機能安全の概要 -...

機能安全の概要機能安全の概要

日本認証株式会社

セーフティアセッサー

丹羽邦幸

1. 機能安全（IEC61508)・概要

機能安全の概要

機能安全の概要1 機能安全（IEC61508) 概要

31. ハードウェアの故障許容(HFT)レベル32. SIL達成について(1/2)

1. 機能安全（IEC61508)・概要2. 日本認証㈱と他の工業会との関連3. 日本認証㈱（略称：JC）の業務内容4. 出資会社 ⇒ 日本認証㈱5. 機能安全とは何のこと(1/2)6. 機能安全とは何のこと(2/2)

33. SILの達成について（2/2）34. 安全故障率：SFF(Safe Failure Fraction)35. SILの決め方(FMEDA)36. 普通の回路はどれくらいのSILになるのか？37. 共通原因故障(CCF)38 スア表評価項目7. 機能安全・初期の規格とガイドライン

8. IEC 61508の出発点(1/3)9. IEC 61508の出発点(2/3)10. IEC 61508の出発点(3/3)11. 機能安全規格の歴史まとめ12. 機能安全規格「IEC 61508」と派生規格

38. スコア表評価項目39. IEC61508のCCF評価のスコア表の例40. 全安全ライフサイクル41. ソフトウェア安全ライフサイクル42. IEC61508 の概要・Vモデル43 SILへの対応 (ソフトウェア)(1/2)

13. 国際規格：機械安全規格ピラミッド構造14. 機械安全規格：ISO/IECとJIS比較表15. IEC 61508規格の特徴16. 日本と欧米の安全に対する考え方の違い17. 安全と機能安全の概念18 機能安全の概念

43. SILへの対応 (ソフトウェア)(1/2)44. SILへの対応(ソフトウェア)(2/2)45. ソフトウェア妥当性確認テスト文書46.ソフトウェアの妥当性確認テスト文書47. 表B.5の適切な技法48. 妥当性確認試験18. 機能安全の概念

19. 機能安全の概念20. IEC61508 の概要(1/2)21. IEC61508の概要(2/2)22. IEC61508の要求事項23. 全安全ライフサイクル

機能安全の要素

49.妥当性確認テストツール50.改修/改造の要求事項51. グローバル化時代における規格と認証52.機能安全の理解を深めよう53.これからの製造業が目指す生産現場54 認証申請と認証機関との関連24. 機能安全の要素

25. 機能安全管理の必要事項2 6 . 安全度水準要求仕様27 リスクアセスメント28. 安全関連系(SRS)と安全度水準(SIL)2 9 . 安全要求仕様項目

54. 認証申請と認証機関との関連55. 認証申請への心準備56.安全認証について57. 世界の認証機関及びマーク58. 世界の認証機関59 機能安全認証業務のステップ(実例）

ⓒ 2010 Japan Certification Corporation

安要求仕様項目30. 安全度(SIL（Safety Integrity Level）)とは

59.機能安全認証業務のステップ(実例）60. JCのサポート

2. 日本認証㈱と他の工業会との関連

METI

経済産業省産業技術環境局

METI


ｎ MachineryＪＭＦ

日本機械工業連合会


JEMA

日本電機工業会

NECA

日本制御機器工業会

NECA

日本電気制御機器工業会ＪＣ

IEC

本制御機器業会

IEC

日本電気制御機器工業会ＪＣ

国際電気標準会議

SC17B

国際電気標準会議

TC44TC44TC44TC65TC65 TC94

2002 年 11 月独にて

Mr. Kjellnas, Chairman

Mr. M. Delaplace , Secretary

2003 年 5 月米国にて

Mr. F . Harless ,Chairman

Mr. H. von Krosigk


Mr. H. von Krosigk


Mr. H. von Krosigk

Mr. O. Ulrichs, Chairman

Mr. B . Dumortier , Secretary

Mr. O. Ulrichs, Chairman

Mr. B . Dumortier , Secretary

青木氏：Chairman加藤氏：幹事

2003年9月国内にて

ⓒ 2010 Japan Certification Corporationⓒ 2010 Japan Certification Corporation

NECA - IE/TCC44 ＆ TC65 会議実施 NECA - IEC/SC17BWG3 会議実施

3. 日本認証㈱（略称：JC）の業務内容

日本認証（ＪＣ）は、製造業の要となる制御機器・制御システムの専門企業で構成される（社）日本電気制御機器工業会（ＮＥＣＡ）会員有志企業の出資により設立された国際規格関連のさまざまな認証業務やコンサルティングを行う専門会社です。社員は知識・経験豊かな専門家。世界各国の認証機関と連携するとともに、国内の機評価・試験機関とも連携し、ご満足いただけるサービスをお届けしてまいります。日本認証株式会社（略称：JC）英文社名： JAPAN CERTIFICATION CORPORATION 所在地：〒532-0004 大阪市淀川区西宮原2丁目7番53号Ｍａｒｕｔａビル8Ｆ創業： 2003年9月8日出資：（社）日本電気制御機器工業会（ＮＥＣＡ）会員会社21社

事業内容●ＩＥＣ規格及びこれに類する各種規格に関する各国の認証取得申請代行業務●ＩＥＣ規格及びこれに類する各種規格に関する各国の認証取得申請代行業務●各種規格に関する認証試験業務及び認証申請業務●各種規格及び認証に関するコンサルティング●各種規格及び認証に関する人材育成並びに教育訓練●各種規格及び認証に関する情報サービス、調査業務●各種規格及び認証に関する情報サビス、調査業務●その他、付帯する一切の関連業務


4. 出資会社 ⇒ 日本認証㈱

１相原電機㈱１１㈱東電社１、相原電機㈱１１、㈱東電社２、IDEC㈱１２、東洋技研㈱３、大阪自動電機㈱１３、日本開閉器工業㈱４オムロン㈱１４布目電機㈱４、オムロン㈱１４、布目電機㈱５、春日電機㈱１５、富士電機機器制御㈱６、キムラ電機㈱１６、不二電機工業㈱７、ケージーエス㈱１７、北陽電機㈱８、光洋電子工業㈱１８、パナソニック電工㈱９、㈱サンミューロン１９、マルヤス電業㈱１０、㈱タイコーデバイステクノ２０、安川コントロール㈱

２１、㈱山武

資本金＝6,000万円


5. 機能安全とは何のこと(1/2)

・IEC61508(電気・電子・プログラマブル電子安全関連系の機能安全）に規格化されている格化されている。

・2000年にIEC61508が策定された。その後、原子力や鉄道、プロセス産業、産業機械などの各分野ごとにIEC61508を取その後、原子力や鉄道、プロセス産業、産業機械などの各分野ごとにIEC61508を取り入れた機能安全のサブ規格が次々と策定されている。

現在は自動車分野におけるサブ規格が審議中。 (近々にロボットへの取り組み）

・機能安全とは故障（部品故障やバグ）が発生してもシステムや機器の安全性を確保できるような機能を実装しておく、と言う考え方え方。

（IEC61508が規定するシステム開発技術）

年に第版が策定された・2010年に第2版が策定された。

ASICについて規定が追加、ソフトウェアの手法が見直された。


6. 機能安全とは何のこと(2/2)

