MONOistオートモーティブフォーラム主催のセミナー「まだ間に合う! ISO26262に準拠せよ 〜プロセス改善から始める機能安全対応〜」の基調講演に、ISO 26262や機能安全規格について詳しい知見を有する、日本自動車研究所の小谷田一詞氏と、東京海洋大学大学院教授の佐藤吉信氏が登壇した。本稿では、小谷田氏と佐藤氏の講演を中心に、同セミナーのリポートをお送りする。
2012年9月7日、東京都内で、MONOistオートモーティブフォーラムが主催する自動車向けの機能安全規格ISO26262をテーマにしたセミナー「まだ間に合う! ISO26262に準拠せよ 〜プロセス改善から始める機能安全対応〜」が開かれた。
本稿では、日本自動車研究所(JARI)でITS研究部の主管を務める小谷田一詞氏と、東京海洋大学大学院 海洋科学技術研究科教授の佐藤吉信氏が行った基調講演を中心に、同セミナーをリポートする。
小谷田氏は、2012年4月にJARIに転籍する以前は、大手電機メーカーのソフトウェアエンジニアとしてカーナビゲーションシステムなどの開発に従事していた。同氏は、自身の経験に基づき、ISO 26262にいかに取り組むべきかについて講演した。
小谷田氏とISO 26262との出会いは、電機メーカー在籍時代の2年前にさかのぼる。欧州の自動車メーカーによるサプライヤ選定プロセスで、当時まだドラフト版だったISO 26262に初めて触れたのだ。同氏は、「ドラフト版規格書のPart 2に『ソフトウェア開発プロセスの改善に必要と言われているSPICE(Software Process Improvement and Capability Determination)のアセスメントをやれ』と書いてあるのを読んだときに、日本にSPICEアセッサーがどのくらい存在していて、どの程度の規模でSPICEアセスメントが行えるかを考えた。さらに、第三者認証が必須だということも聞きつけた。そこで、『ISO 26262 is Japanese Supplier Killer(ISO 26262は日本のサプライヤに対する殺し屋)』なのかと、あちこちの講演会に行って話を聞いたり質問したりしたが、明確な答えが得られず、自分で調べるしかないという結論に至ったところから始まった」と述べる。
ISO 26262は、ドイツの自動車業界が主導して策定している規格である。小谷田氏は、ドイツ自動車工業会(VDA)が2011年7月に開いた技術討論会「第1回VDA Automotive SYS Conference」に出席し、日本の自動車業界の動向について発表するとともに、情報収集も行った。「日本人の出席はわずか3人。一方で、韓国、中国の自動車メーカーやサプライヤが大勢出席している事実に大きな不安を感じた」(同氏)という。
同討論会に参加して分かったのは、欧州の自動車業界では、プロセス改善活動を基礎とする開発手法が根付いており、SPICEをベースとした機能安全を達成するための文化が醸成されているということだった。小谷田氏によれば、「自身の講演で、『ISO 26262 is Japanese Supplier Killer』と発言したところ、『ISO 26262を実施する際の第1ステップがSPICE活動であるということを意味しているだけで、日本のサプライヤに対する悪意はない。このことをぜひ日本のサプライヤに伝えてほしいと言われた」という。
小谷田氏は、「実際に、ISO 26262は決してJapanese Supplier Killerではない。プロセス改善活動があっての機能安全であり、ISO 26262への準拠は訴訟リスクを低減するためのツールにすぎない。かつて日本でも規格対応がブームになったISO 9000シリーズも、品質を確保するためのツールでしかないにもかかわらず、日本では取得することが目的になってしまう。ツールに振り回されてはいけない。ISO 26262への準拠を検討する際には、開発者の活動を尊重しながら、自社の組織に適合した根拠ある解釈を行うことが重要。第三者認証も要求されていない。ただしこれは、欧州のように、安全に関わる訴訟になれば機能安全担当のマネジャーが法廷に立つというほどに機能安全文化が根付いている地域ならば可能かもしれないが、日本などのようにまだそういった文化がないところでは第三者認証に頼るという手段もあるだろう」と語った。
