今回は、機能安全の国際規格である「IEC 61508」「ISO 26262」における開発において、
出発点となる「SIL」「ASIL」について紹介します。
機能安全規格
機能安全とは、安全を確保するような機能を導入することにより、許容不可能なリスクが存在しない状態を達成することです。そして、その機能安全を実装するために有効な手法の規定したものが機能安全規格となります。鉄道や自動車など、それぞれの業界などに向けた様々な機能安全規格が存在しています。
機能安全規格であるIEC 61508やISO 26262などでは、許容可能なリスクまで低減させる(機能安全を達成させる)機能の実装に際して、実施すべき内容を示すための指標が存在します。この指標をIEC 61508ではSIL(Safety Integrity Level)、ISO 26262ではASIL(Automotive Safety Integrity Level)で表します。SIL、ASILをもとにシステム/ハードウェア/ソフトウェアの各作業に要求される内容が変わってくるため、適切に決定していかなければなりません。
ASIL
ASILとは、不合理なリスクを回避するために、アイテムの故障を引き起こすハザードを特定し、危険事象の防止、緩和の目標を立てるための指標となります。 ASILは、暴露の確立、コントローラビリティ、シビアリティの3種のパラメータにより決定されます。3種のパラメータの組み合わせに応じて、A~Dの4段階で表されます。Aが一番低く、Dが一番高いパラメータとなります。ASIL決定は以下のようなイメージ図となります。
状況の分析、ハザードの識別、危険事象の分類を行い、ASILを決定します。以降にそれぞれの作業で必要な内容の概要に触れていきます。
状況分析、ハザードの識別
状況の分析では対象としたアイテムがどのような場合にハザードが起こるのか、その際の動作状況や動作モードを想定します。動作状況はアイテムが安全な挙動を期待する限界を取り扱うとよいです。
ハザードの識別ではその状況で起こりえるハザードを想定します。その際のハザードと動作状況によりどのような危険事象になるのかの特定も行います。ハザードの識別では、適切な技法を使用し決定します。(STAMP/STPA,FMEA等々)
危険事象の分類
特定した状況とハザードの組み合わせに対し、3種のパラメータを割り当てます。
・暴露の確立(Exposure)
ハザードに関連する動作の実行頻度を表すパラメータです。運転状況の特性に応じて運用状況の期間、もしくは運用状況の発生頻度のどちらかの指標を用いて見積もります。下記の表に基づき、E0,E1,E2,E3,E4のいずれかを割り付けます。
E0は自然災害や極度に珍しい状況に対して割り当てられます。
・コントローラビリティ(controllability)
ハザードが発生したときにハザード回避、制御の可能性を表すパラメータです。下記の表に基づき、C0,C1,C2,C3のいずれかを割り付けます。
・シビアリティ(severity)
運転者や周辺の人命にどのような影響があるのかを表すパラメータです。シビアリティを決定するのには、米国自動車医学会が発行するAIS(Abbreviated Injury Scale)を使用されます。下記の表に基づき、S0,S1,S2,S3のいずれかを割り付けます。
それぞれ各パラメータの決定には、論理的根拠を持って行わなければなりません。論理的根拠が薄い場合には、高めのパラメータを割り付けておきます。
ASILの決定方法
決定した暴露の確率(E)、コントローラビリティ(C)、シビアリティ(S)と以下の表を元にASILを決定します。
ASILが割り当てられなかった場合は、安全に関する要求はありませんがQM(Quality Management)レベルとして適切な品質管理の仕組みに基づいた対応を行う必要があります。普段の開発から実施すべき、ソフトウェアの品質を確保するためのCMMIやA-SPICEのような標準規格、または相応するような企業の標準規格等に則った開発プロセスでソフトウェアの品質を高める必要があります。
ASIL Dは、IEC 61508におけるSIL 3と同程度と解釈されています。
安全目標
識別した各ハザードを防ぐ、または、緩和するための最上位の安全要求となります。分類した危険事象毎に決定します。安全目標は技術的な解決の面の観点からではなく、機能的な目標として決定します。「~によって意図しない加速が起きないこと」ではなく、「意図しない加速が起きないこと」のように機能的な目標として決定します。
SIL
一方SILでは、確率的な指標(危険側機能失敗平均確率、危険側故障の平均頻度)を基に決定されます。IEC 61508では、安全関連機能は動作の要求頻度により低頻度要求モード、高頻度要求モード、連続モードに分けられます。確率的な指標はこの要求頻度によって異なる指標が使用され、低頻度要求モードでは「危険側機能失敗平均確率」、高頻度要求モードと連続モードでは「危険側故障の平均頻度」が使用されます。
低頻度要求モードでは安全関連系の機能を作動させようとしたときの機能失敗確率が、危険事象の起こる確率に対して十分に低い必要があります。そのため、危険側機能失敗平均確率が用いられます。
高頻度要求モード、連続モードでは時間当たりの機能平均失敗確率も危険事象の起こる確率に対して十分に低い必要があります。そのため、1時間当たりの危険側故障の平均頻度が用いられます。
これらの低頻度作動要求モード、高頻度作動要求モードどちらか該当する方に合わせてSILの決定を行います。SILは1~4段階で表され、1が一番低く、4が一番高い要求となります。
低頻度作動要求モード
低頻度作動要求モードでは、規定の安全状態に移行させるための要求が年1回以下である機能が該当します。車であれば、エアバッグなどの機能が相当します。そのような機能に対しては、以下の表を用いて決定します。
機能失敗平均確率であるため安全機能に動作要求があった場合に、安全機能が動作しない平均の確率を算出しSILの決定を行います。
高頻度作動要求モード
高頻度作動要求モードでは、規定の安全状態に移行させるための要求が年1回より大きい機能が該当します。車であればアクセルなどが相当します。そのような機能に対しては、以下の表を用いて決定します。
危険側故障率であるため、1時間あたりの壊れやすさを算出しSILを決定します。
まとめ
今回の記事では、機能安全規格の要求事項で満たすべき内容を判断するための指標である「ASIL(ISO 26262)」と「SIL(IEC 61508)」について記載しました。機能安全の開発の中では、実施すべき作業が変わってくるという意味でこれらの指標が重要になってきます。開発する機能安全の重要性の違いを意識するためにも、指標がどういうものかを知っておきましょう。
弊社では機能安全の適用を支援させていただく「DiET」というサービスも提供しておりますので、ぜひご検討ください。
<参考文献>
IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems
ISO 26262, Road vehicles-Functional safety-