...

ISO 26262における ソフトウェア安全解析の検討

by user

on
Category: Documents
25

views

Report

Comments

Transcript

ISO 26262における ソフトウェア安全解析の検討
ISO 26262における
ソフトウェア安全解析の検討
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
1
背景
„ 一般社団法人JASPARで車載電子制御システムの標準化を推進中
„
近年、北米での急加速問題など、自動車の安全性に対する注目度増加
„
自動車の機能安全規格(ISO 26262)の発行(2011年11月)
„
JASPARでも機能安全要件の策定と評価を目的とした活動に注力
„ 機能安全ソフトウェア設計方法の検討
„
ソフトウェア制御される自動車の仕組みの増加
„
何をしているか分かりにくいソフトウェアに対する不信感の払拭
„
機能安全ソフトウェアの明示は自動車の安全性を説明するのに重要
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
2
安全に対するソフトウェアの役割
„ システムの部品故障を検出/処置し安全担保
„
例:センサ故障による過大なアクチュエータ指令を防止
※ただし、マイコン故障などのソフトウェアで検出できないものはハードウェア監視構成などで担保
„ アクチュエータ指令値に対する意図せぬ不整合を検出/処置し安全担保
„
例:許容できない短時間での過大なアクチュエータ指令を防止
<<device>>
ECU
<<device>>
不整合
マイコン
故障
<<device>>
センサ
故障
制御ソフトウェア
ジカ線
<<device>>
センサ
I/F回路
アクチュエータ
指令値
センサ電圧
センサ電圧
検出/処置
<<device>>
駆動回路
ジカ線
<<device>>
アクチュエータ
アクチュエータ
指令値
故障
故障
故障
ハードウェア
監視構成
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
3
課題
„ 安全担保する処理が設計/テストで保証しきれずハザードに至る可能性
„
想定外のハザードがないことの説明が困難
„ 安全担保が十分である根拠を示せずソフトウェアの過剰な作り込み
„
ポイントを絞った安全性の説明が困難
„
設計/テストの工数増加(ソフトウェアの複雑化)によるミス増加
ソフトウェア安全解析の検討不足が原因
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
4
目的
„ 想定外を取り込むソフトウェア安全解析の検討
„
抜け漏れなく適切に安全担保する処理が組み込まれていることの明示
„
ソフトウェアのどこがハザードに関係しているかの明示
既知の安全解析手法(HAZOP,FTA,FMEA)を組み合わせ
漏れなくソフトウェア安全解析を行う方法を提示
HAZOPでハザードを見つける
FTAでハザードに至る経路を対策
FMEAで対策の正しさを確認
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
5
ソフトウェア安全解析
„ 対象ソフトウェアの制御出力を不安全にする欠陥(fault)が対策されるか確認
„
faultは部品故障、あるいは、制御対象の論理的な不整合など
„
faultの影響を対策するセーフティーメカニズム(SM)が機能することを確認
制御ソフトウェア
基本制御
failure
fault
SM
(検出/処置)
SMでfaultの影響を対策し
制御出力の不安全を回避
SMの不備(抜け漏れ、失陥)がないか制御ソフトウェアを解析
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
6
セーフティーメカニズムの不備
„ 以下に示すSMの不備がないことを確認し網羅的に安全解析を実施
①安全要求の不備でSMが
ないか不十分
fault
基本制御
failure
SM
②SMを失陥させるSM自身
の不具合
fault
基本制御
failure
SM
不具合
③SMを失陥させる基本制御
の不具合
fault
基本制御
不具合
failure
SM
不具合
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
7
安全解析手法
手法
説明
HAZOP
(Hazard and Operability Study)
設計意図からの逸脱によるハザードを明示する
手法
FTA
(Fault Tree Analysis)
ハザードの発生原因を上位から下位へ論理展
開し因果関係を明示する手法
FMEA
(Failure Mode and Effects Analysis)
構成部品の故障モード(failure mode)から上位
構成部品への影響を明示する手法
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
8
HAZOP
„ HAZOP でハザードを洗い出す
„
制御出力とガイドワードで期待値からのずれを想定/解析しハザードを導出
„
安全要求はハザードに対処するためのソフトウェア要求
„
ハザードを網羅的に導出し、安全要求の不備をなくす
安全要求の不備によるSMの抜け漏れを確認/回避
※ISO 26262におけるハザードはコンセプトフェーズのハザード解析で導出
制御出力
アクチュエータ
駆動力
設計意図と異なる挙動
期待値からの逸脱状態
(ガイドワード)
シチュエーション
ハザード
不作動
通常運転時
意図しない制御停止
勝手に作動
通常運転時
勝手に駆動制御
過大
通常運転時
意図より過大な駆動制御
過小
通常運転時
意図より過小な駆動制御
…
…
…
適切なガイドワードの列挙が網羅的なハザード導出のポイント
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
9
HAZOPのガイドワード
„ 制御出力を「期待値と実際」の2次元平面で解析
„
「期待値と実際」のずれ方からガイドワードを導出
„
誤作動の許容範囲によるガイドワードの変化に留意
„
制御量だけでなく、算出タイミングなど制御出力の持つ意味を考慮
反対
勝手に作動
実際
過大
振動
過小
不作動
勝手に作動
過小
許容範囲
期待値
反対
過大
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
10
FTA
„ FTAでハザードの原因となる異常を洗い出す
„
FTAは、トップ事象に対しその要因を探る、トップダウン解析手法
„
アクチュエータの誤作動を引き起こし得る異常要因をブレークダウン
„ 見つかった異常を検出/対処するメカニズムを追加
„ FTAをソフトウェア構造に適用
•
•
SMが十分機能することの確認
SMを失陥させるSM自身の不具合がないことの確認
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
11
ソフトウェアのFTA
„ データフローからソフトウェアFTAを実施
„
データフローの構成要素のどこがどうなると望ましくない結果に至るか解析
„
ソフトウェアの事象は発生確率を規定できないので、定性解析を行う
FT図
データフロー
入力1
制御量
算出
入力2
<SC001>
SM
…
上限値
算出
<SC002>
ACT制御量が過大になる
指令値が過大
制御量
制御量が過大
上限
処理
<SC003>
上限値
上限値が
過大
指令値
ACT
制御量を過大
にする入力
入力1が
過大
制御量
演算ミス
入力2が
過小
上限値を過大
にする入力
上限処理
演算ミス
上限値
演算ミス
…
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
12
FMEA
„ システム構成部品のFMEAを実施し、FTAの正しさを確認
„
FMEAは、潜在的な故障を探る、ボトムアップ解析手法
„
構成部品の顕在的な故障モードから上位構成部品で起きるかもしれない影響を解析
„
FTAに推論の漏れがないことを確認
„ FTAの経路にない構成部品がSMに及ぼす影響を解析
„ FMEAをソフトウェア構造に適用
•
•
SMを失陥させるSM自身の不具合がないことの確認
SMを失陥させる基本制御の不具合がないことの確認
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
13
ソフトウェアのFMEA
„ 全ソフトウェアコンポーネントのSMに対する影響(侵害可能性)を解析
„
あるソフトウェアコンポーネントの故障モードがSMのソフトウェアコンポーネント
に影響するか総当たりで確認
„
ソフトウェアコンポーネントの故障率は見積もれないので影響の有無を解析
„
例えば、コンポーネントのミスで壊したメモリの値がSMコンポーネントの利用す
る値だったなど、リソースを介したカスケード故障の影響を解析
ソフトウェア
コンポーネント
制御量算出
<SC001>
上限値算出
<SC002>
故障モード
要因
演算間違い
SMの侵害可能性
処置
SC002
SC003
ソフトウェア
ハードウェア
プログラムミス
-
-
-
-
データ破壊
プログラムミス
-
-
-
-
遅延
想定外割り込み
1
1
ディスパッチ
外部監視
不正アクセス
プログラムミス
1
1
-
メモリ管理
実行時エラー
プログラムミス
1
1
防衛実装
マイコンリセット
演算間違い
プログラムミス
-
1
…
…
…
…
…
…
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
14
安全解析手法とSM不備の比較
安全解析手法
HAZOP
FTA
FMEA
①安全要求の不備で
SMがないか不十分
◎
△
×
②SMを失陥させる
SM自身の不具合
×
◎
○
③SMを失陥させる
基本制御の不具合
×
△
◎
SM不備のパタン
手法の適用が、
◎:適切
○:可能
△:部分的に可能
×:不適切あるいは不可能
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
15
ソフトウェア安全解析の流れ
„ 漏れなくソフトウェア安全解析を行うための手法を示す
HAZOPで全てのハザードを見つけ、
対応するSMが存在するか確認
FTAでハザードに至るデータフローの
経路を見つけ対策
対策が正しく行われたか全ソフトウェア
コンポーネントをFMEAで確認
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
16
今後の課題
„ 従属故障(dependent failure)解析の検討
„
マイコンリソースなどに起因するカスケード故障
„
基本制御とSMを同時に失陥させるfault(共通原因故障)
„ 安全解析の効率化
„
安全解析範囲を適切に絞り込む方法の検討
„
アクチュエータ挙動に表れる制御出力に関係するデータの分類
Copyright© 2012 OTSL Inc. All rights reserved.
Confidential document
OTSL2012-01-0236-C0001
17
Fly UP