JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観 | ページ 9

                                                                                             39
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      c) 範囲限界からのデータ
      d) 極値
      e)   )   d)の組合せ
        様々なテスト活動(モジュールテスト,モジュール統合テスト及びシステムテスト)におけるテ
      ストケースを選択するためには,他の判定基準も有効としてもよい。例えば,妥当性確認の枠組み
      内のシステムテストの判定基準として,“極端な運用条件”に依拠してもよい。

参考文献

: Software Testing and Quality Assurance. K. Naik, P. Tripathy, Wiley Interscience, 2008, Print, ISBN:
9780471789116 Online ISBN: 9780470382844
Essentials of Software Engineering. Frank F. Tsui, Orlando Karam. Jones & Bartlett, 2006, ISBN 076373537X,
9780763735371
The Art of Software Testing, Second Edition. G. Myers et al., Wiley & Sons, New York, 2004, ISBN
0471469122, 9780471469124
Systematic Software Testing. Rick D. Craig, Stefan P. Jaskiel. Artech House, 2002, ISBN 1580535089,
9781580535083
B.5.3 統計的テスト
注記 この技術及び手法は,JIS C 0508-2の表B.3,表B.5及び表B.6で引用されている。
目的 : 安全関連系の動的挙動をチェックし,その有用性及び堅固さを評価する。
説明 : このアプローチでは,実際の運転上の入力の期待される統計的分布,すなわち,運転プロフィール
に従って選択した入力データを用いて,システム又はプログラムをテストする。

参考文献

: A discussion of statistical testing on a safety-related application. S Kuball, J H R May, Proc. IMechE Vol. 221
Part O: J. Risk and Reliability, Institution of Mechanical Engineers, 2007
Practical Reliability Engineering. P. O'Connor, D. Newton, R. Bromley, John Wiley and Sons, 2002, ISBN
0470844639, 9780470844632
Dependability of Critical Computer Systems 3. P. G. Bishop et al., Elsevier Applied Science, 1990, ISBN
1-85166-544-7
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN
1-85166-203-0
B.5.4 フィールドの実績
注記1 この技術及び手法は,JIS C 0508-2の表B.3,表B.5及び表B.6で引用されている。
注記2 同様な手法はC.2.10,確率的アプローチは附属書Dを参照。ただし,両方ともソフトウェア
面に関するものである。
目的 : 別のアプリケーションによるフィールドの実績を,E/E/PE系統合時及び/又はE/E/PE系安全妥当
性確認時のフォールトを回避するための手法の一つとして用いる。
説明 : 多数の異なるアプリケーションにおいて,十分な期間にわたって,全く故障が起こらないか,又は
重要でないフォールトしか起こらないことが実績によって示されていて,本質的な変更をしていな
い構成部品又はサブシステムを用いる。特に,多数の実行可能な機能をもつ複雑な構成部品(例え

――――― [JIS C 0508-7 pdf 41] ―――――

40
C 0508-7 : 2017 (IEC 61508-7 : 2010)
      ば,オペレーティングシステム,集積回路)の場合,開発者は,どの機能がフィールドの実績によ
      って実際にテストされているかに注意する必要がある。例えば,フォールト検出のための自己テス
      トの通常手順を考慮する。運用期間中にハードウェアの故障が全く起こらない場合は,通常手順は,
      そのフォールト検出機能を一度も実行しなかったことになるため,その手順は(実際に)試された
      ということにはならない。
        フィールドの実績を適用するためには,次の要求事項を満たす必要がある。
      − 変更されていない仕様
      − 10システムの異なるアプリケーションでの運用実績
      − 105時間の運用実績及び1年間以上の使用履歴
            注記3 適用分野規格では,これと異なる数値を規定していることがある。
        フィールドの実績は,ベンダー及び/又は運用会社の文書類によって実証される。この文書類は,
      少なくとも,次の内容を含む必要がある。
      − ハードウェアのバージョン管理も含め,システム及びその構成部品の正しい呼び方
      − 使用者及び適用時間
      − 運用時間
      − 証明のために調達されたシステム及びアプリケーションの選定手順
      − フォールト検出及びフォールト登録並びにフォールト除去の手順

参考文献

: JIS C 5750-3-2:2008 ディペンダビリティ管理−第3-2部 : 適用の指針−フィールドからのディペンダ
ビリティデータの収集
注記 対応国際規格 : IEC 60300-3-2:2004,Dependability management−Part 3-2: Application guide−
Collection of dependability data from the field
Guidelines for Safe Automation of Chemical Processes. CCPS, AIChE, New York, 1993, ISBN-10:
0-8169-0554-1, ISBN-13: 978-0-8169-0554-6
B.6 E/E/PE系の安全妥当性確認
全般 : E/E/PE安全関連系が,E/E/PE系の安全要求仕様及びE/E/PE系設計要求仕様に適合していることを
証明する。
B.6.1 環境条件の下での機能テスト
注記 この技術及び手法は,JIS C 0508-2の表B.5で引用されている。
目的 : 安全関連系が,典型的な環境による影響に対して保護されているかどうかを評価する。
説明 : システムを様々な環境条件(例えば,JIS C 60068の規格群又はIEC 61000の規格群の規格に従う。)
に置き,安全機能の信頼性(及び上記規格との両立性)について評価する。

参考文献

: JIS C 60068-1 環境試験方法−電気・電子−通則及び指針
注記 対応国際規格 : IEC 60068-1:1988,Environmental testing−Part 1: General and guidance及び
Amendment 1 (1992)
IEC 61000-4-1:2006,Electromagnetic compatibility (EMC)−Part 4-1: Testing and measurement techniques−
Overview of IEC 61000-4 series

――――― [JIS C 0508-7 pdf 42] ―――――

                                                                                             41
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
    Dependability of Critical Computer Systems 3. P. G. Bishop et al., Elsevier Applied Science, 1990, ISBN
        1-85166-544-7
B.6.2 サージイミュニティのテスト
    注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
目的 : 安全関連系のピークサージ受容力をチェックする。
説明 : システムに典型的なアプリケーションプログラムをロードし,全ての周辺線路(デジタルインタフ
      ェース,アナログインタフェース,シリアルインタフェース,バス接続,電源など)に,標準ノイ
      ズ信号を与える。定量的に示すために,サージ限界に注意深く近づけることが大切である。機能が
      失敗した場合は,選択したクラスのノイズに適合していないということになる。

参考文献

: JIS C 61000-4-5:2009 電磁両立性−第4-5部 : 試験及び測定技術−サージイミュニティ試験
注記 対応国際規格 : IEC 61000-4-5:2005,Electromagnetic compatibility (EMC)−Part 4-5: Testing and
measurement techniques−Surge immunity test
C37.90.1-2002,IEEE Standard for Surge Withstand Capability (SWC) ests for Relays and Relay Systems
Associated with Electric Power Apparatus
B.6.3 (不使用)
B.6.4 静的解析
注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6並びにJIS C 0508-3の表A.9(ソフトウ
ェア適合確認),表B.8,表C.9(決定論的安全度に関する特性−ソフトウェア適合確認)及び
表C.18で引用されている。
目的 : テスト対象のシステムにおいて,故障に至る可能性がある決定論的原因フォールトを,運用の初期
又は何年にもわたる運用の後のいずれかにおいて,回避する。
説明 : この系統的で,コンピュータ支援が可能なアプローチでは,問題とする要求事項(例えば,構造指
針,システム仕様及び機器データシート)に関し,確実に完全性及び一貫性があって,曖昧さがな
いようにするために,プロトタイプシステムの具体的な静特性を検査する。静的解析には,再現性
がある。静的解析は,十分に定義された完成段階に到達したプロトタイプに適用する。ハードウェ
ア及びソフトウェアに関する静的解析には,次の事例がある。
− データフローの一貫性解析(例えば,データオブジェクトが,あらゆる場所において同じ値と
して解釈されるかどうかのテスト)
− 制御フロー解析(例えば,経路の決定,アクセス不能コードの決定)
− インタフェース解析(例えば,様々なソフトウェアモジュール間の変数伝送の調査)
− 変数の作成,参照,削除など,疑わしいシーケンスを検出するデータフロー解析
− テストが個々の指針(例えば,沿面距離及び空間距離,組立距離,物理的装置の配置,機械的
な影響を受けやすい物理的装置,導入実績がある物理的装置だけの使用)に従っている。

参考文献

: Static Analysis and Software Assurance. D. Wagner, Lecture Notes in Computer Science, Volume 2126/2001,
Springer, 2001, ISBN 978-3-540-42314-0

――――― [JIS C 0508-7 pdf 43] ―――――

42
C 0508-7 : 2017 (IEC 61508-7 : 2010)
    An Industrial Perspective on Static Analysis. B A Wichmann, A A Canning, D L Clutterbuck, L A Winsborrow,
        N J Ward and D W R Marsh. Software Engineering Journal., 69-75, March 1995
    Dependability of Critical Computer Systems 3. P. G. Bishop et al,. Elsevier Applied Science, 1990, ISBN
        1-85166-544-7
B.6.5 動的解析及びテスト
    注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6並びにJIS C 0508-3の表A.5,表A.9,
          表B.2(動的解析及び動的テスト),表C.5,表C.9及び表C.12(詳細特性−動的解析及びテス
          ト)で引用されている。
目的 : 完成度の進んだ状態におけるプロトタイプの動的挙動を検査することによって,仕様機能の失敗を
      検出する。
説明 : 安全関連系の動的解析は,意図した運用環境の典型的な入力データを,運用可能な状態に近い安全
      関連系プロトタイプに用いることによって実施する。安全関連系において観察した挙動が,要求す
      る挙動に適合する場合,解析は満足できるものといえる。安全関連系に故障がある場合,修正して,
      その後,新しい運用バージョンを再解析する必要がある。

