KAOS (46) リスク分析 (3.2.1-2)

リスクの生じやすさと,リスクの結果生じる事態の起こりやすさを,混同すべきではない. (p.94)

リスクを安全性に限定すると,冒頭のことばは,次のように言い換えることができる.

ハザードの生じる確率と,危害が生じる確率を,混同すべきではない.

ここはちょっと注意が必要である.前回見たようにリスクの定義は危害の発生確率と,危害によって生じた場合の重傷度から計算できるものである.原書での議論は,コトバの使い分けからすると,前者をハザードとするのが適当である.

これは,重要な点である.ハザードが顕現したからといって,システムとしてだめになるとは限らない.更に,システムとしてだめになったからといって,危害があるわけではない.即ち,信頼性がないからといって,そのことだけで,安全性がないとはいえないのと同じである.

一般に,危険源と訳されるハザードについて,ISO 26262 の定義を見てみる.

potential source of harm (1.56) caused by malfunctioning behaviour (1.73) of the item (1.69)

NOTE This definition is restricted to the scope of ISO 26262; a more general definition is potential source of harm.

危害の潜在的な源.アイテムの機能不全によるふるまいによって引き起こされる.

注記:この定義は,ISO 26262 の範囲に限る.一般に潜在的な危険源はより広い範囲である.

ちなみに機能不全によるふるまいとは,「故障や設計意図に反したふるまい」を指している.

ISO 26262 が含まない危険源は,規格の最初のスコープ項にある.

It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy and similar hazards

電気ショック,火災,煙,熱,放射線,毒物,可燃性,化学反応,腐食,エネルギー放出,その他の類似のハザードは含まない.

さて,話を戻す.危険源があって,危害が生じる.この間には何があるのだろう.

例えば,ハーネスを止めているブラケットが折れる.それによってハーネスが振動し,摩耗により断線する.リアランプの一つが点灯しなくなる.夜間後方を走行している車は,二輪者だと思い,側方を通過しようとして衝突する.ここで,故障車のドライバおよび後続車ドライバに危害が生じる可能性が生じる(但し,規格が対象としているのは,前者のみである).

ブラケットが折れる,から始めると,スコープ外となるが,それでも危険源が表に現れることが,直ちに危害につながっているわけではない.走行中ハンドルにロックが掛かれば,すぐに危害につながる可能性が高い.しかし,全てが危害に直結しているというわけではない.

重要なのは,(ドライバーに)危害が生じないことである.一般のリスク度は,危険源の発生確率とそれが生じたときの影響の大きさの積となる.ASILの計算では,ドライバが対処できるか,もその計算に含む.容易に避けられるならば,危害が生じることが少ない.そのため,更に,ドライバの回避可能性も加味する.

回避可能性を含むのが正しいかは,議論だと思う.しかし,レベル2やレベル3の自動運転の回避可能性とは一体? と考えてしまわないでもない.概念的に正しいことと,それを実際に適用することの難しさは別である.

少なくとも,現状,ASIL計算に人間系が含まれている以上,適切なドライバモデルが必要になる.いかなるドライバのユーザタイプを,我々は用意すれば良いのだろう.

(この項,更につづく)

(nil)