プロセス改善あっての機能安全、ISO 26262はツールにすぎないことを理解すべしMONOistオートモーティブセミナーリポート(2/3 ページ)

» 2012年09月14日 11時15分 公開
[佐々木千之/朴尚洙,MONOist]

機能安全が開く新時代

 東京海洋大学教授の佐藤氏はIEC(国際電気標準会議)国際委員会の機能安全規格策定エキスパートとして、産業用機器向けのIEC 61508、計装システム向けのIEC 61511といった機能安全規格の発行に携わり、現在はIEC 61508/IEC 61511機能安全国内委員会の主査を務めている。同氏はそれらの経験から、機能安全規格が策定された背景や必要性、目的、基本的な考え方、ISO 26262の特徴と今後の展開について講演した。

 佐藤氏はまず、機能安全規格策定の背景や経緯に言及した。同氏によれば、「当初、プログラマブルな電子機器システムは、安全に関わらない機能を遂行するために使用されていた。例えば、自動車では、燃費向上や環境性能向上のために用いられていた。しかし、20世紀終盤になって、コンピュータの処理能力の向上などにより安全機能にも利用されるようになった。自動車でいえば、ABS(アンチロック・ブレーキ・システム)や衝突防止機能などがこれに当たる。ところが、世界的に見てもそういったプログラマブルな電子機器システムの安全機能に対する規制はなかった」という。

東京海洋大学の佐藤吉信氏 東京海洋大学の佐藤吉信氏

 そこで1990年代初頭から、電子機器システムを“安全に作って安全に使用するための規格”の策定が話し合われた。1993年からは日本も話し合いに参加し、1998〜2000年にかけてIEC 61508(JIS C 0508)が発行された。その後、2010年4月にIEC 61508の第2版が発行され、そして2011年11月15日には自動車の電子制御に関する機能安全規格であるISO 26262が発行したのである。

 佐藤氏は、日本や世界における機能安全規格の現状について、「日本での安全の考え方と少し合わないところもあり、機能安全の普及は進んでいないのが現状。ただ世界的に見れば、プロセス産業や産業機械、家電、原子力、鉄道などの分野で規格が策定され取り入れられており、ロボットやスマートグリッド分野も検討中になっている」と述べる。

 同氏は、機能安全の位置付けを確認するために、安全を確保するための方法を3つ挙げた。まず1つ目の『固有安全(本質安全)』は、危険な部分や方式を除去したり安全な方式で代替したりする方法(例:交差点の立体交差化)である。2つ目になるのが『修正安全』で、異常の発生を抑制する方法(例:設計・運用における安全余裕の確保、品質・信頼性の管理、インタフェース改善によるヒューマンエラー防止など)だ。そして3つ目に来るのが『機能安全』である。機能安全では、異常の発生を前提として、全体システムを安全な状態に維持、または安全な状態に移行できるようにする(例:ABS、エアーバッグ、衝突防止自動停止装置)。佐藤氏は、「ISO 26262で扱う機能安全は、ヒューマンファクターが絡んでこない電子制御の部分についてのみ取り扱っている」と解説する。

 そして“20世紀に得られた安全確保に関わる最重要知見”として、「安全性は、製品の計画、設計・開発、製造、設置、運用、保全・部分改修、使用終了まで、製品ライフサイクルの全フェーズに依存する」(同氏)ことを示した。佐藤氏は、「複雑なソフトウェアを組み込んでいるようなものは、使用年月が長くなるうちにブラックボックス化し、後からその中身を調べることが至難となる。このため、初期開発段階から系統立てて安全要求事項を織り込んで行かなければ安全は確保できない。そして、全製品ライフサイクルで安全確保するとなると、多くの人が関わることになるため、定性的な安全評価基準では限界がある。そこで、安全性能の客観性を確保するために数値化が必要になったのだ」と結論付ける。IEC 61508のSIL(Safety Integrity Level)や、ISO 26262のASIL(Automotive Safety Integrity Level)といった安全指標は、そういった背景によって決められたものだ。

 ISO 26262では、さまざま要求事項/フェーズにおいて、次のフェーズや他のフェーズとどう関連付けていくかが重要になる。しかし、「こういった関連付けは、日本の自動車産業で一般的に用いられている開発手法と異なる」と佐藤氏は指摘した。「日本の自動車産業は、垂直統合すり合わせ型であり、文書やトレーサビリティを残すという文化がない。うまく話し合って、以心伝心で作り上げてしまうのだ」(同氏)。

ISO 26262の安全ライフサイクル ISO 26262の安全ライフサイクル(クリックで拡大) 出典:東京海洋大学・佐藤氏の講演資料

 最後に佐藤氏は、「今後の自動車産業において、電子制御技術の発展に従ってISO 26262は順次改正され進化していくだろう。ISO 26262への対応を適格かつ真摯(しんし)に取り組めば、機能安全の達成が大いに期待できる」と語った。

Copyright © ITmedia, Inc. All Rights Reserved.