安全要求、特にTSRについて業界の一部に誤解があるようなので解説します。

誤解：「安全要求(SR)は安全目標違反(VSG)を避ける目的のため、安全機構(SM)のみを仕様化する」
正解：「安全要求(SR)は安全目標違反(VSG)を避ける目的のため、意図機能(IF)及び安全機構(SM)の両方を仕様化する」

SMのみが誤りである理由を3点示します。

1. そもそも論から言えば、ECU全体への要求であるFSR及びそのECUへの配置であるFSCと、それを分解してエレメントにTSRを配置したTSCは上位と下位で一貫していなければなりません。TSRがSMのみであればIFへの要求が抜けるため、上位と下位で一貫しなくなります。

2. 反対にIFにSRが割り当てていないと次のような問題がおこります。定量評価において、例えばSGがASIL-Cだった場合、ECU全体としてASIL-Cで設計する必要があります。ところが安全分析において、SMのみがASIL-Cで設計されていても、肝心のIFの故障率が大きい場合には全体としてASIL-Cを満足できません。
   安全分析のみIFも含めてASIL-Cで抑えると言う方法(脱法)を取る場合、要求されていない仕様をIFのエレメントに要請することになり、それがどこから来たものか、明文化されていないことになります。これはISO 26262の精神である要求の明文化を損なうものと言えます。

3. 当たり前過ぎて規格から文言を探すのは却って難しいのですが、Part 5の6.4.2 e)において、TSRは意図機能を実装するハードウェアエレメントにも適用されるべきことが記されています。TSRはSMだけでなくIFにも割り当てられる必要があると明示されており、システムの信頼性を確保するためにIFの安全対策が必要であることが補強されます。

以上3点から結論として、IFにもTSRを割り当てなければならないと考えます。

前のブログ 次のブログ