バックナンバーはこちら

today&tomorrow

Technology Update

2018 vol.111

ISO 26262のTCL(Tool Confidence Level)を評価する方法

自動車向けの機能安全規格ISO 26262では、ソフトウェア・ツールの信頼性レベルを評価することが義務付けられています。シノプシスはオートモーティブSoC(システム・オン・チップ)向けEDAソフトウェア・ツールのリーディング・プロバイダであり、ISO 26262 Part 8 Clause 11「ソフトウェア・ツール使用における信頼性(Confidence in the Use of Software Tools)」に記載された要求事項に従ってTCL(Tool Confidence Level)を評価する方法についてお客様から多くの質問をいただいています。本稿ではまずこの条項の意図をご説明した上で、この要求事項を効果的に満たす方法についてガイダンスをご説明します。

意図

ISO 26262規格Part 8:2011、Clause 11.4.5には、ソフトウェア・ツールの分類と認定に関する方法論とガイダンスが記載されています。この条項は、セーフティ・クリティカルなデザインの開発に使用するソフトウェア・ツールに適用されます。このような開発では、各ツールの機能が正しく動作することがきわめて重要であるためです。この条項に示された方法論は、ツールの関連する出力を完全には検査、検証できない場合のガイダンスとして提供されています。

Clause 11には大きく2つの目標があります。

  • 「ソフトウェア・ツールに信頼性が求められる場合、その信頼性レベルを決定するための基準を提供すること、」
  • 「そのソフトウェア・ツールがISO 26262で要求される活動やタスクの実現のために使用するのに適している(すなわちISO 26262で要求される活動やタスクにおいて当該ソフトウェア・ツールが正しく機能することをユーザーが信頼できる)というエビデンス(証拠)を作成するために、必要に応じてソフトウェア・ツールの認定手段を提供すること」

全体的に、この条項の意図は開発フローで使用するソフトウェア・ツールの信頼性レベルを評価、説明、文書化するための手段を提供することにあります。ここでの「信頼性」とは、フローで使用するソフトウェア・ツールの潜在的な機能不良によって混入する可能性のあるシステマティック故障の潜在的リスクと定義されます。ISO 26262では、故障を「システマティック故障」と「ランダム故障」の2種類として定義しています。システマティック故障はヒューマン・エラーによるもので、ランダム故障とは物理的な要因によるものです。

TCL(Tool Confidence Level)

TCLを決定するには、TI(Tool Impact)とTD(Tool Error Detection)という2つの指標を用います。TIは、そのソフトウェア・ツールが開発中のデザインの安全に直接影響するかどうかを評価するもので、デザインに対して直接影響しないもの(Microsoft Excelなど)はTI1、デザインに直接影響するもの(シノプシスの合成ツールDesign Compiler®など)はTI2とします。TDは、ツールの誤動作を防止/検出できる手段についての信頼性を評価するもので、防止/検出できる信頼性が高いものをTD1、中程度のものをTD2、信頼性が低いものをTD3とします。

その上で、下記の表に示す組み合わせによりTCLを決定します。

画像

図1:TCLの決定方法

これとは別に、ISO 26262ではASIL(Automotive Safety Integrity Level)によるリスク分類方法も定義されており、最終的にツール認定が必要かどうか、必要な場合はどのようなタイプのツール認定が必要かは、開発中のアイテムまたはエレメントのASILと上述のTCLとの組み合わせによって決定します。

TCL1と判定されたツールは、特別な認定は不要です。ここでは、次の点に注意する必要があります。

すべてのツールをTCL1に分類するのは非現実的であり、そのことを目標とすべきではありません。個々の状況やユース・ケースに合わせてツールを正しく分類することが重要です。実際のユース・ケースでTCL1以外に分類されたツールに関しては、適宜認定を実施する必要があります。

TCL2とTCL3の認定方法は、ISO 26262-8:2011のTable 4および5に記載されています。図2に、TCL評価プロセスを示します。

ソフトウェア・ツールの分類および認定手順
想定されるユース・ケース

画像

図2:TCL評価のフロー・チャート

TCLは誰が評価するのか

設計フローで使用するツールのTCL評価(および必要な場合のツール認定)は、セーフティ・クリティカルなアイテムまたはエレメントを開発しているエンジニアリング・チームおよび企業がユース・ケースごとに独立して実施する必要があります。ソフトウェア・ツール・ベンダによっては、汎用のユース・ケースを想定した事前評価済みのTCL値をサンプルとして提供していることもあります。これらのサンプル評価値は、TCLを決定する手がかりにはなりますが、規格の意図を満たすには、最終的にユーザー自身が実際のユース・ケースを使用して独自に評価を実施する必要があります。

ほとんどの設計フローおよびユース・ケースでは、多くのベンダや作成者によるツールやスクリプトが混在していますが、これらすべてを具体的なユース・ケースの中で評価する必要があります。事前評価済みTCLを使用する場合、車載システム向けエレメントを開発している企業は事前評価済みTCL、使用したユース・ケース、およびツール認定の妥当性を確認する必要があります。TCL値の評価はソフトウェア・ツールのユーザーが行うべきものであるため、事前評価済みの値を使用する場合は、その評価内容にユーザーが完全に同意している必要があります。もちろん、実際のユース・ケースにおいて事前評価済みの値に同意できないこともあります。それでもかまいませんが、その場合はソフトウェア・ツールの認定作業が別途必要になることがあります。

カテゴリートップ