この規格ページの目次
99
C 0508-7 : 2017 (IEC 61508-7 : 2010)
Software Engineering. Ian Sommerville, Pearson Studium, 8. Auflage, 2007, ISBN 3827372577,
9783827372574
Software Configuration Management: Coordination for Team Productivity. W.A. Babich. Addison-Wesley, 1986,
ISBN 0201101610, 9780201101614
CMMI: guidelines for process integration and product improvement, Mary Beth Chrissis, Mike Konrad, Sandy
Shrum, Addison-Wesley, 2003, ISBN 0321154967, 9780321154965
C.5.25 リグレッション妥当性確認
注記 この技術及び手法は,JIS C 0508-3の表A.8で引用されている。
目的 : リグレッションテストから妥当な結論を導き出すことを確実にする。
説明 : 大きなシステム又は複雑なシステムのリグレッションテストは,通常,相当の労力及びリソースを
必要とする。可能な場合は,リグレッションテストを,システム開発における時点で直接的に影響
のあるシステム側面だけを対象とするように限定することが望ましい。この部分リグレッションテ
ストでは,部分テストの範囲について明確に理解し,テストしたシステム状態について妥当な結論
だけを導くことが重要である。
参考文献
: Managing the Testing Process: Practical Tools and Techniques for Managing Hardware and Software Testing.R.Black, John Wiley and Sons, 2002, ISBN 0471223980, 9780471223986
C.5.26 仕様及び設計のアニメーション
注記 この技術及び手法は,JIS C 0508-3の表A.9で引用されている。
目的 : 仕様の系統的検査によって,ソフトウェア適合確認を導く。
説明 : 実行可能コードよりも抽象的なソフトウェアの表現(すなわち,仕様又は高水準設計)を検査し
て,最終的な実行可能ソフトウェアの挙動を求める。この検査は,(高水準表現の性質及び抽象度
によって利用可能となった可能性に応じて)何らかの方法で自動化し,実行可能ソフトウェアの挙
動及び出力をシミュレーションする。このアプローチの一つの適用例は,後で実行可能ソフトウェ
アに適用でき,これによってテストプロセスをある程度まで自動化できるテスト(又は“オラクル”)
を生成することである。もう一つの適用例は,専門技術をもたない最終使用者でも,ソフトウェア
開発者が作業する仕様の詳細な意味をある程度理解できるように,ユーザインタフェースをアニメ
ーション化することである。これによって,両方の間に貴重な情報伝達方法を設ける。
参考文献
: Supporting the Software Testing Process through Specification Animation. T.Miller, P.Strooper. In Proceedingsof the First International Conference on Software Engineering and Formal Methods (SEFM'03), ed.
P.Lindsay. IEEE Computer Society, IEEE Computer Society, 2003, ISBN 0769519490, 9780769519494
B model animation for external verification. H.Waeselynck, S.Behnia, In Proceedings of the Second
International Conference on Formal Engineering Methods, 1998. IEEE Computer Society, 1998, ISBN
0-8186-9198-0
C.5.27 モデルベーステスト(テストケース生成)
注記 この技術及び手法は,JIS C 0508-3の表A.5で引用されている。
――――― [JIS C 0508-7 pdf 101] ―――――
100
C 0508-7 : 2017 (IEC 61508-7 : 2010)
目的 : システムモデルからの効率的で自動的なテストケース生成を容易にし,再現性の高いテスト一式を
生成する。
説明 : モデルベーステスト(MBT)は,テストケース生成(TCG)及びテスト結果評価のような,共通テ
ストタスクがテスト対象システム(アプリケーション)(SUT)のモデルに基づいているブラックボ
ックスアプローチである。通常,システムデータ及び使用者挙動は,有限状態機械,マルコフ過程,
判定表など(El-Far,2001,generalized)を利用してモデル化するだけにとどまらない。さらに,モ
