JISC0508-5:2019 電気・電子・プログラマブル電子安全関連系の機能安全

C 0508-5：2019 (IEC 61508-5：2010)

（1）

ページ

序文 ··································································································································· 1

1 適用範囲························································································································· 2

2 引用規格························································································································· 5

3 用語及び定義 ··················································································································· 5

附属書A（参考）リスク及び安全度−一般概念 ·········································································· 6

附属書B（参考）SIL（安全度水準）要求事項を決定するための方法の選択 ···································· 17

附属書C（参考）ALARP及び許容リスクの概念 ······································································· 20

附属書D（参考）SIL（安全度水準）の決定−定量的方法 ···························································· 23

附属書E（参考）SIL（安全度水準）の決定−リスクグラフ法 ······················································ 25

附属書F（参考）防護層解析（LOPA）を用いる半定量的方法 ······················································ 33

附属書G（参考）SIL（安全度水準）の決定−定性的方法−危険事象の過酷度行列 ··························· 38

参考文献 ···························································································································· 40

C 0508-5：2019 (IEC 61508-5：2010)

（2）

まえがき

この規格は，工業標準化法第14条によって準用する第12条第1項の規定に基づき，一般社団法人日本

電気計測器工業会（JEMIMA）及び一般財団法人日本規格協会（JSA）から，工業標準原案を具して日本工

業規格を改正すべきとの申出があり，日本工業標準調査会の審議を経て，経済産業大臣が改正した日本工

業規格である。これによって，JIS C 0508-5:1999は改正され，この規格に置き換えられた。

この規格は，著作権法で保護対象となっている著作物である。

この規格の一部が，特許権，出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は，このような特許権，出願公開後の特許出願及び実

用新案権に関わる確認について，責任はもたない。

JIS C 0508の規格群には，次に示す部編成がある。

JIS C 0508-1 第1部：一般要求事項

JIS C 0508-2 第2部：電気・電子・プログラマブル電子安全関連系に対する要求事項

JIS C 0508-3 第3部：ソフトウェア要求事項

JIS C 0508-4 第4部：用語の定義及び略語

JIS C 0508-5 第5部：安全度水準決定方法の事例

JIS C 0508-6 第6部：第2部及び第3部の適用指針

JIS C 0508-7 第7部：技術及び手法の概観

日本工業規格 JIS

C 0508-5：2019

(IEC 61508-5：2010)

電気・電子・プログラマブル
電子安全関連系の機能安全−

第5部：安全度水準決定方法の事例

Functional safety of electrical/electronic/

programmable electronic safety-related systems-

Part 5: Examples of methods for the determination of safety integrity levels

序文

この規格は，2010年に第2版として発行されたIEC 61508-5を基に，技術的内容及び構成を変更するこ

となく作成した日本工業規格である。

電気及び／又は電子の要素から成るシステムは，その適用分野において，安全機能を果たすために長年

用いられてきた。一般に，プログラマブル電子系（以下，PE系という。）と呼ばれるコンピュータを用い

たシステムは，あらゆる適用分野で，安全以外の機能を達成するために用いられているが，次第に安全機

能の履行にも用いられるようになった。コンピュータシステムの技術が，効果的かつ安全に活用されるた

めには，意思決定を行うための安全の考え方に関する十分な手引書が必須である。

JIS C 0508規格群（以下，この規格群という。）では，電気・電子・プログラマブル電子（以下，E/E/PE

という。）の要素から成るシステムが，安全機能を履行するための全ての安全ライフサイクル作業に対する

包括的な扱い方について規定している。この統一された扱い方は，全ての電気的な安全関連系にわたって，

合理的かつ整合性がある技術指針を展開するためのものである。主な目的の一つは，この規格群を基本と

した適用分野の製品規格などの制定を容易にし，促進することである。

注記1 この規格群を基本とした適用分野の製品規格などの事例を，参考文献（JIS B 9961，JIS C 0511

規格群及びIEC 61800-5-2）に示す。

多くの状況下では，安全性は，幾つかのシステムによって達成され，複数の技術（例機械，液圧，空

気圧，E/E/PE技術）に依存している。したがって，いかなる安全対策においても，個々のシステムの要素

（例センサ，制御機器，アクチュエータ）だけでなく，全システムを構成する全ての安全関連系を考慮

しなければならない。このため，この規格群は，一義的にはE/E/PE安全関連系を対象とするが，更にその

他の技術を基本とした安全関連系を対象とする安全の枠組みも提供する。

様々な適用分野において，E/E/PE安全関連系を使用した応用は，多岐にわたり，多様な潜在危険及びリ

スクが存在することによって生じる複雑さに対応するものとして認識されている。いかなる適用において

も，要求される安全（達成）手段は，その適用に関わる多数の要因に依存する。この規格群は，包括的で

あるため，今後の適用分野の製品規格などの制定版及び既存規格の改正版において，個々の手段の形成を

可能とする。

この規格群は，次の特徴をもつ。

C 0508-5：2019 (IEC 61508-5：2010)

− 安全機能を遂行するためにE/E/PE系を用いる場合の，最初の概念から，設計，実装，運用及び保全を

経て廃却に至る全E/E/PE系及びソフトウェアの安全ライフサイクルフェーズを考慮する。

− 急速に進歩する技術を念頭において作成された枠組みは，将来の展開に対応できる十分な耐力があり，

かつ，包括的である。

− E/E/PE安全関連系に関して，適用分野の製品規格などを開発することを可能とする。この規格群の枠

組み内で適用分野の製品規格などを開発することによって，適用分野内及び適用分野間の一貫性（例

基礎となる原理・原則，用語などの整合性）を高水準に導く。これは，安全上かつ経済上有益である。

− E/E/PE安全関連系に対して要求される機能安全の達成に必要な安全要求仕様を作成する方法論を提

供する。

− 安全度に関わる要求事項の決定に際して，リスクを基本とした方法論を適用する。

− E/E/PE安全関連系によって実装された安全機能に対して，安全度の目標水準を特定するためのSIL（安

全度水準）を導入する。

注記2 この規格群は，いかなる安全機能についてもSILに対する要求事項を規定することはなく，

また，SILを決定する方法についても規定することはない。この規格群は，むしろ，リス

クに基づいた概念的枠組み及び技法の事例を提供するものである。

− E/E/PE安全関連系が実現するSILに対応した目標機能失敗尺度を設定する。

− 単一のE/E/PE安全関連系が実現する安全機能に対して，目標機能失敗尺度の最小値を設定する。これ

らは，運用モードに応じて次による。

・低頻度作動要求モードの場合，作動要求時の危険側機能失敗平均確率（PFDavg）を10−5に設定する。

・高頻度作動要求モード又は連続モードの場合，単位時間当たりの時間平均危険側故障頻度（PFH）

を10−9（1/h）に設定する。

注記3 単一のE/E/PE安全関連系とは，必ずしも単一チャネルアーキテクチャを意味するものでは

ない。

注記4 複雑でないシステムについては，目標安全度をより小さな値で安全関連系の設計をするこ

とが可能であるが，これらの限界値は，現時点で比較的複雑なシステム（例プログラマ

ブル安全関連系）に対して達成できるものを表しているものとみなされている。

− 産業活動で得られた実際の経験に基づく専門的経験及び判断に基づいた決定論的原因フォールトの，

回避及び制御を設定する。決定論的原因故障の発生確率は一般的に数値化はできないが，安全機能に

関連した目標機能失敗尺度は，この規格に規定する要求事項を全て満たしている場合は，達成してい

るとみなしてもよい。

− 決定論的安全度が，特定のSILの要求事項に適合する信頼に対応する要素を提供する，決定論的対応

能力を導入する。

− E/E/PE安全関連系に対して，機能安全を達成するために多岐にわたる原理，技法及び手段を適用する

が，“フェールセーフ”の概念は明示的には使用しない。ただし，“フェールセーフ”及び“固有（本

質）安全”の原理は，この規格の関連する要求事項に適合することを条件として適用してもよい。

適用範囲

1.1

この規格は，次に関する情報を示す。

− リスクの基本概念，及びリスクと安全度との関係（附属書A参照）

− E/E/PE安全関連系のSILの決定を可能にする幾つかの方法（附属書C，附属書D，附属書E，附属書

C 0508-5：2019 (IEC 61508-5：2010)

F及び附属書G参照）

選択される方法は，適用分野及び検討対象の個々の状況によって異なる。附属書C，附属書D，附属書

E，附属書F及び附属書Gに，定量的及び定性的なアプローチについて，基本原理を簡易的に図解して解

説する。これらの附属書は，幾つかの方法の一般原理を説明するもので，完全な説明を提供するものでは

ない。これらの附属書に示す方法を適用する場合には，参考文献を参照することが望ましい。

注記附属書B及び附属書Eに示すアプローチの詳細については，それぞれ，参考文献[5]及び参考文

献[8]を参照。また，追加的なアプローチの説明については，参考文献[6]を参照。

1.2

JIS C 0508-1，JIS C 0508-2，JIS C 0508-3及びJIS C 0508-4は基本安全規格であるが，低複雑度E/E/PE

安全関連系（JIS C 0508-4の3.4.3参照）には適用しない。これらの規格は基本安全規格として，各専門委

員会がIEC Guide 104及びISO/IEC Guide 51に記載する原則に従った規格の作成において用いることを意

図している。さらに，これらの規格は，独立した規格として用いることも意図している。ただし，この規

格の横断的安全機能は，JIS T 0601規格群及びIEC 60601規格群を適用する医療機器には適用しない。

1.3

適用可能な場合，規格の作成において基本安全規格を活用することは，各専門委員会の責務である。

したがって，専門委員会が作成する規格に具体的に引用又は規定されていない場合は，これらの基本安全

規格の要求事項，テスト方法又はテスト条件は適用しない。

1.4

図1に，この規格群の第1部から第7部までの全体の枠組みを示し，さらに，この規格がE/E/PE安

全関連系の機能安全の達成のために果たす役割を示す

注記この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。

IEC 61508-5:2010，Functional safety of electrical/electronic/programmable electronic safety-related

systems−Part 5: Examples of methods for the determination of safety integrity levels（IDT）

なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”こ

とを示す。

C 0508-5：2019 (IEC 61508-5：2010)

