このブログでは、ISO 26262の機能安全規格と、自動車メーカーがその規格を満たす際に直面する課題について説明します。
長年にわたり、自動車の安全性は、OEMメーカーにとって最重要課題となってきました。自動運転車、先進運転支援システム(ADAS)に加え、歩行者や乗員を守るために設計されたAI主導のイノベーションは、近年急速に進化しています。
一方で、こうしたイノベーションは自動車メーカーにいくつかの課題ももたらしました。たとえば、Forbesによると、自動車のソフトウェア関連のリコール数は、2023年には13%から42%に急増しました。また、無線によるアップデートに対応しているソフトウェアは、わずか(13%)です。この傾向は、2025年以降も続くと予測されています。
リコールはコストがかかりますが、OEMメーカーがブランドインテグリティを守り、さらに重要なことに、システムまたは関連するシステムの潜在的な障害の影響を受ける人を守るために必要です。しかし、その他の自動車安全システムもますます複雑化する中で、安全検証に対する従来の設計アプローチは、自動車メーカーにとって依然として深刻な課題です。
このブログでは、システムズエンジニアリングの重要な側面である、安全分析に焦点を当てています。安全分析とシステムズエンジニアリングの関係に焦点を当てたブログシリーズの1つ目です。自動車のイノベーションを推進するISO 26262機能安全規格と自動車機能安全規格の概要と、それらに関連したシステムズエンジニアリングの課題について説明します。
シリーズの2回目のブログでは、モデルベースの安全分析(MBSA)と、システムの安全分析ソフトウェアであるAnsys medini analyzeがこのプロセスにどのように適合するかについて説明します。
機能安全: 基礎
機能安全は、安全性の重要な要素のひとつです。電気/電子(E/E)アーキテクチャシステムの安全性に焦点を当て、電子システムおよびソフトウェアが正常に動作しないことにより生じるリスクを低減することを目的としています。そのため、ガス、火災、電気などによる危険は適用されませんが、サイバーセキュリティや物理的安全性などの安全性に対して適用されます。
当然ながら、業界ごとに異なる規格が使用されています。自動車、鉄道、発電所、医療機器、航空宇宙などの各業界には、それぞれ独自の機能安全規格があります。特定の規格を持たない業界では、IEC 61508が一般的なE/Eシステムとして使用されます。
さまざまな業界の機能安全。
ISO 26262は、自動車業界における機能安全の規格です。規格の第1版と第2版はそれぞれ2011年と2018年に発行されました。現在のISO 26262には、乗用車だけではなく、バスやトラック、オートバイ、さらには半導体チップまで含まれています。
ISO 26262の変遷。
ISO 26262:自動車向けシステムズエンジニアリングアプローチ
ISO 26262は、自動車に関連した規格であるため、従来のV字モデル開発プロセスとは対照的に、システム開発のライフサイクル全体を、車両システムの安全性を確保するための追加アクティビティとして記述し、いつどの安全活動に責任を持つかを示します。
以下に示すV字モデルは、初期設計から実際の構築、その後のシステムテストまで、自動車開発中の一連のエンジニアリングプロセスを示しています。図のV字形状は、開発フェーズとテストフェーズが並行して実行されることを表しています。
ISO 26262のV字モデル自動車開発プロセス
図内の各セクションは、ISO 26262安全開発ライフサイクルのさまざまな側面を表す。青色は従来のV字モデル開発プロセスを表し、赤色には安全のために追加されたアクティビティが示されている。白は計画と追跡に使用され、緑はプロセスのサポート(変更管理、バージョン管理など)に使用される。
ライフサイクルは、OEMメーカーによって開始されるV字モデルの左上から始まり、サプライヤーの管轄である中央部分を通過し、右上へと進みます。各相はV字型に配置され、初期相(左側)で定義された要件は、プロセスの後半(右側)で検証されます。
ISO 26262の自動車安全水準(ASIL: Automotive Safety Integrity Levels)
ISO 26262のもう1つの重要な概念は、システムの健全性の指標として機能するASILです。ASILは、リスクのレベルに応じて、概念段階で4つのレベルで表されます。ASIL Dは最も厳格で、高い安全性が要求され、ASIL Aは最も寛大で、QM(品質管理)はASIL Aの範囲外で機能します。
ISO 26262の4つのASILレベルは、要件を決定し、リスクと損傷を軽減し、概念化から設計までのプロセスライフサイクル全体にわたって機能安全を確保する。
ASILのレベルが決定されたら、安全システム、要素、および要件は、自動車開発プロセス全体を通じて割り当てられたASILに準拠する必要があります。
システムズエンジニアリングと自動車の安全性における課題
システムズエンジニアリングの本質はそれほど変化していませんが、システムの規模が飛躍的に拡大したため、全体の複雑さが増しています。そのため、従来の設計アプローチでは管理できません。さらに、こうしたシステムの拡張と進化は、開発にも影響を及ぼしています。システムの急速な拡大と進化は、自動運転車の世界的な販売予測からも見ることができます。
具体的には、2019年から2030年にかけて、レベル3以上の自動運転機能を搭載した車両数は約5,800万台(140万台から増加)に達すると予想されています。そして、急速な成長に伴い、この急激な増加を支えるすべてのシステムおよびSoS(システムオブシステムズ)の運用健全性の検証および妥当性確認が求められます。
自動運転のレベル
自動車の安全性に対する従来のシステムズエンジニアリングアプローチで、エンジニアが直面する具体的な問題を以下に示します。
- 情報の重複。同じ情報が、異なるドキュメントに記載されています。
- 情報の散乱。関連する情報が、さまざまなドキュメントに散らばっています。
- 一貫性の欠如。記載された情報の矛盾が生じています。
- トレーサビリティの欠如。メタデータは利用できません。たとえば、変更が追加された理由についての理解が欠如している場合や、変更を依頼した人、実施時期、変更のさらなる分析が行われたかどうかが不明な場合などが挙げられます。
- 一部の従業員に大きく依存。チーム内で即座に情報が共有/伝達されない場合、進捗が遅くなり、チーム間に知識のギャップが生じます。
機能安全は、さまざまな製造業界において重要ですが、自動車業界においては特に重要なトピックです。これは、車両システムの複雑さと、走行中にシステム障害が発生した場合の影響の重大性によるものです。不確実な点も多くありますが、1つ確実なことがあります。業界規制や国際標準を満たすという点で、従来のシステムズエンジニアリングアプローチは、もはや十分ではありません。
シリーズの2回目のブログでは、自動車の安全分析を実行するための優れたシステムズエンジニアリングアプローチの一環として、Ansys medini analyzeソフトウェアを使用する方法を紹介します。
システムの安全分析ソフトウェアであるAnsys medini analyzeが自動車の安全性にどのように役立つかをご覧ください。
