機能安全は技術者であれば必ず具備すべき普通の技術である:MONOistオートモーティブセミナーリポート(2/2 ページ)
MONOistオートモーティブフォーラム主催のセミナー「もう待っていられない!ISO26262対応をいかに進めるべきか」の基調講演に、日本自動車研究所(JARI)でITS研究部次長を務める小谷田一詞氏が登壇した。本稿では小谷田氏の講演を中心に、同セミナーのリポートをお送りする。
安全要求や安全コンセプトを正しく理解する
基調講演に続いて、DNVビジネス・アシュアランス・ジャパンの機能安全部に所属する原秀幸氏と山下修平氏が「安全コンセプト、アーキテクチャ設計の理解とその最適表記法の提案」というテーマで講演した。
まず原氏が、「安全要求」と「安全コンセプト」の項目について述べた。まず、安全要求は5つあるという。1つ目が車両視点の安全目標、2つ目がシステム視点の機能レベル安全要求(FSR:Functional Safety Requirement)、3つ目はアイテム視点の技術レベル安全要求(TSR:Technical Safety Requirement)、そして、今回の講演では説明を割愛したが、4つ目のハードウェアアーキテクチャに対する安全要求(HSR)、および5つ目のソフトウェアアーキテクチャ(SSR)に対する安全要求に分類されている。
これらの安全要求に対して、ISO 26262ではASILが割り付けられ、実装設計時にもそのASILは引き継がれることになる。講演では、ASIL割り付けについて幾つかの事例を紹介した。例えば、ASILが異なる2つの安全要求に対して、それらを実装する際にはどちらのASILを適用すればいいのだろうか。その基準となるのが「セレクトHigh」と「共存基準」である。これらの基準では、原則としてより高いレベルのASILで対応することになるが、例外もある。それは「ASIL減免」と呼ばれているもので、設計時に1つの安全要求を冗長性を持った2つのエレメントに分解し、実装時にはこれら2つのエレメントを独立した関係で配置することでASILのレベルが減らせるのだ。例えばASIL Dを、ASIL AとASIL Cのエレメントに分割しできるという。
引き続き、山下氏が「安全コンセプトの課題」と「アプローチの刷新」という項目で、機能安全活動の方法論について講演した。山下氏はまず、安全コンセプトを作成するに当たっての現状分析を行い、活動時の問題点などを列挙した。例えば、「設計者とレビュアー間、あるいは発注者と受注者間の意思疎通が十分ではない」といった問題である。これに対して、「全ての関係者が安全要求仕様を正しく理解して納得し、共有できるようにするためには、表記法の刷新と統一が必要である」と述べた。
表記法の刷新と統一に向けた、新たなアプローチ方法についても説明した。山下氏はその事例として、分かりやすいポンチ絵などを用いてエレメントと要求を明確に分離することなどを挙げた。さらに、今後の展開として山下氏は、「世界で通用する、ISO 26262規格に準拠したメタモデルとツールによるサポートを提案していきたい」と話した。
山下氏が提案する新たなアプローチによるISO 26262の表記法の一例。サブシステム内(Sub-sys01)で、センサー(SENS01)やECU(ECU01)、ECU内のマイコン(mC01)などのエレメントの入れ子構造を直感的に表現しながら、安全要求間のインタラクションやASILレベルなども明示できているという(クリックで拡大) 出典:DNVビジネス・アシュアランス・ジャパン
故障確率と故障率を使い分ける
続いて登壇したDNVビジネス・アシュアランス・ジャパンの機能安全部でプリンシパルシニアエキスパートを務める川原卓也氏は、「ISO 26262における定量的メトリックの特質とその対策」をテーマに、技術者が誤解しやすい疑問を挙げて、注意点などを解説した。
まず、「ISO 26262は難解な確率論を排除したか?」という疑問に対しては、安全機構の定量的評価には、確率論に基づいた信頼性工学が必要になるという。「安全機構が故障している状態(故障確率)と気付かずに主機能が故障する(故障率)と事故が現実のものとなり得るため、『故障確率』と『故障率』は使い分けないと失敗する」(川原氏)という。