図1−この規格群（JIS C 0508規格群）の全枠組み

技術的要求事項

その他の要求事項

第4部

用語の定義

及び略語

第5部

安全度水準の決定の

ための方法の事例

第1部

全安全要求事項の作成

（概念，適用範囲の定義，
潜在危険及びリスク解析）

7.1〜7.5

第1部
文書化

箇条5及び

附属書A

第1部

機能安全の管理

箇条6

第1部

機能安全評価

箇条8

第1部

E/E/PE安全関連系に対する

安全要求仕様

7.10

第1部

E/E/PE安全関連系への

安全要求事項の割当て

7.6

第1部

E/E/PE安全関連系の設置，

引渡し及び安全妥当性確認

7.13〜7.14

第1部

E/E/PE安全関連系の運用，

保全及び修理，部分改修

及び改造，並びに使用終了

又は廃却

7.15〜7.17

第6部

第2部及び第3

部の適用の指針

第7部

技術及び手法

の概観

第3部

安全関連

ソフトウェアの

実現フェーズ

第2部

E/E/PE安全

関連系の

実現フェーズ

C 0508-5：2019 (IEC 61508-5：2010)

引用規格

次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。これらの

引用規格は，記載の年の版を適用し，その後の改正版（追補を含む。）は適用しない。

JIS C 0508-1:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第1部：一般要求事項

注記対応国際規格：IEC 61508-1:2010，Functional safety of electrical/electronic/programmable

electronic safety-related systems−Part 1: General requirements（IDT）

JIS C 0508-4:2012 電気・電子・プログラマブル電子安全関連系の機能安全−第4部：用語の定義及

び略語

注記対応国際規格：IEC 61508-4:2010，Functional safety of electrical/electronic/programmable

electronic safety-related systems−Part 4: Definitions and abbreviations（IDT）

用語及び定義

この規格で用いる主な用語，定義及び略語は，JIS C 0508-4による。

C 0508-5：2019 (IEC 61508-5：2010)

附属書A

（参考）

リスク及び安全度−一般概念

A.1 一般

この附属書では，リスクの基本概念，及びリスクと安全度との関係に関する情報を示す。

A.2 必要なリスク軽減

A.2.0 一般事項

必要なリスク軽減（JIS C 0508-4の3.5.18参照）とは，特定の状況［定性的（注記1参照）又は定量的

（注記2参照）に提示される場合がある。］に対する許容リスクに適合するために，達成するのがよいリ

スクの軽減である。必要なリスク軽減の概念は，E/E/PE安全関連系の安全要求仕様（特に，安全要求仕様

の安全度要求事項の部分）の作成において基本的重要事項である。特定の危険事象に対する許容リスクを

決定する目的は，危険事象の頻度（又は確率）及びその危険事象の特定の結果の両方について，合理的と

みなされるものを明確にすることである。安全関連系は，危険事象の頻度（若しくは確率）及び／又はそ

の危険事象の結果を軽減するように設計する。

注記1 定性的に許容リスクを達成するためには，必要なリスク軽減を確立することが必要になる。

附属書E及び附属書Gでは，定性的な方法について概説している。例えば，必要なリスク軽

減を，数値ではなく，SILの要求事項に組み込んで提示している。

注記2 定量的に許容リスクを提示する例としては，“特定の結果をもたらす危険事象は，108時間の

うちに1回を超える頻度では発生しない。”などがある。

許容リスクは，多くの要因（例傷害の過酷度，危険にさらされる人数，一人又は複数の人が危険にさ

らされる頻度及びさらされる期間）によって異なる。重要な要因は，危険事象にさらされる人の認識及び

見解である。数多くの情報を検討することで，ある特定のアプリケーションに対する許容リスクが何であ

るのかに到達する。検討するのがよい情報には，次のものを含む。

− 一般的な法的要求事項，及び特定のアプリケーションに直接的に関わる法的要求事項

− 安全規制当局による該当する指針

− アプリケーションに関与する様々な関係者との討議及び合意

− 業界規格及び業界指針

− 国際的討議及び合意。特定のアプリケーションに対する許容リスク基準に到達させようとする場合，

国家規格及び国際規格の役割は更に重要になる。

− 諮問機関による最善かつ独立した，工業的，専門的及び科学的助言

E/E/PE安全関連系及び他リスク軽減措置の安全度要求事項を決定する場合，危険事象の許容頻度に適合

するために，アプリケーションに関連するリスクの特性を考慮する必要がある。この許容頻度は，適用す

る国における法的要求事項及び使用者組織が規定する基準によって異なる。考慮する必要がある問題，及

びこれらの問題がE/E/PE安全関連系にどのように適用できるかについて，A.2.1〜A.2.4に示す。

A.2.1 個人リスク

従業員及び一般社会の人々に対して，通常，様々な目標を定義する。従業員の個人リスクの目標は，リ

スクに最もさらされる個人に適用し，全ての作業活動から生じる年間の全リスクとして表すこともある。

C 0508-5：2019 (IEC 61508-5：2010)

この目標は仮定上の人に適用するため，個人が作業に費やす時間の割合を考慮することが必要である。こ

の目標は，リスクにさらされる人に対する全てのリスクに適用し，また，個々の安全機能の許容リスクは，

他のリスクを考慮することが必要となる。

全リスクを規定の目標以下に軽減するという保証は，数多くの方法で確認できる。一つの方法は，リス

クに最もさらされる個人に対する全てのリスクを考慮し，全てのリスクを合計することである。人が多く

のリスクにさらされ，かつ，システム開発に早期の決定が必要な場合，この方法は困難なこともある。一

つの代替的なアプローチは，個人リスクの目標全体の比率を，検討中の各安全機能に割り当てることであ

る。割り当てる比率は，通常，検討中の施設の種類に応じて過去の経験から決定することができる。

個々の安全機能に適用する目標は，また，用いるリスク分析方法の保守的傾向も考慮することが望まし

い。リスクグラフなどの全ての定性的方法は，リスクに寄与する重要なパラメータについて何らかの評価

を含む。リスクをもたらす要因は，危険事象の結果及びその頻度である。これらの要因を決定する際には，

危険事象に対するぜい（脆）弱性，危険事象に影響される人々の数，危険事象が発生するときに人が存在

する確率（すなわち，所在率），危険事象を回避する確率など，多くのリスクパラメータを考慮することが

必要である。

定性的方法は，通常，パラメータが規定の範囲内にあるかどうかを決定することを含む。このような方

法を用いる場合，基準の説明には，リスクに対する目標は超えないという高水準の信頼性があることが必

要である。この説明によって，全てのパラメータの範囲の境界を定めることができ，境界条件における全

てのパラメータを含むアプリケーションは，安全に関する規定のリスク基準を満たすことになる。全ての

パラメータが範囲の最悪状態にあるアプリケーションは極めて少ないため，この範囲の境界を定めるアプ

ローチは必要以上に安全側のものになる。一般社会の人々がE/E/PE安全関連系の故障からのリスクにさら

される場合，通常は目標リスクより更に低めの目標を適用する。

A.2.2 社会的リスク

社会的リスクは，単一事象から複数の死亡事故が起きる可能性がある場合に発生する。このような事象

は，社会政治的反応を引き起こす可能性があるため，“社会的”とされている。重大な結果を引き起こす事

象に対して，一般社会及び組織から大きな反発を招き，場合によっては，このような反発を考慮すること

が必要となる。社会的リスクの基準は，規定の人数に対する致死傷害の最大累積頻度として表すことが多

い。この基準は，通常，F/N図上の1本以上の線の形で規定する。F/N図では，Fは潜在危険の累積頻度，

Nはその潜在危険がもたらす死亡事故数を示す。通常，対数目盛で描いたとき，この関係は直線である。

線の傾きは，組織がより重大な結果の水準に対してリスク回避できる程度による。このリスクに対する要

求事項は，規定の死亡事故数に対する累積頻度がF/N図で表す累積頻度よりも低いことを保証することで

ある（参考文献[7]参照）。

A.2.3 継続的改善

リスクは合理的に実行可能な限り低くしなければならないとするリスク低減の原理を，附属書Cに示す。

A.2.4 リスクプロファイル

特定の潜在危険に対して適用するリスク基準を決定するとき，資産の耐用年数全体にわたりリスクプロ

ファイルを考慮することが必要なこともある。残存リスクは，プルーフテスト又は修理を実施した直後の

低いものから，プルーフテスト直前の最大のものまで様々である。リスクプロファイルは，適用するリス

ク基準を指定する組織によって考慮することが必要なこともある。プルーフテスト間隔が重要な場合は，

プルーフテスト直前の許容可能な最大潜在危険確率を指定するか，又はPFD(t)若しくはPFH(t)が規定の時

間比率（例 90 %）を超えてSIL境界上限よりも低くなるような最大潜在危険率を指定することが適切な

C 0508-5：2019 (IEC 61508-5：2010)

こともある。

A.3 E/E/PE安全関連系の役割

E/E/PE安全関連系は，許容リスクに適合するために，必要なリスク軽減を行うことに寄与する。

安全関連系は，次の両方を行う。

− 管理下にある機器の安全状態を達成するため又は維持するために不可欠な，規定する安全機能を実行

する。

注記1 ここでは，安全関連系が安全機能要求仕様に従って安全機能を実行することを規定してい

る。例えば，安全機能要求仕様は，温度がxに達したときに，弁yが開き，水が容器内に

流入するようにすることを定めている。

− 単独で，又は他のE/E/PE安全関連系若しくは他リスク軽減措置とともに，規定する安全機能に必要な

安全度を達成することを目的としている（JIS C 0508-4の3.5.1参照）。

注記2 ここでは，許容リスクを達成するために，安全機能が安全関連系によって，アプリケーシ

ョンへの適切な信頼度で実行することを定めている。

人が，E/E/PE安全関連系の構成の一部分の場合もある。例えば，人は，EUC（被制御機器）の状態につ

いて，表示画面から情報を受け取り，その情報に基づいて安全処置を実行することもある。

E/E/PE安全関連系は，低頻度作動要求モード，高頻度作動要求モード又は連続モードで運転することが

できる（JIS C 0508-4の3.5.16参照）。

A.4 安全度

安全度は，指定した期間内に，全ての指定した条件下で，規定する安全機能を満たすように実行する安

全関連系の確率として定義する（JIS C 0508-4の3.5.4参照）。安全度は，安全機能を実施する上で安全関

連系の性能に関連する（実行するのがよい安全機能は，安全機能要求仕様で規定することになる。）。

安全度は，次の二つの要素で構成するものとみなす。

− ハードウェア安全度：危険側故障モードに導くランダムハードウェア故障に関わる安全度の部分（JIS

C 0508-4の3.5.7参照）。安全関連のハードウェア安全度の指定した水準への達成度合いは，合理的な

正確さの水準で推定することができ，かつ，要求事項は確率の組合せに関する通常のルールを用いて，

サブシステム間で配分することができる。十分なハードウェア安全度を達成するために，冗長アーキ

テクチャを用いることが必要な場合もある。

− 決定論的安全度：危険側故障モードに導く決定論的原因故障に関わる安全度の部分JIS C 0508-4の

3.5.6参照）。決定論的原因故障による平均故障率は，推定が可能であるとはいえ，設計フォールト及

び共通原因故障から得た故障データからは，故障の分布を予測することは困難であることを示してい

る。このため，特定の状況において故障確率計算（例安全関連防護系の故障確率）は，不確かさが

増大する。したがって，この不確かさをできるだけ小さくするために，最善の技法を選択するように

判断することが必要になる。ランダムハードウェア故障の確率を下げる措置が，決定論的原因故障の

確率に相応の影響を及ぼすわけではないことに注意する。同一ハードウェアの冗長チャネルなどの技

法は，ランダムハードウェア故障の制御には非常に効果的であるが，ソフトウェアエラーなどの決定

論的原因故障を減らすことにはほとんど寄与しない。

C 0508-5：2019 (IEC 61508-5：2010)

A.5 運用モード及びSILの決定

A.5.0 一般事項

運用モードは，安全機能がどのような作動要求頻度での使用を意図するかに関連して，次のいずれかに

よる。

− 低頻度作動要求モード：安全機能に対して行う作動要求頻度が年間当たり1回以下である。

− 高頻度作動要求モード：安全機能に対して行う作動要求頻度が年間当たり1回よりも多い。

− 連続モード：安全機能の作動要求が連続的である。

JIS C 0508-1の表2及び表3では，それぞれの運用モードに対する4段階のSILに関連する目標機能失

敗尺度を詳述する。運用モードについては，A.5.1〜A.5.3で追加説明する。

A.5.1 低頻度作動要求モード適用の安全度及びリスク軽減

E/E/PE安全関連系及び他リスク軽減措置に要求する安全度は，次の全て又はいずれかを確実にするよう

な水準になければならない。

− 安全関連系の作動要求時の機能失敗平均確率は，危険事象の頻度が許容リスクに適合するために必要

な頻度を超えることを防止するのに十分な低さである。

− 安全関連系は，故障の結果を，許容リスクに適合するために必要な程度まで軽減する。

図A.1に，リスク軽減の一般概念を示す。この一般的なモデルでは，次のことを仮定している。

− EUC（被制御機器）及びEUC制御系がある。

− 関係するヒューマンファクタの問題がある。

− 安全保護機能は，次のもので構成されている。

・ E/E/PE安全関連系

・他リスク軽減措置

注記図A.1は，一般原理を図示するために一般化したリスクモデルである。個別のアプリケーショ

ンのためのリスクモデルは，E/E/PE安全関連系及び／又は他リスク軽減措置によって実際に達

成する必要なリスク軽減に関する具体的な方法を考慮して，開発する必要がある。したがって，

その結果生じるリスクモデルは，図A.1に示すものと異なることもある。

図A.1及び図A.2に示す様々なリスクを，次に示す。

− EUCリスク：EUC，EUC制御系及び付随するヒューマンファクタ問題に対して指定された危険事象に

関する既存のリスク。このリスクを決めるとき，指定した安全保護機能は考慮しない（JIS C 0508-4

の3.1.9参照）。

− 許容リスク：現今の社会的価値観に基づいた状況下で受容されるリスク（JIS C 0508-4の3.1.7参照）。

− 残存リスク：この規格では，指定された危険事象に関して，EUC，EUC制御系及びヒューマンファク

タの問題に対して，E/E/PE安全関連系及び他のリスク軽減措置を追加した後でも残存するリスク（JIS

C 0508-4の3.1.8参照）。

EUCリスクは，EUC自体に関わるリスクと相関関係があるが，EUC制御系がもたらすリスク軽減を考

慮している。この規格では，EUC制御系の安全度に関する非合理的な主張を避けるため，主張の範囲に制

限を加えている（JIS C 0508-1の7.5.2.5参照）。

必要なリスク軽減は，全ての安全保護機能を組み合わせることによって達成される。EUCリスクの開始

点から見た，指定する許容リスクを達成するために必要なリスク軽減を，図A.1（低頻度作動要求モード

で動作する安全機能の場合）に示す。

C 0508-5：2019 (IEC 61508-5：2010)

図A.1−リスク軽減−一般概念（低頻度作動要求モードの場合）

図A.2−リスク及び安全度の概念

A.5.2 高頻度作動要求モード適用の安全度

E/E/PE安全関連系及び他リスク軽減措置に要求する安全度は，次の全て又はいずれかを確実にする水準

になければならない。

− 安全関連系の作動要求時の機能失敗平均確率は，危険事象の頻度が，許容リスクに適合するために必

要な頻度を超えることを防止するのに十分な低さである。

− 安全関連系の時間当たりの機能失敗平均確率は，危険事象の頻度が，許容リスクに適合するために必

要な頻度を超えることを防止するのに十分な低さである。

図A.3に，高頻度作動要求モード適用の一般概念を示す。この一般的なモデルでは，次のことを仮定し

ている。

− EUC及びEUC制御系がある。

− 関係するヒューマンファクタの問題がある。

− 安全保護機能は，次のもので構成されている。

・高頻度作動要求モードで作動するE/E/PE安全関連系

・他リスク軽減措置

E/E/PE安全関連系に対する様々な作動要求は，次のように起こる場合がある。

− EUCからの通常の作動要求

必要なリスク軽減に一致した安全関連系

及び他リスク軽減措置の安全度

EUC及び

EUC制御系

必要なリスク軽減

EUC

リスク

他リスク

軽減措置#1

E/E/PE

安全関連

系

他リスク

軽減措置#2

許容リスク

目標

危険事象の

頻度

危険事象の

結果

残存リスク

必要なリスク軽減

実際のリスク軽減

許容リスク

増大する

リスク

EUCリスク

他リスク軽減措置が

扱う部分リスク#2

E/E/PE安全関連系が

扱う部分リスク

他リスク軽減措置が

扱う部分リスク#1

全ての安全関連系及び他リスク軽減措置によって

達成されるリスク軽減

C 0508-5：2019 (IEC 61508-5：2010)

− EUC制御系における故障から生じる作動要求

− 人間の失敗から生じる作動要求

E/E/PE安全関連系で生じる全作動要求に対する全作動要求率が年間に1回を超える場合，重要な係数は，

E/E/PE安全関連系の危険側故障率である。残存する潜在危険の頻度は，E/E/PE安全関連系の危険側故障率

を超えることはない。他リスク軽減措置が危害の確率を軽減する場合，残存する潜在危険の頻度をより低

くすることができる。

図A.3−高頻度作動要求モード適用のリスク図

A.5.3 連続モード適用の安全度

E/E/PE安全関連系及び他リスク軽減措置に要求する安全度は，次の事項を確実にする水準になければな

らない。安全関連系の時間当たりの危険側故障の平均確率は，危険事象の頻度が，許容リスクに適合する

要求頻度を超えることがないように十分低くする。

E/E/PE安全関連系が連続モードで動作しているとき，他リスク軽減措置は，用意したリスク軽減に基づ

いて残存する潜在危険の頻度を軽減することができる。そのモデルを，図A.4に示す。

EUC制御系

ヒューマンファクタ

からの作動要求

EUC制御系からの

作動要求

ヒューマン

ファクタ

EUCからの

作動要求

E/E/PE安全関連系の全作動

要求率が年間1回を超える

E/E/PE安全関連系

E/E/PE安全関連系の

危険側故障率

（E/E/PE安全関連系

危険側故障率）÷

（ORRMによるリスク軽減）

他リスク
軽減措置

（ORRM）

残存する潜在危険

の頻度

EUC

C 0508-5：2019 (IEC 61508-5：2010)

図A.4−連続モード適用のリスク図

A.5.4 共通原因故障及び従属故障

SILを決定する場合，共通原因故障及び従属故障を考慮することが重要である。図A.1，図A.2，図A.3

及び図A.4に示すモデルは，同一の潜在危険に関連する各安全系が完全に独立しているという前提に基づ

いている。この前提に基づかない，多くのアプリケーションがある。その例を，次に示す。

1) EUC制御系内の一つの要素の危険側故障が安全関連系に対する作動要求を引き起こし，かつ，安全

関連系でも同じ原因による故障の要素としても用いる場合。例えば，制御系及び防護系のセンサは

個別のものであるが，共通原因が両者の故障をもたらす場合である（図A.5参照）。

2) 複数の安全関連系において，各安全関連系の中で同一の種類の幾つかの機器を用いており，かつ，

それぞれの安全関連系が同一の共通原因による故障を引き起こす場合。例えば，同一の潜在危険に

対して，同一の種類のセンサを個別の二つの防護系内で用いて，両方のセンサによってリスク軽減

を行う場合である（図A.6参照）。

3) 用いる複数の防護系がそれぞれ多様性をもつが，プルーフテストを同周期で全てのシステムに対し

て実施する場合。このような場合，複数のシステムの組合せによって達成される実際のPFDavgは，

個々のシステムのPFDavgの乗算によって示唆されるPFDavgよりも大幅に高いものになる。

4) 同一の要素を個々に，制御系及び安全関連系の一部として用いる場合。

5) 複数の防護系において，同一の要素を個々に，複数のシステムの一部として用いる場合。

このような場合，共通原因及び従属性の影響を考慮することが必要になる。要求する全体でのリスク軽

減に対して，安全機能の最終的な配置が，必要な決定論的対応能力及び必要な危険側のランダムハードウ

ェア故障率を満足できるかどうかを検討することが望ましい。共通原因故障の影響を決定することは難し

いため，特別な目的のモデル（例フォールトの木又はマルコフモデル）の構築を必要とすることが多い。

高いSILを伴うアプリケーションの場合，共通原因の影響は，より重大になる可能性がある。アプリケ

ーションによっては，共通原因の影響が最小限になるように多様性を組み込むことが必要な場合もある。

ただし，多様性の組込みは，設計，保守及び部分改修のときに問題を引き起こす可能性があることに注意

することが望ましい。多様性の導入は，多様な装置に対する不慣れ及び運用経験の不足によって，エラー

をもたらす場合がある。

E/E/PE安全関連系

E/E/PE安全関連系の

危険側故障率

（E/E/PE安全関連系

危険側故障率）÷

（ORRMのリスク軽減）

他リスク
軽減措置

（ORRM）

残存する潜在危険

の頻度

C 0508-5：2019 (IEC 61508-5：2010)

