電子制御システムに対する安全へのアプローチ:導入– 自動車機能安全
DNVは、自動車機能安全サービスと自動車サイバーセキュリティサービスを提供しており、両分野のスペシャリストが協調して自動車のSafety & Securityをワンストップで提供することが可能です。
顧客から「御社の製品が安全であることを説明して下さい。」と
問いかけられたら
ISO/IEC ガイド51:2014における安全の定義は「許容できないリスクが無いこと」とされており、危険が最小の状態であることであり、言い換えると、絶対に安全なものは無いという考え方があります。 つまり、この問いは「故障による事故の発生やその影響を最小化する取り組みがなされているか?」ということです。
本質安全と機能安全
本質安全とは、危険源そのものを取り除きリスク自体をゼロにすることですが、現実問題として、危険源を全て取り除くことは不可能な場合があります。一方、機能安全は、潜在的な危険源の存在を認め、その危険源に対して何らかの施策を取り、許容できるリスクに落とし込むことです。自動車業界では、電子制御システムのハイペースな技術革新により、電子制御システムの規模や複雑さが増しており、本質安全だけでは解決できないものが多く存在しています。
安全を最優先とする自動車業界
自動車は、故障による事故により、運転者や同乗者、路上歩行者などに危害を与えうる物であり、以前から、業界全体として安全に対する意識を高く保っていました。しかし、安全に対する施策や安全であることを第三者に説明を行うという観点では、業界内でもバラつきがあり、必ずしも業界全体として十分な活動がなされていた訳ではありません。
自動車分野用の機能安全規格であるISO 26262
業界全体として、安全文化の劣化を防ぎ、安全に対する意識や活動のバラつきを無くすために、欧州の自動車メーカの発案で、自動車分野固有の機能安全規格であるISO 26262の策定がされました。この規格は、機能安全分野の親規格であるIEC 61508を基に、自動車業界用に幾つかの変更を施すことで策定された規格であり、現在は2018年に発行された第二版が適用されています。
- 自動車機能安全 - ISO 26262
電子制御システムの安全に関わる規格は、ISO 26262だけではない
近年、自動運転やOTA、Software Defined Vehicle(SDV)など、車両自体の特性が変化しており、ISO 26262のみでは安全の担保が難しくなってきています。そのような車両特性の変化から、2021年には外部接続によるリスクに対応するためのサイバーセキュリティ規格としてISO/SAE 21434、2022年には意図した機能の仕様や性能の不十分性や予見可能なミスユースから生じるハザードに対応するための規格としてISO 21448が発行されています。
- 自動車サイバーセキュリティ - ISO/SAE 21434
- 自動車機能安全 - ISO 21448
- これらは、ISO 26262の兄弟規格と呼ばれており、思想・論調の共通点が多い一方で、それぞれの成り立ちや分野固有事情による相違点もあります。
ISO26262
90年代後半のBy Wire技術普及や、巨大化する電気電子システムに対する制御系の 「安全性説明不足の課題意識解消の機運」とIEC 61508の発行がトリガとなった
ISO/SAE 21434
「安全の次はセキュリティ」という時代要請に応じたドメイン規格であり、 先行汎用規格であるSAEガイドブック等を包含し、機能安全の論調を踏襲し策定された
ISO 21448
当初、機能安全の不足領域補完目的で提案されたが、時代要請を受けて、 自動運転主軸の論調に進化した安全論証指向など機能安全の思想を踏襲する部分も多い
- 電子制御システム開発では、1つのシステムに3規格の要件をうまく織り込まなければならず、その3つの規格を連携・連動させる為に「効果的効率的なマネジメント」「プロセス上の連携とコミュニケーションチャネル確立」「システム仕様の観点によるアーキテクチャ整理」が、非常に重要な要素となります。