RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278...

34
RAMS の認証とセーフティケース 1) 独立行政法人 産業技術総合研究所, 2)西日本旅客鉄道株式会社 相馬 大輔 1) 田口 研治 1) , 西原 秀明 1) , 大岩 寛 1) , 矢田部 俊介 2) , 森崇 2) 1

Transcript of RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278...

Page 1: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

RAMS の認証とセーフティケース

1) 独立行政法人産業技術総合研究所, 2)西日本旅客鉄道株式会社

相馬大輔1)

田口研治1), 西原秀明1) , 大岩寛1), 矢田部俊介2), 森崇2)

1

Page 2: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

産総研における機能安全規格への取り組み

• 様々な(機能)安全規格・ガイドラインに対する企業の取り組みを支援

– 電気・電子機器 IEC 61508

– 車載組み込みシステム ISO 26262

– 鉄道システム IEC 62278

– 航空機 DO-178C

• 安全を保証するための最適な開発技術、開発プロセス、システム保証の研究開発を実施

– 認証を含めたシステム保証プロセス構築

– 安全分析支援、安全管理システム構築支援

– 認証プロセス

• 新たな機能安全規格策定への取り組み

– コンシューマディバイス安全規格の策定支援

マルチドメイン(横断的、包括的)アプローチ

システムアシュアランスからのアプローチ

規格の策定から認証までを包括的に実施

Page 3: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

これまでの実績

• 国際標準規格策定関連

– OMG System Assurance PTF co-chair (田口)

– OMG SACM RTF (田口) アシュアランスケースに関する規格

– Safety Sensitive Consumer Devices

• IPA WG 副主査(田口)、委員(西原)

– FP7 OPENCOSS (Open Platform for Evolutionary Certification of Safety-critical Systems)

• External Advisory Board Member (田口)

• セーフティケースに関連する国際会議関連

– ASSURE (Assurance Case for Software-intensive Systems) 2013 PC (田口)

– AAA (Argument for Agreement and Assurance) 2013 Program co-chair (田口)

– SASSURE (System Assurance Approaches for Safety-Critical Systems) 2013 PC(田口)

• 新鉄道保安システム安全性評価

– 信号保守、通信関連の委員会の委員(田口、西原、相馬)

• 他

– Y. Matsuno, K. Taguchi: Parameterised Argument Structure for GSN Patterns, QSIC ‘11

– External Examiner of PhD Student, Linling Sun of University of York (UK), “Establishing Confidence in Safety Assessment Evidence” (2012) (Supervisor: Tim Kelly) (田口)

Page 4: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

本発表の目的と関連研究

• 本発表の内容は2012年からの西日本旅客鉄道株式会社様との共同研究で得られた成果の一部である。

• 本発表は以下を目的としている– GSNで記述することによる理解の難しい規格の記述の整理

• 目的、要求事項、検証、成果物の対応関係の明確化• 参照する事項がコンテキストとして明確化

– アセスメントのための文書作成支援• GSNとセーフティケーステンプレートの連携によるGSNを基にしたセーフティケースの記載内容のチェック

– 規格適合のアセスメント支援• GSNとセーフティケーステンプレートの連携による記載事項の理由の明確化

• 関連研究– Parameterised Argument Structure for GSN Patterns, Yutaka Matsuno and Kenji

Taguchi– A Formal Basis for Safety Case Patterns, Ewen Denney and Ganesh Pai– Safety Case Construction and Reuse using Patterns, Tim Kelly, Jhon McDermid

Page 5: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

目次

• 背景 : 鉄道の安全性と規格

• RAMSのGSNによる記述

• セーフティケースとGSN

Page 6: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

鉄道の安全性と規格

Page 7: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

安全性を求められるシステム規格

多くのシステムは規模の拡大や多くの機能の実現などにより一層複雑化している一方で高い安全性も求められている

安全性の規格に適合していることで、システムの安全性を示す

特にここでは、機能により安全を担保するという機能安全を取りあげる

Page 8: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

機能安全規格

基本安全規格

グループ安全規格

基本安全規格(タイプA)

安全面を含む個別製品規格

A

ISO 12100(基本設計原則)

B

IEC 61508 (JIS C 0508)

様々な産業分野における製品安全規格

C

鉄道 (RAMS) EN 50126 / IEC 62278自動車 ISO 26262航空機 DO-178C医療機器 IEC 62304原子力 IEC 61513産業ロボット ISO 10218

安全面を含む個別製品規格D

製品安全規格(タイプC )

グループ安全規格(タイプB)

Page 9: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

鉄道分野の機能安全規格と関連

統合した鉄道システム全体 EN 50126 / IEC 62278 (RAMS)

鉄道信号システム EN 50129 / IEC 62425

鉄道ソフトウェア EN 50128 / IEC 62279

鉄道ハードウェア EN 50121, EN 50122, etc.

鉄道通信

EN5

01

59

/ IE

C 6

22

80

本発表の対象規格

Page 10: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

IEC 62278 (RAMS)のライフサイクル

Phase 1Concept

Phase 2System definition andapplication conditions

Phase 3Risk analysis

Phase 4System requirements

Phase 5Apportionment of

system requirements

Phase 6Design and

implementation

Phase 7Manufacture

Phase 8Installation

Phase 9System validation

(including safety acceptanceand commissioning)

Phase 10System acceptance

Phase 11Operation andmaintenance

Phase 14De-commissioning

and disposal

Phase 12Performancemonitoring

Phase 13Modificationand retrofit

GSN記述範囲

• RAMS : 鉄道における機能安全規格の最上位

• ライフサイクルは構想から廃棄までの14段階で構成されている。

RAMS : EN 50126 / IEC 62278 Railway applications – Specification and demonstration of reliability, availability, maintainability and safety

Page 11: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

RAMSの各段階での記載事項

RAMSの各段階は5つの項目から成り立っている。– 目的段階で達成するべき目的が記述されている

– インプット目的達成のために必要なインプットが挙げられている

– 要求事項

目的達成のためのタスクや成果物に記載しなくてはならない内容など様々な内容が記述されている

– 成果物

実施した結果をどのような成果物としてまとめ、提出するかが述べられている

– 検証

前段階と現段階、または現段階内の成果物の整合性や完全性について検証しなくてはならない事項を挙げている

Page 12: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

RAMS Phase 3 Risk Analysisについて

Phase 3 Risk Analysisは① 当該システムに関わるハザードを特定する

② ハザードの発生につながる事象を特定する

③ ハザードに付帯するリスクを明らかにする

④ リスクを継続的に管理するプロセスを確立する

という4点の達成が目的であり、

①~③の結果はハザードログという成果物にまとめられ、④の基準となる。

リスク分析はライフサイクルの各段階で繰り返し実施される。

Page 13: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

セーフティケース(IEC 62425)とは

• システムの安全性を示すための文書

– システムの受け入れ、安全性評価、規格適合アセスメントに用いる

• IEC 62425ではセーフティケースに記載すべき内容が記述されており、以下の6つの章で構成される– システムの定義

– 品質管理レポート

– 安全管理レポート

– 技術的な安全性に関わるレポート

– 関連するセーフティケース

– 結論

Page 14: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

課題1: 機能安全規格RAMS適合のアセスメント

RAMS

セーフティケース

安全を示す文書を作成

課題 1-1• RAMSとセーフティケース(IEC 62425)間の関係が不明確であり作成のコストが高い• 詳細に開発過程で作成された成果物について記述が必要となり漏れ抜けをしやすい

規格適合性のアセスメント

課題 1-2

• セーフティケースの記述内容が規格のどの部分と対応するのか不明確になりやすい

• 記載内容の根拠を理解するのが難しいアセサー

鉄道分野では対象システムの安全性を示す文書(セーフティケース)を作成しアセサーはそれを基に規格適合のアセスメントを実施する

Page 15: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

課題1の具体例

RAMS

6.3.3.3 この段階の要求事項その3は・・・

ハザードログには、次の事項を詳細に記録しなければならない。

・・・

o) プロセスに関わる担当者とその力量

セーフティケース・・・

3.3. 安全に関わる組織 組織間の体制

安全ライフサイクルの組織の担当

組織内部について– 組織内の体制と担当者

– 担当とその力量○ 管理者 : ○○○○所属組織○○実施担当者 : △△△△所属組織△△

○ ハザード特定と分析実施担当者 :××××所属組織××

・・・・

アセサー

課題 1-2例

担当者の情報が何を保証するために記述されているかの不明確

安全を示す文書を作成

ハザードログ・・・

ハザード特定と分析実施担当者とその力量

・・・

規格に従い成果物作成

課題 1-1例

セーフティケースはRAMSと異なる規格で

規定されているため作成時に各節にRAMSの

どの内容を記述しなくてはならないか不明確

Page 16: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

課題2 : 機能安全規格(RAMS)の理解

目的1 目的2 目的n

要求事項1 要求事項2 要求事項m

成果物1 成果物l

・・・

・・・

・・・

課題• 記述されている内容の関係があいまい

RAMS

課題• どの情報を入力とするかどの文書や項目を参照するかがあいまい

入力 参照

Page 17: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

RAMSのGSNによる記述

Page 18: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

Goal Structuring Notation (GSN)

• 保証のための構造化された議論の記述方法– T. Kellyらにより開発

– GSN Community Standard (入手可能な最新のリファレンス)

• システムが満足するべき目標からトップダウンで議論を構造化

ゴール : システムが満足するべき目標(部分目標)。

ストラテジー : 論証の方法。

ゴールからサブゴールを導く方針。

ソリューション : 論証をサポートする具体的な証拠。

コンテキスト : 議論の背景や文脈。

Page 19: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

RAMSのGSN化について

• 段階ごとにGSNを作成– ここでは第3段階リスク分析をGSN化

• 規格に記述された内容に沿ってGSNを作成– 安全分析に関する部分と継続的なリスク管理に関する部分を優先的に作成している。

– 一部、RAMS認証のための提出ドキュメントテンプレートよりソリューションを作成している。

– ソリューションやコンテキストなどRAMSの成果

物が配置される部分は後述する記述方法によりGSNテンプレートとしている。

• GSNの作成はastah*/GSN(ChangeVision社製)を使用

Page 20: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

GSNの書き方

• 要求事項、検証の項目はゴールやストラテジーとして記述される。その際、対応する規格の項目番号を()付で記載する。

• ソリューションまたは他段階の成果物をコンテキストとして記述する場合は[ドキュメント名]と[ドキュメント内の場所(項目)]を記述する。ただし、ドキュメント全体が対象の場合はドキュメント内の場所(項目)を空欄として[]のみ記述する

ドキュメント名

ドキュメント内の場所(項目)

Page 21: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

Phase 3 GSNのアーキテクチャ

目的が達成されているかの議論

入力の適切性の議論

Top Goal

目的ごとにゴールを設定

要求事項、検証などの項目により目的を分解

成果物をソリューションとして配置

Page 22: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

Phase 3 GSNの全体像

安全分析に関連する部分継続的リスク管理に関連する部分

入力の適切性に関する議論

目的が達成されているかに関する議論

Page 23: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

GSN上部構造

• 前段階などからの入力値の正しさ• 目的をすべて達成しているという二つの観点から議論展開

目的をすべて達成しているかは目的ごとに議論を展開

Page 24: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

安全分析に関する議論

目的による分解

目的達成のための要求事項が配置されたレベル

ハザード特定の十分性に関する議論

ハザードの発生につながる事象が十分特定されていることに関する議論

ハザードに付帯するリスクの決定方法が適切であるかの議論

Page 25: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

ハザード特定の十分性に関する議論

担当者の適切性

特定手法に関する議論 特定されたハザードの網羅性に関して、RAMSで考慮すべき発生要因がすべて網羅されているかにより議論

Page 26: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

継続的なリスク管理に関する議論

目的による分解したレベル

目的達成のための要求事項が配置されたレベル

成果物をソリューションとして配置されたレベルRAMSにおいてリスク管理に必要とされる4つのプロセスに分解し各プロセスごとに議論

RAMSにおいてリスク管理の基

準とするハザードログの記載内容の適切性に関して議論

Page 27: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

GSN記述による規格の記述内容整理

これらは実際はつながっている

目的6.3.1-d)項を達成するための要求事項に6.3.3.3-g)項が必要であることが明確化

要求事項6.3.5.1-b)項にセーフティケー

スのリスク許容性基準の記述が入力として必要であることがわかる

Page 28: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

セーフティケースとGSNの連携

Page 29: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

現状

本発表での方法

機能安全規格RAMS適合のアセスメント支援

RAMS

セーフティケース

セーフティケースを作成

アセスメント

アセサー

GSNテンプレートに成果物を登録

[ドキュメントA]

[項目A]

GSNテンプレート

[ドキュメントB]

セーフティケーステンプレート

• ○○について△△– [ドキュメントA] [項目A]

– [ドキュメントB]

連携

RAMS

アセスメント

セーフティケースの作成支援GSNに成果物を登録することで、セーフティ

ケースの対応する部分に成果物が登録される。GSNはRAMSに沿って作成されているため、ギャップが小さい。

アセスメント支援

セーフティケースの記述内容をGSNの対応する議論構造

を見ることで理解が容易になる

Page 30: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

セーフティケースのテンプレート

セーフティケース

3.3. 安全に関わる組織 組織間の体制

安全ライフサイクルの組織の担当

組織内部について– 組織内の体制と担当者

– 担当とその力量○ リスク許容性を見直すプロセス管理者 : [ハザードログ : リスク許容性を見直すプロセス管理責任者とその所属]

実施担当者 : [ハザードログ : リスク許容性を見直すプロセス実施担当者とその所属]

○ ハザード特定と分析実施担当者 : [ハザードログ : ハザード特定と分析実施担当者とその所属]

3.5[ハザードログ : ハザード管理票]

ID ハザード 構成部品 ハザードを導くイベント 発生頻度 ハザード発生の結果 深刻度 リスク リスク許容基準 対応策

……

成果物を記述する部分をパラメータとする。ドキュメントのある部分を示す場合→ [ドキュメント名 : 記載箇所]ドキュメント全体をさす場合→ [ドキュメント名 : ]

Page 31: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

アセサー

セーフティケースとGSNの連携

セーフティケーステンプレート

• ○○について△△– [ドキュメントA : 項目A]

– [ドキュメントB]

[ドキュメントA]

[項目A]

GSNテンプレート

[ドキュメントB]

成果物

作成された成果物をGSNテンプレートに配置

規格適合のアセスメント

アセスメント時にGSNの

議論構造により記載内容の理由が理解可能

セーフティケース作成時に記載内容の漏れ抜けを防止できる

Page 32: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

GSNとセーフティケースの関連具体例

セーフティケース

3.3. 安全に関わる組織 組織間の体制

安全ライフサイクルの組織の担当

組織内部について– 組織内の体制と担当者

– 担当とその力量○ 管理者 : [ハザードログ : リスク許容性を見直すプロセス管理責任者]

実施担当者 : [ハザードログ : リスク許容性を見直すプロセス実施担当者]

○ ハザード特定と分析実施担当者 : [ハザードログ : ハザード特定と分析実施担当者とその所属]

セーフティケースを基に評価する際、記載内容がどのような理由(根拠)により記載されているかが明確になる。GSNテンプレートのソリューションに対応するドキュメント(ドキュメントの一部)を入力することによりセーフティケースの記載内容の漏れ抜けを防ぐことができる

RAMSのGSN

Page 33: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

まとめと今後の課題

• まとめ– GSNで記述することで理解の難しい規格の記述が整理される

• 目的、要求事項、検証、成果物の対応関係の明確化

• 参照する事項がコンテキストとして明確化

– アセスメントのための文書作成支援• GSNとセーフティケーステンプレートの連携によるGSNを基にしたセーフティケースの記載内容のチェック

– 規格適合のアセスメント支援• GSNとセーフティケーステンプレートの連携による記載事項の理由の明確化

• 今後の課題– GSNによるトレーサビリティ確保の支援

– GSNパターンの意味論的枠組み

Page 34: RAMS の認証とセーフティケース - ipa.go.jp · PDF fileRAMS : EN 50126 / IEC 62278 Railway applications –Specification and demonstration of reliability, availability, maintainability

参考文献

• IEC 62278 / EN 50126(鉄道アプリケーション-信頼性・可用性・保安性・安全性の仕様と実証(RAMS))Railway applications - The specification and demonstration of Reliability, Availability Maintainability and Safety (RAMS)

• IEC 62279 / EN 50128(鉄道アプリケーション-鉄道制御・保安システムのソフトウェア)Railway applications - Communications, signaling and processing systems - Software for railway control and protection systems

• IEC 62425 / EN 50129(鉄道アプリケーション-保安装置用安全関連電子システム)Railway applications - Communications, signaling and processing systems - Safety related electronic systems for signaling

• IEC 62280-1 / EN 50159-1(鉄道アプリケーション-通信・保安装置・処理システム-クローズド伝送システムによる安全関連通信)Railway applications: Requirements for Safety-Related Communication in Closed Transmission Systems

• IEC 62280-2 / EN 50159-2(鉄道アプリケーション-通信・保安装置・処理システム-オープン伝送システムによる安全関連通信)Railway applications: Requirements for Safety-Related Communication in Open Transmission Systems

• GSN Community Standard Version 1.0, 2011.