※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
3.1
悪影響
特定のレベルの損失を もたらす結果(3.3)
注記1 対象システム(3.23) が 危険な状態(3.4) にあることと,その システムの環境(3.21) が最悪の状態(悪影響に比べて)にあることから,悪影響が生じる。
注記 2 ISO Guide 51 の害は、悪影響の例です。不利な結果の概念は、安全のコンテキストでの損害だけでなく、セキュリティのコンテキストでの資産の損失などの他の損失もカバーするために導入されています。
3.2
請求
対象システムが 許容リスク(3.25) を達成できるようにする,対象システム (3.23) の要件を表す命題。
注記 1:クレームは ISO/IEC 15026 シリーズの他の部分のクレームと一致していますが、ここでのクレームの問題は、許容できるリスクの達成に限定されています。
注記 2: ISO 26262 で要求される安全目標は、主張のインスタンスです。
3.3
その結果
目的に影響を与えるイベントの結果
[出典: ISO Guide 73:2009, 3.5.1.3]
3.4
危険な状態
環境のいくつかの状態と組み合わさって悪影響 (3.1) をもたらす システム(3.21) の状態。
注記 1 ISO/IEC Guide 51 および IEC 61508-4 の危険な状況は、危険な状態のインスタンスです。危険な状態の概念は、安全性のコンテキストにおける危険な状況だけでなく、信頼性、完全性、機密性、信頼性のコンテキストにおけるエラー、および悪影響をもたらす可能性のあるシステムのその他の状態をカバーするために導入されています。
注記 2:信頼性のコンテキストまたは IEC 61508-4 で定義されている故障の発生は、常にではありませんが、危険な状態につながることがよくあります。
注記3したがって、危険な状態は、少なくとも、a) 関連する悪影響、b) 危険な状態につながるトリガーイベント、および c) 危険な状態からの悪影響につながるトリガーイベントの属性を持ちます。 .
3.5
意匠権
製品の設計を担当する人または組織
[出典: ISO/IEC 15026-1]
3.6
初期リスク
リスク低減手段(3.18) を適用する前の推定 リスク(3.16 )
3.7
完全性レベル
対象の システム(3.23) が関連する 完全性レベルの主張(3.10) を満たす必要な信頼度
注記1: 「完全性レベル」という言葉は、分割できないラベルを形成する。この国際規格は、完全性の概念自体を宣言したり、依存したりしません。
注記2完全性レベルは,完全性レベルの主張が満たされる 可能性(3.13) とは異なるが,密接に関連している。
注記3 「信頼」という言葉は,完全性レベルの定義が主観的な概念になり得ることを暗示している。
注記 4: ISO/IEC 15026 のこの部分では、完全性レベルはリスクの観点から定義されているため、対象システムに関連する安全性、セキュリティ、財務、およびその他のリスクのあらゆる側面を網羅しています。
3.8
完全性レベル保証機関
完全性レベル要件(3.11) への準拠を証明する責任を負う独立した個人または組織。
[出典: ISO/IEC 15026-1]
3.9
完全性レベル定義機関
完全性レベル (3.7) および 完全性レベル要件 (3.11) の定義を担当する人または組織
3.10
完全性レベルの主張
対象 システム(3.23) のリスク対応 (3.20) プロセスで特定された リスク低減手段(3.18) の要件を表す 主張(3.2 )
注記 1:一般に、満たされた場合、 危険な状態 (3.4) の 結果 (3.3) を回避、制御、または軽減し、 許容可能なリスク (3.25) を提供する要件の観点から記述されます。
注記 2: IEC 61508 の完全性レベルの主張と見なすことができる主張は、E/E/PE 安全関連システムが、規定されたすべての条件下で指定された安全機能を十分に実行することです。
3.11
完全性レベル要件
満たされた場合に、関連する 完全性レベル (3.7) に見合った、関連する 完全性レベルの主張 (3.10) の信頼レベルを提供する一連の要件。
3.12
リスクのレベル
結果(3.3) とその 可能性(3.13) の組み合わせで表される リスク(3.16) またはリスクの組み合わせの大きさ。
[出典: ISO Guide 73:2009, 3.6.1.8]
3.13
可能性
何かが起こる確率
3.14
興味のあるプロパティ
紛失した場合、悪影響と見なされるプロパティ
注記1利益の性質の概念は、 結果の負の影響を特徴付けるために導入されている (3.3) 。
注記2安全の文脈では,人命と健康は関心のある特性の例である。
注記 3: ISO/IEC 15408-1 などで定義されているセキュリティ コンテキストの資産は、対象となるプロパティのインスタンスです。
3.15
残存リスク
リスク対応 (3.20) 後に残る リスク(3.16 )
[出典: ISO Guide 73:2009, 3.8.1.6]
3.16
危険
目標に対する不確実性の影響
[出典: ISO Guide 73:2009, 1.1]
注記 1効果とは、期待値からの逸脱である: ポジティブおよび/またはネガティブ。この規格では、不利な 結果につながる負の偏差に焦点を当てています (3.1) 。
