JIS X 25051:2016 システム及びソフトウェア製品の品質要求及び評価（ＳＱｕａＲＥ）―既製ソフトウェア製品（ＲＵＳＰ）に対する品質要求事項及び試験に対する指示

この規格ページの目次

7.6 適合性評価の継続調査
JIS X 25051:2016の引用国際規格 ISO 一覧
JIS X 25051:2016の国際規格 ICS 分類一覧
JIS X 25051:2016の関連規格と引用規格一覧

24
X 25051 : 2016 (ISO/IEC 25051 : 2014)
d) 試験に使用したコンピュータシステム(ハードウェア,ソフトウェア及びその構成)を追加してもよ
    い。
e) 識別を含めて,使用した文書
f)  適合性評価活動の概要
      なお,試験活動の概要は追加してもよい。
g) 適合性評価結果の概要
      なお,試験結果の概要は追加してもよい。
h) 適合性評価の詳細
      なお,試験の詳細を追加してもよい。
i)  要求事項に対する不適合の一覧を追加してもよい。
  適合性評価報告書の結果の部分[7.5のf)   h) の項目]には,製品説明及び利用者用文書類の適合性評
価結果を含まなければならない。供給された要素に従って,更に次の二つの要素のうちの一つを含まなけ
ればならない。
a) 供給者が既製ソフトウェア製品(RUSP)だけを提供して試験文書類を提供しない場合,5.3の要求事
    項に対するソフトウェアの試験結果,すなわち,不具合報告書の説明部分(6.4.2.2)
b) 供給者が既製ソフトウェア製品(RUSP)及び試験文書類を提供する場合,箇条6の要求事項に対する
    試験文書類の適合性評価の結果
      注記 適合性評価報告書は,不具合報告書の説明部分だけを含む。なぜならば,不具合の修正は,
            適合性評価グループの責任ではないからである。
  印刷された適合性評価報告書では,適合性評価報告書の識別[試験機関,既製ソフトウェア製品(RUSP)
の識別,適合性報告書の日付など]及び総ページ数を,適合性評価報告書の各ページに明記しなければな
らない。
  適合性評価報告書は,次を含まなければならない。
a) 評価及び,もしあれば,試験結果は,評価対象項目及び試験対象項目に関してだけ有効であるという
    記述
b) 適合性評価報告書は,試験機関の文書による承諾なしには,文書全体の複写を除いて,部分的な複写
    をしてはならないという記述

7.6 適合性評価の継続調査

  既に適合性の評価を受けた既製ソフトウェア製品(RUSP)を再評価する場合,以前の適合性評価を考慮
して,次のようにする。
a) 文書及びソフトウェアの変更部分の全てを,それらが新規の既製ソフトウェア製品(RUSP)である場
    合と同様に評価しなければならない。
b) 変更箇所によって影響を受けると予想される全ての未変更部分,又は要求システムの変更によって影
    響を受けると予想される全ての未変更部分を,それらが新規ソフトウェアである場合と同様に評価し
    なければならない。
c) 上記以外の他の全ての部分を,少なくとも,抜取りで評価しなければならない。

