「システムズエンジニアリング」の正しい理解がISO26262対応に役立つ:慶應大学 SDM研究科 准教授 白坂成功氏
慶應義塾大学大学院 システムデザイン・マネジメント(SDM)研究科 准教授の白坂成功氏は、宇宙機「こうのとり」のシステム設計に携わる中で学んだ「システムズエンジニアリング」を広めるべく大学で教べんをとっている。白坂氏に、宇宙機の安全設計や、ISO 26262などの機能安全規格のベースになっているシステムズエンジニアリングについて聞いた。
車載システムの開発で注目されている自動車向け機能安全規格のISO 26262。国内の自動車メーカーやサプライヤは、ISO 26262に準拠した開発プロセスを必須のものと考え、急ピッチで構築を進めている。
自動車業界が、今現在取り組んでいる機能安全について、その中心となる説明責任の示し方について10年以上前から対応を進めてきたのが宇宙機分野だ。中でも、国際宇宙ステーション(ISS)への輸送業務を担う補給機「こうのとり」は、宇宙空間を移動する宇宙機(Visiting Vehicle)として初めて、宇宙ステーションに求められるのと同じ安全要求性能を満足し、米国航空宇宙局(NASA)の審査をクリアした事例として知られている。
こうのとりは既に4号機まで製作されているが、それらの基本となる1号機の開発を主導したのが慶應義塾大学大学院 システムデザイン・マネジメント(SDM)研究科 准教授の白坂成功氏だ。当時、三菱電機でこうのとりのシステム設計に携わっていた白坂氏は、機能安全に対する考え方のベースとなっている「システムズエンジニアリング」に感銘を受けた。そして現在は、そのシステムエンジニアリングを広めるために大学で教べんをとっている。
同氏に、こうのとりのような宇宙機の安全設計や、ISO 26262などの機能安全規格のベースになっているシステムズエンジニアリングについて聞いた。
MONOist こうのとりでは、どのような安全設計を行ったのでしょうか。
白坂氏 補給機であるこうのとりは、宇宙ステーションにランデブーする必要があるため、宇宙ステーションと同じレベルの高い安全性が求められました。宇宙ステーションにランデブーする宇宙機としては、スペースシャトルやソユーズ宇宙船が知られていますが、これらはそういった安全性が求められる以前に設計されたものです。このため、こうのとりは、NASAの審査を初めてクリアした宇宙機になったのです。
こうのとりでは、2種類の故障や操作ミスが発生しても安全を確保できるように3重系のシステムを組みました。ただし、同時2故障を考慮して、多重系のシステムで、各システムが正しく動作しているかを検知できるようにするには、単純計算で5重系のシステムが必要になります。しかし、重量や大きさに制限のある宇宙機では、5重系のシステムを組むわけにはいきません。そこで、3重系のシステムでも対応できるようにしました。
MONOist 宇宙機のシステム設計を行っていた経歴から、自動車の機能安全についても相談を受けることが多いと聞いています。
白坂氏 宇宙機を開発する際にはFDIR(Fault Detection、Isolation and Recovery)という概念が一般的に用いられます。これは、故障や操作ミスを自動で見つけ出して隔離し、利用可能なもので対処するという考え方です。宇宙空間では故障が発生しても直せないので、こういう考え方が必要になります。
私が大学に移ってから、このFDIRの考え方を自動車の機能安全にも適用したいという相談を受けるようになってきました。宇宙機の場合、宇宙飛行士もオペレーターもプロフェッショナルが操作しますが、自動車は免許を所持しているとはいえプロフェッショナルとはいえないドライバーが操作することになります。このため、必ずしもドライバーに判断させることが適切ではない故障について、FDIRを適用したいと聞いています。
MONOist こうのとりのシステム設計に携わる中で学んだ「システムズエンジニアリング」について教えてください。
