iso 26262における ソフトウェア安全解析の検討 ·...
TRANSCRIPT
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
1OTSL2012-01-0236-C0001
ISO 26262におけるソフトウェア安全解析の検討
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
2OTSL2012-01-0236-C0001
背景
一般社団法人JASPARで車載電子制御システムの標準化を推進中
近年、北米での急加速問題など、自動車の安全性に対する注目度増加
自動車の機能安全規格(ISO 26262)の発行(2011年11月)
JASPARでも機能安全要件の策定と評価を目的とした活動に注力
機能安全ソフトウェア設計方法の検討
ソフトウェア制御される自動車の仕組みの増加
何をしているか分かりにくいソフトウェアに対する不信感の払拭
機能安全ソフトウェアの明示は自動車の安全性を説明するのに重要
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
3OTSL2012-01-0236-C0001
安全に対するソフトウェアの役割
システムの部品故障を検出/処置し安全担保
例:センサ故障による過大なアクチュエータ指令を防止※ただし、マイコン故障などのソフトウェアで検出できないものはハードウェア監視構成などで担保
アクチュエータ指令値に対する意図せぬ不整合を検出/処置し安全担保
例:許容できない短時間での過大なアクチュエータ指令を防止
<<device>>ECU
<<device>>マイコン
制御ソフトウェア<<device>>センサI/F回路
<<device>> 駆動回路
<<device>>センサ
<<device>>アクチュエータ
センサ電圧
ジカ線
アクチュエータ指令値
ジカ線アクチュエータ指令値センサ電圧
故障
故障 故障
故障
不整合
故障
検出/処置
ハードウェア監視構成
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
4OTSL2012-01-0236-C0001
課題
安全担保する処理が設計/テストで保証しきれずハザードに至る可能性
想定外のハザードがないことの説明が困難
安全担保が十分である根拠を示せずソフトウェアの過剰な作り込み
ポイントを絞った安全性の説明が困難
設計/テストの工数増加(ソフトウェアの複雑化)によるミス増加
ソフトウェア安全解析の検討不足が原因
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
5OTSL2012-01-0236-C0001
目的
想定外を取り込むソフトウェア安全解析の検討
抜け漏れなく適切に安全担保する処理が組み込まれていることの明示
ソフトウェアのどこがハザードに関係しているかの明示
既知の安全解析手法(HAZOP,FTA,FMEA)を組み合わせ漏れなくソフトウェア安全解析を行う方法を提示
HAZOPでハザードを見つける
FTAでハザードに至る経路を対策
FMEAで対策の正しさを確認
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
6OTSL2012-01-0236-C0001
ソフトウェア安全解析
対象ソフトウェアの制御出力を不安全にする欠陥(fault)が対策されるか確認
faultは部品故障、あるいは、制御対象の論理的な不整合など
faultの影響を対策するセーフティーメカニズム(SM)が機能することを確認
制御ソフトウェア
基本制御
SM(検出/処置)
fault
SMでfaultの影響を対策し制御出力の不安全を回避
failure
SMの不備(抜け漏れ、失陥)がないか制御ソフトウェアを解析
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
7OTSL2012-01-0236-C0001
セーフティーメカニズムの不備
以下に示すSMの不備がないことを確認し網羅的に安全解析を実施
基本制御
SM
fault failure
基本制御
SM
fault failure
基本制御
SM
fault failure
①安全要求の不備でSMがないか不十分
不具合
②SMを失陥させるSM自身の不具合
不具合
不具合
③SMを失陥させる基本制御の不具合
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
8OTSL2012-01-0236-C0001
安全解析手法
手法 説明
HAZOP(Hazard and Operability Study)
設計意図からの逸脱によるハザードを明示する手法
FTA(Fault Tree Analysis)
ハザードの発生原因を上位から下位へ論理展開し因果関係を明示する手法
FMEA(Failure Mode and Effects Analysis)
構成部品の故障モード(failure mode)から上位構成部品への影響を明示する手法
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
9OTSL2012-01-0236-C0001
HAZOPHAZOP でハザードを洗い出す
制御出力とガイドワードで期待値からのずれを想定/解析しハザードを導出
安全要求はハザードに対処するためのソフトウェア要求
ハザードを網羅的に導出し、安全要求の不備をなくす
制御出力期待値からの逸脱状態
(ガイドワード)
設計意図と異なる挙動
シチュエーション ハザード
アクチュエータ駆動力
不作動 通常運転時 意図しない制御停止
勝手に作動 通常運転時 勝手に駆動制御
過大 通常運転時 意図より過大な駆動制御
過小 通常運転時 意図より過小な駆動制御
… … …
※ISO 26262におけるハザードはコンセプトフェーズのハザード解析で導出
安全要求の不備によるSMの抜け漏れを確認/回避
適切なガイドワードの列挙が網羅的なハザード導出のポイント
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
10OTSL2012-01-0236-C0001
HAZOPのガイドワード
制御出力を「期待値と実際」の2次元平面で解析
「期待値と実際」のずれ方からガイドワードを導出
誤作動の許容範囲によるガイドワードの変化に留意
制御量だけでなく、算出タイミングなど制御出力の持つ意味を考慮
期待値
実際
許容範囲
過小
過大
反対
反対
過小
過大
不作動
振動
勝手に作動
勝手に作動
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
11OTSL2012-01-0236-C0001
FTA
FTAでハザードの原因となる異常を洗い出す
FTAは、トップ事象に対しその要因を探る、トップダウン解析手法
アクチュエータの誤作動を引き起こし得る異常要因をブレークダウン
見つかった異常を検出/対処するメカニズムを追加
FTAをソフトウェア構造に適用
• SMが十分機能することの確認• SMを失陥させるSM自身の不具合がないことの確認
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
12OTSL2012-01-0236-C0001
ソフトウェアのFTA
データフローからソフトウェアFTAを実施
データフローの構成要素のどこがどうなると望ましくない結果に至るか解析
ソフトウェアの事象は発生確率を規定できないので、定性解析を行う
FT図データフロー
制御量算出
<SC001>
入力1
入力2
ACT制御量が過大になる
制御量演算ミス
制御量を過大にする入力
入力1が過大
入力2が過小
指令値が過大
制御量
制御量が過大
上限処理演算ミス
上限値が過大
上限値演算ミス
上限値を過大にする入力
…
SM 上限処理
<SC003>
指令値
ACT
上限値算出
<SC002> 上限値
…
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
13OTSL2012-01-0236-C0001
FMEA
システム構成部品のFMEAを実施し、FTAの正しさを確認
FMEAは、潜在的な故障を探る、ボトムアップ解析手法
構成部品の顕在的な故障モードから上位構成部品で起きるかもしれない影響を解析
FTAに推論の漏れがないことを確認
FTAの経路にない構成部品がSMに及ぼす影響を解析
FMEAをソフトウェア構造に適用
• SMを失陥させるSM自身の不具合がないことの確認• SMを失陥させる基本制御の不具合がないことの確認
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
14OTSL2012-01-0236-C0001
ソフトウェアのFMEA
全ソフトウェアコンポーネントのSMに対する影響(侵害可能性)を解析
あるソフトウェアコンポーネントの故障モードがSMのソフトウェアコンポーネント
に影響するか総当たりで確認
ソフトウェアコンポーネントの故障率は見積もれないので影響の有無を解析
例えば、コンポーネントのミスで壊したメモリの値がSMコンポーネントの利用す
る値だったなど、リソースを介したカスケード故障の影響を解析
ソフトウェアコンポーネント
故障モード 要因SMの侵害可能性 処置
SC002 SC003 ソフトウェア ハードウェア
制御量算出<SC001>
演算間違い プログラムミス - - - -
データ破壊 プログラムミス - - - -
遅延 想定外割り込み 1 1 ディスパッチ 外部監視
不正アクセス プログラムミス 1 1 - メモリ管理
実行時エラー プログラムミス 1 1 防衛実装 マイコンリセット
上限値算出<SC002>
演算間違い プログラムミス - 1
… … … … … …
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
15OTSL2012-01-0236-C0001
安全解析手法とSM不備の比較
安全解析手法
SM不備のパタンHAZOP FTA FMEA
①安全要求の不備でSMがないか不十分 ◎ △ ×
②SMを失陥させるSM自身の不具合 × ◎ ○
③SMを失陥させる基本制御の不具合
× △ ◎
手法の適用が、◎:適切○:可能△:部分的に可能×:不適切あるいは不可能
Confidential documentCopyright© 2012 OTSL Inc. All rights reserved.
16OTSL2012-01-0236-C0001
ソフトウェア安全解析の流れ
漏れなくソフトウェア安全解析を行うための手法を示す
HAZOPで全てのハザードを見つけ、対応するSMが存在するか確認
FTAでハザードに至るデータフローの経路を見つけ対策
対策が正しく行われたか全ソフトウェアコンポーネントをFMEAで確認