2011-12-17

ISO 26262との向き合い方 (5) 機能安全のマネジメント1

ISO 26262 に関するアンケートで 「 お金や工数がどれくらいかかるか知りたい。」に5票入っていた。そこで、インターネットでいろいろ調べてみたら、アメリカの KVA という会社が ISO 26262 のトレーニングのオーダーシートを公開しており、そこに金額が書かれているのを見つけた。(KVA のサイトURL http://www.kvausa.com


↓オーダーシートのURL はこちら
 http://www.kvausa.com/sg_userfiles/kVA_ISO26262_Training_Registration_2011_10.pdf

トレーニング項目と金額の部分だけ書くとこうなる。

Day 1: Functional Safety Management Training    $895 約7万円
Days 2 & 3: System and Hardware Level Implementation of ISO 26262
including FMEDA workshop and FMEDA Workbench database tool for reliability calculation according to ISO 26262
$2,095  約16万円
Day 4: Software Level Implementation of ISO 26262  $895  約7万円
Days 1, 2, 3 & 4: Special Bundled Rate  $3,755 約30万円
Days 1, 2, 3 & 4 Plus Qualifying Exam for FSCAE Certification
FSCAE examination not available without full 4-day training session
 $4,755  約37万円

1日目は機能安全マネージメントトレーニングで、2日目、3日目はシステム&ハードウェア実装、4日目がソフトウェア実装となっている。全部合わせると約30万円、一番下の行にある FSCAEとは Functional Safety Certified Automotive Engineer の略で、この会社が独自に設定した認定資格のことのようだ。この認定資格の試験を入れると総額で約37万円となる。

さて、日本のこのブログの読者の多くが、この価格を高いと感じたと思う。しかし、自分はそれほど驚かない。なぜかというと医療機器の世界でもアメリカでトレーニングを受けようとするとこれくらいの金額が要求されるからだ。

ここでよく考えて欲しい。欧米では安全や信頼はルール/責任、システム/ツール で確保するのだ。一方、日本では品質を心配する意識の強さが安全や信頼の実現に貢献している。しつこいようだが今一度『USとJapanの文化の違いと商品品質との関係』の記事を読み返して欲しい。

欧米では組織内のルール/責任に対する力が強いので、このようなトレーニングを受ける者は教育資格を根拠に組織内で責任と権限を持つ。そして資格を持ったものがトレーニングで得た知識と権限を使って、作業者へ指導をする。機能安全の要求実現に関しては資格保有者が上、作業者が下になる。組織で階層構造ができている場合に有効なアプローチだ。セーフティマネジメントのマネージャは規格の要求事項ができていないと判断したときには是正を要求できる権限を組織から与えられているし、是正を要求された方も粛々と実施する。しかし、定時になればきっちり帰る。後ろめたさはない。問題が発生したのはシステムがきちんと回っていなかったからであり、作業者の資質ではない。スキルが足らないのなら、追加のトレーニングを行う義務は組織にある。このような、是正の指摘を自分の失敗や恥じだとは思わない、考えない階層構造の組織において、品質システムはうまく機能する。

だからこそ、責任を任される者はその責任と権限に見合った知識、スキルを持っていないと上と下から「お前は能力がないから辞めろ」とか「あの上司は能力がないから辞めさせてくれ」と言われるし、逆に実績を積むことができればよりサラリーの高い組織に転職することも可能だ。だからこそ、アメリカではトレーニングに参加する者の知識を習得しようとする意気込みや真剣さが半端じゃない。分からないことは決してそのままにして帰らない。日本人がセミナーに参加する態度とは雲泥の差だ。

自分は日本でやられているほとんどのセミナーは受講者が話を聞くだけの一方的なものが多く、できるようになるまで徹底的にやる「トレーニング」ではないと思っている。トレーニングはできるようになるまでやるからこのように高いのだ。トレーニングする側の能力が低ければ客足はすぐに途絶える。それなり価値と知識やスキルを身につけさせられるという自信がなければ、これだけの金額にはできないだろう。