注記2:リスクは、潜在的な事象と 結果 (3.3) 、またはそれらの組み合わせへの言及によって特徴付けられることが多い。
注記3リスクは,事象の結果(状況の変化を含む)と関連する発生の 可能性(3.13) の組み合わせで表されることが多い。この国際規格では、リスクは、有害な結果の深刻さと有害な結果が発生する可能性の組み合わせとして特徴付けられます。
注記 4:目標は、さまざまな側面 (財務、健康と安全、および環境の目標など) を持つことができ、さまざまなレベル (戦略、組織全体、プロジェクト、製品、およびプロセスなど) で適用できます。
注記 5不確実性とは,事象,その結果又は可能性に関連する情報,理解又は知識が部分的にでも不足している状態である。
3.17
リスク基準
リスク(3.16) の重要性を評価する際の付託事項
[出典: ISO Guide 73:2009, 3.3.1.3]
3.18
リスク低減策
リスクを低減または緩和するために講じられる措置(3.16)
注記 1:代表的なリスク低減手段は、IEC 61508 シリーズの安全関連システムです。
3.19
リスク源
単独または組み合わせて、 リスク(3.16) を生じさせる本質的な可能性を有する要素。
[出典: ISO Guide 73:2009, 3.5.1.2]
注記 1: ISO Guide 73:2009 のハザードは、リスク源のインスタンスです。
注記 2:信頼性の文脈における障害、エラー、または故障は、リスクの原因となる可能性があります。これらの用語の定義は、IEC 61508-4 に記載されています。
注記 3:セキュリティの文脈における脅威、 脅威エージェント (3.24) 、および ISO/IEC 15408-1 で定義されている逆のアクションは、リスク源になる可能性があります。
3.20
危機管理
リスク(3.16) を排除する、または許容できるレベルまで低減するプロセス
[出典: ISO Guide 73:2009, 3.8.1, 修正]
3.21
システム
1つまたは複数の規定された目的を達成するために編成された相互作用する要素の組み合わせ
[出典: ISO/IEC/IEEE 15288]
3.22
システム要素
システム(3.21) を構成する一連の要素のメンバー。
[出典: ISO/IEC/IEEE 15288]
3.23
関心のあるシステム
ISO 15026 の文脈でライフサイクルが検討されている システム (3.21) 。
[出典: ISO/IEC/IEEE 15288]
3.24
脅威エージェント
関心のある財産(3.14)に 不利に作用する可能性のある実体。
[出典: ISO/IEC 15408‑1:2009, 3.1.71, 修正]
3.25
許容できるリスク
社会の現在の価値に基づいて、特定の文脈で受け入れられる リスクのレベル(3.12)
[出典: ISO/IEC Guide 51:2014, 3.15]
注記1:許容できるリスクは、ISO/IEC/IEEE 16085やISO 14971など、許容できるリスクと呼ばれることもあります。一般的なリスク管理規格であるISOガイド73とISO 31000では、明示的な定義なしに両方のフレーズを使用しています。
参考文献
| [1] | IEC 61508, 電気/電子/プログラマブル電子安全関連システムの機能安全 |
| [2] | ISO 26262-10, 道路車両 - 機能安全 - 10: ISO 26262に関するガイドライン |
| [3] | ISO/IEC 25010:2011, システムおよびソフトウェア工学 — システムおよびソフトウェアの品質要件と評価 (SQuaRE) — システムおよびソフトウェアの品質モデル |
| [4] | ISO/IEC 15408-1:2009, 情報技術 — セキュリティ技術 — IT セキュリティの評価基準 — 1: 導入と一般的なモデル |
| [5] | ISO 14971, 医療機器 — 医療機器へのリスク管理の適用 |
| [6] | ISO/IEC Guide 51:2014, 安全面 — 規格に含めるためのガイドライン |
| [7] | ISO Guide 73:2009, リスク管理 — 語彙 |
| [8] | ISO/IEC 15026-1, システムおよびソフトウェア工学 — システムおよびソフトウェア保証 — 1: 概念と語彙 |
| [9] | ISO/IEC/IEEE 16085, システムおよびソフトウェア工学 - ライフ サイクル プロセス - リスク管理 |
| [10] | ISO 31000, リスク管理 — 原則とガイドライン |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
adverse consequence
consequence (3.3) that results in a specified level of loss
Note 1 to entry: An adverse consequence results from the system-of-interest (3.23) being in a dangerous condition (3.4) combined with the environment of the system (3.21) being in its worst-case state (relative to the adverse consequence).
Note 2 to entry: Harm in ISO Guide 51 is an instance of an adverse consequence. The concept of adverse consequences is introduced in order to cover not only harm in the safety context but also other losses such as loss of assets in the security context.
3.2
claim
proposition representing a requirement of the system-of-interest (3.23) that enables the system-of-interest to achieve tolerable risk (3.25) if it were met
Note 1 to entry: A claim is consistent with claims in the other parts of ISO/IEC 15026 series but issues of claims here are restricted to achievement of a tolerable risk.
Note 2 to entry: A safety goal required in ISO 26262 is an instance of a claim.
3.3
consequence
outcome of an event affecting objectives
[SOURCE: ISO Guide 73:2009, 3.5.1.3]
3.4
dangerous condition
state of a system (3.21) which, in combination with some states of the environment, will result in adverse consequence (3.1)
Note 1 to entry: A hazardous situation in ISO/IEC Guide 51 and IEC 61508–4 is an instance of a dangerous condition. A concept of dangerous conditions is introduced in order to cover not only hazardous situations in the safety context but also errors in the reliability, integrity, confidentiality, or dependability contexts and other states of a system which can lead to adverse consequences.
Note 2 to entry: Occurrences of failures in the context of reliability or as defined in IEC 61508–4 often, but not always, lead to dangerous conditions.
Note 3 to entry: A dangerous condition therefore has attributes, at least, a) the associated adverse consequences, b) the trigger events that lead to the dangerous condition, and c) the trigger events that lead to the adverse consequences from the dangerous condition.
3.5
design authority
person or organization that is responsible for the design of the product
[SOURCE: ISO/IEC 15026–1]
3.6
initial risk
estimated risk (3.16) before applying risk reduction measures (3.18)
3.7
integrity level
required degree of confidence that the system-of-interest (3.23) meets the associated integrity level claim (3.10)
Note 1 to entry: The words “integrity level” forms an indivisible label. This International Standard does not pronounce on, nor depend on, a concept of integrity by itself.
Note 2 to entry: An integrity level is different from the likelihood (3.13) that the integrity level claim is met but they are closely related.
Note 3 to entry: The word “confidence” implies that the definition of integrity levels can be a subjective concept.
Note 4 to entry: In this part of ISO/IEC 15026, integrity levels are defined in terms of risk and hence, cover safety, security, financial and any other dimension of risk that is relevant to the system-of-interest.
3.8
integrity level assurance authority
independent person or organization responsible for certifying compliance with the integrity level requirements (3.11)
[SOURCE: ISO/IEC 15026–1]
3.9
integrity level definition authority
person or organization responsible for defining integrity levels (3.7) and integrity level requirements (3.11)
3.10
integrity level claim
claim (3.2) representing a requirement for a risk reduction measure (3.18) identified in the risk treatment (3.20) process of the system-of-interest (3.23)
Note 1 to entry: In general, it is described in terms of requirements that, when met, would avoid, control or mitigate the consequences (3.3) of dangerous conditions (3.4) and provide tolerable risk (3.25) .
Note 2 to entry: The claim that can be regarded as an integrity level claim in IEC 61508 is that an E/E/PE safety-related system satisfactorily performs the specified safety functions under all the stated conditions.
3.11
integrity level requirement
set of requirements that, when met, will provide a level of confidence in the associated integrity level claim (3.10) commensurate with the associated integrity level (3.7)
3.12
level of risk
magnitude of a risk (3.16) or combination of risks, expressed in terms of the combination of consequences (3.3) and their likelihood (3.13)
[SOURCE: ISO Guide 73:2009, 3.6.1.8]
3.13
likelihood
probability of something happening
3.14
property-of-interest
any property that, if lost, is considered a negative effect
Note 1 to entry: The concept of property-of-interest is introduced in order to characterize negative effects of consequences (3.3) .
Note 2 to entry: In the safety context, human lives and health are instances of properties-of-interest.
Note 3 to entry: Assets in the security context, e.g. defined in ISO/IEC 15408-1, are instances of properties-of-interest.
3.15
residual risk
risk (3.16) remaining after risk treatment (3.20)
[SOURCE: ISO Guide 73:2009, 3.8.1.6]
3.16
risk
effect of uncertainty on objectives
[SOURCE: ISO Guide 73:2009, 1.1]
Note 1 to entry: An effect is a deviation from the expected: positive and/or negative. In this International Standard, the focus is on negative deviations leading to adverse consequences (3.1) .
Note 2 to entry: Risk is often characterized by reference to potential events and consequences (3.3) , or a combination of them.
Note 3 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood (3.13) of occurrence. In this International Standard, risk is characterized as the combination of the severity of the adverse consequence and the likelihood of an adverse consequence occurring.
Note 4 to entry: Objectives can have different aspects (such as financial, health and safety, and environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and process).
Note 5 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
3.17
risk criteria
terms of reference against which the significance of a risk (3.16) is evaluated
[SOURCE: ISO Guide 73:2009, 3.3.1.3]
3.18
risk reduction measure
steps taken to reduce or mitigate risk (3.16)
Note 1 to entry: A typical risk reduction measure is a safety-related system in IEC 61508 series.
3.19
risk source
element that, alone or in combination, has the intrinsic potential to give rise to risk (3.16)
[SOURCE: ISO Guide 73:2009, 3.5.1.2]
Note 1 to entry: A hazard in ISO Guide 73:2009 is an instance of a risk source.
Note 2 to entry: A fault, an error, or a failure in the context of reliability can be a risk source. The definitions of those terms can be found in IEC 61508–4.
Note 3 to entry: A threat in the context of security, a threat agent (3.24) , and an adverse action defined in ISO/IEC 15408-1 can be a risk source.
3.20
risk treatment
process to eliminate risk (3.16) or reduce it to a tolerable level
[SOURCE: ISO Guide 73:2009, 3.8.1, modified]
3.21
system
combination of interacting elements organized to achieve one or more stated purposes
[SOURCE: ISO/IEC/IEEE 15288]
3.22
system element
member of a set of elements that constitutes a system (3.21)
[SOURCE: ISO/IEC/IEEE 15288]
3.23
system-of-interest
system (3.21) whose life cycle is under consideration in the context of ISO 15026
[SOURCE: ISO/IEC/IEEE 15288]
3.24
threat agent
entity that can adversely act on property-of-interest (3.14)
[SOURCE: ISO/IEC 15408‑1:2009, 3.1.71, modified]
3.25
tolerable risk
level of risk (3.12) that is accepted in a given context based on the current values of society
[SOURCE: ISO/IEC Guide 51:2014, 3.15]
Note 1 to entry: A tolerable risk is sometimes called acceptable risk, e.g. ISO/IEC/IEEE 16085, and ISO 14971. The general risk management standards ISO Guide 73 and ISO 31000 use both phrases without explicit definitions.
Bibliography
| [1] | IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems |
| [2] | ISO 26262–10, Road vehicles — Functional safety — 10: Guideline on ISO 26262 |
| [3] | ISO/IEC 25010:2011, Systems and software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — System and software quality models |
| [4] | ISO/IEC 15408–1:2009, Information technology — Security techniques — Evaluation criteria for IT security — 1: Introduction and general model |
| [5] | ISO 14971, Medical devices — Application of risk management to medical devices |
| [6] | ISO/IEC Guide 51:2014, Safety aspects — Guidelines for their inclusion in standards |
| [7] | ISO Guide 73:2009, Risk management — Vocabulary |
| [8] | ISO/IEC 15026–1, Systems and software engineering — Systems and software assurance — 1: Concepts and vocabulary |
| [9] | ISO/IEC/IEEE 16085, Systems and software engineering — Life cycle processes — Risk management |
| [10] | ISO 31000, Risk management — Principles and guidelines |