この規格ページの目次
44
C 0508-7 : 2017 (IEC 61508-7 : 2010)
Wiley and Sons, 1991, ISBN 0471288829, 9780471288824
B.6.6.4 故障モード影響及び致命度解析(FMECA)
注記 この技術及び手法は,JIS C 0508-3の表A.10,表B.4,表C.10及び表C.14で引用されている。
目的 : どの構成部品が設計又は運転中に特別な注意及び適切な管理手段を必要とするかを決めるために,
単一故障が傷害,損傷又はシステム劣化に結び付く可能性がある構成部品の致命度のランク付けを
する。
説明 : この手法はFMEAに類似するものであるが,致命度を示すための欄は一つ又は複数あり,多くの方
法でランク付けすることができる。最も労力を必要とする手法は,米国自動車技術者協会(SAE)
の規格,ARP 926に記載されている。この手順において,構成部品の致命度数は,クリティカルモ
ードにおける各100万回の運転中に予期される,特定の種類の故障の数によって示される。致命度
数は,九つのパラメータの関数であり,これらのパラメータの大半は,測定する必要がある。致命
度を求めるための非常に簡単な手法は,構成部品故障の確率に,発生する可能性がある損害を乗じ
る方法であり,この手法は,単純なリスク要因評価に似ている。
参考文献
: JIS C 5750-4-3:2011 ディペンダビリティ マネジメント−第4-3部 : システム信頼性のための解析技法−故障モード・影響解析(FMEA)の手順
注記 対応国際規格 : IEC 60812:2006,Analysis techniques for system reliability−Procedure for failure
mode and effects analysis (FMEA)
Software criticality analysis of COTS/SOUP. P. Bishop, T. Clement, S. Guerra. In Reliability Engineering &
System Safety, Volume 81, Issue 3, September 2003, Elsevier Ltd., 2003
Software FMEA techniques. P.L.Goddard. In Proc Annual 2000 Reliability and Maintainability Symposium,
IEEE, 2000, ISBN: 0-7803-5848-1
B.6.6.5 フォールトの木解析(FTA)
注記 この技術及び手法は,JIS C 0508-3の表B.4及び表C.14で引用されている。
目的 : 潜在危険若しくは重大な結果に至る事象,又はこれらの事象の組合せを解析する手助けをし,最上
位事象の確率計算をする。
説明 : 潜在危険又は重大な結果の直接的な原因となる可能性がある事象(“最上位事象”)から始め,その
原因を特定するために解析を実施する。この解析は,論理演算子(and,orなど)を用いて,数ス
テップを経て行う。中間原因についても同様に解析を進め,基本事象に戻って解析を停止する。
この手法は,図表を使うもので,フォールトの木を描くために標準化されている記号を用いる。
解析の終了時,フォールトの木は,基本事象(一般に,構成部品の故障)を最上位事象(全体シス
テムの故障)にリンクさせる論理的機能を表す。この技術は,主として,ハードウェアシステムの
解析のためのものであるが,このアプローチをソフトウェア故障解析に適用する試みもなされてい
る。この技術は,定性的には故障解析のために(故障シナリオの同定 : ミニマル カットセット又は
プライム インプリカント),半定量的に(確率によるランキングシナリオによって)及び定量的に
は,最上位事象の確率計算をするために,用いることができる(C.6参照)。
参考文献
: JIS C 5750-4-4:2011 ディペンダビリティ マネジメント−第4-4部 : システム信頼性のための解析技――――― [JIS C 0508-7 pdf 46] ―――――
45
C 0508-7 : 2017 (IEC 61508-7 : 2010)
法−故障の木解析(FTA)
注記 対応国際規格 : IEC 61025:2006,Fault tree analysis (FTA)
From safety analysis to software requirements. K.M. Hansen, A.P. Ravn, A.P, V Stavridou. IEEE Trans Software
Engineering, Volume 24, Issue 7, Jul 1998
B.6.6.6 マルコフモデル
注記 ハードウェア安全度を解析するために,信頼性ブロック図に対してこの技術を用いる場合は,
IEC 61508-6のB.1を参照。
目的 : 状態遷移図によってシステムの挙動をモデル化し,確率論的システムパラメータ(例えば,非信頼
性,非可用性,MTTF,MUT,MDTなど)を評価する。
説明 : これは,直接,図表で表した有限状態オートマトン(B.2.3.2参照)である。ノード(円)は状態を
表し,ノード間のエッジ(矢印)は状態間で発生した遷移(故障,修理など)を表す。エッジは,
対応する故障率又は修理率で重み付けする。一様マルコフ過程の基本特性は,未来が現在によって
だけ左右されることである。状態Nからこれに続く状態N+1に左右されるが,これ以前の状態N-1
からは独立している。このことは,モデルの全ての確率論的法則が指数関数的であることを暗示し
ている。
故障事象,故障状態及び故障率は,システムの精細な記述ができるような方法で詳述できる。例
えば,検出又は未検出故障,より大きな故障の発現などである。プルーフテストの間隔は,一つの
フェーズの終了時(例えば,プルーフテスト直前)の状態の確率を用いて,次のフェーズの初期状
態(例えば,プルーフテスト完了後の各種状態の確率)を計算できる,いわゆるマルチフェーズマ
ルコフ過程を用いて適切にモデル化してもよい。
マルコフ技術は,構成部品の故障及び修理によって,冗長性の水準が時間とともに変動する多重
システムのモデル化に適している。その他の古典的手法(例えば,FMEA,FTAなど)は,対応す
る確率を計算するための単純な組合せ公式がないので,システムのライフサイクル全体にわたる故
障の影響をモデル化するために,そのまま適用することができない。
最も単純な事例では,システムの確率を記述する形式を文献で簡単に見つけるか,又は手作業で
計算することができ,より複雑な事例を処理するための簡易化手法(すなわち,状態数を減らす方
法)も幾つかある。
いずれの場合も,数学的に,一様マルコフ図は,一定係数をもつ線形微分方程式の単純かつ共通
集合にすぎない。このことは長い間解析され,強力なアルゴリズムが開発されており,これらの式
を処理するために利用されている。したがって,モデルのサイズが増えた場合,各種コンピュータ
ソフトウェアパッケージに実装されている上記アルゴリズムを用いると,効率がよくなる。
図のサイズは,構成部品の個数に合わせて指数関数的に増加する。これは,いわゆる組合せ的爆
発である。したがって,この技術は,小さなシステムの場合に限り,近似化せずに利用できる。
非指数関数的法則を取り扱う場合(半マルコフモデル),モンテカルロシミュレーション(B.6.6.8
参照)を用いることが望ましい。
参考文献
: IEC 61165:2006,Application of Markov techniquesThe Theory of Stochastic Processes. R. E. Cox and H. D. Miller, Methuen and Co. Ltd., London, UK, 1963
Finite MARKOV Chains. J. G. Kemeny and J. L. Snell. D. Van Nostrand Company Inc, Princeton, 1959
――――― [JIS C 0508-7 pdf 47] ―――――
46
C 0508-7 : 2017 (IEC 61508-7 : 2010)
The Theory and Practice of Reliable System Design. D. P. Siewiorek and R. S. Swarz, Digital Press, 1982
Scurisation des architectures informatiques. Jean-Louis Boulanger, Herms−Lavoisier, 2009, ISBN:
978-2-7462-1991-5
B.6.6.7 信頼性ブロック図(RBD)
注記1 この技術及び手法は,IEC 61508-6の附属書Bで用いられている。
注記2 C.6.4も参照。
目的 : システム又は業務の運用に成功するために,発生しなければならない事象と満足されなければなら
ない条件との組合せを,図式的な形でモデル化する。これは解析手法というよりは,表現手法であ
る。
説明 : 解析の目標を,ブロック,ライン及び論理的接合部からなる成果経路として表す。成果経路は,図
式の一方の側から出発し,ブロック及び接合部を経由して,図式の反対側まで続く。ブロックは条
件又は事象であり,経路は,条件が真である場合又は事象が発生した場合,ブロックを通過する。
経路が接合部に達し,接合部のロジックを満たした場合,先を続ける。頂点に達した場合,全ての
引出線に沿って進んでもよい。図式を1本以上の成果経路が通過している場合,解析目標は適切に
動作している。
RBDは,モデル化されたシステムの構造的表現である。これは,一種の電気回路といえる。つま
り,電流が入力から出力に流れる経路が見つかることは,モデル化されたシステムが適切に動作し
ていることを示しており,回路が遮断された場合は,モデル化されたシステムが故障したことを示
す。このことから,モデル化されたシステムの故障を引き起こす各故障(すなわち,RBDが“遮断”
されている場所)の組合せを表す,最小限の遮断セット(ミニマル カットセット)という概念が生
まれる。
数学的には,RBDはフォールトの木に似ている。これは,(故障しているか又は動作しているか
の)個別の構成部品の状態を,(故障しているか又は動作しているかの)システム全体に連結する論
理的機能を表す。したがって,計算は,フォールトの木について説明したものに類似している。
参考文献
: IEC 61078:2006,Analysis techniques for dependability−Reliability block diagram and boolean methodsScurisation des architectures informatiques. Jean-Louis Boulanger, Herms−Lavoisier, 2009, ISBN:
978-2-7462-1991-5
B.6.6.8 モンテカルロシミュレーション
注記 この技術及び手法は,IEC 61508-6の附属書Bで用いられている。
目的 : 解析手法が実用可能でない場合に,乱数を発生させて実世界現象をシミュレーションする。
説明 : モンテカルロシミュレーションは,次の2種類の問題点を解決するために用いる。
− 確率論的。乱数を確率論的現象の発生に利用する。
− 決定論的。数学的に,等価の確率論的問題(例えば,積分計算)に転換する。
モンテカルロシミュレーションの原理は,乱数を用いて,検討対象のシステムの挙動上の機能的
及び非機能的モデルをアニメーション化することにある。こうした挙動モデルは,状態遷移モデル
(マルコフ図,ペトリネット,形式言語など)によって与えられる。モンテカルロシミュレーショ
ンは,統計的結果を導き出すための大きな統計的サンプルを生成するために実行する。
――――― [JIS C 0508-7 pdf 48] ―――――
47
C 0508-7 : 2017 (IEC 61508-7 : 2010)
モンテカルロシミュレーションを用いる場合,バイアス,許容差又はノイズが妥当な値を確実に
もつように注意する必要がある。これらは,シミュレーションから容易に得られる信頼期間を通じ
て管理する。解析手法とは異なり,モンテカルロシミュレーションは自己近似を行う。モデル簡易
化のために,無視できるような事象は特定する必要もなく,ただ出現しないだけである。
モンテカルロシミュレーションの一般原理は,初めに記述したとおりの問題に取り組むのではな
く,むしろその問題を再記述及び再公式化して,得られる結果ができるだけ正確なものとなるよう
にすることである。
モンテカルロシミュレーションは,SIL計算及び信頼性データの不確かさを考慮する場合に利用
してもよい。現在のコンピュータでは,SIL4計算を簡単に行うことができる。
参考文献
: Monte Carlo Methods. J. M. Hammersley, D. C. Handscomb, Chapman & Hall, 1979Scurisation des architectures informatiques. Jean-Louis Boulanger, Herms−Lavoisier, 2009, ISBN:
978-2-7462-1991-5
B.6.6.9 フォールトの木モデル
注記1 ハードウェア安全度解析でこの技術を利用する場合は,IEC 61508-6を参照。
注記2 フォールトの木は,安全妥当性確認手段として上記に記載している(B.6.6.5参照)。フォー
ルトの木は,故障解析及び確率論的計算でも広く利用されている。
目的 : 系統的なトップダウン図式(因果関係)アプローチによって,基礎事象(故障モード)を最上位事
象(望まれない事象)とリンクさせる論理的機能を構築する。
説明 : これは,解析者がモデルを段階的に作成することを支援する解析手法であり,同時に,確率論的計
算をするための数学的モデルでもある。次のことを可能にする。
− 故障シナリオ(ミニマル カットセット又はプライム インプリカント)の特定及び分別による
定性的解析
− シナリオを,その発生確率に応じてランキングすることによる半定量的解析
− 最上位事象の確率を計算することによる定量的解析
RBD(信頼性ブロック図)と同様に,フォールトの木は,(故障しているか又は動作しているか
の)個別の構成部品の状態を,(故障しているか又は動作しているかの)システム全体に連結する論
理的(ブール)機能を表す。したがって,構成部品が独立している場合,確率論的計算は,論理的
機能に適用する確率の基礎特性を適用するだけで行ってもよい。基本的に,真の(すなわち,定数
の)確率だけで動作する静的モデルであるため,この確率論的計算はそれほど簡単ではない。時間
依存確率は,慎重に扱わなければならない。例えば,定期的にプルーフテストを受ける構成部品か
