ISO 26262とは

ISO 26262「Road vehicles – Functional safety」は、国際標準化機構（ISO: International Standards Organization）によって作成された国際安全規格であり、自動車の電気／電子（E/E）システムの安全な設計および開発に関するガイドラインです。2011年に初版が発行され、2018年に改訂されました。

ISO 26262は、法的な規制ではなく、自動車のOEMメーカーとそのサプライヤーが自動車のE/Eシステムを開発する際に基準とする、最先端かつ業界固有の安全関連ガイドラインです。

この規格によって、自動車業界の主要なステークホルダーと消費者間の信頼が確立されています。ISO 26262は、国際電気標準会議（IEC: International Electrotechnical Commission）によって開発されたIEC 61508規格に基づいています。

自動車向けエレクトロニクスはこれまで大きな進化を遂げてきました。1950年代の最初の自動車用トランジスタラジオから、1960年代の電子点火システム、1970年代のエンジン制御ユニット、1980年代のアンチロックブレーキシステム、1990年代のインフォテイメントシステム、そして2000年代の先進運転支援システムまで、さまざまなシステムが開発されてきました。

車両コスト全体に占める自動車向けエレクトロニクスのコストの割合は、1970年の5%から2010年には35%まで上昇し、2030年には50%に達すると予想されています。現在、最新型車両に搭載されている半導体チップは3,000個にものぼります。こうした半導体の使用数の増加は、機械システムからメカトロニクスシステムへのシステム機能の移行を反映しており、結果として、性能の向上とコストの削減が実現されてきました。

たとえば、エンジン制御にメカトロニクスを採用し、エンジン性能を最適化するためのオンザフライ計算を実行できるようになったことで、自動車メーカーはデジタルテクノロジーの可能性と重要性を認識するようになりました。

実際、デジタルセンサーを使用することで、スロットル位置、クランクシャフト位置、空気の質量流量、温度、排気内の酸素濃度など、さまざまなパラメータを監視して、車両の燃料消費を大幅に改善できます。

このように、機械システムでは達成できない車両機能の大幅な改善を、E/Eシステムでは達成することが可能です。最新型車両のメカトロニクスシステムでは、次のようなさまざまな機能が強化されています。

• パワーステアリング
• 先進運転支援システム（ADAS）
• アンチロックブレーキシステム（ABS） 
• オートマチックトランスミッション（地形に応じたギアシフトなどの高度な機能を実現するコントローラチップ、速度センサー、半導体パワースイッチを内蔵）

国際標準化機構（ISO）は、E/Eシステムのハザードリスクを最小限に抑えるために、自動車E/Eシステムの機能安全規格であるIEC 61508に基づいて一連の包括的な機能安全目標および要件を策定し、自動車業界に固有の要件を満たすように改定しました。

機能安全要件

ISO 26262の安全要件は、開発、生産、運用、サービス、および廃棄に関連する活動を含む車両のライフサイクル全体をカバーします。

2011年に発行されたISO 26262の初版（ISO 26262:2011）では、最大総重量3,500kgの量産乗用車に搭載されたE/Eシステムの機能安全に対応しています。2018年に改訂版（ISO 26262:2018）が発行され、モペッド（原動機付き自転車）を除くすべての自動車が対象となりました。

IEC 61508と同様に、ISO 26262はリスクベースの規格であり、E/Eシステムの故障に起因するハザードの定性的な評価を示します。

ISO 26262の目的は以下のとおりです。

• 機能安全: ISO 26262では、要件、設計、実装、統合、検証、妥当性確認、構成など、開発プロセス全体に適用される機能安全項目が示されています。故障が発生した状況を検出し、どのように対応するかを定義することを目的としています。これにより、自動車向けエレクトロニクスやソフトウェアの故障が原因となる怪我から歩行者を守ります。
• 自動車の安全ライフサイクル: ISO 26262では、管理、開発、生産、運用、サービス、廃棄を含む、自動車安全ライフサイクル全体をカバーする包括的なフレームワークが示されています。すべてのフェーズにおける活動がサポートされ、車両ライフサイクル全体にわたって安全が維持されます。
• リスク管理: ISO 26262は、車両のE/Eシステムの設計と開発に関連するリスクを最小限に抑え、ハザードや生命に関わるレベルの故障を防止します。システムが可能な限り安全であることを保証し、許容可能なレベルの残存リスクを達成することを目指しています。許容可能なレベルの残存リスクを達成するための安全要件を指定するのに役立つ、自動車安全水準（ASIL: Automotive Safety Integrity Level）として知られるリスククラスを決定する、リスクベースのアプローチを採用しています。
• 妥当性確認と確証: 適切かつ許容可能なレベルの安全性を確保するための妥当性確認および確証手法の要件が規定されています。システムレベルと車両レベルの両方で安全メカニズムをテストし、妥当性を確認することの重要性が示されています。

車両におけるシステム故障のリスクは、機械、電気、電子、およびソフトウェアの各分野を統合することで増大します。したがって、ISO 26262には、これらのリスクを軽減するためのシステム要件とプロセスに関する包括的なガイダンスが示されています。 

ISO 26262では、

• コンセプトから廃棄までの複数の段階での安全チェックを含む、包括的な安全ライフサイクルの概要が示されています。
• E/Eシステムの機能安全に重点を置きながら、E/Eシステムと他の車両システムの統合にも対応して、車両全体の安全性が確保されることを目指しています。
• 機能安全を達成するには、機能開発活動（要件、設計、実装など）と品質関連活動（検証、妥当性確認、確証手法など）の両方が必要であることが強調されています。

以下は、ISO 26262規格を構成する12のセクションの内容です。

パート1: 用語集

パート1では、「Fault」（フォールト）、「Error」（エラー）、および「Failure」（故障）を詳細に定義しながら、規格全体に適用される用語、定義、および略語の概要が示されています。

パート2: 機能安全の管理

パート2では、安全関連活動を実施する担当者が確保すべき組織要件が示されています。 

パート3: コンセプトフェーズ

パート3では、組み込まれた各アイテム（システムまたはサブシステム）について、製品開発の早い段階でハザード分析およびリスクアセスメント（HARA）をどのように実行するかについて示されています。また、特定されたハザードを機能アーキテクチャによってどのように対処できるかについても示されています。  

パート4: システムレベルにおける製品開発

パート4では、技術的なアーキテクチャ設計、アイテムの統合、システムレベルでのテストについて示されています。開発のこの段階では、エンジニアは頻繁にフォールトツリー解析（FTA）および故障モード影響解析（FMEA）を実行します。

パート5: ハードウェアレベルにおける製品開発

パート5では、ハードウェアの設計、統合、検証（ハードウェア指標の評価を含む）について示されています。

パート6: ソフトウェアレベルにおける製品開発

パート6では、ソフトウェアのアーキテクチャおよびユニットの設計、実装、統合、検証について示されています。 

パート7: 生産、運用、サービス、廃棄

パート7では、安全関連システムおよびアイテムの製造プロセスについて示されています。また、これらのアイテムの運用、サービス、および廃棄に関する詳細も含まれています。

パート8: 支援プロセス

パート8では、安全ライフサイクル全体にわたる支援プロセスの実装について示されています。変更管理要件、ドキュメント管理要件、ツール評価、認定要件などについても示されています。

パート9: 自動車安全水準（ASIL）指向および安全指向の分析

パート9では、ASIL分解の要件と安全分析の要件（従属故障の解析と要素の共存基準を含む）が規定されています。

パート10: ISO 26262のガイドライン

パート10では、ISO 26262のさまざまな部分について、追加の説明が示されています。

パート11: 半導体へのISO 26262の適用に関するガイドライン

パート11では、半導体コンポーネントの開発、生産、および運用について示されています。さまざまな半導体テクノロジーとユースケースが示され、安全ライフサイクル活動を実行する方法についてのガイダンスも示されています。

パート12: オートバイへのISO 26262の適応

パート12では、オートバイへのISO 26262の適応について示されています。

ISO 26262は、法的に義務付けられてはいませんが、車両のライフサイクルにわたるE/Eシステムの統合を保証する重要な安全規格です。

ISO 26262には、ASILを通じてリスクを評価するための信頼性の高い手法が示されています。そのため、ISO 26262は、さまざまな車両タイプおよびテクノロジーについて、自動車ライフサイクル全体に対応する包括的な規格と言えるでしょう。

ISO 26262は、信頼性の高い自動車機能安全規格であり、以下のことが実現可能です。

• 設計ワークフローの改善: ISO 26262では、自動車システムにおけるハードウェアとソフトウェアの統合の複雑さを改善するために、ハードウェア開発とソフトウェア開発のガイダンスが示されています。
• 車両の安全性の向上: ISO 26262では、自動車のE/Eシステムの安全ライフサイクル全体に対応し、メーカー、そのサプライヤー、および各種機関（米国運輸省道路交通安全局を含む）に、ロバストな安全管理の開発、生産、およびテスト手順を保証するための単一の基準点が示されています。
• 信頼性の向上: 自動車業界のメーカー、サプライヤー、消費者などのステークホルダーは、承認された一連の規格に従うことで、車両や部品の安全性に確証を持つことができます。

以下に、ISO 26262の設計および検証プロセスの概要を示します。

1. アイテムの一覧: 「item」（アイテム）という用語は、ISO 26262では、車両レベルで機能（または機能の一部）を実行するシステム（または複数のシステムの組み合わせ）を表しています。つまり、アンチロックブレーキシステム（ABS）など、あるプロセス内で特定された最高レベルのオブジェクトを指します。
2. トップレベル機能の概要: 各アイテム（サブシステムを含む）の機能要件の概要が示されます。
3. 潜在的ハザードの特定:  事前に定義された一連のハザードイベント（ABS故障による横滑りなど）を基準として、各アイテムについてハザード分析およびリスクアセスメント（HARA）を実行します。
4. ASILの割り当て: 自動車の安全インテグリティレベルは、動作状況で曝される可能性（Exposure）、操縦性（Controllability）、リスクの重大度（Severity）の3つの観点で、A（最も重大度が低い）からD（最も重大度が高く、生命を脅かす）に分類されます。
5. 安全目標の特定:  安全目標は、車両レベルでのトップレベルの安全要件としてHARAで特定されたハザードイベントから導き出されます。各安全目標にはASIL評価が付けられ、1つまたは複数のハザードに関連付けられます。
6. 機能安全要件の指定: フォールトツリー解析（FTA）などの安全分析を実行して、安全目標の違反につながるハザードイベントの根本原因を特定します。この分析は、機能安全コンセプト（FSC）の確立に役立ちます。後者の目的は、関連するフォールトの影響に対処するために必要な安全対策を指定し、システムアーキテクチャ設計または外部対策に機能安全要件を割り当てることです。
7. 技術安全要件の指定:  上記の機能安全要件を満たすシステムアーキテクチャを設計し、技術安全要件を規定する、技術安全コンセプト（TSC）を確立します。技術安全要件は、システムの要素に割り当てられます。   
8. 製品の設計: 製品設計時に、エンジニアは上記の技術安全要件に沿って製品を開発します。
9. 検証と妥当性確認: 検証では、製品設計を安全要件に照らして確認を行うことが出来、妥当性確認では、現実のシナリオでのテストが可能です。

規格のパート8で示されているように、開発ライフサイクル全体にわたる支援プロセス（生産、運用、変更管理、品質管理）は、コンプライアンス要件を満たす上で重要な役割を果たします。

メーカーとそのサプライヤーは、ISO 26262準拠を保証するために、「確証手法」と呼ばれる手順に従い、ISO 26262で示される機能安全ガイドラインに従って、製品とプロセスをチェックする必要があります。これらの手法は、以下の3つのカテゴリーに分類されます。

• 確証レビュー: 特定の成果物が、関連するISO 26262の目的および要件を達成しているかどうかの判断。
• 機能安全監査: 実装されたプロセスが、ISO 26262の目的および要件を達成しているかどうかの判断。
• 機能安全評価: ISO 26262の目的と要件が達成されているかどうかの判断。機能安全評価では、確証レビューと機能安全監査の結果を考慮しなければなりません。

ISO 26262は、自動車のE/Eシステムの複雑化を解消するために導入されました。現在では、準拠アイテムの設計の複雑さも増しています。

このような状況下において、自動車エンジニアは以下の課題に取り組む必要があります。

• ISO 26262の各パートで示される多様な目的と要件をすべて理解しながら、すべての規格を準拠する。
• ますます複雑化するシステム（ソフトウェア制御される車両のアーキテクチャ、高度に自動化された運転システム、インフォテイメントシステムなど）。 
• OEMやサプライヤーが、最終的な使用に関する安全要件の知識を持たずに、サードパーティOEM向けに、チップ設計のための汎用プラットフォームを開発する。この場合、設計者は憶測に基づいて設計を行うため、その設計の根拠となる資料を提供する必要があります。
• 広範な設計データ、依存関係、知的財産、ドキュメントを監視する必要性。
• 開発プロセスで使用するすべてのツール、システム、またはアイテムのIP所有権を追跡する機能。つまり、エンジニアが各サプライヤーから提供されるIPを詳細に評価、ドキュメント化、検証する必要があります。

上記のような課題を考慮すると、ISO 26262への準拠は、専用のソフトウェアツールなしには、ほぼ不可能な作業であることが分かります。

自動車のリコールにかかるコストを考えると、自動車メーカーのOEMメーカーの大半は、ISO 26262準拠の証拠を必要とします。

これまでも、多くの開発プロジェクトで、さまざまな専用ツールが組み合わせて使用されてきました。Ansys medini® analyze™は、自動車のE/Eシステムの安全分析を行うためのモデルベースの包括的なソフトウェアパッケージです。

Ansys medini analyzeは、自動車の安全設計の透明性を向上させ、自動車業界の主要なステークホルダー間の信頼とコラボレーションを促進させます。Ansys medini analyzeの活用で、以下のことが可能になります。

• モデルベースの安全分析
• 安全特性を使用したシステムモデリング言語（SysML）によるモデリング
• 機能安全分析
• 故障モード影響および診断解析（FMEDA）、HARA、ハザード操作性（HAZOP）分析、故障モード影響解析（FMEA）、FTA、意図した機能の安全性（SOTIF）規格などの手法を使用した主要な安全分析
• システム、ソフトウェア、およびハードウェアレベルでの安全分析
• 要件管理ツールとの統合
• エンドツーエンドのトレーサビリティ、ワークフローなど

さらに、Ansys medini analyzeに加えて、Ansys SCADE®シリーズではソフトウェア開発のためのモデルベースの環境が提供されます。

• モデルベース設計エディタ 
• 安全でセキュアなコードの自動生成
• テスト機能
• 改良条件判定カバレッジ（MC/DC: Modified Condition/Decision Coverage）までのテストカバレッジ測定
• AUTOSAR準拠

ISO 26262プロセスの効率化に興味がある方は、Ansys medini analyzeの無料トライアルをお試しください。

ソフトウェアの設計および検証コストを最大50%削減したい方は、Ansys SCADEの無料トライアルをお試しください。

関連リソース