クリティカル・システムに使う市販ソフトウェアの検証方法(2) ―― 誰が,何をもって市販ソフトウェアが信頼できることを証明するのか
本連載では,市販ソフトウェアの使用に際して求められるリスク分析や検証作業,市販ソフトウェアの検証記録の作り方について解説する.今回は,市販ソフトウェアをクリティカル・システムに組み込むにあたって,どのような確認が必要なのかを考える.また,米国FDA(食品医薬品局)が発行しているガイダンスに基づいて,市販ソフトウェアの信頼性証明に必要な情報を考える.(編集部)
技術解説・連載「クリティカル・システムに使う市販ソフトウェアの検証方法」 記事一覧
第1回 ソフトウェア品質論の推移とシステムの安全性確保の考え方
第2回 誰が,何をもって市販ソフトウェアが信頼できることを証明するのか
第3回 検証記録に含めるべき事項を考える
第4回 市販ソフトウェア・ベンダが提供する検証記録の内容
2.ISO 26262の適合証明と米国FDAの妥当性確認
自動車の機能安全規格である「ISO 26262」の「Part 8: Supporting processes(支援プロセス)」には,「ソフトウェア・ツールの使用への信頼」という章があります.この章にはソフトウェア・ツールに対する信頼の要求水準を決めるための基準が書かれているのですが,この基準は,「そのソフトウェア・ツールを使用することが適切である」という証拠を作成するための認定手段として使えることをも目的としている,と書かれています.近年のソフトウェア安全関連の国際規格で,商業目的につながることが予想できるツール種別の推奨やツール使用の条件のような内容を規格の本文に書いているのは,あまり見たことがありません.
米国FAA(連邦航空局)では,当初,航空機開発を行う際に使用するツール認証を一般的なソフトウェア開発プロセスの判断基準で行っていました.しかし,さまざまなツールが使用されている実態に対して,このツール認証の制約は合わないことが分かったため,今では止めているそうです.
●ISO 26262の適合証明は組織やドキュメントを監査したものにすぎない
ISO 26262における適合証明の位置付けを図1に示します.ISO 26262の第三者認証機関は,ISO 26262の要求に基づいて,対象製品が要求を満たしているかどうかをチェックし,要求を満たしていることが確認できるとISO 26262の適合証明書を発行します.これは ISO 9001(品質マネジメント・システム)の監査方法と同じです.
しかし,気をつけなければいけないのは,この方法は対象製品を直接検証しているわけではないという点です.第三者認証機関は,対象となる組織やプロジェクト,そしてプロジェクトが作成したドキュメントを監査しているにすぎません.また,ISO 26262では,ツール・ベンダが適合証明を取得することになりますが,ツール・ベンダは,ツールやシステムが使われる場面,用途を必ずしも熟知しているわけではありません.
医薬品や医療機器の世界では,米国FDAが,コンピュータ・システムに関する妥当性確認(CSV;Computerized System Validation)を製造業者に求めています(1)(図2).CSVの目的は,クリティカルな製品を開発・製造する際に,ツールや自動工程で使うソフトウェアの妥当性を評価することです.簡単に言えば,「危ないものを作るのに何らかのソフトウェアを使っているのであれば,それが製品の安全を脅かしていないことを確認して根拠を示せ」という要求です.この際に,根拠を示さなければいけないのは製造業者側であり,ツール・ベンダではありません(ツール・ベンダやサプライヤと協力して根拠を示すことはある).