Ouroboros

レベルというのは,何か競争心を刺激するのか,好む人が多いように思います.レベルを達成しました!どうだ.

レベルというのは,分かりやすい道具なのですが,特定の文脈の中で,細部をきりはがしたものですから,それを目的化するとおかしくなります.つまり,十分に注意して,目的と手段の転倒を避けなければならないということは,良くおわかりのことと思います.

さて,ISO/FDIS 26262 には,ASILと呼ばれるレベルがあります.AからDのレベル分けがなされています.IEC 61508でいうSIL1がASIL Aに,SIL3がASIL Dにほぼ対応しているしているという云い方をされます(中間の数が異なりますが,ここではたいした問題ではありません).ここでは,次の理由付けがなされます.乗用車においては,プラントの事故のように多くの人が傷つくということは考えにくい.それでSIL4に相当するASILは想定されていないと.

さて,今回は,ASILとはいったい何かということをその名前から考えたいと思います.Aは,Automobileの略ですから乗用車ということで済ませてしまいます(車としても良いのですが,26262は3.5トン以下の乗用車をスコープとしていますので,乗用車として先ずは問題ないだろうと思います).問題は,SIL(Safety Integrity Level)です.こちらは,すでに幾つかの訳語があります.手元の本や類似の日本語規格などを見ると,安全度,安全度水準,安全整合性水準等々があります.

ところで,物象化の相での云い方になりますが,ASIL D は安全度が「高い」と書かれたりします.ASILの場合は,リスク発現時に人間が被る重傷度(Severity),遭遇度(Exposure),回避制御の困難さ(Controllability)で定まり,これらが全て高い時に,ASIL Dが与えられます.つまり,ASIL D というのは十全なる対処が必要とされるシナリオに対応したレベルということになります.いま,このASILを安全度とすると,ASIL D のような厳しい状況は,先の日本語訳を使うと「安全度が高い」という変換になります.このままでは,意味不明なのは,おわかりになるかと思います.身長が高いといえば,それは文字通りなのですが,安全度が高いといっても,それは,大変安全であるということではなくて,安全になるように設計・製造しなさいということを主張しているのです.安全度は逆の意味を与えています.

せっかくですから,もう少しこだわってみます.もともとの英語は,Safety Integrity Level ですから,「安全度」と訳したのでは,”Integrity” が残念なことにムシされてしまっています.「安全度水準」は数は増えているのですが,どうもLevelを丁寧に二度訳しているだけで,”Integrity” はやはりムシされているように思います.「安全整合性水準」は,この例のなかで,唯一 Integrity に取り組んだ訳語になっています.しかし,どうも整合性というのは,ここではピンときません(その訳語が適切な場合もあると思いますが).

OEDにおいて,Integrity は,次のような明快な意味を与えられています.

The condition of having no part or element taken away or wanting; undivided or unbroken state; material wholeness, completeness, entirety.

即ち,端的には,欠落がないということです.ということでASILに対する私の(長い)訳語案は次になります.

乗用車の安全に関する完全度

私の日本語の語彙が少ないせいで長いのですが,少なくとも安全度とするより正確だろうと思います.ちなみに,フランス語だと以下になります(Part-9の規格のタイトルページから).”les niveaux d’intégrité de sécurité automobile“.個人的には,先の日本語との相性は良いように思います.

***

さて,結局の所,レベルというのは道具に過ぎないというのは良いと思います.ASILを定めるというのも,分析段階(26262で,3-7)ですから,それは開始点に過ぎません.システム(アイテム)が置かれている位置に対して単に色分けをしてみます位の意味しかないだろうと思います.一方で,61508は少し違っていて,SILのレベルに従った故障率が定まっています.本来設計によって定まる故障率が開始点で決められているということになります.これはALARP原則を前提としているからで,そうではない26262が異なった対応となっているのは(整合性は良いのか,或いはALARP原則については同様に主張しているのではないか,ということをとりあえず等閑に伏すと),少なくともソフトウェアの視点からは適切に思います.

SILの設定は,必ずしも安全確保において必然というわけではありません.道具にすぎないのですから.英軍の規格である 00-56 (Safety Management Requirements for Defence Systems)の現在の版(Issue 4)では,かつて存在したSILは,いまは含まれていません.

(nil)

This entry was written by nil, posted on 09/08/2011 at 9:51 PM, filed under ISO 26262, 安全. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Both comments and trackbacks are currently closed.