルを用いて,構成部品のそれぞれの瞬間アンアベイラビリティを確定する。 

− RBD又はFTを用いて,個々のアンアベイラビリティを組み合わせて,システム全体の瞬間アンアベ

イラビリティPFD(t) を計算する。 

− PFD(t) を平均化して,PFDavgを得る。 

このように組み合わせたアプローチは,B.4で既に示しており,図B.25,図B.27及び図B.28のような

のこぎり歯曲線をFTへの入力として用いてもよい。 

構成部品間の依存関係が無視できない場合には,マルコフ図を自動的に構築する幾つかのツールを用い

ることができる。これらは,マルコフモデルよりもレベルの高いモデルに基づいている(例 ペトリネッ

ト,形式言語)。状態数によっては爆発な組合せになるため,困難を伴う可能性がある。 

この組み合わせたアプローチは,複雑なシステムをモデリングするのに非常に有効である。 

図B.30−最初の故障を修理する代わりの論理変更したモデルの例(2oo3から1oo2へ) 

図B.30にモデリングしたシステムは,テストを同時に行い,2oo3論理で動作する三つの構成部品から

なり,故障を検出したとき,論理を2oo3から1oo2に変更する。安全の観点からは,1oo2論理は2oo3論

理よりも優れているためである(ただし,誤作動による故障の観点からは劣っている。)。修理が発生する

のは二つ目の故障を検出した場合だけである。この修理は三つの全要素を三つの新しい要素に置き換える

ため,システム的な制約をもたらし,システムの構成部品の独立した挙動を組み合わせるだけでは,シス

テム全体の挙動を構築することはできない。 

B.5.2.2 PFH計算の原理 

PFH計算では,プルーフテストで検出したDU故障に対して,同じタイプの多フェーズマルコフモデル

を用いることができる。ここでは,単純化するために,従来の(単フェーズ)マルコフモデルだけを必要

とするDD故障のPFH計算の原理を示す。当然ながら,E/E/PE安全関連系が連続モードで動作し,定期

的なプルーフテストによって検出されるDU故障をもつ場合は,多フェーズマルコフによるアプローチを

用いることが望ましい。このような場合も,これから考察する原理と変わることはない。 

図B.31に,一つのCCFをもつ二つの冗長構成部品からなる,同一システムをモデリングする二つのマ

ルコフ図を示す。左側の図では,構成部品(A及びB)は修理可能である。右側の図では,これらの構成

テスト 

background image

63 

C 0508-6:2019 (IEC 61508-6:2010) 

部品は修理不能である。 

両方の図において,状態4(AB)は吸収状態である。システムは全体が故障した後も故障状態のままで

あり,かつ,P(t)=P1(t)+P2(t)+P3(t) は,[0,t] にわたって故障が発生していない確率を表している。さ

らに,R(t)=P(t) はシステムの信頼度であり,F(t)=1−R(t)=P4(t) は不信頼度である。 

図B.31−吸収状態をもつ“信頼性”マルコフ図 

B.2.3で考察したように,この信頼性モデルは,E/E/PE安全関連系の故障が直ちに危険な状態をもたら

す状況を取り扱う場合に適している。ここでも,μa及びμbは構成部品の修復率である(すなわち,μa=

1/MTTRa及びμb=1/MTTRb)。 

このような信頼性マルコフ図は,PFH=F(T)/TによってPFHを直接計算できる。例えば,図B.31から,

PFH(T)=P4(T)/T[P4(T)≪1の場合]を直接得ることができる。 

また,このような信頼性マルコフ図では,次の式によってシステムのMTTFを計算することができる。 

()

=

=

n

k

t

t

MCT

a

MTTF

1

k

k

lim

この式において,MCTk(t) は,状態kで経過した平均累積時間であり,状態kが良好な動作状態である

場合はak=1であり,それ以外の場合はak=0である。 

なお,PFHの上限は,次の式となる。 

MTTF

PFH /1

有効なアルゴリズムの開発によって,ほとんど全てのマルコフソフトウェアパッケージが,F(T) 及び

MTTFの計算に用いることができる。 

ここに示すPFH推定は,システム全体で一定の故障率をもたないような場合でも有効である(図B.31

の右側の図と同様)。唯一の制約は,一つ(又は複数)の吸収状態をもつ信頼性マルコフ図を用いることで

ある。当然,多フェーズモデルを用いる場合も,同様の制約がある。 

全ての状態が完全かつ迅速に修理可能である場合,全体システム故障率Λ(t) は,漸近値Λas=1/MTTFに

向かって素早く収束する。このような信頼性マルコフ図においては,完全状態及び吸収状態を除き,全て

の状態はほぼ瞬時的である(各構成部品において,MTTRはMTTFと比較して短いため。)。これによって,

完全状態から始まり,吸収状態に向かう各シナリオでのシステム全体の一定の故障率を,直接評価するこ

とができる。図B.31の左側のマルコフ図は,このような完全かつ迅速に修理可能なシステムをモデリング

している。各シナリオでは,次の関係が成り立つ。 

− 1→4 

:Λ14=λccf 

− 1→2→4 

:Λ124=λa.(λb+λccf)/[(λb+λccf)+μa] ≈ λa.(λb+λccf)/μa 

吸収状態 

background image

64 

C 0508-6:2019 (IEC 61508-6:2010) 

  

− 1→3→4 

:Λ134=λb.(λa+λccf)/[(λa+λccf)+μb] ≈ λb.(λa+λccf)/μb 

シナリオ“1→3→4”の場合,λbは完全状態からの遷移を支配する遷移率であり,(λa+λccf)/μbは,状態3

にあるとき,1に戻らず4に遷移する確率である。最終的に,Λasは,次の式となる。 

Λas=Λ12+Λ124+Λ134=1/MTTF 

これによって,複雑なマルコフ図を簡単に一般化することができるが,これは完全かつ迅速に修理可能

なシステム,すなわち,DD故障だけに有効である。 

図B.31の右側のマルコフ図は,完全かつ迅速に修理可能なものではない。したがって,同様の計算を適

用した場合,誤った結果をもたらす。 

連続モードで動作するE/E/PE安全関連系を他の安全防護措置と一緒に用いる場合には,アベイラビリテ

ィを考慮する必要がある。これを,図B.32のそれぞれの図に示す。この場合,吸収状態はなく,システム

全体が故障した後に修復される。P(t)=P1(t)+P2(t)+P3(t) は,システムがtの時点で動作している確率で

ある。したがって,アベイラビリティは,A(t)=P(t) であり,アンアベイラビリティは,U(t)=1−A(t)=P4(t) 

である。 

この事例は,図B.31に代表する例とは大きく異なり,正確な結果を得る必要がある場合には,R(t) 及び

A(t) は,U(T) 及びF(T) と同様に,正確に用いることが望ましい。 

DD故障の場合,この問題を取り扱うための最も単純な方法は,B.2.3で考察したように,MDT及びMUT

を介してPFHの上限を計算することである。 

図B.32−吸収状態をもたない“アベイラビリティ”マルコフ図 

アベイラビリティマルコフ図の興味深い特性は,所定の状態に入る確率とその状態から出る確率とが等

しいとき,漸近的平衡に達することである。これを,次のように示す。 

− Pi(t) の漸近値: 

()t

P

P

i

t

as

i

=lim

,

− iの状態から他の状態への遷移率: 

=

i

j

ij

i

λ

λ

システムが状態iに入るとき,この状態にとどまる平均時間は,Msti=1/λiである。 

これによって,MUT及びMDTは,次の式によって計算することができる。 

(

)

=

i

i

i

i

Mst

P

q

MUT

as

,

1

=

i

i

i

i

Mst

P

q

MDT

as

,

65 

C 0508-6:2019 (IEC 61508-6:2010) 

を計算することができる。 

ここで,iが動作状態である場合はqi=0,それ以外の場合はqi=1である。 

これらの式から,PFHは,次の式となる。 

(

)

=

=

+

=

i

i

i

i

i

i

P

Mst

P

MDT

MUT

PFH

λ

as

,

as

,

/1

/1

/1

ここで,[0,T] の期間にわたって観察された故障の数は,次の式から得られることに注意することが望

ましい。 

=

i

i

iP

T

n

λ

as

,

/

マルコフソフトウェアパッケージの多くは漸近的確率を見つけることができるため,これらの計算を達

成することは特別に困難なことではない。 

対象期間がマルコフ過程の収束を可能にするには短すぎる場合,PFHは,次の式を用いて計算してもよ

い。 

()

()

=

f

f

i

i

i

t

P

t

w

λ

これによって,PFH(T)は,次の式となる。 

()

()

()

T

T

MCT

T

dt

t

P

T

PFH

i

i

i

T

i

i

i

=

=

f

f

0

f

f

λ

λ

ここでも,それぞれの状態における累積時間を提供するマルコフソフトウェアパッケージによって,計

算することは,特別に困難なことではない。 

完全かつ迅速に修理可能なシステム(DD故障)の場合の条件付き故障強度(ベズレィ率)Λv(t) は,漸

近値Λasに向かって素早く収束する。この場合,Λasは,システム全体で一定のシステム故障率としてもよ

い近似値となる。したがって,この場合,PFHは“信頼性”マルコフ図の場合と同じ方法で計算してもよ

い。 

DU故障の場合は,多フェーズモデルになるため,より複雑になる。この場合,PFH(T)は,次の式に

一般化される。 

()

()

∑∑

=

=

=

n

n

i

i

i

T

T

MCT

T

PFH

1

1

f

f

ϕ

ϕ

ϕ

ϕ

λ

ここに, 

Tφ: フェーズφの持続期間 

多フェーズマルコフ過程では,一般に,所定の状態から遷移して状態外に出る確率が,状態内に入る確

率と等しいときに,平衡に達する。漸近値はDD故障の場合と何ら関係しないが,上の式の中で用いるこ

とができる。 

結論として,マルコフによるアプローチは,連続モードで動作するE/E/PE安全関連系のPFHを計算す

る多くの可能性を提供していると言ってもよい。ただし,マルコフによるアプローチを適切に用いるため

には,基礎的な数学を十分に理解する必要がある。 

B.5.3 ペトリネット及びモンテカルロシミュレーションによるアプローチ 

background image

66 

C 0508-6:2019 (IEC 61508-6:2010) 

  

B.5.3.1 モデリングの原理 

動的システムをモデリングする効率的な方法は,対象とするE/E/PE安全関連系にできるだけ近い挙動を

する有限状態オートマトンを構築することである。ペトリネット(JIS C 0508-7のB.2.3.3及びB.6.6.10参

照)は,次の理由から,この目的のため,非常に有効であることが証明されている。 

− 図式的に取り扱うことが容易である。 

− モデルの大きさは,モデリングする構成部品の数に従って線形に増加する。 

− 非常に柔軟であり,ほぼ全ての種類の制約をモデリングすることができる。 

− モンテカルロシミュレーションを完全に裏付けている(JIS C 0508-7のB.6.6.8参照)。 

ペトリネットは,元々はオートマトンの形式的証明のために1960年代に開発されたが,1970年代には

大きなマルコフ図の自動的構築,また,1980年代にはモンテカルロシミュレーションの目的の二段階で,

信頼性技術者に採用された。 

図B.33−定期的にテストする単一構成部品のモデリングのためのペトリネット 

定期的にテストされる単純な構成部品のための代表的サブペトリネットは,次の三つの部分からなる。 

1) 静的部分(すなわち,図面) 

a) 潜在的状態に対応する場所(円) 

b) 潜在的事象に対応する遷移(長方形) 

c) 遷移を有効化する,上流への矢印(場所から遷移へ) 

d) 遷移が始まったときに何が起きるかを示す,下流への矢印(遷移から場所へ) 

2) スケジューリング部分 

a) 事象が発生する前に経過するランダム遅延を表す,確率論的遅延 

b) 事象が発生する前に経過する既知の遅延を表す,決定論的遅延 

3) 動的部分 

a) 潜在的状態のどれが実際に達成されたかを示すために,事象が発生したときに移動するトークン(小

さな黒丸)。 

b) 遷移を有効化する条件式(真又は偽でもよい,何らかの形式) 

c) 遷移が発生したときに幾つかの変数を更新する,アサーション(何らかの方程式)。 

さらに,遷移を有効化し,開始させるために,次に示す規則もある。 

4) 遷移の妥当性確認(すなわち,対応する事象が発生する可能性がある条件) 

決定論的遅延 

プレディケイト(条件式) 

確率論的遅延 

真 

アサーション(表明) 

遷移場所 

トークン 

偽 

真 

67 

C 0508-6:2019 (IEC 61508-6:2010) 

a) 全ての上流の場所は,一つ以上のトークンをもつ。 

b) 全ての条件式は,“真”とする。 

5) 遷移の発生(すなわち,対応する事象が発生したときに起きること) 

a) 上流の場所から一つのトークンを取り除く。 

b) 下流の場所に一つのトークンを追加する。 

c) アサーションを更新する。 

ここでは,ペトリネットに関係する概念の大部分を紹介したが,残りの部分も必要に応じて紹介してい

く。 

B.5.3.2 モンテカルロシミュレーションの原理 

モンテカルロシミュレーションは,システムがランダム遅延又は決定論的遅延のいずれかが支配する状

態に何回なるかを,乱数を用いて評価することによって,挙動モデルのアニメーションで構成することで

ある(JIS C 0508-7のB.6.6.8も参照)。 

これについては,図B.33に示すペトリネットを用いて,次のように説明することができる。 

− 最初,トークンは場所Wにあり,構成部品は良好な動作状態にある。 

− この状態から,一つだけの事象(検出できない危険側故障)が発生する可能性がある(遷移Tr1は有

効であり,黒で塗り潰している)。 

− この状態で経過する時間は確率論的であり,パラメータλDUの指数分布に支配される。モンテカルロ

シミュレーションでは,乱数(次の細別を参照)を発生させて,故障が起こる(すなわち,Tr1が起動

する)前の遅延d1を計算する。 

− d1が経過したとき,Tr1が起動し,トークンは場所DUに移動する(より正確には,一つのトークンを

場所Wから取り除き,一つのトークンを場所DUに追加する。)。 

− 構成部品は検出できない危険側状態に達し,遷移Tr2が有効になる。 

− 危険側故障の検出は,決定論的遅延d2の後で起こる(tを現在の時刻,τをテスト間隔としたとき,d2

=t modulo τ)。これによって,テスト間隔のシミュレーションを行う。 

− t2が経過したとき,すなわち,危険側故障を検出したとき,トークンが場所DDに入る。次に,構成

部品は修復されることを待った状態になり,Tr3が有効になる。 

− Tr3(修復の開始)を起動するための遅延d3は構成部品自体には依存せず,メッセージ“RA”が表す

修復資源のアベイラビリティに依存する。これは,図B.33には表していないが,ペトリネット全体の

別の部分で起きる事象によって支配される。 

− 修復チームが利用可能になる(すなわち,“?RA=真”となる)と直ちに修復を開始し,トークンは場

所Rに入る。修復資源は他の介入先にとっては直ちに使用不能となり,かつ,アサーション“!RA=

偽”を用いて,RAの値を更新する。この更新によって,他のいかなる修復が同時に実施されることを

防止する。 

− 確率論的遷移Tr4(すなわち,修復の終了)が有効になり,遅延d4を修復率μに従って乱数を発生さ

せて計算することができる。 

− d4が経過したとき,Tr4が起動され,構成部品は良好な動作状態に戻る(トークンが場所Wに入る)。

修復資源は再び使用可能となり,アサーション“!RA=真”によってRAが更新される。 

− 次の有効遷移の起動が対象の [0,T] の期間に属する間,これが続いていく。 

68 

C 0508-6:2019 (IEC 61508-6:2010) 

  

次の起動が [0,T] の期間から外れたとき,シミュレーションは終了し,構成部品に対する一つの履歴

が得られる。履歴の経過に沿って,関連するパラメータとして,各場所でのトークンの平均存在率(すな

わち,期間Tに対する,その場所に一つのトークンが存在する時間の比率),遷移の起動頻度,所定の事

象が最初に発生するまでの時間などを記録するのがよい。 

モンテカルロシミュレーションの原理は,関連するパラメータを評価するために,膨大な数の履歴を取

得して,その結果に対して古典的統計を実行することである。 

モンテカルロシミュレーションは,解析的計算とは対照的に,累積確率分布F(d) 及び [0,1] の間で一

様に分布する乱数ziによって模擬することができるランダム遅延と決定論的遅延とを容易に混合すること

ができる。ここでの乱数は,ほとんどのプログラミング言語で利用可能であり,モンテカルロシミュレー

ションのための強力なアルゴリズムが利用できる。 

次に,F(d) に従って分布しているサンプル(di)を,di=F−1(zi)を演算して,サンプル(zi)から得る。 

これは,F−1(z) の解析式が,例えば,指数分布の遅延に対しては,次の式が利用できるため,非常に容

易である。 

()

i

DU

i

1

z

Log

d

λ

=

所定のシミュレーションを実施するパラメータXに関する計算の精度は,シミュレーションを実施した

サンプル(Xi)の,基本的統計による平均,分散,標準偏差及び信頼度を次に示す式から計算することが

できる。 

− 平均 

N

X

X

i

i

=

− 分散 

(

)