1 ものは壊れ故障する

考え方の背景1.ものは壊れ、故障する。

2.また、完全なソフトウエアはありえない。(バグがある。)

3.ひとはミスをする。

故障しても、エラーになっても人に危害を与えないようにしたい

転換

・【品質向上】の発想から【機能安全】へ。

・【本質安全】

危害事象、危害要因、原因をはじめから除去したものを作る

【機能安全】・【機能安全】

「本質安全達成出来ない部分をカバー」

危害が発現しても極力安全を確保すると言う概念


危害が発現しても、極力安全を確保すると言う概念。

7. 機能安全・初期の規格とガイドライン

初期の規格とガイドライン

（以下はIEC61508 国際委員会委員長 Ron Bell Consulting 社長のセミナーからの抜粋）

初期の規格とガイドライン

1980年代の初頭に「プログラマブル電子システム」（PES)として知られるようになったものに対するガイドラインを複数の組織が開発した。ようになったものに対するガイドラインを複数の組織が開発した。

○ UK：Programmable electronic systems in safety-related applications.

G l t h i l id li:General technical guidelines.

○ Germany:Din v VDE0801:Principles for computers in safety-rerated systems(1990)

○ USA:ISA and CCPS developed guidelines for the process chemical sector.

○ Nordic countries: Produced “Personal safety in microprocessor control systems.

○ 研究努力は、主として、安全上重要なシステムのソフトウエアコンポーネントに焦点を当てる事であった。

注）上記は、ヨーロッパ・米国での動向であってそれ以外の地域の国では様々な構想があったかも知れない。


8. IEC 61508の出発点(1/3)

★ 1985年9月12 13日 IECは国際規格の実現性を評価する為に

ちょっと歴史を振り返ってみると

★ 1985年9月12･13日：IECは国際規格の実現性を評価する為に、「プログラマブル電子システムの機能安全；一般的な概念｣と言うタスクグループを作る決定をした言うタスクグルプを作る決定をした。

★ 安全機能を実行するプログラマブル電子システム（PES)の国際規格を開発するために上記のタスクグルプとワキンググ際規格を開発するために、上記のタスクグループとワーキンググループが作られた。

PES⇒Programmable Electronic SystemPES⇒Programmable Electronic System

★ 新ワーキンググループ（WG10）は1988年6月6･7日にロンドンで初めて開催されたで初めて開催された。

決定から開催まで3年もかかっている


9. IEC 61508の出発点(2/3)

★ 提案された国際規格の主要な特徴は、それが一般性を持ち産業機械プは原子力などと言た特定分野、産業機械、プロセス又は原子力などと言った特定分野のみ

関係するものではないことにある

★ 提案された国際規格が一般的なものであるという事実は、関連する全ての分野からの合意を得ると言う大変なチャレンジとなたとなった。

★ 他のIECワーキンググループは、1984年頃から安全関連ソフトウの規格を開発しいた（）トウエアーの規格を開発していた（WG9）

★ 1992年に、最良の方法は、システム、ハードウエア、ソフトウエアを扱う一つの規格を持つことであることが合意された。


10. IEC 61508の出発点(3/3)

★ 提案された規格のスコープは、PES(ProgrammableEl t i S t )だけではなくハドウエアとソフトウエアElectronic System )だけではなく、ハードウエアとソフトウエアを含む電気・電子・プログラマブル電子安全関連系をカバーするように拡大された。するように拡大された。

これがIEC61508となる。

★ 多くの国がIEC61508の開発に参加した★ 多くの国がIEC61508の開発に参加した。Australia,Finland,France,Germany,Netherland,Japan,Russia,UK,USA

そして多くの国が審議プロセスに参加したそして多くの国が審議プロセスに参加した。

★ IEC61508の制定までには、第一回のWGから10年を要した。

★ IEC61508-3の「ソフトウエア要求事項は｣、約14年かけて開発された。


この間、各国とも殆ど同じメンバーで審議されてきた (日本では・・・？）

11. 機能安全規格の歴史まとめ

★ 1985年9月12･13日：IECは国際規格の実現性を評価する為に、「プログラマブル電子システムの機能安全；一般的な概念｣と言うタスクグループを作る決定をした。

★ 安全機能を実行するプログラマブル電子システム（PES)の国際規格を開発するために、上記のタスクグループとワーキンググループが作られた。

★ 新ワキンググルプ（WG10）は1988年6月6★ 新ワーキンググループ（WG10）は1988年6月6･7日にロンドンで初めて開催された。

IEC61508 1998年欧州各国のPESｶﾞｲﾄﾞﾗｲﾝ IEC61508 1998年

JISC0508 1999年

欧州各国のPESｶｲﾄﾗｲﾝ

1992：統合

1980 1990 2000 2010

ソフトは1984頃から規格を開発 IEC61508 ED2 2010年


1980 1990 2000 2010PES ⇒ Programmable Electronic System

12. 機能安全規格「IEC 61508」と派生規格

防衛ＤｅｆｅｎｓｅＳｔａｎｄａｒｄ００－５６

航空機ＪＡＲ／ＦＡＲ２５１３０９

自動車ＩＳＯ２６２６２ＭＩＳＲＡ－ＳＡ

医療機器ＩＥＣ６２３０４

機械ＩＳＯ１３８４９-1

ＩＥＣ６２３０４ＩＥＣ６０６０１

鉄道ＩＥＣ６２２７８

原子力ＩＥＣ６１５１３ロボット

ＩＳＯ１０２１８ＩＥＣ６２２７８

プロセス産業

産業機械ＩＥＣ６２０６１

ＳＯ０８

フィールドバスＩＥＣ６１７８４

ＩＥＣ６１５１１電子制御モータＩＥＣ６１８００

ＩＥＣ６１５０８機能安全規格ＩＥＣ６１５０８機能安全規格

対象：プロセス産業、機械製造、交通運輸、医療器械など

全分野の基本規格分野別が存在しない場合は、ＩＥＣ６１５０８を適用


13. 国際規格：機械安全規格ピラミッド構造

ＩＳＯ／ＩＥＣガイド５１

ＩＳＯ機械系ＩＥＣ電気系ＩＳＯ：機械系ＩＥＣ：電気系

機械類の安全性－基本概念，一般設計原則規格 (ISO 12100-1,-2）

Ａ基本安全規格：

全ての規格類で共通に般設計原則規格リスクアセスメント規格

( , ）(ISO 14121)

全ての規格類で共通に利用できる基本概念,設計原則を扱う規格

インタロック規格ガドシステム規格

(ISO 14119)(ISO 14120)

電気設備安全規格 (IEC 60204-1)Ｂガードシステム規格

システム安全規格安全関連部品規格安全距離規格突然の起動防止規格

(ISO 14120)(ISO 13849-1)(ISO 13849-2)(ISO 13852)(ISO 14118)

センサ一般安全規格センサ応用規格機能安全規格スイッチ類規格

( IEC 61496-1,-2,-3)(IEC 62046)(IEC 61508-1～-7)(IEC 60947-1～-8)

Ｂグループ安全規格：

広範囲の機械類で利用できるような安全，又は安

突然の起動防止規格両手操作制御装置規格非常停止規格マットセンサ規格階段類の規格

(ISO 14118)(ISO 13851)

(ISO 13850)(ISO 13856)(ISO 14122) 1 2 3

ＥＭＣ規格トランス規格防爆安全規格

(IEC 61000-1～-6）(IEC 60076)(IEC 60079-1～27)

全装置を扱う規格

階段類の規格 (ISO 14122)-1,-2,-3

Ｃ個別機械安全規格：

特定の機械に対する詳細な安全要件を規定する規格


２０１０１２２０東京２２日大阪

特定の機械に対する詳細な安全要件を規定する規格製品例：工作機械，産業用ロボット，鍛圧機械，無人搬送車，化学プラント，輸送機械など

注:生活支援ロボット国際規格(ISO13482)もC規格に位置づけされて発行予定。

14. 機械安全規格：ISO/IECとJIS比較表

ISO / IECLatest Edition JIS

Latest Edition

対応するIEC/ISOのEdition 和文標題

【IEC】

IEC 60204 1 Ed5 1 JIS B 9960 1 2008 IEC 60204 1:Ed 機械類の安全性機械の電気装置IEC 60204-1 Ed5.1 2009-02

JIS B 9960-1 2008-05

IEC 60204-1:Ed 5.0:2005

機械類の安全性機械の電気装置第一部：一般要求事項

IEC 61496-1 Ed 2.0 2008-01

JIS B 9704-1 2006-05

IEC 61496-1 Ed2.0:2004

機械類の安全性電気感光性保護機器第一部：一般要求事項及び試験

IEC 61496-2 Ed 2.0 2006-04

JIS B 9704-2 2008-04

IEC 61496-2 Ed1.0:197

機械類の安全性電気感光性保護機器第二部：能動的光電子保護装置を使用する機器の特定要求事項2006 04 04 Ed1.0 197 第二部：能動的光電子保護装置を使用する機器の特定要求事項

IEC 61496-3 Ed 2.0 2008-02

JIS B 9704-3 2004-04

IEC 61496-3 Ed1.0:2001

機械類の安全性電気感光性保護機器第三部:拡散反射に応答する能動的光電子保護装置に関する特定要求事項

IEC 61508-1 Ed.2.0 2010

JIS C 0508-1 1999 IEC/FDIS 1508-1:1998-7

電気・電子・プログラマブル電子安全関連系の機能安全第一部：一般要求事項

IEC 61508-2 Ed 2 0 JIS C 0508-2 2000 IEC/CDV 61508- 電気・電子・プログラマブル電子安全関連系の機能安全IEC 61508 2 Ed.2.0 2010

JIS C 0508 2 2000 IEC/CDV 615082:1998-4

電気・電子・プログラマブル電子安全関連系の機能安全第二部：電気・電子・プログラマブル電子安全関連系に対する要求事項

IEC 61508-3 Ed.2.0 2010

JIS C 0508-3 2000 IEC/FDIS 1508-3:1998-8

電気・電子・プログラマブル電子安全関連系の機能安全第三部：ソフトウェア要求事項

IEC 61508-5 Ed.2.0 2010

JIS C 0508-5 1999 IEC/FDIS 1508-5:1998-7

電気・電子・プログラマブル電子安全関連系の機能安全第五部：安全度水準決定方法の事例

【ISO】ISO 12100-1 2003-11 JIS B 9700-1 2004-

12ISO 12100-1:Ed1.0:2003

機械類の安全性基本概念・設計の一般原則第一部：基本用語・方法論

ISO 13849-1 2006-10 JIS B 9705-1 2000-11

ISO 13849-1 Ed1.0: 1999

機械類の安全性制御システムの安全性関連部第一部：設計のための一般原則

ISO 13850 2006 11 JIS B 9703 2000 ISO 13850 機械類の安全性非常停止設計原則ISO 13850 2006-11 JIS B 9703 2000-11

ISO 13850 Ed1.0:1996

機械類の安全性非常停止設計原則

ISO 13856-3 2006-10 - - 機械類の安全性感圧保護装置第三部：感圧バンパ・プレート・ワイヤ及び類似のデバイスの設計及び試験の一般原則

ISO 14118 2000-09 JIS B 9714 2006-2

ISO 14118 Ed 0 2000

機械類の安全性予期しない起動の防止


12 Ed1.0:2000ISO 14121-1 2007-08 JIS B 9702 2000 ISO 14121-1:1999 機械類の安全性リスクアセスメント第一部：原則

15. IEC 61508規格の特徴

● システム全体の機能安全 (確率論）

● 電気・電子・プログラマブル電子の安全技術指針

● 全ての産業に適用した安全ライフサイクル活動● 全ての産業に適用した安全ライフサイクル活動

● 安全度水準（SIL1~４）に応じた技法

SIL⇒Safety Integrity Level

● 機能安全マネジメント● 機能安全ネジメント

もともと機能安全は個々の機器の認証をする目的ではないが顧客の要求

としてはコンポネント単体の認証要求がある (不十分な認識）としてはコンポーネント単体の認証要求がある。(不十分な認識）

（大手ユーザーからの誤った要求に端を発しているケースがある）

新しいコンセプトの商品を開発する場合のCSR( C t S i l


新しいコンセプトの商品を開発する場合のCSR( Corporate Social Responsibility:企業の社会的責任)を全うするための手段

16. 日本と欧米の安全に対する考え方の違い

日本の考え方欧米の考え方

・災害は努力で防ぐ・災害は技術レベルにより起こる災害は努力で防ぐ災害は技術レベルにより起こる

・災害の主な原因は人・人的な対策より技術で対策

・管理・教育・規制強化で安全の確保・人は必ず間違いを犯す技向安全確保⇒ 技術力向上で安全確保

・災害が発生したら規制を強化・事故が発生しても重大災害に至らない技術対策

・安全は基本的に「ただ」・安全は基本的に「コスト」がかかる・安全は基本的に「ただ」・安全は基本的に「コスト」がかかる

・安全にコストを認め難にくい・安全にコストをかける

・目に見える「具体的危険」に対して・危険源を洗い出し,そのリスクを評価し,最低限のコストで対応。起こらないはずの災害対策に,技術的対策をしない

評価に応じてコストをかけて対策をする。⇒ 起こるはずの災害低減に努力をする

・《危険検出型技術》・《安全検出型技術》見つけた危険をなくす技術論理的に安全を立証する技術

・度数率(発生件数)重視・強度率(重大災害)重視


17. 安全と機能安全の概念

機能安全の概念Functional safety：Functional safety：直訳的には、「機能する安全、又は安全を機能させる」意味になります。

安全の概念安全

1．日本の安全の概念は、危険ゼロである。「危害または損傷・損害を被る危険がなく安心な状態」

2 欧州の安全の概念は危害や危険から保護されていること安全安全

危険

2．欧州の安全の概念は、危害や危険から保護されていること。「すべての危険を除くことは難しく、高価になる。安全とは、怪我や物的損害の危険性が低く、管理可能であること。」

安全安全塀は、壊れれば修理する (維持管理)。塀を乗り越える危険は、対応できない。(レンガ

は

このことから、「我慢できる危険は残る」と言うことになります。

(を常に積み増す)

Functional Safetyは、「人が危険な状態にならないようにする機能を作り、常にその機能を作動できる状態に保つこと」ということになります


能を作動できる状態に保つこと」ということになります。

18. 機能安全の概念

機能安全

F i l f 機能安全と訳されたFunctional safety⇒機能安全と訳された。

NECAの理解

本質安全＝機械が人間に危害を及ぼす原因そのものを低減、あるいは除去。(例：鉄道と道路の立体交差）(例鉄道道路体交差）

機能安全＝機能的な工夫(安全を確保する機能）を導入して許容できるレベル安全を確保すの安全を確保する。

（例：踏み切りの警報機・遮断機）絶対安全ではないが許容出来るレベル


19. 機能安全の概念

機能による安全危険となる事象から守るための機能を追加し機能による危険となる事象から守るための機能を追加し、機能による安全を確保。 (踏み切りの警報機の例）初版のIEC61508は機能による安全 Functional Safetyを初版のは機能よる安全 yを

示している。

機能の安全製品の機能が壊れないこと。

が故障しも安全が維持きる対策万が一故障しても安全が維持できる対策。第2版では、Safety integrity function と言う用語が追加。

つまり「機能による安全」と「機能の安全」の両方が求められる。


20. IEC61508 の概要(1/2)

電気･電子・プログラマブル電子安全関連系の機能安全

第０部：機能安全とIEC61508機能安全に関する考え方を例で解説している。更に、安全関連システム、技法、

SILについて概説している。（規格に含まない）

第１部：一般要求事項機能安全に関する基本的な考え方がまとめられている。管理及び技術上の要求

SILについて概説している。（規格に含まない）

機能安全に関する基本的な考え方がまとめられている。管理及び技術上の要求事項をまとめた、機能安全管理、理念、設計、改修、廃却にわたる全安全ライフサイクル、リスク管理、安全度水準、適合性確認などを規定している。第2版では、「セキュリティ脅威に関し、その脅威が危惧される場合は、分析が必要」が追記された。

第２部：電気・電子・プログラマブル電子安全関連に関する要求事項E/E/PESのハードウエアに対する要求事項を規定しているE/E/PESのハドウエアに対する要求事項を規定している。

・ルート1H(SFFとHFT方式)、ルート2H(十分信憑性のある信頼性データ使用)の方

法のどちらかの遵守を規定

・ASICの要求事項を規定


21. IEC61508の概要(2/2)

第3部：ソフトウエア要求事項・E/E/PESのソフトウエアに対する要求事項をまとめている。OSからアプリケーションまE/E/PESのソフトウアに対する要求事項をまとめている。OSからアプリケションま

で安全度水準に応じたソフトウエアの利用を要求している。

・ルート1S(決定論的故障を回避する要求事項に準拠),2S(使用実績のあるものを流用

),3S(既存のソフトを使用)の3方法への準拠を規定

ビ・安全要求事項のトレーサビリティを規定

第4部：用語の定義および略語･機能安全に関する用語の定義をしている･機能安全に関する用語の定義をしている。

第5部：安全度水準決定方法の事例・安全関連系の信頼度、すなわち安全水準（SIL)を解析で求める事例を紹介している。

第6部：第2部、第3部の適用指針・プログラムブル電子系の信頼度を、アーキテクチャ構成を基に算出している例を紹介している介している。

第7部:技術および手法の概念第2部第3部に関係する安全技術手法の説明と紹介をしている


第2部、第3部に関係する安全技術・手法の説明と紹介をしている。

22. IEC61508の要求事項

機能安全管理：設計製造の工程内で安全が作りこまれること。設計、製造の工程内で安全が作りこまれること。文書管理、組織管理、安全監査、工程管理、コミニュケーションなど

ハードウェア要求事項：安全要求事項を達成できるハードウェアであること。冗長化、多様化、安全度に応じた危険側故障率の低減、妥当性確認等

ソフトウェア要求事項：安全要求事項を達成できるソフトウェアの作り方であること.。安全要求事項を達成できるソフトウアの作り方であると。Vモデルに従った検証や妥当性確認の実施、安全度に応じた技法の採用、異常発生時安全状態に移行できる仕組み等


23. 全安全ライフサイクル

1 概念

2 全般的適用範囲の定義システムの把握とリスク分析

3 危険及びリスク解析

4 全般的安全要求事項

リスク分析

安全要求仕全ての計

安全要求仕様を達成する開発

5 安全要求事項の割当て

全般的計画安全関連外部のリスク

様の設定全ての計画の作成

6 全般的

運転及び

保守計画

7 全般的

安全有効性

確認計画

8 全般的

据付け及び

立ち上げ計画

9 システム：

E/E/PES

10 実現

（ E/E/PES安全性

ライフサイクルを

11外部のリスク

軽減設備

実現

第2版では全安全ライフ参照）

12 全般的据付け及び立ち上げ

適切な全般的安全性

設置から廃却

第2版では、全安全ライフサイクルに入れられた。

13 全般的安全妥当性確認

14 全般的運転、保守及び修理 15 全般的変更及びレトロフィット

適切な全般的安全性ライフサイクルフェーズに戻る

全ての工程において文書で


16 廃止措置又は廃棄処理

全般的安全ライフサイクル（IEC61508-1：1998より抜粋）

注：10と11は、IEC61508の適用範囲外

全ての工程において文書で明確化することで安全性を向上。

しかし非常に大変な作業。

24. 機能安全の要素

要素主な実施事項要素主な実施事項

1 管理全安全ライフサイクルの管理運営

文書管理：安全に関係する必要情報仕様書の管理運営：

組織の運営、人員配置、機能安全監査

安全に関係する必要情報・仕様書、ハードウェア・ソフトウェアの検証、妥当性確認関する計画書、仕様書・試験結果

2 資質経験技術的知識教育訓練2 資質経験、技術的知識、教育訓練

3 技術リスク評価、安全度水準(SIL)と割り当て方法、回路設計、ソフウ設計キクダ故障対策決定論的トウェア設計、アーキテクチャ、ランダム故障対策、決定論的

故障対策、


25. 機能安全管理の必要事項

機能安全管理(6章)

1 機能安全達成方針、方策は、その達成度評価方法、組織内コミュニケーションの確立

2 E/E/PE安全関連系、ソフトウェアの安全ライフサイクル各フェイズ実施、見直し担当の明確化（人員・部門･組織）

3 関連部署間のコミニュケーションの手順とその内容の明確化

4 迅速なフォローと推奨方策(危険源危険解析機能安全評価検証妥当性確認など)の手順の確立4 迅速なフォローと推奨方策(危険源、危険解析、機能安全評価、検証、妥当性確認、など)の手順の確立

5 検出された全危険源事象を解析し、その最少発現頻度を提示。

6 定期機能安全監査は、監査の周期、独立性、必要文書とフォローする事象の明示する

7 修正開始のやり方、承認、権限の手順の確立

8 危険源と危険事象と安全関連系にかかわる正確な情報の保守手順の確立

9 ライフサイクルにおけるE/E/PE安全関連系の構成管理の手順(特に、形式手順、独自方法、無権限事項の対応)の確立

10 緊急時の訓練及び情報に関する規定運用

11 E/E/PE安全関連系、ソフトのライフサイクルの担当は、規格記載の管理手法、技法、評価法を選択実施する。

12 関連する担当者の訓練、技術的力量、知識が適切であること。

13担当者の適切な能力は、特定のアプリケーションで考慮。(信頼度、管理度、経歴、指摘能力、結果の大きな潜在危険、安全度水準、新設計の問題点、使用実績)、技術知識、安全技術知識

14 責任をもつすべての人の能力は、文書化する。

15 方針方策の達成度担当者の能力は監視される


15 方針、方策の達成度、担当者の能力は、監視される

16安全関連系、ソフトのライフサイクルの工程にモノ、サービスを提供するサプライヤーは適切な品質管理システムが必要機能安全の管理に関する活動は、全E/E/PEシステムとソフトウェア安全性ライフサイクルの関連した段階で適用される。

26. 安全度水準要求仕様

ISO9000シリーズ安全関連のプロセスを含めるシリズ準拠のプロセス

安全関連のプロセスを含める。例えば・安全要求事項の抽出、仕様書・リスクアセスメントの実施、文書化リスクアセスメントの実施、文書化・人員の割り当て、技量の把握、教育訓練計画、文書化・安全関連機器開発の手順書、関連業務の規定の整備・安全監査の手順、位置づけ・・

始動、自動運転、再設定運転停止

更に・異常時の動作、処置・運転条件、制限・EUCと設備機器とのタイミング

手動運転、－－－再設定、運転停止、保守保全

使用のための準備

合理的に予見可能な異常状態の想定ハードとソフトの関連を文書化

１．－－－－２．＊＊＊＊＊３．＋＋＋＋＋

と設備機器とのタイミング・－－－


・プログラム作成・パラメータ設定・－－－－

関連を文書化

安全要求仕様書安全要求事項

27 リスクアセスメント

機能安全のSILは,が


リスクアセスメントが出発点

28. 安全関連系(SRS)と安全度水準(SIL)

潜在危険/リスク評価

E/E/PES安全関連系にSIL割り当て

安全関連系の実現安全関連系の実現

ハードウェア設計ソフトウェア設計

ランダム故障決定論的故障決定論的故障

ハドウェア設計ソフトウア設計


29. 安全要求仕様項目

1. リスクアセスメントより安全機能と目標SILを決める。2. 安全機能実施のハードウェア/ソフトウェア分担と実現方法を決める。

アキテクチ冗長化多様化耐久試験間隔平均修理時間アーキテクチャ：冗長化,多様化、耐久試験間隔、平均修理時間

3. 危険側故障の起きた時安全状態へ移行する方法

4. 妥当性試験の計画立案（試験方法を考慮した設計をする。）使用環境を想定した極端な環境状態(電磁環境、温湿度、機械的、電気的)条件を考慮する。

5. 安全管理に必要となる品質保証/品質管理の明確化部品装置の供給者(サプライヤ)も対応必要

安全要求仕様書

部品、装置の供給者(サプライヤ)も対応必要

安全度水準（SIL）

「低頻度」作動要求モド

「高頻度」作動要求モドまたは連続

安全機能の・安全度レベル・目標とする故障率

安全度（SIL）

環境による外乱の強さの

・安全度；SIL3・故障率： 10-8～10-7

高需要モド準（SIL）モードモードまたは連続モードPFD(Probability of

Failure on Demand)

1 ≧10-2 to ＜10-1 ≧10-6 to ＜10-5

2 ≧10-3 to ＜10-2 ≧10-7 to ＜10-6

3 ≧10-4 to ＜10-3 ≧10-8 to ＜10-7

耐久試験をする条件・Max:AC120V

・温度；外気温；45度C

１

環境による外乱の強さの分布

想定できる極端な条件を設定：

・高需要モード極端な環境

夏、盤内温度 70度

4 ≧10-5 to ＜10-4 ≧10-9 to ＜10-8１．－－－－２．＊＊＊＊

３．＋＋＋＋＋

試験水準1

定共通原因故

障による故障の最小化

アーキテクチャ HFT


使用環境を想定した極端な環境状態試験水準2

30. 安全度(SIL（Safety Integrity Level）)とは

SIL（Safety Integrity Level）とは、安全度と呼ばれています。これは、システムの安全性を表す尺度で、SIL1からSIL4まで4段れは、シテの安全性を表す尺度で、からまで段階定められ、SIL4が最高の安全度です。

安全度レベル「低頻度」作動要求モード「高頻度」作動要求モードまたは連続モード（SIL） (PFH ：Average frequency of a dangerous

failure of the safety function [h-1]）PFD(Probability of Failure on Demand)

1 ≧10-2 t ＜10-1 ≧10-6 t ＜10-51 ≧10 2 to ＜10 1 ≧10 6 to ＜10 5

2 ≧10-3 to ＜10-2 ≧10-7 to ＜10-6

3 ≧10-4 to ＜10-3 ≧10-8 to ＜10-7

4 ≧10-5 to ＜10-4 ≧10-9 to ＜10-8

例えば車ブレーキ

エアバッグ単位；回数

単位；1/時間

人が被る危害、その結果の障害の酷さの程度に対し、人を守る機能(安

エアバッグSILは、


全機能)を組み込んだ機器、設備の達成すべき信頼性レベルのことです。

31. ハードウェアの故障許容(HFT)レベル

安全関連要素やサブシステムに適用できる最大のSIL値

故障が起きた時に正常であるハドウアチハードウェアチャンネル数


32. SIL達成について(1/2)

故障：ランダム故障、決定論的原因故障、共通原因故障

回路設計

ハードウェアソフトウェア

組み込みソフトウアシス回路設計、

ASIC等部品、材料等

ランダム故障決定論的原因

組み込みソフトウェア、システムソフトウェア等

安全側故障危険側故障

達成方策

ランダム故障決定論的原因

故障決定論的原因故障

SIL達成の方策

危険側故障を減らすソフトウェアに求められる技法を採用する。ウ求る技法を採用する。

1．冗長化、多様化 1．Vモデルによる検証、妥当性確認

2．自己診断率の向上 2．文書化による誤仕様の防止


3．信頼性の高い部品の採用 3．管理による誤仕様、ミスの防止

33. SILの達成について（2/2）

回路設計、ASIC等

ソフトウェア


部品、材料等

ハードウェア

等

安全側故障危険側故障

ソトウア等

決定論的故障ランダム故障

決定論的故障

ハードウェア/ソフトウェアハードウェアのSILはランダム故障低減方策で対応する

ハドウェア/ソフトウェアの決定論的原因故障に

対応するSILは全安全ライフサイクルで対応する

ソフトウェアによる

ドウSIL 低頻度作動要求ﾓ-ﾄ高頻度作動要求又は連続ﾓｰﾄﾞ

4 10-5以上10-4未満 10-9以上10-8未満

3 10-4以上10-3未満 10-8以上10-7未満

2 10-3以上10-2未満 10-7以上10-6未満

1 10-2以上10-1未満 10-6以上10-5未満

ハードウェア故障の診断

1 10 以上10 未満 10 以上10 未満

リスクアセスメントで目標値を決める


34. 安全故障率割合：SFF(Safe Failure Fraction)

SFFとは、安全関連系装置の故障の内、発見できない危険側故障率を除いた故障率の割合である障率を除いた故障率の割合である

SFF=(λs＋λDD)/(λs＋λDD＋λDU)(λ )/(λ λ )DC=(λDD)/(λDD+λDU)

SFFを大きくすればSFFを大きくすれば、SIL2,3にしやすくなる

SFFは危険側故障のλs=λSD+λSU

S は危険側故障のλDUを少なくすれば、大きくなる


35. SILの決め方(FMEDA) （Failure Modes, Effects and Diagnostic Analysis）

FMEDA表 λDU=if(10列=“D”,5列×6列×7列×9列,0)

tcE：チャンネル等価平均不

1 2 3

1oo2D

PFHG = 2(1−β)λDU(1−β)λDU+(1−βD)･

λDD+λSD tCE'+2(1−β)λDD+βλDU

MooNM≦N

N

1 PFH = λPFHG = 6(1−βD)λDD+(1−β)･

tcE：チャンネル等価平均不動作時間

tcE’：選択グループ等価平均不動作時間

1oo2

PFHG = 2((1−βD)λDD+(1−β)λDU)･

(1−β)λDUtCE+βλDU

2 － PFHG = 2λDU

PFHG = 6((1−βD)λDD+(1−β)･

λDU(1−β)λDUtCE+βλDU

M

1 PFHG = λDUλDU )

2(1−β)λDU tCEtGE +βλDUtcE’：チャンネル等価平

均不動作時間


ハードウェアフォルトトレランス（HFT）を加味し、PHD,PFH値をSILに換算

3 －－ PFHG = 3λDUT1:ﾌﾟﾙｰﾌﾃｽﾄ間隔(H) MTTR：平均修復時間 MRT：平均修理時間

36. 普通の回路はどれくらいのSILになるのか？

仮定条件1．工作機械のモータドライブを制御している。2．非常停止が入力していて、非常停止の時、ドライブ信号を遮断する機能がある。2．非常停止が入力していて、非常停止の時、ドライブ信号を遮断する機能がある。3．A4くらいの電子制御プリント板4．部品点数は、約500個(抵抗、コンデンサ、トランジスタ、IC、マイコン、メモリ等)5．安全対策は行っていない。(アーキテクチャ：1oo1)6 自己診断は行ていない DC 06．自己診断は行っていない。DC=0

a．プリント板内の部品が壊れた時(ランダム故障)、ドライブ信号を遮断するかしないかは50%の確率である。

b．部品の寿命は、すべて5FITと仮定する。FIT=10-9/Hc．高頻度作動要求又は連続モードでの使用

PFH=λDU であるので

診断回路がないので、危険側故障はすべて発見できな

PFH=λDU であるので、λDU=5FIT×500個×50%=1250×10-9=1.3×10-6

SIL2：10-7以上10-6未満この値の改善は、λDU値を小さくする。

い故障。即ちλDU

SIL2：10 以上10 未満SIL1：10-6以上10-5未満 1．自己診断率を向上する。

2．回路を冗長化する。3．信頼性の高い部品を使用する。


共通原因故障(CCF)の対策が必要

37. 共通原因故障(CCF)

チャンネルA：λ

λI= 3λ2TP

チャンネルA：λ

チャンネルB：λ 共通原因故障(CCF)2oo3TP：プルーフテスト間隔

チャンネルC：λ

共通原因故障(CCF)2oo3

IEC61508-6：Table D.1 – Scoring programmable electronics or sensors/final elementsのスコアでβ値を求める

冗長系を組んでいても、ある特定の原因で複数のチャンネル

or sensors/final elementsのスコアでβ値を求める

定原因複数ャに同時に故障を引き起こすことがある。これを共通原因故障(Common Cause Failure:CCF)という。Ex.直接的故障原因としては、電源不良、ノイズ、温湿度などがあり、それらを引き起こす要因としては、設計のやり方、試

構成通常値典型的な範囲

同一チャンネんルによる冗長系 β=20% 5～25％

部分的に異なる冗長系 β


起こす要因としては、設計のやり方、試験の確認方法、機器の配置、設計者、保守者の資質などがある。

部分的に異なる冗長系 β=2% 0.1～10%

完全に異なる冗長系 β=0.2%

38. スコア表評価項目

評価項目論理部得点

I/O部得点

コメント設計方法

装置関連

運用関連

1 分離/隔離 10 10 配線分離/制御盤収納 10

2 多様性/冗長性 20 20 設計の方式、試験方法、保守方法、制御方式の2重化、多重化

16 4

3 複雑さ/設計/運用/成熟度/経験

10 10 安全情報の分離、使用実績、安全機器の単純性、定格の余裕度

4 6

4 評価データの解析とフィドバック

10 10 故障情報の再利用度、再発防止の仕組み

10フィードバック防止の仕組み

5 手順ヒューマンインターフェース

10 10 故障検出の仕組みの完全度、保守手順の完成度、ポカよけの程度、診断率の程度

10

6 適正/訓練/セーフ 10 10 設計者、保守者の訓練、理解 106 適正/訓練/セフティカルチャー

10 10 設計者、保守者の訓練、理解度向上

10

7 環境制御 10 10 要員の機密管理、環境試験と実環境の差、信号配線の独立性

3 7

8 環境試験 20 20 EMC,EMI、ESDのレベルの適正

10

機器の特性や性能評価ではない。機設計方法防方策対応


１．機器の設計方法やヒューマンエラー防止の方策対応２．運用、使い方、エラーの再発防止の仕組みなど、プロセスの評価

39

39. IEC61508のCCF評価のスコア表の例


100点満点：スコアの点数で共通原因故障の起こりにくさを評価

40. 全安全ライフサイクル

1 概念

2 全般的適用範囲の定義システムの把握とリスク分析

3 危険及びリスク解析

4 全般的安全要求事項

リスク分析

安全要求仕全ての計

安全要求仕様を達成する開発

5 安全要求事項の割当て

全般的計画安全関連外部のリスク

様の設定全ての計画の作成

6 全般的

運転及び

保守計画

7 全般的

安全有効性

確認計画

8 全般的

据付け及び

立ち上げ計画

9 システム：

E/E/PES

10 実現

（ E/E/PES安全性

ライフサイクルを

11外部のリスク

軽減設備

実現

第2版では全安全ライフ参照）

12 全般的据付け及び立ち上げ

適切な全般的安全性

設置から廃却

第2版では、全安全ライフサイクルに入れられた。

13 全般的安全有効性確認

14 全般的運転、保守及び修理 15 全般的変更及びレトロフィット

適切な全般的安全性ライフサイクルフェーズに戻る

全工程の作業の計画、結果を文書で


16 廃止措置又は廃棄処理

全般的安全ライフサイクル（IEC61508-1：1998より抜粋）

注：10と11は、IEC61508の適用範囲外

全工程の作業の計画、結果を文書で明確化することで工程内安全性を維持、しかし非常に大変な地道な作業。

41. ソフトウェア安全ライフサイクル

フェーズ10内のソフトウェア実現フェーズ


12 全般的据付け及び立ち上げ 14 全般的運転、保守及び修理

42. IEC61508 の概要・Vモデル

OUT

ININ

検証、適合確認


43. SILへの対応 (ソフトウェア)(1/2)

ソフトウェアのSILは形式手法目標とするSILに応じた手法を実施する。目標とするに応じた手法を実施する。その技術的手法は、IEC61508-3,7に記述されている。

安全関連系のE/E/PESでSIL3が必要であれば、このSIL3のHRの技法を実施する

Software safety requirements specification(See 7.2)

Ref. SIL1 SIL2 SIL3 SIL41a Semi-formal methods TablTable B 7 R R HR HR

Technique/Measure*技法

SIL3のHRの技法を実施する。

1a Semi-formal methods TablTable B.7 R R HR HR1b Formal methods B.2.2,C.2.4 --- R R HR

2

3 C.2.11 R R HR HR

C.2.11 R R HR HRForward traceability between the system safetyrequirements and the software safetyBackward traceability between the safetyrequirements and the perceived safety needs

4 B.2.4 R R HR HR

NOTE 2 The table reflects additional requirements for specifying the software safety requirements clearly and

requirements and the perceived safety needsComputer-aided specification tools to supportappropriate techniques/measures above

NOTE 1 The software safety requirements specification will always require a description of the problem innatural language and any necessary mathematical notation that reflects the application.

NOTE 3 See Table C.1.

NOTE 2 The table reflects additional requirements for specifying the software safety requirements clearly andprecisely.

NOTE 4 The references (which are informative, not normative) “B.x.x.x”, “C.x.x.x” in column 3 (Ref.) indicatedetailed descriptions of techniques/measures given in Annexes B and C of IEC 61508-7.* Appropriate techniques/measures shall be selected according to the safety integrity level Alternate or

形式的手法とは，数学における論理学・集合論・代数学などを基盤としたシステムの記述手法や検証手法などの総称


* Appropriate techniques/measures shall be selected according to the safety integrity level. Alternate orequivalent techniques/measures are indicated by a letter following the number. It is intended the only one of thealternate or equivalent techniques/measures should be satisfied. The choice of alternative technique should bejustified in accordance with the properties, given in Annex C, desirable in the particular application.

手法などの総称LDRAなどのチェックソフトで実行することになる。

44. SILへの対応(ソフトウェア)(2/2)

T bl C 1 R d i f ifi i l

IEC61508-7にSILに対応したソフトウェア言語の指針がある。下の表のHRが使用した方がよい言語である。

No. Programming language SIL1 SIL2 SIL3 SIL4

1 ADA HR HR R 2 ADA with subset HR HR HR HR3 Java NR NR NR NR

Table C.1 – Recommendations for specific programming languages

3 Java NR NR NR NR

4

Java with subset (including either no garbage collection orgarbage collection which will not cause the application code tostop for a significant period of time). See Annex G for guidance onuse of object oriented facilities.

R R NR NR

5 PASCAL ( N 1) HR HR R R5 PASCAL (see Note 1) HR HR R R6 PASCAL with subset HR HR HR HR7 FORTRAN 77 R R R R8 FORTRAN 77 with subset HR HR HR HR9 C R - NR NR

10 C with subset and coding standard and use of static analysistools

HR HR HR HR

11 C++ (see Annex G for guidance on use of object orientedfacilities)

R - NR NR

C++ with subset and coding standard, and use of static analysis12

C with subset and coding standard, and use of static analysistools (see Annex G for guidance on use of object orientedfacilities)

HR HR HR HR

13 Assembler R R - -14 Assembler with subset and coding standard R R R R15 Ladder diagrams R R R R


15 Ladder diagrams R R R R16 Ladder diagram with defined subset of language HR HR HR HR

45. ソフトウェア妥当性確認テスト文書

次の結果を文書化する次の結果を文書化する

1. 妥当性確認活動の時系列記録;1. 妥当性確認活動の時系列記録;2. 実施中のソフトウェア安全妥当性確認の計画仕

様のバージョン様のジョン3. ソフトウェア安全確認計画に従った妥当性確認中

(テストや解析により)の安全機能(テストや解析により)の安全機能4. 使われているツール及び機器とその校正データ5. 妥当性確認活動の結果;5. 妥当性確認活動の結果;6. 予想された結果と実際の結果の違い


46.ソフトウェアの妥当性確認テスト文書

妥当性確認結果における要求事項:

1. テストはソフトウェアの安全要求事項の全てが正しく実行されソフトウェアシステムが意図されない機能実行され、ソフトウェアシステムが意図されない機能を実行しないことを示さねばならない;

2 テストケス及びその結果はSILで要求されているよ2. テストケース及びその結果はSILで要求されているような解析や独立的査定によって文書化する

3 ソフトウェア安全妥当性確認の結果の文書化は以3. ソフトウェア安全妥当性確認の結果の文書化は、以下を記載する。ソフトウェアが妥当性確認をパスしたこと又は- ソフトウェアが妥当性確認をパスしたこと、又は

- その失敗の理由


47. 表B.5の適切な技法

IEC61508-2のB.5表機能試験環境条件下での機能試験妨害的サージ耐性試験妨害的サジ耐性試験故障埋め込み試験(診断率が90%の時)


48. 妥当性確認試験

1. 設置後にしかできないこともあるが、原則、設置の前に行う。2. プログラム可能な電子安全関連システムの確認は、ハードとソフトの両方を行う。3 テストに使用される測定機器はトレーサビリティが必要である3. テストに使用される測定機器はトレーサビリティが必要である。4. 個々の安全機能は、安全要求事項通りか、テストや分析、機能の動作で確認する。5. 文書は、以下の項目を入れて作成される。

a)現在の妥当性認計画のバージョンb)妥当性認計画に従ったテストが行われた安全機能c)データ較正された、使用したれたツールと装置d)各々の試験結果e)期待と実際の結果の相違e)期待と実際の結果の相違

6. 結果が期待と違った時、分析結果とテストの続行、変更、前段階に戻るかの決定を文書化する。7. 妥当性確認試験結果をEUCやEUCを使った設備開発者が利用できるようにする。8. 妥当性確認の誤りを避けるため、表B.5の適切な技法を使用する。

安全要求仕様書に従った耐久試験M AC120V

妥当性確認試験に必要な機器類、校正確認、試験機器のトレーサビリティ、試験手順、合格範囲、合否判定、試験できなかった部分の対応等

単体試験結合試験統合試験

妥当性確認計画仕様通りか確認する

・Max:AC120V・音頭；外気温；45度C・安全度；SIL3

・故障限度： 10-8～10-7

・高需要モード極端な環境

夏、盤内温度 70度

単体試験結合試験統合試験試験機器安全機能や他の機能との連結


安全要求仕様書システムとして総合運転

単一安全機能

試験機器

49.妥当性確認テストツール

ツール適正化要求事項

1. 妥当性確認に使用されている全ての機器は(もし可能であれば)国際基準、又は(もし可能であれば)国内基準に、又は良く知られた手順に従って適格なト

ビレーサビリティが必要である2. ソフトウェア妥当性確認に使用される機器はその確

び認に適切であると判定でき、またハードウェア及びソフトウェア共に使われるいかなるツールもその目的

適ばに適切であることを示さねばならない


50.改修/改造の要求事項

文書化要求事項:

1. 改修や旧型装置の改造要求（何を改造するのか；改造仕様文書化）造仕様の文書化）

2 機能安全に関するソフトウェア改修の影響度の解析2. 機能安全に関するソフトウェア改修の影響度の解析の結果、及び正しいと判断した根拠と関連事項

3 ソフトウェア構成管理の履歴3. ソフトウェア構成管理の履歴

4. 通常の運用や状態からの逸脱;

5. 改修活動に影響される全ての文書情報


51. グローバル化時代における規格と認証

格規格国際規格国際規格

認証国際認証


52.機能安全の理解を深めよう

【絶対安全は存在しない】【絶対安全は存在しない】

○ 事故は何故起きる？○ 事故は何故起きる？

○ 事故の根本原因は？○ 事故の根本原因は

技術的要因

ば安全組織的要因

個人的要因

これらを規定しなければ安全は守れない

○ 事故を防ぐ最善の方策は？


○ 事故を防ぐ最善の方策は？

53.これからの製造業が目指す生産現場

災害ゼロ ⇒ 危険ゼロ・作業者責任・教育訓練・指示徹底

・企業責任・本質安全・リスクアセスメント

安全の考え方

・指示徹底・リスクアセスメント

今まで

これから移行中


54. 認証申請と認証機関との関連

国ISOIEC

登録認定

認証機関

認証機関例：

認証機関(第三者)

TÜV Rheinland

TÜV SUD

BVBV (Bureau Veritas)

JQA *1

認証取得の為のンサル及び

JC

認証依頼提供

認証依頼情報提供

JET *2

Etc.

コンサル及び各種試験の指導

情報提供情報提供

メーカー(第一者) 製品提供

ユーザー(第二者)


(第者) 製品提供 (第者)

*1：JQA 財団法人日本品質保証機構 (Japan Quality Assurance Organization)

*2：JET 財団法人電気安全環境研究所 (Japan Electrical Safety & Environment Technology Laboratories)

55. 認証申請への心準備

１、規格書の要求事項と自社製品との整合が必要。

規格書に記述されていない背景を読みとること。（木を見るか森を見るか）

２日本規定規制は上から強制力を持て指示 (慣れ）２、日本⇒規定・規制は上から強制力を持って指示。(慣れ）

ＥＵなど⇒任意規格・制度などが各国の代表者によって審議後に規格化される。

３、安全関連機器においては安全要求を満足する為、可能な限り

最新技術を取り入れ、最大限の設計、製作努力を要求される。

４事故が発生した場合その努力の度合いがＰＬ訴訟の軽重を４、事故が発生した場合、その努力の度合いがＰＬ訴訟の軽重を

決める。 (努力が怠っていると判断されると責任回避が困難）


56.安全認証について

回路設計、ASIC等

ソフトウェア


部品、材料等

ランダム故障

ハードウェア

安全側故障危険側故障決定論的故障決定論的故障

検出不可危険側故障：λDU

検出可危険側故障：λDD

安全関連機器のハードウェアの検出できない危険側故障率を求める。危険側故障率= Σλ

安全関連1．ソフト開発工程管理（Vモデル）2 文書管理危険側故障率= ΣλDU , 2．文書管理3．組織

FMEDAで達成すべき安全レベルが決まるソフトウェア開発工程

SIL 低頻度作動要求ﾓ-ﾄ高頻度作動要求又は連続ﾓｰﾄﾞ

4 10-5以上10-4未満 10-9以上10-8未満

3 10-4以上10-3未満 10-8以上10-7未満

2 10-3以上10-2未満 10-7以上10-6未満

FMEDAで達成すべき安全レベルが決まる

PFD、PFHの算出


2 10 3以上10 2未満 10 7以上10 6未満

1 10-2以上10-1未満 10-6以上10-5未満の算出

PFD：低頻度作動要求モード PFH：高頻度・連続作動要求モード

文章管理

57

57. 世界の認証機関及びマーク

【中国】【フィンランド】【スウェーデン】【ノルウェー】【デンマーク】【英国】

【オランダ】

Lloyd’s China

Compulsory C ifi i

NEMKO SEMKO FIMKODEMKODNV【カナダ】

CSA

Certification

【デンマーク】

UL

【デンマーク】

FM ABS

【米国】


TUVSUD TÜV Rheinland VDE BG Germanischer Lloyd【ドイツ】

SＵVA

【スイス】

BV【仏】

58. 世界の認証機関

ChinaFinlandSwedenNorwayDenmarkUK The Netherlands

Lloyd’sChina Compulsory Certification

NEMKO SEMKO FIMKODEMKODNVCanada

CSA

FM ABS

UL 日本には世界に通用する認証機関がない！FM S

USA

認証機関な

TÜV TÜV Rheinland VDE BG Germanischer Ll d

SUVA BV


PRODUCT SERVICE

Lloyd

GermanySwitzerland France

59.機能安全認証業務のステップ(実例）

1,KOM （Kick off Meeting) 初回会議：進め方と認証内容の確認

2,SRS (Safety Requirement Step) 安全関連系の仕様(書)の説明2,SRS (Safety Requirement Step) 安全関連系の仕様(書)の説明

3,SC (Safety Concept) 安全方針と展開方法

4,Verification Test Report Plan 検証試験計画, p 検

5,FMEA (Failure Mode Effect Analysis ) FMEAによる故障解析とPFD,PFH算出

6,FMS (Functional Safety Management) 機能安全管理、方法、関連組織説明

7,Test Plan （この段階で故障解析などを提起する）検証、及び妥当性確認試験計画

8,Test Set Up 試験の開始(試験装置、試験制御方法)

9,Test 試験の実施(試験結果の再現性)

10,機能安全分析試験結果不適合時の安全機能の分析

11,VaridationTest Report 妥当性確認試験結果の文書化

12,工場監査製造工程、品質管理の監査


12,Certficate 認証書発行

60. JCのサポート

( ) 認証(4) 認証

証明書(3) 試験

試験ﾚﾎﾟｰﾄ(2) 代行

(1) 製品レビュー（製品仕様チェック）

が現在提供出来るサビ

認証機関で実施されている

試験業務を取り込む

特定分野においては試験プラン（試験認証用資料作成）

：JCが現在提供出来るサービス

：JC提供予定のサービス

特定分野においてはすでにJCが１００％

のサポートをしている。

：認証機関業務

。Ex=船級


認証の流れ

維持の場合、(1)→(2)→(3)→(4)…のサイクルを回す。

お疲れ様でしたお疲れ様でした。

ご静聴

ありがとう

ございましたございました。

日本認証株式会社日本認証株式会社http://www.japan-certification.com/

ＪａｐａｎＣｅｒｔｉｆｉｃａｔｉｏｎＣｏｒｐｏｒａｔｉｏｎ 62ＪａｐａｎＣｅｒｔｉｆｉｃａｔｉｏｎＣｏｒｐｏｒａｔｉｏｎ 62

機能安全の概要 -...

Documents