JIS F 8082:2007 船舶用プログラマブル電子系の開発及び使用に関する一般原則 | ページ 7

                                                                                             29
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
て,不慣れな利用者に関連するリスクを考慮しなければならない。
B.6.3.3 個別ガイダンス
  制御性を補助するためには,PESコンソールが動きやすさを考慮した,適切な物理的スペースのような
人間工学に基づく機構を組み込んでいなければならない。対話を通じて各利用者グループをガイドし,情
報にアクセスできるようにし,必要に応じた十二分な表示及び制御をもたらすようにPESを設計しなけれ
ばならない。
  柔軟性が必要とされる代表的分野は,フィードバック又は説明のレベル,データ入力一連動作の再実行,
機能にアクセスする代替方法,利用者に提供される情報のレベル,共通制御行動のためのグループ項目の
方法である。要求される情報表示方式が,利用者グループによって異なる場合もある(例えば,装置状態
の図式表示又はテキスト形式表示)。例えば,ポンプの作動状態を詳述したメッセージを必要とする利用者
もあれば,スクリーンシンボルの変化を見るだけで事足りる利用者もある。
  場合によっては,利用者グループ又は個々の利用者による半永久的なカスタマイズが可能なPESを設計
することが必要とされることもある。この場合,インタフェースを標準セットアップに戻す迅速な手段が
常に必要とされ,非標準セットアップは適切なアクセス制御によって保護されなければならない。カスタ
マイズ化により船舶の安全な運転が危うくなるほどインタフェースが変更されることがないように,チェ
ックを行わなければならない。このことは,自動船位保持システム等の複合的制御システムで問題となる
ことがある。
  グループ又は個人による安全関連システムの構成は,リスクの発生源となる可能性があるが,経験のレ
ベルが異なる利用者が効率的に操作を行うことを可能にし,熟練者用の設備を経験の浅い利用者や訓練を
受けていない利用者に提供することに伴うリスク(そこでは明らかに日常的なアクションが様々なシステ
ムアクションを引き起こすリスクがより大きい)を回避するものとなる。このような機構はアクセスコン
トロールによって保護されなければならない。パラメータの変更は,PESによって記録されなければなら
ず,依頼に応じて利用できるようにしなければならない。
B.6.3.4 参照規格
  [IEC 61069-1]の4.3.5,[EN 894-1]の4.3,[MSC/CIRC.891]の5.1及び5.2.2,[JIS Z 8520]の3.3及び3.4
B.7 タスクに関連しない特性
B.7.1 第11原則
B.7.1.1 一般
  P11 PESは,適正な設置及び保守管理(修復及び修正を含む)をサポートしなければならない。
B.7.1.2 注釈
  うまく構造化されたモジュール式設計は,この原則に合致するのに役立つ。PES内のモジュール間の疎
結合という概念が役に立つ場合がある。そこでは,モジュールが物理的・機能的に互いに区別されている。
これはソフトウェアコンポーネントに関して特に重要であり,そのようなアプローチはソフトウェアの適
正な統合と制御された修正を補助する。
  海上にあって専門的な設備やスタッフをすぐに利用できない状況において,PESに対する船上での適切
なサポートの問題について考慮する必要がある。船上予備部品の十分な供給とPESの保守において技術乗
組員を適切に訓練することが必要とされるかもしれない。
  船上での保守と修理を行うための乗組員の能力に十分に配慮する必要がある。修理,交換可能なコンポ
ーネント,注意が必要なコンポーネントに関するガイダンスが,供給業者のサービススタッフによって提

――――― [JIS F 8082 pdf 31] ―――――

30
F 8082 : 2007 (ISO 17894 : 2005)
供されなくてはならない。
B.7.1.3 個別ガイダンス
  モジュール化と効果的な修正は,PESとほかのシステム間,及び(より低いレベルでは)PESを構成し
ているコンポーネント(ハードウェア,ソフトウェア,更に進めてサブシステム)間における慎重な機能
割当によってサポートされる。このことは,システム構成の階層的定義と最適設計とを目指したシステム
要素間の必要条件の反復的な相殺によって達成される。モジュールは疎結合されるべきであるが,内部的
には技術的な挿入や変更管理容易性のため,密結合を許容すべきである。モジュール間のインタフェース
は十分な文書化をすべきである。
  文書と訓練には,日常保守と合理的に予想可能な保守が考慮されていなければならず,故障の場合に第
2原則を確実に遵守するための十分なアドバイスが含まれていなければならない。
  故障したコンポーネントの表示は様々な形を取り得る。重要な点は,表示のレベルを交換/修理アプロ
ーチに適合させることである。例えば,独立形I/Oステーション又はキュービクルでは,どの回路又はコ
ンポーネントが故障したかを示そうとするよりも,どの回路基板が故障しているかを示すことだけの方が
適切であると考えられる。ローカル表示及びリモート表示は様々であり,例えばローカルLED及びリモー
ト可聴式VDU形ディスプレイがある。変更又はその他の調査作業を行う乗組員の能力に関しては,十分
な注意が必要であり,製造業者からの正確で適切な文書(設置,操作及び保守の手順を含む)の提供が必
要とされる。
B.7.1.4 参照規格
  [IEC 61069-1]の4.3.7,[ISO 9126-1]の6.5及び6.6,[MSC/CIRC.891]の3.2.2,3.2.3,4.4及び6.1,[JIS X
0170]の5.5.4及び附属書D
B.8 ライフサイクル活動
B.8.1 第12原則
B.8.1.1 一般
  P12 すべてのPESライフサイクル活動は,系統的に計画され構成されなければならない。
B.8.1.2 注釈
  システムのエンジニアリングに関するライフサイクルの役割は,現在十分に確立されており,船舶セク
ターでも認知されつつある。ライフサイクルはPESの揺りかごから墓場までのすべての活動をカバーする
ものであるが,仕様を規定する局面は関係者すべてにとって重要なものとなる。
  この原則は,従うべきライフサイクルを定義することと,ライフサイクルはPESの開発,運転,保守の
ための方法的基盤を形成するということを強調している。ライフサイクルの効果的な実行を計画すること
の根本的な重要性も明確にされている。計画は,PESに関係するあらゆる側面(安全及び品質に関する問
題を含む。)をカバーするものでなければならず,時宜を得た方法で達成されるべきである。さらに,ライ
フサイクル全体を通し必要なものとして,計画が“生彩的”に再考されるのがよい。そして,時宜を得た
効果的な再計画が行われるようにしなければならない。
  ライフサイクルには,通常,必要に応じて次のような活動が含まれる。すなわち,要件の定義と分析,
設計,実現,統合,検証,使用への移行,妥当性確認,運転,保守,廃止である。しかし,サポート活動
の役割も定義されなければならない。サポート活動には,品質保証,計画機能,構成管理,独立評価が含
まれる。明確に計画され構成された活動を系統的に実施することによって,PESを使用に適したものにす
ることができる。これによって,PESが要件を満たしていることを確証するときに監査及び検査活動(特

――――― [JIS F 8082 pdf 32] ―――――

                                                                                             31
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
に,第三者によって実施される活動)が容易になる。
B.8.1.3 個別ガイダンス
  この原則とほかのライフサイクルの原則は,PESの信頼性に関与しているすべての組織に適用される。
したがって,PES供給業者以外の当事者(船主,船舶オペレータ,造船所など)にも,自らの責務を考慮
し,選択された活動に対する系統的で計画されたアプローチを考慮することが必要とされる。
  ライフサイクル計画には,トータルシステムの統合に必要な仕様を含めるのがよい。この計画では,PES
を作動状態にすることに関しての活動と試験のプログラムだけでなく,利用の状況においてトータルシス
テムが概念,要件,設計意図と合致していることの評価に必要とされる試験も取り上げる。これには,利
用者及び組織的・物理的環境と一体化されたPESに関する信頼性のあらゆる側面が含まれる。
  プロトタイピングは,コンピュータを利用したシステム開発において広範に用いられている方法である。
主たる用途は,PES要件や初期の設計ソリューションを調査し,妥当性の確認を補助するためのツールと
してのものである。この役割が誤用されることがあり,プロトタイプコードが引き渡されたシステムで用
いられていることもある。そのため,プロトタイプシステムの目的と用途が認識・理解され,適用される
開発規制が定義され,プロトタイプ試験の結果が適切に報告されるように,プロトタイピング活動を慎重
に計画することが特に重要である。
B.8.1.4 参照規格
  [IEC 61069-1]の4.3,[MSC/CIRC.891]の3.3.1,[JIS C 0508-1]の7.1,7.8,7.9,7.16,7.18及び箇条8.,
[JIS Z 8530]の箇条5.及び箇条7.,[JIS Q 9001]の5.5,5.6及び箇条8.,[JIS X 0170]の箇条5.,[JIS X 0170]
B.8.2 第13原則
B.8.2.1 一般
  P13 要求される安全性が,すべてのライフサイクルを通した適切な活動によって実現できなければな
らない。
B.8.2.2 注釈
  基本的アプローチは,リスクに基づいた(そこでは危険要因が特定されている)ものでなければならず,
関連するリスクを評価し明確にしなければならず,必要であれば,リスク軽減手段を取って,PESの技術,
機能,利用の状況を考慮に入れた許容安全性レベルを達成するのがよい。規範的安全要件に基づいた代替
的アプローチが取られていることもあり,さっ(遡)及的評価ではこのことを考慮に入れるべきである。
これらのケースでは,PESに関する安全目標が認識され理解されていることと,それが法的要件や船舶セ
クターにおける現行の最良の慣行に基づいたものであることを証明することが重要になる。関係組織によ
るこの目標の明確な合意と承認を得ることが重要となる。
  考えられる活動の範囲は広い。達成された安全性レベルを正当とする理由は, 分析,計算,専門家の同
意,局面検証活動,妥当性確認試験の結果から議論される。これには,例えば,サービス履歴証拠の分析
又はコンポーネントの試験が含まれることがある。一般的に,決められた開発と検証の手順を遵守するこ
とによってだけ,PESが要求レベルの保全性を満たすことを確信できると考えられる(次の個別ガイダン
ス参照)。高リスクアプリケーションのPESの場合,設計,検証,妥当性確認の責務を分離する必要性が
重要となる。
  この原則では,達成された安全性の独立した評価が要求されている。ただし,その独立のレベルは,PES
アプリケーションの重要度によって決まってくる。例えば,新しい機能や技術を取り入れている高リスク
PESの評定では,外部の第三者の査定者を指名するのが適切であると考えられる。その他の場合には,同
じチーム内ではあるが,PES自体の開発や修正にはかかわっていない者によって,評価の独立性がもたら