デルベーステストをソースコード水準のテストカバレッジ測定値と組み合わせることができ,機能
モデルは既存のソースコードにベースをおくことができる。
モデルベーステストは,システム要求事項及び規定の機能性のモデルを用いて,効率的なテスト
ケース及び手順を自動的に生成することである(Software Tech,2009)。
テストは非常にコストがかかるので,自動的テストケース生成ツールの需要が大きくなっている。
したがって,モデルベーステストは,現在,非常に活発な研究分野になっており,利用可能なテス
トケース生成(TCG)ツールが数多く生まれている。これらのツールは,通常,モデルの挙動部分
からテスト一式を抽出しており,一定のカバレッジ要求事項を満たすことが保証されている。
モデルは,テスト対象システム(SUT)の希望する挙動の抽象的な部分的表現である。このモデ
ルからテストモデルを導き,抽象的なテスト一式を構築する。テストケースを,この抽象的なテス
ト一式から導き,システムを基準として実行する。テストは,システムモデルを基準としても実行
できる。テストケース生成(TCG)をもつモデルベーステスト(MBT)は,形式的手法の使用と強
い関係をもっているので,推奨事項は,安全度水準(SIL)と同じものとなる。つまり,より高い
SILに対してはHR(強く推奨する)となり,より低いSILに対しては不要となる。
一般的な具体的な活動を,次に示す。
− (システム要求事項からの)モデル構築
− 期待インプットの生成
− 期待アウトプットの生成
− テスト実行
− 実際のアウトプットと期待アウトプットとの比較
− これ以上のアクション(モデル修正,更に多くのテストの生成,ソフトウェアの信頼性及び品
質の推定)についての決定
テストは,使用者及びシステム挙動のモデルを表現するため,様々な方法及び技術によって導く
ことができる。次に例を示す。
− 判定表の利用
− 有限状態機械の利用
− グラマーの利用
− マルコフ連鎖モデルの利用
− 状態図の利用
− 定理証明
− 制約論理プログラミング
− モデルチェック
− 記号実行
− 事象フローモデルの利用
――――― [JIS C 0508-7 pdf 102] ―――――
101
C 0508-7 : 2017 (IEC 61508-7 : 2010)
− リアクティブシステムテスト。並列階層有限オートマトンなど。
− その他
具体的には,モデルベーステストは,近年,安全クリティカル領域を目標としている。これによ
って,仕様及び設計における曖昧な点を早期に明らかにし,複数の非反復的な効率のよいテストの
自動的発生,リグレッションテスト一式の評価,並びにソフトウェア信頼性及び品質の評価に関す
る能力を与え,テスト一式の更新を容易にする。
徹底的な全体的検討をEI-Far(2001)及びSoftware Tech 2009で実施し,その他の詳細及び領域固
有の問題点は他の文献で検討する(次の参考文献を参照)。
参考文献
: T. Bauer, F. Bhr, D. Landmann, T. Beletski, R. Eschbach, Robert and J.H. Poore, From Requirements toStatistical Testing of Embedded Systems Software Engineering for Automotive Systems−SEAS 2007,
ICSE Workshops, Minneapolis, USA
Eckard Bringmann, Andreas Krmer; Model-based Testing of Automotive Systems In: ICST, pp.485-493, 2008
International Conference on Software Testing, Verification, and Validation, 2008
Broy M., Challenges in automotive software engineering, International conference on Software engineering
(ICSE '06), Shanghai, China, 2006
I. K. El-Far and J. A. Whittaker, Model-based Software Testing. Encyclopedia of Software Engineering (edited
by J. J. Marciniak). Wiley, 2001
Heimdahl, M.P.E.: Model-based testing: challenges ahead, Computer Software and Applications Conference
(COMPSAC 2005), 25-28 July 2005, Edinburgh, Scotland, UK, 2005
Jonathan Jacky, Margus Veanes, Colin Campbell, and Wolfram Schulte, Model-based Software Testing and
Analysis with C#, ISBN 978-0-521-68761-4, Cambridge University Press 2008
