2011-12-04

ISO 26262との向き合い方 (2) イントロダクションを読む

自分は組織内で次の(2)の立ち位置にいる。

(1) 規格適合を求める外部機関→(2) 組織内の規格適合推進者→(3) 現場のソフトウェアエンジニア

(1) と (3) の間にあって、現場には時には厳しく、時にはエンジニアと一緒になって作業をしたり、目的に導くための教育や指導をしている。

ドメインは違うものの自動車ドメインでも (2) の立場の者の活躍なしに規格適合を現場にプラスになる形でやりきることは困難だと予測する。

(3) が日程に追われ、やらなければいけないことが山積みになっていることはよく分かっているつもりだ。だから、(3) の成熟度や安全への本気度に応じて対応を変えている。ただし、ユーザーの安全が脅かされるような危険性があると感じたときは容赦はしない。

日本のエンジニアはこれまでは安全で信頼性の高い製品をアウトプットできてきた。そのベースには Awareness: Worrying about Quality 品質を心配する意識の大きさがある。詳しくは『USとJapanの文化の違いと商品品質との関係』の記事を読んで欲しい。トヨタ自動車とアメリカのGMの両方を経験された吉村達彦氏が感じたのは、日本人技術者は Awareness: Worrying about Quality が大きく、USではそれが小さいということだ。そして、USでは、ルールや責任を重んじ、システムやツールをうまく利用する。日本人は、ルールや責任に重きを置かず、システムやツールの利用もうまくない。しかし、人一倍  Awareness: Worrying about Quality : 品質を心配する意識が強い。プロジェクトメンバの一人一人の品質を心配する意識が、総力となって日本の高品質の製品をアウトプットしてきた。

ISO 26262 は、ルールや責任に重きを置き、システムやツールの利用がうまいが、品質を心配する意識が小さい人たちのための規格であるという印象が強い。熟練した職人を意識した規格ではない。

だから、ツールや責任に重きを置かず、システムやツールの利用がうまくない、日本人技術者は「これまではできてきたのに」「これで本当に安全を確保できるのか」という感覚を持つと思う。 Awareness: Worrying about Quality : 品質を心配する意識 がこれまでに高品質を実現してきたのに、それを否定されているかのようにも感じるだろう。だからこの規格は日本では形骸化しやすい。

ではどうすればいいのか。まず、最初にやるべきことは規格が要求している安全の実現という目標に対して価値観を一致させる、すなわち方法論はとりあえず横に置いておいて、規格のコンセプトと対峙し、規格と自分たちが共通の目的の実現を目指しているという認識を持つことだ。

