バックナンバーはこちら

today&tomorrow

Technology Update

2018 vol.111

ISO 26262のTCL(Tool Confidence Level)を評価する方法

1c ソフトウェア・ツールの検証

ほとんどのEDAツールでは、この認定方法が推奨されます。これは、安全要件および関連するユース・ケースに照らし合わせてツールが自社で指定した要件に準拠していることを設計またはCADチームが確認するという方法です。ツールの潜在的な機能不良およびそれに伴う出力エラー、ならびにこれらを回避または検出する緩和措置を分析する必要があります。また、特異な環境(不完全な入力データ、不完全なインストール、「安全」と見なされない設定や文書に記載されていない設定の使用など)に対するツールの反応も考慮する必要があります。大~中規模のSoC設計企業では、CADチームが新規ツール(バージョン更改を含む)の受け入れ時に自社専用のテスト・ケースを使用してツールを評価することがほとんどです。また、一貫性を維持するため、これらをリグレッション・テストの形で実行し、既知の正しい出力と新しいバージョンのツールの出力を比較することもよく行われます。

このテスト・ケースには、ターゲット・デザインの安全要件に対して指定したユース・ケースを含めることが重要です。このユース・ケースを含めない場合、ユーザーが追加のテスト・ケースを作成してツールで妥当性を確認してからツールを導入する必要があります。また、完全なデザインのテスト・ケースを使用してEDAツール・フロー全体を点検し、ツール間の連携に関する機能不良をチェックすることもできます。1cの認定方法で使用するその他のデータとしては、ツールのユーザー・ガイドやリリース・ノート、およびサプライヤのオンライン・サポート・センターから提供されるデータなどがあります。

ISO 26262-8:2011のTable 4および5に示されているように、TCL2またはTCL3と評価されたソフトウェア・ツールは1cの認定方法を実施することにより、どのASILレベルでも使用が可能です。

1d 安全規格に準拠した開発

EDAツールは幅広い業界やアプリケーションでの使用を想定して開発されるため、1dの方法はEDAツールにはあまり使用されません。セーフティ・クリティカルなオートモーティブ・デザインで使用するEDAソフトウェア・ツールの開発に完全に適用可能な安全規格は存在しません。したがって、既存の安全規格のうちセーフティ・クリティカルなオートモーティブ・デザインに関係のある要件のみを選択して適用します。

たとえばISO 26262-8:2011のTable 4および5の下には、ISO 26262、IEC 61508、またはRTCA DO-178に準拠してソフトウェア・ツールを開発することが例として挙げられています。

必要な文書

ISO 26262-8:2011 Clause 11.4.6.2では、ソフトウェア・ツールの認定作業は以下の情報を含めて文書化する必要があるとされています。

  • ソフトウェア・ツールの一意のIDとバージョン番号
  • ソフトウェア・ツールが分類される最大TCL値(その評価分析への参照を含む)
  • ソフトウェア・ツールの機能不良と出力エラーによって違反の可能性がある安全要件の事前評価済み最大ASILまたは特定のASIL
  • ソフトウェア・ツールの認定に使用した構成/設定と環境
  • 認定を実施した個人または組織
  • ツールの認定に使用したClause 11.4.6.1の方法
  • ソフトウェア・ツールに適用した認定方法の結果
  • 認定中に特定された使用上の制約および機能不良(もしあれば)

注意:ソフトウェア・ツール・チェーンの場合、すべてのツールの一意のID、バージョン番号、および必要なスクリプトを文書に記載し、これによってソフトウェア・ツール・チェーンを定義する必要があります。個々のツールに関する上記の文書と同じものが、ソフトウェア・ツール・チェーンに対しても必要です。

必要な確認手段

ISO 26262では、TCLの評価および関連する認定の結果を確認することが必須とされています。この作業に求められる独立性のレベルは、ASIL分類により異なります(ISO 26262-2 Clause 6.4.7のTable 1「必要な確認手段と必要な独立性レベル」を参照)。

カテゴリートップ