実践HAZOP演習 Ver 4.1 2008.12.26 Ver 4.2 2009.02.12 Ver 4.3 2009.08.24 Ver 4.4 2010.05.20 Ver 4.5 2010.05.24 Ver 4.6 2010.06.01 Ver 4.7 2010.08.23 Ver5.0 2011.4.10 Ver 5.1 2011.5.9 Ver 5.2 2011.9.2 名古屋市工業研究所 小川清 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
本資料について 本資料を許可なく複製・改変・再配布することを 禁じます。 本資料には、著作者から無償の講習に限定して転 載許可を得ているものがあります。それぞれのペ ージの著作権表示に従い、著作者の許諾を得てく ださい。 本資料の内容は予告なく改定することがあります 。 2 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
演習の進め方 HAZOPの概要説明 10分 一人HAZOP 20分 班活動 ふりかえりと報告 15分(5グループの場合) 座長と記録担当5分 自己紹介 5分 順番に統合 35分 分類 追加事項を加える ふりかえりと報告 15分(5グループの場合)
想定外をなくす 説明責任として「想定外でした」ということがないように. ありえないことを想定して考えてみる. 設計の変更、利用説明書での対応など ありえないことを想定して考えてみる. ありえないこと言ってみると、それよりはありえることは考えてよいことが分かる ありえることには対応しているようにする.
一人HAZOP 誘導語を見ながらありえないことを列記する 例えば:UFOの襲撃のようなありえないことでもよい(襲撃があった時点でUFO(未確認飛行物体ではない)でないという意味で) 思いついたことは必ず書く 書いたことは消さない(後で分類を変えることはあるが無駄ではない) 一つの誘導語を深堀してもいいし,まんべんなくせめてもよい
班HAZOP 自己紹介 今日,何を習得したいですか 仕事でなにをしているか どういう安全に興味があるか。
背景 ソフトウェア開発規模が大きくなると、作業の半分以 上が、試験・検証作業となる 試験・検証作業を効率的に行うのに2つの手法の提 案がある 分析の徹底(上流工程)、事後分析 設計審査(Design Review) 故障、安全分析(FMEA,FTA、HAZOP) なぜなぜ分析、4M5Eなど モデル(状態遷移等の設計)に基づく検証 モデル記述言語(MATLAB, UML, XML)の利用 形式手法による検証(Z, VDM, SPIN, Event-B, UPPAAL, Alloy)
概要 視点の違いによる誤解 消費者対応 背景 関連規格 JAXAの関連する取り組み ©ogawa.kiyoshi@nmiri.city.nagoya.jp
関連情報:プロセス改善ナビゲーションガイド JAXAの取り組みにHAZOPの記載あり IPA/SEC www.ipa.go.jp ダウンロード可能 委員:トヨタ自動車、デンソー、アドヴィックス/アイシン精機、日本電気、三菱電機、新日鉄ソリューションズ、マイクロソフト、JAXA、ブラザー工業、情報数理研究所、日新システムズ、大和コンピュータ、富士ゼロックス、アイエックスナレッジ、NTTデータ、住友電気工業、HBA、コンピータジャパン、同志社大学、 PM Academy,砂塚コンサルティングサービス、松原コンサルティング、名古屋市工業研究所 ©IPA/SEC
視点の違いによる誤解 視点1ではBはAの部分集合 視点2ではAはBの部分集合 誤解:自分は正しく相手が間違い
利用時の品質と意図した利用 利用時の品質(quality in use) B: 利用時の要求(requirements): 検証(Verification) A: 意図した利用(intended use):妥当性確認(Validation)
消費者対応 国際規格は、製造者、消費者に偏らない情報源である 消費者対応組織がある 日本工業規格は、製造者、消費者、中立委員の3者構成とする HazopはHazard analysis and operability study(危険分析と運用研究)なので利用者の利用状況の研究が重要
Automotive related safety/software standard ©ogawa ISO/IEC Guide50/51 IEC Guide104 22896 Safe-by-Wire FlexRay ISO 14121 IEC 60050 11898/16845 CAN ISO 12100 Autosar IEC 61882 HAZOP IEC 61000 EMC IEC 61508 LIN 15765 Diag on CAN IEC 61025 FTA ISO/IEC Directives 26262 17359 OSEK XML IEC 60812 FMEA 15497 ISO/IEC 17000s 23360 Linux MISRA-C 15026 SQuaRE 25000 19501 UML RUP 9899 C 9945 POSIX 19759 SWEBOK XP 15288 system 10007 16326 Automotive SPICE 15504 SPICE 90004 TS 16949 10006 12207 soft CMMI 90003 20000 9000s PMBOK
安全分析、試験検査 ソフトウェアだけでは人に危害を与えれない ハードウェアの動作で人に危害を与える 事前の分析で設計、対応を考慮 全ライフサイクルを常に対象にすることが重要 事前の分析で設計、対応を考慮 作る前、作りながらの試験、検査 モデルの作成(UML/SYSML, Matlab…) 量、質、順番、時間をHAZOPで明確に 形式手法で証明 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
安全仕様 (©JAXA) R:推奨 HR:強く推奨 NR:推奨しない 技法/手法 SIL1 SIL2 SIL3 SIL4 HTVでの実施内容 1 コンピュータ支援仕様、ツール R HR 仕様作成時は特にツールを使用していない。 2a 半公式法 論理/機能ブロックダイアグラム、 シーケンスダイアグラム、データ フローダイアグラム及び真値表等 を使用している。 2b 例えば、CCS, CSP,HOL,LOTOS, OBJ,temporal logic, VDM,Zを含む公式法 要求仕様の内、衝突等の主要ハザ ードの安全制御機能に関わるもの は、評価モデルとして形式的仕様 記述を用いた評価を実施している。 http://www.mext.go.jp/b_menu/shingi/uchuu/haifu/h17/anzen/05102401/001.pdf R:推奨 HR:強く推奨 NR:推奨しない
ソフトウェア設計及び開発:ソフトウェア・モジュール試験及び統合(©JAXA) 技法/手法 SIL1 SIL2 SIL3 SIL4 HTVでの実施内容 1見込み試験 R HR ランダム試験および、モデルを用 いたロバスト性確認試験を実施し ている。 2動的分析及び試験 設計審査、開発試験、ランダム試 験にて実施している。 3データ記録及び分析 試験データ、要因などの情報は文 書化し、管理している。 4機能及びブラック ボックス試験 開発試験において実施している。 5 性能試験 6インタフェース試験 http://www.mext.go.jp/b_menu/shingi/uchuu/haifu/h17/anzen/05102401/001.pdf R:推奨 HR:強く推奨 NR:推奨しない
故障分析と安全(危険・運用)分析 故障が原因で危険な状態になる場合は、故障分析を先に行う 国際規格になっている故障分析、安全分析 IEC FMEA(設計故障モード影響解析 IEC FTA(Fault Tree Analysis故障木解析) IEC HAZOP (Hazard and Operability Study) 利用事例図、時系列図、状態遷移図、刻時図の利用 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
HAZOP(危険・運用分析) 分析は経験に基づくが誘導語の枠は重要。 網羅的な事象の列記が可能で知識の体系化 が可能 要素/特性/処理変数(process parameter) 速度、方向、重量、温度、振動、電磁ノイズ、湿 度、重量分布、風速 誘導語(guide word) 無、過大、過小、部分、尚早、遅刻、事前、事後 分析は経験に基づくが誘導語の枠は重要。 網羅的な事象の列記が可能で知識の体系化 が可能 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
誘導語(guide word)
