この規格ページの目次
24
C 0508-7 : 2017 (IEC 61508-7 : 2010)
− コンピュータ支援の汎用方法,ツール及び要員訓練の導入
参考文献
: JIS Q 9001 品質マネジメントシステム−要求事項注記 対応国際規格 : ISO 9001:2008,Quality management systems−Requirements
JIS X 0145(規格群) 情報技術−プロセスアセスメント
注記 対応国際規格 : ISO/IEC 15504 (all parts),Information technology−Process assessment
CMMI: Guidelines for Process Integration and Product Improvement, 2nd Edition. M.B. Chrissis, M. Konrad, S.
Shrum, Addison-Wesley Professional, 2006, ISBN-10: 0-3212-7967-0, ISBN-13: 978-0-3212-7967-5
Guidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:
0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN
1-85166-203-0
B.1.2 文書化
注記1 この技術及び手法は,JIS C 0508-2の表B.1表B.6で引用されている。
注記2 JIS C 0508-1の箇条5(文書化)及び附属書A(文書の構成事例)も参照。
目的 : 開発中の各手順を文書化することによって,故障を回避し,システム安全の評価を容易にする。
説明 : 運用容量及び安全性,並びに開発において全ての当事者が行った注意事項は,評価時に実証する必
要がある。開発時の注意事項を示すため,及びあらゆる時点における安全性の証拠の適合確認を保
証するため,特別重要事項を文書化する。
重要な共通手法は,指針及びコンピュータ支援の導入である。次に例を示す。
− 次の事項を満たす指針
・ グループ分け計画を規定する。
・ 内容のチェックリストを求める。
・ 文書の書式を決める。
− コンピュータ支援及び組織化されたプロジェクトライブラリの助けを借りた文書化の管理
個々の手法は,次による。
− 文書化における次のそれぞれの事項の分離
・ 要求事項
・ システム(使用者による文書化)
・ 開発(内部検査を含む。)
− 安全ライフサイクルに従った開発文書化のグループ分け
− 文書を編集する際にその基礎とすることができる,標準化した文書化モジュールの定義
− 文書化の構成部分の明瞭な識別
− 公式な改訂版の更新
− 次に示す,明確で理解しやすい説明手段の選択
・ 決定のための形式的な表記法
・ 意図の紹介,正当化及び表現のための自然言語
・ 例を示すための図形表現
・ 図形要素の意味の定義
――――― [JIS C 0508-7 pdf 26] ―――――
25
C 0508-7 : 2017 (IEC 61508-7 : 2010)
・ 専門語の語彙集
参考文献
: IEC 61506:1997,Industrial-process measurement and control−Documentation of application softwareGuidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:
0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
B.1.3 E/E/PE系安全機能の安全以外の機能からの分離
注記 この技術及び手法は,JIS C 0508-2の表B.1及び表B.6で引用されている。
目的 : システムの非安全関連部分が安全関連部分への好ましくない方法で影響を与えることを防止する。
説明 : 安全関連系と非安全関連系との分離が可能かどうかを,仕様内において決めることが望ましい。こ
れら二つの部分のインタフェースについて,明確な仕様を記述することが望ましい。明確に分離す
ることによって,安全関連系のテストのための労力を軽減することになる。
参考文献
: Guidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
B.1.4 多様性のあるハードウェア
注記 この技術及び手法は,JIS C 0508-2の表A.15,表A.16及び表A.18で引用されている。
目的 : 故障の割合及び種類が異なる種々の構成部品を用いて,EUCの運転中の決定論的原因故障を検出す
る。
説明 : 安全関連系の種々のチャネルには,異なる種類の構成部品を用いる。こうすることによって,共通
原因故障(例えば,過電圧,電磁妨害)の確率が下がり,そのような故障を検出する確率が上がる。
要求される機能を実行するための別の手段,例えば,別の物理的原理がある場合,同じ問題を解
くための他の方法を得ることができる。多様性には,幾つかの方法がある。機能多様性は,同じ結
果を達成するために異なるアプローチを用いる。
参考文献
: Guidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
B.2 E/E/PE系設計要求仕様
全般 : 可能な限り,完全で,間違い及び矛盾がなく,かつ簡単に検証できる仕様を作成する。
B.2.1 構造化仕様
注記 この技術及び手法は,JIS C 0508-2の表B.1及び表B.6で引用されている。
目的 : 部分的要求事項の階層構造を作成することによって,複雑さを軽減する。要求事項間のインタフェ
ース故障を回避する。
説明 : この技術は,機能仕様を部分的要求事項に組み替えて,部分的要求事項間にできるだけ単純で目に
見える関係が存在するようにする。この解析は,小さく明白な部分的要求事項が区別されるように
なるまで継続的に詳細化する。最終詳細化の結果は,完全な要求事項の仕様の枠組みを定める部分
的要求事項の階層構造である。この方法は,部分的要求事項のインタフェースに重点を置くもので
――――― [JIS C 0508-7 pdf 27] ―――――
26
C 0508-7 : 2017 (IEC 61508-7 : 2010)
あり,インタフェース故障を回避するために特に効果的である。
参考文献
: ESA PSS 05-02, Guide to the user requirements definition phase, Issue 1, Revision 1, ESA Board for SoftwareStandardisation and Control (BSSC), ESA, Paris, March 1995,
ftp://ftp.estec.esa.nl/pub/wm/wme/bssc/PSS0502.pdf
Structured Analysis and System Specification. T. De Marco, Yourdon Press, Englewood Cliffs, 1979, ISBN-10:
0138543801, ISBN-13: 978-0138543808
B.2.2 形式手法
注記1 具体的な形式手法の詳細は,C.2.4を参照。
注記2 この技術及び手法は,JIS C 0508-2の表B.1,表B.2(E/E/PE系の設計及び開発中のフォール
トの誘引を回避するための技法及び手段)及び表B.6で引用されている。
目的 : 形式手法によって,数学的推論の原則を,技術システムの仕様化及び実装に適用し,仕様化又は実
装の完璧さ,一貫性及び正確さを向上させる。
説明 : 形式手法は,仕様化及び/又は実装のフェーズで,システム説明書を作成する手段を提供する。こ
れらの形式的な説明書は,システム機能及び/又はシステム構造の数学的モデルである。
したがって,基礎システムの理解を深めるような明確なシステム説明書を作成できる(例えば,
オートマトンの全ての状態を,その初期状態,入力及びオートマトンの遷移方程式で記述する。)。
適切な形式手法の選択は,システム,その開発プロセス及び数学的モデルを使用できる範囲につ
いて完全な理解を要する,困難な作業である(注記3,注記4及び注記5参照)。
注記3 モデル(特性)の重要な定理は,シミュレーション,すなわち,選択されたシステム動
作の観察を超える信頼性を与えるシステムについての保証となる。
注記4 形式手法の不利な点として,次の点が考えられる。
− 抽象度の固定
− 所与の段階で関わりのある全ての機能性を把握することの限界
− 実装技術者がモデルを理解することの困難さ
− モデルを開発,解析及びシステムのライフサイクル全体にわたり保全するための,
非常な努力
− モデルの構築及び解析を支援するための効率的ツール入手の可能性
− モデルの開発及び解析の能力をもつスタッフの有無
注記5 形式手法コミュニティは,フォールトに対するシステム堅ろう(牢)性を強調しないで
システムの目標機能をモデル化することに明らかに注視している場合がある。したがっ
て,システム堅ろう(牢)性を含む個別の形式手法を選択する必要がある。
参考文献
: Formal Specification: Techniques and Applications. N.Nissanke, Springer-Verlag Telos, 1999, ISBN-10:1852330023
B.2.3 準形式手法
注記1 JIS C 0508-3の表B.7(準形式手法)は,他の準形式ソフトウェア関連技術によって,この附
属書を拡張しており,この表の“参照先”は,次の項目を示している。
――――― [JIS C 0508-7 pdf 28] ―――――
27
C 0508-7 : 2017 (IEC 61508-7 : 2010)
− 論理及び機能ブロック図 : JIS B 3503参照
− シーケンス図 : JIS B 3503参照
− データフロー図 : C.2.2参照
− 有限状態機械及び状態遷移図 : B.2.3.2参照
− タイムペトリネット : B.2.3.3参照
− エンティティ関連属性データモデル : B.2.4.4参照
− メッセージシーケンスチャート : C.2.14参照
− 判定表又は真理値表 : C.6.1参照
目的 : 一部の間違い,脱落及び誤った挙動が検出できるように,仕様の部分を明確にかつ一貫性をもって
表現する。
注記2 この技術及び手法は,JIS C 0508-2の表B.1,表B.2及び表B.6並びにJIS C 0508-3の表A.1
(ソフトウェア安全要求仕様),表A.2(ソフトウェア設計及び開発−ソフトウェアアーキテ
クチャ設計),表A.4(ソフトウェア設計及び開発−詳細設計),表B.7(準形式手法),表C.1
(決定論的安全度に関する特性−ソフトウェア安全要求仕様),表C.2(決定論的安全度に関
する特性−ソフトウェア設計及び開発−ソフトウェアアーキテクチャ設計),表C.4(決定論
的安全度に関する特性−ソフトウェア設計及び開発−詳細設計)及び表C.17(詳細特性−準
形式手法)で引用されている。
参考文献
: JIS B 3503:2012 プログラマブルコントローラ−プログラム言語B.2.3.1 一般事項
目的 : 設計が仕様に適合していることを証明する。
説明 : 準形式手法は,システムの開発におけるある段階,すなわち,仕様作成,設計又はコーディングに
おいて,システムの説明書を開発する手法を提供する。説明書は,場合によっては,機械によって
解析することができるか,又はシステムの挙動の様々な面を表示するためにアニメーション化する
ことができる。アニメーションは,システムが真の要求事項及び規定の要求事項を満たしているこ
との確信を高めることができる。
B.2.3.2及びB.2.3.3において,二つの準形式手法を説明する。
B.2.3.2 有限状態機械,及び状態遷移図
注記 この技術及び手法は,JIS C 0508-3の表B.5(モデリング),表B.7,表C.15(詳細特性−モデ
リング)及び表C.17(詳細特性−準形式手法)で引用されている。
目的 : システムの制御構造をモデル化する,適合確認する,規定する又は実装する。
説明 : 多くのシステムは,システムの状態,入力,及び動作によって説明することができる。したがって,
システムは,状態“S1”にあるとき,入力“I”を受けると,動作“A”を行い,状態“S2”に移動
する。全ての状態において全ての入力によるシステムの動作を説明することで,システムを完全に
説明することができる。この結果から得られるシステムのモデルは,有限状態機械(又は,有限状
態オートマトン)と呼ばれる。これは,システムが一つの状態から別の状態へどのように移動する
かを示す,いわゆる状態遷移図として,又は次元が状態及び入力であって,指定状態にあるときに
入力を受信したことによって起こる動作及び新状態をマトリックスセルが収容する,マトリックス
――――― [JIS C 0508-7 pdf 29] ―――――
28
C 0508-7 : 2017 (IEC 61508-7 : 2010)
として描かれる場合がある。
システムが複雑であるか,又は自然構造をもっている場合,これは層状有限状態機械に反映する
ことができる。状態図は,ネスト化された状態(対象状態が,平行して展開でき,また,一部の点
では単一状態に再結合する可能性のある二つ以上のサブステートに分かれる。)が可能な状態遷移図
の一種である。これは,状態遷移表記の表現力を高めるものであるが,安全関連系では望ましくな
い余分な複雑さが加わる可能性がある。状態図は,形式(数学的)仕様をもつ。状態遷移図は,シ
ステム全体又はシステム内の一部の対象又は要素に適用できる。
有限状態機械として表現できる仕様又は設計は,次の事項について確認することができる。
− 完全性(システム又は対象は,それぞれの状態における,全ての入力の一つ一つに対して,一
つの動作及び新状態をもつ必要がある。)
− 一貫性(全ての状態及び入力の組合せに対して,唯一の状態遷移が可能である。)
− 到達性(一連の入力によって,ある状態からもう一方の状態へと変えることが可能か可能でな
いか。)
− 無限ループ又は行き止まり状態がないこと
これらは,重大なシステムの重要な特性である。これらのチェックを支援するツールは容易に開
発することができ,有限状態オートマトンに基づく各種モデル(形式言語,ペトリネット,マルコ
フ図など)が利用できる。有限状態機械の実装を適合確認する,又は有限状態機械のモデルをアニ
メーション化するために,テストケースを自動的に生成するアルゴリズムも存在する。状態遷移図
及び状態図は,図の作画及びチェックを可能とし,記述した状態機械を実装するコードを生成する
ためのツールによって,広い範囲で用いられている。
これらは,故障確率計算にも使用できる。B.6及びC.6を参照。
参考文献
: Introduction to Automata Theory, Languages, and Computation (3rd Edition). J. Hopcroft, R. Motwani, J.Ullman, Addison-Wesley Longman Publishing Co, 2006, ISBN: 0321462254
Securisation des architectures informatiques. Jean-Louis Boulanger, Herms−Lavoisier, 2009, ISBN:
978-2-7462-1991-5
B.2.3.3 タイムペトリネット
注記 この技術及び手法は,JIS C 0508-3の表B.5,表B.7,表C.15及び表C.17で引用されている。
目的 : システム挙動の関連面をモデル化し,解析及び再設計を通じて安全性及び運転時の要求事項を評価
し,可能な限り改善する。
説明 : ペトリネットは,有限状態オートマトンの特殊な事例である。ペトリネットは,同時並行性を示
し,非同期挙動をもつ複数のシステムにおける情報及び制御のフローを表すのに適したグラフ理論
モデル群に属する。
ペトリネットは,場所及び遷移のネットワークである。場所は“マークを付けられる”ことも,
“マークを付けられない”こともある。遷移は,これに対する入力場所の全てにマークが付けられ
ているとき,“可能”となる。可能となった場合,遷移が発生することが許容される(必ずしも発生
しなくてよい。)。遷移が発生した場合,遷移に対する入力場所のマークが消され,それに代わって,
遷移からの各出力場所にマークが付けられる。
潜在危険は,モデルにおける個々の状態(マーキング)として表すことができる。ペトリネット
――――― [JIS C 0508-7 pdf 30] ―――――
次のページ PDF 31
JIS C 0508-7:2017の引用国際規格 ISO 一覧
- IEC 61508-7:2010(IDT)
JIS C 0508-7:2017の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.50 : 産業におけるITの応用
- 25 : 生産工学 > 25.040 : 産業オートメーションシステム > 25.040.40 : 工業計測及び制御
JIS C 0508-7:2017の関連規格と引用規格一覧
- 規格番号
- 規格名称