――――― [JIS X 25051 pdf 26] ―――――

                                                                                             25
                                                              X 25051 : 2016 (ISO/IEC 25051 : 2014)
                                          附属書A
                                          (参考)
                    既製ソフトウェア製品(RUSP)をビジネス
           又は安全性に関して重大な適用業務に適用する場合の手引
A.1 概要
  典型的な既製ソフトウェア製品(RUSP)は,リスクの低い適用業務に使用される。多くの既製ソフトウ
ェア製品(RUSP)は,安全性,ビジネス,法律又は組織の目標に対するリスクを考慮せずに開発されて
いる。重大な影響のない適用業務では,既製ソフトウェア製品(RUSP)の特質として,運用操作不可又
は機能不全となった場合には,最悪の場合,利用者の不満足という結果を引き起こすであろう。その最悪
の場合には,開発者は,利用者の評価を満足させるために,バグを解決し,特質を追加及び/又は削除す
ることによって回復させなければならない。こうした場合の多くでは,市場は厳密な試験を要求せず,既
製ソフトウェア製品(RUSP)の一定の水準の欠陥は容認する。
  しかし,既製ソフトウェア製品(RUSP)の使用が安全性又はビジネスリスクに明らかな影響を及ぼす状
況では,既製ソフトウェア製品(RUSP)の不十分な適用又は不十分な試験の結果がもたらすものは深刻
である。このような環境での既製ソフトウェア製品(RUSP)の適用業務には,航空用途,医療機器,薬
及び調剤,宇宙及び探査,電気通信,建築,会計,エレベータ,鉄道,防衛システムなどを含む。航空及
び鉄道輸送管理,がん患者に対する放射能照査量の調整,税金及び会計報告書の正確性などの機能は,1
件の障害でも悲惨な結果をもたらすシステムの例である。これらのシステムに対する機能面の要求は,広
い範囲の設計目的を調整するために,様々なハードウェア及びソフトウェアのアーキテクチャによって調
整されている。ある設計目標は,特定用途向け集積回路(ASIC),電子プログラマブル論理装置(EPLD)
などのハードウェアに実装されてもよいし,既製ソフトウェア製品(RUSP)に実装されてもよい。
  安全性又はビジネス上の重大な適用業務での既製ソフトウェア製品(RUSP)の適用を評価する場合,既
製ソフトウェア製品(RUSP)の利用者は,製品及びプロセスの属性と適用業務の特質との両者を考慮す
ることが望ましい。
  既製ソフトウェア製品(RUSP)がサポートしてもよい,ソフトウェア設計特質には,次を含む。
A.2 ソフトウェア冗長性を含む障害検知及び障害対応
  障害検知は,誤りのある状態についてシステムを調査確認するプロセスをいう。障害対応手法は,シス
テムが適切に運用操作されている“安全な状態”を識別することができる。正しくない結果に対して,診
断プログラムを使用することによって,ソフトウェアは,自分自身及びハードウェアを調査確認する。診
断プログラムは,バックグラウンドプロセスとして,定期的に又は継続的に実行することができる。診断
プログラムは,演算処理の2回以上の重複化,パリティチェック及び周期的冗長検査を含んでもよい。冗
長設計された重大な機能に対して,冗長な構成要素のどれが正しいかを決めるために冗長な構成要素間の
投票が使用される。
(IEC 61508-7の箇条11)
A.3 障害回復の再試行
  再試行を経た障害回復は,コミュニケーション関連システムではしばしば使用されるが,これは迅速な

――――― [JIS X 25051 pdf 27] ―――――

26
X 25051 : 2016 (ISO/IEC 25051 : 2014)
実時間システムにとって共通的な手法ではない。システムは,障害に対して自分自身を監視し,以前の安
全な状態にセットし直し,それを継続しようとする。実時間関連システムで使用される場合は,障害が外
部的にシステムレベルで明らかになる前に,回復が完全に実施されることを保証することが必要となる。
(IEC 61508-7の箇条11)
A.4 nバージョンプログラミング
  nバージョンプログラミングでは,独立したチームがバージョンと呼ぶ,規定のn個のソフトウェア製
品を生産する。3バージョンが典型的であるが,安全状態を必要とするシステムでは,安全状態に重点を
置きながら,2バージョンを使用することができる。ソフトウェア製品のnバージョンの全てがシステム
の一部である。共通モード故障の発生を減らすため,異なるプログラム言語及びアルゴリズムがよく使わ
れる。しかしながら,共通モード誤りは,上流の仕様が不適切であることによって発生することがある。
異なるバージョンの中から最もふさわしい系統の出力を選択するために,様々な投票戦略が使用できる。
A.5 回復ブロックプログラミング
  回復ブロックプログラミングは,独立して記述されたモジュールが,それ自身でその正確性を確認する
手法である。この手法を既製ソフトウェア製品(RUSP)に適用する場合は,既製ソフトウェア製品(RUSP)
の構成要素を一つのモジュール中に閉じ込めて,そこから抜け出す前に,誤りに対して結果を評価する。
そのモジュールが誤りを検知した場合,他のモジュールがインスタンス化され,既製ソフトウェア製品
(RUSP)のカプセル化されたモジュールからあらゆる副作用を取り除き,誤りのない運用操作を継続す
る。
A.6 モデル追従
  モデル追従は,既製ソフトウェア製品(RUSP)の構成要素の基本モデルがシステムに存在し,既製ソフ
トウェア製品(RUSP)の構成要素自身の正しい運用操作を検証するために使用される手法である。モデ
ルは,簡易なテーブル参照モデル表現から完全なモデル表現まで,どのような手法で表してもよい。どの
ような表現をとるかは,モデル化される既製ソフトウェア製品(RUSP)の機能の複雑さ及び要求事項に
よる。
A.7 ラッパー
  ラッパーは,保護,分離又は他の構成要素とのインタフェースを取るための層である。ラッパーは,シ
ステムを既製ソフトウェア製品(RUSP)の構成要素から保護するための有力な候補である。ラッパーを
使えば,既製ソフトウェア製品(RUSP)の構成要素への改良は不要である。ラッパーは,ラップされた
既製ソフトウェア製品(RUSP)の機能性を強化するために使用することができるので,全ての対象シス
テム要求事項を満たすように使用することができる。加えて,ラッパーは,新しいシステムの実現では使
用されない既製ソフトウェア製品(RUSP)の構成要素の機能性を隠すために使用できる。
A.8 既製ソフトウェア製品(RUSP)の品質特質を確立するために考慮しなければならない手法
  表A.1は,リスクの高い適用業務での既製ソフトウェア製品(RUSP)のインテグリティを評価するため
に使用可能な検証の一覧を示す。

――――― [JIS X 25051 pdf 28] ―――――

                                                                                             27
                                                              X 25051 : 2016 (ISO/IEC 25051 : 2014)
             表A.1−リスクの高い適用業務での既製ソフトウェア製品(RUSP)への要領
        特質                        目的                               可能な行為
 メモリ保護                                              指定したアドレスの範囲外で,実行操作及び
                   認可されていないアドレス空間に,適用業務
                   がアクセスすることを防いでいるかどうか読み書きの操作を試行する試験の実施。
                   を確認する。
 スタックオーバフ  既製ソフトウェア製品(RUSP)がスタック幾つかの機能を呼び出して,スタックをオー
 ロー保護          オーバフローを防止する機能を備えているバフローすることを試験する。カーネルがタ
                   かどうかを確認する。                  スクを一時停止することを検証する。また,
                                                         そのタスクがシステム全体を破壊するかどう
                                                         かを検証する。
 動的メモリ割当て  悪意のあるタスクが無制限に資源を消費す無限ループでメモリを要求するタスクを生成
 管理                                                    する。一方,ほとんどメモリを必要としない
                   ることを防止するための資源保護機構を,既
                   製ソフトウェア製品(RUSP)がもっているタスクを生成する。重大なタスクが既製ソフ
                   かどうかを確認する。                  トウェア製品(RUSP)によって破壊されない
                                                         ことを検証する。
 障害許容性                                              既製ソフトウェア製品(RUSP)の試験は,既
                   カーネルが回復し,故障の発生前に起こった
                                                         製ソフトウェア製品(RUSP)の基本的な特質
                   イベントログを取っていることを検証する。
                                                         として,システム設計者が障害許容性を組み
                                                         込むことができるかどうかを示すように設計
                                                         することが望ましい。
 同時に発生した中                                        優先順位が高い中断及び低い中断の両方のサ
                   システムが,二つ同時に発生した中断に対応
 断及び中断の入れ  するのにどのくらいの時間を必要とするかービス待ち時間を測定する。試験は,システ
 子構造            を決定する。                          ムが二つ同時に発生した中断に対応するのに
                                                         どのくらい時間を要するかを測定することが
                                                         望ましい。中断処理が優先順位を考慮されて
                                                         いることを検証する。
 選択可能なコード  選択可能なコード又は実行させないコード“使用されていない”コードが実行されるか
 又は実行させない                                        もしれない条件を確認して,そのような条件
                   の選択が,不注意で実行されないことを検証
 コードの包含      する。                                を試験する。
 ラッパーの使用                                          既製ソフトウェア製品(RUSP)の構成要素が
                   ラッパーは,システム内の既製ソフトウェア
                   製品(RUSP)の構成要素を保護するために本来の設計意図とは異なる状況で使用されて
                                                         いるかどうかを調査する。
                   使用されるのか,又は不要な機能性を隠すた
                   めに使用されるのか。
 既製ソフトウェア  既製ソフトウェア製品(RUSP)の特質の適社内での迅速な評価及び/又は試作
 製品(RUSP)の評  切性及びシステム設計への影響を決定する。
 価
 既製ソフトウェア                                        管理者及び既製ソフトウェア製品(RUSP)の
                   ライセンス,リース,保守契約,問題報告書
 製品(RUSP)の取  へのアクセス及びソースコードへのアクセ供給者で合意した計画
 得計画            スの潜在的なニーズを決定する。
 既製ソフトウェア  社内及び既製ソフトウェア製品(RUSP)の構成管理及びソフトウェア品質保証の計画書
 製品(RUSP)の構  供給者側の両方での構成管理の系統及びソは,管理者及び既製ソフトウェア製品(RUSP)
 成管理・ソフトウェフトウェア品質保証の系統を決定する。  の供給者によって合意する。問題報告書をレ
 ア品質保証計画書                                        ビューし,ソースコード及びオブジェクトコ
                                                         ードの確かな版管理を保証する。
 既製ソフトウェア  既製ソフトウェア製品(RUSP)のシステムシステム要求事項ごとに検証を行う。
 製品(RUSP)のソ  内及びシステム外の試験
 フトウェア品質管
 理

――――― [JIS X 25051 pdf 29] ―――――

28
X 25051 : 2016 (ISO/IEC 25051 : 2014)
         表A.1−リスクの高い適用業務での既製ソフトウェア製品(RUSP)への要領(続き)
        特質                        目的                               可能な行為
 既製ソフトウェア  既製ソフトウェア製品(RUSP)をどのよう特別な統合ソフトウェア。既製ソフトウェア
 製品(RUSP)の統                                        製品(RUSP)を適切に運用操作するための特
                   にシステム構成に組み入れるかを計画する。
 合計画                                                  別なハードウェアプラットフォーム(タイミ
                                                         ング,領域分割,意図しない機能性,無効な
                                                         又は実行しないコードの影響など)
 製品サポート      製品サポートの可用性を決定する。      サポートシステム(ヘルプメニュー,運用操
                                                         作マニュアル,製品説明,ヘルプデスクなど)
                                                         の適切さを評価する。
 事前の認証及び/                                        既製ソフトウェア製品(RUSP)のサービス実
                   監督機関が制御するあらゆる製品を含め,既
 又は資格認定      製ソフトウェア製品(RUSP)のサービス履績が非常に重大な適用業務を含んでいるかど
                   歴                                    うかを決定し,その環境での性能を調査する。
 利用時の品質      既製ソフトウェア製品(RUSP)が,利用時既製ソフトウェア製品(RUSP)が目的に合致
                                                         していること,並びに顧客及び利用者の要求
                   に,顧客及び利用者の当たり前の要求事項に
                                                         事項を満足していることを(数学的モデル及
                   適合していることを示す(試験及び実験デー
                                                         びシミュレーションによって)明示するため
                   タ,数学的モデル並びにシミュレーションに
                                                         の検証及び妥当性確認。
                   基づいた)客観的証拠を提供することを目的
                   とする。

――――― [JIS X 25051 pdf 30] ―――――

次のページ PDF 31

JIS X 25051:2016の引用国際規格 ISO 一覧

ISO/IEC 25051:2014(IDT)

JIS X 25051:2016の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.080 : ソフトウェア

JIS X 25051:2016の関連規格と引用規格一覧

規格番号: 規格名称
JISX25000:2017: システム及びソフトウェア製品の品質要求及び評価(SQuaRE)―SQuaREの指針
JISX25010:2013: システム及びソフトウェア製品の品質要求及び評価(SQuaRE)―システム及びソフトウェア品質モデル