yasuo kominami's List: safety

本資料は、第４回安全部会における佐藤特別委員の質問への回答として、JISのソフトウェア安全規格(JIS C 0508-3 : 2000)と、HTVのソフトウェア安全要求の比較を示すものである。

1. JISのソフトウェア安全規格（JIS C 0508-3 : 2000）の概要

JIS C 0508-3 : 2000は、電気及び／又は電子及び／又はプログラマブル電子構成要素からなるシステム（E/E/PES）が安全機能を実行するため、安全要求設定～設計及び開発～運用及び改修に至る全てのソフトウェア開発フェーズに関する包括的な要求事項を定めている。当該規格は、”安全関連系(Safety related system)”を構成するソフトウェア、又は”安全関連系”を開発するために使用するすべてのソフトウェアを対象として、ソフトウェア安全機能とソフトウェア安全度水準を明確にすることを要求し、これらの設計・開発期間に実行すべき活動内容を定めたものである。

2. HTVのソフトウェア安全要求

（１） ソフトウェア安全技術要求 　コンピュータによる制御システム（CBCS）に対する安全技術要求の中でソフトウェアの安全技術要求を定めている。ハザードに関連する機能をMWF (Must Work Function：機能の意図しない停止がハザードにつながるもの) とMNWF (Must-Not Work Function：機能の意図しない作動がハザードにつながるもの)に分けて考え、それぞれに起因するハザードに応じて故障許容性が適切に確保されるように安全技術要求を定めている。 （２） ソフトウェア安全管理要求 　ソフトウェアに係る安全・開発保証（安全性、信頼性、保全性、品質保証）要求を設定し、ソフトウェアライフサイクルを通してソフトウェア要求が適切に設計に反映、実装および検証され、必要な機能が要求通りに実現されることを保証する活動を展開している。 　特に安全評価に関しては、ソフトウェア安全解析をシステム安全解析の一部として実施し、その結果を安全性評価報告書の一部として提出することを要求している。これを安全審査会で審査することにより、HTVソフトウェアの設計が安全技術要求に適合していることを確認する。 以上

---

表　JISのソフトウェア安全規格とHTVのソフトウェア安全要求の概要比較

比較事項	JISソフトウェア安全規格（JIS C 0508-3: 2000）	HTVソフトウェア安全要求
安全技術要求	ソフトウェアに適用される安全技術要求は設定されていない。（対象システムの安全機能を明確にして、ソフトウェアに求められる安全技術要求を明確化することを要求しており、技術要求の指針が例示されている。）	有人宇宙システムであるISSの安全に係わるソフトウェアに対する安全技術要求が既に文書として設定されており、JISで求めている安全要求の設定がなされている。
開発管理	安全要求設定～設計及び開発～運用及び改修に至る全ての開発フェーズの活動を設定し、安全妥当性確認、適合性確認、機能安全評価の実施を要求している。	HTV安全・開発保証要求書及びHTVソフトウェア開発計画にて、開発フェーズの活動を設定し、安全審査（機能安全評価）、設計審査及び検証・確認の実施（適合性確認及び安全妥当性確認）等を要求している。また、IV&V（独立検証及び有効性確認）の実施を要求している。
安全評価／安全審査	全ての開発フェーズを対象として機能安全評価を実施する。機能安全評価では、安全度水準に応じて適切な独立性を有する人員／部門／組織が安全評価を実施し、ソフトウェア機能安全評価報告書を作成する。	開発者が、ソフトウェアを含むシステムの設計に関する安全評価を実施し、安全性評価報告書を作成する。安全審査は、安全性評価報告書を審査対象として、システム開発組織の人員とは独立したメンバーで構成される安全審査パネルによって実施される。
適合性確認／安全妥当性確認	各開発フェーズにおける引継事項と引渡事項の正しさと整合性を検証する。 ソフトウェア安全妥当性確認テストにより、ソフトウェアが所定の要求事項を満たしていることを確認する。	各開発フェーズにおける引継事項と引渡事項の正しさと整合性を設計審査等で検証する。 安全性評価報告書に記載されている検証手法に基づき、ソフトウェアが所定の要求事項を満たしていることを確認する。

機能安全適合支援サービス

2-4　JIS C 0508の要旨

電気・電子・プログラマブル電子安全関連系の機能安全(E・E・PES)に関する。この規格は設計、実施、運用および保全のライフサイクルベースに基づく。E.E.PESによる安全関連系のハードウェア(プログラムソフトを含む)およびそれにより駆動される装置や生産系等の機能失敗が人や環境の安全に関連する場合を対象とする。

外的リスクを軽減するための安全度水準の決定と安全要求仕様を展開する方法論を示している。安全に関する技術的要求による性能規準と、管理、文書等の要求による手続き規準を示す。安全機能以外の制御機能の遂行にも利用可能である。安全度水準は、本付録の3bで紹介したように、定量的および/または定性的な方法による。

危険事象を発生させる故障、障害はその発生要因のあり方から、この規格では故障モデルを二つに分類をしている。即ちランダム故障と決定論的原因故障である。

ランダム故障は異なる部品ごとに異なる率で生じるもので、多くの劣化メカニズムが存在し、製造上の誤差が起因して運転中故障が異なる時刻に於いて発生する。多くの部品からなる装置全体の故障は、統計的なパターンで生ずるがこれは予測不可能なランダムな時刻で発生する。このように時間に無秩序に発生する故障をランダム故障という。ランダム故障から生じるシステムの機能失敗確率は統計的尺度にて従来からの解析手法で演算は可能である。

決定論的原因故障はハードウエアの設計・製造・設置、運用管理システム、ソフトウエアソフトウエアの設計段階のヒューマンエラーなどのように、容易に予測推定できず安全措置を構築するのが難しく、主として運用開始後における故障発生により初めてその原因が判明して、管理システム、設計などの要因の修正によってのみ排除できる種類の原因故障をいう。

ある要求事項(例えば被害の過酷さ)にたいする諸要因のうち、どれか一つだけを抽出するのは不可能であり、全ライフサイクルのフェーズと業務に依存する。従って、技術的なフレーム　ワークとして図に示すような全ライフ　サイクルを用いる。

使用者の安全レベルの特定要求から製造者(含む使用者)が対応すべき安全措置、役割分担を明確にして、安全要求に適合する安全度水準を算出する方法についても記載されている。

この規格は従来の信頼性工学手法をもちいて、安全装置/安全の関連系(またはシステム)全体への展開を特徴としている。その機能能力のランキングによる評価を導入している。ハードウエア(プログラムを含む)中心の故障解析に主力を置いているが、それ以外の定性的部分は従来の概念・規格類を導入して、全体的によくまとめている。補足的要求や事例的方法が多く示されている。

また、この規格は電気系であるが、どの分野でも適用可能となることを目標としている。社会科学系等を包含し、大規模システム全体を配慮した安全規格の適用は、海上部門の複雑系マンマシンシステムにおける問題改善方策に有用であると考える。