ISO 規格への 準拠 安全に関連する電気 / 電子 (E/E) システムの規格準拠の複雑性に対応 白書 摘要 ISO 規格では 管理 開発 生産 運用 サービス および 廃棄を網羅する自動車の安全ライフライクルについて記述しています 昨今増加する自動車業界のリコール件数は

ISO 26262

規格への

準拠

安全に関連する電気/電子

(E/E) システムの規格準拠の

複雑性に対応

白書

摘要

ISO 26262 規格では、管理、開発、生産、運用、サービス、および、廃棄を網羅する自動車の安

全ライフライクルについて記述しています。

昨今増加する自動車業界のリコール件数は、自動車メーカー（OEM）とそのサプライヤー

が、

ISO26262規格にある機能安全の課題を避けて通れないことを証明しているとも言えるで

しょう。

例えば、

ISO 26262 の要求事項を適切に導入できなければ、競争優位性を失う危険すらありま

すし、自動車メーカー（OEM）とそのサプライヤーが、機能安全への取り組みをした場合でも、

設計プロセスの一部とせず製品開発が完了した後に補足的に取り組んだだけでは、初期段階

での問題防止措置が取れず後々その対策のために何百ドルもの費用を余計に費やすことに

もなります。

この白書では、製造物責任のリスクを最小限に抑え、安定した利益を確保するために自動車

目次

はじめに 3 ISO 26262の概要 4 活動に従事する関係者の能力 7 機能安全文化の確立 8 導入の実例 9 結論 10 Andreas Bärwald（アンドレアス ベアバルド） TÜV SÜD Auto Service GmbH安全および電子装置担当ビジネスライン・マネージャー カナダ、中国、日本、韓国、および、米国にビジネスユニットを有するテュフズードの 自動車機能安全オペレーションを担当。 テュフズードの認定試験研究所の責任者であり、選任技術認定者。ベアバルド率いる チームが、機能安全認証プログラム（Functional Safety Certification Program、FSCP） を提供。このプログラムによって、企業における安全の担当者が品質の最高水準に対 して認証され、企業が ISO 26262 に準拠するための堅強な基礎を確立することを保 証します。 アンドレアス・ベアバルドは高度の技術的なバックグラウンドを有し、大学でコンピ ュータサイエンスを学び、職業訓練インスティテュートである BFI Petersで IT 担当とし て勤務した後、2004 年に機能安全および半導体担当のグループマネージャーとして TUV SUD Automotive GmbHに入社。

ISO 26262 は、安全に関連した電気/ 電子システムの高まる複雑性に対応 すべく、 2011 年に発行されました。 現在、ISO 26262 は、最先端の機能 安全の要求として認知されていま す。この規格は、量産される乗用車 に組み込まれる、1 つまたは複数の 電気/電子（E/E）システムを含む安全 関連システムを対象としています。 ISO 26262 の枠組みは、最終製品に おける特定の安全機能の特性を定 義する製品に関連した要求事項と、 系統的な不具合の確率を低減する （但し、直接的に製品の機能として 現れない）プロセスに関連した要求 事項を対象としています。 数多くの機能安全に関連した、生命 を脅かしかつ業界に多大な損害を 強いる問題が発生していることを 考えれば、この規格の導入に反論 する自動車 OEM やサプライヤーは いないでしょう。 自動車産業において機能安全に関 する改善の要性は広く受け入れら れてはいるものの、ISO 26262 は、そ の複雑性、および、業界に機能安全 のエキスパートが少ないことから、 多くの自動車 OEM とサプライヤー

ISO 26262 は複雑な規

格ですが、

OEM が製品

の安全性を改善し、製

造物責任のリスクを最

小限に抑え、競争力の

維持を支援するもので

す。

はじめに

ISO 26262 の 10 のセクション : 1. 用語 – 規格のすべての部分で適用される用語と略語の用語集 2. 機能安全の管理 – 機能安全管理の組織的観点についての概要 3. コンセプトフェーズ – リスク評価と安全コンセプト 4. システムレベルにおける製品開発 – システム開発の安全上の観点 5. ハードウェアレベルにおける製品開発 – ハードウェア開発の安全上の観点 6. ソフトウェアレベルにおける製品開発 – ソフトウェア開発の安全上の観点 7. 生産及び運用 – 量産開始後（SOP）の安全上の観点 8. 支援プロセス – 品質保証プロセス 9. ASIL指向および安全指向の分析– 安全分析 10. ISO 26262規格ガイドライン から、ISO 26262 はその解釈と導入 が難しい規格だと捉えられていま す。 ISO 26262 は複雑な規格ですが、 OEMが製品の安全性を改善し、製 造 物責 任 のリスクを 最小限に抑 え、競争力を維持することを支援す るものです。また、ISO 26262 に準拠 することで、安全に取り組む最高品 質のメーカーとして、信用を高める ことにもつながります。さらに、消 費者と企業のお客様に対する魅力 も向上するでしょう。 ISO 26262 は、開発プロセスを管理 する段階を追ったシステムを提供 する 10 のセクションから構成され ています :

ISO 26262の概要

ISO 26262の概観: ■ ■ 自動車安全ライフサイクル（管 理、開発、生産、運用、サービス、 廃棄）を提供し、これらのライフ サイクルの各フェーズに於いて必 要となる活動のテーラリングを サポートします。 ■ ■ リスク等級（オートモーティブ・ セーフティ・インテグリティ・レベ ル、ASIL）を決定するための、自 動車に特化したリスクに基づくア プローチを提供します。 ■ ■ ASIL を採用して、アイテムの残存 リスクを許容されるレベルとする ために必要な安全要求を特定し ます。 ■ ■ 十分かつ容認可能な安全度水準 の達成を保証するための、妥当 性確認や検証、確証方策への要 求を提供します。 図 1 には、準拠の達成に必要とな る、さまざまな要素が明確に示され ています。 規格では要求されていませんが、ベ ストプラクティスは、まずギャップ 分析を実施することです。ギャップ 分析では、貴社の既存のプロセスや 製品について、規格の要求と照らし 合わせて評価します。 一般的にプロセスにおいては、社内 機能安全エキスパートと独立した 第三者の機能安全エキスパートが、 開発プロセスと技術的な成果物ま たはシステムの主要な事項を調査 します。 こ れ ら のプ ロ セ スの 概 要 はISO 26262内で説明されており、文書 化、管理プロセス、技術的な機能、 および、リスク分析が含まれます。 豊富な経験を有するテュフズードで は、通常、これを1 週間のワークシ ョップで完了します。 ISO 26262 の安全ライフサイクルの ステージにおいては、ハザード（安 全リスク）を特定・評価し、これら のリスクを許容される水準まで低 減するために、具体的な安全要求 を確立し、それらの安全要求を追 跡管理します。 アイテムの定義は、これらのステー ジの最初のステージです。つまり、 機能安全を達成する必要があるの はいつか、そして、必要な安全機能 とは何かを特定します。業界で広く 受け入れられたリスクアセスメント 手法に従って実施するリスクアセス メントプロセスは、これを達成する ための最良の方法です。このアプロ ーチは、例えば、製品のどのアクシ ョンが安全に関連し、どのアクショ ンが安全に関連しないかを定義し ます。 次に、特定されたそれぞれのハザ ードに対して、安全目標を決定しま す。例えば、特定された安全要求の 1 つがエアバッグのためのものであ るとしたら、潜在的なハザードは意 図せずエアバッグが作動することで あり、安全目標はその防止というこ とになります。 リスク評価の結果となるのがオー トモーティブ・セーフティ・インテグ リティ・レベル（ASIL）です。ASIL は潜在的リスクの指標であり、リス クに適切に対応するために要求さ れるアクティビティ（作業内容）と 方法を決定します。ASIL は、暴露の 確率、運転者による制御の可能性、 重大な事象が発生した場合の深刻 度の組み合わせに基づいたリスク のレベルにより決定します。 ASIL は、ASIL A（リスク低減の量が 最も低い）から ASIL D（リスク低減 の量が最も高い）まで の 4 つの段 階で定義されています。また規格 は割り当てられた ASIL に従った最 低限の要求事項を詳細化していま す。これは ISO 26262 規格に準拠す るための重要なコンポーネントで す。ASIL、つまり、ハザードのレベル は、開発プロセスの開始時に決定 され、安全システムが意図する機能 はこれらの潜在的ハザードに対し て分析されます （図 2）。