分野による部品と要素
事前準備 一人HAZOPを全員に実施 システムへの要求、必要な制約条件を出す うまくいく処理方法と、うまくいかない処理方法を区分する 結果 参加者の能力、経験の把握 無駄作業の排除 システムへの要求、必要な制約条件を出す 具体的な処理内容を特定 うまくいく処理方法と、うまくいかない処理方法を区分する 結果 妥当な要求であることが確認できる(分析) 妥当な設計であることを確認できる(設計) テストケースを出す(評価)
危険・運用分析に必要な構成員 作業の円滑化、記録 分析の視点の確保 知見の確保 座長 記録担当(時間測定を含む) 設計者 利用者 安全の専門家
HAZOPの手順 準備作業としての一人HAZOP 役割の確認 検討対象の記述(事前作業) 事項(処理変数)の洗い出し 現象(誘導語)の特定 座長、記録担当、開発側、利用側、安全の専門家 検討対象の記述(事前作業) 利用事例図、時系列図、状態遷移図、を書く(補足する) 事項(処理変数)の洗い出し 現象(誘導語)の特定 繰り返し
進め方の例 参加者の能力が分からないとき、作業の1回目は前提を設けずに、自由に発想する。 参加者の能力を見極め、お互いに気がつかないところを探す。 考え方、意見は否定せずに記録する。 間違いにきがついたら、消さないで、横棒で見えるように消す。
新しい視点が見当たらなければ 論理が飛躍していることがある 原因から結論に論理が飛躍していると気がついた場合は 、間の論理を追記する 原因と結果が逆転していることがある 誰の視点で見ているかを補足するとよいかもしれない 原因と対策が逆転していることがある 考え方と実現方法を分けて書いたほうがよいかもしれな い 人間に関する事項(たとえば教育)は、複雑に原因が入り組 んでいる 人間に関する事項は一見、同じ原因にたどり着くことがある。 対応策の十分性を考える際に、他に原因があることを確認するとよ い 単位系を利用する(その単位に該当する事象がないか)
要素と単位
赤信号停止システムの例 ©ogawa.kiyoshi@nmiri.city.nagoya.jp 無指向性無線 信号機の存在 を知らせる 青信号を検知せずに信号機を検知したら減速する 指向性無線 信号が青で あることを知 らせる ©ogawa.kiyoshi@nmiri.city.nagoya.jp
赤信号停止システムのHAZOP関連記述 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
安全システムの安全性 識 別 事項 現 象 差(ずれの内容) ずれの原因 システムへの影響 安全対策 1 電磁 ノイズ 過 大 信号が受 信できない 他無線機器 によるノイズ 信号の見落とし 無線の 二重化 風速 信号機が 発信しない 信号機の電 源供給停止 信号機の機能停止 目視 運転 21 振動 指向性無 線が発信しない 断線 信号機の一部機能停 止。青信号を検知せ ずに信号機を検知す る。すべての車が減速 し、渋滞を引き起こす ©ogawa.kiyoshi@nmiri.city.nagoya.jp
複雑な安全システムを網羅的に分析 検証の困難性 システムの障害の原因の判定 人間の複雑なものへの対応 誘導語で、危険な事象が起きる漏れ、抜けがないかを網羅 的に洗い出し。(なぜなぜ分析で、誘導語を利用しても同じ 効果) システムの障害の原因の判定 本システムの障害か、安全システム自体の障害か 人間の複雑なものへの対応 システムは、多重の入れ子構造になっている 交通システム 自動車 部品 部品の要素 ソフトウェア ©ogawa.kiyoshi@nmiri.city.nagoya.jp
ソフトウェア安全分析の例 ソフトウェアに起因する安全を阻害する事象の分析 ソフトウェアに起因する暴走 ソフトウェアに起因するハング データの間違った書き換え 電子部品のソフトウェアによる安全を阻害する事象 のソフトウェアによる検査 システム全体の安全を阻害する事象のソフトウェア による検査 検査ソフトウェア、安全機能を付加することによるソ フトウェアに起因する安全を阻害する事象の確率の 増加 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
状態遷移図と時系列(シーケンス)図利用の目的 図示 自然言語の仕様、人工言語のプログラムでは分かりにくい(一次元)ところを図(二次元)で表記 模型(モデル)を使った検査・検証 プログラムを書く前に、システムの検査を実施 プログラムを書く前に、統合試験の仕様を作成 開発言語によらないシステム記述ができる ソフトウェアかハードウェアかどちらが処理するか どの言語で記述するとよいシステムか
検討事例(これ以外の事項でもよい) 電源投入時にシステムが起動しないことがある ソフトウェアの暴走で、システムが止まる ソフトウェアの暴走で、システムが壊れる 目標の性能がでない(電源電圧・電流、モータのトルク)
事項(処理変数)の洗い出し 電源投入時にシステムが起動しない 電源・電池 配線 CPU メモリ プログラムカウンタ スタックポインタ
現象(誘導語)の特定 事項にもとづいた、現象の具体化の例:電源 なし(no):電圧0、電流0 過大(more):電源が定格電圧より大きい 過小(less):電源が定格電圧より小さい 部分(part of):電源が一部回路だけに伝達 尚早(early):CPUへの電源投入が他の機器より早すぎる 遅延(late):CPUへの電源投入が他の機器より遅すぎる 事前(before):電源投入前の操作をしていない 事後(after):電源投入後に別の信号が入ってくる 類似(as well as):該当思い当たらない 逆(reverse):逆電圧がかかっている
現象(誘導語)の特定 事項にもとづいた、現象の具体化の例:CPU なし(no):プログラムカウンタの値が0 過大(more):プログラムカウンタの値が大きすぎる 過小(less):プログラムカウンタの値が小さすぎ 部分(part of):プログラムカウンタの値が上位だけ 尚早(early):プログラムカウンタの値が早く変わりすぎる 遅延(late):プログラムカウンタの値が変わるのが遅い 事前(before):プログラムカウンタの設定がスタックポインタ の保存より先になっている 事後(after):プログラムカウンタの設定がスタックポインタの ロードより後になっている 類似(as well as):該当思い当たらない 逆(reverse):プログラムカウンタの値が上下逆
現象(誘導語)の特定 事項にもとづいた、現象の具体化の例:ソフトウェア なし(no):変数の値がない(初期化した0) 過大(more):変数の値が大きすぎ(オーバフロー) 過小(less):変数の値が小さいすぎ(アンダーフロー) 部分(part of):変数の値の上位が消えている 尚早(early):変数の値が変わる時期が早すぎる 遅延(late):変数の値が変わる時期が遅すぎる 事前(before):先に変わっているべき変数の値が変わっていない 事後(after):変数の値を代入できない 類似(as well as):整数のはずの変数が、浮動小数点数になって いる 逆(reverse):変数の値が逆数になっている。
その他の考慮する事項 ずれの原因 システムへの影響 安全対策 システムへの影響が大きい事項は、なぜなぜ分析を始めてもよい システム全体を知っている人が、考える 安全対策
事例:電源投入時にシステムが起動しないことがある 電源投入時の、システム全体を分析するか、CPUに ついて分析するか、ソフトウェアの挙動を分析する かを決める 例の状態遷移図には電源投入時の状態遷移がな い。電源投入時の状態遷移図を作って作業を始め る。 対象によって、事項の項目を2-3個あげる。(時間 の制約上) 事項によって、現象を5-6個割り振る。(時間の制 約上)
分析はどこまでやるか 試験・検証項目が網羅的に出るまで。 一人HAZOPをしてからやる。2時間やったら一人H AZOPに分かれる。1日で全部をやるかどうかは場 合による。複数グループでやる。 進捗、内容によって、違う日には、グループを分けて やる。 複数の手法を使い分ける。(手順例) FMEAをやってから、HAZOPをやる FMEAを作り直す 設計者を中心にFTAを作る HAZOPで出た課題を形式手法で検証する
分析と検証 人手だと限りがない分析 状態遷移だけでも検証したい 形式的に記述すれば検証できることも多い 事務機械の例: 分析と検証
実践作業 グループに分かれる(作業表を電子または紙で配布) 座長と記録担当を決める 課題の図を一つ書く 入出力、状態を考える 想定外の事を考える 測定、試験方法を考える 防御方法、対策を考える 頻度/致命度を考える
参加者の個人のまとめ わかったこと わからなかったこと よかったこと こんどやるとよいこと
まとめ 設計、分析、検証・試験は同時進行 故障分析・安全分析で、状態遷移図、時系列図、刻時図を使うと有効 分析結果から検証、試験事例を作成 V字モデルはナンセンス? 故障分析・安全分析で、状態遷移図、時系列図、刻時図を使うと有効 分析結果から検証、試験事例を作成 見るとやるとで大違い 自分の想定外が一つでも出れば成功
履歴 ©ogawa.kiyoshi@nmiri.city.nagoya.jp 2005年1月 名古屋市工業研究所における研究会の資料として作成(ver 1.0) 2006年11月 名古屋市工業研究所講演会資料 2007年4月 技術士会での講演で改訂 2007年6月 企業での技術指導で改訂 2007年11月 組込みLinux研修で改訂 2007年12月 名古屋市での講演で改定(ver 2.0) 2008年2月 名古屋市工業研究所講演会資料 2008年6月 名古屋市工業研究所講演会補助資料(ver 3.0) 2008年10月 組込み中核人材(名工大)(ver4.0) 2008年12月 なぜなぜ分析、安全分析演習だけ切り出し(ver 4.1) 2009年2月 HAZOP説明(ver 4.2) 2009年8月 UML研修(ver4.3) 2010年5月 UML & HAZOP(ver4.4) 2010年8月 SWESTでエレベータの扉について実施 2011年1月 WOCSで発表(別資料) 2011年5月 津波,放射線HAZOP(Ver5.0) 2011年6月 津波,放射線HAZOP(Ver 5.1) 2011年7月 安全工学シンポジウムで発表(別資料) 2011年9月 今日 ©ogawa.kiyoshi@nmiri.city.nagoya.jp
参考文献 5ゲン主義入門,古畑 友三,日科技連出版社 ,1996 なぜなぜ分析徹底活用術、小倉仁志、JIPMソリュー ション, 1997 4M5E http://www.n-iinet.ne.jp/4m5e.htm FMEA、FTA実施法、鈴木順二郎、日科技連、1982 μITRON4.0仕様書、TRONプロジェクト 名古屋市工業研究所研修テキスト、2008 MISRA-C解説書、日本規格協会、2004年・2006年
作業表の例 ID 要素・特性 誘導語 外れ(誘導語の展開) 検出方法 原因 1 液が ない(no) 液空(1) 電圧測定(2)、液面検査(目視)(21) 液漏れ(3) 2 逆(re verse) <該当なし>(19) - 静止しているので方向なし(19) 3 他(other than) 41 高い(more) 液が多い(8) 溢れ(目視)(9) 液の入れすぎ(10) 42 異液の混入(9) 5 少ない(less) 液が少ない(4) 液面検査(目視)(5) 電圧低下(6) 6 部分(part of) 一部のみに入っている(12) 液面検査(目視)(13) 電圧低下(14) 71 類似(as well as) 違う液が入っている10) ?1 電圧低下(11) 72 電圧変動(11) 8 早い(early) 反応速度が速い(16) 異物、異液の混入(17) 9 遅い(late) 反応速度が遅い(16) 電圧測定(20) A 前(before) <該当なし>(18) 直流なので定電圧(18) B 後(after) 表1-7液の分析表の例 *試験項目?要確認項目(?1設計部門で調査)
わかったこと 未経験でも想定外に絞れば,1人HAZOP, 班HAZOPでも実施できる できるだけ自由な発想をしてよく,作業する人は作業手順に拘らずに実施するとよい。 他の手法(FMEA, FTA, なぜなぜ分析など)を実施していると速度は早い
わからなかったこと 事前,事後のアンケートを作っていないので,習得率がわからない。 作業時間がいっぱいいっぱいだったので,疑問点が解消したかどうか。 仕事場に戻って,参加者がリーダとして実施できるか。
今日のよかったこと 進め方の指針がでた(1回目は、新しい発想を出すために。) 量のすくない人から発言してもらう 今後の作業分担に役立てる(管理者,人事) 障碍者,高齢者設計指針,子供向け安全ガイドに関する項目がでた 2グループでの経験
今後の課題 1回目のやり方は時間を切ってやることという説明をしたが,2回目以降のやり方についての説明ができていない。 設計指針,単位系など参照するとよいものについて示唆したが,実際に使って実施してないので,実施したときの課題の解決方法について提案していない。 原因と結果の入れ替え,別項目への移動など,実作業で頻繁にある事項の効率的な処理ができるためにはどういう能力があるといいかを説明していない。