RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1

Size: px

Start display at page:

Download "RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1"

やすもりすえがら
4 years ago
Views:

1 RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1

2 産総研における機能安全規格への取り組み様々な ( 機能 ) 安全規格ガイドラインに対する企業の取り組みを支援電気電子機器 IEC 車載組み込みシステム ISO 鉄道システム IEC 航空機 DO-178C マルチドメイン ( 横断的包括的 ) アプローチ安全を保証するための最適な開発技術開発プロセスシステム保証の研究開発を実施認証を含めたシステム保証プロセス構築安全分析支援安全管理システム構築支援認証プロセス新たな機能安全規格策定への取り組みコンシューマディバイス安全規格の策定支援システムアシュアランスからのアプローチ規格の策定から認証までを包括的に実施

3 国際標準規格策定関連これまでの実績 OMG System Assurance PTF co-chair ( 田口 ) OMG SACM RTF ( 田口 ) アシュアランスケースに関する規格 Safety Sensitive Consumer Devices IPA WG 副主査 ( 田口 ) 委員 ( 西原 ) FP7 OPENCOSS (Open Platform for Evolutionary Certification of Safety-critical Systems) External Advisory Board Member ( 田口 ) セーフティケースに関連する国際会議関連 ASSURE (Assurance Case for Software-intensive Systems) 2013 PC ( 田口 ) AAA (Argument for Agreement and Assurance) 2013 Program co-chair ( 田口 ) SASSURE (System Assurance Approaches for Safety-Critical Systems) 2013 PC( 田口 ) 新鉄道保安システム安全性評価信号保守通信関連の委員会の委員 ( 田口西原相馬 ) 他 Y. Matsuno, K. Taguchi: Parameterised Argument Structure for GSN Patterns, QSIC 11 External Examiner of PhD Student, Linling Sun of University of York (UK), Establishing Confidence in Safety Assessment Evidence (2012) (Supervisor: Tim Kelly) ( 田口 )

4 本発表の目的と関連研究本発表の内容は 2012 年からの西日本旅客鉄道株式会社様との共同研究で得られた成果の一部である本発表は以下を目的としている GSN で記述することによる理解の難しい規格の記述の整理目的要求事項検証成果物の対応関係の明確化参照する事項がコンテキストとして明確化アセスメントのための文書作成支援 GSN とセーフティケーステンプレートの連携による GSN を基にしたセーフティケースの記載内容のチェック規格適合のアセスメント支援 GSN とセーフティケーステンプレートの連携による記載事項の理由の明確化関連研究 Parameterised Argument Structure for GSN Patterns, Yutaka Matsuno and Kenji Taguchi A Formal Basis for Safety Case Patterns, Ewen Denney and Ganesh Pai Safety Case Construction and Reuse using Patterns, Tim Kelly, Jhon McDermid

5 目次背景 : 鉄道の安全性と規格 RAMS の GSN による記述セーフティケースと GSN

6 鉄道の安全性と規格

7 安全性を求められるシステム規格多くのシステムは規模の拡大や多くの機能の実現などにより一層複雑化している一方で高い安全性も求められている安全性の規格に適合していることでシステムの安全性を示す特にここでは機能により安全を担保するという機能安全を取りあげる

ISO 12100( 基本設計原則 ) グループ安全規格 IEC 61508 (JIS C

IEC 62278 自動車 ISO 26262 航空機 DO-178C 医療機器 IEC

8 機能安全規格基本安全規格 ( タイプ A) グループ安全規格 ( タイプ B) 製品安全規格 ( タイプ C ) 安全面を含む個別製品規格 A B C D 基本安全規格 ISO 12100( 基本設計原則 ) グループ安全規格 IEC (JIS C 0508) 様々な産業分野における製品安全規格鉄道 (RAMS) EN / IEC 自動車 ISO 航空機 DO-178C 医療機器 IEC 原子力 IEC 産業ロボット ISO 安全面を含む個別製品規格

(RAMS) 鉄道信号システム EN 50129 / IEC 62425 鉄道ソフトウェア

9 鉄道通信 EN50159 / IEC 鉄道分野の機能安全規格と関連本発表の対象規格統合した鉄道システム全体 EN / IEC (RAMS) 鉄道信号システム EN / IEC 鉄道ソフトウェア EN / IEC 鉄道ハードウェア EN 50121, EN 50122, etc.

