「機能安全とISO26262」基礎の基礎(その1)
皆さま、こんにちは。
IDAJの小川です。
弊社は、クリティカルなシステム・ソフトウェアの統合開発環境「Ansys SCADE」や、安全性・信頼性エンジニアリングのための統合ソリューション「Ansys medini analyze」の販売、「安全認証取得支援」というサービスをコンサルティングで承ることがあるので、“機能安全とISO26262”についてご質問をいただくことがあります。
そこで、今回は、機能安全とISO26262について簡単にご紹介したいと思います。
私が社内のメンバー向けに解説するときの内容をもとにこの記事を書いていますので、若干、「Ansys SCADE」や「Ansys medini analyze」が対応する部分にフォーカスしてしまっています。
読み進めていただく前に、ご承知おきいただければ幸いです。
「機能安全=Functional Safety」とは?
「機能安全」とは、あるシステムに機能を追加することによって、許容可能なレベルの安全を確保することです。
ある機能が故障する、つまり機能喪失することによって発生するハザード(危害の潜在的な源)を防ぐことに主眼が置かれています。対義語は、「本質安全」(=システムが人間や環境に危害を及ぼす原因をなくすこと)です。
例えば、線路と道路が交差する状況を思い浮かべてみてください。
線路が高架になりその下を道路が通って線路と道路が立体的に交差している場合は「本質安全」、道路と交差する線路に踏切が設置された場合は、「機能安全」となります。
「安全性」と「信頼性」は別物
言葉として、「安全性」と「信頼性」と聞くと似たイメージを持ちますが、機能安全の世界では全く別の概念です。
「安全性」とは、システムが規定された条件の下で、人の生命、健康、財産またはその環境を危険にさらす状態に移行しない期待度合い(規格番号:JIS X 0134)を指します。
リスクがない、またはリスクが許容可能な状態を安全と呼びます。
Project Managementでは、必ず、”Risk Control”について説明されていますが、この場合のControlは、想定されたリスクに照合することを意味します。
英単語のControlには制御以外の意味もあり、この場合は、空港の”Passport Control” と同じ用法です。
つまり、想定したリスクが先にあって、そのリスクが発生しない、または発生しても問題無い状態を安全性が高い状態であると言います。
一方、「信頼性」とは、機能単位が、要求された機能を与えられた条件の下で、与えられた期間実行する能力(規格番号:JIS X 0014)を指します。
機能安全規格は安全性に関する規格です。
通常、機能安全認証を得る(=規格に準拠していることの証明)際には、多くの証拠ドキュメントが求められるため、結果的にその信頼性も向上すると考えることができます。
機能安全規格とは?
機能安全規格とは、システムを開発する際に有効だと考えられる管理手法や開発手法を定めたもの(プロセスで安全を担保するという考え方)です。
通常、ライフサイクル全体の企画→設計・開発(含むテスト)→ 製造 → 廃棄 に渡って定められています。
主な機能安全規格は以下の通りです。
- IEC61508:一般産業機器の電気・電子・プログラマブル電子(Electrical・Electronic・Programmable Electronic)(以下、E/E/PE)を対象とした規格
- ISO26262:自動車(IEC61508が元になっています)
- EN50128:鉄道(同上)
- DO-178C:民間航空機のソフトウェア(IEC61508はDO-178Bを元に策定されています)
これらは、E/E/PEシステムの故障によって生じるハザードを防ぐことが主な目的です。
自動運転において、カメラに太陽光が入り、正常に人を検知できないなどというように、センサーは故障していないが正常に動作しない場合は、機能安全のスコープ外となります。
これに対しては、ISO21488(策定中:SOTIF(Safety Of The Intended Functionality)で対応する予定です。
さらに、Cybersecurityもスコープ外で、同様に ISO21434(策定中:Road Vehicles — Cybersecurity engineering) で対応する予定です。
ここで機能安全でよく登場する用語の定義を、Ansys medini analyzeのISO26262リファレンスから引用してご紹介します。
- 故障(Failure):要素またはアイテムの、要求された通りに機能を実行する能力の停止
・停止とは、要素またはアイテムの、要求された通りに機能を実行する能力の減少あるいは喪失のことです。
・要求された通りに機能を実行すること (使用を重視した強い定義)と 指定された通りに機能を実行することには違いがあります。正しくない指定の結果、故障が引き起こされることがあります。
- 故障モード(Failure Mode):要素またはアイテムの故障の起き方
- 障害(Fault):要素やアイテムの故障を引き起こし得る異常な状態
- 危害(Harm):人々の健康への物理的な傷害または損害
- ハザード(Hazard):危害の潜在的な源
- 危険事象(Hazardous Event):ハザードが生じる事象、またはハザードに通じる事象
- 誤動作(Malfunctioning Behavior):アイテムの故障、またはこのアイテムのために意図された設計に関する意図しない動作
- 要求/要件(Requirement) : 厳密には要求と要件は別の意味

機能安全の用語と分析手法の関係

ISO26262のライフサイクルと分析手法
■Ansys SCADE等の新規・追加のご契約やお見積もりはこちらまで
株式会社 IDAJ 営業部
E-mail:info@idaj.co.jp
TEL: 045-683-1990