ケイデンスツールとISO26262認定
はじめに
ISO26262は量産乗用車を対象とした(訳注:2018年12月にリリースされた第2版では、2/3輪車、バス、トラック、トレーラーへ適用対象が拡大されています)電気電子システムの機能安全についての標準です。IEC61508を自動車向けにカスタマイズしたこの規格は、ソフトウェア/ハードウェアで構成される電子部品、電機部品、電気機械部品の全てを対象としており、また、開発時に使用されるツールの認定についても言及しています。
開発時に使用するEDAツールなどの開発ツールについて、それらのツール自身は開発している機能安全対象そのものではないことから、IEC61508とISO26262のいずれも、ツールがそれぞれの規格そのものに準拠もしくは認証されていることは必須として求めておりません。しかし、一方で、要求される(IEC61508ではSIL、ISO26262ではASILとして定義される)安全レベルに応じて、その開発時に使用するすべてのツールについてシステム安全要件に違反しないということを、機能安全にかかわる設計者の方々が証明することを求めています。この稿ではISO26262でのツールの認定手法を概説し、また、機能安全にかかわる設計者の方々がケイデンスツールを含むツールチェインでの安全性を証明する論拠として役立つドキュメント類について解説します。
開発ツールの認定手法
ISO26262におけるツール認定は、開発ツールが安全に関わるアイテムの開発に使用する上で適切であることを保証することを目的としています。開発ツールやそのツールチェインが想定する使用用途において安全上の問題を起こすリスクが十分低いことが検査/検証されていない場合、そのツールやそのツールチェインに対し信頼度の評価と分類を行い、その結果によっては認定することが必要になります。
機能安全にかかわる設計者の方々は、使用するツールチェインについて、あるツールの不具合がシステム内で致命的かつ検出できない問題を起こさないという安全性を証明する有効な論拠とそのエビデンスを用意しなくてはなりません。必要とされるエビデンスは、当該ツールが、不具合があれば確実に検出し、その上で正しく動作することについての確実性と、開発する機能安全関連アイテムのASILに依存します。
ISO26262-8の11章に、開発ツールの分類および認証のためのガイドラインが与えられています。このガイドラインには、どのような場合に認証が不要かについても述べられており、分類および認証の二つのステップで手法が説明されています。
開発ツールの分類
最初のステップは、ドキュメント化、解析および開発フローにおけるツールの用途の評価です。下記の事項をチェックします。
- 開発対象のアイテムもしくはシステムの安全に関わる開発ツールの不具合の可能性。この可能性はツール影響度(TI: Tool impact)として、TI1もしくはTI2に分類されます。
- 開発ツールの不具合を防ぐもしくは検出する手法の確実さ。この確実さはツール検出度(TD: Tool error detection)として、TD1, TD2もしくはTD3に分類されます。
ツール信頼度(TCL: Tool confidence level)は上記のTIおよびTDから、図1に従って決定されます。
開発ツールの認証
最も低いレベルのTCL(TCL1)の開発ツールには、ツールの不具合が安全要求を逸脱することがあり得ないため、ツール認証のための各種評価は必要ありません。他のTCLのレベルでは、ツールの認証が必要となります。開発プロセスにおいて、追加のチェックを行ったり、一部のフローを多重化・冗長化したり、使用する上での制限を設定することでTCLをTCL1にあげることも可能です。
図1: TCLの決定 (ISO26262:2011-8より)
認証に必要なドキュメント類
要求されるTCLおよび開発製品のASILにより、開発ツール認証のためのやり方は異なります。ISO26262では、ツール認証において2種のドキュメントを作成することを求めています。その2種のドキュメントとは、ツール分類を記載した開発ツール評価報告書およびツール認証の手法を記載した開発ツール認証報告書です。
開発ツール評価報告書に記載する開発ツール分類結果は、機能安全に関わる製品開発時のツールの使用条件および製品の安全に関わるツールの不具合の可能性によって決まります。TCL2もしくはTCL3に分類される開発ツールの場合、以下の認証手法の少なくとも一つは適用されなくてはなりません。
- 使用実績に基づく信頼度の向上
- ツールの開発プロセスの評価
- ツールの妥当性確認
- 安全規格に基づいた開発
開発ツール認証報告書には、ツール認証の手法、その手法の結果および最終的な認証結果が、ツール認証手法が計画通りに実施されたエビデンスを含めて記載されます。TCLおよびASILの組み合わせから決められるツール認定手法については、ISO26262-8の表4および5に記載されています(訳注:この2つの表番号は2011年版、2018年版のいずれでも同じです)。
ISO26262でのツール認証の方法は、ツールチェイン内のツール間の相互の関連に依存することに留意ください。もし、ある開発ツールXが別のツールYの出力を使っている場合、Xの評価をする場合、Yとの間の関連性を考慮する必要があります。
ケイデンスのISO26262ツール認証キット
前節で述べましたように、機能安全に関わる製品については、その設計者の方々がツールチェインでの安全性を証明する有効な論拠を適切なエビデンスを添えて準備しなくてはなりません。ISO26262では、プロジェクト単位での開発ツールの分類と認証を求めています。これは、プロジェクト毎に機能安全に関わるアイテムの開発検証に使用するツールワークフローやユースケースが異なるためです。ツールユーザーとしては、ツールベンダーにアセスメントや分類、さらに認証へのサポートを求めたくなることはごく当たり前のことかと思います。ツール認証にかかわる工数やコストを削減するために、ケイデンスはISO26262ツール認証キットを提供しています。このキットでは、よくあるユースケースおよびリファレンスワークフローに基づいた一般的な認証アプローチが記載されています。それらの典型的なユースケースとツールの使い方を想定して、不具合の回避や検出の方法が記載されています。表1に、ISO26262要求と必要となるドキュメントの対応関係を示します。
表1: ツール認証に必要なドキュメント
リファレンスフローと異なるツールの使い方をする場合、実際のユースケースに従ってツールの分類を行う必要がありますが、その場合であってもケイデンスISO26262ツール認証キットに含まれるドキュメントを下敷きに作成することで工数やコストを大きく節約することができます。実際のユースケースから導かれる要求TCLが、一般的なユースケースから導かれるTCLと同じか低い場合であっても、同様により少ない工数・コストで開発ツール認証を実施できます。
Software Tools Classification Analysisドキュメントには、ケイデンスツールのTIおよびTDに基づく(図1)TCLの評価と決定の情報が記載されています。機能安全に関わるシステムや部品を開発するときに使用するツールは、ツールの不具合が機能安全上問題のある出力を生成する可能性があるため、システマティック故障のリスクを最小化することも求められます。ISO26262では、ツールの正確性に依存する処理についてISO26262準拠の適正な開発プロセスを持つことを求めてもいます。Software Tools Classification Analysisドキュメントでは、ケイデンスツールのISO26262観点でのTCLの解析と定義を行っています。TCLはツールの不具合発生の確度と、ツール不具合や機能安全上リスクのあるツール出力についての検出もしくは回避の確度との組み合わせとして定義されます。検出もしくは回避についての確度の評価に関するアクションとしては、機能安全に関わる開発における使用ツールに対しての内部要因(モニタリングなど)および外部要因(ガイドライン、テスト、レビューなど)があります。開発製品のASILによっては、第三者レビュー等も必要となります。設計者の方々は、その開発におけるユースケースを勘案しながらSoftware Tools Classification Analysisドキュメントを利用してTCLを決定できます。一つのツール対して複数のユースケースがある場合には、複数のTCLがあり得ます。ツールの分類のプロセスとその結果は、Software Tool Criteria Evaluation Reportの記載項目となります。
Software Tool Qualification Planには、開発ツールの認証手法と、その認証手法が計画通りに実施されたことのエビデンスが記載されます。ケイデンスのSoftware Tool Qualification Planでは、開発ツールの認証手法実施計画とツールのユースケース列挙を中心に述べています。
Software Tool Documentationでは、ツールの使用方法に関する下記のような情報を記載します。
- ツールの持つ機能や使用条件などの技術要件
- インストールプロセス
- ユーザーマニュアル
- 動作環境
- 既知の不具合とその回避もしくは検出方法
最後に
車載製品開発に関わる設計者はISO26262でのツール認証に関わる要求をどのように満たすかを理解する必要があります。この稿では、ISO26262でのツール認証のアプローチを概観し、ケイデンスのツール認証への支援について述べました。設計者の方々は、一般的なユースケースやリファレンスワークフローを含むケイデンスの提供するISO26262ツール認証キットを活用することで、効率的にISO26262準拠の開発を行うことができます。
このホワイトペーパーの原文は、こちらにあります。
著:Randal Childers, Software Engineering Director, Cadence Design Systems
日本語訳:後藤 謙治(日本ケイデンス)
この記事に関する問い合せ先:
コーポレート・マーケティング部
E-mail:cdsj_info@cadence.com
Latest Issue
Archive
2023 Issues
2022 Issues
2021 Issues
2020 Issues