セーフティクリティカルシステム

セーフティクリティカルシステムの例[1] 。時計回りに:C-141グラスコックピットペースメーカー原子力発電所の制御室、スペースシャトル

セーフティクリティカルシステム(safety-critical system)[2] もしくはライフクリティカルシステム(life-critical system)とは、故障や誤動作により、次のいずれか(または複数)の結果が生じる可能性があるシステムである。[3][4]

  • 人が死ぬか重症を負う
  • 機器や財産の損失または重大な損害
  • 環境への害

安全関連システム(または安全関与システム)は、1つ以上の安全機能を実行するために必要なすべてのもの(ハードウェア、ソフトウェア、および人的側面)で構成され、その機能不全は、関係する人々または環境の安全リスクを大幅に増加させる。[5] 安全関連システムとは、人命の損失、重傷、または深刻な環境被害などの危険を制御する完全な責任を負わないシステムのことである。安全関与システムの機能不全は、他のシステムの故障またはヒューマンエラーと相まってのみ危険となる。英国の安全衛生庁(HSE)など、一部の安全組織は、安全関連システムに関するガイダンスを提供している。[6]

この種のリスクは通常、安全工学の手法とツールを使って管理されます。安全性が極めて重要なシステムは、稼働時間10億時間(109時間) あたり1人の損失に抑えられるように設計されている。[7] 典型的な設計手法には、故障モード影響解析(FMEA)フォルトツリー解析(FTA)を組み合わせた手法である確率的リスク評価がある。安全性が重要なシステムは、ますますコンピューターベースになっている。

セーフティ クリティカル システムは、複数の重要な障壁の失敗によって脅威がどのように重大な事故にまで拡大するかを (通常は蝶ネクタイ分析で) 表すために使用される概念であり、スイスチーズモデルとともによく用いられる。この使用は、特にプロセス安全性の分野で一般的になり、特に石油、天然ガスの採掘生産分野に置いて、説明目的と、資産の完全性管理や事故調査などの手助けの両方で適用される場合が多くなっています。[8]

信頼性技術

セーフティクリティカルなシステムには、いくつかの信頼性技術が存在する。

  • フェイルオペレーショナルシステムは、制御システムが故障しても動作を続ける。これらの例としては、エレベーター、ほとんどの家庭用ストーブのガスサーモスタット、受動的に安全な原子炉などがある。フェイルオペレーショナルモードは安全でない場合がある。米国では通信途絶時の核兵器発射はフェイルオペレーショナルであるが、リスクが大きすぎると考えられため却下された。これは、ソビエト時代に構築されたフェイルデッドリーである死の手システムとは対照的である。[9]
  • フェイルソフトシステムは、故障の場合でも効率を落として暫定的に動作を継続することができる。[10] Most spare tires are an example of this: They usually come with certain restrictions (e.g. a speed restriction) and lead to lower fuel economy. Another example is the "Safe Mode" found in most Windows operating systems.
  • フェイルセーフシステムは、動作不能になったときに安全になる。多くの医療システムがこのカテゴリに該当します。たとえば、輸液ポンプが故障しても、看護師に警告してポンプを停止すれば、安全間隔が十分に長く、人間が対応できるため、生命の危険はない。同様に、産業用または家庭用の石油、ガス機器が故障しても、安全モードで故障する必要がある(つまり、障害を検出すると燃焼を停止する)。よく知られているように、コマンドで発射する核兵器システムは、通信システムが故障すると発射を命令できないため、フェイルセーフである。鉄道信号はフェイルセーフになるように設計されている。
  • フェイルセキュアシステムは、動作できないときに最大限のセキュリティを維持する。たとえば、フェイルセーフ電子ドアは停電時にロックが解除される一方、逆にフェイルセキュア電子ドアはロックされ、エリアのセキュリティが維持される。
  • フェイルパッシブシステムは、システム障害が発生した場合でも動作を続ける。例としては、航空機の自動操縦装置が挙げられる。障害が発生した場合、航空機は制御可能な状態のままになり、パイロットが引き継いで旅程を完了し、安全に着陸することができる。
  • フォールト トレラント システムは、システムに障害が発生した場合にサービス障害を回避する。例としては、通常の原子炉の制御システムがある。障害を許容する通常の方法は、複数のコンピューターを使用してシステムの各部を継続的にテストし、障害が発生したサブシステムのホット スペアをオンにすることである。障害が発生したサブシステムが通常のメンテナンス間隔で交換または修理されている限り、これらのシステムは安全であると見なされる。人間が使用するコンピューター、電源、制御端末は、これらのシステムで何らかの方法ですべて冗長化されている必要がある。

セーフティクリティカルなシステムのためのソフトウェアエンジニアリング

セーフティ クリティカルなシステムのソフトウェア エンジニアリングは特に困難です。ライフクリティカルなシステムのエンジニアリング ソフトウェアを支援するために適用できる 3 つの側面があります。 1つ目はプロセスエンジニアリングと管理です。次に、システムに適切なツールと環境を選択します。これにより、システム開発者はエミュレーションによってシステムを効果的にテストし、その有効性を観察することができます。第三に、航空に関する連邦航空局の要件など、法的および規制上の要件に対処します。システムを開発する際にそれに従って開発する必要がある標準を設定すると、設計者はその要件に従うことが強制されます。航空電子工学産業は、生命に不可欠な航空電子工学ソフトウェアを作成するための標準的な方法を生み出すことに成功しました。同様の規格が、一般的な業界 (IEC 61508)、特に自動車業界 (ISO 26262)、医療業界 (IEC 62304)、および原子力業界 (IEC 61513) に存在します。標準的なアプローチは、システムを注意深くコーディング、検査、文書化、テスト、検証、分析することです。 もう 1 つのアプローチは、運用システムとコンパイラを認証し、仕様からシステムのコードを生成することです。別のアプローチでは、形式的手法を使用して、コードが要件を満たしていることの証明を生成する。[11] 、人は間違いを犯すものであり、これらの間違いが潜在的な生命を脅かすエラーの最も一般的な原因であるため、これらのアプローチが開発プロセスの手動ステップをテストまたは排除することによって、セーフティ クリティカルなシステムのソフトウェア品質を向上させる。

セーフティクリティカルなシステムの例

インフラ

医療[12]

テクノロジー要件は、失敗の回避を超えて、集中治療医学 (患者の治癒に対処する) や延命治療 (患者の状態を安定させるため) にまで及ぶ。

核技術[14]

石油、天然ガス採掘[15]

レクリエーション

輸送

自動車[17]

航空[18]

宇宙飛行[19]

関連項目

脚注

  1. ^ J.C. Knight (2002年). “Safety critical systems: challenges and directions” (英語). IEEE. pp. 547–550. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  2. ^ Safety-critical system”. encyclopedia.com. 15 April 2017閲覧。
  3. ^ Sommerville, Ian (2015). Software Engineering. Pearson India. ISBN 978-9332582699. オリジナルの2018-04-17時点におけるアーカイブ。. https://web.archive.org/web/20180417100835/http://iansommerville.com/software-engineering-book/files/2015/08/Ch-12-Safety-Engineering.pdf 2018年4月18日閲覧。 
  4. ^ Sommerville (2014年7月24日). “Critical systems”. an Sommerville's book website. 2019年9月16日時点のオリジナルよりアーカイブ。18 April 2018閲覧。
  5. ^ “FAQ – Edition 2.0: E) Key concepts”. IEC 61508 – Functional Safety. International Electrotechnical Commission. オリジナルの25 October 2020時点におけるアーカイブ。. http://www.iec.ch/functionalsafety/faq-ed2/page5.htm 23 October 2016閲覧。 
  6. ^ “Part 1: Key guidance”. Managing competence for safety-related systems. UK: Health and Safety Executive. (2007). http://www.hse.gov.uk/humanfactors/topics/mancomppt1.pdf 23 October 2016閲覧。 
  7. ^ Bowen, Jonathan P. (April 2000). “The Ethics of Safety-Critical Systems”. Communications of the ACM 43 (4): 91–97. doi:10.1145/332051.332078. 
  8. ^ CCPS in association with Energy Institute (2018) (英語). Bow Ties in Risk Management: A Concept Book for Process Safety. New York, N.Y. and Hoboken, N.J.: AIChE and John Wiley & Sons. ISBN 9781119490395 
  9. ^ Thompson, Nicholas (21 September 2009). "Inside the Apocalyptic Soviet Doomsday Machine". WIRED.
  10. ^ Definition fail-soft”. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  11. ^ Bowen, Jonathan P.; Stavridou, Victoria (July 1993). “Safety-critical systems, formal methods and standards”. Software Engineering Journal (IEE/BCS) 8 (4): 189–209. doi:10.1049/sej.1993.0025. 
  12. ^ Medical Device Safety System Design: A Systematic Approach”. mddionline.com (2012年1月24日). Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  13. ^ Anderson, RJ; Smith, MF, eds (September–December 1998). “Special Issue: Confidentiality, Privacy and Safety of Healthcare Systems”. Health Informatics Journal 4 (3–4). https://journals.sagepub.com/toc/jhib/4/3-4. 
  14. ^ Safety of Nuclear Reactors”. world-nuclear.org. 2016年1月18日時点のオリジナルよりアーカイブ。2013年12月18日閲覧。
  15. ^ Step Change in Safety (2018) (英語). Assurance and Verification Practitioners' Guidance Document. Aberdeen: Step Change in Safety 
  16. ^ Wayback Machine
  17. ^ Safety-Critical Automotive Systems”. sae.org. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  18. ^ Leanna Rierson (2013-01-07). Developing Safety-Critical Software: A Practical Guide for Aviation Software and DO-178C Compliance. CRC Press. ISBN 978-1-4398-1368-3 
  19. ^ Human-Rating Requirements and Guidelinesfor Space Flight Systems”. NASA Procedures and Guidelines (June 19, 2003). 2021年3月17日時点のオリジナルよりアーカイブ。2016年10月23日閲覧。