JIS F 8082:2007 船舶用プログラマブル電子系の開発及び使用に関する一般原則 | ページ 5

                                                                                             19
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
うであるとは言えないことがある。規定された利用の状況内における適合性を証明するためには,COTS
PESも各原則に合致しなければならない。このことは,非常に広範な応用範囲をもつことがある独立形
COTSの供給業者又は多数の異なるCOTS製品を含んだPESの全体的信頼性を証明しなくてはならないシ
ステム構築業者又はシステムエンジニアにとっては,とりわけ困難な課題であるかもしれない。
B.2.3 個別ガイダンス
  PESの動作に関係するリスクを考慮するという要件は,正しい運転の不可欠な要素である。このことは,
第1原則で明らかにされている。
  PESを使用するときに利用者は,二つのレベルのタスクを行う。一つは,PESと制御対象装置にサポー
ト又は仲介された船舶運転である。もう一つは,PES自体を使用するという付加的なタスクである。
  PESに関する要件の定義,PESの設計又はPESの試験を行うときには,これら二つの活動の明確な区別
がなされなければならない。全般的な目的は,オペレータに付加される精神的・肉体的負担を最小限にす
るようにPESを使用することによって,船舶の運転をできる限り効果的で安全なものにすることである。
B.3 安全
B.3.1 第1原則
B.3.1.1 一般
  P1 PESには,容認できない人及び環境への危害リスクがあってはならない。
B.3.1.2 注釈
  これは船舶用PESの安全のための一般的必要条件である。リスク正当化の基準となる許容可能安全レベ
ルは,IMOが提案している方法及び手段又は船舶セクターにおける最良の慣行を反映した方法を参考にし
て,ケースバイケースで決定される。
  リスクの分析及び評定は,PESの特定の利用の状況内でだけ適切に実施することができる。すべての関
係者は,この利用の状況を明確に定義し理解していなければならない。リスクの評定では,PESの正常な
使用の評定だけでなく,合理的に予測し得るPESの誤用も考慮されなければならない。PESの保持するい
かなる新しい機能又は独特の機能もそれ自体が固有の危険要因をもたらすことがあるため,慎重な配慮が
必要となる。
  この原理の主要な側面の一つは,PESに関係する危険要因を認識し理解するということである。これに
は,PESの物理的特性から生じてくる内在的な危険要因及びPESの機能動作から生じる危険要因の両方が
含まれる。PES外部のリスク削減機能が,安全レベルに許容可能であることを確実にするために用いられ
る。これには,警報,利用者への個人用保護具の支給,特別な手順の作成又は使用のための訓練が含まれ
る。
  リスクの分析及び評定には,PESの各要素が含まれていなければならない。というのは,各要素にはそ
れぞれのリスクレベルがあり,PESの構築に用いられる場合に,それを確定し最小化(又は完全に除去)
しなければならないからである。PESの要素に関しても,上記の外部リスク削減機能が必要とされること
がある。
B.3.1.3 個別ガイダンス
  すべての関係者は,この原則に関して責任をもつが,PESと,その利用の状況,開発・供給・保全の責
務に応じて,責任の種類は多様なものとなる。
  例えば,船主又は操船者は,船舶全体及びその主要システムに関するトップレベルの危険要因に対処し
なければならない。これには,PES外部のリスク削減手段の提供も含まれる。供給業者は,物理的に安全

――――― [JIS F 8082 pdf 21] ―――――

20
F 8082 : 2007 (ISO 17894 : 2005)
な装置を供給し,装置使用の安全性が明らかであり,装置の故障動作が理解されていることを証明しなけ
ればならない。場合によっては,これが困難なこともある。例えば,安全関連用途のために特別に開発さ
れたものではないはん用COTS製品の場合である。調達担当者は,対象とする用途が安全関連のものかど
うかを明らかにしなければならず,明確でない場合には,あっせん(斡旋)人はそのような情報を要求し
なければならない。
  安全性の問題に取り組む場合には,予測し得るPESの誤用が考慮されなければならない。ここでも系統
的な分析が必要となり,これにはPES又は類似PESでの実地経験が含まれると考えられる。誤用には様々
な状況が想定される。例えば,PESが一般船舶用途向きには型式承認されているが,往復機械装置の設置
用としては型式承認されていないことがある。振動によってPESが故障して危険な状態になる可能性があ
る場合には,そのような設置に関係するリスクは評価されなければならない。また,別の例を挙げると,
位置決めシステムの出力が使用前にほかのシステムのデータと照合することになっている場合には,人手
による照合が行われない可能性が考慮されなければならない。状況によっては,例えば軍艦の場合,シス
テムが許容しなければならない誤用の程度が大きく,容認不可能性の定義を下す場合には,慎重な解釈上
の配慮がなされなければならないこともある。
  この原理は,PES及びPES構成要素の安全要件(例えば,SIL)が確定され,PESのV&Vの管理に使
用されなければならないことを示唆している。特に,COTS製品の供給業者は,対象とする用途(又は一
連の用途)に見合った目標SILを確定する必要がある。供給業者が様々な類似製品を取りそろえておけば,
様々なレベルの保全性に関して評価することができ,様々な用途に適用できるため,効果的であるといえ
る。
  この規格のガイダンスは,保全性のレベルに関するアドバイスを提供しているにすぎない。言い換えれ
ば,“高”及び/又は“低”リスクPESに関してだけ論じているのであり,個々のSILに関する具体的な
ガイダンスは提供していない。そのような詳細なガイダンスは,参照規格,特に[JIS C 0508-1],[JIS C
0508-2]及び[JIS C 0508-3]の“手段と方法一覧”に示されている。
B.3.1.4 参照規格
  [IEC 61069-1]の4.3.6及び4.3.7,[JIS C 0508-1]の7.4及び7.5.2.2,[MSC/CIRC.891]の3.1.1,4.1.2及び
4.7
B.3.2 第2原則
B.3.2.1 一般
  P2 故障が起こった場合,PESはその状態にとどめるか,又は危険性が最も低い状態にしなければなら
ない。
B.3.2.2 注釈
  この要件は,PESが要求される機能を提供できなくなる故障に関するものである。このような故障は,
PES内部の大きな障害から生じることもあれば,PES設計に基づく外部の運転条件又は環境条件に起因す
ることもある。いずれの場合も,PESは,現行の状況を制御又は監視されている装置に関するリスクを最
小限の定義された状態に移行しなければならない。危険側故障が確実に検知され,適切に処理される必要
がある。そのような処置の程度及び範囲は,PESのリスクレベルで特定される“危険性”の解釈にかかっ
ている。
  ここで必要とされるのは,すべての該当するレベル(船舶全体を含む)の故障シナリオ及び付随する危
険要因に対する十分な考慮である。PESが戻るのに適切な安全状態も,環境条件又は運転条件によっては,
状況が異なるかもしれないので,その確定が極めて複雑なものになることがある。この規格の適用範囲は,

――――― [JIS F 8082 pdf 22] ―――――

                                                                                             21
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
単一のPESであるため,PESの故障時におけるほかのシステムの状態はP1によって扱われる。
  安全な状態への移行は,必要に応じて自動又は手動で行われる。独立し,ハード結線された危急停止又
はプログラムされたシャットダウンなどの自動的動作が一般に用いられており,多くの状況で適切なもの
となっている。例えば,明確な故障モードに迅速な応答が必要とされている場合などである。安全な状態
への移行は,手動手段でも可能であるが,高リスクPESの場合には,危険要因の臨界に関してそのような
手段の信頼性の評価が慎重になされていることの証明がされていなければならない。いずれの場合も,PES
を移行させて安全な状態にするのに必要とされる手動応答動作は,利用者にとって明らかであるべきであ
る。
B.3.2.3 個別ガイダンス
  故障モードによっては,シャットダウンが必ずしも最も危険性の低い状態ではないこともある。必要で
あると考えられる場合には,機関損傷のリスクがあるにせよ,推進を維持し潤滑油圧力の低い状態で機関
の運転を継続した方が安全なこともある。逆に,過速度状態が検知された場合には,破滅的な損傷のリス
クのために,常にシャットダウンが必要であると考えられる。運転の継続によるリスクのレベルが高い場
合でも復帰的モードの運転が必要とされるケースでは(例えば,戦艦のシステム),この境界はフレキシブ
ルなものとなる。PESの使用及びタスク要件の背景状況(特に,第3原則及び第8原則)は,この原則及
びその他の製品原則(特に,第5原則)を満たすのに必要な特定の用途及び設計タイプの個々のトレード
オフに関する手引きとなる。
  すべてのレベルにおける分析と試験によって,この原則に関する有用な証拠をもたらすことができる。
船主又は造船所は,できるだけ,船舶全体のレベルで現実的なシナリオが考慮,評定,試験されるように
しなければならない。例えば,操船中の機関シャットダウンは望ましくない。コンポーネント供給業者は,
コンポーネントの故障モードが分かっており,PES動作に対する影響を特定できることを証明する必要が
ある。また,例えば問題報告書の形をとった実地履歴資料によって,故障が安全な状態に落ち着いたり,
保護作用がうまく機能することを証明する類似の証拠を提出することも可能である。
  利用者が常に適切に対処して安全な環境を維持できるようにする方法として,故障リストをシステム文
書に含めることがある。この故障リストには,PESで想定される様々な故障が示され,最悪作業条件及び
どの状態が最も危険性が低いかなどの内容が含まれる。
B.3.2.4 参照規格
  [IEC 61069-1]の4.3.6, [JIS C 0508-7]の附属書B及び附属書C,[MSC/CIRC.891]の4.7.1,4.7.2及び4.8.4
B.4 機能
B.4.1 第3原則
B.4.1.1 一般
  P3 PESは,利用者のニーズを満たす機能を提供しなければならない。
B.4.1.2 注釈
  ここでいう利用者は,直接操作を行う要員のことだけでなく,PESのライフサイクル中にPESの影響を
受けるすべての当事者(利害関係者)のことである。例えば,船主,設置スタッフ,保守要員も利用者に
含まれる。
  利用者のニーズは,明示的な場合があるとともに黙示的な場合もある。これはPESの全機能的側面にわ
たる要件である。例えば,保護システムの場合,個々の安全機能がそれに含まれる。さらに,PESの耐用
期間中にこれらのニーズが変化する場合があることを理解しておくことが重要である。例えば,既存のシ

――――― [JIS F 8082 pdf 23] ―――――

22
F 8082 : 2007 (ISO 17894 : 2005)
ステムの機能が高められ用途を変更させる場合がある。利用者の承諾を証明する明確な方法が必要とされ
る。
  この原則では,PESが機能しない仕方で“どのように”行うかよりも,PESが“何”を行うかに重点が
置かれている。考えられるすべての条件と環境に見合った機能が提供されることができないので,PESの
動作枠組を定義する必要がある。ただし,異常な動作条件で妥当な機能が提供される必要があるし,ある
程度,利用者が機能を選択することも必要であると考えられる。
  利用者は,それぞれの能力及びスキルをもっている。これらの特性には,誰もがほぼ同じレベルにある
ものもあれば,体格,年齢,教養,ストレスのレベル,疲労の度合い,操作環境,経験,訓練などの様々
な要素に左右されるものもある。これらの(動的な場合が多い)利用者特性に合うように設計されている
機能を提供することはPESに対する利用者のニーズの一つである。
B.4.1.3 個別ガイダンス
  利用者の特性及びシステムの使用における基本的技能レベルが特定又は想定される必要がある。このこ
とは,個別化又はPESが提供する学習機能の必要性の確定に役立つ。ただし,PESのアプリケーション及
び複雑性についても考慮されなければならない。例えば,警報システムのローカル監視パネルの場合には,
機関室のオペレータはそれを調整することなくそのまま使用することができるだろうが,警告表示用に集
中化されたシステムのメニュー表示形のグラフィカルVDUインタフェースの場合には,特定の訓練がオ
ンラインヘルプ機能の装備と同様に必要とされるだろう。
  システムの要件の一部となっている文書に利用者,タスク,動作環境,コンピュータ環境の内容を記録
すると役に立つ。そのような文書は,利用の状況説明書又は利用の状況と呼ばれる。
  従来のシステムをサポートするシステムや,従来のシステムにそのまま取って代わるシステムの場合に
は,サポートする機能に関する一般的知識があれば設計の基礎として事足りると考えられる。新しい動作
概念や新しい技術の場合は,PESの要件を引き出すために対象とする利用者活動のモデリングと分析を行
うことが必要とされる。
  機能を規定する責任は船主にある。機能の記述を整理し,機能装備のコスト及び実行可能性を分析する
責任は,システムエンジニアにある。そのため,ライフサイクルの早い時期にシステムエンジニアの役割
が定められ,割り当てられる必要がある。システムエンジニアの役割は,装置の相互接続を可能にするこ
とだけではない。
B.4.1.4 参照規格
  [IEC 61069-1]の4.3.2,4.3.4,4.3.5,4.3.6及び4.3.7,[MSC/CIRC.891]の5.2.1,5.4.2及び6.4,[ISO 9126-1]
の6.1,[JIS Z 8520]の3.1.1,3.2,3.7及び3.8
B.4.2 第4原則
B.4.2.1 一般
  P4 機能は,利用者とPESとの間に適切に割り当てられなければならない。
B.4.2.2 注釈
  この割当てには十分な配慮が必要である。一部のタスクの自動化は,可能であっても,全体的システム
概念の中では望ましくない場合もある。自動化に適したタスクの例として,人間の反応時間よりも速い応
答速度を必要とするタスク,大量のデータの反復的な分類又は整理を必要とするタスク,人に直接的な危
険要因をもたらすタスク(毒性物質又は高温部に関係する作業)を挙げることができる。
  重要なことは,できるだけ多くを自動化した後に残されたものだけが,利用者タスクになるのではない
ということである。そこでは,利用者のフレキシビリティーがPESを全体として機能させることが期待さ

――――― [JIS F 8082 pdf 24] ―――――

                                                                                             23
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
れる。利用者タスクは,安全関連機能(警報受理又は保護シャットダウン)及びそれらのストレス条件下
での成果に特別な注意を払った,働きがいのある仕事でなければならない。危険分析によって,タスクを
オペレータにゆだねるべきかどうかを決定することができる。例えば,安全に関して非常に重要なタスク
で,PESの故障によってその遂行が危うくなることのあるタスクである。この場合,タスクが首尾よく遂
行されたことを確認する適切な手段を講じるべきである。
  利用者に割り当てられる機能は,身体的作業負荷(するべきことが多すぎる)及び精神的作業負荷(考
えるべきことが多すぎる)の問題に対処した,バランスのよいタスクに組み込まれる必要がある。うまく
計画されたタスクは,船舶の効率的で安全な運転に大きく貢献する最良の機会を利用者にもたらす。うま
く計画されたタスクとは,退屈さ,疲労,過度の作業負荷をできるだけ少なくし,学習の機会を提供する,
各利用者の活動の組合せである。標準的な活動には,シンプルな日常業務,技能又は規則に基づいた仕事
を含み,問題解決又は分析が必要とされる,より複雑な活動である。一つの活動に長く焦点を当てるのは
避けるべきである。タスクをうまく計画するためには,PESのオペレータ,設計者,システム構築業者が
早い時期に協力していくことが必要である。
B.4.2.3 個別ガイダンス
  不活性ガス発生器からの流出ガスの酸素レベルを手動制御することは,オペレータの注意が長時間に渡
って必要とされることを考えると,機能割当の例として適切であるとはいえない。
  消火システムからの二酸化炭素放出の確認などの安全機能は,手動機能とするべきである。というのは,
自動化されたシステムは,水浸しになったスペースに乗組員がいるかどうかの情報をもたないからである。
  利用者技能の基本レベルは,規定され考慮すべきである。オペレータに関しては,船上におけるその技
能の存在と対策が現実的に評価される必要がある。供給業者にとっては,利用者の訓練が不適切であるこ
ともあり得るとして,機能割当アドバイスをするのに役立つこともある。資格認定の国家機構等の基本技
能に関する取り組みが今なされている。ISMコードやSTCW95等のIMO規則が,この分野で重点を知る
のに役立つ。
  購入者がCOTS製品を選択する場合,要求される機能割当をCOTS製品の設計機能割当にマッチさせる
か,設計機能割当を考慮に入れた操作手順を確立することが必要とされる。
  船舶の運用期間全体を通して,操作に関する考え方とその結果として生じる利用者及び技術間の機能割
当が評価される必要がある。これは,試験と初期トライアルだけでなく,長期的な検討に基づくべきであ
る。再割当てを許容するある程度のフレキシビリティがもたらされるようにPESを設計することができる。
補修的利用者訓練又はヘルプ機能の拡大も考慮できる。新しい技術及び動作概念に関する利用者の能力に
ついては,第14原則及び第19原則(B.8.3及びB.9.4)を参照。
  この原則を満たすためには,利用者への適切なフィードバック及び説明の役割を考慮しなければならな
い。7.2.9のe)を参照。
B.4.2.4 参照規格
  [IEC 61069-1]の4.3.2,[MSC/CIRC.891]の3.1.2及び4.8.3,[JIS Z 8530]の5.3,[JIS Z 8520]の3.2
B.5 性能及び信頼性
B.5.1 第5原則
B.5.1.1 一般
  P5 PESには,障害及び入力エラーを許容する機能がなければならない。
B.5.1.2 注釈

――――― [JIS F 8082 pdf 25] ―――――

次のページ PDF 26