N

X

X

i

i

=

2

2

σ

,及び標準偏差σ 

− 

X周辺の90 %信頼区間 

N

Conf

σ

64

.1

=

したがって,モンテカルロシミュレーションを用いる場合,結果の精度は常に推定することができる。

例えば,真の結果Xˆが次の区間に属する確率は,90 %とみなすことができる。 

+

N

X

N

X

/

64

.1

/

64

.1

σ

σ

履歴の数が増加し,Xの発生頻度が増加する場合,この区間は縮小する。 

最近のコンピュータを用いることによって,SIL 4のE/E/PE安全関連系であっても,計算を達成するこ

とができる。 

B.5.3.3 PFD計算の原理 

図B.33のサブペトリネットを用いて,構成部品のPFDavgを直接評価することができる。期間Tに対す

る場所Wでのトークンの平均存在率(トークンがWに存在する時間の比率)は,実際には構成部品の平

均アベイラビリティAであることから,PFDavg=1−Aを得ることができる。 

計算の精度は,B.5.3.2に示したように推定してもよい。 

より複雑な挙動は,特定のサブペトリネットを用いて表すことができる。図B.34に,定期的にテストす

background image

69 

C 0508-6:2019 (IEC 61508-6:2010) 

る構成部品,CCF及び修復資源のモデリングするために何ができるのかを示す。 

図B.34の左側の図は,定期的にテストする構成部品をモデリングしている。これらは,動作(W),検

出できない危険側故障(DU),テスト中(DUT),検出できる危険側故障(DD),修復準備完了(RR),及

び修復中(R)の状態を遷移する。 

ある構成部品が故障(DU)したときには,この構成部品が故障したことを通知するためにメッセージ

“!-Ci”(“!Ci=偽”と等価のもの)を発生する。この構成部品は,定期的テストを開始されるまで待機す

る(DUT)。ここで,定期テスト間隔をτ,時間差をθとする。その後,πに等しい期間の間にテストを実

施し,状態DDに到達する。予備部品が利用可能である(SPの中に少なくとも一つのトークンが存在する)

場合,構成部品は修復準備完了(RR)となり,修復を必要とする構成部品の数を修復資源に通知するため

に,変数NbRの値を1増やす。修復資源がその位置にある(OLの中に一つのトークンが存在する)とき,

修復を開始し(R),トークンをOLから取り除く。それを達成した後,構成部品は良好に機能している状

態に戻り,メッセージ“!Ci”(すなわち,“!Ci=真”)を発生し,NbRの値を1減らし,更なる修復を可能

にするためにトークンがOLに戻る。これが続いていく。 

図B.34−CCF(共通原因故障)及び修復資源をモデリングするためのペトリネット 

変数NbRは,修復専用のサブペトリネットで用いる。これが正になったとき,資源の動員を開始し(M),

一定の遅延後,資源はその位置(OL)での作業準備を完了する。OL内のトークンは,故障した一つの構

成部品の修復の開始を検証するために用いる。したがって,同時に一つの修復だけを実施する。全ての修

復が完了したとき(すなわち,NbR=0),修復資源の動員を解除する。 

図B.34の右側の図では,CCFをモデリングしている。CCFが起きたとき(λDCC),メッセージ“!CCF”

は真になり,影響を受けた全ての構成部品をDUの状態にするために用いられる。関連するメッセージ“Ci”

は偽になり,構成部品を互いから独立させて修復する。構成部品のテストが終了したとき,アサーション

“!!F CCF then Dccf”によって,CCFを検出したことを他の全ての構成部品に通知することができる。この

メッセージを用いて,構成部品を直ちにDD状態にする。また,このメッセージは,CCFのサブペトリネ

ットをリセットするために用いるが,これは,リセットする前に全ての構成部品がDD状態になっている

ことを確かなものにするために,しばらく(ε)にしてから行う。 

CCF(共通原因故障) 

修復 

単一構成部品 

background image

70 

C 0508-6:2019 (IEC 61508-6:2010) 

  

図B.35−PFD計算及びPFH計算のためのペトリネット及び補助ペトリネットを構築するための 

RBD(信頼性ブロック図)の使用 

図B.34のサブペトリネットは,より複雑なモデルの一部として用いることを目的としている。このサブ

ペトリネットを用いる一つの方法を,図B.35に示す。ここでは,図B.16のRBDを,中間出力Oiを導入

することによって僅かに修正したものである。 

構成部品A,B,C,D,E及びFは,図B.34のようなサブペトリネットの集合によってモデリングされ,

例えば,(A,B及びC)のCCF,(E及びF)の別のCCF,並びに全ての構成部品に対する単一の修復資

源をもたせてモデリングしている。残りの課題は,RBDの論理に従って構成部品を連結し,対象とする

PFDavgを計算するだけである。 

構成部品の連結は,メッセージCiを用いて,次のアサーションを構成することによって非常に容易に行

うことができる。 

− O1=Ca×Cb+Ca×Cc+Cb×Cc 

− O2=O1×Cd 

− O3=O2×(Ce+Cf) 

したがって,E/E/PE安全関連系全体は,O3が真の場合,良好に動作しており,O3が偽の場合,使用不

能である。このメッセージは,図B.35の右側の図のサブペトリネットの中でE/E/PE安全関連系の状態,

すなわち,使用可能(Av),使用不能(U),信頼できる(RI),信頼できない(Fd),をモデリングするた

めに用いる。 

PFD計算の場合,Av及びUにだけ焦点を当てる。O3が偽の場合,システムは故障中で使用不能であり,

O3が真の場合,システムは修復され再び使用可能な状態になる。これは非常に単純であり,Avでの平均マ

ーク率は,システムの平均アベイラビリティであり,Uでのトークンが存在する平均は,システムの平均

アンアベイラビリティ,すなわち,そのPFDavgである。 

したがって,モンテカルロシミュレーションは瞬時アンアベイラビリティの積分を自動的に行うことで

あり,のこぎり歯曲線が必要な場合を除けば,瞬時アンアベイラビリティを計算する必要はない。瞬時ア

ンアベイラビリティの計算は,[0,T] 期間全体ではなく,むしろある瞬間におけるUでの平均マーク率を

評価することによって容易に行うことができる。 

ここでは,SIL計算のためにペトリネットを用いることの概要だけを示したが,モデリングの潜在的な

可能性は実質的に無限である。 

B.5.3.4 PFH計算の原理 

PFH計算の場合,原理はPFD計算と全く同様であり,同様のサブモデルをDU故障に用いることがで

きる。図B.36に,故障を検出したとき直ちに故障が発現して修復するDD故障をモデリングするサブペト

リネットを示す。 

修復 

 最初の故障 

故障

background image

71 

C 0508-6:2019 (IEC 61508-6:2010) 

図B.36−故障の発現及び修復を表す単一構成部品の単純なペトリネット 

このような構成部品のモデルは,図B.35のようなシステム全体を表すRBDとの関係として用いること

もできる。 

連続モードで動作するE/E/PE安全関連系が最終の安全防護装置である場合,これが故障しているとき直

ちに事故が起こるため,この場合のPFH評価は,システムの信頼性によって達成する必要がある。これは,

図B.35の右側の下の図に示すサブペトリネットによって行う。[0,T] にわたるシステムの最初の故障の

平均頻度は,このシステムの不信頼度F(T) である。したがって,F(T) が1と比較して小さい場合は,PFH

の定義によって,次の式となる。 

PFH=F(T)/T 

最初の故障は,RIのトークンによる,一度限りの遷移である。全ての履歴が故障をもたらす(すなわち,

Tが十分に長い)と仮定した場合,RIの中のトークンで経過する平均時間は,このシステムのMTTFであ

る。したがって,1/MTTFは,PFHの上限となる。 

連続モードで動作するE/E/PE安全関連系が最終の安全防護装置でない場合は,故障しても事故を即座に

引き起こすわけではない。したがって,この安全防護装置を全ての故障後に修復し,このPFHをシステム

のアンアベイラビリティによって計算する。これは,遷移の機能失敗の頻度Nbfから直接得ることができ

る。これは,システムが所定の期間にわたって機能失敗した回数であり,したがって,PFH(T)=Nbf/Tと

なる。 

興味深いことに,Tが十分に長い場合,MUTは状態Avにおける平均累積時間MCTAvで計算することが

でき,MDTは状態Uにおける平均累積時間MCTUで計算することができる。MCTA及びMCTUは,モンテ

カルロシミュレーションで計算することが非常に容易で,トークンがAv又はUにある時間をただ累積す

るだけである。すなわち,MUT=MCTAV/Nbf及びMUT=MCTU/Nbfとなる。これを,PFH=1/(MUT+MDT)

=1/MTBF=Nbf/Tを評価するために用いることができる。 

モンテカルロシミュレーションはその性質から,平均値を提供するため,これらの結果は,全て直接得

られる。すなわち,ここではSIL計算のためにペトリネットを用いることの説明だけを意図してきたが,

モデリングの潜在的な可能性は実質的に無限である。 

B.5.4 その他のアプローチ 

モデルの複雑さと対象とするシステムの構成部品の数との関係は,用いるアプローチの種類によって劇

的に変動する。これは,FT及びペトリネットでは線形であるが,マルコフ過程では指数関数的である。し

たがって,FT及びペトリネットによるアプローチの場合,マルコフによるアプローチに比べてはるかに大

規模なシステムを,より容易に取り扱うことができる可能性がある。これが,しばしばペトリネットを用

いて大きなマルコフ図を作成される理由である。 

これまでに示した図式表現の背後にある基本的な形式言語の場合,平たん(坦)なモデルが生成される。

background image

72 

C 0508-6:2019 (IEC 61508-6:2010) 

  

各構成部品は,個々に同一レベルで記述される。このため,大きなモデルでは,モデルを把握し,維持す

ることがしばしば困難になる。この問題を克服する一つの方法は,コンパクトな階層モデルを提供する構

造化された言語を用いることである。最近では,このような形式言語が幾つか開発されており,ソフトウ

ェアパッケージも利用可能である。例として,信頼性関連のコミュニティが自由に用いることができるよ

うに,産業システムの機能的及び機能不全的な特性を正確にモデリングするために設計され,2000年に発

表されたアルタリカ(AltaRica)のデータフロー(B.7の参考文献参照)による言語を用いて考察すること

ができる。 

図B.37は,図B.1に示すRBDと等価である。単一のモジュール群は一度だけモデリングされ,その後

は,システムレベル[すなわち,ノード メイン(Node Main)]で必要に応じて何度も再利用されるため,

このモデルは階層的になる。これによって,非常にコンパクトなモデルを実現できる。 

ここでは,表現を単純化するために,構成部品には,次の二つの遷移,すなわち,故障及び修復(すな

わち,発生したとき直ちに発現し修復するDD故障)だけを表す。 

システムの論理を記述するために,論理演算子(or,and)を用いる。これは,RBDと直接的に関連し

て行われ,フローの“Out”はシステムの状態をモデリングしている。すなわち,“Out”が真の場合,シス

テムは動作し,“Out”が偽の場合,故障していることを示している。 

図B.37−形式言語による機能及び機能不全のモデリングの例 

これによって,効率的なモンテカルロシミュレーションの優れた挙動モデルを提供することができ,

PFDavg計算又はPFH計算のために,ペトリネットに関する上記の全てのものがここでも有効になる。した

単一モジュール 

信頼性データ 

システム 

望ましくない事象 

background image

73 

C 0508-6:2019 (IEC 61508-6:2010) 

がって,この説明をこれ以上深堀りはしない。 

この形式言語はペトリネットと類似した数学的特性をもつため,困難なく,一つのモデルを他のモデル

に変換することができる。さらに,FT又はマルコフ過程の背後にある言語の特性についても一般化するこ

とができる。したがって,FT又はマルコフ過程の特性に限定して記述する場合,モデルを同等なFT又は

マルコフ図に変換することができる。また,モデルの最後にあるキーワード“predicate”及び“locker”を

指示として与えることによって,FT若しくはマルコフモデルの生成,又は直接的なモンテカルロシミュレ

ーションの実行を行う。 

機能的及び機能不全的の両方の観点から,システムの挙動を適切にモデリングするために開発された形

式言語を用いることによって,次のことが可能になる。 

− モンテカルロシミュレーションを,モデル上で直接実行できる。 

− (言語をマルコフ特性に限定している場合,)マルコフ図を生成し,解析的計算を実行することができ

る。 

− 前述のように(言語をブール特性に限定している場合,)等価なFTを生成し,解析的計算を実行する

ことができる。 

このような機能及び機能不全の形式言語は,汎用言語である。E/E/PE安全関連系の特定の事例において,

これらを用いることに困難はない。これらの言語は,幾つもの保護層,様々な種類の故障モード,複雑な

プルーフテストパターン,構成部品の従属性,保全資源などの観点から,他の方法では限界に達するよう

な場合にも,E/E/PE安全関連系のPFDavg計算及びPFH計算を習得するための有効な方法を提供している。 

B.6 

不確かさの取扱い 

図B.38−不確かさの伝搬の原理 

確率的計算を実施するときに生じる主な問題の一つは,信頼性パラメータの不確かさに関連している。

したがって,PFD計算又はPFH計算を実施するときに,信頼性パラメータが結果の不確かさに与える影

響が何であるかを評価することは有用である。 

この問題を取り扱うときには注意が必要であり,モンテカルロシミュレーションを用いることで,図

B.38に示すように,このための効率的な方法を得ることができる。 

図B.38において,入力信頼性パラメータ(例 検出できない危険側故障率)は確かなものではないため,

ランダム変数によって置き換える。このランダム変数の確率密度は,不確かさの程度に応じて急変したり,

一つの結果 

ヒストグラム 

モンテカルロ 

不確かさを含む入力パラメータ 

74 

C 0508-6:2019 (IEC 61508-6:2010) 

  

フラットなだらかだったりする。図B.38では,Fの確率密度は,E又はDのものよりも急変している。こ

の例では,E又はDよりも,Fの不確かさが少ないことを意味している。 

計算は,次の手順に基づいて行う。 

1) パラメータ(B.3.2に示したものと同様)の確率分布に従って,乱数を用いて一組の入力パラメータを

生成する。 

2) 1) で生成した一組の入力パラメータを用いて,1回の計算を行う。 

3) 出力結果を記録する[この結果は,手順4) で用いる結果の1回分の値となる]。 

4) ヒストグラム(図B.38の点線)を構成するために,十分な数の値(例 100又は1000)が得られるま

で,手順1)〜3) を何度も実施する。 

5) ヒストグラムを統計的に解析して,出力結果の平均値及び標準偏差を得る。 

このヒストグラムの平均値は,実行した計算の種類に応じてPFDavg又はPFHとなり,標準偏差によっ

て,この結果の不確かさを評価する。標準偏差が小さければ小さいほど,PFDavg計算又はPFH計算は,よ

り正確になる。 

図B.38に示すFTの原理は非常に一般的なものであり,この附属書に示す計算方法,すなわち,簡略化

された公式,マルコフ過程及びペトリネット,又は形式言語によるアプローチ,のいずれにも適用できる。

既にモンテカルロシミュレーションによって計算を行っている場合は,2段階モンテカルロシミュレーシ

ョンを用いる。 

所定の入力信頼性パラメータにおける確率分布は,その確率分布について収集した知識に従って選択す

る。確率分布は,次に示すものなどから選択する。 

− 下限と上限との間の一様分布 

− 最も可能性の高い値をもつ三角分布 

− 所定の誤差係数をもつ対数正規分布 

− カイ二乗分布 

運用経験からのフィードバックがあまり利用できない場合,前者の一様分布又は三角分布を工学的判断

で評価して用いてもよい。運用経験からのフィードバックを多く利用できる場合は,そのフィードバック

からのパラメータ値及びこの平均値の信頼区間が得られるため,後者の対数正規分布又はカイ二乗分布を

用いることができる。 

例えば,累積観察時間Tにわたってn個の故障を観察した場合,次の式となる。 

− 

T

n/

ˆ=

λ

 故障率の最ゆう(尤)推定量 

− 

2

2

),

1(

,

lnf

2

1

n

T

α

α

χ

λ

=

 λlnf,αよりも低くなる確率α %をもつ下限 

− 

2

)1

(2,

,

Sup

2

1

+

=

n

T

α

α

χ

λ

 λSup,αよりも高くなる確率α %をもつ上限 

α=5 %の場合,λの真値は,区間 [λlnf,α,λSup,α] において100回に90回の確率で起こる。この区間が小

さければ小さいほど,λの値は更に正確になる。通常,優れた信頼性データベースの場合,この情報を提

供している。解析者は,信頼区間(又は信頼区間の計算を可能にする情報)がない信頼性データが提供さ

れた場合は,非常に注意深く検討することが望ましい。 

λˆ,λlnf,α及びλSup,αは,所定の故障モードの故障率λ及び故障率の不確かさを,モデリングするための関

連分布を構築するために用いることができる。λˆ,λlnf,α及びλSup,αはX2分布については明確であるが,対

75 

C 0508-6:2019 (IEC 61508-6:2010) 

数正規分布でも,非常に有効であることが明らかになっている。対数正規分布の場合,λlnf,α及びλSup,αは,
平均値λˆ又は中央値λ50 %,及びいわゆる誤差係数efαによって定義される。 

この分布は,非常に興味深い,次に示す特性をもつ。 

λlnf,α=λ50 %/efα 

λSup,α=λ50 %×efα 

したがって,不確かさは二つのパラメータλˆ及び

α

α

α

λ

λ

,

lnf

,

Sup

ef

だけで定義することができる。 

すなわち,efα=1の場合には不確かさはなく,efα=3.3の場合には信頼下限と信頼上限とでは約10倍の

差がある,などが分かる。 

これらの分布は,PFDavg又はPFHの平均値及び平均値の不確かさの両方の影響を考慮するために,引き

続き,モンテカルロシミュレーションを用いることができる。これによって,確率計算の中の不確かさを

習得することが常に可能になる。一部のソフトウェアパッケージは,このような計算を直接行っている。 

冗長システムを解析する場合,解析は基本要素の故障率の不確かさだけでなく,CCFの確率の精度も考

慮することが望ましい。要素のそれぞれについて適切な運用経験からのフィードバックがある場合でも,

優れたCCFの運用データはめったにないため,CCFの確率が最も不確かなものとなる。 

B.7 

参考文献 

故障確率の評価の詳細については,参考文献[4]〜[9]及び[22]〜[24]を参照。 

76 

C 0508-6:2019 (IEC 61508-6:2010) 

  

附属書C 
(参考) 

診断カバー率及び安全側故障割合の算出−実施例 

診断カバー率及び安全側故障割合の算出方法は,JIS C 0508-2の附属書Cに規定されている。この附属

書では,これを用いて診断カバー率を計算する方法を簡潔に説明する。JIS C 0508-2に規定する全ての情

報は,表C.1に示す値を得るために,必要な場合に利用可能であり,利用されていることを想定している。

表C.2では,特定のE/E/PE安全関連要素について,主張できる診断カバー率の限度を示す。表C.2の値は,

工学的な判断に基づいている。 

表C.1の全ての値を理解するには,全ての故障モードの影響を判断する根拠となる,詳細なハードウェ

アの図面が必要になることがある。ただし,これらの値は,例にすぎない。例えば,表C.1の一部の構成

部品は,全ての構成部品の全ての故障モードを検出することは実際上不可能であるため,診断カバー率は

なしと想定している。 

表C.1は,次の要領で作成している。 

a) 全ての構成部品について,自己診断テストがない場合の,システム動作に対する各要素の各故障モー

ドの影響を判断するため,故障モード及び影響解析を実施した。各故障モードに関連する全体故障率

の割合を,構成部品ごとに,安全側故障(S)及び危険側故障(D)に分割して示している。安全側故

障と危険側故障との間の分割は,単純な構成部品の場合は断定的である場合があるが,複雑な構成部

品の場合は工学的判断に基づいている。複雑な構成部品に関しては,各故障モードの詳細な解析が不

可能な場合,通常,故障を50 %の安全側故障と50 %の危険側故障とに分割することを認めている。

この表では,ここで実施した故障モードを用いているが,故障モード間の他の分割も可能であり,そ

のほうが望ましい場合もある。 

b) 各構成部品に対する具体的な自己診断テストによる診断カバー率を,“DCcomp”の列に示している。こ

の診断カバー率は,安全側故障及び危険側故障の両方を検出するための具体的な診断カバー率である。

単純な構成部品(例 抵抗器,コンデンサ及びトランジスタ)の開放故障又は短絡故障は,診断カバ

ー率100 %で検出されることを示しているが,表C.2を用いた場合,項目“U16”の,複雑タイプB

の構成部品の診断カバー率は,90 %に制限している。 

c) 列(1)及び列(2)は,自己診断テストを実施しない場合の,構成部品ごとの安全側故障率及び危険側故障

率(それぞれλS及びλDD+λDU)を示している。 

d) 検出できる危険側故障は,実際上は安全側故障とみなすことができる。したがって,ここでは,故障

を,実際上の安全側故障(すなわち,検出できる安全側故障,検出できない安全側故障又は検出でき

る危険側故障のいずれか)と,検出できない危険側故障とに分割することができる。有効な安全側故

障率を求める場合は,危険側故障率に危険側故障の診断カバー率を乗じ,結果を安全側故障率に加え

る[列(3)参照]。同様に,検出できない危険側故障率を求める場合は,1から危険側故障の診断カバー

率を減じ,その結果に危険側故障率を乗じる[列(4)参照]。 

e) 列(5)は検出できる安全側故障率を示し,列(6)は検出できる危険側故障率を示す。これらの値は,診断

カバー率に,それぞれ安全側故障率又は危険側故障率を乗じることで得たものである。 

f) 

表から,次の結果が得られる。 

background image

77 

C 0508-6:2019 (IEC 61508-6:2010) 

− 安全側の全故障率 

7

DD

S

10

9.9

×

=

+∑

λ

λ

(検出できる危険側故障を含む。) 

− 検出できない危険側の全故障率 

8

DU

10

1.5

×

=

∑λ

− 全故障率 

6

DU

DD

S

10

0.1

×

=

+

+

λ

λ

λ

− 検出できない安全側の全故障率 

8

SU

10

7.2

×

=

∑λ

− 安全側故障の診断カバー率 

%

93

65

.3

38

.3

S

SD

=

=

∑∑λ

λ

− 危険側故障の診断カバー率 

%

92

72

.6

21

.6

DU

DD

DD

=

=

+∑

∑∑

λ

λ

λ

(通常,単に“診断カバー率”という。) 

− 安全側故障割合 

%

95

672

365

986

DU

DD

S

DD

S

=

+

=

+

+

+

λ

λ

λ

λ

λ

g) 自己診断テストなしの故障率は,35 %の安全側故障及び65 %の危険側故障に分割する。 

表C.1−診断カバー率及び安全側故障割合の計算例 

部品 数量 

タイプ 

故障モードごとの安全側故障及び危険

側故障の分割 

診断カバー率及び算出した故障率の安全側故

障及び危険側故障の分割(×10−9) 

OC 

SC 

ドリフト 

機能 

DCcomp 

(1) 

(2) 

(3) 

(4) 

(5) 

(6) 

λS 

λDD 

λDU 

λS 

λDD 

λDU 

λSD 

λDD 

Print 

Print 

0.5 0.5 0.5 0.5 

0.99 0.99 11.0 11.0 21.9 0.1 10.9 10.9 

CN1 

Con96pin 

0.5 0.5 0.5 0.5 

0.99 0.99 11.5 11.5 22.9 0.1 11.4 11.4 

C1 

100nF 

3.2 

0.0 

3.2 

0.0 

3.2 

0.0 

C2 

10μF 

0.8 

0.0 

0.8 

0.0 

0.8 

0.0 

R4 

1M 

0.5 0.5 0.5 0.5 

1.7 

1.7 

3.3 

0.0 

1.7 

1.7 

R6 

100k 

0.0 

0.0 

0.0 

0.0 

0.0 

0.0 

OSC1 

OSC24 MHz 

0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.5 

16.0 16.0 32.0 0.0 16.0 16.0 

U8 

74HCT85 

0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.99 0.99 22.8 22.8 45.4 0.2 22.6 22.6 

U16 

MC68000-12 

0.5 0.5 0.5 0.5 0.90 0.90 260.4 483.6 695.6 48.4 234.4 435.2 

U26 

74HCT74 

0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.99 0.99 22.8 22.8 45.4 0.2 22.6 22.6 

U27 

74F74 

0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.5 0.99 0.99 14.4 14.4 28.7 0.1 14.3 14.3 

U28 

PAL16L8A 

0.98 0.98 0.0 88.0 86.2 1.8 

0.0 86.2 

T1 

BC817 

0 0.67 0 

0.5 

0.0 

0.2 

0.4 

0.0 

0.0 

0.2 

合計 

365 672 986 50.9 338 621 

background image

78 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表C.1−診断カバー率及び安全側故障割合の計算例(続き) 

凡例 

安全側故障 

危険側故障 

OC 

開放故障 

SC 

短絡故障 

ドリフト 値の変化 
機能 

機能上の故障 

DCcomp 

構成部品の診断カバー率 

 
表B.1も参照。ただし,この表の故障率は,チャネルの全ての構成部品ではなく,対象としている個々の構成部品に
関するものである。 
注記 部品“R6”の故障モードでは何も検出されていないが,故障があった場合でも,安全性にもアベイラビリティ

にも影響を与えない。 

表C.2−様々な要素の実効性を加味した診断カバー率 

構成部品 

低診断カバー率 

中診断カバー率 

高診断カバー率 

CPU(注記3参照) 

全割合70 %未満 

全割合90 %未満 

レジスタ,内部RAM 

50〜70 % 

85〜90 % 

99〜99.99 % 

フラグレジスタを含むコーディング及び実行 
(注記3参照) 

50〜60 % 

75〜95 % 

− 

アドレス計算(注記3参照) 

50〜70 % 

85〜98 % 

− 

プログラムカウンタ,スタックポインタ 

40〜60 % 

60〜90 % 

85〜98 % 

バス 

メモリ管理ユニット 

50 % 

70 % 

90〜99 % 

バスアービトレーション 

50 % 

70 % 

90〜99 % 

割込み処理 

40〜60 % 

60〜90 % 

85〜98 % 

クロック(クォーツ)(注記4参照) 

50 % 

− 

95〜99 % 

プログラムフロー監視 

時間的(注記3参照) 

40〜60 % 

60〜80 % 

− 

論理的(注記3参照) 
時間的及び論理的(注記5参照) 

40〜60 % 

− 

60〜90 % 
65〜90 % 

− 

90〜98 % 

不変メモリ 

50〜70 % 

99 % 

99.99 % 

可変メモリ 

50〜70 % 

85〜90 % 

99〜99.99 % 

ディスクリートハードウェア 

デジタルI/O 

70 % 

90 % 

99 % 

アナログI/O 

50〜60 % 

70〜85 % 

99 % 

電源 

50〜60 % 

70〜85 % 

99 % 

通信及び大容量記憶 

90 % 

99.9 % 

99.99 % 

電気機械式装置 

90 % 

99 % 

99.9 % 

センサ 

50〜70 % 

70〜85 % 

99 % 

操作端 

50〜70 % 

70〜85 % 

99 % 

注記1 この表は,検討対象の故障モードを示しているJIS C 0508-2の表A.1と併せて用いることが望ましい。 
注記2 診断カバー率について範囲を示している場合,許容範囲の小さい監視装置,又は非常に動的な方法で被テ

スト機能にストレスを加えるテスト手段のときに限って,範囲の上限値を設定できる。 

注記3 診断カバー率の値が大きくない技法については,現在,実効性の高い手段及び技法は知られていない。 
注記4 現在,クォーツクロックに関しては,実効性が中程度の手段及び技法は知られていない。 
注記5 時間的プログラムフロー監視と論理的プログラムフロー監視との組合せの最小診断カバー率は,中位であ

る。 

参考文献[10]〜[12]を参照する。 

79 

C 0508-6:2019 (IEC 61508-6:2010) 

附属書D 
(参考) 

E/E/PE系におけるハードウェア関連の共通原因故障の影響を 

定量化する方法 

D.1 一般 

D.1.1 はじめに 

この規格は,決定論的原因故障を扱う多くの措置を取り入れている。しかしながら,これらの措置をう

まく適用しても,決定論的原因故障の発生確率は残存する(ゼロにはならない)。この残存する決定論的故

障は,単一チャネル系の信頼性計算には大きな影響を与えないが,複数チャネル系内の二つ以上のチャネ

ル(又は冗長安全関連系の複数の要素)に影響を与える可能性がある潜在的故障[すなわち,CCF(共通

原因故障)]は,信頼性計算を複数チャネル系又は冗長系に適用したときに重大な誤差をもたらす。 

この附属書では,複数チャネル又は冗長E/E/PE系の安全評価において,CCFを考慮するための二つの

方法を示す。これらの方法を用いることによって,複数チャネル又は冗長E/E/PE系の安全度を,CCFの

可能性を無視した場合よりも,より正確に推定することができる。 

第1の方法は,CCFのモデリングでしばしば用いるβ係数の値を算出するために用いる。この方法は,

並列に動作する二つ以上のシステムに適用するCCFの確率を,これらのシステムのうちの一つのランダム

ハードウェア故障率に基づいて推定するのに用いることができる(D.5を参照)。一般的に,収集されたラ

ンダムハードウェア故障の数字には,決定論的原因故障が引き起こす故障を含むことを容認している。 

幾つかの場合,例えば,CCFに関するデータのアベイラビリティの結果として,より正確なβ係数が実

証できる場合,又は影響を受ける要素の数が4を超える場合には,代替の方法が望ましいこともある。こ

のような場合は,第2の方法,すなわち,二項故障率(ショックモデル)による方法を用いることができ

る。 

D.1.2 概要 

システムの故障は,次の二つのいずれかの原因から発生すると考える。 

− ランダムハードウェア故障 

− 決定論的原因故障 

前者は,どのような構成部品の場合でも時間的に不規則に発生し,構成部品が一部を構成するシステム

内のチャネルの故障を引き起こすと考えられ,後者は,決定論的原因エラーが顕在化する状況にシステム

がなったとき,即座に確定論的に発生する。 

独立したランダムハードウェア故障が,複数チャネル系の全てのチャネルで発生し,全てのチャネルが,

同時に故障状態になるという確率は限定される。これは,ランダムハードウェア故障は,時間の経過に対

して不規則に発生すると想定できるためで,故障が並列チャネルに同時に影響を与えるという確率は,単

一チャネルが故障するという確率と比較すれば低い。この確率は,十分に確立した技法を用いて算出でき

るが,故障が互いに完全には独立していない場合,その計算結果は実際よりも非常に小さくなってしまう

場合もある。 

従属故障は,従来から,次のように分けられている(参考文献 [18]参照)。 

− 単一の共有原因から複数の故障をもたらすCCF。複数の故障は同時又は一定の期間にわたって起こる

ことがある。 

80 

C 0508-6:2019 (IEC 61508-6:2010) 

  

− 同じモードで機器の複数の要素が故障するCCFの特定の事例である共通モード故障(CMF) 

− 故障が伝搬するカスケード故障 

CCFという用語は,この附属書の中で用いているように,全ての種類の従属故障を含めるためにしばし

ば用いられている。これらは次のように分けることができる。 

− 明確な決定論的原因による従属故障。 

− 精度が十分ではない,明確な決定論的原因ではない,又は信頼性データを収集することが不可能であ

るため,解析の中では明示的には考慮されることがない残存する潜在的な多重故障の事象。 

前者は,従来の方法で解析,モデリング及び定量化することが望ましい。後者に限り,この附属書に示

すように取り扱うことが望ましい。ただし,安全解析の間に特定できない(特定できる場合は,取り除か

れる。)完全な従属故障である決定論的原因故障は,この規格においては特別な方法で取り扱っており,こ

の附属書は主としてハードウェアランダム従属故障に適用する。 

したがって,単一原因から発生するCCFは,複数のチャネル又は複数の構成部品に影響を与えることも

ある。これらの故障は,決定論的原因故障(例 設計上又は仕様上の間違い),早期のランダムハードウ

ェア故障に至る外部ストレス(例 共通冷却ファンのランダムハードウェア故障から発生する温度上昇に

よって,構成部品の寿命が急速に短くなる。部品の動作環境が本来の構成部品の仕様を外れることがある。),

又はこれらの両方の組合せから発生することがある。CCFは複数チャネル系の二つ以上のチャネルに影響

を与える可能性があるため,CCFの確率は,複数チャネル系の故障の全確率を決定する際に,支配的な要

因になる可能性が高い。したがって,これを考慮しないと,組合せシステムの安全度水準の現実的な推定

が得られない可能性がある。 

D.1.3 CCF(共通原因故障)に対する防御 

CCFは単一原因から発生するが,必ずしも,全てのチャネルで全ての兆候が同時に生じるわけではない。

例えば,冷却ファンが故障した場合,複数チャネルE/E/PE系のチャネルが全て故障してから,CCFにた

どり着くかもしれない。しかしながら,全てのチャネルが同じ速度で熱くなったり,同じ臨界温度に達し

たりする可能性は低い。したがって,故障は,異なるチャネルで異なる時間に発生する。 

プログラマブルシステムのアーキテクチャによっては,システムは,オンライン運転中に自己診断テス

ト機能を実行できる。これらの機能は,例えば,次に示すような幾つもの手段に採用できる。 

− 単一チャネルPE系は,入力装置及び出力装置の機能とともに,内部動作を継続的にチェックできる。

最初から設計している場合,テストカバレッジは約99 %が達成可能である(参考文献[13]参照)。故障

が発生する前に内部フォールトの99 %を明らかにすることによって,最終的にCCFにつながる単一

チャネルフォールトの確率は著しく減少する。 

− PE系の各チャネルは,内部テストに加えて,複数チャネルPE系の他のチャネルの出力を監視できる

(又は各PE装置は,複数チャネルPE系の別のPE装置を監視できる)。したがって,故障が一つのチ

ャネルで発生した場合,相互監視テストを実施中の故障していない残りの一つ又は複数のチャネルに

よってこの故障は検出され,安全側の運転停止を起動する[ただし,相互監視は,制御システムの状

態が連続的に変化している場合(例えば,状態変化を繰り返すような機械で頻繁に用いる保護装置が

インターロックの場合),又は制御する機能に影響を与えることなく短時間の変更を導入する場合だけ

有効であることに注意する。]。この相互監視は高速で実施できるため,非同時発生のCCF(以下,非

同時CCFという。)の発生直前に,相互監視テストで最初のチャネルの故障を検出する可能性が高く,

2番目のチャネルが影響を受ける前にシステムを安全な状態にすることができる。 

background image

81 

C 0508-6:2019 (IEC 61508-6:2010) 

冷却ファンの例の場合,温度上昇率及び各チャネルのぜい(脆)弱性は多少異なっており,最初のチャ

ネルの故障のおそらく数十分の後に2番目のチャネルが故障する。これによって,自己診断テストで2番

目のチャネルにCCFが発生する前に,安全側停止処理を起動する。 

したがって,次のことが言える。 

− PEに基づくシステムは,CCFに対する防御を組み込むことが可能であり,したがって,他の技法の

システムと比較したとき,CCFに対するぜい弱性は低い。 

− 他の技法と比較するとき,異なるβ係数をPEに基づくシステムに適用することがある。したがって,

今までのデータに基づくβ係数の推定値は,無効となる可能性が高い(CCFの確率の評価に用いる既

存の調査済みモデルは,いずれも自動相互監視の効果を考慮に入れていない。)。 

− 時間的に分散しているCCFは,全てのチャネルに影響を与える前に自己診断テストで発見される可能

性があるので,そのような故障は,CCFとして認識又は報告されない可能性がある。 

潜在的な危険側CCFの確率を低くするために講じることができる手段には,次の三つがある。 

a) 全体的に,ランダムハードウェア故障及び決定論的原因故障の回数を減らす(これによって,図D.1

のだ(楕)円の各領域が小さくなり,重なり合う領域が減少する。)。 

b) 各チャネルの独立性(分離性及び多様性)を最大限にする(これによって,図D.1に示すだ円の各領

域をそのままの大きさにしたまま,だ円間の重なり合う部分が減少する。)。 

c) 一つのチャネルだけが影響を受けていて,もう一つのチャネルが影響を受ける前に,非同時CCFを明

らかにする。すなわち,時差を設けて自己診断テスト又はプルーフテストを行う。 

図D.1−CCF(共通原因故障)と各チャネルの故障との関係 

三つ以上のチャネルをもつシステムの場合,CCFは,全てのチャネル又は複数のチャネルに影響を与え

ることがあるが,全てのCCFが共通モードの原因によるわけではない。したがって,この附属書で取り上

げるアプローチは,第1の方法の場合,多数決決定が1oo2の二重化システムに基づいてβ値を計算し,次

に,チャネルの総数及び多数決に対する要求事項に基づいて,求めたβ値に乗率をかける方法を用いる(表

チャネル1の 
故障 

両方のチャネ
ルに影響を与
える共通原 
因故障 

チャネル2の 
故障 

82 

C 0508-6:2019 (IEC 61508-6:2010) 

  

D.5参照)。 

D.1.4 この規格群で採用しているアプローチ 

この規格群では,D.1.3のa)〜c) の手段に基づき,次の三重のアプローチを要求している。 

a) JIS C 0508-2及びJIS C 0508-3に規定する技法を適用して,ランダムハードウェア故障の確率にふさ

わしい水準まで決定論的原因故障の全確率を減少させる。 

b) 量化できる要因を定量化する。すなわち,JIS C 0508-2に規定するように,ランダムハードウェア故

障の確率を考慮する。 

c) 現在のところ最高の実用的手段とみなされている手段を用いて,ハードウェアのCCFの確率をランダ

ムハードウェア故障に関連づける係数を導く。この附属書に示している方法は,この係数を導く方法

に関連している。 

CCFの確率を概算する方法の大半は,ランダムハードウェア故障の確率に基づいて予測する。明白なこ

とであるが,各確率間の直接的関係について,正当化は薄弱である。しかしながら,実際には,各確率間

の相関関係が発見されており,おそらく二次的効果の結果である。例えば,システムのランダムハードウ

ェア故障の確率が高ければ高いほど,次のようになる。 

− システムが必要とする保全の量は,ますます多くなる。保全中に決定論的原因故障が発生する確率は

保全の実施回数に依存し,このことが,CCFにつながるヒューマンエラー率にも影響する。これが,

例えば,次に示すランダムハードウェア故障の確率とCCFの確率との関係をもたらす。 

− ランダムハードウェア故障が発生するたびに,修復,その後のテスト及び(おそらくは)再校正を必

要とする。 

− 所定の安全度水準において,ランダムハードウェア故障の確率がより高いシステムでは,より頻繁に,

より深く,より複雑にプルーフテストを実施することが必要であり,更に人の介入も必要になる。 

− システムは,ますます複雑になる。ランダムハードウェア故障の確率は,構成部品の数,すなわち,

システムの複雑さによって異なる。複雑なシステムは,理解するのがより難しくなるため,ますます,

決定論的原因故障が発生しやすくなる。さらに,複雑さは,分析又はテストのいずれかによるフォー

ルトの検出を困難にし,まれにしか,システムの論理部分をチェックしなくなるおそれが出てくる。

これが,ランダムハードウェア故障の確率とCCFの確率との関係をもたらす。 

このほかにも,現在,幾つかのアプローチ[β係数,MGL(Multiple Greek Letters)モデル,α係数,二

項故障率(ショックモデル)など]が,CCFを取り扱うために用いられている(参考文献[20]参照)。この

附属書では,既に示した三重のアプローチの第3部分,c) について,次の二つのアプローチを提案する。

これらのモデルには限界はあるが,現状では,CCFの確率を扱う最善の方法であると考えられている。 

− 通常四つの従属要素までの複数チャネル系を扱うために広範に使用され,現実的であり,十分に確立

されたβ係数モデル。 

− 従属要素が四つを超える場合に用いることができる二項故障率(ショックモデル)(参考文献[21]参

照)。 

E/E/PE系において,β係数モデル又はショックモデルを用いるとき,次の二つの問題に直面する。 

− パラメータには,どのような値を選択することが望ましいか。多くの資料(例 参考文献[13])では,

β係数の値となる可能性がある範囲を示しているが,実際の値は示しておらず,使用者の主観的選択

83 

C 0508-6:2019 (IEC 61508-6:2010) 

に任されている。この問題を克服するために,この附属書に示すβ係数法は,参考文献[14]で最初に

示され,近年,参考文献[15]で再定義されたシステムに基づいている。 

− β係数モデル及びショックモデルのいずれも,最新のPE系の洗練された自己診断テスト機能を考慮し

ていない。この機能は,CCFが全体に影響を与える前に十分な時間的余裕がある非同時CCFを検出

するために用いることができる。自己診断テスト機能を考慮していないという欠陥を克服するため,

参考文献の[14]及び[15]に記載するアプローチでは,β値の算出において,自己診断テストの効果をβ

値に反映できるように変更している。 

PE系内で実行する自己診断テスト機能は,連続的にPE系の動作と事前に定義した状態とを比較してい

る。これらの状態は,ソフトウェア又はハードウェア(例 ウォッチドッグタイマ)で事前に定義できる。

このように考えた場合,自己診断テスト機能は,PE系と並列に動作する付加的かつ部分的に多様なチャネ

ルとみなすことができる。 

チャネル間の相互監視も,実施できる。この技法は,長年にわたって,専らリレーに基づく二重チャネ

ルインターロックシステムで用いられてきた。ただし,リレー技術の場合,通常は,チャネルの状態が変

わったときだけに相互チェックを実施することができるため,長い時間にわたってシステムが同じ状態

(例 オン)であるときには,非同時CCFを検出するこのテストは不向きである。PE系技術の場合,相

互監視は繰返し回数を多くして実施できる。 

D.2 方法の適用範囲 

この附属書の方法の適用範囲は,ハードウェア内のCCFに限定する。これには,次のような理由がある。 

− β係数モデル及びショックモデルでは,CCFの確率とランダムハードウェア故障の確率とを関連付け

る。システム全体を巻き込むCCFの確率は,システムの複雑さ(おそらく使用者ソフトウェアによっ

て支配される)に依存し,ハードウェアだけに依存しない。明らかに,全てのランダムハードウェア

故障の確率に基づく計算は,ソフトウェアの複雑さを考慮することはできない。 

− CCFの報告は,通常,ハードウェア故障,すなわちハードウェアの製造業者にとって最も関心の高い

領域に限定されている。 

− 決定論的原因故障(例 ソフトウェアのフォールト)をモデリングすることは,現実的なこととはみ

なされていない。 

− JIS C 0508-3に規定する手段は,ソフトウェア関連のCCFの確率を,目標安全度水準を許容可能な水

準にまで軽減することを意図している。 

したがって,これらの方法から得られるCCFの確率の推定は,ハードウェアに関する故障だけに関係し

ている。これらの方法を用いて,ソフトウェア関連故障の確率を考慮する全故障確率を得ることができる

と想定しないほうがよい。 

D.3 方法で考慮すべき点 

センサ,論理サブシステム及び操作端は,例えば,異なる環境条件及び様々なレベルの自己診断テスト

の影響下にあるため,この附属書の方法を,各サブシステムに個々に適用することが望ましい。例えば,

論理サブシステムは,管理された動作環境に置かれる可能性が高いのに比べて,センサは激しい風雨にさ

らされる屋外の配管に取り付けられることがある。 

84 

C 0508-6:2019 (IEC 61508-6:2010) 

  

プログラマブル電子チャネルは,洗練された自己診断テスト機能を実行することができる。これらの機

能は,次のことを可能にする。 

− チャネル内において,高い自己診断カバー率をもつことができる。 

− 追加の冗長チャネルを監視することができる。 

− 高い繰返し率をもつことができる。 

− 多くの場合,センサ及び/又は操作端も監視することができる。 

大部分のCCFは,影響を受ける全てのチャネルで同時に起こることはない。したがって,自己診断テス

トの繰返し頻度が十分高い場合,CCFの大部分を検出することができ,全ての使用可能なチャネルに影響

を与える前にその影響を回避することができる。 

CCFに対する耐性をもつ複数チャネル系の全ての機能を,自己診断テストで評価することはできない。

ただし,多様性又は独立性に関連する機能は,CCFに対してより効果的になる。非同時CCFに対するチ

ャネル故障間隔の時間を長くする(又は,同時発生のCCFの割合を小さくする。)可能性がある機能は,

自己診断テストが故障を検出し,プラントを安全な状態にする確率を高める。したがって,CCFに対する

耐性に関連する機能の特徴は,自己診断テストの採用によって,効果が増すと考えるものと,効果が増さ

ないと考えるものとに分けられる。これによって,表D.1のX及びYの二つの列に分けられる。 

3チャネルシステムの場合,三つのチャネルの全てに影響を与えるCCFの確率は,二つのチャネルに影

響を与える故障確率よりも多少低くなる傾向にあるが,β係数法を簡単にするため,確率は影響を受ける

チャネルの数とは関係がないと仮定する。すなわち,CCFが発生した場合,その故障は,全てのチャネル

に影響を与えることと想定する。代替方法として,ショックモデルがある。 

これらの方法の校正に利用可能な,ハードウェア関連のCCFに関するデータは知られていない。したが

って,この附属書の各表は,工学的判断に基づいたものである。 

自己診断テストルーチンは,直接的には安全の役割をもたないものとみなされることがよくあるため,

メイン制御機能を提供するルーチンと同じレベルの品質保証を受けられない場合がある。これらの方法は,

自己診断テストが,目標安全度水準に見合った安全度をもつものと仮定して開発された。したがって,ソ

フトウェアに基づく自己診断テストルーチンは,目標安全度水準に適した技法を用いて開発することが望

ましい。 

D.4 CCF(共通原因故障)によるE/E/PE安全関連系の故障確率の計算に用いるβ係数 

自己診断テストを各チャネル内で実施しているときの,複数チャネル系に対するCCFの影響を検討する。 

β係数モデルを用いる場合,危険側CCFの確率は,次のとおりである。 

λDβ 

ここに, 

λD: 各個別チャネルの危険側ランダムハードウェア故障率 

β: 自己診断テストを実施しない場合のβ係数。すなわち,

全てのチャネルに影響を与える単一チャネルの故障の
割合 

ここで,CCFは,全てのチャネルに影響を与え,更に最初のチャネルが影響を受けてから全てのチャネ

ルが影響を受けるまでの時間間隔が,連続するCCFの時間間隔に比べて短いものと仮定する。 

また,故障の一部を検出して明らかにする自己診断テストは,各チャネルで行われるものと仮定する。

全ての故障は,次の二つのカテゴリに分けることができる。 

85 

C 0508-6:2019 (IEC 61508-6:2010) 

− 自己診断テストの範囲外で発生する故障(すなわち,決して検出することはできない。) 

− 自己診断テストの範囲内で発生する故障(すなわち,最終的に自己診断テストで検出できる。) 

危険側CCFによる全体故障率は,次の式となる。 

λDUβ+λDDβD 

ここに, 

λDU: 単一チャネルの検出できない危険側故障率(すなわち,

自己診断テストの範囲外で発生している故障の故障
率)。自己診断テストの繰返し率によって明らかにβ係
数が減少しても,影響を受けない。 

β: 検出できない危険側フォールトのCCF係数。自己診断テ

ストを実施しない場合には適用可能な全体のβ係数に等
しい。 

λDD: 単一チャネルの検出できる危険側故障率(すなわち,自

己診断テストの範囲内で発生している単一チャネル故
障の故障率)。自己診断テストの繰返し率が高い場合,
一部の故障が明らかになるため,β値(すなわち,ここ
ではβD)が小さくなる。 

βD: 検出できる危険側故障のCCF係数。自己診断テストの繰

返し率が高くなれば,βDの値はβを下回る方向に小さく
なっていく。 

ここで,β及びβDは,次による(D.5参照)。 

− βは,スコアS(X+Y)を用いて,表D.4から得た結果を,表D.5に用いて求める。 

− βDは,スコアSD[X(Z+1)+Y]を用いて,表D.4から得た結果を,表D.5に用いて求める。 

D.5 β値の推定に用いる表 

センサ,論理サブシステム及び操作端のβ係数は,個々に算出することが望ましい。 

CCFの発生確率を最小限にするためには,まず,その発生を効率的に防ぐ方法を確立することが望まし

い。システムにおいて適切な措置を実装することによって,CCFの故障確率の推定に用いるβ係数の値が

小さくなる。 

表D.1に,措置を列挙し,工学的判断に基づく関連する値を示す。これらの値は,CCFの減少に対して

各措置がどれだけ寄与しているかを表している。センサ及び操作端は,プログラマブル電子装置とは異な

った方法で取り扱うため,プログラマブル電子装置とセンサ及び操作端とを区別して採点する。このため,

表D.1ではこれらを別の列としている。 

非同時CCFの検出を可能にする広範な自己診断テストは,プログラマブル電子システムに組み込むこと

ができる。β係数を概算するときに自己診断テストを考慮できるようにするため,表D.1に示す各措置の

全体的寄与を,工学的判断に基づく値X及びYの二つの組に分けている。措置ごとに,X:Yの比は,CCF

に対する措置の寄与が自己診断テストで改善できる範囲を表す。 

表D.1の利用者は,どの措置を関連システムに適用しているかを確認し,論理サブシステムの場合は,

措置ごとに示すXLS及びYLSの値をそれぞれ加算し,センサ又は操作端の場合は,措置ごとに示すXSF及び

YSFの値をそれぞれ加算することが望ましい。最終的に,XLSの加算値とXSFの加算値との合計をX,YLSの

加算値とYSFの加算値との合計をYとする。 

表D.2及び表D.3は,自己診断テストの頻度及び範囲に基づいて,係数Zを決定する場合に用いてもよ

い。この場合,非ゼロ値のZを用いるほうがよい場合に限り,注記4を参照することは重要である。この

background image

86 

C 0508-6:2019 (IEC 61508-6:2010) 

  

後,スコアS又はSDを,次の式を用いて算出する(D.4参照)。 

− 値βint(自己診断テストで検出できない故障のβ係数)を得る場合 S=X+Y 

− 値βD int(自己診断テストで検出できる故障のβ係数)を得る場合 SD=X(Z+1)+Y 

ここに, 

S: 該当するβint係数を決定するとき,表D.4に用いるスコ

ア 

SD: 該当するβD int係数を決定するとき,表D.4に用いるスコ

ア 

なお,βint及びβD intは,様々な冗長度の効果を考慮する前のCCFの値である。 

表D.1−プログラマブル電子装置又はセンサ及び操作端の採点 

項目 

論理サブ 
システム 

センサ及び 

操作端 

XLS 

YLS 

XSF 

YSF 

分離・隔離 

チャネルの全ての信号ケーブルを,全ての系統で個別に分けて敷設している。 

1.5 

1.5 

1.0 

2.0 

論理サブシステムチャネルを,個別のプリント配線板に配置している。 

3.0 

1.0 

− 

− 

論理サブシステムチャネルを,効果的な方法で物理的に分離している。例えば,
個別のキャビネットに入っている。 

2.5 

0.5 

− 

− 

センサ及び操作端が専用の制御電子装置を備えている場合,各チャネルの電子
装置を,個別のプリント配線基板に配置している。 

− 

− 

2.5 

1.5 

センサ又は操作端が専用の制御電子装置を備えている場合,各チャネルの電子
装置は屋内にあり,かつ,個別のキャビネットに入っている。 

− 

− 

2.5 

0.5 

多様性・冗長性 

チャネルは,異なる電気技術を用いている。 
例えば,一方は電子装置又はプログラマブル電子装置で,他方はリレーを用い
ている。 

8.0 

− 

− 

− 

チャネルは,異なる電子技術を用いている。 
例えば,一方は電子装置で,他方はプログラマブル電子装置を用いている。 

6.0 

− 

− 

− 

センサは,検出素子に異なる物理的原理を用いている。 
例えば,“圧力及び温度”,“ベーン風向風速計及びドップラートランスデュー
サ”などを用いている。 

− 

− 

9.0 

− 

センサは,異なる電気原理又は設計を用いている。 
例えば,“デジタル及びアナログ”,異なる製造業者(名前だけを変えたものを
除く。),又は異なる技術を用いている。 

− 

− 

6.5 

− 

多様性が低いものを用いているか。 
例えば,ハードウェア自己診断テストは,同じ技術を用いているか。 

2.0 

1.0 

− 

− 

多様性が中程度のものを用いている。 
例えば,ハードウェア自己診断テストは,異なる技術を用いている。 

3.0 

2.0 

− 

− 

チャネルは,異なる設計者によって,設計作業中に情報交換を行うことなく設
計された。 

1.5 

1.5 

− 

− 

引渡し中に各チャネルに別々の人によって別々のテスト方法が行われた。 

1.0 

0.5 

1.0 

2.0 

各チャネルの保全を,異なる時間に異なる人によって実施している。 

3.0 

3.0 

background image

87 

C 0508-6:2019 (IEC 61508-6:2010) 

表D.1−プログラマブル電子装置又はセンサ及び操作端の採点(続き) 

項目 

論理サブ 
システム 

センサ及び 

操作端 

XLS 

YLS 

XSF 

YSF 

複雑さ・設計・適用・成熟度・経験 

チャネル間の相互接続では,自己診断テスト又は多数決処理に用いる情報以外
の情報交換を除外している。 

0.5 

0.5 

0.5 

0.5 

設計は,5年を超える期間にわたり,現場で問題なく動作してきた機器で用い
られる技術に基づいている。 

0.5 

1.0 

1.0 

1.0 

同じハードウェアを類似の環境で使用した経験が,5年を超えている。 

1.0 

1.5 

1.5 

1.5 

システムは,単純なものである。 
例えば,1チャネル当たりの入力部又は出力部は10個以下である。 

− 

1.0 

− 

− 

入力部及び出力部を,発生する可能性があるレベルの過電圧及び過電流から保
護している。 

1.5 

0.5 

1.5 

0.5 

全ての装置及び構成部品の定格は,安全側である。例えば,安全係数が2以上
である。 

2.0 

− 

2.0 

− 

評価・解析・データのフィードバック 

故障モード及び影響解析又はFT解析の結果を検討して,CCFの発生源を明ら
かにし,あらかじめ決定したCCFの発生源を設計によって除去している。 

− 

3.0 

− 

3.0 

設計レビューのときにCCFを考慮し,結果を設計にフィードバックしている。
(設計レビュー作業の証拠文書が必要である。) 

− 

3.0 

− 

3.0 

現場での全ての故障を解析して,フィードバックを設計に行っている。 
(手順の証拠文書が必要である。) 

0.5 

3.5 

0.5 

3.5 

手順・ヒューマンインタフェース 

全ての構成部品の故障(又は劣化)を検出し,根本的な原因を明らかにし,更
に類似の潜在的な故障原因について類似項目を検査したことを確かなものに
する,明文化された作業体制がある。 

− 

1.5 

0.5 

1.5 

独立したチャネルの全ての部分の保全(調整又は校正も含む。)を時差を設け
て行い,保全に続いて実施する手動検査の他に,自己診断テストをあるチャネ
ルでの保全の終了と他のチャネルでの保全の開始との間で十分に問題なく実
施できるような手順が適切に準備されている。 

1.5 

0.5 

2.0 

1.0 

冗長システム(例 ケーブルなど)の全ての部分が互いに独立するようにする
こと及び移動しないようにすることを,保全手順書で規定している。 

0.5 

0.5 

0.5 

0.5 

プリント配線基板などの保守を,全て,現場から離れた認定修理センターで実
施し,修理した全ての項目に対する完全な事前据付けテストを実施している。 

0.5 

1.0 

0.5 

1.5 

システムは,自己診断カバー率が低く(60 %以上90 %未満),かつ,現場で交
換可能なモジュールのレベルまで故障を報告している。 

0.5 

− 

− 

− 

システムは,自己診断カバー率が中位(90 %以上99 %未満)で,かつ,現場
で交換可能なモジュールのレベルまで故障を報告している。 

1.5 

1.0 

− 

− 

システムは,自己診断カバー率が高く(99 %以上),かつ,現場で交換可能な
モジュールのレベルまで故障を報告している。 

2.5 

1.5 

− 

− 

システムの自己診断テストが,現場で交換可能なモジュールのレベルまで故障
を報告している。 

− 

− 

1.0 

1.0 

力量・訓練・安全文化 

設計者は,CCFの原因及び結果を理解できる程度の訓練(文書化の訓練を含
む。)を受けている。 

2.0 

3.0 

2.0 

3.0 

保全要員は,CCFの原因及び結果を理解できる程度の訓練(文書化の訓練を含
む。)を受けている。 

0.5 

4.5 

0.5 

4.5 

background image

88 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表D.1−プログラマブル電子装置又はセンサ及び操作端の採点(続き) 

項目 

論理サブ 
システム 

センサ及び 

操作端 

XLS 

YLS 

XSF 

YSF 

環境制御 

要員のアクセスを限定している。例えば,キャビネットをロックしている,ア
クセスできない場所を指定しているなど。 

0.5 

2.5 

0.5 

2.5 

システムは,常に,外部の環境制御装置を用いることなく,テスト済みの温度,
湿度,腐食,ほこり(埃),振動などの範囲内で動作するようになっている。 

3.0 

1.0 

3.0 

1.0 

全ての信号ケーブル及び電源ケーブルは,全ての場所で別々になっているか。 

2.0 

1.0 

2.0 

1.0 

環境テスト 

システムを,関連する環境上の全ての影響(例 EMC,温度,振動,衝撃,湿
度)に対する耐性に関して,所定の規格に規定されている適切なレベルまでテ
ストしている。 

10.0 

10.0 

10.0 

10.0 

注記1 システムの運転に関連する多くの項目は,設計時に予測することが難しいことがある。このような場合,

設計者は合理的な仮定を行い,続いて最終システム使用者に,例えば,設計した安全度水準を達成するた
めに実施する手順を確実に認識させることが望ましい。これは,添付書類に必要な情報を含めることで行
ってもよい。 

注記2 X列及びY列の値は,工学的判断に基づいており,列1の項目の間接的及び直接的な影響を考慮している。

例えば,現場で交換可能なモジュールを用いることによって,次を導くようにする。 
− 現場のそれほど適切でない条件下で実施する(おそらくは,不正確な)修理の代わりに,管理された

条件下で製造業者によって修理を実施することができる。これによって,決定論的原因故障(及び,
したがって,共通原因故障)の可能性が減るため,Y列に寄与する。 

− 現場での人の介在が減り,欠陥モジュールをオンラインで迅速に交換可能ならば,CCFに至る前に故

障を識別する自己診断の有効性が増すため,X列に強力に寄与する。 

表D.2−Zの値−プログラマブル電子装置 

自己診断カバー率 

自己診断テストの間隔 

1分未満 

1〜5分 

5分超 

99 %以上 

2.0 

1.0 

90 %以上99 %未満 

1.5 

0.5 

60 %以上90 %未満 

1.0 

表D.3−Zの値−センサ又は操作端 

自己診断カバー率 

自己診断テストの間隔 

2時間未満 

2時間〜2日間 

2日間〜1週間 

1週間超 

99 %以上 

2.0 

1.5 

1.0 

90 %以上99 %未満 

1.5 

1.0 

0.5 

60 %以上90 %未満 

1.0 

0.5 

注記1 この方法が最も有効なのは,表D.1の各カテゴリのリストの全項目のスコアについて,万遍

なく配慮している場合である。したがって,カテゴリごとのX列及びY列の合計スコアが,

X列及びY列の全体の合計スコアを20で除した値以上であることを強く推奨する。例えば,

全体の合計スコア(X+Y)が80である場合,いずれのカテゴリ(例 手順,ヒューマンイ

ンタフェース)に対しても,そのカテゴリごとの合計スコア(X+Y)が4未満でないほうが

よい。 

89 

C 0508-6:2019 (IEC 61508-6:2010) 

注記2 表D.1を用いる場合,当てはまる項目の全てのスコアを考慮する。各スコアは,相互に排他

的でない項目になるように考慮されている。例えば,論理サブシステムチャネルが個別のラ

ックに入っているシステムは,論理サブシステムチャネルについて,“個別のキャビネットに

入っている。”のスコア及び“個別のプリント配線基板に配置している。”の両方のスコアに

対して採点する権利が与えられている。 

注記3 センサ又は操作端が,プログラマブル電子に基づいており,かつ,論理サブシステムの主要

部分を構成する装置として同じ建物(又は車両)内に配置されている場合は,論理サブシス

テムの一部として取り扱うことが望ましい。このような建物又は車両に配置されていない場

合は,論理サブシステムの一部としてではなく,センサ又は操作端として取り扱うことが望

ましい。 

注記4 非ゼロ値のZを用いる場合,EUC(被制御機器)は,非同時CCFが全てのチャネルに影響を

与える前に,安全な状態にするのが望ましい。この安全な状態にするために要する時間は,

主張する自己診断テスト間隔より短いことが望ましい。非ゼロ値のZは,次の場合にだけ用

いることができる。 

− フォールト検出時にシステムが自動運転停止を起動する場合。 

− 最初のフォールトの後に安全側の運転停止を起動しないが9),自己診断テストで次の事

項が可能な場合。 

− フォールトの局所性を特定し,フォールトを局部にとどめることができる。 

− 後続のフォールトの検出後に,EUCを安全な状態に継続してとどめることができる。 

− 明らかになったフォールトの原因を,要求された自己診断テスト間隔内で完全に調査す

ることを確かなものにするために,正式な作業体制が整備されており,次の事項が可能

な場合。 

− フォールトがCCFを引き起こすおそれがある場合に,プラントが直ちに運転停止でき

る。 

− 欠陥チャネルを,要求された自己診断テスト間隔内で修復できる。 

注9) システムは,フォールトを特定したときの動作状態を考慮することが望ましい。例

えば,単純な2oo3システムでは,単一故障の特定後に,表D.2又は表D.3に示す時

間内に運転停止する(又は修理する)ことが望ましい。これを実施しない場合,第

2のチャネルが故障した場合,故障チャネルは二つとなり,残りの(良好な)チャ

ネルを多数決によって除外してしまうことがある。一つのチャネルが故障したとき

に自らを自動的に1oo2多数決に再構成し,第2の故障の発生時に自動的に運転停止

するシステムの場合は,第2のチャネルのフォールトを検出する確率が高いため,

非ゼロ値のZの使用を主張してもよい。 

注記5 プロセス産業の場合は,表D.2に示す自己診断テスト間隔内でフォールトを検出したときに,

EUCを運転停止できる可能性は低い。この方法では,上記のフォールトを検出したときに,

プロセスプラントを運転停止することを要求事項として解釈することは望ましくはない。た

だし,運転停止が実装されていない場合,プログラマブル電子装置に自己診断テストを実施

してもβ係数を小さくすることはできない。産業によっては,運転停止を表D.2の時間内で

実現可能な場合もある。このような場合は,非ゼロ値のZを用いてもよい。 

注記6 自己診断テストをモジュラー方式で実施する場合,表D.2又は表D.3で用いる繰返しの時間

background image

90 

C 0508-6:2019 (IEC 61508-6:2010) 

  

間隔は,一連の自己診断テストモジュール全体の診断時間間隔である。ここでの診断カバー

率は,全てのモジュールが提供する全診断カバー率である。 

表D.4−βint又はβD intの計算 

スコア(S又はSD) 

βint又はβD intの対応値 

論理サブシステム 

センサ又は操作端 

120以上 

0.5 % 

1 % 

70以上120未満 

1 % 

2 % 

45以上70未満 

2 % 

5 % 

45未満 

5 % 

10 % 

注記1 この規格の他の箇所に示す技法を用いることによって,決定論的原因故障全体としての確

率が減少し,その結果としてCCFの確率が減少することを想定して,この表に示すβD int
の最高レベルは,通常用いる値よりも低い。 

注記2 論理サブシステムの場合は0.5 %よりも小さいβD int値,及びセンサの場合は1 %よりも小

さいβD int値とすることは,妥当な理由付けが難しい。 

表D.4から得られるβintは,1oo2システムに関連するCCFである。ほかの冗長性水準(MooN)システ

ムの場合は,このβint値は表D.5に示すように変更され,最終的なβ値が得られる。 

表D.5も,最終的なβD値を決定するために用いることができる。この場合,βintをβD intに置き換えるこ

とができる。 

注記7 関連する適切な情報(PDS法に関する情報)については,参考文献[25]を参照。 

表D.5−冗長性水準が1oo2より高いシステムのβ値の計算 

MooN 

βint 

0.5 βint 

0.3 βint 

0.2 βint 

− 

1.5 βint 

0.6 βint 

0.4 βint 

− 

− 

1.75 βint 

0.8 βint 

− 

− 

− 

2 βint 

D.6 β係数法の使用例 

β係数法を用いた効果を実証するため,プログラマブル電子装置の幾つかの簡単な例を,表D.6に示す。 

ここでは,多様性にも冗長性にも関係しないカテゴリの場合,X及びYの標準値を用いた。これらの値

は,カテゴリの最大スコアを半分とした。 

多様性システムの場合,多様性・冗長性に関係するカテゴリの値を,表D.1を考慮し,次のような特性

に基づいて導出した。 

− 一方のシステムは電子式で,他方のシステムはリレー技術を用いている。 

− ハードウェア自己診断テストには,異なる技術を用いる。 

− 異なる設計者が,設計過程において情報交換を行わなかった。 

− 異なるテスト担当者が,異なるテスト方法を用いて,システムの引渡しを行った。 

− 異なる担当者が異なる時間に,保全を実施する。 

冗長システムの例の場合,多様性・冗長性に関係するカテゴリの値を,ハードウェア診断が冗長システ

background image

91 

C 0508-6:2019 (IEC 61508-6:2010) 

ムと同じ技術を用いた独立したシステムによって実施しているという特性から導いた。 

多様性システム及び冗長性システムの両方のシステムでは,最大値及び最小値を,係数Zに用いた。こ

れらによって,四つのシステム例を得た。 

表D.6−プログラマブル電子装置の値の例 

カテゴリ 

自己診断テスト
が十分な多様性
システム 

自己診断テスト
が不十分な多様
性システム 

自己診断テスト
が十分な非多様
性システム 

自己診断テスト
が不十分な非多
様性システム 

分離・隔離 

3.50 

3.50 

3.50 

3.50 

1.50 

1.50 

1.50 

1.50 

多様性・冗長性 

14.50 

14.50 

2.00 

2.00 

3.00 

3.00 

1.00 

1.00 

複雑さ・設計・適用・成熟度・
経験 

2.75 

2.75 

2.75 

2.75 

2.25 

2.25 

2.25 

2.25 

評価・解析・データのフィー
ドバック 

0.25 

0.25 

0.25 

0.25 

4.75 

4.75 

4.75 

4.75 

手順・ヒューマンインタフェ
ース 

3.50 

3.50 

3.50 

3.50 

3.00 

3.00 

3.00 

3.00 

力量・訓練・安全文化 

1.25 

1.25 

1.25 

1.25 

3.75 

3.75 

3.75 

3.75 

環境制御 

2.75 

2.75 

2.75 

2.75 

2.25 

2.25 

2.25 

2.25 

環境テスト 

5.00 

5.00 

5.00 

5.00 

5.00 

5.00 

5.00 

5.00 

自己診断カバー率 

2.00 

0.00 

2.00 

0.00 

各カテゴリのXの合計 

33.5 

33.5 

21 

21 

各カテゴリのYの合計 

25.5 

25.5 

23.5 

23.5 

スコアS 

59 

59 

44.5 

44.5 

β 

2 % 

2 % 

5 % 

5 % 

スコアSD 

126 

59 

86.5 

44.5 

βD 

0.5 % 

2 % 

1 % 

5 % 

多様性システム1oo2(表D.5) 

0.5 % 

2 % 

− 

− 

2oo3多数決処理を備えた三重化シ
ステムである非多様性システム
(表D.5) 

− 

− 

1.5 % 

7.5 % 

D.7 二項故障率(ショックモデル)−CCF(共通原因故障)によるアプローチ 

CCFの運用現場からのフィードバックとして,多数の二重故障,数件の三重故障,及びおそらく一件は

四重故障が観察されたが,四重を超える多重故障は,安全解析の間に特定できなかった明白な単一原因か

らは観察されなかったことが明らかになっている。この結果,CCFの次数が増加したとき,多重従属故障

確率は減少する。したがって,β係数は二重故障に対して現実的なものであり,三重故障に対して若干安

全側になり過ぎるものとなり,四重以上の故障に対しては,あまりに安全側になり過ぎるものになる。代

表例として,油田の出口の閉塞が発生したときに,油田のn基の生産井戸(例 n=150)を停止する安全

計装システムについて検討する。当然ながら,2,3又は4基の井戸が明示的でないCCFによって停止で

きないことがあるが,β係数がモデリングされたn基全てを停止できないことはない(そうでない場合,

background image

92 

C 0508-6:2019 (IEC 61508-6:2010) 

  

CCFは明示的であり,個々の故障として解析することが望ましい。)。別の代表例としては,複数の安全防

護層を同時に取り扱う場合がある。例えば,二つの安全防護層のセンサの間の潜在的なCCFを検討するこ

とは,六つのセンサ(それぞれの層に三つのセンサ)の間のCCFを検討することを意味する。 

この難問を取り扱うために幾つかのモデルが提案されているが(参考文献[18]参照),その多くは,それ

が非現実的になるほど,多くの信頼性パラメータ[例 MGL(Multiple Greek Letters)モデル又はαモデル]

を要求している。その中で,1977年にベゼリーが導入し,1986年にアトウッドが改良した二項故障率(シ

ョックモデル)は,実用的解法を提供するものである(参考文献の[19]及び[20]参照)。これは,CCFが発

生した場合,それは関連構成部品上のショックに類似しているという原理に基づいている。ショックには,

致死的(すなわち,β係数モデルにおけるものと同じ影響)な場合と非致死的な場合とがあるが,ここに

は,所定の構成部品がショックによって故障する一定の確率だけがある。次に,非致死的ショックによる

k個の故障をもつ確率を二項的に分布する。 

このモデルでは,次の3個のパラメータだけを実装する必要がある。 

− ω 致死ショック率 

− ρ 非致死ショック率 

− γ 非致死ショックを与えた構成部品の故障の条件付き確率 

図D.2に,FTを用いた場合のこの方法の実施例を示す。 

図D.2−FT(フォールトの木)によるショックモデルの作成 

同一の構成部品は,βを二つの部分βLとβNLとに分割することによって,次のようにβ係数モデルに連

結することができる。 

− β=βL+βNL 

論理ゲートの組合せ 

(FT) 

DU故障 

致死 
ショック 

CCF 

致死ショッ

ク故障率 

非致死 

ショック時

のC1の故障

非致死 

ショック 

故障率 

非致死 

ショック 

(故障率) 

致死ショックの 

独立故障 

(真の確率) 

n個の構成部品 

システムの論理 

C2独立 

DU故障 

C1独立 

DU故障 

Cn独立 

DU故障 

非致死 

ショック 

故障率 

非致死 

ショック 

故障率 

非致死 

ショック時

のC2の故障 

非致死 

ショック時

のCnの故障 

93 

C 0508-6:2019 (IEC 61508-6:2010) 

− 致死ショックによる故障率: 

λDU×βL 

− 非致死ショックによる故障率: λDU×βNL 

− 独立故障率: 

λDU [1−(βL+βNL)] 

図D.2に示すFTにおいて,これは次のようになる。 

− 致死ショック故障率: 

ω=λDU×βL 

− 非致死ショック率: 

ρ=λDU×βNL/γ 

通常どおり,主要な課題は,三つのパラメータ(ω,ρ,γ)又は(βL,βNL,γ)の値を評価することであ

る。参考文献[19]では,幾つかの指標を示しており,また,現場のフィードバックから,(ω,ρ,γ)を評

価することを可能にする統計的処理に関して他の参考文献を示している。 

いかなるデータも用いることができない場合は,工学的判断を実用的なアプローチを介して用いること

ができる。例えば,類似の項目が四つ以上ある場合,次の手順をFTモデリングで用いてもよい。 

1) β係数法と同じようにβを推定する。 

2) βLは無視できるものであるとみなす(βNL=β)。 

3) 安全側の結果を確実に得るようにγを推定する。二重故障が四重故障の10倍以上の大きな影響をもつ

と考慮できる(確実に安全側であると仮定する。)場合,次の式を使用してもよい。 

4N

2N

10C

C

=

γ

ここに, 

N: 類似の項目数 

2N

C: 潜在的な二重故障数 

4N

C: 潜在的な四重故障数 

4) 類似の項目数Nの関数で,次のようにρを計算する。 

3

3

N

2

2

N

DU

γ

γ

βλ

ρ

C

C

+

=

この方法においては,最も影響を与える事象は二重故障及び三重故障であり,結果は,僅か三つだけの

構成部品をもつβ係数法で得られる結果と比較しても,安全側である。CCFの二重故障及び三重故障は適

切に考慮されており,非現実的な多重故障についても完全には無視していない。 

このモデルは,附属書Bに示すようなFT計算のモデル,例えば,B.4.3のFTの中に,実に容易に組み

込むことができる。これによって,多数の類似した構成部品を含む安全関連系を非常に簡単な方法で取り

扱うことができる。 

D.8 参考文献 

参考文献の[13]〜[15],[20]及び[21]に,CCFに関連する有益な情報を提供している。 

94 

C 0508-6:2019 (IEC 61508-6:2010) 

  

附属書E 

(参考) 

JIS C 0508-3のソフトウェア安全度の表の適用例 

E.1 

一般 

この附属書は,JIS C 0508-3の附属書Aに規定するソフトウェア安全度の表の適用について,二つの実

施例を示す。 

a) SIL 2(安全度水準2):化学プラント内のプロセスで要求されるプログラマブル電子安全関連系 

b) SIL 3(安全度水準3):高級言語に基づく運転停止(シャットダウン)アプリケーション 

これらの例を用いて,ある特定の状況において,ソフトウェア開発技法をJIS C 0508-3の附属書A及び

附属書B(詳細表)の表からどのように選択したらよいかを示す。 

この附属書において,これらの例への規格の適用は断定的ではないことを強調しておく。ソフトウェア

の決定論的対応能力に影響を与える要因は多数あることから,どのように適用しても正しくなる技法と手

段とを組み合わせるアルゴリズムを提供することは不可能であり,このことはJIS C 0508-3の中で明確に

記載している。 

実際のシステムでは,表の全ての入力項目に対して作成した所見が正しいこと,並びに特定のシステム

及びアプリケーションに対する正しい応答を示すことを文書によって正当化することが望ましい。この正

当化は,JIS C 0508-3の附属書C(ソフトウェア決定論的対応能力の特性)の指針を参照することによっ

て裏付けされることが期待できる。この附属書では,適切なライフサイクルフェーズが実現される場合,

最終的なソフトウェアが十分な決定論的安全度をもつという確信を,納得のいくように正当化するための

望ましい特性についても記載している。 

E.2 

SIL 2(安全度水準2)の例 

この例では,化学プラント内のプロセスで必要とするSIL 2のプログラマブル電子安全関連系を取り上

げる。このプログラマブル電子安全関連系は,アプリケーションプログラムのためにラダー論理を利用し

ており,制約可変言語によるアプリケーションプログラミングの例である。 

このアプリケーションでは,複数の反応容器が中間格納容器によって連結しており,これらの格納容器

には,点火及び爆発を抑えるために,反応サイクルの幾つかのポイントで不活性ガスが充満している。プ

ログラマブル電子安全関連系の機能として,安全要求仕様に従って,センサから入力を受ける機能,弁,

ポンプ及びアクチュエータに給電しインターロックを行う機能,危険な状況を検出し警告を発する機能,

及び分散制御システムとの間のインタフェースとなる機能を含む。 

このほか,次について仮定する。 

− プログラマブル電子安全関連系制御装置は,PLC(プログラマブル論理コントローラ)である。 

− 潜在的危険及びリスクの解析によって,このアプリケーションがプログラマブル電子安全関連系を必

要とし,(JIS C 0508-1及びJIS C 0508-2を適用することによって,)SIL 2を必要とすることが確認さ

れている。 

− 制御装置はリアルタイムで動作するが,応答速度は比較的遅い。 

− 操作者及び分散制御系とのインタフェースがある。 

background image

95 

C 0508-6:2019 (IEC 61508-6:2010) 

− システムソフトウェアのソースコード及びPLCのプログラマブル電子装置の設計はテストで検証で

きていないが,JIS C 0508-3のSIL 2であることは検証されている。 

− アプリケーションプログラミングに用いる言語はラダー論理であり,PLC供給者の開発システムを用

いて作成されている。 

− アプリケーションコードは,単一タイプのPLCの上だけで実行される。 

− ソフトウェア開発の全体は,ソフトウェアチームから独立した要員がレビューしている。 

− 妥当性確認テストには,ソフトウェアチームから独立した要員が立ち会い,承認している。 

− (必要に応じて実施する)部分改修は,ソフトウェアチームから独立した要員による許可が必要であ

る。 

注記1 “独立した要員”の定義は,JIS C 0508-4を参照する。 

注記2 制約可変言語によるプログラミングを用いる場合,PLC供給者と使用者との間の責任分担

については,JIS C 0508-3の7.4.2(一般要求事項),7.4.3(ソフトウェアアーキテクチャ

設計の要求事項),7.4.4(プログラミング言語を含む支援ツールの要求事項)及び7.4.5(詳

細設計及び開発の要求事項−ソフトウェアシステム設計)の注記を参照する。 

次の各表に,このアプリケーションのためにJIS C 0508-3の附属書Aをどのように解釈するかを示す。 

なお,表E.1〜E.20の“SIL 2”又は“SIL 3”の列の記号は,それぞれのSILに対して,次を適用するこ

とを意味する。詳細については,JIS C 0508-3の附属書Aによる。 

− HR:技法又は手段の使用を強く推奨する。 

− R:技法又は手段の使用を推奨する。 

− ---:技法又は手段の使用について推奨も反対もしない。 

− NR:技法及び手段の使用を推奨しない。 

表E.1−ソフトウェア安全要求仕様 

(JIS C 0508-3の7.2参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

1a 

準形式手法 

JIS C 0508-3の

表B.7 

原因結果図,シーケンス図又は機能ブロック図
を用いる。一般に,PLCアプリケーションソフ
トウェア要求仕様の作成に用いる。 

1b 

形式手法 

JIS C 0508-7の

B.2.2及びC.2.4 

制約可変言語によるプログラミングには用いな
い。 

システム安全要求事項とソフ
トウェア安全要求事項との間
の前方トレーサビリティ 

JIS C 0508-7の

C.2.11 

完全性を確認する。全てのシステム安全要求事
項を,ソフトウェア安全要求事項が取り扱って
いることを確認するためのレビューを実施す
る。 

安全要求事項と認識した安全
ニーズとの間の後方トレーサ
ビリティ 

JIS C 0508-7の

C.2.11 

複雑さ及び機能性を最小限にする。全てのソフ
トウェア安全要求事項が,システム安全要求事
項を取り扱うために実際に必要であることを確
認するためのレビューを実施する。 

上記の適切な技法及び手段を
支援するコンピュータ支援仕
様書作成ツール 

JIS C 0508-7の

B.2.4 

PLC製造業者が供給する開発ツールを用いる。 

注記 ソフトウェア安全要求事項は,自然言語で規定している。 

background image

96 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.2−ソフトウェアの設計及び開発−ソフトウェアアーキテクチャの設計 

(JIS C 0508-3の7.4.3参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

フォールトの検出 

JIS C 0508-7の

C.3.1 

データ範囲,ウォッチドッグタイマ,I/O及び通
信をチェックする。エラーが発生した場合は警
告を出力する(3a参照)。 

エラー検出コード 

JIS C 0508-7の

C.3.2 

ユーザオプションとして組み込む。注意深く選
択する必要がある。 

3a 

故障アサーションプログラミ
ング 

JIS C 0508-7の

C.3.3 

所定の基本的安全条件をテストするために,専
用のPLCプログラムラダー論理とする(1参照)。 

3b 

ダイバースモニタ法(同一コン
ピュータ内で,監視する機能と
監視される機能とが独立) 

JIS C 0508-7の

C.3.4 

好ましくない。独立性を保証するためにソフト
ウェアの複雑さが増大する。 

3c 

ダイバースモニタ法(監視する
コンピュータと監視されるコ
ンピュータとの間を切り離し
ている) 

JIS C 0508-7の

C.3.4 

独立したハードウェア安全モニタの中の,正当
なI/Oの組合せをチェックする。 

3d 

同一のソフトウェア安全要求
仕様を実装する多様冗長性 

JIS C 0508-7の

C.3.5 

--- 

好ましくない。3cを超える安全便益の増加が不
十分である。 
 

3e 

異なるソフトウェア安全要求
仕様を実装する機能的多様冗
長性 

JIS C 0508-7の

C.3.5 

--- 

好ましくない。実質的に3cで達成している。 

3f 

バックワードリカバリ 

JIS C 0508-7の

C.3.6 

ユーザオプションとして組み込む。注意深く選
択する必要がある。 

3g 

ステートレスソフトウェア設
計(又は限定ステート設計) 

JIS C 0508-7の

C.2.12 

--- 

用いない。プロセス制御では,プラント状態を
記憶するためのステートを必要とする。 

4a 

再試行フォールト回復メカニ
ズム 

JIS C 0508-7の

C.3.7 

アプリケーションからの要求に従って用いる(2
及び3c参照)。 

4b 

グレースフルデグラデーショ
ン 

JIS C 0508-7の

C.3.8 

制約可変言語によるプログラミングには用いな
い。 

人工知能−フォールト修正 

JIS C 0508-7の

C.3.9 

NR 

制約可変言語によるプログラミングには用いな
い。 

動的再構成 

JIS C 0508-7の

C.3.10 

NR 

制約可変言語によるプログラミングには用いな
い。 

モジュラーアプローチ 

JIS C 0508-3の

表B.9 

HR 

− 

信頼性確認及び検証済みソフ
トウェア要素の使用(使用可能
な場合) 

JIS C 0508-7の

C.2.10 

HR 

過去のプロジェクトからの既存コードを参照す
る。 

ソフトウェア安全要求仕様と
ソフトウェアアーキテクチャ
との間の前方トレーサビリテ
ィ 

JIS C 0508-7の

C.2.11 

完全性を確認する。全てのソフトウェア安全要
求事項を,ソフトウェアアーキテクチャによっ
て取り扱っていることを確認するためのレビュ
ーを実施する。 

10 

ソフトウェア安全要求仕様と
ソフトウェアアーキテクチャ
との間の後方トレーサビリテ
ィ 

JIS C 0508-7の

C.2.11 

複雑さ及び機能性を最小限にする。全てのアー
キテクチャ安全要求事項が,ソフトウェア安全
要求事項を取り扱うために実際に必要であるこ
とを確認するためのレビューを実施する。 

background image

97 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.2−ソフトウェアの設計及び開発−ソフトウェアアーキテクチャの設計 

(JIS C 0508-3の7.4.3参照)(続き) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

11a 

構造化図表法 

JIS C 0508-7の

C.2.1 

HR 

データフロー法及びデータ論理表を,少なくと
も設計アーキテクチャを表すために用いてもよ
い。 

11b 

準形式手法 

JIS C 0508-3の

表B.7 

DCS(分散制御システム)インタフェースに用
いてもよい。 

11c 

形式的設計手法及び精緻化手
法 

JIS C 0508-7の

B.2.2及びC.2.4 

制約可変言語によるプログラミングにはほとん
ど用いない。 

11d 

自動ソフトウェア生成 

JIS C 0508-7の

C.4.6 

制約可変言語によるプログラミングには用いな
い。 

12 

コンピュータ支援仕様書作成
ツール及びコンピュータ支援
設計ツール 

JIS C 0508-7の

B.2.4 

PLC製造業者が供給する開発ツール 

13a 

最大周期を保証した周期的挙
動 

JIS C 0508-7の

C.3.11 

HR 

用いない。PLCのサイクル時間のハードウェア
監視によって代替する。 

13b 

タイムトリガアーキテクチャ 

JIS C 0508-7の

C.3.11 

HR 

用いない。PLCのサイクル時間のハードウェア
監視によって代替する。 

13c 

最大応答時間を保証したイベ
ント駆動 

JIS C 0508-7の

C.3.11 

HR 

用いない。PLCのサイクル時間のハードウェア
監視によって代替する。 

14 

静的資源配分 

JIS C 0508-7の

C.2.6.3 

用いない。動的資源の問題は,制約可変言語に
よるプログラミングでは発生しない。 

15 

共有資源へのアクセスの静的
同期化 

JIS C 0508-7の

C.2.6.3 

--- 

用いない。動的資源の問題は,制約可変言語に
よるプログラミングでは発生しない。 

注記 制約可変言語によるプログラミングでは,上記の技法の一部を実装することは,実際的でない。 

表E.3−ソフトウェアの設計及び開発−支援ツール及びプログラミング言語 

(JIS C 0508-3の7.4.4参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

適切なプログラミング言語 

JIS C 0508-7の

C.4.5 

HR 

通常はラダーであるが,PLC供給者の独自のも
のであることが多い。 

厳密に型付けしたプログラミ
ング言語 

JIS C 0508-7の

C.4.1 

HR 

用いない。PLC指向構造化テキストを用いる(参
考文献[16]参照)。 

言語サブセット 

JIS C 0508-7の

C.4.2 

--- 

複雑な“マクロ”命令,PLCスキャンサイクル
を変える割込みなどに注意する。 

4a 

認証したツール及びトランス
レータ 

JIS C 0508-7の

C.4.3 

HR 

一部のPLC製造業者から入手可能である。 

4b 

ツール及びトランスレータ:使
用によって信頼性が増すもの 

JIS C 0508-7の

C.4.4 

HR 

PLC供給者の開発キット又は複数のプロジェク
トにわたって開発した社内ツールを用いる。 

background image

98 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.4−ソフトウェアの設計及び開発−詳細設計 

(JIS C 0508-3の7.4.5及び7.4.6参照) 

(ソフトウェアシステム設計,ソフトウェアモジュール設計及びコーディングを含む) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

