この規格ページの目次
104
C 0508-7 : 2017 (IEC 61508-7 : 2010)
注記 対応国際規格 : IEC 61025,Fault tree analysis (FTA)
From safety analysis to software requirements. K.M. Hansen, A.P. Ravn, A.P, V Stavridou. IEEE Trans Software
Engineering, Volume 24, Issue 7, Jul 1998
IEC 61078:2006,Analysis techniques for dependability−Reliability block diagram and boolean methods
――――― [JIS C 0508-7 pdf 106] ―――――
105
C 0508-7 : 2017 (IEC 61508-7 : 2010)
附属書D
(参考)
既存ソフトウェアのソフトウェア安全度を判定するための
確率的アプローチ
D.1 一般
この附属書では,既存ソフトウェアについて,運用経験に基づきソフトウェア安全度を求めるための確
率的アプローチの使用に関する初期指針を提供する。このアプローチは,オペレーティングシステム,ラ
イブラリモジュール,コンパイラ及び他のシステムソフトウェアの認証方法の一部として,特に適してい
るものと考えられる。この附属書では,何が可能かの指示を提供するが,ここに示す技術は,統計的解析
に精通している人々だけが用いることが望ましい。
注記 この附属書では,IEEE 352で説明されている信頼水準(confidence level)という用語を用いる。
これと同等の重要度(significance level)という用語は,IEC 61164で用いられている。
ここに示す技術は,時間経過に伴うソフトウェアの安全度水準の向上を実証するためにも用いることが
できる。例えば,JIS C 0508-3の要求事項に従ってSIL1で作成したソフトウェアは,多数のアプリケーシ
ョンにおける,ある適切な期間にわたる満足できる運用の後では,SIL2を達成したものとみなしてもよい。
次の表D.1に,具体的な安全度水準の認証に要求される,経験に基づく無故障作動要求数又は無故障運
用時間を示す。この表は,D.2.1及びD.2.3に示す結果をまとめたものである。
運用経験は,統計的テストを補足するか,又は統計的テストに取って代わるために,D.2に示すように
数学的に取り扱うこともでき,幾つかの現場からの運用経験を組み合わせること(すなわち,取り扱った
作動要求数又は運用時間を加えることによって)もできるが,これは次の条件を全て満たす場合だけであ
る。
− E/E/PE安全関連系に用いる予定のソフトウェアバージョンは,運用経験を主張するバージョンと同一
である。
− 入力スペースの運用プロファイルが類似している。
− 故障について報告し,文書化する有効なシステムがある。
− 関連前提条件(D.2を参照)を満たしている。
表D.1−安全度水準に対する信頼のために必要な運用履歴
SIL 低頻度作動要求モード 高頻度作動要求モード又は連続モード
作動要求時の設計 取り扱った作動要求数 1時間当たりの 合計運用時間
機能実行の失敗確率 1−α=0.991−α=0.95 危険側故障の確率 1−α=0.991−α=0.95
の場合 の場合 の場合 の場合
4 10−5以上,10−4未満 4.6×105 3×105 10−9以上,10−8未満 4.6×109 3×109
3 10−4以上,10−3未満 4.6×104 3×104 10−8以上,10−7未満 4.6×108 3×108
2 10−3以上,10−2未満 4.6×103 3×103 10−7以上,10−6未満 4.6×107 3×107
1 10−2以上,10−1未満 4.6×102 3×102 10−6以上,10−5未満 4.6×106 3×106
注記1 “1−α”は,信頼水準を表す。
注記2 前提条件及びこの表がどのように導かれたかの詳細は,D.2.1及びD.2.3を参照。
――――― [JIS C 0508-7 pdf 107] ―――――
106
C 0508-7 : 2017 (IEC 61508-7 : 2010)
D.2 統計的テストの公式及びその使用例
D.2.1 低頻度作動要求モードの簡易統計的テスト
D.2.1.1 前提条件
前提条件を,次に示す。
a) テストデータ分布は,オンライン運転中の作動要求に関する分布に等しい。
b) テスト運用は,故障の原因に関して,相互に統計的に独立している。
c) 起きる可能性があるいかなる故障を検出するための十分な機構が存在する。
d) テストケースの数 n>100
e) 個のテストケース中,故障は全く起こらない。
D.2.1.2 結果
信頼水準1−αにおける機能失敗確率p(作動要求当たり)は,次の式で表すことができる。
ln α
p≦1 n
α 又は n≧
p
D.2.1.3 例
低頻度作動要求モードの機能失敗確率の例を,表D.2に示す。
表D.2−低頻度作動要求モードの機能失敗確率
1−α p
0.95 3/n
0.99 4.6/n
95 %の信頼水準のSIL3の作動要求時の機能失敗確率において,D.2.1.2の式を適用した場合,前提条件
下での30 000個のテストケースになる。表D.1に,各安全度水準についての結果を要約している。
D.2.2 低頻度作動要求モードの入力スペース(ドメイン)のテスト
D.2.2.1 前提条件
唯一の前提条件は,入力スペース(ドメイン)全体にわたって,ランダムな一様分布を与えるようにテ
ストデータを選択することである。
D.2.2.2 結果
目的は,テストする低頻度作動機能(例えば,安全遮断)のための入力の正確さのしきい値δに基づい
て,必要なテスト回数nを見つけることである。二つのテスト点の平均距離は,表D.3による。
表D.3−二つのテスト点の平均距離
ドメインの寸法 任意軸の方向の二つのテスト点の平均距離
1 δ /1 n
2 δ 2/1n
3 δ 3/1n
k δ k
/1 n
注記 kは,任意の正の整数となる。1,2及び3という値は,例にすぎない。
D.2.2.3 例
二つの変数A及びBだけによる,安全遮断を考慮する。入力ペアの変数A及びBを区切るしきい値を,
A又はBの測定範囲の1 %の正確さで正しく取り扱っていることが検証できている場合,A及びBのスペ
ースに要求する一様に分配されるテストケースの数は,次のとおりである。
――――― [JIS C 0508-7 pdf 108] ―――――
107
C 0508-7 : 2017 (IEC 61508-7 : 2010)
n=1/δ2=104
D.2.3 高頻度作動要求モード又は連続モードの簡易統計的テスト
D.2.3.1 前提条件
前提条件を,次に示す。
a) テストデータ分布は,オンライン運転中の分布に等しい。
b) 無故障の確率についての相対減少は,考慮する時間間隔の長さに比例し,他の点では一定である。
c) 起きる可能性があるいかなる故障を検出するための十分な機構が存在する。
d) テストを,テスト時間tにわたって実施する。
e) テスト時間t中,故障は全く起こらない。
D.2.3.2 結果
機能失敗確率 信頼水準1−α及びテスト時間tの関係は,次の式で表すことができる。
λln α
t
機能失敗確率は,平均故障間運用時間(MTBF)に間接的に比例する。
1
λ
MTBF
注記 この規格では,1時間当たりの機能失敗確率と1時間における故障率とを区別しない。厳密に
は,機能失敗確率Fは次の式によって故障率fに関わるが,この規格の適用範囲は,10−5未満
の故障率に関わるので,このような小さい値に対しては,F ftでよい。
F=1−e−ft
D.2.3.3 例
機能失敗確率 信頼水準1−α及びテスト時間tの関係の例を,表D.4に示す。
表D.4−高頻度作動要求モード又は連続モードの機能失敗確率
1−α
0.95 3/t
0.99 4.6/t
平均故障間時間が,108時間以上であることを95 %の信頼水準で検証するためには,3×108時間のテス
ト時間,及び前提条件を満たすことが必要である。表D.1に,各安全度水準に要求するテスト時間を要約
している。
D.2.4 完全テスト
プログラムを,既知の数N個のボールを入れたつぼと考える。各ボールは,問題とする一つのプログラ
ム特性を表す。ボールを無作為に取り出し,検査後,元に戻す。全てのボールを取り出したとき,1回の
完全なテストが終了する。
D.2.4.1 前提条件
前提条件を,次に示す。
a) テストデータ分布は,N個のプログラム特性のそれぞれを,等しい確率でテストすると考える。
b) テスト運用は,相互に独立している。
c) 起こっている全ての故障を検出する。
d) テストケースの数 n>>N
――――― [JIS C 0508-7 pdf 109] ―――――
108
C 0508-7 : 2017 (IEC 61508-7 : 2010)
e) 個のテストケース中,故障は全く起こらない。
f) テスト運用では,一つのプログラム特性をテストする(プログラム特性は,1回のテスト運用中にテ
ストできるものである)。
D.2.4.2 結果
全てのプログラム特性をテストする確率pを,次式で表す。
N 1 n N n
j N N j j N j
p ( )1 又は p 1 ( )1 Cj,N
j 0 j N j1 N
ここに,
N(N )1 (N j )1
CNj,
j!
実際には,n>>Nによって特徴付けられるため,この式の評価のためには,通常,最初の項だけが問題
となる。最後の因数によって,jが大きい全ての項は非常に小さくなる。このことは,表D.5においても
見ることができる。
D.2.4.3 例
数年間にわたって,幾つかの装置で用いられてきたプログラムを考慮する。合計で,7.5×106回以上実
行したものとする。各100回目の実行は,D.2.4.1の前提条件を満たすものと推定できる。ここで行った7.5
×104回の実行を,統計的評価に取り上げることができる。4 000回のテスト運用は,徹底的にテストを行
ったものと推定できる。この推定値を,安全側の値とする。表D.5によって,必ずしも全てをテストして
いないという確率は,2.87×10−5に等しい。
N=4 000の場合のnによって決まる最初の項の値を,表D.5に示す。
表D.5−全てのプログラム特性をテストする確率
n p
5×104 1−1.49×10−2+1.10×10−4−···
7.5×104 1−2.87×10−5+4×10−10−···
1×105 1−5.54×10−8+1.52×10−15−···
2×105 1−7.67×10−19 + 2.9×10−37−···
実際には,このような推定は,その値が安全側になるように行うことが望ましい。
D.3 参考文献
この附属書の技術に関する詳細情報 :
IEC 61164:2004,Reliability growth−Statistical test and estimation methods
Verification and Validation of Real-Time Software, Chapter 5. W. J. Quirk (ed.). Springer Verlag, 1985, ISBN
3-540-15102-8
Combining Probabilistic and Deterministic Verification Efforts. W. D. Ehrenberger, SAFECOMP 92, Pergamon
Press, ISBN 0-08-041893-7
Ingenieurstatistik. Heinhold/Gaede, Oldenburg, 1972, ISBN 3-486-31743-1
IEEE 352:1987,IEEE Guide for general principles of reliability analysis of nuclear power generating station
safety systems
――――― [JIS C 0508-7 pdf 110] ―――――
次のページ PDF 111
JIS C 0508-7:2017の引用国際規格 ISO 一覧
- IEC 61508-7:2010(IDT)
JIS C 0508-7:2017の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.50 : 産業におけるITの応用
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-7:2017の関連規格と引用規格一覧
- 規格番号
- 規格名称