図A.5−EUC制御系の要素及びE/E/PE安全関連系の要素の共通原因故障（CCF）図

図A.6−二つのE/E/PE安全関連系の間の共通原因故障（CCF）図

EUC制御系

ヒューマンファクタ

からの作動要求

EUC制御系からの

作動要求

ヒューマン

ファクタ

EUCからの

作動要求

E/E/PE安全関連系の全作動

要求率が年間1回を超える

E/E/PE安全関連系#1：

リスク軽減係数（RR1）

E/E/PE安全関連系#1及びE/E/PE安全関連系

#2の共通要素の共通原因故障確率

E/E/PE安全関連系#2：

リスク軽減係数（RR2）

残存する潜在危険

の頻度

EUC

危険側故障頻度＞

［（E/E/PE安全関連系の作動要求率

SRS#1）÷（RR1×RR2）］

CCFによる

EUC制御系

ヒューマンファクタ

からの作動要求

EUC制御系からの

作動要求

ヒューマン

ファクタ

EUCからの

作動要求

E/E/PE安全関連系の全作動

要求率が年間1回を超える

E/E/PE安全関連系

E/E/PE安全関連系の

危険側故障率

危険側故障頻度＞

［（E/E/PE安全関連系危険側故障率）÷

（ORRMによるリスク軽減）］

CCFによる

他リスク
軽減措置

（ORRM）

残存する潜在危険

の頻度

EUC

EUC制御系の要素及び

E/E/PE安全関連系の要素

の共通原因故障（CCF）

CCFを考慮した

複合危険側故障率

C 0508-5：2019 (IEC 61508-5：2010)

A.5.5 複数の防護層を用いたときのSIL

許容リスクを達成するために複数の防護層を用いる場合，システム間及びシステムと作動要求原因との

間に相互関係があることもある。A.5.4に示したように，テストの同期性又は非同期性，及び共通原因故障

に対する懸念は常にある。これらは，全体のリスク軽減要求事項が高い場合又は作動要求頻度が低い場合

に重要な要素となる。安全層間及び安全層と作動要求原因との間の相互関係の評価は複雑であるため，例

えば，許容潜在危険頻度として指定するトップ事象をもつトップダウンアプローチに基づいて，JIS Q

31010に示すような全体論的なモデルの開発が必要になる場合もある。このモデルには，実際のリスク軽

減を計算するための全ての安全防護層，及び実際の事故頻度を計算するための全ての作動要求原因を含め

てもよい。これによって，ミニマルカットセット（すなわち，故障シナリオ）を同定することができ，シ

ステムの配置における弱点（すなわち，単一故障，二重故障などの最短のミニマルカットセット）が明ら

かになり，感度分析を通じたシステム改善が容易になる。

A.6 リスク及び安全度

リスクと安全度との区別をはっきりと認識することが必要である。リスクは，指定する危険事象が起こ

る確率及び結果の尺度である。リスクは，幾つかの異なる状況（EUCリスク，許容リスクに適合するため

に必要なリスク軽減，実際のリスクなど）について評価することができる（図A.1参照）。許容リスクは，

A.2に示す問題を考慮することによって決めることができる。

安全度は，E/E/PE安全関連系及び他リスク軽減措置だけに適用し，指定する安全機能に関して，必要な

リスク軽減を満足のいく形で達成するシステム又は設備のゆう（尤）度（確からしさ）の尺度である。許

容リスクを設定して，必要なリスク軽減を推定することで，安全関連系に関する安全度要求事項を割り当

てることができる（JIS C 0508-1の7.4，7.5及び7.6参照）。

注記割当ては，様々な要求事項を満たすように設計を最適化するために，必然的に反復的なものと

なる。

A.7 SIL及びソフトウェア決定論的対応能力

安全関連系が達成するのがよい広範囲の必要なリスク軽減に対応するためには，安全関連系に割り当て

た安全機能の安全度要求事項を満足する手段として，複数のSILを用意することが有用である。ソフトウ

ェア決定論的対応能力は，安全関連ソフトウェアの一部として実装した安全機能の安全度要求事項を指定

するための基礎として用いる。安全度要求仕様によって，E/E/PE安全関連系のSILを指定することが望ま

しい。

この規格では4段階のSILを規定しており，SIL 4が最高水準で，SIL 1が最低水準である。

4段階のSILに対する目標機能失敗尺度は，JIS C 0508-1の表2及び表3による。これらの表では，低頻

度作動要求モードで運用する安全関連系及び高頻度作動要求モード又は連続モードで運用する安全関連系

の，二つのパラメータを規定している。

注記低頻度作動要求モードで運用する安全関連系の場合，問題とする安全度尺度は，作動要求時に

設計した機能を実行できない確率である。高頻度作動要求モード又は連続モードで運用する安

全関連系の場合，問題とする安全度尺度は，単位時間当たりの時間平均危険側故障頻度である

（JIS C 0508-4の3.5.16及び3.5.17参照）。

C 0508-5：2019 (IEC 61508-5：2010)

A.8 安全要求事項の割当て

E/E/PE安全関連系，他の技術による安全関連系及び他リスク軽減措置への安全要求事項（安全機能要求

事項及び安全度要求事項の両方）の割当てを，図A.7に示す（この図は，JIS C 0508-1の図6と同じであ

る）。安全要求事項の割当てフェーズにおける要求事項は，JIS C 0508-1の7.6に規定している。

E/E/PE安全関連系，他の技術による安全関連系及び他リスク軽減措置に安全度要求事項を割り当てるた

めに用いる方法論は，主として，必要なリスク軽減を数値で明確に指定するか，又は定性的に指定するか

によって異なる。これらのアプローチは，それぞれ，定量的方法及び定性的方法と呼ぶ（この規格の附属

書C，附属書D，附属書E，附属書F及び附属書G参照）。

注記1 安全度要求事項は，割当て前の各安全機能に関連している（JIS C 0508-1の7.5.2.3及び7.5.2.4参照）。
注記2 一つの安全機能を，複数の安全関連系にまたがって割り当ててもよい。

図A.7−E/E/PE安全関連系及び他リスク軽減措置に対する安全要求事項の割当て

A.9 低減系

低減系は，E/E/PE安全関連系など，他の安全関連系の完全故障又は部分故障の場合に作動する。低減系

の目的は，危険事象の頻度ではなく，危険事象に関連する結果を軽減することである。低減系の例には，

防消火システム［火災又はガスの検知及び消火のための動作（例放水）］，自動車内のエアバッグシステ

ムなどが含まれる。

安全度要求事項を決定する場合，結果の過酷度について判断するとき，結果の増分だけを考慮すること

が望ましいと認識するとよい。すなわち，機能が意図したように動作したときに対して，機能が動作しな

各安全機能の割当て及び

関連安全度要求事項

E/E/PE

安全関連系

他リスク
軽減措置

E/E/PE

安全関連系

他リスク
軽減措置

必要なリスク軽減

安全度要求事項を

指定する方法

E/E/PE

安全関連系

必要なリスク軽減

E/E/PE

安全関連系

SIL

（安全度水準）

個々のE/E/PE安全関連系に対する設計要求事項については，

JIS C 0508-2参照。

E/E/PE

安全関連系

C 0508-5：2019 (IEC 61508-5：2010)

附属書B

（参考）

SIL（安全度水準）要求事項を決定するための方法の選択

B.1

一般

この附属書では，SILの決定に用いることができる多くの技法を示す。全てのアプリケーションに適し

た方法はないため，使用者は最も適した方法を選択することが必要になる。最も適切な方法を選択する場

合，次の要素を考慮することが望ましい。

1) 満たすことが必要なリスク受入れ基準。幾つかの技法では，リスクを合理的に実行可能な最低水準

まで軽減していることの実証を要求することが，適切でない場合がある。

2) 安全機能の運用モード。方法によっては，低頻度作動要求モードだけに適している。

3) SILの決定を実施する人の知識及び経験，並びに該当する分野の従来のアプローチによる方法。

4) 導き出された残存リスクに対して，使用者組織が指定する基準を満たしていることを示すための証

拠。方法によっては，定量化した目標に結び付くものもあるが，定性的なアプローチだけとなるも

のもある。

5) 必要に応じて，複数の方法の使用。一つの方法を用いてふるい分けを行い，このふるい分けで高い

SILの必要性が明らかになった場合，別のより厳密なアプローチを用いてもよい。

6) 結果の過酷度。複数の死亡事故を含む結果の場合は，より厳密な方法を選択するのがよい。

7) E/E/PE安全関連系同士の間又はE/E/PE安全関連系と作動要求原因との間における，共通原因の発

生の有無

将来の安全管理のために，いかなる方法を用いる場合でも，全ての仮定を記録することが望ましい。SIL

評価が検証でき，独立した機能安全評価となるように，全ての決定を記録することが望ましい。

B.2

ALARP法

安全機能のSIL要求事項を決定するために，ALARP原理を単独で又は他の方法とともに用いてもよい。

このALARP原理は，定性的方法又は定量的方法に用いてもよい。定性的方法に用いる場合，指定する安

全機能に対するSIL要求事項を，クラスII又はクラスIIIのリスク等級に関連する条件を満たすように発

生頻度が減少するまで，高くする。定量的方法に用いる場合，頻度及び結果を数値で指定し，SIL要求事

項を，より高いSILの実施に関連する追加の初期投資及び運用コストがクラスII又はクラスIIIのリスク

等級に関連する条件を満たすことが示せるまで，高くする（図C.1参照）。

ALARP法を用いる場合，許容できない領域とALARP領域との間の境界を検討する必要がある。

B.3

SIL決定の定量的方法

定量的方法を，附属書Dに示す。この方法は，附属書Cに示すALARP法と併用してもよい。

定量的方法は，単純なアプリケーション及び複雑なアプリケーションの両方に用いることができる。複

雑なアプリケーションの場合，フォールトの木を構築することによって，潜在危険モデルを表すことがで

きる。トップ事象は，通常，一人又は複数の死亡事故とし，トップ事象につながるE/E/PE安全関連系の動

作原因及び故障を表すためのロジックを構成する。制御機能及び保護機能として同一種類の機器を用いる

場合，共通原因のモデリングを可能にするソフトウェアツールの使用が有効である。幾つかの複雑なアプ

C 0508-5：2019 (IEC 61508-5：2010)

