2012-02-18

医薬品業界における Computerized Systems のガイドライン

GAMP5は邦訳版が購入可能
今回は医薬品業界におけるコンピュータシステムのガイドラインの話を書こうと思う。この話は近い業界である医療機器業界にも関係あるのはもちろんのこと、自動車業界にも参考になるはずだ。

まずは歴史的背景から。1990年台初期に米FDAは英国を中心にEUの大手製薬会社を集中的に査察した。FDAがある地域の同業者を回って査察を敢行することはよくあることだ。

このとき、FDAは複数の医薬品企業に対して Warning Letter を出した。特に指摘が多かったのがコンピュータを使ったシステム(Computerized System)に関するものだった。Warning Letter が発行されると、アメリカへの医薬品の輸出がストップするから、当時欧州の医薬品業界は大騒ぎになったであろうと想像する。

医薬品業界は化学系というイメージが強いと思うだろうが今ではかなりの部分でコンピュータシステムが導入されている。実験段階のデータ分析から、薬の開発、臨床試験、医薬品製造(倉庫管理、原薬工程、製剤工程、包装工程製造)、製造管理システム、品質管理システムと、いたるところにコンピュータシステムが使われている。

これらのシステムが問題なく動いていれば、なんらユーザーリスクは生じないが、何かのソフトウェアの問題により、薬の成分が意図した成分でなくなってしまったら大変なことになる。これが Intended Use からの逸脱のリスクだ。

それ以外にも、コンピュータシステムを悪用して、臨床実験の結果が改ざんされたりしたら、これもユーザーリスクにつながる。

だからこそ、FDAはコンピュータシステムの管理に問題がないかどうかを調べ、問題があればアメリカ国民の安全のために是正を要求する。

欧州の製薬会社は、FDAからの指摘で自分達のコンピュータシステムがキチンと管理されていないことにダメ出しをされてしまった。そして、指摘を受けて医薬品の開発や生産に使っているコンピュータシステムの管理が十分ではなかったことを純粋にまずいと認識した。

また、そもそも、製薬会社はコンピュータやソフトウェアのプロではないから、それほどプライドは傷つかなかったと思うが、アメリカから数多くの指摘を受けたのは苦々しく感じたに違いない。

そこで、欧州の製薬会社、設備、機械メーカーはこれを機に、GAMP Forum を立ち上げて、自分達でコンピュータシステム管理のガイドラインを作ることにした。これが GAMPの始まりだ。

1993年にガイドラインのドラフトができ、その後5回の改訂を経て 2008年に発行されたGAMP5 が現在の最新版である。

もともと、GAMPは民間のガイドラインだったが、その後、FDAのレビューも受けて国際的なコンピュータシステムのバリデーションのガイドラインとなった。そしてその後、日本でもGAMPの内容は、コンピュータ使用医薬品等製造所適正管理ガイドラインに反映された。

ここまでの流れを整理すると
  1. アメリカが先行してコンピュータシステムのあるべき姿をまとめ規制を開始。
  2. アメリカに指摘を受けた欧州がスタンダードを作りブラッシュアップ。
  3. 日本やその他の国々がスタンダードに従うようになる。
ISO 26262 の場合は、アメリカが先行してガイダンスを持っていたわけではないが、アメリカにおける自動車関連の事故に対する訴訟や議会で取り上げられたことが、国際標準の必要性を強くしたという点では、トリガーがアメリカで、熟成させた中心が欧州であるという点はよく似ている。そして、その後出来上がったスタンダードに日本が従うことになることも同じ系譜である。

GAMP5は500ページにも渡る大作であり、次のような構成になっている。
  1. 原則と枠組み
  2. 管理、開発、運用
  3. 実践規範ガイド(Good Practice Guide)
  4. 他の情報(論文、テンプレート例、トレーニング教材)
ISO 26262 と共通するのは1と2の部分だが、ISO 26262 には実践規範ガイドやテンプレート、トレーニング教材はない。そこが、国際規格と業界が主体で作り上げたガイドラインとの違いである。GAMPは医薬品業界が必ずしも自分達の得意分野ではないコンピュータシステムの管理について知恵を絞りながら、自分たちにとって実際に役に立つガイドラインを仕上げていった。そもそも、医薬品会社が自分達でコンピュータシステムを作るわけではないので、GAMPの内容の大部分はコンピュータシステムを供給するサプライヤに対する要求事項である。

この点も ISO 26262 とよく似ていて、コンピュータシステムの開発計画→開発→運用→廃棄のライフサイクルの中で、開発計画と運用、廃棄の部分の責務は製薬会社が、開発の部分の責務はサプライヤが担う(正確にはサプライヤのアウトプットを活用するということ)内容になっている。

ただし、GAMP5は製薬会社と製薬会社へのコンピュータシステムを納入するサプライヤが実際に日々の活動に使えるガイドラインとなっているが、自動車の方は ISO 26262 だけでは GAMP5 と同等にはならない。なぜなら、ISO 26262 には Good Practice Guide や、テンプレートやトレーニング教材は含まれていないからだ。

だから、今後のために自動車業界は医薬品業界がやったように協力して実践規範ガイドやテンプレートやトレーニング教材を作る必要がある。

医薬品業界には PIC/S という国際的な医薬査察協力スキームがあり、EU各国、アメリカを含む現在37ヶ国/39当局がこのスキームに参加し、日本も加盟を検討している。このスキームに乗ると、査察官のトレーニングの場が提供され、共通の査察システムにより医薬品の品質を高く保つことが可能になり、問題が起こればその査察情報が共有される。

業界と規制当局が協調し、医薬品の品質を高めるスキームを作り上げた功績は純粋にすばらしいと感じた。医療機器や自動車業界も業界が協力して主導的に安全や信頼の得るためのスキームを構築する必要があるのだろう。

