次のようなセーフティケースの定義があります.
argument that the safety goals for an item are complete and satisfied by evidence compiled from work products of the safety activities during development (ISO/DIS 26262-1)
安全目標が達成されていることを証拠を用いて示すことと,単純に云えます.GSNで簡単に書くと次のようになります.
矩形の部分が安全目標で,円形の部分が証拠を示します.しかし,これで十分とはいえないのは明らかです.少なくとも定義にある完全性(complete)を満足していないように思います.例えば,サブシステムSiにおける安全とは何か,安全性のテストとはいかなるものかということを明らかにする必要があります.
しかし,それらを細かく記載したとしても次なる疑問が生じるものです.
例えば,テスト結果に関しては,次のように詳細化したとします.設計で安全機能をブロック化し,その入出力に関して検証器を用いて網羅的に調べたとします.それでもなお,本当に検証器を通したモデルとコードが一致しているか,そもそも適切なassertionを設定しているか,誰がどのようにその結果を評価したかなどなど,更に疑問を投げかけることができます.いつまでも終わりのない記述になりそうです.
さて,トゥールミンのモデルで様相演算子がでてきます.これは,必然正や可能性を表す論理記号で,命題論理式での恒真のようなことは立証としてはいえないということから来ています.従って,セーフティケースを記述するからと云って,ある種の蓋然性からは逃れられないということなります.
では,なんのためにセーフティケースを記述するかという主題について考えると,どのように安全性を考え,どのようにそれに対応したかを表明するということでしかないわけです.それ自身が完全な安全性を示すことはできないのです.そうすることで,Nomrodの事故調査における詳細な批判ということも可能になります(NOMROD REVIEW).
ちなみに,より良い安全性立証のために,立証への確信度合い(confidence)をGSN表記に加えるというアイデアも最近でてきています(A New Approach to creating Clear Safety Arguments).
(nil)