自動車分野向けの機能安全規格「ISO26262」。本稿では、正式発行を控え、日本の自動車業界でも対応作業が本格化し始めているこのISO26262の概要・全体像についてあらためて説明する。
間もなく自動車向けの国際的な機能安全規格「ISO26262」が正式発行されますが、そもそも「機能安全」という文化――“ある機能・部品が故障したとしても、システムの安全性を確保する”という考え方――は、欧州でどのようにしてはぐくまれてきたのでしょうか。
本連載のメインテーマであるISO26262の概要を紹介する前に、自動車における欧米と日本との“安全性の確保”に対する考え方・アプローチの違いについて簡単に触れたいと思います。
欧米では、過去、自動車部品の故障率が高かったこともあり、自動車メーカー各社は「どうしたら部品が壊れても大きな被害を出さずに済むか」という観点から、自動車の安全に関する検討を続けてきました。こうした取り組みが礎となり、欧米では、部品が壊れても安全性を維持できる“機能安全”という文化(考え方)が浸透していったのです。そこには、部品の故障だけでなく、“誤操作時の安全性確保”の考え方も含まれており、例えば、アクセルペダルとブレーキペダルが同時に踏まれた場合は、ブレーキペダルを優先して動作させるというようなルールも規定されています。
一方、日本の自動車メーカーはこれまで、自動車部品の故障による交通事故を未然に防止するため、自動車部品メーカーに対し、自動車部品の“品質改善/品質向上”を要求し、安全性を高める対策を講じてきました。そのため、日本では、“品質=安全”という考えの下、品質を追求することによる安全性確保のアプローチ、“品質向上の文化”が先行してきました。
本連載では、こうした双方(欧米と日本)の安全に対する考え方・アプローチの違いを踏まえた上で、正式発行を控え、日本の自動車業界でも対応作業が本格化しているISO26262の概要を紹介していきます。本連載を通じて、あらためてISO26262の全体像をつかんでいただければと思います。
過去、欧州において、故障が原因とされる産業プラント事故が何件か発生しました。産業プラントの中でも特に、“原子力・化学プラント”の事故ともなると、地域や人命への影響も多きくなるため、その損害は計り知れません。
そこで、航空用ソフトウェアの国際技術標準である「DO-178B」規格を参考に、事故・災害を防止するための手法をまとめた機能安全規格「IEC61508」がIEC(国際電気標準会議)により策定され、EU(欧州連合)の法規として取り入れられました。
IEC61508は、危険となる事象から人命・健康・環境(地域)などを守るための“機能”“装置”を追加し、リスクを低減して安全を確保するという考え方で、そのシステムの構成要素のうち、コンピュータやソフトウェアを含む、電気・電子・プログラマブル電子(E/E/PES)に関する機能安全規格です。このIEC61508は全ての機能安全規格のベースであり、この規格から産業機械、原子力発電所、医療機器などの特定分野における安全事項をまとめた派生規格が策定されています(関連記事)。
本連載の主役であるISO26262も、IEC61508から派生した自動車分野向けの電気・電子システム(E/ES)に関する機能安全規格として位置付けられています。ちなみに、ISO26262は現時点(2011年8月)で正式発行“待ち”段階に入っています。
関連記事: | |
---|---|
⇒ | いまさら聞けない 機能安全入門 |
続いて、ISO26262の正式発行がなされた後、どのように実適用に至るのかについて簡単に紹介したいと思います。
産業機械分野におけるソフトウェアや制御システムの機能安全規格といえる「ISO13849」の場合、正式発行とほぼ同時期に、EU機械指令で3年後からの適用が宣言されました。これに倣うと、ISO26262に対しても正式発行とほぼ同時期にEU機械指令で3年後からの適用が宣言されるものと予想されます。
現時点で、ISO26262は、2011年8月に正式発行されると予測されていますので、自動車メーカーや自動車部品サプライヤーは、3年後の2014年のモデルから、ISO26262に正式適用できるよう急ピッチで準備を進めています。
それでは、ISO26262についてもう少し詳しく見ていきたいと思います。
ISO26262は、自動車に搭載されているあらゆる部品のうち、“センサーから、制御装置(ECU)、アクチュエーター(モーター)まで”の一連のシステムに含まれる、電気・電子機器などのハードウェア/ソフトウェアを対象とした安全規格です。
ISO26262では、自動車の「要求定義(構想段階)」から、「開発」「生産」「保守・運用」「廃車」に至るまでのライフサイクル全体という広範囲の領域が対象として定義されています。当然ながら、自動車メーカーと自動車部品メーカーの両方で規格を順守する必要がありますので、企業を超えた取り組みが必要となります。
これまでの日本の自動車業界では、前車種との“差分開発”に重点を置いていた割に、“設計書を更新しない”という文化も存在しており、開発プロセスを軽視するような傾向が少なくありませんでした。ISO26262では、要求定義を含めた開発プロセスが必要なため、規格の順守には予想以上の時間を要することになるでしょう。
ちなみに(筆者の経験によると)、海外における差分開発の場合は、既存文書に差分箇所を埋め込んで自動的に設計書を更新する仕組みが導入されているケースが多く、開発プロセスへの適合がうまく進んでいる印象を受けます。
ISO26262は機能安全の考え方に基づき、安全な自動車を開発するための有効な手法や基準などを体系化したもので、全部で“10”のPartで構成されています。
そして、そのPartごとにさまざまな部門が関係し、かつ、その担当範囲を自動車メーカー(Part 3:構想段階〜Part 4:システム開発)と自動車部品メーカー(Part 4:システム開発〜Part 5:ハードウェア開発、Part 6:ソフトウェア開発)で分類することができます。
このうち、日本では“すり合わせ文化”の影響から「Part 3:構想段階」や、「Part 4:システム開発」を実施する文化があまりなかったため、戸惑いを感じている企業が増えているように感じます。また、「Part 2:機能安全管理」では、品質保証部門も関わってくるため、自動車の特性に精通した品質保証担当が必要となってきており、今までの品質保証の概念を大きく変えることとなります。
なお、海外では多くの場合、「Part 3:構想段階」とほぼ同じプロセスで要求をしっかりと定義して、「Part 4:システム開発」と同じプロセスでシステム開発を実施し、かつ「Part 2:機能安全管理」で要求される専門知識を備えた品質保証担当が存在するため、日本よりも適用しやすい規格といえます。
このように、欧米発で、欧米文化が多く取り入れられているISO26262ですが、日本の自動車メーカーや自動車部品メーカーからも規格策定に参加したメンバーもおり、当初よりも“緩い規格”となっています。ただ、“緩い”といっても、規格で定義されている範囲は広く、適用するには大きな労力とコストが必要となってきます。この労力とコストを減らすためには、欧米で採用されているようなISO26262準拠のさまざまなツールを適用し、作業の効率化を進める必要があります。
さて、次回は、現在国内でも実施されており、比較的プロセス改善に着手しやすい“ISO26262のソフトウェア開発”について取り上げたいと思います。ご期待ください! (次回に続く)
河野喜一(こうのよしかず)
NEC コンサルティング事業部
(http://www.nec.co.jp/service/consult/vision/softconsul/safety_05.html)
産業機器開発、通信機器開発、ALMベンダー、組み込みコンサルを経て、現職。専門分野は、開発者の視点による開発プロセス改革(管理面、開発面)、規格適用コンサル。現在、組み込み開発の開発プロセス改革、ISO26262適用コンサルに従事。
Copyright © ITmedia, Inc. All Rights Reserved.