ISO26262 が要求する安全コンセプトの実用的な記述法の提案

ISO26262 が要求する安全コンセプトの実用的な記述法の提案
山下修平†
Proposal of a practical method for specifying a safety concept
required by ISO26262
YAMASHITA shuhei
ねらい本稿は，ISO26262 の要求する安全アーキテクチャ設計を支える合理的で実践的な仕様記述法につい
ての提案を行う
キーワード ISO26262，安全コンセプト，安全アーキテクチャ設計，安全要求
Target: This abstract is to propose a practical method for specifying safety architecture design required by ISO26262.
Keywords:
ISO26262, safety concept, safety architecture design, safety requirement
１．想定する読者・聴衆
自動車分野の電子制御システム開発者、自動車分野
以外の安全関連システムを開発するエンジニア
2．背景
自動車用機能安全規格 ISO26262 は 2011 年 11 月に発
4．提案・実験
１
本稿においてはまず規格が意図する‘安全コン
セプト’の意味と役割を規格のメタプロセス（図１），
‘安全コンセプト’のメタモデル（図２）考察により
点検する。その結果、安全関連系の識別・特定と ASIL
（Automotive Safety Integrity Level）によるラベリング，
行されてすでに３年が経過した。自動車分野では電子
さらにこのラベリングに基づく特別に手厚い作り込み
制御システム開発における安全設計のガイドラインと
努力を指定することが規格意図であることが確認され
して、OEM，システムサプライヤ，部品サプライヤ，
た。
ツールベンダや認証サービスを提供するサードパーテ
ィにいたるまで各種の取り組みを行ってきた。ここで
は、多くの実プロジェクトの中で開発サイクルが一回
りしたことで見えてきた規格適用時の課題のひとつと
して、安全アーキテクチャ設計に関する問題点を指摘
し、その解決策を提案する。
3．課題
ISO26262 が求める重要な設計成果物として‘安全コ
図１
ISO26262 メタプロセス
Fig1. ISO26262 Meta-process
ンセプト’がある。これは当該規格が規定する機能安
全コンセプト，技術安全コンセプトを含むシステム，
ハードウェア，ソフトウェアにおける安全アーキテク
チャ設計の概念を指すものである。自動車業界内の規
格適合の取り組みの中で散見された問題が、
‘安全コン
セプト’仕様記述における確たる方法論の不在であっ
た。これが、規格適合の努力を大きく損なう開発上下
流間の設計成果物の不整合などの事例の原因ともなっ
ていた。
図2
安全コンセプトメタモデル
Fig2.Safety concept meta-model
1
２
システム仕様記述の方法論については UML,
なルールを習得することで手書きレベルから実践可能
SysML など多くの既存の優れた記法が知られている。
であるとの評価を得ている。また記述結果はシステム
検討の結果いずれも ISO26262 固有概念である ASIL を
設計に従事した経験のあるエンジニアであれば特別な
安全要求と部品（規格用語ではエレメント）の両方の
トレーニングを受けることなく直感的に理解可能であ
属性として効果的・効率的に扱うには道具立てが不足
り、レビュー容易性の点からも実用的との評価が多い。
していることがわかった。このことが、安全コンセプ
一方、システム中の個々の安全機構の役割やふるま
トメタモデル自身（図２）がその方向性を示唆する安
い，機能構造を個別に説明したうえで、それらをシス
全コンセプト専用記法創出の動機となった。結果、自
テム全体わたって集約しその結果を論証するという安
動車分野のエンジニアが広く使いこなしてきた一般的
全コンセプト記述の目的から、対象システムの規模が
な機能ブロックダイアグラム表記をベースに ISO26262
大きくなると一般的な描画ツールでのハンドリングに
的要素を整理・追加して記述ルール＝安全コンセプト
限界があるとの指摘もある。このことから記法の実用
記法を提案するに至った。
化には成果物の完全電子化や専用ツールによるサポー
３
このアプローチ自体は規格発行前の早い段階か
ら一部の実プロジェクトで試行された結果に基づくも
のになっている。記述ルールの核となるアイディアは
トが必須であることがあきらかになってきた。
6．まとめ（今後の課題）
安全要求の連なりを示す安全要求構造と、ハードウェ
自動車分野内外の各方面から実務経験者・有識者に
ア部品/ソフトウェア部品の包含関係を示すエレメント
安全コンセプトの記述法の改善活動に合流いただくた
構造を重ね描きする点にある。この中には規格適用時
めの活動母体として‘安全コンセプト記法研究会’を
に間違いの入りやすいデコンポジションやフリーダム
発足した。今後、提案の記述法の実用性と効果の検証、
フロムインタフェランスの扱いをサポートする表記
記述ルール（文法）の整備改善、プロトツールの作成
（図３）や、今後一層の洗練が求められる安全分析を
や試用に取り組む。さらに ISO26262 固有概念である
支援する工夫、実運用で必要になる設計作業の進行に
ASIL を廃して安全アーキテクチャ設計の汎用記法・汎
合わせた各種ダイアグラムとその間の遷移の定義（図
用ツールとしての可能性も検討してゆく
４）なども含まれる。
7. 文献
文
[1]
献
ISO 26262-1:2011, Road vehicles — Functional safety — Part
1-10
[2] ISIT 第 15 回カーエレクトロニクス研究会
（20140714）
安全コンセプト，アーキテクチャ設計の理解とその最適表
記法の提案
http://www.car-electronics.jp/files/2014/02/CEW15_yam
ashita.pdf
図3
デコンポジションを含む安全コンセプト記述例
Fig3. Example of Safety Concept description including Decomposition
図4
各種ダイアグラム間の遷移
Fig4. Transition among related Diagrams
5．効果
提案の安全コンセプト記述法はいくつかのシンプル
2

Download Report