C 61800-5-2:2019 (IEC 61800-5-2:2016)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 1
2 引用規格························································································································· 3
3 用語及び定義 ··················································································································· 5
4 安全サブ機能の指定 ········································································································· 11
4.1 一般事項 ····················································································································· 11
4.2 安全サブ機能 ··············································································································· 11
5 機能安全の管理 ··············································································································· 15
5.1 目的 ··························································································································· 15
5.2 機能安全の管理に関する要求事項····················································································· 15
5.3 PDS(SR)開発ライフサイクル ······················································································· 15
5.4 PDS(SR)機能安全管理計画 ·························································································· 16
5.5 PDS(SR)の安全要求仕様(SRS)·················································································· 18
5.6 PDS(SR)安全システムアーキテクチャ仕様 ····································································· 20
6 PDS(SR)の設計及び開発に関する要求事項 ······································································· 21
6.1 一般要求事項 ··············································································································· 21
6.2 PDS(SR)設計要求事項 ································································································ 23
6.3 フォールト検出時の挙動 ································································································ 30
6.4 データ通信の追加要求事項 ····························································································· 31
6.5 PDS(SR)統合及び試験要求事項 ···················································································· 31
7 使用上の情報 ·················································································································· 32
7.1 一般事項 ····················································································································· 32
7.2 PDS(SR)の安全に使用するための情報及び指示 ······························································· 32
8 適合確認及び妥当性確認 ··································································································· 34
8.1 一般事項 ····················································································································· 34
8.2 適合確認 ····················································································································· 34
8.3 妥当性確認 ·················································································································· 34
8.4 文書化 ························································································································ 34
9 試験要求事項 ·················································································································· 34
9.1 試験計画 ····················································································································· 34
9.2 機能試験 ····················································································································· 34
9.3 電磁イミュニティ試験 ··································································································· 34
9.4 熱的耐性試験 ··············································································································· 35
9.5 機械的耐性試験 ············································································································ 35
9.6 試験の文書化 ··············································································································· 36
C 61800-5-2:2019 (IEC 61800-5-2:2016) 目次
(2)
ページ
10 部分改修 ······················································································································ 36
10.1 目的 ·························································································································· 36
10.2 要求事項 ···················································································································· 36
附属書A(参考)連続タスク表 ······························································································ 38
附属書B(参考)PFHの推定例······························································································ 42
附属書C(参考)利用可能な故障率データベース ······································································ 53
附属書D(参考)フォールト一覧及びフォールトの除外 ····························································· 55
附属書E(規定)PDS(SR)の電磁イミュニティ要求事項 ·························································· 64
附属書F(参考)所与のPFH値から低頻度作動要求時のPFDavg値を推定する方法 ·························· 69
C 61800-5-2:2019 (IEC 61800-5-2:2016)
(3)
まえがき
この規格は,産業標準化法第12条第1項の規定に基づき,一般社団法人電気学会(IEEJ)及び一般財団
法人日本規格協会(JSA)から,産業標準原案を添えて日本産業規格を制定すべきとの申出があり,日本
産業標準調査会の審議を経て,経済産業大臣が制定した日本産業規格である。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本産業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
注記 工業標準化法に基づき行われた申出,日本工業標準調査会の審議等の手続は,不正競争防止法
等の一部を改正する法律附則第9条により,産業標準化法第12条第1項の申出,日本産業標準
調査会の審議等の手続を経たものとみなされる。
JIS C 61800の規格群には,次に示す部編成がある。
JIS C 61800-5-1 第5-1部:安全要求事項−電気的,熱的及びエネルギー
JIS C 61800-5-2 第5-2部:安全要求事項−機能安全
日本産業規格 JIS
C 61800-5-2:2019
(IEC 61800-5-2:2016)
可変速駆動システム(PDS)−
第5-2部:安全要求事項−機能安全
Adjustable speed electrical power drive systems-
Part 5-2: Safety requirements-Functional
序文
この規格は,2016年に第2版として発行されたIEC 61800-5-2を基に,技術的内容及び構成を変更する
ことなく作成した日本産業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
1
適用範囲
この規格は,製品の規格であり,機能安全の考慮事項の観点から安全関連駆動システム[PDS(SR):
Safety Related Power Drive Sysytem]の設計・開発,統合,及び妥当性確認のための要求事項並びに推奨事
項について規定する。この規格は,IEC 61800-2で参照しているように,IEC 61800規格群(及びJIS C 61800
規格群)の他の規格で扱っている可変速駆動システムに適用する。
注記1 “統合(integration)”とは,安全関連用途にPDS(SR)を組み込むことではなく,PDS(SR)
自体の統合を指す。
注記2 IEC 61800規格群の他の規格では,定格仕様,EMC,電気的安全などを扱っている。
この規格は,PDS(SR)の機能安全を宣言し,PDS(SR)が主に高頻度作動要求モード又は連続モード
(3.15を参照)で運転している場合に適用することができる。
PDS(SR)は低頻度作動要求モードでの運転も可能であるが,この規格では,高頻度作動要求モード及
び連続モードに的を絞る。高頻度作動要求モード又は連続モード向けに実装した安全サブ機能は,低頻度
作動要求モードでも用いることができる。低頻度作動要求モードに関する要求事項は,JIS C 0508規格群
に規定している。作動要求時の危険側機能失敗平均確率(PFDavg)の値の推定に関する一部の手引を,附
属書Fに記載する。
この規格は,JIS C 0508規格群の枠組みの観点からPDS(SR)の安全関連の考慮事項を定め,安全関連
系のサブシステムとしてのPDS(SR)に関する要求事項を示す。この規格は,PDSの安全サブ機能の安全
性能に関して,PDS(SR)の電気・電子・プログラマブル電子部の実現を容易にすることを目的としてい
る。
PDS(SR)の製造業者及び供給業者は,この規格の要求事項を用いることによって,使用者(システム
インテグレータ及びPDSを組み込む製造業者を含む。)に対し,自社の装置の安全性能を示すことになる。
これによって,JIS C 0508規格群の原則を用いた安全関連制御システムへのPDS(SR)の組込み及び特定
分野での実装(例えば,JIS B 9705-1,JIS B 9705-2,JIS B 9961,IEC 61511,IEC 61513など)を促進す
る。この規格の要求事項を適用することによって,PDS(SR)に必要なJIS C 0508規格群の対応要求事項
2
C 61800-5-2:2019 (IEC 61800-5-2:2016)
を満たす。
この規格は,次に関する要求事項は規定しない。
− 個々の用途の危険源及びリスク分析
− 個々の用途のための安全サブ機能の特定
− 安全サブ機能に対するSILの割当て
− インタフェース配置を除く被駆動装置
− 二次的な危険源(例えば,生産又は製造プロセスでの故障による)
− JIS C 61800-5-1で扱う,電気的,熱的及びエネルギーに関する安全考慮事項
− PDS(SR)製造プロセス
− PDS(SR)に対する信号及びコマンドの有効性
− セキュリティ面(例えば,サイバーセキュリティ又は不正アクセスに関するPDS(SR)のセキュリテ
ィ)
注記3 PDS(SR)の機能安全要求事項は,用途に依存し,設備の全体的なリスクアセスメントの一
部とみなすことができる。PDS(SR)の製造業者が被駆動装置に対して責任を負わない場合,
設備設計者がリスクアセスメント,並びにPDS(SR)の機能及び安全度要求事項の特定に対
して責任を負うことになる。
この規格は,SIL 3以下の安全サブ機能を実装するPDS(SR)に適用する。
図1は,この規格で考慮するPDS(SR)の設備及び機能部分を,PDS(SR)の物理的記載ではなく論理
的表現で示す。
図1−PDS(SR)の設備及び機能部分
被駆動負荷
電力部
電動機
電力
外部信号
及び制御
センサ
通信及びI/O
トルク/速度/位置
制御
変調
及び保護
診断機能
制御部
設備又は設備の一部
PDS(SR)
3
C 61800-5-2:2019 (IEC 61800-5-2:2016)
注記4 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
IEC 61800-5-2:2016,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements
−Functional(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”
ことを示す。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)
は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。
JIS B 9705-1:2011 機械類の安全性−制御システムの安全関連部−第1部:設計のための一般原則
注記 対応国際規格:ISO 13849-1:2006,Safety of machinery−Safety-related parts of control systems−
Part 1: General principles for design
JIS B 9705-2:2019 機械類の安全性−制御システムの安全関連部−第2部:妥当性確認
注記 対応国際規格:ISO 13849-2:2012,Safety of machinery−Safety-related parts of control systems−
Part 2: Validation
JIS B 9960-1 機械類の安全性−機械の電気装置−第1部:一般要求事項
注記 対応国際規格:IEC 60204-1,Safety of machinery−Electrical equipment of machines−Part 1:
General requirements
JIS C 0508-1:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般要求事項
注記 対応国際規格:IEC 61508-1:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 1: General requirements
JIS C 0508-2:2014 電気・電子・プログラマブル電子安全関連系の機能安全−第2部:電気・電子・
プログラマブル電子安全関連系に対する要求事項
注記 対応国際規格:IEC 61508-2:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 2: Requirements for electrical/electronic/programmable
electronic safety-related systems
JIS C 0508-3:2014 電気・電子・プログラマブル電子安全関連系の機能安全−第3部:ソフトウェア
要求事項
注記 対応国際規格:IEC 61508-3:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 3: Software requirements
JIS C 0508-6:2019 電気・電子・プログラマブル電子安全関連系の機能安全−第6部:第2部及び第
3部の適用指針
注記 対応国際規格:IEC 61508-6:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 6: Guidelines on the application of IEC 61508-2 and IEC
61508-3
JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全−第7部:技術及び手法
の概観
注記 対応国際規格:IEC 61508-7:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 7: Overview of techniques and measures
4
C 61800-5-2:2019 (IEC 61800-5-2:2016)
JIS C 4421 可変速駆動システム(PDS)−電磁両立性(EMC)要求事項及び試験方法
注記 対応国際規格:IEC 61800-3,Adjustable speed electrical power drive systems−Part 3: EMC
requirements and specific test methods
JIS C 61000-4-2:2012 電磁両立性−第4-2部:試験及び測定技術−静電気放電イミュニティ試験
注記 対応国際規格:IEC 61000-4-2:2008,Electromagnetic compatibility (EMC)−Part 4-2: Testing and
measurement techniques−Electrostatic discharge immunity test
JIS C 61000-4-3:2012 電磁両立性−第4-3部:試験及び測定技術−放射無線周波電磁界イミュニティ
試験
注記 対応国際規格:IEC 61000-4-3:2010,Electromagnetic compatibility (EMC)−Part 4-3: Testing and
measurement techniques−Radiated, radio-frequency, electromagnetic field immunity test
JIS C 61000-4-4:2015 電磁両立性−第4-4部:試験及び測定技術−電気的ファストトランジェント/
バーストイミュニティ試験
注記 対応国際規格:IEC 61000-4-4:2012,Electromagnetic compatibility (EMC)−Part 4-4: Testing and
measurement techniques−Electrical fast transient/burst immunity test
JIS C 61000-4-5:2018 電磁両立性−第4-5部:試験及び測定技術−サージイミュニティ試験
注記 対応国際規格:IEC 61000-4-5:2014,Electromagnetic compatibility (EMC)−Part 4-5: Testing and
measurement techniques−Surge immunity test
JIS C 61000-4-6:2017 電磁両立性−第4-6部:試験及び測定技術−無線周波電磁界によって誘導する
伝導妨害に対するイミュニティ
注記 対応国際規格:IEC 61000-4-6:2013,Electromagnetic compatibility (EMC)−Part 4-6: Testing and
measurement techniques−Immunity to conducted disturbances, induced by radio-frequency fields
JIS C 61000-4-11:2008 電磁両立性−第4-11部:試験及び測定技術−電圧ディップ,短時間停電及び
電圧変動に対するイミュニティ試験
JIS C 61000-4-34:2017 電磁両立性−第4-34部:試験及び測定技術−1相当たりの入力電流が16 Aを
超える電気機器の電圧ディップ,短時間停電及び電圧変動に対するイミュニティ試験
注記 対応国際規格:IEC 61000-4-34:2005,Electromagnetic compatibility (EMC)−Part 4-34: Testing
and measurement techniques−Voltage dips, short interruptions and voltage variations immunity tests
for equipment with input current more than 16A per phase
JIS C 61800-5-1:2016 可変速駆動システム(PDS)−第5-1部:安全要求事項−電気的,熱的及びエネ
ルギー
注記 対応国際規格:IEC 61800-5-1:2007,Adjustable speed electrical power drive systems−Part 5-1:
Safety requirements−Electrical, thermal and energy
IEC 61000-2-4:2002,Electromagnetic compatibility (EMC)−Part 2-4: Environment−Compatibility levels in
industrial plants for low-frequency conducted disturbances
IEC 61000-4-29:2000,Electromagnetic compatibility (EMC)−Part 4-29: Testing and measurement techniques
−Voltage dips, short interruptions and voltage variations on d.c. input power port immunity tests
