「ISO 26262」の正式発行で、「安全」への意識改革が必須 〜 一刻も早い対応が明暗を分ける

2011年11月に正式に発行されたISO 26262。先行する機能安全規格IEC 61508がベースとなった自動車の電子制御に関する国際規格である。もともと欧州で規格策定が推し進められてきたこともあり、欧州のメーカーやサプライヤはすでに積極的に取り組んでいるが、日本での対応はこれからだ。そんななか、ノルウェーに本拠点を置き、欧州事情に精通するDNVビジネス・アシュアランス・ジャパンでは、専門家とともにISO 26262への正しい認識と必要性について積極的に情報発信している。機能安全サービス・グループマネージャ竹市正彦氏と同社の技術顧問を務める東京海洋大学の海洋工学部教授の佐藤吉信氏に、日本で高まるISO 26262の必要性や各社がすべきことなどについて聞いた。

» 2012年04月09日 10時00分 公開
[PR/MONOist]
PR

ライフサイクルが対象となる機能安全規格

 電車や飛行機、産業プラント、病院の医療機器などコンピュータはさまざまな施設や製品などに組み込まれ、危険を察知したら自動停止するなど安全機能をも実現できるようになった。このようなコンピュータを含むシステムの設計,製造そして使用に関する安全の指針として2000年に発行された規格がIEC 61508「電気・電子・プログラマブル電子安全関連系(以下、安全関連系という)の機能安全」である。

 IEC 61508は、特定の分野に限定したものではないが、プロセスプラントや工作機械などの分野からの出身者を中心としてつくられた。安全関連系の「概念(構想)」の設定から、「使用終了または廃棄」するまでの16フェーズからなるライフサイクル全体を対象として、それぞれのフェーズを有機的に関連づける要求事項を規定している。安全度水準( 以下、SIL:Safety Integrity Level)によってリスクおよび安全関連系によるリスク軽減(低減)性能を定量的に規定しているのも特徴だ。SILは安全関連系がその安全機能の遂行に成功するかしないかの確率を数値的に見える化した指標である。

photo 東京海洋大学 海洋工学部教授
佐藤吉信氏

 この規格を基本としてプロセス産業の安全計装システムに関する規格(IEC 61511)、産業用機械類の電子制御(IEC 62061)、鉄道における信号制御等(EN 5012x)、医療装置(IEC 60601)などさまざまな分野・製品規格が派生している。

 1994年以来、IEC 61508 / IEC 61511の策定・改訂対策国内委員会の幹事(現・主査)および策定・改訂国際エキスパートとして活動してきた東京海洋大学の海洋工学部教授の佐藤吉信氏は、「実は日本では2000年くらいにIEC 61508を基にして日本版の自動車電子制御の安全基準をつくり、将来的にはこれを国際基準に押し上げようという動きがあった。ABSの認定試験などに活用されたり機能安全の考え方の普及に貢献できたりするなど成果は得たが、残念ながら当時、そうした認識は広まらなかった」と当時の国内実情に悔しさをにじませつつ語る。

 一方、同時期にドイツとフランスが中心となり、自動車電子制御の機能安全規格について検討が開始され、2005年にISOに提案、審議が始まった。日本のメーカーやサプライヤの代表者も規格策定に参加、IEC 61508を基に自動車向けに詳細な要件を盛り込み、2011年11月15日にISO 26262を発行する運びとなった。

すそ野の広い自動車産業に与える影響は甚大

photo DNVビジネス・アシュアランス・ジャパン
機能安全サービス・グループマネージャ
竹市正彦氏

 ISO 26262発行に関して、DNVの機能安全サービス・グループマネージャ竹市正彦氏は「自動車産業のビジネス体系は、メーカー1社にとどまらず、部品メーカー、下請け企業や孫請け企業が多数存在している。その全てに、安全に関わる部分に関してISO 26262の要求事項がかかってくる。欧州は2000年あたりから少しずつ準備してきているが、日本では一部の輸出をしている部品メーカーを除いては、まだ対応しきれていないのが実態。だが、自動車産業はすそ野が広く、与えるインパクトは非常に大きい」と指摘する。

 対応しきれていない背景には「安全」への意識の差がある。日本のメーカーは部品の品質を改善することで危険が起きないという感覚をもってきた。これは本質的な原因を除去しようという「本質安全」に関係する考え方であるが、「機能安全」とは、システム全体を対象として危険を許容可能なレベルまで低減させる、すなわち許容可能な安全水準を達成するというアプローチである。そこで、その安全水準の定量化による見える化すなわちSILが必要になる。

 今回、自動車分野で規格化されたのは、自動車がグローバルな製品だということが背景にある。佐藤教授は「自動車産業は規模が大きく、優秀な人材も豊富で、規格に対応できるだけの力がある」と話す。竹市氏は「車に組み込まれる電子機器が非常に増えてきたことも背景の1つ。これまでそうした電子機器に関する明確な安全指針がなく、IEC 61508に準拠させようとしても規格の性格上の問題で自動車に適用することがかなり困難であった」という。

 例えばIEC 61508では、基本プロセス制御系と安全関連系とを分離することが求められているが、自動車ではそれは難しい。車間距離警報システムなど、安全関連系がそれらの基本制御機能の一部となっていることもあるからだ。またプラントや機械なら物理的に人間と距離を置いて安全性を保つような手法が成り立つが、自動車はドライバーと一体となっていて、分離というのは現実的に不可能であるなど、IEC 61508に準じるのには無理があった。

自動車に特化したASILを規定

 ISO 26262では、こうした相違を考慮して自動車電子制御分野に特化した仕立て直しを行なっている。その1つがASIL(Automotive SIL)の規定だ。「ASILはアイテム(当該電子制御システム)が単位時間にどのくらい危険な不具合が起きるかという指標。IEC 61508の高頻度/連続モードのSILと互換性があり、この製品の安全水準はこのレベルのものだと明確にするための共通の見える化」(佐藤教授)で、危険度に応じてAからDまでの4レベルが規定されている。安全上非常に重要で、これがおかしくなると大きな被害が出る場合は、最もレベルが高いDになり、マネジメントやハードウェアの部品、ソフト設計などへの要求が厳しくなる。

 レベルは「危害の重篤度(S)」、「遭遇の確率(E)」、「制御回避の可能性(C)」の3つのファクターを組み合わせて決められる。(S)は、アイテムに不具合が出た場合、どのくらいの被害がでるか、かすり傷程度か生命を脅かすものなのかという被害のレベルで、(E)はそれがどのくらいの頻度で遭遇するかというもの、(C)は不具合が出たとき、それをドライバーが簡単に避けられるか制御不能なのか、といったことである。

 アイテムがASILのどのレベルに相当するかによって、メーカーは機能安全確保への対策を取るわけだが、具体的なアイテムについて、例えば「エアバッグはC」というようには決まっていない。具体的な決定は各社に任せている。

 佐藤教授は「ある会社はBにするかもしれないが、そうして売れるかどうかはまた別問題。競争して低コストでよいものをつくるのが本来の競争だろうが、一律に決めるかもしれない」と話す。竹市氏は「業界の中では極端にレベルが違ってはいけないと、ある程度そろえる動きがある。いずれにせよ、安全性への意識は高まってきている。少し前まではAだったのが、いつの間にかさまざまな前提の認識に変化が起きてDになったりしていることもある」と明かす。竹市氏によると、アイテムのレベルについて公的な場面でディスカッションするなど、業界では意識の統一に務めているという。