参考文献

: The Concept of Dynamic Analysis. T. Ball, ESEC/FSE 99, Lecture Notes in Computer Science, Springer, 1999,
ISBN 978-3-540-66538-0
Dependability of Critical Computer Systems 3. P. G. Bishop et al,. Elsevier Applied Science, 1990, ISBN
1-85166-544-7
B.6.6 故障解析
注記 この技術及び手法は,JIS C 0508-2の表B.5及び表B.6で引用されている。
B.6.6.1 故障モード及び影響解析(FMEA)
目的 : システムの構成部品の考えられる全ての故障源を系統的に調査し,システムの挙動及び安全性に対
するこれらの故障の影響を求めることによって,システム設計を解析する。
説明 : 解析は,通常,技術者が集まって行う。システムの各構成部品を順次解析して,その構成部品につ
いての一連の故障モード,これらの原因及び影響(局所的及びシステム全体の水準),検出手順並
びに推奨事項を定める。推奨事項に従って行動する場合,推奨事項を,実施する是正処置として文
書化する。

参考文献

: JIS C 5750-4-3:2011 ディペンダビリティ マネジメント−第4-3部 : システム信頼性のための解析技
法−故障モード・影響解析(FMEA)の手順
注記 対応国際規格 : IEC 60812:2006,Analysis techniques for system reliability−Procedure for failure
mode and effects analysis (FMEA)
Risk Assessment and Risk Management for the Chemical Process Industry. H.R. Greenberg, J.J. Cramer, John
Wiley and Sons, 1991, ISBN 0471288829, 9780471288824
Reliability Technology. A. E. Green, A. J. Bourne, Wiley-Interscience, 1972, ISBN 0471324809

――――― [JIS C 0508-7 pdf 44] ―――――

                                                                                             43
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
B.6.6.2 原因結果図(因果解析)
    注記 この技術及び手法は,JIS C 0508-3の表B.3(機能テスト及びブラックボックステスト),表B.4
          (故障分析),表C.13(詳細特性−機能及びブラックボックステスト)及び表C.14(詳細特性
          −故障分析)で引用されている。
目的 : 基本事象の組合せの結果としてシステム内で発展する可能性がある事象のシーケンスを,コンパク
      トな図式の形で解析しモデル化する。
説明 : この技術は,フォールトの木解析と事象の木解析との組合せとしてみなすことができる。重要(起
      因)事象から始めて,何らかの動作の成功及び失敗を記述するYES/NOゲートを用いて,因果グラ
      フを前方向にトレースしていく。これによって,事故又は克服した状況のいずれかに導く事象シー
      ケンスを構築することができる。次に,各故障について因果グラフ(すなわち,フォールトの木)
      を作成する。さらに,事故的状況から出発して,後方向に戻り,この事故を最上位事象とするグロ
      ーバルフォールトの木を作成する。前方向では,事象から起こる可能性がある結果が求められる。
      グラフは,頂点からの幾つかの支線に沿う,伝ぱ(播)のための条件を記述する頂点記号を含むこ
      とができる。さらに,時間遅延も含むことができる。これらの条件は,フォールトの木を用いて説
      明することもできる。図式を更に簡潔なものにするために,伝ぱ(播)の線を論理記号と組み合わ
      せることができる。因果図で使用のための一連の標準記号を定義する。これらの図式は,フォール
      トの木を作成するために,及びある重要な結果が起こる確率を計算するために用いることができる。
      事象の木を作成するためにも用いることができる。

参考文献

: IEC 62502,Analysis techniques for dependability−Event tree analysis (ETA)
The Cause Consequence Diagram Method as a Basis for Quantitative Accident Analysis. B. S. Nielsen, Danish
Atomic Energy Commission, Riso-M-1374, 1971
B.6.6.3 事象の木解析(ETA)
注記 この技術及び手法は,JIS C 0508-3の表B.4及び表C.14で引用されている。
目的 : 起因事象後にシステム内で進展する可能性がある事象のシーケンスを,図式の形でモデル化し,こ
れによって,重大な結果がどのように起こるかを示す。事象の木を何もないところから構築するこ
とは難しく,因果図を用いると役に立つ。
説明 : 図式の頂点において,起因事象の後に続く事象の進展に関わるシーケンス条件を書く。解析の到達
目標である起因事象の下から線を描き始め,シーケンスの最初の条件まで描く。そこで,図式は“は
い”及び“いいえ”の枝に分岐し,将来の事象が,条件によってどのように決まるかを記述する。
これらの枝のそれぞれについて,同様の方法で次の条件に続ける。ただし,全ての条件が,全ての
枝に関係があるとは限らない。一つの枝はシーケンスの終端まで継続し,このように構成した木の
各枝には,起こる可能性がある結果を表す。シーケンス内の条件が独立している場合,事象の木は,
シーケンス内の条件の確率及び条件数を基に,様々な結果の確率を計算するために用いることがで
きる。条件が100 %独立していることはめったにないので,こうした計算は慎重に検討し,熟練し
た解析者が実施する必要がある。

参考文献

: IEC 62502,Analysis techniques for dependability−Event tree analysis (ETA)
Risk Assessment and Risk Management for the Chemical Process Industry. H.R. Greenberg, J.J. Cramer, John

――――― [JIS C 0508-7 pdf 45] ―――――

次のページ PDF 46