【演習】システムアーキテクチャ設計
ID コンポーネントに対する要求 割当て先
CR1 アンテナを介して路側のビーコンからの信号を受信する RIU CR2 ビーコン信号から、ビーコンIDと制限速度を取得する RIU CR3 隣接するビーコン間の移動に要する時間から、車速を決定する RIU CR4 計算した車速が制限速度を超過する場合は、自動ブレーキ指示を
BCUへ送信する
RIU
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【演習】SHARDのガイドワード・分析の例
分析の例 (RTOSのタスク管理に関して)
機能 ガイドワード 故障モード
Omission タスクが実行すべき時に実行されない Commission タスクが実行すべきでない時に実行される Early 適切な時間より早く、タスクが実行する Late 適切な時間より遅く、タスクが実行する Value 異なるタスクが実行される
※株式会社ヴィッツによるRTOSに対する適用例
タスクを適切な時間に実行 する。
ガイドワード
ガイドワード 解釈 詳細分類
Omission サービスが実行されない。
(例えば、通信がされない。)
・完全に
・部分的に Commission 要求していないサービスが実行される。
(例えば、期待していない通信が実行される。)
・偽装
・重複
Early 期待するよりも早くサービスが実行される。 ・絶対時間
・相対時間 Late 期待するよりも遅くサービスが実行される。 ・絶対時間
・相対時間 Value 間違った値のデータ(情報)が伝達される。
SHARD(Software Hazard Analysis and Resolution in Design)
(HAZOP のガイドワードをソフトウェア向けに整理しなおした手法)
【演習問題】システムアーキテクチャの安全分析( 1/2 )
No. ガイド ワード
故障モード 原因 コンポーネント レベル影響
VCSレベル 影響
SG侵害 対応策
1 Omissi on
ビーコン信 号を受信し ない
ビーコン故障、アン テナ故障、RIU不 具合
実際よりも遅い 車速を算出する
自動ブレーキ 指示をしない
SG1 一定時間ビーコン信 号を受信しない場合 は、自動ブレーキを かける
2 Commi
ssion
3 Early
4 Late
5 Value
CR1 :アンテナを介して路側のビーコンからの信号を受信する( RIU )
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【演習問題】システムアーキテクチャの安全分析( 2/2 )
No. ガイド ワード
故障モード 原因 コンポーネント レベル影響
VCSレベル 影響
SG侵害 対応策
1 Omissi on
ビーコン信 号を受信し ない
ビーコン故障、アン テナ故障、RIU不 具合
実際よりも遅い 車速を算出する
自動ブレーキ 指示をしない
SG1 一定時間ビーコン信 号を受信しない場合 は、自動ブレーキを かける
2 Commi
ssion
3 Early
4 Late
5 Value
CR5 :運転者ブレーキデマンドを受信した場合は、自動ブレーキ指示の送信から
T_brake 時間が経過していれば、自動ブレーキ指示を解除する( RIU )
【解答例】システムアーキテクチャの安全分析( 1/2 )
No. ガイド ワード
故障モード 原因 コンポーネント レベル影響
VCSレベル影 響
SG 侵害
対応策
1 Omissi on
ビーコン信号を 受信しない
ビーコン故障、
アンテナ故障、
RIU不具合
実際よりも遅い車 速を算出する
自動ブレーキ 指示を送信し ない
SG1 一定時間ビーコン信 号を受信しない場合 は、自動ブレーキを かける
2 Commi
ssion
ビーコン信号が ないのにビーコ ン信号を誤認 識する
ノイズ、RIU不 具合
実際よりも早い車 速を算出する
不要な自動ブ レーキ指示を 送信する
なし -
3 Early ビーコン信号の
受信タイミング が早すぎる
ビーコン信号の 強度過大、アン テナのゲイン過 大
実際よりも早い車 速を算出する
不要な自動ブ レーキ指示を 送信する
なし -
4 Late ビーコン信号の 受信タイミング が遅すぎする
ビーコン信号の 強度過小、アン テナのゲイン過 小
実際よりも遅い車 速を算出する
自動ブレーキ 指示を送信し ない
SG1 一定時間ビーコン信 号を受信しない場合 は、自動ブレーキを かける
5 Value ビーコン信号の
誤った値を受 信する
ビーコン故障、
ノイズ、RIU不 具合
実際とは異なる車 速を算出する/制 限速度を誤認する
自動ブレーキ 指示を送信し ない/過小な 制限速度を送 信する
SG1
/ SG2
信号の正しさを検証 する(CRCによる完 全性確保、同一信 号が2回連続するこ とを確認など)
CR1 :アンテナを介して路側のビーコンからの信号を受信する( RIU )
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【解答例】システムアーキテクチャの安全分析( 2/2 )
No. ガイド ワード
故障モード 原因 コンポーネント レベル影響
VCSレベル影 響
SG 侵害
対応策
1 Omissi on
運転者ブレー キデマンドを受 信して所定時 間経過したの に、自動ブレ―
キ指示を解除 しない
運転者ブレ―
キデマンドの誤 認識、RIU判定 不具合
自動ブレーキを指 示を解除しない
不要な自動ブ レーキ指示を 送信する
なし -
2 Commi
ssion
運転者ブレー キデマンドを受 信していないの に、自動ブレ―
キ指示を解除 する
運転者ブレ―
キデマンドの誤 認識、RIU判定 不具合
自動ブレーキを指 示しない
自動ブレーキ 指示を送信し ない
SG1 BCUでも確認する
(冗長化)
3 Early 自動ブレーキ
指示の送信後 T_brake時間た たないうちに解 除する
運転者ブレ―
キデマンドの誤 認識、タイマ不 具合、RIU判定 不具合
自動ブレーキを指 示しない
自動ブレーキ 指示を送信し ない
SG1 タイマ機能の異常監 視
CR5 :運転者ブレーキデマンドを受信した場合は、自動ブレーキ指示の送信から
T_brake 時間が経過していれば、自動ブレーキ指示を解除する( RIU )
【解答例】システムアーキテクチャの安全分析( 2/2 )
No. ガイド ワード
故障モード 原因 コンポーネント レベル影響
VCSレベル影 響
SG 侵害
対応策 4 Late 運転者ブレー
キデマンドを受 信後、T_brake 時間以上経過 し自動ブレーキ 指示を解除す る
運転者ブレ― キの誤認識、タ イマ不具合、
RIU判定不具 合
自動ブレーキ指示 の解除が遅れる
不要な自動ブ レーキ指示の 送信が続く
なし -
5 Value 運転者ブレー
キ指示とは誤っ た動作
(Omission、 Commissionと 同一)
- - -
2015/7/30 SECセミナー Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved
6. その他の重要ポイント
【再掲】「信頼性」の“積み重ね”が安全を実現
品質管理システムの構築
(CMMI, A-SPICE)機能安全管理システムの構築
(IEC 61508, ISO 26262, ISO 13849, etc)コンセプト開発
機能安全開発・評価
プロセス構築 プロセス改善・定着
安全目標の定義 技術安全コンセプト構築
機能安全開発 機能安全評価
・システム
・HW
・SW
・規定
・ガイドライン
・テンプレ―ト
・チェックリスト
×
プロセス構築
・システム
・HW
・SW
・規定
・ガイドライン
・テンプレ―ト
・チェックリスト
× プロセス改善・定 着
既存開発との ギャップ診断
・H&R分析
・目標SIL/ASIL決定
・安全コンセプト ・安全マニュアル
・安全要求仕様書 ・システム安全分析
・システム開発・V&V
・HW開発・V&V
・SW開発・V&V
・回路図の安全分析
・SWアーキの安全分析
・SIL/ASIL故障率評価
・機能安全監査
安全計画
機能安全 対応製品
・FSMプラン
・V&Vプラン
・調達(ツール・外注)
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー