IEC 61508

IEC 61508は、IEC（国際電気こくさいでんき標準ひょうじゅん会議かいぎ）が制定せいていした基本きほん安全あんぜん規格きかく(basic safety publication)であり、プロセス産業さんぎょうにおける電気でんき・電子でんし・プログラマブル電子でんし(Electrical・Electronic・Programmable Electronic)（以下いか、E/E/PE）機能きのう安全あんぜんに関かんする国際こくさい規格きかくである。E/E/PEの機能きのうまたは故障こしょう・障害しょうがいによって人命じんめい、環境かんきょう、財産ざいさんに大おおきな影響えいきょうを与あたえるものなどを対象たいしょうとする。機械きかいだけで構成こうせいする装置そうちはIEC 61508の対象たいしょう外がいである。IEC 61508は、プラント、発電はつでん所しょ、機械きかい、鉄道てつどう､医療いりょう機器きき、家電かでんやシステムのリスクを軽減けいげんするために使用しようするコンピュータ・ソフトウェアを含ふくむE/E/PEによる安全あんぜん性せいを高たかめるための機能きのう安全あんぜん規格きかくである。また、これらの設計せっけい製造せいぞう・運用うんよう保守ほしゅ・改修かいしゅう廃はい却に至いたる全ぜん製品せいひん生存せいぞん期間きかん（ライフサイクル）における安全あんぜん評価ひょうかの要求ようきゅうや、組織そしきの機能きのう安全あんぜん能力のうりょく審査しんさ、安全あんぜん評価ひょうか者しゃの独立どくりつ性せい及および従事じゅうじ者しゃの資質ししつ(competency)を記述きじゅつしている。また，確率かくりつ論ろん的てき危険きけん（リスク）解析かいせきなどによって，全体ぜんたいシステムのリスクが許容きょようリスクを下回したまわるようにするために，当該とうがい安全あんぜん装置そうちの安全あんぜん度ど水準すいじゅん（SIL）を決定けっていする。安全あんぜんに関かかわる故障こしょう・障害しょうがいを，システマティック故障こしょう（決定けってい論ろん的てき原因げんいん故障こしょう）と、確率かくりつ論ろん的てきで無作為むさくいなランダムハードウェア故障こしょうに分類ぶんるいし、安全あんぜん度ど水準すいじゅん（SIL:Safety Integrity Level）に応おうじたリスク低減ていげん策さく（対策たいさく）を行おこなう。

2000年ねんにIEC61508の第だい1.0版はんが制定せいていされた。また，2010年ねんにIEC61508の第だい2.0版はんが制定せいていされた。国内こくないではJIS C 0508「電気でんき・電子でんし・プログラマブル電子でんし安全あんぜん関連かんれん系けいの機能きのう安全あんぜん」として、IEC61508のFDIS、CDV段階だんかいのものを1999年ねんに制定せいていしている。2012年ねんにJIS C 0508の第だい2.0版はんが制定せいていされた。

規格きかくの概要がいよう

IEC 61508規格きかく書しょは、Part1からPart7で構成こうせいされ、IEC61508-1,IEC61508-2,IEC61508-3,IEC61508-4が規定きてい、IEC61508-5,IEC61508-6,IEC61508-7が参考さんこうとなっている^[1]。

IEC61508-1：一般いっぱん要求ようきゅう事項じこう

　　マネジメントと文書ぶんしょ化かの規定きてい

IEC61508-2：電気でんき・電子でんし・プログラマブル電子でんし安全あんぜん関連かんれん系けいに対たいする要求ようきゅう事項じこう

　　ハードウェア（一部いちぶ、システムやソフトウェア関連かんれんも含ふくむ）

IEC61508-3：ソフトウェア要求ようきゅう事項じこう
IEC61508-4：用語ようごの定義ていぎ及および略語りゃくご
IEC61508-5：安全あんぜん度ど水準すいじゅん決定けってい方法ほうほうの事例じれい
IEC61508-6：Part 2及およびPart 3の適用てきよう指針ししん
IEC61508-7：技術ぎじゅつ及および手法しゅほうの概観がいかん

