ISO26262指向 安全コンセプトの記述法 (Part 2/2)

平鍋
モデリングしてますか?今日は、山下さんの「安全コンセプト」2回目ということで、「安全コンセプトを図に落としていく」ということを実際にお見せしたいと思います。(「安全コンセプト」1回目はこちら)
前回のおさらい

山下さん
ISO 26262が求める、重要成果物としての「安全コンセプト」。この絵が、実際にどんな様子になるか、ということを今日ご紹介します。
前回の復習になりますけど、概念としては、この絵(右下)に出てますように「エレメント」、いわゆる「部品」にですね、「安全要求」を受けとります。ですから「安全要求」は通常は「機能」や「振舞」の話ですね。「この部品はこんな機能を果たさなくちゃいけない」というのが要求です。
その役割を受け取った結果、部品は、ASIL(Automotive Safety Integrity Level)というラベルを受けとります。このASILは、その部品の開発の「手厚さ」を示すものになります。これが、前回のお話でした。
26262の実際のシステム設計あるいは、ハードウェア、ソフトウェア設計の中においてはこんな単純な絵にはなりません。
しかし、概念はこのままです。それを図に表してみます。
どの「部品」が、どの「安全要求」を受け取るか、を図で表す
安全要求(Safety Requirement)というレイヤーがあります。それから、もう1つはエレメント(Element: 部品)ですね。部品層の構造があります。両方ともそれぞれ構造ですね。どの「部品」がどの「安全要求」を受け取るか、ということで、絵としてはこれを重ね描きしていただくことが重要です。
これが、セイフティコンセプト(Safety Concept:安全コンセプト)ですね。
簡単な絵です。
安全要求の構造を設計します。他方ですね、物理世界の、部品の並び、部品の入れ子構造、例えば「コントローラにマイコンが入ってる」こういった概念を、エレメントの構造図ということで絵にします。
セーフティコンセプトは、これが2つの概念を重ね合わせたものになります。
具体的にはですね、「安全要求構造図」例えばこんな絵(右下)になります。
部品に対する要求の構造を表す「安全要求構造図」
通常、システム設計者やハードウェア、ソフトウェアの設計者はよく使う、いわゆる「機能ブロック図」に相当するような表現です。今回の記法の議論の中では、26262固有の概念としての「ASILの割付」であるとか、「安全要求の冗長化」という概念をサポートしなければいけませんので、独特の文法が必要になります。
これが「安全要求構造図」です。
部品の入れ子構造を表す「エレメント構造図」
一方で、部品側の話、26262的な表現ではいわゆる「エレメント」です。「エレメント構造図」というものが必要なります。「システムの中にセンサーとコントローラーが含まれている」「コントローラの中にはメインマイコンとサブマイコンが含まれている」この概念ですね。
ですから、今映っているように(右図)、基本的には入れ子構造になるということになります。
以上の2つの構造図を、重ね合わせますと、こういった絵(下図)になります。
2つの構造図を重ね合わせた「安全コンセプト図」
この絵をもって、「安全コンセプト図」と、呼ぼうかなと、思っています。
これが26262のルールに従って「サクサクと描ける」「きちんと説明できる」「説明が簡単に記述できる」ということが重要になります。

平鍋
山下さん、どうもありがとうございました。
これはですね、実は世界にもまだ標準がない部分ですよね。日本はやっぱり自動車業界は世界的にも強いですし、ぜひ日本から、安全性の分野でも、世界標準を作っていく活動を今後もやっていかれる、と聞いていますので、その辺りで、ぜひ、「日本の実力を見せてやろうぜ!」と、いうことで、よろしく今後ともお願いします。
どうもありがとうございました。
[関連記事]