12th WOCS2

1/21/2015

ISO26262が要求する安全コンセプトの実用的な記述法の提案

DNV GL

山下修平

Copyright © 2015 DNV・GL All Rights Reserved. 1

12th WOCS2

1/21/2015

1 狙いとアジェンダ

● 狙い

ISO 26262 対応における課題のひとつとなっている 安全要求仕様の提示法，安全コンセプトの作成法のブラシアップの方向性を提案する

● アジェンダ

1 狙いとアジェンダ

2 問題の背景

3 安全コンセプトの意味と役割

4 安全コンセプト記述法

5 取り組み状況と今後の課題

Copyright © 2015 DNV・GL All Rights Reserved. 2

12th WOCS2

1/21/2015

2 問題の背景 i

● ISO 26262 概要と現状：

・ 自動車用機能安全規格：2011年11月発行

・ 車載電子制御システム開発における安全設計のガイドラインと位置づけて、適合の取り組みが進んでいる

・ OEM，システムサプライヤ，部品サプライヤ，ツールベンダや

認証サービスを提供するサードパーティにいたるまで各種の取り組みを行ってきた

・多くの実プロジェクトの中で開発サイクルが一回りした

⇒ 規格適用時の課題が見えてきた

Copyright © 2015 DNV・GL All Rights Reserved. 3

12th WOCS2

1/21/2015

2 問題の背景 ii

● 散見される問題：

・ 設計成果物の正確性, 可読性の課題

・ ‘安全コンセプト’の作成法・提示法の方法論の不在

⇒ 開発効率，安全設計完結性，安全の説明性に影響する事例も

● ‘安全コンセプト’とは？

・ ISO 26262 が求める重要設計成果物（安全要求仕様を含む）

・ 機能安全コンセプト，技術安全コンセプトなどのシステム，ハードウェア，ソフトウェアにおける安全アーキテクチャ設計（ASILマッピング含む）のこと

Copyright © 2015 DNV・GL All Rights Reserved. 4

ASIL : Automotive Safety Integrity Level

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 i

● 安全要求ドリブン構造の理解： ・ 要求の導出・詳細化により過不足の無い設計仕様にたどり着く という考え方 ・ 安全要求のもうひとつの役割：ASILのキャリア

Copyright © 2015 DNV・GL All Rights Reserved. 5

SG001 FSR001

FSR002

FSR003

TSR001

TSR002

TSR003

HWSR001

HWSR002

HWSR003

SWSR001

SWSR002

SWSR003

安全目標 機能安全要求

技術安全要求

HW安全要求

SW安全要求

安全要求の遷移

（ISO 26262- 8, Figure 2 — Structure of safety requirementsより）

HW 設計仕様

ＳW 設計仕様

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 ii

● 初期のASILの意味： ・ H&Rで危険事象のリスクレベルを評価することでASILを得る ・ 安全目標にこのASILを付与することでリスクレベルに相応しい 作り込み努力を指定する

Copyright © 2015 DNV・GL All Rights Reserved. 6

危険事象

ASIL X

走行中の突然の セルフステア

安全目標

走行中 セルフステア 無きこと

ASIL X

リスクレベル 開発時の作り込みの

手厚さの指標

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 iii

● 安全要求仕様化，安全コンセプト作成工程周辺の一般化プロセス

・ FSC, TSC, HWAD, SWAD共通手順

Copyright © 2015 DNV・GL All Rights Reserved. 7

安全計画

安全要求仕様化

検証（テスト）

詳細設計と実装

安全コンセプト作成

安全分析 SMの検討

安全要求導出と詳細化 ASILデコンポジション 安全要求配置とASIL割付

（作業内容）

SM : Safety Mechanism

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 iv

● 安全コンセプトの一般化モデル： ・ 部品（エレメント）に与えられた役割（安全要求）とASILにより 安全関連系が明示される ・ 安全関連系部品は各フェイズにおいて指定される手厚い開発を 行うことが求められる ・手厚さはASILによる重み付けで与えられる （ASIL依存手法選択表による手法の指定）