機械きかい、電気でんき、ソフトウェアの分野ぶんやにまたがるため、規格きかくを読よみ解とくには多様たような専門せんもん分野ぶんやの知識ちしきが必要ひつようである。また、規格きかく書しょの中なかで紹介しょうかいされる技法ぎほうは参考さんこう文献ぶんけんが古ふるかったり、入手にゅうしゅ困難こんなんな場合ばあいがあるのは他たの国際こくさい規格きかくと同様どうよう、審議しんぎに日本にっぽんからどれくらい意見いけんを出だしたかによる。規格きかく書しょの理解りかいを助たすける日本語にほんごの文献ぶんけんはある^[2]。しかし、機械きかい、電気でんき、ソフトウェアのそれぞれ別べつの視点してんからである^[3]^[4]。これは日本語にほんご固有こゆうの問題もんだいでなく、原子力げんしりょく、化学かがくプラント、ロボット、自動車じどうしゃなど、安全あんぜんの全まったく異ことなる基準きじゅんを持もった対象たいしょうの電気でんき・ソフトウェアだけ同一どういつの基準きじゅんを適用てきようするのは困難こんなんだからである^[5]。

IEC 61508は、グループ安全あんぜん規格きかくであるとする日本にっぽん国内こくないの解説かいせつ書しょがあるが、IEC61508-1,IEC61508-2,IEC61508-3,IEC61508-4はIEC GUIDE 104に基もとづく基本きほん安全あんぜん規格きかく(basic safety publication(s))である^[6]。また、IEC 61508は、A規格きかくではない。ISO/IEC GUIDE 51の規格きかく体系たいけいの中なかで、A規格きかく、B規格きかく、C規格きかくという定義ていぎがされているが、IEC 61508はIEC GUIDE 104の規格きかく体系たいけいに基もとづく。

IEC 61508は、「state of the art」の技術ぎじゅつを製品せいひんに適用てきようし、ランダムなハードウェア故障こしょうを検知けんちして安全あんぜん状態じょうたいにすることによって安全あんぜん性せいを高たかめることを基本きほん的てきな考かんがえとしている。

安全あんぜん性せいの目標もくひょうとして、安全あんぜん度ど水準すいじゅん（SIL）が定義ていぎされており、以下いかのように規定きていされている。

低てい頻度ひんどモードにおける安全あんぜん度ど水準すいじゅん（SIL）

SIL	作動さどう要求ようきゅう当あたりの設計せっけい上じょうの機能きのう失敗しっぱい平均へいきん確かく率りつ [単位たんいなし]
SIL 1	10⁻¹ 未み満まん 10⁻² 以上いじょう
SIL 2	10⁻² 未み満まん 10⁻³ 以上いじょう
SIL 3	10⁻³ 未み満まん 10⁻⁴ 以上いじょう
SIL 4	10⁻⁴ 未み満まん 10⁻⁵ 以上いじょう

高こう頻度ひんどモードにおける安全あんぜん度ど水準すいじゅん（SIL）

SIL	安全あんぜん機能きのうの危険きけん側がわ失敗しっぱいの平均へいきん頻度ひんど（PFH）［1/h］
SIL 1	10⁻⁵ 未み満まん 10⁻⁶ 以上いじょう
SIL 2	10⁻⁶ 未み満まん 10⁻⁷ 以上いじょう
SIL 3	10⁻⁷ 未み満まん 10⁻⁸ 以上いじょう
SIL 4	10⁻⁸ 未み満まん 10⁻⁹ 以上いじょう

規格きかくで定義ていぎする原因げんいん別べつの故障こしょうの種類しゅるい

規格きかくで定義ていぎする原因げんいん別べつの故障こしょうの種類しゅるいは以下いかの２ふたつである。また、原因げんいん別べつの分類ぶんるい以外いがいに、共通きょうつう原因げんいん故障こしょうと従属じゅうぞく故障こしょう、安全あんぜん側がわ故障こしょうと危険きけん側がわ故障こしょうなどが定義ていぎされている^[7]。

システマティック故障こしょう（決定けってい論ろん的てき原因げんいん故障こしょう）

ソフトウェア及およびハードウェアの設計せっけい開発かいはつの中なかで、仕様しようの曖昧あいまいさ、設計せっけいの想定そうてい外がい、テスト漏もれを原因げんいんとしたフォールト、不具合ふぐあい、バグを対象たいしょうとした故障こしょうである。 JIS規格きかくでは、｢正ただしい知識ちしき，認識にんしき，対策たいさくの欠如けつじょなどの原因げんいんの決定的けっていてきに関連かんれんする想定そうてい外がいの故障こしょう又または失敗しっぱい。この原因げんいんは，設計せっけいの部分ぶぶん改修かいしゅう，製造せいぞう過程かてい，運転うんてん手順てじゅん，文書ぶんしょ化か又またはその他たの関係かんけいする要因よういんの修正しゅうせいによってだけ除のぞくことができる［IEV 191(IEC 60050-191)-04-19］｣と定義ていぎされている。システマティック故障こしょう対策たいさくは、故障こしょう回避かいひと、故障こしょうコントロール（管理かんりまたは制御せいぎょ）からなる。システマティック故障こしょうは，設計せっけいの誤あやまりや製造せいぞう誤あやまり（ミス）など、主おもに人間にんげんの失敗しっぱい（エラー）によるもので，これに対たいしては全ぜん安全あんぜん循環じゅんかん（ライフサイクル)の16段階だんかい（フェーズ）における安全あんぜん評価ひょうか・対策たいさくにより防ふせぎ、再発さいはつ防止ぼうしのための文書ぶんしょ化かを要求ようきゅうしている。

ランダム故障こしょう

ハードウェアの故障こしょう率りつ曲線きょくせんの中なかで、ランダム故障こしょう期間きかん（コンスタント故障こしょう期間きかん）を対象たいしょうとした故障こしょうである。JIS規格きかくでは、ランダムハードウェア故障こしょうは「時間じかんに関かんして無秩序むちつじょに発生はっせいし，ハードウェアの多様たような劣化れっかメカニズムから生しょうじる故障こしょう」と定義ていぎされている。主おもにハードウェアに関かんし，部品ぶひんや材料ざいりょうの劣化れっか、製品せいひんのばらつきなどにより起おこるものであり，これに対たいしては，冗長じょうちょう化かや多様たよう化かによるシステムの信頼しんらい性せい向上こうじょうや自己じこ診断しんだん機能きのう設置せっちなどの対策たいさくが必要ひつようである。ソフトウェアの故障こしょうはすべてシステマティック故障こしょうであり、ランダム故障こしょうは存在そんざいしないというのが規格きかくの考かんがえである。ランダムハードウェア故障こしょうは回避かいひできないため、ランダムハードウェア故障こしょう対策たいさくは、故障こしょうコントロール（管理かんりまたは制御せいぎょ）からなる。ランダムハードウェア故障こしょうを「安全あんぜん側がわ故障こしょう」と「危険きけん側がわ故障こしょう」、さらに「検知けんちできない故障こしょう」と「検知けんちできる故障こしょう」で分類ぶんるいし、最もっとも危険きけんである「危険きけん側がわ故障こしょう、かつ検知けんちできない故障こしょう」が目標もくひょうとする安全あんぜん度ど水準すいじゅんで規定きていするPFD、PFH未満みまんであることを証明しょうめいするエビデンスを残のこす。

規格きかく要求ようきゅう

規格きかく要求ようきゅうは、安全あんぜん機能きのうの定義ていぎ～実装じっそうとトレーサビリティ、安全あんぜん度ど(安全あんぜん完全かんぜん性せい)の定量ていりょう化かと目標もくひょう値ち達成たっせいのエビデンス、責任せきにんの明確めいかく化かや検証けんしょう可能かのう性せい等とうのための文書ぶんしょ化かの3つである。安全あんぜん度どの目標もくひょう値ち達成たっせいをするためには、定性的ていせいてきな故障こしょう対策たいさくと定量ていりょう的てきな故障こしょう対策たいさくが必要ひつようであり、故障こしょう回避かいひ、故障こしょうコントロール（管理かんりまたは制御せいぎょ）からなる。システマティック故障こしょう（決定けってい論ろん的てき原因げんいん故障こしょう）およびランダム故障こしょうの対策たいさくとして規格きかくが要求ようきゅうする内容ないようは大おおまかに6つである。さらに上記じょうきの対策たいさくを確実かくじつにするために，組織そしきの機能きのう安全あんぜん評価ひょうか能力のうりょくの診断しんだんや，組織そしきを構成こうせいする個人こじんの資質ししつあるいは行動こうどう特性とくせい(compitency)を包含ほうがんする形かたちとなっている。

安全あんぜんライフサイクル(プロセス)
マネジメント
文書ぶんしょ化か
検知けんちできない危険きけん側がわ故障こしょう率りつ及および安全あんぜん度ど水準すいじゅん(SIL)の算出さんしゅつと目標もくひょう値ち達成たっせい
機能きのう試験しけん
技法ぎほうの適切てきせつな適用てきよう（構造こうぞう化か設計せっけい、モジュール化か、故障こしょう検出けんしゅつ技法ぎほう、故障こしょう挿入そうにゅう試験しけん、故障こしょう解析かいせき技法ぎほう、コーディング基準きじゅんなど）

IEC 61508では，安全あんぜん関連かんれん系けいのハードウェア設計せっけいに当あたって，自己じこ診断しんだん技法ぎほうや，各種かくしゅ故障こしょうを抑制よくせいする技法ぎほう，さらに，共通きょうつう原因げんいん故障こしょうへの対策たいさくなど多数たすうの具体ぐたい的てきな最良さいりょうの経験けいけん（ベストプラクティス）を提示ていじしていて，各々おのおのをSILに応おうじて採用さいようするとよいとしている。ソフトウェアの故障こしょう（不具合ふぐあい）は決定けってい論ろん的てき原因げんいん故障こしょうである。ソフトウェアでは故障こしょう（不具合ふぐあい）は製作せいさく時じに組くみ込こまれており，一般いっぱんのランダムハードウェア故障こしょうに対たいする確率かくりつ論ろん的てきなアプローチを採用さいようできない｡

IEC61508では，ソフトウェアに対たいして，安全あんぜんライフサイクルにおいてSILに応おうじて指定していするソフトウェア技法ぎほうの採用さいようを推奨すいしょうまたは強つよく推奨すいしょうしている。

機能きのう安全あんぜんマネジメント

機能きのう安全あんぜんマネジメントは、ISO9001に類似るいじしているが、以下いかのような違ちがいがある。

責任せきにんと権限けんげん

機能きのう安全あんぜんマネジメントに関かんする規格きかく要求ようきゅうを整理せいりすると、以下いかの責任せきにんと権限けんげんの分担ぶんたんが必要ひつようである^[8]。

責任せきにん（responsible）

　　組織そしきは組織そしき全体ぜんたいの責任せきにん者しゃ、プロジェクト全体ぜんたいの責任せきにん者しゃと、各かくフェーズの責任せきにん者しゃを決定けっていする。兼務けんむしてもよい。責任せきにん者しゃは、機能きのう安全あんぜん管理かんりについては専門せんもん知識ちしきを有ゆうする人員じんいんに委任いにん・付託ふたくすることが望のぞましい。

機能きのう安全あんぜん管理かんり（functional safety management）

　　責任せきにん者しゃは機能きのう安全あんぜんの専門せんもん知識ちしきを有ゆうする機能きのう安全あんぜん管理かんり者しゃを任命にんめいする。規格きかくでは責任せきにん者しゃが機能きのう安全あんぜん管理かんり者しゃと兼務けんむすることを禁止きんししていないが、機能きのう安全あんぜん管理かんり者しゃは少すくなくともプロジェクト責任せきにん者しゃと同格どうかくの地位ちいを有ゆうする別人べつじんとする方ほうが望のぞましい。機能きのう安全あんぜん管理かんり者しゃは、機能きのう安全あんぜんアセッサーと機能きのう安全あんぜん監査かんさ者しゃを任命にんめいする。

機能きのう安全あんぜんアセスメント（functional safety assessment）

　　機能きのう安全あんぜん管理かんり者しゃは機能きのう安全あんぜんの専門せんもん知識ちしきを有ゆうし、目標もくひょうSILに応おうじて独立どくりつ性せいが要求ようきゅうされる機能きのう安全あんぜんアセッサーを任命にんめいする。通常つうじょう、責任せきにん者しゃや機能きのう安全あんぜん管理かんり者しゃ、設計せっけい開発かいはつ部ぶの人員じんいんは、機能きのう安全あんぜんアセッサーを担当たんとうしない。少すくなくとも品しな証しょう部ぶの管理かんり職しょくや機能きのう安全あんぜんの専門せんもん組織そしきの管理かんり職しょく、機能きのう安全あんぜんの認証にんしょう機関きかんが担当たんとうする。対象たいしょう製品せいひんの機能きのう安全あんぜんの達成たっせいをアセスメント（評価ひょうか）する。

機能きのう安全あんぜん監査かんさ（functional safety audit）

　　機能きのう安全あんぜん管理かんり者しゃは機能きのう安全あんぜんのプロセスを理解りかいし、プロセスでの不備ふびを指摘してきする機能きのう安全あんぜん監査かんさ者しゃを任命にんめいする。組織そしき内部ないぶのプロジェクト関係かんけい者しゃ以外いがいの人員じんいんが担当たんとうしてもよいし、認証にんしょう機関きかんの機能きのう安全あんぜんアセッサーが担当たんとうしてもよい。

担当たんとう（妥当だとう性せい確認かくにん担当たんとうを含ふくむ）および、検証けんしょう（妥当だとう性せい確認かくにん検証けんしょうを含ふくむ）

　　プロジェクト責任せきにん者しゃは機能きのう安全あんぜんライフサイクルにおける各かくフェーズの責任せきにん者しゃ、担当たんとう者しゃおよび検証けんしょう者しゃを任命にんめいする。担当たんとう者しゃと検証けんしょう者しゃは別人べつじんである必要ひつようがある。機能きのう安全あんぜんに精通せいつうしているほうが望のぞましい。

コンピテンシー（人員じんいんの能力のうりょく証明しょうめい）

機能きのう安全あんぜんマネジメントに関かかわる人員じんいんは、その役割やくわりに応おうじて機能きのう安全あんぜんに精通せいつうしていることを証明しょうめいしなければならない。一般いっぱんには、認証にんしょう機関きかんや団体だんたいで行おこなわれる。トレーニングコースを受講じゅこうして証明しょうめいする。日本にっぽんでは、一般いっぱん財団ざいだん法人ほうじん日本にっぽん規格きかく協会きょうかい^[9]やTÜV Rheinland社しゃ、TÜV SÜD社しゃで、トレーニングが行おこなわれている。

検知けんちできない危険きけん側がわ故障こしょう率りつ及および安全あんぜん度ど水準すいじゅん(SIL)の算出さんしゅつと目標もくひょう値ち達成たっせい

機能きのう試験しけん

技法ぎほうの適切てきせつな適用てきよう

認証にんしょう機関きかんによる規格きかく適合てきごう認証にんしょうプロセス

認証にんしょう機関きかんによる機能きのう安全あんぜん規格きかく適合てきごう認証にんしょうは、製品せいひん認証にんしょうやプロセス認証にんしょうなどがある。対象たいしょう製品せいひんの目標もくひょうSILがSIL3以上いじょうにおいては、認証にんしょう機関きかんよる審査しんさを行おこなう。

製品せいひん認証にんしょう

製品せいひん認証にんしょうは、認証にんしょう機関きかんによって多少たしょうの違ちがいがあると思おもわれるが、一いち例れいを以下いかに示しめす ^[10] ^[11] ^[12] 。

コンセプト審査しんさフェーズとメインインスペクションフェーズ、認証にんしょうフェーズに分わかれる。

コンセプト審査しんさフェーズ

コンセプト審査しんさフェーズでは、安全あんぜん計画けいかく書しょ、V&V計画けいかく書しょ、安全あんぜん要求ようきゅう仕様しよう書しょ、安全あんぜんコンセプト説明せつめい書しょの4文書ぶんしょを提出ていしゅつする。

安全あんぜん計画けいかく書しょ（Safety Plan）

　　プロジェクトの機能きのう安全あんぜんマネジメント（組織そしき、担当たんとう責任せきにん者しゃの適正てきせい能力のうりょく、安全あんぜん設計せっけいでの導入どうにゅう方策ほうさくと技法ぎほう）を具体ぐたい的てきに記述きじゅつしたもの

V&V計画けいかく書しょ（Verification and Validation Plan）

　　設計せっけいプロセスの各かくフェーズで、どんなツールで、どのような検証けんしょう・妥当だとう性せい確認かくにんを実施じっしし、その結果けっかをどのように文書ぶんしょ化かするのかを記述きじゅつしたもの

安全あんぜん要求ようきゅう仕様しよう書しょ（SRS: Safety Requirement Specification）

　　どんな安全あんぜん状態じょうたい・システム・動作どうさ環境かんきょうを想定そうていしているかなど、必要ひつような安全あんぜん要求ようきゅう仕つかまつ様さまを具体ぐたい的てきに記述きじゅつしたもの

安全あんぜんコンセプト説明せつめい書しょ（SC: Safety Concept）

　　SRSを基もとにどのように安全あんぜん機能きのうを実現じつげんするか（特とくにタイミング、非ひ安全あんぜん関連かんれん部ぶから安全あんぜん関連かんれん部ぶへの影響えいきょう回避かいひ方策ほうさくなど）を具体ぐたい的てきに記述きじゅつしたもの

メインインスペクションフェーズ

認証にんしょうフェーズ

プロセス認証にんしょう

脚注きゃくちゅう

^ JIS C 0508:2012(IEC 61508)
^ 機能きのう安全あんぜんをご存ぞんじですか !? https://www.mhlw.go.jp/file/06-Seisakujouhou-11200000-Roudoukijunkyoku/0000117706.pdf
^ 機能きのう安全あんぜんのバカ https://embeddedsoftwaremanufactory.blogspot.com/2015/10/blog-post.html
^ ETSSを利用りようした機能きのう安全あんぜん対応たいおうスキル判定はんていと教育きょういく訓練くんれん https://jglobal.jst.go.jp/detail?from=API&JGLOBAL_ID=200902276174097507
^ 組込くみこみシステムの安全あんぜん性せい向上こうじょうの勧すすめ（機能きのう安全あんぜん編へん）https://www.ipa.go.jp/sec/publish/tn05-011.html
^ 表紙ひょうしおよびIEC61508-1の1.4節せつやIEC61508-2,3,4に記載きさい
^ JIS C 0508-4:2012(IEC 61508-4)
^ JIS C 0508-1:2012(IEC 61508-1)
^ 一般いっぱん財団ざいだん法人ほうじん日本にっぽん規格きかく協会きょうかい機能きのう安全あんぜん教育きょういく
^ IEC 61508 認証にんしょうについて機能きのう安全あんぜんと認証にんしょうプロセス第だい 1 回かい
^ IEC 61508 認証にんしょうについて機能きのう安全あんぜんと認証にんしょうプロセス第だい 2 回かい
^ IEC 61508 認証にんしょうについて機能きのう安全あんぜんと認証にんしょうプロセス第だい 3 回かい

文書ぶんしょ一覧いちらん

IEC/TR 61508-0 ed1.0 (2005-01) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 0: Functional safety and IEC 61508
IEC 61508-1 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 1: General requirements
IEC 61508-2 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
IEC 61508-3 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements
IEC 61508-4 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definitions and abbreviations
IEC 61508-5 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
IEC 61508-7 ed2.0 (2010-04) Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 7: Overview of techniques and measures