A. Paradkar, Case Studies on Fault Detection Effectiveness of Model-based Test Generation Techniques, in
ACM SIGSOFT SW Engineering Notes, Proc. of the first int. workshop on Advances in model-based
testing A-MOST '05, Vol. 30 Issue 4. ACM Press 2005
S. J. Prowell, Using Markov Chain Usage Models to Test Complex Systems, HICSS '05: 38th Annual Hawaii,
International Conference on System Sciences, 2005
Mark Utting and Bruno Legeard, Practical Model-based Testing: A Tools Approach, ISBN 978-0-12-372501-1,
Morgan-Kaufmann 2007
Hong Zhu et al. (2008). AST '08: Proceedings of the 3rd International Workshop on Automation of Software
Test. ACM Press. ISBN 978-1-60558-030-2
Model-based Testing of Reactive Systems Advanced Lecture Series, LNCS 3472, Springer- Verlag, 2005, ISBN
978-3-540-26278-7
Model-based Testing, SoftwareTech July 2009, Vol. 12, No. 2, Software Testing: A Life Cycle Perspective,
http://www.goldpractices.com/practices/mbt/
C.6 機能安全評価
注記 関連技術及び手法は,B.6にもある。
C.6.1 決定表(真理値表)
――――― [JIS C 0508-7 pdf 103] ―――――
102
C 0508-7 : 2017 (IEC 61508-7 : 2010)
注記 この技術及び手法は,JIS C 0508-3の表A.10及び表B.7で引用されている。
目的 : 明確で首尾一貫した仕様,並びに複雑な論理結合及び論理関係の解析を与える。
説明 : この方法では,ブールプログラムの真理値変数間の論理関係を簡潔に説明する2次元表を用いる。
この方法は,簡潔さ及び表を用いるという特性から,コードで表現される複雑な論理結合の解析
手法として適している。
この方法は,仕様に対して適用可能である。
C.6.2 ソフトウェア潜在危険及び操作性の研究(CHAZOP,FMEA)
目的 : 提案した又は現存するシステムにおける安全上の潜在危険,これらの考えられる原因及び結果,並
びにこれらの発生機会を最小限に抑えるための推奨手法を求める。
説明 : 設計の構造的調査には,スケジュールに従って開かれる一連の会議を通じて,考慮中のシステム全
体に及ぶ専門知識をもつ技術者のチームが参加する。これらの技術者は,設計の機能面及びシステ
ムが実際にどのように動作するか(人間の行動及び保全を含め)の両方について検討する。リーダ
ーは,チームのメンバーに対して考えられる潜在危険を探り出すことに創造的であるように促し,
システムの各部分を,幾つかの見出し語,すなわち,“なし”,“もっと多く”,“もっと少なく”,“の
一部”,“より多く”(又は“と同様に”)及び“以外の”,と結合して示すことによって手順を進め
る。全ての適用する条件又は故障モードは,それぞれ,その実行可能性,どのようにこれが起こる
か,考えられる結果(潜在危険があるか),これをどのように回避できるか,及びその回避技術は
費用に値する価値があるか,について検討する。
潜在危険解析は,プロジェクト開発の多くの段階において実施することができるが,主要設計及
び操作性の決定に影響を与えるのに十分間に合う早期に実施すると最も有効である。
HAZOP技術はプロセス業界において発展してきたものであり,ソフトウェアアプリケーション
の場合,部分改修が必要である。種々の派生方法[又はコンピュータHAZOP(“CHAZOP”)]が提
案されており,これらは,一般に,システム及びソフトウェアアーキテクチャに系統的に適用する
ために,新しい見出し語及び/又は枠組みを導入している。
参考文献
: OF-FMEA: an approach to safety analysis of object-oriented software intensive systems, T. Cichocki, J. Gorski.In Artificial Intelligence and Security in Computing Systems: 9th International Conference, ACS '2002. Ed.