そのためには、規格の前文をよく読む必要がある。規格の前文にはその規格が目指していることが書かれている。それを繰り返し読むことから始めるのがよい。

それでは規格原文のイントロダクションを少しずつ読み進んでいこう。邦訳の間違いについてはコメントで指摘して欲しい。

→は自分の解釈やコメントを示す。

Introduction
イントロダクション
ISO 26262 is the adaptation of IEC 61508 to comply with needs specific to the application sector of electrical and/or electronic (E/E) systems within road vehicles.
ISO 26262は路上を走行する自動車の電気的な、または電子システムの領域のニーズに従うIEC 61508への適合である。 
→E/E のような用語の定義は ISO 26262-1:2011 Part 1: Vocabulary に書かれているので Part 1: Vocabulary は手元に置いておく必要がある。ことばの定義はキチンと書かれているので正確に把握しておく。例えば「E/E system は system (1.129) that consists of electrical and/or electronic elements (1.32), including programmable electronic elements. E/Eシステムとは 電気的またはプログラマブルな電子構成要素を含む電子構成要素からなる。EXAMPLE Power supply; sensor or other input device; communication path; actuator or other output device.」と説明されている。(1.129)や (1.32)は用語の説明が別にあるということ。これらすべての意味を理解しておく。
→この一文はようするに ISO 26262 は自動車向けの IEC 61508 機能安全規格であるということ。(余談だが、医療ドメインのソフトウェアライフサイクルプロセスの規格 IEC 62304 が IEC 61508 の派生規格であると言ったり、書いたりする人がたくさんいて、見つけるたびに間違いを指摘している。嘘だと思うなら IEC 62304:2006 の本文で functional safety というフレーズを検索してみるとよい。まったく出てこない) 
This adaptation applies to all activities during the safety lifecycle of safety-related systems comprised of electrical, electronic and software components.
この適合は電気的、電子・ソフトウェアからなる安全関連システムの安全ライフサイクルの間のすべての活動に適用される。
→自動車における安全に関係するシステムの開発から廃棄まで全期間においてこの規格が適用されるということ。 
Safety is one of the key issues of future automobile development.
安全は今後の自動車開発のキーとなる問題点の1つである。 
→ここが大事。安全の確保のために必要なことをこの規格は要求している。それを実践することが安全の確保につながるという意識を持つことが大事だ。
New functionalities not only in areas such as driver assistance, propulsion, in vehicle dynamics control and active and passive safety systems increasingly touch the domain of system safety engineering.
{自動車の}新しい機能はドライバーの補助、推進力、車両力学制御、アクティブ、パッシブセーフティのような領域だけでなく、ますます、システム安全工学の領域に踏み込んできている。 
→障害物を検知して自動的にブレーキがかかるようなシステムも実用化されている。(スバルのプリクラッシュブレーキのCMで最後に一瞬だけ注意事項の文言が表示されることにお気づきだろうか。このようなインテリジェンスを持った安全機能はメーカーは最大限ユーザーにその効果効能をアピールしたいが、その機能には限界や保証できないことがあるということをよく見て欲しい)エアーバッグシステムも同じだ。 
Development and integration of these functionalities will strengthen the need for safe system development processes and the need to provide evidence that all reasonable system safety objectives are satisfied.
これらの機能の開発と統合は、安全システム開発プロセスの必要性と、すべての妥当なシステム安全目標が満足しているという証拠を提供する必要性を強くするだろう。 
→安全性を内外に示すためにはその妥当性を証拠・証跡によって示すことが求められる。日本人には苦手な領域ではあるが、これはグローバルマーケットで商売をしている限りやらなければいけないことである。 
With the trend of increasing technological complexity, software content and mechatronic implementation, there are increasing risks from systematic failures and random hardware failures.
増強する技術的な複雑さ、ソフトウェア内容、およびメカトロニクスの実装の傾向と共に、決定論的原因故障とランダムハードウェア故障から増加するリスクがある。 
→今後 ISO 26262 が必要になる理由はここにある。自動車は安全を実現するための付加価値を次々にユーザーに提供するようになるのだが、これによりシステムはどんどん複雑になり、決定論的原因故障が増加するのは間違いない。この対策を取らなければ利用者の安全は脅かされてしまう。このことには現場のエンジニアも同意してくれるはずだ。『Random Failures と Systematic Failures の違い』を参照のこと。 
ISO 26262 includes guidance to avoid these risks by providing appropriate requirements and processes.
ISO 26262は、適切な要求とプロセスを提供することによってこれらの危険を避けるためのガイダンスを含んでいる。 
→ISO 26262 はそのリスクを規格要求とプロセスによって回避しようとしている。日本のエンジニアは本当にそれで安全が実現できるのかどうかを納得できるまで考える必要がある。 
System safety is achieved through a number of safety measures, which are implemented in a variety of technologies (e.g. mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic) and applied at the various levels of the development process.
システム安全は多くの安全対策を通して達成される。安全対策は、さまざまな技術(例えば、メカニカルな、水中力学の、空気の作用による、電気の、プログラム可能な電子的な技術)で実装されて、開発プロセスの様々なレベルで適用される。 
→自動車の安全は一つの領域では達成できないという主張は同意できる。ハードウェアだけでもソフトウェアだけでもダメで、安全を実現するためのリスクコントロールをすべての領域の総合力によって実施する。 よってサプライヤ任せ、各担当任せで安全は確保できない。それぞれが安全に関する情報を共有し合って、納得し合って製品を作り上げなければいけない。
Although ISO 26262 is concerned with functional safety of E/E systems, it provides a framework within which safety-related systems based on other technologies can be considered.
ISO 26262は電気・電子システムの機能安全に関係があるが、それは他の技術に基づく安全関連システムも考慮できるフレームワークを提供する。 
ISO 26262:
ISO 26262 は次を提供する 
a) provides an automotive safety lifecycle (management, development, production, operation, service, decommissioning) and supports tailoring the necessary activities during these lifecycle phases;
a) 自動車の安全性ライフサイクル(マネジメント、開発、生産、運用、サービス、廃棄)を前提として、これらのライフサイクル段階の間、必要な活動の実現をサポートする。 
b) provides an automotive-specific risk-based approach to determine integrity levels [Automotive Safety Integrity Levels (ASIL)];
b) 自動車安全インテグリティレベル(ASIL)を決定するため、自動車の固有のリスクベースアプローチを提供する。 
→IEC 61508 では SIL という指標があるが、ISO 26262 では自動車用にカスタマイズしている。その内容については ISO 26262-9:2011 Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses に詳しい説明がある。 
c) uses ASILs to specify applicable requirements of ISO 26262 so as to avoid unreasonable residual risk;
c) 合理的でない残留リスクを避けるためにISO 26262の規定要件を指定するのにASILを使用する。 
d) provides requirements for validation and confirmation measures to ensure a sufficient and acceptable level of safety being achieved;
d) 達成される安全の十分で受容できるレベルを確実にするための妥当性確認と判断基準の要求を提供する。 
e) provides requirements for relations with suppliers.
e) サプライヤとの関係に関する要求を提供する。 
Functional safety is influenced by the development process (including such activities as requirements specification, design, implementation, integration, verification, validation and configuration), the production and service processes and by the management processes.
機能安全は開発プロセス(要求仕様書、設計、実装、統合、検証、妥当性確認、および構成管理のような活動を含んでいる)と、生産と保守プロセスとマネジメントプロセスに影響を受ける。 
Safety issues are intertwined with common function-oriented and quality-oriented development activities and work products.
安全問題は一般的な機能指向と品質指向の開発活動と作業の成果物をからめていく。
→機能を実装するのは顕在的価値の実現、 当たり前品質を含む品質を作り上げるのは潜在的価値の実現である。システムが複雑になればなるほど、これらは分けて考えられなくなってくる。将来カーナビゲーションの情報(今どこを走っているのかといった情報)が自動車の安全の実現に使われるかもしれない。ブレーキは安全にのみ使われ、カーナビ、オーディオのような機能とはアイソレート(隔絶)されているという時代は終わりつつある。その場合、安全を実現する要素の他の要素との結合度や安全機能自体の凝集度を内外に示せるようにしておく必要がある。今後起こりうる安全問題は機能面と品質面の両方をプロセスで作り上げた証拠によって説明しなければいけない。
ISO 26262 addresses the safety-related aspects of development activities and work products.
ISO 26262は開発活動と作業の成果物の安全に関連する面を扱う。 
Figure 1 shows the overall structure of this edition of ISO 26262.
図1はISO 26262のこの版の全体的な構造を示している。 
ISO 26262 is based upon a V-model as a reference process model for the different phases of product development.
ISO 26262は製品開発の異なったフェーズのためのから参照プロセスモデルとしてVモデルに基づいている。
Introduction の文章と Overview of ISO 26262 の図は ISO 26262-1:2011 のすべてのパートの先頭に挿入されている。

ISO 26262 の全体像を説明する図は非常に重要であり、常に手元において眺めておく必要がある。原文の図をトレースしなおしたものと邦訳したものをPDFにしたのでダウンロードして利用していただきたい。(ISO 26262 全体構造図 開くためのパスワードは"guild26262")

12/9 まで引き続きアンケートをお願いします。(ブログの右上)

0 件のコメント: