自動車向け機能安全規格ISO 26262は、2011年11月に正式発行されました。これにより国内自動車メーカー各社はこのツールへの対応を本格化させています。当然のことですが、連動してティア1サプライヤの認定への取り組みも加速しているようです。
自動車部品の故障率が高かった欧米では機能安全(部品が壊れても安全性を維持する)の考え方が浸透しています。とりわけ、安全性確保は誤操作時までの考え方で、ブレーキとアクセルが同時に踏まれた場合は、ブレーキ優先で動作させるというようなことも規定されています。
業界は、自動運転を最優先で取り組んでいますのが、実現にはAI技術の向上と法令対応が必要で、この取り組みは世界規模です。今の自動車はブレーキのコントロール、エンジンは電子制御で行われています。機能安全の国際規格ISO 26262に基づく認証は、人命にかかわるものなので必須です。
今回は、このような背景を踏まえて、ISO26262の概要を解説します。
1. ISO26262とソフトウェアツールの安全性・信頼性
機能安全と言えば、プラントの安全性に根ざしており化学工場事故、機械構造物などのハードウェアを対象としてきたものです。確率的に捉えることができるハードウェア故障は、確率論がベースとなっている機能安全論ですが、今回ISO26262が制定された際にも従来のハードウェアの確率論的故障偏重批判も出され、コンピュータ制御の実態に合っていないと言われてきました。
2.ISO26262とは
ISO26262は、自動車製品の、アクチュエーター、ECU 、センサーなどのシステムに含まれる電子機器のソフトウェア・ハードウェアを対象とした安全準拠の規格です。
ISO26262は、自動車のライフサイクル全体(開発、生産、保守、廃車)という広範囲の領域が対象です。メーカー、部品メーカーの両者で規格順守の必要があります。企業の枠を超えた取り組みが必要となります。
この規格要求の根本は、安全文化の構築と維持です。重要視されるのがこの安全文化の風土です。では安全な文化風土を作るには何を行えばいいのでしょうか。人命にかかわるようなものを作っている組織は、安全文化の構築と維持が最優先の組織でなければなりません。それが、ISO26262の規格要求です。
3. ISO26262:トレーサビリティと構成管理について
機能安全規格の要件では、上位下位間のトレーサビリティと一貫性が重要です。意図しない設計が入り込んで紐付かない機能がある場合は、機能安全規格の要件が成り立っていないことになり、認証取得できません。第三者認証機関に説明できない項目がある時点で認証取得できません。
トレーサビリティと一貫性の確立で必須となることが構成管理です。構成管理については、ISO26262-8(支援プロセス)に記述されています。これは、設計、操作に関する情報、機能的および物理的要件、システムのライフサイクルにわたる範囲や性能などを確立し、維持する作業またはプロセスです。
4. ISO26262の課題
ISO26262は、自動車の、電子システム、アクチュエーター、ECU 、センサー、セキュリティなどに含まれる電子機器のソフトウェア・ハードウェアを対象とした安全規格であるため、対応していなかった場合のリスクは大きなものになります。このため、規格対応を整え、現場では、機能安全対応の見積もりや発注の依頼も出始めています。開発プロセスの実態に合わせた調整作業は後回しにするという流れもあるようですが、開発現場の問題解決を優先するのか、規格対応の体裁を整えることを優先するのか、この判断は難しい状況にあります。急ぎISO 26262対応を進めてはみたが、使われない規定書類やテンプレートの山が残るだけという事態にならないようにしなければなりません。
5.ISO26262:規格の対象範囲...
ISO 26262の全体を眺めてみると、全てを具体的な要求事項まで理解する必要はないと思いますが、実際の担当業務を遂行する前段階で、どのように安全活動が進められているのかは理解しておきましょう。ISO 26262が膨大な規格であることをあらためて認識するとともに、担当部分だけを理解して、取り組めばよいのではないかと考えたくなるでしょう。しかしこの規格は、規格文書の各パートを読んだだけではベースにある考え方、思想を理解し難いというのが悩ましいところです。ISO26262は、自動車のライフサイクル全体(開発、生産、保守、廃車)という広範囲の領域が対象です。この規格要求の根本が安全文化の構築と維持であることを理解して改めて、規格の対象範囲と担当部分の関係性を見直しましょう。