10 IEC (RAMS) のライフサイクル RAMS : 鉄道における機能安全規格の最上位 Phase 1 Concept ライフサイクルは構想から廃棄までの 14 段階で構成されている Phase 2 System definition and application conditions Phase 12 Performance monitoring Phase 3 Risk analysis Phase 4 System requirements GSN 記述範囲 Phase 5 Apportionment of system requirements Phase 10 System acceptance Phase 9 System validation (including safety acceptance and commissioning) Phase 11 Operation and maintenance Phase 13 Modification and retrofit Phase 14 De-commissioning and disposal Phase 6 Design and implementation Phase 7 Manufacture Phase 8 Installation RAMS : EN / IEC Railway applications Specification and demonstration of reliability, availability, maintainability and safety

11 RAMS の各段階での記載事項 RAMS の各段階は 5 つの項目から成り立っている目的段階で達成するべき目的が記述されているインプット目的達成のために必要なインプットが挙げられている要求事項目的達成のためのタスクや成果物に記載しなくてはならない内容など様々な内容が記述されている成果物実施した結果をどのような成果物としてまとめ提出するかが述べられている検証前段階と現段階または現段階内の成果物の整合性や完全性について検証しなくてはならない事項を挙げている

12 RAMS Phase 3 Risk Analysis について Phase 3 Risk Analysis は 1 当該システムに関わるハザードを特定する 2 ハザードの発生につながる事象を特定する 3 ハザードに付帯するリスクを明らかにする 4 リスクを継続的に管理するプロセスを確立するという 4 点の達成が目的であり 1~3 の結果はハザードログという成果物にまとめられ 4 の基準となるリスク分析はライフサイクルの各段階で繰り返し実施される

13 セーフティケース (IEC 62425) とはシステムの安全性を示すための文書システムの受け入れ安全性評価規格適合アセスメントに用いる IEC ではセーフティケースに記載すべき内容が記述されており以下の 6 つの章で構成されるシステムの定義品質管理レポート安全管理レポート技術的な安全性に関わるレポート関連するセーフティケース結論

詳細に開発過程で作成された成果物について記述が必要となり漏れ抜けをしやすい RAMS

14 課題 1: 機能安全規格 RAMS 適合のアセスメント鉄道分野では対象システムの安全性を示す文書 ( セーフティケース ) を作成しアセサーはそれを基に規格適合のアセスメントを実施する課題 1-1 RAMS とセーフティケース (IEC 62425) 間の関係が不明確であり作成のコストが高い詳細に開発過程で作成された成果物について記述が必要となり漏れ抜けをしやすい RAMS 安全を示す文書を作成セーフティケース規格適合性のアセスメント課題 1-2 セーフティケースの記述内容が規格のどの部分と対応するのか不明確になりやすい記載内容の根拠を理解するのが難しいアセサー

15 課題 1 の具体例 RAMS この段階の要求事項その 3 はハザードログには次の事項を詳細に記録しなければならない o) プロセスに関わる担当者とその力量規格に従い成果物作成安全を示す文書を作成課題 1-1 例セーフティケースは RAMS と異なる規格で規定されているため作成時に各節に RAMS のどの内容を記述しなくてはならないか不明確セーフティケース 3.3. 安全に関わる組織組織間の体制安全ライフサイクルの組織の担当組織内部について組織内の体制と担当者担当とその力量管理者 : 所属組織実施担当者 : 所属組織ハザード特定と分析実施担当者 : 所属組織ハザードログハザード特定と分析実施担当者とその力量? 課題 1-2 例担当者の情報が何を保証するために記述されているかの不明確アセサー

16 課題 2 : 機能安全規格 (RAMS) の理解 RAMS 目的 1 目的 2 目的 n 入力要求事項 1 参照要求事項 2 要求事項 m 成果物 1 成果物 l 課題記述されている内容の関係があいまい課題どの情報を入力とするかどの文書や項目を参照するかがあいまい

17 RAMS の GSN による記述

システムが満足するべき目標からトップダウンで議論を構造化ゴール : システムが満足するべき目標 ( 部分目標 )

