JP2008102630A - ソフトウェア安全性診断装置およびプログラム - Google Patents
ソフトウェア安全性診断装置およびプログラム Download PDFInfo
- Publication number
- JP2008102630A JP2008102630A JP2006283094A JP2006283094A JP2008102630A JP 2008102630 A JP2008102630 A JP 2008102630A JP 2006283094 A JP2006283094 A JP 2006283094A JP 2006283094 A JP2006283094 A JP 2006283094A JP 2008102630 A JP2008102630 A JP 2008102630A
- Authority
- JP
- Japan
- Prior art keywords
- software
- technique
- safety
- sil
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】 既に自社が製作済みのソフトウェア、あるいは、他社からの購入ソフトウェアについて、容易かつ簡便にSILを評価できること。
【解決手段】 ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存するベストプラクティスデータ保存手段と、ベストプラクティスデータを参照してソフトウェア技法を表示する表示手段と、表示手段によって表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用条件の成立、不成立を判定する適用状況入力手段と、この判定結果と推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定するSIL診断手段と、SIL診断手段の判定結果を出力する出力手段とを備える。
【選択図】 図3
【解決手段】 ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存するベストプラクティスデータ保存手段と、ベストプラクティスデータを参照してソフトウェア技法を表示する表示手段と、表示手段によって表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用条件の成立、不成立を判定する適用状況入力手段と、この判定結果と推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定するSIL診断手段と、SIL診断手段の判定結果を出力する出力手段とを備える。
【選択図】 図3
Description
本発明は、ソフトウェアの信頼性、安全性を評価するソフトウェア安全性診断装置に関する。
近年、日本では、火災爆発事故などの工場事故、また、エレベータや湯沸かし器事故など、身の回りの産業事故が頻発している。近代社会では、制御分野にコンピュータが多用されるようになり、従来、機械的なハードウェアで実行していた安全機能がソフトウェア化されるようになってきている。しかし、これらのソフトウェアに故障(不具合)があれば、安全系としての機能を果たせなくなり、従業員や住民また利用者へ危害が及ぶ可能性が出てくる。さらに、現在では、安全の中に、人間への危害といった直接的な意味のほか、財産保護や、環境への影響、社会的影響などの広い意味を含むようになってきている。
このような状況の中で、IEC(国際電気標準会議)は、機能安全に関する国際規格IEC 61508を2000年に制定し、また、国内でも、JIS C 0508「電気・電子・プログラマブル電子安全関連系の機能安全」として2000年に制定された。
このような状況の中で、IEC(国際電気標準会議)は、機能安全に関する国際規格IEC 61508を2000年に制定し、また、国内でも、JIS C 0508「電気・電子・プログラマブル電子安全関連系の機能安全」として2000年に制定された。
IEC 61508は、プラントやシステムのリスクを軽減させるために使用される電気・電子系ならびにコンピュータ(ソフトウェア)の安全性に関する規格である。ISO(国際標準化機構)とIECが共同で出した指針51では「絶対安全は存在しない」と明記している。すなわち、そのままでは本質安全を達成できないような場合に、非常停止装置などの安全系により、リスクを許容目標へ軽減し、一定の安全を確保することを「機能安全(Functional Safety)」と呼んでいて、本規格では、リスクを評価し、許容範囲に抑えることを要求している。
ところで、ソフトウェアの故障(不具合)は決定論的原因故障である。すなわち、故障(不具合)は製作時に組み込まれており、一般のランダムハードウェア故障に対する確率論的なアプローチを採用できない。そこで本規格では、ソフトウェアに対して、SIL(安全度水準:安全系の信頼度の段階)に応じて指定されたソフトウェア技法の採用を要求しており、ソフトウェア製作を図1に示す10段階(以下、ライフサイクルフェーズ)に分け、合計で約100のソフトウェア技法をベストプラクティス(SILに応じた最善技法)として提示している。
ここで、SILとは安全系の信頼度を表す指標で、例えば、SIL-1とは、故障確率(失敗確率)が10回から100回の作動時に1回失敗するものをいい、以下、SIL-2、3、4、となるにつれて、一桁ずつ信頼度が良くなるという段階で定義されている。
従来、このSILによる安全性の評価に関して、特許文献1では、安全度水準目標値と設計パラメータを入力し、SILモデルに基づいて安全度水準を計算し、入力した目標値と共に表示するシステムが提案されている。
特開2004−341814号公報
ISO/IEC指針51「規格に安全を入れる場合のガイドライン」,日本規格協会,1997
IEC 61508「Functional Safety of Electrical / Electronic / Programmable Electronic Safety Related Systems」,1998-2000
JIS C 0508「電気・電子・プログラマブル電子安全関連系の機能安全」,日本規格協会,2000
しかしながら、ここで問題になるのは、新規に製作するソフトウェアは、上記のライフサイクルに従って、それぞれに指定されたベストプラクティスを用いればよいが、既製のソフトウェア、あるいは、他社からの購入ソフトウェアについては、SILを評価できないことである。SILを評価できないと、安全系に採用できなくなり、従来の技術遺産が全て無駄になってしまう。既製のソフトウェア、あるいは、他社からの購入ソフトウェアについて、SILを評価する手法や装置については、有効かつ有益な提案は未だ示されていない。
また、上述の従来の技術は、設計資料がそろっているか否かをチェックシート形式で判定するものであるが、これを購入ソフトウェアについて適用しようとすると、メーカにアンケート調査を行うにしても、どの程度の質の資料かがわからない場合が多く単にアンケート調査をするのみでは適正な評価はできない。
本発明は上述のかかる事情に鑑みてなされたものであり、既に自社が製作済みのソフトウェア、あるいは、他社からの購入ソフトウェアについて、容易に、かつ、簡便に、SILを評価することができ、また、評価の結果、必要なSILを満足していない場合に、ライフサイクルのどのフェーズが不十分であり、そのフェーズにおけるどの技法を追加実行すれば所要SILが達成できるかを容易かつ簡便に診断することのできるソフトウェア安全性診断装置を提供することを目的とする。
上記目的を達成するため本発明に係るソフトウェア安全性診断装置は、ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存するベストプラクティスデータ保存手段と、前記ベストプラクティスデータを参照してソフトウェア技法を表示する表示手段と、前記表示手段によって表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用条件の成立、不成立を判定する適用状況入力手段と、前記適用状況入力手段の判定結果と前記ベストプラクティスデータ保存手段に保存されている前記推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定するSIL診断手段と、前記SIL診断手段の判定結果を出力する出力手段と、を備えたことを特徴とする。
本発明では、ベストプラクティスデータ保存手段により保存されているソフトウェア技法を、表示手段によってディスプレイなどに表示させる。そして、ユーザは、表示手段により表示された個々のソフトウェア技法および詳細説明を確認しながらソフトウェア技法に対する適用状況を適用状況入力手段により入力する。そして、SIL診断手段は入力データとベストプラクティスデータ保存手段に保存されている技法の推奨指針を、比較することにより診断を実施し、診断結果を出力手段へ出力する。診断結果出力手段は、SIL診断手段より出力された診断結果を、ディスプレイ、プリンタなどに出力することで対象ソフトウェアのSILを容易に評価することができる。このSIL診断過程で、入力された適用状況から直ちにSIL診断を実行するのではなく、適用状況からソフトウェア技法ごとに適用条件の成立、不成立を判定し、その判定結果に基づいてSIL診断を実行するので、購入ソフトウェア等に対するソフトウェア技法の重要度や適用状況の調査に柔軟に対応させて診断を行うことができる。
また、本発明に係るソフトウェア安全性診断装置は、さらにベストプラクティス保存手段に保存されているベストプラクティスデータを修正する技法データ修正手段を備えたことを特徴とする。好ましくは、ソフトウェア技法あるいは推奨指針に関連付けてこれらの詳細内容を保存しておき、表示されているソフトウェア技法または推奨指針の詳細内容を表示するガイダンス機能を設けるようにすると良い。これにより、ベストプラクティスの保守や、適用状況の入力が容易になる。
また、本発明に係るソフトウェア安全性診断装置は、さらに、診断前に目標とするSILを入力するための入力手段を備え、SIL診断結果と目標SILの判定手段と、判定結果および目標SILに到達するために必要となる技法適用指針を出力する手段を有するものである。
本発明では、目標とするSILが決まっている場合に、目標SIL入力手段より目標SILを入力し、SIL診断手段からの出力結果と比較、判定することにより、SIL判定手段は判定結果と目標SILに必要な技法の適用指針を出力する。SIL判定手段による判定結果および目標SILに到達するために必要な技法の適用指針をディスプレイ、プリンタなどに出力することで、対象ソフトウェアが目標SILに到達するために必要なそるとウェア技法を容易にチェックすることができる。
また、本発明に係るソフトウェア安全性診断装置は、さらに、前記ソフトウェア技法データに重み付け点数を定義するための点数定義手段と、定義した重み付け点数を保存するための点数保存手段と、ソフトウェア技法に対する適用状況をもとに前記重み付け点数によって診断対象のソフトウェアの点数を算出し、当該ソフトウェアのSIL信頼度として出力する点数算出手段と、を備えたことを特徴とする。
本発明では、個々のソフトウェア技法ごとに重み付けをして、適用状況によってこの重み付け点数を加算処理等することによって、SIL信頼度を客観的な数値として求める。
これにより、単に目標SILレベルを満足しているか否かのみでなく、目標SILレベルを満足したものについては、その信頼度を知ることができる。
このとき、好ましくは、重み付け点数の補正データを診断対象のソフトウェアごとに保存する手段と、ソフトウェアの評価試験結果にしたがって前記補正データを変更する補正データ変更手段と、を設けるようにすると良い。単に重み付けで点数表示をするのみでなく、アンケート等によって適用状況の確からしさやソフトウェア技法の質を評価試験によって確認して重み付けを補正することにより、実態に即したSIL信頼度を求めることができる。
なお、補正データ変更手段は、診断対象とするソフトウェアの使用言語ごとに定められた当該ソフトウェアのステップ数と実施した試験項目数との比率に基づいて前記補正データを変更し、また、予めソフトウェア技法ごとに試験項目および試験項目との関連度を保存しておいて、点数算出手段によりソフトウェア技法ごとにSIL信頼度を算出するようにする。このSIL信頼度が所定値以下の場合は、そのソフトウェア技法の充足あるいは質の向上を行うことによってソフトウェアの安全性向上の対策が容易となる。
本発明に係るソフトウェア安全性診断装置は、ソフトウェア技法の代替方法を定義するための代替技法定義手段と、定義した代替技法を保存するための代替技法保存手段と、ソフトウェア技法に対する適用状況の入力において、代替技法を表示する代替技法表示手段と、入力されたソフトウェア技法に対する適用状況と代替技法に対する適用状況に基づいて安全水準を満たしているか否かを判定する複合診断手段と、を備えたことを特徴とする。本発明では、代替技法を含めてSIL診断を実行する。
また、本発明に係るソフトウェア安全性診断用プログラムは、ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存し、ソフトウェアの安全性を診断するコンピュータ上で動作するプログラムであって、前記ベストプラクティスデータを参照してソフトウェア技法を表示する処理と、 表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用タイプを判定する処理と、前記適用タイプから適用条件の成立、不成立を判定し、当該判定結果と前記推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定する処理と、前記判定結果を出力する処理と、をコンピュータに実行させることを特徴とする。
本発明では、ソフトウェア技法の適用状況から適用タイプを判定し、その適用タイプから安全度水準には影響されない一般的な適用条件の成立、不成立を判定し、この判定結果と推奨指針データをもとに安全度水準を満たしているか否かのSIL診断を実行する。
本発明によれば、既に自社が製作済みのソフトウェア、あるいは、他社からの購入ソフトウェアについて、容易に、かつ、簡便に、SILを評価することが可能となる。
また、評価の結果、必要なSILを満足していない場合に、ライフサイクルのどのフェーズが不十分であり、そのフェーズにおけるどの技法を追加実行すれば、所要SILが達成できるかを容易かつ簡便に診断することが可能となる。
以下、本発明の実施の形態を説明する。
図3は、第1の実施の形態によるソフトウェア安全性診断装置の機能ブロック図である。ここで、ソフトウェア安全性診断装置1は、汎用的なコンピュータシステムによって構成され、その記憶部は、IEC61508で提示されているソフトウェア技法と安全度水準ごとの推奨指針からなるベストプラクティスデータを保存するベストプラクティスデータ保存手段2を有している。また、CPUによって実行される演算処理機能として、ベストプラクティスデータ保存手段2に格納されているソフトウェア技法や推奨指針データを修正するベストプラクティス修正手段10、ベストプラクティスをディスプレイなどに表示出力するベストプラクティス表示手段3、ベストプラクティスの適用状況をマウスやキーボードなどの入力装置あるいはネットワークを介して入力するベストプラクティス適用状況入力手段4、ベストプラクティスデータ保存手段2に保存されている推奨指針と入力された適用状況により、診断処理を実施するSIL診断手段5、診断結果をディスプレイ、プリンタあるいはネットワークなどに出力する診断結果出力手段6、目標SILがある場合に目標SILを入力する目標SIL入力手段7、SIL診断結果と目標SILより判定を実施するSIL判定手段8と、判定結果と目標SILに到達するために必要な技法の適用指針をディスプレイ、プリンタ、ネットワークなどに出力する目標未達技法出力手段9を有している。
図3は、第1の実施の形態によるソフトウェア安全性診断装置の機能ブロック図である。ここで、ソフトウェア安全性診断装置1は、汎用的なコンピュータシステムによって構成され、その記憶部は、IEC61508で提示されているソフトウェア技法と安全度水準ごとの推奨指針からなるベストプラクティスデータを保存するベストプラクティスデータ保存手段2を有している。また、CPUによって実行される演算処理機能として、ベストプラクティスデータ保存手段2に格納されているソフトウェア技法や推奨指針データを修正するベストプラクティス修正手段10、ベストプラクティスをディスプレイなどに表示出力するベストプラクティス表示手段3、ベストプラクティスの適用状況をマウスやキーボードなどの入力装置あるいはネットワークを介して入力するベストプラクティス適用状況入力手段4、ベストプラクティスデータ保存手段2に保存されている推奨指針と入力された適用状況により、診断処理を実施するSIL診断手段5、診断結果をディスプレイ、プリンタあるいはネットワークなどに出力する診断結果出力手段6、目標SILがある場合に目標SILを入力する目標SIL入力手段7、SIL診断結果と目標SILより判定を実施するSIL判定手段8と、判定結果と目標SILに到達するために必要な技法の適用指針をディスプレイ、プリンタ、ネットワークなどに出力する目標未達技法出力手段9を有している。
