機能安全認証おけるツール認定とは?

意外と認知されていないツール認定とは?

本稿ではプロジェクトマネージャ向けに機能安全認証取得に向け、前パートで触れた「自社でやるべきではない項目」の代表例の1つとしてツール認定がある。機能安全認証の開発においては、見落としがちだが重要な項目だ。これは簡単に言えば「開発に利用するツールの妥当性をユースケースにあわせてユーザー自身が証明せよ」である。

ツール認定は、IEC 61508で規定されている。連載第一回目(※)で伝えたように、機能安全認証開発において、安全機能に求められる標準的な設計はIEC 61508に記載されており、製品個別規格の多くはこれを参照しているため、ツール認定も無視できない項目となる。

ツール認定とは信頼性を証明する重要な項目となるが一般的な製品開発プロセスには存在しない項目であるため、軽視すると膨大な手戻りが発生するリスクがある。

(※) 下記URLよりダウンロード可能 https://wp.techfactory.itmedia.co.jp/contents/37949

ソフトウェアツールの分類

ツール認定を考える際には、まずユースケースにあわせてソフトウェアツールの分類を考える必要がある。
IEC 61508では実行コードに対する影響度に応じてT1~T3に分類され、T3が最もクリティカルなツールとみなされる。
出典:IEC 61508第2版 第4部

ISO 26262ではIEC 61508よりもやや厳しい要求事項となっており、影響度 x 不具合の検出度合いを掛けあわせたTCL1-3で分類され、TCL3が最もクリティカルなツールとなる(ISO 26262は車載分野の個別製品規格ではあるが、IEC 61508を踏まえた独立基準を内包していると言える。)

ISO 26262におけるTCL(Tool Confidence Level)
※TI (Tool Impact):ツールの誤作動による影響度
TI1=影響なし、TI2=TI1以外
※TD (Tool error Detection):ツールの誤作動によるエラーを防止または検出できる度合い

ツール認定の方法と工数

それでは、ツール認定は実際にどのくらい大変なのかについて解説する。ツール認定の方法と工数は利用ツールやユースケースにも依るが、ISO 26262のツール認定に関する公開情報は多いため、参考までに触れてみる。ISO 26262では以下の4項目によるツール認定が推奨されている。

  • 1a.利用実績
  • 1b.ツール開発プロセスの評価
  • 1c.ソフトウェアツールの検証
  • 1d.安全規格に従った開発

IPAの試算によれば、これらの項目を網羅するために、400時間以上がかかるということであり、相当大きな負担となる。

(ISO 26262 における1a~d全ての項目を抽出)
出典:IPA:http://www.ipa.go.jp/files/000026859.pdf

一方で、工数だけでなくユーザー自身が本当に対象ツールに関する必要情報を得られるかの判断も必要である。
例えば、あるツールの利用実績を提供元に要求したとしても、調査工数や守秘義務などの観点から必要な情報が開示されるとは限らない。オープンソースや無償のツールであれば、そもそもデータが存在しないという可能性もあるだろう。こうしたツール認定の世界観は、非車載分野の開発においても同様のものとなる。

最も注意が必要なツールは?

ツール認定はユースケースによって判断されるべきなので開発製品に合わせた個別判断が必要になるのだが、組込み製品開発において一般的に最も要求レベルが高いツールはコンパイラとなる。これはコンパイラの不具合が実行コードに与える影響が大きく、不具合の検出性も難易度が高いからである。

ツール分類でいえば、IEC 61508ではT3、ISO 26262ではTCL3と判断されるケースが一般的だろう。機能安全認証に関わる組込み開発においては、コンパイラのツール認定が特に重要である。

機能安全対応コンパイラとは?

前述の通り、クリティカルなツール認定(例:コンパイラ)を利用ユーザー自身が行うことは非現実的である。そのため現在では機能安全認証を取得したコンパイラがいくつかのツールメーカから提供されている。一般的には、機能安全認証対応コンパイラには以下の3つのサービスが用意されていることが多い。

1. 固定バージョンのサービス

コンパイラのバージョンを固定してサポートを提供。そのバージョンに対して回避策提示/不具合修正といったメンテナンスが継続提供される。

2. 第三者機関による認定書

予めコンパイラ提供元が第三者認証機関からツール認定を受けている。

3. バグレポートやセーフティドキュメント

詳細なバグレポートや認証取得のために参考になるドキュメントが提供される。

これらのサービスはツール認定にかかる工数をほとんど削減してくれるため、機能安全認証製品開発において機能安全認証済コンパイラを使うことは、現状では最善の選択といえる。実際に、弊社(IARシステムズ)では、欧米だけでなく日本およびアジア地域においても機能安全認証コンパイラのユーザー数は毎年急増している。

機能安全認証における賢いツール選びとは?

このように機能安全認証取得において、ツール選択は工数やリスクの点で非常に重要である。それでは賢いツールの選び方とは何なのか、コンパイラを例に具体的に見てみる。

1. コンセプトフェーズ前のコンパイラ選択

コンパイラは、開発スタート前となるコンセプトフェーズ段階で、利用ツール及びマイナーバージョンまで認証機関と合意する必要がある。つまり開発チーム自身がツール認定の調査工数/リスクを理解し、候補となるコンパイラの選択肢を早い段階で洗い出すことが重要だ。

これ以降に変更が発生すると、同一ツールのバージョン変更であっても、チェンジレポートを認証機関に提出したり再テストを行うといった作業が発生する。認証機関からコンパイラに関する詳細な情報開示を求められた場合、提供元に必要な情報が揃っていなければ、利用ユーザー側ができることはほとんど無いため袋小路になるだろう。筆者が知る範囲においても、開発途中でコンパイラ変更を余儀なくされ大幅に量産スケジュールが遅れたプロジェクトが多々ある。

従来の開発の流れでツール認定を理解せずに採用したり、イニシャルコストが安いという理由だけでオープンソースや無償ツールを選択してしまうと、開発工数および認証可否にそのまま返ってくるので注意が必要だ。

2.コンパイラエンジンやメーカの継続性

コンパイラのツール認定はツール名に対してではなく、コンパイラエンジンなどビルドチェーンのコンポーネントが対象になる。例えばコンパイラエンジンが変わればツール名は変わっていなくても、別ツールとして扱われてしまい大きく条件が変わるだろう。
機能安全認証対応の製品は、リリース後も長期間保守を行ったり派生開発を行うことが多いため、同一のコンパイラエンジンがユースケースにあわせてどこまで継続提供およびメンテナンスされるかも注意が必要であろう。

同様にコンパイラそのものの提供元の継続性も重要だ。グローバル規模で企業間の買収/合併が活発になっている昨今、突然コンパイラの販売/サポートをストップされるリスクの有無について調査や判断が必要である。

こうしたトピックは未来の話になるためコンパイラメーカが明確にコミットすることは難しいが、コンパイラ提供元へ過去実績やロードマップを確認することで推測することが可能である。例えば、弊社の場合、組込コンパイラメーカとして最古の歴史(執筆時36年)、創業以来の一環したビジネスモデル、独立資本、財務の健全性(IR情報)といったデータを持ってユーザーに安心して頂くケースが多い。

3.最適化オプションの選択

機能安全認証対応コンパイラは、最適化オプションなどの設定を自由に変更してもツール認定の範囲とする包括的なものと、特定の最適化条件(例:最適化なし)に絞ってツール認定の範囲とする限定的なものがある。

後者のコンパイラの場合は、最適化無しであればツール認定の範囲内だが、最適化をかけた時点でツール認定の対象外となるため、第三者機関のコンパイラ認定書が無効かつ、何らかの利用制限や追加費用がかかるようなリスクがある。弊社のコンパイラ最適化オプションは、どれを選んでもツール認定の範囲内になるため、開発案件の状況に合わせて自由に選択可能である。

4.ツール認定の証明書期限

証明書期限は一般的には5年程度である。この期限後も証明書の更新やツールへの継続メンテナンスが行われるのか確認が必要だ。継続されない場合は、どのようなリスクがあるのか認証機関や提供元へ確認してみるとよいだろう。

弊社のコンパイラは過去から現在まで無償で更新をしてきているため、今のところ利用ユーザー側がこの期限を気にする必要がないように配慮している。実際にはこれ以外にもRTOS/ミドルウェアおよびライブラリといった、ソフトウェア資産やソフトウェアパッケージとコンパイラの選択には影響があるので、コンパイラ提供元との情報交換が重要である。

機能安全認証のコツはステークホルダーから情報を引き出すこと

このように、ツール認定はコンパイラひとつを例にしても細かい注意点が多数あるため、ユーザー単独で必要な情報を入手することは難しい。
ツール認定に限らず機能安全認証のコツは、社内関係者だけではなくベンダー、パートナー、コンサルタントおよび認証機関といったステークホルダーから効率よく必要な情報を引き出せるかが重要であり、適切な協力者の有無が鍵になる。

例えば、このホワイトペーパーで触れている内容を問い合わせてみれば、適切な情報を提供してくれるライトパーソンかどうかが分かるだろう。

執筆者紹介 IARシステムズ株式会社 ストラテジックセールス兼機能安全担当 山田 優

IARシステムズ日本法人にて産業機器や車載市場セグメントにおける大手メーカのアカウント担当及び機能安全担当を兼任。国内で複数のASIL/SIL認証取得案件を経験。IARシステムズは機能安全対応コンパイラをはじめ組込開発に特化したIDE、セキュリティツール、解析ツール、ステートマシーンを扱っています。開発やツール導入に関する課題があればお気軽にご相談ください。

お問い合わせ先:info.jp@iar.com
会社URL:http://www.iar.com/jp