JIS F 8082:2007 船舶用プログラマブル電子系の開発及び使用に関する一般原則 | ページ 6

24
F 8082 : 2007 (ISO 17894 : 2005)
  この原則は,PESの内部で発生する問題に関するものである。そのときでもまだPESは,要求される機
能の一部又は全部を提供することができる。重度又は破滅的な故障に関しては,第2原則の適用がより適
切である(ここではPESが安全な状態に置かれることが要求される)。
  この原則が,あらゆる内部障害又は異常な入力に対して,PESがすべての機能を提供し続けなければな
らないという意味にはならない。耐障害性とは,特定の障害状態において,(求められる)機能を提供又は
維持する能力のことである。このような状態には,利用者のミス又はPESに接続されたほかのシステムか
らのデータのエラー,環境の異常,物理的損傷までも含まれる。
  耐性機能は,自動の場合もあり,手動(必要な機能を成し遂げるために利用者の介入が必要とされる)
の場合もある。後者の場合,利用者に行動が要求されていることを認識させる必要がある。耐性機能の完
全さは,しばしば,全体システムの設計において,二重化や冗長化要素の使用によって達成される。
  安全関連機能は,適切な独立性をもつようにするための特別な配慮が必要とされる。このことは,危険
故障モードにかかわる保護機能又は一般制御機能が,ほかの安全関連ではない機能又は装置故障の影響を
受けないようにしなければならないことを意味している。幾つかの方法でこのことを証明することができ
る。例えば,装置の物理的分離,多様な技術の使用,故障が危険をもたらさない部品やサービスだけを共
有すること又は別個の操作,保守,試験手順を規定することなどである。
B.5.1.3 個別ガイダンス
  PESの低レベル構成要素(例えば,通信プロトコル)は,通常動作の一環として入力のエラーを是正す
る。この場合には,利用者は通常,設計パラメータが超過したときだけ通知を受ける。PESのより高いレ
ベル(エラーの発生が少ないコマンドや制御入力に近いレベル)では,障害及びエラーは,利用者の注意
を喚起すべきである。
  PESがエラーの是正を完了した状況であっても,利用者に入力のミスを認識させるべきである(例えば,
範囲外の入力が検出された場合)。これによって,利用者に状況を認識させ,入力エラーの再発を防止する
ことができる。
  同時に起こる障害又はほぼ同時に起こる障害を数多く示すことのあるPESの場合,“利用者過負荷”の
リスクを最小限にするようにエラー情報を利用者に提示すべきである。この状態が最も生じやすいのは,
PESに大量の情報及び課題を処理する能力がある場合である。このような場合には,障害の程度に優先順
位を付ける機能が有用又は必要とされる。
  高いレベルのCOTS PESが設計され,利用者制御に関する個々のアプローチが支援されていくと考えら
れる。このような製品を選択する場合,購入者は利用者訓練を行って,制御のために意図したアプローチ
がCOTS製品のアプローチにマッチするようにするのがよい。
B.5.1.4 参照規格
  [IEC 61069-1]の4.3.4及び4.3.6,[MSC/CIRC.891]の4.1.1,4.3,4.6,4.7,4.8及び5.3.3,[JIS C 0508-2],
[JIS C 0508-7]の附属書B及び附属書C,[JIS Z 8520]の3.2及び3.6
B.5.2 第6原則
B.5.2.1 一般
  P6 規定された作業条件及び環境条件下で使用された場合に,PESは規定されたレベルの精度,適時性
及び資源の利用性を維持しなければならない。
B.5.2.2 注釈
  この原則では,機能を実行するときのPESの性能(PESが“どのように”機能を実行するか)に重点が
置かれている。主要な側面には次のものが含まれる。