18 Goal Structuring Notation (GSN) 保証のための構造化された議論の記述方法 T. Kellyらにより開発 GSN Community Standard ( 入手可能な最新のリファレンス ) システムが満足するべき目標からトップダウンで議論を構造化ゴール : システムが満足するべき目標 ( 部分目標 ) ソリューション : 論証をサポートする具体的な証拠ストラテジー : 論証の方法ゴールからサブゴールを導く方針コンテキスト : 議論の背景や文脈

19 段階ごとに GSN を作成ここでは第 3 段階リスク分析を GSN 化 RAMS の GSN 化について規格に記述された内容に沿って GSN を作成安全分析に関する部分と継続的なリスク管理に関する部分を優先的に作成している一部 RAMS 認証のための提出ドキュメントテンプレートよりソリューションを作成しているソリューションやコンテキストなど RAMS の成果物が配置される部分は後述する記述方法により GSN テンプレートとしている GSN の作成は astah*/gsn (ChangeVision 社製 ) を使用

20 GSN の書き方要求事項検証の項目はゴールやストラテジーとして記述されるその際対応する規格の項目番号を () 付で記載するソリューションまたは他段階の成果物をコンテキストとして記述する場合は [ ドキュメント名 ] と [ ドキュメント内の場所 ( 項目 )] を記述するただしドキュメント全体が対象の場合はドキュメント内の場所 ( 項目 ) を空欄として [] のみ記述するドキュメント名ドキュメント内の場所 ( 項目 )

21 Phase 3 GSN のアーキテクチャ目的ごとにゴールを設定 Top Goal 要求事項検証などの項目により目的を分解成果物をソリューションとして配置目的が達成されているかの議論入力の適切性の議論

22 Phase 3 GSN の全体像入力の適切性に関する議論安全分析に関連する部分目的が達成されているかに関する議論継続的リスク管理に関連する部分

23 GSN 上部構造前段階などからの入力値の正しさ目的をすべて達成しているという二つの観点から議論展開目的をすべて達成しているかは目的ごとに議論を展開

24 安全分析に関する議論ハザードの発生につながる事象が十分特定されていることに関する議論目的による分解目的達成のための要求事項が配置されたレベルハザードに付帯するリスクの決定方法が適切であるかの議論ハザード特定の十分性に関する議論

25 ハザード特定の十分性に関する議論担当者の適切性特定手法に関する議論特定されたハザードの網羅性に関して RAMS で考慮すべき発生要因がすべて網羅されているかにより議論

26 継続的なリスク管理に関する議論目的による分解したレベル目的達成のための要求事項が配置されたレベル RAMS においてリスク管理の基準とするハザードログの記載内容の適切性に関して議論 RAMS においてリスク管理に必要とされる 4 つのプロセスに分解し各プロセスごとに議論成果物をソリューションとして配置されたレベル

27 GSN 記述による規格の記述内容整理目的 d) 項を達成するための要求事項に g) 項が必要であることが明確化これらは実際はつながっている要求事項 b) 項にセーフティケースのリスク許容性基準の記述が入力として必要であることがわかる

28 セーフティケースと GSN の連携

GSN の対応する議論構造を見ることで理解が容易になるアセサーアセスメントアセスメント RAMS GSN テンプレートに成果物を登録 GSN テンプレート連携

29 機能安全規格 RAMS 適合のアセスメント支援現状 RAMS セーフティケースセーフティケースを作成セーフティケースの作成支援 GSN に成果物を登録することでセーフティケースの対応する部分に成果物が登録される GSN は RAMS に沿って作成されているためギャップが小さいアセスメント支援セーフティケースの記述内容を GSN の対応する議論構造を見ることで理解が容易になるアセサーアセスメントアセスメント RAMS GSN テンプレートに成果物を登録 GSN テンプレート連携セーフティケーステンプレートについて [ ドキュメント A] [ 項目 A] [ ドキュメント A] [ 項目 A] [ ドキュメント B] [ ドキュメント B] 本発表での方法

30 セーフティケースのテンプレートセーフティケース 3.3. 安全に関わる組織組織間の体制安全ライフサイクルの組織の担当組織内部について組織内の体制と担当者成果物を記述する部分をパラメータとするドキュメントのある部分を示す場合 [ ドキュメント名 : 記載箇所 ] ドキュメント全体をさす場合 [ ドキュメント名 : ] 担当とその力量リスク許容性を見直すプロセス管理者 : [ ハザードログ : リスク許容性を見直すプロセス管理責任者とその所属 ] 実施担当者 : [ ハザードログ : リスク許容性を見直すプロセス実施担当者とその所属 ] ハザード特定と分析実施担当者 : [ ハザードログ : ハザード特定と分析実施担当者とその所属 ] 3.5[ ハザードログ : ハザード管理票 ] ID ハザード構成部品ハザードを導くイベント発生頻度ハザード発生の結果深刻度リスクリスク許容基準対応策

31 セーフティケースと GSN の連携 GSN テンプレートセーフティケース作成時に記載内容の漏れ抜けを防止できるセーフティケーステンプレートについて [ ドキュメント A : 項目 A] [ ドキュメント B] [ ドキュメント A] [ 項目 A] [ ドキュメント B] 作成された成果物を GSN テンプレートに配置成果物アセスメント時に GSN の議論構造により記載内容の理由が理解可能アセサー規格適合のアセスメント

32 GSN とセーフティケースの関連具体例 RAMS の GSN セーフティケース 3.3. 安全に関わる組織組織間の体制安全ライフサイクルの組織の担当組織内部について組織内の体制と担当者担当とその力量管理者 : [ ハザードログ : リスク許容性を見直すプロセス管理責任者 ] 実施担当者 : [ ハザードログ : リスク許容性を見直すプロセス実施担当者 ] ハザード特定と分析実施担当者 : [ ハザードログ : ハザード特定と分析実施担当者とその所属 ] セーフティケースを基に評価する際記載内容がどのような理由 ( 根拠 ) により記載されているかが明確になる GSN テンプレートのソリューションに対応するドキュメント ( ドキュメントの一部 ) を入力することによりセーフティケースの記載内容の漏れ抜けを防ぐことができる

33 まとめと今後の課題まとめ GSN で記述することで理解の難しい規格の記述が整理される目的要求事項検証成果物の対応関係の明確化参照する事項がコンテキストとして明確化アセスメントのための文書作成支援 GSN とセーフティケーステンプレートの連携による GSN を基にしたセーフティケースの記載内容のチェック規格適合のアセスメント支援 GSN とセーフティケーステンプレートの連携による記載事項の理由の明確化今後の課題 GSN によるトレーサビリティ確保の支援 GSN パターンの意味論的枠組み

34 参考文献 IEC / EN 50126( 鉄道アプリケーション - 信頼性可用性保安性安全性の仕様と実証 (RAMS)) Railway applications - The specification and demonstration of Reliability, Availability Maintainability and Safety (RAMS) IEC / EN 50128( 鉄道アプリケーション - 鉄道制御保安システムのソフトウェア ) Railway applications - Communications, signaling and processing systems - Software for railway control and protection systems IEC / EN 50129( 鉄道アプリケーション - 保安装置用安全関連電子システム ) Railway applications - Communications, signaling and processing systems - Safety related electronic systems for signaling IEC / EN ( 鉄道アプリケーション - 通信保安装置処理システム - クローズド伝送システムによる安全関連通信 ) Railway applications: Requirements for Safety-Related Communication in Closed Transmission Systems IEC / EN ( 鉄道アプリケーション - 通信保安装置処理システム - オープン伝送システムによる安全関連通信 ) Railway applications: Requirements for Safety-Related Communication in Open Transmission Systems GSN Community Standard Version 1.0, 2011.

1 ET 2014 IPA ブースプレゼン GSN (Goal Structuring Notation) を用いたアシュアランスケースセーフティーケース作成支援 ~ 認証支援のための方法論 ~ 2014 年 11 月 20 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライ

1 ET 2014 IPA ブースプレゼン GSN (Goal Structuring Notation) を用いたアシュアランスケースセーフティーケース作成支援 ~ 認証支援のための方法論 ~ 2014 年 11 月 20 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライフサイクル研究グループ田口研治相馬大輔 2 自己紹介経歴産業技術総合研究所招聘研究員 ( 併任

RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社 相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1

RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1