ALARPという原則があります.安全性に関する用語で,As Low As Reasonably Practical の略になります.リスクを実際的なレベルに低くする.もちろん,それは合理的に説明できるものでなくてはならない(reasonは,OEDによると古いフランス語から来ています,今でも,フランス語で「正しい」というのは,avoir reason で,正しいためには,そうである理屈を持たないといけない.正しいというのは俺は信じているという精神ではなく道理があるということだ,というのは,必ずしも同値ではなく,一つの考え方ということになるかと思います).ALARPは,良く安全性に関する議論や教科書にでてきますし,IEC61508でも,それなりのページを使って説明しています.しかし,これはISO(/FDIS) 26262のような(乗用車を対象とする)規格だと,相性が悪いことになります.
簡単には,次のようになります.リスクの上限下限を,様々な条件(社会的な許容限度,技術的限度)から定める.リスクの下限は,BSO(Basic Safety Object)と呼ばれる目標値で,これ以下であれば,まあよしとする.リスク上限は,BSL(Basic Safety Level)と呼ばれる許容限度になります.ALARPというのは原則自身やモデルの説明にも使いますが,このBSOとBSLの間を指しています.この間で,できるだけリスクが低くなるように合理的に努力するということとなります.BSO以下はムシしてよいし,BSL以上は,相手に出来ないので,エンジニアリングとしては扱わないということになります.例えば,原発で破壊的な事故が発生し被曝するというリスクに対して,それに対処できないのであれば(BSLを超えるならば),そのBSL以上のリスク度を持つ場所には,人を居住させないようにするといった対処をとるということになります.これはエンジニアリングを超えています.かくのごとく,ALARPはもともと原発や化学プラントのような施設と社会との関わりのなかで考えられてきました.一方で,ISO(/FDIS) 26262が対象とするような乗用車ドメインでは,対象が限定的になります.ある車の障害が,一次的に社会に影響を及ぼすわけでありません.
別の相性の悪さもあります.例えば,ソフトウェアのばあいは,系統的故障となると云われますが,意地悪く云えば,確率的に計算できない故障カテゴリということです.従って,合理的に目標値(BSO)を定めることができません.更には,ソフトウェアに限らなくても,その使われる環境の多様さ,ユーザが訓練されたオペレータではなく一般人であることもまた,目標値の設定を難しくします.
IEC61508に対してC規格であるISO(/FDIS) 26262が,このALARPの扱いに関して,余りに収まりがわるいということは横に置くとして,ここでは別の原則についても考えてみることにします.
GALEと呼ばれる原則があります.Globally At Least Equivalent の略です.フランスにおける安全性の原則で,こちらはGAME(Globalement Au Moins Équivalent)或いは,GAMAB(Globalement Au Moins Aussi Bon)がオリジナルになります.比較対象は,既存のシステムになります.既存のシステムを改良したときに,安全性は良くならなければならない.少なくとも同等でなくてはいけないということになります.
常に自動車を一から設計することはきわめて稀ですから,実務的には,GALEの方が心が落ち着きます.しかし,何をして同等とするかについては,問題は残ったままとなります.
(nil)
昨年パリのChamps-Élyséesで見かけた究極のエコカー?