白坂氏 システムズエンジニアリングを日本語にするとシステム工学になります。日本国内でシステム工学というと、エンジニアリングマネジメント(Engineering Management)の学問としてしか認知されていません。例えば、オペレーションズリサーチなどがその代表です。しかし、海外では1980年代以降、システムズエンジニアリングプロセス(Systems Engineering Process)の学問になっています。こうのとりのシステム設計を行っている間、ドイツに長期で出張した際に触れたのがこのシステムズエンジニアリングプロセスの学問としてのシステムズエンジニアリングでした。
日本でシステムエンジニアと言えば、情報系システムの開発を担当する人のことを指します。しかし海外では、ハードウェアとソフトウェアの区別なく「システム」を開発する人のことであり、宇宙機や航空機、自動車などの設計開発に携わる技術者は全てシステムエンジニアです。そして、これらのシステムエンジニアが、実際にシステムを開発するための学問をシステムズエンジニアリングと呼んでいるのです。
MONOist 日本では、システムズエンジニアリングに対してそういった認知が進んでいるイメージはありません。
白坂氏 システムズエンジニアリングを推進するINCOSE(International Council on Systems Engineering)という団体があります。2000年ごろだと、INCOSEの活動に参加していたのは私1人くらいでしたが、現在では三菱電機、宇宙航空研究開発機構(JAXA)、三菱航空機が企業会員、慶應大学がアカデミック会員として参加するなど、認知は高まりつつあります。
最近になってシステムズエンジニアリングに興味を持ち始めているのが自動車業界です。現時点で、日本の自動車業界がうまく対応できているとは言い難いISO 26262は、システムズエンジニアリングの考え方を基に策定されました。ISO 26262を適切に運用する勘所をつかむためにも、システムズエンジニアリングを知る技術者を育成したいと考えているのでしょう。
また2013年末には、INCOSE内に自動車のワーキンググループが発足しました。そういった流れもあって、2014年7月に開催されるINCOSEの国際会議には複数の日本の自動車メーカーが出席する意向を示しています。
MONOist 日本の自動車業界はISO 26262対応に悩まされています。有効な対処法はないものでしょうか。
白坂氏 ISO 26262のような標準規格は、日本が得意とする品質を担保してくれるものではありません。にもかかわらず、日本の自動車業界はISO 26262に真面目に取り組み過ぎてしまっています。それでは、ISO 26262をうまく使いこなせているとは言えないでしょう。
特にISO 26262で問われる説明責任については、サプライチェーンの頂点に位置する自動車メーカーやメガサプライヤがトップダウンで行うのが効率的です。こうのとりのシステム設計でも、NASAの審査をクリアできるように、トップダウンで全ての要件を整理し直しました。
サプライヤ側からのボトムアップでは、全ての情報を出さないとISO 26262の説明責任は果たせないので大きな負荷が掛かってしまいます。何を作れば良いかを示せば、高い品質でそれを実現できるサプライヤにそのようなことをさせるのは効率がよくありません。ISO 26262のベースとなるシステムズエンジニアリングへの理解が進めば、そういった問題は起きにくくなるはずです。
なお、2014年6月17日にMONOistが主催するセミナー「もう待っていられない! ISO26262対応をいかに進めるべきか」では、白坂氏が「日本のモノづくりと機能安全〜その先にある”日本流”目指して〜」と題した特別講演を行う。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「はやぶさ2」は重大トラブルを回避する安心設計 〜化学推進系の信頼性対策【前編】〜
姿勢制御に使われるリアクションホイールの故障を挽回する活躍を見せた一方で、燃料漏れを起こし「通信途絶」という大ピンチを招いた「はやぶさ」初号機の化学推進系。「はやぶさ2」ではどのような改善が図られているのだろうか。 - 「はやぶさ」「あかつき」の苦難を糧に 〜化学推進系の信頼性対策【後編】〜
「はやぶさ2」の化学推進系は、どのように改善が図られているのか。大きなトラブルに見舞われた「はやぶさ」初号機の化学推進系について取り上げた【前編】に続き、今回の【後編】では、はやぶさ2で施された対策について具体的に見ていくことにしよう。