Copyright © 2015 DNV・GL All Rights Reserved. 8

安全要求

エレメント ASIL X

ASIL X

（SR 配置）

（ASIL 割付） エレメント （非安全関連）

QM

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 v

● ASIL依存手法選択表の一般形： ・ 設計手法，設計原則，管理手法，検証法などの選択肢を提供

Copyright © 2015 DNV・GL All Rights Reserved. 9

# Method ASILA ASILB ASILC ASILD

1a Method-1 o + + ++

1b Method-2 + + ++ ++

2a Method-3 + ++ ++ ++

2b Method-4 ++ ++ ++ +

++ : 強く推奨 + : 推奨

12th WOCS2

1/21/2015

3 ‘安全コンセプト’の意味と役割 vi

● デコンポジション：

・ SM追加時の安全コンセプト作成ルールのひとつ

・ 冗長化した安全要求間でASILを分担する

（ASIL減免ルール：ASILX = ASILX-1 + ASILA）

・ 従属故障不在要求が追加される

Copyright © 2015 DNV・GL All Rights Reserved. 10

安全要求01

エレメント01

A

安全要求01’ X-1

エレメント02

安全要求01 X

要求冗長化

ASIL減免

従属故障不在要求

SM : Safety Mechanism

12th WOCS2

1/21/2015

4 安全コンセプト記述法 i

● 安全コンセプト記法の提案内容： ・ 安全コンセプト一般化モデルが方向性を与える ⇒ 要求構造図とエレメント構造図を重ね描きする （安全コンセプト図 = 安全要求構造図 + エレメント構造図）

Copyright © 2015 DNV・GL All Rights Reserved. 11

安全要求

エレメント ASIL X

ASIL X

（SR 配置）

（ASIL 割付）

12th WOCS2

1/21/2015

4 安全コンセプト記述法 ii

● 安全要求構造図： ・ 自動車分野で広く使われてきた一般的な機能ブロックダイアグラム表記が ベース ・ ISO 26262 的要素を整理・追加した記述ルール（ASILのプレイスホルダ， 冗長要求ペアの表示など） ● エレメント構造図： ・ システム～部品の‘入れ子’構造を領域図で表記 ・ ISO 26262 的要素を整理・追加した記述ルール（ASILのプレイスホルダ， 要求の配置先としての配慮等） ● 安全コンセプト図： ・ 安全要求仕様とエレメントのアーキテクチャを同時に表示する（重ね描き） ・ 安全分析支援の工夫（デコンポジション，フリーダムフロムインタフェランス等）

Copyright © 2015 DNV・GL All Rights Reserved. 12

12th WOCS2

1/21/2015

4 安全コンセプト記述法 iii

● 安全要求構造図： ・ 安全要求間のインタラクションを明示する ・ 要求（グループ）間の冗長関係と独立性要求を明示する ・ 自然言語表記による安全要求仕様は別表などにまとめる ・ 安全要求の詳細化方向の紐付けは要求ツリー図などで確保する

Copyright © 2015 DNV・GL All Rights Reserved. 13

FSR001 FSR002 D D

FSR003

FSR0031

NFSR003 D

C(D)

A(D)

FSR0032 A(D) XX

SM001

12th WOCS2

1/21/2015

4 安全コンセプト記述法 iv

● 安全要求仕様： ・ 自然言語表記による安全要求仕様例

Copyright © 2015 DNV・GL All Rights Reserved. 14

FSR ASIL NL description 入力 出力 種類・要求グループ・ペアリング

FSR001 ASILD XX量をセンシングする XX量 XX信号 IF

FSR002 ASILD センサ信号入力処理 XX信号 XX取り込み値

IF

FSR003 ASILC(D) 入力信号物理量変換 XX取り込み値

XX量変換値

IF / IF003

FSR0031 ASILA(D) 変換処理異常判定 XX取り込み値、XX量変換値

変換異常判定フラグ

SM001 for IF003

FSR0032 ASILA(D) 変換異常時代替値生成 変換異常判定フラグ

XX量変換値または代替値

NFSR003 ASILD SM001とIF003は独立のこと ー ー NFSR

12th WOCS2

1/21/2015

4 安全コンセプト記述法 v

● エレメント構造図： ・ エレメントの入れ子構造を包含図によって表現する ・ 安全要求配置とASIL波及範囲を可視化する際の土台となる ・ 構造をツリーで示してもよい（次ページ）

Copyright © 2015 DNV・GL All Rights Reserved. 15

Sub-sys01

SYSXX

Sub-sys02

ECU01 SENS01

mC01

eSW01

X

X X

X X

X

X

12th WOCS2

1/21/2015

4 安全コンセプト記述法 vi

● 安全コンセプト図： ・ 安全要求構造図とエレメント構造図の重ね描き結果 ・ 全安全要求配置後のエレメントに対するASILマッピング結果

Copyright © 2015 DNV・GL All Rights Reserved. 16

FSR001 FSR002

D

FSR003

FSR0031

C(D)

A(D)

FSR0032

Sub-sys01 ECU01

SENS01 mC01

AS01

NFSR003

D

12th WOCS2

1/21/2015

4 安全コンセプト記述法 vii

● 構造図間遷移の定義：

実運用に向けては4種類の記述タイプと遷移を定義することで 安全目標毎の，安全機構毎の，あるいはシステム状態毎の安全コンセプトの提示とそれらのマージ結果をわかりやすく提示可能となる

Copyright © 2015 DNV・GL All Rights Reserved. 17

エレメント 構造図(ELSD)

エレメント ツリー図

要求ツリー図

安全コンセプト図(SCD) :ASILのエレメント上の最終

マッピングを示す

安全要求構造図(SRSD) :各安全要求間のインタラクションとデコンポジ

ションをSG毎,SM毎,SS毎に説明する

安全要求配置図(SRAD) :安全要求構造図をエレメント

図に重ねたもの ｘＮ(SG/SM/SS)

要求層

エレメント層

SS : System State

ｘＮ(SG/SM/SS)

要求仕様表

12th WOCS2

1/21/2015

4 安全コンセプト記述法 viii

● 安全設計の論証においては、各SRADやその根拠である安全分析結果の位置づけを体系的に示す必要がある

⇒他の方法論との併用

Copyright © 2015 DNV・GL All Rights Reserved. 18

SG-01 ITEM-01

SG-02

SS-01

SS-02

SM-01

SS-03

SM-02

SM-03

SM-04

SM-05

SM-06

SRAD-01

SRAD-02

SRAD-03

SRAD-04

SRAD-05

SRAD-06

12th WOCS2

1/21/2015

5 取り組み状況 i

● ‘安全コンセプト記述法’のこれまでの評価：

・ シンプルなルール習得で実践可能

・ 記述法を知らなくても記述結果は直感的に理解可能

・ 実運用にはサポートツールの提供が望まれる

● ツール化の検討：

・ 設計の構造化・階層化・紐付け・表示/非表示切り替えのニーズから

ＷＰの完全電子化とサポートツール整備はMUST

・ ツール（化）は記述法普及のしかけとして手を抜けない

・ 必要な‘しばり’はツールの形で提供するのが合理的

Copyright © 2015 DNV・GL All Rights Reserved. 19

12th WOCS2

1/21/2015

5 取り組み状況 ii

● 2014/09‘安全コンセプト記法研究会’を発足： ・ 各方面から安全コンセプト記述法の普及活動に合流いただくための活動母体 ⇒ 活動範囲： ・ 記述法の実用性と効果の追加検証 ・ 記述ルールの整備，分析手法の改善 ・ プロトツールの作成や試用 ・ 情報発信 ● その他： ・ 安全アーキテクチャ設計の汎用記法，汎用ツールとしての可能性を検討してゆく ・ 他の言語や記法とのコンパチビリティの検証を行う

Copyright © 2015 DNV・GL All Rights Reserved. 20