一方で外資系でも無料のセミナーはある。こういう場合は、その裏側にものすごく高いコンサルテーションやツールの購入を勧めるセールスが含まれていると考えた方がよい。ものすごく高いというのは、例えば1日コンサルテーションしてもらうと30万円とか、ライセンス一本あたり100万円のツールのことだ。このような費用が日本の会社の中で認められるかどうかは、組織上位層の人たちが安全や信頼を実現するための規格適合費用としてそれ相当の金(数百万円から数千万円)を支払う決心をしたときだけだ。日本のエンジニアがタダで安全や信頼を実現できている状況では認められるわけがない。

さて、欧米に比べて日本では役職の違いがありながら、特に技術分野ではフラットに近い組織構造になっており、また、マネージャーがマネージメントだけでなくエンジニアリングもやっていたりする。だから、プロジェクト内のマネージャやマネージャに指名されたベテラン技術者一人が上記のようなトレーニングを受けて、プロジェクトメンバーに「これに従え」と指示を出してもうまくいかないと思う。日本のエンジニアは「なぜ」「なんのために」について納得しないと動かない。逆に根拠も理解せずに今までのやり方を変えてしまうようなら非常に危ない。

日本の技術者はこのような縛りがなくても高い品質のハードウェア、ソフトウェアをアウトプットできる非常に珍しい人種だと感じる。たいしてトレーニングに費用をかけなくても高品質の製品を作ることができる。だからこそ、経営者はトレーニングに上記のようなお金がかかることについてなかなか理解を示さないと思う。

実際、日本では ISO 26262 の要求を社内ルールに取り込んでガイドラインを作り、そのガイドライン通りにものづくりをさせることで、形式的に規格要求を満たしたように見せるという作戦をとるだろうと予測する。いい悪いは別にして、説明責任を果たすためには、まずはそうするしかないのだ。欧米のように、一部の精鋭に資格を取らせて、そのリーダーの権限でヒエラルキーの組織構造の中で規格適合を推し進めるというやり方ではなく、関係者全員が一定の組織内ガイダンスにしたがうことで、降りかかってきた危機に対して全員でフラットに乗り切ろうとすると思う。

このやり方は下手をするとすぐに形骸化する。規格要求を理解せずにアウトプットドキュメントを形式的にそろえることが目的になりやすい。

このブログの特集では欧米流のやり方はうまくいかないということを見越した上で、マネージャもエンジニアもみんな同じ目線でエンドユーザーの安全を確保するために、自分たちが何をし、また、諸外国の人々に自分たちが作った成果物の安全性や信頼性をどのように主張したらよいのかを解説し、活動が形骸化せずに安全という最終目的を達成できることを目指している。

日本の製造業の会社でソフトウェアエンジニア出身の品質保証担当という人にはなかなかお目にかかることがない。電気や機械の出身であったり、純粋に品質畑で上に上がってきた人が多いように感じる。その人たちに、ISO 26262 のソフトウェア開発の要求部分を指導させるには、相当無理がある。だからといって、ソフトウェアQAのような部門、担当を急遽作って勉強させ、権限を与えるのもフラットな組織構造ではうまくいくような気がしない。ソフトウェアの規格適合の部分を外部に丸投げすると、さんざんかき回され、規格の認定を受けているというツールを買わされ、ぐちゃぐちゃになる危険性がある。ルール/責任が明確化されており、システム/ツールを使いこなすのが上手なところでうまくいった方法をそのままテーラリングもせずに日本で実践しようとしても失敗するだけだと思う。

そうならないためには、日本人がアウトプットする成果物の品質がなぜ高く、ルール/責任、システム/ツールを駆使している欧米製品の品質が日本の製品の品質に追いつけていないのはなぜかについて、自分たちの中に答えを持っている必要があると強く思う。その確信がないと、欧米流を受け入れても実質的な安全や信頼は向上しない。

この命題に対する答えのヒントとして言えることが一つあると思う。それは、上記のことはスタンドアロン製品には当てはまるかもしれないが、ネットワーク接続するような製品、複数の機能を組み合わせないと要求を実現できないような製品や機能ではたぶん成り立たないという点だ。

ようするに、特定のエンジニアが商品や商品群全体を見渡すことができ、商品のライフサイクル(開発開始から市場になくなるまで)全体に渡って関わる、責任を持つことができる場合は日本の商品の品質は高いが、他部門や他社のコンポーネントを組み合わせないと商品の重要な機能を動かすことができないようなケースでは、その限りではないということだ。

自動車で言えば、機能と性能が責務分割できていたこれまでは品質を高く維持できてきたが、今後、それらがクロスオーバーしないとユーザーの要求を満たせなくなってくると、それまでのやり方では予測できない不具合に悩まされることになるということだ。そのために、ISO 26262 を使う必要があり、これまでの日本のエンジニアの良さ、高品質を実現できる能力を低下させないようにしながら、ISO 26262 の要求のよいところを吸収していく必要があると思っている。

【ISO 26262-2:2011 Part 2: Management of functional safety】

さて、用語の定義の邦訳はもうしばらくまっていただくとして、今回は ISO 26262-2:2011 Part 2: Management of functional safety の解説に入っていきたいと思う。

以下が Management of functional safety:機能安全のマネジメントのパートの目次で、「5 セーフティマネジメントの要求」「6 コンセプトフェーズと製品開発間のセーフティマネジメント」「7 製造のためのアイテムリリース後のセーフティマネジメント」が3つの大きな柱となっている。

ISO 26262-2:2011 Part 2: Management of functional safety は、セーフティマネジメント全体に対する要求であり、こういったところはエンジニアには苦手な分野で、品質保証担当や製品開発のプロセスをマネジメントするような人が得意なところだ。

ISO 26262-2 Part2 Management of functional safety 機能安全のマネジメント
Contents 目次
Foreword 序文
Introduction イントロダクション
1 Scope スコープ
2 Normative references 基準となる参照
3 Terms, definitions and abbreviated terms 用語、定義、省略語
4 Requirements for compliance 規格適合要求
4.1 General requirements 一般要求
4.2 Interpretations of tables 表の解釈について
4.3 ASIL-dependent requirements and recommendations ASILに依存する要求及び推奨
5 Overall safety management セーフティマネジメントの全体像
5.1 Objective 目的
5.2 General 一般
5.3 Inputs to this clause この箇条へのインプット
5.4 Requirements and recommendations 要求と推奨
5.5 Work products 作業成果物
6 Safety management during the concept phase and the product development コンセプトフェーズと製品開発間のセーフティマネジメント
6.1 Objectives 目的
6.2 General 一般
6.3 Inputs to this clause この箇条へのインプット
6.4 Requirements and recommendations 要求と推奨
6.5 Work products 作業成果物
7 Safety management after the item's release for production 製造のためのアイテムリリース後のセーフティマネジメント
7.1 Objective 目的
7.2 General 一般
7.3 Inputs to this clause この箇条へのインプット
7.4 Requirements and recommendations 要求と推奨
7.5 Work products 作業成果物
Annex A (informative) Overview of and workflow of functional safety management (情報提供としての)機能安全マネジメントの概要とワークフロー
Annex B (informative) Examples for evaluating a safety culture (情報提供としての)安全文化の評価の例
Annex C (informative) Aim of the confirmation measures (情報提供としての)確証対策の目的
Annex D (informative) Overview of the verification reviews (情報提供としての)検証レビューの概観
Annex E (informative) Example of a functional safety assessment agenda (for items that have an ASIL D safety goal) (情報提供としての)機能安全アセスメントアジェンダの例(ASIL D のセーフティゴールを持つアイテム用)

この手のエンジニアが不得意なパートを理解するためにはコツがあって、まず、Annex や、各工程で作成すべき成果物が何かを見る。日本の技術者はプロセスのインプットが曖昧でもアウトプットのイメージが分かっているとものづくりができてしまう不思議な人種だ。そして、インプットとなる要求の説明をするよりも、アウトプットのイメージを見せてあげると非常に喜ぶ。

逆に言うと、アウトプットの型にはめ込もうとする傾向があるので注意が必要だ。答えは一つではないのに、アウトプットの例を見せるとその一点を目指そうとしてしまう。

下記は ISO 26262-2 Part 2: Management of functional safety の Annex A の機能安全マネジメントの全体像を表す表で、3つの箇条に対するインプットとアウトプットが何かが明確に書かれている。

セーフティライフサイクルに対する要求定義やルールと責任の定義、市場へのリリース後のモニタリングの義務などが定義されている。これらは、ISO 9001 の要求とも一致しているので、品質マネジメントシステムを持っている組織ならそれほど違和感はないと思うが、自動車の場合は製造業者とサプライヤの関係があるのでそう簡単ではないと思われる。

ルールとプロセスは自動車製造業者が作ことになるが、サプライヤに対してルールと安全ライフサイクルの中でサプライヤに委託するプロセスを提示し、セーフティケース等エビデンスの要求を行い、それらの活動が継続的に実施されていることをエビデンスを残さなければいけない。

これは各開発における成果物だけでなく、 ISO 9001 と同様に定期的な内部監査や外部監査を通じたオーディットの実施記録によって示すことになるだろう。

ブログの読者が機能安全マネジメント要求の内容を直感したいのなら、左側の作業成果物を文書化して用意する必要があると考えて見て欲しい。ルールとプロセスは組織承認される必要があり、安全に関わるコンポーネントに関係する製造業者の部門とサプライヤはそのルールとプロセスを知っている必要がある。知っているだけでなく、教育訓練をしてその履歴の残さなければダメだ。そういった履歴を確認することでしか、ルールやプロセスが徹底されていることを証明することはできない。

エビデンスは証拠だから、メモはダメ。きちんと責任と権限を持った者が承認されたものでなければいけない。このような取り組みがまどろっこしいと思っても、日本以外の人たちに安全や信頼を説明するためにはそうするしかないのだ。

Table A.1 — Functional safety management: overview
Clause
箇条
Objectives
目的
Prerequisites
事前必要条件
Work products
作業成果物
5 Overall safety management The objective of Clause 5 is to define the requirements for the organizations that are responsible for the safety lifecycle, or that perform safety activities in the safety lifecycle.
Clause 5 serves as a prerequisite to the activities in the ISO 26262 safety lifecycle.
None 5.5.1 Organization-specific rules and processes for functional safety.
5.5.2 Evidence of competence.
5.5.3 Evidence of quality management.
5 セーフティマネジメントの全体像 箇条5の目的はセーフティライフサイクルに責任を持つ、またはセーフティライフサイクルの中で安全活動を実施する組織に対する要求を定義することである。 なし 5.5.1 機能安全の組織承認されたルールとプロセス
5.5.2 適格性の証拠
5.5.3 品質マネジメントの証拠
6 Safety management during the concept phase and the product development The first objective of Clause 6 is to define the safety management roles and responsibilities, regarding the concept phase and the development phases in the safety lifecycle.
The second objective of Clause 6 is to define the requirements for the safety management during the concept phase and the development phases, including the planning and coordination of the safety activities, the progression of the safety lifecycle, the creation of the safety case, and the execution of the confirmation measures.
Organization-specific rules and processes for functional safety (see 5.5.1)
Evidence of competence (see 5.5.2)
Evidence of quality management (see 5.5.3)
6.5.1 Safety plan.
6.5.2 Project plan (refined).
6.5.3 Safety case.
6.5.4 Functional safety assessment plan.
6.5.5 Confirmation measure reports.
6 コンセプトフェーズ及び製品開発中のセーフティマネジメント 箇条6の目的はコンセプトフェーズ、セーフティライフサイクルの開発フェーズに関してセーフティマネジメンのトルールと責任を定義することである。 機能安全の組織認証されたルールとプロセス(5.5.1)
適格性の証拠(5.5.2)
品質マネジメントの証拠(5.5.3)
6.5.1 セーフティプラン
6.5.2 プロジェクト計画(見直し後の)
6.5.3 セーフティケース
6.5.4 機能安全アセスメント計画
6.5.5 確認手段レポート
7 Safety management after the item's release for production The objective of Clause 7 is to define the responsibilities of the organizations and persons responsible for functional safety after the item's release for production. This relates to the general activities for ensuring the required functional safety of the item during the lifecycle subphases after the release for production. Evidence of quality management (see 5.5.3). 7.5 Evidence of field monitoring.
7 生産のためのアイテムリリース後の安全管理 箇条7の目的は生産のためのアイテムリリース後の機能安全の組織と人員の責任を定義することである。これは製品のリリース後のライフサイクルサブフェーズ中のアイテムの機能安全要求を確実にする一般活動に関係がある。 品質マネジメントの証拠(5.5.3) 7.5 市場モニタリングの証拠

次回は、さらに ISO 26262-2 Part 2: Management of functional safety を読み進んでいきたいと思う。

0 件のコメント: