ISO26262指向 安全コンセプトの記述法 (Part 1/2)

平鍋
モデリングしてますか?
今日は、DNV GLの山下さんをお尋ねして、「ISO26262」という、今、自動車業界で大変話題になっている規格について、特に「安全コンセプト」についてお話いただきたいと思います。よろしくお願いします。
ISO26262の安全コンセプト

山下さん
この自動車用機能安全規格ISO26262は、2011年11月に発行されました。ですから、もう3年以上たってる訳ですが、業界上げての取り組みの中でも、まだまだ、いろいろな悩みがあります。その悩みの中でも、今日取上げるのが「安全コンセプト」の話です。
この安全コンセプトについて、論証の手段として記述がなかなか垢抜けない、と、悩みを皆さん抱えてらっしゃいます。そこで、表記の仕方、説明の仕方をブラッシュアップしよう、ということで活動を開始しています。その中身を少しご紹介しようかなと思います。
安全要求ドリブンの構造
ISO26262の重要設計成果物ということで「安全コンセプト」という単語が出てきます。企画の中では、機能安全コンセプト、技術安全コンセプト、さらにはハードウェア、ソフトウェアのアーキテクチャ設計という表現で、同じ概念が4回でてきます。これらがどういうものか、ということを、まず紐解きます。
規格は、安全要求ドリブン構造を採っています。
安全要求が導出、詳細化されることで最終的には安全として正しいハードウェア、正しいソフトウェアの仕様に落とし込めるのである、というロジックですね。これを支えるのがこの「安全要求ツリー」です。

安全要求ツリー
最上位の「安全目標」を達成するために「機能安全要求」を導出します。
詳細化します。
さらに、その「機能安全要求」を「技術安全要求」に詳細化します。
さらに「ハードウェアやソフトウェアの安全要求」に詳細化します。
この「要求ツリー」ですね、これが規格の骨組みになっている訳です。ここに”Automotive Safety Integrity Level” ASILというラベルが付くわけです。どのくらい安全に寄与している部分なのか、ということを示すラベルですね。安全要求は、このASILというラベルの「キャリア」という役割も果たします。
ASILとエレメント
このキャリアの役割が、それを受け取った部品の開発の「手厚さ」を指定する、と、これが規格のロジックです。簡単な図で表しますと、こういった絵になります(右下)。
「ASIL “X”をもらった部品は、ASIL “X”の「安全要求」を受け取った部品はASIL “X”で開発して下さい」ということになります。「安全要求をもらわなかった部品はQuality Management(QM)で開発していいよ」と。この識別をして作り分ける、というのが、規格の非常に重要な要件になります。
この説明をですね、「機能安全コンセプト」「技術安全コンセプト」あるいはハードやソフトのアーキテクチャ設計の中で説明していただかないといけない訳です。
ここが、なかなか説明の分かりやすさ、共有のしやすさ、論証としての完全性、そういったところに残念ながらまだまだ課題が見受けられる、ということになります。
この「安全コンセプト」ですね。一般概念を、どのように実際の設計成果物に落とすか、と言うのが、いわゆる「安全コンセプト表記法」ということで、これからご説明しようと思っている内容になります。
また次回、その辺を騒ぎたいと思います。

平鍋
山下さんどうもありがとうございました。次回もぜひみてください。
(※「安全コンセプト記法研究会」のホームページはこちら。http://scn-sg.com/ )
3 Comments »