1a 

構造化手法 

JIS C 0508-7の

C.2.1 

HR 

制約可変言語によるプログラミングには用いな
い。 

1b 

準形式手法 

JIS C 0508-3の

表B.7 

HR 

原因結果図,シーケンス図及び機能ブロック。
制約可変言語によるプログラミングに用いる代
表的方法。 

1c 

形式的設計手法及び精緻化手
法 

JIS C 0508-7の

B.2.2及びC.2.4 

制約可変言語によるプログラミングには用いな
い。 

コンピュータ支援設計ツール 

JIS C 0508-7の

B.3.5 

PLC製造業者が供給する開発ツール 

防御的プログラミング 

JIS C 0508-7の

C.2.5 

システムソフトウェアに含む。 

モジュラーアプローチ 

JIS C 0508-3の

表B.9 

HR 

要求する機能に関して,PLCプログラムラダー
論理のモジュール性を最大限に活用するため
に,その論理を順序付け,グループ分けする。 

設計及びコーディング基準 

JIS C 0508-7の

C.2.6 

JIS C 0508-3の

表B.1 

HR 

文書化及び維持管理の社内取決め 

構造化プログラミング 

JIS C 0508-7の

C.2.7 

HR 

ここでは,モジュール性に類似している。 

信頼性確認及び検証済みソフ
トウェア要素の使用(使用可能
な場合) 

JIS C 0508-7の

C.2.10 

HR 

機能ブロック,部分プログラム 

ソフトウェア安全要求仕様と
ソフトウェア設計との間の前
方トレーサビリティ 

JIS C 0508-7の

C.2.11 

完全性を確認する。全てのソフトウェア安全要
求事項を,ソフトウェア設計によって取り扱っ
ていることを確認するためのレビューを実施す
る。 

background image

99 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.5−ソフトウェアの設計及び開発−ソフトウェアモジュールのテスト及び統合 

[JIS C 0508-3の7.4.7(ソフトウェアモジュールテストの要求事項)及び 

7.4.8(ソフトウェア統合テストの要求事項)参照] 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

確率的テスト 

JIS C 0508-7の

C.5.1 

制約可変言語によるプログラミングには用いな
い。 

動的解析及びテスト 

JIS C 0508-7の

B.6.5 

JIS C 0508-3の

表B.2 

HR 

用いる。 

データの記録及び解析 

JIS C 0508-7の

C.5.2 

HR 

テストケース及びテスト結果を記録する。 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図及び境界値解析からのテストケース,並び
に入力分割テストを実行する。 

性能テスト 

JIS C 0508-3の

表B.6 

制約可変言語によるプログラミングには用いな
い。 

モデルベーステスト 

JIS C 0508-7の

C.5.27 

制約可変言語によるプログラミングには用いな
い。 

インタフェーステスト 

JIS C 0508-7の

C.5.3 

機能テスト及びブラックボックステストに含め
る。 

テスト管理及び自動化ツール 

JIS C 0508-7の

C.4.7 

HR 

PLC製造業者が供給する開発ツール 

ソフトウェア設計仕様とモジ
ュール統合テスト仕様との間
の前方トレーサビリティテス
ト 

JIS C 0508-7の

C.2.11 

完全性を確認する。全てのモジュールの機能性
及びこれらの適切に関連するモジュールとの統
合を検査するために,適切なテストを計画して
いることを確認するためのレビューを実施す
る。 

10 

形式的適合確認 

JIS C 0508-7の

C.5.12 

--- 

制約可変言語によるプログラミングには用いな
い。 

表E.6−プログラマブル電子装置統合(ハードウェア及びソフトウェア) 

(JIS C 0508-3の7.5参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図及び境界値解析からのテストケース,並び
に入力分割テストを実行する。 

性能テスト 

JIS C 0508-3の

表B.6 

PLCを工場検収テストのために組み立てるとき
に実施する。 

ハードウェア/ソフトウェア
統合に関するシステム及びソ
フトウェア設計要求事項とハ
ードウェア/ソフトウェア統
合テスト仕様との間の前方ト
レーサビリティテスト 

JIS C 0508-7の

C.2.11 

ハードウェアとソフトウェアとの統合テストが
適切であることを確認するためのレビューを実
施する。 

background image

100 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.7−ソフトウェアのシステム安全妥当性確認 

(JIS C 0508-3の7.7参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

確率的テスト 

JIS C 0508-7の

C.5.1 

制約可変言語によるプログラミングには用いな
い。 

プロセスシミュレーション 

JIS C 0508-7の

C.5.18 

制約可変言語によるプログラミングには用いな
いが,PLCシステム開発では,より一般的に用
いるようになっている。 

モデリング 

JIS C 0508-3の

表B.5 

制約可変言語によるプログラミングには用いな
いが,PLCシステム開発では,より一般的に用
いるようになっている。 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図及び境界値解析からのテストケース,並び
に入力分割テストを実行する。 

ソフトウェア安全要求仕様と
ソフトウェア安全妥当性確認
計画との間の前方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

完全性を確認する。ソフトウェア安全要求事項
を取り扱うために,適切なソフトウェア妥当性
確認テストを計画していることを確認するため
のレビューを実施する。 

ソフトウェア安全妥当性確認
計画とソフトウェア安全要求
仕様との間の後方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

複雑さを最小限にする。全ての妥当性確認テス
トが適切であることを確認するためのレビュー
を実施する。 

表E.8−ソフトウェア部分改修 

(JIS C 0508-3の7.8参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

影響解析 

JIS C 0508-7の

C.5.23 

HR 

提案された変更の影響を,システム全体のモジ
ュール性によってどのように制限するのかを検
討するために,影響解析を実施する。 

変更したソフトウェアモジュ
ールの再適合確認 

JIS C 0508-7の

C.5.23 

HR 

初期のテストを繰り返す。 

影響を受けるソフトウェアモ
ジュールの再適合確認 

JIS C 0508-7の

C.5.23 

HR 

初期のテストを繰り返す。 

4a 

システム全体の再妥当性確認 

JIS C 0508-3の

表A.7 

影響解析で,部分改修が必要であることを明ら
かにし,必要に応じて再妥当性確認を実施する。 

4b 

リグレッション妥当性確認 

JIS C 0508-7の

C.5.25 

HR 

− 

ソフトウェア構成管理 

JIS C 0508-7の

C.5.24 

HR 

ベースライン,変更の記録,他のシステム要求
事項への影響を管理する。 

データ記録及び解析 

JIS C 0508-7の

C.5.2 

HR 

テストケース及びテスト結果を記録する。 

ソフトウェア安全要求仕様と
ソフトウェア部分改修計画(再
適合確認及び再妥当性確認を
含む)との間の前方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

ソフトウェア安全要求事項を満たすための適切
な部分改修手順を実施する。 

background image

101 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.8−ソフトウェア部分改修 

(JIS C 0508-3の7.8参照)(続き) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

ソフトウェア部分改修計画(再
適合確認及び再妥当性確認を
含む)とソフトウェア安全要求
仕様との間の後方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

ソフトウェア安全要求事項を満たすための適切
な部分改修手順を実施する。 

表E.9−ソフトウェア適合確認 

(JIS C 0508-3の7.9参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

形式的証明 

JIS C 0508-7の

C.5.12 

制約可変言語によるプログラミングには用いな
い。 

仕様及び設計のアニメーショ
ン 

JIS C 0508-7の

C.5.26 

静的解析 

JIS C 0508-7の

B.6.4 

JIS C 0508-3の

表B.8 

HR 

変数,条件などの使用に関する事務的な相互参
照を実施する。 

動的解析及びテスト 

JIS C 0508-7の

B.6.5 

JIS C 0508-3の

表B.2 

HR 

回帰テストを容易にするための自動テスト装置
を用いてテストする。 

ソフトウェア設計仕様とソフ
トウェア適合確認(データ適合
確認を含む)計画との間の前方
トレーサビリティ 

JIS C 0508-7の

C.2.11 

完全性を確認する。適切な機能性テストである
ことを確認するためのレビューを実施する。 

ソフトウェア適合確認(データ
の適合確認を含む)計画とソフ
トウェア設計仕様との間の後
方トレーサビリティ 

JIS C 0508-7の

C.2.11 

複雑さを最小限にする。全ての妥当性確認テス
トが,適切であることを確認するためのレビュ
ーを実施する。 

オフライン数値解析 

JIS C 0508-7の

C.2.13 

用いない。ここでは,計算の数値的安定性は大
きな問題ではない。 

ソフトウェアモジュールテスト及び
統合 

表E.5参照 

プログラマブル電子装置統合テスト 

表E.6参照 

ソフトウェアシステムテスト(妥当
性確認) 

表E.7参照 

background image

102 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.10−機能安全評価 

(JIS C 0508-3の箇条8参照) 

技法及び手段 

参照先 

SIL 2 

この適用例での解釈 

チェックリスト 

JIS C 0508-7の

B.2.5 

用いる。 

決定表又は真理値表 

JIS C 0508-7の

C.6.1 

限定した範囲で用いる。 

故障分析 

JIS C 0508-3の

表B.4 

システムレベルで原因結果図を分析しない場合
には,制約可変言語によるプログラミングには
故障解析は用いない。 

ダイバースソフトウェアの
CCF分析(ダイバースソフト
ウェアを実際に用いる場合) 

JIS C 0508-7の

C.6.3 

制約可変言語によるプログラミングには用いな
い。 

RBD(信頼性ブロック図) 

JIS C 0508-7の

C.6.4 

制約可変言語によるプログラミングには用いな
い。 

JIS C 0508-3の箇条8の要求事
項とソフトウェア機能安全評
価計画との間の前方トレーサ
ビリティ 

JIS C 0508-7の

C.2.11 

機能安全評価の適用範囲の完全性を確認する。 

E.3 

SIL 3(安全度水準3)の例 

この例では,高級言語に基づくSIL 3の運転停止アプリケーションを取り上げる。 

ソフトウェアシステムは,安全システムの点では比較的大規模である。特に,このようなシステムのた

めに3万行を超えるソースコードが開発されている。さらに,2種類以上のオペレーティングシステム及

び過去のプロジェクトからの既存コード(経験による使用)にある一般的な組込み機能が用いられる。こ

れらの組込み機能が,それなりに利用できれば,合わせて,システムは,10万行を超えるソースコードで

構成されている。 

ハードウェア全体(センサ及びアクチュエータを含む。)は二重チャネルシステムであって,その出力は,

論理積(AND)として操作端に接続される。 

このほか,次について仮定する。 

− 高速応答は要求しないが,最大応答時間は保証する。 

− センサ,アクチュエータ及び操作者に対するアナンシエータへのインタフェースがある。 

− オペレーティングシステム(OS),グラフィックルーチン及び市販の数学ルーチンのソースコードは

利用できない。 

− システムを,後で変更する可能性が非常に高い。 

− 特別に開発したソフトウェアを,共通の手続き型言語のうちの一つを用いている。 

− 部分的にオブジェクト指向である。 

− ソースコードが入手できない部分は,全て,多様な方法で実現し,ソフトウェアコンポーネントを異

なる供給者から入手し,これらのオブジェクトコードを,多様なトランスレータによって作成してい

る。 

− ソフトウェアを,JIS C 0508-2の要求事項を満たしている複数の市販のプロセッサ上で実行している。 

− JIS C 0508-2に規定する,ハードウェアフォールトを制御又は回避するための全ての要求事項は,組

込みシステムで達成している。 

background image

103 

C 0508-6:2019 (IEC 61508-6:2010) 

− ソフトウェア開発は,独立した組織によって評価されている。 

注記 “独立した組織”の定義については,JIS C 0508-4を参照する。 

次の各表に,このアプリケーションのためにJIS C 0508-3の附属書A及び附属書Bの表をどのように解

釈するかを示す。 

表E.11−ソフトウェア安全要求仕様 

(JIS C 0508-3の7.2参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

1a 

準形式手法 

JIS C 0508-3の

表B.7 

HR 

ブロック図,シーケンス図又は状態遷移図を用
いる。 

1b 

形式手法 

JIS C 0508-7の

B.2.2及びC.2.4 

主に例外的に用いる。 

システム安全要求事項とソフ
トウェア安全要求事項との間
の前方トレーサビリティ 

JIS C 0508-7の

C.2.11 

HR 

完全性を確認する。全てのシステム安全要求事
項を,ソフトウェア安全要求事項が取り扱って
いることを確認するためのレビューを実施す
る。 

安全要求事項と認識した安全
ニーズとの間の後方トレーサ
ビリティ 

JIS C 0508-7の

C.2.11 

HR 

複雑さ及び機能性を最小限にする。全てのソフ
トウェア安全要求事項が,システム安全要求事
項を取り扱うために実際に必要であることを確
認するためのレビューを実施する。 

上記の適切な技法及び手段を
支援するコンピュータ支援仕
様書作成ツール 

JIS C 0508-7の

B.2.4 

HR 

選択した方法を支援するツールを用いる。 

表E.12−ソフトウェアの設計及び開発−ソフトウェアアーキテクチャの設計 

(JIS C 0508-3の7.4.3参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

フォールト検出 

JIS C 0508-7の

C.3.1 

HR 

JIS C 0508-2の要求事項に基づく組込みシステ
ム内にある,措置の対象範囲外にあるセンサ,
アクチュエータ及びデータ伝送の各故障に対し
てだけ用いる。 

エラーの検出コード 

JIS C 0508-7の

C.3.2 

外部データ伝送の場合だけに用いる。 

3a 

故障アサーションプログラミ
ング 

JIS C 0508-7の

C.3.3 

アプリケーション機能の結果を,有効性に関し
てチェックする。 

3b 

ダイバースモニタ法(同一コ
ンピュータ内で,監視する機
能と監視される機能とが独
立) 

JIS C 0508-7の

C.3.4 

好ましくない。独立性を保証するためにソフト
ウェアの複雑さが増大する。 

3c 

ダイバースモニタ法(監視す
るコンピュータと監視される
コンピュータ間を切り離して
いる) 

JIS C 0508-7の

C.3.4 

3aを用いない場合に,一部の安全関連機能に用
いる。 

3d 

同一のソフトウェア安全要求
仕様を実装する多様冗長性 

JIS C 0508-7の

C.3.5 

--- 

ソースコードが利用できない場合に,一部の機
能に用いる。 

background image

104 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.12−ソフトウェアの設計及び開発−ソフトウェアアーキテクチャの設計 

(JIS C 0508-3の7.4.3参照)(続き) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

3e 

異なるソフトウェア安全要求
仕様を実装する機能的多様冗
長性 

JIS C 0508-7の

C.3.5 

好ましくない。実質的に3cで達成している。 

3f 

バックワードリカバリ 

JIS C 0508-7の

C.3.6 

--- 

用いない。 

3g 

ステートレスソフトウェア設
計(又は限定ステート設計) 

JIS C 0508-7の

C.2.12 

用いない。制御されたシャットダウンには,プ
ラント状態を記憶するためのステートを必要と
する。 

4a 

再試行フォールト回復メカニ
ズム 

JIS C 0508-7の

C.3.7 

--- 

用いない。 

4b 

グレースフルデグラデーショ
ン 

JIS C 0508-7の

C.3.8 

HR 

技術的プロセスの性質のために用いる。 

人工知能−フォールト修正 

JIS C 0508-7の

C.3.9 

NR 

用いない。 

動的再構成 

JIS C 0508-7の

C.3.10 

NR 

用いない。 

モジュラーアプローチ 

JIS C 0508-3の

表B.9 

HR 

システムの規模によって必要とする。 

信頼性確認及び検証済みソフ
トウェア要素の使用(使用可能
な場合) 

JIS C 0508-7の

C.2.10 

HR 

過去のプロジェクトからの既存コードを参照す
る。 

ソフトウェア安全要求仕様と
ソフトウェアアーキテクチャ
との間の前方トレーサビリテ
ィ 

JIS C 0508-7の

C.2.11 

HR 

全てのソフトウェア安全要求事項を,ソフトウ
ェアアーキテクチャによって取り扱っているこ
とを確認するためのレビューを実施する。 

10 

ソフトウェア安全要求仕様と
ソフトウェアアーキテクチャ
との間の後方トレーサビリテ
ィ 

JIS C 0508-7の

C.2.11 

HR 

複雑さ及び機能性を最小限にする。全てのアー
キテクチャ安全要求事項が,ソフトウェア安全
要求事項を取り扱うために実際に必要であるこ
とを確認するためのレビューを実施する。 

11a 

構造化図表法 

JIS C 0508-7の

C.2.1 

HR 

システムの規模によって必要とする。 

11b 

準形式手法 

JIS C 0508-3の

表B.7 

HR 

ブロック図,シーケンス図,状態遷移図を用い
る。 

11c 

形式的設計手法及び精緻化手
法 

JIS C 0508-7の

B.2.2及びC.2.4 

用いない。 

11d 

自動ソフトウェア生成 

JIS C 0508-7の

C.4.6 

用いない(トランスレータ及びジェネレータの
不確かさを回避するため)。 

12 

コンピュータ支援仕様書作成
ツール及びコンピュータ支援
設計ツール 

JIS C 0508-7の

B.2.4 

HR 

選択した方式を支援するツール 

13a 

最大周期を保証した周期的挙
動 

JIS C 0508-7の

C.3.11 

HR 

用いない。 

13b 

タイムトリガアーキテクチャ 

JIS C 0508-7の

C.3.11 

HR 

用いない。 

13c 

最大応答時間を保証したイベ
ント駆動 

JIS C 0508-7の

C.3.11 

HR 

用いない。 

background image

105 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.12−ソフトウェアの設計及び開発−ソフトウェアアーキテクチャの設計 

