>サイトトップへ >このカテゴリの一覧へ

F 8082

:2007 (ISO 17894:2005)

(1) 

目  次

ページ

序文

1

1

  適用範囲

1

2

  適合

1

3

  引用規格

2

4

  用語及び定義

2

5

  略語

5

6

  規格の使用

5

7

  船舶用 PES の原則

6

7.1

  船舶用 PES の目的

6

7.2

  船舶用 PES の製品原則

7

7.3

  船舶用 PES のライフサイクル原則

9

附属書 A(参考)この規格で用いられている用語及び概念

12

附属書 B(参考)船舶用 PES に関する原則のガイダンス

18

附属書 C(参考)船舶用 PES のライフサイクルに関するガイダンス

39

附属書 D(参考)船舶用 PES ライフサイクル出力のチェックリスト

45

附属書 E(参考)ライフサイクルにおける原則の適用

55

附属書 F(参考)船舶用 PES の原則

59

解  説

64


F 8082

:2007 (ISO 17894:2005)

(2) 

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,財団法人日本船舶技術研究協会(JSTRA)か

ら,

工業標準原案を具して日本工業規格を制定すべきとの申出があり,

日本工業標準調査会の審議を経て,

国土交通大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。国土交通大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に係る確認について,責任は

もたない。


   

日本工業規格

JIS

 F

8082

:2007

(ISO 17894

:2005

)

船舶用プログラマブル電子系の開発及び

使用に関する一般原則

Ships and marine technology

−Computer applications−General principles

for the development and use of programmable electronic systems

in marine applications

序文

この規格は,2005 年に第 1 版として発行された ISO 17894 を基に,技術的内容及び対応国際規格の構成

を変更することなく作成した日本工業規格である。

1

適用範囲

この規格は,信頼性のある船舶用プログラマブル電子系の開発並びに使用に関する,必須原則,推奨判

定基準及び関連指針について規定する。この規格は,船の安全,又は効率的な操船に影響のあるプログラ

ム可能な要素をもつ,すべての船舶搭載機器にも適用する。この規格には,船舶用プログラマブル電子系

の仕様,操作,保守及び評価に関与するすべての当事者のための情報が含まれている。この規格の原則及

び指針の大部分は,様々な国家規格及び国際規格の要件に基づいている。この規格に対する寄与について

は,引用規格及び参考文献に示している。

注記 1  この規格は,特定タイプの装置若しくは機能に関連している性能,試験又は試験結果要件に

ついて直接は扱っていない。このような場合は,航海,無線機器における JIS F 8076 のよう

に,既存のアプリケーション又は構成部品用の規格が適用される。責任団体(例えば,監督

官庁,船級協会又はその他の契約関係者など)は,その特定の要求に関していかなる潜在的

な対立が生じたとしてもこの規格を適用可能であると決めることができる。

注記 2  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO 17894:2005

,Ships and marine technology−Computer applications−General principles for the

development and use of programmable electronic systems in marine applications (IDT)

なお,対応の程度を表す記号(IDT)は,ISO/IEC Guide 21 に基づき,一致していることを示す。

2

適合

この規格への適合を実証するためには,当該システムが箇条 に規定されている原則を満たしていると

いう証拠を提出しなければならない。その証拠は,中立の査定者を納得させるものでなければならない。

これは,箇条 に規定されている判定基準への準拠や中立の査定者を納得させる代替手段によって可能に

なる。

注記  評価のための基準は,箇条 の各原則の下に箇条書きで示している。


2

F 8082

:2007 (ISO 17894:2005)

   

3

引用規格

次に掲げる規格(国際規格)は,この規格に引用されることによって,この規格の規定の一部を構成す

る。

これらの引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追

補を含む。

)には適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。

)を適用する。

JIS C 0508-4:1999

  電気・電子・プログラマブル電子安全関連系の機能安全−第 4 部:用語の定義及

び略語

注記  対応国際規格:IEC/FDIS 61508-4:1998,Functional safety of electrical/electronic/programmable

electronic safety-related systems

−Part 4: Definitions and abbreviations(MOD)

JIS Q 9000:2000

  品質マネジメントシステム−基本及び用語

注記  対応国際規格:ISO 9000:2000,Quality management systems−Fundamentals and vocabulary(IDT)

JIS Z 8512:1995

  人間工学−視覚表示装置を用いるオフィス作業−仕事の要求事項についての指針

注記  対応国際規格:ISO 9241-2,Ergonomic requirements for office work with visual display terminals

(VDTs)

−Part 2: Guidance on task requirements(IDT)

JIS Z 8520:1999

  人間工学−視覚表示装置を用いるオフィス作業−対話の原則

注記  対応国際規格:ISO 9241-10,Ergonomic requirements for office work with visual display terminals

(VDTs)

−Part 10: Dialogue principles(IDT)

JIS Z 8521:1999

  人間工学−視覚表示装置を用いるオフィス作業−使用性についての手引

注記  対応国際規格:ISO 9241-11,Ergonomic requirements for office work with visual display terminals

(VDTs)

−Part 11: Guidance on usability(IDT)

JIS Z 8530:2000

  人間工学−インタラクティブシステムの人間中心設計プロセス

注記  対応国際規格:ISO 13407,Human-centred design processes for interactive systems(IDT)

ISO 10007

,Quality management systems−Guidelines for configuration management

ISO/IEC 2382-1

,Information technology−Vocabulary−Part 1: Fundamental terms

ISO/IEC 9126-1

,Software engineering−Product quality−Part 1: Quality model

ISO/IEC 12207

,Information technology−Software life cycle processes

ISO/IEC 12207:1995/Amd.1:2002

,Information technology−Software life cycle processes−Amendment 1

ISO/IEC 12207:1995/Amd.2:2004

,Information technology−Software life cycle processes−Amendment 2

IEC 61069-1

,Industrial-process measurement and control−Evaluation of system properties for the purpose of

system assessment

−Part 1: General considerations and methodology

IEEE 610.12

,Standard glossary of software engineering terminology

BS 4778-3.1

,Quality vocabulary. Availability, reliability and maintainability terms. Guide to concepts and

related definitions

BS 4778-3.2

,Quality vocabulary. Availability, reliability and maintainability terms. Glossary of international

terms

4

用語及び定義

この規格で用いる主な用語及び定義は,次による。この規格で次に定義を記載しているのは,前記の引

用規格間に若干の不一致があるからであり,また,次に示す定義はこの規格での使用頻度が高いからであ

る。

附属書 にこの規格で用いられている主要な用語の背景にある概念を詳述している。


3

F 8082

:2007 (ISO 17894:2005)

4.1

利用の状況(context of use

利用者,目的,タスク,装置(ハードウェア,ソフトウェア及び器具)

,並びに製品が使用される物理的

及び社会的環境。

[JIS Z 8521]

注記  この規格で用いられているこの用語の詳細に関しては,A.2 を参照。

4.2

危険側故障(dangerous failure

安全間連系を危険な方向,すなわち,機能喪失の状態にする可能性をもつ故障。

[JIS C 0508-4]

注記  このような可能性が現実化するかどうかは,システムのチャネル構成法に依存するであろう。

安全性向上のための多チャネルをもつシステムでは,危険側ハードウェア故障がシステム全体

を危険,すなわち,機能喪失の状態へと導くことはより少ない。

4.3

信頼性(dependability

必要な外部資源が与えられていることを前提にして,規定の条件下で,規定の時間又は期間に,タスク

を主体的,かつ,正確に遂行できることに関して,システムを信頼できる程度。

[IEC 61069-5]

4.4

故障(failure

必要な機能を遂行する能力がなくなる状態。

[IEC Guide 50(191) ]

注記  誤りとは,故障をもたらしやすいシステム状態のことである。故障が発生するのは,システム

状態が誤っているからである  [JIS C 0508-4]。誤りとは,計算,観測若しくは計測された値又

は状態及び真の指定された若しくは理論的に正確な値又は状態との間の不一致のことである。

(IEC Guide 50(191); [BS 4778])

4.5

障害(fault

必要な機能を遂行することができない状態,ただし,予防保守その他の予定された処置時又は外部資源

の欠如を原因とするものは除外する。

[IEC Guide 50(191) ]

4.6

フォールトトレランス(fault tolerance

ある規定のサブアイテムが故障したときに必要な機能の遂行を可能にするものの属性。

[JIS C 0508-4

IEC Guide 50(191),BS 4778 ]

4.7

危険要因(hazard

製品,システム及びプラントの耐用期間中に発生することのある状態で,人的障害,物的損害,環境へ

の被害又は経済的損失をもたらす可能性があるもの。

[BS 4778]


4

F 8082

:2007 (ISO 17894:2005)

   

4.8

プログラマブル電子系(programmable electronic system

一つ又は複数のプログラム可能な電子装置に基づいたシステムで,入力装置(例えば,センサ)及び/

又は出力装置/最終要素(例えば,アクチュエータ)に接続されて(及び組み込んで)

,制御,保護及び監

視の目的に用いられる。

[JIS C 0508-4]

注記 1 PES という用語は,システムのすべての要素を含む。すなわち,電源,センサその他の入力

装置,データハイウェイその他の通信経路又はアクチュエータその他の出力装置が含まれる。

注記 2  この規格で用いられているこの用語の詳細に関しては,A.1 を参照。

4.9

リスク(risk

損害をもたらす危険要因の推定発生率及び損害の重大度。

[ISO/IEC Guide 51]

注記  この規格で用いられているこの用語の詳細に関しては,A.3 を参照。

4.10

ソフトウェア(software

情報処理システムのプログラム,手続き,ルール,関連文書のすべて又は一部。

[ISO/IEC 2382-1:1993]

4.11

システムライフサイクル(system life cycle

システムを構想するときからシステムが使用されなくなるまでの期間中に発生する活動。

[JIS C 0508-4]

4.12

タスク(task

特定の利用者が最適に理解し遂行できるレベルまで活動を細分化していった場合の,それ以上細分化で

きなくなった最小の部分。

[BS 4778]

注記  タスク及び機能は区別される。機能とは,システムが行う基本動作のことであり,ほかの基本

動作(システム機能)と組み合わされて,システムがタスクを行うことを可能にするものである

[IEC 61069-1]

。機能はシステムの属性であるが,タスクはワークシステム内で利用者によって

遂行されるものである。

4.13

使用性(usability

ある製品が指定された利用者によって,指定された利用の状況下で,指定された目的を達成するために

用いられるときの,有効さ,効率及び利用者の満足度の度合い。

[JIS Z 8521]

4.14

利用者(user

システムと対話する個人,[JIS Z 8520 及び JIS Z 8512]又はタスクを遂行するためにソフトウェアを使用

する人。


5

F 8082

:2007 (ISO 17894:2005)

[IEEE 610.12]

注記 1 COTS 製品の場合,特定のシステムで必要な機能を実現するために製品をカスタマイズする

設計者は,利用者に含まれる。システムの存続期間全体において,PES のカスタマイズ又は

保守を行う者もシステムの一部側面の利用者とされる。

注記 2 PES の出力,運転又は存在の影響を受けるが,PES と直接対話することのない個人又はグル

ープは,利害関係者として分類される。

注記 3  この規格の附属書では,利用者という用語が,見込まれる利用者又は実際の利用者をすべて

含む広い意味で用いられていることがある。この場合には,例えば,保全要員,船主管理者,

異なった(他の)利用者グループなどの利害関係者が含まれていることがある。

4.15

妥当性確認(validation

客観的証拠を提示することによって,特定の意図された用途又は適用に関する要求事項が満たされてい

ることを確認する。

[JIS Q 9000:2000]

注記  妥当性の確認は,PES の据付け前後で PES に対する要件に合致していることを実証する。

4.16

検証(verification

客観的証拠を提示することによって,要求事項が満たされていることを確認する。

[JIS Q 9000:2000]

注記  この規格の文脈では,検証とは,特定のライフサイクル局面に関する出力がその局面への入力

に適合していることを実証する行為のことである。

5

略語

COTS

標準仕様品として市販されている(commercial off the shelf)

PES

プログラマブル電子系(programmable electronic system)

PE

プログラマブル電子装置(programmable electronic devices)

SIL

安全完全性レベル(safety integrity level)

V

&V  検証及び妥当性確認(verification and validation)

6

規格の使用

この規格には,船舶用プログラマブル電子系の開発及び使用に関する高水準の原則が含まれている。こ

れらの原則では,製品及びプロセス以外の分類はしていない。これらの原則を分類していないのは,この

規格の読者がある特定の原則は,ある特定のケースだけに適用されると結論付けるのを防ぐためである。

この規格で用いている用語は,定義され,解釈することは可能である。解釈の範囲を持たせているのは,

意図的なものであり,取り組みへの力とするためである。これによって,広範な PES に関して原則及び関

連する評価基準(各原則の下に記載)を解釈することが可能になる。この規格はすべての PES に適用する

ためのものであるため,このことは重要である。船舶及びそのシステムに対するビジネス要件の範囲は広

大で多次元に渡るものであり,序文に述べられているように,すべてのシステムが船舶のトータルシステ

ムの一部を形成している。船舶用 PES の査定者,開発者又は利用者は,PES の利用の状況に応じて,個々

の原則に重点を置くことができる。


6

F 8082

:2007 (ISO 17894:2005)

   

評価時に,箇条 で各原則のサブアイテムとして規定されている判定基準は,PES の保全性に必要とさ

れる最低水準だと解釈される。したがって,規格の適用を望む者は,すべての PES に関してすべての勧告

に全面的に応えなければならないということはないが,すべての PES に関して判定基準の基礎を試してい

る意図を考慮する必要がある。リスク及び利用の状況は,いかなる時にも(評価時を含めて)考慮に入れ

なければならない。

附属書 に示されているガイダンスは,低リスク及び高リスク PES に関する本原則の解釈についてのア

ドバイスを提供するものである。様々なリスク状況において講じる処置に関する固有のアドバイスがこの

規格を補助している。

組織は,様々な分野の整合性に対して様々な度合いの責任をもつことになる。どのようなプロジェクト

でも,リスクの度合い,実用性,ライフサイクル局面は,本原則の解釈及び適用を認める上での要素とな

る。すべての PES に関して,本原則は一般安全要件として扱われなければならない。

船主は,搭載 PES に関して作り出したい利用の状況を考慮し,文書化する必要がある。そして,PES に

よって実行したい機能を割り当て,これらのシステムの利用者要件を規定する必要がある。

造船会社,又は新造/改装におけるその他の PES のコンピュータシステム構築業者は,自身の仕事と各

請負業者及び機材供給業者に本原則を適用する必要がある。

船舶用 PES の購入者は,船舶の運転の一部がコンピュータソフトウェアに仲介されたものであることを

認識する必要がある。

この技術から生じるリスクを最小限にするために,

船舶の耐用期間全体を通して PES

の使用及び保守に本書の原則を適用する必要がある。

この規格に示されている PES の開発及び操作に取り掛かるには,経営側からのサポートが必要になる。

ほとんどの場合,組織は既に PES 開発及び/又はサポートライフサイクルをもっている。これがこの規格

附属書 及び附属書 に示されているライフサイクル及び出力と密接に調和しているほど,その受け入

れが容易になる。

附属書 には,各原則に関する一般的注釈が記載されており,また,特定の参与者やライフサイクル局

面に関する特定のガイダンスも示されている。

附属書 には,システムのライフサイクルを通じた規格の

使用に関する課題,処置,責任が図解されている。

附属書 には,本原則の一覧が示されている。

規格の要求を実現するためには,PES 開発者,PES 運転者,適合性を評価する組織による協力,熟考及

び共同責任が必要とされる。査定者は,本原則から出発して,PES が原則に適合していることを確認する

ために必要な証拠を得なければならない。評価を受ける当事者は,PES の要件から出発して,査定者が要

求する証拠及び V&V のための計画を提出しなければならない。その結果は,ハードウェア・ソフトウェ

ア・データ・文書・訓練に関するテスト/サポートプログラムというような合意された証拠である。また,

証拠を提供し要件を満たすために割り当てられた責任であろう。

附属書 及び附属書 に証拠指定の根拠

として使用されることのある一般ライフサイクルとプロジェクト出力一覧を示している。

この規格の読者は,品質管理,システム工学,安全工学,ソフトウェア工学,及びヒューマンファクタ

の概念にある程度精通している必要がある。これらの主題を扱った規格及びその他の文書を参考文献一覧

に示している。この一般システム標準及び例えば,航海装置のような特定の装置又は応用に関する標準と

の間の関係を明確に理解するためには,箇条 に記載されている要件を読む前に,

附属書,特に附属書 A

附属書 の B.1 並びに B.2,附属書 及び附属書 を学ぶことを読者に勧める。

7

船舶用 PES の原則

7.1

船舶用 PES の目的


7

F 8082

:2007 (ISO 17894:2005)

PES

は,使用するとき利用者及び規定のタスクに確実に適したものとする。PES は,正確で時期を得た

十分,かつ,明確な情報を,利用者及びほかのシステムに提供するものとする。PES のハードウェア及び

ソフトウェアは,ライフサイクル全体を通して正確に応答するものとする。

PES

及びその関連要素が使用期間全体の中で次の原則を満たせば,このことは可能となる。

7.2

船舶用 PES の製品原則

7.2.1

第 原則

P1

  PES には,容認できない人及び環境への危害リスクがあってはならない。

a) PES

の固有(物理的)特性と機能動作から生じる危険要因によるリスクを,容認できるレベルまで引

き下げるべきである。これには,機械,電気,熱,騒音/振動,火災及び爆発,化学,生物学,放射

線,並びに職業上の健康に関するものが含まれる。

b) PES

に関する容認できるレベルのリスクは,その使用目的に基づいたものであり,そこでは,定めら

れた操作条件がすべてカバーされていて,誤用が合理的に予測し得ることが必要とされる。

7.2.2

第 原則

P2

  故障が起こった場合,PES はその状態にとどめるか,又は危険性が最も低い状態にしなければなら

ない。

a)

危険な状態に至る前に危険側故障を検出する手段を設けるべきである。

b)

危険側故障が発生した場合,PES は安全な状態にとどめるか,又は安全な状態に戻すべきである。

c)

利用者に故障を知らせる手段を設けるべきである。

7.2.3

第 原則

P3

  PES は,利用者のニーズを満たす機能を提供しなければならない。

a) PES

の機能要件は,どんな規定の操作条件をも満たすべきである。

b)

提供される一連の機能がタスクにとって適切なものであるべきである。

これには必要に応じて,監視,

制御,報告,保護及び情報処理のための機能が含まれる。

c)

要求に応じて機能を選択し実行する適切な手段を設けるべきである。

d)

提供される機能は,利用者の特性を考慮したものであるべきである。

7.2.4

第 原則

P4

  機能は,利用者と PES との間に適切に割り当てられなければならない。

a)

操作者の能力及び限界を超える機能は,PES に割り当てられるべきである。

b)

利用者に割り当てられた機能の複雑性は,利用者のスキル及び能力に見合ったものであるべきである。

c)

利用者に割り当てられた諸機能は,タスク目標及び利用者作業負荷の見地から有意義な組合せを形成

するものであるべきである。

7.2.5

第 原則

P5

  PES には,障害及び入力エラーを許容する機能がなければならない。

a)

外部システムからの不適当又は異常な入力は,必要に応じて,PES によって拒否又は是正されるべき

である。

b) PES

インタフェースは,利用者の入力エラーの回避と利用者の入力エラー箇所検知とを補助し,入力

エラー発生時には,利用者に警報を出すべきである。

c) PES

は,障害及び入力エラーが生じても結果を出すために必要とされる是正処置を最小限にすべきで

ある。

d) PES

は,次の項目を検出し,それに耐えるための処置を行う特性をもつべきである。


8

F 8082

:2007 (ISO 17894:2005)

   

1)

ハードウェア及びソフトウェアに残存する設計障害

2)

環境ストレス

e)

保護機能や装置の作動は,ほかの機能や装置の故障によって損なわれないようにすべきである。

7.2.6

第 原則

P6

  規定された作業条件及び環境条件下で使用された場合に,PES は規定されたレベルの精度,適時性

及び資源の利用性を維持しなければならない。

a)

規定された作業及び環境条件のそれぞれに関して,PES はすべての出力の精度,頻度及び持続時間を

要求されるレベルで維持すべきである。

b)

すべての機能に関して,PES は要求される応答速度及び処理持続時間を維持すべきである。

7.2.7

第 原則

P7

  PES への無許可のアクセスは,防止しなければならない。

a) PES

に対する無許可の操作や再構成は防止すべきである。

b)

データ,ソフトウェア及びハードウェアが無許可で修正されることのないようにすべきである。

7.2.8

第 原則

P8

  PES は,利用者に受け入れられ,規定された条件下で効果的で効率的な作業をサポートできなけれ

ばならない。

a) PES

インタフェースは,タスク環境,性能に関する要求事項,標準的利用者の特性及び能力を考慮す

べきである。

b)

利用者に提示される情報の量は,すべての作業条件下において,理解可能,正確及び受け入れ可能な

ものになるように考慮すべきである。

c)

不必要な操作手順は避けるべきである。

d)

代表的タスク条件下において,完全体系の作業が有効性及び効率性に対する規定要件を満たすべきで

ある。

e)

完全システムは,標準的利用者を受け入れることができるように定義明示された要件を満たすべきで

ある。

7.2.9

第 原則

P9

  PES の操作は,首尾一貫,整合性のとれたものとし,基調プロセスに対する利用者の期待に合致し

なければならない。

a) PES

の利用者モデル(必要とされる特性,動作,物理的又はその他の装置との類似)を規定すべきで

ある。

b)

入出力装置,フォーマット及び対話は,利用者の特性とタスクに見合うべきである。

c)

インタフェースの動作及び外観は,整合性をとるべきである。

d)

インタフェースに用いられているコード及び記号は規定され,かつ,整合性をとるべきである。

e)

フィードバック及び説明は,正確,理解可能及び適切であるべきである。

f)

システムとの相互作用及びシステムのインタフェース並びに動作は,代表的利用者の予想に合うべき

である。

7.2.10

第 10 原則

P10

  PES

と利用者間との相互作用は,利用者によって制御されなければならない。

a)

インタフェースのオペレータ制御の安全限界が明示され,予想される多様な利用者特性と調和をすべ

きである。


9

F 8082

:2007 (ISO 17894:2005)

b)

利用者特性及びタスクニーズに合うように,出力,フィードバック及び説明を調整すべきである。

c)

入出力データの代替表示が利用者グループのニーズに合うように利用されるべきである。

d)

安全で効果的な制御を実現するために,利用者が PES との相互作用の配列及びスピードを制御できる

ようにすべきである。

e)

対話が中断された場合に,利用者が安全に対話を再開できるようにすべきである。

f)

予想される多様な利用者による安全な運転をサポートするために,相互対話方法が選択できるように

すべきである。

7.2.11

第 11 原則

P11

  PES

は,適正な設置及び保守管理(修復及び修正を含む)をサポートしなければならない。

a) PES

構造は,ほかの装置に対してはシンプルなインタフェースを備えたモジュール式で階層的なもの

にすべきである。

b)

交換可能な PES 構成要素(部品)は,次のものと容易に交換ができるべきである。

1)

ほかの構成要素に対してシンプルな柔軟結合インタフェース

2)

明白な識別

c) PES

は,故障したコンポーネント(構成要素)を識別する効果的な診断をサポートすべきである。

d) PES

は,修復又は修正後の検査及び試験をサポートすべきである。

e)

故障後に PES を機能する状態に復帰させる時間を確立すべきである。

7.3

船舶用 PES のライフサイクル原則

7.3.1

概要

信頼性の高い船舶用 PES の実現及び使用が成就するためには,PES の耐用全期間を通して系統的なアプ

ローチが必要とされる。

7.2

に示されている製品原則を満たすためのアプローチに必要な要件を,

次に示す。

7.3.2

第 12 原則

P12

  すべての PES ライフサイクル活動は,系統的に計画され構成されなければならない。

注記  予備品,保守手順及び訓練された人員での十分な船での保守サポートは,この原則によってカ

バーされる特定の論点である。

a)

ライフサイクル局面が定義されていて,特定の入力,出力及び活動が伴う基本的タスクを含むべきで

ある。

b)

ライフサイクル局面は,反復を考慮に入れた組織だった配列に編成し,構成すべきである。

c)

すべてのライフサイクル活動をカバーする計画は,適切性を帯びるものとして作成し,実行すべきで

ある。

7.3.3

第 13 原則

P13

  要求される安全性が,すべてのライフサイクルを通した適切な活動によって実現できなければな

らない。

a) PES

に関する危険要因は,すべての操作条件と合理的に予測し得る誤用について,製造のすべての局

面で確認されるべきである。

b)

各危険要因に関するリスクは推定され,容認できるものであるかどうかを評価すべきである。

c)

危険要因の除去又は特定の防御手段の実施によって,リスクが容認できるレベルまで引き下げるべき

である。

d)

要員に課せられている安全維持の責任について適切に知らされるべきである。

e)

すべてのライフサイクルを通して,危険要因及びリスク管理結果の文書が作成され保持すべきである。


10

F 8082

:2007 (ISO 17894:2005)

   

f) PES

に関する安全要件は,提供する安全機能及び各安全機能に必要とされる保全性の観点から明記さ

れるべきである。

g)

関連する法令,規格及び規則に必要な要件が,危険要因,リスク及び安全要件の決定に際して記述さ

れるべきである。

h) PES

によってなされる安全性レベルは,指名された中立の査定者によって判断されるべきである。

i)

実現された安全性レベルの正当性が文書化され,さかのぼって安全条件が確認できるべきである。

7.3.4

第 14 原則

P14

  人間中心の活動が,ライフサイクル全体を通して行われなければならない。

a) PES

のライフサイクルは,明確に定義された利用者タスクと目標に合致するような反復的なものであ

るべきである。

b) PES

は,人間科学の適用可能な知識を考慮に入れたものであるべきである。

c)

利用者特性が適切で多様な専門技術をもったチームによって PES のライフサイクル全体を通して考慮

されるべきである。

d) PES

の進化は,次に示す適切な手段で得られる利用者フィードバックによってもたらせるべきである。

1)

すべての利害関係団体の利用者

2)

代表的利用者

3)

システム及びプロトタイプの直接の利用者経験

7.3.5

第 15 原則

P15

  検証及び妥当性確認は,ライフサイクル全体を通して行わなければならない。

a)

各ライフサイクル局面は,検証活動によって完結されるべきである。

b)

検証又は妥当性確認活動の担当要員は,検証又は妥当性確認を受けるライフサイクル出力の担当要員

から干渉されず独立であるべきである。

c) PES

は,PES 要件に関する妥当性確認を受けるべきである。

d)

検証及び妥当性確認に用いられる判定基準,技術及びツールを規定すべきである。

e)

安全機能は,すべてが安全性に必要な条件追跡可能なテストケースで検証されるべきである。

f) PES

に加えられた修正・改良は,すべて検証され妥当性が確認されるべきである。

7.3.6

第 16 原則

P16

  ライフサイクル活動にかかわるすべての当事者は,品質マネジメントシステムを保有及び使用し

なければならない。

a)

品質システムは,適切な規格又は作業標準に合致すべきである。

b)

ライフサイクル全体を通して品質活動が,履行されるべきである。

c)

品質,安全,検証,妥当性確認及び評価活動に関する役割履行に必要な独立性要件が,規定され遵守

されるべきである。

7.3.7

第 17 原則

P17

  ライフサイクル全体を通して船舶システムに必要な既存の必要要件が,考慮されなければならな

い。  

a) PES

に適用される法令,規格及び規定を確認すべきである。

b)

適用される法令,規格及び規定に対して PES が準拠していることを証明すべきである。

7.3.8

第 18 原則

P18

  PES ライフサイクル活動は,すべて効果的に実施されるように,適切な文書を作成しなければな


11

F 8082

:2007 (ISO 17894:2005)

らない。

a)

文書は,その目的に照らして正確であいまい性がなく包括的で適切なものでなければならず,時宜を

得た方法で作成すべきである。

b) PES

は,規定要件に適合することが追跡可能とすべきである。

c)

各ライフサイクル局面で必要とされる文書は,規定され,作成され,文書管理をされるべきである。

注記  これには,PES の説明,PES 必要条件,危険要因及びリスク管理結果の説明以外に,計画,検

証/妥当性確認仕様及び結果,設計文書,利用者マニュアル,設置/保守管理マニュアルが含

まれる。

d)

ライフサイクル活動の記録は,保持され,首尾よく実施されたことを実証すべきである。

e)

利用者マニュアルには,正常及び異常動作状態に対する処置を記載すべきである。

7.3.9

第 19 原則

P19

  ライフサイクル活動の責任者は,その責任を果たす能力をもたなければならない。

a)

要員の能力に,割り当てられたタスクに対する適切な訓練,知識,経験及び資格が含まれるべきであ

る。

b)

要員能力が保証される根拠を示し文書化すべきである。

c)

要員能力が維持されるべきである。

d)

チームの能力と教養によってチームメンバーのプロジェクトやシステム目標達成をサポートされるべ

きである。

7.3.10

第 20 原則

P20

  PES 構成は,ライフサイクル全体を通して確認し管理しなければならない。

a)

コンポーネント構成の観点から,PES の構造及び分類が,明確に確認されるべきである。

b) PES

コンポーネントの機能的及び物理的特性(変更を含む。

)を定義する文書が確認され,コンポーネ

ントとさっ(遡)及可能なものであるべきである。

c)

コンポーネントが構成管理されるライフサイクル局面は,明示されるべきである。

d)

ハードウェア,ソフトウェア及びデータ要素を規定する現行の承認済み PES 構成は,各関連ライフサ

イクル局面に対して確認可能であるべきである。

e) PES

コンポーネントの現行の検査/試験状態は,明確に確認されるべきである。

f) PES

構成の変更は,すべて構成管理されるべきである。

g) PES

構成文書は,環境の影響によって生じる破損を防止する方法で保管されているべきである。


12

F 8082

:2007 (ISO 17894:2005)

   

附属書 A

参考)

この規格で用いられている用語及び概念

A.1

  プログラマブル電子系

ここでいうプログラマブル電子系(PES)とは,一組又は複数組のプログラマブル電子装置(PE)を基

にした船舶搭載システムで,入力装置及び出力装置に接続されて制御,保護,監視の目的に用いられるも

のである。この広義の定義は,[JIS C 0508-4]の定義に合致しており,コンピュータ利用システムの

[MSC/CIRC.891]

定義と同等である。操作スタッフ及び保守スタッフは,これに含まれないが,そのような

スタッフに関する要件(スタッフのレベル,個人の能力,訓練必要度,使用上の注意/警告及び保守上の

注意など)はこれに含まれる。

システムの PE 要素には,

中央演算処理装置と関連メモリを基にしたマイクロ電子デバイスが含まれる。

これには,マイクロプロセッサ,マイクロコンピュータ装置,プログラマブルロジックコントローラ(PLC)

又は“スマート”センサ上のプログラマブルエレクトロニクスなどのデバイスが含まれる。PES 中の PE

要素の数は任意であり,様々な場所に設けられる(例えば,ネットワークコントローラ及びローカル PLC

を装備した分散制御システム)

入出力要素は,次の三つの主要グループを構成している。すなわち,ヒューマンインタフェース機能用

のもの,外部システムインタフェース機能用のもの及び制御対象装置(EUC)に関係する機能用のもので

ある。制御対象装置の要素には,すべてのセンサ並びにアクチュエータ及びそれらの PE 要素への通信経

路が含まれる。同様に,ヒューマンインタフェース要素には,入力装置(キーボード,トラックボール,

押しボタン)

,出力装置(VDU ディスプレイ,ミミックパネル,警告灯,プリンタ)

,関連する利用者文書

及び訓練が含まれる。最後のグループは PES と通信する外部システムへのインタフェースであるが,EUC

の一部ではない。これらは,シリアル通信,ワイヤレスリンク又はハードワイヤード入力となる。

文書もまた,PES の一部を構成することを忘れてはならない。これは,PES のソフトウェアコンポーネ

ント(構成要素)にとって特に重要である。文書には操作説明や操作手順と同様に仕様が含まれる。

図 A.1 に,周囲と関連付けた PES の範囲を図解している。PES の周囲環境には,利用の状況が含まれる。

これには,運転/保守スタッフ,EUC 及び外部システムが含まれる。

次に留意する:

a) EUC

及び外部システムもコンピュータを利用したものであったり,コンピュータを利用したコンポー

ネントを含んでいる場合がある。

b)

電源及びその他のユーティリティ供給(例えば,空気)は,PES の範囲内にある。

ここに示されている PES の定義は,最も一般的で包括的なものである。個々の事例においては,これら

の要素の一部が開発又は評価されている PES に含まれていない場合もある。これは,そういった要素が必

要とされていないか(例えば,シンプルな PES が外部システムへのインタフェ−スをもたない場合)

,そ

ういった要素は設備の一部であるが,供給範囲から除外されていたり,評価範囲から除外されていたりす

るためである。


13

F 8082

:2007 (ISO 17894:2005)

ユ ー ザ

P E S

外 部

シ ス テ ム

制 御 対 象 装 置

P E S の 使 用 背 景

物 理 的 環 境

運 転 環 境

ユ ー ザ

イ ン タ フ ェ ー ス

外 部 シ ス テ ム

イ ン タ フ ェ ー ス

プ ロ グ ラ マ ブ ル

電 子 装 置

入 力

装 置

出 力

装 置

P E S の 構 成 要 素

文 書

図 A.1PES の構造と境界

A.2

  利用の状況

プログラマブル電子系は,制御対象装置,ほかのシステム(外部システム)

,システムの利用者,利用者

が行っている作業,物理的環境及び運転環境(船舶のスタッフ開発や管理システムを含む。

)から成るより

広いトータルシステム内で作動する。これらの構成要素すべてが一緒になって(

図 A.2 に示すように),船

舶のオペレータが意図する PES の機能目標が達成される。目標を効果的,かつ,安全に達成するためには,

トータルシステムが統合された全体として設計されていなければならない。船舶の耐用期間中に,このト

ータルシステムの設計は様々な関係者の間に広がっていくことになり,何度も変化することがある。シス

テムとその構成要素の信頼性に対する関係者の責任もまた変化する。

費用効率が高く安全な方法で PES の設計,試験,保守を行うためには,PES 開発者や船主は,PES 及び

その装置とインタフェースの機能と動作の設計に影響するトータルシステムの中のほかの要素がもつ効力

を知っておかなければならない。PES の利用の状況の記述が,トータルシステムのほかのすべての要素を

要約する便利な方法となる。

PES


14

F 8082

:2007 (ISO 17894:2005)

   

PES

の利用の状況を,次の要素に分類すると便利である(以下に,航路と速度の自動制御の例を挙げて

いる)

すなわち,

a) PES

が作動するハードウェア及びソフトウェア構造基盤(例:Windows XP を実行するネットワーク

化された産業用 PC の詳細)

b) PES

がデータとコマンドをやり取りしなければならないシステム(例:航海及び機関制御ソフトウェ

アの詳細なフォーマット及びプロトコル)

c) PES

が作動する物理的環境(例:船橋並びに機関室,照明,騒音並びに振動のレベル及び湿度並びに

温度)

d)

対象とする最終利用者の特性(スキル,訓練,身体能力,責任のレベルなど)

(例:1 年間の Windows

操作経験があり,航海及び機関制御システムの使用に関するコースを受けている STCW95 当直航海

士)

e)

最終利用者が行うタスク(PES の保守を含む)

(例:航路の決定,航路定点の設定と変更,システムの

停止)

f)

利用者が PES を使用する組織的及び社会的環境(例:船舶の種類,総乗組員数,関連港湾法,特別な

表示及び証明書,動機付け体制,安全管理手順)

PES

に関係するリスクを評価する場合,トータルシステムのすべての側面を考慮に入れなければならな

い。利用者のタスクとそれが船舶及びその任務に及ぼす影響が分かっていない限り,閉ループコントロー

ル(そこでは,ハードウェア又はソフトウェアがアクションを起こし,利用者はイベント後にそれを監督

する,例えば機械制御)及び開ループコントロール(そこでは,利用者が受けた情報に基づいて実行アク

ションを行う,例えば航海)がある場合には,特にリスクについて説明することはできない。後者のタイ

プはしばしば“人間が介在したループコントロール”と呼ばれ,利用者はリスク評価に含まれるような修

正行動を起こすように要求される。

PES

の試験を行う場合,利用の状況を考慮に入れなければならない。試験結果の評価では,利用の状況

と評価背景との差を考慮に入れなければならない。工場での受入試験時の評価背景は,海上試運転での評

価背景と比べて,かけ離れていることは明らかである。ただし,海上試運転の場合であっても,日々のシ

ステム要件,構成,標準的利用者の挙動が考慮に入れられないことがある。

COTS

製品(PLC 又はオペレーティングシステムなど)の供給者が,その一般的製品の利用の状況につ

いて,完全な定義が可能であるとは考えない場合がある。この場合には,各要素の潜在的多様性を特定す

る一般的利用の状況が定義されることがある。特定の船舶又は特定の船舶搭載用途に用いる PES の設計及

び試験に関しては,一般的利用の状況を受け入れることはできない。

利用の状況を規定した文書は,PES 設計者にとって,PES がどこでどのように使用されるのかを知るた

めの有用な手引きとなる。ソフト使用容易化技術者にとって,利用の状況の仕様は,試験を計画し試験に

用いる利用者を選択するときの主要な参考文書となる。


15

F 8082

:2007 (ISO 17894:2005)

図 A.2−トータルシステムの構成要素及び関連規格

A.3

  リスク評価

管理されていない開発プロセスで安全なシステムを作ることが可能な場合もある。ただし,このように

なる確率は,比較的低く,そのような結果を当てにするのは危険である。ビジネス機能及び安全機能を提

供しない PES の場合には(例えば,乗組員又は乗客用エンターテインメントシステム)

,このような低レ

ベルの保証が受け入れられることもあるかもしれない。航海用途に関しては,ほどんどの船舶搭載 PES が

任務又は安全関連機能を果たしており,そのため,程度の差はあるが船舶の安全に影響を与えることにな

る。このような PES の場合,高レベルの信頼性保証が必要とされる。

この規格に示されているガイダンスの背後にある規格には,PES のあらゆる側面に規定レベルの保証を

もたらすための手段と方法の詳細な説明がなされている。統合的船舶環境内の各 PES は,特定の利用の状

況内で作動する。したがって,各 PES に関係するリスクのレベルを評価する必要がある。これによって,

PES

の信頼できる動作を保証するために,適切な開発ライフサイクルを定め,その開発ライフサイクルに

従うことが可能となる。

低リスク PES の場合,船舶,乗組員,環境によって高いリスクをもたらす PES と比べて,適用される規

制,V&V のレベル,必要とされる開発手段及び方法の厳密性は低くなる。

高リスクシステムの代表例としては,推進と操縦の制御システム,航海及び通信に用いられる PES,荷

役機器,火災検知システム,警報システムを挙げることができる。低リスク PES の例としては,乗客情報

システム及びホテル経営ソフトウェアを挙げることができる。個々の PES がもたらす実際のリスクは,そ

の利用の状況及び関係する危険要因に左右される。新たな危険要因や危険要因の組合せが存在する場合に

は,一般的なリスク分類が有効でないことがある。

A.4

  システムエンジニアリング(工学)

システムエンジニアリングの目標は,所有者に求められる操作能力を与えることである。大量生産及び

流通に使用された複雑なコンピュータ応用製品の成果として,伝統的な供給者の市場への時間目標にはほ

とんど差が生じなくなっている。真の目的は,タイムリーな納品及び適正な操作能力を継続的に援助する

ことである。よりよいサービスの提供及び開発時間の短縮は,効率,要求及び設計の両方を定義し,チェ

ックすることによって得られる有効性によっている。要求の獲得及び組織化は,システムエンジニアリン


16

F 8082

:2007 (ISO 17894:2005)

   

グの主要な仕事の一つである。

それは,

要求は利用者が必要としているもののための基準点として作用し,

よいシステム要求がすべての信頼できる製品の基盤であるためである。すべての基盤のように,要求は,

後の利益のためにその見返りとして,初期の段階での仕事を求める。開発と運用のライフサイクル全体に

わたる二律背反性と妥協は,要求を安全に現実的なものと調和させるために必要とされる。一個限りの開

発においてさえ,教訓は次のプロジェクトに利用できるような形で学ばれている。

システムエンジニアリングは,一組の概念及び複雑なシステムの定義におけるリスク管理プロセスを提

供するが,それは指定されたインタフェースをもち,定義されていて実現可能なコンポーネントへの分解

によってなされる。それはプロジェクトの初期段階の抽象的なものを正確な細目に変えていく。それは何

が現実的であるかを立証し,作られるべきシステムのアーキテクチャを作る。すなわち,最大の効果,能

率並びに安全なシステム及びライフサイクルを与えるためにコンポーネント(ハードウェア,ソフトウェ

ア及び利用者)に機能を割り付けること及びコンポーネント間の属性をやり取りすることによって特定さ

れた品質,コスト及びリスク間での最善のバランスを達成する。各々のコンポーネントは実体,すなわち,

それ自体で筋が通っており,システムと結合力のあるものとして開発される。それは総体的な設計の枠組

みに合致している。コンポーネントは完全なシステムに統合され,システムとしてのそれらの操作は要求

に対して現れる変化として分析される。

システムエンジニアリングは,均衡がとれた方法ですべてのライフサイクルを扱う。それは常時,性能,

リスク及びコストという競合要素間の兼ね合いを伴う。それは設計が実際的で,また,利用者の要求に適

合することを保証する。特定のサブシステム又は技術に偏らない全体的なアプローチが使われる。システ

ムエンジニアは絶えず端から端までのリスクに対して開発をレビューしており,リスクが受け入れられる

ときだけ,その決定事項を確認する。各々のプロセス境界で監視のためにレビュー又はテストが行われ,

次の段階への約束がなされる。これらの境界は品質マイルストーンとしての役割を演じ,危険性が高いア

イデアから完ぺき(璧)な製品に至るまでの緩やかな進化を制御している。ライフサイクルは,情報が作

られなければならない順番を定義する。単純で,連続的なライフサイクルは,開発についての多くの核と

なる概念を表す論理的な道ではあるが,大規模で,現実的なシステムのエンジニアリングのためには実際

的ではない。プロジェクトに取り組む前に,利用者に対して彼らが必要としている品質を提供するのと同

様に,組織はそれが手ごろで,技術的に現実性があり,受け入れられる安全を確実なものにしている必要

がある。品質が利用者要求に依存する一方で,我々はコスト及びリスクの現実的な価値を得るための設計

を理解する必要がある。システムエンジニアリングは,首尾一貫し,実際的な妥協に達するまで,要求及

び設計との間を循環する(反復する)

システムエンジニアリングは,機械工学又はトレーニングのような専門的な分野とは異なっている。技

術的な調整がその仕事の核となる要素である。各々の専門的分野がそれ自身の分野の原理に従っている場

合だけ開発が進むと考えられるものである。システムエンジニアリングは,分野及び製品タイプから独立

したまますべての分野の仕事に枠組みを提供する。それは利用者ニーズを技術的な問題に翻訳するととも

に,コスト及びスケジュール影響に関するプロジェクト管理との間をうまく乗り超えていく。それは開発

に関係している異なるグループ及び組織にまたがるコミュニケーションに依拠する。それは専門家グルー

プのための役割ではなく,プロジェクトチームで働いているすべての個人の仕事の小さな部分に対する役

割である。

単一の不十分な技術的決定が,製品及び会社に重要な影響を与えることになるので,システムエンジニ

アリングには,管理的な面及び技術的な面の両方がある。システムエンジニアリングは,いつでも,要求

を定義し,アーキテクチャーを作る。プロジェクト管理には,広いが,本質的に創造的でない役割がある。


17

F 8082

:2007 (ISO 17894:2005)

その主要機能は,すべてはなされるが,する必要のないものはしないということを保証することである。

うまくいく管理というものがコスト,スケジュール,品質及び完成度というような変数の兼ね合いを必要

とするので,システムエンジニアリングのないプロジェクト管理は無意味である。この情報の技術的な構

成要素はシステムエンジアリングによって獲得される。時間及び資源ははかるのが簡単であるので,管理

者は,しばしば要求の主要要素なしでプロジェクトを管理しようと試みる。ただし,有用な製品を生産し

ないでコスト及び予算目標を満たすことは小さなポイントにしかすぎない。


18

F 8082

:2007 (ISO 17894:2005)

   

附属書 B

参考)

船舶用 PES に関する原則のガイダンス

B.1

  序文

この附属書のガイダンスは,船舶状況における各原則を説明する注釈の形をとっている。原則の背景に

関する一般注釈の後に,個別ガイダンスが示されている。個別ガイダンスには,特定のタイプの PES,開

発プロセスの段階又は PES のライフサイクルでの役割に関する原則の解釈が説明又は詳述されている。ガ

イダンスには,より詳細な要件が示されている規格,規範,指針の関連部分への参照が付けられている。

この附属書の目的は,本書の広範な読者に原則の意味を説明することである。各原則の達成基準が箇条

7

に記載されている。この附属書を参照する前に,これらの判定基準を確認する必要がある。参照する規

格には,原則及び判定基準を補足する詳細又は個々の要件及び手順の説明が記載されている。これらの規

格の全体は,参考文献一覧に示されている。

B.2

  目的

B.2.1

  一般

PES

は,ある特定の利用の状況における利用者及び規定のタスクに確実に適したものとする。PES は,

正確で時期を得た十分,かつ,明確な情報を,利用者とほかのシステムに提供するものとする。PES のハ

ードウェア及びソフトウェアは,ライフサイクル全体を通して正確に応答するものとする。

これは PES とその関連要素によって耐用期間全体を通して次の原則が満たされれば可能である。

B.2.2

  注釈

ここでは,原則に適合していることを示す客観的証拠提供の必要性が表明されている。適合を証明する

明確な証拠事例を示す方法が多数あるため,その証拠提供の方法は規定されていない。主要な証拠の出所

として,仕様,設計文書,分析及び試験の結果,サービス履歴実績,手順及び作業指示書,既存の証明書,

船舶セクターでの慣習及び慣例に対しての要求,PES それ自体の物理的特性を挙げることができる。

それには直接的業務機能はもちろん,オペレータとその他のシステムへの外部通信が含まれる。ライフ

サイクル全体を通してその動作への配慮が必要とされている。それは要求内容のゆっくりした変化を管理

し PES の使用時のオペレータエラーに関する範囲を評価する場合又は保全条件下における修正を慎重に実

行する場合に適用される。

この規格の基本的な考え方は,全体的な目的及び二次的な原理のすべてが,PES 及びトータルシステム

(その中で耐用期間全体を通して PES が作動する)に適用されるということである。このような文脈にお

いて,この規格が読まれ解釈されなければならない。このようにして適用されるとき,その原則は,相互

に影響し合い,補助し合うことになるはずである。原則又は評価基準の間には,順序付け又は優先度とい

ったものは存在しない。

すべての原理は,耐用全期間を通して PES 全体に適用される。判定基準は,どのような PES でもその耐

用全期間を通して適用されることになっているが,ライフサイクル局面,システムの種類,必要とされる

保全性のレベルによって解釈の程度が異なることがある。

同様に,すべての原理はあらゆる種類の PES に適用される。このことは注文品の PES 開発に関してはよ

く理解されているが,COTS PES 又は COTS コンポーネント(構成要素)から作られた PES に関してはそ


19

F 8082

:2007 (ISO 17894:2005)

うであるとは言えないことがある。規定された利用の状況内における適合性を証明するためには,COTS

PES

も各原則に合致しなければならない。このことは,非常に広範な応用範囲をもつことがある独立形

COTS

の供給業者又は多数の異なる COTS 製品を含んだ PES の全体的信頼性を証明しなくてはならないシ

ステム構築業者又はシステムエンジニアにとっては,とりわけ困難な課題であるかもしれない。

B.2.3

  個別ガイダンス

PES

の動作に関係するリスクを考慮するという要件は,正しい運転の不可欠な要素である。このことは,

第 1 原則で明らかにされている。

PES

を使用するときに利用者は,二つのレベルのタスクを行う。一つは,PES と制御対象装置にサポー

ト又は仲介された船舶運転である。もう一つは,PES 自体を使用するという付加的なタスクである。

PES

に関する要件の定義,PES の設計又は PES の試験を行うときには,これら二つの活動の明確な区別

がなされなければならない。全般的な目的は,オペレータに付加される精神的・肉体的負担を最小限にす

るように PES を使用することによって,船舶の運転をできる限り効果的で安全なものにすることである。

B.3

  安全

B.3.1

  第 原則

B.3.1.1

  一般

P1

  PES には,容認できない人及び環境への危害リスクがあってはならない。

B.3.1.2

  注釈

これは船舶用 PES の安全のための一般的必要条件である。リスク正当化の基準となる許容可能安全レベ

ルは,IMO が提案している方法及び手段又は船舶セクターにおける最良の慣行を反映した方法を参考にし

て,ケースバイケースで決定される。

リスクの分析及び評定は,PES の特定の利用の状況内でだけ適切に実施することができる。すべての関

係者は,この利用の状況を明確に定義し理解していなければならない。リスクの評定では,PES の正常な

使用の評定だけでなく,合理的に予測し得る PES の誤用も考慮されなければならない。PES の保持するい

かなる新しい機能又は独特の機能もそれ自体が固有の危険要因をもたらすことがあるため,慎重な配慮が

必要となる。

この原理の主要な側面の一つは,PES に関係する危険要因を認識し理解するということである。これに

は,PES の物理的特性から生じてくる内在的な危険要因及び PES の機能動作から生じる危険要因の両方が

含まれる。PES 外部のリスク削減機能が,安全レベルに許容可能であることを確実にするために用いられ

る。これには,警報,利用者への個人用保護具の支給,特別な手順の作成又は使用のための訓練が含まれ

る。

リスクの分析及び評定には,PES の各要素が含まれていなければならない。というのは,各要素にはそ

れぞれのリスクレベルがあり,PES の構築に用いられる場合に,それを確定し最小化(又は完全に除去)

しなければならないからである。PES の要素に関しても,上記の外部リスク削減機能が必要とされること

がある。

B.3.1.3

  個別ガイダンス

すべての関係者は,この原則に関して責任をもつが,PES と,その利用の状況,開発・供給・保全の責

務に応じて,責任の種類は多様なものとなる。

例えば,船主又は操船者は,船舶全体及びその主要システムに関するトップレベルの危険要因に対処し

なければならない。これには,PES 外部のリスク削減手段の提供も含まれる。供給業者は,物理的に安全


20

F 8082

:2007 (ISO 17894:2005)

   

な装置を供給し,装置使用の安全性が明らかであり,装置の故障動作が理解されていることを証明しなけ

ればならない。場合によっては,これが困難なこともある。例えば,安全関連用途のために特別に開発さ

れたものではないはん用 COTS 製品の場合である。調達担当者は,対象とする用途が安全関連のものかど

うかを明らかにしなければならず,明確でない場合には,あっせん(斡旋)人はそのような情報を要求し

なければならない。

安全性の問題に取り組む場合には,予測し得る PES の誤用が考慮されなければならない。ここでも系統

的な分析が必要となり,これには PES 又は類似 PES での実地経験が含まれると考えられる。誤用には様々

な状況が想定される。例えば,PES が一般船舶用途向きには型式承認されているが,往復機械装置の設置

用としては型式承認されていないことがある。振動によって PES が故障して危険な状態になる可能性があ

る場合には,そのような設置に関係するリスクは評価されなければならない。また,別の例を挙げると,

位置決めシステムの出力が使用前にほかのシステムのデータと照合することになっている場合には,人手

による照合が行われない可能性が考慮されなければならない。状況によっては,例えば軍艦の場合,シス

テムが許容しなければならない誤用の程度が大きく,容認不可能性の定義を下す場合には,慎重な解釈上

の配慮がなされなければならないこともある。

この原理は,PES 及び PES 構成要素の安全要件(例えば,SIL)が確定され,PES の V&V の管理に使

用されなければならないことを示唆している。特に,COTS 製品の供給業者は,対象とする用途(又は一

連の用途)

に見合った目標 SIL を確定する必要がある。

供給業者が様々な類似製品を取りそろえておけば,

様々なレベルの保全性に関して評価することができ,様々な用途に適用できるため,効果的であるといえ

る。

この規格のガイダンスは,保全性のレベルに関するアドバイスを提供しているにすぎない。言い換えれ

ば,

“高”及び/又は“低”リスク PES に関してだけ論じているのであり,個々の SIL に関する具体的な

ガイダンスは提供していない。そのような詳細なガイダンスは,参照規格,特に[JIS C 0508-1],[JIS C 

0508-2]

及び[JIS C 0508-3]の“手段と方法一覧”に示されている。

B.3.1.4

  参照規格

[IEC 61069-1]

の 4.3.6 及び 4.3.7,[JIS C 0508-1]の 7.4 及び 7.5.2.2,[MSC/CIRC.891]の 3.1.14.1.2 及び

4.7

B.3.2

  第 原則

B.3.2.1

  一般

P2

  故障が起こった場合,PES はその状態にとどめるか,又は危険性が最も低い状態にしなければなら

ない。

B.3.2.2

  注釈

この要件は,PES が要求される機能を提供できなくなる故障に関するものである。このような故障は,

PES

内部の大きな障害から生じることもあれば,PES 設計に基づく外部の運転条件又は環境条件に起因す

ることもある。いずれの場合も,PES は,現行の状況を制御又は監視されている装置に関するリスクを最

小限の定義された状態に移行しなければならない。危険側故障が確実に検知され,適切に処理される必要

がある。そのような処置の程度及び範囲は,PES のリスクレベルで特定される“危険性”の解釈にかかっ

ている。

ここで必要とされるのは,すべての該当するレベル(船舶全体を含む)の故障シナリオ及び付随する危

険要因に対する十分な考慮である。

PES

が戻るのに適切な安全状態も,環境条件又は運転条件によっては,

状況が異なるかもしれないので,

その確定が極めて複雑なものになることがある。

この規格の適用範囲は,


21

F 8082

:2007 (ISO 17894:2005)

単一の PES であるため,PES の故障時におけるほかのシステムの状態は P1 によって扱われる。

安全な状態への移行は,必要に応じて自動又は手動で行われる。独立し,ハード結線された危急停止又

はプログラムされたシャットダウンなどの自動的動作が一般に用いられており,多くの状況で適切なもの

となっている。例えば,明確な故障モードに迅速な応答が必要とされている場合などである。安全な状態

への移行は,手動手段でも可能であるが,高リスク PES の場合には,危険要因の臨界に関してそのような

手段の信頼性の評価が慎重になされていることの証明がされていなければならない。いずれの場合も,PES

を移行させて安全な状態にするのに必要とされる手動応答動作は,利用者にとって明らかであるべきであ

る。

B.3.2.3

  個別ガイダンス

故障モードによっては,シャットダウンが必ずしも最も危険性の低い状態ではないこともある。必要で

あると考えられる場合には,機関損傷のリスクがあるにせよ,推進を維持し潤滑油圧力の低い状態で機関

の運転を継続した方が安全なこともある。逆に,過速度状態が検知された場合には,破滅的な損傷のリス

クのために,常にシャットダウンが必要であると考えられる。運転の継続によるリスクのレベルが高い場

合でも復帰的モードの運転が必要とされるケースでは(例えば,戦艦のシステム)

,この境界はフレキシブ

ルなものとなる。PES の使用及びタスク要件の背景状況(特に,第 3 原則及び第 8 原則)は,この原則及

びその他の製品原則(特に,第 5 原則)を満たすのに必要な特定の用途及び設計タイプの個々のトレード

オフに関する手引きとなる。

すべてのレベルにおける分析と試験によって,この原則に関する有用な証拠をもたらすことができる。

船主又は造船所は,できるだけ,船舶全体のレベルで現実的なシナリオが考慮,評定,試験されるように

しなければならない。例えば,操船中の機関シャットダウンは望ましくない。コンポーネント供給業者は,

コンポーネントの故障モードが分かっており,PES 動作に対する影響を特定できることを証明する必要が

ある。また,例えば問題報告書の形をとった実地履歴資料によって,故障が安全な状態に落ち着いたり,

保護作用がうまく機能することを証明する類似の証拠を提出することも可能である。

利用者が常に適切に対処して安全な環境を維持できるようにする方法として,故障リストをシステム文

書に含めることがある。この故障リストには,PES で想定される様々な故障が示され,最悪作業条件及び

どの状態が最も危険性が低いかなどの内容が含まれる。

B.3.2.4

  参照規格

[IEC 61069-1]

の 4.3.6, [JIS C 0508-7]の

附属書 及び附属書 C,[MSC/CIRC.891]の 4.7.14.7.2 及び 4.8.4

B.4

  機能

B.4.1

  第 原則

B.4.1.1

  一般

P3

  PES は,利用者のニーズを満たす機能を提供しなければならない。

B.4.1.2

  注釈

ここでいう利用者は,直接操作を行う要員のことだけでなく,PES のライフサイクル中に PES の影響を

受けるすべての当事者(利害関係者)のことである。例えば,船主,設置スタッフ,保守要員も利用者に

含まれる。

利用者のニーズは,明示的な場合があるとともに黙示的な場合もある。これは PES の全機能的側面にわ

たる要件である。例えば,保護システムの場合,個々の安全機能がそれに含まれる。さらに,PES の耐用

期間中にこれらのニーズが変化する場合があることを理解しておくことが重要である。例えば,既存のシ


22

F 8082

:2007 (ISO 17894:2005)

   

ステムの機能が高められ用途を変更させる場合がある。利用者の承諾を証明する明確な方法が必要とされ

る。

この原則では,PES が機能しない仕方で“どのように”行うかよりも,PES が“何”を行うかに重点が

置かれている。考えられるすべての条件と環境に見合った機能が提供されることができないので,PES の

動作枠組を定義する必要がある。ただし,異常な動作条件で妥当な機能が提供される必要があるし,ある

程度,利用者が機能を選択することも必要であると考えられる。

利用者は,それぞれの能力及びスキルをもっている。これらの特性には,誰もがほぼ同じレベルにある

ものもあれば,体格,年齢,教養,ストレスのレベル,疲労の度合い,操作環境,経験,訓練などの様々

な要素に左右されるものもある。これらの(動的な場合が多い)利用者特性に合うように設計されている

機能を提供することは PES に対する利用者のニーズの一つである。

B.4.1.3

  個別ガイダンス

利用者の特性及びシステムの使用における基本的技能レベルが特定又は想定される必要がある。このこ

とは,個別化又は PES が提供する学習機能の必要性の確定に役立つ。ただし,PES のアプリケーション及

び複雑性についても考慮されなければならない。

例えば,

警報システムのローカル監視パネルの場合には,

機関室のオペレータはそれを調整することなくそのまま使用することができるだろうが,警告表示用に集

中化されたシステムのメニュー表示形のグラフィカル VDU インタフェースの場合には,特定の訓練がオ

ンラインヘルプ機能の装備と同様に必要とされるだろう。

システムの要件の一部となっている文書に利用者,タスク,動作環境,コンピュータ環境の内容を記録

すると役に立つ。そのような文書は,利用の状況説明書又は利用の状況と呼ばれる。

従来のシステムをサポートするシステムや,従来のシステムにそのまま取って代わるシステムの場合に

は,サポートする機能に関する一般的知識があれば設計の基礎として事足りると考えられる。新しい動作

概念や新しい技術の場合は,PES の要件を引き出すために対象とする利用者活動のモデリングと分析を行

うことが必要とされる。

機能を規定する責任は船主にある。機能の記述を整理し,機能装備のコスト及び実行可能性を分析する

責任は,システムエンジニアにある。そのため,ライフサイクルの早い時期にシステムエンジニアの役割

が定められ,割り当てられる必要がある。システムエンジニアの役割は,装置の相互接続を可能にするこ

とだけではない。

B.4.1.4

  参照規格

[IEC 61069-1]

の 4.3.24.3.44.3.54.3.6 及び 4.3.7,[MSC/CIRC.891]の 5.2.15.4.2 及び 6.4,[ISO 9126-1]

の 6.1,[JIS Z 8520]の 3.1.13.23.7 及び 3.8

B.4.2

  第 原則

B.4.2.1

  一般

P4

  機能は,利用者と PES との間に適切に割り当てられなければならない。

B.4.2.2

  注釈

この割当てには十分な配慮が必要である。一部のタスクの自動化は,可能であっても,全体的システム

概念の中では望ましくない場合もある。自動化に適したタスクの例として,人間の反応時間よりも速い応

答速度を必要とするタスク,大量のデータの反復的な分類又は整理を必要とするタスク,人に直接的な危

険要因をもたらすタスク(毒性物質又は高温部に関係する作業)を挙げることができる。

重要なことは,できるだけ多くを自動化した後に残されたものだけが,利用者タスクになるのではない

ということである。そこでは,利用者のフレキシビリティーが PES を全体として機能させることが期待さ


23

F 8082

:2007 (ISO 17894:2005)

れる。利用者タスクは,安全関連機能(警報受理又は保護シャットダウン)及びそれらのストレス条件下

での成果に特別な注意を払った,働きがいのある仕事でなければならない。危険分析によって,タスクを

オペレータにゆだねるべきかどうかを決定することができる。例えば,安全に関して非常に重要なタスク

で,PES の故障によってその遂行が危うくなることのあるタスクである。この場合,タスクが首尾よく遂

行されたことを確認する適切な手段を講じるべきである。

利用者に割り当てられる機能は,身体的作業負荷(するべきことが多すぎる)及び精神的作業負荷(考

えるべきことが多すぎる)の問題に対処した,バランスのよいタスクに組み込まれる必要がある。うまく

計画されたタスクは,船舶の効率的で安全な運転に大きく貢献する最良の機会を利用者にもたらす。うま

く計画されたタスクとは,退屈さ,疲労,過度の作業負荷をできるだけ少なくし,学習の機会を提供する,

各利用者の活動の組合せである。標準的な活動には,シンプルな日常業務,技能又は規則に基づいた仕事

を含み,問題解決又は分析が必要とされる,より複雑な活動である。一つの活動に長く焦点を当てるのは

避けるべきである。タスクをうまく計画するためには,PES のオペレータ,設計者,システム構築業者が

早い時期に協力していくことが必要である。

B.4.2.3

  個別ガイダンス

不活性ガス発生器からの流出ガスの酸素レベルを手動制御することは,オペレータの注意が長時間に渡

って必要とされることを考えると,機能割当の例として適切であるとはいえない。

消火システムからの二酸化炭素放出の確認などの安全機能は,手動機能とするべきである。

というのは,

自動化されたシステムは,

水浸しになったスペースに乗組員がいるかどうかの情報をもたないからである。

利用者技能の基本レベルは,規定され考慮すべきである。オペレータに関しては,船上におけるその技

能の存在と対策が現実的に評価される必要がある。供給業者にとっては,利用者の訓練が不適切であるこ

ともあり得るとして,機能割当アドバイスをするのに役立つこともある。資格認定の国家機構等の基本技

能に関する取り組みが今なされている。ISM コードや STCW95 等の IMO 規則が,この分野で重点を知る

のに役立つ。

購入者が COTS 製品を選択する場合,要求される機能割当を COTS 製品の設計機能割当にマッチさせる

か,設計機能割当を考慮に入れた操作手順を確立することが必要とされる。

船舶の運用期間全体を通して,操作に関する考え方とその結果として生じる利用者及び技術間の機能割

当が評価される必要がある。これは,試験と初期トライアルだけでなく,長期的な検討に基づくべきであ

る。

再割当てを許容するある程度のフレキシビリティがもたらされるように PES を設計することができる。

補修的利用者訓練又はヘルプ機能の拡大も考慮できる。新しい技術及び動作概念に関する利用者の能力に

ついては,第 14 原則及び第 19 原則(B.8.3 及び B.9.4)を参照。

この原則を満たすためには,利用者への適切なフィードバック及び説明の役割を考慮しなければならな

い。7.2.9 の e)を参照。

B.4.2.4

  参照規格

[IEC 61069-1]

の 4.3.2,[MSC/CIRC.891]の 3.1.2 及び 4.8.3,[JIS Z 8530]の 5.3,[JIS Z 8520]の 3.2

B.5

  性能及び信頼性

B.5.1

  第 原則

B.5.1.1

  一般

P5

  PES には,障害及び入力エラーを許容する機能がなければならない。

B.5.1.2

  注釈


24

F 8082

:2007 (ISO 17894:2005)

   

この原則は,PES の内部で発生する問題に関するものである。そのときでもまだ PES は,要求される機

能の一部又は全部を提供することができる。重度又は破滅的な故障に関しては,第 2 原則の適用がより適

切である(ここでは PES が安全な状態に置かれることが要求される)

この原則が,あらゆる内部障害又は異常な入力に対して,PES がすべての機能を提供し続けなければな

らないという意味にはならない。耐障害性とは,特定の障害状態において,

(求められる)機能を提供又は

維持する能力のことである。このような状態には,利用者のミス又は PES に接続されたほかのシステムか

らのデータのエラー,環境の異常,物理的損傷までも含まれる。

耐性機能は,自動の場合もあり,手動(必要な機能を成し遂げるために利用者の介入が必要とされる)

の場合もある。後者の場合,利用者に行動が要求されていることを認識させる必要がある。耐性機能の完

全さは,しばしば,全体システムの設計において,二重化や冗長化要素の使用によって達成される。

安全関連機能は,適切な独立性をもつようにするための特別な配慮が必要とされる。このことは,危険

故障モードにかかわる保護機能又は一般制御機能が,ほかの安全関連ではない機能又は装置故障の影響を

受けないようにしなければならないことを意味している。幾つかの方法でこのことを証明することができ

る。例えば,装置の物理的分離,多様な技術の使用,故障が危険をもたらさない部品やサービスだけを共

有すること又は別個の操作,保守,試験手順を規定することなどである。

B.5.1.3

  個別ガイダンス

PES

の低レベル構成要素(例えば,通信プロトコル)は,通常動作の一環として入力のエラーを是正す

る。この場合には,利用者は通常,設計パラメータが超過したときだけ通知を受ける。PES のより高いレ

ベル(エラーの発生が少ないコマンドや制御入力に近いレベル)では,障害及びエラーは,利用者の注意

を喚起すべきである。

PES

がエラーの是正を完了した状況であっても,利用者に入力のミスを認識させるべきである(例えば,

範囲外の入力が検出された場合)

。これによって,利用者に状況を認識させ,入力エラーの再発を防止する

ことができる。

同時に起こる障害又はほぼ同時に起こる障害を数多く示すことのある PES の場合,

“利用者過負荷”の

リスクを最小限にするようにエラー情報を利用者に提示すべきである。この状態が最も生じやすいのは,

PES

に大量の情報及び課題を処理する能力がある場合である。このような場合には,障害の程度に優先順

位を付ける機能が有用又は必要とされる。

高いレベルの COTS PES が設計され,利用者制御に関する個々のアプローチが支援されていくと考えら

れる。このような製品を選択する場合,購入者は利用者訓練を行って,制御のために意図したアプローチ

が COTS 製品のアプローチにマッチするようにするのがよい。

B.5.1.4

  参照規格

[IEC 61069-1]

の 4.3.4 及び 4.3.6,[MSC/CIRC.891]の 4.1.14.34.64.74.8 及び 5.3.3,[JIS C 0508-2],

[JIS C 0508-7]

附属書 及び附属書 C,[JIS Z 8520]の 3.2 及び 3.6

B.5.2

  第 原則

B.5.2.1

  一般

P6

  規定された作業条件及び環境条件下で使用された場合に,PES は規定されたレベルの精度,適時性

及び資源の利用性を維持しなければならない。

B.5.2.2

  注釈

この原則では,機能を実行するときの PES の性能(PES が“どのように”機能を実行するか)に重点が

置かれている。主要な側面には次のものが含まれる。


25

F 8082

:2007 (ISO 17894:2005)

―  “規定されたレベル”とは,達成されるべきレベルや許容限度の文書化された定義を介して,性能要

件がすべての関係者に理解されていなければならないことを意味している。これには,全体的目標

(例えば,電源に関する変動目標)や詳細レベルのもの(例えば,重大な警報に対する応答時間)

が含まれる。場合によっては,レベルの受入基準が合格限界を設定するベンチマークテスト(例え

ば,ネットワーク負荷やプロセッサ負荷に関して)によることもある。

―  “規定された作業条件及び環境条件”とは,また,PES の利用の状況が共通して理解されていなけれ

ばならないことを意味している。これには,異常な状態又は故障状態も含まれる。

―  “維持する”とは,PES の耐用年数(すなわち,長期にわたる維持)及び条件の変化に対して性能レ

ベルが実現されなければならないことを意味している。これは,すべての規定条件に関して性能レ

ベルが同一でなければならないということを意味しているのではなく,規定レベル(例えば,高温

又は停電によって低下することがある。

)が実質的に達成されることを意味している。

スピードが重視される機能(安全関連機能又は重要な動作を行う機能)に特別な注意を払う必要がある。

応答,持続時間,頻度に関して,これらの機能の適時性が明確,かつ,正確に規定され,確実に実現され

るべきである。

試験による達成の証明では,試験に用いられる物理的条件及び実際の条件との相関性に留意する必要が

ある。試験されていない条件への性能の適用は,十分に正当化すべきである。

B.5.2.3

  個別ガイダンス

7.2.6

の b)では,

“応答速度”という用語が PES の制御応答の速度を意味している。これは,必ずしも利

用者との対話速度に関連しているわけではない。

ネットワーク負荷飽和の可能性は,慎重に評価されるべきである。特に応答性及び機能とデータの処理

能率は,船又は乗組員の高い危険と関連し,高ネットワーク負荷が危険原因となるかもしれない。例を挙

げると:ネットワークから切り離されたり,接続され直したりされている幾つかのユニット,共通モード

の故障,カスケードになっている部分の故障,同報メッセージに対する応答。

PES

の耐用期間全体を通して,日/時スタンプ機能の正確さが維持されなければならない。特に,異例

の状況における性能を保証する必要がある。例えば,うるう(閏)日の処理である。

B.5.2.4

  参照規格

[IEC 61069-1]

の 4.3.24.3.34.3.4 及び 4.4,[MSC/CIRC.891]の 3.13.2 及び 5.2,[ISO 9126-1]の 6.2 

び 6.4

B.5.3

  第 原則

B.5.3.1

  一般

P7

  PES への無許可のアクセスは,防止しなければならない。

B.5.3.2

  注釈

PES

に対するセキュリティ脅威の明確な理解が必要であり,適切な対策(物理的又は手順的対策)を効

果的に講じなければならない。対処すべき主要な問題として,偶発的又は悪意に基づいた PES の操作を挙

げることができる。ソフトウェアに関しては,プログラム又はデータを変更される可能性を考慮する必要

がある。このような脅威は,直接的な利用者又はオペレータだけでなく,PES に接続されている外部シス

テムから生じてくることがある。実際のところ,船舶システムでは,乗組員がソフトウェアにアクセスで

きないようになっている場合もある。

一般に,ソフトウェアと比べてハードウェア装置の変更又は再構成は困難であるが,適切な対策を講じ

て,PES のそのようなハードウェア装置の変更又は再構成を防止しなければならない。


26

F 8082

:2007 (ISO 17894:2005)

   

様々な対策が,PES が高リスクか低リスクかによって必要に応じて利用可能である。最終的には,適切

な手順によって権限認可がなされることになるが,

“認可”

の主要な側面は単純な物理的手段

(パスワード,

ウィルスチェックユーティリティ又は装置区画の物理的施錠)で実現できる。

B.5.3.3

  個別ガイダンス

例えば,供給業者の場合,高リスク PES の認定利用者の識別が有用な手段となる。このことは,氏名の

リストアップ又は要員の等級/役割の識別によって実施できる。

セキュリティ対策の有効性が証明されなければならず,そこには,個々のセキュリティ試験事例での試

験結果又はセキュリティ違反のない成功した運転のサービス履歴記録が含まれていなければならない。

B.5.3.4

  参照規格

[IEC 61069-1]

の 4.3.4,[MSC/CIRC.891]の 3.1.6 及び 5.2.4

B.6

  操作性

B.6.1

  第 原則

B.6.1.1

  一般

P8

  PES は,利用者に受け入れられ,規定された条件下で効果的で効率的な作業をサポートできなけれ

ばならない。

B.6.1.2

  注釈

PES

を操作可能なものにするためには,実際の PES の利用の状況に近い評価状況で実際的なタスクを実

施する標準的利用者によって,システムの使用性が確立されなければならない。

使用性の保証レベルは,

PES

に要求される信頼性レベルによって決まってくる。

低危険度 PES の場合は,

利用者代表又は使用性専門家による使用性判定基準の標準リストと対照した評価で十分事足りる。船舶の

運転に対する重要性が更に高い PES の場合には,実際の利用者によるシステムの使用品質に関するフィー

ドバックを得る形での試験の実施が推奨される。安全関連動作に用いられる PES の場合には,正確な利用

の状況での主要タスクに関する利用者完成度の量的測定の実施が推奨される。トータルシステムに関係す

るリスクから,使用性の保証レベルが確定されることができる。

PES

に対する安全と利用者要件から得られた目標と対照して使用性の測定が行われるものとする。三つ

の広い分類の主観的又は客観的測定が必要とされる。すなわち,有効性,効率性,受容性である。システ

ム及び利用者のタスクで実施される個々の機能に応じて,これらのパラメータは,様々な方法で測定され

る。代表的な目安としては,情報の分かりやすさ並びに利用者応答の精度及び速度がある。受容性は,シ

ステム使用に関する最終利用者の満足度として測定される。これらの目安を引き出すタスクを選択すると

きには,PES の全体的な役割,運転及び保守におけるその利用の状況を考慮することが重要である。

正常な条件及び異常な条件の両方に関して,要求される性能を評価しなければならない。規定されてい

ない条件に関しては,システムのソフトウェア又はハードウェアと同様に,第 5 原則が利用者行動に適用

される。

ここでいう“利用者”とは,設置された PES の直接的なオペレータだけのことではなく,システムの予

想される,又は実際の最終利用者をすべて含むものである。そこには,例えば,保守スタッフ,船主経営

者,ほかのオペレータグループが含まれることがある。

B.6.1.3

  個別ガイダンス

使用性に対しての目標を達成すべきシステムを開発する場合には,設計的解法が十分に利用できるため

に,初期バージョン又はプロトタイプを標準的利用者で試験することが推奨される。性能目標を達成する


27

F 8082

:2007 (ISO 17894:2005)

ためには,設計時に利用者の予想能力及び能力範囲を考慮に入れる。予想される乗組員能力を特定し,そ

れが PES の耐用期間中に変化した場合に再設計を開始することは,船主の責任である。要求されるレベル

の能力の維持に関する問題は,第 19 原則で扱われている。

理想的なケースでは,PES の使用性に関する工場試験と海上試験とを,その船で航海することになって

いる乗組員の代表を用いて実施するのがよい。

“熟練した利用者”及び/又は供給業者代表の評価の,最悪

であるがより一般的なケースでは,査定者は,試験対象者及び標準的乗組員の訓練及び経験の差を考慮し

なければならない。このことは,規定された評定背景から得られたリストを用いた正式な方法によって最

もうまく実施できる。

利用者試験には,非常時運転,荒天,高い作業負荷,夜間状態(ブリッジ装置に関して)

,装置の部分的

故障等の乗組員にとって困難な状況のシミュレーションが含まれなければならない。試験における一般的

不合格には,がい(蓋)然性の低い状態は含めないが,インパクトの強い状態は含める。

非常に多様な経験又は訓練レベルの利用者で利用者試験が実施されていることが多いため,COTS には

特別な問題が伴う。そのため,COTS の使用性の主張には注意が必要である。

船主には,使用性要件を定義し取り決める責任がある。システムエンジニアには,システム全体がこれ

らの目標を満たすようにする責任がある。

B.6.1.4

  参照規格

[IEC 61069-1]

の 4.3.5,[ISO 9126-1]の 7,[MSC/CIRC.891]の 3.1.54.8.1及び 6,[JIS Z 8520]の 3.1.1

3.2

3.33.43.53.7 及び 3.8

B.6.2

  第 原則

B.6.2.1

  一般

P9

  PES の操作は,首尾一貫,整合性のとれたものとし,基調プロセスに対する利用者の期待に合致し

なければならない。

B.6.2.2

  注釈

海洋環境で使用される PES は,通常,船舶の管理又は運転に関係する機能をサポート又は実行する。船

舶の運転に関する知識から,PES を使用する乗組員は,PES が自分達のタスク遂行を補助する方式に関し

て,一定の期待をもつことになる。これらの期待が満たされる場合には,乗組員は,より効果的に仕事を

行うようになり,エラーも少なくなる。

状況認識の欠如が,人のエラーをもたらす最大の要因である。監視タスク又は制御タスクでは,情報と

システムとの対話を表示することに対する利用者の期待に合致した PES は,最高レベルの状況認識がもた

らされる。システムは,利用者が次のことを行えるようにしなければならない。

1)

システムが現在行っていることを知る。

2)

システムがこれから行おうとしていることを知る。

3)

入力及び出力の関係を説明する。

上記の項目 1)∼3)は,状況認識の様々な局面を含んでいる。設計においては,各局面を個別に表示しな

ければならない。

さらに細かいレベルにおいては,システム内とシステム間との両方に関して,情報その他のコード(メ

ッセージ,記号,略語,色など)

,システム操作動作(画面から画面への移動,ヘルプ,メニュー,ボタン,

キーなどを得る)

,コマンドの発行(選択,制御動作,確認,取消)が同じ方法で実行されるようにするこ

とが重要である。これらの間に不一致があると,最良の場合でも PES の使用速度が遅くなり,最悪の場合

には危険な運転の結果としてのエラーが引き起こされることがある。


28

F 8082

:2007 (ISO 17894:2005)

   

B.6.2.3

  個別ガイダンス

PES

開発の初期局面では,PES が利用者に提供する操作概念を定義し,明記することが重要である。利

用者によく知られている動作に基づいた操作概念(例えば,初期の船舶の機械的システムの性能又はほか

の PES や一般的な常とう(套)手段から引き出されたものなど)は,習得がより容易であり,そこでは異

常状態にある PES の応答を利用者が予測できるようになる。例えば,警報及び操船システムのような高リ

スク PES の利用者は,PES,装置及び船のトータルシステムに対する入力と出力間の関係について説明で

きる必要がある。

開発局面では,整合性を確保するために,一般的な人間工学の規準並びにシステムのインタフェースの

外観及び感触に対する具体的なプロジェクトスタイルに従うことが重要である。また,トータルシステム

の操作概念に対する実行細目の整合性を確保することも重要である。

障害を検知し是正する措置の実行では,

要求される PES の保全性とその利用の状況を考慮すべきである。

様々な技術が様々な障害をカバーすることができる。特に,様々なレベルでの障害補てん(填)が考えら

れる大規模 PES のスケーリング効果に関しては,個々の技術の設計意図を吟味する必要がある。

PES

は,新造船時統合する場合又は既存の船舶に新しいシステムを導入する場合には,PES 間の不一致

を回避しなければならない。こうすることによって,習得のための労力が削減されるし,情報の誤解から

生じる利用者エラー又は危険な結果をもたらすシステムからの一連の命令の実行から生じる利用者エラー

は回避される。

PES

の運用時には,システムのアップグレードその他の修正によって,動作,外観,感触の一貫性を維

持することが重要である。もちろん,そのような修正がシステムのある側面を取り除き,そのために動作

不能であることが発見されるものでない限り。

PES

を運用から外すときには,システムのうまくいった側面を文書化し,新しいシステム又は代替シス

テムの仕様作成に利用すると有用である。

B.6.2.4

  参照規格

[IEC 61069-1]

の 4.3.5,[ISO 9126-1]の 6.3,[MSC/CIRC.891]の 5.15.25.35.4 及び 6,[JIS Z 8520]

の 3.3 及び 3.5

B.6.3

  第 10 原則

B.6.3.1

  一般

P10

  PES と利用者間との相互作用は,利用者によって制御されなければならない。

B.6.3.2

  注釈

船舶用途における PES の利用者は,PES に関する素養,訓練度,一般的能力は様々である。PES の設計

でこれらの違いを考慮しない場合にはリスクにつながる。利用者が仕事を行うための柔軟性が不十分であ

ると,PES が誤用されたり,全く使用されなかったりすることがある。適切な制御性のための設計は,一

連の利用者知識,訓練及び技能,PES が提供する機能で遂行される一連のタスク及びタスクパフォーマン

ス要件(速度,精度,サポートに関する)に基づいたものとなる。

“利用者が制御できる”ということは,達成すべきタスクと利用者に割り当てられた機能という状況の

中で解釈しなければならない。利用者が PES の応答速度を遅くしたり出力を制限したりできるようにする

ことは,重要な情報が隠されることにつながり,適切な処置であるとは言えない。ただし,利用者が直接

管理しているタスクに関して,利用者が PES に支配されるということがあってはならない。すなわち,利

用者は,そのようなタスクに関する PES との対話を取り仕切ることができなければならない。このように

安全関連コマンド又は情報の修正を行った場合には,PES の保全性の再評価が必要になる。この点に関し


29

F 8082

:2007 (ISO 17894:2005)

て,不慣れな利用者に関連するリスクを考慮しなければならない。

B.6.3.3

  個別ガイダンス

制御性を補助するためには,PES コンソールが動きやすさを考慮した,適切な物理的スペースのような

人間工学に基づく機構を組み込んでいなければならない。対話を通じて各利用者グループをガイドし,情

報にアクセスできるようにし,必要に応じた十二分な表示及び制御をもたらすように PES を設計しなけれ

ばならない。

柔軟性が必要とされる代表的分野は,

フィードバック又は説明のレベル,

データ入力一連動作の再実行,

機能にアクセスする代替方法,利用者に提供される情報のレベル,共通制御行動のためのグループ項目の

方法である。要求される情報表示方式が,利用者グループによって異なる場合もある(例えば,装置状態

の図式表示又はテキスト形式表示)

。例えば,ポンプの作動状態を詳述したメッセージを必要とする利用者

もあれば,スクリーンシンボルの変化を見るだけで事足りる利用者もある。

場合によっては,利用者グループ又は個々の利用者による半永久的なカスタマイズが可能な PES を設計

することが必要とされることもある。この場合,インタフェースを標準セットアップに戻す迅速な手段が

常に必要とされ,非標準セットアップは適切なアクセス制御によって保護されなければならない。カスタ

マイズ化により船舶の安全な運転が危うくなるほどインタフェースが変更されることがないように,チェ

ックを行わなければならない。このことは,自動船位保持システム等の複合的制御システムで問題となる

ことがある。

グループ又は個人による安全関連システムの構成は,リスクの発生源となる可能性があるが,経験のレ

ベルが異なる利用者が効率的に操作を行うことを可能にし,熟練者用の設備を経験の浅い利用者や訓練を

受けていない利用者に提供することに伴うリスク(そこでは明らかに日常的なアクションが様々なシステ

ムアクションを引き起こすリスクがより大きい)を回避するものとなる。このような機構はアクセスコン

トロールによって保護されなければならない。パラメータの変更は,PES によって記録されなければなら

ず,依頼に応じて利用できるようにしなければならない。

B.6.3.4

  参照規格

[IEC 61069-1]

の 4.3.5,[EN 894-1]の 4.3,[MSC/CIRC.891]の 5.1 及び 5.2.2,[JIS Z 8520]の 3.3 及び 3.4

B.7

  タスクに関連しない特性

B.7.1

  第 11 原則

B.7.1.1

  一般

P11

  PES は,適正な設置及び保守管理(修復及び修正を含む)をサポートしなければならない。

B.7.1.2

  注釈

うまく構造化されたモジュール式設計は,この原則に合致するのに役立つ。PES 内のモジュール間の疎

結合という概念が役に立つ場合がある。そこでは,モジュールが物理的・機能的に互いに区別されている。

これはソフトウェアコンポーネントに関して特に重要であり,そのようなアプローチはソフトウェアの適

正な統合と制御された修正を補助する。

海上にあって専門的な設備やスタッフをすぐに利用できない状況において,PES に対する船上での適切

なサポートの問題について考慮する必要がある。船上予備部品の十分な供給と PES の保守において技術乗

組員を適切に訓練することが必要とされるかもしれない。

船上での保守と修理を行うための乗組員の能力に十分に配慮する必要がある。修理,交換可能なコンポ

ーネント,注意が必要なコンポーネントに関するガイダンスが,供給業者のサービススタッフによって提


30

F 8082

:2007 (ISO 17894:2005)

   

供されなくてはならない。

B.7.1.3

  個別ガイダンス

モジュール化と効果的な修正は,PES とほかのシステム間,及び(より低いレベルでは)PES を構成し

ているコンポーネント(ハードウェア,ソフトウェア,更に進めてサブシステム)間における慎重な機能

割当によってサポートされる。このことは,システム構成の階層的定義と最適設計とを目指したシステム

要素間の必要条件の反復的な相殺によって達成される。モジュールは疎結合されるべきであるが,内部的

には技術的な挿入や変更管理容易性のため,密結合を許容すべきである。モジュール間のインタフェース

は十分な文書化をすべきである。

文書と訓練には,日常保守と合理的に予想可能な保守が考慮されていなければならず,故障の場合に第

2

原則を確実に遵守するための十分なアドバイスが含まれていなければならない。

故障したコンポーネントの表示は様々な形を取り得る。重要な点は,表示のレベルを交換/修理アプロ

ーチに適合させることである。例えば,独立形 I/O ステーション又はキュービクルでは,どの回路又はコ

ンポーネントが故障したかを示そうとするよりも,どの回路基板が故障しているかを示すことだけの方が

適切であると考えられる。ローカル表示及びリモート表示は様々であり,例えばローカル LED 及びリモー

ト可聴式 VDU 形ディスプレイがある。変更又はその他の調査作業を行う乗組員の能力に関しては,十分

な注意が必要であり,製造業者からの正確で適切な文書(設置,操作及び保守の手順を含む)の提供が必

要とされる。

B.7.1.4

  参照規格

[IEC 61069-1]

の 4.3.7,[ISO 9126-1]の 6.5 及び 6.6,[MSC/CIRC.891]の 3.2.23.2.34.4 及び 6.1,[JIS X 

0170]

の 5.5.4 及び

附属書 D

B.8

  ライフサイクル活動

B.8.1

  第 12 原則

B.8.1.1

  一般

P12

  すべての PES ライフサイクル活動は,系統的に計画され構成されなければならない。

B.8.1.2

  注釈

システムのエンジニアリングに関するライフサイクルの役割は,現在十分に確立されており,船舶セク

ターでも認知されつつある。ライフサイクルは PES の揺りかごから墓場までのすべての活動をカバーする

ものであるが,仕様を規定する局面は関係者すべてにとって重要なものとなる。

この原則は,従うべきライフサイクルを定義することと,ライフサイクルは PES の開発,運転,保守の

ための方法的基盤を形成するということを強調している。ライフサイクルの効果的な実行を計画すること

の根本的な重要性も明確にされている。計画は,PES に関係するあらゆる側面(安全及び品質に関する問

題を含む。

)をカバーするものでなければならず,時宜を得た方法で達成されるべきである。さらに,ライ

フサイクル全体を通し必要なものとして,計画が“生彩的”に再考されるのがよい。そして,時宜を得た

効果的な再計画が行われるようにしなければならない。

ライフサイクルには,通常,必要に応じて次のような活動が含まれる。すなわち,要件の定義と分析,

設計,実現,統合,検証,使用への移行,妥当性確認,運転,保守,廃止である。しかし,サポート活動

の役割も定義されなければならない。サポート活動には,品質保証,計画機能,構成管理,独立評価が含

まれる。明確に計画され構成された活動を系統的に実施することによって,PES を使用に適したものにす

ることができる。これによって,PES が要件を満たしていることを確証するときに監査及び検査活動(特


31

F 8082

:2007 (ISO 17894:2005)

に,第三者によって実施される活動)が容易になる。

B.8.1.3

  個別ガイダンス

この原則とほかのライフサイクルの原則は,PES の信頼性に関与しているすべての組織に適用される。

したがって,PES 供給業者以外の当事者(船主,船舶オペレータ,造船所など)にも,自らの責務を考慮

し,選択された活動に対する系統的で計画されたアプローチを考慮することが必要とされる。

ライフサイクル計画には,トータルシステムの統合に必要な仕様を含めるのがよい。この計画では,PES

を作動状態にすることに関しての活動と試験のプログラムだけでなく,利用の状況においてトータルシス

テムが概念,要件,設計意図と合致していることの評価に必要とされる試験も取り上げる。これには,利

用者及び組織的・物理的環境と一体化された PES に関する信頼性のあらゆる側面が含まれる。

プロトタイピングは,コンピュータを利用したシステム開発において広範に用いられている方法である。

主たる用途は,PES 要件や初期の設計ソリューションを調査し,妥当性の確認を補助するためのツールと

してのものである。この役割が誤用されることがあり,プロトタイプコードが引き渡されたシステムで用

いられていることもある。そのため,プロトタイプシステムの目的と用途が認識・理解され,適用される

開発規制が定義され,プロトタイプ試験の結果が適切に報告されるように,プロトタイピング活動を慎重

に計画することが特に重要である。

B.8.1.4

  参照規格

[IEC 61069-1]

の 4.3,[MSC/CIRC.891]の 3.3.1,[JIS C 0508-1]の 7.17.87.97.167.18 及び箇条 8.

[JIS Z 8530]

の箇条 5.及び箇条 7.,[JIS Q 9001]の 5.55.6 及び箇条 8.,[JIS X 0170]の箇条 5.

JIS X 0170

B.8.2

  第 13 原則

B.8.2.1

  一般

P13

  要求される安全性が,すべてのライフサイクルを通した適切な活動によって実現できなければな

らない。

B.8.2.2

  注釈

基本的アプローチは,リスクに基づいた(そこでは危険要因が特定されている)ものでなければならず,

関連するリスクを評価し明確にしなければならず,必要であれば,リスク軽減手段を取って,PES の技術,

機能,利用の状況を考慮に入れた許容安全性レベルを達成するのがよい。規範的安全要件に基づいた代替

的アプローチが取られていることもあり,さっ(遡)及的評価ではこのことを考慮に入れるべきである。

これらのケースでは,PES に関する安全目標が認識され理解されていることと,それが法的要件や船舶セ

クターにおける現行の最良の慣行に基づいたものであることを証明することが重要になる。関係組織によ

るこの目標の明確な合意と承認を得ることが重要となる。

考えられる活動の範囲は広い。達成された安全性レベルを正当とする理由は,  分析,計算,専門家の同

意,局面検証活動,妥当性確認試験の結果から議論される。これには,例えば,サービス履歴証拠の分析

又はコンポーネントの試験が含まれることがある。一般的に,決められた開発と検証の手順を遵守するこ

とによってだけ,PES が要求レベルの保全性を満たすことを確信できると考えられる(次の個別ガイダン

ス参照)

。高リスクアプリケーションの PES の場合,設計,検証,妥当性確認の責務を分離する必要性が

重要となる。

この原則では,達成された安全性の独立した評価が要求されている。ただし,その独立のレベルは,PES

アプリケーションの重要度によって決まってくる。例えば,新しい機能や技術を取り入れている高リスク

PES

の評定では,外部の第三者の査定者を指名するのが適切であると考えられる。その他の場合には,同

じチーム内ではあるが,PES 自体の開発や修正にはかかわっていない者によって,評価の独立性がもたら


32

F 8082

:2007 (ISO 17894:2005)

   

されることもある。非安全関連機能に使用される PES の場合,この原則が関連するのは,PES から生じる

内在的な危険要因に適切に対処しなければならないという点だけである。

ライフサイクル全体を通じて,危険要因とリスク管理の記述を継続されねばならない。これは,危険・

リスク問題を解決する経過を記録する主要な方法である。記載される活動の範囲は,到達したライフサイ

クルの段階によって決まってくる。

B.8.2.3

  個別ガイダンス

実際の現場での使用や事後の修正を踏まえて,PES の重要度を再評価することが必要となることがある。

というのは,これが PES のリスク分類に影響する可能性があるからである。PES が本来の使用目的以外で

使用されている場合には,再評価が絶対的に必要とされる。特に,大きな修正や後付けのプログラムには

十分な考慮が必要である。

提供される安全機能と各安全機能とに求められる保全性の点から,安全要件を定められなければならな

い。そのような安全仕様は,PES の運転と保守を担当する組織によって維持される。

開発及び検証の手順に関する詳細なガイダンスは,参照規格,特に JIS C 0508-1JIS C 0508-2 及び JIS 

C 0508-3

の手段及び方法の表に示されている。

船舶の ISM 認可情報は,PES の運転安全性の側面に関する管理の証拠をもたらすことがある。

査定者の役割は設計・試験・検証活動に参加することではなく,達成された安全性のレベルを入手可能

な証拠に基づいて判断することであるという認識が重要である。これには一部の開発活動の精密な調査が

必要とされる場合があるが,そのことは目標安全性レベルと開発管理度のような要素に左右される。例と

して設置と試運転の局面が挙げられ,そこでは時間的に切迫した状況下で多数の修正が実行されている。

修正プロセスにおいて十分な信頼度が確立されていない場合には,

精密な調査が必要とされることがある。

B.8.2.4

  参照規格

[JIS C 0508-1]

の 6.27.47.57.67.87.16 及び箇条 8.,[ISO 9000-3]の 7.3.2 及び 7.3.3

B.8.3

  第 14 原則

B.8.3.1

  一般

P14

  人間中心の活動が,ライフサイクル全体を通して行わなければならない。

B.8.3.2

  注釈

基本的アプローチでは,PES の最終利用者のニーズを考慮すべきである。利用者中心であるためには,

耐用期間全体を通してシステムを使用する人々の要件に,初期から継続的に重点を置くことが必要とされ

る。このことは,ライフサイクルの段階に応じて様々な方法で達成される。

PES

の構想局面では,技術と乗組員をトータルシステムとして組合せる方法が考慮されるべきである。

既に同様の仕事をしている人々と協議することによって,システム目標を達成するために必要とされる仕

事を行う乗組員に対する影響が評価されなければならない。要件局面としては,代表的最終利用者に関し

て,適切な実証方法と協議方法を用いて,システムの利用の状況及び業務,タスク及びシステム人間工学

に関する要件が作成され,立証すべきである。開発局面では,関連する人間工学規格等の既存の人的要因

知識,設計チームでの利用者描写,代表的最終利用者に関する不完全又は完全プロトタイプの評定によっ

て,利用者に対する大局的な見方を考慮すべきである。システムが期待どおりに機能していることを確認

し,効率性,有効性,利用者の健康と安全に影響を及ぼす問題が発生していないか確認するために,シス

テムの耐用期間全体を通してフィードバックが収集されるべきである。

入力及びフィードバックを収集するときには,PES の最終利用者からの情報をなるべく直接的に得るよ

うにすることが重要である。個人的な偏見や好みを回避できる十分な数の最終利用者にプロトタイプ又は


33

F 8082

:2007 (ISO 17894:2005)

類似システムの実地体験をしてもらい,その意見を体系的な方法で収集するのが理想的なケースである。

その人たちが該当する最新の知識をもっている場合には,PES 開発プロジェクトでみられる様々なタイプ

の“利用者代表”

(例えば,販売スタッフ,資材購入係,プロジェクトへの出向者,海上などでの経験があ

るプロジェクトスタッフ)からアドバイスを求めることもできる。

B.8.3.3

  個別ガイダンス

人間中心の設計は,PES に関して身体や認識に関する人間工学を扱うだけではない。設計及び運転に関

するヒューマンシステムの問題に取り組む場合,船員の健康,安全及び福祉,PES の使用及び誤用が船舶

の安全に及ぼす影響,船舶システムの運転に必要な人の数,船舶システムを運転する人の訓練,船舶又は

システムの破滅的な故障のときの生き残り等がすべて考慮される。これらの事項を幅広い設計過程に組み

入れていくことが,人間中心設計プロセスの主要な部分となっている。

開発者は,PES に関するニーズの分析時や PES の開発時に利用者の観点を考慮に入れるべきである。

PES

コンポーネントの供給者は,一般的な人間工学の問題に対処し,コンポーネントが使用されるシス

テムの内容をできる限り確認すべきである。

システム統合に関する責任者は,トータルシステムの設計と試験に利用者のタスクを盛り込む。乗組員

を科学技術又はシステムエンジニアから切り離して考えるのではなく,科学技術,操作哲学,そして安全,

かつ,効率的に目標を達成する能力のある乗組員から構成される完全なワークシステムを設計すべきであ

る。

オペレータは,乗組員のコンピュータに関する能力レベルを知り,提供されている技術にスキルをつり

合わせるための訓練を行う。船舶の耐用年数は長く,多数のシステムが用いられているため,船員のタイ

プと経験に変化が生じてくると考えられる。また,規則の変更によって,乗組員の責任が変化する場合も

ある(

第 17 原則参照)。PES の設計では,利用者の能力及び必要性の変化に合う設計の修正,初期設計の

段階で柔軟性をもたせることによってこれらの変化を考慮に入れる必要がある。

船主は,代表的利用者の意見及び/又は能力を随時見直すことによって,PES の作動性を監視するのが

よい。そのような見直しが次の場合に行われるとき,最も有効である:システムの引渡し又は修正の直後

に,新しい船舶の採用時に,大きな修正を行う前のベンチマークの設定のために,更に PES が要因であっ

たかもしれないニアミス又は偶発的事件の後。

B.8.3.4

  参照規格

[JIS Z 8530]

の 5.25.35.45.57.3 及び 7.4,[JIS Z 8520]の 3.1.1

B.8.4

  第 15 原則

B.8.4.1

  一般

P15

  検証及び妥当性確認は,ライフサイクル全体を通して行わなければならない。

B.8.4.2

  注釈

検証は,PES のソフトウェアコンポーネントにとって特に重要であり,様々な方法を利用することがで

きる。動的実行(すなわち,試験)が一般に適用されているが,通常は,ソフトウェアパスとして実行可

能な小さなサブセットだけがそれに用いられる。ソフトウェアの正確さに関する更なる確信は,低レベル

において静的方法を適用することによって得られる。低リスク PES のソフトウェアには,コードウォーク

スルー又は検査を適用できる。高リスク PES の場合,更に厳密な方法には詳細な静的コード解析又はソフ

トウェアのフォールトツリー解析がある。特に検査活動に関して,検証者の独立性は明確でなければなら

ない。すべての検証に関して,明確な成功の判定基準がなければならない。例えば,各試験事例に関して

期待される結果を明記することや,コード検査に関してコーディング基準を挙げることが必要とされる。


34

F 8082

:2007 (ISO 17894:2005)

   

利用者要件の検証を行うのがよい。これには,プロトタイプ設計の準備及び評価,実際的条件下での代

表的利用者を用いた使用性試験と評価,そして妥当性試験が含まれる。海洋運転時の PES の実地性能に関

する情報を収集すべきである。

B.8.4.3

  個別ガイダンス

検証者に必要とされる独立性のレベルは(B.8.2 で説明されている安全性査定者の独立性と同様に)

,PES

アプリケーションの重要度によって決まる。外部の部門又は別の組織から独立した V&V(IV&V)チーム

を任命し,特に高いリスクを確認することが適切であると考えられる。その他の場合,例えば低リスク PES

のコード検査では,同じチームのプログラム設計者に個人の仕事を検査させたり,個人がチェックリスト

を対照してセルフチェックを行うことによって十分な保証が得られる。

運用中の PES の場合,新しい乗組員や訓練の変化とともに使用性が変わることがある。トータルシステ

ムの何らかの部分に大きな変更が加えられた場合には,使用性を再評価する必要がある。一方, PES を用

いて自分達の責任を確実に果たす新しい乗組員又は乗員メンバーの能力が確認される必要がある。

PES

のオペレータや製作者は,ライフサイクル中の PES の性能に関する情報を収集して分析しなければ

ならない。

この情報では,

故障やほかの PES やタスクとの衝突等の,

使用中の問題が扱われていなければならない。

また,その情報は技術的問題と利用者の総体的な見方に基づく使用性又は適用可能な問題が含まれていな

ければならない。

B.8.4.4

  参照規格

[MSC/CIRC.891]

の 3.3.27.17.3 及び 7.4,[JIS C 0508-1]の 7.17.14,及び 7.18,[ISO 9126]の箇条 5

[JIS Z 8530]

の 5.47.4.4 及び 7.5,[ISO 9000-3]の 7.3.27.3.17.3.47.3.57.3.67.5.1 及び箇条 8,[JIS 

Q 9001]

の 7.2.27.3.47.4 及び箇条 8.,[JIS Z 8520]

B.9

  品質システム

B.9.1

  第 16 原則

B.9.1.1

  一般

P16

  ライフサイクル活動にかかわるすべての当事者は,品質マネジメントシステムを保有及び使用し

なければならない。

B.9.1.2

  注釈

品質システムは,規定要件が満たされていることを保証するための重要な手段である。これは,関係す

る組織の規模及び複雑性に見合ったものであって,

PES

に関する活動を含んでいるべきである。

ここでは,

品質システムが定義され(例えば,文書化された手順によって)

,効果的に実現されること(例えば,品質

記録の存在によって)が重要になる。

品質マネジメントシステムによって管理された活動によって,設計及び製造時のシステム的なエラー

(ソ

フトウェア又はハードウェアの)が許容レベルまで最小限度に抑えられる。品質活動は品質計画で定義さ

れなければならない。品質管理活動の詳細度と複雑度は,開発中の PES に要求される保全性の機能を果た

すべきである。品質計画は,特定の PES に対して品質条件がどのように適用されるかを明確にすべきであ

る。この原則は PES の関係者すべてに適用される。その範囲は,安全管理組織,実地保守提供者などのサ

ポート組織又は製品/サービスの下請け業者にまで及ぶ。

B.9.1.3

  個別ガイダンス

ソフトウェアには固有の複雑さがあるため,試験結果だけに基づいた従来の方法でその動作を保証する


35

F 8082

:2007 (ISO 17894:2005)

ことは困難である。COTS 製品に基づく,複雑度の高い,階層化され,ネットワーク化された PES は,ラ

ンダムに発生する故障を表すことがある。

(通信エラー,バージョン不適合,動的構成の影響等の結果とし

て)ソフトウェアが被るのは,ランダムな故障ではなく,設計不良による系統的(発生すべくして起こる)

故障だけである。そのため,設計と構成を系統的に行うプロセスによる障害を回避する証拠は,ソフトウ

ェアコンポーネントに特に関係がある。

品質システムは,

そのような証拠提供のための重要な要素となる。

ソフトウェアに対する品質保証活動と品質保証方法の具体的なガイダンスが参照規格に示されている。

公認評価機構による品質システム証明が広範に用いられており,本原則に対する適切な証拠とすること

ができる。ただし,証明の範囲が妥当なものであって,品質システムを実際に当該 PES に適用すべきであ

る。

品質システムのしばしば見落とされる面は,ライフサイクル局面を通して,より早い時期の反復,解釈

法から得られる教訓をフィードバックする統計データに基づく予防処置である。通常そのような処置は,

長期的な意図をもったものであるが,ある特定の PES の開発,製造,保守の改善に効果的に利用すること

ができる。例えば,単体試験時に見つかった欠陥の分析によって,要件指定局面や設計検討プロセスでの

弱点に光が当てられることがある。修正実行時に立ち戻る以前に,このような弱点が指摘されることがで

きる。

B.9.1.4

  参照規格

[IEC 61069-1]

の 4.3.7

[JIS C 0508-1]

の 4.1 及び 7.1.3.2

[ISO 9000-3]

の 4.1

箇条 及び箇条 6

[JIS Q 9001]

箇条 4.,箇条 5.及び箇条 6.,[JIS Z 8520]

B.9.2

  第 17 原則

B.9.2.1

  一般

P17

  ライフサイクル全体を通して船舶システムに必要な既存の必要要件が,考慮されなければならな

い。

B.9.2.2

  注釈

一連の既存の要件を個々のどの船舶用 PES にも適用することができる。これには,例えば SOLAS 又は

STCW

条約などの国際及び国家レベルの法的要件が含まれる。等級分けのための技術要件の適用可能性も

考慮する必要があり,社会のルールを使用のためや参照のために利用することができる。

更なる要件の根源は,国際及び国家レベルで公表されているアプリケーションを特定した基準である。

これには,提供される機能などのアプリケーション関連要件と PES コンポーネントが用途に適しているこ

とを保証する手段等の技術関連要件が含まれる。例えば,JIS F 0812 で定義されている航海装置と通信装

置にとって特に必要なものである。

どの規準,規則要件,法的要件を PES が満たさなければならないか,そして適合が要求される場合には

それを明確に定義できるように,起源をたどることのできる証拠でそのことを証明しなければならない。

そのような要件への適合が外部機関による認証を条件とすることがあるため,

このことは特に重要である。

B.9.2.3

  個別ガイダンス

船舶に関する様々な要件の適用可能性及び重要性は,関係する組織によって異なってくる。例えば,船

主又は造船所は,特に著しい運転への影響が予想される場合に,利用の状況に関して PES が対象となる法

規(SOLAS など)に特別な注意を払うことになる。同様に,STCW によって,利用者と一部の PES の関

係について特別な要件が効果的に並べられることがある。供給業者にとっては,IEC 61209IEC 61162 

び JIS F 8076 の計画されている改正などの,

現存又は草稿段階の技術規格がより重要になると考えられる。

PES

に関係する現存の認証又は報告は,独立した保障をもたらすことによって,この原則に対する有用


36

F 8082

:2007 (ISO 17894:2005)

   

な証拠を形作ることができる。これには,型式承認や品質管理システム承認のための認証及び,一回限り

の分析又は調査の報告が含まれる。関連する国家法規(例えば,EU 指令)への適合も考慮の対象となる。

一部の規則要件は時間とともに変化する。PES の設計では,変化を考慮して整合性を維持しなければなら

ない場合がある。

B.9.2.4

  参照規格

[IEC 61069-1]

の 4.3.7,[JIS C 0508-1]の 7.2.2.4 及び 7.4.2.9,[JIS Z 8530]の 7.2 及び箇条 8.

B.9.3

  第 18 原則

B.9.3.1

  一般

P18

  PES ライフサイクル活動は,すべて効果的に実施されるように,適切な文書を作成しなければな

らない。

B.9.3.2

  注釈

PES

ライフサイクルの各局面は,

“入口”及び“出口”基準を用いて特徴付けられなければならない。提

出計画に従って,各局面内で適切な文書が作成されなければならない。文書は,機能,運転,安全,品質

に関する要件に特に重点を置いた,入口/出口基準の達成を証明するものでなければならない。

この原則では,ライフサイクル活動の適切な記録を作成し保持することが要求されている。これらの記

録は,そのような活動(特に,PES の安全性と品質に関するもの)が成功裏に成し遂げられたことを証明

すべきである。

この原則は,実態性のない性格のゆえに,ソフトウェアコンポーネントにとって特に重要である。通常,

ソフトウェアは,ソースコード又はその同等物として見られるだけである。しかし,ソフトウェアの ISO

定義(4.10 参照)はもっと幅広く,設計説明書,利用者マニュアル等の関連文書をすべて含むものである。

ソフトウェアには物理的特性がないため,重要な機能動作の説明と証明がなされることになる。この点

において,特に高リスク PES にとって,ドキュメント間の明確なトレーサビリティを実現することが重要

となる。これは,例えば,様々なレベルの設計説明書間のトレーサビリティであったり,妥当性確認試験

から特定の要件条項までのトレーサビリティであったりする。要件をトレースするためには,PES ライフ

サイクル全体を通して,すべての PES 要件をそれが扱われている文書に関連付ける要件追跡システムを確

立することが推奨される。

B.9.3.3

  個別ガイダンス

ソフトウェアの性質上,試験結果だけに基づいた従来の方法でその動作を保証することは困難である。

そのため,設計と構成の系統的プロセスの文書による証拠は,ソフトウェアコンポーネントにとって特に

重要である。例えば,完全で追跡可能な設計説明書一式は重要な一連の証拠となるが,これらは効果的な

製造プロセスを示す適切な検証記録で裏付けられていなければならない。

特にサプライチェーンを通しての引き継ぎがどのように達成されるかについて,関係組織の文書責務を

明らかにしておく必要がある。例えば,引渡しと試運転後の現職研修や修正時である。

運転,保守,構成管理活動に関する要件はほかの原則でも扱われているが,関連ドキュメントの更新,

変更記録の維持,変更後の再試験結果の記録の必要性を規定しているのはこの原則である。

主要な PES ライフサイクルドキュメントのチェックリストを

附属書 に示している。

B.9.3.4

  参照規格

[IEC 61069-1]

の 4.3.5,[MSC/CIRC.891]の 3.3 及び 5.1,[JIS C 0508-1]の 7.17.47.57.147.18 及び

8.2

,[JIS Z 8530]の 7.4 及び 7.5,[JIS Q 9001]の 7.3

B.9.4

  第 19 原則


37

F 8082

:2007 (ISO 17894:2005)

B.9.4.1

  一般

P19

  ライフサイクル活動の責任者は,その責任を果たす能力をもたなければならない。

B.9.4.2

  注釈

これは一般によく理解されている分野である。要員は割り当てられた職務を果たせなければならず,適

切な選択,教育,訓練や経験によって能力が実証されることができる。この原則はライフサイクルのすべ

ての要員に適用され,PES 利用者の能力も含む。試験に参加する利用者にも適切な経歴と訓練が必要であ

る(すなわち,そのような利用者は実際の利用者グループの能力を代表するのがよい)

要求される能力の範囲には,応用分野,安全技術,使用される特定の技術,法律と規制要件が含まれる。

関係する要員グループに関して,教育,訓練,経験による適切な複合的能力をもっているかどうかが実証

されるべきである。幾つかの重要な能力がすべてのメンバーに必要とされる場合もあるし,一人の個人だ

けが能力をもっていればよい場合もある。例えば,PES 開発チームの一人の人間が該当する SOLAS 要件

に関する詳細な知識をもっている場合などである。肝心なことは,自らの能力範囲や能力レベル以上の仕

事を行う者がいないようにすることである。

各 PES に関して,重要な職務(乗組員,安全性査定者,システム構築業者,システムエンジニア,PES

開発者,安全管理者,保守管理者)の責任と,そのような責任が果たされる方法が各 PES に関して定義す

べきである。

通常,ライフサイクルのあらゆる段階における複雑及び/又は危険な状況の管理は,一人の人間ではな

くチームによって実現される。適応したチームの立案と運営及びそのようなチームに寄与するスタッフの

選択と訓練を,適切に計画,準備,管理する必要がある。

B.9.4.3

  個別ガイダンス

高リスク PES の場合,関係する要員の開発及び運転に関する能力レベルは,相応に高いものでなければ

ならない。これには,能力レベルを一層厳密に判断し,その達成を実証することが含まれねばならない。

独立した安全性査定者には,そのような能力の確認が必要とされる。この場合の高リスク PES には,新し

い機能又は技術を取り入れている PES が含まれる。ここで新しいとしているのは,一般的に言って,例え

ばニューロコンピュータを利用したもの又は現存の製品を新しい用途に利用したもののことである。

能力は,組織の規模に応じて様々な形で定義される。大きな組織では,熟練したスタッフを養成するた

めに企業レベルのスキーム及び訓練を行うことができる。小さな組織の場合は,専門的能力開発スキーム

などの外部運営のスキームの方が適切であると考えられる。

スキルが評価されない経験が一般的に見受けられるが,PES 開発のような急速に変化する技術環境にお

いてはリスクになる場合がある。一般的職務又はスタッフ等級に対する能力定義の利用が有効であると考

えられる。

組織内のものであれ,国家の認可スキーム(船舶関係の例としてはイギリスの船舶スタッフ認可スキー

ムがある)であれ,そのような定義は PES に携わっているチーム業務を比較できる有用な基準となる。

あまり理解されていないと考えられるものに,乗組員の補充についての変化しつつある技術の影響があ

る。利用者訓練の技術的仕様に関しては,第 4 原則及び第 14 原則(B.4.2 及び B.8.3)のガイダンスを参照

されたい。PES の耐用期間全体を通して PES を使用する能力をもった十分な数のスタッフを供給していく

のは運航者の責任である。

B.9.4.4

  参照規格

[IEC 61069-1]

,[JIS C 0508-1]の箇条 5.,[ISO 9000-3]の 6.2.2,[JIS Q 9001]の 6.2.2

B.9.5

  第 20 原則


38

F 8082

:2007 (ISO 17894:2005)

   

B.9.5.1

  一般

P20

  PES 構成は,ライフサイクル全体を通して確認し管理しなければならない。

B.9.5.2

  注釈

この原則のソフトウェアに関する側面に特に注意する必要がある。というのは,この側面への対処が不

十分であることがあるためである。基本的な条件は,どのソフトウェアコンポーネントが PES を構成して

おり,どのバージョンが規定の設備又は構造に関係しているか(構成確認)を明らかにすることである。

この必要条件は供給されたソフトウェアの一部である COTS コンポーネント(オペレーティングシステム

又はライブラリファイルなど)にも適用される。

ソフトウェアコンフィギュレーション(構成)活動の範囲及び深度は,ライフサイクル全体を通して変

化する。例えば,ライフサイクルの初期には,主に機能仕様の文書管理に関する活動となるが,後期にお

いては,試験時又はシステム修正時のコンフィギュレーション管理の証拠が必要とされる。

この点では,特に構成記録に関して,すべての当事者責任の共通理解が必要とされる(例えば,どこで

どのようにして構成記録が維持されるか)

B.9.5.3

  個別ガイダンス

PES

識別に関する詳細レベルは,システムの複雑性と構造及び情報用途に従ったものとなっていなけれ

ばならない。例えば,オペレータにはソフトウェアシステム全体のリリースレベルの理解と記録だけが必

要となるが,供給業者は全部の構成要素の部品について詳細なものを管理することになるだろう。

一連のソフトウェアバージョン間で,ディレクトリ,補正因子,トリップレベル,設定値情報等のデー

タファイルが保持される必要がある場合がある。コンフィギュレーション管理には,そのようなレガシー

(遺産)データが含まれなけばならない。

ハードウェア,ソフトウェア,データをカバーする統合構成管理システムの有益性が考慮されねばなら

ない。

B.9.5.4

  参照規格

[MSC/CIRC.891]

の 3.3.3,[ISO 9000-3]の 7.3.77.5.1 及び 7.5.3,[JIS Q 9001]の 7.5.1,[ISO 10007]


39

F 8082

:2007 (ISO 17894:2005)

附属書 C 

参考)

船舶用 PES のライフサイクルに関するガイダンス

C.1

  序文

ライフサイクルとは,システムの製造と運用を補助するメカニズムである。ライフサイクルは,一連の

段階を経由して進行する。各段階は,一つ又は複数のプロセスの実行によって達成される。プロセスでは,

作業所産や出力が使用され生成される。出力の多くは,文書の形で情報を構成する。この附属書のリスト

には,PES のライフサイクルの主要な技術段階とプロセスが示されている。

箇条 に示されている原則の背後にある考え方は,PES の耐用期間全体を通して,リスクの評価に注意

を払い,品質と利用者の課題に重点的に取り組むことによって,PES の信頼性を確立できるというもので

ある。その結果,PES のライフサイクルに関する要件を定めた原則が多くなっている。これらのライフサ

イクル原則に適合するための方法は色々ある。そのうちの一つのアプローチに関するガイダンスを以下に

概説している。

これは,

各段階の目的と出力が定義された一般的なライフサイクルに基づいたものである。

このアプローチでは,原則の達成に関するプロセス及び文書に重点が置かれており,安全関連船舶用 PES

に特に適したものとなっている。このアプローチは,PES に関係する危険要因がないことを証明するメカ

ニズムをもたらすものであるため,非安全関連とみなされる PES にも適している。

C.2

  ライフサイクル段階

PES

ライフサイクルの技術段階を

図 C.1 に示している。各段階の目的,主要活動,入力,出力に関する

説明を

表 C.1 及び表 C.2 に示している。また,三つの主要プロセス(管理,検証,妥当性確認)を示して

いる。これらは,ライフサイクルの各段階で実行される。PES の欠陥は,検証プロセスと妥当性確認プロ

セスで特定される。したがって,これらのプロセスを最も早い段階で開始し,ライフサイクルのすべての

段階に適用し,ライフサイクル全体を通して継続しなければならない。

図 C.1 には,検証と妥当性確認で特定された欠陥に起因するライフサイクル段階の反復は示されていな

い。そのような反復が必要とされる場合,その前のどの段階(ライフサイクルの始まりを含む)も反復の

対象となる。軽微な問題や変更に伴う反復では,現在の段階の開始点に戻ればよいだけの場合もあるが,

より重大な問題に関しては,

“要件定義”

段階や

“ニーズ特定”

段階まで戻らなければならないこともある。

欠陥とその是正の間にある段階が一つ増えるごとに,

欠陥を修正するためのコストが約 10 倍に増大するた

め,要件と開発中 PES の間の不一致を早い段階で特定することが重要である。PES 運用時(例えば,PES

やその操作手順の変更による。

)又は交換時のライフサイクルの後期段階での反復が

図 C.1 に破線で示され

ている。

プロセスグループの周りの点線ボックスは,ライフサイクル中の責務の標準的な割り当てを示している。

実際には,当該組織の別の組合せで実施される場合もある。

このライフサイクル及び添付の説明は,主として,JIS C 0508-1-3JIS Z 8530BSI 5515 及び IEE 1990

に示されている要件に基づいたものである。ここでは,PES の開発及び運用で必要とされる,ビジネス,

ネゴシエーション,要員,品質,リスク管理の活動は扱われていない。これらの活動は,人工のシステム

に関しては JIS X 0170,ソフトウェアに関しては ISO/IEC 12207“ソフトウェアサイクルプロセス”

(及び

その修正票)で扱われている。


40

F 8082

:2007 (ISO 17894:2005)

   

表 C.1 及び表 C.2 の出力で明らかになった案件については,附属書 に記述する。

設計

試験

構築

供 給 業 者

計画及 び 管 理

要件定義

機 能の特 定

受入 試験

設置及び 調 整

造 船 所 又は

シ ス テム イ ン テグ レー タ

新造船

概念 定義

廃棄

運転中 の サポ ー ト

変更

改修

ニー ズ の 明確 化

船 主 /オ ペ レー タ

妥当性 の 確認

検 証

段 階

プ ロ セ ス

順 序

可 能な 順序

責 務 の割 当

図 C.1PES ライフサイクル段階

船主/オペレータ

責務の割当て


41

F 8082

:2007 (ISO 17894:2005)

表 C.1PES ライフサイクル段階

次の段階は,信頼性の高い PES の定義,開発及び運用時に存在する。

段階

別名及び内容

目的

主要入力

主要出力

ニーズの明確化

初期要件

ニーズ分析

概念形成

用途の変更

PES

の潜在的購入者の PES に対する

ニーズの絞り込み。

新システムの提供,老朽 PES の交換,
新技術の研究,既存システムから得た

経験の導入。

新規又は交換 PES に関係する安全性,

セキュリティ,乗組員課題を重点的に
取り扱う。

このプロセスは船主/オペレータに
よって実施される。

企業戦略

乗組員,市場,技
術予測

交換要求

法的要件

ビジネス要件

利 用 の 状 況 ( 予
測)

システム戦略(概
要)

概 念 及 び 範 囲 説

概念定義 PES 概念

PES

フ レ キ シ ビ

リティ

事前入札

概念定義が新 PES の選択,購入,開

発の確約に先行する。概念定義では以
下を行う。

―  PES に関係する危険要因と付随

リスクを特定する。

―  利害関係者,そのタスク,PES を

運用する組織的・物理的環境の特
性を特定,明確化,記録する。

―  次のライフサイクル活動を良好

に遂行できるようにするために,

PES

,その利用者,境界,環境,

当該要件を十分に理解する。

システム戦略

プ ロ ジ ェ ク ト 範

法規

競 争 相 手 の シ ス
テム

目 的 を 達 成 す る
た め の そ の 他 の
関連情報

概 念 及 び 範 囲 説

危 険 要 因 及 び リ

ス ク マ ネ ジ メ ン
ト説明

利用の状況

入札勧誘

要件定義 PES 要求仕様

完全で正確で明確な PES の機能的/
非機能的要件の定義。

PES

を購入又は利用する組織と PES

の当事者(利害関係者)の要件の確立。

このプロセスでは,システムの各利害
関係者のニーズ,能力,作業環境が十
分に考慮される。

概 念 及 び 範 囲 説

危 険 要 因 及 び リ
ス ク マ ネ ジ メ ン
ト説明

プ ロ ジ ェ ク ト 範

利用者代表

工業規格,国家及
び国際規格

利用の状況

要求仕様書

利 用 の 状 況 ( 改

定)


42

F 8082

:2007 (ISO 17894:2005)

   

表 C.1PES ライフサイクル段階(続き)

段階

別名及び内容

目的

主要入力

主要出力

設計

PES

の 設 計 及 び

開発

設計研究

システム設計

機能設計

設 計 ソ リ ュ ー シ

ョン

ハ ー ド ウ ェ ア 及

び ソ フ ト ウ ェ ア
の詳細仕様

規定要件に合致する PES の設計。最

先端の手法,供給業者その他の利害関
係者の経験と知識,利用の状況分析の
結果に基づいた図面。

PES

を要求どおりに機能させるため

の,操作,保守,訓練,サポート,そ

の他の手順の設計。

保全性試験アプローチ及び製品の開

発。

要求仕様

利用の状況

規則

作 業 規 格 及 び 作

業標準

法規

評価報告書

設計文書

統 合 及 び 試 験 仕

乗 組 員 の 訓 練 ニ
ーズ

サポート計画

構築

PES

の 設 計 及 び

開発

プログラム開発

コーディング

(COTS)選択

カスタマイズ

パラメータ化

ハードウェア,ソフトウェア,訓練,

手順に関する PES の構成要素の製造
又は購入。

PES

の構成要素には,ハードウェア,

ソフトウェア,操作説明書,文書,運
転及び保守手順,訓練,サポートサー

ビスが含まれる。

設計

文書 
運転/保守手順

PES

文書

運転/保守手順

試験

PES

の 統 合 と 試

アセンブリ

規定要件に従った PES 構成要素の導
入,統合,試験。

この段階にはソフトウェアの披露に
関係する活動が含まれる。

PES

構成要素

設計文書

統 合 及 び 試 験 仕

統合された PES

統合試験報告書

統合試験記録 

設置及び調整 PES の 設 置 及 び

調整

実現

新 シ ス テ ム へ の
移行(カットオー

バー)

妥当性が確認された PES の設置と調

整。

システムのサポートと実現について,

人−システムの側面を確立する。

注記  乗組員再編成の結果,トータル

システムの利用者構成要素に
関して,訓練を介した“再試運
転”が必要とされる場合があ

る。

妥 当 性 が 確 認 さ

れた PES

利用の状況

要求仕様

設置計画

利害関係者代表

訓練資料

サポート計画

設置された PES

訓 練 を 受 け た 利
用者


43

F 8082

:2007 (ISO 17894:2005)

表 C.1PES ライフサイクル段階(続き)

段階

別名及び内容

目的

主要入力

主要出力

受入試験

海上試運転

顧客受入試験

ソ フ ト ウ ェ ア 評

PES

が利害関係者の要件を満たして

いることを証明するための評価。

この段階にはシステムの引き渡しが

含まれる。

設置された PES

妥 当 性 確 認 及 び
受入試験仕様

受 け 入 れ ら れ た

PES

受入試験報告書

受入試験記録

運 転 中 の サ ポ ー

PES

の 運 転 及 び

保守

設計後サポート

PES

の運転及び保守を行って要求さ

れる信頼性を維持。

注記  この段階で得られた情報が,類

似した船舶に搭載される同等

PES

の概念定義の一部として

用いられることがある。

設置された PES

運 転 及 び 保 守 手

PES

マニュアル

サポート計画

運 転 及 び 保 守 記

監視記録

廃棄 PES 廃棄 PES を撤去し運用から外す。

注記 1  この段階で得られた情報が,

類似した船舶に搭載される

同等 PES のニーズ定義に用
いられることがある。

注記 2  PES の一部のコンポーネント

(構成要素)が交換システム
の一部として再利用される

ことがある。例えば,通信ケ
ーブルがより高速で広範な
ネットワークの一部として

再利用されることがある。

廃棄要求

廃棄報告書

廃棄記録


44

F 8082

:2007 (ISO 17894:2005)

   

表 C.2PES ライフサイクルプロセス

次のプロセスは,信頼性の高い PES の定義,開発,運用時に必要に応じて実施される。

段階

別名及び内容

目的

主要入力

主要出力

計画及び管理 PES 開 発 の 計 画

及び管理

PES

妥 当 性 確 認

計画

人 間 中 心 プ ロ セ
スの計画

必要とされる技術,品質,安全性,人
間中心活動をシステムライフサイク

ル全体に統合する方法を規定。

すべての PES 要件を対象とした実行

可能な PES 妥当性確認計画を作成。

概 念 及 び 範 囲 説

契約条件

要求仕様

利用の状況

プ ロ ジ ェ ク ト 計

設置計画

妥当性確認計画

妥当性確認 PES 妥当性確認

PES

評定

評 価 要 件 及 び 対
照した設計評定

PES

が PES 要件を満たしていること

を確認し,PES が利用者,タスク,環
境の要件を満たすようにする。

このプロセスを用いて,発展途上にあ
る設計に関してフィードバック情報

を収集する場合がある。このフィード
バック情報は,最終利用者その他の代
表的関係者から収集される。

妥当性確認計画

要求仕様

プ ロ ジ ェ ク ト 計

利用の状況

規格,法規

利用者

妥 当 性 確 認 さ れ
た PES

妥 当 性 確 認 報 告

妥当性確認記録

検証 PES 検証

規定局面の所産の試験と評定を行い,
その局面の入力との関係における正

確性と整合性を保証する。

局 面 に よ っ て 異
なる

検証報告書

変更 PES 変更

ソ フ ト ウ ェ ア 保

要求される信頼性を維持しながら,

PES

の是正,機能向上,改造を行う。

機能向上又は改造が著しい変更をも

たらす場合には,PES 変更活動によっ
て,より初期のライフサイクル局面
(概念局面を含む)に戻ることがあ

る。

監視記録

変更要求

変更承認

変更報告書

変更記録

変更の受諾

改修

代替 PES を廃棄し,代替 PES を設置する。 監視記録

代替要求


45

F 8082

:2007 (ISO 17894:2005)

附属書 D 

参考)

船舶用 PES ライフサイクル出力のチェックリスト

D.1

  序文

ライフサイクル段階及びプロセスでは,作業所産や出力が使用され,かつ,生成される。出力の多くは,

文書の形で情報を構成する。これらの段階やプロセスが生み出す主要な出力の内容を

表 D.1 に示している。

この規格に示されている PES の信頼性に対するアプローチは,PES の耐用期間全体を通して品質,リス

ク,利用者ニーズを考慮に入れたライフサイクルに従うことを基礎としている。PES ライフサイクルの管

理では,適切な情報の提供と維持が重要な要素となる。適切なライフサイクルが進行していることの証明

の根拠としてこのチェックリストを利用することができる。

ここでは,PES ライフサイクルの契約的,法的,商業的側面に関する出力は説明していない。これらの

面から見た文書の詳細は BSI 5515IEE 1990 及び ISO 15504 に示されている。

表 D.1PES ライフサイクル出力の要件

出力

要件及び内容

参照

設置された PES

運転可能な状態にある,設置され運用開始された PES

統合された PES

設計文書の要件を満たす,完全に機能している PES

概 念 及 び 範 囲 説

PES

の了解事項と PES が使用される環境を記録する。

制御対象装置,要求される制御機能,物理的環境の定義: 
―  考えられる危険要因発生源の記述と確定された危険要因に関する情報

―  現行の安全規則に関する情報 
―  他の制御対象装置との相互作用に起因する危険要因の特定 
―  危険要因/リスク分析時に考慮に入れる外部的事象の指定

―  個々の危険要因に関係するサブシステムの指定 
システムの利害関係者の分析とその関与度。 
人と組織の影響度評価。

考慮すべき事故誘導事象の種類の特定。

JIS C 0508-1 

7.2.2.6

及び

7.3.2.5

利用の状況

トータルシステムのコンポーネントで PES の一部ではないものの説明。

PES

が作動するソフトウェアとハードウェアの構造基盤。

PES

がデータとコマンドをやり取りしなければならないシステム。

PES

が作動する物理的環境。

対象とする最終利用者の特性(スキル,訓練,身体能力,責任レベル等)

最終利用者が行うタスク(PES の保守を含む)

利用者が PES を使用する組織的・社会的環境。

JIS Z 8530 

7.2

廃棄報告書 PES 廃棄プロセスの詳細を記録する。

廃棄活動詳細の時間的流れに沿った記述。

廃棄計画への言及。 
廃棄影響度解析への言及。

JIS C 0508-1 

7.17.2.7


46

F 8082

:2007 (ISO 17894:2005)

   

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

設計文書

全体的構造とコンポーネント詳細(ハードウェア及びソフトウェア要素)に

関して要求仕様を満たす PES 設計を定義し正当性を証明する。 
設計は要求仕様から引き出され,要求仕様にさっ(遡)及する。 
設計は安全機能と非安全機能間で独立性を実現する方法を指定する。すなわ

ち,異なる SIL での安全機能の実現方法。 
設計文書は SIL 達成に必要な技術と方法を特定する。 
設計文書は,要求される SIL を満足する統合セットを形成するために選択さ

れた技術と方法の正当性を証明する。 
基本設計概念は耐障害性,診断範囲,試験基準に関する要件を満たす。 
利用者と PES 間の機能割当の詳細。

対象とする組織と運用構造。

PES

の使用に関するタスクモデル。

利用者システム相互作用の仕様。

SIL4

に関しては,コンポーネントのハードウェアの詳細な定量的信頼性分析

によって基本設計概念の正当性が証明されなければならない。 
設計は系統的障害を制御する機能を指定する。

設計はテスト容易性と保守性の問題を扱う。 
各サブシステム/コンポーネントに関する設計/試験仕様をもつサブシステ
ム/コンポーネントの重層構造に分解された設計。

明確に特定され完全に文書化されたサブシステム/コンポーネント。 
設計はコンポーネントのディレーティングが用いられた箇所を示す。 
特定され,評定され,詳述されたすべてのハードウェアとソフトウェア相互

作用の重要性。 
使用されている規格その他の出典と,それらがどのように取り入れられてい
るか(又は,該当する場合には,なぜそれらに従っていないか)

次の証拠: 
―  失敗の導入防止を補助するため,設計時に適切な方法と技術が用いられ

―  適切な設計方法が用いられる 
―  保守管理手順が設計で明示されている 
―  自動試験ツール及び統合開発ツールが適切な場合に使用されている

―  ソフトウェア設計時に失敗の導入防止を補助するソフトウェア工学の手

順と技術が用いられている

―  プロトタイピング活動が主要要件をカバーし優良事例に準拠したものに

なることを保証する処置が取られている

―  PES の改良と改善のためにプロトタイピングと利用者入力が用いられて

いる

JIS C 0508-2 

7.4.2

及び 7.4.9.1

BS EN 61069-2

の 6

ISO 9000-3 

7.3.3

JIS Z 8530 

7.4

JIS C 0508-3 

7.4.2

7.4.3 及び

7.4.5

危 険 要 因 及 び リ
ス ク マ ネ ジ メ ン
トの説明

危険要因とリスク分析活動の情報と結果を記録する。 
特定された各危険事象とその一因となるコンポーネントの定義。 
各危険事象が関係する事象シーケンスの結果と公算の定義。

各危険事象の予測されるリスクの定義。 
危険要因とリスクの軽減又は除去のためにとる手段の定義。 
リスク分析時になされた予測されるデマンド率や設備故障率を含む推定の記

録。 
操作上の制約又は人間の介入に関してとられる信頼の定義。 
各ライフサイクル段階で PES に関係する主要文書への言及。

JIS C 0508-1 

7.4.2.10


47

F 8082

:2007 (ISO 17894:2005)

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

設 置 及 び 調 整 報

告書

PES

の設置と調整の結果を報告する。

設置活動の記録。 
調整活動の記録。 
故障報告書への言及。

故障と不適合の解決の記録。

JIS C 0508-1 

7.13

ISO 9000-3 

7.5.1

及び 8.2.4

統 合 及 び 試 験 仕

PES

のコンポーネントを統合する方法を定義し,統合された PES が設計文書

を満たしていることを証明する試験を特定する。

実施する統合試験を特定する。 
試験によって,PES の設計文書への適合が証明される。 
試験によって,すべてのモジュールが正確に相互作用して意図する機能を果

たし,意図しない機能は果たさないことが示される。 
従うべき手順を特定する。 
試験環境を特定する。

ツールを特定する。 
試験構成を特定する。 
試験範囲に焦点を充てる。

特定されたハードウェアにソフトウェアを結合する。 
特定されたモジュール/センサ/アクチュエータを統合する。

JIS C 0508-2 

7.4.7.5

ISO 9000-3 

8.1

及び 7.6

統合試験報告書

すべてのレベル

(コンポーネントと全体)の統合試験の条件と結果を報告する。

設計局面で決定された目的と判定基準が満たされているかを示す。不合格の
理由を示す。

報告書は監査可能である。 
使用された統合と試験仕様のバージョンを示す。 
試験された PES のバージョンを示す。

使用されたツールと装置及び校正データを示す。 
各試験の結果を示す。 
期待された結果と実際の結果との間の不一致を特定する。

不一致発生時に実施された分析となされた決定を記述する。 
修正に関するインパクト調査に取り組む。

JIS C 0508-2

ISO 9000-3 

8.2.4

8.3

及び 8.4

JIS Z 8530 

7.5.7

記録:

運転及び保守

監視

修正

関連する開発活動と各段階で使用される情報源の時間の流れに沿った記録を
提供する。 
時間的順序に従った事象に関する情報を提供する活動の記録。

運転及び保守記録には次が含まれる。 
―  安全性監査及び安全性試験の結果 
―  実際の運用における安全関連 PES に対するデマンドの回数と原因の記録

―  それらデマンドの対象となったときの安全関連 PES の動作の記録 
―  日常保守時に検出された障害の記録 
―  PES と制御対象装置に加えられた修正の記録

監視記録は使用されているシステムの動作を記録する。 
―  監視基準,プログラム,追跡プロセス,記録期間 
―  規定プロセスからの逸脱と逸脱の理由

―  法的要件からの逸脱と理由 
―  将来的開発プロジェクトのための情報 
修正記録には次が含まれる。

―  すべての修正と改装の記録 
―  修正要求の参照 
―  影響分析の参照

―  PES の再検証及び再妥当性確認と結果の参照 
―  修正活動の影響を受けたすべてのドキュメントの参照

JIS C 0508-1 
附属書 表 1,附
属書 表 2,附属
書 表 37.15.2.3
及び 7.16.2.7

JIS Z 8530


48

F 8082

:2007 (ISO 17894:2005)

   

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

修正報告書 PES に関するすべての修正要求と監視調査とその後の分析と進ちょく(捗)

状況を記録する。 
修正又は変更の指定。 
修正が PES,利用者,環境に及ぼすインパクトの分析。

変更承認。 
変更進ちょく(捗)状況。 
コンポーネントのテストケース。

PES

構成管理履歴。

通常の動作と状態からの逸脱の記録。 
システム手順の変更。

その他ドキュメントの変更。

JIS C 0508-2

ISO 9000-3 

7.5.1

及び 7.5.3

JIS Z 8530

運 転 及 び 保 守 手

運転及び保守時に PES を要求どおりに作動させるための手順を規定する。

PES

の“設計されたとおりの”機能的安全性を維持するのに必要な日常活動

を規定する(状態や使用性に関するサポート文書や利用者に対するその他の
アドバイスを含んで)

危険な状態を防止したり危険事象の影響を軽減するための,様々な運転状況

における処置と制約を規定する。

PES

の日常運転で利用者が従う操作手順を規定する。

PES

の運転を改造又はカスタマイズする利用者が従う操作手順を規定する

(例

えば設定値やリミットの変更)

PES

で障害が見つかったり故障が発生した場合に従う保守手順を規定する。

PES

を使用する利用者の仕事を記述する。

取扱説明書と利用者マニュアル。 
各種利用者に要求される能力(スキル,訓練,経験)を規定する。 
訓練計画と訓練資料を規定する。

PES

の信頼性の高い動作の継続を保証するために必要な監視活動を規定する。

監視計画:職場監査計画,適用範囲と判定基準,プログラム,プロセス,ツ
ール。

PES

のシステム故障とデマンドレートに関してとる記録を規定する。

PES

の監査及び試験結果に関してとる記録を規定する。

故障報告と故障解析の観点から保守の有効性を監視するための手順を規定す

る。 
保守と試験に必要とされるツールを規定する。 
保守と試験に必要とされるツールの保守を規定する。

JIS C 0508-2 

7.6.2.1

ISO 9000-3 

7.5.1

プ ロ ジ ェ ク ト 計

プロジェクト計画を作成して,どのように PES を設計するか,どのように望
ましい品質レベルを達成するか,どのようにスケジュール及び予算どおりに

実現されるようにプロジェクトを準備していくかを示す。


49

F 8082

:2007 (ISO 17894:2005)

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

技術計画

品質計画

マ ネ ジ メ ン ト 計

技術計画には,PES の技術的な信頼性を保証するために採用される戦略が詳

述される。この戦略では,プロジェクトのリスク及び不確定要素と開発する
システムの特性を考慮に入れて,目的に合わないシステムが作られる確率が
最小限になるようにしなければならない。

作成するシステムの主要な特性と用途。 
システム設計方法に関してクライアントがもっている期待又は要求事項とそ
の結果として生じる言外の意味。

プロジェクトの成功に対する技術的リスクの原因となる不確定要素。 
プロジェクトのすべての活動を行う要員の組織と責務。 
プロジェクト内のチームの役割及び目的とチーム間の統合及び独立の程度。

全体的開発戦略の詳細と,仕様,設計,コーディング,統合,試験に対する
アプローチ及びこれら二つの間の関係。 
スペシャリスト活動(安全性,人的要因,セキュリティ等)の統合戦略(ほ

かの設計活動に影響を及ぼすため,これらの活動に関するフィードバックと
コミュニケーションを確立するための手順を含む。

プロジェクトが採用するプロセスモデルの詳細(各活動に関する,入力,出

力,入口/出口条件,再検討,職務など)

仕様,設計,コーディング,検証,妥当性確認のための方法,技術,言語,
ツールの選択とその理由。

目標,開発,試験,保守環境。 
作成する引渡品とその性質。 
技術計画に従った適正な技術アプローチがなされていることを証拠付ける技

術記録。 
開発時に採用する規格,手順,慣行,条約(参照付き)

プロジェクトで必要とされるスキルと経験の組合せ(検証と妥当性確認に必

要とされるものを含む。

リリース,サポート,修正の計画。

LRGDS]の箇

条 5

JIS Z 8530 の箇

条 5.及び箇条 6.


50

F 8082

:2007 (ISO 17894:2005)

   

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

品質計画

品質計画では,組織の品質管理システムをプロジェクトに適用する方法が定

義される。ここでは,作成する引渡品の品質特性とそれらを確認する手段が
定義される。また,作成された引渡品すべてで品質が達成されることを保証
するためにプロジェクトで用いられる管理と手順が詳述される。

品質計画の範囲内の事項と PES の使用目的の規定。 
受入実施の基準となる確定要求仕様の指定。 
プロジェクトで品質管理及び品質保証活動(すべての検証作業を含む)を行

う要員の組織やプロジェクトのほかのチームとの関係及び相互作用の表示。 
各プロジェクト引渡品に関して次を定義する。 
―  フォーマットと内容

―  品質特性を定義・検証する方法 
―  起案,検証,保守,管理を担当する要員 
―  引渡品で要件を特定しトレースする方法

―  技術計画,検証計画,妥当性確認計画への言及 
―  作成する引渡品とこれらの品目に使用するファイリングシステム 
―  担当要員

―  品目,発行,その状態の一意的識別のためのスキーム 
―  品目状態の意味 
―  品目の初期及び更新バージョンの発行と保管(どのように,いつ,誰に

対して品目が発行されるか等)

―  品目に加えられる変更を記録し,変更履歴を維持する方法の指定 
―  無許可のアクセス,不注意による損傷又は性能低下から品目を保護する

ために用いられる方法と設備(使用中の品目,現場又は現場外で保管され
ている品目,輸送中の品目に関して)

プロジェクトで使用されるすべての規格・手順・慣行・条約,準拠を監視す

る方法,逸脱を説明しその正当性を証明する方法の規定。 
検証及び妥当性確認活動のための方法,技術,ツールの規定。 
下請け契約で購入又は開発されたソフトウェアが仕様を満たすようにするた

めの手順の規定。 
プロジェクト測定基準とその用途。

LRGDS]の箇

条 6


51

F 8082

:2007 (ISO 17894:2005)

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

品質手順

レビューの仕様:

―  開発プロセスにおけるポイント 
―  レビューされる材料 
―  材料の評価基準

―  参加者の役割 
―  レビューを実施する方法 
―  結果を記録する方法

―  追跡処置の方法と時期

構成管理:

―  担当要員 
―  構成項目とベースラインを確認するための手順 
―  様々なバージョンの構成項目を確認する方法を定義

―  構成制御のための手順を定義 
―  使用する構成管理ツールを特定 
―  構成項目の状態を規定のベースラインから確定する方法を定義

―  様々な構成項目とベースラインのアーカイブ保管と検索のメカニズムの

詳述

―  PES のベースラインを作るメカニズムの詳述

―  様々なベースラインのデリバリ又はインストレーションのどんな記録を

保持するかを定義

変更管理プロセスの詳細: 
―  担当要員 
―  変更要求のための手順

―  変更とその影響を評定するための手順 
―  変更要求に対応しそれを実行するための手順 
―  変更の効果を試験し,変更の進ちょく(捗)を監視するための手順

―  変更管理記録の保管方法と保管場所

是正措置手順:

―  担当要員 
―  障害を報告するための手順 
―  障害を評定するための手順

―  障害報告に対応するための手順 
―  障害を修復するための手順 
―  障害と修復を監視するための手順

―  障害記録のフォーマットと保管場所 
品質計画に定められている品質対策が遵守され,プロジェクトの品質目的に
適したものとなっていることを確認するために,プロジェクト中に行われる

監査の詳細。

LRGDS]の箇

条 6


52

F 8082

:2007 (ISO 17894:2005)

   

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

管理計画

管理計画は,プロジェクトの最重要計画ドキュメントである。これには,プ

ロジェクトの目的,作成する引渡品と関連タイムスケール,採用する戦略,
原価計算と調達,プロジェクトを管理する方法が詳述されている。管理計画
は,技術計画と品質計画の作成完了時に作成される。この計画はプロジェク

トの期間を通して進化していく。近い未来に関しては詳細,プロジェクトの
残りの部分に関しては概略が必要とされる。

注記  技術計画と管理計画が組み合わされる場合がある。 

プロジェクトの目的,なぜプロジェクトが実施されているか,何を達成しよ

うとしているのか,誰のためのプロジェクトか。 
プロジェクトの組織と関係者の責務。 
プロジェクトを成功させるためにとるアプローチ。

引渡し可能品目の詳細なリストと契約納期。 
実施されるすべての活動の日程計画と存続期間,フィードバックを設計スケ
ジュールに組み込むことを可能にする適切なタイムスケールを含む(初期段

階フィードバック)

各プロジェクト活動の詳細(職責など)と開始及び終了日時。 
プロジェクトのスタッフと装置の詳細。

プロジェクトに関する財務情報(資金,潜在的費用など)

プロジェクトの成功にリスクをもたらす要素。 
プロジェクトスタッフの訓練要件の詳細。

計画基準と品質基準が維持されるようにするためにプロジェクト期間中に実
施する管理。 
プロジェクトの進度を測定し将来のプロジェクトの計画を補助するための判

定基準と情報収集方法。 
プロジェクトが適正に管理され,管理計画に従って管理されていることの証
拠。

LRGDS]の箇

条 4


53

F 8082

:2007 (ISO 17894:2005)

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

要求仕様 PES の機能要求を特定する。

PES

の性能,信頼性,操作性,安全要求を含む非機能要求を特定する。

PES

の法的要求を特定する。

全体的システム要求と利用の状況にさかのぼることができる。

計画から生じる要求にさかのぼることができる。 
実現可能な要求を定義する。 
明りょう,正確,疑問の余地のない形で要求を表現する。

検証と試験が可能な要求を定義する。 
仕様を利用する人々が理解できる用語と表現を用いる。 
利用者代表とその関与の詳細を規定する。

すべての利害関係者による要求の確認証拠を示す。

PES

に要求される機能(故障時の動作,起動条件,再起動条件を含む)を記

述する。

処理能力と応答時間性能を定義する。 
利用者インタフェースと外部システムインタフェースを定義する。 
設計における利用者とその他の要員の範囲と関与度を記述する。

訓練ニーズを定義する。 
制御対象装置の運転モードを定義する。 
ソフトウェア/ハードウェア相互作用に起因する制約を特定する。

ライフサイクルの段階で遭遇すると考えられる環境条件の両極端を特定す
る。 
電磁適合性レベルの観点から遭遇する電磁環境を指定する。

PES

ハードウェアの耐久試験に関する要件を指定する。

設計プロセスで要求が使用されたことの証拠を示す。

JIS C 0508-2 

7.2.3

ISO 9000-3 

7.3.2

BS EN 61069-2

の箇条 5

JIS Z 8530 

7.3

妥当性確認計画

要求仕様と対照した PES の妥当性確認に用いる技術及び手順のステップを定

義する。 
制御対象装置の関連運転モードの規定。 
要求仕様を参照し,妥当性が確認される PES に対して目標を挙げる。

妥当性確認の技術的戦略を定義する。 
妥当性確認に用いる手段と方法を定義する。 
各安全機能の正確な実行を確認する手順を定義する。

各安全機能の安全保全性を確認する手順を定義する。 
要求される入力データ,期待される出力,その他の合格判定基準を特定する。

妥当性確認スタッフに要求される能力を指定する。

すべての校正済みツールと装置を含む試験環境を指定する。 
試験評定手順を定義する(正当化)

電磁環境耐性レベルを確認する手順と判定基準を定義する。

妥当性確認中の不良を解決するための手段と手順を定義する。 
妥当性確認の日程と資源を定義する。 
各運転モードで確認する安全関連ソフトウェアを特定する。

操作性評定では: 
―  評定の基礎として用いられた利用の状況の定義 
―  利用者,方法,手段とそれらの使用理由の記述

JIS C 0508-2 

7.3.2.2

ISO 9000-3 

7.3.6

7.4.3 及び

8.1

JIS Z 8530 

7.5.2


54

F 8082

:2007 (ISO 17894:2005)

   

表 D.1PES ライフサイクル出力の要件(続き)

出力

要件及び内容

参照

検証計画

検証するコンポーネント(ソフトウェア,ハードウェア,データ,訓練,ド

キュメント等)を特定する。 
設計文書と対照したコンポーネントの検証に用いる技術及び手順のステップ
を定義する。

設計文書を参照し,コンポーネントの検証で対照する判定基準を挙げる。 
検証の技術的戦略を定義する。 
検証に用いる手段と方法を定義する。

要求される入力データ,期待される出力,その他の合格判定基準を特定する。

検証スタッフに要求される能力を指定する。 
すべての校正済みツールと装置を含む試験環境を指定する。

試験評定手順を定義する(正当化)

検証中の不良を解決するための手段と手順を定義する。 
各運転モードで検証する安全関連ソフトウェアを特定する。

JIS C 0508-2 

7.5.2

及び 7.9

ISO 9000-3 

7.3.5

7.4.3 及び

8.1

妥 当 性 確 認 報 告

PES

に関するすべての妥当性確認活動の結果を報告する。

要求仕様と妥当性確認計画に関する合否決定。 
使用されている妥当性確認計画のバージョンを記載する。

試験(又は分析)された安全機能を明記する。 
妥当性確認計画における特別な妥当性確認要求を記載する。 
誰が評価を行ったかを記録する。

使用したツールと装置を記録する。 
使用した校正データを記録する。 
各試験の結果を記録する。

期待される結果と実際の結果の間での不一致を記述する。 
妥当性確認中にみつかった不一致に起因する分析と処置を記述する。 
試験手順の適切性の証拠。

規格と対照した試験では: 
―  使用された規格のリストと使用理由 
―  全体としてのシステムに関する有意義な結果が得られるだけの十分なシ

ステムの部分が評価されたことの証拠

―  すべての大小の不適合,所見,全体的評価の報告 
―  設計でどのように不適合に対処したかに関する報告

特別な利用者要求を満たすための規格からの逸脱の妥当化。 
操作性の評定や日常監視では,関連する統計分析を示さなければならない。

JIS C 0508-2 

7.7.2.4

IACS の 7.1

ISO 9000-3 

7.3.6

7.3.78.2.4

及び 7.5.3

JIS Z 8530

検証報告書

ライフサイクル局面に関係する検証活動の結果を報告する。検証の結果を記
載する。

PES

ライフサイクル,設計基準,安全管理要件に関する不適合を取り上げる。

検証活動での PES の合否又は不合格の理由を記載する。 
関連した検証計画に対して適合性を確認できるように記載する。

PES

が検証に合格したかどうかや失敗の理由をはっきりと述べる。

JIS C 0508-1 

7.18.2.4

JIS C 0508-2 

7.9.2.7

ISO 9000-3 

7.3.3

7.3.57.3.7

7.5.3

及び 7.4.3

JIS Z 8530


55

F 8082

:2007 (ISO 17894:2005)

附属書 E

参考)

ライフサイクルにおける原則の適用

E.1

  序文

この規格には,信頼性の高い PES の開発と使用を実現するための一連の原則が示されている。PES の耐

用年数全体を通して,すべての原則をシステム全体とそのコンポーネント(構成要素)に適用できる。こ

れらの原則は PES の信頼性要件の包括的なセットであり,判定基準はこれらの要件の重要な属性である。

どのような適用でも,PES のライフサイクルのどの時点においても,各原則の意味と相対的重要性が変わ

ってくる場合がある。この規格を用いる場合,このような解釈を行い,それを関係者と共有することが必

要とされる。この附属書には,この規格の使用に関係する課題,処置,責務が図解され,ライフサイクル

における原則の使用例が示されている。

E.2

  ライフサイクル

システムの設計,開発,使用は,一連の明確に区分された段階であり,

“揺りかごから墓場”までのライ

フサイクルに相当すると考えられる。一つ又は複数のタスクを実施する必要性があり,そのために PES を

利用することが決定されたときに,ライフサイクルが開始される。使用されているシステムがその必要性

を満たさなくなったときや,必要性自体が変化したときに,ライフサイクルが終了する。その後,使用を

継続するためにシステムが修正されて新しいライフサイクルが始まるか,又はシステムが廃棄されること

になる。開始と終了の間に,システムは様々な状態をたどる。理論上の構想であったり最終的な構成部品

の組み立てであったりするが,いずれも目的を同じくするものである。

図 E.1 には,システムライフサイクルの“V 字形”モデルの簡略版が示されている。このモデルは,附

属書 の船舶部門に関して詳述されたものである。附属書 に示されているように,利害関係者は一つ又

は複数のプロセスに対する責任を割り当てられている。オペレータは構想とサービス,システムエンジニ

アは仕様と技術的なリスク管理,

システム構築業者は試運転,

供給業者は設計と構築に対する責任を負う。

一連のプロセスでそれぞれ前のプロセスに戻るサイクルと V 字形を横切って戻るサイクルのあるモデルで

は,反復が暗示されている。二つの主要なサイクル局面がモデルに表示されている。計画局面(構想から

詳細設計まで)は概して文書に関係し,引渡し局面(コンポーネント構築から運用まで)は技術に関係す

る。前者はニーズの浸透を特徴とし,後者は構成部品の統合を特徴としている。計画局面は製品,人,組

織間の融合の確立にも役立つ。適切な統合を達成するためには,ライフサイクル全体を通してこれを維持

していかなければならない。

計画局面と引渡し局面には対称性がある。引き渡されたシステムは動作概念を反映する。試運転は仕様

プロセスを反映する。技術構築はその設計を反映する。計画局面の欠陥は,ライフサイクルのより後の段

階で明らかになることが多い。例えば,装置の現位修正の必要性が遅延,損失,潜在的運用リスクをもた

らす結果となる。

引渡し局面における故障(広義の期待動作からの逸脱)は,計画局面の後遺症であることが多い。

(ソフ

トウェアの故障は本質的にランダムなものではなく,PES ハードウェアの信頼性は向上し続けるため,ラ

ンダムな故障は比較的まれになる)ほとんどの故障は系統的なものであり,内因性の障害から生じ,特定

の状況で発生し,文書(製品)又はその耐用期間を通じた使用(プロセス)に起因するものである。ほと


56

F 8082

:2007 (ISO 17894:2005)

   

んどの技術者は,計画局面について考えるのではなく,技術的解決に重点を置きがちであるが,そのこと

はプロジェクトリスクを生み出すことになる。

変更に伴うコストやリスクは,故障と故障原因との間隔が離れているほど大きくなる。例えば,仕様プ

ロセスが始まる前の概念の変更は容易であるが,引渡し局面での仕様の変更では大規模な再設計が必要と

されることが多い。技術の変更よりも文書の変更の方が容易である。計画局面の適切な段階における整合

性,完全性,明確性によって,信頼性の高い統合システムの提供と総合的なコスト管理の改善が保証され

る。

図 E.1−簡略ライフサイクルモデル

E.3

  計画局面

計画局面では,技術を使用しやすくするのに必要な文書が作成される。この局面では,仕様から詳細設

計まで徹底されるように,船主の動作概念が明確に理解されなければならない。文書に遺漏やあいまいさ

があると,PES のコンポーネント間のインタフェースを不明りょう化する想定や解釈がもたらされること

になる。システムが複雑になるほど,システムが含むインタフェースの数が多くなり,不十分な定義によ

る信頼性に対する脅威も増大する。

仕様段階は,幾つかの個別プロセスから構成される。通常,これには,利害関係者の特定,利害関係者

のニーズの確定,それらを一貫性のある要件に集約すること,引渡し局面で適合を評価するための判定基

準を確立することが含まれる。この規格の原則は,PES 信頼性要件の包括的なセットとなっている。また,

これらの原則を用いた評価プログラムが定義されている。

様々な利害関係者が,その需要と制約によって,直接的(船主)又は間接的(技術供給業者)にプロセ

スに影響を及ぼす。ただし,主要な利害関係者とみなされなければならないのは,見落とされがちな最終

利用者である。利用者その他の重要な利害関係者の軽視は,引渡し局面での大規模な変更の原因となる。

利害関係者の要件の照合と有理化を行い,仕様プロセスに活用すべきである。

通常,詳細な設計を行う前に,要件の割当てを考慮することが必要とされる。トータルシステムの機能

には,利用者によって最良に実施されるものと,技術によって最良に実施されるものがある。通常,技術

には複数の供給業者が関与し,それぞれが独自のスキルと経験をもっている。個々のタスクと要件を人と

技術に割り当てるシステム構成を定義すべきである。遺漏やあいまいさを最小限に抑えて,設計局面から

引渡し局面まで浸透する,系統的障害を回避すべきである。

仕様の一般的な欠点として,明確な受入基準の欠如を挙げることができる。受入基準は,定性的なもの

であったり,定量的なものであったりするが,いずれにしても,具体的,測定可能,合意可能,実際的,


57

F 8082

:2007 (ISO 17894:2005)

時宜を得たものとすべきである。

プロジェクトの早い段階では,原則を適用するシステムがない。

この時期には,

適切なプロセス規範モデル

(ソフトウェアプロセスに関する ISO/IEC 12207 及び ISO/IEC 

15504

に示されているプロセス評価枠組み等)を用いたプロセス能力測定を,契約締結又はプロセス改善

計画確定の基礎とする場合がある。

システム又はそのコンポーネントの概念が確定されたらすぐに,製品原則を適用することができる。シ

ステム及びコンポーネントの信頼性要件のチーム検討を製品原則と対照して行うことは,設計で信頼性の

課題に重点を絞り込む便利な方法である。

E.4

  引渡し局面

引渡し局面では,部品[注文品又は市販標準仕様品(COTS)コンポーネント]が統合され,要求され

るタスクに対して実現技術が提供される。この統合は,その組織と物理的環境におけるシステムの使用と

関連したものとなる。COTS 製品の統合に要するコストと労力は予測が困難であり(注文製品と比べても

より困難であり)

,プロジェクト管理における課題となっている。比較的シンプルなソフトウェアであって

も,その徹底的な試験を瞬時に行おうとするのは非現実的である。

工場受入試験,港湾又は海上試運転に関する船舶分野での一般的慣行は,複雑な技術に障害がないこと

を示すことに実質的には役立たない。最も実際的な解決方法は,開発プロセス全体を通した階層的モジュ

ール設計と検証/妥当性確認試験の系統的計画,及び COTS 製品の慎重な使用にある。機能試験は,指令

のためではなく確認のために役立てるべきである。製品の型式試験は,解決策になる可能性があるが,型

式試験された技術のフレキシビリティのなさは,利用者,組織,環境がそれらの制約に対処しなければな

らない範囲において,人的要素への負担を増大させることになる。費用と利益のバランスをとることが必

要とされるが,これは適切な判断及び理解に基づいたものとすべきである。

設計,構築,引渡しにおいて,原則は三つの形で適用されると考えられる。第 1 は,設計意図が達成さ

れるようにするための,製品及び(関連)ライフサイクル原則と対照したコンポーネント開発活動の検討

である。第 2 は,適切で時宜を得た十分な検証が行われるようにするための,製品原則と対照したコンポ

ーネントの評定である。第 3 は,適切な妥当性確認が行われるようにするための,製品原則と対照したト

ータルシステムの検討である。

E.5

  管理

プロジェクトの管理によって,この規格の原則適用の成功度が決まってくる。効果的なプロジェクトの

管理の基本となるのは,開かれた意思疎通と協調関係の育成である。あるライフサイクル段階又はプロセ

スから別のライフサイクル段階又はプロセスへの移行では,意思疎通が必要とされるし,おそらくは役割

や責任の変化が生じることになる。通常,個々のプロセスには製品反復が含まれ,従って参加利害関係者

間の継続的な意思疎通が必要とされる。

システムの動作概念が十分に定義されたら,課せられた制約を考慮に入れて,動作概念を満たし実現技

術を提供する仕様を作成することになる。このタスクを構成する様々なプロセスを計画,編成,監視,制

御することが必要である。そのためには,各パートナーの役割と責任に関する明確な共通理解が必要とさ

れる。この規格のライフサイクル原則によって,高信頼性システムに関するプロセス要件の包括的なセッ

トがもたらされている。

仕様のプロセスでは,主要な責任がオペレータからシステムエンジニアに移される。従来から,システ


58

F 8082

:2007 (ISO 17894:2005)

   

ムエンジニアの役割は造船所の責任になっている。造船所には,この責任を完全に果たす能力が要求され

る。造船所が責任を様々な供給業者にゆだねる場合には,それらの供給業者にトータルシステムが概念を

満たすものになることを保証できる権限と素質がない限り,これを達成することはできない。供給業者の

役割は,主として,COTS 製品の供給である。仕様プロセスと割当プロセスが適切なものである場合だけ

に,これを実現できる。

システムエンジニアの役割は,管理と技術に深く関与している。そこでは,動作概念(上流)と実現技

術(下流)の両方を理解することが必要とされる。システムエンジニアがインタフェースの適切な管理に

失敗すると,大規模な再設計が必要となる場合がある。

通常,これには予期せぬ遅延と損失が伴い,修正によって更なるシステム障害の可能性がもたらされる

という点でのリスクがもたらされる。

プロジェクト管理において,検証と妥当性確認が重要となる。検証が製品のタスクに対する“適切さ”

ではなく製品の“正確さ”を確認するものであるならば,基本的に,この局面を主として指定利害関係者

(例えば,技術供給業者)にゆだねることができる。管理プロセスの一部は,適切な確認が実施されてい

ることを保証するものとなる。例えば,試験記録や関連文書の第三者による監査や審査である。適切な検

証が行われれば,技術の信頼性に対する確信がもたらされ,工場受入試験,港湾や海上試運転等において

インタフェースの検証とトータルシステムの妥当性確認に重点を置くことが可能になる。信頼性を確立す

るためには,妥当性確認も計画・管理されたプロセスとすべきである。

原則によって,管理のためのツールがもたらされる。当初,これらの原則は,関連するプロセス参照規

格(JIS X 0170JIS Z 8530 及び JIS C 0508 等)とともに,PES の信頼性に対する脅威の分析,監視,緩

和のために必要とされる,プロジェクト活動のチェックリストとして使用される。それ以降は,ライフサ

イクル原則と対照したパートナー/プロジェクト活動の時宜を得た検討に関する一連の基本的な課題を提

供するものとなる。これらの検討では,計画局面で特定されたパートナーの能力に起因するプロセスリス

クと引渡し時に浮上するリスクを考慮に入れるべきである。


59

F 8082

:2007 (ISO 17894:2005)

附属書 F

参考)

船舶用 PES の原則

F.1

  船舶用 PES に関する目的

PES

は,ある特定の利用の状況において利用者及び規定のタスクに確実に適したものでなければならな

い。PES は,正確で時期を得た十分,かつ,明確な情報を,利用者とほかのシステムに提供しなければな

らない。PES のハードウェア及びソフトウェアは,ライフサイクル全体を通して正確に応答しなければな

らない。

PES

とその関連要素が耐用期間全体を通して次の原則を満たせば,それを実現することができる。

F.2

  船舶用 PES の製品原則

a) PES

には容認できない人又は環境への危害リスクがあってはならないものとする。

b)

故障が起こった場合,PES はその状態にとどめるか,又は危険性が最も低い状態にされなければなら

ないものとする。

c) PES

は利用者のニーズを満たす機能を提供しなければならない。

d)

機能が利用者と PES の間に適切に割り当てられなければならない。

e) PES

には障害と入力エラーを許容する機能がなければならない。

f)

規定された作業条件及び環境条件下で使用された場合に,PES は規定されたレベルの精度,適時性,

資源の利用性を維持しなければならない。

g) PES

への無許可のアクセスは防止しなければならない。

h) PES

は利用者に受け入れられ,規定された条件下で効果的で効率的な作業をサポートしなければなら

ない。

i) PES

の操作は首尾一貫,整合性のとれたものとし,基調プロセスに対する利用者の期待に合致しなけ

ればならない。

j) PES

と利用者間の相互作用は利用者によって制御しなければならない。

k) PES

は適正な設置と保守管理(修復と修正を含む)をサポートしなければならない。

F.3

  船舶用 PES のライフサイクル原則

信頼性の高い船舶用 PES の実現と使用のためには,PES の耐用期間全体を通した系統的なアプローチが

必要とされる。

7.3

に示されている製品原則に合致することを目的としたアプローチのための主要要件を次

に示す。

a)

すべての PES ライフサイクル活動は,系統的に計画され構成しなければならない。

b)

要求される安全性がすべてのライフサイクルを通して適切な活動によって実現しなければならない。

c)

ライフサイクル全体を通して人間中心の活動が用いなければならない。

d)

ライフサイクル全体を通して検証と妥当性確認が行われなければならない。

e)

ライフサイクル活動にかかわる当事者はすべて,品質管理システムを保持し使用しなければならない。

f)

ライフサイクル全体を通して船舶システムに必要な既存の必要要件を考慮しなければならない。

g) PES

ライフサイクル活動がすべて効果的に実施されるように,適切な文書を作成しなければならない。


60

F 8082

:2007 (ISO 17894:2005)

   

h)

ライフサイクル活動の責任者は,その責任を果たす能力をもたなければならない。

i) PES

構成がライフサイクル全体を通して確認され管理されなければならない。


61

F 8082

:2007 (ISO 17894:2005)

参考文献

次の規格及び指針は,この規格の各原則及び基準を説明するために参照している。主要な標準の同一性

及び適用範囲はこの節の終わりに概要を述べる。

追跡性を保つため,引用した版は,この規格のこの版を作成するためだけに用いている。読者には最新

の版や文書を使用することを勧める。読者を補助するため,この節では参照規格の内容及びタイトルの最

新の変更を示している。

この規格で採用した参照システムは,例えば[JIS Q 9000]のように規格タイトルの省略形を使う。これに

よって,この規格における詳細な要件を追跡するときに使いやすくしている。

EN 292-1, Safety of machinery

−Basic concepts, general principles for design−Basic

terminology methodology

[BS 292-1]

EN 292-2, Safety of machinery

−Technical principles and specifications

[BS 292-2]

IEC 61069-2:1993, Industrial-process measurement and control

−Evaluation of system

properties for the purpose of system assessment

−Part 2: Assessment methodology

[IEC 61069-2]

IEC EN 61069-5:1994, Industrial-process measurement and control

−Evaluation of system

properties for the purpose of system assessment

−Part 5: Assessment of system

dependability

[IEC 61069-5]

Research In Waterborne Transport Area 6.33/26(2nd Call): Demonstration of ISC - DISC Final

Report, D101.00.01.047.003, 1997.04.21, DISC Consortium www.atomos.org

[DISC]

Generalised Assessment Method Part 1: Rules, CAS/LR/WP2.T3/SM/D2.3.1, Issue 0.C DRAFT,

20 September 1996, ESPRIT 9032 CASCADE project. Lloyd's Register of Shipping, 71

Fenchurch Street, London EC3M 4BS

[GAM1]

MSC/Circular 891, 21

st

December 1998, Guidelines for the on-board use and application of

computers

[MSC/Circ.891]

IEC 61162, Maritime navigation and radiocommunication equipment and systems

−Digital

interfaces (all parts)

[IEC 61162]

IEC 61209, Ed. 1.0 Maritime navigation and radiocommunications equipment and systems

Integrated Bridge Systems (IBS), Operational and performance requirements, methods of

testing and required test results

[IEC 1209]

JIS C 0508-1:1999

電気・電子・プログラマブル電子安全関連系の機能安全−第1部:一般

要求事項

注記  対応国際規格:IEC/FDIS 61508-1:1998, Functional safety of electrical/electronic/

programmable electronic safety-related systems

−Part 1: General requirements (IDT)

JIS C 0508-2:2000

電気・電子・プログラマブル電子安全関連系の機能安全−第2部:電

気・電子・プログラマブル電子安全関連系に対する要求事項

注記  対応国際規格:IEC/CDV 61508-2:1998, Functional safety of electrical/electronic/

[JIS C 0508-2]


62

F 8082

:2007 (ISO 17894:2005)

   

programmable electronic safety-related systems

−Part 2: Requirements for electrical/

electronic/programmable electronic safety-related systems(IDT)

JIS C 0508-3:2000

電気・電子・プログラマブル電子安全関連系の機能安全−第3部:ソフ

トウェア要求事項

注記  対応国際規格:IEC/FDIS 61508-3:1998, Functional safety of electrical/electronic/

programmable electronic safety-related systems

−Part 3: Software requirements (IDT)

[JIS C 0508-3]

JIS C 0508-4:1999

電気・電子・プログラマブル電子安全関連系の機能安全−第4部:用語

の定義及び略語

注記  対応国際規格:IEC/FDIS 61508-4:1998, Functional safety of electrical/electronic/

programmable electronic safety-related systems

− Part 4: Definitions and

abbreviations (IDT)

[JIS C 0508-4]

JIS C 0508-7:2000

電気・電子・プログラマブル電子安全関連系の機能安全−第7部:技術

及び手法の概観

注記  対応国際規格:IEC/CDV 61508-7:1998, Functional safety of electrical/ electronic/

programmable electronic safety-related systems

−Part 7: Overview of techniques and

measures (IDT)

[JIS C 0508-7]

IEC Guide 50:2002, Safety aspects

−Guidelines for child safety

ISO/IEC Guide 51:1999, Safety aspects

−Guidelines for their inclusion in standards

[IEC 51]

JIS F 8076:2005

船用電気設備−第504部:個別規定−制御及び計装

注記  対応国際規格:IEC 60092-504:2001, Electrical installations in ships−Part 504:

Special features

−Control and instrumentation (IDT)

[JIS F 8076]

International Management Code For The Safe Operation Of Ships And For Pollution Prevention

(International Safety Management [ISM] Code), IMO

[ISM]

ISO 9000-3, Application of ISO 9001 to software. (ISO 9000-3 has been revised by ISO/IEC

JTC 1/SC 7 and will be published as ISO 900003)

[ISO 9000-3]

JIS Q 9001:2000

品質マネジメントシステム−要求事項

注記  対応国際規格:ISO 9001:2000, Quality management systems−Requirements (IDT)

[JIS Q 9001]

prEN 894-1:1996, Safety of Machinery

−Ergonomic requirements for the design of displays

and control actuators

−Part 1: General principles for human interactions with displays and

control actuators (now ISO 9355)

[EN 894-1]

Classification Of Ships Rules And Regulations Part 6: Control, Electrical, Refrigeration and

Fire, Lloyd's Register

[RULES PT6]

BS 5515:1984, Documentation of computer-based systems, British Standard Code of practice

[BS 5515]

Guidelines for the documentation of computer software for real time and interactive

systems, IEE, 1990, second edition

[IEE 1990]

Lloyd's Register Guidelines for the development of Dependable Software, V5 Lloyd's Register

1992. Lloyd's Register of Shipping, 71 Fenchurch Street, London EC3M 4BS

[LRGDS]

ISO/IEC TR 15504-5:1999, Software process assessment

−Part 5: exemplar assessment model

(this standard is currently under revision to ISO 15504 Process assessment)

[ISO 15504]

International Maritime Organization, 1995, Standards of Training, Certification and

[STCW95]


63

F 8082

:2007 (ISO 17894:2005)

Watchkeeping for Seafarers

JIS F 0812:2006

船舶の航海と無線通信機器及びシステム−一般要求事項−試験方法及

び試験結果要件

注記  対応国際規格:IEC 60945:2002, Maritime navigation and radiocommunication

equipment and systems

−General requirements−Methods of testing and required test

results (IDT)

[JIS F 0812]

JIS X 0170:2004

システムライフサイクルプロセス

注記  対応国際規格:ISO/IEC 15288:2002, Systems engineering−System life cycle

processes (IDT)

[JIS X 0170]

Stevens, R., Brook, P., Jackson, K., Arnold, S., 1889, Systems Engineering

−coping with

complexity, Prentice Hall Europe, ISBN 0-13-095085-8, 374 pp.

Messer A.C., 2002, Systems integration and complexity: managing dependability, Proceedings

IMarEST sixth international naval engineering conference and exhibition, Glasgow 2002, p.

175-181

[INEC]

Earthy J.V., 1999, A new approach to marine programmable systems assessment, Scandinavian

yearbook of maritime technology, 1999, Scandinavian Shipping Gazette

[SSG]

主要参照の適用範囲

産業プロセスの測定及び制御システムに関連した製品原理のための[IEC 61069-1]。

海洋セクタ及び統合化 PES の両方に関連した製品原則のための[IEC 61209]。

安全に関係した測定,制御及び安全システムと関連した製品,ライフサイクル原則のための[JIS C 

0508-1]

,[JIS C 0508-2]及び[JIS C 0508-3]。それらは危険に基盤を置いたアプローチと安全ライフサイクル

の概念を含んでいる。

対話形 PES のために人間を中心とした設計のプロセスと関連したライフサイクル原則のための[JIS Z 

8530]

プログラム可能なシステムを開発し,提供し,維持するための品質システムの要求事項に関係するライ

フサイクル原則のための[ISO/IEC 9000-3],[JIS Q 9000]。利用者インタフェースの人間を中心とした要求

事項に関連した製品原則のための[JIS Z 8520]。