ナレッジ

【後編】機能安全規格「ISO26262」の特徴と機能安全開発の流れ

2024.4.23

ISO26262機能安全について、こちらの記事ではISO26262の概要や各Partの内容について紹介しました。しかし、各Partの内容だけでは十分に理解できなかったり、理解できても実開発では使いにくかったりします。

そこでこの記事では、ISO26262規格の特徴や実際に製品開発に適用する際に、どのような流れですすめていけばいいかについて、解説します。

ISO26262の特徴
ISO26262における機能安全開発の流れ
まとめ

ISO26262の特徴

ISO26262機能安全規格には、以下のような特徴があります。

危険事象のランク分け（ASIL）
定量的で網羅的な説明が必要
設計・テスト結果のトレーサビリティ

これらの特徴を押さえておくことで、実際に機能安全開発を進める際の助けになるでしょう。

危険事象のランク分け（ASIL）

ISO26262では、製品が持つ機能が満たせない場合に生じる危険事象の程度によって、適用対象である製品をASIL A,B,C,Dの4つのランクに分類しています。もっとも危険度が高い場合にはASIL Dが割り当てられており、反対にASIL Aがもっとも危険度が低い場合に割り当てられます。

ASILとは、Automotive Safety Integrity Level（自動車安全水準）の略称です。機能が満たせない場合の重大度（S0からS3までの4段階）やその状態の発生確率（E0からE4までの5段階）、またドライバーが制御が可能かどうか（C0からC3までの4段階）の3つの観点で分類されています。

自動車を構成する部品の中でも、特に安全を確保するために用いられるような部品にASIL Dが付与されます。例えば、エアバッグやブレーキ、パワーステアリングなどが代表的です。

また、その他のランクには、ASIL Cにエンジンやトランスミッション、またクルーズコントロールなどの機能があります。ASIL Bにはヘッドライトやブレーキランプ、ASIL Aにはバックライトやボディ部品などが割り当てられます。

また、ASILを不要する必要のない製品には、QM（Quality Management）といわれるランクが割り当てられ、ASILが付与された部品はQMのレベルまで発生確率や重大度を抑えることが必要です。

定量的で網羅的な説明が必要

ISO26262では、最終的な製品の機能安全性を証明するために、定量的で網羅的な説明が必要です。これは、ダイアグカバレッジやテストカバレッジという用語で表現されます。

ダイアグカバレッジとは、製品に与えられた機能を満たせなくなるようなハードウェアを構成する各部品の故障率やその故障の検出確率を示したものです。テストカバレッジとは、上記で想定する各故障やその検出について、網羅的に検証した結果、テスト結果の網羅率を示しています。

ISO26262では、製品の機能安全性を証明するためにダイアグカバレッジやテストカバレッジについて定量的で網羅的な説明が求められるため、製品開発時点から網羅性や説明性を考慮した開発を行うことが重要です。

設計・テスト結果のトレーサビリティ

複数のハードウェアやソフトウェアで構成される製品において、ISO26262では要求項目ごとに、製品の上下階層それぞれに対する影響を追跡できる必要があります。

例えば、あるシステムの構成要素であるハードウェアが上位システムの機能にどのような影響を与えるかを事前に把握したうえで、そのハードウェアのテスト結果が上位要求を満足していれば、上位システムの要求を満足していると説明できます。

適切にトレーサビリティを取るためには、上位システムの持つ機能に対して、構成要素がそれぞれどのような役割を担っているかを網羅的に抽出することが重要です。その過程で、各構成要素に対して、抜け漏れのない網羅的な検証が可能です。

また、上位下位どちらかに変更が必要になった場合でも、トレーサビリティが取れていれば抜け漏れなく影響確認を実施できるでしょう。

このように、自動車の機能安全性を証明するためには、設計・テスト結果のトレーサビリティを取ることが必要不可欠です。しかし、それぞれの関係が複雑になりやすいため、影響の確認の仕方、結果の保存方法には注意が欠かせません。

関連記事：製造業におけるトレーサビリティとは？目的や概要、事例を解説

ISO26262における機能安全開発の流れ

ISO26262における機能安全開発の流れについて紹介します。ここでは、自動車産業における品質マネジメントシステムの要求事項を制定したIATF16949との関連性も含めて解説します。

機能安全開発のアプローチ

機能安全開発は、以下のような流れで開発を進めていきます。

IATE16949では、①の主機能要求や最上位のシステムにおける構造設計を含んだプロセスを定義しています。一方でISO26262では、③の安全分析以降が主な対象となっているという違いがあります。

これらは相反するものではないため、いずれにしても自動車関連の電気・電子部品を含んだ製品開発を進める際には、ここで紹介する①から⑤のようなアプローチが効果的です。

主要求に対する安全要求と安全機構の検討

ISO26262における③から⑤の工程では、顧客要求や市場のニーズから担当する製品に求められる主要求を明確にすることが重要です。また、明確にした主要求を実現するために、どのような要素が必要でそれをどう配置すればいいのか。また、要素ごとのインターフェースはどう構成すればいいのかといった設計を行います。

これらの要求や構成したアーキテクチャに対してISO26262における安全分析を行うことで、要求される安全目標に影響を与えてしまう、構成要素の故障モードを抽出することが可能です。ここでは、網羅的な故障モードの抽出と影響度の把握のために、FTAやFMEAを活用するといいでしょう。

その上で、故障モードに対する安全要求を明確にし、それを実現できるような安全機構の設置を行います。

要求の細分化と開発領域ごとの設計

ISO26262における各階層の要求は、概念的な要求であることも多く、それをそのまま実装していくことは困難です。そこで、概念的な要求を製品に実装できるレベルまで、段階的に細分化していくことが重要です。

細分化した要求をエレメントとよび、各部品レベルで実装を進めます。実装後に安全要求を満たしているかどうか確認する際には、段階的なテストを行います。まずは各部品でのテストを実施し、その上で各部品を統合したシステムレベルでのテストを行うことで、検証が可能です。

大きな規模で抽象的な要求のまま機能安全開発を行うのは難しいため、このように要求の細分化と開発領域ごと、部品ごとの設計と確認は欠かせません。

まとめ

車載用電気電子部品を対象とした機能安全規格であるISO26262に基づいた開発を行うことで、製品の安全性を向上し、それを明確に説明することが可能です。ISO26262の規格だけを把握していても製品開発に落とし込むことは簡単ではないため、今回紹介したようなISO26262の特徴や開発の流れを確認しておくといいでしょう。設計者自身が機能安全開発の概要や流れを理解できれば、ISO26262の要求に満たすと共に、製品の安全に関する意識も向上できます。