今回は自動車業界向け機能安全の国際規格である「ISO 26262」を適用する開発における、使用するソフトウェアツールへの対応「ツール認証」について紹介します。

CONTENTS
  1. 機能安全規格
  2. ソフトウェアツールの使用への信頼
  3. ツール信頼水準の決定
  4. ツール認証
  5. ツール認証にかかるコスト
  6. まとめ
 

機能安全規格

機能安全とは、安全を確保するような機能を導入することにより、許容不可能なリスクが存在しない状態を達成することです。そして、その機能安全を実装するために有効な手法を規定したものが機能安全規格となります。鉄道や自動車など、それぞれの業界などに向けた様々な機能安全規格が存在しています。
機能安全規格であるISO 26262などでは、開発で使用するソフトウェアツールに対してツールの信頼性を評価する作業が必要になります。その後、評価結果に応じてソフトウェアツールの認証を行います。これをツール認証と呼びます。ISO 26262のなかではISO 26262-8:2018 Clause11にて述べられています。ツール認証を行うことにより、ソフトウェアツールの故障による、システマチックフォールトのリスクが小さいこと、などが証明されます。

 

ソフトウェアツールの使用への信頼

ソフトウェアツールの評価と認証における主なフローを以下の図に記載します。

図:「ソフトウェアツールの使用への信頼」のフロー

 

ツール信頼度水準の決定

まず始めに、ソフトウェアツール使用の評価のためにツール信頼度水準(TCL:Tool Confidence Level)を決定します。ツール信頼度水準は以下の2つの指標を元に決定されます。

1.TI(Tool Impact):ツールインパクト

ソフトウェアツールの機能不全が開発中の安全関連アイテムもしくはエレメントに対してエラーをもたらす、又はエラーを検出できない可能性を考慮し決定されます。つまり、ソフトウェアツールの誤作動による影響度を考慮し、TI1、TI2を割り付けます。

  • TI1:影響がないという論証がある場合
  • TI2:その他の場合

2.TD(Tool error Detection):ツールエラー検出

ソフトウェアツールの機能不全により誤った結果が出てしまうのを防ぐ、又は検出する方法の信頼性を考慮し決定されます。
つまり、ソフトウェアツールの誤作動によるエラーを防止又は検出できるレベルを考慮し、TD1、TD2、TD3を割り付けます。

  • TD1:高いレベルである場合
  • TD2:中程度のレベルの場合
  • TD3:その他の場合

TI、TDそれぞれの割り付けの証明が不十分の場合、より高い割り付けを行う必要があります。TI、TDを決定後に、以下の表を元にTCLの決定を行います。

 

ツール認証

決定したTCLとASILを元にツール認証の作業を行います。ツール認証のために以下の表に示す手法を適用しなければなりません。
TCL3に決定された場合、以下の表になります。


(+:推奨 ++:強く推奨) (ここでの安全規格はISO 26262,IEC 61508,EN 50128 などを指します)

TCL2に決定された場合、以下の表になります。


TCL1に決定された場合、ツール認証を必要としません。

ソフトウェアのツール認証では、以下の様々な情報を文章化する必要があります。

  • ソフトウェアツールのバージョンナンバー
  • ソフトウェアツールの最大のTCLとソフトウェアツールの評価分析について
  • ソフトウェアツールの機能不全により誤った出力がされた場合に、直接侵害される安全要求の最大のASIL
  • ツール認証を行ったコンフィグレーションと環境
  • 認証を行った人または組織
  • 認証に使用した手法
  • ツール認証に使用した方策の結果
  • 認証のときに確認した使用制約と機能不全(ある場合)
 

ツール認証にかかるコスト

TCL2またはTCL3の場合は、ツール認証の作業が必要になりますが、ツール認証の作業にはそれ相応の時間やコストがかかってしまいます。

以下の表は、IPAが公開しているコンパイラの安全要求事項に準拠するために必要な作業項目の抽出にかかった工数になります。

出典:IPA

 

まとめ

今回はISO 26262におけるソフトウェアツールの使用への信頼の一部である「ツール認証」について解説しました。機能安全開発では、使用するツールの信頼性を評価し、場合によってはツール認証が必要となりますが、その作業には多くの時間とコストがかかることが課題です。
弊社のテスト支援ツール「DT+FS」は、ISO 26262やIEC 61508に準拠した開発を支援するための機能を備えています。また、ツール認証をご希望のお客様には、DT+FSを対象とした認証作業に活用可能な技術情報の一部を個別にご提供する「ツール認定準備サポート」も行っており、認証作業の円滑な推進を支援しています。
ツール認証の取得を検討されている方も、現実的な開発支援を重視される方も、ぜひ以下の製品紹介ページをご覧ください。

<参考文献>
ISO 26262:2018, Road vehicles -Functional safety-

機能安全対応を強力にサポートするモデルも選べる!動的テストツール DT+
DT+

DT+は、複雑な動的テストの課題解決のため、豊富な機能を持つテスト支援ツール群です。
中でも「DT+FS」は、機能安全対応に特化し、ISO 26262/IEC 61508の要求に基づくテストを支援。高度なカバレッジ解析とトレーサビリティ連携で、信頼性の高い開発を実現します。