JIS C 0508-4-2012 电气-电子-可编程电子安全相关系统的功能安全性.第4部分-定义

C0508-4:2012(IEC61508-4:2010)序文 11適用範囲 32引用規格 53用語,定義及び略語 5参考文献 31 33C0508-4:2012(IEC61508-4:2010)この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人日本電気計測器工業会(JEMIMA)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工業規格である。これによって,JISC0508-4:1999は改正され,この規格に置き換えらこの規格は,著作権法で保護対象となっている著作物である。この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調查会は,このような特許権,出願公開後の特許出願及び実川新案権に閃わる確認について,貴任はもたない。JISC0508の規格群には,次に示す部編成がある。JISC0508-1第1部:一般要求事項JISC0508-2第2部:鹿気·電子·プログラマブル心子安全閃逊系に対する要求頭JISC0508-4第4部：用語の定我及び略語JISC0508-5第5部:安全度水準決定方法の事例JISC0508-6第6部:第2部及び第3部の適用指針JISC0508-7第7部:技術及び手法の概観日本工業規格JIS(IEC61508-4:2010)機能安全一第4部:用語の定義及び略語safety-relatedsystems—Part4:Definitionsandabbreviations序文この規格は,2010年に第2版として発行されたIEC61508-4を基に,技術的内容及び構成を変更するこなお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。電気及びノ又は電子の要素から成るシステムは,その適用分野において,安全機能を果たすために長年適用分野で,安全以外の機能を達成するために用いられているが,次第に安全機能の履行にも使用されるされた扱い方は,全ての化気的な安全則迎系にわたって,合理的かつ整合性がある技術指針を成州するためのものである。主な目的の一つは,JISC0508(IEC61508)規格群を基注記1JISC0508(IEC61508)規格群を基本とした適用分野の製品規格などの事例を,参考文献に示す[JISC0511(参考文献[1]),JI多くの状態下では,安全性は,幾つかのシステムによって達成され,複数の技術(例機械,液圧,空気圧,電気,電子,プログラマブル電子技術)に依存してい·プログラマブル電子安全関連系を対象とするが,更にその他の技術を基本とした安全関連系を対象と2C0508-4:2012(IEC61508-4:2010)る。いかなる適用においても,要求される安全(達成)手段は,その適用に関わる多数の要因に依存する。この規格群は,包括的であるため,今後の適川分野の製品規格などの制定版及び既存規格の改正版において,個々の手段の形成を可能とする。この規格群は,次の特徴をもつ。一安全機能を遂行するために電気·電子·プログラマブル電子系を使用する場合の,最初の概念から,の安全ライフサイクルフェーズを考慮する。一急速に進歩する技術を念頭において作成された棒組みは,将来の展開に対応できる十分な耐力があり,かつ,包括的である。能とする。この規格群の棒組み内で適用分野の製品規格などを開発することによって,適用分野内及び適用分野間の一貫性(例基礎となる原理·原則,用語などの整合性)を高水準に導く。これは,安全上,かつ,経済上有益である。一電気·電子·プログラマブル電子安全関連系に対して要求される機能安全の達成に必要な安全要求仕様を開発する方法論を提供する。一安全度に関わる要求事項の決定に際してリスクを基本とした方法論を適用する。一電気·電子·プログラマプル電子安全関連系によって実装された安全機能に対して,安全度の目標水準を特定するための安全度水準を尊入する。注記2この規格群は,いかなる安全機能についても安全度水準に対する要求事項を規定すること一電気·電子·プログラマブル電子安全関連系が実現する安全度水準に対応した目標機能失敗尺度を設定する。ーǐ一の出気·出子·プログラマブル心子安全閃进系が火現する安全機能に対して,|標機能失收尺度一低頻度作動要求モードの場合,最小値を作動要求時の危険側機能失敗時間平均確率(PFDavg)10-sに設定する。一高頻度作動要求モード又は連続モードは,最小値を単位時間当たりの時間平均危険側故障頻度(PFH)10-9[1/h]に設定する。とが可能であるが,これらの限界値は現時点で比較一産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが,安全機能に関連した目標機能失敗尺度は,規格に規定する要求事項を全て満たしている場合は,達成しているとみ一決定論的安全度が,特定の安全度水準の要求事項に適合する信頼に対応する要素を提供する,決定論3C0508-4:2012(IEC61508-4:2010)セーフ”及び“固有(本質)安全”の原理は,この規格の関連する要求事項に適合することを条件と1.1この規格は,この規格群で使用する主な用語及び定義について規定する。注記この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。IEC61508-4:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems—Part4:Definitionsandabbreviations(IDT)なお,対応の程度を表す記号“IDT”は,ISO/IECGuide21-1に基づき,“一致している”こ1.3この規格群の第1部から第4部までは,低複雑度E/E/PE安全関連系(3.4.3参照)には適用されない1.4規格作成上の責務として,規格を策定するときに,可能な限1.5図1に,この規格群の第1部から第7部までの全棒組み及びE/E/PE安全関連系による機能安全達成におけるこの規格(第4部)の役制を示す。4(概念,適用範囲の定義,潜在危険及概観E/E/PE安全関連系の運用及び保全,修理,部分改修及び改造,並びに使用終了又は廃却図1ーこの規格群の全粋組み用語の定義及び略語文書化簡条5及び機能安全評価5C0508-4:2012(IEC61508-4:2010)2引用規格引用規格のうちで,西層年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。西層年の付記がない引用規格は,その最新版(追補を含む。)を適用する。JISZ8051:2004安全側面一規格への導入指針注記対応国際規格ISO/IECGuide51:1999,Safetyaspects—Guidelinesfortheirinclusioninstandards(IDT)IECGuide104,Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypublications3用語,定義及び略語表1ーこの規格群で用いる略語3.2.13(例E/E/PE安全関連系)6C0508-4:2012(IEC61508-4:2010)表1-乙の規格群で用いる略語(続き)平均故障間時間平均修復時間平均修理時間7C0508-4:2012(IEC61508-4:2010)3.1.1危害(harm)身体への傷害,人の健康逸失,所有物の毁損又は環境破壊(JISZ8051:2004の定義3.3)。3.1.2潜在危険(ハザード)(hazard)危害の潜在的な源(JISZ8051:2004の定義3.5)。注記この用語は,(火災又は爆発のように)短時間で生じる人への危害のほかに,(例えば,中毒性物質の放出による)長期にわたる健康への影響も含む。3.1.3危険状態(hazardoussituation)人,財産又は環境が,一つ又は複数の潜在危険にばく(曝)露されている状態(JISZ8051:2004の定義3.6を修正)。注記…状熊は.例えば“その状熊に点る確率”というように確率(Oから1までの数値)の尺度を用3.1.4危険事象(hazardousevent)注記1危険事象の結果として危害が生じるかどうかは,人,財産又は環境が危険事象の影響にぼく注記2上象は,例えば“!年山当たんの您よの発生川数の統汁的期待値(熱度)”といえように,“リ1年”又は“1年”などの尺度を用いて数量(定量)化される。…3.1.5危害事象(harmfulevent)危険状態又は危険事象の結果として危害に至る事態。3.1.6危害の発生頻度及び過酷度の組合せ(JISZ8051:2004の定義3.2)。注記1この概念についての更なる詳細は,IEC61508-5参照。注記2ンス々は..黒なる潜在危険ごとに定義できる。3.1.73.1.88C0508-4:2012(IEC61508-4:2010)3.1.9注記1リスクは,各々の危害事象に対応している。個々の危害事象に対して,E/E/PE安全関連系,の軽減が行われる。E/E/PE安全関連系及び他リスク軽滅措置を考慮しない場合でのリスクに対する論及点を決定注記.4複数の危害事象が同定されをと,それらの事象ごとにリス々が同定される。複雑なシステム注記5…!ス久評価では.運転員の操作の失敗危険域への人の侵人の蓋然性などのにューマンフス3.1.10特定の潜在危険について,E/E/PE安全関連系及び他リスク軽減措置と共にEUCリスクを考慮して,到3.1.11安全(safety)3.1.12機能安全(functionalsafety)EUC及びEUC制御系の全体に閃する安全のうち,E/E/PE安全則逃系及び他リスク怪滅批説の正常な機能に依存する部分。3.1.13安全な状態(safestate)注記1EUCは,潜在的に危険な状態から最終的に安全な状態に移行する間,幾つかの中間的な状態を遷移する場合がある。幾つかの状態では,安全な状態は,EUCが制御し続ける場合だけ存注記2中間的な状熊とは,例元ば,自動車のABSがブL一丰の制動力をON-OFE制御Lて最终的安ずれの侧に故障Lも事故の可熊性が生じる。9C0508-4:2012(IEC61508-4:2010)3.1.14供給者が意図しない状態又は目的による製品,プロセス又はサービスの使用法。ただし,それらの使用法は,通常考えられる人の挙動と関連し,その挙動は容易に予測できるものとする(JISZ8051:2004の定義3.14)。3.2.1製造,プロセス,運輸,医療,その他の業務に供される機器,機械類,装置,プラントなど。注記EUC制御系は,EUCから分離かつ区別される。3.2.2環境(environment)検討対象の特定の用途及び任意の安全ライフサイクルフェーズにおいて,機能安全の達成に影響を与える可能性のある全ての関連パラメータ。注記これには,例えば,物理的環境,運用環境,法的環境及び保全環境を含む。3.2.3注記IEV191(IEC60050-191)-01-01では,機能ユニットではなく,より一般的な用語“アイテム”2382-1,01-01-40)]。3.2.43.2.5データ処理機構の運用に関係があるプログラム,手順,データ,ルール及び任意の付随する文書化を含む知的創造物。注記2この定義は,データという語枭を付け加えなければ,注記1を除いてJISX0001(参考文献3.2.6ログラマプル装置自体による機能実行,及びプログラマプル装置自体が提供するサービスに関する,PE系C0508-4:2012(IEC61508-4:2010)3.2.7アプリケーションデータ(application構成データ(configurationdata)3.2.8発3.2.93.2.103.2.11一T3安全関連系の実行可能コードに直接又は間接的に寄与できる出力を生成する。3.2.12プログラマブル電子の[programmableelectronic(PE)]C0508-4:2012(IEC61508-4:2010)注記この用語は,1個以上の中央演算処理装置(CPU)及び関連する記憶装置などから成るマイク口電子機器を包括する。例次に示すものは,全てプログラマブル電子機器である。一特定用途向け集積回路(ASIC)3.2.13注記この用語は,電気的原理で作動する全ての機器又はシステムを包括する。一電気機械機器(電気の)一半導体非プログラマブル電子機器(電子の)ーコンピュータ技術に基づく電子機器(プログラマブル電子の)3.2.12参照。3.2.14制約可変言語(limitedvariabilitylanguage)適用能力がある範囲に制約された,商用及び産業用電子制御器のための,表記形式がテキスト形式若し例次に示すものは,JISB3503(参考文献[8]参照)及びその他の出典から,制約可変語である。ーラダー図リレーに類似した挙動を表す出力記号に電流の方向を指示するための線で結ばれた通常開及び通常閉接点のような機器と同様な学動を示す,一迎の入力記号から成る図式,語。一ブール代数記憶を命令できる能力を付加したAND,OR及びNOT記号のようなブール演算子に基づく低レベルの言語。一機能ブロック線図ブール演算子に加えて,データ転送ファイル,プロック転送読込み及び╱又は書込み,シフトレジスタ及びシークエンサ命令のようックの図式表現。一順序機能図相互連結ステップ,実行及び遷移条件をもった有向結合から成る順序プログラ3.2.15その機能性が製品開発者によって定義された,特定の機能のために設計及び製造された集積回路。注記単独でのASICという用語は,次の集積回路の全てのタイプを対象とする。ーフルカスタムASIC:製品開発者が定義した機能性をもつ,設計及び生産が標準集積回路にC0508-4:2012(IEC61508-4:2010)剣成,妥当性確認,生崖及び生産テストは,半導体の克り手側の小権になっている。必要ある種のプロセス又はマスク変更(maskrevision)を使用して製造した構成部品の個数は,公表されていない。類似構成部品があり,設計データが,セルベースASICについて記述した超高速集積回路設計用ハードウェア記述言語(VHDL,Verilog)で構成されている点が異なる。例3生成マクロの例には,内蔵形RAM,ROM,EEPROM又はFLASH(フラッシュメ具なる技術に移してもよい。大半のケースで,マクロコア市販構成部品とは同じではない(第三者から提供された異なるプロセス)。C0508-4:2012(IEC61508-4:2010)PLDのタイプには,例えば,PAL,GAL,PML,(E)EPLD,PLA,PLSがある。はEEPROM)。3.3.1プログラマブル電子系,PE系[programmableelectro1個以上のプログラマブル電子装置に基づいて制御,防護又は監視を行うための,動力供給源,入力装置(センサ),インタフェース及び他の通信経路,出力装置(アクチュエータなど)などの要素を全て含む注記PE系の構造を,図2a)に示寸。図2b)には,この規格群のPE系簡略図式表現法を示す。ここ3.3.23参照)。3.3.3EUC制御系(EUCcontrolsystem)注記EUC制御系は,人力装置及び最終要素を包む。3.3.43.3.5=素は共通(すなわち,2入力装置ある要素安全機能を独立して実行する要素又は要素群。C0508-4:2012(IEC61508-4:2010)注記この用語は,完全なシステムを表すことも,システムの部分(例センサ,最終要素)を表現3.3.7多様性(diversity)要求される機能を実行する異なる手段。注記多様性は,異なる物理的原理又は異なる設計方法で達成される。3.4.1一EUCを安全な状態に移行させるため,又はEUCの安全な状態を維持するために必要な,要求された安全機能を行う。一それ自体で,又はその他のE/E/PE安全関連系及び他リスク軽滅措置によって,要求される安全機能に対して必要な安全度を達成する。注記1この用語は,安全関連系として指定され,要求される許容リスク(3.1.7参照)に適合するために,他リスク軽減措置(3.4.2参照)と協調して,必要なリスク軽滅の達成を意図するシス注記2安全関連系は,危険事象の誘因となる状態の検出に対して適切に作動して,EUCの危険な状熊への移行を防止するように没汁されている。安全則逊系の故障は,一つ又は複数の潜在危険に至る事象の一部になり得る。安全機能をもつその他のシステムが存在する場合でも,要求される許容リスクを独自に達成するために特定されたものが安全関連系である。安全関連系は,大き<は,安全圆述制御系及び安全奥迹保護系に分類できる。注記3安全関連系は,EUC制御系に組み込まれた一部でもよく,入力装置(センサなど)及びノ又る安全度水準は,EUC制御系の安全機能の遂行によって(そして場合によっては,史に付加a)危険事象を防止するように設計する(すなわち,安全関連系がその安全機能を遂行すc)a)とb)との組合せを行うように設計する。注記5人は,安全関連系の一部を構成し得る。例えば,プログラマブル電子装置からの情報を受け取り,この情報に基づいて安全のための業務を遂行するか,又は人がプログラマブル電子装注記6安全関連系には,規定の安全機能を遂行するために必要とされる,全てのハードウェア,ソサ),その他の入力装置,操作端(アクチュエータ)及びその他の出力装置が安全関連系に含C0508-4:2012(IEC61508-4:2010)注記7安全関連系は,電気,電子,プログラマブル電子,液圧及び空圧を含む広範な技術に基盤を3.4.2他リスク軽減措置(otherriskreductionmeasure)E/E/PE安全関連系から分離,区分され,かつ,それらを用いないリスクを軽減又は緩和する措置。例逃がし弁(リリーフバルブ)は,他リスク軽減措置である。3.4.3低複雑度E/E/PE安全関連系(lowcomplexityE/E/PEsafety-relatedsystem)E/E/PE安全関連系(3.2.13及び3.4.1参照)のうち,次の条件が同時に成り立つもの。一各々の部品の故障モードが明確に定義される。例モータの動力切断を行うために,内捕された電気一機械式リレーによっ3.4.4安全関連系の最上位アーキテクチャ設計上の部分。当該部分は,3.6.7a)による安全機能の危険側故障に帰着する。3.4.5要素(element)一つ又は複数の要素安全機能を実行する,一つの部品又は部品の集まりを含んだサブシステムの部分注記2代表的な要素は,検出端(センサ),プログラマブルコントローラ,操作端である。3.4.6冗長性(redundancy)要求された機能を実行するため,又は情報を表すための,二つ以上の手段の存在(IEC/TR62059-11に注記1冗長性は,一義的には,信頼性(指定した期間にわたり確実に機能する確率),又はアベイラ注記2IEV191(IEC60050-191)-15-01の定義は,不完全である。時刻に一つ又は幾つかのアイテムが待機状態,かつ,一つ又は幾つかのアイテムが動作状態3.5安全機能及び安全度3.5.1C0508-4:2012(IEC61508-4:2010)安全機能(safetyfunction)E/E/PE安全则迎系又は他リスク怪滅排説によって遂行される機能。この機能は,特定の危険事象に閃して,EUCに関わる安全な状態を達成又は保持する(3.4.1及び3.4.2参照)。例安全機能の例は,次の事項を含む。一危険状態を避けるために,確実な措置として実行が要求される機能(例えば,モータを停止一とられている措置を防止する機能(例えば,モータの起動を防止する。)3.5.2全安全機能(overallsafetyfunction)特定の危険事象に関して,EUCに関わる安全な状態を達成又は保持する手段。3.5.3要素安全機能(elementsafetyfunction)要素によって遂行される安全機能(3.5.1参照)の部分。3.5.4安全度(safetyintegrity)あるE/E/PE安全関連系が,指定した期間内に,全ての指定した条件下で,規定する安全機能を果たす確注記1安全度の水準が高いほど,その安全関連系が規定する安全機能を実行できない確率,又は要求時に規定した状態に適合できない確率が低くなる。注記2安全関連系には,4水準の安全度が存在する(3.5.8参照)。注記3安全度の決定には,不安全な状態へと導く機能失敗の全原因(ランダムハードウェア故障及因の機能失敗,電気的干渉による機能失敗などがある。それらの機能失敗の幾つかのタイプ,特にランダムハードウェア故障は,その故障の危険側モードでの故障平均頻度,又は安全関逊保渡系の作動要求当たりの機能失收確率のような尺度を川いて定量化してもよい。ただし,安全度は,正確には定量化できず,定性的にだけ考慮できる多くの要素にも依存する。注記4安全度には,ハードウェア安全度(3.5.7参照)及び決定論的安全度(3.5.6参照)で成り立っ注記5この定義は,安全関連系が安全機能を遂行する信頼度に焦点を絞っている[信頼度の定義は,3.5.5安全関連系の安全度のうち,ソフトウェアに起因する,機能失敗の危険側モードに導く決定論的原因故障(3.6.6参照)に関わる部分。3.5.6決定論的安全度(systematicsafetyintegrity)安全関連系の安全度のうち,機能失敗の危険側モードに導く決定論的原因故障に関わる部分。注記決定論的安全度は,通常,定量化不可能である(通常,定量化可能なハードウェア安全度と区C0508-4:2012(IEC61508-4:2010)3.5.7注記この用語は,危険側モードの故障,すなわち,安全度を損なう安全関連系の故障に関連している。ここでは,危険側故障の平均頻度及び作動要求時の機能失敗確率の2個のパラメータが関係している。危険側故障の平均頻度は,安全を維持するために連続した制御を行うことが必要な場合に用い,作動要求時の機能失敗確率は,安全関連保護系に対して使用する。3.5.8安全度水準(SIL)(safetyintegritylevel,SIL)安全度の値の範囲に対応する離散的水準(4水準のうちの一つ)。安全度水準4は最高の安全度水準であり,1は最低である。注記1四つの安全度水準に関わる目標機能失敗尺度(3.5.17参照)は,JISC0508-1の表2及び表3注記2安全度水準は,E/E/PE安全関連系に割り当てられた安全機能の安全要求事項を規定するため“SILn安全関連系”(ここで,nは1,2,3又は4)という表現の正しい解积は,その系がn3.5.9決定論的対応能力(systematiccapability)ある要素が対応する準拠項目に対する安全マニュの要素の決定論的安全度が,規定の要素安全機能に閃して規定のSILの要求を満たしている確かさを示す注記1決定論的対応能力は,決定論的原因フォールトの回避及び制御のための要求事項に関連して注記2関連する決定論的原因故障のメカニズムは何かということは,要素の性質に依存する。例え注記3規定の要素安全機能に関して,要素のSCnの決定論的対応能力は,その要素が対応する準拠の決定論的安全度を満たすことを示す。3.5.10注記SILは,安全機能を担う個別のサブシステム又は要素ではなく,全安全機能を特徴付ける。しC0508-4:2012(IEC61508-4:2010)3.5.11E/E/PE系安全要求仕様(E/E/PEsystemsafetyrequirementsspecification)安全機能及びそれに伴う安全度水準に関わる要求事項を含む仕様。3.5.12E/E/PE系安全機能要求仕様(E/E/PEsystemsafetyfunctionsrequirementsspecification)安全関連系が実行しなければならない安全機能に関わる要求事項を含む仕様。注記1この仕様は,E/E/PE系安全要求仕様の一部(安全機能の部分)であり(JISC0508-1の7.10参照),安全関連系が実行しなければならない安全機能に関わる詳細事項を包括する。注記2仕様は,安全機能が明確に理解できるという条件を満たす場合,テキスト,流れ図,マトリ3.5.13E/E/PE系安全度要求仕様(E/E/PEsystemsafetyintegrityrequirementsspecification)安全関連系が実行しなければならない安全機能に関わる安全度の要求事項を含む仕様。注記この仕様は,E/E/PE系安全要求仕様の一部(安全度の部分)である(JISC0508-1の7.10参照)。3.5.14E/E/PE系設計要求仕様(E/E/PEsystemdesignrequirementsspecification)サブシステム及び要素に関してE/E/PE安全関連系の設計安全要求事項を含む仕様。3.5.153.5.16運用モード(modeofoperation)安全機能が作動する方法。これは,次のいずれかとしてもよい。一低頻度作動要求モードEUCを規定の安全状態に移行させるために,安全機能が作動要求だけによって動作し,作動要求の頻度が1年当たり1回以下の場合。注記安全機能を実行するE/E/PE安全関連系は,通常,作動要求が発生するまでは,EUC又はEUC制御系に影響を与えない。しかし,E/E/PE安全関連系が機能失敗を起こし,安全機能を実行で一高頻度作動要求モードEUCを規定の安全状態に移行させるために,安全機能が作動要求だけに一連続モード安全機能が通常運転の一環としてEUCを安全状態に保持する場合。3.5.17次のいずれかによって決定する,安全度要求事項に関して達成しなければならない危険側モード機能失敗の目標確率。一低頻度作動要求モード運用の場合,作動要求当たりの,安全機能の危険側機能失敗の平均確率。一高頻度作動要求モード運用又は連続モード運用の場合,時間当たり[1/h]の危険側機能失敗の平均頻度。注記目標機能失敗尺度に関する数値は,JISC0508-1の表2及び表3参照。20C0508-4:2012(IEC61508-4:2010)3.5.18必要なリスク軽減(necessaryriskreduction)3.6フォールト,故障(機能失敗)及びエラー(図4参照)3.6.1機能ユニットに要求される機能遂行能力の低下又は喪失を引き起こす可能性がある異常状態(JISX0014の14.01.10)。注記IEV191(IEC60050-191)-05-01では,“フォールト”は,予防保全,他の計画的な活動による機能停止状態,又は外部資源の不足による機能喪失状態以外の,要求される機能を遂行することのできない状態として定義している。この規格での定義,及びIEC60050-191の191-05-01の定義の説明を図4に示す。3.6.2安全関連系の安全ライフサイクルの任意のフェーズで,フォー法及び手続きの使用。3.6.3フォールト又はエラーの存在下で,要求される機能を遂行し続ける機能ユニットの能力(JISX0014の14.04.06)。注記IEV191(IEC60050-191)-15-05での定我は,サブアイテムのフォールトだけを考虑している。3.6.4故障(機能失敗)(failure)ある機能ユニットの要求機能の遂行能力の終結,又は要求された以外の機能の誤運用。注記2JISC0508規格群及びJISZ8115でのフォールトと故障との関係については,図4参照。注記3要求される機能の実行は,必然的にある種の挙動を除外し,そして幾つかの機能は避けなけ21C0508-4:2012(IEC61508-4:2010)L(1-1)L(1-1)FUL(0FUL(+1)FuL(+1)FUL(+1)FUL(+1)FUL(+1)FuL(+1)FUL(H1)FUL(+1)FUF"F"状照原因b)全体図故障故障7木-下故障c)JISC0508規格群及びJISX0014の考え方d)JISZ8115の考え方エラー(正しい値又は状態からのある逸脱)として現れる場合がある。さらに,原因が修正又は防止されないできる。“エンテイテイX”はJISC0508規格群及びJISの概念では,dに示すように,フォールト状態であるという考え方が強調されている。“F”状態はJISZ8115注記3幾つかの場合では,故障又はエラーは,内部のフォールトではなく,雷,電磁ノイズなど外的事象によって引3.6.522C0508-4:2012(IEC61508-4:2010)注記2ランダムハードウェア故障と決定論的原因故障(3.6.6参照)とを区別する主な性質は,ランダムハードウェア故障から生じるシステムの機能失收率(又は適当な他の尺度)が合班的な精度で予測可能であるのに対して,決定論的原因故障(による機能失敗)が,その性質上,障(機能失敗)率が合理的な精度をもって定量化できるのに対して,決定論的原因故障によるものは,故障へと導く事象が容易には予測できないので,正確な統計量として把握できない。3.6.6決定論的原因故障(systematicfailure)正しい知識,認識,対策の欠如などの原因の決定的に関連する想定外の故障又は失敗。この原因は,設計の部分改修,製造過程,運転手順,文書化又はその他の関係する要因の修正によってだけ除くことができる[IEV191(IEC60050-191)-04-19]。注記1部分改修がない事後保全では,通常,決定論的原因故障の原因は除去されない。注記2決定論的原因故障は,同様な原因が生じると再び誘発される。注記3決定論的原因故障の原因事例には,次のような項目中のヒューマンエラーがある。注記4この規格群では,安全関連系の故障はランダムハードウェア故障(3.6.5参照)と決定論的原因故障とに分類される。3.6.7安全機能を実行するときにある役割を果たす,要素及びノ又はサブシステム及びノ又はシステムに関すa)EUCが危険状態又は危険になり得る状態に阶るように,作動要求モードで要求された場合に安全機能の作動を阻止する,又は連続モードで安全機能を失敗させる。3.6.8安全側故障(safefailure)安全機能を実行するときに役割を果たす,要素,サプシステム及びノ又はシステムに関する次のような故障。a)安全機能の誤作動が,EUC(又はその部品)を安全状態にする,又は安全状態を維持する結果となる。b)EUC(又はその部品)を安全状態に置く,又は安全状態を維持するように安全機能が誤作動する確率3.6.9従属故障(dependentfailure)その存在確率が,故障を引き起こす各々の原因の無条件存在確率の単純な掛け算として表現できない故注記二つの状態A,Bは,次のときにだけ従属である。P(AかつB)>P(A)×P(B)C0508-4:2012(IEC61508-4:2010)共通原因故障(commoncausefailure,CCF)一つ以上の事象を原因とする故障で,それが複数チャネル系の二つ以上の分離したチャネルそれぞれにエラー(error)“計算,観察,又は測定された”値又は状態と,“真の,規定された,又は理論的に正しい”値又は状態との不一致[IEV191(IEC60050-191)-05-24修正]。データの内容への誤った変更。物理的な回路自体への変更ではない。注記1ソフトエラーが発生してデータが書き換えられた場合,回路は本来の状態に回復される。レジスタ及びラッチを含む半導体メモリにおい者から入手できる。非安全機能故障(nopartfailure)安全機能の実行に役割を果たさない部品の故障。注記非安全機能故障は,SFFの計算には使用しない。無影響故障(noeffectfailure)安全機能の実行に役割を果たすが,安全機能に直接影響を与えない要素の故障。注記1無影響故障は定我上安全機能に影響しない。そのため,安全機能の故障率には寄りし得ない。安全側故障及び検出された危険側故障の平均故障率の和と,安全側故障及び危険側故障の平均故障率の和との比で表す,安全関連要素の特性。この比は,次の式で表す。故障率が固定の故障率に基づいている場合,この式は簡略化できる。故障率(failurerate)C0508-4:2012(IEC61508-4:2010)注記1数学的には,Aのは,[t,t+di]にわたる単位時間当たりの故障の条件付確率である。これは,注記3次の式で定義される,ある所定の期間[0,T]にわたるλのの平均値は,注記1に示すように度として解积してもよい(すなわちPFH,IEC61508-6:2010の附属書B参照)。3.6.17作動要求時の危険側機能失敗確率(probabilityofdangerousfailureondemand,PFD)EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関3.6.18作動要求時の危険側機能失敗平均確率(averageprobabilityofdangerousfailureondemand,PFDavg)EUC又はEUC制御系から作動要求が発生した場合の,規定の安全機能を実行するためのE/E/PE安全関連系の平均アンアベイラビリティ(JISZ8115参照)。25C0508-4:2012(IEC61508-4:2010)されない危険側故障,及びプルーフテスト及び安全作動要求の作動要求自体によって引き起こされた,真の作動要求による故障。最初の故障は時間依存性があり,その危険側故障率た)作動要求当たりの故障確率で特徴付けられる。合は,それらを識別して考慮に入れる必要がある。3.6.19注記2理論的な見地では,PFHは,無条件故障度の平均値であり,故障頻度とも呼ばれ,一般的に注記3E/E/PE安全関連系が最終の安全層である場合,PFHは不信頼度F(T)=1—R()(上記の“故障注記4E/E/PE安全関連系が急速修理を受けた,明らかになった故障だけを明示する場合,漸近的故障率λに急速に達する。これは,PFHの推定値を示す。3.6.20EUC又はEUC制御系において,危険側故障に至る潜在性をもつ故障が発生した時刻から,危険事象の3.6.21a)故障を検出する時間b)修理を開始する前に経過した時間c)修理の実施時間d)構成部品を運用に戻すまでの時間3.6.22平均修理時間(meanrepairtime,MRT)注記MRTには,MTTR時間のうち,3.6.21の注記のb),c)及びd)の時間を含む(3.6.21参照)。26C0508-4:2012(IEC61508-4:2010)3.7.1及び他リスク軽減措置の必要性が終了するまでの期間に生じる。注記1“機能安全ライフサイクル”が正確な用語であるが,この規格群では“機能”が付加されな注記2この規格群に使用される安全ライフサイクルモデルは,JISC0508-1の図2,図3及び図43.7.2ーズ,統合フェーズ,設置フェーズ及び部分改修フェーズを包含する。3.7.3構成管理(configurationmanagement)ライフサイクルを通じて,進展するシステム要素の変化を管理し,連続性及び追跡性を保持するために,3.7.4構成基準(configurationbaseline)3.7.5影響解析(impactanalysis)あるシステムの機能又は要素の変化によって生じる,当該システムのその他の機能,要素又はその他のシステムへの影響を特定する業務。3.8.1適合確認(verification)要求事項が満足されていることを調査して客観的証拠を提示することによって確認する業務(ISO8402の2.17修正)。の各フェーズで,解析,数学的推論及びノ又はテストによって,特定の引継ぎ事項に対して,引渡し事項が全ての観点から当該フェーズに関わる目的と要求事項との組合せに対して適合し27C0508-4:2012(IEC61508-4:2010)例適合確認業務は,次の事項を含む。一あるフェーズヘ川き継がれる特定の小頭を考慮に入れ,引渡し小(安全ライフサイクル全てのフェーズの文書)が,当該フェーズの目的及び要求事項に整合していることを保証一設計審査。一設計された製品がその仕様に合致する性能をもつことを確認するためのテスト。ーシステムの各々の部分が組み立てられる場所で段階的に実施され,それらの部分が指定した3.8.2妥当性確認(validation)仕様上に定めた使用法に関する特定の要求事項が満足されていることの審査,及び客観的な証拠の提供注記1この規格群では,次の三つの妥当性確認フェーズを取り扱う。一全安全妥当性確認(JISC0508-1の図2参照)一E/E/PE系妥当性確認(JISC0508-1の図3参照)注記2妥当性確認は,検討段階又は設置前後の安全関連系が全ての観点から安全要求仕様に適合し3.8.3機能安全評価(functionalsafetyassessment)根拠に基づいて,一基以上のE/E/PE安全関連系及びノ又は他リスク軽減措置によって,機能安全が達成3.8.4機能安全監査(functionalsafetyaudit)計画された定めに基づく機能安全要求事項に指定した手順が効果的に実施されているか,更に指定した目的の達成に適切であるかを決定する決定論的,かつ,独立した審査。注記機能安全監査は,機能安全評価の一部として実施してもよい。3.8.5安全関連系の危険側隠れ故障状態を見付けるために実施する定期テスト。注記2プルーフテストの効果は,故障範囲及び修復実効性に依存している。実際上は,低複雑度E/E/PE安全関連系を除いて潜在した危険側故障を100%検出することは容易ではない。努力目標と考えるのがよい。最小限,実施される全ての安全機能が,E/E/PE系安全要求事項仕様C0508-4:2012(IEC61508-4:2010)検出されない隠れ危険側故障の確率が,E/E/PE安全関連系の寿命期間全体にわたって無視で注記3プルーフテストの実施には,ある程度の時間が必要である。この期間,E/E/PE安全関連系は,部分的又は全面的に禁止されてもよい。運転要求がある場合にテスト対象のE/E/PE安全関連注記4プルーフテストの間,E/E/PE安全関連系が,運転要求に対して部分的又は完全に応答しない同等の実効性をもって実施されているときだけは,SILの計算に診断力バー率(diagnosticcoverage,DC)た危険側故障に付随する危険側故障率を,総危険側故障率で除して計算する。注記1危険側故障診断カバー率は,次の式を用いて計算する。DC:診断カバ一率dop:検出された危険側故障率Doua:総危険侧故障率検出された(detected)又は通常の運転から当該事項が見つかり,明らかになる。注記診断テストによって検出された危険側故障は現れた故障であり,自動又は手動にかかわらず有効な措置をとる場合,安全側故障とみなすことができる。検出されない(undetected)現れない(unrevealed)隠された(covert)29C0508-4:2012(IEC61508-4:2010)又は通常の進転から当該小頭が見つけ出せず,明らかにならない。3.8.10E/E/PE安全関連系及び他リスク軽減措置によって達成した機能安全について判断を下すために,機能安全評価を行う一人の人員,複数の人員又は組織。注記JISC0508-1の簡条8も参照。3.8.11独立した人員(independentperson)機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系安全ライフサイクル又はソフトウェアの安全ライフサイクルの当該フェーズに携わる業務から分離かつ区別され,かつ,それらの活動に直接的な責任をもたない人員。3.8.12独立した部局(independentdepartment)機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系又はソフトウェアの安全ライフサイクルの指定したフェーズに携わる業務に責任をもつ部局から分離,区別された部局。3.8.13独立した組織(independentorganization)機能安全評価又は妥当性確認の対象となる全安全ライフサイクル,E/E/PE系又はソフトウェアの安全ライフサイクルの指定したフェーズに携わる業務に責任をもつ組織から,管理上及び他の資源によって,分離,区別された組織。3.8.14適切で高度な表現形式で要求仕様へ適用するソフトウェアシステム(又は,当該システムの重要な部分)の模擬運用。注記アニメーションは,特定の挙動に関わる人の認知力を向上させるので,システムが真に要求事項に適合しているという特別の自信を与えることができる。3.8.15動的テスト(dynamictesting)必要な挙動ができ,かつ,望まない挙動を行わないことを立証するための管理された決定論的な方法に3.8.1630C0508-4:2012(IEC61508-4:2010)3.8.17規定の要素安全機能に関して,システムがこの規格群の要求事項を満たすことを確認するために必要な,要素の機能安全に関する全ての情報を提供する文書。3.8.18実績による使用(proveninuse)危険側の決定論的原因フォールトの可能性が十分に低いため,要素を使用する全ての安全機能がその要求安全度水準を達成できることを,要素の特定構成の運用実績に基づいて実証すること。31C0508-4:2012(IEC61508-4:2010)[1]JISC0511:2008(全ての部)機能安全ープロセス産業分野の安全計装システム注記対応同際規格:IEC61511(allparts),Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector(IDT)[2]JISB9961:2008機械類の安全性一安全関連の電気·電子·プログラマブル電子制御システムの機能安全注記対応国際規格:IEC62061:2005,Safetyofmachinery—Functionalsafetyofsafety-relatedelectrical,electronicandprogrammableelectroniccontrolsystems(IDT)[3]IEC61800-5-2,Adjustablespeedelectricalpowerdrivesystems—Part5-2:Safetyrequirements—Functional[4]IEC61508-5:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems一Part5:Examplesofmethodsforthedeterminationofsafetyintegritylevels[5]IEC61508-6:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems一Part6:GuidelinesontheapplicationofIEC61508-2andIEC61508-3[6]IEC61508-7:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems一Part7:Overviewoftechniquesandmeasures[7]JISX0001:1994情報処理用語一基本用語注記対応国際規格:ISO/IEC2382-1:1993,Informationtechnology—Vocabulary—Part1:Fundamentalterms(MOD)注記対応国際規格:IEC61131-3:2003,Programmablecontrollers—Part3:Programminglanguages(MOD)[9]IEC/TR62059-11,Electricitymeteringequipment—Dependability—Part11:Generalconcepts[10]ISO8402:1994,Qualitymanagementandqualityassurance—Vocabulary[11]IEC60601(allparts),Medicalelectricalequipment注記対応因際規格:IEC60050-191:1990,InternationalElectrotechnicalVocabulary—Chapter191:Dependabilityandqualityofservice(MOD)[13]IEC60050-351:2006,InternationalElectrotechnicalVocabulary—Part351:Controltechnology注記対応国際規格:IEC61508-1:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems—Part1:Generalrequirements(IDT)[15]IEC61508-2:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems一Part2:Requirementsforelectrical/electronic/programmableelectronicsafety-relatedsystems[16]IEC61508-3:2010,Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems—Part3:Softwarerequirements[17]JISX0014:1999情報処理用語一信頼性,保守性及び可用性注記対応国際規格:ISO/IEC2382-14:1997,Informationtechnology—Vocabulary—Part14:Reliability,maintainabilityandavailability(IDT)32C0508-4:2012(IEC61508-4:2010)注記对応国際规格：ISO9000:2005,Qualitymanagementsystems-Fundamentalsandvocabulary(IDT)33C0508-4:2012(IEC61508-4:2010)索引用語対応英語(参考)細分簡条architectureassessoranimationapplicationapplicationdataapplicationsoftware現れたrevealed現れなunrevealed安全safety安全側故障safefailure安全側故障割合(SFF)safefailurefraction(SFF)安全関連系safety-relatedsystemsafety-rel