この規格ページの目次
74
C 0508-7 : 2017 (IEC 61508-7 : 2010)
であるとみなす場合,その結果をコンピュータ出力に伝送する。
基本的要求事項は,N個のバージョンをある意味で相互に独立させ,これらが同一原因によって
同時に故障を起こさないようにすることである。実際には,N個のバージョン手法の基礎となって
いるバージョンの独立性を達成及び実証することは,非常に困難な場合がある。
N個のバージョンは別々のコンピュータで並列に実行することもできるが,これに代わる方法と
して,全てのバージョンを同一コンピュータ上で実行し,その結果を内部票決にかけることもでき
る。適用する要求事項によっては,N個のバージョンについて種々の異なる票決手法を,次のよう
に用いてもよい。
− システムが安全な状態をもつ場合,完全な一致(全てのNが一致する)を要求することが妥当
であり,そうでないときには,システムを安全な状態に到達させる出力値を一つ用いる。単純
なトリップシステムの場合,票決は安全方向へ偏らせることができる。この場合,安全動作と
しては,いずれかのバージョンがトリップを要求したときに,トリップすることになる。この
アプローチは,通常は,二つのバージョンだけを用いる(N=2)。
− 安全な状態をもたないシステムの場合,多数決による票決手段を採用することができる。全体
的一致がない場合,正確な値を選択する機会を最大にするために,例えば,中央値をとる,一
致が戻るまで出力を一時的に凍結する,などの確率的アプローチを用いてもよい。
この技術は,残留するソフトウェア設計フォールトを取り除くことも,仕様解釈上のエラーを避
けることもできないが,これらが安全性に影響を及ぼす前に検出しマスクする手段を提供する。
参考文献
: Modelling software design diversity−a review, B. Littlewood, P. Popov, L. Strigini. ACM Computing Surveys,vol 33, no 2, 2001
The N-Version Approach to Fault-Tolerant Software, A.Avizienis, IEEE Transactions on Software Engineering,
vol. SE-11, no. 12 pp.1491-1501, 1985
An experimental evaluation of the assumption of independence in multi-version programming, J.C. Knight, N.G.
Leveson. IEEE Transactions on Software Engineering, vol. SE-12, no 1, 1986
In Search of Effective Diversity: a Six Language Study of Fault-Tolerant Flight Control Software. A. Avizienis,
M. R. Lyu and W. Schutz. 18th Symposium on Fault-Tolerant Computing, Tokyo, Japan, 27-30 June 1988,
IEEE Computer Society Press, 1988, ISBN 0-8186-0867-6
C.3.6 バックワードリカバリ
注記 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : 一つ又は複数のフォールトがある状態において,正しい機能動作を提供する。
説明 : フォールトを検出した場合,システムを,あらかじめその一貫性を証明されている初期の内部状態
にリセットする。この手法は,適切に定義したチェックポイントにおいて,内部の状態を頻繁に保
存することを意味する。これは,大域的に(データベース全体について)行ってもよいし,増分的
に(チェックポイント間の変化だけに)行ってもよい。その後,システムは,その間に起こった変
化を,日誌処理(動作の監査ロギング),補正(これらの変化の全ての影響をゼロにする。),又は
外部(手動)相互作用を用いることによって補正する必要がある。
参考文献
: Looking into Compensable Transactions. Jing Li, Huibiao Zhu, Geguang Pu, Jifeng He. In Software――――― [JIS C 0508-7 pdf 76] ―――――
75
C 0508-7 : 2017 (IEC 61508-7 : 2010)
Engineering Workshop, 2007. SEW2007. IEEE, 2007, ISBN 978-0-7695-2862-5
Software Fault Tolerance (Trends in Software, No. 3), M. R. Lyu (ed.), John Wiley & Sons, April 1995, ISBN
0471950688
C.3.7 再試行フォールト回復メカニズム
注記 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : 検出したフォールト状態から,再試行メカニズムによって機能回復を試みる。
説明 : フォールト又はエラー状態を検出した場合,同じコードを再実行することによって状況を回復する
ように試みる。再試行による回復によって,ソフトウェアのタイムアウト又はタスク監視動作の後
の,リブート及び再始動手順,又は小規模のリスケジューリング及び再起動タスクと同程度に完全
に行うことができる。再試行技術は,通信フォールト又はエラー回復で通常用いるもので,再試行
条件は,通信プロトコルエラー(チェックサムなど)又は通信受領応答タイムアウトからフラグを
立てることができるかもしれない。
参考文献
: Reliable Computer Systems: Design and Evaluation, D.P. Siewiorek, R.S. Schwartz. A.K. Peters Ltd., 1998,ISBN 156881092X, 9781568810928
C.3.8 グレースフルデグラデーション
注記 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : 故障の有無にかかわらず,重要度が小さい方のシステム機能を見放すことによって,重要度が大き
い方のシステム機能を有効状態に維持する。
説明 : この技術は,システムにおいて実行する様々な機能に優先権を与える。設計では,全てのシステム
機能を実行するだけの資源が不足している場合,優先度が高い機能が,優先度が低い機能よりも優
先的に実行することを確実にする。例えば,エラーロギング及び事象ロギング機能は,システム制
御機能よりも優先度が低くてもよく,その場合,エラーロギングに関わるハードウェアが故障した
場合でも,システム制御は継続される。さらに,システム制御ハードウェアが故障したが,エラー
ロギングハードウェアが故障していない場合,エラーロギングハードウェアが制御機能を引き継ぐ
こともある。
この技術は,主としてハードウェアに適用する技術だが,ソフトウェアを含むシステム全体にも
適用することができる。ただし,このことは,最上部の設計フェーズから考慮に入れる必要がある。
参考文献
: Towards the Integration of Fault, Resource, and Power Management, T. Siridakis. In Computer Safety,Reliability, and Security: 23rd International Conference, SAFECOMP 2004. Eds. Maritta Heisel et. al.
Springer, 2004, ISBN 3540231765, 9783540231769
Achieving Critical System Survivability Through Software Architectures, J.C. Knight, E.A. Strunk. Springer
Berlin / Heidelberg, 2004, 978-ISBN 3-540-23168-4
The Evolution of Fault-Tolerant Computing. Vol. 1 of Dependable Computing and Fault-Tolerant Systems,
Edited by A. Avizienis, H. Kopetz and J. C. Laprie, Springer Verlag, 1987, ISBN 3-211-81941-X
Fault Tolerance, Principle and Practices. T. Anderson and P. A. Lee, Vol. 3 of Dependable Computing and
Fault-Tolerant Systems, Springer Verlag, 1987, ISBN 3-211-82077-9
――――― [JIS C 0508-7 pdf 77] ―――――
76
C 0508-7 : 2017 (IEC 61508-7 : 2010)
C.3.9 人工知能−フォールト修正
注記1 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : メソッドとプロセスモデルとの組合せ,並びにある種のオンラインでの安全性及び信頼性解析を導
入することによって,非常に融通の利く方法で,潜在危険に反応できるようにする。
説明 : フォールト予報(トレンドの計算),フォールト修正,保全及び監督動作は,人工知能(AI)に基
づくシステムによって,システムの多様なチャネルにおいて非常に効率がよい方法で支援してもよ
い。なぜならば,その場合,規則を仕様から直接導き出して,仕様に照らしてチェックできるかも
しれないからである。仕様に入り込む幾つかの共通のフォールトは,幾つかの設計及び実装規則を
事前に暗黙のうちに心にとどめることによって,特に,モデルとメソッドとの組合せを機能的又は
説明的な方式で適用するとき,このアプローチによって,有効に回避できる場合がある。
希望する安全度を満たすために,フォールトを修正し,故障の影響を最小限に抑えるようにメソ
ッドを選択する。
注記2 不良データを修正する場合の警告はC.3.2を,この技術に関して推奨しない事項はJIS C
0508-3の表A.2の項目5(人工知能−フォールト修正)を参照。
参考文献
: Fault Diagnosis: Models, Artificial Intelligence, Applications. J. Korbicz, J. Koscielny, Z. Kowalczuk, W.Cholewa. Springer, 2004, ISBN 3540407677, 9783540407676
C.3.10 動的再構成
注記 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : 内部フォールトが発生した状態においても,システムの機能性を維持する。
説明 : システムのロジックアーキテクチャは,システムの使用可能な資源の1サブセットにマッピングで
きるようなものである必要がある。アーキテクチャは,物理的資源の故障を検出し,その後,ロジ
ックアーキテクチャを,機能し続けている制限した資源にマッピングし直すことができる必要があ
る。この考え方は,従来,故障したハードウェアユニットからの復旧に限られていたが,ソフトウ
ェアの再試行を可能とする十分な“実行時冗長性”がある場合,又は個々の隔離した故障をほとん
ど重要でないものにする十分な冗長データがある場合,故障したソフトウェアユニットにも適用で
きる。
この技術は,システム設計の第一段階において考慮する必要がある。
参考文献
: Dynamic Reconfiguration of Software Architectures Through Aspects. C. Costa et al. Lecture Notes inComputer Science, Volume 4758/2007, Springer Berlin / Heidelberg, 2007, ISBN 978-3-540-75131-1
C.3.11 リアルタイムでの安全性及び性能 : タイムトリガアーキテクチャ
注記1 この技術及び手法は,JIS C 0508-3の表A.2で引用されている。
目的 : 予測可能な挙動をもつ安全性が重要なリアルタイムシステムへの,フォールトトレランスを構成可
能にし,透明性のある実装を行う。
説明 : タイムトリガ(時間駆動)アーキテクチャ(TTA)システムにおいては,全てのシステム活動を,
大域的に同期している時間基準で開始して,進行もこの時間基準に基づいている。それぞれのアプ
リケーションには,バス上に時間駆動した固定時間スロットを割り当て,スロットには,各アプリ
――――― [JIS C 0508-7 pdf 78] ―――――
77
C 0508-7 : 2017 (IEC 61508-7 : 2010)
ケーションのジョブの間で交換するメッセージを納める。したがって,メッセージを,定義したス
ケジュールに従ってだけやりとりすることができる。その一方で,事象駆動システムにおいては,
システム活動が,時間内の予測できない時点での不特定事象によって動作している。TTAの重要な
利点を,次に示す(Scheidler, Heinerなどの参考文献を参照)。
− システムのテスト及び認証に必要な労力を大幅に減らす,構成可能性。
− アーキテクチャを安全が重要なアプリケーション用として高く推奨できるようにする,フォー
ルトトレランスの透明性のある実装。
− 分散型リアルタイムシステムの設計を容易にする,大域的同期化時間基準の提供。
時間駆動プロトコル[TTP/C(Kopetz, Hexel他の参考文献参照)]を用いて,メッセージ送信の時
期,及び受信メッセージが個別の電子モジュールに関連しているかどうかを決定する静的スケジュ
ールに従ってノード間通信を行う。また,時間の大域的概念(グローバルノーション)から導いた,
周期的時分割多重アクセス(TDMA)方式によってバスへのアクセスを管理する。
時間駆動プロトコルは,TTAノードのネットワーク(Rushbyの参考文献参照)において,次の4
種類の基本的サービス(コアサービス)を保証する(Kopetz,Bauerの参考文献参照)。
− 決定論的及び適時のメッセージ転送 推測的に分かっている時間限界内に,送信要素の出力ポ
ートから,受信要素の入力ポートまでのメッセージ転送。コントロールエラーの伝ぱ(播)を
設計によって排除し,要素間の結合を最小限に抑える時間ファイアウォールインタフェースを
経由して利用できる時間駆動通信サービスがフォールトトレラントな転送サービスを提供する。
レイテンシー及びジッタを最小限に抑えたメッセージの適時な転送サービスは,リアルタイム
アプリケーションでコントロールの安定性を実現するために不可欠である。
− フォールトトレラントな時刻同期 通信コントローラが,ホストサブシステムに送るフォール
トトレラントな大域時間基準を(数クロック間隔内の精度で)発生する。
− 故障しつつあるノードの一貫診断(メンバーシップサービス) 通信コントローラによって,全
てのSRU(“最小交換可能ユニット”)に対して,同一クラスタ内の他の全てのSRUの状態を,
1 TDMAラウンド未満の待ち時間で知らせる。
− 強力なフォールト隔離 フォールトを故意に発生させるホストサブシステム(そのソフトウェ
アを含む。)は,誤ったデータ出力を生成する可能性があるが,そのホストサブシステムがTTP/C
クラスタの残りの部分の適切な動作に何らかの干渉をすることは決してできない。通信コント
ローラの時間駆動された挙動によって,時間領域でのフェールサイレンスを保証する。
注記2 その他の時間駆動プロトコルとしては,フレックスレイ(FlexRay)及びタイムトリガード
イーサネット(TT-Ethernet)がある。
参考文献
: Time-Triggered Architecture (TTA). C. Scheidler, G. Heiner, R. Sasse, E. Fuchs, H. Kopetz, C. Temple. InAdvances in Information Technologies: The Business Challenge, ed. J-Y. Roger. IOS Press, 1998, ISBN
9051993854, 9789051993851
A Synchronisation Strategy for a TTP/C Controller. H. Kopetz, R. Hexel, A. Krueger, D. Millinger, A. Schedl.
