JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観

この規格ページの目次

参考文献
JIS C 0508-7:2017の引用国際規格 ISO 一覧
JIS C 0508-7:2017の国際規格 ICS 分類一覧
JIS C 0508-7:2017の関連規格と引用規格一覧

                                                                                             49
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      又は安全関連系の仕様外の入力条件(例えば,正しくない操作)に対する,安全関連系の機能的挙
      動を見直す。まれな入力条件の場合,安全関連系の観察した挙動を,仕様の内容と比較する。安全
      関連系の応答を規定していない場合, 観察した応答によって工場の安全を維持できるかどうかを確
      認することが望ましい。

参考文献

: Software Testing and Quality Assurance. K. Naik, P. Tripathy, Wiley Interscience, 2008, Print ISBN:
9780471789116 Online ISBN: 9780470382844
The Art of Software Testing, Second Edition. G. Myers et al., Wiley & Sons, New York, 2004, ISBN
0471469122, 9780471469124
Dependability of Critical Computer Systems 3. P. G. Bishop et al,. Elsevier Applied Science, 1990, ISBN
1-85166-544-7
B.6.9 ワーストケース状況テスト
注記この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
目的 : 最悪の場合の解析中に,規定する事例をテストする。
説明 : システム及び構成部品の設計寸法における動作時受容能力を,最悪の場合の条件下でテストする。
環境条件を,最大許容限度値に変更する。システムの最も重要な各応答を検査して,仕様と比較す
る。
B.6.10 フォールト挿入テスト
注記この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
目的 : システムハードウェアにおけるフォールトを導入又はシミュレーションして,その応答を文書化す
る。
説明 : これは,ディペンダビリティを評価する定性的手法である。できる限り,フォールトの位置及び種
類,並びに故障をどのように導入するか,を記述するために,詳細な機能ブロック,回路及び配線
図を用いることが望ましい。記述する事項には,例えば,様々なモジュールが電源を遮断する可能
性があること,電源,バス又はアドレスラインが開放又は短絡する可能性があること,構成部品又
はこれらのポートが開放又は短絡する可能性があること,リレーが開閉しなかったり間違ったタイ
ミングで開閉したりする可能性があることなどである。結果として起こるシステム故障は,例えば,
JIS C 5750-4-3の表1(一連の一般的な故障モードの例)及び表2(最終的な影響に関する故障の厳
しさの分類の事例)に示されるように分類する。原則として,単一定常状態フォールトを導入する。
ただし,フォールトが内蔵診断テストによって検知できない場合,又はフォールトが顕在化しない
場合,そのフォールトをシステム内に残しておくことで,2番目のフォールトの影響を考慮するこ
とができる。フォールトの数が数百に及ぶことは簡単に起こる可能性がある。
この作業は多くの専門分野にわたるメンバーによるチームが実施し,これに,システムのベンダ
ーも出席して協議することが望ましい。深刻な結果を伴う平均故障間運用時間を,計算又は推定す
ることが望ましい。計算した時間が短い場合,部分改修を実施することが望ましい。

参考文献

: JIS C 5750-4-3:2011 ディペンダビリティマネジメント−第4-3部 : システム信頼性のための解析技
法−故障モード・影響解析(FMEA)の手順

――――― [JIS C 0508-7 pdf 51] ―――――

50
C 0508-7 : 2017 (IEC 61508-7 : 2010)
      注記 対応国際規格 : IEC 60812:2006,Analysis techniques for system reliability−Procedure for failure
            mode and effects analysis (FMEA)
    IEC 61069-5:1994,Industrial-process measurement and control−Evaluation of system properties for the
        purpose of system assessment−Part 5: Assessment of system dependability

――――― [JIS C 0508-7 pdf 52] ―――――

                                                                                             51
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
                                          附属書C
                                          (参考)
           ソフトウェア安全度を達成するための技術及び手法の概要
                                 (JIS C 0508-3参照)
C.1 一般
  この附属書に記載する技術の概要が完全,又は全てを網羅しているとはみなさないことが望ましい。
C.2 要求事項及び詳細設計
    注記 関連技術及び手法は,B.2に記載がある。
C.2.1 構造化図表法
    注記 この技術及び手法は,JIS C 0508-3の表A.2及び表A.4で引用されている。
C.2.1.1 一般
目的 : 構造化手法の主な目的は,ライフサイクルの初期の部分に注意を向けることによって,ソフトウェ
      ア開発の質を高めることである。これらの方法は,正確かつ直感的な手順と表記法(コンピュータ
      で支援される)との両方によって達成することを目標としており,要求事項及び実装機能を論理的
      順序及び構造化された方式で定め,文書化することを狙いとしている。
説明 : 構造化手法としては様々なものが存在する。従来のデータ処理及びトランザクション処理のために
      設計されたものもあり,プロセス制御及びリアルタイムアプリケーション(安全を重視する傾向に
      ある)のために設計されたものもある。UML(統一モデル化言語,C.3.12参照)は,構造化表記の
      例を多く含んでいる。
        構造化手法は,基本的に,問題又はシステムを体系的に認識して分割するための,“思考ツール”
      である。これらの方法の主な特徴を,次に示す。
      − 大きな問題を管理可能な段階に分割する,論理的思考順序
      − 環境及び要求するシステムを含め,システム全体の解析及び文書化
      − 要求するシステムにおけるデータ及び機能の分割
      − チェックリスト,すなわち,解析を必要とする事項の分類表
      − 高度な知識を必要としない処理−単純,直感的又は実用的なもの
      − 意図したシステムの図解モデルの開発に大きな重点を置いていることが多く,方法全体に対す
          るCASEツール支援をもつ。
        問題及びシステムエンティティ(例えば,処理及びデータフロー)を解析し,文書化するための
      支援表記法は厳密になる傾向があるが,これらのエンティティが実施する処理機能を表現するため
      の表記法は,略式となる傾向がある。ただし,幾つかの方法では,(数学的に)形式的な表記法を部
      分的に用いる(例えば,正規表現又は有限状態機械)。厳密さを増すことによって,誤解の範囲を狭
      めるばかりでなく,自動処理の範囲を提供することとなる。
        構造化表記法の別の利点は,その可視性であり,使用者は,強力ではあるが言明されていない知
      識に照らして,仕様又は設計を直感的にチェックすることができる。

――――― [JIS C 0508-7 pdf 53] ―――――

52
C 0508-7 : 2017 (IEC 61508-7 : 2010)
        ここでは,幾つかの構造化手法について更に詳しく説明する。

参考文献

: Software Engineering for Real-time Systems. J. E. Cooling, Pearson Education, 2003, ISBN 0201596202,
9780201596205
Software Design. D. Budgen, Pearson Education, 2003, ISBN 0201722194, 9780201722192
C.2.1.2 要求事項の制約表現(CORE)
目的 : 全ての要求事項が決定され,かつ,表現されていることを確実にする。
説明 : このアプローチは,顧客又はエンドユーザと解析者との間の食い違いの橋渡しをすることを目的と
している。この方法は,数学的に厳密なものではなく,情報の疎通を支援するものである。すなわ
ち,COREは,仕様作成のためというよりも,要求事項の表現のために設計する。このアプローチ
は構造化されており,表現を様々な段階を経て詳細にする。CORE方法は,問題を広い観点から扱
うことを奨励し,システムを用いることになる環境についての知識及び様々な種類の使用者の種々
の観点を導入する。COREは,“基本設計”からの逸脱を認識するための指針及び方法を含む。逸脱
は訂正するか,又は明白に識別して文書化することができる。したがって,仕様は完全でなくても
よいが,未解決の問題及びリスクが高いエリアを検出し,後の設計において考慮する必要がある。

参考文献

: Software Engineering for Real-time Systems. J. E. Cooling, Pearson Education, 2003, ISBN 0201596202,
9780201596205
Requirements Engineering. E. Hull, K. Jackson, J. Dick. Springer, 2005, ISBN 1852338792, 9781852338794
C.2.1.3 ジャクソンシステム開発(JSD)
目的 : リアルタイムシステムに特別な重点を置き,要求事項からコードまでのソフトウェアシステムの開
発をカバーする開発方法。
説明 : JSDは,開発者がシステム機能の基礎となる実世界の挙動をモデル化し,要求する機能を決め,モ
デルに挿入し,結果としての仕様を目標環境において実現可能な仕様に変換する,段階的な開発手
順である。したがって,この手順では,従来の仕様作成,設計及び開発のフェーズを含むが,トッ
プダウンでない点で,従来の方法とは多少異なる立場をとる。
さらに,この方法では,実世界において製作するシステムに関わるエンティティを発見する初期
の段階に大きな重点を置き,これらのエンティティをモデル化して,これらのエンティティに何が
起こる可能性があるかをモデル化することに重点を置く。まず,“実世界”についてのこの解析がな
され,モデルを作成し,システムに要求する機能がこの実世界モデルにどれくらい適合するかを求
めるために,システムに要求する機能を解析する。結果としてのシステムモデルを,モデル内の全
てのプロセスの構造化記述を付け加えることによって補強し,その後,モデル全体を目標ソフトウ
ェア及びハードウェア環境で運用するプログラムに変換する。

参考文献

: Systems Analysis and Design. D. Yeates, A. Wakefield. Pearson Education, 2003, ISBN 0273655361,
9780273655367
An Overview of JSD. J. R. Cameron. IEEE Transactions on Software Engineering, SE-12, No. 2, February 1986

――――― [JIS C 0508-7 pdf 54] ―――――

                                                                                             53
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
C.2.1.4 リアルタイムヨードン法
目的 : リアルタイムシステムの仕様作成及び設計。
説明 : この技術の根拠となっている開発手法では,開発中のシステムの3段階の展開を仮定している。第
      1段階は,“基本的モデル”,すなわち,システムによって要求する挙動を説明するモデルの形成に
      関わる。第2段階は,実装した場合,要求する挙動を具象化する構造及び機構を説明する実装モデ
      ルの形成に関わる。第3段階は,ハードウェア及びソフトウェアのシステムの実際の形成に関わる。
      これらの3段階は,おおまかには,従来の仕様作成,設計及び開発フェーズに対応するが,各段階
      において開発者がモデル化活動に関わるということに重点が置かれる点が従来のものとは異なる。
        基本的モデルを,次の二つの部分で構成する。
      − システムとその環境間との境界についての説明,及びシステムが応答しなければならない外部
          事象についての説明を含む環境モデル
      − 事象に応答してシステムが行う形態変化を説明するスキーム,及びシステムが応答するために
          保持しなければならないデータに関する記述を含む挙動モデル
        さらに,実装モデルを個々の処理のプロセッサへの割当て及び処理のソフトウェアモジュールへ
      の分解を取り扱う,サブモデルに分割する。
        これらのモデルを得るために,この技術では,他のよく知られた多数の技術,すなわち,データ
      フロー図,変換グラフ,構造化英語,状態遷移図及びペトリネットを組み合わせる。さらに,この
      方法は,要求するシステム設計を,紙面上又は作成するモデルから機械的にシミュレーションする
      技術を含む。

参考文献

: Real-time Systems Development. R. Williams. Butterworth-Heinemann, 2006, ISBN 0750664711,
9780750664714
Structured Development for Real-Time Systems (3 Volumes). P. T. Ward and S. J. Mellor. Yourdon Press, 1985
C.2.2 データフロー図
注記この技術及び手法は,JIS C 0508-3の表B.5及び表B.7で引用されている。
目的 : プログラムを通過するデータフローを図の形で表す。
説明 : データフロー図は,データ入力をどのように出力に変換するかを文書化するものであり,図式中の
各段階は明瞭な変換を表す。
データフロー図は,三つの構成部品で構成する。
− 注釈付き矢印変換部を出入りするデータフローを表し,注釈にはデータが何のデータである
かを記載する。
− 注釈付きバブル変換部を表す円,注釈には変換内容を記載する。
− 演算子(and,xor) これらの演算子は,注釈付き矢印をリンクするために用いる。
データフロー図中の各バブルは,入力を直ちに出力に変換する独立ブラックボックスと考えるこ
とができる。主な利点の一つは,これらの変換をどのように実装するかについての仮定を全く設け
ることなく,バブルが変換を示すことである。純粋なデータフロー図は,制御情報又はシーケンス
情報も含まないが,これは,リアルタイムヨードン法(C.2.1.4を参照)におけるように,表記法へ
のリアルタイム拡張によって補う。
データフロー図の作成のためには,システム入力を考慮して,システム出力に向かって作業する

――――― [JIS C 0508-7 pdf 55] ―――――

次のページ PDF 56

JIS C 0508-7:2017の引用国際規格 ISO 一覧

IEC 61508-7:2010(IDT)

JIS C 0508-7:2017の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.240 : 情報技術(IT)の応用　>　35.240.50 : 産業におけるITの応用

25 : 生産工学　>　25.040 : 産業オートメーションシステム　>　25.040.40 : 工業計測及び制御

JIS C 0508-7:2017の関連規格と引用規格一覧

規格番号: 規格名称