 日本のメーカーは、安全への意識改革と同時に、規格への正しい理解が求められており、そのためには的確で迅速な情報収集がカギとなりそうだ。



  ISO26262の発行と日本へのインパクト

    佐藤吉信氏 vs. 竹市正彦氏


欧米に10年以上遅れている日本

――ISO 26262の発行に伴う国内への影響、そして現状をお話しください。

竹市: 規格のリリースは、かなりのインパクトがあるといっていいでしょう。現段階では法律などでISO 26262への適合を強制しているわけではありませんが、部分的に法制化される可能性がうわさされています。しかし、規格がリリースされた今、自動車の電子制御に係る部分で何かトラブル起きた場合、企業側は規格を元に説明しなくてはならなくなっています。

佐藤: とくに欧米では事故が起きると裁判になるケースも少なくありません。その際、安全対策にきちんと対応していたかが論点になります。特にアメリカの場合、メーカーがそれを証明できなくてはなりません。その際、最低限のこと、つまり安全規制や規則はもちろん業界団体の安全規格や国際規格を満たしていたかどうかが基準になり、満たしていなければ敗訴してしまいます。2010年に起きた日本車の問題に関しても、当時は電子制御の基準がなく、話がかみあわない部分が多々ありましたが、ISO 26262がリリースされたのでそれに基づいた判断ができます。

 日本では時間も費用もかかるため、PLに関する訴訟はほとんどありません。日本では、どう設計したかをメーカーは開示する必要がないのですが、アメリカではそれを隠しただけでも裁判に負けてしまいます。日本は消費者の立場に立った安全文化の意識が相対的にあまり高くなく、企業側にも機能安全の考え方が浸透していません。背景には、技術力があって高品質なものを作れる、具合の悪いものは作らないという製造側の自負があるのでしょう。

 一方、欧州では1990年代に既に各国が動き、2000年にIEC 61508が発行され、この規格がベストセラーになるなど取得ブームになったほどです。実は、日本でも同年にIEC 61508の翻訳版JIS C 0508をつくり、私も関わったのですがあまり関心をもたれなかった。機能安全に対しては完全に10年以上遅れてしまったのです。

竹市: 確かにかなり遅れていると感じますね。欧州では産業機械の機能安全については法令化されており、私はその認証業務に従事してきました。法令化されたのは欧州だけですが、歴史上、欧州の影響力を受けていた国は欧州を手本にします。そして、同じ要求を日本にも突きつけてくる。ですから産業ロボットなどを輸出する日本メーカーは敏感で、対応もしていますが、機能安全の考えは日本国内には広まっていませんね。

設計段階からメスが入る規格

――ISO 26262はもとより、そのベースとなったIEC 61508への理解がなされていないので、企業は困惑しているのですね。では、企業はどう対応すべきでしょうか。

佐藤: ISO 26262はIEC 61508と同様にライフサイクルの要求事項に対応しなくてはなりませんが、これは、想定外の故障や失敗をなくすためです。従って、製品の構想段階から、リスクアセスメント、概念設計、安全要求仕様……その間に機能安全アセスメント、適合確認、妥当性確認などいろいろな確認をしなくてはなりません。これまではチーム内だけの確認でよかったのに、独立する第三者によるチェックも必要になってくるなど、やるべきことはとても多い。日本ではこれまで産業界における安全というと、「工場の安全」というイメージが強く、設計者は関係ないというスタンスだったでしょうが、この規格は全員が関係してきます。まずは、それを認識すべきでしょう。

竹市: 開発現場は日々の業務に追われていますが、設計からメスが入るので今までのやり方では通用しない。構想、企画、設計段階から考えておかないと、ISO 26262に対応した製品はできないでしょう。ISO 26262は要求項目を挙げるだけで200近くあり、ベースとなるIEC 61508とは桁が違う。もちろん、いままでの品質管理の活動とオーバーラップしている部分もありますが、ASILなどいままでなかった概念に対応しなくてはなりません。早いうちにこれまでの活動との差を見極めて準備することをお勧めします。

 具体的には、安全機能というものが大前提で、それがどういう方向で掘り下げられているか、全て関連付けられていて、必ず管理されていなくてはなりませんし、関連文書類の一文一句がどういうかたちで変わってきたかということもトレースして説明できなくてはなりません。安全に対する考え方を身につけるなど技術者の教育も必須です。

 自動車には車種によっては100以上のCPUが組み込まれ、数多くの安全機能が存在します。それぞれの開発のステップなども説明できるようにしなくてはならないのです。

進化する規格の動きを見据えて対応を

――自動車の高性能化がこうした規格を後押ししているといえそうですね。今後の見通しを教えてください。

佐藤: 自動車は、今は、まだ止まる,曲がるといった機能の遂行システムに機械的な結合があり、安全は最終的にはこの機械的部分に依拠できます。しかし、飛行機や船舶のようにそういったシステムも完全電子化になっていく可能性があります。そうなると、完全に機能安全の世界になります。機能安全の意識を高めないと日本の技術は危ういでしょう。

竹市: 実際、メーカーとしては、ISO 26262に対応した設計や開発の仕方などに馴染んでくれば、次には新しいテクノロジーにチャレンジすることになるでしょう。それを考えると、機能安全はかなり重要になってきます。いま、国内メーカーはISO 26262に対して、どちらかというとネガティブな受け止め方ですが、これを機に機能安全規格を利用して高付加価値技術による競争力も増すでしょう。

 DNVではそのための支援を、専門家である佐藤教授を技術顧問に迎えて充実させています。機械産業のように認証機関が積極的に関わるほどの拘束力は、今はありませんが、日本では機能安全の考え方への理解が深まっていませんし、国際的な議論に参加する人も少ない。われわれは日本国内にしか通用しない考え方に染まらないで、世界レベルで通用する情報を提供し、その目線で話をして今後の自動車産業の発展に貢献していきたいのです。

 現時点では普及活動を中心に動いていますが、まずはアセスメントによって自社がどの程度なのか認識されることを勧めています。第三者によるチェックは社内の独立した部門での実施が可能ですが、社内の人材では対応しかねるケースもあるでしょう。その際に、われわれを利用してアセスメントしていただければと思います。また、トレーニングも実施しているので、より正しい認識を得るために活用してほしいですね。

佐藤: 規格については、改定が進むなど動きが少しずつ変わってきています。機能安全の解釈も自動車の技術も、刻々と進化しているのです。ですから判断が難しく、次の規格の方向性も見据えていかねば先取りができません。専門機関や専門家のアドバイスは欠かせないでしょう。そうしたエキスパートの力を借りつつ、うまく取り組んでいただきたいと思います。

photo

佐藤吉信氏:

東京海洋大学海洋工学部教授

早稲田大学理工学研究科修了、労働省産業安全研究所主任研究官、東京商船大学教授、現在東京海洋大学教授。1993年 IEC国際委員会機能安全規格策定エキスパートに就任、1998年〜2000 年IEC61508 発行、2003 年IEC61511発行、2008年 経済産業省より機能安全およびディペンダビリティ(信頼性)に関する国際標準化貢献者賞を受賞。2009年IEC61508、IEC61511機能安全国内委員会主査に就任。


竹市正彦氏:

DNVビジネス・アシュアランス・ジャパン 機能安全サービス・グループマネージャ

早稲田大学理工学部修士課程卒業後、約20年にわたり日米の大手企業において大規模業務系システムからデータ通信や光ディスクに関する組み込みシステムに及ぶさまざまなソフトウェアに関する研究/設計開発/ビジネス開発に携わる。近年、欧州の認証機関において機械・鉄道・自動車産業における機能安全認証業務に従事。


お問い合わせ

DNVビジネス・アシュアランス・ジャパン株式会社

URL:http://www.dnv.jp/

E-Mail:japan.info@dnv.com


Copyright © ITmedia, Inc. All Rights Reserved.


提供:DNV ビジネス・アシュアランス・ジャパン株式会社
アイティメディア営業企画/制作:@IT MONOist 編集部/掲載内容有効期限:2012年5月8日