――――― [JIS F 8082 pdf 26] ―――――

                                                                                             25
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
― “規定されたレベル”とは,達成されるべきレベルや許容限度の文書化された定義を介して,性能要
      件がすべての関係者に理解されていなければならないことを意味している。これには,全体的目標
      (例えば,電源に関する変動目標)や詳細レベルのもの(例えば,重大な警報に対する応答時間)
      が含まれる。場合によっては,レベルの受入基準が合格限界を設定するベンチマークテスト(例え
      ば,ネットワーク負荷やプロセッサ負荷に関して)によることもある。
― “規定された作業条件及び環境条件”とは,また,PESの利用の状況が共通して理解されていなけれ
      ばならないことを意味している。これには,異常な状態又は故障状態も含まれる。
― “維持する”とは,PESの耐用年数(すなわち,長期にわたる維持)及び条件の変化に対して性能レ
      ベルが実現されなければならないことを意味している。これは,すべての規定条件に関して性能レ
      ベルが同一でなければならないということを意味しているのではなく,規定レベル(例えば,高温
      又は停電によって低下することがある。)が実質的に達成されることを意味している。
  スピードが重視される機能(安全関連機能又は重要な動作を行う機能)に特別な注意を払う必要がある。
応答,持続時間,頻度に関して,これらの機能の適時性が明確,かつ,正確に規定され,確実に実現され
るべきである。
  試験による達成の証明では,試験に用いられる物理的条件及び実際の条件との相関性に留意する必要が
ある。試験されていない条件への性能の適用は,十分に正当化すべきである。
B.5.2.3 個別ガイダンス
  7.2.6のb)では,“応答速度”という用語がPESの制御応答の速度を意味している。これは,必ずしも利
用者との対話速度に関連しているわけではない。
  ネットワーク負荷飽和の可能性は,慎重に評価されるべきである。特に応答性及び機能とデータの処理
能率は,船又は乗組員の高い危険と関連し,高ネットワーク負荷が危険原因となるかもしれない。例を挙
げると : ネットワークから切り離されたり,接続され直したりされている幾つかのユニット,共通モード
の故障,カスケードになっている部分の故障,同報メッセージに対する応答。
  PESの耐用期間全体を通して,日/時スタンプ機能の正確さが維持されなければならない。特に,異例
の状況における性能を保証する必要がある。例えば,うるう(閏)日の処理である。
B.5.2.4 参照規格
  [IEC 61069-1]の4.3.2,4.3.3,4.3.4及び4.4,[MSC/CIRC.891]の3.1,3.2及び5.2,[ISO 9126-1]の6.2及
び6.4
B.5.3 第7原則
B.5.3.1 一般
  P7 PESへの無許可のアクセスは,防止しなければならない。
B.5.3.2 注釈
  PESに対するセキュリティ脅威の明確な理解が必要であり,適切な対策(物理的又は手順的対策)を効
果的に講じなければならない。対処すべき主要な問題として,偶発的又は悪意に基づいたPESの操作を挙
げることができる。ソフトウェアに関しては,プログラム又はデータを変更される可能性を考慮する必要
がある。このような脅威は,直接的な利用者又はオペレータだけでなく,PESに接続されている外部シス
テムから生じてくることがある。実際のところ,船舶システムでは,乗組員がソフトウェアにアクセスで
きないようになっている場合もある。
  一般に,ソフトウェアと比べてハードウェア装置の変更又は再構成は困難であるが,適切な対策を講じ
て,PESのそのようなハードウェア装置の変更又は再構成を防止しなければならない。

――――― [JIS F 8082 pdf 27] ―――――

26
F 8082 : 2007 (ISO 17894 : 2005)
  様々な対策が,PESが高リスクか低リスクかによって必要に応じて利用可能である。最終的には,適切
な手順によって権限認可がなされることになるが,“認可”の主要な側面は単純な物理的手段(パスワード,
ウィルスチェックユーティリティ又は装置区画の物理的施錠)で実現できる。
B.5.3.3 個別ガイダンス
  例えば,供給業者の場合,高リスクPESの認定利用者の識別が有用な手段となる。このことは,氏名の
リストアップ又は要員の等級/役割の識別によって実施できる。
  セキュリティ対策の有効性が証明されなければならず,そこには,個々のセキュリティ試験事例での試
験結果又はセキュリティ違反のない成功した運転のサービス履歴記録が含まれていなければならない。
B.5.3.4 参照規格
  [IEC 61069-1]の4.3.4,[MSC/CIRC.891]の3.1.6及び5.2.4
B.6 操作性
B.6.1 第8原則
B.6.1.1 一般
  P8 PESは,利用者に受け入れられ,規定された条件下で効果的で効率的な作業をサポートできなけれ
ばならない。
B.6.1.2 注釈
  PESを操作可能なものにするためには,実際のPESの利用の状況に近い評価状況で実際的なタスクを実
施する標準的利用者によって,システムの使用性が確立されなければならない。
  使用性の保証レベルは,PESに要求される信頼性レベルによって決まってくる。低危険度PESの場合は,
利用者代表又は使用性専門家による使用性判定基準の標準リストと対照した評価で十分事足りる。船舶の
運転に対する重要性が更に高いPESの場合には,実際の利用者によるシステムの使用品質に関するフィー
ドバックを得る形での試験の実施が推奨される。安全関連動作に用いられるPESの場合には,正確な利用
の状況での主要タスクに関する利用者完成度の量的測定の実施が推奨される。トータルシステムに関係す
るリスクから,使用性の保証レベルが確定されることができる。
  PESに対する安全と利用者要件から得られた目標と対照して使用性の測定が行われるものとする。三つ
の広い分類の主観的又は客観的測定が必要とされる。すなわち,有効性,効率性,受容性である。システ
ム及び利用者のタスクで実施される個々の機能に応じて,これらのパラメータは,様々な方法で測定され
る。代表的な目安としては,情報の分かりやすさ並びに利用者応答の精度及び速度がある。受容性は,シ
ステム使用に関する最終利用者の満足度として測定される。これらの目安を引き出すタスクを選択すると
きには,PESの全体的な役割,運転及び保守におけるその利用の状況を考慮することが重要である。
  正常な条件及び異常な条件の両方に関して,要求される性能を評価しなければならない。規定されてい
ない条件に関しては,システムのソフトウェア又はハードウェアと同様に,第5原則が利用者行動に適用
される。
  ここでいう“利用者”とは,設置されたPESの直接的なオペレータだけのことではなく,システムの予
想される,又は実際の最終利用者をすべて含むものである。そこには,例えば,保守スタッフ,船主経営
者,ほかのオペレータグループが含まれることがある。
B.6.1.3 個別ガイダンス
  使用性に対しての目標を達成すべきシステムを開発する場合には,設計的解法が十分に利用できるため
に,初期バージョン又はプロトタイプを標準的利用者で試験することが推奨される。性能目標を達成する

――――― [JIS F 8082 pdf 28] ―――――

                                                                                             27
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
ためには,設計時に利用者の予想能力及び能力範囲を考慮に入れる。予想される乗組員能力を特定し,そ
れがPESの耐用期間中に変化した場合に再設計を開始することは,船主の責任である。要求されるレベル
の能力の維持に関する問題は,第19原則で扱われている。
  理想的なケースでは,PESの使用性に関する工場試験と海上試験とを,その船で航海することになって
いる乗組員の代表を用いて実施するのがよい。“熟練した利用者”及び/又は供給業者代表の評価の,最悪
であるがより一般的なケースでは,査定者は,試験対象者及び標準的乗組員の訓練及び経験の差を考慮し
なければならない。このことは,規定された評定背景から得られたリストを用いた正式な方法によって最
もうまく実施できる。
  利用者試験には,非常時運転,荒天,高い作業負荷,夜間状態(ブリッジ装置に関して),装置の部分的
故障等の乗組員にとって困難な状況のシミュレーションが含まれなければならない。試験における一般的
不合格には,がい(蓋)然性の低い状態は含めないが,インパクトの強い状態は含める。
  非常に多様な経験又は訓練レベルの利用者で利用者試験が実施されていることが多いため,COTSには
特別な問題が伴う。そのため,COTSの使用性の主張には注意が必要である。
  船主には,使用性要件を定義し取り決める責任がある。システムエンジニアには,システム全体がこれ
らの目標を満たすようにする責任がある。
B.6.1.4 参照規格
  [IEC 61069-1]の4.3.5,[ISO 9126-1]の7,[MSC/CIRC.891]の3.1.5,4.8.1,5及び6,[JIS Z 8520]の3.1.1,
3.2,3.3,3.4,3.5,3.7及び3.8
B.6.2 第9原則
B.6.2.1 一般
  P9 PESの操作は,首尾一貫,整合性のとれたものとし,基調プロセスに対する利用者の期待に合致し
なければならない。
B.6.2.2 注釈
  海洋環境で使用されるPESは,通常,船舶の管理又は運転に関係する機能をサポート又は実行する。船
舶の運転に関する知識から,PESを使用する乗組員は,PESが自分達のタスク遂行を補助する方式に関し
て,一定の期待をもつことになる。これらの期待が満たされる場合には,乗組員は,より効果的に仕事を
行うようになり,エラーも少なくなる。
  状況認識の欠如が,人のエラーをもたらす最大の要因である。監視タスク又は制御タスクでは,情報と
システムとの対話を表示することに対する利用者の期待に合致したPESは,最高レベルの状況認識がもた
らされる。システムは,利用者が次のことを行えるようにしなければならない。
  1) システムが現在行っていることを知る。
  2) システムがこれから行おうとしていることを知る。
  3) 入力及び出力の関係を説明する。
  上記の項目1)3)は,状況認識の様々な局面を含んでいる。設計においては,各局面を個別に表示しな
ければならない。
  さらに細かいレベルにおいては,システム内とシステム間との両方に関して,情報その他のコード(メ
ッセージ,記号,略語,色など),システム操作動作(画面から画面への移動,ヘルプ,メニュー,ボタン,
キーなどを得る),コマンドの発行(選択,制御動作,確認,取消)が同じ方法で実行されるようにするこ
とが重要である。これらの間に不一致があると,最良の場合でもPESの使用速度が遅くなり,最悪の場合
には危険な運転の結果としてのエラーが引き起こされることがある。

