平鍋

モデリングしてますか?
今日は、DNV GLの山下さんをお尋ねして、「ISO26262」という、今、自動車業界で大変話題になっている規格について、特に「安全コンセプト」についてお話いただきたいと思います。よろしくお願いします。

 ISO26262の安全コンセプト

山下さん

この自動車用機能安全規格ISO26262は、2011年11月に発行されました。ですから、もう3年以上たってる訳ですが、業界上げての取り組みの中でも、まだまだ、いろいろな悩みがあります。その悩みの中でも、今日取上げるのが「安全コンセプト」の話です。
この安全コンセプトについて、論証の手段として記述がなかなか垢抜けない、と、悩みを皆さん抱えてらっしゃいます。そこで、表記の仕方、説明の仕方をブラッシュアップしよう、ということで活動を開始しています。その中身を少しご紹介しようかなと思います。

 安全要求ドリブンの構造

ISO26262の重要設計成果物ということで「安全コンセプト」という単語が出てきます。企画の中では、機能安全コンセプト、技術安全コンセプト、さらにはハードウェア、ソフトウェアのアーキテクチャ設計という表現で、同じ概念が4回でてきます。これらがどういうものか、ということを、まず紐解きます。

規格は、安全要求ドリブン構造を採っています。

安全要求が導出、詳細化されることで最終的には安全として正しいハードウェア、正しいソフトウェアの仕様に落とし込めるのである、というロジックですね。これを支えるのがこの「安全要求ツリー」です。

安全要求ツリー

最上位の「安全目標」を達成するために「機能安全要求」を導出します。
詳細化します。
さらに、その「機能安全要求」を「技術安全要求」に詳細化します。
さらに「ハードウェアやソフトウェアの安全要求」に詳細化します。

この「要求ツリー」ですね、これが規格の骨組みになっている訳です。ここに”Automotive Safety Integrity Level” ASILというラベルが付くわけです。どのくらい安全に寄与している部分なのか、ということを示すラベルですね。安全要求は、このASILというラベルの「キャリア」という役割も果たします。

 ASILとエレメント

このキャリアの役割が、それを受け取った部品の開発の「手厚さ」を指定する、と、これが規格のロジックです。簡単な図で表しますと、こういった絵になります(右下)。
「ASIL “X”をもらった部品は、ASIL “X”の「安全要求」を受け取った部品はASIL “X”で開発して下さい」ということになります。「安全要求をもらわなかった部品はQuality Management(QM)で開発していいよ」と。この識別をして作り分ける、というのが、規格の非常に重要な要件になります。

この説明をですね、「機能安全コンセプト」「技術安全コンセプト」あるいはハードやソフトのアーキテクチャ設計の中で説明していただかないといけない訳です。

ここが、なかなか説明の分かりやすさ、共有のしやすさ、論証としての完全性、そういったところに残念ながらまだまだ課題が見受けられる、ということになります。

この「安全コンセプト」ですね。一般概念を、どのように実際の設計成果物に落とすか、と言うのが、いわゆる「安全コンセプト表記法」ということで、これからご説明しようと思っている内容になります。

また次回、その辺を騒ぎたいと思います。

平鍋

山下さんどうもありがとうございました。次回もぜひみてください。

(※「安全コンセプト記法研究会」のホームページはこちら。http://scn-sg.com/ ）

Published by Satomi Joba

View all posts by Satomi Joba