多足

多足というのは,例えばGSNでセーフティケースを記述したときの姿を指します.ある安全要求に対して,複数の証拠とそれに基づく立証があるとき,多足に見えます(GSN図を想像してみてください).単に,樹ではないかとも思わないでもないのですが,証拠が一つで立証が複数でも構わないので,樹とよぶには忍びないということかもしれません.

前回の話では,単に安全立証のためのセーフティケースには,もっともらしい図があるだけではだめで,確信(confidence/credibility)が必要になるということでした.

この確信を高めるためには,多足(multi-leg)が望ましいとされています.例えば,一般にコードレビューをするときのことを考えると,アリバイ的に漫然とみんなでコードを眺めるのではなく,役割を決めて(ある人は coding convention中心に,ある人は動的ふるまい中心に)実施するのではないかと思います.これが多足になります.

では,セーフティケースにおいて,どのような「足」があるのでしょう.

  1. 論理的な証明
  2. テストによる統計的な解析
  3. 安全確保のためのプロセスの確認
  4. 実績からの類推

これは,61508(26262)や,英軍の00-55といった規格でSILに従った形で示されています.実際に規格をみると様々な種類が記載されているのですが,概ね上記の4種類に分かれるのではと思います.

しかし,どの足も,このままでは容易に落とし穴に落ちそうです.1.はToulminが主張したように適用範囲が限定的です.2.は,例えばC0:100%だったら良いとは誰も思わないでしょう.3.は間接的ですし,4.は類推可能かという疑問はついて回ります.

結局は,より要求や証拠に添った形で,丁寧に立証していくしかありません.Toulminモデルにあるように,最後は様相的にしかいえないということだろうと思います.しかし,その程度を明示しようというのは,誰もが考えることで,これからも,その努力が続けられていくのだろうと思います.

(nil)