KAOS (45) リスク分析 (3.2 ~ 3.2.1)

多くのソフトウェアプロジェクトの失敗は,理想化しすぎたシステムを,考えがちであることに起因している.(p.93)

冒頭にあるように,プロジェクトの初期段階では,みんなが夢を描く.それは,大事なことには違いない.夢がなければ,誰もそのプロジェクトを進めるようとする意欲を持たない.しかし,どこかで冷静にリスクを見よう,それによって要求も適切なものにしよう,というのがリスク分析の目的である.

リスクとは

リスクは,このブログのタイトルにもしているので,ISO 26262 の定義も用いながら,しばらくは詳しく見ることにする(26262は,どうしてこんなに魅力的なのだろう!).ちなみに,KAOS原書では,リスクの種別(3.2.1)は1頁に満たない.

以下は,ISO 26262 の定義である(これは規格の世界では,一般的な定義である).

combination of the probability of occurrence of harm (1.56) and the severity (1.120) of that harm (1.99)

(リスクとは,危害の発生確率と危害の重大さの組み合わせである)

この規格が着目しているのは,安全性なので,危害(既に人体に悪影響が生じている)となる.プロジェクトの話ならば,「リスクとは,プロジェクト失敗の発生確率とプロジェクト失敗における重大さの組み合わせである」となる.また,組み合わせというのは,それぞれ(危害の発生確率,危害の重大さ)が数値化(通常は,0から1の範囲)されたとすれば,その積として表現される.事象は,普通複数あり,全体しては,その和となる.

残存リスク 1規格によっては残留!リスクというコトバもある[/re](residual risk)というコトバもあり,その定義は,次のようになる.

risk (1.99) remaining after the deployment of safety measures (1.110) (1.97)

(安全機構を付加した後に残るリスク)

全てのリスクを除外することはできないというのが,ポイントの一つである.いつ小惑星が地球に衝突するかもしれない.そんなマレなことは考えなくても,宇宙線は降り注いでおり,いつビット反転しても不思議はない.

さて,良く話題になるASILの定義は次の通りである.

one of four levels to specify the item’s (1.69) or element’s (1.32) necessary requirements of ISO 26262 and safety measures (1.110) to apply for avoiding an unreasonable residual risk (1.97), with D representing the most stringent and A the least stringent level

(4つのレベルのうちの一つ.レベルに従い,アイテムないしはエレメントのISO26262に必要な要求を特定し,非合理な残存リスクを避けるための安全機構を特定する.Dが最も強く,Aが最も弱い)

ちょっと混乱を招く定義ではと思う.前段には,「アイテム」というコトバがある.このアイテムは,規格では,特殊な使い方をしており興味深い.ずいぶん前に,その一端について書いている.ASIL付与の目的は,残存リスクを避けるということである.残存リスクについては,この一つ前の定義である.

さて,ややこしいが,順番に考える.

最初にアイテム定義をする.ハザード分析とリスク評定を行ったあとに,アイテムにASILを付加する.先に,アイテム・エレメントとなっているのは,アイテムがシステム,それからその構成要素としてのエレメントに展開される時に,最初にアイテムに対して与えたASILも紐付いていくからである.要求(実際には安全要求)や安全機構も同様で,紐付いていく.

そうすると,中心となるASIL定義は,「アイテムに対して,リスクを計算し,システムが達成すべき十全性を段階的に表現したもの」ということに尽きる.エレメントも安全要求も安全機構も(最初は)関係ない.

特に,3-7.4.1.2に注目すべき.

The item without internal safety mechanisms shall be evaluated during the hazard analysis and risk assessment, i.e. safety mechanisms intended to be implemented or that have already been implemented in predecessor items shall not be considered in the hazard analysis and risk assessment.

ハザード分析およびリスク評定中,内部的な安全機構なしに,アイテムを評価すること.即ち,組み込もうと考えている安全機構や,既にアイテムに組み込まれている安全機構(アイテム改変の場合)は,ハザード分析およびリスク評定中は,考慮しない.

これが,ISO 26262 の画期的かつ,理想を求めた「美しい」姿である.

メタに考えると,冒頭のように,理想を求めることによるリスクも想定できるのだが,それはさておこう.

(この項つづく)

(nil)

 

Notes: