はじめに:安全レベルが“テストの深さ”を左右する
自動車ソフトウェアテストにおいて、「どこまでテストを行うべきか?」は常に重要なテーマです。
その答えのひとつが、ISO 26262で定義されている「ASIL(Automotive Safety Integrity Level)=自動車安全要求レベル」です。
この記事では、ISTQB Automotive Software Testerシラバスの「2.2.4 The Influence of Criticality on the Extent of the Test(安全性の重要度がテスト範囲に与える影響)」をもとに、
ASILとは何か、そしてそのレベルがテスト設計・実施にどのような影響を与えるのかを、具体的な例を交えてわかりやすく解説します。
ASIL(Automotive Safety Integrity Level)とは?
● ASILとは何を表すのか?
ASILとは、ISO 26262で定義される「リスク低減の必要度」を示す指標です。
言い換えると、「どれだけ安全対策を徹底すべきか」を定量的に判断するための基準です。
このASILは、機能安全のために必要なリスク削減措置のレベルを表し、
以下のように A(最も低い)〜D(最も高い) の4段階で定義されています。
|
レベル |
意味 |
対応例 |
|---|---|---|
|
ASIL A |
最もリスクが低い |
軽微な警告機能(例:室内照明の自動OFF) |
|
ASIL B |
中程度のリスク |
エアバッグ診断機能など |
|
ASIL C |
高いリスク |
パワーステアリング制御 |
|
ASIL D |
最も高いリスク |
ブレーキ制御、エアバッグ展開など |
危険源分析とリスク評価(HARA)
開発の初期段階で、専門チームが「危険源分析(Hazard Analysis)」と「リスク評価(Risk Assessment)」 を実施します。
-
各システムが引き起こす可能性のある危険(Hazard)を洗い出す
-
その危険が発生した場合の重大度(Severity)、露出頻度(Exposure)、制御可能性(Controllability) を評価
-
これらをもとに、ASILレベルを決定します
これにより、例えば同じ車両制御ソフトでも、
「エアバッグ制御」と「インフォテインメント表示」では求められるテストレベルが大きく異なります。
ASILがテスト範囲・テスト手法に与える影響
ASILは単に安全要求の強度を示すだけでなく、テストの深さ・広さにも直接的な影響を与えます。
ISO 26262では、ASILレベルごとに「推奨されるテスト手法と推奨度」を次のように分類しています。
|
推奨度 |
意味 |
適用指針 |
|---|---|---|
|
No recommendation(推奨なし) |
特に制約なし |
使用してもしなくてもよい |
|
Recommended(推奨) |
一般的に行うべき |
できる限り適用する |
|
Highly recommended(強く推奨) |
必須に近い |
原則的に適用が求められる |
例:テスト設計技法への影響
ISO 26262では、ASILレベルごとに以下のようなテスト技法の推奨度が異なります。
|
テスト技法 |
ASIL A |
ASIL B |
ASIL C |
ASIL D |
|---|---|---|---|---|
|
同値分割(Equivalence Partitioning) |
推奨 |
強く推奨 |
強く推奨 |
強く推奨 |
|
境界値分析(Boundary Value Analysis) |
推奨 |
強く推奨 |
強く推奨 |
強く推奨 |
|
デシジョンテーブルテスト |
任意 |
推奨 |
強く推奨 |
強く推奨 |
|
状態遷移テスト |
任意 |
推奨 |
強く推奨 |
強く推奨 |
ASIL Aレベルでは標準的なテスト設計技法を「推奨」レベルで適用すれば十分ですが、
ASIL Dレベルになると「強く推奨(Highly Recommended)」とされ、形式的な根拠と文書化も求められます。
ASILの“誤解”に注意:ASILは製品全体ではなく「要求」ごとに定義される
よくある誤解として、「ASILは製品全体の安全レベル」と捉えてしまうケースがあります。
しかし実際には、ASILは製品内の各安全要求(Safety Requirement)ごとに割り当てられるものです。
たとえば同じECU内でも、
-
ブレーキ制御ロジック → ASIL D
-
ブレーキ警告灯制御 → ASIL B
というように、異なるASILが混在することがあります。
そのため、テスト計画やテスト工数も要求ごとに変動します。
ASIL Dの要求にはより厳密なテスト技法・レビュー・トレーサビリティが必要になります。
実践例:ASILに応じたテスト対応
ケーススタディ:ブレーキ制御システム
|
項目 |
内容 |
|---|---|
|
機能 |
自動緊急ブレーキ(AEB) |
|
想定されるリスク |
システム誤作動による衝突事故 |
|
ASILレベル |
D(最高レベル) |
|
テストへの影響 |
– テストケースはすべてトレーサブルに管理- 境界値分析・状態遷移テストの適用必須- 独立した検証チームによる再実施- テスト結果のレビューと証跡保存必須 |
まとめ:ASIL理解が安全品質の第一歩
ASIL(Automotive Safety Integrity Level)は、
**「どの機能にどの程度の安全性が求められるか」**を明確化するための基準です。
テスターにとって重要なのは、このASILが
-
どのテスト手法を採用すべきか
-
どの程度の網羅性・証跡を確保すべきか
に直接影響するという点です。
ASILを理解してテスト範囲を適切に設計することが、機能安全を守る第一歩になります。
例題:ASILに基づくテスト推奨度の理解
質問:
ISO 26262における「ASIL D」に該当する機能をテストする場合、以下のテスト技法のうち最も“強く推奨(Highly Recommended)”されるものはどれですか?
選択肢:
A. エラー推測(Error Guessing)
B. 同値分割(Equivalence Partitioning)
C. 探索的テスト(Exploratory Testing)
D. 無作為テスト(Random Testing)
正解:
👉 B. 同値分割(Equivalence Partitioning)
ASIL Dでは、形式的で体系的なテスト設計技法(同値分割・境界値分析など)が強く推奨されます。
コメント