今回は自動車業界向け機能安全の国際規格である「ISO 26262」を適用する開発における、使用するソフトウェアツールへの対応「ツール認定」について紹介します。

機能安全規格

機能安全とは、安全を確保するような機能を導入することにより、許容不可能なリスクが存在しない状態を達成することです。そして、その機能安全を実装するために有効な手法を規定したものが機能安全規格となります。鉄道や自動車など、それぞれの業界などに向けた様々な機能安全規格が存在しています。
機能安全規格であるISO 26262などでは、開発で使用するソフトウェアツールに対してツールの信頼性を評価する作業が必要になります。その後、評価結果に応じてソフトウェアツールの認定を行います。この認定をツール認定と呼びます。ISO 26262のなかではISO 26262-8:2018 Clause11にて述べられています。ツール認定を行うことにより、ソフトウェアツールの故障による、システマチックフォールトのリスクが小さいこと、などが証明されます。

ソフトウェアツールの使用への信頼

ソフトウェアツールの評価と認定における主なフローを以下の図に記載します。

図:「ソフトウェアツールの使用への信頼」のフロー

ツール信頼水準の決定

まず始めに、ソフトウェアツール使用の評価のためにツール信頼度水準(TCL:Tool Confidence Level)を決定します。ツール信頼度水準は以下の2つの指標を元に決定されます。

1.TI(Tool Impact):ツールインパクト

ソフトウェアツールの機能不全が開発中の安全関連アイテムもしくはエレメントに対してエラーをもたらす、又はエラーを検出できない可能性を考慮し決定されます。つまり、ソフトウェアツールの誤作動による影響度を考慮し、TI1、TI2を割り付けます。

  •    ・TI1:影響がないという論証がある場合
  •    ・TI2:その他の場合

 

2.TD(Tool error Detection):ツールエラー検出

ソフトウェアツールの機能不全により誤った結果が出てしまうのを防ぐ、又は検出する方法の信頼性を考慮し決定されます。
つまり、ソフトウェアツールの誤作動によるエラーを防止又は検出できるレベルを考慮し、TD1、TD2、TD3を割り付けます。

  •    ・TD1:高いレベルである場合
  •    ・TD2:中程度のレベルの場合
  •    ・TD3:その他の場合

 

TI、TDそれぞれの割り付けの証明が不十分の場合、より高い割り付けを行う必要があります。TI、TDを決定後に、以下の表を元にTCLの決定を行います。

ツール認定

決定したTCLとASILを元にツール認定の作業を行います。ツール認定のために以下の表に示す手法を適用しなければなりません。
TCL3に決定された場合、以下の表になります。


(+:推奨 ++:強く推奨) (ここでの安全規格はISO 26262,IEC 61508,EN 50128 などを指します)

TCL2に決定された場合、以下の表になります。


TCL1に決定された場合、ツール認定を必要としません。

ソフトウェアのツール認定では、以下の様々な情報を文章化する必要があります。

  •    ・ソフトウェアツールのバージョンナンバー
  •    ・ソフトウェアツールの最大のTCLとソフトウェアツールの評価分析について
  •    ・ソフトウェアツールの機能不全により誤った出力がされた場合に、直接侵害される安全要求の最大のASIL
  •    ・ツール認定を行ったコンフィグレーションと環境
  •    ・認定を行った人または組織
  •    ・認定に使用した手法
  •    ・ツール認定に使用した方策の結果
  •    ・認定のときに確認した使用制約と機能不全(ある場合)

ツール認定にかかるコスト

TCL2またはTCL3の場合は、ツール認定の作業が必要になりますが、ツール認定の作業にはそれ相応の時間やコストがかかってしまいます。

以下の表は、IPAが公開しているコンパイラの安全要求事項に準拠するために必要な作業項目の抽出にかかった工数になります。

出典:IPA

認定済みのツールを使うという選択肢

ツール認定はソフトウェアツールを提供するベンダーではなくソフトウェアツールを使用するユーザーに求められます。
ツール認定を行う際に必要になる情報にはソフトウェアツールを開発した際の設計書やテストの結果などが含まれていますが、その情報をツールベンダーが開示してくれるのか? という問題も発生します。この問題の解決はユーザーの努力では越えられない大きな壁となってしまいます。
そこで、ツール認定済みのソフトウェアツールを使用するという選択肢があります。ツール認定済みのソフトウェアツールというのは、ツールベンダー側が事前に必要となるツール認定の作業を行い、第三者認証機関の監査を受けて承認をもらうというものです。これにより、ソフトウェアツールを使用するユーザー側でソフトウェアツールの評価や認定の作業を行わずに、機能安全開発にそのソフトウェアツールを使用する事ができます。

まとめ

今回はISO 26262ソフトウェアツールの使用への信頼の一部であるツール認定について記載しました。機能安全開発で使用するソフトウェアツールにはツールの評価が必要になり、評価の内容によってはツール認定が必要になります。
ツール認定の実施にはコストと時間が大きくかかってしまいます。コストと時間の懸念を解消するためにも、一度、認定済みのソフトウェアツールを使用することを検討してみてはいかがでしょうか。
弊社ではツール認定済みのテストツールの販売を行っています。また、機能安全の適用を支援させていただく「DiET」というサービスも提供しておりますので、ぜひご検討ください。

<参考文献>
ISO 26262;2018, Road vehicles -Functional safety-


機能安全対応!動的テストツールDT+FS

DT+FSは、豊富なカバレッジ解析機能のほか、 トレーサビリティツールとの連携で テストケースとエビデンスとのつながりを明確に。