2011年02月08日

機能安全とリスクマネジメント

色々IEC 61508について調べてたら、資料がみつかったのでそのメモ。 正直、全然まとめられていないので見づらい点はご容赦を。

http://www.jahis.jp/sisuiryo/houkoku/h19seminamain/sedata/03-sofuto.pdf

上記資料によると、ベンダ側のリスクマネジメント規格として、IEC62304の他にIEC80002があり、ユーザに対してもIEC80001 が存在するらしい。(IEC80001/80002はドラフト)


■ Web上の情報

参考HP: 機能安全の意味がわかった(IEC61508とISO26262の最新情報)

http://embeddedsoftwaremanufactory.blogspot.com/2011/01/iec61508iso26262.html

このサイトでは、雑誌:日経エレクトロニクス 2011.1.10 の特集記事『クルマの電子安全始まる-ISO26262を越えて-』の内容を一部抜粋して、追加で意見を追加していて分かりやすい。
------------------------
IEC61508に対する批判は主に次の4点に集約されている。

1. 安全性の規格でありながら、定量的な故障検出率といった確率論に重きを置きすぎている。
2. 故障率低減のための複雑な機構の導入が、かえってシステム全体の安全性を損なう危険性に配慮していない。
3. 部品ごとに安全性の認証を与え、認証を得た部品の採用によって安全を担保しようとしている。
4. バックグラウンドとなる理論的体系や支柱がなく、規格が膨大で分かりにくい。

あー、それだ。そう、何年も前から自分はこの規格を読んでいてそう思っていたのだ。特に3つめの部品単位での安全性の認証のところ。日経エレの進藤記者、分かりやすく明確に書いてくれてありがとう。この記事読んでいて「がってん」ボタンを何回も押してしまったよ。
------------------------


という部分。確かにIEC61508の情報を色々集めているのだけど分かりづらい。
また、

機能安全の説明でよく踏切の例が挙げられる。踏切ではなく高架橋を作ることによって通行者の安全を確保するのが本質安全で、踏切という安全装置によって安全を確保するのが機能安全。


というのがよく言われる。今回紹介されている雑誌の記事では、機能安全に対する理解を深めるのに役立つ。


■機能安全とISO 26262

雑誌:日経エレクトロニクス 2011.1.10 の特集記事『クルマの電子安全始まる-ISO26262を越えて-』を読んで

ISO 26262は、自動車の電子制御系の安全規格。現在はまだ任意規格だが、欧州では積極的に動いている。

米国のシステム安全(System Safety)と、欧州の機能安全(Functional Safety)の比較が分かりやすい。この記事の中で紹介されている『セーフウェア』という書籍も購入してしまった。読むのはこれからだが。






■ ASIL(Automotive SIL)

記事からの抜粋にもなるが、SIL(Safety Integrity Level、安全度水準)が、ASIL(AutomotiveSIL)へと、ISO 26262では修正されている。

ISO 26262では、ASIL decomposition(ASIL分解)という仕組みが導入されている。ASILを、ある部分で分けて、集中的にリスク対策を施すことでASILを下げることが可能であり、かつ合理的であることらしい。

<中略>
安全規格では、故障(failure)として2種類を規定していて、一つはハードウェアの偶発故障(random failure)、もう一つはソフトウェアのバグや設計エラーなどに代表される決定論的故障(systematic failure)である。

ハードウェアの偶発故障については、ECU内の各種の信号を監視したり、サブマイコンによってメインのマイコンを監視したりすることで検出する。一方、決定論的故障は、ソフトウェアの開発時に、整った開発プロセスを用いたりすることで事前にバグが入り込まないように予防的に対処する。
また、仮にソフトウェアの不具合があった際も、それが他のソフトウェアの動作に干渉しないようメモリ保護を施したり、プログラムの実行状況を常に監視・比較して検知したりすることもある。

ASIL decompositionにおいて、ASILを下げても良いと認められているのは、決定論的故障に対するリスク低減手段だけであり、例えば、ソフトウェアの開発プロセスなどは、ASIL decompositionによって低いASILの規定に下げられる。一方、ハードウェアの故障検知など偶発故障への対策については、ASIL decompositionを実施した場合でも低いASILの規定に下げることは認められない。



■ 形式手法

IEC 61508では、形式手法が強く推奨されているが、ISO 26262では、推奨するに弱められた。

形式手法については、このサイトに説明がある。

『いまさら聞けない 形式手法入門』
http://monoist.atmarkit.co.jp/fembedded/special/fm/fm01.html



■ ソフトウェア部品の不具合の波及防止方法

ISO 26262では、ソフトウェア部品に不具合があった際、それが他の部品に悪影響を及ぼすのを防ぐための仕組み『ソフトウェア・パーティショニング技術』が盛り込まれている。

この技術は、概ね3つのパターンがあり、

1. OSの保護機能によってパーティションを作成する方法
2. 仮想化技術によってパーティションを作成する方法
3. マルチコアなどによってCPUコアそのものを分ける方法



■ ハードウェアの偶発故障

SPFM(Single point faults metric、単一障害の評価指標)、LFM(latent faults metric, 洗剤多重障害の評価指標)は、
1. 各部品が一般的に有する故障率(FIT: Failure in time)と、
2. 各安全機構(SM: Safety Mechanism) が持ち得る故障検出のカバー率『DC(diagnostic coverage, 自己診断率)』、
これらの二つの要素から算出する。

1の部品の故障率は、「IEC 62380」など故障率に関する一般的なデータベースや文献から引用する。
2のDC値については、例えば、マイコンで一般的なウォッチドッグ・タイマであれば、90%のDC値を、デュアルコア間でソフトウェアによって相互監視した場合であれば、99%のDC値を、それぞれ発揮し得ると規定している。

デュアルコア構成は単価が高くなるため、別のアプローチを採る企業もある。例えば、東芝はイタリアYOGITECH社と共同でレジスタや回路ブロックといった細粒度でCPUコア内部の故障を検出して要因を診断する技術を開発し、ARM系の車載マイコンに適用している。



ラベル:IEC 規格
posted by maplewine at 19:42| Comment(0) | TrackBack(0) | Learning | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。