[go: up one dir, main page]

JP7299361B2 - リスクをモデル化および査定するためのシステムおよび方法 - Google Patents

リスクをモデル化および査定するためのシステムおよび方法 Download PDF

Info

Publication number
JP7299361B2
JP7299361B2 JP2022001022A JP2022001022A JP7299361B2 JP 7299361 B2 JP7299361 B2 JP 7299361B2 JP 2022001022 A JP2022001022 A JP 2022001022A JP 2022001022 A JP2022001022 A JP 2022001022A JP 7299361 B2 JP7299361 B2 JP 7299361B2
Authority
JP
Japan
Prior art keywords
risk
sua
electronic model
section
modeling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022001022A
Other languages
English (en)
Other versions
JP2022106685A (ja
Inventor
ロベルト・プト
マーティン・ザーベック
ミヒャエル・ファイファー
ジュ・ハイフェン
エンリコ・ザイデル
Original Assignee
ティーユーヴィー・エスユーディー・ホンコン・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ティーユーヴィー・エスユーディー・ホンコン・リミテッド filed Critical ティーユーヴィー・エスユーディー・ホンコン・リミテッド
Publication of JP2022106685A publication Critical patent/JP2022106685A/ja
Application granted granted Critical
Publication of JP7299361B2 publication Critical patent/JP7299361B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/205Parsing
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31461Use risk analysis to identify process parts that should be specially monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Automation & Control Theory (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Geometry (AREA)
  • Computer Hardware Design (AREA)
  • Manufacturing & Machinery (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)
  • Testing Of Devices, Machine Parts, Or Other Structures Thereof (AREA)