――――― [JIS F 8082 pdf 29] ―――――

28
F 8082 : 2007 (ISO 17894 : 2005)
B.6.2.3 個別ガイダンス
  PES開発の初期局面では,PESが利用者に提供する操作概念を定義し,明記することが重要である。利
用者によく知られている動作に基づいた操作概念(例えば,初期の船舶の機械的システムの性能又はほか
のPESや一般的な常とう(套)手段から引き出されたものなど)は,習得がより容易であり,そこでは異
常状態にあるPESの応答を利用者が予測できるようになる。例えば,警報及び操船システムのような高リ
スクPESの利用者は,PES,装置及び船のトータルシステムに対する入力と出力間の関係について説明で
きる必要がある。
  開発局面では,整合性を確保するために,一般的な人間工学の規準並びにシステムのインタフェースの
外観及び感触に対する具体的なプロジェクトスタイルに従うことが重要である。また,トータルシステム
の操作概念に対する実行細目の整合性を確保することも重要である。
  障害を検知し是正する措置の実行では,要求されるPESの保全性とその利用の状況を考慮すべきである。
様々な技術が様々な障害をカバーすることができる。特に,様々なレベルでの障害補てん(填)が考えら
れる大規模PESのスケーリング効果に関しては,個々の技術の設計意図を吟味する必要がある。
  PESは,新造船時統合する場合又は既存の船舶に新しいシステムを導入する場合には,PES間の不一致
を回避しなければならない。こうすることによって,習得のための労力が削減されるし,情報の誤解から
生じる利用者エラー又は危険な結果をもたらすシステムからの一連の命令の実行から生じる利用者エラー
は回避される。
  PESの運用時には,システムのアップグレードその他の修正によって,動作,外観,感触の一貫性を維
持することが重要である。もちろん,そのような修正がシステムのある側面を取り除き,そのために動作
不能であることが発見されるものでない限り。
  PESを運用から外すときには,システムのうまくいった側面を文書化し,新しいシステム又は代替シス
テムの仕様作成に利用すると有用である。
B.6.2.4 参照規格
  [IEC 61069-1]の4.3.5,[ISO 9126-1]の6.3,[MSC/CIRC.891]の5.1,5.2,5.3,5.4及び6,[JIS Z 8520]
の3.3及び3.5
B.6.3 第10原則
B.6.3.1 一般
  P10 PESと利用者間との相互作用は,利用者によって制御されなければならない。
B.6.3.2 注釈
  船舶用途におけるPESの利用者は,PESに関する素養,訓練度,一般的能力は様々である。PESの設計
でこれらの違いを考慮しない場合にはリスクにつながる。利用者が仕事を行うための柔軟性が不十分であ
ると,PESが誤用されたり,全く使用されなかったりすることがある。適切な制御性のための設計は,一
連の利用者知識,訓練及び技能,PESが提供する機能で遂行される一連のタスク及びタスクパフォーマン
ス要件(速度,精度,サポートに関する)に基づいたものとなる。
  “利用者が制御できる”ということは,達成すべきタスクと利用者に割り当てられた機能という状況の
中で解釈しなければならない。利用者がPESの応答速度を遅くしたり出力を制限したりできるようにする
ことは,重要な情報が隠されることにつながり,適切な処置であるとは言えない。ただし,利用者が直接
管理しているタスクに関して,利用者がPESに支配されるということがあってはならない。すなわち,利
用者は,そのようなタスクに関するPESとの対話を取り仕切ることができなければならない。このように
安全関連コマンド又は情報の修正を行った場合には,PESの保全性の再評価が必要になる。この点に関し

――――― [JIS F 8082 pdf 30] ―――――

次のページ PDF 31