ISO26262機能安全規格とは？
対象範囲や規格の内容について解説

ISO26262とは

ISO26262は自動車に搭載するE/Eシステム（電気/電子システム）についての、機能安全規格です。当規格がベースとしているのは、IEC（国際電気標準会議）が策定した規格「IEC61508」で、これは事故・災害一般を防止するための機能安全規格です。IEC61508は航空用ソフトウェアの国際技術標準（DO-178B）を参考に策定されましたが、このIEC61508を基にしつつ、ISO26262は「自動車に搭載されたE/Eシステムの機能不全による危険事象を低減・防止する」という目的で策定されました。

現在、多くの自動車は車載E/Eシステムによって制御されることで、高い利便性・快適性を実現しています。一方で、もしE/Eシステムに機能不全が起きれば、人に危害が及ぶ不具合・故障・事故の発生につながり得ます。E/Eシステムは常に上記のようなリスクを抱えています。今日、車道を走る多くの車にE/Eシステムが搭載されていることから、こうしたリスクが大きく膨れ上がっていると懸念されています。そこで「ドライバーや同乗者に危害が及ぶような不具合の発生頻度を低減させ、また生じ得る危険の程度を抑える」ため、メーカー側に求められるのがISO26262の遵守です。

機能安全性を特に重視している規格であるISO26262は、「特定の部品が所定の機能をきちんと果たしているか」を厳密に点検する際の実践的基準として機能します。またISO26262は、「ASIL（自動車安全水準）」というリスク分類体系も定義しています。このASILはA（最低）～D（最高）の4グレードを設けており、1台の車の各部位について各グレードで安全性要件を定めます。例えばASILに則るなら、バックライトについては故障時の危険度が比較的低いためASIL-Aを満たせば問題ありませんが、エアバッグについてはASIL-Dを満たしていなくてはなりません。

各メーカーが、上記のような部品単位での危険発生リスクを判定する基準としてISO26262やASILを利用することで、車道を走る多くの自動車について安全性を確保することにつながります。実際日本でも、多くの自動車関連企業がISO26262への対応を前提に動いており、例えば今後は、メーカーから部品サプライヤへの取引条件として、当規格の遵守が要求されるようになっていくと考えられます。こうした流れにある今日、ISO26262への対応策を固めることは、企業にとって必要不可欠です。

ISO26262の対象範囲について

ISO26262規格が対象としているのは、総重量3.5トンまでの乗用車（乗員定員としては運転手を入れて8名までの乗り物）に搭載されるE/Eシステムです。また、自動車用の電子部品でも安全性に関係のない部分の場合は対象になりません。第2版からはトラック、バイク、トレーラー、バイクなどの二輪に組み込まれるE/Eシステムも対象に含まれるようになりました。

ISO26262の規格内容とは？

ISO26262はマネジメント、システム、ハードウェア、ソフトウェアなどの設計・開発に関するあらゆるプロセスに適用される規格です。つまり、構想など企画段階から開発、生産、廃車を含む全工程に関して、各規定・推奨事項が定義されています。こうした規格にしっかりと対応するためには、自動車メーカーと部品メーカーが完全に別個で仕事をするのではなく、企業同士で協力しなくてはなりません。

一般に、日本の自動車業界は設計書を更新しないまま開発を行うなど、開発プロセス自体を重視しない傾向があると言われます。しかし、当規格で示されている開発プロセスを遵守するなら、「コンセプト決定・要求定義」から「生産・運転」に至る各段階で、一貫した要求事項に沿った進め方を実践せねばなりません。企業によっては、これまでの習慣と大きく異なる方法を取り入れていく必要性も生じるでしょう。このような事情から、まずは「ISO26262が組織に浸透するまでには、基本的に時間がかかる」という可能性を念頭に置くことが推奨されます。その上で、規格に沿った開発を行えるよう、着実に現場を整理していきます。

ISO26262が導入された背景

ここでは、当規格が導入されるに至った背景を解説します。主な理由は、自動車部品の高度化や、製造過程の複雑化です。

自動車の電気系統システムの複雑化

近年、活発な技術進化により、数多くの自動走行車や自動ロボットが生産され続けています。しかし、それら製品の便利さの裏側には、必ず安全上のリスクが潜んでいます。従来は「危険の原因となるものを可能な限り取り除く、減らす」「危険原因そのものをなくす」という本質安全的な考え方・対処方法が一般的でした。しかし、最近の製品は電子システムが複雑化しているため、本質安全という理念を実現することは容易ではなくなってきています。また、「危険原因を排除すること」を至上命題化し過ぎる環境では、便利な新製品を考案・生産しづらくなるという弊害も生じます。こうした今日の状況で、本質安全の考えを補いながら新たな製品開発を続けるために、「機能安全」という概念の規格化が行われました。

加えて、特に自動車業界としては、CO2排出量削減を掲げたEV自動車開発が今後活発化していく可能性も指摘されています。こうした流れの中で、E/Eシステムの高度化がさらに進んでいくと予想できます。

こうした背景で策定・導入されたISO26262は、「故障や不具合が仮に起きても、重大なリスクに至らないようにする」という安全設計の考え方に基づく規格です。つまり故障・不具合の発生を避けられないものと認識しつつ、その上でシステム自体の機能不全を防止・低減させ、安全性を確保するという方針で構成された規格です。例えば車両生産では、（当規格が定義する）ASILに則り各部位のリスクのレベルをまず決定し、各部位について「許容できるリスクレベル」を全うできるよう、該当の各システム開発環境を細かく調整します。

製造過程の複雑化

現代では、自動車の関連製品を作るにあたって、工程数、関連工程、マネジメント体系などのさまざまなプロセスが複雑化してきており、それに応じて各担当者の責任・役割も明確化しづらくなってきています。ISO26262はこうした課題を解決するものとしても有効です。この観点からは、当規格は「複雑化していく工程、管理手法、開発手法をルール化して文書にまとめたもの」とも言えます。

実際、規格内容のPart3～7では準拠すべき開発プロセスが明記されています。端的な生産手順としては、規格側に要求される要素について構想段階で定義を行い、その後各Partで示されている通りにシステム・ハード・ソフトウェアの開発を進め、最終的に生産・運転に至ります。自動車メーカーは特に「企画・要件定義の段階」、部品メーカーは「開発プロセス」についてISO26262の基準を満たしているか十分意識して、確認・検証していく必要があります。

なお日本ではすり合わせの文化が根強かったせいか、Part3～4の構想段階やシステム開発の段階をあまり意識してこなかった企業も少なくありません。しかし今後は、業界全体で規格遵守が求められるようになるため、メーカーや関連企業が、これらのPartについても意識的に協力して、対応することが必要になります。

ISO26262に対応するメリット

今後ますます、日本国内の自動車メーカーと部品メーカーとの取引条件として、ISO26262への対応が明確化されると考えられます。これは部品メーカーの立場からすると、「規格に対応するかどうか」は「ビジネスを継続できるかどうか」の前提に関わるということです。また、ISO26262という国際的規格にいち早く対応することによって、製造部品の安全性を世界中の企業に向けて証明できるため、国際競争力の強化にもつなげられます。

さらに規格対応は、万が一人的・物的損害に発展する事故が起きた場合、その責任に耐えるための対策にもなります。ISO26262は、各部位や電子システムが抱える危険リスクを許容範囲内まで低減するためには有用ですが、事故や故障の発生する可能性をゼロにできるものではありません。したがって事故が発生した場合、その責任を問われた企業にとって「自社がISO26262に基づいて開発・生産していた根拠を示せるかどうか」が生命線になり得ます。

海外自動車メーカーはすでに当規格の遵守を部品メーカー側に要求しており、特に安全性が配慮されるべき部品・システムについての取引では、当規格への対応がほぼ前提化しています。こうした動きは、国内でも主流化しつつあります。当規格の内容自体としても、「安全性を重視するような体制を、組織風土そのものから整えること」を企業に求めています。もちろんそうした風土は一朝一夕に定着させられるものではないため、なるべく早期に浸透対策を講じ、着実に根付かせていかねばなりません。そしてこうした規格対応化を全うした企業なら、海外メーカーと取引し国際競争力を得る条件も整うため、大きな機会をつかみやすくなると期待できます。

NECソリューションイノベータでは機能安全規格（ISO26262）実践支援サービスを提供しております。
活動計画に基づき、機能安全規格対応に必要な成果物の作成や設計内容の改善、現場対応する作業員への指導を行います。

ISO26262に対応しないとどうなるか？

今後は、「ISO26262に対応していないこと」は「自動車メーカーとしての取引条件を満たしていないこと」の証左と捉えられるようになるでしょう。特に部品メーカーにとって、当規格を無視することは自社ビジネスの継続性を阻害することに等しいと考えられます。

先述のようにISO26262は、部品や電子システムなどの安全性を確保するための国際規格として自動車業界に浸透しつつあり、諸外国では早期に対応対策が実施されてきました。規格対応のためには、厳密で細かい意思決定やプロセスの整備まで求められますが、むしろそれによって、製造した部品の機能安全性が保たれます。逆に「ISO26262を遵守していない」ということは、部品の安全性を証明する明確な根拠が減るということです。これでは他企業との取引に支障が生じることは想像に難くないでしょう。グローバルな企業からは、取引の前提が満たせていないとみなされる恐れもあります。加えて、もし事故が発生し、事故原因となった車両に自社の部品が使用されていたなら、より困難な状況に陥るかもしれません。例えば、自社はISO26262が定める機能安全性を満たす努力を怠っていたとみなされ、事故の責任追及を受けやすくなるとも考えられます。その場合、もし法的には自社に責任がないと判断されたとしても、社会的信用を大きく損なってしまう恐れがあります。

一般に自動車メーカーは、上記のような事故発生時のリスクも含め、可能な限りリスクを避けようとします。したがって、当規格に対応していない部品メーカーとの取引には消極的になると考えられます。この傾向は、E/Eシステムの高度化・製造プロセスの複雑化が進み、製造過程でのリスクが増している昨今、より強くなるでしょう。ビジネスの将来的な継続性を保つためにも、自動車関連メーカーは早急に規格への対応を開始すべきです。

ISO26262の抱える課題

多くの日本企業が、ISO26262に対応する過程でよくぶつかる課題があります。それは、規格に適合するために「どこまで機能安全を実施すればよいのかわからないこと」です。この課題の本質は、日本と海外とで考え方に違いがある点に存在します。認定機関の多くは欧州やアメリカに位置しており、こうした認定機関に認めてもらうには、海外の考え方を取り入れる必要があります。ただし日本の自動車関連企業の場合、新たに行うべきことはそこまで多くはありません。ISO26262は端的に言えば「安全性を実現するための当たり前を記載したもの」です。つまり規格の内容自体としては、多くの日本企業が昔から実践してきたことでもあるからです。

ただ、日本企業に足りていないのは安全性を説明する力です。事故が発生した場合のPL訴訟対策を見越しながら、企業は「安全な製品開発を行っていたこと」を知識のない第三者に対して説明する証拠を残しておく必要があります。こうした法的な実用性を認識した上で、当規格へ対応していることを客観的に明確化できていなければなりません。

また規格一般について、欧州や米国は「説明を楽にするツール」「ベストプラクティス集」と捉えている一方で、日本は「実施すべき要求事項集」と捉えているという点も指摘されます。加えて、ISO26262に記載されている事項が、要求としては曖昧なため、適切な理解や実践が難しいと感じる日本企業も多いと考えられています。ひとつの解決方針としては、規格という概念自体についての海外の考え方も取り入れながら、「日本企業が従来行ってきた方法や、それにフィットするよう調整した製造方法でも、ISO26262を満たしている」ということを海外機関に証明する、という目的で、当規格内容を見直していくことが有効です。同時に、法的な場で第三者に説明することも念頭に置きながら、各プロセスでの確認・検証結果の記録を残す環境づくりに励みましょう。

NECソリューションイノベータでは機能安全規格（ISO26262）実践支援サービスを提供しております。
活動計画に基づき、機能安全規格対応に必要な成果物の作成や設計内容の改善、現場対応する作業員への指導を行います。

ISO26262との親和性が高いAutomotive SPICEとは

ここからは、ISO26262と同様に取引条件として浸透しつつあるAutomotive SPICE（A-SPICE）について解説します。ISO26262が示す安全性を実現するには、製品自体の品質が高いことが前提になります。この意味で、ISO26262の基礎となる品質を確保するためのものがA-SPICEです。こうした背景から、ISO26262とA-SPICEが示すモデルには共通する部分が多いです。

