自動車の機能安全規格 ISO 26262では4段階のASIL(Automotive Safety Integrity Level)をECU(Electronic Control Unit)の性能尺度として使用します。
ASILは、図で示されるバームクーフェンモデルで示された故障の抑制メカニズムに関連する2つのファクター、すなわちSPFM(Single Point Fault Metric),LFM(Latent Fault Metric)とPFH(Probability of Failre per Hour)を評価して決定されます。
SPFは、IEC 61508のSFF(Safe Failure Fraction)と同様に、故障が安全側か危険側か、及び、診断で検知して事故になる可能性を抑制できるかどうかを、FMEDAと同様な手法で評価する尺度です。一方、LFMは、複数の故障が発生したときの防護メカニズムがあるかどうかを検討して決定します。
一般には、ISO 26262では、確率論的な評価の複雑さを避けるために、ASILという概念を採用したという解釈がなされているようですが、SPFもLFMもある意味では確率論的な考え方を反映した指標です。しかし、評価の複雑さに関わらず、機能安全で重要なことは、これらの指標に従って安全回路を分析する過程で、事故に至るシナリオをつぶさに分析し、防護対策を検討するということです。
注) 図1,2は”Safety of Computer Architectures”より転載