さて、GAMP5 の基本概念は次の8つである。
  1. リスクベースアプローチ
  2. Quality by Design(設計段階から品質を確保する)
  3. サイエンスベース(科学的な根拠を明確にする)
  4. Good Engineering Practice(サプライヤの活動結果も受け入れる)
  5. 製造システムの重大な側面
  6. ベンダー文書の活用
  7. 継続的なプロセス改善
  8. Subject Matter Expert(SME)
これは医療機器ソフトウェアや自動車のソフトウェアにも共通するところが多々ある。まず、リスクベースアプローチに関しては、1990年代から FDA はその方針を打ち出していて、GAMPもそれを受け継ぐことになった。現在、どの分野においてもリスクベースアプローチが取り入れられている。その理由のひとつは、そうしなければ規制当局が監督しきれないという理由がある。ユーザーリスクの大きいものから見ていかなければ許認可が追いつかないし、リスクの大きさに応じて審査、査察対応することが、各国の国民の安全を効果的に高めることにつながる。(現実世界ではリスクベースアプローチが主流になっている。フォーマルメソッドではない)

2の Quality by Design(設計段階から品質を確保する)とサイエンスベース(科学的な根拠を明確にする)は言わずもがなであるが、とりあえず動くソフトウェアを作ってしまう組織には耳が痛い話だ。

4と6は、サプライヤやベンダーの文書も有効利用するという考え方であり、7の継続的なプロセス改善は日本が発祥のQC活動に通じる。

8のSubject Matter Expert(SME)は、特定分野のエキスパート専門家のことであり、医薬品業界ではコンピュータシステムの設計、管理、評価に関しては、医薬品業界の品質保証担当がすべての責務を負うのではなく、ソフトウェアのことは専門家の意見を聞き、彼らの判断を積極的に使ってコンピュータシステムの品質を保証しようという考え方を取り入れている。

<今回の記事のまとめ>
  1. 医薬品業界ではコンピュータシステムの品質を担保するために業界が協力してガイドライン(GAMP)を作った。
  2. そのガイドラインは業界標準から規制当局も含めた国際標準になった。
  3. ガイドラインは規制目的だけでなく、実践のガイド、トレーニング教材も含まれている。
  4. 他の業界も同様に“使える”ガイドラインを作り上げることが、業界、規制当局、ユーザーのために必要である。
投稿者 0 コメント この投稿へのリンク

2012-02-12

100%の安全が確保できないからルンバを作らない?

特集記事はお休み
今回は ISO 26262 の記事ではない。特集記事8回、関連記事3回書いて分かったのは、規格の日本語訳には膨大な時間がかかり、規格をすべて和訳するのはあまりにも効率が悪く、自分自身のモチベーションもなかなか続かないということだ。

これだけ話題になっている国際規格だから、近い将来、きっと自動車系の工業会が和訳を作ってくれるに違いない。全体を正確に把握するには、工業会が作った和訳をじっくり読むのが一番いい。

問題は和訳が出そろった後の話だ。規格適合を目指す技術者は大抵和訳が出ても隅から隅まで読まない。誰かが自分がやるべきことを教えてくれるのを待っている。

そして、組織はしびれを切らし担当部門もしくは担当者を決めて、その担当がエンジニアに指導する。医療機器の世界では自分がその役目を担っている。

ISO 26262に関してここで方針変換しようと思っているのは、ISO 26262 の和訳がリリースされたら、日本のソフトウェアエンジニアが自分達の良さやアドバンテージを消さないように、自動車の安全を確保するためには規格をどのように解釈したらいいか、また、和訳から読み取りにくい規格原文のニュアンスは何かなどをこのブログで解説するということだ。

また、規格のここが分からないとか、ここの部分を知りたいというリクエストがあれば、積極的にそのリクエストに応えていきたい。自分は、自動車業界には何のしがらみもないので、安心して質問や要求を投げてきて欲しい。(現時点でもリクエストがあれはお答えします。)

さて、今回は下記のニュースを掘り下げてみたいと思う。

日本の家電各社が掃除ロボット「ルンバ」を作れない理由…国内製造業の弱点

日本の家電各社が、米アイロボット社の「ルンバ」に類似した製品を作らない、作れない理由について書いた記事である。(東芝は外部に製造委託して掃除ロボットを販売している。)

アイロボット社の「ルンバ」は確か7万円以上はしたと思うが、結構売れていると聞く。いろいろできないのではないかという心配をよそに、狭い日本の家庭でも賢く掃除してくれるらしい。

サイクロン型掃除機のように日本の家電メーカーが似たような商品を作りそうなのにそうしない理由として次のようなことが書いてある。

それなのに、技術力で世界の家電業界をリードしてきた日本メーカーが、どうしてルンバ発売から10年以上が経過しても同様の製品を製造しないのか。
「技術はある」。パナソニックの担当者はこう強い口調で話しながらも、商品化しない理由について「100%の安全性を確保できない」と説明する。 
例えば、掃除ロボットが仏壇にぶつかり、ろうそくが倒れ、火事になる▽階段から落下し、下にいる人にあたる▽よちよち歩きの赤ちゃんの歩行を邪魔し転倒させる-などだという。 
家庭で使う家電製品の第一条件は「安全性」だ。一方、日本の製造業は「リスクを極端に嫌う」傾向が強いため、開発の技術力がありながら、獲得できる市場をみすみす逃しているケースも指摘されている。
記事ではこのあと医療機器の例が書かれており、日本では製造物責任を恐れて新規参入しない企業があると言っている。

上記の「技術はあるが、安全を考えると参入できない」という気持ちはよく分かる。それが日本人の顧客の安全を何よりも重要視する気質( Awareness: Worrying about Quality:品質を心配する意識)の表れだと感じる。

ただし、記事が主張しているように、リスクを恐れて市場に参入しないというのも間違っていると思う。ちなみに、記事の中に出てくる「100%の安全性を確保できない」から市場参入しないというくだりは、誤った考え方だ。福島の原発事故が示すように100%の安全性など、この世に存在はしない。何をするにもリスクは必ず存在する。

薬がよい例だ。リスクよりも効用が上回った場合は、リスクコントロール手段を施した上で、リスクよりも効用の方を取る。薬の場合、製薬メーカーは治験等で十分な調査を行い、消費者は服用の注意事項をよく読み、禁忌禁止事項はやらない、医師や薬剤師の指示を守るといったことが要求される。それがリスクコントロール手段だ。