リケーションでは，単一故障事象がフォールトの木の複数の場所で起こることがあり，このため，ブール

約分を行うことが必要になる。また，このツールは，トップ事象の頻度に影響する支配的要素を明らかに

する感度分析を容易にする。SILは，許容リスク基準を達成するために必要なリスク軽減を決定すること

によって，確定することができる。

この方法は，連続モード，高頻度作動要求モード及び低頻度作動要求モードで作動する安全機能に適し

ている。この方法では，リスクモデルを各アプリケーションのために専用に設計し，また，各リスク要因

を校正されたリスクグラフで用いるような幅のある数値ではなく，特定の数値を用いて表すため，通常，

低いSILとなる。しかし，定量的方法では，各潜在危険事象の特定のモデルの構築が必要である。モデリ

ングには，技量，ツール及びアプリケーションの知識が必要であり，また，モデルを開発して検証するた

めには，相当の時間がかかることもある。

この方法は，リスクを合理的に実行可能な最低水準まで軽減していることの実証を容易にする。これは，

更なるリスク軽減のための方法を考慮して，追加の設備をフォールトの木モデルに統合し，その後，リス

クにおける軽減を決定し，選択した方法の費用を加味して比較することによって行うことができる。

B.4

リスクグラフ法

定性的なリスクグラフ法を，附属書Eに示す。この方法は，SILをEUC及びEUC制御系に関連するリ

スク要因の知識から決定することを可能にする。この方法では，幾つかのパラメータを導入し，安全関連

系が故障したとき又は利用できないときの危険な状況の性質をそれらのパラメータで説明している。四つ

のセットからそれぞれ一つのパラメータを選択し，次に，安全機能に割り当てるSILを決定するために，

選択したパラメータを組み合わせる。この方法は，機械分野では広い範囲で用いられている（JIS B 9700，

及びJIS B 9705-1の附属書Aを参照）。

この方法は，パラメータの選択が主観的で，かつ，かなりの判断が必要な場合には，定性的になる可能

性がある。残存リスクは，パラメータ値の知識からは計算することができない。組織が，確実に残存リス

クを指定する定量値まで軽減することを求める場合，この方法は適切なものとはいえない。

パラメータの説明には，数値による許容リスク基準に対して，リスクグラフを校正することによって導

き出した数値を用いることができる。この場合，残存リスクは，パラメータのそれぞれに対して用いる数

値から計算することができる。組織が，確実に残存リスクを指定する定量値まで軽減することを求める場

合，これは適切なものになる。経験上，校正したリスクグラフ法を用いることによって，SILは高くなる

ことがあることが明らかになっている。これは，通常，校正を各パラメータの最悪値を用いて実施するた

めである。各パラメータは10の倍数の範囲になっているため，全てのパラメータの範囲の平均値をとるア

プリケーションの場合，SILは許容リスクに必要なものよりも一つ高いものとなる。この方法は，プロセ

ス分野及びオフショア分野で広く用いられている。

リスクグラフ法は，作動要求の原因とE/E/PE安全関連系の故障原因との間の共通原因故障，又は他の防

護層との共通原因の問題を考慮していない。

B.5

防護層解析（LOPA）

この方法の基本は多くの書籍で示されており，また，技法は様々な多くの形式で用いることができる。

SIL決定に用いることができる技法を，附属書Fに示す。

この方法は定量的であり，使用者は結果の過酷度に対する各水準の許容頻度を決定することが必要にな

る。個々の作動要求原因の頻度を軽減する防護層について，数値的な評価を与える。全ての防護層が全て

C 0508-5：2019 (IEC 61508-5：2010)

の作動要求原因に関連しているわけではないため，この技法は更に複雑なアプリケーションに用いること

ができる。防護層に割り当てた数値は，その上の有効数字又は有効な10の倍数の範囲に丸めることができ

る。防護層の数値をその上の有効数字に丸めた場合，この方法が与えるリスク軽減の要求事項及びSIL値

は，平均的に校正したリスクグラフよりも低くなる。

数値の目標を指定する結果の過酷度の水準に割り当てるため，使用者は，残存リスクが企業基準を満た

すことを確信できる。

ここで示したように，この方法は，連続モードで作動する機能に適したものではなく，また，作動要求

の原因とE/E/PE安全関連系の原因との間の共通原因故障を考慮していない。ただし，この方法は，そのよ

うな場合にも適するように調整することができる。

B.6

危険事象の過酷度行列

潜在危険事象の過酷度を見積もる方法を，附属書Gに示す。この方法では，防護層を追加した場合，本

質的に一桁異なるリスク軽減を達成すると仮定している。さらに，防護層は作動要求原因から独立し，ま

た，防護層も互いに独立していると仮定している。ここで示した方法は，連続モードで作動する機能に適

したものではない。この方法は，リスク要因の選択が主観的で，かつ，かなりの判断が必要な場合には，

定性的になる可能性がある。残存リスクは，選択したリスク要因の知識から計算することはできない。組

織が，残存リスクを指定する定量値まで軽減することを求める場合，この方法は適切なものとは言えない。

C 0508-5：2019 (IEC 61508-5：2010)

附属書C
（参考）

ALARP及び許容リスクの概念

C.1 一般

この附属書では，許容リスクを達成するための一つの具体的なアプローチを示す。ここでは，このアプ

ローチの完全な説明を示すのではなく，一般原理を説明することを目的とする。アプローチには，リスク

を更に軽減する全ての方法を便益及び費用の面で考慮し，継続的改善のプロセスを含む。この方法を適用

する場合，引用する参考文献を参照することが望ましい（参考文献[7]参照）。

C.2 ALARPモデル

C.2.1 序文

この箇条では，産業活動によるリスクを抑制する際に用いられる主要な試みを示し，この活動に，次の

いずれかの事項の決定を含めることを示す。

a) リスクが非常に大きい場合，全面的に拒否しなければならないかどうか。

b) リスクが非常に小さい場合，又は非常に小さくなった場合，問題とはならないかどうか。

c) 許容することによる便益に留意し，また，更なる軽減費用を考慮したとき，リスクがa)及びb)に規定

する二つの状態の中間にあり，かつ，リスクを実行可能な最低水準まで軽減しているかどうか。

c)の場合，ALARP原理では，あらゆるリスクは，合理的に実行可能な限り軽減するか，又は合理的に実

行可能な最低の（この略語が“ALARP”である。）水準まで軽減することを要求する。リスクが両極の領

域（すなわち，許容できない領域及び広く一般が受容する領域）の間にあり，ALARP原理を適用する場

合，結果としてのリスクは，該当する特定のアプリケーションの許容リスクとなる。この三つの領域のア

プローチを，図C.1に示す。

規定の水準を超えるリスクは，許容できないリスクとみなし，通常の状況において正当化することはで

きない。

この水準よりも下の領域は，関連するリスクが合理的に実行可能な最低水準になっている場合，活動す

るがことが許される許容領域である。ここでいう“許容（tolerable）”とは，“受容（acceptable）”すること

ではない。“許容（tolerable）”とは，ある便益を得るためにリスクと共存しようとする意欲を示し，同時に

常にリスクを見直し，可能な場合は，リスクを軽減することを期待することである。ここでは，費用及び

必要性を評価するために，又はその他の追加の安全措置について評価するために，費用対効果が明示的又

は暗示的に要求される。リスクが大きければ大きいほど，それに比例して，リスクを軽減するために，よ

り多くの費用がかかることが予想される。許容ぎりぎりの領域では，便益に比べて過大な費用も正当化し

てもよい。ここでのリスクは，定義付けによって，かなり大きなものとなり，公正であるためには，最低

限の軽減を達成するためでも，かなりの努力が正当化されることが必要である。

リスクがあまり大きくない場合，リスクを軽減するための費用は，大きくない分だけ比例して少なくな

り，また，許容領域の下限においては，費用と便益とのバランスが十分なものとなる。

許容領域の下の領域は，我々全てが日常的に経験しているリスクと比較してもリスクが小さい，広く一

般が受容する領域である。リスクがこの領域にある場合には，ALARPを実証するための詳細作業は必要

ないが，リスクがこの水準にとど（留）まることを確実にするように警戒を怠らないことが必要である。

C 0508-5：2019 (IEC 61508-5：2010)

図C.1−許容リスク及びALARP

ALARPの概念は，定性的又は定量的なリスク目標を採用するときに用いることができる。C.2.2では，

定量的なリスク目標のための方法の概要を示す（附属書D及び附属書Fでは，定量的方法について示す。

附属書E及び附属書Gでは，特定の潜在危険に対して必要なリスク軽減を決めるための定性的方法を示す。

これらの方法によって判定する場合は，ALARPの概念を組み込むこともできる。）。

注記 ALARPの詳細は，参考文献[7]に示す。

C.2.2 許容リスク目標

許容リスク目標を得ることができる方法の一つとして，リスクによって起こる可能性がある結果を想定

して列挙し，これらの許容頻度を割り当てる方法がある。結果と許容頻度との突合せは，関係者（例安

全規制当局，リスクを生み出す側及びリスクにさらされる側）間の討議及び合意によって行う。

ALARP概念を考慮するために，結果と許容頻度との突合せは，リスク等級によって行うことができる。

表C.1は，幾つかの結果及び頻度によって4段階のリスク等級（I，II，III，IV）を示す一例である。表C.2

では，ALARPの概念を用いて，それぞれのリスク等級を解説している。すなわち，これらの4段階のリ

スク等級は，図C.1に基づいて説明している。これらのリスク等級の定義に含まれるリスクは，リスク軽

減措置を導入しても存在するリスクである。リスク等級は，図C.1に基づいて，次のとおり説明できる。

− リスク等級Iは，許容できない領域にある。

− リスク等級II及びIIIはALARP領域にあり，リスク等級IIはALARP領域に入ってすぐのところにあ

る。

− リスク等級IVは，広く一般が受容する領域にある。

実際には，それぞれの状況に応じて，又はそれぞれの産業分野で，社会的，政治的及び経済的な要因な

どを広く考慮して，表C.1と同様の表を作成する。それぞれの結果とそれぞれの頻度とを突き合わして，

表にリスク等級を割り当てる。例えば，表C.1における“頻繁に起こる（Frequent）”は，連続的に経験す

ALARP又は
許容領域

（便益が期待できる場合に限
り，リスクを受け入れる）

許容できない領域

広く一般が受容する領域
（ALARPを実証するための詳細
作業は必要ない）

リスクがこのレベルにとどまること
を，確認し続ける必要がある。

リスクが軽減するにつれて，ALARP
を満足するために，リスクを更に軽減
する費用は比例的に少なくなる。
この比例して減少していく概念を，三
角形で示す。

リスク軽減を更に行うことが実際的
に不可能な場合，又は費用と比べて改
善効果が甚だしく不釣合いな場合だ
け，許容可能である。

無視できるリスク

特別な状況を除き，
リスクは正当化できない。

C 0508-5：2019 (IEC 61508-5：2010)

る可能性をもつ事象を示しており，それは年間10回を超える頻度として規定してもよい。結果としての“重

大事故（Critical）”は，一人の死亡及び／又は複数の重傷若しくは重大な職業病とみなしてもよい。

表C.1−事故のリスク分類の例

頻度

結果

大惨事

（Catastrophic）

重大事故

（Critical）

小事故

（Marginal）

無視できる事故

（Negligible）

頻繁に起こる（Frequent）

起こり得る（Probable）

III

場合によって起こる（Occasional）

III

起こりそうにもない（Remote）

III

恐らく起こらない（Improbable）

III

絶対に起こらない（Incredible）

注記1 リスク等級I，II，III及びIVの実際の割当ては分野によって異なり，また，“頻繁に起こる”，“起こり得る”

などは，実際にどのような頻度なのかに依存する。したがって，この表は，今後の使用のための仕様とし
てではなく，表にどのように割り当てることができるかの例として理解することが望ましい。

注記2 この表の頻度からSILを決定する方法を，附属書Dに示す。

表C.2−リスク等級の解説

リスク等級

解説

許容できないリスク

望ましくないリスクであり，リスク軽減が実際的に不可能な場合，又は費用に比べて改善効果が
甚だしく不釣合いな場合だけ，許容可能なリスク

III

リスク軽減にかかる費用が，得ることができる改善効果を超える場合に許容可能なリスク

無視できるリスク

C 0508-5：2019 (IEC 61508-5：2010)

附属書D
（参考）

SIL（安全度水準）の決定−定量的方法

D.1 一般

この附属書では，定量的アプローチを採用した場合にSILをどのように決めることができるかについて

概要を示し，さらに，表C.1などの表に含む情報をどのように用いることができるかを説明する。次の場

合，定量的アプローチは，特に有用である。

− 許容リスクを数値で規定している場合（例ある特定の危害が104年に1回を超える頻度で起こらな

いことが望ましい，と規定している場合）。

− 安全関連系のSILに対して数値の目標を規定している場合。この目標値は，この規格に規定している

（JIS C 0508-1の表2及び表3参照）。

ここでは，この方法の完全な説明を示すのではなく，一般原理を説明することを目的とする。この方法

は，図A.1及び図A.2に示すリスクモデルの場合に，特に推奨できる。

D.2 一般的方法

一般原理を説明するために用いるモデルを，図A.1に示す。この方法における重要な手順を，次に示す。

この手順は，E/E/PE安全関連系に実装する各安全機能に対して実施する必要がある。

− 表C.1に示すような表から，許容リスクを決める。

− EUCリスクを決める。

− 許容リスクを満たすために必要なリスク軽減を決める。

− 必要なリスク軽減を，E/E/PE安全関連系，他の技術による安全関連系，及び他リスク軽減措置に割り

当てる（JIS C 0508-1の7.6参照）。

表C.1には，リスクの頻度，及び頻度に従った許容リスクの数値目標（Ft）を示している。

EUC（EUC制御系及びヒューマンファクタの問題を含む。）に対して存在するリスク（EUCリスク）に

関連する，防護措置が何もない場合の頻度は，定量的リスク評価手法を用いて推定することができる。こ

の防護措置が存在しない場合に危険事象が発生する頻度（Fnp）は，EUCリスクの二つの構成要素のうち

の一つである。もう一つの構成要素は，危険事象の結果である。Fnpは，次によって決めてもよい。

− 類似の状況からの故障率の解析

− 関連データベースからのデータ

− 適切な予測方法を用いた計算

この規格では，EUC制御系について宣言することができる最低故障率に制限を設けている（JIS C 0508-1

の7.5.2.5参照）。EUC制御系の故障率が，これらの最低故障率よりも小さいと宣言する場合は，該当する

EUC制御系を安全関連系とみなし，この規格の安全関連系に対する全ての要求事項に従わなければならな

い。

D.3 計算例

図D.1に，単一安全関連防護系について，目標安全度の計算方法の例を示す。このような状況では，次

の式が成り立つ。

C 0508-5：2019 (IEC 61508-5：2010)

PFDavg≦Ft/Fnp

ここに， PFDavg：安全関連防護系の作動要求時の機能失敗平均確率。これは，

低頻度作動要求モードで動作する安全関連防護系の目標機
能失敗尺度である（JIS C 0508-1の表2及びJIS C 0508-4の
3.5.16参照）。

Ft：許容リスク頻度

Fnp：安全関連防護系の作動要求率

また，図D.1の記号は，次による。

− Cは，危険事象の結果

− Fpは，防護措置を備えている場合のリスク頻度

EUCのFnpは，PFDavg，つまり安全関連防護系のSILに関わっているため，EUCのFnpを決めることは

重要であることが分かる。

全体に必要なリスク軽減が，少なくとも，潜在危険率をFnpからFtまで軽減する単一安全関連防護系に

よって達成する状況に対して，SILを得るために必要な手順（ただし，結果Cが一定で変わらない場合）

を，次に示す（図D.1参照）。

− 防護措置を加えない場合のEUCリスクの頻度要素（Fnp）を決める。

− 防護措置を加えない場合の結果Cを決める。

− 表C.1を用いて，頻度Fnp及び結果Cから許容リスク水準を達成しているかどうかを判断する。表C.1

を用いて，リスク等級Iが導かれた場合は，更にリスク軽減を行う必要がある。リスク等級IV又はIII

は許容リスクになる。リスク等級IIは，更に調査が必要となる。

注記防護措置を加えることなく許容リスクを達成できる場合もあるため，表C.1を用いて，更なる

リスク軽減措置の要否を確認する。

− 必要なリスク軽減（ΔR）を満たすために，PFDavgを決定する。ここで想定しているように，結果Cが

一定して変わらない場合は，次の式が成り立つ。

PFDavg＝(Fp/Fnp)＝ΔR

− PFDavg＝(Fp/Fnp)の場合，SILは，JIS C 0508-1の表2から得ることができる（例 PFDavgが10−2〜10−3

の場合，SILは2となる。）。

図D.1−安全度の割当て−安全関連防護系に関する例

必要なリスク軽減を満たす

安全関連防護系の安全度

EUC及び

EUC制御系

必要なリスク軽減（ΔR）

EUC

リスク

必要なリスク軽減を達成するために

必要な安全関連防護系

許容リスク

目標

危険事象の

頻度

危険事象の

結果

Risk(Rnp)＝Fnp×C

Risk＜Rt

ただし，(Rt＝Ft×C)

Fnp

C 0508-5：2019 (IEC 61508-5：2010)

附属書E

（参考）

SIL（安全度水準）の決定−リスクグラフ法

E.1

一般

この附属書では，リスクグラフ法について示す。リスクグラフ法は，EUC及びEUC制御系に関連した

リスク要因についての知識から，安全関連系のSILを決定できる方法である。この方法は，特に，リスク

モデルが図A.1及び図A.2に示す場合に適用できる。この方法は，定性的及び定量的に用いることができ

る。

このアプローチを採用する場合は，問題を簡易にするため，安全関連系が故障したとき又は利用できな

いときの危険状態の性質を説明するために幾つかのパラメータをまとめて導入している。四つのセットか

らそれぞれ一つのパラメータを選び，選択したパラメータを組み合わせて，安全機能に割り当てて，SIL

を決定する。これらのパラメータは，次の意味をもつ。

− リスクに対して有意な等級付けができる。

− 重要なリスク評価要因を含む。

ここでは，この方法の完全な説明を示すのではなく，一般原理を説明することを目的とする。

E.2

リスクグラフ合成

ここで示す簡易手順では，リスク（R）をある特定の（C）とその（f）との関数［すなわち，R＝F(f, C)］

で表す。

なお，リスク（R）は安全関連系を備えていない場合のリスク，（f）は安全関連系を備えていない場合の

危険事象の頻度であり，（C）は危険事象の結果（結果は，健康及び安全に関連する危害又は環境破壊から

の危害に関係することもある。）である。

危険事象の頻度fは，この場合，次の三つの影響力をもつ要因によって構成していると考える。

− 危険域にさらされる頻度及び時間

− 危険事象を回避する可能性

− 安全関連系を追加しない場合（ただし，他リスク軽減措置の設備は設置している。），危険事象が起こ

る確率。これは，“望ましくない事象の発生確率”と呼ばれている。

ここでは，次の四つのリスクパラメータを生成する。

− 危険事象の結果（C）

− 危険域にさらされる頻度及び時間（F）

− 危険事象の回避に失敗する可能性（P）

− 望ましくない事象の発生確率（W）

これらのリスクパラメータは，表E.1に示すように定性的に，又は表E.2に示すように定量的に決定し

てもよい。ただし，表E.2の各パラメータと関連する数値とを決定するために，校正プロセスが必要にな

ることもある。

E.3

校正

校正プロセスの目的を，次に示す。

C 0508-5：2019 (IEC 61508-5：2010)

− SILを評価するチームがアプリケーションの特性に基づき客観的判断ができるように，全てのリスク

パラメータを記載する。

− アプリケーションに対して選択するSILが企業リスク基準に従い，かつ，他のリスク源からのリスク

を考慮することを確実にする。

− リスクパラメータを選択するプロセスが検証できるようにする。

リスクグラフの校正は，数値をリスクグラフパラメータに割り当てるプロセスである。これは，既存の

プロセスリスクの評価の基礎となり，また，検討中の安全計装機能（SIF，計装による安全機能）が要求す

る安全度の決定を可能にする。各パラメータは，組み合わせて適用し，ある特定の安全機能がない場合に

存在するリスクに対して等級付けた評価が得られるように，値の範囲を割り当てる。これによって，安全

機能における信頼度の尺度を決定する。リスクグラフは，リスクパラメータの特定の組合せをSILに関連

付ける。リスクパラメータとSILとの組合せの関係は，特定の潜在危険に関連する許容リスクを考慮する

ことによって確定する。

リスクグラフの校正を検討する場合，所有者の期待と規制当局の要求事項との両方から生じるリスクに

関連する要求事項を考慮することが重要である。生命に対するリスクは，A.2及び附属書Cに示すように，

多くの方法で考慮することができる。

個人の死亡事故の頻度を指定する最大値まで軽減する必要がある場合は，このリスク軽減の全てを単一

のE/E/PE安全関連系に割り当てることはできない。リスクにさらされる人は，他のリスク源から生じる広

範なリスク（例落下，火災及び爆発のリスク）にさらされる。校正では，個人がさらされる潜在危険の

数，及びリスクにさらされる合計時間を考慮することが必要になる。

要求するリスク軽減の範囲を考慮する場合，組織は，死亡事故を回避するための費用の増加に関連する

基準を設けてもよい。これは，より高いSILに関連する追加ハードウェア及びエンジニアリングの年間費

用を，リスク軽減の増分で除することによって算出することができる。死亡事故を回避する費用の増分が

事前に決定した基準よりも小さい場合，追加のSILが正当化される。

それぞれのパラメータ値を規定する前に，この問題を考慮することが必要である。パラメータの多くに，

ある範囲を割り当てる（例特定のプロセスの予想作動要求率が特定の10年間に年間複数回の作動要求

がある場合には，W3を用いる場合がある。）。同様に，次の10年間で年間複数回の作動要求がある場合に

は，W2を適用する場合があり，また，その次の10年間で年間複数回の作動要求がある場合には，W1を適

用する場合がある。特定の範囲を各パラメータに与えることは，チームが特定のアプリケーションのため

にどのパラメータ値を選択するか決定するための助けとなる。リスクグラフを校正するために，値又は値

の範囲を各パラメータに割り当てる。次に，それぞれのパラメータの組合せに関連するリスクを，定義し

たリスク基準に対して評価する。次に，それぞれのパラメータ値の全ての組合せについて，定義したリス

ク基準を達成するため，パラメータの記載を修正する。表E.2に示す校正の例では，許容リスクを達成す

るため，それぞれのW係数と関連する要求範囲とを修正できるように，“D”係数を導入している。場合

によっては，検討中の種々のアプリケーションに見合うように，パラメータ値に反映するため，他のリス

ク要因と関連する範囲との修正が必要となる場合もある。校正は反復的プロセスであり，パラメータ値の

全ての組合せについて，指定するリスク受入れ基準を満たすまで継続する。

校正作業は，特定のアプリケーションのSILを決定するたびに実施する必要はない。通常，組織は，類

似の潜在危険について一度だけ実施することが望ましい。校正の間に実施した最初の仮定が特定のプロジ

ェクトに対して無効であると判明した場合は，特定のプロジェクトについての調整が必要になる場合もあ

る。

C 0508-5：2019 (IEC 61508-5：2010)

パラメータの割当てを行ったとき，パラメータの値をどのように導き出したかについての情報を入手で

きることが望ましい。

この校正プロセスは，安全に関する責任を負う組織内の上級レベルが合意することが重要である。達成

される全ての安全は，この校正プロセスの決定事項によって決定される。

一般に，リスクグラフでは，作動要求源とE/E/PE安全関連系内で用いる機器との間の従属故障の可能性

を考慮することは難しい。したがって，E/E/PE安全関連系の有効性の過大評価につながる可能性がある。

年間1回を超える高い作動要求率を含めてリスクグラフを校正する場合，リスクグラフを用いて導く要求

SILは，必要なものよりも高くなる場合があるため，他の技法を用いることを推奨する。

E.4

他のリスクパラメータの追加

これまでに示したリスクパラメータは，広範囲のアプリケーションを取り扱うのには十分に包括的であ

るが，追加のリスクパラメータの導入を必要とする側面をもつアプリケーションもある。例えば，EUC及

びEUC制御系における新しい技術の使用などがある。追加のパラメータは，必要なリスク軽減（図A.1

参照）をより正確に推定するためにある。

E.5

リスクグラフの実行−一般スキーム

リスクパラメータを組み合わせることによって，図E.1に示すようなリスクグラフを作成することがで

きる。図E.1において，次の式が成り立つ。

CA＜CB＜CC＜CD

FA＜FB

PA＜PB

W1＜W2＜W3

図E.1のリスクグラフについて，次に説明する。

− リスクパラメータC，F及びPを用いて，多数の出力X1，X2，X3 … Xnを導く（正確な数は，リスク

グラフが取り扱う特定のアプリケーション領域によって決まる。）。図E.1では，より重大な結果に対

して，追加の重み付けを適用しないときの状況を示している。これらの各出力に対して，三つの尺度

（W1，W2及びW3）のうちの一つに対応付ける。各出力に割り当てた尺度は，検討中のE/E/PE安全関

連系に必要な安全度の指標となる。実際には，特定の結果に対して，必要なリスク軽減を提供するた

めには，単一のE/E/PE安全関連系では不十分な場合がある。

− W1，W2又はW3に対応付けることによって，他リスク軽減措置の寄与が可能になる。W1，W2及びW3

の尺度のオフセット機能は，他の措置からの三つの異なる水準のリスク軽減を考慮するためにある。

すなわち，尺度W3は他の措置が寄与する最低のリスク軽減（すなわち，望まれない事象の最高の発

生確率），尺度W2は中程度のリスク軽減，尺度W1は最大のリスク軽減を提供する。リスクグラフの

特定の中間出力（すなわち，X1，X2 …又はX6）及び特定のW尺度（すなわち，W1，W2又はW3）に

対して，リスクグラフの最終出力は，E/E/PE安全関連系のSIL（すなわち，1，2，3又は4）を示し，

かつ，このSILがこのシステムが要求するリスク軽減の尺度となる。このリスク軽減は，W尺度を決

めるために考慮した他の措置（例他技術による安全関連系及び他リスク軽減措置）によって達成す

るリスク軽減とともに，特定の状況に必要なリスク軽減を与える。

図E.1に示すパラメータ（CA，CB，CC，CD，FA，FB，PA，PB，W1，W2，W3）及びこれらの重み付けは，

各々の特定の状況又は産業分野別で正確に定義することが必要になる場合がある。また，アプリケーショ

C 0508-5：2019 (IEC 61508-5：2010)

ン分野別の国際規格において定義することが必要になる場合もある。

E.6

リスクグラフの例

表E.1に示すデータ例に基づくリスクグラフの実行例を，図E.2に示す。リスクパラメータC，F及びP

を用いると，八つの出力のうちの一つに当てはまる。これらの出力のそれぞれを，三つの尺度（W1，W2

及びW3）のうちの一つに対応付ける。これらの尺度の各点（a，b，c，d，e，f，g及びh）は，安全関連

系に必要なリスク軽減の指標となる。

図E.1−リスクグラフの一般スキーム

リスク軽減評価の

開始点

一般化された分類

（実際の実行において，配列はリス

クグラフが取り扱うアプリケーシ

ョン固有のものとなる）

C 結果のリスクパラメータ

危険にさらされる頻度及び時間のリスクパラメータ

潜在危険回避に失敗する可能性のリスクパラメータ

W 望ましくない事象の発生確率

--- 安全要求事項はない

a 特別な安全要求事項はない

b 単一のE/E/PE安全関連系では不十分

1, 2, 3, 4

SIL

C 0508-5：2019 (IEC 61508-5：2010)

結果のリスクパラメータ

危険にさらされる頻度及び時間のリスクパラメ
ータ

潜在危険を回避する可能性のリスクパラメータ

望ましくない事象の発生確率

a〜h 安全関連系に必要なリスク軽減の評価結果

必要な最低限
のリスク軽減

SIL

−

安全要求事項はない

特別な安全要求事項はない

b，c

e，f

単一のE/E/PE安全関連系では
不十分

図E.2−リスクグラフの例（一般原理だけを示す）

a，b，c，d，e，f，g，
及びhは最低限の必要
なリスク軽減を表して
いる。最低限の必要な
リスク軽減とSILとの
関係をこの表に示す。

リスク軽減評価

の開始点

C 0508-5：2019 (IEC 61508-5：2010)

表E.1−リスクグラフに関連するデータ例（図E.2参照）

リスクパラメータ

分類

危険事象の結果
（C）

軽傷

この分類方法は，人の死傷を扱うために作成した。
環境又は物的な損傷については，別の分類方法を作
成する必要がある。

C1，C2，C3及びC4の解釈には，事故の結果及び通

常の治癒を考慮する。

一人若しくは複数が受ける永久
的な重傷，又は一人の死亡

複数の死亡

多数の人の死亡

危険域にさらされ
る頻度及び時間
（F）

まれに又はたびたび，危険域に
さらされる

コメント1を参照。

頻繁に又は永続的に，危険域に
さらされる

危険事象を回避す
る可能性（P）

条件によって回避可能

このパラメータは，次のことを考慮する。

− プロセスの運用［監督しているか（すなわち，熟練

者による運用か，非熟練者による運用か）又は監督
していないか］

− 危険事象の進行速度（例突然か，速いか又はゆっ

くりか）

− 危険の認識の容易さ（例直ちに認識できるか，技

術的手段によって検出できるか，又は技術的手段な
しで検出できるか）

− 危険事象の回避（例避難路が確保できるか，でき

ないか，又は状況によってはできるか）

− 実際の安全経験度（同一又は類似のEUCによる経

験の有無）

ほとんど回避不可能

望ましくない事象
の発生確率（W）

発生確率は極少である。発生は
少数回しかありそうにない。

W係数の目的は，安全関連系（E/E/PE又は他の技

術）を加えずに，他リスク軽減措置を含む状況にお
いて，望ましくない事象の発生頻度を評価すること
である。

同一又は類似のEUC及びEUC制御系についての経
験がほとんどないか，又は全くない場合，W係数の
評価は計算によって行ってもよい。このような場
合，最悪の場合を予測する。

発生確率は僅かである。発生は
多くはないが何回かありそうで
ある。

発生確率は比較的高い。発生は
頻繁にありそうである。

C 0508-5：2019 (IEC 61508-5：2010)

表E.2−汎用リスクグラフの校正の例

リスクパラメータ

分類

危険事象の結果（C）

死亡事故数

これは，潜在危険にさらされる区域に人がい

るときに存在する人の数を決定し，同定した潜
在危険に対するぜい（脆）弱度を乗じることに
よって計算することができる。

ぜい（脆）弱度は，防護対象となる潜在危険

の性質によって決定する。次の係数を用いるこ
とができる。
V＝0.01 可燃性物質又は有毒物質の少量の放出
V＝0.1 可燃性物質又は有毒物質の多量の放出
V＝0.5 可燃性物質又は有毒物質の多量の放出

があり，更に発火又は高有毒の可能性
が高い

V＝1

崩壊又は爆発

軽傷

0.01＜C≦0.1

0.1＜C≦1.0

C＞1.0

この分類方法は，人の死傷を扱うため
に作成した。

CA，CB，CC及びCDの解釈には，事故

の結果及び通常の治癒を考慮する。

所在率（F）

通常作業期間に，潜在危険にさらされる領域

に人がいる時間の比率を決定して計算する。
注記1 危険領域内に人がいる時間が，運用す

る交替勤務によって異なる場合は，最
大値を選択することが望ましい。

注記2 FAは，作動要求率がランダムであり，

かつ，所在率が通常よりも高くなって
も，作動要求率が関連していないこと
が明らかな場合だけ，用いることが適
切である。作動要求率と所在率との間
に関連があるケースとは，一般に機器
の始動時又は異常の調査中に発生して
作業が要求される場合である。

まれに又はたび
たび，危険域に
さらされる。
所在率は0.1未
満

頻繁に又は永続
的に，危険域に
さらされる

コメント1を参照。

防護系が作動に失敗しても，危険事象を回避す
る可能性（P）

コメント4の全
ての条件を同時
に満たす場合

全ての条件を同
時に満たさない
場合

PAは，次の全てが真である場合にだ

け，選択することが望ましい。

− SIS（安全計装システム）が故障したこ

とをオペレータに警告するための設備
を備えている。

− 潜在危険が回避できるように遮断する

か，又は全ての人が安全な区域に避難
できるようにする，独立した設備を備
えている。

− オペレータに警告を与える時間から危

険事象が発生する時間までの時間差が
1時間を超えるか，又は必要な措置を
行うのに確実に十分な時間がある。

C 0508-5：2019 (IEC 61508-5：2010)

表E.2−汎用リスクグラフの校正の例（続き）

リスクパラメータ

分類

作動要求率（W）

E/E/PE安全関連系がないときに，危険事象が

発生する年間の回数

作動要求率を決定するためには，一つの危険

事象をもたらすことがある，全ての故障源を考
慮することが必要である。作動要求率を決定す
るためには，制御系の性能及びオペレータ介入
に対する確からしさは限定される。制御系をJIS
C 0508規格群に従って設計及び保守しない場
合に主張することができる性能は，SIL 1未満に
限定する。

年間0.1D未満

年間0.1D以上
1D未満

年間1D以上
10D以下

年間10Dを超え
る作動要求率の
場合，より高い
安全度を必要と
する。

W係数の目的は，E/E/PE安全関連系を

加えずに，潜在危険が起こる頻度を評
価することである。

作動要求率が非常に高い場合，SILは他

の方法で決定するか，又はリスクグラフを
再校正する。リスクグラフ法は，連続モー
ドで動作するアプリケーションの場合，最
善のアプローチでないこともある（JIS C
0508-4の3.5.16参照）。

6

Dの値は，リスクにさらされる人に対
する他のリスクを考慮して，許容リス
クの企業基準から決定することが望ま
しい。

注記この表は，リスクグラフの設計の原理の適用を示すための例である。特定のアプリケーション及び特定の潜在

危険のリスクグラフは，許容リスクを考慮して関係者と合意することになる。E.1〜E.6参照。

C 0508-5：2019 (IEC 61508-5：2010)

附属書F

（参考）

防護層解析（LOPA）を用いる半定量的方法

F.1

一般

F.1.1

説明

この附属書では，防護層解析（LOPA）と呼ばれている方法について示す。ここでは，この方法の完全

な説明を示すのでなく，一般原理を説明することを目的とする。

F.1.2

附属書の参考文献

この附属書は，AIChEが発行する出版物で詳細に記載されている方法に基づいている（参考文献[8]参照）。

参考文献には，LOPA法を用いる多くの方法が詳述されている。

一つのアプローチとしては，関連する全てのパラメータをより高い10進の数値範囲に丸める（例 5×

10−2の確率は，10−1に丸める。）。これは極めて保守的なアプローチで，大幅に高いSIL水準をもたらす場

合がある。しかしながら，データの不確かさは，全てのパラメータ値を次に高い有効数字に丸めることに

よって認識することが望ましい（例 5.4×10−2は，6×10−2に丸めることが望ましい）。

F.1.3

方法の説明

LOPA法では，安全機能が要求されるかどうかを解析し，かつ，要求される場合，潜在危険を解析し，

各安全機能に要求されるSILを決定する。適用するリスク受入れ基準を満たすためには，LOPA法をアプ

リケーションに合うように変更することが必要である。この方法は，潜在危険の同定によってデータを作

成することから始まり，初期発生原因及び潜在危険を防止又は軽減する防護層を記載することによって，

同定した各潜在危険を説明する。次に，リスク軽減の総量を決定し，追加のリスク軽減の必要性を解析す

る。追加のリスク軽減が要求され，E/E/PE安全関連系の形式で提供する場合，LOPA法は適切なSILの決

定を可能にする。各潜在危険に対して，リスクを許容水準まで軽減するために，適切なSILを決定する。

表F.1では，標準的なLOPAの形式を示す。

F.2

影響事象

潜在危険の同定で決定した各影響事象の記載（結果）を，表F.1の列番号1に記入する。

F.3

過酷度水準

事象の過酷度水準を，表F.1の列番号2に記入する。過酷度水準は，例えば，小事故，重大事故，大惨

事などの一般的な結果水準の記載に，各過酷度水準に対して指定した結果及び最大頻度を含めた表から導

く。実際には，この表は，使用者の許容基準を定めるものである。安全性及び環境の結果をもたらす事象

について過酷度水準及び最大頻度を決定するためには，情報が必要になる。

F.4

初期発生原因

影響事象の全ての初期発生原因を，表F.1の列番号3に記入する。影響事象は多数の初期発生原因をも

つ場合があり，全ての初期発生原因を記載することが望ましい。

C 0508-5：2019 (IEC 61508-5：2010)

表F.1−LOPA報告書

番号a)

影響事象

の記載

F.2

過酷度

水準

F.3

初期発生

原因

F.4

初期発生

ゆう（尤）

度F.5

防護層（PL）

事象ゆう
（尤）度
の中間結

果

F.9

E/E/PE安

全関連系に

要求する

PFDavg

（及びSIL）

F.10

許容低減
事象ゆう
（尤）度

F.11

注記

基本設計

F.6.1

基本

制御系

F.6.2

警報など

F.6.3

追加の低
減策，ア
クセス制

限

F.7

追加の
低減策

F.8

ケーシン
グの破損
をもたら
すロータ
の過速度

ケーシン
グのそば
にいる人
の生命の
喪失。
死亡事故
は2回以
下であ
る。

速度制御
系の故障

0.1

10−3

5×10−3

（最

低

PFDavgが5

×10−3の
場合，SIL
2）

10−5

（必要に
応じて記
載する。）

負荷の

損失

0.1

10−3

クラッチ

故障

0.1

10−4

参考事項

−

制御系に
は信用度
0.1を与え
る。

−

所在率の
制限。こ
の時間の
90 %の
間，人は
いない。

破片が人
と接触し
た場合だ
け，死亡
事故が発
生。

中間結果
の合計
（年間頻
度の結
果）は，

2.1×10−3

死亡事故
が5以下
の場合の
許容頻度

環境リスク解析のために，行番号1のように事例を繰り返す。

3〜N

必要に応じて行を追加する。

注記1 過酷度水準は，C（大惨事），E（広域），S（重大事故）又はM（軽微）として分類してもよい。許容低減事象ゆう（尤）度は，過酷度水準による。
注記2 列番号4，8及び10の単位は，年間事象数である。
注記3 列番号5〜7及び9の単位は，無次元である。0〜1の数値は，関連防護層の軽減効果を表すために事象ゆう（尤）度に乗じる係数である。したがって，1は軽減

効果なしを表し，0.1はリスク軽減の係数10を意味する。

注a) 詳しい説明は，附属書Fに列番号を付して記載している。

-5

：

-5

：

)

C 0508-5：2019 (IEC 61508-5：2010)

F.6

防護層（PL）

F.6.1

一般

各防護層は，他の防護層から独立して機能する機器及び／又は管理制御装置の群で構成する。

表F.1の列番号5の最初の列には，初期発生原因が発生するときに影響事象が発生する可能性を軽減す

る設計上の特徴を記入する。

防護層は，次の重要な特性をもつことが望ましい。

− 特異性：防護層は，一つの潜在危険事象（例暴走反応，有毒物質の放出，内容物の損失，火災）の

結果を防止又は軽減するためだけに設計する。ただし，複数の原因が同じ危険事象をもたらすことが

あり，この場合，複数の事象シナリオが一つの防護層の動作を開始することもある。

− 有効性：防護層は，他の全ての措置が完全に失敗したときに，危険事象の発生を単独で防止すること

が要求される。

− 独立性：防護層は，同定した危険事象と関連する他の防護層とから独立している。

− 信頼性：防護層は，設計したとおりに動作するものとみなしてもよい。ランダム故障及び決定論的原

因故障は，設計時に考慮する。

− 監査容易性：防護層は，保護機能の定期的妥当性確認を容易にするように設計する。安全系のプルー

フテスト及び保守が要求される。

F.6.2

基本制御系

表F.1の列番号5の次の列は，EUC制御系である。初期発生原因が発生したとき，制御機能によって影

響事象が発生することを防止する場合，PFDavgに基づく評価が必要になる。この機能の故障がE/E/PE安全

関連系に対する要求を発する場合は，制御機能についていかなる評価も要求しないことが望ましい。また，

制御機能に要求するPFDavgは，制御機能を安全系として設計も運用もしない場合には，最低限の0.1に制

限するように注意することが望ましい。

F.6.3

警報

表F.1の列番号5欄の最後の列は，オペレータの介入を利用するためにオペレータに発する警報につい

て取り扱う。警報の評価は，次の場合だけに要求することが望ましい。

− 用いるハードウェア及びソフトウェアが個別のものであり，制御系のために用いるものから独立して

いる場合（例入力カードとプロセッサとは，共有しないことが望ましい。）。

− 警報を常に人を所在する場所で高い優先度で表示する場合。警報に対して要求する評価は，次のこと

を考慮することが望ましい。

・警報の有効性は，警報発生時に実施する必要のある作業，及び同時に実施する必要のある他の作業

の複雑さによって決まる。

・評価は，最小PFDavgを0.1に制限することが望ましい。

・オペレータは，潜在危険を回避することができるように，十分な時間及び独立した設備をもつ必要

がある。通常，警報発生から潜在危険を回避するまでの時間が20分以下の場合は，評価を要求しな

いことが望ましい。

F.7及びF.8 追加の低減策

低減層は，通常，機械的，構造的又は手順的である。このような低減層の例には，次のものを含む。

− アクセス制限

− 着火確率の軽減

C 0508-5：2019 (IEC 61508-5：2010)

− 潜在危険にさらされる人のぜい（脆）弱度を軽減する他の要因

低減層は，影響事象の過酷度を軽減することがあるが，事象が発生することを防止することはない。こ

のような低減層の例には，次のものを含む。

− 火災の場合の放水系

− ガス発生時の警報

− 拡大する事象に人がさらされる確率を軽減するための避難手順

低減策の下では，危険域に最もさらされている人の占有率を考慮することができる。この割合は，年間

の危険域での時間を確定し，年間当たり8 760時間で除することによって決定することが望ましい。

全ての低減層に対する適切なPFDavg又は同等のものを決定して，表F.1の列番号6及び7の列に記入す

ることが望ましい。

F.9

事象ゆう（尤）度の中間結果

各原因の事象ゆう（尤）度の中間結果は次の係数を乗じて計算し，年間頻度の結果を，表F.1の列番号

8に記入する。

− 潜在危険域に最もさらされている人のぜい（脆）弱度

− 初期発生ゆう（尤）度（列番号4）

− 防護層及び低減層のPFDavg（列番号5，6及び7）

各原因の事象頻度の中間結果を加算して，全事象頻度の中間結果を計算することが望ましい。

関連する過酷度水準について，全事象頻度の中間結果を許容リスク頻度と比較することが望ましい。全

頻度の中間結果が許容頻度を上回る場合，リスク軽減が必要となる。E/E/PE安全関連系による追加の防護

層を適用する前に，本質的に安全な方法及び解決策を考慮することが望ましい。

事象ゆう（尤）度の中間結果の数値を最大頻度基準未満に軽減することができない場合は，E/E/PE安全