この規格ページの目次
99
C 0508-3 : 2014 (IEC 61508-3 : 2010)
附属書G
(参考)
データ駆動システムに付属するライフサイクルのテーラリングの手引書
G.1 データ駆動−システム部分及びアプリケーション部分
多くのシステムは,二つの部分に分けて記述する。一つの部分は,基本となるシステム能力を与える。
もう一つの部分は,所定のアプリケーション専用の要求事項にシステムを適合させる。アプリケーション
部分は,システム部分を構成するデータの形式で書いてもよい。この附属書では,これを“データ駆動”
という。
ソフトウェアのアプリケーション専用部分は,多様なプログラミングツール及びプログラミング言語を
用いて開発してよい。これらの言語及びツールは,アプリケーションプログラムの書き方を制約すること
がある。
例えば,プログラミング言語が機能性(例えば,簡単なインターロックのラダーロジックの使用)シス
テム用の開発者及び構成者を支援する場合,アプリケーションソフトウェアプログラミング業務はかなり
単純なものとなる。ただし,プログラミング言語が開発者及び構成者に,複雑なアプリケーション挙動の
記述を許している場合,アプリケーションソフトウェアプログラミング業務は複雑なものとなる。ごく簡
単なアプリケーションソフトウェアを開発する場合,詳細設計は,プログラミングというよりは構成とな
ると考えてよい。
要求する安全度を達成するために必要な厳密さの程度は,開発者及び構成者が利用可能な構成の複雑さ
の度合い及びアプリケーションで表す挙動の複雑さに依存する。この点を,図G.1の軸上で図解的に表す。
縦軸・横軸のそれぞれについて,複雑さを次のとおりクラス分けしている。
a) 図G.1の横軸 言語の許す可変性は,次による。
− 固定プログラム
− 制約可変性(アプリケーションプログラムを,システム部分が解釈する“データ”とみる業界もあ
る)
− 完全可変性(通常,データ駆動とはみなさないが,この種のシステムは,アプリケーション開発用
に使用してもよく,完全を期すためにこの附属書に記載した)
b) 図G.1の縦軸 アプリケーション構成能力は,次による。
− 限定的
− 完全
実際には,あるシステムは,レベルの異なる複雑さ及び構成能力を包含することがある。さらに,複雑
さは,二つの軸上に沿って伸縮を示すことがある。ソフトウェアライフサイクルのテーラリングを試みる
とき,関連する複雑さのレベルを特定し,テーラリングの度合いの正当な根拠を示すことが望ましい。
複雑さのレベルごとに,典型的なシステムのタイプの説明を次に示す。各タイプのシステムを実現する
ための推奨技法は,IEC 61508-7に示している。
――――― [JIS C 0508-3 pdf 101] ―――――
100
C 0508-3 : 2014 (IEC 61508-3 : 2010)
高
制約可変性構成 制約可変性 完全機能
完全アプリケーション プログラミング プログラミング及び構成
完全 構成能力 完全アプリケーション完全アプリケーション
(G.3) 構成能力 構成能力
(G.5) (G.7)
アプリケーション
制約可変性構成 制約可変性 完全機能
構成能力
限定的アプリケーション プログラミング プログラミング及び構成
限定的 構成能力 限定的アプリケーション
限定的アプリケーション
(G.2) 構成能力 構成能力
(G.4) (G.6)
固定プログラム 制約可変性 完全可変性
低 機能 高
低
事前配付機能
図G.1−データ駆動システムの複雑さの可変性
複雑さの各クラスの典型的なシステムを,G.2に記載する。
G.2 制約可変性構成,及び限定的アプリケーション構成能力
専用構成言語は,固定事前配付機能をもつIEC 61508に適合するシステムと併せて使用する。
構成言語は,プログラマがシステムの機能を改変することを許さない。その代わり,構成を,システム
がそのアプリケーションに調和できるように,多少の(データ)パラメータの調整に限定する。例えば,
スマートセンサ及び専用のパラメータが入るアクチュエータ,ネットワークコントローラ,シーケンスコ
ントローラ,データロギングシステム,スマート計測器などが挙げられる。
安全ライフサイクルをテーラリングする正当な根拠には,次のものが挙げられるが,これだけに限らな
い。
a) このアプリケーション用の入力パラメータの仕様
b) パラメータをオペレーティングシステムに正しく実装していることの適合確認
c) 入力パラメータの全組合せの妥当性確認
d) 構成時の特殊及び専用動作モードの検討
e) ヒューマンファクタ又は人間工学
f) インターロック,例えば,構成プロセスで動作インターロックが無効となることがないという確認
g) 不注意による再構成,例えば,キースイッチアクセス,保護装置
――――― [JIS C 0508-3 pdf 102] ―――――
101
C 0508-3 : 2014 (IEC 61508-3 : 2010)
G.3 制約可変性構成,及び完全アプリケーション構成能力
専用構成言語は,固定事前配付機能をもつIEC 61508に適合するシステムと併せて使用する。
構成言語は,プログラマがシステムの機能を改変することを許さない。その代わり,構成を,システム
がそのアプリケーションに調和できるように,広範な静的データパラメータの作成に限定する。例えば,
それぞれが一つ以上の属性をもつ,多数のデータエンティティを備えたデータで構成する航空管制システ
ムがある。データの基本的特徴は,明示的順序付け,オーダリング又は分岐構成子を含まず,アプリケー
ションの組合せ状態の表現を含まないことである。
G.2に示す検討事項に加えて,安全ライフサイクルをテーラリングする正当な根拠には,次のものを含
めることが望ましいが,これだけに限らない。
a) データ作成用自動ツール
b) 整合性チェック。例えば,データは自己親和性がある。
c) ルールチェック。例えば,データの生成が定義した制約を満たしていることの確認。
d) データ作成システムとのインタフェースの妥当性
G.4 制約可変性プログラミング,及び限定的アプリケーション構成能力
問題指向言語は,言語ステートメントが,限定的事前配付機能をもつシステムの使用者のアプリケーシ
ョン用語を含むか,又はその用語に類似している場合に,IEC 61508に適合するシステムと併せて使用す
る。
これらの言語は,ユーザに,ハードウェア及びソフトウェア要素の範囲に基づいて,システムの機能を
自分固有の要求事項にテーラリングする限定的な柔軟性を認める。
制約可変性プログラミングの基本的特徴として,データが明示的シーケンシング,オーダリング又は分
岐構成子を含む場合があり,アプリケーションの組合せ状態を呼び出す場合がある。例えば,機能ブロッ
クプログラミング,ラダーロジック,スプレッドシート式システム,グラフィカルシステムなどがある。
G.3に示す検討事項に加えて,次の要素を含めることが望ましいが,これだけに限らない。
a) アプリケーション要求仕様
b) このアプリケーション用として許している言語サブセット
c) 言語サブセットを組み合わせるための設計方法
d) 考えられるシステム状態の組合せに対応する適合確認用のカバレッジ基準
G.5 制約可変性プログラミング,及び完全アプリケーション構成能力
問題指向言語は,言語ステートメントが,限定的事前配付機能をもつシステムの使用者のアプリケーシ
ョン用語を含むか,又はその用語に類似している場合に,IEC 61508に適合するシステムと併せて使用す
る。
制約可変性プログラミング,又は限定的アプリケーション構成能力との基本的な違いは,アプリケーシ
ョンの構成の複雑さである。例えば,グラフィカルシステム及びSCADA(Supervisory Control And Data
Acquisition)ベースのバッチ制御システムなどがある。
G.4に示す検討事項に加えて,次の要素を含めることが望ましいが,これだけに限らない。
a) アプリケーションのアーキテクチャ設計
b) テンプレートの規定
c) 個別テンプレートの適合確認
――――― [JIS C 0508-3 pdf 103] ―――――
102
C 0508-3 : 2014 (IEC 61508-3 : 2010)
d) アプリケーションの適合確認及び妥当性確認
この規格に概説するライフサイクルの側面は,大半が不要なものだが(使用する言語に依存),最も低い
レベルのモジュール実装及びテストである。
G.6 完全機能プログラミング及び構成,並びに限定的アプリケーション構成能力
G.7を参照。
G.7 完全機能プログラミング及び構成,並びに完全アプリケーション構成能力
これらのシステムには,この規格の全ライフサイクル要求事項を適用する。
システムの完全可変性部分は,汎用プログラミング言語若しくは汎用データベース言語,又は一般科学
的シミュレーションパッケージに基づいている。一般に,これらの部分は,システム資源配分を行い,リ
アルタイムマルチプログラミング環境を提供するオペレーティングシステムを装備したコンピュータシス
テムと併せて使用する。完全可変性言語で書かれるシステムの例としては,例えば,専用機械制御システ
ム,専用に開発したフライトコントロールシステム,安全関連サービスの管理用ウェブサービスなどがあ
る。
――――― [JIS C 0508-3 pdf 104] ―――――
103
C 0508-3 : 2014 (IEC 61508-3 : 2010)
参考文献
[1] JIS C 0511規格群 機能安全−プロセス産業分野の安全計装システム
注記 対応国際規格 : IEC 61511 (all parts),Functional safety−Safety instrumented systems for the
process industry sector(IDT)
[2] JIS B 9961:2008 機械類の安全性−安全関連の電気・電子・プログラマブル電子制御システムの機能
安全
注記 対応国際規格 : IEC 62061:2005,Safety of machinery−Functional safety of safety-related electrical,
electronic and programmable electronic control systems(IDT)
[3] IEC 61800-5-2,Adjustable speed electrical power drive systems−Part 5-2: Safety requirements−Functional
[4] IEC 61508-5:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 5: Examples of methods for the determination of safety integrity levels
[5] IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
[6] IEC 61508-7:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems−
Part 7: Overview of techniques and measures
[7] IEC 60601 (all parts),Medical electrical equipment
[8] JIS B 3503:2012 プログラマブルコントローラ−プログラム言語
注記 対応国際規格 : IEC 61131-3,Programmable controllers−Part 3: Programming languages(MOD)
JIS C 0508-3:2014の引用国際規格 ISO 一覧
- IEC 61508-3:2010(IDT)
JIS C 0508-3:2014の国際規格 ICS 分類一覧
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-3:2014の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISC0508-1:2012
- 電気・電子・プログラマブル電子安全関連系の機能安全―第1部:一般要求事項
- JISC0508-2:2014
- 電気・電子・プログラマブル電子安全関連系の機能安全―第2部:電気・電子・プログラマブル電子安全関連系に対する要求事項
- JISC0508-4:2012
- 電気・電子・プログラマブル電子安全関連系の機能安全―第4部:用語の定義及び略語