それをやった上で、副作用というリスクよりも薬の効果効能の方を取るのだ。掃除ロボットの場合は、薬や医療機器ではないので、リスクといっても人の生き死にとは直接は関係ない。

しかし、上記のパナソニックに担当者は「火事」や「赤ちゃんの転倒」といったリスクを想定した。こういうところはさすがだと思う。日本の製造業のすごいのは、品質保証担当でなくても、このような目の届きにくいリスクを拾い上げる能力を持っている点だ。その根底にあるのは、日本人の相手を思いやる気持ち、習慣のお陰ではないかと思う。

さて、商品に関係しそうな細々としたリスクを洗い出す能力が高いのはよいのだが、その結果、市場に参入しないという判断は正しいのだろうか。記事は技術力があるのに獲得できる市場をみすみす逃していると書いているが自分はちょっと違った視点を持っている。

というのは、日本のメーカーがやらなくても、韓国のサムスン電子、LG電子は参入しているのだ。日本は安全、安心の商品を作ることが最も得意な国なのに、そこに手を出さなくてどうするのか、そのままジリ貧の状態に甘んじるのかという気持ちだ。

ようするに、模倣商品が市場に出回って消費者を危険にさらすくらいなら、ブランドの信用がある日本のメーカーが安全でリーズナブルな商品を開発したらどうだということだ。ブランドを傷つける可能性をぬぐいきれないので参入しないという選択は、安全でリーズナブルな商品を望んでいる消費者の期待には応えられないという敗北宣言と同じだ。市場を逃しているのではなく、消費者の期待に応えられていないと考えて欲しい。(前者は金儲けが目的の考え方、後者は社会貢献が目的の考え方)

これからの日本の製造業者は効果効能が高く、かつリスクも大きい商品があったらチャンスと思わないダメだ。過去の栄光を守ろうと考えたら、あっという間にアジアの国々に抜かれる。あのソニーだって、新社長が4本柱の一つとして医療分野に力を入れると言っているではないか。

米アイロボット社に敬意を表して、白旗を揚げて模倣製品は作らないというのも選択肢の一つだとは思うが、安全性が担保できないから市場参入しないというのはなさけない。パナソニックは家電業界でユーザーの安全分析、安全対策、是正改善は相当やってきているだろうから、安全を確保できないから市場参入しないという理由はおかしい。洗濯機だって、冷蔵庫だって、ファンヒータだってユーザーリスクは必ずある。100%の安全性などないからこそ、みな、改善を積み重ねて安全性を高めている。市場における経験のなさはマイナス要因ではあるが、同分野別商品での経験は使えるはずだ。

日本の家電メーカーは安全を分析、実現するノウハウは持っているはずなので、市場におけるユーザーからの苦情や故障情報を持っていないというのは理解できる。しかし、未経験の商品であったもユーザーへのアンケートや家電量販店へのリサーチである程度情報は収集できるから、できない理由にはならないと思う。

知財は特許で保護されているので、米アイロボットの特許を回避する新しい技術が思いつかないから参入できないという可能性はある。

商品化のための技術や知財の問題を回避できる自信があるにも関わらず、新規参入した分野で事故を起こせば、ブランドに傷が付き主力商品の売り上げに支障がでると考えるのなら、その組織は既存商品の分野でジリ貧となる運命を受け入れるしかない。

リスクを伴う商品開発に関わりたくない、命に関わる商品開発はしたくないという話は、医療機器ドメイン外の技術者や、大学生から聞くことがある。そういう時は「リスクから逃れることを考える前に、自分達が作った商品やサービスで人や社会にどんな貢献ができるのかを考えてみて欲しい」と言う。

患者さんの命を助ける、人のためになる、社会に貢献するための仕事に従事できれば、毎日の仕事自体がやりがいにならないか、もっとお客さんに満足してもらう、もっと社会に貢献したいという気持ちにならないか。そのためにまたがんばろうと考えられるようになったらいいと思わないかと問うようにしている。

高い効果効能、高い社会貢献を実現する商品にはユーザーリスクが伴う。しかし、人間はそのリスクを軽減するための知恵をこれまで構築してきた。その先人の知恵を使うことで、できるだけリスクを下げることができる。ただ、100%の安全はないのでそのことは決して忘れてはいけない。

ここまでの考えをまとめると、次のようになる。

【今日のまとめ】
  1. 効果・効能をもたらす商品にはユーザーリスクが伴う。
  2. リスクの低減を実現し、高い技術で効果・効能を実現できれば、それが組織の強みになる。
  3. 100%の安全などあるわけないのだから、リスクから逃げるのではなく、リスクを軽減する技術を追求する。
  4. 日本の製造業の強みは製品開発を通じて潜在的価値(リスクの軽減)と顕在的価値(効果・効能)の両立ができることである。
  5. その特長を活かせないのなら、グローバルマーケットで生き残ることはできない。(機能やコストだけでは勝負はできない。安全や信頼の提供が世界中の顧客の信頼を生む。)
投稿者 0 コメント この投稿へのリンク

2012-01-20

ISO 26262との向き合い方 (8) リスク分析しないでいいの?

今回の記事は リスク分析、リスクアセスメントについての話題である。

最初に、医療機器ドメインのリスクマネジメントに関する国際規格である ISO 14971:2007
Medical devices — Application of risk management to medical devices のリスク評価の定義について見て欲しい。

リスクは、危害の発生確率(the probability of occurrence of harm)と、危害の重大度(the consequences of that harm, that is, how severe it might be. )により評価されるというのが ISO 14971 の考え方である。一般的にも、リスク = 発生確率 × 重大度 などと書かれる。

例えば、ハードウェア部品の故障による障害などでは、発生確率はすなわち部品の故障率となり、その部品が故障したときの被害の大きさが重大度となる。よって、故障率が非常に低い場合のリスクは低いと考える。

気をつけたいのは、リスク評価 = 発生確率 × 重大度 と書いても、リスクの評価は数学的、統計的に計算されるものではないという点だ。

なぜなら、危害の発生確率は部品の故障率のように数値で示すことができないことも多々あり、また、危害の重大度は極めて主観的であり、時代や人々の考え方によって常に変化するパラメータであるからである。

下記のマトリクスを見て欲しい。縦軸には危害の発生確率に相当する半定量的な確率レベルが、横軸に定性的な重大さレベルが表されている。

このマトリクスでは濃い青の部分が半定量的な確率レベルと定性的な重大さのレベルにより、そのリスクは受容できないと判断されたエリアである。薄いブルーの部分は更なるリスク低減を検討すれば受容できるリスク、白い部分は受容できるリスクと判断している。

この表に出てくる「しばしば」や「時々」「わずかに」や、「軽微な」「きわどい」「重大な」といった評価指標は定性的と言いながらも主観的な表現だ。 発生確率が定量化できない、重大さのレベルが定量化できないので、半定量的もしくは定性的に評価しているのだ。その判定基準はその組織が積み重ねてきた事故データや判定者の経験的主観に依存している。

実例でリスクを評価してみる

医療機器で実例を挙げてみよう。心拍は心臓右心房付近にある洞房結節から発生される電気的な刺激の発信がトリガーとなって起動される。この自発のペースメーカの機能に欠陥がある患者さんには、ペースメーカが植え込まれる。

ペースメーカにはさまざまな機能があるが、自発の心拍がたまに欠落するような場合は、ペースメーカは心拍が欠落したときにのみ心臓を刺激する。これをデマンドペーシングと呼ぶ。自発の心拍がまったくない場合は固定レートで心臓を刺激するこれを固定レートペーシングと呼ぶ。

リスク(危害) 危害の発生確率 危害の結果(=重大度) リスクコントロール手段 リスクコントロール後の残留リスク
自発の心拍がないにもかかわらずペースメーカの出力が止まる。 起こりそうにない? ペースメーカを植え込んだ患者が死ぬ。 バックアップ手段としての固定レートペーシングユニットを追加する。 電源喪失時はバックアップユニットも動かない。
高速走行中にブレーキが効かなくなる。 起こりそうにない? 運転手と車に衝突された人が死ぬ。 ブレーキメカニズムにソフトウェアを使わない。 ハードウェア部品のランダム故障のみが残る。
原子炉が制御不能になる 起こりそうにない? 放射能が拡散し、人体に影響を与える。人が住めなくなる。 原子力発電をしない 残留リスクなし

さて、患者さんに植え込んだペースメーカが動かないというリスクを考えて見よう。ペースメーカの停止が起こった場合のリスクの重大さは患者さんの死を引き起こすので破局的だと考えられる。

では確率レベルはどうだろうか。「時々」や「わずかに」ならペースメーカとして使える訳がない。では「起こりそうにない」のか、または「考えられない」なのか。上記のリスク評価のマトリックスであれば、「破局的」な重大さレベルで、確率レベルが「起こりそうにない」なら、そのリスクは受容できない=すなわち、そのペースメーカは受容できないリスクがあるため販売してはならないし、考えられないレベルであれば更なるリスクの低減策が必要となる。

ではつぎに、車の例で高速走行中にブレーキが効かなくなるというリスクについて考えて見よう。危害の結果について予測されるのは、運転手と車に衝突された人の死、及び、車が衝突することによる固定物の価値の喪失などが考えられる。ではその重大度は、発生確率はどうであろうか。人の死の可能性があるのならば重大さのレベルは「重大な」や「破局的」が予想される。

障害の発生確率はハードウェアの場合部品の故障率で予測できると書いたが、ハードウェアであっても設計上のミスや、ソフトウェアのバグによる障害の発生は、その確率を予測することができない。このような故障、欠陥のことを Systematic Failure / Systematic Fault (決定論的故障/欠陥)と呼び、医療機器の世界では今のところ、Systematic Failure の発生確率は1、すなわち発生確率は考えずに、障害の重大さだけでリスクを評価することにしている。

※ISO 26262 では、リスクの評価に Controllability(ドライバや周辺の人々の障害の回避容易性)を考慮している。

もう一つ、リスク評価の例を考えてみたい。それは、「原子炉が制御不能になる」というリスクだ。不幸にも日本は昨年、「原子炉が制御不能になる」というリスクに対して「放射能が拡散し、人体に影響を与える。周辺に人が住めなくなる。」といった危害の重大度を実体験として経験してしまった。

「原子炉が制御不能になる」というリスクの発生確率は福島の原発事故が起こる前は「考えられない」だったかもしれない。しかし、起こってしまった今の評価はどうだろうか。「考えられない」「起こりそうにない」といった評価を日本国民は許さないだろう。

冒頭でリスクの評価は数式では表せないといったのは、このことだ。どんなに統計的な確率が低かったとしても、甚大な被害が発生してしまえば、リスクの評価は変わる。

一般的に時間がたつにつれてリスク評価は厳しい方に傾く。なぜなら、リスクコントロール手段が普及すると、人々はそのリスクコントロール手段を“当たり前に実装されているもの”と認識するようになるからである。過去に認識されていたリスクは現在ではブロックされていて当然であり、技術の進歩により機器の安全は進化していると考えるのが一般的な消費者の意識だ。機器を使っていて使い勝手の悪さや不具合を見つけると、どうしてこんなことが考慮されていないのかと消費者は怒りをあらわにする。しかし、そのレベルでリスク分析、リスク対策をしたら何千、何万というリスクコントロールを行わないといけないという作り手側の視点に立つことはない。問題が起これば、ユーザーにとってはその問題が今一番優先度の高い関心事なのだ。

起こってしまった問題を追求することはやりやすいが、同じレベルの問題を見つけ出し、発現しないようにする水平展開は簡単ではない。そのドメインに新規参入する企業や、新人の技術者は“当たり前に実装されているもの”の存在やメカニズムを知らないから、危険な製品を作ってしまう可能性がある。皮肉なことに、ユーザーは事故や不具合を体験することで、メーカーのリスクコントロール手段の存在を知ることがよくある。当たり前にできていることは、それが当たり前でなくなったときに、初めてその存在が分かるのだ。

だから、クリティカルな製品を開発する企業は、リスク分析、リスクアセスメント、リスクコントロール手段の設計と実装、検証、妥当性確認を行う義務を負っている。

さて、「原子炉が制御不能になる」のリスク分析に話を戻そう。「原子炉が制御不能になる」のリスク評価は、現実に事故が起こったことで、発生確率の評価は厳しい方向に動いた。結果的に、リスクは受容できないという判断になった。

この場合、この後どうしたらよいだろうか。リスクコントロール手段の一つとして「原子力発電をしない」という選択肢がある。この対策を取れば、「原子炉が制御不能になる」というリスクからは解放される。現在の日本の状況がまさにこれに当たる。「原子炉が制御不能になる」というリスクの場合、重大さのレベルは破局的から下がることはないので、もしも、どうしても原子力発電を続けるのであれば新たなリスクコントロール手段によって、リスクを受容できるようになるのかどうかを判断しなければならない。

リスクマネジメントにより事故を未然に防ぐことができれば一番よいのだが、リスク対策は実際には発生してしまった事故に向き合うことで前進する。安全を本気で実現したいのなら、事故に正面から向き合うしかない。ただ、自組織の体験だけが必要なのではない。世の中で発生してしまった過去の事故、他社の事故も再発防止策を考えるのに役立つ。現実には事故を再発させない、再発させてはいけないという関係者共通の意志がリスクコントロールの進化を後押しするのである。

具体的なリスクを想定しないで部品を作っちゃう人たち

今回、リスク分析、リスクアセスメントを話題にしたのは理由がある。その理由を説明する前に次の2つの ISO 26262 に関連した各企業のプレスリリースを見ていただきたい。

1) 機能安全規格に対応した電子制御ユニット向け車載用マイコンの製品化について

車載電子制御ユニットを対象とした機能安全規格「ISO26262」が今年中には発行される見込みです。規格発行後は電子制御ユニットの中核部品であるマイコンに対して、一部の機能が故障しても安全に制御する「フェールセーフ」機能を搭載することが必要となります。

2) HEV/EV用モータ制御を効率化する角度センサ(レゾルバセンサ)の特性をプログラマブルに補正できる高性能マイコン「V850E2/PJ4-E」を発売
~機能安全規格ISO26262にも対応し、HEV/EV用モータシステムの高い安全性かつ低コスト化に貢献~

今後自動車業界で適応されるISO26262(注2)に対応するため、高度な故障検出技術を搭載しており、モータ制御など高い安全性が求められるシステムに対応できます。

また、これら車の普及促進に向けたシステムコスト低減も強く求められると共に、ISO26262が発行され安全要求への対応が求められております。

  
これらのプレスリリースに強い違和感を感じるのは、これらのマイコンメーカーはおそらく自動車の具体的なリスク分析やリスクアセスメントに基づいてマイコンを設計したのではないだろうという点だ。特に「規格発行後はフェイルセーフ機能を搭載することが必要となります」というくだりはひどい。規格が発行されるから安全対策が必要などというのは、本末転倒も甚だしい。ISO 26262 は自動車メーカやサプライヤが自分達が分析、設計した安全対策を国際標準に基づいて説明するためにある。

このブログの特集記事で常に訴えているように、エンドユーザーに対して安全の責務を負っていない者は平気でそのような発言をする。医療機器ドメインではそんな売り込みのされ方をしたことはないから、自動車開発にまつわる市場の大きさがそういったセールストークを作り出すのだろう。

さて、これらのプレスリリースの前者は、「一部の機能が故障しても安全に制御するフェールセーフ機能を搭載している」と書いてあり、後者はDual Core Lockstep(デュアルコア・ロックステップ):ロックステップを実行する2つのプロセッシングユニットの結果を随時比較して故障を検出する故障検出技術を搭載していると書いてある。

リスクを想定せずに安全設計はできない。なぜなら、すべてのリスクに有効なリスクコントロール手段など存在しないからだ。「一部の機能が故障しても安全に制御する」「故障を検出する機能を有する」という文言は一見どんなリスクにも効くように見えるが、ECU側でそれらの機能がリスクを低減するリスクコントロール手段になっていなければ意味がない。マイコンサイドはその機能がリスクを低減させると考えているのだろうが、具体的にどのようなリスクを低減することに効果があるのか分析しているとは思えない。

例えば、「高速走行中にブレーキが効かなくなる」というリスクに対してこれらのマイコンはどのように有効に働くのだろうか。カーブを高速走行中にブレーキアイテムに不具合が発生したことが分かったり、緊急処置としての補助プロセスが起動されたりしている間に車のコントロールが効かなくなってスピンし始めても、上記のようなマイコンの機能は車の制御を立て直すことができるのだろうか。そんなことはECUの設計者、自動車システム全体の設計者に聞いてくれと言うのだろう。リスク分析が行われずに、何にでも効くという部品を作っても意味がない。

ところで、前者のマイコンの場合、下記のように書かれているから、ペースペーカが動かないというリスクには有効かもしれない。
専用の監視回路の導入により、内部状態の故障が即時に検出でき、故障発生箇所を絞り込むことが可能となります。そのため当社のマイコンは、最低限の機能を確保しながら動作を継続する「フェールオペレーショナル」が可能な電子制御システムへの組み込みに適しています。
複雑なプログラムであるデマンドペーシングが何らかの原因で効かなくなったときに、最低限の機能で固定レートのペーシングを続けることができるかもしれない。

しかし、よく考えて見て欲しい。そうであったとしてもペースメーカの電源の供給が絶たれれば、そのリスクコントロール手段はまったく意味をなさなくなる。

この話は福島の原発事故とよく似ている。どんなに考え抜かれたリスクコントロール手段を準備していても、補助電源を用意していても、結局「原子炉が制御不能になる」というリスクを回避することはできなかった。まったく電源を使わない状態でも原子炉を冷やす手段は用意されていたが、オペレーションの問題もあって有効には働かなかった。

今回の記事で言いたいのは、リスク分析やリスクアセスメントをしないで、安全に効果があるなどと言うのはやめなさいということだ。部品の信頼性を高めることはできても、安全はリスクを想定しなければ効果を主張することはできない。リスクを想定しないで、安全をうたうのは間違いだ。

機能安全はそもそも、部品単位での信頼性の向上が、システム全体の安全に貢献するかのように受け取られる傾向がある。

クリティカルな製品を作ってユーザーに対する責務を負う立場になれば分かることだが、安全を確保するためには、さまざまなことに気を配らないと目的は達成できない。

例えば、安全を確保するために十分に検証されたコンパイラを使ったとしよう。それで安全が確保されたのか。そんなはずはない、十分に検証されたコンパイラは決して、誤ったコードをはき出すことはないのか、どんなに複雑な条件であっても決定論的故障は起こさないのか。コンパイラの取り扱い説明書に誤記があって、それを信じて誤った使い方をした場合、それはコンパイラの不具合ではないと言うのか。コンパイラが完璧であったとして、ミドルウェアに問題があったらどうするのか。

コンパイラには関係ないユーザビリティに関するリスクは重要ではないのか。電源喪失時のリスクは考慮しないでいいのか。安全を確保するために必要なことを挙げたらきりがない。どんな些細なことも見逃さないように対策を始めたら、時間と工数は無限にかかる。したがって、有限な時間と工数で安全な商品やサービスを提供するためには、リスク分析、リスクアセスメントは欠かせない。ユーザーに対して最もリスクの高い障害のリスクコントロールから順番に対策を取っていかなければ、リスク対策は終わらない。

部品やツールの信頼性の検証活動は、システム全体のリスクコントロールのほんの一部でしかない。それだけに注力を注いでも、大元のリスクが大幅に軽減できるとは限らない。商品やシステムに責任を負うものは、それらをひっくるめてユーザーに降りかかるリスクを受容できるレベルまでコントロールしなければいけない。

自分はたまたまソフトウェアエンジニアでありながら、リスク分析、ハザード分析、リスクアセスメント、リスクコントロール手段の設計などを行いながら、商品の安全性と向き合ってきた。

ISO 26262の特集記事は、それらの経験を踏まえて、本当に安全を確保するにはエンジニアは何をやなければいけないのかを書いていきたいと思う。


【ISO 26262-2:2011 Part 2: Management of functional safety】

今回は ISO 26262-2 機能安全のマネジメント 5.2.2 安全ライフサイクルに関する注釈 を読み進んでいる。下記の図の説明となるので、図を手元に置きながら読んでもらった方がよいと思う。

※用語の定義の邦訳にあたり、ISO 26262 の全体像を説明する図も一部ことばを見直して Ver 1.01 としたので利用して欲しい。(ISO 26262 全体構造図 開くためのパスワードは"guild26262")








(「セーフティライフサイクルの外観開くためのパスワードは"guild26262") 











5.2.2 Explanatory remarks on the safety lifecycle
5.2.2 安全ライフサイクルに関する注釈

ISO 26262 specifies requirements with regard to specific phases and subphases of the safety lifecycle, but also includes requirements that apply to several, or all, phases of the safety lifecycle, such as the requirements for the management of functional safety.
ISO26262は、安全ライフサイクルの特定のフェーズとサブフェーズに関しての要求を定めまるが、安全ライフサイクルのフェーズ、機能安全のマネジメントのための要求などのようにいくつかの、またはすべてフェーズに適用される要求も含んでいる。

The key management tasks are to plan, coordinate and track the activities related to functional safety.
キーマネジメントタスクとは、機能安全に関連する活動を計画、調整、追跡することである。

These management tasks apply to all phases of the safety lifecycle.
これらのマネジメントタスクは安全ライフサイクルのすべてのフェーズに適用される。

The requirements for the management of functional safety are given in this part, which distinguishes:

つぎの部分で機能安全のマネジメントのための要求を与える:(部分は識別される)。

- overall safety management (see this clause);
- 全体的なセーフティマネジメント(この箇条を見よ)。

- safety management during the concept phase and the product development (see Clause 6);
- コンセプトフェーズ間のセーフティマネジメントと製品開発(箇条6を見よ)。

- safety management after the item's release for production (see Clause 7).
- 生産(箇条 7を見よ)のためのアイテムのリリースの後のセーフティマネジメント。

The following descriptions explain the definitions of the different phases and subphases of the safety lifecycle, as well as other key concepts:
以下の説明文では異なるフェーズの定義とセーフティライフサイクルのサブフェーズについて他の重要な考えと同様に説明する。:

a) The subphase:
a) サブフェーズ:

item definition
アイテム定義

The initiating task of the safety lifecycle is to develop a description of the item with regard to its functionality, interfaces, environmental conditions, legal requirements, known hazards, etc.
セーフティライフサイクルに関する開始タスクは、機能性、インタフェース、環境条件、法的要求、周知のハザードなどに関してアイテムの説明を作成することである。

The boundary of the item and its interfaces, as well as assumptions concerning other items, elements, systems and components are determined (see ISO 26262-3:2011, Clause 5).
アイテムとそのインタフェースの境界、および他のアイテムに関する仮定、要素、システム、およびコンポーネントは決められている。(ISO26262-3:2011を見よ。箇条 5)。

b) The subphase:initiation of the safety lifecycle
b)サブフェーズ:セーフティライフサイクルの開始

Based on the item definition, the safety lifecycle is initiated by distinguishing between either a new development, or a modification of an existing item.
アイテム定義に基づいて、セーフティライフサイクルは、新規開発か、既存アイテムの変更のどちらであるかを識別することによって開始される。

If an existing item is modified, the results of an impact analysis are used to tailor the safety lifecycle (see ISO 26262-3:2011, Clause 6).
既存アイテムが変更されているなら、インパクト分析の結果は、セーフティライフサイクルをテーラリングするのに使用される。(ISO26262-3:2011を見よ。箇条 6)。

c) The subphase:hazard analysis and risk assessment
c) サブフェーズ:ハザード分析とリスクアセスメント

After the initiation of the safety lifecycle, the hazard analysis and risk assessment is performed as given in ISO 26262-3:2011, Clause 7.

セーフティライフサイクルの開始の後、ハザード分析およびリスクアセスメントが ISO26262-3:2011、箇条7 によって実行される。

First, the hazard analysis and risk assessment estimates the probability of exposure, the controllability and the severity of the hazardous events with regard to the item.

まず最初に、ハザード分析とリスクアセスメントでは、アイテムに関して危険な事象の暴露の確率、コントローラビリティ、および重大度を推定する。

Together, these parameters determine the ASILs of the hazardous events.
これらのパラメータは危険な事象のASILを同時に決定する。

Subsequently, the hazard analysis and risk assessment determines the safety goals for the item, with the safety goals being the top level safety requirements for the item.

次に、ハザード分析とリスクアセスメントは、トップレベルの安全要求であるセーフティゴールとともに、そのアイテムのセーフティターゲットを決定する。

The ASILs determined for the hazardous events are assigned to the corresponding safety goals.
危険な事象のために決定するASILは対応するセーフティゴールに割り当てられる。

During the subsequent phases and subphases, detailed safety requirements are derived from the safety goals.
その後のフェーズとサブフェーズの間、詳細な安全要求がセーフティゴールから派生して得られる。

These safety requirements inherit the ASIL of the corresponding safety goals.
これらの安全要求は対応するセーフティゴールのASILを引き継ぐ。

d) The subphase:functional safety concept
d) サブフェーズ:機能安全コンセプト

Based on the safety goals, a functional safety concept (see ISO 26262-3:2011, Clause 8) is specified considering preliminary architectural assumptions.
セーフティゴールに基づいて、機能安全コンセプト(ISO26262-3:2011、箇条8を見よ)は予備的なアーキテクチャの仮定を考慮して明示される。

The functional safety concept is specified by functional safety requirements that are allocated to the elements of the item.
機能安全コンセプトはアイテムの要素に割り当てられる機能安全要求によって指定される。

The functional safety concept can also include other technologies or interfaces with external measures, provided that the expected behaviours thereof can be validated (see ISO 26262-4:2011, Clause 9).
また、機能安全コンセプトは、妥当性が確認され、予想された振る舞いを提供できるのであれば、外部計測を伴うインタフェースや他の技術を含むことができる。(ISO26262-4:2011を見よ。箇条9)。

The implementation of other technologies is outside the scope of ISO 26262 and the implementation of the external measures is outside the scope of the item development.
ISO26262のスコープの外に他の技術の実装がある。そして、外部計測の実装はアイテム開発のスコープの外側となる。

e) The phase:product development at the system level
e) システムレベルにおける製品開発

After having specified the functional safety concept, the item is developed from the system level perspective, as given in ISO 26262-4.
機能安全コンセプトを明示した後に、アイテムはISO26262-4で与えられるようにシステムレベル見地で開発される。

The system development process is based on the concept of a V-model with the specification of the technical safety requirements, the system architecture, the system design and implementation on the left hand branch and the integration, verification, validation and the functional safety assessment on the right hand branch.
システム開発プロセスはテクニカル安全要求によってVモデルの概念に基づいている。Vモデルの左手の枝にはシステムアーキテクチャ、システム設計、実装が、Vモデルの右側の枝には、結合、検証、バリデーション、および機能安全評価がある。

The hardware-software interface is specified in this phase.
ハードウェア-ソフトウェアインタフェイスはこのフェーズで指定される。

Figure 1 provides an overview of the subphases of the product development at the system level.
図1はシステムレベルで製品開発のサブフェーズに関する概要を提供する。

The product development at the system level incorporates validation tasks for activities occurring within other safety lifecycle phases, including
システムレベルの製品開発は他のセーフティライフサイクルフェーズの中で発生する次のような活動のためのバリデーションタスクを組み入れる。

- the validation of the aspects of the functional safety concept that are implemented by other technologies;
- 他の技術で実装される機能安全コンセプトの側面のバリデーション

- the validation of the assumptions concerning the effectiveness and the performance of external measures;
- 外部計測の有効性及び性能に関する仮定のバリデーション

- the validation of the assumptions concerning human response, including controllability and operational tasks.
- コントローラビリティ及びオペレーションを含む人間の応答に関する仮定のバリデーション

The release for production is the final subphase of the product development and provides the item’s release for series production (see ISO 26262-4:2011, Clause 11).
生産のためのリリースは、製品開発の最終的なサブフェーズであり、連続生産のためのアイテムリリースを提供する。(ISO26262-4:2011を見よ、箇条11)。

f) The phase:product development at the hardware level
f) フェーズ:ハードウェアレベルにおける製品開発

Based on the system design specification, the item is developed from the hardware level perspective (see ISO 26262-5).
システム設計仕様に基づいて、アイテムはハードウェアレベルの見地から開発される。(ISO26262-5を見よ)。

The hardware development process is based on the concept of a V-model with the specification of the hardware requirements and the hardware design and implementation on the left hand branch and the hardware integration and testing on the right hand branch.
ハードウェア開発過程はハードウェア要件の仕様でVモデルの概念に基づいている。左の枝ではハードウェア設計とインプリメンテーションが、右の枝ではハードウェアインテグレーションとテストがある。

Figure 1 provides an overview of the subphases of the product development at the hardware level.
図1はハードウェアレベルで製品開発のサブフェーズに関する概要を提供する。

g) The phase:product development at the software level
g) フェーズ:ソフトウェアレベルにおける製品開発

Based on the system design specification, the item is developed from the software level perspective (see ISO 26262-6).
システム設計仕様に基づいて、アイテムはソフトウェアレベルの見地から開発される(ISO26262-6を見よ)。

The software development process is based on the concept of a V-model with the specification of the software requirements and the software architectural design and implementation on the left hand branch, and the software integration and testing, and the verification of the software requirements on the right hand branch.
ソフトウェア要求の仕様、ソフトウェアアーキテクチャデザイン、およびインプリメンテーションが左手にあって、ソフトウェア統合、テスト、およびソフトウェア要求の検証が右手にあり、ソフトウェア開発プロセスはVモデルの概念に基づいている。

Figure 1 provides an overview of the subphases of the product development at the software level.
図1はソフトウェアレベルで製品開発のサブフェーズに関する概要を提供する。

h) Production planning and operation planning
h) 生産計画と運用計画

The planning for production and operation, and the specification of the associated requirements, starts during the product development at the system level (see ISO 26262-4).
製品開発の間、生産と運用のための計画立案、および関連要求の仕様はシステムレベルで始まる(ISO26262-4を見よ)。

The requirements for production and operation are given in ISO 26262-7:2011, Clauses 5 and 6.
ISO26262-7:2011箇条5と6 で生産と運用のための要求を与える。

i) The phase: production and operation, service and decommissioning
i) フェーズ:生産、運用、サービス、および廃棄

This phase addresses the production processes relevant for the functional safety goals of the item, i.e. the safety-related special characteristics, and the development and management of instructions for the maintenance, repair and decommissioning of the item to ensure functional safety after the item's release for production (see ISO 26262-7:2011, Clauses 5 and 6).
このフェーズは、アイテムの機能安全ゴールに関連した生産プロセスを扱う。すなわち、安全関連の特別な特性、保守や修理、開発、アイテムリリース後の機能安全を確実にするためのアイテムのデコンポジッションのための指示、訓練の開発やマネジメントなど。(ISO26262-7:2011を見よ、箇条5と6)。

j) Controllability
j) コントローラビリティ

In the hazard analysis and risk assessment (see ISO 26262-3:2011, Clause 7), credit can be taken for the ability of the driver, or the other persons at risk, to control hazardous situations.
ハザード分析とリスクアセスメント(ISO26262-3:2011を見よ、箇条7)で、危険な状態をコントロールするためのドライバーや危険に遭遇するその他の人々の技量の信頼度である。

The assumptions regarding the controllability in the hazard analysis and risk assessment and the functional and technical safety concept are validated during the safety validation (see Figure 2 and ISO 26262-4:2011, Clause 9).
ハザード分析とリスクアセスメントにおけるコントローラビリティに関する仮定と機能的でテクニカルなセーフティコンセプトは安全バリデーションの間で妥当性が確認される。(図2と ISO 26262-4:2011を見よ、箇条9)。

NOTE The exposure and the severity are factors that depend on the scenario.
ノート 暴露と重大度は、シナリオに依存する要素である。

The eventual controllability through human intervention is influenced by the design of the item and is therefore evaluated during the validation (see ISO 26262-4:2011, 9.4.3.2).
人間の介入の結果として起こるコントローラビリティは、アイテムのデザインによって影響を受ける。したがって、バリデーションの間、評価される(ISO26262-4: 2011、9.4.3.2を見よ)。

k) External measures
k) 外部手段

The external measures refer to the measures outside the item, as specified in the item definition (see Figure 2 and ISO 26262-3:2011, Clause 5), that reduce or mitigate the risks resulting from the item.
外部手段はアイテム定義で示される(図2とISO 26262-3:2011を見よ、箇条5)アイテムから生じるリスクを低減または緩和するアイテムの外側の手段を示す。

External measures can include not only additional in-vehicle devices such as dynamic stability controllers or run-flat tyres, but also devices external to the vehicle, like crash barriers or tunnel fire-fighting systems.
外部手段はダイナミック安定制御装置やランフラットタイヤなどの追加的な車内のデバイスだけではなく、中央分離帯やトンネル消防システムのように車の外部のデバイスも含むことができる。

The assumptions regarding the external measures in the item definition, the hazard analysis and risk assessment and the functional and technical safety concept are validated during the safety validation (see Figure 2 and ISO 26262-4:2011, Clause 9).
アイテム定義、ハザード分析、およびリスクアセスメントにおける外部手段と機能的でテクニカルな安全コンセプトに関する仮定はセーフティバリデーションの中で妥当性が確認される(図2とISO 26262-4:2011を見よ、箇条9)。

External measures can be considered in the hazard analysis and risk assessment.
ハザード分析とリスクアセスメントで外部手段を考慮できる。

However, if credit is taken from an external measure in the hazard analysis and risk assessment, that external measure cannot be considered as a risk reduction in the functional safety concept.
しかしながら、ハザード分析とリスクアセスメントの中で外部手段から信用を得るなら、その外部手段は機能安全コンセプトの中ではリスク軽減と見なすことはできない。

ISO 26262 also applies to those external measures that are in the scope of ISO 26262.
また、ISO26262はISO26262のスコープのある外部手段として適用される。

l) Other technologies
l) 他の技術

Other technologies, e.g. mechanical and hydraulic technologies, are those different from electrical and/or electronic technologies that are in the scope of ISO 26262.

他の技術(例えば、機械技術、流体技術)はISO 26262のスコープの中にある電気的な、そして/または、電子の技術とは異なる技術である。

These can be considered in the specification of the functional safety concept (see Figure 2 and ISO 26262-3:2011, Clause 8), during the allocation of safety requirements (see ISO 26262-3 and ISO 26262-4), or as an external measure.

これらは、安全要求(ISO26262-3とISO26262-4を見よ)の割り当ての間、または、外部手段において機能安全コンセプト(図2とISO 26262-3:2011を見よ、箇条8)の仕様を考慮することができる。

NOTE If an implementation in another technology is specified as an external measure, then it can be useful to repeat the hazard analysis and risk assessment to consider the associated risk reduction, which could potentially result in a reduced ASIL of a corresponding safety goal.

注意 もしも、他の技術の実装が外部手段によって指定されているのであれば、セーフティゴールに対応する潜在的に減少されたASILによって関連するリスクの軽減を考慮するハザード分析やリスクアセスメントを繰り返すことに役立つ。

投稿者 0 コメント この投稿へのリンク
ラベル:
登録: 投稿 (Atom)