ISO 26262機能安全規格とは | シノプシス車載システム

ISO 26262とは

定義

ISO 26262では、OEMおよびサプライヤがそれぞれのデバイスを商用車(乗用車)に搭載して動作させるために従う必要のある機能安全開発プロセス(仕様定義から製品リリースまで)が規定されており、(準拠確認のために)そのプロセスを文書化する必要があります。この規格はリスク分類システム(Automotive Safety Integrity Level:ASIL)の概要を示し、「電気・電子(E/E)システムの機能不全のふるまいにより引き起こされるハザード」の可能性の低減を目指します。

ISO(International Organization for Standardization:国際標準化機構)はIEC(International Electrotechnical Commission:国際電気標準会議)と緊密に協働しています。ISO 26262仕様はE/Eシステムの汎用機能安全規格IEC 61508の改訂版として2011年に正式にリリースされました。

ISO 26262と他の車載用規格との違い

ISO 26262は機能安全に焦点を当て、自動車部品が所定の時に所定の機能を果たしていることを確認し、自動車固有のリスク・クラス判定アプローチ(ASIL)を提示しています。

AEC-Q100(Automotive Electronics Councilが策定)は、車載アプリケーションの信頼性に焦点を当て、集積回路のストレステストに特化しています。

Society of Automotive Engineers(SAE)は長年、自動車の馬力を格付けするための規格を提示してきましたが、現在はSAE J3061でサイバーセキュリティのベストプラクティスを定義しています。SAEは自動運転レベルの定義に積極的に参画し、最近では自動車のテスト規格を策定しています。

MISRA(Motor Industry Software Reliability Association)はセキュリティに焦点を当て、自動車制御システムの安全でセキュアで移植可能なソフトウェア・コードの開発プロセスを定義しています。

ISO 26262のしくみ

  • 用語を指定する(「フォールト」、「エラー」、「故障」)などの主要な用語の慎重な定義)
  • 個別の自動車製品の安全ライフサイクルに関する規格を定義する
    • 概念フェーズ
    • システム・レベル、ハードウェア・レベル、ソフトウェア・レベルの製品開発
    • 生産および運用
    • サービスおよび廃棄
  • 自動車固有のリスクに基づくリスク・クラス判定(ASIL)を提示する
    • 安全性リスクの特定と評価
    • リスクを許容可能なレベルにまで低減するための要件の策定
    • 提供された製品が許容可能なレベルの安全性に達していることを確認するための要件の追跡
ISO 26262規格の概要

画像提供元: iso.org

ISO 26262の進化

2018年、ISO 26262は重要な改訂を実施し、2つの新しい規格(半導体に関する要件と二輪車、トラック、バスに関する要件)を追加しました。また、モデルベースの開発、ソフトウェア安全性解析、従属故障解析、耐故障性などに関するガイダンスも追加されました。

ISO 26262のAutomotive Safety Integrity Level(ASIL)はドライバーにとっての重大度、曝露確率、制御可能性の3つの変数に基づいています。ISO 26262は人が運転することを前提にしており、完全な自動運転には直接適合していませんが、完全自動運転は自動車業界のロードマップになっていることからも、機能安全が重要な課題であることに変わりはありませんから、ISO 26262は今後も進化を続けます。

ISO 26262の課題

ISO 26262に準拠するには膨大なドキュメントとテストが必要で、多大な時間がかかる可能性があるため、エンジニアはまずデザイン・ソフトウェアのTCL(Tool Confidence Level)を評価する必要があります。

ISO 26262は自動車の安全性に関する用語を共通化していますが、ASIL分類の定義は規定というよりも情報提供の要素が強く、自動車コンポーネント・サプライヤー間で解釈の余地が残されています。これに対応して、SAEはJ2980「Considerations for ISO 26262 ASIL Hazard Classification(ISO 26262 ASILハザード分類に関する考慮事項)」を発行し、ハザード・レベルの評価に関する指針をより明快に提示しています。

ISO 26262の2018年版では用語を拡張し、目標を具体化しています。

ISO 26262の利点

ISO 26262により、自動車コンポーネントに最初から高度な安全機能が確実に組み込まれるようになります。この規格は自動車の安全ライフサイクル全体(全体的なリスク管理から個別部品の開発、生産、運用、サービス、廃棄まで)に関するガイダンスを提示しています。 ISO 26262を導入することにより、OEMはサプライチェーンを精査し、問題の修正コストが大きくなる生産プロセスの後工程になってからE/Eシステムの安全に対するハザード(危害要因)が突発的に発生することを防止できます。 

ISO 26262は、車載電子システムの大多数において、ベンダーがハードウェアとソフトウェアの設計を並行して進めることにより開発期間の短縮を図ると予想され、その傾向は高まりつつあるという実態を考慮しています。ISO 26262委員会はハードウェアとソフトウェアの同時開発・テストに関する広範なガイドラインをまとめ、最高レベルの安全性を実現するにはハードウェアとソフトウェアを合わせてテストする必要があることを指摘しています。

ISO 26262の準拠達成を支援するシノプシスのソリューション

2011年にISO 26262が正式に発表されて以来、シノプシスはいち早くISO 26262準拠テストを実施し、そのドキュメントを製品群に加えています。シノプシスはASIL BおよびD対応IPやISO 26262認証取得済みのテスト自動化、シミュレーション、プロトタイピング、ソフトウェア・セキュリティ・テスト・ソリューションをご提供しています。