ISO 26262 の安全ライフ

サイクルの各ステージで

は、ハザード（安全リス

ク）を特定・評価し、こ

れらのリスクを許容さ

れる水準まで低減する

ために、具体的な安全

要求を確立し、それらの

安全要求を追跡管理し

ます。

図

1: ISO 26262 の構成の概要

1. 用語集 2. 機能安全の管理 2-5 全体的な安全管理 2-6 コンセプトフェーズ及び製品開発における安全管理 2-7 アイテムの生産リリー_{ス後の安全管理} 3. コンセプトフェ ーズ 4. システムレベルにおける製品開発 7. 生産及び運用 3-5 アイテム定義 4-5 システムレベルにおける製 品開発の開始 4-11 生産に向けたリリース 7-5 生産 3-6 安全ライフサイクル の開始 4-6 技術安全要求の仕様 4-10 機能安全アセスメント 7-6 運用、サービス（保守 と修理）、及び廃棄 3-7 ハザード分析とリスク アセスメント 4-7 システム設計 4-9 安全性の妥当性確認 3-8 機能安全コンセプト 4-8 アイテム統合及びテスト 5. ハードウェアレベ ルにおける製品開発 ルにおける製品開発6. ソフトウェアレベ 5-5 ハードウェアレベルにおけ る製品開発の開始 6-5 ソフトウェアレベルにおけ る製品開発の開始 5-6 ハードウェア安全要求の 仕様 6-7 ソフトウェアアーキテクチ ャ設計 5-7 ハードウェア設計 6-8 ソフトウェアユニット設計_と実装 5-8 ハードウェアアーキテクチ ャメトリックの評価 6-9 ソフトウェアユニットテ スト 5-9 ランダムハードウェア故障 による安全目標侵害の評価 6-10 ソフトウェアの統合及び テスト 5-10 ハードウェア統合及び 試験 6-11 ソフトウェア安全要求の 検証 8. 支援プロセス 8-5 分散開発のインターフェース 8-10 文書化 8-6 安全要求の仕様と管理 8-11 ソフトウェアツールの認定 8-7 構成管理 8-12 ソフトウェアコンポーネントの認定 8-8 変更管理 8-13 ハードウェアコンポーネントの認定 8-9 検証 8-14 使用実績による論証 9. ASIL 指向及び安全指向の分析 9-5 ASILテーラリングのための要求のデコンポジション 9-7 従属故障の分析 9-6 エレメントの共存に関する基準 9-8 安全分析 10. ISO 26262ガイドライン

次のステージでは、定義した安全 要求がその設計意図どおりに機能 することを保証します。この段階に は、基礎をなすハードウェアの故障 への対応とシステマチックな故障 の防止策が含まれていなければな りません。また、安全要求を定義す る安全目標は、適切な ASIL で特定 されている通りの適切なプロセス と手法により実装されなければな りません。 これは機能安全コンセプトを定義 することにより達成します。技術的 な側面は技術安全コンセプトにて 安全設計（または安全アーキテク チャ）と共に詳細化され、それを基 にハードウェアとソフトウェアの安 全要求は定義されます。エアバッグ の例で言えば、エアバッグが意図 せず膨らんでしまうのを防ぎ、かつ 衝突の際に運転者を確実に保護す る安全アーキテクチャを定義する のです。 また、準拠へのギャップを埋める 計画を策定しなくてはなりません。 例えば、安全に関連する電子シス テムのハードウェアレイアウトにお いて、回路のショートがあると誤動 作につながる高いリスクが有る場 合は、これを防止するために、レイ アウト（設計）をどのように変更す べきか、計画で概要を説明しなけ ればなりません。 さらに、設計をどのように技術的 に変更するかについても記述しま す。その場合は、変更後でも、その 他のシステムと安全な相互作用が 維 持されていな けれ ば なりませ ん。また、関係文書の作成も必須 です。すべてのアクティビティ（作 業内容）を正しく記録し、万が一の ことが起きた場合、後で再評価で きるようにしておくのです。レイア ウトやコンセプトへの変更が必要 ない場合であっても、記録は必要 です。プロセスの初期にこれらの 措置を講じることが重要なのです。 後になってから変更しようとすると 多大な費用と時間が掛かってしま います。 システムが割り当てられた ASIL を 満たしているかどうかの検証も重 要です。この達成にあたっては、社

図 2: ハザード分析のアプローチ

常時 散発 稀 めったにない ほとんどありえない 損害の確率 低 高 危険な状態の非可制御性　(ファクター C) 重大度 Severity S 出典：テュフズード 許容できるリスク 危険な状態への暴露/期間　(ファクター E) Acceptable 許容 できる リスク 許容で きない リスク ハザード発生の確率 SIL / ASIL 許容できない 許容できるリスク

内エキスパート、または認定され た第三者のエキスパートが、適切 な試験及び分析を行い、安全機能 の平均故障間隔を特定します。ISO 26262 を導入した企業の多くは、外 部評価と認証を取得することの重 要性を十二分に理解しているので す。 この最終段階には、最新の規格に 準拠していることを立証するため に、独立検証機関からテクニカル レポートまたは認証書を取得する ことも含まれます。例えば、テュフ ズードは貴社の開発文書と現場で のアセスメントに基づくテストを実 施します。結果はテクニカルレポー トとして、貴社のシステム、ハード ウェア、ソフトウェアとツールを評 価します。フランス、ドイツ、日本、 韓国、および、米国などの大手自動 車メーカーは、業界にて認知され た第三者が発行するレポートや認 証書のみを承認することが多く、こ の点は、サプライヤーにとって特に 重要です。

活動に従事する関係者の能力

ISO 26262 は、準拠のために実施す べき複雑な「機能的な」ステップを 定めていますが、最初にすべきこと は、ISO 26262 が貴社の製品にどの ように関係するのか、また必要な場 合には、準拠のための変更をどの ように導入するのかについて、理解 するための専門知識を持つことで す。 これは、現在の従業員を訓練するこ と、機能安全の専門家を従業員とし て雇用すること、または、作業を独 立した第三者へアウトソーシングす ることによって達成されます。 関連する従業員が ISO 26262 の内 容、必要な文書、および、10のセクシ ョンそれぞれの主要事項を完全に 把握しておくことが重要なのです。 大きい組織内では、組織内の機能 安全管理を正しく支援するにあた り、しばしば、次の3つの主要タスク 担当者が存在します: 1. カンパニー・セーフティ・マネー ジャー 2. ビジネスユニット・セーフティ・ マネージャー 3. プロジェクト・セーフティ・マネ ージャー - 規格で要求される 唯一の役割 この階層構造については図3を参照 してください。 カンパニー・セーフティ・マネージャー ビジネスユニット 1 セーフティ・マネージャー ビジネスユニット 2 セーフティ・マネージャー プロジェクト 1 セーフティ・ マネージャー プロジェクト 2 セーフティ・ マネージャー プロジェクト 3 セーフティ・ マネージャー プロジェクト 1 セーフティ・ マネージャー プロジェクト 2 セーフティ・ マネージャー プロジェクト 3 セーフティ・ マネージャー