次に、図4〜図7を用いて、上記の構成を有するソフトウェア安全性診断装置1の動作を説明する。
周知のようにコンピュータソフトウェアに関連する規格は、国内あるいは国際的に標準化規格によって各種定められている。これらの規格は必要に応じて適宜更新されている。ベストプラクティスデータ保存手段2は機能安全に関する国際規格であるIEC61508に提示されているベストプラクティスを保存するためのデータベースであり、図4に示すように、技法または計測手法(ソフトウェア技法)と各技法の詳細説明および安全度水準ごとに必須か任意であるかの適用指針データで構成されている。
そして、オペレータの指示によって、ベストプラクティス表示手段3はディスプレイなどに各フェーズ単位にベストプラクティスおよび適用状況の入力画面を表示する。またベストプラクティスの詳細な説明を表示出力することによって、オペレータの参考に供することにより、適用状況の入力を容易とする。
ベストプラクティス適用状況入力手段4は図5のフローチャートに示す手順にしたがって、各ソフトウェア技法に対する適用状況を入力する。まず、オペレータにベストプラクティス適用状況の適用・非適用の入力を促し(ステップS1)、入力された適用状況が「適用」の場合には(ステップS1で「Yes」)、次に、根拠資料の有無の入力を促して、オペレータの入力に基づいて根拠資料が有りの場合は適用タイプ1、無しの場合は適用タイプ2とする(ステップS2)。一方、ステップS1でベストプラクティス非適用の場合には、次に論理的根拠の有無の入力を促し、オペレータの入力に基づいて非適用の論理的根拠がある場合は適用タイプ3、無い場合は適用タイプ4とする(ステップS3)。このようにして、適用状況として、ステップ4,5,6,7の適用タイプ1,2,3,4に分類する。
入力結果としての一例を図6に記す。このように全てのソフトウェア技法の項目について適用タイプを入力するが、規定により適用を同様技法から選択を行うようなケースでは、入力手段は選択入力を可能とするようなガイドを出力し、入力を補助する。
次に、SIL診断手段5はベストプラクティス適用状況とベストプラクティスデータ保存手段2の推奨指針を比較、診断を実施する。図7のフローチャートで説明すると、まず、ステップ8で推奨指針の種別(必須か、任意か、無しか)を確認し、推奨指針が必須の場合は、次に適用タイプを判定し(ステップS9)、条件の成立、不成立を出力する。例えば、推奨指針の種別が"必須"の場合には、ステップ9で適用状況を確認し、適用タイプ1,3の場合はステップ10の条件成立とし、適用タイプ2,4の場合はステップ11の条件不成立とする。一方、ステップS8で推奨指針が任意あるいは無しの場合は、それぞれ、条件成立とする(ステップS12、ステップS13)。
診断結果の一例を図8に記す。上記の処理を各ソフトウェア技法単位、各SIL単位で実行する。全てのソフトウェア技法に対して診断が終了した後に、ソフトウェアライフサイクルの各フェーズ単位で集計、計算を行い、各フェーズ単位および全体のSILを出力する。
診断結果出力手段6は上記診断結果をソフトウェアライフサイクルの各フェーズ単位および全体のSILをディスプレイ、プリンタなどに出力する。
また、目標SILを目標SIL入力手段7より追加入力することで、SIL診断結果と目標SILより、SIL判定手段8は目標SILと全体のSILを比較することで、判定を実施し、目標SILに対して条件不成立のベストプラクティスを選択することで、目標SILに到達するために必要なベストプラクティスを適用指針として出力する。目標未達技法出力手段9は判定結果および、適用指針をソフトウェアライフサイクルの各フェーズ単位でディスプレイ、プリンタなどに出力する。
本実施の形態によれば、既製のソフトウェア、他社からの購入ソフトウェアあるいは製品開発の最終段階で、対象となるソフトウェアのSILを診断することで、対象となるソフトウェアのSILを知ることができる。このことにより、対象となるソフトウェアを安全系に採用すべきか否かを判断することができる。また、目標SILを追加入力することで、目標に対する判定結果および目標SILに到達するために必要なベストプラクティスの適用指針を得ることが出来るため、ベストプラクティスを追加適用することで製品開発の最終段階、既製のソフトウェア、あるいは他社からの購入ソフトウェアのSILを上げることが可能である。この時、ベストプラクティスの詳細説明、適用方法を参考とすることで容易に追加適用が可能となる。
また、製品開発の初期段階にソフトウェアのSILを診断することで、適用すべき技法が明確になることにより、今後の図1、図2に示すようなソフトウェアライフサイクルのフェーズにおける適用技法の実施計画を立てることができる。同様に、ソフトウェアライフサイクルのフェーズの節目で開発中のソフトウェアのSILを診断することで、現状までの診断結果が明らかになり、手戻り作業の軽減に繋がる。
このことにより、開発の初期段階ならびに開発中のソフトウェアのSILを常にコントロールすることが可能である。
前述したように常に最新のIEC61508で提示されているソフトウェア技法ならびに推奨指針のベストプラクティスデータを容易に反映することができ、ソフトウェア安全性診断装置は最新のベストプラクティスデータにより診断を実施することが可能となる。
次に、第2の実施の形態を説明する。
図9は本実施の形態におけるソフトウェア安全性診断装置の機能ブロック図である。
図3との違いは、記憶部に、ソフトウェア技法データごとに定義された重み付け点数を保存する点数保存手段21、重み付け点数の補正データを保存する補正データ保存手段22、および試験項目数などの情報を保存する試験データ保存手段23を追加し、演算部に、重み付け点数によって診断対象のソフトウェアの点数を算出する点数算出手段31と、ソフトウェアの評価試験結果にしたがって重み付け点数を変更する補正データ変更手段32とを追加したことである。重み付けとしては、ソフトウェア技法の適用が必須の場合に高く、任意の場合に低くする。その他については図3と同様であるので、同一機能には同一符号を付して説明を省略する。
図9は本実施の形態におけるソフトウェア安全性診断装置の機能ブロック図である。
図3との違いは、記憶部に、ソフトウェア技法データごとに定義された重み付け点数を保存する点数保存手段21、重み付け点数の補正データを保存する補正データ保存手段22、および試験項目数などの情報を保存する試験データ保存手段23を追加し、演算部に、重み付け点数によって診断対象のソフトウェアの点数を算出する点数算出手段31と、ソフトウェアの評価試験結果にしたがって重み付け点数を変更する補正データ変更手段32とを追加したことである。重み付けとしては、ソフトウェア技法の適用が必須の場合に高く、任意の場合に低くする。その他については図3と同様であるので、同一機能には同一符号を付して説明を省略する。
次に、上記の構成を有するソフトウェア安全性診断装置1の動作を説明する。
図10は、点数算出手段31と補正データ変更手段32の処理手順を示すフローチャートである。
図10は、点数算出手段31と補正データ変更手段32の処理手順を示すフローチャートである。
まず、ソフトウェアの診断すべき安全度水準を選択する(S101)。これはオペレータによる入力によって選択してもよいし、コンピュータによって自動的に安全度水準を順に選択して実行させるようにしても良い。
そして、ソフトウェア技法について条件が成立しているか否かを判定して、条件が成立している場合は点数保存手段21を参照して重み付け点数を抽出する(S104)。
そして、補正データ保存手段22に格納されている所定のアルゴリズムで補正係数を算出する(S106)。図11は、補正データ保存手段のデータ例である。プログラミング言語ごとの言語係数のほか、補正係数を算出するためのアルゴリズム情報が格納されている。
補正係数の算出アルゴリズムとしては、たとえば(1)式によって補正係数を求めることができる。
補正係数=(実施した試験項目数/プログラムステップ数)×言語係数 ・・・(1)
(1)式は、実施した試験項目数、プログラムのステップ数、およびプログラムの言語によって補正係数を算出するというものであり、実施した試験の数が多くなるほど補正係数は大きくなる。また、高級言語になるほど、言語係数は大きくなる。
(1)式は、実施した試験項目数、プログラムのステップ数、およびプログラムの言語によって補正係数を算出するというものであり、実施した試験の数が多くなるほど補正係数は大きくなる。また、高級言語になるほど、言語係数は大きくなる。
そして、算出した補正係数で重み付け点数を補正して(S107)、試験の影響比率を加味して補正された点数を合計していく(S108)。
図12は、点数保存手段21のデータ例である。ソフトウェア技法ごとに重み付け点数と、そのソフトウェア技法を検証するための試験の種別およびその試験のソフトウェア技法に対する影響比率(他の試験との割合)が格納されている。また、試験種別や試験種別ごとの試験項目数は、図13に例示する試験データ保存手段23に格納されている。
これらの保存手段に格納されているデータを用いて、ステップS107とステップS108は、以下の式によって演算することができる。
ソフトウェア技法の点数=重み付け点数×補正係数×試験の影響比率 ・・・(2)
たとえば、実施した試験項目数=50、プログラムステップ数=10,000、言語係数=100とすれば、上記(1)式より補正係数=0.5となり、さらに、重み付け点数=50、試験の影響比率=0.8とすれば、(2)式よりソフトウェア技法の当該試験における点数は20となる。
たとえば、実施した試験項目数=50、プログラムステップ数=10,000、言語係数=100とすれば、上記(1)式より補正係数=0.5となり、さらに、重み付け点数=50、試験の影響比率=0.8とすれば、(2)式よりソフトウェア技法の当該試験における点数は20となる。
上記のステップS106〜ステップS108を全ての試験種別について繰り返す(S105a、S105b)。
次に、算出した点数が予め定めた最大値を超えているか否かを判定して(S109)、最大値を超えていなければ、算出した点数をそのまま保存する(S111)。最大値を超えている場合は、当該最大値を保存する(S110)
上記のステップS103〜ステップS111までの処理を全てのソフトウェア技法について繰り返した後(S102a、S102b)、各ソフトウェア技法についての点数を加算して、診断対象のソフトウェアの点数を算出する。
一方、ステップS103で条件不成立の場合は、その安全度水準を満足していないとして、SIL不適合の出力を行う(S113)。
上記の手順のうち、ステップS105a〜S111は補正データ変更手段であり、それ以外は点数算出手段の処理手順である。
一般にソフトウェア技法を実施しているという根拠資料が存在したとしても、その根拠資料の質を評価していたのでは多大な労力と時間が必要となる。本実施の形態では、予め定義された重み付け点数を初期値としてプログラムのステップ数と試験項目数によってその点数を補正するので、ソフトウェア技法の適用の確からしさ即ち根拠資料の質を客観的に評価することができる。
これにより、たとえば購入側の受け入れ試験によって確からしさが80%になるまで検証を行ったものについて採用するというような対応が可能となる。
本発明によるソフトウェア安全性診断装置は、良質なプログラムを製作するためのソフトウェア産業に利用することができる。
1・・・ソフトウェアの安全性診断装置、2・・・ベストプラクティスデータ保存手段、3・・・ベストプラクティス表示手段、4・・・ベストプラクティス適用状況入力手段、5・・・SIL診断手段、6・・・診断結果出力手段、7・・・目標SIL入力手段、
8・・・SIL判定手段、9・・・目標未達技法出力手段、10・・・ベストプラクティスデータ修正手段、21・・・点数保存手段、22・・・補正データ保存手段、
23・・・試験データ保存手段、31・・・点数算出手段、32・・・補正データ変更手段
8・・・SIL判定手段、9・・・目標未達技法出力手段、10・・・ベストプラクティスデータ修正手段、21・・・点数保存手段、22・・・補正データ保存手段、
23・・・試験データ保存手段、31・・・点数算出手段、32・・・補正データ変更手段
Claims (10)
- ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存するベストプラクティスデータ保存手段と、
前記ベストプラクティスデータを参照してソフトウェア技法を表示する表示手段と、
前記表示手段によって表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用条件の成立、不成立を判定する適用状況入力手段と、
前記適用状況入力手段の判定結果と前記ベストプラクティスデータ保存手段に保存されている前記推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定するSIL診断手段と、
前記SIL診断手段の判定結果を出力する出力手段と、
を備えたことを特徴とするソフトウェア安全性診断装置。 - 前記ベストプラクティス保存手段に保存されているベストプラクティスデータを修正する技法データ修正手段を備えたことを特徴とする請求項1記載のソフトウェア安全性診断装置。
- 前記ベストプラクティス保存手段は、前記ソフトウェア技法データまたは前記推奨指針データに関連付けてこれらの詳細内容を保存しておき、
前記表示手段は、表示されているソフトウェア技法または推奨指針の詳細内容を表示するガイダンス機能を有することを特徴とする請求項1または2記載のソフトウェア安全性診断装置。 - 診断対象とするソフトウェアの目標SILを入力するための目標SIL入力手段と、
前記SIL診断手段による診断結果から前記目標SILに到達するために必要なソフトウェア技法を判定するための判定手段と、
を備えたことを特徴とする請求項1ないし3のいずれか一に記載のソフトウェア安全性診断装置。 - 前記ソフトウェア技法データに重み付け点数を定義するための点数定義手段と、
定義した重み付け点数を保存するための点数保存手段と、
ソフトウェア技法に対する適用状況をもとに前記重み付け点数によって診断対象のソフトウェアの点数を算出し、当該ソフトウェアのSIL信頼度として出力する点数算出手段と、
を備えたことを特徴とする請求項1ないし4のいずれか一に記載のソフトウェア安全性診断装置。 - 前記重み付け点数の補正データを診断対象のソフトウェアごとに保存する手段と、
ソフトウェアの評価試験結果にしたがって前記補正データを変更する補正データ変更手段と、
を備えたことを特徴とする請求項5記載のソフトウェア安全性診断装置。 - 前記補正データ変更手段は、診断対象とするソフトウェアの使用言語ごとに定められた当該ソフトウェアのステップ数と実施した試験項目数との比率に基づいて前記補正データを変更することを特徴とする請求項6記載のソフトウェア安全性診断装置。
- ソフトウェア技法ごとに試験項目および試験項目との関連度を保存する手段を備え、
前記点数算出手段は、ソフトウェア技法ごとにSIL信頼度を算出することを特徴とする請求項5乃至7のいずれか一に記載のソフトウェア安全性診断装置。 - ソフトウェア技法の代替方法を定義するための代替技法定義手段と、
定義した代替技法を保存するための代替技法保存手段と、
ソフトウェア技法に対する適用状況の入力において、代替技法を表示する代替技法表示手段と、
入力されたソフトウェア技法に対する適用状況と代替技法に対する適用状況に基づいて安全水準を満たしているか否かを判定する複合診断手段と、
を備えたことを特徴とする請求項1乃至8のいずれか一に記載のソフトウェア安全性診断装置。 - ソフトウェア技法データと、安全度水準ごとのソフトウェア技法の推奨指針データとを含むベストプラクティスデータを保存し、ソフトウェアの安全性を診断するコンピュータ上で動作するプログラムであって、
前記ベストプラクティスデータを参照してソフトウェア技法を表示する処理と、
表示されたソフトウェア技法に対して入力された適用状況に基づいてソフトウェア技法ごとに適用タイプを判定する処理と、
この適用タイプをもとに適用条件の成立、不成立を判定し、当該判定結果と前記推奨指針データとを用いて安全度水準ごとに当該水準を満たしているか否かを判定する処理と、
前記判定結果を出力する処理と、
をコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006283094A JP4921917B2 (ja) | 2006-10-17 | 2006-10-17 | ソフトウェア安全性診断装置およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006283094A JP4921917B2 (ja) | 2006-10-17 | 2006-10-17 | ソフトウェア安全性診断装置およびプログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008102630A true JP2008102630A (ja) | 2008-05-01 |
| JP2008102630A5 JP2008102630A5 (ja) | 2010-12-09 |
| JP4921917B2 JP4921917B2 (ja) | 2012-04-25 |
Family
ID=39436931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006283094A Expired - Fee Related JP4921917B2 (ja) | 2006-10-17 | 2006-10-17 | ソフトウェア安全性診断装置およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4921917B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010191943A (ja) * | 2009-01-26 | 2010-09-02 | Mitsubishi Electric Corp | 安全制御プログラムの安全性診断装置及び安全性診断方法 |
| JP2012018500A (ja) * | 2010-07-07 | 2012-01-26 | Toshiba Syst Technol Corp | ハードウェア安全性診断装置 |
| JP2013015977A (ja) * | 2011-07-01 | 2013-01-24 | Japan Certification Corp | 安全度水準評価支援装置 |
| JP2014089704A (ja) * | 2012-10-11 | 2014-05-15 | Tata Consultancy Services Ltd | ソフトウェアアプリケーションのコンプライアンス検査および詳細な解析を提供するためのシステムおよび方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004341814A (ja) * | 2003-05-15 | 2004-12-02 | Toshiba Corp | SIL(Safety−IntegrityLevels)モニタ、およびSILモデルを用いた設計支援装置 |
| JP2006099308A (ja) * | 2004-09-29 | 2006-04-13 | Hitachi Ltd | コンポーネントベース・アプリケーション構築方法 |
| JP2008522260A (ja) * | 2004-11-19 | 2008-06-26 | カーヴェー−ソフトウエア ゲーエムベーハー | Iec61508sil1から3またはen954−1カテゴリー1から4による安全なパラメータ化の方法および装置 |
-
2006
- 2006-10-17 JP JP2006283094A patent/JP4921917B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004341814A (ja) * | 2003-05-15 | 2004-12-02 | Toshiba Corp | SIL(Safety−IntegrityLevels)モニタ、およびSILモデルを用いた設計支援装置 |
| JP2006099308A (ja) * | 2004-09-29 | 2006-04-13 | Hitachi Ltd | コンポーネントベース・アプリケーション構築方法 |
| JP2008522260A (ja) * | 2004-11-19 | 2008-06-26 | カーヴェー−ソフトウエア ゲーエムベーハー | Iec61508sil1から3またはen954−1カテゴリー1から4による安全なパラメータ化の方法および装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010191943A (ja) * | 2009-01-26 | 2010-09-02 | Mitsubishi Electric Corp | 安全制御プログラムの安全性診断装置及び安全性診断方法 |
| JP2012018500A (ja) * | 2010-07-07 | 2012-01-26 | Toshiba Syst Technol Corp | ハードウェア安全性診断装置 |
| JP2013015977A (ja) * | 2011-07-01 | 2013-01-24 | Japan Certification Corp | 安全度水準評価支援装置 |
| JP2014089704A (ja) * | 2012-10-11 | 2014-05-15 | Tata Consultancy Services Ltd | ソフトウェアアプリケーションのコンプライアンス検査および詳細な解析を提供するためのシステムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4921917B2 (ja) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Goel et al. | Industrial alarm systems: Challenges and opportunities | |
| Angelopoulou et al. | Industry 4.0: The use of simulation for human reliability assessment | |
| Estorilio et al. | The reduction of irregularities in the use of “process FMEA” | |
| Panesar-Walawege et al. | Characterizing the chain of evidence for software safety cases: A conceptual model based on the IEC 61508 standard | |
| US7480536B2 (en) | Method for assessing reliability requirements of a safety instrumented control function | |
| JP2019144174A (ja) | 故障診断装置及び機械学習装置 | |
| Boring et al. | Computerized operator support systems to aid decision making in nuclear power plants | |
| Myers | Layer of Protection Analysis–Quantifying human performance in initiating events and independent protection layers | |
| JP2020173551A (ja) | 故障予測装置、故障予測方法、コンピュータプログラム、計算モデルの学習方法および計算モデルの生成方法 | |
| CN112598223B (zh) | 核电状态导向法事故规程完备性检验方法、系统、电子设备及存储介质 | |
| JP4921917B2 (ja) | ソフトウェア安全性診断装置およびプログラム | |
| Vaez et al. | RANDAP: An integrated framework for reliability analysis of detailed action plans of combined automatic-operator emergency response taking into account control room operator errors | |
| JP2020027523A (ja) | データ群作成支援装置、解析装置用入力データ作成装置及びデータ群作成支援方法 | |
| JPH08202431A (ja) | 運転手順ガイド装置 | |
| Osage | Fatigue Assessment for In-Service Components–A New Part for API 579-1/ASME FFS-1 Fitness-For-Service | |
| US20220308569A1 (en) | Alarm management apparatus, alarm management method, and computer-readable recording medium | |
| JP6290147B2 (ja) | 制御機器プログラムコードを作成するコンピュータ実装方法および関連するメッセージ管理システム | |
| Soltanali et al. | Smart failure mode and effects analysis (FMEA) for safety–Critical systems in the context of Industry 4.0 | |
| JP6700830B2 (ja) | 最上位事象の評価装置 | |
| Kirkwood et al. | Developments in SIL determination | |
| JP2022034392A (ja) | 故障診断装置、故障診断方法、および学習済みモデル | |
| JP5573287B2 (ja) | プログラム自動生成装置 | |
| Sartor et al. | Failure mode and effect analysis (FMEA) | |
| JP2010009535A (ja) | 設計品質評価方法、設計品質評価プログラムおよび設計品質評価装置 | |
| JP7466788B2 (ja) | 機器保守支援装置及びその動作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091016 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101015 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110926 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120111 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120131 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120203 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |