機能安全は技術者であれば必ず具備すべき普通の技術であるMONOistオートモーティブセミナーリポート(2/2 ページ)

» 2014年07月17日 12時30分 公開
[馬本隆綱,MONOist]
前のページへ 1|2       

安全要求や安全コンセプトを正しく理解する

 基調講演に続いて、DNVビジネス・アシュアランス・ジャパンの機能安全部に所属する原秀幸氏と山下修平氏が「安全コンセプト、アーキテクチャ設計の理解とその最適表記法の提案」というテーマで講演した。

 まず原氏が、「安全要求」と「安全コンセプト」の項目について述べた。まず、安全要求は5つあるという。1つ目が車両視点の安全目標、2つ目がシステム視点の機能レベル安全要求(FSR:Functional Safety Requirement)、3つ目はアイテム視点の技術レベル安全要求(TSR:Technical Safety Requirement)、そして、今回の講演では説明を割愛したが、4つ目のハードウェアアーキテクチャに対する安全要求(HSR)、および5つ目のソフトウェアアーキテクチャ(SSR)に対する安全要求に分類されている。

DNVビジネス・アシュアランス・ジャパンの原秀幸氏

 これらの安全要求に対して、ISO 26262ではASILが割り付けられ、実装設計時にもそのASILは引き継がれることになる。講演では、ASIL割り付けについて幾つかの事例を紹介した。例えば、ASILが異なる2つの安全要求に対して、それらを実装する際にはどちらのASILを適用すればいいのだろうか。その基準となるのが「セレクトHigh」と「共存基準」である。これらの基準では、原則としてより高いレベルのASILで対応することになるが、例外もある。それは「ASIL減免」と呼ばれているもので、設計時に1つの安全要求を冗長性を持った2つのエレメントに分解し、実装時にはこれら2つのエレメントを独立した関係で配置することでASILのレベルが減らせるのだ。例えばASIL Dを、ASIL AとASIL Cのエレメントに分割しできるという。

安全要求の全体像(左)と安全コンセプトの構造イメージ(クリックで拡大) 出典:DNVビジネス・アシュアランス・ジャパン
DNVビジネス・アシュアランス・ジャパンの山下修平氏

 引き続き、山下氏が「安全コンセプトの課題」と「アプローチの刷新」という項目で、機能安全活動の方法論について講演した。山下氏はまず、安全コンセプトを作成するに当たっての現状分析を行い、活動時の問題点などを列挙した。例えば、「設計者とレビュアー間、あるいは発注者と受注者間の意思疎通が十分ではない」といった問題である。これに対して、「全ての関係者が安全要求仕様を正しく理解して納得し、共有できるようにするためには、表記法の刷新と統一が必要である」と述べた。

 表記法の刷新と統一に向けた、新たなアプローチ方法についても説明した。山下氏はその事例として、分かりやすいポンチ絵などを用いてエレメントと要求を明確に分離することなどを挙げた。さらに、今後の展開として山下氏は、「世界で通用する、ISO 26262規格に準拠したメタモデルとツールによるサポートを提案していきたい」と話した。

山下氏が提案する新たなアプローチによるISO 26262の表記法の一例。サブシステム内(Sub-sys01)で、センサー(SENS01)やECU(ECU01)、ECU内のマイコン(mC01)などのエレメントの入れ子構造を直感的に表現しながら、安全要求間のインタラクションやASILレベルなども明示できているという(クリックで拡大) 出典:DNVビジネス・アシュアランス・ジャパン

故障確率と故障率を使い分ける

DNVビジネス・アシュアランス・ジャパンの機能安全部でプリンシパルシニアエキスパートを務める川原卓也氏

 続いて登壇したDNVビジネス・アシュアランス・ジャパンの機能安全部でプリンシパルシニアエキスパートを務める川原卓也氏は、「ISO 26262における定量的メトリックの特質とその対策」をテーマに、技術者が誤解しやすい疑問を挙げて、注意点などを解説した。

 まず、「ISO 26262は難解な確率論を排除したか?」という疑問に対しては、安全機構の定量的評価には、確率論に基づいた信頼性工学が必要になるという。「安全機構が故障している状態(故障確率)と気付かずに主機能が故障する(故障率)と事故が現実のものとなり得るため、『故障確率』と『故障率』は使い分けないと失敗する」(川原氏)という。

 また、「エアバックの不展開にASILを適用できるか?」という疑問については、「ISO 26262が連続モードに対応するASILのみが定義されている点が問題になる」(同氏)と指摘した。つまり、一般産業機器向けの機能安全規格であるIEC61508の安全要求レベルとして用いられるSILの場合、作動要求モードを安全機構の不作動やプリクラッシュセーフティの不作動、エアバッグの不展開といった「低頻度作動要求モード」と、主機能の誤動作、アクティブセーフティの誤動作、エアバッグの誤展開といった「高頻度作動要求または連続モード」の2つに分けて説明することができる。ところが、ISO 26262のASILでは、連続モード運用に関しては定義されているものの、低頻度作動要求モード運用に関しては定義されていない。

IEC 61508のSILとISO 26262のASILで定義されている作動要求モードの比較(クリックで拡大) 出典:DNVビジネス・アシュアランス・ジャパン

車載情報機器にも求められるISO 26262

QNXソフトウェアシステムズの中鉢善樹氏

 車載情報機器関連のISO 26262対応について講演したのは、QNXソフトウェアシステムズ(以下、QNX)で自動車部門事業開発マネージャを務める中鉢善樹氏である。

 QNXは、車載情報機器向けにリアルタイムOSの「QNX Neutrino」やソフトウェア開発プラットフォーム「QNX CAR Platform for Infotainment」などを提供している。中鉢氏は、「車載情報機器市場においても、ISO 26262に対応可能なソリューションを求める声が強まっており、当社も2014年7〜9月期にASIL Dを満足し得るISO 26262対応プラットフォームを市場投入するための準備を進めている」と語る。

 一般的なカーナビゲーションシステム(カーナビ)などに用いられている「Windows Automotive」やLinuxの場合、ドライバなどに不具合を起こした際の対策は“再起動”しかなかった。「QNXのマイクロカーネルアーキテクチャの場合、そういった不具合による障害の閉じ込めと動的な修復が可能なので再起動する必要はない」(同氏)という。

 車載情報機器の中でも、カーナビ以上にISO 26262への要求が強いのが、メーター表示に大型ディスプレイなどを用いるデジタルクラスターだ。中鉢氏は、「デジタルクラスターの表示の中には、安全が求められるものとそうでないものがある。例えばその安全が求められるもののASILがBだとして、デジタルクラスター全体でASIL Bを満足しようとすると途方もない開発コストが掛かってしまう。安全系と非安全系をしっかり分離できれば、デジタルクラスタのうちASIL Bが求められる開発範囲を限定できるようになる。当社の製品を使えばそれが可能だ」と強調した。


ISO26262実践トレーニング:安全コンセプトの設計とその記述法

iso26262_jissen_trainig
ISO 26262に準拠した開発を行う上で最も重要な「安全コンセプト」と「安全アーキテクチャ設計」について、ISO 26262策定活動の日本代表メンバーが1日かけて伝授する!

>>詳細はこちらから



関連キーワード

ISO26262 | 機能安全 | QNX | 開発プロセス


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.