また、「エアバックの不展開にASILを適用できるか?」という疑問については、「ISO 26262が連続モードに対応するASILのみが定義されている点が問題になる」(同氏)と指摘した。つまり、一般産業機器向けの機能安全規格であるIEC61508の安全要求レベルとして用いられるSILの場合、作動要求モードを安全機構の不作動やプリクラッシュセーフティの不作動、エアバッグの不展開といった「低頻度作動要求モード」と、主機能の誤動作、アクティブセーフティの誤動作、エアバッグの誤展開といった「高頻度作動要求または連続モード」の2つに分けて説明することができる。ところが、ISO 26262のASILでは、連続モード運用に関しては定義されているものの、低頻度作動要求モード運用に関しては定義されていない。
車載情報機器にも求められるISO 26262
車載情報機器関連のISO 26262対応について講演したのは、QNXソフトウェアシステムズ(以下、QNX)で自動車部門事業開発マネージャを務める中鉢善樹氏である。
QNXは、車載情報機器向けにリアルタイムOSの「QNX Neutrino」やソフトウェア開発プラットフォーム「QNX CAR Platform for Infotainment」などを提供している。中鉢氏は、「車載情報機器市場においても、ISO 26262に対応可能なソリューションを求める声が強まっており、当社も2014年7〜9月期にASIL Dを満足し得るISO 26262対応プラットフォームを市場投入するための準備を進めている」と語る。
一般的なカーナビゲーションシステム(カーナビ)などに用いられている「Windows Automotive」やLinuxの場合、ドライバなどに不具合を起こした際の対策は“再起動”しかなかった。「QNXのマイクロカーネルアーキテクチャの場合、そういった不具合による障害の閉じ込めと動的な修復が可能なので再起動する必要はない」(同氏)という。
車載情報機器の中でも、カーナビ以上にISO 26262への要求が強いのが、メーター表示に大型ディスプレイなどを用いるデジタルクラスターだ。中鉢氏は、「デジタルクラスターの表示の中には、安全が求められるものとそうでないものがある。例えばその安全が求められるもののASILがBだとして、デジタルクラスター全体でASIL Bを満足しようとすると途方もない開発コストが掛かってしまう。安全系と非安全系をしっかり分離できれば、デジタルクラスタのうちASIL Bが求められる開発範囲を限定できるようになる。当社の製品を使えばそれが可能だ」と強調した。
ISO26262実践トレーニング:安全コンセプトの設計とその記述法
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「車載ソフト開発の特性を考慮」、自工会がMISRA C ADC策定の背景を説明
MONOistオートモーティブフォーラム主催のセミナー「MISRA C ADC徹底解説――車載ソフトのISO26262対応に向けた切り札とは」の基調講演に、日本自動車工業会でソフトウェア分科会長を務めるトヨタ自動車 技範の窪田和彦氏が登壇した。
トヨタ自動車も使っている、JasParのISO26262活動成果とは?
MONOistオートモーティブフォーラム主催のセミナー「ISO26262対応から始める、日本流・車載開発プロセス改善とは」の基調講演に、車載ソフトウェアの標準化団体JasParの運営委員長を務めるトヨタ自動車 制御システム基盤開発部長の畔柳滋氏が登壇した。本稿では、畔柳氏の講演を中心に、同セミナーのリポートをお送りする。
プロセス改善あっての機能安全、ISO 26262はツールにすぎないことを理解すべし
MONOistオートモーティブフォーラム主催のセミナー「まだ間に合う! ISO26262に準拠せよ 〜プロセス改善から始める機能安全対応〜」の基調講演に、ISO 26262や機能安全規格について詳しい知見を有する、日本自動車研究所の小谷田一詞氏と、東京海洋大学大学院教授の佐藤吉信氏が登壇した。本稿では、小谷田氏と佐藤氏の講演を中心に、同セミナーのリポートをお送りする。
「ISO26262対応の開発体制を2014年度にグローバル拡大」、ジェイテクトが講演
自動車向け機能安全規格ISO 26262に対応するためには何が必要なのか。MONOistオートモーティブフォーラム主催のセミナーで講演した、電動パワステ大手のジェイテクトでISO 26262対応プロジェクトを主導する益啓純氏は、自社の取り組み事例を紹介しながら、プロセスの改善とトレーサビリティの確保の重要性を説いた。さらに、2011年7月にISO 26262対応を終えた開発体制を進化させて、2014年度を目標にグローバルの開発拠点に拡大する方針も明らかにした。