――――― [JIS F 8082 pdf 33] ―――――

32
F 8082 : 2007 (ISO 17894 : 2005)
されることもある。非安全関連機能に使用されるPESの場合,この原則が関連するのは,PESから生じる
内在的な危険要因に適切に対処しなければならないという点だけである。
  ライフサイクル全体を通じて,危険要因とリスク管理の記述を継続されねばならない。これは,危険・
リスク問題を解決する経過を記録する主要な方法である。記載される活動の範囲は,到達したライフサイ
クルの段階によって決まってくる。
B.8.2.3 個別ガイダンス
  実際の現場での使用や事後の修正を踏まえて,PESの重要度を再評価することが必要となることがある。
というのは,これがPESのリスク分類に影響する可能性があるからである。PESが本来の使用目的以外で
使用されている場合には,再評価が絶対的に必要とされる。特に,大きな修正や後付けのプログラムには
十分な考慮が必要である。
  提供される安全機能と各安全機能とに求められる保全性の点から,安全要件を定められなければならな
い。そのような安全仕様は,PESの運転と保守を担当する組織によって維持される。
  開発及び検証の手順に関する詳細なガイダンスは,参照規格,特にJIS C 0508-1,JIS C 0508-2及びJIS
C 0508-3の手段及び方法の表に示されている。
  船舶のISM認可情報は,PESの運転安全性の側面に関する管理の証拠をもたらすことがある。
  査定者の役割は設計・試験・検証活動に参加することではなく,達成された安全性のレベルを入手可能
な証拠に基づいて判断することであるという認識が重要である。これには一部の開発活動の精密な調査が
必要とされる場合があるが,そのことは目標安全性レベルと開発管理度のような要素に左右される。例と
して設置と試運転の局面が挙げられ,そこでは時間的に切迫した状況下で多数の修正が実行されている。
修正プロセスにおいて十分な信頼度が確立されていない場合には,精密な調査が必要とされることがある。
B.8.2.4 参照規格
  [JIS C 0508-1]の6.2,7.4,7.5,7.6,7.8,7.16及び箇条8.,[ISO 9000-3]の7.3.2及び7.3.3
B.8.3 第14原則
B.8.3.1 一般
  P14 人間中心の活動が,ライフサイクル全体を通して行わなければならない。
B.8.3.2 注釈
  基本的アプローチでは,PESの最終利用者のニーズを考慮すべきである。利用者中心であるためには,
耐用期間全体を通してシステムを使用する人々の要件に,初期から継続的に重点を置くことが必要とされ
る。このことは,ライフサイクルの段階に応じて様々な方法で達成される。
  PESの構想局面では,技術と乗組員をトータルシステムとして組合せる方法が考慮されるべきである。
既に同様の仕事をしている人々と協議することによって,システム目標を達成するために必要とされる仕
事を行う乗組員に対する影響が評価されなければならない。要件局面としては,代表的最終利用者に関し
て,適切な実証方法と協議方法を用いて,システムの利用の状況及び業務,タスク及びシステム人間工学
に関する要件が作成され,立証すべきである。開発局面では,関連する人間工学規格等の既存の人的要因
知識,設計チームでの利用者描写,代表的最終利用者に関する不完全又は完全プロトタイプの評定によっ
て,利用者に対する大局的な見方を考慮すべきである。システムが期待どおりに機能していることを確認
し,効率性,有効性,利用者の健康と安全に影響を及ぼす問題が発生していないか確認するために,シス
テムの耐用期間全体を通してフィードバックが収集されるべきである。
  入力及びフィードバックを収集するときには,PESの最終利用者からの情報をなるべく直接的に得るよ
うにすることが重要である。個人的な偏見や好みを回避できる十分な数の最終利用者にプロトタイプ又は

――――― [JIS F 8082 pdf 34] ―――――

                                                                                             33
                                                                   F 8082 : 2007 (ISO 17894 : 2005)
類似システムの実地体験をしてもらい,その意見を体系的な方法で収集するのが理想的なケースである。
その人たちが該当する最新の知識をもっている場合には,PES開発プロジェクトでみられる様々なタイプ
の“利用者代表”(例えば,販売スタッフ,資材購入係,プロジェクトへの出向者,海上などでの経験があ
るプロジェクトスタッフ)からアドバイスを求めることもできる。
B.8.3.3 個別ガイダンス
  人間中心の設計は,PESに関して身体や認識に関する人間工学を扱うだけではない。設計及び運転に関
するヒューマンシステムの問題に取り組む場合,船員の健康,安全及び福祉,PESの使用及び誤用が船舶
の安全に及ぼす影響,船舶システムの運転に必要な人の数,船舶システムを運転する人の訓練,船舶又は
システムの破滅的な故障のときの生き残り等がすべて考慮される。これらの事項を幅広い設計過程に組み
入れていくことが,人間中心設計プロセスの主要な部分となっている。
  開発者は,PESに関するニーズの分析時やPESの開発時に利用者の観点を考慮に入れるべきである。
  PESコンポーネントの供給者は,一般的な人間工学の問題に対処し,コンポーネントが使用されるシス
テムの内容をできる限り確認すべきである。
  システム統合に関する責任者は,トータルシステムの設計と試験に利用者のタスクを盛り込む。乗組員
を科学技術又はシステムエンジニアから切り離して考えるのではなく,科学技術,操作哲学,そして安全,
かつ,効率的に目標を達成する能力のある乗組員から構成される完全なワークシステムを設計すべきであ
る。
  オペレータは,乗組員のコンピュータに関する能力レベルを知り,提供されている技術にスキルをつり
合わせるための訓練を行う。船舶の耐用年数は長く,多数のシステムが用いられているため,船員のタイ
プと経験に変化が生じてくると考えられる。また,規則の変更によって,乗組員の責任が変化する場合も
ある(第17原則参照)。PESの設計では,利用者の能力及び必要性の変化に合う設計の修正,初期設計の
段階で柔軟性をもたせることによってこれらの変化を考慮に入れる必要がある。
  船主は,代表的利用者の意見及び/又は能力を随時見直すことによって,PESの作動性を監視するのが
よい。そのような見直しが次の場合に行われるとき,最も有効である : システムの引渡し又は修正の直後
に,新しい船舶の採用時に,大きな修正を行う前のベンチマークの設定のために,更にPESが要因であっ
たかもしれないニアミス又は偶発的事件の後。
B.8.3.4 参照規格
  [JIS Z 8530]の5.2,5.3,5.4,5.5,7.3及び7.4,[JIS Z 8520]の3.1.1
B.8.4 第15原則
B.8.4.1 一般
  P15 検証及び妥当性確認は,ライフサイクル全体を通して行わなければならない。
B.8.4.2 注釈
  検証は,PESのソフトウェアコンポーネントにとって特に重要であり,様々な方法を利用することがで
きる。動的実行(すなわち,試験)が一般に適用されているが,通常は,ソフトウェアパスとして実行可
能な小さなサブセットだけがそれに用いられる。ソフトウェアの正確さに関する更なる確信は,低レベル
において静的方法を適用することによって得られる。低リスクPESのソフトウェアには,コードウォーク
スルー又は検査を適用できる。高リスクPESの場合,更に厳密な方法には詳細な静的コード解析又はソフ
トウェアのフォールトツリー解析がある。特に検査活動に関して,検証者の独立性は明確でなければなら
ない。すべての検証に関して,明確な成功の判定基準がなければならない。例えば,各試験事例に関して
期待される結果を明記することや,コード検査に関してコーディング基準を挙げることが必要とされる。

――――― [JIS F 8082 pdf 35] ―――――

次のページ PDF 36