Description

本開示は、リスクをモデル化および査定するためのシステムおよび方法に関する。
以下の背景の考察は、単に本開示の理解を容易にすることが意図されている。同考察が、言及される資料のいずれも本発明の優先日にいずれかの管轄区域において公開されていた、公知であった、または当業者の共通の一般知識の一部であるという確認または承認ではないことが認識されるべきである。
リスクモデリングおよびアセスメントは、コンポーネント、デバイスまたはシステムのライフサイクルの全体にわたって必要な活動である。1つの方法は、潜在危険およびそのような危険の可能な緩和を手動で文書化することを含む。文書化プロセスを支援するためにスプレッドシートなどのツール支援が利用可能であり得るが、ツール支援は、典型的に文書化を管理するために活用されており、自動的に深層意味解析を行うまたは決定プロセスを行うためには利用可能でない。加えて、リスク識別の手動文書化は労働集約的であり得、これの結果としてコスト増加、効率低減またはヒューマンエラーになり得る。
上述したような手動手法に加えて、リスクをモデル化および評価する様々な手法、例えばモデルベースエンジニアリング方法が企図されてきた。一般に、そのようなモデルベースエンジニアリング方法は、1つの全体に関わるシステム設計、統合設計およびリスクアセスメントにおいて機能および安全性関連特性をモデル化する表記法およびツールを提供することを意図する。「システムを設計すること」と「システムを査定すること」との間のこの関連は、特に独立した再検討にとって問題を含む。更には、統合は、モデルに含まれる要素にリスクアセスメントおよび評価を不必要に制限する。結果的に、環境に存在するが、システム設計の一部ではないいずれの防護措置も見落とされるであろう。加えて、モデルベースエンジニアリング方法は、動的または自発的に相互作用するシステムのシステムオブシステムズ(system-of-systems)を分析するまでにも至らない。更には、エンジニアリング方法は、通常全てのベンダーに同じ方法論で自身のコンポーネントを設計することを要求するが、これは非現実的な前提であり得る。
別の手法は、「実行時方法」として要約され、アセスメント中のシステムのリスクを実行時に推定し、それに応じてシステム挙動を変化させる様々な仕方を提案する。そのような方法が防護措置を評価するのでなく代わりにそれを実装することが認識されるはずである。
別の手法は、「形式方法」として要約され、基底システムの形式モデリングに依存する。しかしながら、そのようなモデルは、リスク査定者が形式モデリングに精通していないことがあるので、一般に使用するのが困難である。加えて、公知の形式モデルは、それらの用途が制限されかつ形式モデリングと関連した計算量のため集約的な計算資源の使用を伴い得る。既存の形式手法は、アセスメント中のシステム内の動的変化および相互作用する要素を望ましいように扱うことができないことがある。
要約すると、既存のシステムおよび方法は、リスクをモデル化および査定するには重大な欠点を有する。使用される方法に応じて、それらは、アセスメント中のシステムからの完全な独立を達成することができず、リスクの完全なモデリングを達成することができず、かつ典型的に領域固有である。
上述の問題の1つまたは複数を軽減する改善されたシステムおよび方法の必要性が存在する。
本開示は、適応的または動的に相互作用する産業資産の安全性および/またはセキュリティコンプライアンスを自動的に査定することが可能なシステムを提供する。
それは、資産効率および価値生成を最大化する目的で、Industry4.0パラダイム、すなわち相互接続性、柔軟性および変化への適応性の向上によって提起される安全性および/またはセキュリティ課題に対処する。
上記システムは、既存の標準に定められるような産業資産の安全性およびセキュリティリスクをモデル化する方法を特徴とする。物理的安全領域において、リスクは、人間などの生物の健康への物理的損傷または他の結果の形態の危害と関連付けられ得る。上記方法は、追加的に資産および/または環境への物理的損害と関連した安全性リスクをモデル化および査定できる。全体として、それは、いずれか一対の資産の相互作用から生じる用途固有の安全性およびセキュリティリスクのアセスメントを可能にする。本開示は、ヒューマンエラーを低減させるような方式でリスクアセスメントの速度および柔軟性を改善するのに適している。上記システムおよび方法は、様々な動作ユースケースに展開され得る。
上記システムは、従前の安全性および/またはセキュリティアセスメントのワークフローと統合できる。それは、産業用モノのインターネット(IIoT)のコンテキストでコンポーネント、製品およびサブシステムの設計および製造のための開発活動の一部を形成することもできる。
上記システムは、将来の標準化努力のためにも使用され得る。上記システムおよび方法が、対象の専門家にとって理解するのが簡単であるが、依然として形式的に正しい形式主義を提供することが認識可能である。それは、人々によっておよび機械によって利用可能であるように課題を克服する。
上記システムは、安全性および/またはセキュリティの観点から既に有効なシステム用途と一緒に展開されて、アセスメント中のシステム(SUA)内の或る特性またはパラメータが変化すると動的に適合性を再評価できる。
上記システムは、SUAの機能および動作調整に基づく自然言語を機械解釈可能セマンティックにマッピングする観点からの1つまたは複数のリスク(危険/脅威)をモデル化する。そのようなマッピングは、機械可読言語でリスクアセスメント(リスク分析、リスク推定およびリスク評価を含み得る)を形式化して、適応リスクアセスメント、リスク低減および結果として理想的な自動安全性証明を可能にする。
システムセマンティックは、SUAと関連したリスクモデルとして形式的に定義できる。リスクモデルの抽象階層における各層は、より低レベルの構成要素に還元されて、正確な意味論的意味を提供できる。最低レベルにおいて、本開示に係る危険モデリングの他にリスクアセスメントおよび低減は、集合理論、型理論および構造の数学的厳密さに基づく。
本開示の他の態様および特徴は、添付の図と併せて以下の具体的な実施形態の記述に記載される。実施形態が非限定的な例であることが当業者によって認識および理解されるであろう。
図において、単に例として、本発明の実施形態を例示する。
本開示のリスクモデリングおよびアセスメントシステムとアセスメント中のシステムとの間の関係の概念的概観を示す図である。 一実施形態に係るリスクモデリングおよびアセスメントシステムの系統図である。 リスクモデリングおよびアセスメントシステムとの使用のための電子モデル仕様120の可能な構造を例示するものであり、XML形式の電子モデル仕様120のシンタックスを例示する図である。 リスクモデリングおよびアセスメントシステムとの使用のための電子モデル仕様120の可能な構造を例示するものであり、モデリング言語のトップレベル要素を表化する図である。 リスクモデリングおよびアセスメントシステムとの使用のための電子モデル仕様120の可能な構造を例示するものであり、モデリング言語の基本言語要素を表化する図である。 リスクモデリングおよびアセスメントシステムとの使用のための電子モデル仕様120の可能な構造を例示するものであり、型システムの基本型を表化する図である。 一部の実施形態に係るリスクモデリングおよびリスクアセスメントの実装のために使用できる拡張可能なアプリケーションプログラミングインタフェース(API)のコンポーネントを示す図である。 1つまたは複数の電子モデル仕様の作成のために使用されるモデリング言語構成要素の一実施形態を示す図である。 1つまたは複数の電子モデル仕様の作成を容易にする、グラフィカルインタフェースの形態の支援ツールの一実施形態を例示する図である。 集積回路チップ(IC)の形態のリスクモデリングおよびリスクアセスメントシステムのハードウェア実施形態を例示する図である。 リスクモデリングおよびリスクアセスメントシステムがネットワークを通じてサービスとして分散および展開される一実施形態を例示する図である。 アセスメント中のシステムと関連したリスクをモデル化するための方法の一実施形態を描くフローチャートである。 アセスメント中のシステムと関連したリスクアセスメントのための方法の一実施形態を描くフローチャートである。
本明細書で使用される場合、用語「備える(comprise)」または「comprises」もしくは「comprising」などの変化形は、明記される完全体または完全体の群を包含することを意味するものであり、いかなる他の完全体または完全体の群も除外することを意味するわけではないと理解されるであろう。
本明細書で使用される場合、用語「含む(include)」または「includes」もしくは「including」などの変化形は、明記される完全体または完全体の群を包含することを意味するものであり、いかなる他の完全体または完全体の群も除外することを意味するわけではないと理解されるであろう。
本明細書で使用される場合、用語「してよい(may)」または「できる(can)」は、明記される完全体または完全体の群を包含することを意味するものであり、いかなる他の完全体または完全体の群も除外することを意味するわけではないと理解されるであろう。
本明細書で使用される場合、用語「アセスメント中のシステム」(SUA)は、本開示のリスクモデリングおよびリスクアセスメントシステムとインタフェースされるのに適切であるいかなるシステムも指す。SUAの非限定的な例は、生産システム、製造システム、ロジスティックシステム、化学プラント/反応器システム、廃棄物焼却システム、防爆区域、工事現場、原子力プラント、石油精製所、ガス精製所、サイバーセキュリティシステム、自動化および制御システム、ならびに上述のシステムの1つまたは複数の組合せを含む。SUAは、単一の機械、車両および/または製品と同じくらい小さくなることができる。SUAは、その階層または非階層構成に関係なく、評価されている全体システムを指してよい。SUAは、動作中に互いと相互作用する2つ以上のシステムも含むことができる。
本明細書で使用される場合、用語「SUAの要素」は、SUAの構成要素を指すことができる。非限定的な例は、部屋、建物、棚などの物理的設備、無人搬送車、フォークリフト、輸送車両などの車両、1つもしくは複数の機械、および/または物理的設備、車両、機械等の一部もしくは一区画を含む。SUAの要素は、以下の1つまたは複数などの論理的構成要素も含む:オペレーティングシステム、ネットワークドライバ、ソフトウェアアプリケーション、暗号化サービス、安全機能等。
本明細書で使用される場合、用語「リスク」は、安全性違反、危険および/またはセキュリティ違反、危険を含む。本明細書で使用される場合、用語「リスク」は、現在の技術標準に定められるような許容リスクレベルに対する安全性および/またはセキュリティギャップの例も含む。そのようなリスクの非限定的な例は、閉込めリスク(すなわち1つまたは複数の機械によって閉じ込められる人間オペレータ)、爆発リスク、火災リスク、盗難、敷地内への不正侵入、機密情報の不正獲得等を含む。
本明細書で使用される場合、用語「リスク関連特性」は、SUAのコンテキストで1つまたは複数の種類のリスクと関連付けられる属性を指す。例えば、リスク関連特性は、爆発リスクに至り得る一部屋の可燃性物質内の火花、衝突リスクに至り得る物体/人の進路内の車両等であることができる。リスク関連特性は、リスクを緩和するための属性(例えば安全機能およびセキュリティ対策)の他に、一般のコンテキスト情報(例えば地球の重力)も含むことができる。
本明細書で使用される場合、用語「自然言語」は、人間による使用中に自然に発達されかつ、英語、中国語、日本語、ドイツ語などの言語を含むことができる1つまたは複数の言語を含む。用語「自然言語」は、方言および口語体も含むことができる。
本明細書で使用される場合、用語「システムセマンティック」は、SUAのコンテキスト内で活用されるセマンティックを指す。システムセマンティックは、人間によって理解できかつ適切なコンピュータコンパイラ/プロセッサによっても解釈できるシンタックスおよびシステムのためのその意味を含む。
本明細書で使用される場合、用語「条件」は、自然または擬自然言語で表現されかつシステムセマンティックにマッピング可能な命題を表す。命題は、リスクを引き起こし得る1つまたは複数の表現から成る。条件が「真」に評価されれば、条件と関連した容認できない/緩和されていないリスクが存在する。条件が「偽」に評価されれば、条件と関連したリスクは「許容できる」と考えられ、したがって追加の安全および/またはセキュリティ対策は必要でない。
本明細書で使用される場合、用語「リスクアセスメント」および「リスク評価」は、SUAの設計から意図的に分離されかつ独立していると理解される。加えて、用語「リスクアセスメント」および「リスク評価」は、いかなる識別されたリスクも緩和する勧告から分離しかつ独立している。リスクアセスメントおよびリスク評価結果は、主に設計を検証および/または確認し、そして不適合を列記するために使用される。特に、用語リスクアセスメントは、リスク分析、評価および/またはリスク低減を含む。
本明細書で使用される場合、用語「ネットワーク」は、1つもしくは複数のデバイス間の通信および/または他に記憶されるコンテンツを提供するいかなる手段であることもできる。本明細書で使用される場合、ネットワークは、パーソナルエリアネットワーク、ローカルエリアネットワーク、ストレージエリアネットワーク、システムエリアネットワーク、ワイドエリアネットワーク、仮想プライベートネットワークおよび企業プライベートネットワークであることができる。ネットワークは、1つもしくは複数のゲートウェイを含むまたはゲートウェイを含まないことができる。ネットワーク通信は、公開された標準プロトコルまたはプロプライエタリプロトコルを介して行うことができる。
本明細書で使用される場合、いかなるネットワークを通じたデータの通信も、(i)符号化または復号、(ii)暗号化または復号、(iii)有線ネットワーク、無線ネットワーク、または有線および無線ネットワークの組合せを介して搬送できる。無線通信は、Wi-Fi802.11ネットワーク、Bluetooth(商標)ネットワークまたは移動電話ネットワーク(3G、4G、LTEおよび5Gなど)を含むいかなる実際的な方式でも達成できる。用語「接続する(connect)」、「connected」および「connecting」は、本明細書で使用される場合少なくとも2つのデバイス間の通信リンクを指しかつこの段落で述べられるように達成できる。
本明細書で使用される場合、用語「関連付ける(associate)」、「associated」および「associating」は、少なくとも2つの事項間の定められた関係(または相互参照)を示す。そのような定められた関係は、1つまたは複数の数学的方程式および/または公式で表現されてよい。
本明細書で使用される場合、用語「コンピューティングデバイス」は、デスクトップコンピュータもしくはラップトップコンピュータなどの単一のスタンドアロンコンピュータ、シンクライアント、タブレットコンピュータ、組込みコンピュータまたは移動電話でよい。コンピューティングデバイスは、ローカルオペレーティングシステムを走らせ、そしてローカルストレージドライブ上にコンピュータファイルを記憶してよい。コンピューティングデバイスは、1つまたは複数のコンテンツリポジトリへのゲートウェイを通じてファイルおよびアプリケーションにアクセスしてよく、コンテンツリポジトリは、ファイルをホストしかつ/または仮想アプリケーションを走らせてコンピューティングデバイスのための仮想デスクトップを生成できる。
本明細書で使用される場合、用語「サーバ」は、単一のスタンドアロンコンピュータ、単一の専用サーバ、複数の専用サーバ、ならびに/またはサーバのより大きなネットワーク上で走る仮想サーバおよび/もしくはクラウドベースのサービスを含んでよい。サーバは、仮想マシンも含んでよく、かつクラウド上でホストされる1つまたは複数のコンピューティングサービスを含むことができる。クラウドは、プライベートかパブリックの商用クラウドであり得る。
本明細書で使用される場合、用語「ランタイム」は、本システムの実装および実行に関するコンピュータ処理期間のコンテキストで使用される。ランタイムは、リアルタイム要件を満たすことを要求されてもされなくてもよい。
本明細書で使用される場合、用語「パラメータ」は、変数、定数、任意の測定可能な(定量的または定性的)量、および前述のいずれかの派生を含む。
本明細書で使用される場合、用語「物理特性」は、測定可能である特性を指し、その値がSUAの状態を記述する。物理特性の非限定的な例は、温度、色、圧力、距離、応答時間、コンピュータのメモリ消費等を含む。
本明細書で使用される場合、用語「機能特性」は、入力に応答したシステムの出力の性能、正確度および一貫性を指す。例えば、自動車制動システムは、入力制動力が印加されたときに或る距離(出力)内で制動することを要求されてよい。
本開示の一態様によれば、SUAと関連した少なくとも1つの電子モデル仕様であって、SUAの少なくとも1つの要素と関連した応用セクションであり、応用セクションが、少なくとも1つの要素と関連した安全性セクションおよびセキュリティセクションの少なくとも1つを含み、安全性セクションおよびセキュリティセクションの少なくとも1つが複数のリスク関連特性を備え、複数のリスク関連特性が自然言語からシステムセマンティックにマッピング可能であり、システムセマンティックがSUAの物理または機能特性と関連した、応用セクションと、実現する安全性違反およびセキュリティ違反の少なくとも1つと関連した少なくとも1つの条件を特定する条件セクションであり、少なくとも1つの条件が複数のリスク関連特性の少なくとも1つを備える、条件セクションとを備える、少なくとも1つの電子モデル仕様と、安全性違反およびセキュリティ違反の少なくとも1つと関連した少なくとも1つの条件を評価して、リスクが存在するかどうかを判定するように構成される評価エンジンとを備える、リスクをモデル化および査定するためのシステムがある。
図1は、本開示のリスクモデリングおよびアセスメントシステム100とSUA1900との間の関係の概念的概観を示す。システム100は、SUA1900から情報を得て少なくとも部分的に入力を導出するように、それと通信して配置されてよい。システム100とSUA1900との間の通信は有線または無線であることができる。代替的にシステム100はSUA1900と通信していなくてよく、入力はシステム100に手動で提供される。システム100は、システム100の存在、使用または相互作用によってSUAがその作用において影響されないという意味でSUA1900から独立している。システム100は、SUA1900をモデル化および査定するように構成される。少なくとも1つのリスクが存在すれば、システム100は、少なくとも1つのリスクを、ユーザの動きに対する、リスクを実現させる条件の連言リストなどの条件のリストの形態でモデル化する。リスクが複数の可能性により生じ得るまたは複数のリスクが存在すれば、条件の連言リストは選言を使用して結合されてよい。条件のリストが複数のリスク関連特性を含むことが認識可能である。
図1に示されるように、システム100は、SUA1900をモデル化して、そのパラメータを得る。SUAに何らかの変更がなされる場合、システム100は、実行時中に変更パラメータを得てよい。システム100は、例えばトリガを介して変更イベントが検出されるたびに変更パラメータを得るように構成されてもよい。代替的にまたは加えて、システム100は、所定の時間間隔ごとにSUA1900を検査して、いかなる変更も検出するように構成されてもよい。システム100が、実行時/設計フェーズ/バッチモード/オンライン対オフライン/シミュレーション状態などの、SUA1900の様々なシステム状態でSUA1900を検査するように構成されてもよいことが企図される。システム状態は、SUA1900の様々なシステムライフサイクル段階に対応してよい。
図2に示されるように、システム100は、SUAおよびSUA1900において生じ得る関連した安全性および/またはセキュリティリスクをモデル化するための電子モデル仕様120を備える。
各SUAが異なってよく、かつ動作シナリオまたはSUAに追加されるはずの追加コンポーネントに応じて各SUAに対して作成される複数の電子モデル仕様120があることができることが認識可能である。複数電子モデル仕様120が作成される状況では、複数の電子モデル仕様120の各々は断片とみなされまたは称されてよい。電子モデル仕様120の複数断片が異なるリモートソースから作成されて組み合わされてよいことが認識可能である。そのような組合せは、1つの電子モデル仕様断片において1つまたは複数の他の電子モデル仕様断片を参照することを介して行われてよい。例えば、機器ベンダーなどのユーザが、自身の会社のドメインのユニフォームリソースロケータ(URL)などのウェブ資源を通じて入手可能な電子モデル仕様120を作ることを選んでよい。システム100は、SUA1900のためのいかなる新たに追加された電子モデル仕様120もリモデリングのために検出するように構成されてよい。各電子モデル仕様断片が他の電子モデル仕様断片と同じ基本構成要素を共有することが認識可能である。
電子モデル仕様120の作成は手動で(例えばリスク査定者、機器ベンダー、システムインテグレータ、リスクアセスメント専門家によって)または自動的に(例えばシミュレーションエンジンもしくは推論エンジンによって)行われてよい。グラフィックエディタなどのコンピュータ支援ツールを介する電子モデル仕様作成の半自動プロセスも企図される。一部の実施形態において、推論エンジンは、リスクアセスメント専門家をモデル化する1つまたは複数の人工知能(AI)エンジンを含んでよい。
電子モデル仕様120はモデリング言語に従って作成される。モデリング言語は、リスクのモデリングを容易にする既定のセマンティック、規則セットおよび構造を有する。モデリング言語は、SUA1900の1つまたは複数の特性が表現性、正当性およびユーザ理解性の要件を満たすように文書化され得る仕方を定義する。文書化された特性はリスクアセスメントおよび/または評価のために妥当であり得る。
モデリング言語は、様々な仕様言語シンタックスで実現できるメタモデルとみなされてよい。メタモデルは、アプリケーションプログラミングインタフェース(API)の一部を形成するコンポーネントによって管理されてよい。適切なシンタックスの一例は拡張マークアップ言語(XML)、人間可読でも機械可読でもある形式に文書を符号化するための規則セットを定義するマークアップ言語である。他の適切なシンタックスは、JavaScript Object Notation(JSON)およびYAML Ain't Markup Language(YAML)シンタックスを含むことができる。
モデリング言語メタモデルが所望の言語実現で有効な電子モデル仕様書を定義する規則を含むことが企図される。これは、マッチング実現パーサまたは構文解析器が利用可能である限り、リスク、例えば安全上の危険のモデリングが仕様言語から独立していることを意味する。そのような柔軟性は、既存のツール、フレームワークおよび概念が電子モデル仕様の全体の定義構造の下で活用されるようにする。例えば、XMLエディタ、文書確認、XPathおよびXLink仕様、リソース記述フレームワーク(RDF)等を活用できる。
電子モデル仕様120は、SUAの少なくとも1つの要素と関連した応用セクション140を備える。応用セクション140は、少なくとも1つの要素の使用の範囲を含む、SUAの各要素の通常動作のコンテキストを提供する。例えば、SUAの要素がチェーンソーなどの工具である場合、応用セクション140は工具の適正使用を提供する。例えば、液体を撹拌するためのチェーンソーはチェーンソーの適正使用でない。したがって要素に加えて応用コンテキストがモデル化される必要がある。
応用セクション140は、少なくとも1つの要素と関連した安全性セクション142および/またはセキュリティセクション144の少なくとも1つを含み、安全性セクション142およびセキュリティセクション144の少なくとも1つは複数のリスク関連特性を備える。複数のリスク関連特性は、自然言語からシステムセマンティックであって、SUAの物理または機能特性と関連した、システムセマンティックにマッピング可能である。
システムセマンティックへの自然言語のそのようなマッピングの一例として、リスク関連特性の自然表現「無人搬送車(AGV)の進路に人がいる」を考える。自然人、すなわちそのようなリスクを文書化する人間ユーザによって容易に理解されるのに対して、この表現は、SUAのコンテキストに合う機械可読システムセマンティックへ変換されなければならない。そのようなマッピングの一例が、人とAGVとの間の距離などの物理特性としての形態でモデル化されてよい。文「AGVの進路に人がいる」が真であるかどうかは、既定の閾値(例えば3メートルの距離だけ離れる)に依存できる。そのような既定の閾値は、AGVの速度または重量などの他の物理特性によって変化してもまたは影響されてもよい。例えば、AGVの速度が高ければ、人とAGVとの間のより長い距離が閾値として定義されてよい。同様に、AGVによって運ばれる積載物がより重ければ、AGVと人との間に必要とされる距離は衝突を防止するためにより長くてよい。
マッピングの別の例がリスク関連特性の自然表現「飛火」である。フライス盤などの或る動作の通常過程において火花が発生され得るのに対して、SUAのコンテキストに応じて、これは、例えば飛火を隔離するいかなる適切なバリアもない開かれた部屋において安全性リスクの一因となり得る。飛火がリスクを構成すると評価されるか否かは、適切なバリアが閉じられるか開かれるかなどの機能特性の形態のモデリングまたはマッピングに依存することになる。
電子モデル仕様は、実現する安全性違反およびセキュリティ違反の少なくとも1つと関連した少なくとも1つの条件を特定する条件セクション146も備える。少なくとも1つの条件は複数のリスク関連特性の少なくとも1つを備える。一例として、条件は、式1に示されるように条件の連言リストとして表現されてよい:
(person_is_in_path_of_agv)∧(agv_cannot_brake) (1)
式1は危険モデルの簡易例である。危険が生じるまたは実現するためには式(1)内の全ての要素が真であると評価されなければならない。リスク関連特性「person_is_in_path_of_agv」は、説明されたように物理および/または機能構成を通じて定義されてよい。例えば、「進路内」命題は、単に所与の閾値より小さい人とAGVの進路との間の距離としてモデル化できる。条件は式2でモデル化されてよく、2つのパラメータ(人、AGV)に基づく簡易「in_path_of」命題を定義する。人とAGVの進路との間の距離が閾値より小さいときに条件は真である。「$」記号が前に付けられたシンボルは変数を表す。完全な危険説明は以下に与えられる例がSUA依存であるより複雑であることが認識可能である。
(in_path_of $person $AGV):=(<(距離(位置($person)(path_of $AGV))$threshold) (2)
リスク関連特性「agv_cannot_brake」または「agv_cannot_brake_in_time」は、AGVの制動システム、床特性およびAGVの重量の関数であることができる。SUAに複数の危険がある場合、それらは、選言(すなわち「OR」演算)を使用して組み合わされてよい。危険のいずれも全体システムの適合性を無効にし得る。
図3a、図3b、図3cおよび図3dは、電子モデル仕様120の様々な実施形態を例示する。図3aはXML形式の電子モデル仕様120のシンタックス例を例示し、図3bは電子モデル仕様を作成するために使用されるモデリング言語のトップレベル要素を表化し、図3cはモデリング言語の基本言語要素を表化し、そして図3dはモデリング言語の型システムの基本型を表化する。
図3bは、応用、安全性、セキュリティおよび条件セクションに加えて電子モデル仕様の追加セクションを例示する。追加セクションは、定義セクションおよび世界セクションを含んでよい。
定義セクションはデフォルトおよびユーザ定義構成要素を導入する。例えば、モデリング言語は、値のための型などの基本要素およびロボットの新しい型などの複合要素の定義を可能にし得る。
世界セクションは、一意にリスクでも緩和でもない、アセスメントのためのSUAの任意の他の関連特性を列記する電子モデル仕様120のセクションである。世界セクションは、SUA1900の少なくとも1つの一般特性を備える。そのような一般特性は、SUAのいかなるリスクにも直接関連がなくてもよいが、SUAのリスクアセスメントに影響を及ぼし得る物理および/または機能特性であることができる。一般特性の非限定的な例は地球の重力である。
図3cは、電子モデル仕様120の意味言語要素の表を示す。言語要素の1つまたは複数がリスクモデリングおよび定義のために活用されてよい。特に、言語要素インポートは、外部電子モデル仕様断片を参照するために使用されてよい。
図3dは、電子モデル仕様120を作成するために使用される仕様言語の一部としての種々の型の表を示す。
条件セクションに列記されるまたは安全性/セキュリティセクション内で定義されるように、安全性またはセキュリティ危険を引き起こす各条件に対する解が探索または解空間内で発見され得る。この目的で、システム100は、探索空間を定義しかつ条件を真/偽回答に評価する評価エンジン160を含む。一部の実施形態において、評価エンジン160は、スクリプト評価器162およびソルバ評価器164を含む。一部の実施形態において、評価エンジンは、全体の計算量を削減する最適化問題としてSUA1900のリスクをモデル化することに基づいてSUAの容認性を判定してよい。探索空間を活用してもしなくてもよい適切なアルゴリズムが企図されてよい。非限定的な例は、遺伝的プログラミング/アルゴリズムなどの進化的アルゴリズム、回帰アルゴリズム、ニューラルネットワーク、ファジー論理システム等を含む。
スクリプト評価器162は、ソルバ評価器164のための入力を統合する。一部の実施形態においてスクリプト評価器162は、例えば代入および冗長または重複解を削除することを通じて、各条件の探索空間を削減するように動作する。例えば、人とAGVとの間の距離が式(2)の既定の閾値より小さい2つ以上の解がリスク関連特性「person_is_in_path_of_agv」を真であると評価し得る。スクリプト評価器162は、評価のために必要とされる計算資源を削減するために探索空間から冗長解を削除するように動作する。
計算量または解空間を削減する別の例として、式(1)および(2)のAGVを考える。3つのパラメータの関数として表現されるAGVの制動距離(メートルで表現される)を計算する公式/数式があると仮定する:AGVの現在の速度、AGVによって運ばれる任意の積載物の重量を含むAGV有効重量、および印加される制動力(すなわちf(速度,重量,力))。同公式は、AGVが完全に停止するために必要とするであろう距離を出力する。制約ソルバにおいて生成される条件があると仮定し:(f(速度,重量,力)<2)、AGVが人から2メートル以内に停止しなければならないことを意味する。制約ソルバにおいて非線形関数を計算することは計算的に高価であり得る。スクリプトソルバは、同公式を単純化する、または全てのパラメータが既知であればそれを結果と完全に置き換えることができる。fが1.5メートルに評価されると想像する。その場合(1.5<2)は単純に「真」である。同公式を単純化するまたはそれらを完全に置き換えることによって、スクリプトソルバが、スクリプトソルバが考慮しなければならない変数の数を削減することが認識可能である。
ソルバ評価器164は各条件を「真」か「偽」かに評価する。条件が「真」に評価されれば、該当する条件と関連するリスクが存在し、したがってSUAを容認できず、すなわち不適合が検出される。換言すれば、ソルバ評価器164は、このように条件全体が「真」に評価されるようにする各リスク関連特性への割当てを発見する制約ソルバとして機能する。発見された割当ては、次いでSUAを容認できない理由に関して自動的に議論を構成する。
リスクモデルを、充足可能性モジュロ理論ソルバ(SMT)モデルなどであるがこれに限定されない、決定論的モデルとして表すことができることが企図される。加えて、評価プロセスは形式的に検証可能である。
一部の実施形態において、評価エンジン160は、各条件が評価される前にSUAから現在のまたは更新されたパラメータを受信するように構成されてよい。一部の実施形態において、リスク関連特性の1つまたは複数がSMTモデル内の制約へマッピングされてよい。
一部の実施形態において、安全性セクションと関連付けて防護セクション147が開発されてよく、そしてセキュリティセクションと関連付けて緩和モデル148が開発されてよい。防護措置(安全領域における)または対策(セキュリティ領域における)セクションは、連言公式として安全性/セキュリティリスクに類似してモデル化されてよい。リスクモデリング言語は、リスクの構成要素の否定の観点から緩和を定義する。例として式(1)および(2)を使用して、有効な安全機能は、AGVが常に適時に制動または減速することができることを確認できる。これは、AGVの速度を低下させて「agv_cannot_brake」条件を無効にする安全機能によって実現され得る。別のオプションは、リスク関連特性「person_is_in_path_of_agv」に対処する安全機能でよい。緩和モデルは、人とAGV進路との間の距離が決して短くなり過ぎないことを保証できる(すなわち衝突回避)。そのようなモデリング方法論は、それがなぜ所与の安全性またはセキュリティ危険に対して有効であるかを説明する防護措置と緩和との間の明白かつトレース可能な意味関係を確立する。
緩和が効果的であるために、システム100は、各防護措置(公式)がそれ自体で充足可能であることを確認する。これが別の重要な要件であるのは、無効な防護措置の結果としてSUAのアセスメントが「偽」を与え、したがってシステムに残っている1つまたは複数の緩和されていないリスクの存在があるときでも、SUAが適合していると誤って査定し得るためである。リスクモデルがSUAの適合性を評価するのに加えて緩和モデルが使用されてよいことが認識可能である。
一部の実施形態において、電子モデル仕様の形式主義は、アプリケーションプログラミングインタフェース(API)400の形態で、図4に列記されるコンポーネントに基づいてよい。API400は3つのカテゴリへ組織化される:(1)インタフェース402、(2)ランタイム404および(3)言語406。
インタフェースカテゴリにおけるコンポーネントは、電子モデル仕様120および評価エンジン160がどのようにパッケージ化、使用およびインタフェースされるかを定める。システム構成は、モデリング言語構成411、入力の解釈、実行パス、ロギングレベル、認証、ネットワーク設定等などの環境設定を含む、各種の設定を含む。実行可能ファイル412は、目標の実行プラットフォーム(すなわちSUA1900)のためにコンパイルされたバイナリ実行可能ファイルである。コマンドラインツールとしてのおよびウェブサービスとしての実行を含む、幾つかの相互作用のモードが企図される。更には、ライブラリとしての実行可能ファイルは、システム設計ツールまたは製造実行システム(MES)などの補助ツールに埋め込む、またはそれらによって呼び出すことができる。
ランタイムカテゴリ404におけるコンポーネントはシステム100の実行を可能にする、すなわち、それらは、SUAからパラメータを受信し、SUAと関連したリスクモデルを生成し、そして探索空間を生成することを含む、システム100のアルゴリズムを実装する。レジストリコンポーネント413が、評価ラン中にサポートされる言語要素の集合を制御する。レジストリコンポーネント413は、言語および方法論の拡張性のためのコア特徴となる、エイリアスによるおよび型による言語要素にわたる一般化を可能にする。コンテキストコンポーネント414は、定義された型、変数および関数を含む実行スコーピング機構を実装する。モデルコレクタコンポーネント415が、SUAと関連したリスクモデルを作成するアルゴリズムを実装し、これは、それぞれスクリプトソルバ416およびモデルソルバ417を通じて実装される2つの評価パスによって評価される。評価の結果は形式化されて、構成されたインタフェースを通じて発呼者へ戻される。
モデリング言語カテゴリ406のコンポーネントは、リスクモデリング言語自体を実装する。単一の電子モデル仕様断片418は、他の全てがオブジェクト指向的に導出されるルートコンポーネントである。継承階層ツリーの簡易スタートの一実施形態が図5に示される。モデリング言語の各構成要素は、電子モデル仕様断片の特化によって実現される。各コンポーネントは、システムモデルおよびマッチングインタプリタへのその寄与を定めて、評価のための結果を構築する。
図5は、オブジェクト指向原理に基づいて、電子モデル仕様120またはその一部(すなわち断片)の構造を形成するモデリング言語構成要素の一実施形態を示す。図5は、電子モデル仕様120における異なる構成要素間の、継承関係を含む関係も描く。概観を単純化するために矢帽子(△として示される)が重複しているだけであることが認識されるはずである。各継承関係は平行線として理解されるべきである。継承関係の際立った特徴は以下を含む:
型システムは、SUAの必要性に適するように完全に構成可能である。これは、「ブーリアン」型がどんなであるか(例えば真/偽、オン/オフ、1/0等)を再定義する能力までも有する。任意型を再定義、修正または除外できることが企図される。モデリング言語の厳密さにより、この柔軟性の結果として無効な文は生じないことが確認される。
型「システム」は、典型的な制約ソルバが許容する型に限定されない。これは、システム100のモデリング柔軟性、表現性および使用性のために注目に値する。理論的には、全てのリスク査定者が、制約ソルバの領域でSUAモデルを表現することを教示され得る。しかしながら、多くの不整合が生じ得るので、これは実際的でなく逆効果でもあり得る。リスクアセスメントを制約ソルバにマッピングできる多くの仕方の中で、システムセマンティックおよび条件の連言リストに、続いて制約空間へリスク関連特性をマッピングする本開示は、様々な表現が互換性がありかつ相互運用可能なままであることを確認する。
異なる評価ステップをモデル化するために2種類以上の変数が企図されてよい。スクリプト変数(スクリプトソルバを介する解または探索空間の続く削減のため)は局所または遠隔値を保って、変数の概念にわたって一般化し得る。スクリプト変数は値を保つ。ソルバ変数は単一値を保つのでなく、可能な割当てのファミリを参照する。したがって、それらはモデル評価ステップのための探索パラメータである。
安全性およびセキュリティ概念が多くの共通特徴(例えばリスクおよび緩和の概念)を共有できるが、それらの際立った違いをモデル化するために特化されもすることが企図される。例えば、安全機能が目標性能レベルおよび安全度レベルに適合する必要がある一方で、対策はセキュリティレベルに適合する必要がある。
階層は拡張可能であり、API400、モジュール、ライブラリおよびグラフィックエディタの特徴が電子モデル仕様を作成するプロセスを支援することを可能にする。
一部の実施形態において、基本モデリング言語の機能性を拡張するためにソフトウェア拡張が定められてよい。少なくとも2つの拡張の主要カテゴリがある:(1)モデリング言語そのものでモデル化されるコンテンツおよび(2)API400を使用するモデリング言語の拡張。第1のカテゴリはモジュールと称され、そして第2はライブラリと称されてよい。モジュールは、よりポータブルであるが、構成された構成要素に限定される。ライブラリは完全にモジュールを包含し、かつ言語への拡張を追加的に可能にする。
モジュールは、既存の標準を体系化して、それらを評価プロセスに動的にインポートする仕方であることができる。したがって、SUAが所与の標準に適合するべきであれば、ユーザは、査定者でもよく、単にそれぞれのモジュールをインポートしてよい。標準は、典型的に、ISOおよびIECなどの国際標準化組織によって公表される。例えば、ISO10218-2の安全性関連制御システムのための要件を分析して、そのような要件は、式(3)に示されるように、上述した連言および選言公式の形成を介して電子モデル仕様断片に変換されてよい。
(No_SingleFault_may_lead_to_loss_of_safety_function)∧
(SingleFault_shall_be_detected_before_next_demand)∧
(SingleFault_triggers_safety_function_and_maintain_until_fault_is_corrected)∧
(All_foreseeable_faults_shall_be_detected) (3)
目標性能要件は、以下のシンタックスでもモデリング言語で表現できる:
<SafetyRelatedControlSystem>
<PerformanceLevel>D</PerformanceLevel>
<StructureCategory>3</StructureCategory>
<SafetyIntegrityLevel>2</SafetyIntegrityLevel>
<SafetyRelatedControlSystem>
前述の構成要素に基づいて、モデリング言語は、SUAのコンポーネントのための安全性およびセキュリティプロファイルの構造および内容を定める。例えば、安全性プロファイルは以下の1つまたは複数を含んでよい:コンポーネントの種類、安全性目標または閾値、安全対策分類、安全対策特性、信頼度要件(機械部品のための性能レベルまたは信頼度レベル)、時間稼動率。
セキュリティプロファイルは以下の1つまたは複数を含んでよい:コンポーネントの型、セキュリティ目標(例えば機密性、完全性、可用性)、セキュリティ対策分類、セキュリティ対策特性、セキュリティレベル要件、時間稼動率。
基本のテキストエディタを使用して電子モデル仕様を作成できることが認識可能であるのに対して、言語の選ばれた実現に応じて、ユーザの負担を軽くするためにツール支援を導入できる。例えば、XML、JSONおよびYAML文書を編集するために利用可能なツールが、シンタックスチェッカ、確認およびグラフィック表現を含め、幾つかある。
図6は、リスクのモデリングおよびアセスメント/評価を支援する際にユーザに提供されるコンピュータ支援設計ツール600の形態の特化エディタの一例を示す。図6は、工場レイアウトを管理するための2Dエディタのプロトタイプ可視化例を例示する。
2Dエディタは、電子モデル仕様書を作成および管理するために活用される。2Dエディタを使用して、空間602上の機器などの、ユーザは、SUAの要素をドラッグアンドドロップできる。バックグラウンドで、エディタは、電子モデル仕様書を管理し、そしてSUA仕様に必要とされる断片を追加する。図6は、幾つかの機械、ロボット、倉庫、棚、人員およびAGVを有する相当に複雑な応用を描く。マーク範囲604、606および608は、インポートされるまたは応用のために明示的に特定される危険区域を表す。マーク範囲604は油溜まりを表し、マーク範囲606は作業台を表し、そしてマーク範囲608はコンベヤベルトを表す。
システム100の効果の一例を狭い通路610に観察できる。工場に1つのAGVだけが存在する場合、閉込めリスクを伴う唯一の範囲が「棚2」612である。人が「棚2」の範囲612に入り、その人員の後にAGV614が入れば、その人員は棚2の範囲612から出る道を、したがって脱出ルートを有しないことになる。これは、容認できないリスクを表す。そのような容認できないリスクは、棚への立入り制御安全機能によって緩和できる。しかしながら、第1のAGV614と同じ種類の別のAGV616を追加すると、通路610に新たな危険区域が現れる。容認できるかつ既に保証されたシステムだけが参加しているので、これは最初は驚くべきかもしれない。しかしながら、通路610に沿った2つのAGV間に人が挟まれ得る新たに現れる危険の可能性がある。人間の査定者にとって、複数の相互作用するシステムのそのように現れる危険を識別することは困難であり得る。
一部の実施形態において、システム100は、例えば組立可能な安全かつセキュアなシステムのためのフィールドプログラマブルゲートアレイ(FPGA)の使用を介して、ハードウェアで直接実現されてよい。システムの各クリティカルコンポーネントは、集積回路(IC)チップ700(図7を参照)に埋め込みまたは接続され得る。ICチップ700は、電子モデル仕様、および評価エンジン160の機能を行うように構成される埋込みエンジンを備える。電子モデル仕様は、実行時に評価エンジン160によってコンパイルされて、その安全性およびセキュリティプロファイルを含め、コンポーネントの全ての関連した危険および緩和を含むことができるリスクモデルを形成できる。
一部の実施形態において、システム100は、ネットワーク800(図8を参照)を通じてサービスとして展開することもできる。ネットワーク800におけるノードは、評価エンジン160をホストしていることができる。ノードは、リスク評価の実行のためのエントリポイントを提供する。電子モデル仕様120および関連する断片は、ネットワーク800における様々なネットワークノード820によってホストされてよい。ノード820の非限定的な例は、ベンダーのウェブサイトである。システム100サービスエンジン160は、全ての電子モデル仕様断片を統合してもまたは組み合わせてもよい。サービスエンジンは、要求に応じて受信した文書に対して判断を提供できる。
一部の実施形態において、システムは、設計ツールが設計(例えば図6のエディタを参照)の様々なフェーズを通してSUAの適合性を査定するためのプラグインとして実現できる。
通常動作において、システム100は、SUAに関して独立を保証するために動作中に能動的安全機能および/またはセキュリティ対策として考慮または提供されなくてよい。しかしながら、システム100がユーザによって修正されるべき既存のギャップの有用な情報を受動的に提供する能力を有することが企図される。
以上にも関わらず、システム100は、潜在的に能動的安全機能のレベルに引き上げられ、独立がまだ達成され得るSUAの安全性およびセキュリティを能動的に保証できる。
本開示の別の態様によれば、SUAと関連したリスクをモデル化するための方法がある。図9は、(a)SUAの少なくとも1つの要素と関連した応用セクションを定義するステップ(ステップs902)と、(b)少なくとも1つの要素と関連した安全性セクションおよびセキュリティセクションの少なくとも1つを応用セクション内に定義するステップであり、安全性セクションおよび/またはセキュリティセクションの少なくとも1つが複数のリスク関連特性を備える、ステップ(ステップs904)と、(c)自然言語とシステムセマンティックとの間で複数のリスク関連特性をマッピングするステップであり、システムセマンティックがSUAの物理または機能特性と関連した、ステップ(ステップs906)と、(d)実現する安全性違反およびセキュリティ違反の少なくとも1つと関連した少なくとも1つの条件を特定するステップ(ステップs908)と、電子モデル仕様を形成するステップ(ステップs910)とを含む、方法900の一実施形態を示す。
一部の実施形態において、方法900は、SUAと関連した複数の一般要素を定義する定義セクションを特定するステップ(ステップs912)を含んでよい。
一部の実施形態において、応用セクションを定義するステップは、世界セクションを特定し、世界セクションがそれ自体少なくとも1つの非リスク関連特性を備える、ステップ(ステップs914)を更に含む。非リスク関連特性の例は、物理の法則、温度および圧力などの環境パラメータ等を含む。非リスク関連特性がリスク関連特性でなくてよいが、それらは、リスクが実現するための閾値として活用されてよい。例えば、温度閾値を超える結果として爆発リスクの実現になるであろうように温度閾値が設定されてよい。
方法900は、SUA(SUA)と関連したリスクを査定するための方法1000で補足されてよい。図10を参照しつつ、方法1000は、方法900に従って電子モデル仕様を生成または作成するステップ(ステップs1002)で始まる。方法1000は、次いでシステム100を構成するステップ(ステップs1004)に進む。上記構成は、評価の実行の境界条件を決定する(例えば、評価の実行にどの特徴が使用されているか、利用可能であるインタフェースの種類、実行のモード等)。
構成が行われた後、次のステップは、モデリング言語の規則に従って電子モデル仕様書を構文解析して、SUAと関連した仕様120を生成するステップ(ステップs1006)に関わる。構文解析ステップは、構文解析された文書を解釈して、電子モデル仕様に指定されている定義を処理するステップ(ステップs1008)を含む。モデリング言語の構造および実装の結果として、モジュラかつ拡張可能な仕様になる。例えば、電子モデル仕様は、SUAをモデル化するカスタムタイプを定義してよい。定義は、値がどのように解釈されているか(例えばメートル法対帝国単位系)も修正し得る。構文解析ステップは、インポート機能を介して全ての参照された仕様断片を組み合わせるまたは統合するステップ(ステップs1010)も含んでよい。参照された電子モデル仕様断片がローカルで利用可能でよくまたはリモートで利用可能でよいことが認識可能である。例えば、機器ベンダーが、自身の会社のドメインの一意のURIを通じて利用可能な電子モデル仕様(断片)を作ることを選び得る。いずれのロードされた断片も同じプロセスを使用して再帰的に評価されるであろう。インポートされるべき仕様断片がなければ、統合ステップはスキップされてよいことが認識可能である。
全ての関連した(または必要な)電子モデル仕様がインポートされた後、リスクモデルの最も一般的なバージョンが利用可能である。リスクモデルは、次いでスクリプト評価およびソルバ評価を受けて、SUAと関連した1つまたは複数の緩和されていないリスクを識別する。以下のステップs1012およびs1014は適応かつ最適化リスクアセスメントを容易にする。まず、SUAの最も現行または最近のパラメータが実行時に考慮されるように、SUAからの全ての参照されたパラメータが収集される(ステップs1012)。これらは、その中に、現在の動作条件、実行するタスク、およびシミュレーションから導出または予測されたパラメータを含み得る。一旦データ収集プロセスが完了すると、全ての導出された表現(連言公式)をスクリプト評価および制約ソルバを介して処理できる(ステップs1014)。例えば、表現「AGVの総重量」が、そのコンポーネントおよびその現在の輸送積載物の合計の表現でよい。「スクリプト」評価ステップは、まず例えばAGVの総重量がソルバ評価前に所定の制約(例えば重量制限)を超えるかどうかと関連した計算量を狭める。従前の制約ソルバは、大きな現実世界の課題に適用されると状態空間の大きな増加を被る。「スクリプト」評価フェーズは制約ソルバのための計算量を削減する。
スクリプトおよびソルバ評価の後、SMTモデルなどの決定論的モデルが生成され(ステップs1016)、ソルバが緩和されていないリスクを発見するための入力を表す。例えば、モデルソルバは、容認できない可能性を構成し得るソルバ変数の割当てを発見し得るが、それは危害を負わせ得る危険を構成する。(例えば「ユーザが機械の前に立っている」かつ「機械がオンである」かつ「ドアが開いている」かつ「ユーザは片手が自由である」とすると、「ユーザは回転機器によって切られるかもしれない」。)モデルソルバフェーズの結果は構文解析され、そして評価報告書が生成される。報告書生成は、更なる自動処理(例えば設計ツールによる)のまたは人間の査定者の解釈のための必要性に応じるために柔軟である。
方法900および/または方法1000は、1つまたは複数のコンピュータデバイスなどのコンピュータ可読媒体上に実装されてよい。一例として、テキストエディタまたはグラフィックエディタを介する電子モデル仕様の生成はコンピューティングデバイス上で行われてよく、そして方法1000における査定ステップはホストサーバ上に実装される。一部の実施形態において、評価プロセスおよび結果のテンパリングの可能性を緩和するために、方法900および/または方法1000はブロックチェーンネットワークにおいて実装されてよい。
システム100および方法900、1000が次のように様々なユースケースをサポートするために使用され得ることが企図される:
リスクアセスメント-システム100は、従前の安全性およびセキュリティアセスメントのワークフローに統合できる。それは、リスク(危険および/または脅威)ならびに緩和または対策が文書化される仕方を置き換えかつリスクアセスメントプロセスを形式化および再構成する。人間だけが読める文書の代わりに、システム100は文書化を形式化し、そして自動アセスメントが可能になるように連言公式のリストを提供する。システム100がIIoTコンテキストのために予定されるコンポーネント、製品およびサブシステムの設計および製造のための研究開発活動の一部であることができることが企図される。
実行時リスクモニタ-システム100は、安全性およびセキュリティの観点から既に有効なシステム応用と一緒に展開されて、SUAのパラメータが変化すると、SUAの適合性を動的に再評価できる。主要値は、パラメータ化されたアセスメントおよび最悪の仮定の緩和により可能になる最適化から導出される。たとえシステム100がSUAを容認しなくても、オペレータは、依然として自分自身の裁量でかつフラグ付きリスクの責任を負ってとにかくそれを走らせることに決めてよい。
ブラックボックスアセスメント-システム100は、ブラックボックスアセスメントモードで使用されてよい。このモードでは、電子モデル仕様の一部がリモートで利用可能であり、かつ/またはバイナリ暗号化など、暗号化されてよい。原SUA電子モデル仕様の一部を形成する機器のユーザが、機器の一部を修正することに決めてよい。そのような修正は、1つもしくは複数のモータの取替えまたは新たな機器を追加することを含み得る。しかしながら、ユーザは、原SUAのリスクアセスメントにアクセスしないかもしれない。これは、知的財産保護の理由でまたは単純な経済的理由であり得る。システム100は、ユーザがとにかく進めるようにすることができる。モデリング言語を使用して、ユーザは、自分の変更だけを含む電子モデル仕様断片を作成できる。電子モデル仕様断片が新たな機器に帰されるリスクを表す追加の連言条件を含むので、評価エンジン160は、原システム100の詳細のいずれも開示することなく新たに追加された電子モデル仕様断片でシステム100全体を再評価できる。例えば、新たなモータを含む修正がより多くの電力を消費し、結果として電源の温度を上昇させ、緩和されていないリスクを引き起こすという理由でその修正は拒絶され得る。原SUAベンダーは、アセスメント報告書に対して詳細レベルを定めてよい。ベンダーが電源の仕様を晒したくなければ、システムは単に更なる説明なしで拒絶され得る。
支援ツール-リスクモデリングのための方法900および/またはリスクアセスメントのための方法1000は既存のシステム設計ツールと統合されてよい。図6に例示されるコンピュータ支援ツールが一例として使用され得る。システム設計の様々な段階で、システム100は、SUAの仮説的容認性の見通しを集めるために呼び出されてよい。電子モデル仕様120が様々な段階でまだ完全でなく、したがってTIC専門家によって承認されないので、アセスメントはおそらく示されるだけであろう。一部の実施形態において、方法900および1000は、SUA1900が緩和されていないリスクを有すると判断することができるだけであり、解決策を提案することはできないであろう。それは、しかしながら、モデリング言語に基づいてモデル化されている限り解決策を判断することができるであろう。
シナリオテストおよびWhat-if分析-パラメータ化された適合性アセスメントを提供することによって、システム100および方法900、1000は、種々のWhat-ifシナリオをモデル化および評価し、そしてSUA容認性のため修正の意味を探査するために使用できる。そのような研究は、例えば容認性が狭いパラメータ空間においてだけ達成される場合に強調することによって、システム設計の改善または最適化を更にサポートし得る。
一部の実施形態において、方法900および/または方法1000は、ソフトウェアコンピュータコードまたはコンピュータプログラムの形態に符号化できる。コンピュータプログラムは、少なくとも1つの非一時的コンピュータ可読媒体上に記憶されるプロセッサ実行可能命令を含む。コンピュータプログラムはまた、記憶データを含むか、それに依存してよい。コンピュータプログラムは、専用コンピュータのハードウェアと相互作用する基本入出力システム(BIOS)、専用コンピュータの特定のデバイスと相互作用するデバイスドライバ、1つまたは複数のオペレーティングシステム、ユーザアプリケーション、バックグラウンドサービス、バックグラウンドアプリケーション等を包含してよい。
上記した特徴の、代替または置換でなく、変形および組合せが組み合わされて、本発明の意図された範囲内に入る更なる実施形態を形成し得ることが当業者によって更に認識されるべきである。
100 リスクモデリングおよびアセスメントシステム
120 電子モデル仕様
140 応用セクション
142 安全性セクション
144 セキュリティセクション
146 条件セクション
147 防護セクション
148 緩和モデル
160 評価エンジン
162 スクリプト評価器
164 ソルバ評価器
400 アプリケーションプログラミングインタフェース(API)
402 インタフェース
404 ランタイム
406 言語
411 モデリング言語構成
412 実行可能ファイル
413 レジストリコンポーネント
414 コンテキストコンポーネント
415 モデルコレクタコンポーネント
416 スクリプトソルバ
417 モデルソルバ
418 電子モデル仕様断片
600 コンピュータ支援設計ツール
602 空間
604、606、608 マーク範囲
610 通路
612 棚
614、616 AGV
700 集積回路(IC)チップ
800 ネットワーク
820 ネットワークノード
1900 アセスメント中のシステム(SUA)