SAE paper 960120, Application of Multiplexing Technology SP 1137, Detroit, SAE Press, Warrendale,
1996
The Time-Triggered Architecture. H. Kopetz, G. Bauer. Proceedings of the IEEE Special Issue on Modeling and
Design of Embedded Software, October 2002
――――― [JIS C 0508-7 pdf 79] ―――――
78
C 0508-7 : 2017 (IEC 61508-7 : 2010)
An Overview of Formal Verification for the Time-Triggered Architecture. J. Rushby: Invited paper, Oldenburg,
Germany, September 9-12, 2002. Proceedings FTRTFT 2002, Springer LNCS 2469, 2002, ISBN
978-3-540-44165-6
C.3.12 UML
注記 この技術及び手法は,JIS C 0508-3の表B.7で引用されている。
目的 : 複合系の希望する挙動をモデル化するための包括的表記法の一群を提供する。
説明 : UML(統一モデル化言語)は,その名前のとおり,ソフトウェア開発に包括的支援を与えることを
意図した,要求事項及び設計の表記法のまとまりである。UMLの一部は,他の手法で最初に導入し
た表記法(システムシーケンス図,状態遷移図など)に基づいており,その他の表記法はUML独
自のものである。UMLはオブジェクト指向コンセプトに強く偏向しているが,一部の表記法は,オ
ブジェクト指向プログラミングに進む必要なく利用することができる。UMLは,市販されている多
数のCASEツールで支援されており,これらのツールの多くは,UMLモデルから自動的にコード
を生成することが可能である。
安全関連系の仕様及び設計に最も一般的に適用されているUML表記法を,次に示す。
− クラス図
− 使用事例
− 活動図
− 状態遷移図(状態図)
− システムシーケンス図
その他のUML表記法は,ソフトウェアアーキテクチャ設計(ソフトウェア構造)の表現に関連
しているが,ここでは具体的に記載しない。
状態遷移図はB.2.3.2に,システムシーケンス図をC.2.14に示す。その他の表記法は,C.3.12.1,
C.3.12.2及びC.3.12.3で説明する。
C.3.12.1 クラス図
クラス図は,ソフトウェアが処理する必要があるオブジェクトのクラスを定義する。クラス図は,従来
のエンティティ関連属性の図に基づくものであるが,オブジェクト指向設計に適応させてある。各クラス
(実行時オブジェクトとして知られる,一つ又は複数のインスタンスがある。)を長方形で表現し,クラス
の間の各種関係を,線(ライン)又は矢印で示す。それぞれのクラスが提供する動作又はメソッド,及び
各クラスの属性を,図に追加することができる。表現可能な関係は,要素数を含む参照関係(クラスAの
インスタンスは,クラスBの一つ又は複数のインスタンスを参照する。)及び追加可能なメソッド及び属
性との専門化関係(クラスXは,クラスYを精細化したものである。)の両方である。複数の継承を表記
することができる。
C.3.12.2 使用事例
使用事例は,個別のシナリオに対するシステムの望ましい挙動を,通常は,システムの使用者(人)及
び外部システムを含む外部アクターの観点から,テキスト記述したものである。所定の使用事例に含まれ
る予備サブシナリオを用いて,特にエラー対応事例における選択可能な挙動を表現してもよい。一群の使
用事例を作成して,システム要求事項の十分に完璧な仕様を作成することができる。仕様事例は,システ
――――― [JIS C 0508-7 pdf 80] ―――――
次のページ PDF 81
JIS C 0508-7:2017の引用国際規格 ISO 一覧
- IEC 61508-7:2010(IDT)
JIS C 0508-7:2017の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.50 : 産業におけるITの応用
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-7:2017の関連規格と引用規格一覧
- 規格番号
- 規格名称