システム開発の事前安全性解析に重点を置いたMISRAガイドラインに注目集まる ―― MISRAソフトウェア安全性解析ガイドライン・セミナ
2007年3月26日,東陽テクニカ(東京都中央区)にて,自動車制御ソフトウェア開発におけるガイドライン「MISRA安全性解析(MISRA-SA)」に関するセミナが開催された(写真1).本ガイドラインの策定を進めている業界団体MISRA(The Motor Industry Software Reliability Association) 委員長のDavid Ward氏や,MISRA-SAについて調査を実施してきたOTSLの桑山敏之氏が,本ガイドラインの概要や策定状況,適用例(ケース・スタディ)について講演した.
[写真1] 講演するMISRA 委員長のDavid Ward氏
MISRA-SAは,2008年に策定される予定の「ISO 26262」に適合した開発実務を実現するためのガイドラインである.ISO 26262は,機能安全規格「IEC 61508」の自動車分野向けサブ規格として位置付けられている.MISRA-SAは現在,ドラフト版の最終段階(Draft 13)にあり,初版の発行は2007年の夏ごろと見られている.
●独自の手法により事前安全性解析を実施
OTSLの桑山敏之氏は,MISRA-SAの概要について説明した(写真2).本ガイドラインが規定している安全性解析は,大きく「事前安全性解析(PSA:preliminary safety analysis)」と「詳細安全性解析(DSA:detailed safety analysis)」という二つのフェーズに分けられる.事前安全性解析は,システム開発の事前もしくは初期に行う安全性解析である.詳細安全性解析は,抽出された潜在危険(hazard)に対して詳細に解析するものである.
本ガイドラインは事前安全性解析に力点を置いており,「PASSPORTダイヤグラム(写真3)」,「可制御性(controllability)」についての表(写真4),「MISRAリスク・グラフ(写真5)」という独自の記述手法を提唱している.一方,詳細安全性解析には,FTA(fault tree analysis;フォールト・ツリー解析)やFMEA(failure mode and effect analysis;故障モード影響解析)などの既存の手法を利用する.
[写真2] 講演するOTSLの桑山氏
[写真3] PASSPORTダイヤグラム(David Ward氏の講演資料より)
PASSPORTダイヤグラムは,そのシステムにおける潜在危険を抽出するための図である.
[写真4] 可制御性(controllability)についての表(David Ward氏の講演資料より)
PASSPORTダイヤグラムから,「もし○○だったら,○○という危険事態が発生する」という潜在危険を抽出し,起こりうる危険事態のひどさや頻度,危険を制御できる可能性などを検討して表に列挙する.
[写真5] MISRAリスク・グラフ
MISRAリスク・グラフは,抽出した潜在危険をクラス分けし,対策が必要な潜在危険を明確にするための図である.可制御性についての表(写真4)に列挙した情報を基にして,この図を作成する.
●衝突防止システムを例に事前安全性解析を説明
MISRA 委員長のDavid Ward氏は,自動車の衝突防止システムを例に,PASSPORTダイヤグラムや可制御性についての表の作成方法を紹介した.
同氏は講演の中で,安全装置を導入したことで人間が安心してしまい,より大きな危険にさらされる可能性があることを指摘した.例えば,危険な状態に陥ったときも「機能が作動するだろう」と考えて行動を起こさず事故に至ったり,機能に慣れた結果,状況に対応する能力そのものが減退してしまう,ということが起こりやすいという.これについては,安全機能をあくまでも「万が一のための支援機能」と認識することが重要だという.
[写真6] MISRAソフトウェア安全性解析ガイドライン・セミナの様子
関連リンク
・技術解説:自動車分野の機能安全規格に対処する実務ガイドライン「MISRA-SA」を知る
http://www.kumikomi.net/article/explanation/2007/21misr/01.html