Claims (12)

  1. アセスメント中のシステム(SUA)のためのリスクをモデル化および査定するためのシステムであって、前記システムは、
    (a)1つまたは複数の第1のネットワークノードに常駐するモデリング言語の複数の電子モデル仕様断片であって、
    (i)前記モデリング言語は、所望の言語実現で各電子モデル仕様断片を定義する複数の規則を含み、
    (ii)各電子モデル仕様断片が、
    (1)デフォルト構成要素およびユーザ定義構成要素を含む定義セクションと、
    (2)応用セクションであって、
    a)前記応用セクションが前記SUAの少なくとも1つの要素を含み、
    b)前記少なくとも1つの要素が安全性セクションおよびセキュリティセクションの少なくとも1つを含み、
    c)安全性セクションおよびセキュリティセクションの前記少なくとも1つが複数のリスク関連特性を備え、前記複数のリスク関連特性が自然言語からシステムセマンティックにマッピングされ、
    d)前記システムセマンティックが前記SUAの物理または機能特性を含む、応用セクションと、
    (3)実現する安全性リスクおよびセキュリティリスクの少なくとも1つのための少なくとも1つの条件を特定する条件セクションであり、前記少なくとも1つの条件が前記複数のリスク関連特性の少なくとも1つを備える、条件セクションとを備える、電子モデル仕様断片と、
    (b)前記SUAの電子モデル仕様を作成するために前記複数の電子モデル仕様断片を管理するコンピュータ支援ツールと、
    (c)第2のネットワークノードに常駐する評価エンジンであって、前記評価エンジンは、前記SUAの前記電子モデル仕様のために、緩和されていないリスクが存在するかどうかを判定する前記少なくとも1つの条件を評価するように構成され、
    i)前記評価エンジンが、前記SUAから一組の参照パラメータを受信して、少なくとも1つの条件のための探索空間を定義するように構成され、
    ii)前記定義された探索空間は、1つまたは複数の緩和されていないリスクを備える一組の解を表し、
    iii)前記SUAから前記参照パラメータを受信するために前記システムが前記SUAと通信して配置され、前記SUAが生産システムまたは製造システムを含む産業資産である、評価エンジンと、を含むことを特徴とする、
    リスクをモデル化および査定するためのシステム。
  2. 前記定義された探索空間が、代入および冗長または重複解を削除することによって削減される、請求項1に記載のシステム。
  3. 前記電子モデル仕様が、前記SUAと関連した複数の一般要素を定義する定義セクションを備える、請求項1または2に記載のシステム。
  4. 前記応用セクションが世界セクションを備え、前記世界セクションが少なくとも1つの一般特性を備える、請求項1から3のいずれか一項に記載のシステム。
  5. ネットワークによってホストされ、前記少なくとも1つの電子モデル仕様が第1のネットワークノードに常駐し、前記評価エンジンが第2のネットワークノードに常駐する、請求項1から4のいずれか一項に記載のシステム。
  6. 複数の電子モデル仕様を更に備え、前記複数の電子モデル仕様の各々が、前記SUAの機器、動作、施設、インフラストラクチャ、車両、家具の少なくとも1つと関連付けられる、請求項1から5のいずれか一項に記載のシステム。
  7. 前記探索空間が決定論的モデルとして表される、請求項1から6のいずれか一項に記載のシステム。
  8. 前記決定論的モデルがSMTモデルである、請求項7に記載のシステム。
  9. 前記決定論的モデルがブーリアン結果に評価される、請求項7または8に記載のシステム。
  10. 前記少なくとも1つの条件が前記複数のリスク関連特性のブーリアン公式として表される、請求項1に記載のシステム。
  11. 前記評価エンジンが、評価モデルを生成するように動作可能であり、前記評価モデルがブーリアン公式を含む、請求項10に記載のシステム。
  12. 前記ブーリアン公式がブーリアン「真」に評価されれば、前記評価エンジンが、緩和されていないリスクが存在すると評価し、前記ブーリアン公式がブーリアン「偽」に評価されれば、前記評価エンジンが、前記緩和されていないリスクが存在しないと評価する、請求項11に記載のシステム
JP2022001022A 2021-01-07 2022-01-06 リスクをモデル化および査定するためのシステムおよび方法 Active JP7299361B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
SG10202100169Q 2021-01-07
SG10202100169Q 2021-01-07

Publications (2)

Publication Number Publication Date
JP2022106685A JP2022106685A (ja) 2022-07-20
JP7299361B2 true JP7299361B2 (ja) 2023-06-27

Family

ID=79270423

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022001022A Active JP7299361B2 (ja) 2021-01-07 2022-01-06 リスクをモデル化および査定するためのシステムおよび方法

Country Status (6)

Country Link
US (1) US20220215306A1 (ja)
EP (1) EP4027204B1 (ja)
JP (1) JP7299361B2 (ja)
KR (1) KR102820514B1 (ja)
CN (1) CN114722561B (ja)
TW (1) TWI850614B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115809757B (zh) * 2023-02-09 2023-04-18 广东广宇科技发展有限公司 一种基于商场的消防风险评估预警方法、系统、电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129648A (ja) 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
WO2016129067A1 (ja) 2015-02-12 2016-08-18 株式会社日立製作所 自律動作検証装置および自律システム
JP2019523484A (ja) 2016-06-30 2019-08-22 オクト・テレマティクス・ソシエタ・ペル・アチオニOcto Telematics S.P.A. 車両においてセンサベースのデータおよび信号の処理のバランスを取るためのシステムおよび方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG115533A1 (en) * 2003-04-01 2005-10-28 Maximus Consulting Pte Ltd Risk control system
TWI410884B (zh) * 2010-03-19 2013-10-01 Iner Aec Executive Yuan 可供核能電廠快速風險量化分析之頂端邏輯評估方法
US8639646B1 (en) * 2010-09-30 2014-01-28 Applied Engineering Solutions, Inc. System to build, analyze and manage a computer generated risk assessment model and perform layer of protection analysis using a real world model in software of a safety instrumented system architecture
US8881293B1 (en) * 2013-07-01 2014-11-04 Sap Se Static application security testing
US20150039386A1 (en) * 2013-08-02 2015-02-05 Omnex Systems, LLC Method and system for risk assessment analysis
US10606672B2 (en) * 2017-05-04 2020-03-31 Microsoft Technology Licensing, Llc Micro-service framework derived from third-party apps
US10757128B2 (en) * 2017-06-29 2020-08-25 Amazon Technologies, Inc. Security policy analyzer service and satisfiability engine
US10776880B2 (en) * 2017-08-11 2020-09-15 American International Group, Inc. Systems and methods for dynamic real-time analysis from multi-modal data fusion for contextual risk identification
US20190164095A1 (en) * 2017-11-27 2019-05-30 International Business Machines Corporation Natural language processing of feeds into functional software input
US11347864B2 (en) * 2018-02-27 2022-05-31 Siemens Aktiengesellschaft Ace: assurance, composed and explained
US10922423B1 (en) * 2018-06-21 2021-02-16 Amazon Technologies, Inc. Request context generator for security policy validation service
US11270242B2 (en) * 2018-10-08 2022-03-08 International Business Machines Corporation Identifying and evaluating risks across risk alert sources
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法
US11113266B2 (en) * 2019-06-05 2021-09-07 Tata Consultancy Services Limited Detecting inconsistencies in semantics of business vocabulary and business rules (SBVR) using many-sorted logic
US11165783B1 (en) * 2019-12-13 2021-11-02 Amazon Technologies, Inc. Quantifying permissiveness of access control policies using model counting techniques and automated policy downscaling

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129648A (ja) 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
WO2016129067A1 (ja) 2015-02-12 2016-08-18 株式会社日立製作所 自律動作検証装置および自律システム
JP2019523484A (ja) 2016-06-30 2019-08-22 オクト・テレマティクス・ソシエタ・ペル・アチオニOcto Telematics S.P.A. 車両においてセンサベースのデータおよび信号の処理のバランスを取るためのシステムおよび方法

Also Published As

Publication number Publication date
CN114722561B (zh) 2025-08-19
EP4027204C0 (en) 2024-11-06
JP2022106685A (ja) 2022-07-20
TWI850614B (zh) 2024-08-01
CN114722561A (zh) 2022-07-08
KR102820514B1 (ko) 2025-06-12
EP4027204A1 (en) 2022-07-13
KR20220099916A (ko) 2022-07-14
TW202248915A (zh) 2022-12-16
US20220215306A1 (en) 2022-07-07
EP4027204B1 (en) 2024-11-06

Similar Documents

Publication Publication Date Title
US11822906B2 (en) Industrial programming development with a converted industrial control program
US11947943B2 (en) Industrial automation smart object inheritance
Yang et al. Automatic generation of control flow from requirements for distributed smart grid automation control
Tomar et al. Prediction of quality using ANN based on Teaching‐Learning Optimization in component‐based software systems
CN115857379B (zh) 工业自动化项目设计遥测
EP4134815B1 (en) Industrial automation smart object parent/child data collection propagation
Hafemann Fragal et al. Validated test models for software product lines: Featured finite state machines
US20250363454A1 (en) Industrial automation smart object inheritance break and singleton creation
JP7299361B2 (ja) リスクをモデル化および査定するためのシステムおよび方法
Ruiz et al. Towards a case-based reasoning approach for safety assurance reuse
Gräßler et al. Security-oriented fault-tolerance in systems engineering: A conceptual threat modelling approach for cyber-physical production systems
Kondakci A causal model for information security risk assessment
HK40069663A (en) System and method for modelling and assessing risks
Perrouin et al. A complexity tale: web configurators
Sultan et al. W-Sec: A model-based formal method for assessing the impacts of security countermeasures
Rivera Cyber security via formal methods: A framework for implementing formal methods
Bobek et al. Framework for benchmarking rule-based inference engines
Schwickerath et al. Tool-supported architecture-based data flow analysis for confidentiality
Kontogiannis et al. Compliance by design: software analytics and aiops
Plum Using directed graphs to define viewpoints to keep a metamodel, an architecture framework and views using different modeling languages consistent
Hochstenbach et al. Automated Policy Negotiation: a Four-Course Meal
Malin et al. Vulnerabilities, influences and interaction paths: failure data for integrated system risk analysis
Jimeno Altelarrea Building safety into the conceptual design of complex systems. An aircraft systems perspective.
Perederyi et al. Assessment and Support of Critical Multilevel Infrastructure Security Using Information and Cognitive Technologies
Lieber Policy-compliant data processing: RDF-based restrictions for data-protection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220303

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230615

R150 Certificate of patent or registration of utility model

Ref document number: 7299361

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150