列車制御システム仕様書の安全性確認手法

１．概要

列車制御システムは、速度照査機能や停止限界設定機能など、安全に関わる多数の機能を組み合わせて構成されています。その開発にあたっては、ライフサイクル上流で定めるトータルシステムとしての機能を定義するシステム仕様書に誤りがあった場合、後段の詳細設計・製造段階において、大きな手戻りとなる可能性があります。そこで、列車制御システムを構成する各機能において、必要となる安全対策がシステム仕様書に定義されていることを確認するため、各機能の安全性確認項目（以下、安全要件）のフォーマット（図１）を定めるとともに、このフォーマットを活用したシステム仕様書の安全性確認手法を提案しました。

２．特徴

このフォーマットの特徴は、システムに要求される各機能に対しての安全要件を、安全対策の手段の相違を明確にするため、システムに内在する危険要因の排除と、この排除が難しい場合での故障診断による危険要因の低減に分類し、体系的に構成した点です。

危険要因を根本的に排除するための制御論理やハードウェア構成による対策は、危険要因の排除欄に記載します。一方、診断および異常検知後の安全側制御は危険要因の低減欄に記載します。これらは、入力・処理・出力といった適用部位に分けて、フォーマットとして欄を定めます。これにより、故障検知後の安全側制御の定義漏れや、適用部位の相違による定義漏れの低減をはかります。

また、システム全体としての安全の確保には、機能単位での安全要件の確認だけでなく、機能間においても安全要件に関する整合性を確認する必要があります。そこで、これらの確認手順を手法として定め、確認項目の漏れの低減をはかることとしました（図２）。具体的には、まず、設計者が仕様書からシステムに要求される安全要件を抽出し、フォーマットをもとに機能ごとの安全要件を作成し、仕様書に安全要件に関わる漏れがないことを確認します。次に、設計者と独立した評価者が、定めた安全要件をもとに仕様書への記載の確認を行い、システムを構成する他の機能の仕様書との整合性を確認します。このようにして、トータルシステムでの安全要件に関する確認を行います。

この安全性確認手法の適用にあたっては、フォーマットに対応した確認支援ツールを構築することで、より効率的に実施することが可能になります（図３）。