図

3: 正しい機能安全管理のための 3 つの主要タスクプロファイル

出典：テュフズード

カンパニー・セーフティ・マネージャ ーは組織における安全文化の管理 人であり、すべての従業員、会社の 管理チーム、そして、社外サービスプ ロバイダーの間の一貫したコミュニ ケーションを確保します。 また、カンパニー・セーフティ・マネ ージャーは、会社における機能安全 のさらなる推進を担当し、企業の固 有のガイドラインと従業員への教育 が、最新の状態に更新されることを 保証します。 さらに、カンパニー・セーフティ・マ ネージャーは、部門の定期的な監査 を推進し、それぞれのビジネスユニ ット・セーフティ・マネージャーの定 期的な調整会議を開催するなど、 会社全体の機能安全のガイドライ ンに一貫して準拠していることを保 証します。 ビジネスユニット・セーフティ・マネ ージャーは、規格で規定されている 役職ではありませんが、大きな組 織では一般的な存在です。ビジネス ユニット・セーフティ・マネージャー は、ビジネスユニット内の機能安全 に関係するすべての質問に関する 中心的な窓口の役割を果たします。 また、基本的なデータを維持する責 任を持ち、従業員に対する適切なト レーニングを保証します。 プロジェクト・セーフティ・マネージ ャーは、最も重要であり、唯一、規 格で要求されている役職です。プロ ジェクト・セーフティ・マネージャー は、ビジネスユニット・セーフティ・ マネージャーと協力し、個別の機能 安全プロジェクトをコーディネート します。 通常、プロジェクト・セーフティ・マ ネージャーは、プロジェクト安全計 画の策定と維持に責任を持ちます。 プロジェクト安全計画には、評価の 実施、系統的な不具合を防止するた めの措置の適用、および、検証と妥 当性確認のための方策の実施など が含まれます。さらに、プロジェク ト・セーフティ・マネージャーは、す べての社内および社外インターフェ ース間の調整も担当します（ビジネ スユニット、サプライヤー、顧客な ど）。

関連する従業員が

ISO 26262 の内容、必

要な文書、および、

10

のセクションそれぞ

れの主要事項を完全

に把握しておくこと

が重要です。

機能安全文化の確立

機能安全を達成するためには、ISO 26262 の技術要求を理解するだけで は十分ではありません。導入を成功 させるためには、すべてのレベルの 従業員が、そのスローガンに「熱心 に取り組む」文化が不可欠となりま す。 機能安全は品質管理の延長であり、 すべての従業員が高い標準を遵守 することによってのみ達成されま す。 例えば、開発プロセスに関わってい る何百というエンジニアの中のたっ た 1 人のエンジニアがアクティビティ （作業内容）を正確に実施しなかっ たり、間違った手法を使っただけで も、重大なな安全性の問題につなが ってしまうのです。 OEM とサプライヤーがこの文化的な 一貫性を達成するためには、安全規 則とツールの厳重な遂行を含む、適 切な管理プロセスを導入しなければ なりません。

機能安全は品質管理

の延長であり、すべ

ての従業員が高い標

準を遵守することに

よってのみ達成でき

ます。

現実的な導入

テュフズードの機能安全チームは 30 年以上前に設立されました。次のような OEM およびサプライヤーとグローバ ルに提携しています: 東芝* 東芝は、モーター、インバータ、バッ テリ、マイクロコンピュータ、ADAS お よび関連ソフトウェアなど、自動車 のコンポーネントを幅広く開発・製 造しています。 同社は、2012 年 3 月 に、ソフトウェア開発プロセスにつ いて最高水準の ISO 26262 認証をテ ュフズードより取得。現在、同社のプ ロセスは最高のオートモーティブ・ セーフティ・インテグリティ・レベル （ASIL D）までの製品開発に対応で きます。 ISO 26262 認証を取得することによ り、東芝は、自動車システム事業の 継続的な拡張を推進し、最高の国際 安全規格を満たす安全で信頼でき る製品を提供しています。 *東芝セミコンダクター&ストレージ社、お パナソニック株式会社 パナソニックの開発プロセスも、テュ フズードから ISO 26262 認証書を取 得しています。現在、同社の自動車 装置およびデバイス向けのソフトウ ェア開発プロセスは、最高のオート モーティブ・セーフティ・インテグリ ティ・レベル（ASIL D）までの製品開 発に対応できることが認知されてい ます。 テュフズードの認証は、パナソニック のソフトウェア開発プロセスがこれ らの安全要求に準拠していることを 証明するものです。同社は、安全性 の高い製品を製造し、確かで安全、 環境に優しく、便利かつ快適な自動 車社会の創造に貢献しています。 ガイオ・テクノロジー ガイオ社は、その組込みソフトウェ ア検証ツールで ISO 26262 認証書を 取得した、アジア太平洋地域初の 企業です。通常、ISO 26262 は、使用 するそれぞれのソフトウェアを対象 に、ツール・コンフィデンス・レベル （TCL）をもとに開発ツール認定報 告書を作成することを使用者に要求 しています。しかし、テュフズードが 発行する認証は、ガイオ社のツール が最高の厳しいツール・コンフィデ ンス・レベル（TCL3）にも適用でき ることを証明するものであり、ガイ オ社の認定ツールのエンドユーザー は、独自にツール認定作業を実施す る必要はありません。 ガイオ社はテュフズードから ISO 26262 認証書を取得しました。

著作権情報 この日本語訳は仮訳となり原本が正となりますので、疑義が生じた場合は原本をご確認ください。 本書に含まれる情報は、発行時点におけるテュフズードの見解を示すものであり、記載されている意見は、予告なしに変更されることがあります。テュフズードで は、本書またはその内容の利用から生じるいかなる責務について、一切責任を負いません。また、テュフズードへの事前の承諾を得ることなく、コピー、複製、電子 システムへのスキャン、送信、転送または配信を行うことは禁じられています。 テュフズードは、本文書で取り扱う案件に関する特許、特許申請、商標、著作権、または、その他の知的財産権を有しています。テュフズードからの書面によるライ センス合意書が明示的に提供されている場合を除き、本文書の提供は、これらの特許、商標、著作権、または、その他の知的財産権に関するいかなるライセンス を供与するものではありません。著作権法によって許可されている場合を除き、書面による事前許可を得ていない本文書の複製、改変、翻訳などの行為は禁止さ れています。 © テュフズードグループ – 2014 – All rights reserved - TÜV SÜD はテュフズードグループの登録商標です。

免責事項 内容に含まれる情報の品質、信頼性、正確性を確保するために、すべての合理的な措置を講じていますが、テュフズードは、本刊行物に含まれる第三者に関する 内容について一切の責任を負いません。テュフズードは、本刊行物に含まれる情報の正確性や完全性について、明示的にも黙示的にも、一切の保証または表明を 行いません。

結論

ISO 26262 は複雑でありながらも、 OEM とサプライヤーが製品の安全 性を改善し、製造物責任に関する リスクを最小限に抑えることを支 援する不可欠な規格です。 さらに、ISO 26262 は、車両、シス テム、および、コンポーネントの 安全性を確保するだけでなく、最 高品質を提供する OEM またはサプ ライヤーとしての評価を高め、製 品の魅力を向上することにより、 競争力の維持もサポートします。 テュフズードは自動車の機能安全 エキスパートの世界的なネットワ ークと、広 範 囲に渡る業界にお ける経験を有し、貴社の ISO 26262 に関連した活動をお手伝い致しま す。テュフズードは国際的に認定 された ISO 26262 試験機関です。ま た、テュフズードは、機能安全の 世界をリードするエキスパートで あり、ISO 26262 規格の確立に当初 から関与しています。 自動車バリューチェーン全体を対 象として、包括的なナレッジサー ビス、機能安全に関するアセスメ ント、試験、認証、および、トレ ーニングサービスを提供いたしま す。

-IM /F S/ 4. 0/ jp /J P

Choose certainty. Add value.

テュフズードは、試験、検査、審査、認証を専門に、プレミアムな品質、安全性、持続可能性を提供する会社です。世 界中に800以上の拠点を有し、ヨーロッパ、アメリカ、中東、アジア、アフリカにおいて認定を保持しています。お客 様にサービスを提供し、事業、消費者、環境に明確な価値をもたらします。

テュフズードジャパン株式会社

本　　社

東京都新宿区西新宿4丁目33番4号　

住友不動産西新宿ビル4号館8F　

Tel:(03)3372-4970 関西本部

大阪府大阪市淀川区宮原3丁目5番36号　

新大阪トラストタワー12F

　 Tel:(06)6396-0108

Find out more about TÜV SÜD’s

automotive solutions:

www.tuv-sud.jp [email protected]