2011-12-05

ISO 26262との向き合い方 (3) 規格認証とスコープについて

ISO 26262 に関する記事をもっと書いて欲しいという意見が多いので、しばらくこのテーマを続けていこうと思う。(引き続き 12/9 まで右上から二番目の投票はお願いします。一番上は本テーマの記事一覧です。)

今後の構想としては、1. 一般的な話題 2. 規格の内容と考察 という記事構成で進めようかと思っている。

では

【規格認証について】

ISO 26262 に関して規格適合の認証や“コンサルテーションをやります”という会社が続々と出現している。老舗もあれば、新規参入の会社もある。

製品の安全に対して責任を負うメーカーや、開発の委託を受けるサプライヤによく考えて欲しいことがある。それは規格適合を認証したり、コンサルテーションした会社は、規格適合認定後に発生した安全に関する事故に対してなんら保証はしないということだ。

規格適合を認証した認証機関は、その製品や組織の安全性や信頼性を保証するわけではない。特にプロセス規格、ソフトウェアに関する規格に関して、なんらかの保証を与えることはできない。

一方、電気的安全性に関する規格適合に関しては、それを試験した試験所は試験内容について責任を負っている。試験の判定基準(Criteria)が明確だから、試験結果に対して責任を持つことができる。公正で正しい試験をしていることを証明できる。試験所は ISO/IEC 17025 試験所及び校正機関の能力に関する一般要求事項 の認定を取っているから、いい加減な試験レポートを出していると、試験所としての ISO/IEC 17025 の認定を取り消されてしまうのだ。

ところが、プロセス規格、ソフトウェア規格に関しては白黒が明確に判断できない要求事項だらけなので、規格認証自体の公正性、厳格性を評価することは難しい。CMMIのすごいところはなんだかんだいってそれをやりきったところだが、最近は CMMI のレベルに関する話題をあまり聞かない。ISO 26262 に関しては規格適合の成熟度のような指標はまだない。そうなると「強く推奨する」などという要求に対して適合の公正性や厳格性を問うこと自体意味がない。

よって、プロセス規格、ソフトウェア規格の適合にはかなりの範囲があると言える。はっきり言うと厳しめにも甘めにもできる。正当性を主張することが可能なのだ。ところが、こと外部規格に関しては日本人の技術者は免疫がない(ディベートのような議論のトレーニング経験がない)ため、ノーガードできついパンチを打たれる者が多い。ハタから見ていると打たれるのが好きなのではないかと思うくらい、言われるがままのように見える。

そうではなくて、日本の技術者は自分達の強みややってきたことを自信を持って主張して欲しい。ただ、そのとき相手が要求していることの意味を理解した上で主張して欲しいのだ。

規格認証機関に厳しく審査され、やっと適合を受けたとしても、適合を受けた組織、システム、コンポーネントの安全性が保証された訳ではない。何かあったときの責任を取るのは自分達なのだ。だったら、納得のしてから要求を呑むのが筋というものだ。

USのFDAや日本の厚生労働省などは医薬品、医療機器に関して規制当局としての責任を負う。USではFDAは消費者団体から認定が甘いという批判を受けて、認定を厳しくしたし、日本では注射器を使い回しを禁じていなかったことが原因で広がったB型肝炎、C型肝炎に関する訴訟が起こされ国が責任を問われている。

自動車の場合どうだろうか。規格適合を認定した機関やコンサルタントは規格認定をしたのに事故が発生したらその損害賠償責任を一部負ってくれるのだろうか。安全性を保証してくれる訳ではないし、損害賠償責任を問われることもない。よって ISO 26262 への適合は“安全保証のお墨付き”ではない。

安全に対する責任を負うということは、すなわち人の命に関わる責任を負うということだ。これはメディカルのドメインだけの話だけではない。自動車だって安全に関する機能や性能が期待どおりに動かなかったら、死に至るリスクがある。ブレーキが期待どおりに働かなかったら人が死ぬ危険がある。制動という機能や性能が、自動車の中で走行という機能や性能から完全に独立しているのであれば、制動に対する責務はブレーキのサプライヤに凝集できる。(ブレーキとアクセルの両方を同時に踏まれたときはブレーキを優先するという制御は必要だが)

その場合は、ブレーキを供給するサプライヤのみが安全に対する責務を全うすればよい。そうだからこそ、ブレーキという機能や性能の価値は高まり、ブレーキ安全に対する対価も上がり、安全なブレーキシステムを供給するサプライヤの評価も上がる。

しかし、ハイブリッド車はどうだろうか。制動という機能や性能はブレーキだけに凝集しているだろうか。現状ではドライバーがブレーキを踏んだときに回生エネルギーを回収するため、内部では複雑な機能連携を行っている。そうなったら、制動に関する責務はブレーキを製造するサプライヤだけに集約できない。だからこそ、ISO 26262 のような組織全体、プロジェクト全体に渡る安全管理を継続的に実施する必要があり、安全に関する責務、責任は一つのサプライヤに集約しにくくなってきている。だから、この機能に関しては○○サプライヤに任せておけばよいというアプローチでは安全が確保できない。(安全機能をコンポーネントに集約して、責務を閉じ込めるというアーキテクチャ設計のアプローチは可能で、その状態を可視化することは有効だ)

規格認定機関やコンサルタントは、ユーザーのリスクに対する責任は負わない。ユーザーに対する責任はメーカーが負う。ISO 26262に適合したシステムやコンポーネントを採用したメーカーは、ISO 26262 の認証があるかどうかよりも、認証に使ったドキュメント、エビデンスを評価することになる。規格に適合することのメリットは、共通の規範要求に対するアウトプットを安全管理者がレビューしやすいということにある。そして、絡み合ったコンポーネントで安全機能を実現する場合、その安全を管理する安全管理者はユーザーに対して責任を負う者でなければいけない。(自動車メーカーが担うことになるはず)

ISO 26262 の中では、2. Management of functional safety (機能安全のマネジメント)のパートの中で、開発からリリース後までの安全管理のマネジメント要求が書かれている。この部分を立案するのは、ユーザーに対して安全の責任を負う者でなければおかしい。ようするに自動車メーカーのことだ。制動の例で示したように制動のような自動車の安全に関する責務がコンポーネントに集約しきれない(コンポーネント同士の協調によって安全に関する機能や性能が実現するという意味)のなら、ISO 26262 の Part 2 を自動車メーカーがサプライヤに丸投げすることはできない。

よって、ISO 26262 によって自動車の安全に対する責務を全うするのならば、自動車メーカーは、まず、2. Management of functional safety (機能安全のマネジメント)の指針をサプライヤを含むプロジェクト関係者全体に示す必要がある。もしも、あなたがサプライヤの技術者で、自動車メーカーから 2. Management of functional safety (機能安全のマネジメント)の指針を示されていないのならば、この状況下で右往左往するのではなく、まずは規格要求について理解を深めることをお勧めする。

安全管理者からの指針が末端にまで行き渡っていないという状況は、規格の基本的な理念にこの段階で沿っていないことを示している。

もしも、何から手を付けたらよいのは分からない技術者が、何かしなければいけないと思っているのであれば、自分が作っている、これから作ろうとしているハード、ソフトが自動車の安全という側面から見たときにどのようなリスクを持つのかハザード解析をしてみるとよい。( 3.7 Hazard analysis and risk assessment )

もしも、自分が関わっている ECU もしくはソフトウェアコンポーネントの、エンドユーザーに対するリスクが分からない場合は、要求された仕様どおりのものを作るしかない。この物づくりの仕方は日本的ではないと常々思っている。インプットに対して正確なアウトプットを出力し、インプットとアウトプットの整合を検証(Verify)するところで留める。そして、この作業者は安全に対して責任を負わない。安全に対する責任を負っているのは、どのようなリスクが存在するのかを知った上で、このコンポーネントの仕様を書いた者、若しくは組織内の品質保証担当である。

自分は、日本人が作る製品の品質の高さはこんなことで実現しているとは思わない。こうではなく、末端の作業者一人一人がエンドユーザーのリスクを意識しながら Awareness: Worrying about Quality 品質を心配する意識 を高く持つ物づくりをしているから、安全を確保できているのだと思う。ただ、一人の技術者が全体を把握できないほどシステムが複雑化しているのも事実であり、Awareness: Worrying about Quality 品質を心配する意識 だけではこれまでのように安全を確保し続けることはできないことは分かっている。

だからといって、日本人の技術者は自分達の強みを簡単に捨て去るべきではないと思う。だからこそ、日本の技術者は日本人の良さを活かすためにも、自分が作っているものに対するエンドユーザーのリスクについてハザード分析をするべきだと考える。簡単に言えば、エンドユーザーの気持ちになって、どんなリスクがあるのか、どんな障害があり得るのか、事故が起こったらどのような被害を被るのかをリストアップして、重み付けし、それに対する対策を掲げてみるとよい。

まずは、自分達がアウトプットする成果物が自動車の安全の一端を担っているのかどうか、より分けていくことから始めても良い。

繰り返すが、ISO 26262 への適合を目指すのは、適合していることを誰かに自慢するためではない。自分達がアウトプットする製品の安全性を実質的に高め、安全性が高いことを客観的な証拠によって内外に示すためだ。そして安全が確保されたかどうかを示すには、ユーザーリスクが受容できるレベルまで低減できていることを示す必要がある。リスク分析、ハザード解析なしに、設計上の対策だけで安全性の高さを示すことなどできる訳がない。

【ISO 26262:2010 Scope】

ISO 26262-1:2011 の1~9の各パート には Introduction に続いて、Scope で規格の適用範囲についての説明が書かれている。Scope の大部分は各パートでほとんど同じことが書いてあり、最後の数行で各パートに関する説明がある。

ISO 26262-1:2011 Road vehicles -- Functional safety --
  1. ISO 26262-1:2011 Part 1: Vocabulary
  2. ISO 26262-2:2011 Part 2: Management of functional safety
  3. ISO 26262-3:2011 Part 3: Concept phase
  4. ISO 26262-4:2011 Part 4: Product development at the system level
  5. ISO 26262-5:2011 Part 5: Product development at the hardware
  6. ISO 26262-6:2011 Part 6: Product development at the software
  7. ISO 26262-7:2011 Part 7: Production and operation
  8. ISO 26262-8:2011 Part 8: Supporting processes
  9. ISO 26262-9:2011 Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses 
今回は Scope の共通部分を順に追っていこうと思う。→は規格内容に関するコメント。
Scope (範囲
ISO 26262 is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production passenger cars with a maximum gross vehicle mass up to 3 500 kg.
ISO 26262は車両総重量最大3500kgまでのシリーズで生産される乗用車に実装される一つ以上の電気・電子システムに含まれる安全関連システムに適用することを目的としている。 
→トラックやバスは ISO 26262 の範囲外だということ。乗用車以外でも共通のリスクはあると思うのだが、この規格では扱わないらしい。不思議だ。 
ISO 26262 does not address unique E/E systems in special purpose vehicles such as vehicles designed for drivers with disabilities.
ISO 26262は、ハンディキャップを持ったドライバーのために設計された自動車のように特殊な目的の車両に搭載される独自の電気・電子システムを扱わない。 
Systems and their components released for production, or systems and their components already under development prior to the publication date of ISO 26262, are exempted from the scope.
ISO 26262 の発行以前から開発中のシステムやコンポーネントや、規格発行前に{自動車}製造のためにリリースされていたシステムやコンポーネントは本規格のスコープから外されている。 
→すでに開発が終わっているシステムやコンポーネントは対象外ということ。ということは枯れたコンポーネントを使い続けていれば対象外ということか。本当にそれでいいのか。また、規格発行前と後で ECU やソフトウェアの構成を分けて管理できるのだろうか? 規格発行前に作ったコンポーネントに対してどんなに関連が強くても、対象外にしてしまっていいのだろうか。疑問は尽きない。
For further development or alterations based on systems and their components released for production prior to the publication of ISO 26262, only the modifications will be developed in accordance with ISO 26262.
ISO 26262 の発行前に生産のためにリリースされたシステムやコンポーネントをベースにした追加の開発や改変においては、変更点のみがISO 26262にしたがって開発される。 
→本当にそんなことできるのかなあ・・・ 
ISO 26262 addresses possible hazards caused by malfunctioning behaviour of E/E safety-related systems, including interaction of these systems.
ISO 26262 は電気・電子安全関連システム、これらのシステムの相互作用を含む故障によって引き起こされる可能性のある障害を扱う。 
→この部分が重要。システムの相互作用に関連する不具合を未然に防止するためにこの規格がある。 
It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy and similar hazards, unless directly caused by malfunctioning behaviour of E/E safety-related systems.
電気・電子関連システムの故障によって直接引き起こされない場合、電気ショック、火災、煙、熱、放射線、毒性、燃焼製、反応性、腐食、エネルギーの放出等のハザードは扱わない。 
→二次的な障害は扱わない。電気、電子システムに関する複雑性を伴う一次故障を扱う。 
ISO 26262 does not address the nominal performance of E/E systems, even if dedicated functional performance standards exist for these systems (e.g. active and passive safety systems, brake systems, Adaptive Cruise Control).
ISO 26262はたとえ、これらのシステムのために存在する機能的性能の標準(例えばアクティブ、もしくはパッシブセーフティシステム、ブレーキシステム、適用型クルーズコントロールなど)に専念していても、電気・電子システムの名目上の性能を扱わない。   
→the nominal performance of E/E systems とは、たとえセーフティシステムであっても、カタログでユーザーに性能をアピールするような部分に関しては範囲外ということではないかと思う。あくまでも安全に関する基本機能に関する部分だけを見るということか。

この後、各パートに関する説明が数行書かれる。この続きはまた後日。

0 件のコメント: