IEC 61508 解説：機能安全と安全度水準（SIL）ガイド

IEC 61508は、国際電気標準会議（IEC）が発行する機能安全に関する国際規格です。正式名称は 「電気・電子・プログラマブル電子安全関連システムの機能安全」 （E/E/PEまたはE/E/PESと略されることが多い）。この規格は、安全ライフサイクル全体を通じてシステムの機能安全性と信頼性を確保するための体系的な枠組みを提供します。

IEC 61508 は、IEC 61511 や IEC 62061 など、多くの業界固有の機能安全規格の基礎となる規格です。産業オートメーション、プロセス制御、機械製造などの分野で広く適用されています。

1.0 IEC 61508の中核概念

IEC 61508 は次の主要な側面をカバーしています。

• 機能安全: この規格は、システムまたは機器が定められた条件下で安全機能を正しく実行しなければならないことを強調しています。万一、故障が発生した場合、その故障は予測可能かつ安全な方法で発生しなければなりません。
• 安全ライフサイクル: 初期コンセプト、設計・開発、運用・保守、廃止まですべての段階を網羅する包括的なライフサイクル アプローチを導入し、安全要件への継続的な準拠を保証します。
• リスクベースのアプローチ: この規格は、危険を特定し、関連するリスクを評価し、適切な制御手段を適用することにより、リスクを合理的に実行可能な限り低いレベル (ALARP) まで低減するのに役立ちます。
• 安全度水準（SIL）： SILは、安全機能の信頼性を定量的に表す指標であり、SIL 1（最低）からSIL 4（最高）までの範囲で評価されます。各SILレベルは、以下の3つの主要な基準に基づいて決定されます。
  • システム機能: ハードウェアとソフトウェア設計の信頼性
  • アーキテクチャ上の制約: システムアーキテクチャによる制限
  • PFDavg / PFH: 危険な故障の確率（オンデマンド（PFDavg）または時間あたり（PFH））
    最終的な SIL レベルは、これら 3 つの基準の中で最も低いレベルによって定義されます。

1.1 IEC 61508の構造と適用範囲

IEC 61508は8つのパートで構成されています。パート1からパート7は1998年から2000年にかけて発行され、IEC/TR 61508-0は2005年に追加されました。この規格は2002年から包括的な見直しプロセスを経て、2010年4月に第2版が発行されました。

この規格の正式名称は 「電気/電子/プログラマブル電子安全関連システム（E/E/PEシステム）の機能安全」、その構造は次のとおりです。

1. パート0: 機能安全とIEC 61508
2. パート1: 一般的な要件
3. パート2: E/E/PE安全関連システムの要件
4. パート3: ソフトウェア要件
5. パート4: 定義と略語
6. パート5: 安全度水準を決定する方法の例
7. パート6：パート2および3の適用に関するガイドライン
8. パート7：技術と対策の概要

さらに、IEC 61508 から派生したいくつかの業界固有の規格があり、その原則を特定のドメインに適合させています。

• IEC 61511– プロセス産業（化学プラントや石油化学プラントなど）向け
• IEC 62061– 機械の安全性のため
• ISO 26262– 自動車用電子システム向け
• DO-178C– 航空電子機器ソフトウェアシステム向け

この例では、通常 E/E/PE 安全関連システムと呼ばれる、典型的な電気、電子、およびプログラム可能な電子の安全定格システムを示しています。

1.2 実装とコンプライアンス

IEC 61508 への準拠を達成するには、組織は次のことを行う必要があります。

• 規定された検証および検証プロセスを理解し、それに従う
• 重大な故障モードを特定し、軽減する
• ハードウェアおよびソフトウェア システムが、適用可能な SIL レベルの制約内で動作することを保証する
• システム設計時に複雑さを管理して障害のリスクを軽減する
• 頻繁に使用されるコンポーネントや危険なイベント時にのみ作動するコンポーネントに適切な安全戦略を適用する

1.3 IEC 61508の実用的応用

IEC 61508は、安全性が重視される電気、電子、およびプログラマブル電子システムに広く使用されています。一般的な適用例としては、以下のようなものがあります。

• 機械産業: プレスブレーキ, レーザーカッター、スタンピングマシン、産業用ロボットの安全システム
• プロセス産業: 緊急停止システム（ESD）、安全弁、圧力逃し装置
• 電力部門: 保護リレー、故障分離装置、インテリジェント回路遮断器
• 交通機関: 鉄道信号システム、自動列車制御（ATC）ユニット、自動車安全モジュール
• 医療機器: 生命維持システム、安全監視モジュール

これらのシステムは、IEC 61508 に準拠し、機能安全の原則に基づいて設計されており、障害発生時に事故を防止し、人命と環境の両方を保護します。

1.4 IEC 61508が開発された理由

1990年代には、電子システムやプログラム可能な電子システムを通じて実装される安全機能がますます増加しました。これらのシステムはしばしば非常に複雑であり、あらゆる故障モードを特定したり、あらゆる動作シナリオをテストしたりすることは事実上不可能です。

重要な課題は、危険な故障を予防するか、万が一発生した場合でも安全に管理できるシステムを設計することでした。このような故障は、以下のような原因で発生する可能性があります。

• 安全関連制御システムの仕様が不正確
• 安全要件の定義が不完全（例：すべての動作モードにわたる機能の定義が不十分）
• ランダムなハードウェア障害
• システムレベルのハードウェア障害
• ソフトウェア設計エラー
• 共通原因故障
• 人為的ミス
• 環境要因（例：電磁干渉、極端な温度、機械的ストレス）

2.0 IEC 61508 と SIL (安全度水準) とは何ですか?

IEC 61508は、電気、電子、およびプログラマブル電子安全関連システムに適用される国際的に認められた機能安全規格です。この規格は、これらのシステムの設計、開発、運用、保守のための体系的な安全ガイダンスを提供します。その主要な構成要素の一つは、 安全度水準（SIL）危険な状況下でリスクを軽減する安全機能の能力を測る重要な指標です。

2.1 SILの定義と役割

IEC 61508 では、安全性の完全性は次のように定義されています。

「安全関連システムが指定されたすべての条件下で、指定された時間内に必要な安全機能を正常に実行する確率。」

SILレベルは、危険な事象が発生した際に安全機能によって提供されるリスク低減の度合いを示します。SILレベルはSIL 1からSIL 4までの4段階に分かれており、レベルが上がるにつれて安全要件が厳しくなり、開発および検証プロセスも複雑になります。

SILレベル	危険確率	対応する開発要件
SIL 1	最も高い確率	最低要件
SIL 2	中くらい	推奨される対策
SIL 3	低い	厳格な措置
SIL 4	最も低い確率	最も厳しい規制

2.2 SILの決定方法

IEC 61508 では、SIL を決定するための次のような定性的および定量的方法が規定されています。

1. 危険性とリスクの評価（パート5）

• 潜在的な危険を特定する
• リスクの頻度と重大性を評価する
• 必要なリスク低減レベルを決定する（付録A）

2. 故障確率評価

SIL は以下を使用して定量的に評価できます。

• PFDavg（要求時における危険側故障の平均確率）需要の低いモード向け
• PFH（1時間あたりの危険側故障確率）連続モードの場合

PFDavg – 低需要モード:

SILレベル	PFDavg範囲
SIL 4	≥ 10⁻⁵～< 10⁻⁴
SIL 3	≥ 10⁻⁴～< 10⁻³
SIL 2	≥ 10⁻³～< 10⁻²
SIL 1	≥ 10⁻²～< 10⁻¹

PFH – 連続モード:

SILレベル	PFH [1/h] 範囲
SIL 4	10⁻⁹以上10⁻⁸未満
SIL 3	10⁻⁸以上10⁻⁷未満
SIL 2	≥ 10⁻⁷～< 10⁻⁶
SIL 1	≥ 10⁻⁶～< 10⁻⁵

2.3 システム機能とアーキテクチャ上の制約

システムは、特定の設計、テスト、検証機能 (FMEDA、SFF など) を満たしている必要があります。

SFF（安全側故障率） = (安全側故障 + 検出された危険側故障) / 故障合計

2.4 規格間の安全度水準の比較

SIL は IEC 61508 フレームワークの一部ですが、他の業界標準では直接互換性のない同様の安全レベルが定義されています。

標準	安全レベル（低→高）
IEC 61508	SIL 1、SIL 2、SIL 3、SIL 4
ISO 26262	ASIL A、ASIL B、ASIL C、ASIL D
DO-178C	レベルE、D、C、B、A
IEC 62304	クラスA、B、C
EN 50128	SSLI 0、1、2、3、4

2.5 SILとソフトウェア開発

IEC 61508パート3（「ソフトウェア要件」）では、SILレベルに応じて組み込みソフトウェアの開発対策が規定されています。一般的なプラクティスとその推奨レベルには以下が含まれます。

テクニック/練習	SIL 1	SIL 2	SIL 3	SIL 4
コーディング標準の使用	R	人事	人事	人事
前方追跡可能性	R	R	人事	人事
FMEA / FMEDA分析	オプション	推奨	強く推奨	必須

注記： HR = 強く推奨、R = 推奨、— = 推奨しません

2.6 SIL を評価および計算する方法は?

IEC 61508 によれば、適切な SIL を決定するには 3 つの主要な基準を考慮する必要があります。

• システム機能– 設計が機能要件を満たしているかどうか
• アーキテクチャ上の制約– 設計が冗長性と構造要件を満たしているかどうか（例：SFF）
• ランダムハードウェア障害の確率– PFDavgまたはPFHを使用して定量化

推奨される評価ツール:

• 危害分析（HAZOP）
• リスクマトリックスまたは要件トレーサビリティマトリックス
• 故障モード影響解析（FMEA）
• 故障モード・影響・診断解析（FMEDA）

3.0 機能安全とは

機能安全の主要概念:
IEC 61508 とその適用を効果的に理解するには、次の基本的な概念と中核用語を把握する必要があります。

機能安全
意味：
機能安全はシステム全体の安全性の一部であり、指定された入力を受け取ったときにシステムが正しく動作するかどうかに焦点を当て、危険なイベントを防止したり、障害が発生した場合にリスクを許容レベルまで低減したりします。
客観的：
潜在的な危険を検知し、人、設備、環境の安全を確保するために、システムを積極的に制御します。例：

自動スプリンクラーシステムを作動させる煙検知器。

過熱が発生すると自動的に停止する工業用加熱装置。

安全度水準（SIL）
SIL は、安全機能のパフォーマンスと信頼性を定量的に測定したもので、必要に応じて安全機能を確実に実行できるシステムの能力を示します。
SIL には 4 つのレベル (SIL 1 から SIL 4) があり、レベルが高くなるほど安全要件が厳しくなり、ソフトウェア開発と検証もより厳密になります。

SILレベル	需要時における危険故障の平均確率（PFDavg） - 低需要モード	1時間あたりの危険側故障確率（PFH） - 連続モード
SIL 1	≥ 10⁻²～< 10⁻¹	≥ 10⁻⁶～< 10⁻⁵
SIL 2	≥ 10⁻³～< 10⁻²	≥ 10⁻⁷～< 10⁻⁶
SIL 3	≥ 10⁻⁴～< 10⁻³	10⁻⁸以上10⁻⁷未満
SIL 4	≥ 10⁻⁵～< 10⁻⁴	10⁻⁹以上10⁻⁸未満

⚠ 注記： IEC 61508 で定義されている SIL レベルは、ISO 26262 や IEC 61511 などの他の規格の SIL レベルと混同しないでください。

安全ライフサイクル
IEC 61508 は、初期コンセプトからシステムの廃止まで、プロジェクトライフサイクル全体を通じて機能安全の問題を管理するための構造化されたプロセスを定義します。
安全ライフサイクルでは次の点を重視します。

危険の特定とリスク評価

安全要件の定義。

安全設計の実施。

検証と検証。

メンテナンスと継続的な改善。
このプロセスにより、システムがライフサイクル全体を通じて継続的に安全要件を満たすことが保証されます。

3.1 機能安全の重要性

機能安全がなぜ重要なのか?
システムの複雑性が増すにつれて、特に産業、運輸、エネルギーといった高リスク環境では、潜在的な危険も増大します。機能安全の目標は、故障リスクを積極的に特定し、軽減することで、以下のことを実現することです。

• 職員およびユーザーの安全;
• 機器の信頼性の高い動作。
• 企業の経済的損失の最小化。

製造業において、機能安全システムは工場の設備をより適切に制御し、効率を高め、ダウンタイムを削減し、全体的な生産性を向上させるのに役立ちます。

認定を取得する理由は何ですか?

• 法的要件:一部の業界や地域では、機能安全認証が法律で義務付けられています。
• 市場アクセス:認証を受けていない製品は特定の市場から排除される可能性があります。
• 顧客の信頼:エンド ユーザーとシステム インテグレーターは、多くの場合、サプライヤーからの独立したサードパーティ認証を要求します。
• 保険コンプライアンス:多くの保険会社は、保険適用の条件として機能安全認証を要求しています。
  認証規格は通常、IEC 61508 またはその業界固有の派生規格に基づいています。

3.2 IEC 61508: 基本的な機能安全規格

IEC 61508は、機能安全の「マザースタンダード」であり、特定の規格が存在しないあらゆる業界に適用可能です。リスク評価手法に基づいており、システムの設計・実装から検証まで包括的なガイダンスを提供します。

IEC 61508 は、次のような安全関連システム コンポーネントをカバーしています。

• センサー（信号検出）
• 制御ロジックユニット（PLCや組み込みコントローラなど）
• アクチュエータ（例：リレー、ブレーキ、警報システム）
• ソフトウェア コンポーネント (ファームウェアおよびアプリケーション ロジックを含む)。

この規格では、以下の定量的リスク評価に基づいて SIL 要件を設定します。

• システム障害;
• ランダムなハードウェア障害。
• ソフトウェア ロジックまたはシステムの障害。

3.3 業界固有の機能安全規格（IEC 61508 から派生）

業界	派生標準	説明
プロセス産業	IEC 61511	化学プラントや石油化学プラントなどの連続制御プロセス向け
機械	IEC 62061	機械設備およびロボットシステム向け
自動車用電子機器	ISO 26262	道路車両の電子/電気システム向け
航空宇宙	DO-178C / DO-254	民間航空ソフトウェア/ハードウェアの開発と検証
医療機器	IEC 62304	医療ソフトウェアのライフサイクル管理をカバー
原子力産業	IEC 61513	原子力発電所の計装制御システム向け
家電製品・消費財	IEC 60730	自動制御装置の安全性に焦点を当てる

4.0 IEC 61508がインダストリー4.0の主要規格である理由

インダストリー4.0の発展と自動化および接続性の向上に伴い、IEC 61508は機能安全を確保するための重要な規格となっています。特に以下の点において重要です。

• システムの複雑さの管理:IEC 61508 は、センサー、アクチュエータ、制御システムの協調動作を含む、インダストリー 4.0 システムのますます複雑化するアーキテクチャを処理するための構造化されたアプローチを提供し、複雑さによって安全性が損なわれないことを保証します。
• リスク軽減:自動化が進むにつれて、システム障害のリスクも高まります。IEC 61508は、設計から廃止まで、システムのライフサイクル全体を通じてリスクを特定し、軽減するためのガイダンスを提供し、継続的かつ信頼性の高い安全性を確保します。
• 相互運用性の確保:インダストリー4.0では、多様なシステムとデバイスのシームレスな統合が求められます。IEC 61508は、統一された安全性フレームワークを提供し、異なるベンダーやプラットフォームが安全性を損なうことなく相互運用できるようにします。
• 自律システムの信頼性の向上：ソフトウェア制御の産業システムが広く普及するにつれ、ソフトウェアの信頼性は極めて重要になっています。IEC 61508は、安全性を重視するソフトウェア開発に関する明確な要件を定義し、企業が安定した信頼性の高いインテリジェントシステムを構築できるよう支援します。
• コンプライアンスの実証:IEC 61508 に準拠することで、企業は規制および業界標準を満たすことができるだけでなく、市場や規制当局に対して安全性への取り組みを示すことができ、ブランドの評判と競争力を高めることができます。これは、安全性が極めて重要な契約に入札する場合や、規制された市場に参入する場合に特に重要です。

IEC 61508 は、業界全体の機能安全の基盤を確立するだけでなく、デジタル変革の時代に回復力があり、信頼性が高く、認証可能なシステムを構築するためのロードマップも提供します。

5.0 《IEC 61508 IEC 61508:2010 PDF》に関する推奨リソース

🔗 IEC 61508:2010 PDFをダウンロード

🔗 IEC 61508と機能安全-2022

6.0 IEC 61508 & SIL – よくある質問（FAQ）

 

参考文献

dra.com/iec-61508/#61508-1

www.tuvsud.com/en-sg/services/functional-safety/iec-61508

www.perforce.com/blog/qac/what-iec-61508-safety-integrity-levels-sils

www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/