Comments
Description
Transcript
ISO 26262における ソフトウェア安全解析の検討
ISO 26262における ソフトウェア安全解析の検討 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 1 背景 一般社団法人JASPARで車載電子制御システムの標準化を推進中 近年、北米での急加速問題など、自動車の安全性に対する注目度増加 自動車の機能安全規格(ISO 26262)の発行(2011年11月) JASPARでも機能安全要件の策定と評価を目的とした活動に注力 機能安全ソフトウェア設計方法の検討 ソフトウェア制御される自動車の仕組みの増加 何をしているか分かりにくいソフトウェアに対する不信感の払拭 機能安全ソフトウェアの明示は自動車の安全性を説明するのに重要 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 2 安全に対するソフトウェアの役割 システムの部品故障を検出/処置し安全担保 例:センサ故障による過大なアクチュエータ指令を防止 ※ただし、マイコン故障などのソフトウェアで検出できないものはハードウェア監視構成などで担保 アクチュエータ指令値に対する意図せぬ不整合を検出/処置し安全担保 例:許容できない短時間での過大なアクチュエータ指令を防止 <<device>> ECU <<device>> 不整合 マイコン 故障 <<device>> センサ 故障 制御ソフトウェア ジカ線 <<device>> センサ I/F回路 アクチュエータ 指令値 センサ電圧 センサ電圧 検出/処置 <<device>> 駆動回路 ジカ線 <<device>> アクチュエータ アクチュエータ 指令値 故障 故障 故障 ハードウェア 監視構成 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 3 課題 安全担保する処理が設計/テストで保証しきれずハザードに至る可能性 想定外のハザードがないことの説明が困難 安全担保が十分である根拠を示せずソフトウェアの過剰な作り込み ポイントを絞った安全性の説明が困難 設計/テストの工数増加(ソフトウェアの複雑化)によるミス増加 ソフトウェア安全解析の検討不足が原因 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 4 目的 想定外を取り込むソフトウェア安全解析の検討 抜け漏れなく適切に安全担保する処理が組み込まれていることの明示 ソフトウェアのどこがハザードに関係しているかの明示 既知の安全解析手法(HAZOP,FTA,FMEA)を組み合わせ 漏れなくソフトウェア安全解析を行う方法を提示 HAZOPでハザードを見つける FTAでハザードに至る経路を対策 FMEAで対策の正しさを確認 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 5 ソフトウェア安全解析 対象ソフトウェアの制御出力を不安全にする欠陥(fault)が対策されるか確認 faultは部品故障、あるいは、制御対象の論理的な不整合など faultの影響を対策するセーフティーメカニズム(SM)が機能することを確認 制御ソフトウェア 基本制御 failure fault SM (検出/処置) SMでfaultの影響を対策し 制御出力の不安全を回避 SMの不備(抜け漏れ、失陥)がないか制御ソフトウェアを解析 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 6 セーフティーメカニズムの不備 以下に示すSMの不備がないことを確認し網羅的に安全解析を実施 ①安全要求の不備でSMが ないか不十分 fault 基本制御 failure SM ②SMを失陥させるSM自身 の不具合 fault 基本制御 failure SM 不具合 ③SMを失陥させる基本制御 の不具合 fault 基本制御 不具合 failure SM 不具合 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 7 安全解析手法 手法 説明 HAZOP (Hazard and Operability Study) 設計意図からの逸脱によるハザードを明示する 手法 FTA (Fault Tree Analysis) ハザードの発生原因を上位から下位へ論理展 開し因果関係を明示する手法 FMEA (Failure Mode and Effects Analysis) 構成部品の故障モード(failure mode)から上位 構成部品への影響を明示する手法 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 8 HAZOP HAZOP でハザードを洗い出す 制御出力とガイドワードで期待値からのずれを想定/解析しハザードを導出 安全要求はハザードに対処するためのソフトウェア要求 ハザードを網羅的に導出し、安全要求の不備をなくす 安全要求の不備によるSMの抜け漏れを確認/回避 ※ISO 26262におけるハザードはコンセプトフェーズのハザード解析で導出 制御出力 アクチュエータ 駆動力 設計意図と異なる挙動 期待値からの逸脱状態 (ガイドワード) シチュエーション ハザード 不作動 通常運転時 意図しない制御停止 勝手に作動 通常運転時 勝手に駆動制御 過大 通常運転時 意図より過大な駆動制御 過小 通常運転時 意図より過小な駆動制御 … … … 適切なガイドワードの列挙が網羅的なハザード導出のポイント Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 9 HAZOPのガイドワード 制御出力を「期待値と実際」の2次元平面で解析 「期待値と実際」のずれ方からガイドワードを導出 誤作動の許容範囲によるガイドワードの変化に留意 制御量だけでなく、算出タイミングなど制御出力の持つ意味を考慮 反対 勝手に作動 実際 過大 振動 過小 不作動 勝手に作動 過小 許容範囲 期待値 反対 過大 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 10 FTA FTAでハザードの原因となる異常を洗い出す FTAは、トップ事象に対しその要因を探る、トップダウン解析手法 アクチュエータの誤作動を引き起こし得る異常要因をブレークダウン 見つかった異常を検出/対処するメカニズムを追加 FTAをソフトウェア構造に適用 • • SMが十分機能することの確認 SMを失陥させるSM自身の不具合がないことの確認 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 11 ソフトウェアのFTA データフローからソフトウェアFTAを実施 データフローの構成要素のどこがどうなると望ましくない結果に至るか解析 ソフトウェアの事象は発生確率を規定できないので、定性解析を行う FT図 データフロー 入力1 制御量 算出 入力2 <SC001> SM … 上限値 算出 <SC002> ACT制御量が過大になる 指令値が過大 制御量 制御量が過大 上限 処理 <SC003> 上限値 上限値が 過大 指令値 ACT 制御量を過大 にする入力 入力1が 過大 制御量 演算ミス 入力2が 過小 上限値を過大 にする入力 上限処理 演算ミス 上限値 演算ミス … Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 12 FMEA システム構成部品のFMEAを実施し、FTAの正しさを確認 FMEAは、潜在的な故障を探る、ボトムアップ解析手法 構成部品の顕在的な故障モードから上位構成部品で起きるかもしれない影響を解析 FTAに推論の漏れがないことを確認 FTAの経路にない構成部品がSMに及ぼす影響を解析 FMEAをソフトウェア構造に適用 • • SMを失陥させるSM自身の不具合がないことの確認 SMを失陥させる基本制御の不具合がないことの確認 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 13 ソフトウェアのFMEA 全ソフトウェアコンポーネントのSMに対する影響(侵害可能性)を解析 あるソフトウェアコンポーネントの故障モードがSMのソフトウェアコンポーネント に影響するか総当たりで確認 ソフトウェアコンポーネントの故障率は見積もれないので影響の有無を解析 例えば、コンポーネントのミスで壊したメモリの値がSMコンポーネントの利用す る値だったなど、リソースを介したカスケード故障の影響を解析 ソフトウェア コンポーネント 制御量算出 <SC001> 上限値算出 <SC002> 故障モード 要因 演算間違い SMの侵害可能性 処置 SC002 SC003 ソフトウェア ハードウェア プログラムミス - - - - データ破壊 プログラムミス - - - - 遅延 想定外割り込み 1 1 ディスパッチ 外部監視 不正アクセス プログラムミス 1 1 - メモリ管理 実行時エラー プログラムミス 1 1 防衛実装 マイコンリセット 演算間違い プログラムミス - 1 … … … … … … Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 14 安全解析手法とSM不備の比較 安全解析手法 HAZOP FTA FMEA ①安全要求の不備で SMがないか不十分 ◎ △ × ②SMを失陥させる SM自身の不具合 × ◎ ○ ③SMを失陥させる 基本制御の不具合 × △ ◎ SM不備のパタン 手法の適用が、 ◎:適切 ○:可能 △:部分的に可能 ×:不適切あるいは不可能 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 15 ソフトウェア安全解析の流れ 漏れなくソフトウェア安全解析を行うための手法を示す HAZOPで全てのハザードを見つけ、 対応するSMが存在するか確認 FTAでハザードに至るデータフローの 経路を見つけ対策 対策が正しく行われたか全ソフトウェア コンポーネントをFMEAで確認 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 16 今後の課題 従属故障(dependent failure)解析の検討 マイコンリソースなどに起因するカスケード故障 基本制御とSMを同時に失陥させるfault(共通原因故障) 安全解析の効率化 安全解析範囲を適切に絞り込む方法の検討 アクチュエータ挙動に表れる制御出力に関係するデータの分類 Copyright© 2012 OTSL Inc. All rights reserved. Confidential document OTSL2012-01-0236-C0001 17