自動車向けの機能安全規格ISO 26262の策定作業が最終段階に入った。この規格では、機能安全を実現し、それを証明するために必要となる開発プロセスが定められる。では、その新たな開発プロセスは、従来の開発プロセスとどのように異なり、それを適用する際にはどのようなことが課題になるのだろうか。本稿ではまずこの点を明らかにする。加えて、機能安全を実現する上でポイントとなるマイコンについて、各メーカーの取り組みの様子を紹介する。
自動車の電子化の進展は、自動車の進化を支える重要な基盤となっている。当初、ECU(電子制御ユニット)はエンジンの制御のみに用いられるものだった。それが現在では、高級車であれば50個以上のECUを搭載することも珍しくなくなった。
このようなECUを用いた自動車システムを進化させるには、さらに複雑な電子システムが必要になることが多い。ECUの中核部品であるマイコンにはより高い処理性能が要求されるようになるし、機能を実現するための組み込みソフトウエアの規模もより大きくなる。また、複数の自動車システムが連携することによって実現される機能については、その複雑さの度合いは指数関数的に増大することになる。
今後も、自動車の進化を電子システムが支えることは確実だ。しかし、電子システムの進化に併せて、不具合が発生する確率も増えてしまうのは、本末転倒である。そこで、高度化/複雑化する自動車の電子システムで発生するであろう不具合や問題による影響を最小限にとどめるために、1つの標準規格が提案されている。それが、自動車向けの機能安全規格ISO 26262である。
「機能安全」とは、電子システムを構成する各要素に故障が発生したとしても、その故障によって発生する被害を最小限にとどめることができるような機能的な工夫を施すことによって実現する安全のことである。この機能安全と対比される言葉としては「本質安全」がある。本質安全では、不具合や問題そのものの発生原因を取り除くことによって安全を実現する。
機能安全と本質安全の違いは、鉄道の線路と一般の道路を交差させるときの対処法を例にとって説明することが多い。この場合、機能安全に基づく対処法は、線路と道路が交差する部分に踏み切りを設置するといったものになる。一方、本質安全に基づく対処法では、鉄道の線路と道路が交わらないように立体交差を設けることになる。
もともと、機能安全という考え方は、化学プラントなどのプロセス産業や原子力発電所などで用いられる電子システムの安全性を確保するための基本規格であるIEC 61508を策定する段階で導入されたものだ。化学プラントや原子力発電所の事故は、1986年に旧ソビエト連邦で起きたチェルノブイリ原子力発電所の例を出すまでもなく、甚大な被害をもたらす可能性が高い。しかし、電子システムは常に故障する可能性があり、電子システムを開発したり操作したりする人間も常にミスを犯す可能性がある。このような条件の下、本質安全の考え方だけで、安全を達成することはできない。そこで、電子システムにさまざまな機能を追加することによって、何らかの故障やミスが発生した場合でも重大な被害の発生につながらないようにする。このアプローチが、機能安全の基礎になっている。
ISO 26262は、機能安全の基本規格であるIEC 61508をベースとして、自動車に適用するために新たに策定されている規格である。2009年7月にドラフト(草稿)が発表されており、現在は、このドラフトを基にした正式な規格を策定する段階に入っている。2011年6月には正式に標準規格として発行される見通しだ。
そして、正式に規格が発行されてから、約1〜2年で認証制度が確立すると見られている。さらにその1〜2年後には、自動車を欧州市場内で販売するには、ISO 26262への準拠が必要になるという法制が施行される可能性が高い。NECのコンサルティング事業部でグループマネージャーを務める坪井信男氏は、「早ければ2014年にも、EU(欧州連合)指令として法制化されるだろう」と述べている。なお、日本市場におけるISO 26262の運用の方向性については、各自動車メーカーが検討している段階であり、まだ不透明な状態にある。
Copyright © ITmedia, Inc. All Rights Reserved.