IEC 61000-6-7:2014,Electromagnetic compatibility (EMC)−Part 6-7: Generic standards−Immunity
requirements for equipment intended to perform functions in a safety-related system (functional safety) in
industrial locations
IEC 61400-21:2008,Wind turbines−Part 21: Measurement and assessment of power quality characteristics of
5
C 61800-5-2:2019 (IEC 61800-5-2:2016)
grid connected wind turbines
IEC 61800-1:1997,Adjustable speed electrical power drive systems−Part 1: General requirments−Rating
specifications for low voltage adjustables speed d.c. power drive systems
IEC 61800-2:2015,Adjustable speed electrical power drive systems−Part 2: General requirements−Rating
specifications for low voltage adjustable speed a.c. power drive systems
IEC 61800-4:2002,Adjustable speed electrical power drive systems−Part 4: General requirements−Rating
specifications for a.c. power drive systems above 1 000 V a.c. and not exceeding 35 kV
3
用語及び定義
この規格で用いる主な用語及び定義は,次による。表1は,用語及び定義の一覧である。
表1−用語及び定義の一覧
3.1
基本駆動モジュール
BDM
3.12
危険源
3.23
[PDS(SR)の]安全
サブ機能
3.2
カテゴリ
3.13
設備
3.24
安全度
3.3
完全駆動モジュール
CDM
3.14
使命時間
TM
3.25
安全度水準
SIL
3.4
共通原因故障
3.15
運転モード
3.26
安全関連系
3.5
危険側故障
3.16
PDS(SR)
3.27
安全要求仕様
SRS
3.6
診断カバー率
DC
3.17
平均危険側故障頻度
PFH
3.28
SIL能力
3.7
診断試験
3.18
パフォーマンスレベル
PL
3.29
サブシステム
3.8
フェールセーフ
3.19
安全側故障
3.30
系統的原因故障
3.9
フェールセーフ状態
FS
3.20
安全側故障割合
SFF
3.31
系統的安全度
3.10
フォールト反応機能
3.21
安全状態
3.32
妥当性確認
3.11
機能安全
3.22
安全機能
3.33
適合確認
3.1
基本駆動モジュール,BDM(basic drive module)
電源と電動機との間に接続する,電力変換器及び関連制御。
注記1 BDMは,電源から電動機へ電力を供給する能力をもち,電動機から電源へ電力を回生する能
力をもつことができる。
注記2 BDMは,電動機に供給する電力及び電動機出力(電流,周波数,電圧,回転速度,トルク,
力)の一部又は全てを制御する。
(出典:IEC 61800-3:2004/AMD1:2011,3.1.1)
3.2
カテゴリ(category)
フォールトに対する耐性,及びフォールト条件下におけるその後の挙動に対するPDS(SR)の安全関連
部の特性に関する分類。当該部の構造的配置,フォールト検出及び/又はこれらの信頼性によって達成さ
れる。
(出典:JIS B 9705-1,3.1.2を修正)
6
C 61800-5-2:2019 (IEC 61800-5-2:2016)
注記 フォールト(fault)は,安全関連電気制御システム,サブシステム又はサブシステム要素が,
要求機能実行能力の低下又は喪失を引き起こすような異常状態を指している。faultの訳語とし
て,JIS B 9700では“不具合(障害)”を用いている。JIS B 9704規格群では,“障害(不具合)”
を用いている。JIS C 0508規格群及びJIS B 9961では,“フォールト”を用いている。この規格
では“フォールト”を用いる。
3.3
完全駆動モジュール,CDM(complete drive module)
BDM及び保護装置,変圧器及び補助装置などの拡張部から構成するが,これらに限定しない駆動モジ
ュール。ただし,電動機及び電動機の軸に機械的に取り付けるセンサは含まない。
(出典:IEC 61800-3:2004/AMD1:2011,3.1.2)
3.4
共通原因故障(common cause failure)
一つ以上の事象を原因とする故障で,それが複数チャネル系の二つ以上の分離したチャネルそれぞれに
故障を同時に引き起こし,安全サブ機能の故障を生じさせるもの。
(出典:JIS C 0508-4:2012,3.6.10を修正)
3.5
危険側故障(dangerous failure)
安全サブ機能を実行するときにある役割を果たす,コンポーネント,サブシステム及び/又はシステム
に関する次のいずれかの故障。
a) PDS(SR)によって駆動する装置又は機械類が,危険又は潜在的に危険な状態に陥るように,PDS(SR)
の安全サブ機能を正しく作動させない。
b) 安全サブ機能が正しく作動する確率を下げる。
(出典:JIS C 0508-4:2012,3.6.7を修正)
3.6
診断カバー率,DC(diagnostic coverage)
自動的な診断試験で危険側故障を検出する割合。
注記1 これは,検出可能な危険側故障率λDDの和と全危険側故障率λDの和との比で,DC=ΣλDD/ΣλD
で表すことができる。
注記2 診断カバー率は,安全関連系の全体だけでなく,一部に関しても示すことができる。例えば,
センサ,論理サブシステム及び/又は出力サブシステムについての診断カバー率を示すこと
ができる。
(出典:JIS C 0508-4:2012,3.8.6を修正)
3.7
診断試験(diagnostic test)
フォールト又は故障を検出し,フォールト又は故障の検出時に指定した出力を生成することを意図する
試験。
3.8
フェールセーフ(fail safe)
何らかの故障が危険側フォールトを引き起こすことを防ぐような設計の考え方。
(出典:IEC 60050-821:1998,821-01-10を修正)
7
C 61800-5-2:2019 (IEC 61800-5-2:2016)
3.9
フェールセーフ状態,FS(fail safe state)
故障の結果生じる,定義した安全状態。
注記 IEC 61000-6-7は,定義した状態(Defined State,DS)を用いているが,この規格では,フェー
ルセーフ状態(FS)を用いている。
3.10
フォールト反応機能(fault reaction function)
PDS(SR)内で,安全サブ機能を喪失する可能性があるフォールト又は故障を検出すると始動し,設備
の安全を維持すること又は設備で発生する危険な状態を防ぐことを目的とする機能。
3.11
機能安全(functional safety)
PDS(SR)に関する全体的な安全のうち,PDS(SR)の安全関連部の正常な機能及び外部リスク軽減措
置に依存する部分。
注記 この規格は,この定義におけるPDS(SR)の正常な機能に依存する側面だけを考慮している。
(出典:JIS C 0508-4:2012,3.1.12を修正)
3.12
危険源(hazard)
危害の潜在的根源。
注記 この用語には,短時間のうちに生じる人への危険(例えば,火災,爆発など)が含まれるほか,
人の健康に長期的な影響を与える危険(例えば,有害物質の放出)も含まれる。
(出典:IEC 60050-351:2013,351-57-01,注記を修正した。)
3.13
設備(installation)
PDS(SR)及びPDS(SR)によって駆動する装置(図1を参照)。その他の装置を含むことがある。
3.14
使命時間,TM(mission time)
PDS(SR)の全体的な寿命の中で,PDS(SR)の安全関連部に指定した累積運転時間。
3.15
運転モード(mode of operation)
安全サブ機能が,その作動要求頻度に関して意図する使用方法。これは,低頻度作動要求モード,高頻
度作動要求モード又は連続モードのいずれかとしてもよい。
注記1 低頻度作動要求モード:安全サブ機能に対する作動要求頻度が1年当たり1回以内の場合。
注記2 高頻度作動要求モード及び連続モード:安全サブ機能に対する作動要求頻度が1年当たり1
回を超える場合。
注記3 PDS(SR)の用途では,低頻度作動要求運転モードはほぼ存在せず,この規格では考慮して
いない。したがって,PDS(SR)は,主に高頻度作動要求モード又は連続モードを想定して
いる。
(出典:JIS C 0508-4:2012,3.5.16を修正)
3.16
PDS(SR)(Power Drive System Safety Related)
8
C 61800-5-2:2019 (IEC 61800-5-2:2016)
安全サブ機能をもつ可変速駆動システム。
3.17
平均危険側故障頻度,PFH(average frequency of a dangerous failure)
指定の安全サブ機能を実行するPDS(SR)の,ある期間にわたる危険側故障の平均頻度。
注記1 JIS B 9961では,略語PFHDが用いられている。
注記2 PFHの推定例は,附属書Bを参照。
(出典:JIS C 0508-4:2012,3.6.19を修正)
3.18
パフォーマンスレベル,PL(Performance Level)
予見可能な条件下で,安全サブ機能を実行するための制御システムの安全関連部の能力を指定するため
に用いる離散的なレベル。
(出典:JIS B 9705-1:2011,3.1.23を修正)
3.19
安全側故障(safe failure)
安全サブ機能を実行するときにある役割を果たすコンポーネント,サブシステム及び/又はシステムに
関する次のいずれかの故障。
a) PDS(SR)(又はその部分)を安全状態にする,又は維持するような,安全サブ機能の誤作動が起こ
る。
b) PDS(SR)(又はその部分)を安全状態にする,又は維持するような,安全サブ機能の誤作動の確率
を上げる。
(出典:JIS C 0508-4:2012,3.6.8を修正)
3.20
安全側故障割合,SFF(safe failure fraction)
安全側故障及び検出可能な危険側故障の平均故障率の和と,安全側故障及び全危険側故障の平均故障率
の和との比で定義する,安全関連コンポーネント及びサブシステムの特性。
注記1 この比は,次の式で表す。
SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλD)
ここに,
λS: 安全側故障の平均故障率
λDD: 検出可能な危険側故障の平均故障率
λD: 全危険側故障の平均故障率
注記2 JIS C 0508-2:2014の附属書Cを参照。
(出典:JIS C 0508-4:2012,3.6.15を修正)
3.21
安全状態(safe state)
安全を達成しているPDS(SR)の状態。
注記 PDS(SR)は,潜在的に危険な状態から最終的に安全状態に移行する間,幾つかの中間的な安
全状態を経由しなければならない場合がある。
(出典:JIS C 0508-4:2012,3.1.13を修正)
3.22
安全機能(safety function)
9
C 61800-5-2:2019 (IEC 61800-5-2:2016)
安全関連系又は他のリスク軽減措置によって実行する機能。特定の危険事象に関して,PDS(SR)によ
って駆動する装置又は機械類の安全状態を達成又は維持することを目的とする。
(出典:JIS C 0508-4:2012,3.5.1を修正)
3.23
[PDS(SR)の]安全サブ機能{safety sub-function(s) [of a PDS (SR)]}
PDS(SR)によって全体的又は部分的に実行する,指定の安全性能を備えたサブ機能。設備の安全を維
持すること又は設備で発生する危険な状態を防ぐことを目的とする。
注記 ごくまれ(稀)に安全機能をPDS(SR)内だけで実行する場合がある。この規格では,こうし
た場合においても,安全機能を安全サブ機能と呼んでいる[例えば,外部からの開始指令がな
くても常に有効状態のSLS(4.2.4.5参照)]。
3.24
安全度(safety integrity)
PDS(SR)が,指定した期間内に,全ての指定した条件下で,要求する安全サブ機能を実行する確率。
注記1 PDS(SR)の安全度の水準が高いほど,要求する安全サブ機能の実行にPDS(SR)が失敗す
る確率は低くなる。
注記2 安全度は,PDS(SR)が実行する安全サブ機能ごとに異なる場合がある。
(出典:JIS C 0508-4:2012,3.5.4を修正)
3.25
安全度水準,SIL(safety integrity level)
PDS(SR)に(全体的又は部分的に)割り当てた安全サブ機能の安全度要求事項を指定するために用い
る離散的なレベル(SIL 1,SIL 2又はSIL 3)。
注記1 SIL 3は最高の安全度水準であり,SIL 1は最低である。
注記2 SIL 4は通常PDS(SR)に付随するリスク軽減要求事項とは関連性がないため,この規格で
は考慮しない。SIL 4は,JIS C 0508規格群を参照。
注記3 SIL xには,幾つかの表記方法が用いられる。この規格では,全体を通じてSIL xという表記
を使用する。
(出典:JIS C 0508-4:2012,3.5.8を修正)
3.26
安全関連系(safety-related system)
次の両方を満足する,指定した系。
− PDS(SR)によって駆動する装置又は機械類の安全状態を達成又は維持するために,安全機能を実行
する。
− 要求する安全機能に対して,安全関連系自体で又は他のリスク軽減措置とともに,必要な安全度を達
成することを目的とする。
(出典:JIS C 0508-4:2012,3.4.1を修正)
3.27
安全要求仕様,SRS(safety requirements specification)
PDS(SR)が実行する安全サブ機能の全ての要求事項を含む仕様。
3.28
SIL能力(SIL capability)
10
C 61800-5-2:2019 (IEC 61800-5-2:2016)
系統的安全度及びハードウェア安全度に対するアーキテクチャ制約の観点から,PDS(SR)の設計が達
成したと宣言できる最高SIL。
注記1 PDS(SR)が実行することを目的とする指定した各安全サブ機能は,それぞれ異なるSIL能
力と関連付けることができる。
注記2 SIL能力には,系統的対応能力,アーキテクチャ制約への適合,及びハードウェア故障率又
はPFHの値が含まれる。
3.29
サブシステム(subsystem)
安全関連系のアーキテクチャ設計上の最上位部分。この部分の故障は,安全関連機能の喪失につながる。
注記1 PDS(SR)は,それ自体がサブシステムとなることができる,又は対象の安全サブ機能を実
行する幾つかの別々のサブシステムの組合せで構成することができる。サブシステムは,二
つ以上のチャネルをもつことができる。
注記2 PDS(SR)のサブシステムの例として,センサ,電力部,制御部(図1を参照)などが挙げ
られる。
3.30
系統的原因故障(systematic failure)
特定の原因から必然的に導かれる故障。この原因は,設計若しくは製造プロセスの修正,運転手順,文
書化又は他の関連要因によってだけ取り除くことができる。
注記1 系統的原因故障の原因事例には,次の項目におけるヒューマンエラーが含まれる。
− 安全要求仕様
− ハードウェアの設計,製造,設置,運転
− ソフトウェアの設計及び実装
注記2 この規格では,安全関連系の故障は,ランダムハードウェア故障と系統的原因故障とに分類
する。
(出典:JIS C 0508-4:2012,3.6.6を修正)
3.31
系統的安全度(systematic safety integrity)
安全関連系の安全度のうち,危険側の故障モードの系統的原因故障に関わる部分。
注記 系統的安全度は,通常,定量化できない(通常,定量化可能なハードウェア安全度と区別する。)。
(出典:JIS C 0508-4:2012,3.5.6を修正)
3.32
妥当性確認(validation)
仕様上に定めた使用法に関する特定の要求事項が満足されていることの審査,及び客観的な証拠の提供
による確認。
注記 妥当性確認は,設置前又は設置後のPDS(SR)が全ての点で安全要求仕様を満たすことを実証
する作業である。
(出典:JIS C 0508-4:2012,3.8.2を修正)
3.33
適合確認(verification)
要求事項が満足されていることを調査して,客観的証拠を提示することによって確認する業務。
11
C 61800-5-2:2019 (IEC 61800-5-2:2016)
(出典:JIS C 0508-4:2012,3.8.1,注記を削除した。)
4
安全サブ機能の指定
4.1
一般事項
この箇条は,PDS(SR)の製造業者が安全関連として指定する可能性があるPDS(SR)の機能について
記載する。この箇条の安全サブ機能は,全てを網羅していない。基本的な安全サブ機能に関する実装の詳
細,及び二つ以上の基本的な安全サブ機能から構成する複雑な安全サブ機能については,多岐にわたる可
能性があるため,この規格では扱わない。電力遮断時の安全維持のために,PDS(SR)の外部に追加の安
全関連系(例えば,機械式ブレーキ)が必要になる場合がある。
これらの機能を実装するために必要な技術的方策は,安全要求仕様に記載される危険側ハードウェア故
障率を含む要求されるSIL能力に依存する。技術的方策については,箇条6に規定する。
各安全サブ機能は,他の機能,サブシステム又はシステム(安全関連であってもなくてもよい。)との必
要な通信(又は起動)を達成するために,安全入力及び/又は出力を含むことがある。
安全サブ機能の中には,監視タスクだけを実行するもの,安全関連制御又は他の作動を実行するものが
ある。したがって,次のものは区別する。
− 制限値を逸脱した場合の反応(監視機能だけに関連する)
安全サブ機能が正しく作動している間に制限値の逸脱を検出したときの反応機能
− フォールト反応機能(全ての安全サブ機能に関連する)
診断によって安全サブ機能内にフォールトを検出したときの反応機能
いずれの反応機能も,用途に応じて想定することができる安全状態を考慮する。
適切な反応機能を選択するときは,PDS(SR)の一部が機能していない場合があることを考慮する。
フォールトの検出に続く処置のタイミング要求事項は,安全要求仕様(5.5参照)による。
安全サブ機能の名称は,PDS(SR)が果たす関連機能及びその完全度を示すために,“安全”という語
を含んでいる。これらの機能は,特定の用途に関する判断(つまり,リスク分析)に基づいて安全関連用
途に用いてもよいことを示している。
注記 この箇条で指定しているPDS(SR)サブ機能の詳細な例については,参考文献(IFA Report
7/2013e)を参照。
4.2
安全サブ機能
4.2.1
一般事項
PDS(SR)の安全機能は,ほとんどの場合,用途の安全機能の一部である。したがって,この規格では
PDS(SR)の安全機能を安全サブ機能とする。図2は,安全サブ機能で構成する安全機能の例を示す。
12
C 61800-5-2:2019 (IEC 61800-5-2:2016)
例として“安全機械停止”の安全機能を備えたシステム(機械,プロセス)
図2−安全サブ機能で構成する安全機能
注記 安全サブ機能に関する,より詳細な情報は,IFA Report 7/2013e“Safe drive controls with frequency
converters”(参考文献)を参照。
4.2.2
制限値
安全サブ機能がパラメータの制限値に依存する場合,制限値の最大許容差を定義する。
注記 任意の制限値を指定するときに,制限値を逸脱した場合を考慮に入れることができる。例えば,
4.2.4.9に記載の位置制限値を指定する場合,移動超過距離の最大許容値を考慮することができ
る。
個別の安全サブ機能は,運転中に選択できる一つ以上の指定制限値をもってもよい。
4.2.3
停止機能
4.2.3.1
一般事項
あらゆるタイプのPDS(SR)に対して,多岐にわたる停止方法を利用することができる。
停止シーケンスの開始及び静止状態到達時の保持モードの維持に関する制御要求事項は,用途に固有で
ある。停止機能の所望の性能を達成するには,個別の手動操作及び制御回路への接続が必要な場合がある。
注記 予期しない起動の防止又は非常停止のような機能に関して安全停止機能を適用するときは,関
連規格,例えばJIS B 9700,JIS B 9960-1,ISO 13850,ISO 14118を考慮することができる。
PDS(SR)の使用者は,停止性能の個別要求事項を指定することができる。4.2.3.2〜4.2.3.4に記載する
停止機能の例は,実際によく使用するものである。
4.2.3.2
安全トルク遮断,STO(Safe torque off)
この安全サブ機能は,力を生み出す電力を電動機に供給することを遮る。
この安全サブ機能は,JIS B 9960-1の停止カテゴリ0による非制御停止に相当する。
注記1 この安全サブ機能は,ISO 14118の予期しない起動の防止のために電力の遮断が必要な場合
に使用することができる。
注記2 外的影響(例えば,懸架貨物の落下)が存在する状況では,危険源を除去するために追加の
PDS(SR)
サブシステム 1
(例えば,ドアスイッチ,
ライトカーテン)
安全サブ機能1
(例えば,安全入力信号)
サブシステム 2
(例えば,安全リレー,
安全PLC)
サブシステム3
安全サブ機能2
(例えば,安全論理評価)
安全サブ機能3
(例えば,安全停止1)
13
C 61800-5-2:2019 (IEC 61800-5-2:2016)
方策(例えば,機械式ブレーキ)が必要になることがある。
注記3 この安全サブ機能のための電子的手段及び接触器は,感電に対する保護は考慮していない。
感電に対する保護は,JIS C 61800-5-1を参照。
注記4 この安全サブ機能が有効状態であったとしても,PDS(SR)の電力部で故障が発生した場合,
例えば,残存しているエネルギーで制限する移動が依然として起こり得る。
4.2.3.3
安全停止1,SS1(Safe stop 1)
この安全サブ機能は,次のいずれかに分類する。
a) 安全停止1 減速制御,SS1-d 電動機の減速を開始し,電動機を停止するために選択した制限値の範
囲内で電動機の減速率を制御し,指定制限値未満の電動機速度でSTO機能(4.2.3.2を参照)を実行す
る機能。
b) 安全停止1 減速監視,SS1-r 電動機の減速を開始し,電動機を停止するために選択した制限値の範
囲内で電動機の減速率を監視し,指定制限値未満の電動機速度でSTO機能を実行する機能。
c) 安全停止1 時間制御,SS1-t 電動機の減速を開始し,指定した時間経過後にSTO機能を実行する機
能。
この安全サブ機能SS1は,JIS B 9960-1の停止カテゴリ1による制御停止に相当する。
注記 SS1-tの制御停止は,検出できないままに機能喪失を起こすことがある。その機能喪失によって
STOが作動するまでの時間経過の間に,電動機が停止しないことがある。したがって,この機
能喪失によって最終的な使用状態で危険が生じる可能性がある場合は,SS1-tを適用することは
できない。
4.2.3.4
安全停止2,SS2(Safe stop 2)
この安全サブ機能は,次のいずれかに分類する。
a) 安全停止2 減速制御,SS2-d 電動機の減速を開始し,電動機を停止するために選択した制限値の範
囲内で電動機の減速率を制御し,指定制限値未満の電動機速度で安全停止保持機能(4.2.4.2を参照)
を実行する機能。
b) 安全停止2 減速監視,SS2-r 電動機の減速を開始し,電動機を停止するために選択した制限値の範
囲内で電動機の減速率を監視し,指定制限値未満の電動機速度で安全停止保持機能を実行する機能。
c) 安全停止2 時間制御,SS2-t 電動機の減速を開始し,指定した時間経過後に安全停止保持機能を実
行する機能。
この安全サブ機能SS2は,JIS B 9960-1の停止カテゴリ2による制御停止に相当する。
注記 SS2-tの制御停止は,検出できないままに機能喪失を起こすことがある。したがって,この機能
喪失によって最終的な使用状態で危険が生じる可能性がある場合は,SS2-tを適用することはで
きない。
4.2.4
監視機能
4.2.4.1
一般事項
4.2.4では,制限値が一つだけの場合には“防ぐ”を,上限値及び下限値が存在する場合には“保つ”を
記載している。“防ぐ”及び“保つ”の用語は,これ以外に意図する差異はない。
4.2.4.2
安全停止保持,SOS(Safe operating stop)
この安全サブ機能は,定義した量を超えて電動機が停止位置から外れることを防ぐ。PDS(SR)は電動
機にエネルギーを供給し,電動機が外力に耐えられるようにする。
注記 外部ブレーキ(例えば,機械式ブレーキ)を使用しないPDS(SR)を想定している。
14
C 61800-5-2:2019 (IEC 61800-5-2:2016)
4.2.4.3
安全加速度制限,SLA(Safely-limited acceleration)
この安全サブ機能は,電動機の加速度及び/又は減速度が指定制限値を超えることを防ぐ。
4.2.4.4
安全加速度範囲制限,SAR(Safe acceleration range)
この安全サブ機能は,電動機の加速度及び/又は減速度を指定制限値の範囲内に保つ。
4.2.4.5
安全速度制限,SLS(Safely-limited speed)
この安全サブ機能は,電動機の速度が指定制限値を超えることを防ぐ。
4.2.4.6
安全速度範囲制限,SSR(Safe speed range)
この安全サブ機能は,電動機の速度を指定制限値の範囲内に保つ。
4.2.4.7
安全トルク制限,SLT(Safely-limited torque)
この安全サブ機能は,電動機のトルク(又はリニアモータ使用時には力)が指定制限値を超えることを
防ぐ。
4.2.4.8
安全トルク範囲制限,STR(Safe torque range)
この安全サブ機能は,電動機のトルク(又はリニアモータ使用時には力)を指定制限値の範囲内に保つ。
4.2.4.9
安全絶対位置制限,SLP(Safely-limited position)
この安全サブ機能は,電動機の軸(又はリニアモータ使用時には可動子)の位置が指定制限値を超える
ことを防ぐ。
4.2.4.10 安全移動量制限,SLI(Safely-limited increment)
この安全サブ機能は,電動機の軸(又はリニアモータ使用時には可動子)の移動量が指定制限値を超え
ることを防ぐ。
注記 この機能では,PDS(SR)が次のように電動機の移動量を監視する。
− 入力信号(例えば,開始信号)によって,安全のために最大移動量が指定制限値を超えな
いことの監視を伴って,移動を開始する。
− 移動を終え,電動機が停止した後,用途に応じて必要な場合は,最大移動量が指定制限値
を超えないことの監視を維持する。
4.2.4.11 安全回転方向制限,SDI(Safe direction)
この安全サブ機能は,電動機の軸が指定制限値を超えて意図しない方向に移動することを防ぐ。
4.2.4.12 安全モータ温度制限,SMT(Safe motor temperature)
この安全サブ機能は,電動機の温度が指定上限値を超えることを防ぐ。
注記 この安全サブ機能は,爆発性雰囲気下で用いる電動機の過熱に対する保護の目的で使用するこ
とができる。火花など他のリスクは,この安全サブ機能の対象外である。より詳細な情報は,
JIS C 60079規格群を参照。
4.2.4.13 安全位置範囲出力,SCA(Safe cam)
この安全サブ機能は,電動機の軸の位置が指定制限値の範囲内にあるかどうかを示すための安全出力信
号を提供する。
4.2.4.14 安全速度範囲出力,SSM(Safe speed monitor)
この安全サブ機能は,電動機の速度が指定制限値未満であるかどうかを示すための安全出力信号を提供
する。
4.2.5
安全ブレーキ出力,SBC(Safe brake control)
この安全サブ機能は,外部ブレーキを制御する安全出力信号を提供する。
15
C 61800-5-2:2019 (IEC 61800-5-2:2016)
5
機能安全の管理
5.1
目的
この箇条の第一の目的は,機能安全の管理に関する責務,及び責務を割り当てられた人員が遂行する業
務について規定することである。
この箇条の第二の目的は,PDS(SR)開発ライフサイクル及びそのフェーズの概要を示すことである。
注記 この箇条で扱う組織上の措置は,技術上の要求事項の効果的な実現を目標とし,PDS(SR)シ
ステムの機能安全の達成及び維持の目的に限定している。これは,職場における一般的な安全
衛生対策とは切り離して区別する。
5.2
機能安全の管理に関する要求事項
JIS C 0508-1:2012の箇条6の要求事項を適用する。
5.3
PDS(SR)開発ライフサイクル
フェーズ1からフェーズ8までのPDS(SR)開発ライフサイクルを,この規格の関連する細分箇条への
相互参照とともに,図3に規定する。
注記 PDS(SR)開発ライフサイクルは,JIS C 0508-1:2012の全安全ライフサイクルの安全要求仕様
フェーズ(フェーズ9)及び実現フェーズ(フェーズ10)に相当する。
附属書Aは,この情報を連続タスク表の形で示す。
16
C 61800-5-2:2019 (IEC 61800-5-2:2016)
フェーズ1は,5.4参照
(フェーズ9)a)
フェーズ2は,5.5参照
(フェーズ9)a)
フェーズ3は,5.6参照
(フェーズ10.1)a)
フェーズ4は,5.4 e)参照
(フェーズ10.2)a)
フェーズ5は,箇条6参照
(フェーズ10.3)a)
フェーズ6は,6.5参照
(フェーズ10.4)a)
フェーズ7は,箇条7参照
(フェーズ10.5)a)
フェーズ8は,箇条8参照
(フェーズ10.8)a)
注a) 括弧内はJIS C 0508-1:2012の全安全ライフサイクルにおける該当フェーズを示す。
図3−PDS(SR)開発ライフサイクル
5.4
PDS(SR)機能安全管理計画
計画を作成し,PDS(SR)の開発全体を通して必要に応じて更新する。計画では,箇条5〜箇条10を満
足するために要求する業務を定義し,それらの業務の遂行に責任をもつ人員及びその力量,部門又は組織
を指定する。
特に計画では,PDS(SR)の複雑度に応じて適宜,次を考慮するか又は含めなければならない。
a) 安全要求仕様(5.5を参照)の作成。仕様には,次のような項目を含む。
− 安全要求仕様の作成及び維持の責任者
− 安全要求仕様の作成中の誤りを回避するための方法の選択(JIS C 0508-2:2014の附属書Bを参照)。
− PDS(SR)の特定対象用途に関する指針及び規格からの要求事項の考慮
− 安全要求仕様の適合確認の責任者
− 開発開始後に安全要求仕様を変更するためのプロセス
b) 安全システムアーキテクチャ仕様(5.6を参照)の作成。仕様には,次のような項目を含む。
− 安全システムアーキテクチャ仕様の作成及び維持の責任者
− 安全システムアーキテクチャ仕様の作成中の誤りを回避するための方法の選択(JIS C 0508-2:2014
PDS(SR)安全要求仕様
PDS(SR)安全
妥当性確認計画
PDS(SR)設計及び開発,
ASIC及びソフトウェア
を含む
PDS(SR)統合
PDS(SR)の設置,現地調
整,運用及び保全の手順
PDS(SR)安全
妥当性確認
2
6
5
7
4
8
PDS(SR)機能安全管理計画
1
PDS(SR)安全システムアーキテクチャ
3
17
C 61800-5-2:2019 (IEC 61800-5-2:2016)
の附属書Bを参照)
− PDS(SR)の特定対象用途に関する指針及び規格からの要求事項の考慮
− 安全システムアーキテクチャ仕様の適合確認の責任者
− 開発開始後に安全システムアーキテクチャ仕様を変更するためのプロセス
c) PDS(SR)内の安全サブ機能の設計及び開発。該当する場合,次のような項目を含む。
− 設計及び開発の責任者
− 製品開発及びプロジェクトマネジメントの方法論の選択(JIS C 0508-7:2017のB.1.1を参照)
− PDS(SR)を組み込む対象用途の装置(プロセス制御装置又は機械類)の設計に対して適用する,
機能安全指針及び規格の考慮(例えば,JIS B 9705-1及びJIS B 9961)
− プロジェクト文書化の方法論(JIS C 0508-7:2017のB.1.2を参照)
− 構造化設計技法の適用(JIS C 0508-7:2017のB.3.2を参照)
− モジュール化技法の適用(JIS C 0508-7:2017のB.3.4を参照)
− コンピュータ支援設計ツールの使用(JIS C 0508-7:2017のB.3.5を参照)
− 設計の適合確認の方法論
− 設計変更管理(ハードウェア及びソフトウェアの両方)
d) 安全サブ機能の適合確認の計画。計画には,次のような項目を含む。
− 適合確認の責任者
− 適合確認の戦略,技法及びツールの選択
− 適合確認業務の選択及び文書化
− 試験装置の選択及び利用
− 適合確認に用いた装置及び試験から得られる適合確認結果の評価
e) 安全サブ機能の妥当性確認計画。計画には,次を含む。
− 妥当性確認試験の責任者
− PDS(SR)の関連運転モードの識別
− PDS(SR)の各安全サブ機能を正しく実装していることの妥当性確認に用いる手順,及び試験遂行
のための合否基準
− 要求する安全度をPDS(SR)の各安全サブ機能がもつことの妥当性確認に用いる手順,及び試験遂
行のための合否基準
− 全ての必要なツール及び装置を含む,試験の実施に必要な環境(校正を行うことが望ましいツール
及び装置についての計画も含む。)
− 試験評価手順(正当性の根拠も含む。)
− 規定した電磁イミュニティ限度値の妥当性確認に用いる試験手順及び性能評価基準
− 合格基準に達しなかった場合に必要な措置
f)
安全関連の使用者用文書作成の計画。計画には,次を含む。
− 使用者用文書作成の責任者
− 重要な安全関連情報のリスト
− 文書作成の正確性を保証するためのレビュープロセス
g) 評価が必要な場合(JIS C 0508-1:2012の箇条8を参照),機能安全評価計画。効果的な評価を行いや
すくするために必要な全ての情報を提供し,次を含む。
− 機能安全評価の範囲
18
C 61800-5-2:2019 (IEC 61800-5-2:2016)
− 関連する組織
− 必要な資源
− 機能安全評価の実施者
− 機能安全評価の実施者の独立性の程度
− 機能安全評価に関与するそれぞれの者の力量
− 機能安全評価からのアウトプット
− 必要な場合,この機能安全評価が他の機能安全評価とどのように関連し,どのように統合するか。
− 変更の場合,評価のどの部分を繰り返すのかを決定するための影響解析の実施に対する要求事項
(JIS C 0508-1:2012の7.16.2も参照)
それぞれの機能安全評価の範囲を定める中で,各評価業務の入力として使用する文書及びその改編状況
を指定する必要がある。
注記 この計画は,機能安全評価に責任をもつ者若しくは機能安全管理に責任をもつ者のいずれかに
よって作成するか,又は両者間で共有することができる。
5.5
PDS(SR)の安全要求仕様(SRS)
5.5.1
一般事項
PDS(SR)の安全要求仕様は,文書化しなければならず,かつ,次の両方を含む。
− 安全サブ機能要求仕様(5.5.2を参照)
− 安全度要求仕様(5.5.3を参照)
これらは,次のような形で表現し,かつ,構造化する。
− 明確,正確,曖昧でない,実行可能,適合確認可能,試験可能及び維持可能
− PDS(SR)安全ライフサイクルの任意のフェーズで,情報を利用する可能性のある者が理解しやすい
ように記載する。
− 次のいずれか又は両方で表現する。
− 自然言語又は形式言語
− 個々に定義した安全サブ機能によって必要な安全サブ機能全体を定義するロジック図,シーケンス
図又は特性要因図
これらの仕様の作成中の誤りを回避するため,適切な技法及び手段を適用する(JIS C 0508-2:2014の表
B.1を参照)。
安全関連のハードウェア及びソフトウェアに関する要求事項については,適切な指定が行われているか
審査する。
5.5.2
安全サブ機能要求仕様
安全サブ機能要求仕様は,PDS(SR)の設計及び開発にとって十分な,包括的で詳細な要求事項を提供
する。
安全サブ機能要求仕様には,適宜,次を記載する。
a) 実行する全ての安全サブ機能
b) PDS(SR)の設計及び開発にとって十分な,包括的で詳細な要求事項(対応する安全サブ機能全ての
規定要求事項を含む。)
注記1 選択したフォールト回避手段及びフォールト管理手段,並びにソフトウェアの設計,試験な
どのために選択した手段及び技法のような要求事項は,安全サブ機能要求仕様に含めること
ができる。
19
C 61800-5-2:2019 (IEC 61800-5-2:2016)
c) 機能安全に関して適用できる運転モード
d) PDS(SR)が目的の用途の安全状態を達成又は維持するために用いる方法
e) PDS(SR)及びその設備の運転モード−例えば,設定,起動,保全,意図した通常運転
f)
PDS(SR)を実現するために必要な全ての挙動
g) 同時に有効になり,互いに競合することがある機能の優先順位
h) 安全サブ機能が正しく作動している間に制限値違反を検出したときに要求する処置(つまり,制限値
違反に対する反応,4.1を参照)
i)
フォールト反応機能(4.1及び6.3を参照)
j)
目的の用途において,危険状態になる前に,対応するフォールト反応を実行できるようにするための
最大フォールト反応時間(診断試験を用いてSIL能力を達成している場合にだけ必要)
k) 各安全関連機能[つまり,安全機能及びフォールト反応機能(6.3を参照)の両方]の最大応答時間
l)
ハードウェアとソフトウェアとの間の全ての相互作用の重要度−関連する場合,ハードウェアとソフ
トウェアとの間に要求するあらゆる制約を特定し,文書化する。
注記2 これらの相互作用が設計の完了前の段階で未知の場合,一般的な制約だけを記載することが
できる。
m) 安全関連機能(つまり,安全機能及びフォールト反応機能の両方)に影響を及ぼす可能性のある,オ
ペレータとPDS(SR)とが相互に作用する全ての方策
n) 機能安全にとって必要な,PDS(SR)と他のシステム(設備内で直接関連するシステム又は設備外の
システム)との間の全てのインタフェース
5.5.3
安全度要求仕様
PDS(SR)安全度要求仕様は,次を含む。
a) 各安全関連機能(又は同時に使用する安全関連機能グループ)のSIL能力(又はSIL)及びPFHの上
限値
注記1 SIL能力は,PDS(SR)が他のコンポーネントとともに安全サブ機能を実装する一つのコ
ンポーネントとしてみなす場合に関係してくる。
注記2 関与する他のコンポーネントの危険側故障の確率に配慮するため,PDS(SR)の危険側ラ
ンダムハードウェア故障の確率は,一般に,完全な安全サブ機能に割り付けるSILに関連
する目標機能失敗尺度よりも低くなる。ただし,PDS(SR)の安全サブ機能と他のコンポ
ーネントとを用いて冗長構成にする場合は,危険側ランダムハードウェア故障の確率をよ
り高くすることができる。
注記3 PDS(SR)がそれ自体の内部で安全サブ機能を完全に実装する場合,安全度要求仕様では
SIL能力ではなくSILを明らかにする。
注記4 複数の安全サブ機能を実装するために共通のハードウェアを使用し,安全サブ機能を同時
に使用する場合,共通ハードウェアの危険側ランダムハードウェア故障の確率は,全体的
な危険側ランダムハードウェア故障の確率を決定するときに一度だけ考慮することができ
る。
注記5 二つ以上の軸に対して一つの安全サブ機能を要求する多軸PDS(SR)の場合,共通ハード
ウェアの危険側ランダムハードウェア故障の確率は,全体的な危険側ランダムハードウェ
ア故障の確率を決定するときに一度だけ考慮することができる。
b) 要求する使命時間
20
C 61800-5-2:2019 (IEC 61800-5-2:2016)
c) 保管,輸送,試験,設置,運用及び保全の間にPDS(SR)が遭遇する可能性が高い,全ての環境のう
ち,最も厳しい条件(電磁環境条件を含む。)
注記6 IEC 61800-1,IEC 61800-2又はIEC 61800-4の要求事項を満たすために,この情報を既に
取得している場合があり,その場合は再度文書化する必要はない。
d) より高い電磁イミュニティに関する要求事項(6.2.6を参照)
e) 共通原因故障の可能性を理由としたPDS(SR)の実現に関する制限及び制約条件
f)
機能安全管理に必要な品質保証,又は品質管理手段(JIS C 0508-1:2012の箇条6を参照)
5.6
PDS(SR)安全システムアーキテクチャ仕様
5.6.1
一般事項
5.6.1.1
安全システムアーキテクチャ仕様の目的は,PDS(SR)を構成要素に分解し,その構成要素であ
るサブシステム及びサブシステムの部分に関する要求事項を規定することである(附属書Aを参照)。
注記1 通常,安全システムアーキテクチャ仕様は,安全サブ機能を分解し,安全サブ機能の部分を
サブシステム(例えば,安全サブ機能の論理回路,入出力回路,電源,ソフトウェア)に割
り当てることによって,PDS(SR)の安全要求仕様から導き出す。PDS(SR)をサブシステ
ム形式で表すことによって,それらのサブシステムの要求事項を指定できるようなアーキテ
クチャレベルでPDS(SR)を記載する。要求事項は,安全システムアーキテクチャ仕様に含
めるか,又は個別のままとして安全システムアーキテクチャ仕様から参照することもできる。
設計及び開発要求事項を満たすために,サブシステムを部品へと更に分解することができる。
注記2 この種の仕様に対する,より一般的なアプローチを,E/E/PEシステム設計要求仕様としてJIS
C 0508-2:2014に示す。
5.6.1.2
サブシステム及び部品の説明並びにそれぞれの要求事項は,次のような形で表現し,かつ,構造
化する。
− 明確,正確,曖昧でない,実行可能,適合確認可能,試験可能及び維持可能
− PDS(SR)安全ライフサイクルの任意のフェーズで,情報を利用する可能性のある人が理解できるよ
うに記載する。
− PDS(SR)安全要求仕様に対してトレーサビリティがある。
5.6.2
安全システムアーキテクチャ仕様の要求事項
5.6.2.1
安全システムアーキテクチャ仕様は,安全サブ機能及び安全度に関連する設計要求事項を含む。
5.6.2.2
安全システムアーキテクチャ仕様は,PDS(SR)の安全サブ機能要求仕様(5.5.2を参照)に規定
する要求安全サブ機能の実装に必要な全てのハードウェア及びソフトウェアに関する詳細を含む。アーキ
テクチャは,各安全サブ機能について,次を含む。
a) 必要に応じて,サブシステム及び部品に関する要求事項
b) PDS(SR)安全要求仕様を満たすためのサブシステム及び部品の統合に関する要求事項
c) 応答時間要求事項への適合を可能にする処理性能
d) 測定及び制御の精度及び安定性の要求事項
e) PDS(SR)とオペレータとの間の安全関連のインタフェース
f)
PDS(SR)と他のシステム(設備の内部又は外部)との間のインタフェース
g) PDS(SR)の全ての挙動を表すモード,特にPDS(SR)の故障時の挙動及び要求する応答(例えば,
警報,自動停止)
h) 全てのハードウェア及びソフトウェアの相互作用の重要度,並びに関連する場合,ハードウェアとソ
21
C 61800-5-2:2019 (IEC 61800-5-2:2016)
フトウェアとの間に要求するあらゆる制約
i)
PDS(SR)及びそのサブシステムのあらゆる制限及び制約条件。例えば,タイミング制約又は共通原
因故障の可能性に起因する制約
j)
PDS(SR)の起動及び再起動手順に関するあらゆる要求事項
5.6.2.3
安全システムアーキテクチャ仕様には,次を含め,PDS(SR)安全度要求仕様(5.5.3を参照)に
規定する安全サブ機能のSILを達成するための設計関連の詳細を含む。
a) ハードウェア安全度に対するアーキテクチャ制約を満たすための各サブシステムのアーキテクチャ
b) 目標機能失敗尺度の達成に必要な,ハードウェアの要求診断試験間隔など,関連する全ての信頼性モ
デリングのパラメータ
5.6.2.4
PDS(SR)安全システムアーキテクチャ仕様は,設計の進捗に伴って詳細を完成し,変更があれ
ば必要に応じて更新する。
5.6.2.5
PDS(SR)安全システムアーキテクチャ仕様に関して,開発中の誤りを回避するため,JIS C
0508-2:2014の表B.2に従って適切な一連の技法及び手段を用いる。
5.6.2.6
PDS(SR)安全システムアーキテクチャ仕様がアーキテクチャに課す内容を,考慮する。
注記 これには,要求SILを達成するための実装の簡潔性に関する考慮(アーキテクチャ上の考察及
び構成データ又は組込みシステムへの機能の分担を含む。)を含むことができる。
6
PDS(SR)の設計及び開発に関する要求事項
6.1
一般要求事項
6.1.1
運転状態の変更
危険な状態(例えば,予期しない起動)につながる可能性のあるPDS(SR)の運転状態の変更は,オペ
レータの意図した操作にだけ応答して開始する。
注記 例えば,保持状態のPDS(SR)の何らかの故障が,機械類及び/又はプラント設備の予期しな
い起動を引き起こさない。
6.1.2
設計基準
PDS(SR)は,引用規格に記載しているJIS C 61800-5-1及びIEC 61800規格群の中の適用可能な他の部
に従って設計する。
6.1.3
実現
PDS(SR)は,その安全要求仕様(5.5を参照)に従って実現する。
6.1.4
安全度及びフォールト検出
PDS(SR)は,次のa)〜c) の全てを満たす。
a) 次の両方を含むハードウェア安全度に関する要求事項
− ハードウェア安全度に対するアーキテクチャ制約(6.2.3を参照)
− PFH値に関する要求事項(6.2.2又は6.2.3を参照)
b) 次のいずれかを含む系統的安全度に関する要求事項
− 故障の回避に関する要求事項(6.2.5.1を参照)及び系統的原因によるフォールトの管理に関する要
求事項(6.2.5.2を参照)
− 使用するコンポーネントの使用実績による証明(proven-in-use)の提示。この場合,コンポーネン
トはJIS C 0508-2:2014の関連要求事項を満たさなければならない。
c) フォールト検出時の挙動に関する要求事項(6.3を参照)
22
C 61800-5-2:2019 (IEC 61800-5-2:2016)
注記 PL及びカテゴリを要求する場合は,更にJIS B 9705-1:2011の6.2を参照。
6.1.5
安全サブ機能及び非安全サブ機能
PDS(SR)が安全サブ機能及び非安全サブ機能の両方を実行する場合,非安全サブ機能の故障が安全サ
ブ機能に悪影響を及ぼさないことを適切な設計方策によって確実にしない限り,その全てのハードウェア
及びソフトウェアを安全関連として扱う。
単一コンピュータ上のソフトウェア要素間の不干渉性を達成するための技法については,JIS C
0508-3:2014の附属書Fを参照。
6.1.6
一つのPDS(SR)内の複数の安全サブ機能のSIL
安全サブ機能のSILは,安全サブ機能間で異なり,各安全サブ機能の設計に関する要求事項は次のよう
に定義する。
SILの異なる安全サブ機能の実装が十分に独立していることを示さない限り,ハードウェア及びソフト
ウェアの要求事項は,最も高いSILをもつ安全サブ機能のSILを用いて決定する。
その一例を,表2に示す。
表2−ハードウェア及びソフトウェアの独立性に基づいたSILの決定例
要求SILの異なる二つの安全サブ機能(Y及びZ)を実装するPDS(SR)
機能Z:SIL H a)/機能Y:SIL L a)
設計の種類
安全サブ機能Y及びZ間の
十分な独立性の証拠
安全サブ機能に対する
最終的な要求SIL
ハードウェア
に関して
ソフトウェア
に関して
Z
Y
ハードウェア(HW)及び
ソフトウェア(SW)の設計
あり
あり
SIL H
SIL L
なし
あり
SW:SIL H
HW:SIL H
SW:SIL L
HW:SIL H b)
なし
SIL H
SIL H b)
あり
なし
SW:SIL H
HW:SIL H
SW:SIL H b)
HW:SIL L
ハードウェアだけの設計
あり
該当しない
SIL H
SIL L
なし
SIL H
SIL H b)
注a) SIL HはSIL Lよりも高い。
b) HW及び/又はSWの分離が不十分である。
SILの異なる安全サブ機能を実装する部分間で,十分な独立性を確立するには,従属故障の確率が,関
連する安全サブ機能の最も高いSILに対応する危険側故障の確率と比較して,十分に低いことを示さなけ
ればならない。
6.1.7
オンチップ冗長をもつ集積回路
PDS(SR)のフォールトトレランス増加を目的としてオンチップ冗長を実装するデジタルICは,二重
化した回路の場合,JIS C 0508-2:2014の附属書Eに従って,オンチップ冗長をもつICの特殊アーキテク
チャ要求事項を全て満たさなければならない。又は異なる方策の組合せを用いることによって異なるチャ
ネル間に同一水準の独立性が達成していることの根拠を示す。
6.1.8
ソフトウェア要求事項
ソフトウェアを用いて,個別のSIL又はSIL能力(5.5.3を参照)を備えたPDS(SR)の安全サブ機能
を実装する場合,そのソフトウェアは,その特定のSILに対するJIS C 0508-3:2014に規定する要求事項に
従って実装する。
23
C 61800-5-2:2019 (IEC 61800-5-2:2016)
6.1.9
設計の文書化
設計及び実現の文書化に加えて,PDS(SR)設計文書にSIL能力を達成するために用いる技法及び手段
を示す[例えば,故障モード・影響解析(以下,FMEAという。),故障の木解析(以下,FTAという。)]。
6.2
PDS(SR)設計要求事項
6.2.1
基本安全原則及び十分に吟味した安全原則
PDS(SR)にカテゴリを宣言するときは,次の適用する基本安全原則及び十分に吟味した安全原則を考
慮する。
− 電気及び電気機械式PDS(SR)の場合,JIS B 9705-2:2019の表D.1及び表D.2がこれらの原則に該当
する。
− 機械式部品(例えば,エンコーダ)の場合,JIS B 9705-2:2019の表A.1及び表A.2がこれらの原則に
該当する。
6.2.2
1時間当たりの危険側ランダムハードウェア故障の確率(PFH)の推定に関する要求事項
6.2.2.1
一般要求事項
6.2.2.1.1
各安全サブ機能のPFH
PDS(SR)が実行する各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,6.2.2.1.2
及び附属書Bに従って推定し,安全度要求仕様(5.5.3を参照)で規定する目標機能失敗尺度(表3を参照)
と同じか,それよりも低くする。
SILによって定義するPFH値は,ある一つの安全サブ機能全体に適用する値である。PDS(SR)が安全
関連制御システム内で一部の安全サブ機能だけを実行する場合,PDS(SR)のPFH値は,SILによって定
義する値よりも十分に低いことが望ましい。
PFHで表す目標機能失敗尺度は,安全サブ機能が個別の目標機能失敗尺度を満たすように定める要求事
項がPDS(SR)安全度要求仕様(5.5.3を参照)にある場合を除き,個別のSILではなく安全サブ機能の
SILによって決定する(JIS C 0508-1:2012の表3を参照)。
表3−SIL:PDS(SR)安全サブ機能の目標機能失敗尺度
SIL
PFH
3
10−8以上10−7未満
2
10−7以上10−6未満
1
10−6以上10−5未満
注記 PFHは,危険側故障頻度又は危険側故障率と呼ばれることもあ
り,1時間当たりの危険側故障回数を数値で表したものである。
PDS(SR)の各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,個々に推定す
る。
注記1 異なる安全サブ機能は,共通コンポーネント及び/又は固有コンポーネントをもつことがあ
り,それによって各安全サブ機能(又は同時に使用する安全サブ機能グループ)は異なるPFH
をもつ。
注記2 利用可能なモデリング方法は幾つかある。どの方法が最適かは,解析者が判断し,状況によ
って異なる。利用できる方法を,次に示す。
− FTA(JIS C 5750-4-4を参照)
− マルコフモデル(IEC 61165を参照)
24
C 61800-5-2:2019 (IEC 61800-5-2:2016)
− 信頼性ブロック図(IEC 61078を参照)
− 部品点数(IEC 61709:2011を参照)
− JIS C 0508-6:2019に記載の一連の手順
− PLを見積もるための単純化した手順(JIS B 9705-1:2011の4.5.4を参照)
JIS C 5750-3-1も参照。
注記3 信頼性モデルで考慮する平均修復時間(IEC 60050-192:2015の192-07-23を参照)には,診
断間隔,修理時間及び修復までの他の遅延を考慮に入れる必要がある。
注記4 共通原因影響及びデータ通信プロセスに起因する故障は,ハードウェアコンポーネントの実
際の故障以外の影響(例えば,復号化エラー)から発生することがある。ただし,この規格
の目的から,そのような故障はランダムハードウェア故障として考える(JIS C 0508-6:2019
の附属書Dを参照)。
注記5 PLを宣言する場合は,更にJIS B 9705-1:2011の表3を参照。
6.2.2.1.2 PFHの推定
PDS(SR)が実行する各安全サブ機能(又は同時に有効になる安全サブ機能グループ)のPFHは,ラン
ダムハードウェア故障を要因とし,JIS C 0508-2:2014の附属書Aを用いて次を考慮に入れながら推定する。
a) 考慮対象の各安全サブ機能に関連するPDS(SR)のアーキテクチャ
b) PDS(SR)の危険側故障の原因となり,かつ,診断試験で検出する全てのモードにおける,PDS(SR)
の各サブシステムの推定故障率
c) PDS(SR)の危険側故障の原因となり,かつ,診断試験で検出しない全てのモードにおける,PDS(SR)
の各サブシステムの推定故障率
d) 共通原因故障に対するPDS(SR)のぜい弱性(JIS C 0508-6:2019の附属書Dを参照)
e) 診断試験の診断カバー率(DC)(JIS C 0508-2:2014の附属書A及び附属書Cに従って決定する。),及
び関連診断試験間隔。診断試験間隔を確定するときは,診断カバー率に寄与する全ての試験の間隔を
考慮する必要がある。
f)
検出した故障の修理時間
注記1 修理時間は,平均修復時間(IEC 60050-192:2015の192-07-23)の一部であり,故障の検出
にかかる時間及び修理が不可能な期間を含む(故障の確率の計算に平均修復時間をどのよ
うに用いることができるかの例は,JIS C 0508-6:2019の附属書Bを参照)。例えば,PDS
(SR)によって駆動する装置又は機械類を停止し,安全状態にするまで修理が実施できな
い状況など,特に修理不可能な期間が長い場合,その期間を十分に考慮することが重要で
ある。
g) データ通信プロセスの危険側故障の確率(6.4を参照)
注記2 低頻度作動要求用途に関して,PFHの値からPFDavgの値を推定するための情報は,附属書F
を参照。
6.2.2.1.3
故障率データ
コンポーネントの故障率データは,次のいずれかから取得する。
− 周知のデータ源
− 使用実績による証明がある(proven in use)と考えられるタイプAコンポーネントに基づく推定(JIS
C 0508-2:2014の7.4.10を参照)
コンポーネントの故障率を推定するときは,その想定平均動作温度を使用することが望ましい。
25
C 61800-5-2:2019 (IEC 61800-5-2:2016)
現場固有の故障率データが入手できる場合は,そちらを優先する。入手できない場合は,一般的なデー
タを使用することができる。
注記1 データは,複数の業界データ源(附属書Cを参照)の公表データから導くことができる。
注記2 ほとんどの確率推定方法では,一定の故障率を仮定するが,これを適用するのは,コンポー
ネントの有効寿命を超えていない場合だけである。コンポーネントの有効寿命を超えると,
ほとんどの確率計算方法の結果は意味をなさない(なぜならば,故障の確率が時間とともに
大幅に増加するからである。)。したがって,確率推定には,コンポーネントの有効寿命の規
定を含めることができる。有効寿命は,コンポーネント自体及びその動作条件,特に温度(例
えば,電解コンデンサは非常に敏感なことがある。)に強く依存する。
注記3 附属書Dに示すフォールトリストは,故障モードの決定に役立てることができる。
使用する故障率データは,信頼水準が70 %以上でなければならない。
6.2.2.1.4
ハードウェアフォールトトレランス(HFT)が0より大きい場合の診断試験間隔
PDS(SR)のサブシステムの診断試験間隔は,要求するPFHを満たす適切なものでなければならない
(6.2.2.1.1を参照)。
注記1 診断試験間隔の数学的影響に関する情報は,B.4を参照。
注記2 PDS(SR)の冗長部の診断試験を実施する際に,PDS(SR)を用いる機械類及び/又はプラ
ント設備の稼働を中断しなければならず,それに対して妥当な技術的解決策を実施できない
場合は,許容できる値として次の最大診断試験間隔を考慮することができる。
− SIL 2,PL d/カテゴリ3の場合,1年に1回の試験
− SIL 3,PL e/カテゴリ3の場合,3か月に1回の試験
− SIL 3,PL e/カテゴリ4の場合,1日に1回の試験
PL及びカテゴリは,JIS B 9705-1による。
6.2.2.1.5
ハードウェアフォールトトレランス(HFT)が0の場合の診断試験間隔
PDS(SR)のサブシステムのハードウェアフォールトトレランス(以下,HFTという。)が0で,安全
サブ機能がそのサブシステムに完全に依存している場合,その診断試験間隔は,診断試験間隔と安全状態
の達成又は維持のための指定の作動(フォールト反応機能)を実施する時間との合計がプロセスセーフテ
ィタイム未満になるようにする。
注記 プロセスセーフティタイムの定義は,JIS C 0508-4:2012の3.6.20を参照。
6.2.3
アーキテクチャ制約
6.2.3.1
SILの制限
ハードウェア安全度において,安全サブ機能に対して宣言できるSILの最大値は,安全サブ機能を実行
するPDS(SR)のサブシステムのHFT及び安全側故障割合によって制限を受ける。HFTがNであるとい
うことは,N+1個のフォールトによって安全サブ機能の喪失が生じる可能性があることを意味する。表4
及び表5では,サブシステムのHFT及び安全側故障割合を考慮に入れ,そのサブシステムを使用する安全
サブ機能に対して宣言できるSILの最大値を規定している(JIS C 0508-2:2014の附属書Cを参照)。表4
及び表5の要求事項は,いずれか適切な方を,安全サブ機能を実行する各サブシステム,更にはPDS(SR)
のあらゆる部分に適用する。6.2.3.2.2及び6.2.3.2.3では,個々のサブシステムに対して表4及び表5のい
ずれかを適用するかについて規定する。これらの要求事項に関しては,次による。
a) HFTの決定においては,フォールトの影響を制御できる他の方策(例えば,診断)は考慮しない。
b) 一つのフォールトがその後に続く一つ以上のフォールトの発生に直接つながる場合,これらは単一フ
26
C 61800-5-2:2019 (IEC 61800-5-2:2016)
ォールトとみなす。
c) HFTの決定においては,特定のフォールトが発生する可能性がサブシステムの安全度要求事項と比較
して非常に低い場合,そのフォールトを除外してもよい。そのようなフォールトの除外については,
正当な根拠を示し,文書化する(D.3を参照)。
注記1 アーキテクチャ制約は,サブシステムの複雑度を考慮に入れて,十分に堅ろう(牢)なアー
キテクチャを達成するためのものである。PDS(SR)に対して単に数学的なアプローチを採
用した場合に理論上はそれよりも高いSILを導くことができるケースであっても,アーキテ
クチャ制約によって定まるSILが宣言できる上限となる。
注記2 フォールトトレランス要求事項は,PDS(SR)をオンラインで修理している間は緩和するこ
とができる。ただし,緩和に関する重要パラメータは,事前に評価する(例えば,作動要求
の確率と比較した平均修復時間)。
注記3 この箇条は,JIS C 0508-2:2014の7.4.4のルート1Hに基づいている。ルート2Hに関連した要
求事項については,JIS C 0508-2:2014の7.4.4.3を参照。
6.2.3.2
タイプA及びタイプBサブシステム
6.2.3.2.1
一般事項
(JIS C 0508-2:2014の7.4.4.1.2及び7.4.4.1.3も参照)
6.2.3.2.2
タイプA
サブシステムは,安全サブ機能を達成するために必要なコンポーネントに関して,次の全ての基準を満
たす場合,タイプAとみなすことができる。
a) 全ての構成コンポーネントの故障モードを定義している。
b) フォールト状態下のサブシステムの挙動を完全に決定することができる。
c) 検出可能な危険側故障率(λDD)及び検出しない危険側故障率(λDU)について,現場の実績に基づい
た信頼できる故障データが存在する。
注記 附属書Dは,考慮することができるフォールト及びフォールトの除外のリストを示す。
6.2.3.2.3
タイプB
サブシステムは,安全サブ機能を達成するために必要なコンポーネントに関して,6.2.3.2.2の基準のう
ち一つでも満たしていない場合,タイプBとみなす。すなわち,サブシステムの一つ以上のコンポーネン
トがタイプBサブシステムの条件に当てはまる場合,サブシステム全体をタイプAではなくタイプBと
みなす。
注記1 例えば,マイクロコントローラなどで構成する制御部は,タイプBサブシステムとみなす。
注記2 D.3は,考慮することができるフォールト及びフォールトの除外のリストを示す。
6.2.3.3
アーキテクチャ制約
アーキテクチャ制約は,表4又は表5のいずれかを適用する。PDS(SR)を構成する全てのタイプAサ
ブシステムには,表4を適用する。PDS(SR)を構成する全てのタイプBサブシステムには,表5を適用
する。
注記1 タイプA及びタイプBについての情報は,JIS C 0508-2:2014の7.4.4.1.2及び7.4.4.1.3を参照。
27
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表4−タイプA安全関連サブシステムが実行する
安全サブ機能に対して許容できるSILの最大値
安全側故障割合a)
ハードウェアフォールトトレランス(HFT)N
(6.2.3.1を参照)
0
1
2
60 %未満
SIL 1
SIL 2
SIL 3
60 %以上 90 %未満
SIL 2
SIL 3
SIL 3
90 %以上 99 %未満
SIL 3
SIL 3
SIL 3
99 %以上
SIL 3
SIL 3
SIL 3
注a) 安全側故障割合の推定方法の詳細は,6.2.4を参照。
表5−タイプB安全関連サブシステムが実行する
安全サブ機能に対して許容できるSILの最大値
安全側故障割合a)
ハードウェアフォールトトレランス(HFT)N
(6.2.3.1を参照)
0
1
2
60 %未満
許容しない
SIL 1
SIL 2
60 %以上 90 %未満
SIL 1
SIL 2
SIL 3
90 %以上 99 %未満
SIL 2
SIL 3
SIL 3
99 %以上
SIL 3
SIL 3
SIL 3
注a) 安全側故障割合の推定方法の詳細は,6.2.4を参照。
例外として,HFTが0で,危険側故障につながる可能性のある電気又は電子部品のフォールトに対して
フォールト除外を適用しているサブシステムに関しては,そのサブシステムのアーキテクチャ制約を理由
に,宣言できるSILの最大値を次に制限する。
− 表D.1,表D.3,表D.5,表D.6,表D.7及び表D.8を適用している場合,SIL 3
− その他の全ての場合,SIL 2
注記2 カテゴリを宣言する場合は,更にJIS B 9705-1:2011の6.2を参照。
6.2.4
安全側故障割合(SFF)の推定
6.2.4.1
解析方法
サブシステムのSFFを推定するには,解析(例えば,FMEA又はFTA)を実行し,全ての関連フォール
ト及びそれらに対応する故障モードを決定する。サブシステムの各故障モードの確率は,関連するフォー
ルトの確率に基づいて決定する。
SFFの計算については,JIS C 0508-2:2014の附属書A及び附属書Cを参照。
PDS(SR)については,ルート1Hを優先する。ルート2Hは,タイプAサブシステムに限定する。
注記1 この箇条は,JIS C 0508-2:2014の7.4.4.2のルート1Hに基づく。ルート2Hに関連した要求事
項については,JIS C 0508-2:2014の7.4.4.3を参照。
データの根拠は,6.2.2.1.3に示す。
注記2 既知のデータ源の参考リストは,附属書Cを参照。
6.2.5
PDS(SR)及びPDS(SR)サブシステムの系統的安全度の要求事項
6.2.5.1
故障回避のための要求事項
6.2.5.1.1
一般事項
JIS C 0508-2:2014の表B.2に従って,PDS(SR)のハードウェアの設計及び開発は,フォールトの誘引
28
C 61800-5-2:2019 (IEC 61800-5-2:2016)
を最小限にする技法及び手段を用いなければならない。
6.2.5.1.4による計画に従って,試験を実施する。箇条9も参照。
注記 PLを宣言する場合は,JIS B 9705-1:2011の附属書Gを参照。
6.2.5.1.2
設計方法の選択
選択する設計方法によらず,要求SILに従って,次の全てを満たさなければならない。
a) 複雑度を最小化して設計の理解容易性を高める,透明性,モジュール性及びその他の特性
b) 次の明確かつ正確な仕様の決定
− 機能性
− サブシステムインタフェース
− 順序付け及び時間関連情報
− 同時性及び同期性
c) 情報の明確かつ正確な文書化及び伝達
d) 適合確認及び妥当性確認
6.2.5.1.3
設計方策
次の設計方策を適用する。
a) 次を含むPDS(SR)及び/又はサブシステムの適切な設計
− 製造業者の仕様の範囲内でのコンポーネントの使用。例えば,温度,負荷,電源,電力定格及びタ
イミングパラメータ。
− 目標故障率の達成に必要な場合,信頼性を高めるための設計パラメータのディレーティング
− サブシステムの適切な組合せ及び組立て。例えば,ケーブル接続,配線及び相互接続。
− 設計上の欠陥の早期検出のためのレビュー及び検査の利用
b) 互換性
− 互換性のある動作特性をもつサブシステムを使用する。
c) 指定した環境条件への耐性
− 例えば,温度,湿度,振動,電磁現象,汚損度,過電圧カテゴリ,標高など,全ての指定環境にお
いて安全な運転ができるようにPDS(SR)を設計する。
6.2.5.1.4
試験計画
設計の期間に,次の異なる種類の試験を必要に応じて計画する。
a) サブシステム試験
b) 統合試験
c) 妥当性確認試験
d) 構成試験(7.2を参照)
試験計画の文書化には,次を含む。
e) 実施する試験の種類及び遵守する手順
f)
試験環境,ツール,構成及びプログラム
g) 合否判定基準
適用できる場合,自動試験ツール及び統合開発ツールを使用する。
注記 このようなツールの整合性は,個別の試験,広範な使用実績,又は設計中のPDS(SR)を使っ
たツールのアウトプットに対する独立した適合性確認によって実証することができる。
29
C 61800-5-2:2019 (IEC 61800-5-2:2016)
6.2.5.1.5
設計管理の要求事項
設計後の変更においてPDS(SR)のSILを保つために,設計段階で設計管理及び再試験のプロセスを定
義する。
6.2.5.2
系統的原因によるフォールトの管理要求事項
6.2.5.2.1
一般事項
注記 PLを宣言する場合は,JIS B 9705-1:2011の附属書Gを参照。
6.2.5.2.2
設計指針
系統的原因によるフォールトを管理するため,PDS(SR)及びそのサブシステムが,次の全てに耐性を
もつ設計指針とする。
a) ハードウェアに残存している設計フォールト
b) PDS(SR)に対して指定した環境に当てはまる,IEC 61800-2:2015の表6による環境上のストレス
c) 電磁イミュニティ(6.2.6)を参照
d) PDS(SR)のオペレータによる不手際(例えば,誤操作,手順の誤り)(JIS C 0508-2:2014のA.3及
び表A.17を参照)
e) ソフトウェアに残存している設計フォールト(JIS C 0508-3:2014の7.4.3及び関連表を参照)
f)
データ通信プロセスから生じるエラー及び他の影響(6.4を参照)
特定用途向け集積回路(ASIC)を用いてPDS(SR)に安全サブ機能を実装するときは,設計及び開発
中のフォールトの誘引防止に欠かせない一連の適切な技法及び手段を用いる。JIS C 0508-2:2014の附属書
F(参考)には,技法及び手段の例を示している。関連するASIC開発ライフサイクルは,JIS C 0508-2:2014
の図3に示す。
6.2.5.2.3
試験容易性及び保全性
試験容易性及び保全性は,最終PDS(SR)でこれらの特性を実装するように,設計及び開発業務の中で
考慮する。
6.2.5.2.4
人的制約
PDS(SR)の設計は,人間の能力及び限界を考慮し,また,オペレータ及び保全要員に割り当てた業務
に適したものでなければならない。オペレータインタフェースの設計は,ヒューマンファクタを適切に配
慮し,また,オペレータの適切な訓練水準又は認識水準に配慮する。
6.2.5.2.5
意図しない変更に対する保護
PDS(SR)には,安全に関連するソフトウェア,ハードウェア,パラメータ及び構成に対する意図しな
い変更から保護するための(又は保護を容易にするための)方策を組み込まなければならない。
注記 JIS C 0508-7:2017のB.4.8を参照。
6.2.5.2.6
入力の確認応答及びオペレータによる不手際
PDS(SR)の設計には,操作の失敗を抑制するための入力の確認応答を組み込まなければならない。ま
た,この設計では,妥当性チェックによってオペレータによるPDS(SR)の安全サブ機能に関連する不手
際からの保護をしなければならない。
注記 JIS C 0508-7:2017のB.4.6及びB.4.9を参照。
6.2.5.2.7
PDS(SR)のパラメータ設定
ほぼ全てのPDS(SR)は,安全サブ機能の挙動を決定する構成パラメータを必要とする。ソフトウェア
によるパラメータ設定は,PDS(SR)設計の安全関連の側面として考え,ソフトウェアの安全要求仕様に
記載する。
30
C 61800-5-2:2019 (IEC 61800-5-2:2016)
設置及び保全中のパラメータ設定は,PDS(SR)の製造業者が提供する専用のパラメータ設定ツールを
用いて行わなければならない。このツールは,固有の識別(名称,バージョンなど)をもち,かつ,例え
ば,パスワードの使用によって権限のない変更を防止する。このパラメータ設定ツールに対する機能安全
要求事項はない。
安全関連パラメータを設定する際には,専用の手順を用いなければならない。この手順には,次の両方
によるPDS(SR)への入力パラメータの確認を含めなければならない。
− 変更済みパラメータのオペレータによる検索,表示及び検証
− 次のいずれかを用いた,PDS(SR)におけるパラメータの正確性の適合確認
− 構成試験[7.2 f)を参照]
− PDS(SR)の製造業者が定義する他の適切な手段
同様に,文書化した安全関連パラメータの確認を含めなければならない。例えば,適切な技能をもつ人
材による確認,及びパラメータ設定ツールによる自動検証を用いた確認を行う。
注記1 参考として,JIS C 0508-3:2014の7.4.4を参照。
注記2 パラメータの設定を行う以外の目的をもつ装置(例えば,パーソナルコンピュータ又は同等
物)を用いて設定を行う場合,この細分箇条の要求事項は特に重要である。
注記3 ソフトウェアによるパラメータ設定についての詳細は,JIS B 9705-1:2011の4.6.4及び/又は
JIS B 9961の6.11.2を参照。
6.2.5.2.8
電源の喪失
電源の喪失による影響を考慮に入れて,PDS(SR)の仕様を決め,設計する。
6.2.6
PDS(SR)の電磁イミュニティに関する設計要求事項
PDS(SR)は,JIS C 4421の分類に従って指定又は想定する電磁環境(第1種環境又は第2種環境)内
で運転するための適切な電磁イミュニティをもつように設計する。
電磁イミュニティ試験の要求事項は,9.3及び附属書Eに記載する。
6.2.7
PDS(SR)の熱的耐性に関する設計要求事項
PDS(SR)は,IEC 61800-2の分類に従って指定又は想定する熱的環境内で運転するために適切な熱的
耐性をもつように設計する。
熱的耐性試験の要求事項は,9.4に記載する。
6.2.8
PDS(SR)の機械的耐性に関する設計要求事項
PDS(SR)は,JIS C 61800-5-1及びIEC 61800-2の分類に従って指定又は想定する機械的環境内で運転
するための適切な機械的耐性をもつように設計する。
機械的耐性試験の要求事項は,9.5に記載する。
6.3
フォールト検出時の挙動
6.3.1
フォールトの検出
PDS(SR)内のフォールトの検出は,診断試験によって実行することができる。
安全サブ機能の喪失につながる可能性のある危険側フォールトを検出したときは,危険状態を防ぐため
にフォールト反応機能を始動する。診断及びフォールト反応機能は,指定最大フォールト反応時間内に実
行する。
6.3.2
HFTが0よりも大きい場合
HFTが0よりも大きいサブシステムの場合で,(診断試験又は他の手段によって)危険側フォールトを
検出したときは,次のいずれかを実行する。
31
C 61800-5-2:2019 (IEC 61800-5-2:2016)
a) フォールト反応機能を始動する。
b) フォールト部分を修理している間,機械類及び/又はプラント設備が安全な運転を継続できるように
するためのサブシステムのフォールト部分を分離する。危険側ランダムハードウェア故障の確率(6.2.2
を参照)の計算で仮定した平均修復時間(MTTR)内に修理が完了しない場合,フォールト反応機能
を始動する。
6.3.3
HFTが0の場合
HFTが0のサブシステムの場合で,安全サブ機能がそのサブシステムに完全に依存している場合,その
サブシステムで(診断試験又は他の手段によって)危険側フォールトを検出したときは,フォールト反応
機能を始動する。
6.4
データ通信の追加要求事項
PDS(SR)内での安全サブ機能の実装にデータ通信を用いる場合,通信プロセスにおいて検出しない故
障の確率を推定する。
この確率は,ランダム故障による安全サブ機能のPFHの推定(6.2.2.1.2を参照)のときに考慮に入れな
ければならない。これは,PDS(SR)内の全てのデータ通信を対象とするものではない。例えば,プリン
ト配線板内部のデータ通信は,この要求事項の対象外である。
詳細については,JIS C 0508-2:2014の7.4.11を参照。
注記 安全通信チャネルに関する追加情報は,IEC 61784-3で確認することができる。
6.5
PDS(SR)統合及び試験要求事項
6.5.1
ハードウェア統合
PDS(SR)は,指定の設計に従って統合する。全てのサブシステム及びコンポーネントをPDS(SR)に
統合する場合は,その一環として,指定の統合試験に従ってPDS(SR)を試験する。これらの試験は,適
合確認計画で指定し,全てのモジュールが正しく相互作用してその意図した機能を実行すること,及び意
図しない機能は実行しないことを確認しなければならない。
6.5.2
ソフトウェア統合
安全関連のソフトウェア部分及びモジュールのPDS(SR)への統合は,JIS C 0508-3:2014に従って実施
する。その中には,ソフトウェア適合確認計画で指定した試験を含めなければならない。この試験によっ
て,機能性要求事項及び安全性能要求事項に対して,ソフトウェアとハードウェアとが整合していること
を保証する。
注記 これは,全ての入力の組合せの試験を意味するものではない。全ての等価クラスの試験(JIS C
0508-7:2017のB.5.2を参照)で十分なこともある。静的解析(JIS C 0508-7:2017のB.6.4を参
照),動的解析(JIS C 0508-7:2017のB.6.5を参照)又は故障解析(JIS C 0508-7:2017のB.6.6
を参照)によって,試験ケース数を許容できるレベルまで減らすことができる。
6.5.3
統合中の部分改修
統合中のPDS(SR)に対するいかなる部分改修も,それによって影響を受ける全てのコンポーネントを
特定するための影響解析を行い,かつ,追加の適合確認を行う。
6.5.4
適用可能な統合試験
統合試験は,適合確認計画の中で指定する。通常想定する運転を適切に特徴付ける入力値又は設定値を
PDS(SR)に与えて機能試験を実施する。安全サブ機能を始動し(例えば,STOの作動又はSLSの速度制
限値違反によって),その結果を観察し,仕様書に指定した運転と比較する(箇条9も参照)。
32
C 61800-5-2:2019 (IEC 61800-5-2:2016)
6.5.5
試験の文書化
PDS(SR)の統合試験中に,次を文書化する。
a) 使用した試験計画のバージョン
b) 統合試験の合格基準
c) 試験したPDS(SR)の種類及びバージョン
d) 使用したツール及び機器並びに校正データ
e) 各試験の結果
f)
想定結果と実際の結果との相違点
7
使用上の情報
7.1
一般事項
PDS(SR)の製造業者は,安全マニュアルの中で使用者に情報を提供する。安全マニュアルの一般要求
事項は,JIS C 0508-2:2014の附属書D及びJIS C 0508-3:2014の附属書Dを参照。この箇条では,PDS(SR)
に関する追加要求事項を記載する。
注記 PLを宣言する場合は,JIS B 9705-1:2011の箇条11を参照。
7.2
PDS(SR)の安全に使用するための情報及び指示
次の情報は,製造業者によって文書化し,使用者が利用できるようにする。
a) 安全サブ機能の実装に用いることができる各安全サブ機能及びインタフェースの機能仕様。次を含め
る。
− 安全サブ機能の詳細な説明(制限値違反に対する反応を含む。)
− フォールト反応機能
− 各安全関連機能の応答時間及び関連するフォールト反応機能の応答時間
− 安全サブ機能の有効又は無効化の対象となる条件(例えば,運転モード)
− 同時に有効になり,互いに競合することがある安全サブ機能の優先順位
b) 次を含む各安全サブ機能の安全度情報
− SIL又はSIL能力(系統的対応能力を含む。JIS C 0508-2を参照)
− 各安全サブ機能のPFH値
− 同時に有効になる安全サブ機能グループにおいて,結果として得られるPFH
− PL及びカテゴリを適用する場合,JIS B 9705-1に従って宣言する。
c) PDS(SR)を使用する(電磁を含む)環境及び動作条件の定義(IEC 61800-1,IEC 61800-2,JIS C 4421,
IEC 61800-4及びJIS C 61800-5-1も参照)。この定義では,保管,輸送,設置,現地調整,試験,運用
及び保全を考慮する。
注記1 EMCに関連する,使用上の情報の例:“警告:PDS(SR)から20 cm未満の距離にある携
帯無線送信機は,PDS(SR)の安全サブ機能を妨害する可能性があります。”又は類似の文
言[表E.3の注p)を参照]。
d) PDS(SR)に課す次の制約の表示
− 推定故障率の有効性を維持するために遵守する環境
− PDS(SR)の使命時間
− 試験,校正又は保全要求事項(例えば,リレーの作動の回数制限)
− 系統的原因故障を回避するために遵守することが望ましいPDS(SR)の適用に対する制限
33
C 61800-5-2:2019 (IEC 61800-5-2:2016)
− ハードウェア及びソフトウェアの有効なバージョン並びに安全サブ機能に関して許可する組合せ安
全サブ機能は,PDS(SR)の非安全サブ機能の喪失を防止できないという事実。
注記2 例えば,SS1-tによって開始する減速の失敗を防止できない。
注記3 例えば,STOが有効状態のとき,PDS(SR)の電力部で故障が発生した場合,制限した
量の移動が依然として起こり得る。
e) 設定及びパラメータ化を含む設置及び現地調整の手引(JIS C 61800-5-1:2016の箇条6を参照)
f)
安全サブ機能の構成手段の安全度が保証できない場合(例えば,PC構成ツールを用いた場合)の,安
全サブ機能の構成試験に関する要求事項
構成試験は,使用するPDS(SR)の安全サブ機能が意図したとおりに構成していることを確実にす
るために,特定用途の現地調整又は部分改修後に実施する。試験では,特にPDS(SR)内のパラメー
タが意図する値になっていることを確認する。試験は,通常,PDS(SR)の製造業者が提供する試験
手順を用いて,PDS(SR)の現地調整に責任を負う者が実施及び文書化する。
構成試験マニュアルでは,少なくとも次の項目を記録するように求める。
− 図を含めた用途の説明
− 用途ごとに使用する安全関連コンポーネントの説明(ソフトウェアのバージョンを含む。)
− PDS(SR)の用途ごとに使用する安全サブ機能の一覧
− 指定の試験手順によるこれらの安全サブ機能の各試験の結果
− PDS(SR)における全ての安全関連パラメータ及びその値の一覧
− 検証項目,試験日及び試験担当者による確認
全てのユニットで安全サブ機能を意図したとおりに構成することが保証できる場合は,同様な用途
に対して一回の形式試験で,PDS(SR)の構成試験を実施してもよい。
g) 使用者又はPDS(SR)を含む設備の一部[例えば,プログラマブルコントローラ(PLC),監視コン
トローラ]によって実行する診断試験
h) PDS(SR)の運用及び保全手順。次を指定する。
− 寿命の限られたコンポーネント(例えば,冷却ファン,バッテリなど)の交換を含む,PDS(SR)
の機能安全を維持するために行う必要がある定期的措置
− 非安全状態の防止及び/又は危険事象の影響の軽減に必要な措置及び制約
− PDS(SR)でフォールト又は故障が発生したときに,従わなければならない次の両方を含む保全手
順
− フォールトの診断及び修理手順
− 再妥当性確認手順
− 保全及び再妥当性確認に必要なツール,並びにツール及び機器の保全手順
− ハードウェア及びソフトウェアバージョンの互換性,並びにPFH及びSILのような安全パラメータ
を含む,PDS(SR)の用途の機能安全を維持するために実施する必要のある定期的措置
注記4 PDS(SR)の運用及び保全手順は,例えば,次を受けて継続的に改良することができる。
− 機能安全監査
− PDS(SR)の試験
34
C 61800-5-2:2019 (IEC 61800-5-2:2016)
8
適合確認及び妥当性確認
8.1
一般事項
この箇条は,PDS(SR)開発ライフサイクル(5.3を参照)の遵守を確実にすることを目的とする。
注記 PLを宣言する場合は,JIS B 9705-1及び/又はJIS B 9705-2を参照。
8.2
適合確認
この細分箇条の要求事項は,あるフェーズの入力に対して出力を評価(試験を含む。)し,製品及び規格
に対する正確さ及び一貫性を確実にすることを目的とする。
JIS C 0508-2:2014の7.9.2の要求事項を適用する。
8.3
妥当性確認
この細分箇条の要求事項は,要求する安全サブ機能及び安全度に関して,PDS(SR)が全ての点で安全
要求事項を満たしていることの確認を目的とする。
JIS C 0508-2:2014の7.7.2の要求事項を適用する。
8.4
文書化
8.2及び8.3の該当する要求事項に従い,PDS(SR)の適合確認及び妥当性確認に関する適切な文書を作
成する。
9
試験要求事項
9.1
試験計画
PDS(SR)の安全サブ機能の試験は,開発プロセスの各フェーズと並行して計画する。
試験計画は,文書化し,次の全てに関する詳細な説明を含む。
a) 各安全サブ機能の機能試験
b) 各安全サブ機能の診断機能の試験(フォールト挿入試験)
c) 次の環境上のストレスへの耐性に関する各安全サブ機能の環境試験
1) 電磁的(EM)
2) 熱的
3) 機械的(衝撃・振動)
d) 合格基準
試験は,安全サブ機能の内部実行を考慮に入れない“ブラックボックス”,又は実行に関する具体的な知
識を用いて試験(例えば,フォールト挿入試験)を決定する“ホワイトボックス”のいずれでもよい。
関連要求事項で許可する場合,試験を免除するか,又は他の適合確認方法又は妥当性確認方法に置き換
えてもよい。
注記 例えば,規模が理由で完全なPDS(SR)に対して安全サブ機能試験を実行することが難しい場
合,安全に関連するPDS(SR)の部分を個別に試験することができる。
9.2
機能試験
関連診断機能(フォールト挿入試験)を含む各安全サブ機能の試験を,実施する。
9.3
電磁イミュニティ試験
9.3.1
一般事項
PDS(SR)に電磁イミュニティ試験を実行するときに適用する性能評価基準は,9.3.3による。この基準
は,装置の安全関連でない機能には適用しない。
注記 JIS C 4421の要求事項を満たす場合,安全関連でない機能面の電磁両立性(EMC)を達成する。
35
C 61800-5-2:2019 (IEC 61800-5-2:2016)
9.3.2
意図する電磁(EM)環境
EM環境が不明の場合若しくはPDS(SR)の製造業者がEM環境を表明しない場合,又は意図する環境
が第2種環境の場合,PDS(SR)は,表E.1,表E.2及び表E.3の第2種環境の列に示す電磁イミュニテ
ィ要求事項に対して適合確認を実施する。
PDS(SR)の使用を意図する環境が第1種環境の場合,PDS(SR)は,表E.1及び表E.3の第1種環境
の列に示すイミュニティ要求事項に対して適合確認を実施する。
9.3.3の性能評価基準を適用する。
試験の間は,指定する低減手段を適用し,その有効性の適合確認を行う。
9.3.3
性能評価基準(フェールセーフ状態−FS)
試験中にPDS(SR)が全ての安全関連のハードウェア部品を動かす間,次のいずれかの性能評価基準を
満たさなければならない。PDS(SR)の中の非安全関連機能の挙動は考慮しない。ただし,非安全コンポ
ーネントが,安全サブ機能の状態を表して,かつ,正しく作動することを確認している場合は除く。
さらに,PDS(SR)は,電磁イミュニティ試験が行われているときに危険状態になってはならない。
PDS(SR)の安全サブ機能は,次のいずれかによる。
− 機能安全のために指定した制限値から逸脱しない(JIS C 4421の基準Aと同じ)。
− PDS(SR)がEM妨害に対して,PDS(SR)の安全状態(フェールセーフ状態)を指定の最大フォー
ルト反応時間内に維持又は達成する場合は,機能安全のために指定したその制限値から一時的又は永
続的に逸脱してもよい。
指定の最大フォールト反応時間内に定義した安全状態を維持又は達成する場合,永続的な安全サブ機能
の低下又はコンポーネントの破損があってもよい。
性能評価基準は,目的の用途においてPDS(SR)に関連する全てのEM現象に適用する。
9.4
熱的耐性試験
9.4.1
一般事項
関連する診断機能を含む各安全サブ機能の熱的耐性試験を実施する。
9.4.2
機能的熱試験
PDS(SR)の各安全サブ機能が定格温度動作条件下で正しく作動することを判断するため,JIS C
61800-5-1:2016の温度上昇試験に従って試験を実施する。
9.4.3
コンポーネントの熱試験
各安全サブ機能の全てのコンポーネントは,試験の間,コンポーネントの製造業者が指定した最高動作
温度を超えてはならない。
注記1 PDS(SR)に指定した最低及び最高周囲温度でPDS(SR)を使用したときに,全ての安全関
連コンポーネントが指定した温度範囲で作動するかどうかの試験は,PDS(SR)の最高周囲
温度よりも低い温度で実施することができる。試験中に達した最高温度に,試験中の周囲温
度とPDS(SR)の最高周囲温度との差を足すことによって,PDS(SR)の最高周囲温度に対
して補正することができる。
注記2 熱試験方法に関する情報は,JIS C 61800-5-1に記載している。
9.5
機械的耐性試験
9.5.1
一般事項
関連する診断機能を含む各安全サブ機能の衝撃及び振動耐性試験を実施する。
36
C 61800-5-2:2019 (IEC 61800-5-2:2016)
9.5.2
振動試験
PDS(SR)への通電及び運転中の各安全サブ機能の適合確認が必須であるという点以外は,JIS C
61800-5-1:2016の振動試験の試験条件に従って試験を実施する。
9.5.3
衝撃試験
PDS(SR)への通電及び運転中の各安全サブ機能の適合確認が必須であるという点以外は,IEC
61800-2:2015の衝撃試験の試験条件に従って試験を実施する。
9.5.4
機械的耐性試験の性能評価基準(フェールセーフ状態−FS)
PDS(SR)の安全サブ機能は,次のいずれかによる。
− 機能安全のために指定した制限値から逸脱しない。
− PDS(SR)が機械的妨害に対して,PDS(SR)の安全状態(フェールセーフ状態)を指定の最大フォ
ールト反応時間内に維持又は達成する場合は,機能安全のために指定した制限値から一時的又は永続
的に逸脱してもよい。
9.6
試験の文書化
安全サブ機能に関するPDS(SR)の試験の中で,次の詳細を文書化する。
a) 使用した試験計画のバージョン
b) 試験の合格基準
c) 試験したPDS(SR)の型式及びバージョン
d) 校正データ付きの使用したツール及び機器
e) 試験の条件
f)
試験の担当者
g) 各試験の詳細な結果
h) 想定結果と実際の結果との相違点
i)
試験の合否 不合格の場合,故障モードを記載する。
10 部分改修
10.1 目的
この箇条は,製造に向けて設計を完了した後,設計の部分改修を行う場合に,PDS(SR)の機能安全を
確実に維持することを目的とする。
10.2 要求事項
10.2.1 一般事項
部分改修を行う前に,手順を計画する。部分改修は,PDS(SR)の最初の開発と同水準以上の専門知識,
自動化ツール,並びに計画及び管理をもって実施する。部分改修は,計画に沿って行う。
10.2.2 部分改修要求
部分改修は,機能安全管理(箇条5を参照)の手順の下で部分改修要求が発生したときに開始する。次
の詳細を明らかにする。
a) 部分改修の理由
b) 変更案(ハードウェア及びソフトウェアの両方)
注記 ソフトウェア部分改修の要求事項を実施するための適切な技法の選択については,JIS C
0508-3:2014の表A.8を参照。
37
C 61800-5-2:2019 (IEC 61800-5-2:2016)
10.2.3 影響解析
部分改修案がPDS(SR)の機能安全に及ぼす影響を評価する。評価には,5.3に従った開発ライフサイ
クルのどのフェーズへ戻る必要があるか,影響の範囲及び程度を決定できる解析を含める。
10.2.4 許可
要求した部分改修の実施に対する許可は,影響分析の結果に応じて決定する。
10.2.5 文書化
PDS(SR)部分改修業務ごとに適切な文書を作成し,維持する。文書は,次を含む。
a) 部分改修の詳細仕様
b) 影響解析の結果
c) 部分改修に関する全ての承認
d) 再妥当性確認データを含むコンポーネントの試験仕様
e) PDS(SR)構成管理履歴(ハードウェア及びソフトウェア)
f)
以前の動作及び条件からの逸脱
g) 使用上の注意に対して必要な修正
h) 適用する5.3に従った開発ライフサイクルの全ての該当フェーズ
38
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書A
(参考)
連続タスク表
JIS C 0508規格群及び/又はIEC 61508規格群に記載しているライフサイクルに従ったPDS(SR)の適
切な設計手順を次に示す。必要な開発ライフサイクル(図3参照)の順序を表A.1に示し,この規格又は
JIS C 0508規格群及び/又はIEC 61508規格群の該当する箇条又は細分箇条を参照先として示す。
注記1 ライフサイクルの設計及び開発は,設計工学の一般的な実務慣行に倣い,“アーキテクチャ”
と“設計及び開発”とに分けている。
注記2 第三者認証を希望する場合,PDS(SR)製造業者は,設計手順の開始段階で認証機関と接触
することができる。
表A.1−PDS(SR)の設計及び開発手順
タスク
参照先
1
一般要求事項
−
全ての関連文書は,適切な文書管理方式の管理下に置く
ことが望ましい。
ソフトウェア品質マネジメントシステム
JIS C 0508-1:2012の箇条5
JIS C 0508-3:2014の箇条6
安全コンセプト
PDS(SR)安全ライフサイクルのフェーズ3(この
規格の5.6を参照)
a) 次を含むアーキテクチャレベルのハードウェア設計
− 安全関連のハードウェアのブロック図
− ユーザインタフェース及びプロセスインタフェー
ス
− 安全関連信号経路
− 電力供給
− フォールトトレランスを達成するための独立した
チャネルの分離
− 診断カバー率を達成するための独立したチャネル
間の通信リンク
この規格の箇条5を参照
JIS C 0508-2:2014の7.4,附属書A,表B.2及び表
B.6
JIS C 0508-6:2019の附属書A及び附属書Dの例
b) 次を含むアーキテクチャレベルのソフトウェア設計
− 安全関連のソフトウェアが提供する機能の説明
− ハードウェアとの相互作用
− ソフトウェアの意図する挙動のステートマシン図
− ユーザインタフェース及びプロセスインタフェー
ス
− フォールト検出の可能性及びフォールト反応
− ソフトウェア構造の概観(例えば,ブロック図)
− 安全関連データの制御及び保存
− バージョン手順
− 使用ツール(例えば,コンパイラ,コードチェッ
カなど)
JIS C 0508-2:2014の7.2.3.1 h)
JIS C 0508-3:2014の7.2.2.8,7.2.2.10,7.4.2,7.4.3,
表A.2,表B.1,表B.7及び表B.9
JIS C 0508-7:2017の表C.1
39
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表A.1−PDS(SR)の設計及び開発手順(続き)
タスク
参照先
2
PDS(SR)機能安全管理計画
PDS(SR)安全ライフサイクルのフェーズ1(この
規格の5.3及び5.4を参照)
この規格の箇条5〜箇条10を満たすために必要な業務を
定義し,これらの業務の遂行に責任をもつ人,部門又は
組織を明らかにした計画の作成
“計画は,PDS(SR)の開発全体を通して必要に応じて
更新する”
この規格の5.4を参照
JIS C 0508-1:2012の6.2
JIS C 0508-3:2014の6.2
3
PDS(SR)安全要求仕様
PDS(SR)安全ライフサイクルのフェーズ2(この
規格の5.3及び5.5を参照)
安全サブ機能要求事項及び安全度要求事項を含む安全要
求仕様(SRS)の作成
この規格の5.5を参照
JIS C 0508-1:2012の7.5及び7.10
JIS C 0508-2:2014の7.2,表B.1及び表B.6
JIS C 0508-2:2014の7.4.6〜7.4.8及び附属書A
JIS C 0508-3:2014の7.2,表A.1及び表B.7
JIS C 0508-3:2014の7.4.2〜7.4.4,表A.3及び表B.1
JIS C 0508-7:2017の表C.1
JIS C 0508-6:2019の附属書A
IEC 61508-5:2010の例
4
PDS(SR)安全要求仕様の適合確認
−
a) 安全要求仕様の審査
この規格の8.2を参照
b) 要求SILに応じて,独立した人又は部門による確認 JIS C 0508-2:2014及びJIS C 0508-3:2014の7.9
5
PDS(SR)安全システムアーキテクチャ仕様
PDS(SR)安全ライフサイクルのフェーズ3(この
規格の5.3及び5.6を参照)
a) SRSで指定した安全サブ機能を実装するために必要
なハードウェア及びソフトウェアの詳細。各安全サ
ブ機能について,次の事項もアーキテクチャに含む
ことが望ましい
− 適宜,サブシステム及びサブシステムの部分に関
する要求事項
− SRSを満たすサブシステム及びサブシステムの部
分の統合に関する要求事項
− 応答時間要求事項への適合を可能にするスループ
ット性能
− 測定及び制御の精度及び安定性の要求事項
− 安全関連のオペレータインタフェース
− 5.6.2.2に指定している他の項目
この規格の5.6を参照
JIS C 0508-2:2014の7.4及び附属書A
JIS C 0508-3:2014の7.4.2及び7.4.3
JIS C 0508-6:2019の附属書A及び附属書Dの例
40
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表A.1−PDS(SR)の設計及び開発手順(続き)
タスク
参照先
5
b) 設計によってどのように安全サブ機能のSIL及び要
求目標機能失敗尺度を達成するかについての詳細
次を含む。
− ハードウェア安全度に関するアーキテクチャ制約
を満たすための各サブシステムのアーキテクチャ
− 目標機能失敗尺度を達成するために,必要な全て
のハードウェアコンポーネントの要求診断試験間
隔のような,関連する信頼性モデリングパラメー
タ
− 危険側故障の検出時の処置
− 全安全ライフサイクルを通して要求する電磁
(EM)を含む全ての環境条件に対する耐性を安全
関連のハードウェアが達成する手段
− 安全管理に必要なQA及びQC手段
JIS C 0508-2:2014の7.4,表2,表3,附属書A及び
附属書C
JIS C 0508-3:2014の7.2.2.8,7.2.2.10,7.4.2,7.4.3,
表A.2,表B.1,表B.7及び表B.9
JIS C 0508-6:2019のA.2
JIS C 0508-7:2017の表C.1
c) 推奨事項
機能ブロック図レベルでの,ランダムハードウェ
ア故障による安全サブ機能の喪失確率の事前推定
JIS C 0508-1:2012の表2
JIS C 0508-2:2014の7.4.4,表3,表A.1及び附属書
C
JIS C 0508-3:2014の箇条8,表A.10及び表B.4
(FMEA)
JIS C 0508-6:2019の附属書C及び附属書Dの例
6
安全システムアーキテクチャ仕様の適合確認
−
a) システムアーキテクチャの審査
この規格の8.2を参照
b) 要求SILに応じて,独立した人又は部門による確認 JIS C 0508-2:2014及びJIS C 0508-3:2014の7.9
7
妥当性確認計画
PDS(SR)安全ライフサイクルのフェーズ4[この
規格の5.4 e)を参照]
a) 安全関連PDS(SR)の妥当性確認の詳細な計画
この規格の8.3を参照
b) 妥当性確認計画は,フェーズ5の設計及び開発と並
行して作成することが望ましい。
JIS C 0508-2:2014の7.3及び表B.5
JIS C 0508-3:2014の7.3,表A.7,表B.3及び表B.5
8
妥当性確認計画の適合確認
−
a) 妥当性確認計画の審査
この規格の8.2を参照
b) 要求SILに応じて,独立した人又は部門による確認 JIS C 0508-2:2014及びJIS C 0508-3:2014の7.9
9
設計及び開発
PDS(SR)安全ライフサイクルのフェーズ5(この
規格の5.3を参照)
a) ハードウェア設計
この規格の箇条6を参照
JIS C 0508-2:2014の7.4,附属書A,表B.2,表B.3
及び表B.6
b) ソフトウェア設計
JIS C 0508-3:2014の7.4.5,7.4.6及び表A.4
c) 次を含む信頼性予測
(ランダムハードウェア故障による安全サブ機能
の喪失確率の計算)
− PDS(SR)の種類
− SFF
− 機能ブロック図
− 信頼性モデル
− モデルのデータベース(デバイスリスト)
− PFHの推定
− 使命時間
− 修理間隔
JIS C 0508-1:2012の表2
JIS C 0508-2:2014の7.4.3,7.4.9,表3,表A.1及び
附属書C
JIS C 0508-3:2014の表B.4(FMEA)
JIS C 0508-6:2019の附属書C及び附属書Dの例
41
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表A.1−PDS(SR)の設計及び開発手順(続き)
タスク
参照先
10 設計の適合確認
−
a) システム設計の審査
この規格の8.2を参照
b) モジュールレベルの機能試験
−
c) 要求SILに応じて,独立した人又は部門による確認 JIS C 0508-2:2014の7.9
JIS C 0508-3:2014の7.4.7,7.4.8,7.9,表A.5及び
表A.9
11 PDS(SR)統合
PDS(SR)安全ライフサイクルのフェーズ6(この
規格の5.3を参照)
安全関連PDS(SR)の統合及び試験
この規格の6.5を参照
JIS C 0508-2:2014の7.5
JIS C 0508-3:2014の7.4.8及び7.5
12 統合の適合確認
−
HW及びSW統合試験結果の審査及び文書化
この規格の8.2を参照
JIS C 0508-2:2014の7.5,7.9,表B.3及び表B.6
JIS C 0508-3:2014の7.4.3.2 f),7.4.5.5,7.4.6.1,7.4.7,
7.4.8,7.5,7.9,表A.5,表A.6及び表A.9
13 設置,現地調整及び運用(使用者用文書)
PDS(SR)安全ライフサイクルのフェーズ7(この
規格の5.3を参照)
PDS(SR)の設置,現地調整,運用及び保全について説
明した使用者用文書の作成
この規格の箇条7を参照
JIS C 0508-2:2014の7.6及び表B.4
14 使用者用文書の適合確認
−
a) PDS(SR)の設置,現地調整,運用及び保全につい
て説明した使用者用文書の審査
この規格の8.2を参照
b) 独立した人又は部門による確認(要求SILによる) JIS C 0508-2:2014の7.9
15 PDS(SR)の妥当性確認
PDS(SR)安全ライフサイクルのフェーズ8(この
規格の5.3を参照)
a) PDS(SR)の妥当性確認に必要な全ての情報の提供 この規格の8.3を参照
b) 完全なソフトウェア及び適切な文書化
−
c) 妥当性確認計画に従った妥当性確認試験及び手順
JIS C 0508-2:2014の7.3,7.7,表B.5及び表B.6
JIS C 0508-3:2014の7.7,7.9及び表A.7
d) 妥当性確認試験の結果の文書化
−
e) 必要な場合,第三者による妥当性確認に向けた適切
な文書化の準備
−
16 PDS(SR)部分改修手順
−
a) 部分改修要求及び解析
この規格の箇条10を参照
b) PDS(SR)の全ての修正部分の適切な文書化
JIS C 0508-1:2012の7.16
JIS C 0508-2:2014の7.5.2.5及び7.8
JIS C 0508-1:2012の図9の例
c) 修正部分の再適合確認
−
d) 信頼性予測の更新
部分改修がフォールトトレランス,危険側フォー
ルトの確率,診断カバー率又は共通原因故障に影響
を与える場合。
−
e) 少なくともPDS(SR)の修正部分の再妥当性確認
−
f) ソフトウェアの部分改修
JIS C 0508-3:2014の7.1.2.9,7.5.2.6,7.6.2,7.8.2及
び表A.8
42
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書B
(参考)
PFHの推定例
B.1
一般事項
この箇条は,安全トルク遮断(STO)の安全サブ機能を備えたPDS(SR)を例にとってPFHの推定方
法を説明する。PFH値の計算方法を詳細に示すために,PDS(SR)の内部構造上の部分と,それらに必要
な全ての要求事項を示す。
B.2
例となるPDS(SR)の構造
B.2.1 一般事項
この箇条で説明するPDS(SR)は安全サブ機能STOを備え,この安全サブ機能は二つの冗長化したデ
ジタル入力によって開始し,デジタル出力を通じて単一のフィードバック信号を出力する(図B.1を参照)。
凡例
STO-A STOトリガ入力チャネルA
STO-B
STOトリガ入力チャネルB
STO-FB STOフィードバック出力
診断機能
通信及びI/O
トルク/回転速度/
位置制御
変調及び
保護
電力部
モータ
センサ
主電源
STO-A
制御部
PDS(SR)
STO-B
STO-FB
電源
(例 直流24 V)
図B.1−例となるPDS(SR)
例となる要求事項は,次のとおり。
− SIL 2
− 連続運転モード
PDS(SR)内では,安全サブ機能STOをPDS(SR)の非安全関連機能とともに実装し,ごく少数の安
全サブ機能専用コンポーネントを用いる。
内部単一チャネル電源のために,このPDS(SR)は二つの独立したサブシステム,つまり,2チャネル
のサブシステム“A/B”と電源及び電圧モニタのサブシステム“PS/VM”とに分けられる(図B.2を参照)。
この例となるPDS(SR)の安全サブ機能STOのPFH値は,次のように計算する。
43
C 61800-5-2:2019 (IEC 61800-5-2:2016)
PFHPDS(SR)=PFHA/B+PFHPS/VM
ここで,PFHA/B及びPFHPS/VMは,それぞれサブシステム“A/B”及びサブシステム“PS/VM”のPFH
値である。
凡例
STO-A
STOトリガ入力チャネルA
STO-B
STOトリガ入力チャネルB
STO-FB STOフィードバック出力
図B.2−PDS(SR)のサブシステム
B.2.2 サブシステム“A/B”
安全サブ機能STOは,HFT1を達成するために二つのチャネルで実装し,独立したPFH値を計算するサ
ブシステム“A/B”によってモデル化する。このサブシステムを実現すると,安全サブ機能に関する次の
システム特性を与える。
− タイプB(複雑なハードウェア)
− HFT1(2チャンネル実装)
タイプBサブシステムのアーキテクチャ制約(6.2.3.3を参照)によれば,SIL 2で,かつ,HFT1の場合,
安全側故障割合(SFF)は60 %以上でなければならない。
B.2.3 サブシステム“PS/VM”
内部電源(PS)は単一チャネルしかもたないため,電圧モニタ(VM)を実装する。内部電源及び電圧
モニタは,独立したPFH値を計算する別のサブシステム“PS/VM”としてモデル化される。このサブシス
テムを実現すると,安全サブ機能に関する次のシステム特性を与える。
− タイプB(複雑なハードウェア)
− HFT0(単一チャンネル実装)
タイプBサブシステムのアーキテクチャ制約(6.2.3.3を参照)によれば,SIL 2で,かつ,HFT0の場合,
安全側故障割合(SFF)は90 %以上でなければならない。
サブシステム“A/B”
(STOチャネルA及びB)
PDS(SR)
STO-A
STO-B
STO-FB
電源
(例 直流24 V)
サブシステム“PS/VM”
(電源及び電圧モニタ)
44
C 61800-5-2:2019 (IEC 61800-5-2:2016)
B.3
例となるPDS(SR)のPFH値の決定
B.3.1 サブシステム“A/B”(メインサブシステム)
B.3.1.1 機能ブロック分割
PDS(SR)内で,サブシステム“A/B”は,安全サブ機能STOの実装部分であり,HFT1のために必要
となる2チャンネルから構成する。図B.3は,安全サブ機能STOの実行に関与する部分を一点鎖線で示し
たPDS(SR)の概略ブロック図である。
PFH値を計算するために,サブシステム“A/B”を更に機能ブロックに細分し,それぞれの故障率を決
定する。トリガ入力回路及びスイッチオフ回路のコンポーネントが最小構成であるため,各チャネルは一
つの機能ブロックに統合する(ブロックA及びB)。
主回路(PM)自体の内部でのコンポーネントの故障は,安全サブ機能の喪失の原因とはならない。した
がって,主回路(PM)は,PFH値に寄与するサブシステムには含まない。
P5:
電源電圧5 V
PI-A(B):
パルス抑制チャネルA(B)
DIAG-A(B): 診断信号チャネルA(B)
RC:
抵抗コンデンサフィルタ
DRV:
出力ドライバ
PM:
主回路
図B.3−サブシステム“A/B”の機能ブロック
B.3.1.2 機能ブロックの故障率の決定
B.3.1.2.1 機能ブロック解析
機能ブロックごとに,危険側故障とみなすことができる故障の種類を定義する必要がある。その結果を
用いて,次の機能ブロックのコンポーネントのFMEA(故障モード・影響解析)を実施する。
ウォッチドッグ
µP
(マイクロプロセッサ)
RAM/ROM
クロック
R
C
R
C
D
R
V
STO-A
STO-FB
STO-B
パルス
信号
P5
P5
PI-B
PI-A
DIAG-A
DIAG-B
ブロックA
ブロックB
リセット
PM
L1
L2
L3
45
C 61800-5-2:2019 (IEC 61800-5-2:2016)
B.3.1.2.2 コンポーネントのFMEA
機能ブロックの回路のコンポーネントのFMEAは,安全サブ機能と関連があるとみなすコンポーネント
を決定し,その後,B.3.1.2.1の機能ブロック解析で決定した基準を用いて,各安全関連コンポーネントの
あらゆる故障モードに安全側又は危険側の属性を割り当てる。単純なコンポーネントについては,安全側
及び危険側故障モードの比率に関して信頼できるデータが入手できない場合,一つの危険側故障モードが
あれば,コンポーネントの故障全体を危険側とみなす。複雑なコンポーネントの場合,JIS C 0508-6:2019
の附属書Cでは,50 %を安全側故障モード,50 %を危険側故障モードと仮定している。
さらに,FMEAは,利用可能な診断機能によって各コンポーネントの検出可能な危険側故障率の比率を
明らかにする。複雑なコンポーネントの場合,検出される危険側故障の比率は,JIS C 0508-2:2014の表
A.1を用いて定義することができる。この配分から,コンポーネントの検出できる危険側故障率λDDと検
出できない危険側故障率λDUとを定義する。
機能ブロックの全故障率は,機能ブロックの全ての安全関連コンポーネントの安全側故障率λS,検出可
能な危険側故障率λDD,及び検出できない危険側故障率λDUを足し合わせることによって算出する。
B.3.1.2.3 故障率区分決定の簡略化された方法
コンポーネント数が多い複雑なハードウェア回路では,一つ一つのコンポーネントごとのFMEAは必ず
しも現実的ではない。そのため,JIS C 0508-6:2019の附属書Cに従って,一般に認められている簡略化さ
れた方法を選択してもよい。
複雑な回路をもつ機能ブロック全体の故障率は,全てのコンポーネントの故障率の合計として計算し,
50 %の安全側故障と50 %の危険側故障とに分ける。検出される故障の比率は,JIS C 0508-2:2014の表A.1
を用いて決定する。
注記 この簡略化された方法を用いることは,詳細な解析よりも効率的であるが,詳細な解析を実施
する場合に比べて不利な(つまり,より保守的な)故障率λS,λDD及びλDUが導かれることがあ
る。
機能ブロックの故障率λS,λDD及びλDUも,この方法を用いて導き出す。
B.3.1.3 安全側故障割合
B.3.1.2.3に示す簡略化された方法を用い,機能ブロックの故障率を次のように決定する。
− 実装基板の回路の故障の安全側故障比率:50 %(注記1を参照)
注記1 よって,実装基板の回路の危険側故障の比率も50 %になる。
診断カバー率(DC)は,JIS C 0508-2:2014の表A.1を用いて推定する。
46
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表B.1−サブシステム“A/B”のDC係数の決定
方法(JIS C 0508-2:2014)
宣言する
診断カバー率
診断試験の実行
表A.3 オンライン監視による故障検出
90 %
冗長化チャネルの周期的な試験
表A.3 冗長化の監視
99 %又は90 %
冗長化チャネルの周期的な試験
表A.4 ソフトウェアによる自己試験(ウォーキングビ
ット)(単一チャネル)
90 %
マイクロプロセッサの自己試験
表A.6 RAM試験“ガルパット”
90 %
マイクロプロセッサによって実施
表A.10 時間窓(タイムウィンドウ)がある個別の時間
基準によるウォッチドッグ(表A.11も参照)
90 %
ウォッチドッグ設計
表A.8 試験パターンを用いた検査
99 %
RAM試験によって実施
表A.14 複数のアクチュエータの相互監視
99 %
両スイッチオフアクチュエータの
周期的な試験
− 機能ブロックAのDCA:90 %(表B.1を参照)
− 機能ブロックBのDCB:90 %(表B.1を参照)
機能ブロックA及びBの回路の故障率[単位を10−9/hとする故障率(FIT)で表される現実的な例の値]
を,次に示す。
ブロックA: λA
(全故障率)
450 FIT
λAS
(安全側故障の比率) 0.5×450 FIT
225 FIT
λAD
(危険側故障の比率) 0.5×450 FIT
225 FIT
λADD DCA×λAD
0.9×225 FIT
202.5 FIT
λADU (1−DCA)×λAD
(1−0.9)×225 FIT
22.5 FIT
ブロックB: λB
(全故障率)
70 FIT
λBS
(安全側故障の比率) 0.5×70 FIT
35 FIT
λBD
(危険側故障の比率) 0.5×70 FIT
35 FIT
λBDD DCB×λBD
0.9×35 FIT
31.5 FIT
λBDU (1−DCB)×λBD
(1−0.9)×35 FIT
3.5 FIT
サブシステム“A/B”の安全側故障割合は,JIS C 0508-2:2014のC.1 h)に従って,次のように計算する。
SFFA/B=[(λAS+λBS)+(DCA×λAD)+(DCB×λBD)]/[(λAS+λBS)+(λAD+λBD)]
=[(225+35)+(0.9×225)+(0.9×35)] FIT/[(225+35)+(225+35)] FIT
=494 FIT/520 FIT
SFFA/B=95 %
注記2 SFFA/Bの計算を示すのは,主な部分を実際に計算するためである。表B.1で決定する試験間
隔から,SFFA/Bresultingを適用することができる(B.4を参照)。
B.3.1.4 共通原因故障係数βA/B
共通原因故障係数βA/Bは,JIS C 0508-6:2019の表D.4を用いて推定する。
βA/B=2 %
B.3.1.5 信頼性モデル(マルコフ)
サブシステム“A/B”の信頼性モデルは,マルコフモデルとして実行される。図B.4にその状態グラフ
を示す。
47
C 61800-5-2:2019 (IEC 61800-5-2:2016)
S1,S2,S3,S4,S5,S6,S8: マルコフモデルの状態
“D”:
欠陥
“DD”:
検出できる欠陥
“DU”:
検出できない欠陥
その他の用語は,上記の箇条で説明している。
注記1 数学的に厳密な意味では,診断試験及び事象発生による修理に該当する遷移プロセスがその性質上,マル
コフ技法の必要条件を満足しないため,上記のマルコフモデルは概算とみなす。
注記2 このモデルでは,診断試験の組込みを詳細に示している。通常の故障率及び試験率から,このモデルを簡
略化することができる。一般に,試験率が1/8 hであるか,1/168 hであるかは重要ではない(表B.2を参照)。
注記3 この図において,min(λBD,λAD)は,λBD又はλADのいずれか小さい方を意味する。共通原因故障率は,β
係数を引き上げる一方,λ値の小さい方のチャネルがもつλ値までしか達することができないため,共通原
因故障率を計算するためのこの最小関数は妥当である。
注記4 このモデルでは,連続運転モード,つまり,安全サブ機能の作動要求が永続的に存在することを仮定して
いる。したがって,状態S8に至ることは,PFHに寄与する結果となり,追加的な遷移によって作動要求の
発生を表す必要はない。このように,モデルは,全範囲の潜在的な作動要求率をカバーしている。一方,
現在のケースの冗長化アーキテクチャにおいては,連続作動要求という仮定によって,高頻度作動要求と
比較してPFHの大幅な増加につながることはない。
図B.4−サブシステム“A/B”の信頼性モデル(マルコフ)
“安全側”故障はPFH値に重大な影響を与えないため,モデルでは“安全側”故障を考慮に入れていな
い。モデルは,故障の検出後にPDS(SR)をオフラインに切り替え,修理することを仮定している。
共通原因故障率は,係数βA/B,並びに機能ブロックA及びBの危険側故障率のうちの小さい方の値(注
記を参照)によって決定する。
注記 両ブロックの同時故障率は,両故障率の小さい方の値よりも大きくなることはない。
状態S2では,機能ブロックAに危険側故障が発生している。診断試験の作動に応じて,次の三つの状
λAD
S8
検出できない全ての危険状態
λAD
λAD
λBD
λBD
λBD
S1
全て許容
S5
A欠陥
“DD”
S6
A欠陥
“DU”
S2
A欠陥
“D”
S3
B欠陥
“D”
S7
B欠陥
“DU”
S4
B欠陥
“DD”
rRep
rRep
rRep
(1−DCB)×rTest
DCB×rTest
(1−DCA)×rTest
DCA×rTest
βA/B×min(λBD, λAD)
λBD−βA/B×min(λBD, λAD)
λAD−βA/B×min(λBD, λAD)
48
C 61800-5-2:2019 (IEC 61800-5-2:2016)
態に遷移する可能性がある。
− 診断試験が故障を検出し,機能ブロックを修復する場合,S5に遷移する。
− 診断試験が故障を検出しない場合,S6に遷移する。
− 診断試験が機能ブロックAで故障を検出する前に機能ブロックBに故障が発生した場合,S8に遷移
する。
状態S6では,機能ブロックAに検出できない危険側故障が発生している。機能ブロックBに危険側故
障が発生すると,S8に遷移する。
状態S8は,安全サブ機能が利用できなくなり,試験がもはや効果を失った危険状態を表す。また,PDS
(SR)に連続運転モードを仮定しているため,状態S8は,危険側故障の発生したPDS(SR)が安全サブ
機能の作動要求に直面することによって生じる“危険事象”も表す。
B.3.1.6 PFH値の計算
λ値,DC及びβ係数は,B.3.1.3及びB.3.1.4による。
追加の決定項目は,次による。
− 診断試験率
rTest=1/8 h,1/24 h,1/168 h,…
− 修理率
rRep=1/8 h
− 使命時間
TM=10年又は20年
PFH値を決定するため,マルコフモデルの各状態Siの確率pi(t)の時間依存数列を計算することがで
きる。状態S1を除く全ての状態の開始時の確率値は,0に等しい。状態S1の開始時の確率値は,1に等
しい。計算は,使命時間TMまで行うことができる。
dt
t
p
t
p
t
p
λ
t
p
t
p
t
p
λ
t
p
λ
λ
β
T
PFH
M
T
BD
AD
BD
AD
B
A
M
B
A
∫
+
+
+
+
+
+
=
0
6
5
2
7
4
3
1
)]}
(
)
(
)
(
[
)]
(
)
(
)
(
[
)
(
)
,
min(
{
1
パラメータβA/B,rRep,rTest及びTMに異なる値を用いた場合の計算結果を,表B.2に示す。
表B.2−サブシステム“A/B”のPFH値の計算結果
βA/B
%
rRep
h
rTest
h
TM
年
PFHA/B
1/h
2
1/8
1/8
10
7.67×10−10
2
1/8
1/24
10
7.68×10−10
2
1/8
1/168
10
7.70×10−10
2
1/8
1/672
10
7.76×10−10
2
1/8
1/8 760
10
8.76×10−10
2
1/8 760
1/8
10
8.76×10−10
2
1/8
1/8
20
8.34×10−10
2
1/8
1/672
20
8.43×10−10
3
1/8
1/8
20
1.18×10−9
5
1/8
1/8
20
1.88×10−9
太字は,上段から特に変更している値を示す。
表B.2の結果は,試験率,使命時間及び共通原因故障係数がPFH値に与える影響を示している。PFH
値に対するそれぞれのパラメータの影響を示すため,パラメータを変化させている。ただし,全てのパラ
メータ値が現実的な値とは限らない。達成できるPFH計算の全体的な精度に関しては,小数第1位までの
仮数を用いて完全な安全装置のPFH値を規定することが望ましい。表B.2では,個々のパラメータの変化
が及ぼす僅かな影響も示すためだけに,小数第2位まで示している。
49
C 61800-5-2:2019 (IEC 61800-5-2:2016)
B.3.2 サブシステム“PS及びVM”
B.3.2.1 機能ブロック分割
安全サブ機能STOに関して,サブシステム“PS/VM”は,専用のモニタをもつ一つのチャネルを備える。
図B.5は,内部単一電源(PS)及び電圧モニタ回路(VM)を備えた二つの機能ブロックにサブシステム
を更に細分した図である。
P5
電源電圧5 V
P3V3
電源電圧3.3 V
図B.5−サブシステム“PS/VM”の機能ブロック
B.3.2.2 機能ブロックの故障率
各機能ブロックの故障率は,B.3.1.2の方法を用いて決定する。
B.3.2.3 安全側故障割合
B.3.1.2.3に示す簡略化された方法を用いて,機能ブロックの故障率を,次のように決定する。
− 実装基板の回路の故障の安全側故障比率:50 %(注記1を参照)
注記1 よって,実装基板の回路の危険側故障の比率も50 %になる。
診断カバー率(DC)は,JIS C 0508-2:2014の附属書Aの各表を用いて推定することができる。
表B.3−サブシステム“A/B”のDC係数の決定
手段(JIS C 0508-2)
宣言する診断カバー率
手段の実装
表A.9 安全遮断又は二次電源への切換えに
よる電源制御(二次制御)又は電源断
高(99 %)
電圧モニタによるPDS(SR)
の電源断
− 機能ブロックPSのDC:99 %(表B.3を参照)
− 機能ブロックVMのDC:0 %(電圧モニタのモニタは利用できない。)
機能ブロックPS及びVMの回路の故障率(現実的な例の値)を,次に示す。
ブロックPS: λPS
(全故障率)
250 FIT
λPSS
(安全側故障比率)
0.5×250 FIT
125 FIT
λPSD
(危険側故障比率)
0.5×250 FIT
125 FIT
λPSDD DCPS×λPSD
0.99×125 FIT
123.75 FIT
λPSDU (1−DCPS)×λPSD
0.01×125 FIT
1.25 FIT
内部電源
電圧モニタ
ヒューズ
P5
P3V3
Usupply
(直流24 V)
ブロックVM
ブロックPS
50
C 61800-5-2:2019 (IEC 61800-5-2:2016)
ブロックVM: λVM
(全故障率)
250 FIT
λVMS (安全側故障比率)
0.5×250 FIT
125 FIT
λVMD (危険側故障比率)
0.5×250 FIT
125 FIT
サブシステム“PS/VM”の安全側故障割合は,JIS C 0508-2:2014のC.1 h)に従って,次のように計算す
る(注記2を参照)。
SFFPS/VM=[λPSS+(λPSD×DCPS)]/λPS
=[125+(125×0.99)]/250
SFFPS/VM=99.5 %
注記2 モニタブロックは,SFFには寄与せず,PFHにだけ寄与する。
B.3.2.4 共通原因故障係数βPS/VM
共通原因故障係数βPS/VMは,JIS C 0508-6:2019の表D.4を用いて推定する。
βPS/VM=2 %
B.3.2.5 信頼性モデル(マルコフ)
サブシステム“PS/VM”の信頼性モデルは,マルコフモデルとして実行される。図B.6にその状態グラ
フを示す。
S1,S2,S3,S4: マルコフモデルの状態
“D”:
欠陥
“DD”:
検出できる欠陥
“DU”:
検出できない欠陥
その他の用語は,B.3.2で説明している。
注記1 数学的に厳密な意味では,診断試験及び事象発生による修理に該当する遷移プロセスがその性質
上,マルコフ技法の必要条件を満たさないため,上記のマルコフモデルは概算とみなすことが望
ましい。
注記2 電圧モニタは,電源回路の連続監視を提供する。したがって,モデルの中に試験率は現れない。
通常の故障率及び修理率から,モデルを簡略化することができる。描かれている図は,明確化を
目的とするものである。
図B.6−サブシステム“PS/VM”の信頼性モデル(マルコフ)
λVMD
S4
検出できない全ての危険状態
S1
全て許容
S2
PS欠陥
“DD”
λVMD−βPS/VM min(λPSD, λVMD)
rRep
rRep
S3
VM欠陥
“D”
λPSD
DCPS[λPSD−βPS/VM min(λPSD, λVMD)]
(1−DCPS)λPSD+βPS/VM min(λPSDλVMD)
51
C 61800-5-2:2019 (IEC 61800-5-2:2016)
モデルには,起こる可能性がある危険状態を示しているが,PFH値に寄与しない上にモデルの複雑度を
高めることになる安全状態は示してはいない。モデルでは,故障の検出後にPDS(SR)をオフラインに切
り替え,修理することを仮定している。
共通原因故障は,係数βPS/VM,並びに機能ブロックPS及びVMの危険側故障率のうちの小さい方の値(注
記を参照)によって決定する。
注記 共通原因故障は,ブロックPS及びVMがそれぞれの異なる故障率の範囲内で同時に故障する
ことを表すため,共通原因故障率は,両故障率の小さい方の値よりも大きくなることはない。
状態S2では,機能ブロックPSに危険側故障が発生している。修理を行う前に機能ブロックVMに故障
が発生すると,状態S4に遷移する。
状態S3では,機能ブロックVM
に危険側故障が発生し,この機能ブロック用のモニタがないことからこの故障は通知しない。機能ブロ
ックPSに危険側故障が発生すると,状態S4に遷移する。
機能ブロックPSに検出できない危険側故障が発生する,又は両機能ブロックが同時に故障すると,状
態S4に遷移し,安全サブ機能が機能しなくなる。
状態S4は,安全サブ機能が機能しなくなり,試験がもはや効果を失った危険状態を表す。また,PDS
(SR)に連続運転モードを仮定しているため,状態S4は,危険側故障の発生したPDS(SR)が安全サブ
機能の作動要求に直面することによって生じる“危険事象”も表す。
B.3.2.6 PFH値の計算
λ値,DC係数及びβ係数は,B.3.2.3及びB.3.2.4による。
追加の決定項目は,次による。
− 修理率
rRep=1/8 h
− 使命時間
TM=10年又は20年
PFH値を決定するため,マルコフモデルの各状態の確率の時間依存数列を計算することができる。状態
S1を除く全ての状態の開始時の確率値は,0に等しい。状態S1の開始時の確率値は,1に等しい。計算は,
使命時間TMまで行うことができる。
dt
t
p
λ
t
p
λ
t
p
λ
λ
β
λ
DC
T
PFH
M
T
PSD
VMD
VMD
PSD
VM
PS
PSD
PS
M
VM
PS
∫
+
+
×
×
+
−
=
0
3
2
1
)}
(
)
(
)
(
)]
,
min(
)
1
{[(
1
パラメータβPS/VM,rRep及びTMに異なる値を用いた場合の計算結果を,表B.4に示す。
表B.4−サブシステム“PS/VM”のPFH値の計算結果
βPS/VM
%
rRep
h
TM
年
PFHPS/VM
1/h
2
1/8
10
4.39×10−9
2
1/8
20
5.03×10−9
3
1/8
20
6.25×10−9
5
1/8
20
8.70×10−9
太字は,上段から特に変更のあった値を示す。
B.3.3 PDS(SR)の安全サブ機能STOのPFH値
rRep=1/8 h,rTest=1/8 h及びパラメータTMを変化させた場合のPFH値の例は,次による。
PFHSTO/PDS(SR)=PFHA/B+PFHPS/VM(値は,表B.2及び表B.4による。)
52
C 61800-5-2:2019 (IEC 61800-5-2:2016)
PFHSTO/PDS(SR)(TM=10 years)=(7.67×10−10/h+4.39×10−9/h)=5.16×10−9/h
PFHSTO/PDS(SR)(TM=20 years) (8.34×10−10/h+5.03×10−9/h)=5.86×10−9/h
B.4
試験間隔に応じたDC及びSFFの低下
試験間隔が長くなると,結果として得られる診断カバー率(DCresulting)及び安全側故障割合は低くなる。
診断試験間隔への依存を踏まえたDC及びSFFの差引きを,次に示す。
JIS C 0508-6:2019のB.3.3.2.1のtCEの式を参照。
t(CE)=(1−DC)(T1/2+MRT)+DC×MTTR ···································· (B.1)
次を代入すると,
T1=TM,
MRT=0,及び(PDSの運転時間中の修理はなし)
MTTR=DI/2(フォールト検出までの平均時間,修理時間なし)
次のようになる。
t(CE)=(1−DC)TM/2+DC×DI/2 ················································ (B.2)
規定要求事項を参照する場合,診断間隔DIに依存した結果として得られるDC'を計算する。
次を仮定すると,
t(CE)=(1−DC')TM/2
次のようになり,
(1−DC')TM/2=(1−DC)TM/2+DC×DI/2
DC'を求めると,DC及びDIに依存したDC'(=DCresulting)が導かれる。
DC'=DCresulting=DC(1−DI/TM)
SFF'(=SFFresulting)は,JIS C 0508規格群に従って次のようになる。
SFFresulting
DC'
λ
λ
λ
λ
SFF'
−
+
=
=
s
s
1
53
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書C
(参考)
利用可能な故障率データベース
C.1 データベース
次の参考文献は,電子及び非電子コンポーネントの故障率データ源の順不同かつ非網羅的なリストであ
る。このデータ源は必ずしも互いに一致しているわけではないことに留意し,データの適用時には注意す
ることが望ましい。
− IEC TR 62380:2004,Reliability data handbook−Universal model for reliability prediction of electronics
components, PCBs and equipment
− Siemens Standard SN 29500,部品故障率(Part 1〜16),Siemens AG,CT TIM IR SI,D-80200,Munich
から入手可能
− 電子機器の信頼性予測,MIL-HDBK-217F,Notice 2:1995,米国防総省,Washington DC,20301
− 電子機器の信頼性予測手順,Telcordia SR-332,Issue 03,2011年1月(telecom-info.telcordia.com)
− 電子部品の信頼性データ(RAC-STD-6100),Reliability Analysis Center, 201 Mill Street, Rome, NY 13440
(rac.alionscience.com)
− 非電子部品の信頼性データ(RAC-STD-6200),Reliability Analysis Center, 201 Mill Street, Rome, NY 13440
(rac.alionscience.com)
− British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom.
通信システムに用いられる部品の信頼性データハンドブック(英国),ブリティッシュテレコム
− China 299B Electronic Reliability Prediction 中国299B電子部品信頼性予測
− AT&T信頼性マニュアル−Klinger, David J.,Yoshinao Nakada ,Maria A. Menendez, Editors, l, AT&T信頼性
マニュアル,Van Nostrand Reinhold, 1990, ISBN:0442318480
− IEEE Gold book−The IEEE Gold book IEEE recommended practice for the design of reliable, industrial and
commercial power systems provides data concerning equipment reliability used in industrial and commercial
power distribution systems. IEEE Customer Service, 445 Hoes Lane, PO Box 1331, Piscataway, NJ,
08855-1331, U.S.A.,
− IRPH ITALTEL Reliability Prediction Handbook
IRPH ITALTEL信頼性予測ハンドブック
− PRISM (RAC/EPRD)-is the new Reliability Analysis Center (RAC) software tool that ties together several tools
into a comprehensive system reliability prediction methodology. The PRISM concept accounts for the myriad of
factors that can influence system reliability,combining all those factors into an integrated system reliability
assessment resource. PRISM was developed to overcome inherent limitations in MIL-HDBK-217 that is no
longer being actively maintained or updated by the Department of Defense (DoD) The PRISM software is
available from the address below, RELIASS: Cams Hall, Cams Hill: FAREHAM: Hampshire, PO16 8AB:
United Kingdom
PRISM(RAC/EPRD)−複数のツールを一つの包括的なシステム信頼性予測法にまとめた新しい
Reliability Analysis Center(RAC)ソフトウェアツール。PRISMのコンセプトは,システムの信頼性に
影響を与える可能性のある無数のファクタの根拠となり,それらのファクタが組み合わさって統合さ
54
C 61800-5-2:2019 (IEC 61800-5-2:2016)
れた一つのシステム信頼性評価用のリソースとなっている。PRISMは,米国防総省(DoD)による積
極的な維持又は更新がもはや行われていないMIL-HDBK-217に固有の限界を克服するために開発さ
れた。PRISMソフトウェアは次の住所から入手できる。RELIASS: Cams Hall, Cams Hill: FAREHAM:
Hampshire, PO16 8AB: United Kingdom
− Analog Devices Component MTTF data−www.analog.com under “about ADI”
アナログデバイスコンポーネントのMTTFデータ−www.analog.comの“ADIについて”から入手可能
− FIDES−Reliability data handbook developed by a consortium of French industry under the supervision of the
French DoD DGA,new version from 2009 (http://fides-reliability.org).
FIDES−フランスの業界コンソーシアムがフランスのDoD DGAの監督下で作成した信頼性データハ
ンドブック,2009年以降の新版(http://fides-reliability.org)
C.2 コンポーネントの故障に関して参考になる規格
JIS C 5750-3-2:2008 ディペンダビリティ管理−第3-2部:適用の指針−フィールドからのディペンダビ
リティデータの収集
注記 対応国際規格ではIEC 60300-3-2:2004,Dependability management−Part 3-2: Application guide−
Collection of dependability data from the fieldを記載している。
JIS C 5750-3-5:2006 ディペンダビリティ管理−第3-5部:適用の指針−信頼性試験条件及び統計的方法
に基づく試験原則
注記 対応国際規格ではIEC 60300-3-5:2001,Dependability management−Part 3-5: Application guide−
Reliability test conditions and statistical test principlesを記載している。
JIS C 60721-1:2009 環境条件の分類−第1部:環境パラメータ及びその厳しさ
注記 対応国際規格ではIEC 60721-1:2002,Classification of environmental conditions−Part 1:
Environmental parameters and their severitiesを記載している。
IEC 60319:1999,Presentation and specification of reliability data for electronic component
IEC 60706-3:2006,Maintainability of equipment−Part 3: Verification and collection, analysis and presentation of
data
IEC 61709:2011,Electric components−Reliability−Reference conditions for failure rates and stress models for
conversion
55
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書D
(参考)
フォールト一覧及びフォールトの除外
D.1 一般事項
D.3.1〜D.3.16の一覧は,幾つかのフォールトモデル,フォールトの除外及びその根拠を示す。
妥当性確認については,恒久フォールト及び恒久でないフォールトの両方を考慮することが望ましい。
フォールトの発生する正確な時点が,非常に重要な場合がある。理論解析,及び必要に応じて試験を実
施し,例えば,停止時,システムの起動中,運転の過程の間のワーストケースを決定することが望ましい。
D.2 フォールトの除外に適用される注意事項
D.2.1 除外の有効性
当該部品をその定格範囲内で使用する場合に限り,全てのフォールトの除外は有効である。
D.2.2 すずウィスカの成長
鉛フリープロセス及び製品が用いられる場合,すずウィスカ(注記1参照)による短絡が発生する場合
がある。任意のコンポーネントのフォールトの除外“短絡…”を適用するときは,ウィスカのリスクを評
価し(注記2参照),考慮することが望ましい(注記3及び注記4参照)。
注記1 すずウィスカの成長は,主に光沢純すず仕上げに関連する現象である。針状突起が数百マイ
クロメートルに成長し,短絡を引き起こすことがある。一般的な理論では,すずめっきに蓄
積された圧縮応力がウィスカの原因とされている。
注記2 次の出版物は,評価の際に役立てることができる。
すず及びすず合金表面仕上げにおけるウィスカ成長を測定するための試験方法,
JESD22A121A,JEDEC半導体技術協会,2500 Wilson Boulevard Arlington,VA 22201-3834
すず及びすず合金表面仕上げのすずウィスカ感受性に関する環境許容要求事項,JESD201A,
JEDEC半導体技術協会,2500 Wilson Boulevard Arlington,VA 22201-3834,
http://www.jedec.org/standards-documents/results/JESD201
プリント回路板におけるすずウィスカ−機械構造の安全部品への影響,IFAドイツ労働安
全研究機関,Alte Heerstrasse 111,53757 Sankt Augustin,
https://www.dguv.de/ifa/praxishilfen/praxishilfen-maschinenschutz/zinnwhisker-auf-leiterplatten/inde
x.jsp
注記3 例 ウィスカ成長のリスクが高いとみなす場合,抵抗の端子間の短絡が考えられるため,フ
ォールトの除外“抵抗の短絡”は無効となる。
注記4 プリント配線板(PWB)の配線におけるウィスカは,これまで報告がない。配線は,通常,
すずコーティングなしの銅で構成している。パッドはすず合金で被覆することがあるが,生
産プロセスではウィスカ成長を助長しないようである。
D.2.3 PWB実装部品における短絡
プリント配線板(PWB)に実装する部品の短絡は,表D.1に記載するフォールトの除外“二つの隣接す
る配線/パッド間の短絡”を適用する場合に限り除外できる。
56
C 61800-5-2:2019 (IEC 61800-5-2:2016)
D.3 フォールトモデル
D.3.1 導体/ケーブル
導体/ケーブルは,JIS B 9705-2:2019の表D.4の要求事項を適用する。
D.3.2 プリント配線板/アセンブリ
プリント配線板/アセンブリは,表D.1の要求事項を適用する。
表D.1−プリント配線板/アセンブリ
考慮するフォールト
フォールトの除外
補足
二つの隣接する配線/パッ
ド間の短絡
a)〜c)に一致する場
合,隣接する導体間
の短絡
a) PWBの基材がJIS C 61800-5-1の要求事項を満たしてい
る。
b) 沿面距離及び空間距離が少なくとも汚損度2/過電圧カ
テゴリIIIを備えたJIS C 61800-5-1の寸法である。両方の
配線がPELV/SELVから給電される場合は,0.1 mmの最
小空間距離とともに汚損度2/過電圧カテゴリIIを適用
する。
c) 実装基板を,導電性の異物からの保護を提供するエンク
ロージャ内に取り付ける,かつ,プリント面は,全ての
導体を耐劣化性のワニス又は保護層で覆う。
注記1 導電性の異物からの保護は,次のいずれかの方
法によっても確保できる。
− 安全関連回路のエンクロージャがJIS C
0920によるIP54以上である。
− 安全関連BDM/CDM用のキャビネットが
JIS C 0920によるIP54以上である。
− BDM/CDMの場所に導電性の異物が存在
しないよう環境を管理している。
注記2 ソルダレジストは,保護層として十分であるこ
とが実績によって示されている。
注記3 JIS C 60664-3に従った保護層で覆うことによ
って,沿面距離及び空間距離の寸法を小さくす
ることができる。
NEMA 250,Type 12のエンクロージャ要求事項への適合は,
IP54要求事項への適合を十分に実証すると考えられる。
配線の断線
なし
−
注記1 プリント配線板(PWB)は,プリント回路板(PCB)の別名である。
注記2 過電圧カテゴリ(OVC)は,JIS C 61800-5-1で定義している。
D.3.3 端子台
端子台は,表D.2の要求事項を適用する。
表D.2−端子台
考慮するフォールト
フォールトの除外
補足
隣接する端子間の短絡
a)又はb)に一致する
場合,隣接する端子
間の短絡
a) 使用されている端子及び接続は,JIS C 61800-5-1に従う。
b) 設計によって保証する。例えば,接続点への収縮チュー
ブの成形による。
個々の端子の断線
なし
−
57
C 61800-5-2:2019 (IEC 61800-5-2:2016)
D.3.4 多ピンコネクタ
多ピンコネクタは,表D.3の要求事項を適用する。
表D.3−多ピンコネクタ
考慮するフォールト
フォールトの除外
補足
二つの隣接するピン間の短
絡
a)に一致する場合,
隣接するピン間の
短絡
コネクタがPWBに
取り付けられてい
る場合は,b)も適用
する。
a) フェルール又は他の適切な手段を多重より線に用いる。
沿面距離及び空間距離並びに全てのギャップに関して
は,JIS C 61800-5-1:2016の4.3.6を参照。
b) 実装基板は,導電性の異物からの保護を提供するエンク
ロージャ内に取り付ける,かつ,プリント面は,全ての
導体を耐劣化性のワニス又は保護層で覆う。
注記1 導電性の異物からの保護は,次のいずれかの方
法によっても確保できる。
− 安全関連回路のエンクロージャがJIS C
0920によるIP54以上である。
− 安全関連BDM/CDM用のキャビネットが
JIS C 0920によるIP54以上である。
− BDM/CDMの場所に導電性の異物が存在
しないよう環境を管理している。
注記2 ソルダレジストは,保護層として十分であるこ
とが実績によって示されている。
注記3 JIS C 60664-3に従った保護層で覆うことによ
って,沿面距離及び空間距離の寸法を小さくす
ることができる。
NEMA 250,Type 12のエンクロージャ要求事項への適合は,
IP54要求事項への適合を十分に実証すると考えられる。
機械的手段によって防止で
きない場合のコネクタの入
れ替わり又は誤挿入
なし
−
大地若しくは導電性部分又
は保護導体への導体[c)を参
照]の短絡
なし
c) ケーブル芯は,多ピンコネクタの一部とみなす。
個々のコネクタピンの断線
なし
−
D.3.5 電気機械式機器
電気機械式機器は,表D.4の要求事項を適用する。
58
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.4−電気機械式装置(例えば,リレー,コンタクタリレー)
考慮するフォールト
除外
補足
コイルが非励磁になったと
きに,全ての接点が励磁位置
にとどまる(例えば,機械的
フォールトによる。)。
なし
−
電力が印加されたときに,全
ての接点が非励磁位置にと
どまる(例えば,機械的フォ
ールト,コイルの断線によ
る。)。
なし
接点が開かない。
なし
接点が閉じない。
なし
切換接点の3端子間の同時短
絡
a)及びb)を満たす場
合,同時短絡を除外
することができる。
a) 沿面距離及び空間距離が少なくともJIS C 61800-5-1:2016
の4.3.6の寸法である。
b) 緩んだ導電性部分が接点とコイルとの間の絶縁を橋絡し
ない。
二組の接点間及び/又は接
点とコイル端子間の短絡
a)及びb)を満たす場
合,短絡を除外する
ことができる。
常開接点及び常閉接点の同
時閉路
c)を満たす場合,接
点の同時閉路を除
外することができ
る。
c) 直接開路動作機能付(又は機械的連動)接点を用いてい
る。
D.3.6 変圧器
変圧器は,JIS B 9705-2:2019の表D.12の要求事項を適用する。
D.3.7 インダクタンス
インダクタンスは,JIS B 9705-2:2019の表D.13の要求事項を適用する。
D.3.8 抵抗
抵抗は,JIS B 9705-2:2019の表D.14の要求事項を適用する。
D.3.9 抵抗ネットワーク
抵抗ネットワークは,JIS B 9705-2:2019の表D.15の要求事項を適用する。
D.3.10 可変抵抗
可変抵抗は,JIS B 9705-2:2019の表D.16の要求事項を適用する。
D.3.11 コンデンサ
コンデンサは,JIS B 9705-2:2019の表D.17の要求事項を適用する。
D.3.12 ディスクリート半導体
[例えば,ダイオード,ツェナーダイオード,トランジスタ,トライアック,GTOサイリスタ,IGBT,
電圧レギュレータ,水晶振動子,フォトトランジスタ,発光ダイオード(LED)]
ディスクリート半導体は,JIS B 9705-2:2019の表D.18の要求事項を適用する。
D.3.13 信号絶縁コンポーネント
信号絶縁コンポーネントは,表D.5の要求事項を適用する。
59
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.5−信号絶縁コンポーネント
考慮するフォールト
フォールトの除外
補足
個々の接続の断線
なし
−
二つの入力接続間の短絡
なし
二つの出力接続間の短絡
なし
二つの接続間の絶縁障壁を
またぐ短絡
a)及びb)を満たす場
合は,絶縁障壁をま
たぐ短絡を除外す
ることができる。
a) 信号絶縁コンポーネントがJIS C 61800-5-1による過電圧
カテゴリIIIに従って構成されている。
SELV/PELV電源が用いられている場合は,汚損度2/
過電圧カテゴリIIを適用する。
注記 JIS C 61800-5-1:2016の4.3.6の全ての要求事項が
適用される。
b) 信号絶縁コンポーネントの内部故障が絶縁材の過度の温
度上昇につながらないように措置が講じられている。
D.3.14 非プログラマブル集積回路
非プログラマブル集積回路は,表D.6の要求事項を適用する。
表D.6−非プログラマブル集積回路
考慮するフォールト
フォールトの除外
補足
個々の接続の断線
なし
JIS C 0508-2:2014の附属書Eを参照。
二つの接続間の短絡
除外の可能性あり。
補足を参照。
スタックアット(縮退)故障
(つまり,分離された入力又
は接続されていない出力に
よる“1”及び“0”への短絡)。
全ての入力及び出力信号が,
個々に又は同時に“0”及び
“1”に固定される。
なし
出力の寄生振動
なし
値の変化(例えば,アナログ
機器の入/出力電圧)
なし
この規格では,1 000ゲート未満及び/又は24ピン未満のIC,演算増幅器,シフトレジスタ及びハイブリッドモ
ジュールを非複雑とみなす。この定義は,この規格で決めている。
D.3.15 プログラマブル及び/又は複雑な集積回路
プログラマブル及び/又は複雑な集積回路は,表D.7の要求事項を適用する。
60
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.7−プログラマブル及び/又は複雑な集積回路
考慮するフォールト
フォールトの除外
補足
機能の全体的又は部分的な
フォールト
なし
JIS C 0508-2:2014の附属書Eを参照。
個々の接続の断線
なし
二つの接続間の短絡
除外の可能性あり
−補足を参照。
スタックアット(縮退)故障
(つまり,分離された入力又
は接続されていない出力に
よる“1”及び“0”への短絡)。
全ての入力及び出力信号が,
個々に又は同時に“0”及び
“1”に固定される。
なし
出力の寄生振動
なし
値の変化(例えば,アナログ
機器の入/出力電圧)
なし
集積回路の複雑性のために
見落とされるハードウェア
の検出できないフォールト
なし
この規格では,1 000を超えるゲート及び/又は24を超えるピンで構成されるICを複雑とみなす。この定義は,
この規格で決めている。他のフォールトが安全サブ機能の作動に影響を与える場合,解析によって考慮する追加の
フォールトを特定することが望ましい。
D.3.16 モーション及び位置フィードバックセンサ
モーション及び位置フィードバックセンサは,表D.8の要求事項を適用する。
表D.8−モーション及び位置フィードバックセンサ
考慮するフォールト
フォールトの除外
補足
全般
接続ケーブルの二つの導体
間の短絡
D.3.1の要求事項を
適用する。
−
接続ケーブルの導体の断線
なし
−
一つ以上の入/出力におい
て同時に発生する,0,UB/2,
UBの三つのスタックアット
(縮退)故障。
なし
UBはセンサ電源である。
センサ入力は,例えばパラメータ設定のために印加される。
フォールトが発生した場合の個々のセンサの挙動を考慮す
る。
一つ以上の入/出力におけ
る同時の開路
なし
−
出力振幅の増大又は減少
なし
−
一つ以上の出力における発
振a)
なし
複数の出力における発振は同相とみなされる。
出力信号間の位相シフトの
変化a)
なし
例えば,エンコーダディスクの汚れが原因となる。
61
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.8−モーション及び位置フィードバックセンサ(続き)
考慮するフォールト
フォールトの除外
補足
静止中又は運動中のアタッ
チメントの脱落又は緩み
− 電動機きょう体からの
センサハウジングの脱
落又は緩み
− 電動機軸からのセンサ
軸の脱落又は緩み
− 読取りヘッドの取付部
の脱落又は緩み
FMEAを作成し,次
を証明する。
− 形態ロックの接
続部の永続的な
固定
− 押圧ロックの接
続部の固定
センサの最大許容荷重が既知である,又はセンサのデータシ
ートにおいて制限されている。
a) 形態ロックの接続部の場合
次のいずれかによる。
1) 一般に認められた高い安全率の技術的実績に基づく永
続的な固定のための設計。
− 計算及び適切な試験によって適合確認を行う。
− 鉄鋼部品の例:疲労破壊に対して安全率S≧2の余裕
もった耐量である。
2) 疲労破壊に対して安全率S≧5の余裕をもった耐量であ
る。
計算によって適合確認を行う。
b) 押圧ロックの接続部の場合
次のいずれかによる。
1) 滑りに対して安全率S≧4の余裕をもった耐量である。
− 予荷重力の印加及び維持の詳細な手段は,使用者用
文書で定義する(例えば,定義された組合せの材料,
表面及びトルク締付け法)。
− 計算及び適切な試験によって適合確認を行う。
2) 滑りに対して安全率S≧10の余裕をもった耐量である。
− 予荷重力の印加及び維持の手段は,使用者用文書で
定義する。
− 計算によって適合確認を行う。
固定箇所の緩みa)(例えば,
光エンコーダディスク)
なし
出力が間違った位置を示す。
ダイオードからの光がない。 なし
発光ダイオードを用いないエンコーダ(例えば,レゾルバ)
には適用しない。
Sin/Cos出力信号,アナログ信号生成を伴うセンサに関する追加項目
一つ以上の信号における入
力及び出力の固定,電源電圧
範囲内の振幅
なし
−
Sin/Cos出力信号の方形波へ
の変化。それぞれの半周期の
正弦波が同振幅の方形波に
置き換わる。
なし
コンポーネントのフォールトによって発生し得る全ての信号
形状(例えば,Sin/Cos以外の信号,信号オフセット)を考慮
することは不可能である。その代わりに,方形波を代表とし
て仮定している。
Sin及びCos出力信号の入れ
替わり
複数のソースから
出力信号を選択す
るために用いられ
る電子部品がない
場合は,フォールト
を除外してもよい。
−
電源電圧範囲内でのSin/Cos
出力信号の直流成分の変化
なし
−
62
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.8−モーション及び位置フィードバックセンサ(続き)
考慮するフォールト
フォールトの除外
補足
方形波信号を出力するインクリメンタルセンサに関する追加項目
出力の発振
なし
−
出力信号停止
なし
例えば,ディスクのきずが原因となる。
ゼロパルスが故障する,短す
ぎる,長すぎる,又は繰り返
される。
なし
例えば,機械的な損傷が原因となる。
インクリメンタル及びアブソリュート信号を伴うエンコーダに関する追加項目
インクリメンタル及びアブ
ソリュートの両信号からの
間違った位置信号の同時発
生
インクリメンタル
データとアブソリ
ュートデータとを
独立して生成する
場合,フォールトを
除外する。
例えば,絶対位置及び/又は代替のための追加出力を伴う
Sin/Cosエンコーダに適用する。
プロセッサベースのインタフェースを備えたセンサに関する追加項目
通信フォールト
− 反復
− 喪失
− 挿入
− 間違った順序
− 間違ったデータ
− 遅延
− なりすまし
なし
IEC 61784規格群で扱う通信バスのフォールトモデルに等し
い。
回転センサ,マルチターンに関する追加項目
間違った回転数
なし
シングルターン信号に対する影響はない場合がある。
合成出力信号を伴うセンサに関する追加項目
シンセサイザの故障に起因
する間違った出力信号
なし
−
カウンタによって位置値を取得するセンサに関する追加項目
不正確なカウントに起因す
る間違った位置
なし
−
リニアセンサに関する追加項目
固定箇所のずれ
(例えば,光エンコーダスト
リップ)
なし
−
固定箇所の損傷
(例えば,光エンコーダスト
リップ)
なし
パルス波形の変化,インクリメンタルセンサにおけるパルス
の異常
信号処理/基準発振器を備えたレゾルバに関する追加項目
基準周波数の相互結合
− 基準タイマの故障
− A/D変換器のための変換
開始なし
− サンプルホールドの間
違ったタイミング
なし
−
A/D変換器が間違った値を
生成する。
なし
例えば,高すぎる基準電圧に起因する過変調又は電磁影響が
原因となる。
A/D変換器が値を生成しな
い。
なし
−
63
