2011-11-26

ソフトウェア系の国際規格はどのように使うのか(2)? (ISO 26262 が正式発行される)

前回に引き続き、ソフトウェア系の国際規格(ISO 26262)がどのように使われるのかを解説したいと思う。

自分は自動車ドメインの仕事はしていない。しかし、ソフトウェア系の国際規格には長いことつきあっているので、おそらくこの見解は当たっていると思う。もしも、自動車業界の方で間違っているところに気がついた方は是非お知らせ願いたい。このブログ上で訂正したい。

まず最初に読者に認識して欲しいのは国際規格はそれだけでは法的な拘束力はないという点だ。国際規格と聞くと国際法のように守らないと罰則がある、当局に捕まるというイメージを持っている人が大勢いるようだがそうではない。

国際規格は各国の規制当局が規制に使うと宣言したときに初めて法的拘束力が生じる。日本のトヨタ自動車が ISO 9001 を取得していないという事実は有名だが、だからといって誰からも咎められることはない。トヨタは ISO 9001 に適合てきなくても自分たちのやり方で品質をマネジメントできているからいいのだ。

他の国際規格も全く同じだ。自信がある組織は国際規格を使わない選択肢も取れる。しかし、多くの場合は国際規格に乗っかった方が楽であり、みんなと同じであるとアピールしやすい。さて、では自動車の電子制御系に関する安全規格 ISO 26262 が2011年11月15日に正式発行されたがこれはどうだろうか。

EUとUS(アメリカ)と日本、中国、その他一般海外で分けて考えてみよう。

まず、EU。ISO規格を最も重要視するのがヨーロッパの国々で特にドイツがその度合いが強い。ドイツを筆頭にEUの国々は ISO 規格の策定に積極的に参画するし、策定された暁にはそれらに適合することに精を出す。自分たちでルールを決めてルールを守ろうとする。

そしてドイツには有力な二つの規格認証機関がある。これらの認証機関は世界展開しており、主要各国に拠点を持っている。規格認証機関は規格の策定にも関わり、規格が発行されると、その規格を認証することで利益を得る。規格認証ビジネスは結構儲かる。規格の適合を監査し、適合できていないことが分かると、その規格が何を求めているのかを説明し、適合できるように指導する。監査するときも指導するときも費用が発生するから、厳しく監査してダメだしすればするほど、やるべきことが増えてたくさん指導を受けなければいけない。

ドイツの規格認証機関は特に厳しく規格適合を求める傾向があり、結果として厳しく監査して欲しい対象企業からの信頼が高い。

そういう傾向があるため、ドイツのメーカーは規格適合に積極的であり、ドイツの自動車会社が日本のサプライヤーに対して ISO 26262 への適合を求めるシチュエーションは大いにあり得る。しかし、これは法的な要求ではないことを頭に入れておいて欲しい。ただ、クライアントが規格に適合せよと言ってきたのであれば、サプライヤーはイヤとはなかなかいえない。なぜなら、「イヤなら規格適合している他の会社から調達するか君たちとはサヨナラ」と言われてしまうからだ。

ただし、冷静に考えて欲しいのは、例えばイタリヤやイギリスの自動車メーカーがドイツほど強くISO 26262 への適合を求めるだろうかということである。自分の予想では EU の中でも声高に言ってくるのはドイツの会社だけだと思う。それでなくても、今 EU は大変な状況なのに、規格適合のために莫大な費用をかけたいとは思わないはず。まして、法的な要求でもなんでもない規格への適合に今人と金をかけようと考えるヨーロッパのメーカーとサプライヤがどれだけいるかと思う。

つぎにアメリカの考え方だ。アメリカは国際規格をそれほど重視しない傾向がある。代わりに自分たちで作ったルールが一番だと考え、アメリカ国民の安全を守るために自分たちが決めたルールを守らせる。このルールにはばっちり法的拘束力をもたせる。時にTBT協定違反だと批判されることがあるが、そんなことは気にもせず、我が道を行く。

よって、アメリカの自動車会社がサプライヤに対して ISO 26262 の適合を直ちに要求するとは思えない。アメリカ人はフェアーを重んじるので、アメリカ国内のサプライヤに求めず、国外のサプライヤだけに求めるということはしない。

ただし、アメリカは訴訟社会であるため、事故が起きた時に、自動車に搭載されたソフトウェアの安全性について説明せよと言ってくる可能性はある。そのとき、ISO 26262 に適合してソフトウェアを作っていると主張するのは説得力があるだろう。

つぎに日本。日本は ISO 規格をそのまま規制に使うことはない。まず、日本工業規格 JIS にする。要するに日本語にする。これには結構時間がかかり、2~3年はざらにかかる。通常は工業会が持ち回りで翻訳をし、何回か見直しをかけたあとパブリックコメントを募り JIS 規格として登録される。

ただ、JISになったからといってそれが規制になるわけではない。車ドメインのことは詳しくないが、自動車に関する許認可の権限を持っているのは国土交通省だろう。国土交通省が法律に基づいて自動車に搭載されているソフトウェアの安全性を審査できるかと言えば、できる訳がない。それをやるには法律を改正する必要がある。また、国土交通省が自動車のソフトウェアの安全性を審査できる訳がない。そんなことができる人材も組織もない。何十年も前から取り組んでいるドイツだって難しいと思われるのに、これまでまったく取り組んでいなかった日本でソフトウェアの審査はできないし、仮にやり始めたらとんでもない指摘が飛んでくる可能性がある。例えばソフトウェアに関する知識がまったくない審査官が「このソフトウェアはコードレビューはしているのかね」などと、よく意味も分からず聞いてくるかもしれない。

また、現在自動車のソフトウェアで社会的な問題が頻発しているか。そんな話はないし、日本の自動車は世界一品質が高いと言われている。取り締まりを強化しないと国民の安全が確保できない状況ではない。

よって、日本では ISO 26262 は法的規制になるとは到底思えない。

次は中国。中国は予測がしにくい国だ。どの分野においても国際的なレベルに達したいと考えているため、国際規格への取り組みの意気込みは日本よりは遙かに強い。しかし、国際規格が求めるレベルにすぐに達することができるかどうかという問題もある。よって、周りの国々の様子を見ながら遅れを取らないようにしようとするだろう。おそらく政府として ISO 26262 の要求についての勉強はしていると思うし、中国語への翻訳も始めているかもしれない。ただ、だからといって規格を規制にするかどうかはわからない。中国国内のメーカーがまだ対応できないと見たらすぐには規制用件にはしないかもしれない。

最後に一般海外は、各国の動向を見てみんなが規制するようになったら同調するだろうと予測する。

【誰が何のために ISO 26262 を使うのか?】

これまで解説したように、現時点で ISO 26262 の適合の積極的なのはドイツであり、ドイツの自動車メーカーが日本のサプライヤに対して ISO 26262 の適合を要求する可能性は高い。また、日本の自動車会社が日本のサプライヤに安心材料として ISO 26262 への適合を求める可能性もあるかもしれない。

ただし、ドイツと日本の場合では事情が異なる。ドイツは歴史的に国際規格への適合をチェックするための規格認証機関を持っている。彼らは規格の内容もよく理解しており、監査テクニックも持っている。個人レベル、会社レベルの規格適合コンサルタントもうようよいる。規格適合に関するビジネスモデルができている。

ところが、日本には日本オリジナルの規格認証機関はあまりない。特に、ソフトウェアを監査できる認証機関は存在しない。しかし、ドイツを始めEUでは規格適合ビジネスの市場はあるので、日本でもそのビジネスモデルに乗っかりたいと思う会社はたくさんいる。

でもソフトウェアの監査の経験は皆無に等しいだろうから、最初のうちは規格適合について尋ねている方も答えている方も何を言っているのかわからないという状況が続くだろう。

したがって、ここ数年はドイツを始めヨーロッパの自動車会社が ISO 26262 への適合を日本のサプライヤに対して求めるだろうが、規格への適合を監査できそうなのはヨーロッパ系の規格監査経験の長い規格認証機関に頼むことになる。

そして、ソフトウェアの監査ができる人材は希少なため、本質的な突っ込みを入れることはほとんどできず、結果的に規格適合はチェックシートを埋めるという形式的なものになると予測する。

そこで、サプライヤの皆さんに聞きたい。「誰のために、何のために ISO 26262 に適合するの?」「誰のために、何のために ISO 26262 に適合したいの?」と。

この質問に対して、「クライアントから求められているから」と答えるのならは、それは形式的なことのために人、物、金を投入するのだと考えた方がよい。

「自分たちが作ったソフトウェアが安全で信頼できることを証明するための手段として ISO 26262 を使う」と答えるのならば、その組織は投資が無駄にならないかもしれないし、この不景気な時代に規格ビジネスで金儲けしたいと集まってきて有象無象の輩をかき分けて真の支援者を探し出せるかもしれない。

前者でお金を捨てたくないのならば、まず、規格要求を腰を据えて読むことだ。そして、規格認証機関には規格要求の疑問点を尋ねる。要求の中身を一回も見ないで、規格認証機関やコンサルタントに頼ってはいけない。それは思うつぼで湯水のように形式のためにお金を使うことになる。

そして、技術誌の編集の方たちにお願いしたいのは、ISO 26262 の策定委員に対してのインタビュー記事を多く載せて欲しい、できれば座談会をしたり、それぞれに記事を寄稿してもらって欲しいということだ。国際規格はそれを読んだだけでは、規格の本当の意図が分からないことが多い。そしてそれが分からないと、規格認証機関やコンサルタントが自分たちのビジネスに有利になるように規格を解釈してクライアントに伝える。そうなるとサプライヤは形式に金を使い、本質的な安全にはなかなか近づかないという不幸が訪れる確率が高くなる。

繰り返すが、今一度考えて欲しいのは、誰が何のために国際規格を使うのかという点だ。

※本件に関するコメントを募集していますのでよろしくお願いします。

2011-11-24

ソフトウェア系の国際規格はどのように使うのか? (ISO 26262 が正式発行される)

自動車の電子制御系に関する機能安全規格「ISO 26262」が、6年間の策定期間を経て、2011年11月15日ついにISOの正式な国際規格となった。


下記が Tech-On! で報じられた記事である。

クルマの機能安全規格のISO 26262がついに正式発行

自分は自動車ドメインの仕事はしていないが、メディカルデバイスの世界で国際規格とは20年以上付き合っている。

そこで自動車ドメインの方々にアドバイスをしておきたいと思う。

【ソフトウェア系の国際規格はどのように使うのか?】

  1. 自分達がアウトプットしているソフトウェアの安全性や信頼性を外部に対して説明するために使う。
  2. 実質的に自社のソフトウェアの安全性や信頼性を高めるために使う。

1の説明責任を果たすためという目的と2の実質的な目的は、同じように見えてかなり差がある。

なぜかというと「説明責任を果たせること」と「実質的に安全であること」は必ずしもイコールではないからだ。特に日本の組込みソフトウェアは、実質的にリコールの件数が少ないが、説明責任を果たせる組織やプロジェクトは非常に少ない。

それは一つは、日本人が元来記録を残す文化が希薄だからだ。嘘だと思う人は40年来のベストセラーとなっている梅棹 忠夫氏の『知的生産の技術』を読んでみるとよい。

もう一つの理由は日本人は品質を気にする気持ち Awareness がプロジェクトメンバー一人一人に浸透しているため、開発プロセスを厳格に管理しなくても、安全性や信頼性の高いソフトウェアを作れるという特性を持っているからだ。ソフトウェア系プロセスの国際規格の根幹にはソフトウェア品質はプロセスを管理することでしか測れない、証明できないという主張があり、その主張を覆すことはまだ誰もできていない。

日本人が品質を気にする気持ち Awareness が安全性や信頼性の高いソフトウェアを生み出しているからといって、日本人が作るソフトウェアの安全性や信頼性を外部に説明する責務を放棄することはできない。「日本人が作っているので安心してください」と言っても今や説得力がないからだ。

100万行を超えるようなソフトウェアの規模になってしまった現在では、すべてのソフトウェアが日本製だとは限らないし、一人のソフトウェアエンジニアがシステム全体を把握できない。

だからこそ、ソフトウェアの安全性や信頼性を何かしらの標準を使って外部に説明する必要がある。

そのときに、国際規格を使うと説明の効果が高い。国際規格は各国の代表が原案を審議し投票によって決めた標準であるから、その内容に沿って説明責任を果たすのは合理的だ。仮に、日本のメーカーが作ったソフトウェア搭載製品が事故を起こしたときに、「そのソフトウェアは安全なのか、信頼はおけるのか」と聞かれたら「国際標準に適合しています」と答えることができる。そうでない方法で、説明責任を果たすのは可能かもしれないが非常に難しい。特にソフトウェアの場合は、バグは一つもないと言い切れないからなおさらだ。

よって、ソフトウェアの国際規格に適合していることは、安全性や信頼性を主張するための根拠となりうる。

ただし、ソフトウェアの国際規格とハードウェアの国際規格の間には決定的な相違点がある。それはハードウェアの場合は規格に適合しているかどうかが試験によって判定できるが、ソフトウェアの場合は正当性を試験では判定できないことがほとんどなのだ。

ソフトウェアのつくりかたは千差万別で、ある作り方をすれば確実に安全とか信頼できるとは言えない。また、ソフトウェアの最大のメリットは変更容易性であるから、一度安全性や信頼性を確認しても、たった一行変更しただけで、その安全性や信頼性は崩れる可能性がある。

よってソフトウェアの国際規格では要求に対して、その通りにしていなくても別の代替え手段で説明することが容認されている。要求に対して根拠を持って説明できればそれでもOKとなるのだ。

これが日本の技術者は本当に苦手だ。自分達のやっていること、やってきたことに自信があれば、堂々と説明できるののに、監査等で説明を求められると急にできていないことばかりが頭をよぎり、できていること自信があることを全面に出して主張することができない。

ディベートの訓練をしていないせいもあるだろうが、元来正直者ではったりをかますのが得意ではないのだ。決して嘘を言えといっているのではない、相手の要求を理解した上で、本質的な目的(エンドユーザーに対する安全や信頼)のために日々やっていることを自信を持って主張すればよいのだ。それは毎日の自分の行動に対して根拠を説明できる技術者であればできるし、誰かから言われた通りに日々を過ごしている者にはできない。

後者は、自分ややっていることに自信がないから「この方法論を使うと規格に適合できますよ」とか「このツールを使うと規格に適合できますよ」と言われるとすぐにそれに乗って「よく分からない要求から逃れたい」「楽になりたい」と考える。それは、完全に思うつぼだ。

説明責任を果たす目的を達成したいのなら、まずは国際規格の要求を自分の頭で理解することだ。要求を理解せずに方法論に乗っかろうとしてはいけない。そうすると必ず振り回され、最終的には監査やオーディットの際に「このツールを使っているから規格に適合できています」とか「○○に適合を確認してもらっています」などを答えて早々と「これはダメだ」と烙印を押される。

監査や査察で一番重要なのは、実担当者が規格要求をどれだけ理解しており、その要求に対してキチンと受け答えができるかどうかだ。規格要求の真意を理解もせずに方法論に走ってしまっている場合、実担当者は受け答えができないので、すぐにコンサルタントやQA担当に助けを求ようとする。監査官、査察官はその目の動きを決して見逃さない。

国際規格を使ってソフトウェアの安全性や信頼性を説明したいのなら、まず、規格要求を理解している者を組織内に少なくとも一人は作る必要がある。そして、実務担当者も徐々に理解を深めていく。


2番の「実質的に自社のソフトウェアの安全性や信頼性を高めるために使う」はまたの機会に説明をしたいと思う。

今回の記事に関して、疑問質問がある方はこの投稿にコメントを書いて欲しい。(必ず回答を書きます)

2011-11-06

スティーブ・ジョブズの伝記を読んで


iPad で Steve Jobs ⅠⅡを読んでいる。現在はⅡの頭の方で、スティーブ・ジョブズが一度 Apple から追い出された後復帰してApple を立て直そうとしているところだ。

この本(電子書籍)を読んでいると、途中で無性に Apple ⅡやMacintosh、ジョブズの演説、有名なCMなどが見たくなる。

電子書籍なのだから写真やリンクを埋め込んでくれればいいのに、本をそのまま電子版にしただけなのでリンクはない。写真は最初に固まってあるが、本当に見たいのはその商品や場面のくだりの部分で見たい。

スティーブ・ジョブズは伝記を書くことを許可したけれども、自分では原稿を読まなかったので、読んでいたら作品としていろいろ注文を付けたのではないかと思う。

さて、Steve Jobs ⅠⅡを読んでいて気がついたことがいくつかあった。一つはアメリカの企業の前に進む進み方が非常にダイナミックだとういことだ。Apple だけの話ではない。企業の吸収や合併、方針の大幅な転換、リストラが当たり前のように行われている。

そして人の移動もダイナミックだ。△△の○○は□□が得意だから連れてこようとかいったシーンがしょっちゅう出てきて、呼ばれた方も一つの会社のCEOをやっていてもそこを抜けてしまったりする。

また、企業のトップ同士のコミュニケーションが頻繁に行われる。スティーブ・ジョブズとビル・ゲイツは犬猿の仲で会ったこともないのかと思ったら、そんなことはなく、水と油ではあるものの業務提携したり、話し合いや交渉もけっこうやっている。

スティーブ・ジョブズがゼロックスのパロアルト研究所(PARC)を訪れた際に、初めてPCがGUIで動くのを見てMacintoshのルックアンドフィールのGUIを思いついたという話は本当のようだが、その後、ビル・ゲイツがWindows を作ったときにスティーブ・ジョブズはビル・ゲイツに「おまえがしているのは盗みだ!信頼しているたというのに、それをいいことにちょろまかすのか!」と言ったそうだ。

それに対してビル・ゲイツは「なんと言うか、スティーブ、この件にはいろいろな見方があると思います。我々の近所にゼロックスというお金持ちが住んでいて、そこのテレビを盗もうと私が忍び込んだらあなたが盗んだあとだった。むしろそういう話なのではないでしょうか」と反撃したらしい。

なにはともあれ、企業と経営者と社員がダイナミックに動き、企業という枠がありながらもその間を人や技術や商品が行き来している。落ち着かない面もあるかもしれないが、思い切ったことができるような気がした。技術者もその枠の中に留まってはいない。技術を請われてあっちに行ったりこっちに来たりする。最初から必要だという気持ちでマーケティングや宣伝にもきっちり予算を付ける。

日本の企業には動かない変わらない良さ、伝統的な技術を継承し続ける強みがあるので、企業のダイナミックな動き方がよいとは言い切れないが、魅力的に見えるのも確かだ。失敗と挑戦を繰り返しても受け入れてくれる土壌がアメリカにはあるように思った。

ただ、だからこそ契約が大事だとういうのも分かった。Steve Jobs ⅠⅡの中で大事な契約がいくつも出てくる。スティーブ・ジョブズが分厚い契約書を数ページに簡素化するよう指示する場面が何回かあったが、それはすなわち企業のトップが契約内容を掌握し、契約によって企業活動を動かしている証でもあると思った。

契約の中には今から考えるとそんなことがあったのかという物もある。Microsoft初のアプリケーションはマック用の Excel と Word だった。Apple にとっても、Excel と Word は重要なアプリだったので、これを引き上げられては困る。そこで、Apple 交渉の過程で GUI を Windows 1.0にライセンスし、その見返りとしてExcel を最長2年間、マック専用とするという契約を交わしている。

日本では、企業間でこんなダイナミックな契約はなされないだろうなと思った。

この本を読んでるとエンジニアはものづくりにかける情熱をなくしたら終わりだとうことがよく分かる。みんなすばらしいものを作って胸を張りたいと思って仕事に打ち込んでいる。リリース前に商品(特にソフトウェア)が完成しておらず、徹夜して何とかしようとする技術者の行動は今も昔も同じだ。その気持ちがなくなったら自分の存在価値がなくなると思った。

下記に示した若き日のスティーブ・ジョブズが行っているMacintoshのプレゼンテーションは、製品のソフトウェアが間に合わずに徹夜して仕上げた後で、プレゼンテーションにインパクトを与えたいと思ったソフトウェアエンジニアたちが最後の力を振り絞って完成させたデモソフトだ。

スティーブ・ジョブズは人間として幸せだったかどうかは分からないが、少なくとも多くの人に感動を当てる商品をもたらした。それを達成した時は関わった人々も含めて技術者として幸せだったと思う。

自分自身の中では Apple の商品の中で初代Macintoshと、iPad が世の中に革命をもたらしたと思っている。そのどちらも自分の手にすることができたことに幸せを感じる。

----------------
この記事の一番後ろに、本を読みながら“見たい”と思った画像、映像をインターネットで探すことができたので貼り付けておく。

2分間で Apple の製品を眺めることができる映像




こっちは、マッキントッシュのプレゼンテーション




有名なCM二つ。

1984

Think Different