J. Soldek. Springer, 2003, ISBN 1402073968, 9781402073960
Software FMEA techniques. P.L.Goddard. In Proc Annual 2000 Reliability and Maintainability Symposium,
IEEE, 2000, ISBN: 0-7803-5848-1
Software criticality analysis of COTS/SOUP.P.Bishop, T.Clement, S.Guerra. In Reliability Engineering &
System Safety, Volume 81, Issue 3, September 2003, Elsevier Ltd., 2003
C.6.3 共通原因故障分析
注記1 この技術及び手法は,JIS C 0508-3の表A.10で引用されている。
注記2 IEC 61508-6の附属書Dも参照。
目的 : 複数部品に同時に同じ故障が現れることによって,冗長性の利点を損なう可能性がある並列システ
ム又は並列サブシステムの潜在故障を決定する。
説明 : プラントの安全性を担う目的のシステムは,ハードウェアの冗長性及び多数決手法を用いる場合が
――――― [JIS C 0508-7 pdf 104] ―――――
103
C 0508-7 : 2017 (IEC 61508-7 : 2010)
ある。これは,データの正しい処理を妨げようとする構成部品又はサブシステムのランダムハード
ウェア故障を回避するためのものである。
なお,故障によっては,複数の構成部品又はサブシステムに共通のものもある。例えば,システ
ムが単一の部屋に据え付けられた場合,空気調節の欠点のために冗長性の利点が低減される可能性
がある。同じことが,システムに及ぼす他の外部の影響,例えば,火災,洪水,電磁妨害,航空機
の墜落及び地震についても言える。システムは,運用及び保全に関わる事象によっても影響を受け
る場合がある。したがって,運用及び保全に関して,十分,かつ,明確に文書化した手順を作成し,
運用要員及び保全要員を広範囲な知識にわたって訓練することが必須である。
内的影響も,共通原因故障の主要な要因である。共通原因故障は,共通又は同一構成部品,及び
これらのインタフェースの設計フォールト,並びに構成部品の老化によって起こる可能性がある。
共通原因故障解析では,そのような潜在共通故障がないかどうか,システムを調査しなければなら
ない。共通原因故障分析の方法としては,一般的な品質管理,デザインレビュー,独立チームによ
る適合確認及びテスト,並びに同様なシステムから得た経験のフィードバックによる実際の事故解
析がある。ただし,解析の範囲は,ハードウェアだけではない。冗長システムの幾つかのチャネル
においてソフトウェア多様性を用いる場合であっても,ソフトウェアアプローチにおいて,共通原
因故障,例えば,共通仕様のフォールト,を引き起こす可能性について何らかの共通性をもつこと
がある。
共通原因故障が全く同時には起こらない場合,ある故障が全てのチャネルに共通なものになる前
にその故障を検出することを可能にするために,複数チャネル間の比較方法による予防措置を講じ
ることができる。共通原因故障分析では,この技術を考慮に入れることが望ましい。
参考文献
: Reliability analysis of hierarchical computer-based systems subject to common-cause failures. L. Xing, L.Meshkat, S. Donohue. Reliability Engineering & System Safety Volume 92, Issue 3, March 2007
C.6.4 信頼性ブロック図
注記1 この技術及び手法は,JIS C 0508-3の表A.10で引用されており,IEC 61508-6の附属書Bで
用いられている。
注記2 B.6.6.7も参照。
目的 : システムの実行又はタスクの実行を成功させるために起こらなければならない一連の事象,及び満
たさなければならない一連の条件を,図式の形でモデル化する。
説明 : 解析の目標を,ブロック,線及びロジック接合部からなる成功パスとして表す。成功パスは,図式
の片側から始まり,幾つかのブロック及び接合部を経て,図式の別の側まで続ける。一つのブロッ
クは,一つの条件又は一つの事象を表し,パスは,その条件が真実である場合,又はその事象が起
こった場合,そのブロックを通過することができる。パスが一つの接合部に来て,その接合部の論
理を満たす場合,パスはつながる。パスが一つの頂点に到達した場合,パスはそこから出ていく全
ての線に沿って継続することができる。図式を通って一つ以上の成功パスが存在する場合,解析の
目標は正しく作用している。
参考文献
: JIS C 5750-4-4:2011 ディペンダビリティ マネジメント−第4-4部 : システム信頼性のための解析技法−故障の木解析(FTA)
――――― [JIS C 0508-7 pdf 105] ―――――
次のページ PDF 106
JIS C 0508-7:2017の引用国際規格 ISO 一覧
- IEC 61508-7:2010(IDT)
JIS C 0508-7:2017の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.50 : 産業におけるITの応用
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-7:2017の関連規格と引用規格一覧
- 規格番号
- 規格名称