同討論会の後、小谷田氏は、日本国内の数々のサプライヤに対してISO 26262に関する講演を行い、各社の現場の声も聞いた。すると、「経営層・上級管理層の機能安全活動に対する認識が薄い」、「推進・展開組織と、開発現場間の機能安全取り組みにギャップがある」、「(推進組織から見ると)開発現場の説得が困難」、「トレーニングが、英語の文書を使って、通訳を介して行われるため、ISO 26262に対する理解が不十分なまま」といった課題が出てきた。中でも、最も大きな課題になったのは、「ISO 26262の前に、SPICE活動によるプロセス改善が根付いていない」という現実だったという。
日本の自動車業界の開発現場は、高品質な商品開発実績に対する自負がある。また、開発そのものは、組織レベルではなく、個人レベルの頑張りに支えられてきた。一方で、開発組織は、プロセス定義書やマニュアルを定めていないために、SPICE活動によるプロセス改善を行おうにも行えないというのが現状だった。小谷田氏は、「この開発組織の現状を、プロセス改善が可能なものに変えていかなければならない」と述べる。
ただし、機能安全トレーニングを行うにも、欧州のトレーナーによる英語講義を通訳を介して聞く現状では、通訳のスキル不足やトレーニングコンテンツが英語であること、高コストであるためトレーニングが開発現場まで行き届かないことなど、問題は山積している。何より、機能安全のトレーニングコースに、プロセス改善という項目は存在しないのだ。これは、「欧州では、SPICE活動やプロセス改善活動が根付いているためだ。日本では、プロセス改善もトレーニングに含める必要がある」(同氏)という。
小谷田氏は、「日本での機能安全トレーニングは、日本の自動車業界で使われている専門用語を使用したトレーニングコンテンツにより、日本人トレーナーが講義を行い、機能安全の基礎となるSPICE活動に関する内容も盛り込むべきだ。これらがなければ、日本の自動車業界における機能安全文化を構築できないだろう」と主張する。同氏がJARIに転籍し、ISO 26262に関する活動に従事しているのは、日本の自動車業界に合った機能安全文化を構築したいがためだ。
この他にも小谷田氏は、開発現場から受けた質問を紹介した。「なぜ、ISO 26262をやらなきゃいけないのか」、「(開発したモノの)品質は問題ないでしょ! なのになぜ?」、「客が対応しろといっているから(やらなきゃいけない)」……。同氏は、「これは安全文化が劣化する際の典型的パターンだ。こうした『過信』は『慢心』になり、そして『無視』、『危険』、『崩壊』につながっていく。これは、チェルノブイリ原発事故についてまとめた報告書「INSAG-13」からの引用だが、日本の自動車業界はそんな結果に陥らないように注意すべきだ」と指摘した。
とはいえ、ISO 26262に準拠した体制を構築しようとすると必ずリスクが発生するのも事実だ。ISO 26262に準拠した開発プロセスでは、証明(エビデンス)やトレーサビリティを確保するために、開発規模や開発工数が確実に増加する。開発コストも増大するので、現場は品質を落としてコストを維持しようとする。ISO 26262への準拠は、経営リスクに直結するのである。だからと言って、ISO 26262に対応しなければ、電子化の進展により複雑性を増す自動車の安全性を確保できず、訴訟をはじめとする別のリスクが待っているのだ。
ならばどうすればよいのか。小谷田氏は、ISO 26262への対応で発生するリスクを減らすためには、SPICE活動=プロセス改善活動が組織に根付いていなければならないと考えている。「Automotive SPICEやCMMIといったソフトウェア開発プロセスをツールとして活用し、プロセス改善活動を推進できるような環境を作れば、ISO 26262にも確実に対応できるだろう」(同氏)という。
最後に小谷田氏は、「ISO 26262は『黒船』かもしれないが、チャンスでもある。機能安全をスキルアップの道具にしてほしい。そして、これまで個人にとどまっていた日本の自動車業界の強みを組織の強みに転換していただきたい。開発現場あっての機能安全であり、現場が納得してプロセス改善活動を認め、問題点があればきちんと話し合う。こういったことが大事であり、できないなら機能安全対応などやらない方がましだ。機能安全を開発現場の文化として醸成してもらいたい」と呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.