らなる安全系のPFDavgはそのまま計算することはできないし,連続モードで動作する安全系のPFH
の場合計算は更に困難になる。したがって,基本となる数学を十分に理解している信頼できる技術
者だけが,この手法で非可用性又はPFD,及び非信頼性又はPFHの計算をすることが望ましい。
計算は,非常に単純なフォールトの木の場合,手作業で行ってもよいが,過去50年にわたり,複
雑な論理式を扱うために多くのアルゴリズムが開発及び実装されてきた。現時点での最新技術とし
ては,論理式をコンピュータメモリにコンパクトにコード化する技術であるBDD(二分決定図)が
利用されている。現時点では,工業規模のシステムについて,近似化をせずに確率的計算を行うこ
とが可能な唯一の手法である。速さも十分であり,モンテカルロシミュレーションによって不確か
――――― [JIS C 0508-7 pdf 49] ―――――
48
C 0508-7 : 2017 (IEC 61508-7 : 2010)
さを扱える。
参考文献
: JIS C 5750-4-4:2011 ディペンダビリティ マネジメント−第4-4部 : システム信頼性のための解析技法−故障の木解析(FTA)
注記 対応国際規格 : IEC 61025:2006,Fault tree analysis (FTA)
B.6.6.10 一般化確率ペトリネットモデル(GSPN)
注記1 ハードウェア安全度解析でこの技術を利用する場合は,IEC 61508-6を参照。
注記2 B.2.3.3では,ペトリネットを準形式手法として述べている。ペトリネットは,ハードウェア
安全度についても効率的に利用されている。
目的 : モンテカルロシミュレーションに対する効率的支援を与えるために,モデル化された実際のシステ
ムにできるだけ近い挙動をする機能的及び非機能的モデルを図式的に構築する。
説明 : これは,B.2.3.3で説明した非同期有限状態オートマトンであるが,安全系の非機能的挙動をモデル
化する場合,準形式妥当性確認を行ったときの優れた特性は,もはや存在しなくなる。いわゆるプ
レース(円で図示)は可能性のある状態を,いわゆる遷移(長方形で図示)は発生する可能性のあ
る事象を表している。プレースの表示に加えて(B.2.3.3参照),遷移の妥当性確認(有効化)のた
めにメッセージ又は述語を用いてもよく,遷移の妥当性確認からその発生までに経過した遅れは決
定論的でも,確率的でもよい。このために,ペトリネットは“一般化確率”ペトリネットと呼ばれ
る。
ペトリネットは,モンテカルロシミュレーションの支援として,非常に効率のよい柔軟な挙動モ
デルを構成する(B.6.6.8参照)。いずれにしても,モンテカルロシミュレーション自体の正確さは,
常に分かっているので,これを除いても,他の手法の限界(依存性,組合せ的爆発,非指数関数的
法則など)の全てを克服している。現在のコンピュータでは,SIL4の評価でも,もはや問題とはな
らない。
参考文献
: IEC 62551,Analysis techniques for dependability−Petri net modelling (CD1)Scurisation des architectures informatiques. Jean-Louis Boulanger, Herms−Lavoisier, 2009, ISBN:
978-2-7462-1991-5
B.6.7 最悪条件解析
注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
目的 : 環境条件と構成部品許容差との好ましくない組合せから生じる,決定論的原因故障を回避する。
説明 : システム及び構成部品の設計寸法における動作時受容能力を,理論に基づき調査又は計算する。環
境条件を,最大許容限度値に変更する。システムの最も重要な各応答を検査して,仕様と比較する。
B.6.8 拡張機能テスト
注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
目的 : 仕様作成及び設計,又は開発フェーズ中の故障を明らかにする。まれな入力又は規定していない入
力があった場合の安全関連系の挙動をチェックする。
説明 : 拡張機能テストでは,まれにしか起こらないものと予想されている入力条件(例えば,重大故障)
――――― [JIS C 0508-7 pdf 50] ―――――
次のページ PDF 51
JIS C 0508-7:2017の引用国際規格 ISO 一覧
- IEC 61508-7:2010(IDT)
JIS C 0508-7:2017の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.50 : 産業におけるITの応用
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-7:2017の関連規格と引用規格一覧
- 規格番号
- 規格名称