(JIS C 0508-3の7.4.3参照)(続き) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

14 

静的資源配分 

JIS C 0508-7の

C.2.6.3 

HR 

用いない。動的資源の問題を回避するためのプ
ログラミング言語を選択する。 

15 

共有資源へのアクセスの静的
同期化 

JIS C 0508-7の

C.2.6.3 

用いない。動的資源の問題を回避するためのプ
ログラミング言語を選択する。 

表E.13−ソフトウェアの設計及び開発−支援ツール及びプログラミング言語 

(JIS C 0508-3の7.4.4参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

適切なプログラミング言語 

JIS C 0508-7の

C.4.5 

HR 

高級言語の完全可変言語を選択する。 

厳密に型付けしたプログラミ
ング言語 

JIS C 0508-7の

C.4.1 

HR 

用いる。 

言語サブセット 

JIS C 0508-7の

C.4.2 

HR 

選択言語の定義済みサブセットを用いる。 

4a 

認証したツール及びトランス
レータ 

JIS C 0508-7の

C.4.3 

HR 

入手は不可能である。 

4b 

ツール及びトランスレータ:使
用によって信頼性が増すもの 

JIS C 0508-7の

C.4.4 

HR 

入手可能であるため,これを用いる。 

表E.14−ソフトウェアの設計及び開発−詳細設計 

(JIS C 0508-3の7.4.5及び7.4.6参照) 

(ソフトウェアシステム設計,ソフトウェアモジュール設計及びコーディングを含む) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

1a 

構造化手法 

JIS C 0508-7の

C.2.1 

HR 

広範に用いる。特に,SADT法及びJSD法(ジ
ャクソンシステム開発)を用いる。 

1b 

準形式手法 

JIS C 0508-3の

表B.7 

HR 

有限状態機械,状態遷移図,ブロック図,シー
ケンス図を用いる。 

1c 

形式的設計手法及び精緻化手
法 

JIS C 0508-7の

B.2.2及びC.2.4 

主に例外的に,一部の非常に基本的な構成部品
だけに使用 

コンピュータ支援設計ツール 

JIS C 0508-7の

B.3.5 

HR 

選択した方式のものを用いる。 

防御的プログラミング 

JIS C 0508-7の

C.2.5 

HR 

コンパイラが自動的に挿入する措置を除き,全
ての措置は,措置が有効になるアプリケーショ
ンソフトウェアの中で明示的に用いる。 

モジュラーアプローチ 

JIS C 0508-3の

表B.9 

HR 

ソフトウェアモジュールサイズ制限,情報非表
示又はカプセル化,サブルーチン及び機能の1
エントリ又は1エグジットポイント,完全に定
義したインタフェース,などを用いる。 

設計及びコーディング基準 

JIS C 0508-7の

C.2.6 

JIS C 0508-3の

表B.1 

HR 

コーディング基準の使用,動的オブジェクトの
不使用,動的変数の不使用,割込みの限定使用,
ポインタの限定使用,回帰の限定使用,無条件
ジャンプの不使用,などを指定する。 

構造化プログラミング 

JIS C 0508-7の

C.2.7 

HR 

用いる。 

background image

106 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.14−ソフトウェアの設計及び開発−詳細設計 

(JIS C 0508-3の7.4.5及び7.4.6参照) 

(ソフトウェアシステム設計,ソフトウェアモジュール設計及びコーディングを含む)(続き) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

信頼性確認及び検証済みソフ
トウェア要素の使用(使用可能
な場合) 

JIS C 0508-7の

C.2.10 

HR 

入手可能であり,用いる。 

ソフトウェア安全要求仕様と
ソフトウェア設計との間の前
方トレーサビリティ 

JIS C 0508-7の

C.2.11 

HR 

全てのソフトウェア安全要求事項を,ソフトウ
ェア設計によって取り扱っていることを確認す
るためのレビューを実施する。 

表E.15−ソフトウェアの設計及び開発−ソフトウェアモジュールのテスト及び統合 

(JIS C 0508-3の7.4.7及び7.4.8参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

確率的テスト 

JIS C 0508-7の

C.5.1 

ソースコードの入手が不可能であり,テストデ
ータの境界値及び同値クラスの定義が難しいソ
フトウェアモジュールに用いる。 

動的解析及びテスト 

JIS C 0508-7の

B.6.5 

JIS C 0508-3の

表B.2 

HR 

ソースコードが入手可能なソフトウェアモジュ
ールに用いる。 
境界値解析からのテストケース,性能モデリン
グ,同値クラス及び入力分割テスト,構造テス
トを実行する。 

データの記録及び解析 

JIS C 0508-7の

C.5.2 

HR 

テストケース及びテスト結果を記録する。 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

ソースコードが入手できないソフトウェアモジ
ュールのテスト及び統合テストに用いる。 
 
エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図からのテストケース,プロトタイピング,
境界値解析,同値クラス及び入力分割テストを
実行する。 

性能テスト 

JIS C 0508-3の

表B.6 

HR 

対象のハードウェアへの統合テスト中に用い
る。 

モデルベーステスト 

JIS C 0508-7の

C.5.27 

HR 

用いない。 

インタフェーステスト 

JIS C 0508-7の

C.5.3 

HR 

機能テスト及びブラックボックステストに含め
る。 

テスト管理及び自動化ツール 

JIS C 0508-7の

C.4.7 

HR 

入手可能な場合は用いる。 

ソフトウェア設計仕様とモジ
ュール統合テスト仕様との間
の前方トレーサビリティテス
ト 

JIS C 0508-7の

C.2.11 

HR 

統合テストが十分なものであることを確認する
ためのレビューを実施する。 

10 

形式的適合確認 

JIS C 0508-7の

C.5.12 

用いない。 

background image

107 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.16−プログラマブル電子装置統合(ハードウェア及びソフトウェア) 

(JIS C 0508-3の7.5参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

ソフトウェア統合テストの追加テストとして用
いる(上記の表E.15参照)。 
 
エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図からのテストケース,プロトタイピング,
境界値解析,同値クラス及び入力分割テストを
実行する。 

性能テスト 

JIS C 0508-3の

表B.6 

HR 

広範に用いる。 

ハードウェア/ソフトウェア
統合に関するシステム及びソ
フトウェア設計要求事項とハ
ードウェア/ソフトウェア統
合テスト仕様との間の前方ト
レーサビリティテスト 

JIS C 0508-7の

C.2.11 

HR 

統合テストが十分なものであることを確認する
ためのレビューを実施する。 

表E.17−ソフトウェアのシステム安全妥当性確認 

(JIS C 0508-3の7.7参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

確率的テスト 

JIS C 0508-7の

C.5.1 

有効性確認には用いない。 

プロセスシミュレーション 

JIS C 0508-7の

C.5.18 

HR 

有限状態機械,性能モデリング,プロトタイピ
ング及びアニメーションを実行する。 

モデリング 

JIS C 0508-3の

表B.5 

HR 

妥当性確認には用いない。 

機能テスト及びブラックボッ
クステスト 

JIS C 0508-7の

B.5.1及びB.5.2 

JIS C 0508-3の

表B.3 

HR 

エラー処理を含む,指定する全ての機能事例を
実施するための入力データを選択する。原因結
果図からのテストケース,境界値解析,及び入
力分割テストを実行する。 

ソフトウェア安全要求仕様と
ソフトウェア安全妥当性確認
計画との間の前方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

HR 

完全性を確認する。全てのソフトウェア安全要
求事項を,妥当性確認計画が取り扱っているこ
とを確認するためのレビューを実施する。 

ソフトウェア安全妥当性確認
計画とソフトウェア安全要求
仕様との間の後方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

HR 

複雑さを最小限にする。全ての妥当性確認テス
トが適切なものであることを確認するためのレ
ビューを実施する。 

background image

108 

C 0508-6:2019 (IEC 61508-6:2010) 

  

表E.18−ソフトウェア部分改修 

(JIS C 0508-3の7.8参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

影響解析 

JIS C 0508-7の

C.5.23 

HR 

用いる。 

変更したソフトウェアモジュ
ールの再適合確認 

JIS C 0508-7の

C.5.23 

HR 

用いる。 

影響を受けるソフトウェアモ
ジュールの再適合確認 

JIS C 0508-7の

C.5.23 

HR 

用いる。 

4a 

システム全体の再妥当性確認 

JIS C 0508-3の

表A.7 

HR 

影響解析の結果による。 

4b 

リグレッション妥当性確認 

JIS C 0508-7の

C.5.25 

HR 

用いる。 

ソフトウェア構成管理 

JIS C 0508-7の

C.5.24 

HR 

用いる。 

データの記録及び解析 

JIS C 0508-7の

C.5.2 

HR 

用いる。 

ソフトウェア安全要求仕様と
ソフトウェア部分改修計画(再
適合確認及び再妥当性確認を
含む)との間の前方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

HR 

完全性を確認:部分改修手順が,ソフトウェア
安全要求事項を達成するのに十分なものである
ことを確認するためのレビューを実施する。 

ソフトウェア部分改修計画(再
適合確認及び再妥当性確認を
含む)とソフトウェア安全要求
仕様との間の後方トレーサビ
リティ 

JIS C 0508-7の

C.2.11 

HR 

複雑さを最小限にする。全ての部分改修手順が
必要であることを確認するためのレビューを実
施する。 

表E.19−ソフトウェア適合確認 

(JIS C 0508-3の7.9参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

形式的証明 

JIS C 0508-7の

C.5.12 

主に例外的に,一部の非常に基本的なクラスだ
けに用いる。 

仕様及び設計のアニメーショ
ン 

JIS C 0508-7の

C.5.26 

用いない。 

静的解析 

JIS C 0508-7の

B.6.4 

JIS C 0508-3の

表B.8 

JIS C 0508-7の

C.5.14 

HR 

新たに開発したコード全てに対して用いる。 
 
境界値解析,チェックリスト,制御フロー解析,
データフロー解析,Fagan検査,設計の見直しを
実施する。 

動的解析及びテスト 

JIS C 0508-7の

B.6.5 

JIS C 0508-3の

表B.2 

HR 

新たに開発したコード全てに対して用いる。 

ソフトウェア設計仕様とソフ
トウェア適合確認(データ適合
確認を含む)計画との間の前方
トレーサビリティ 

JIS C 0508-7の

C.2.11 

HR 

完全性を確認:部分改修手順が,ソフトウェア
安全要求事項に十分なものであることを確認す
るためのレビューを実施する。 

background image

109 

C 0508-6:2019 (IEC 61508-6:2010) 

表E.19−ソフトウェア適合確認 

(JIS C 0508-3の7.9参照)(続き) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

ソフトウェア適合確認(データ
適合確認を含む)計画とソフト
ウェア設計仕様との間の後方
トレーサビリティ 

JIS C 0508-7の

C.2.11 

HR 

複雑さを最小限にする。全ての部分改修手順が
必要であることを確認するためのレビューを実
施する。 

オフライン数値解析 

JIS C 0508-7の

C.2.13 

HR 

用いない。ここでは,計算の数値的安定性は重
要な問題ではない。 

ソフトウェアモジュールテスト及び
統合 

表E.15参照 

プログラマブル電子装置統合テスト 

表E.16参照 

ソフトウェアシステムテスト(妥当
性確認) 

表E.17参照 

表E.20−機能安全評価 

(JIS C 0508-3の箇条8参照) 

技法及び手段 

参照先 

SIL 3 

この適用例での解釈 

チェックリスト 

JIS C 0508-7の

B.2.5 

用いる。 

決定表又は真理値表 

JIS C 0508-7の

C.6.1 

限定した範囲で用いる。 

故障分析 

JIS C 0508-3の

表B.4 

HR 

FT解析を広範に用いて分析する。原因結果図
は,限定した範囲で用いる。 

ダイバースソフトウェアの
CCF分析(ダイバースソフト
ウェアを実際に用いる場合) 

JIS C 0508-7の

C.6.3 

HR 

用いる。 

RBD(信頼性ブロック図) 

JIS C 0508-7の

C.6.4 

用いる。 

JIS C 0508-3の箇条8の要求事
項とソフトウェア機能安全評
価計画との間の前方トレーサ
ビリティ 

JIS C 0508-7の

C.2.11 

HR 

機能安全評価の範囲の完全性を確認する。 

110 

C 0508-6:2019 (IEC 61508-6:2010) 

  

参考文献 

[1] JIS B 9961 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能安全 

注記 対応国際規格:IEC 62061,Safety of machinery−Functional safety of safety-related electrical, 

electronic and programmable electronic control systems 

[2] JIS C 0511(規格群) 機能安全−プロセス産業分野の安全計装システム 

注記 対応国際規格:IEC 61511 (all parts):2003,Functional safety−Safety instrumented systems for the 

process industry sector(IDT) 

[3] IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional 

次の文献には,故障確率の評価に関する詳細が示されている(附属書B参照)。 

[4] IEC 61078:2006,Analysis techniques for dependability−Reliability block diagram and boolean methods 

[5] IEC 61165:2006,Application of Markov techniques 

[6] BS 5760,Reliability of system equipment and components−Part 2: Guide to assessment of reliability 

[7] D. J. SMITH, Reliability, maintainability and risk−Practical methods for engineers, Butterworth-Heinemann, 

5th edition, 1997, ISBN 0-7506-3752-8 

[8] R. BILLINGTON and R. N. ALLAN, Reliability evaluation of engineering systems, Plenum, 1992, ISBN 

0-306-44063-6 

[9] W. M. GOBLE, Evaluating control system reliability−Techniques and applications, Instrument Society of 

America, 1992, ISBN 1-55617-128-5 

自己診断率の計算のための有益な文献を次に示す(附属書C参照)。 

[10] Reliability Analysis Center (RAC), Failure Mode/Mechanism Distributions, 1991, Department of Defense, 

United States of America, PO Box 4700, 201 Mill Street, Rome, NY 13440-8200, Organization report number: 

FMD-91, NSN 7540-01-280-5500 

[11] ALLESSANDRO BIROLINI, Qualität und Zuverlassigkeit technischer Systeme, Theorie, Praxis, Management, 

Dritte Auflage, 1991, Springer-Verlag, Berlin Heidelberg New York, ISBN 3-540-54067-9, 3 Aufl., ISBN 

0-387-54067-9 3 ed. (available in German only) 

[12] MIL-HDBK-217F, Military Handbook Reliability prediction of electronic equipment, 2 December 1991, 

Department of Defense, United States of America 

次の文献は,CCF(附属書D参照)に関する有益な情報を提供している。 

[13] Health and Safety Executive Books, email hsebooks@prolog.uk.com 

[14] R. HUMPHREYS, A., PROC., Assigning a numerical value to the beta factor common-cause evaluation, 

Reliability 1987 

[15] UPM3.1, A pragmatic approach to dependent failures assessment for standard systems, AEA Technology, 

Report SRDA-R-13, ISBN 085 356 4337, 1996 

次の規格は,表E.3で参照している。 

111 

C 0508-6:2019 (IEC 61508-6:2010) 

[16] JIS B 3503 プログラマブルコントローラ−プログラム言語 

注記 対応国際規格:IEC 61131-3:2003,Programmable controllers−Part 3: Programming languages 

[17] ISA-TR84.00.02-2002−Parts 1-5, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL) 

Evaluation Techniques Package 

[18] JIS C 5750-4-4 ディペンダビリティ マネジメント−第4-4部:システム信頼性のための解析技法

−故障の木解析(FTA) 

注記 対応国際規格:IEC 61025:2006,Fault tree analysis (FTA) 

[19] IEC 62551,Analysis techniques for dependability−Petri net techniques 

[20] ANIELLO AMENDOLA, kluwer academic publisher, ISPRA 16-19 November 1987, Advanced seminar on 

Common Cause Failure Analysis in Probabilistic Safety Assessment, ISBN 0-7923-0268-0 

[21] CORWIN L. ATWOOD, The Binomial Failure Rate Common Cause Model, Technometrics May 1986 Vol 28 

no2 

[22] A. ARNOLD, A. GRIFFAULT, G. POINT, AND A. RAUZY. The altarica language and its semantics. 

Fundamenta Informaticae, 34, pp.109-124, 2000 

[23] M. BOITEAU, Y. DUTUIT, A. RAUZY AND J.-P. SIGNORET, The AltaRica Data-Flow Language in Use: 

Assessment of Production Availability of a MultiStates System, Reliability Engineering and System Safety, 

Elsevier, Vol. 91, pp 747-755 

[24] A. RAUZY. Mode automata and their compilation into fault trees. Reliability Engineering and System Safety, 

Elsevier 2002, Volume 78, Issue 1, pp 1-12 

[25] For PDS method: see <www.sintef.no/pds>; and further background material in: Hokstad, Per; Corneliussen, 

Kjell Source: Reliability Engineering and System Safety, v 83, n 1, p 111-120, January 2004 

[26] JIS T 0601(規格群) 医用電気機器 

注記 対応国際規格:IEC 60601 (all parts),Medical electrical equipment 

[27] JIS C 0508-1 電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般要求事項 

注記 対応国際規格:IEC 61508-1,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 1: General requirements 

[28] JIS C 0508-5 電気・電子・プログラマブル電子安全関連系の機能安全−第5部:安全度水準決定方

法の事例 

注記 対応国際規格:IEC 61508-5,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 5: Examples of methods for the determination of safety integrity levels 

[29] JIS C 0508-7 電気・電子・プログラマブル電子安全関連系の機能安全−第7部:技術及び手法の概

観 

注記 対応国際規格:IEC 61508-7,Functional safety of electrical/electronic/programmable electronic 

safety-related systems−Part 7: Overview of techniques and measures