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表D.8−モーション及び位置フィードバックセンサ(続き)
考慮するフォールト
フォールトの除外
補足
基準発振器における周波数
なし
なし
−
基準発振器における間違っ
た周波数
なし
−
基準発振器からの周期信号
なし
なし
−
信号処理におけるゲインエ
ラー又は発振(基準波,Sin
波,Cos波)
なし
−
設備地点における磁気的影
響
設備地点における
適切な遮蔽
例えば,電磁ブレーキの磁場が原因となる。
この表は,光学センサ及びレゾルバの使用を仮定して記載している。他のセンサ(例えば,誘導センサ)を使用
する場合は,対応するフォールトを適用する。
注a) レゾルバには適用しない。
64
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書E
(規定)
PDS(SR)の電磁イミュニティ要求事項
E.1
一般事項
6.2.6に記載する電磁イミュニティに関するPDS(SR)の設計要求事項への適合を示すため,次の表E.1,
表E.2及び表E.3に示す電磁イミュニティ要求事項を9.3.3の性能評価基準に適用する。
IEC Guide 107に従い,この附属書Eの要求事項はIEC 61000-6-7:2014に基づいている。
IEC 61000-6-7とJIS C 4421との間でポート及びインタフェースの定義が異なるため,PDS(SR)の電
磁イミュニティ要求事項は,次の表E.1,表E.2及び表E.3に示す。
表E.1,表E.2及び表E.3の全ての現象に対する安全サブ機能の電磁イミュニティは,試験だけでなく,
計算又はシミュレーションを用いて確認してもよい。
E.2
電磁イミュニティ要求事項−低周波妨害
これらの要求事項は,次の電源ポートに適用する。
− 低電圧PDS(SR)の安全サブ機能に電力を供給する全ての電源ポート
− 定格電圧が1 000 Vを超えるPDS(SR)の安全サブ機能に電力を供給する全ての低電圧補助電源ポー
ト(第2種環境に限る。)
表E.1−電圧変動,電圧ディップ及び短時間停電に対する最小イミュニティ要求事項
現象
第1種環境
第2種環境
参照規格
レベル
レベル
電圧変動
(>60 s)
IEC 61000-2-4
クラス2
±10 % a)
±10 %/−15 % a)
電圧ディップc)
JIS C 61000-4-11 d)
又は
JIS C 61000-4-34 d)
残存電圧
サイクル
残存電圧
サイクル
0 %
1
0 %
1
40 %
25/30 b)
40 %
10/12 b)
70 %
25/30 b)
70 %
25/30 b)
−
−
80 %
250/300 b)
60 V未満の補助直流電源
ポートの電圧ディップe)
IEC 61000-4-29
40 %
70 %
0.5
0.5
40 %
70 %
0.5
0.5
短時間停電
JIS C 61000-4-11 d)
又は
JIS C 61000-4-34 d)
残存電圧
サイクル
残存電圧
サイクル
−
−
0 %
10/12 b)
0 %
25/30 b)
0 %
25/30 b)
0 %
250/300 b)
0 %
250/300 b)
注a) “電圧変動”は,公称電源電圧からの電源電圧の変動である。三相のPDSの電圧変動試験は,三相全ての電
圧を同時に増加又は低下させることを要求する。
b) “x/yサイクル”の表記は,“50 Hzの試験に対してはxサイクル”及び“60 Hzの試験に対してはyサイクル”
を意味する。
c) 定格電流が75 A以上の電源ポートは,IEC 61400-21:2008の7.5に従った電圧降下試験方法を用いることがで
きる。
d) 定格が16 A以下の機器にはJIS C 61000-4-11を,定格が16 Aを超える機器にはJIS C 61000-4-34を適用する。
e) この試験は,安全サブ機能に電力を供給する外部直流電源を対象とする。
65
C 61800-5-2:2019 (IEC 61800-5-2:2016)
注記 IEC 61000-6-7の試験レベルと比較してPDS(SR)による伝導性コモンモード電圧のエミッシ
ョンが高いため,伝導性コモンモード試験は要求しない。
表E.2−定格電圧が1 000 Vを超える主電源ポートの電圧変動,電圧ディップ及び短時間停電に対する
PDS(SR)の最小イミュニティ要求事項
現象
参照規格
レベル
1分間を超える電圧変動d)
IEC 61000-2-4
クラス3
+10 %/−15 % a)
1分間以下の電圧変動
IEC 61000-2-4
クラス3
+10 %/−15 % a)
電圧ディップ
JIS C 61000-4-34 b)
残存電圧
サイクル
0 %
1
40 %
10/12 c)
70 %
25/30 c)
80 %
250/300 c)
60 V未満の補助直流電源ポ
ートの電圧ディップe)
IEC 61000-4-29
40 %
70 %
0.5
0.5
短時間停電
JIS C 61000-4-34 b)
残存電圧
サイクル
0 %
10/12 b)
0 %
25/30 b)
0 %
250/300 c)
注a) “電圧変動”は,公称電源電圧からの電源電圧の変動である。三相のPDSの電圧変動試
験は,三相全ての電圧を同時に増加又は低下させることを要求する。
電圧変動を考慮するときは,電圧ステップを公称電圧の±12 %以下とし,ステップ間
の間隔を2秒以上にする。
電圧が公称値未満の場合,回転速度及び/又はトルクの最大出力定格は,電圧に依存
するため,低下することがある。
b) 典型的な電圧ディップの深さ及び持続時間は,IEC 61000-2-8に示す。
c) “x/yサイクル”の表記は,“50 Hzの試験に対してはxサイクル”及び“60 Hzの試験に
対してはyサイクル”を意味する。
d) 反転モードで作動している他励変換装置については,ヒューズの開路があってもよい。
e) この試験は,安全サブ機能に電力を供給する外部直流電源を対象とする。
66
C 61800-5-2:2019 (IEC 61800-5-2:2016)
E.3
電磁イミュニティ要求事項−高周波妨害
表E.3−電磁イミュニティ要求事項−高周波妨害
1
2
3
4
5
ポート/インタ
フェース
現象
試験方法に関する
基本規格
第1種環境に対するレ
ベル
第2種環境に対するレベ
ル
きょう体ポート
ESD m),n)
気中放電(AD)o)
接触放電(CD)
JIS C 61000-4-2 q)
4 kV CD又はCDが不
可能な場合は8 kV AD
6 kV CD又はCDが不可
能な場合は8 kV AD
8 kV CD又は15 kV ADm)
無線周波数電磁界,
振幅変調p)
JIS C 61000-4-3*
80 MHz〜1 000 MHz
10 V/m
80 % AM(1 kHz)
80 MHz〜1 000 MHz
20 V/m i),g)
80 % AM(1 kHz)
無線周波数電磁界,
振幅変調p)
JIS C 61000-4-3*
1.4 GHz〜2.0 GHz
3 V/m
80 % AM(1 kHz)
1.4 GHz〜2.0 GHz
10 V/m i),g)
80 % AM(1 kHz)
無線周波数電磁界,
振幅変調p)
JIS C 61000-4-3*
2.0 GHz〜2.7 GHz
1 V/m
80 % AM(1 kHz)
2.0 GHz〜6 GHz
3 V/m i),g)
80 % AM(1 kHz)
電源ポート
(60 V未満の補
助直流電源ポー
トを除く。)
ファストトランジ
ェント/バースト
JIS C 61000-4-4 h)
2 kV/5 kHz a)
4 kV/5 kHz a)
サージb)
1.2/50 μs,8/20 μs
JIS C 61000-4-5 r)
1 kV c)
2 kV d)
2 kV c)
4 kV d)
伝導無線周波数コ
モンモードe)
JIS C 61000-4-6*
0.15 MHz〜80 MHz
10 V
80 % AM(1 kHz)
0.15 MHz〜80 MHz k)
20 V g)
80 % AM(1 kHz)
電力インタフェ
ース
ファストトランジ
ェント/バーストe)
JIS C 61000-4-4 h)
2 kV/5 kHz
容量性クランプ
4 kV/5 kHz
容量性クランプ
信号インタフェ
ース
ファストトランジ
ェント/バーストe)
JIS C 61000-4-4 h)
1 kV/5 kHz
容量性クランプ
2 kV/5 kHz
容量性クランプ
伝導無線周波数コ
モンモードe)
JIS C 61000-4-6*
0.15 MHz〜80 MHz
10 V
80 % AM(1 kHz)
0.15 MHz〜80 MHz k)
20 V g)
80 % AM(1 kHz)
計測及び制御線
ポート
60 V未満の補助
直流電源ポート
ファストトランジ
ェント/バーストe)
JIS C 61000-4-4 h)
2 kV/5 kHz
容量性クランプ
4 kV/5 kHz
容量性クランプ
サージf)
1.2/50 μs,8/20 μs
JIS C 61000-4-5 r)
1 kV d), f)
2 kV d), f)
伝導無線周波数コ
モンモードe)
JIS C 61000-4-6*
0.15 MHz〜80 MHz
10 V
80 % AM(1 kHz)
0.15 MHz〜80 MHz k)
20 V g)
80 % AM(1 kHz)
注記1 基本規格に*が付いている箇所は,JIS C 4421の5.3.4も参照。
注記2 機能安全を目的として要求する電磁イミュニティは,外部保護装置を用いて達成することができる。
注a) 電流定格100 A未満の電源ポート:結合及び減結合回路網を用いた直接結合。
電流定格100 A以上の電源ポート:減結合回路網を用いない直接結合又は容量性クランプ。容量性クラン
プを用いる場合,試験レベルは,4 kV/5 kHz又は100 kHzとする。
b) JIS C 4421の5.1.3に規定する軽負荷試験条件時に63 A未満の消費電流である電源ポートに限り適用する。
基礎絶縁の定格インパルス電圧を超えてはならない(JIS C 60664-1を参照)。
c) 線間の結合
d) 対地間の結合
67
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表E.3−電磁イミュニティ要求事項−高周波妨害(続き)
注e) 接続するケーブルの合計の長さが製造業者の機能仕様によって,3 mを超えてもよいポート又はインタフェ
ースに限り適用する。
f) 接続するケーブルの合計の長さが製造業者の機能仕様によって30 mを超えてもよいポートに限り適用する。
シールドケーブルの場合には,シールドへの直接結合を適用する。この電磁イミュニティ要求事項は,技術
的な理由からサージ保護装置の使用が実用的でないフィールドバス又は他の信号インタフェースには適用し
ない。供試装置(EUT)の結合及び減結合回路網の影響で正常な機能が達成できない場合は,この試験は要
求しない。
g) 規定された試験レベルは,無変調搬送波の実効値である。
h) SIL 3の用途で用いることを意図したPDS(SR)(JIS C 0508規格群に従う。)の場合,規定された最高レベル
での試験持続時間は,基本規格に示される持続時間の5倍に増やす。
i) これらの増加させた値は,携帯送信機に一般に用いる表E.4の周波数範囲において適用する。
k) これらの増加させた値は,携帯送信機に一般に用いる表E.5の周波数範囲において適用する。
m) キャビネットきょう体に放電を行う場合,より高い試験レベルを適用する。
n) 定義されたESDの制御手順に従って作業を行う訓練を受けた者以外の人が接近できる部分に対しては,JIS C
61000-4-2に記載する環境条件に従って試験レベルを適用する。ただし,接近が保全要員だけに制限された装
置に対してはこれらを適用しない。
o) 気中放電試験については,試験する所定のレベルだけでなく,そのレベルまでの全てのレベルを試験する。
p) 携帯無線送信機が20 cmよりも近くで使用することがある場合,PDS(SR)が影響を受ける可能性があるこ
とを安全マニュアルの中で警告として示す。
q) SIL 3の用途で用いることを意図したPDS(SR)の場合,放電回数は3倍に増やす。
r) SIL 3の用途で用いることを意図したPDS(SR)の場合,サージパルス回数は3倍に増やす。
表E.4−放射試験のための携帯送信機及びISMの一般周波数範囲
中心周波数
MHz
周波数範囲
MHz
用途
84.000
83.996〜84.004
イギリス専用のISMバンド
−
137〜174
Mobile及びSRD
151.850
151.820〜151.880
MURS
154.585
154.570〜154.600
MURS
168.000
167.992〜168.008
イギリス専用のISMバンド
219.500
219〜220
AMATEUR
−
380〜400
TETRA
−
420〜470
AMATEUR
433.920
433.05〜434.79
ISMリージョン1だけ
−
450〜470
4G/LTE-A
−
698〜894
3G/UMTS3.9G/LTE
−
746〜845
TETRA
−
825〜845
TETRA
−
830〜840
3G/FOMA
−
860〜915
3.9G/LTE
873.000
870〜876
TETRA
−
860〜960
RFID
−
886〜906
イギリス専用のISMバンド
−
880〜915
GSM 3G/FOMA 3G/HSPA
918.000
915〜921
NADC
−
902〜928
ISMリージョン2だけ
−
925〜960
GSM 3G/HSPA
−
1 240〜1 300
AMATEUR
68
C 61800-5-2:2019 (IEC 61800-5-2:2016)
表E.4−放射試験のための携帯送信機及びISMの一般周波数範囲(続き)
中心周波数
MHz
周波数範囲
MHz
用途
−
1 428〜1 496
3G/UMTS 3G/HSPA 3.9G/LTE
−
1 476〜1 511
1 525〜1 559
1 627〜1 661
1 710〜1 785
3.9G/LTE
−
1 710〜1 785
GSM 3G/UMTS 3G/FOMA 3G/HSPA
−
1 805〜1 880
GSM 3G/UMTS 3G/FOMA 3G/HSPA 3.9G/LTE
−
1 900〜2 025
3G/UMTS 3G/FOMA 3.9G/LTE
−
2 110〜2 200
3G/UMTS 3G/FOMA 3.9G/LTE
−
2 300〜2 450
AMATEUR
−
2 400〜2 500
ISM
−
2 300〜2 400
3.9G/LTE 4G/LTE-A
−
2 500〜2 690
3.9G/LTE
−
3 300〜3 500
AMATEUR
−
3 400〜3 600
4G/LTE-A
−
5 150〜5 350
HIPERLAN
−
5 470〜5 725
HIPERLAN
−
5 650〜5 925
AMATEUR
−
5 725〜5 875
ISM
−
5 795〜5 815
RTTT
表E.5−伝導試験のための携帯送信機及びISMの一般周波数範囲
中心周波数
MHz
周波数範囲
MHz
用途
3.39
3.370〜3.410
オランダ専用のISMバンド
6.780
6.765〜6.795
ISM
13.560
13.553〜13.567
ISM
27.120
26.957〜27.283
ISM/CB/SRD
40.680
40.66〜40.70
ISM/SRD
中心周波数が示されている周波数帯域の場合,試験を実施するのは中心周波数だけとする。
69
C 61800-5-2:2019 (IEC 61800-5-2:2016)
附属書F
(参考)
所与のPFH値から低頻度作動要求時のPFDavg値を推定する方法
F.1
一般事項
PDS(SR)は低頻度作動要求モードで運用することが可能だが,この規格では,高頻度作動要求及び連
続モードに的を絞っており,低頻度作動要求モードのための要求事項は示していない。高頻度作動要求又
は連続モード向けの安全サブ機能は,低頻度作動要求モードでも用いることができる。こうした場合のた
め,簡単かつ保守的にPFH値からPFDavg値を推定するための方法をこの附属書に示す。
注記1 SILに関するPFDavg値の限界については,JIS C 0508-1を参照。
注記2 PDS(SR)の設計,特に低頻度作動要求モードに関しては,JIS C 0508規格群を参照。
F.2
所与のPFH値から低頻度作動要求時のPFDavg値を推定する方法
指定した安全サブ機能を高頻度作動要求又は連続運転モードの関連PFH値によって定量化した駆動シ
ステムの場合,次の条件下では,低頻度作動要求用途のPFDavgの推定値をPFHから導き出すことができ
る。
a) 低頻度作動要求用途で使用する安全サブ機能が,高頻度作動要求又は連続運転モードに関して指定し
た安全サブ機能[例えば,安全トルク遮断(STO)]と全く同じであり,かつ,高頻度作動要求又は連
続モードの安全サブ機能によって安全状態となるシステム状態は,低頻度作動要求用途においても安
全状態(例えば,非励磁出力)である。
b) 試験のために必要な安全サブ機能の強制作動(備わっている場合)を製造業者の要求事項に従って実
行する。
PFDavgの推定値は,次の式を用いて高頻度作動要求時のPFH値から導いてもよい。
M
avg
2
1
T
PFH
PFD
×
=
ここに,
TM: PDS(SR)の指定使命時間(単位は時間)
注記1 上記のPFDavgの式は,保守的な結果を導き出す傾向にある。
注記2 個々のPDS(SR)を考慮するとき,特定SILのPFDavg限界に対してPFDavgが占める比率は,
同じSILのPFH限界に対してPFHが占める比率よりも高いことが多い。PFH値は特定のSIL
に適合しているものの,上記の式から導かれるPFDavg値は適合していないということが起こ
り得る。SILに関するPFDavg値の限界については,JIS C 0508-2:2014を参照。
注記3 PFH値の推定については,6.2.2.1.2を参照。
注記4 PFDavg値に関する説明は,JIS C 0508-4:2012の3.6.18を参照。
70
C 61800-5-2:2019 (IEC 61800-5-2:2016)
参考文献
JIS B 9700 機械類の安全性−設計のための一般原則−リスクアセスメント及びリスク低減
注記 対応国際規格ではISO 12100:2010,Safety of machinery−General principles for design−Risk
assessment and risk reductionを記載している。
JIS B 9704(規格群) 機械類の安全性−電気的検知保護設備
JIS B 9961:2015 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能安
全
注記 対応国際規格ではIEC 62061,Safety of machinery−Functional safety of safety-related electrical,
electronic and programmable electronic control systemsを記載している。
JIS C 0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第4部:用語の定義及び
略語
注記 対応国際規格ではIEC 61508-4:2010,Functional safety of electrical/electronic/programmable
electronic safety-related systems−Part 4: Definitions and abbreviationsを記載している。
71
C 61800-5-2:2019 (IEC 61800-5-2:2016)
JIS C 0920 電気機械器具の外郭による保護等級(IPコード)
JIS C 5750-3-1 ディペンダビリティ管理−第3-1部:適用の指針−ディペンダビリティ解析手法の指針
注記 対応国際規格ではIEC 60300-3-1:2003,Dependability management−Part 3-1:Application guide−
Analysis techniques for dependability−Guide on methodologyを記載している。
JIS C 5750-4-4 ディペンダビリティ マネジメント−第4-4部:システム信頼性のための解析技法−故
障の木解析(FTA)
注記 対応国際規格ではIEC 61025,Fault tree analysis (FTA)を記載している。
JIS C 60079(規格群) 爆発性雰囲気で使用する電気機械器具
注記 対応国際規格ではIEC 60079,Explosive atmospheresを記載している。
JIS C 60664-1 低圧系統内機器の絶縁協調−第1部:基本原則,要求事項及び試験
注記 対応国際規格ではIEC 60664-1:2007,Insulation coordination for equipment within low-voltage
systems−Part 1: Principles, requirements and testsを記載している。
JIS C 60664-3 低圧系統内機器の絶縁協調−第3部:汚損保護のためのコーティング,ポッティング及
びモールディングの使用
注記 対応国際規格ではIEC 60664-3,Insulation coordination for equipment within low-voltage systems−
Part 3: Use of coating, potting or moulding for protection against pollutionを記載している。
IEC 60050-192:2015,International Electrotechnical Vocabulary (IEV)−Part 192: Dependability
IEC 60050-351:2013,International Electrotechnical Vocabulary (IEV)−Part 351: Control technology
IEC 60050-821:1998,International Electrotechnical Vocabulary (IEV)−Part 821: Signalling and security
apparatus for railways
IEC 61000-2-8,Electromagmetic compatibility (EMC)−Part 2-8: Environment−Voltage dips and short
interruptions on public electric power supply systems with statistical measurement results
IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods
IEC 61165,Application of Markov techniques
IEC 61508-5,Functional safety of electrical/electronic/programmable electronic safety-related systems−Part 5:
Examples of methods for the determination of safety integrity levels
IEC 61511 (all parts),Functional safety−Safety instrumented systems for the process industry sector
IEC 61513,Nuclear power plants−Instrumentation and control important to safety−General requirements for
systems
IEC 61784-3,Industrial communication networks−Profiles−Part 3: Functional safety fieldbuses−General rules
and profile definitions
IEC 61800-3,Adjustable speed electrical power drive systems−Part 3: EMC requirements and specific test
methods
IEC Guide 107,Electromagnetic compatibility−Guide to the drafting of electromagnetic compatibility
publications
IFA Report 7/2013e,“Safe drive controls with frequency converters”
http://www.dguv.de/ifa/Publikationen/Reports-Download/Reports-2013/IFA-Report-7-2013/index-2.jsp
ISO 13850,Safety of machinery−Emergency stop function−Principles for design
ISO 14118,Safety of machinery−Prevention of unexpected start-up
NEMA 250,Enclosures for Electrical Equipment (1000 Volts Maximum)