Automotive SPICEの概要

Automotive SPICE（以下：A-SPICE）は、欧州の自動車メーカー団体が、ソフトウェアの開発プロセスを評価するために定めたプロセスモデルです。A-SPICEはISO26262と共通している部分が多く、相互に紐づけながら参照することで効率的に実施できるように策定されています。つまり、A-SPICEが示すプロセスモデルに沿う生産を行えば、自然とISO26262への対応も進められます。

A-SPICEは、「メーカー側が要求する品質を、サプライヤ側が適切に確保すること」を大きな目的にしています。またA-SPICEは根本的に「高品質なソフトウェアは、管理された開発プロセスから生まれる」という考え方に基づいて策定されているため、メーカー側はこれを基準にすることでサプライヤの能力判定を効果的に行えます。

自動車という製品製造においては、開発期間に限りがありながら、システムの不具合が人の命を危険に晒す可能性がある以上、メーカーは品質の高い開発環境を実現しているサプライヤを求めます。またこうしたサプライヤは、製品間での品質の差を生じさせず、一定して高い品質の製品を提供してくれると期待されます。

Automotive SPICEの特徴

A-SPICEを適用する場合は、自動車メーカー側からサプライヤに向けて、規格対応を要請する流れが基本です。対応状況の確認は、発注したメーカー側が受託したサプライヤを審査する形で実施されます。

一般的な標準プロセスを規定する標準規格としてはCMMIが有名ですが、知的財産上の問題で、自動車向けには改変できませんでした。そのため、業界向けにA-SPICEが新たに策定されるに至りました。ただ、策定時の土台になったISO15504はCMMIを参考にしているため、内容が似ている部分もあります。その上でほかの標準規格と比べると、A-SPICEは「実施すべき作業項目、作成されるべき作業成果物の定義が具体的でわかりやすい」という特徴を持っており、ソフトウェア開発で実施すべきプロセスが具体的に定義されています。大まかに3つのカテゴリがあり、その中身として上記のプロセス群があります。それらを参照することで、プロセスの目的や達成に必要な成果物を明確に知ることができます。このように非常に具体的な規定内容は、品質改善に実践的につなげやすいという大きなメリットを持っています。

Automotive SPICEが誕生した背景

2000年代あたりまでは、自動車業界ではハードウェア開発を行うのが一般的でした。しかし、その後は急速な電子化が業界内で進行し、車載ソフトウェアの開発を行う必要性が各企業内で大きくなりました。しかし、これまでハードウェア開発中心だったサプライヤにはソフトウェア開発のベストプラクティスなどありませんでした。そのため、要件管理やリソース不足などのさまざまな問題が発生しました。

こうした問題が浮上した結果、ソフトウェアの品質確保に課題を感じた欧州の自動車メーカーが主導して、車載ソフトウェア開発の枠組みとなる「Automotive SPICE」を策定します。このA-SPICEには、開発プロセスで実施すべき事のベストプラクティスが集まっているとも言えます。

A-SPICEは、メーカー側にとっては開発を任せるサプライヤの能力判定を効率化する基準であり、サプライヤ側にとってはメーカーの要求に適切に応えられるシステム開発を実施している事実を社外に提示する際に活用可能な基準でもあります。こうした特徴を持っている当規格は、現代では、メーカー側・サプライヤ側で広く参照されています。つまりA-SPICEの内容は、自動車メーカーと部品メーカーが同じ開発プロジェクトに取り組む上での共通言語になるものです。

日本企業は「各部署」など狭い環境単位での開発は得意と言われます。しかしソフトウェア開発は水平分業型が主流であり、自社のやり方にこだわっていては上手く進められない局面も多く出てくるでしょう。複数の部署・企業をまたぎながら、円滑で適切な開発を実現するためにも、A-SPICEを共通言語として活用する環境整備が求められます。

まとめ

ISO26262は、自動車用のE/Eシステム向けに策定された機能安全規格で、業界の取引要件として広がりつつあります。各企業がこの規格を共通言語にして開発を進めることで、メーカー・サプライヤともに円滑に開発プロジェクトを進行できます。同様に取引要件になりつつあるA-SPICEも共通する領域が多いです。品質の確保を目的として開発された規格であり、このプロセスモデルを実現する環境を整備することで、「自社の開発体制では、ISO26262の安全性の基礎になる品質が確保されている」と証明することにもなります。

NECソリューションイノベータではA-SPICEのアセスメント支援サービスを提供しており、安全と品質を両立する開発を支援します。ぜひご検討ください。