自動車機能安全規格＜ISO 26262＞とは

■はじめに

近年、自動車製造の世界を取り巻く環境は大きく変化しており、100年に1度の大変革時代と言われています。車載ECUの統合化（ドメインアーキテクチャ、ゾーンアーキテクチャ等）が進み、2020年頃からSDV(Software Defined Vehicle)化された車両も現れきており、現在はソフトウェアと機能安全との関連性をより求められるときにいます。

本項では車載に求められる機能安全について、おさらいしていきたいと思います。

■機能安全規格

安全な製品を開発するための管理プロセスや手法を定めたもので、安全に関係する事項を極力網羅的に検討・考慮し、安全な製品の開発を促すために考えられた規格です。

機能安全の基本規格としてIEC61508が2000年頃制定され、安全関連制御システムのコンセプトからシステムの実現、運用や保守から廃棄に至るまでライフサイクル全体という広範囲の領域を定義し、それぞれのフェーズで要求事項を規定しています。

■機能安全規格の構造と種類

下図の通り、安全規格には様々な種類があり、ISO 26262もそのなかの一つとなります。

引用：IEC 61508 から派生した主な機能安全規格（厚生労働省：機能安全活用テキスト）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf

安全規格の中心にあるIEC61508は、ISO／IECガイド51の3段階の階層において、機械安全のB規格に分類されております。

引用：機械安全体系（ISO 及び IEC）（厚生労働省：機能安全活用テキスト）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf

IEC61508を頂点に、機能安全の関連規格も3段階の階層から構成されています。1層目に当たるIEC 61508以下、2層目の「グループ安全規格」、3層目の「製品の安全規格」から構成されており、ISO／IECガイド51で規定されています。

※ISO
ISO（International Organization for Standardization）は、国際標準化機構の略称です。1947年に設立され、スイスのジュネーブに本部を置く非政府機関です。ISOは、製品やサービスの品質、安全性、効率性を確保するための国際規格を制定しています。
ISO規格には、品質管理のISO 9001や環境管理のISO 14001などがあります。これらの規格を取得することで、企業は国際的な信頼性を高め、取引を円滑に進めることができます。

※IEC
IEC（International Electrotechnical Commission、国際電気標準会議）は、電気および電子技術分野における国際標準化機関です。1906年に設立され、電気製品やシステムの安全性、性能、互換性を確保するための国際規格を制定しています。
IEC規格は、電子機器、電力技術、再生可能エネルギー、情報技術など、広範な技術分野をカバーしており、世界中で広く採用されています。

■ISO 26262

現在、自動車は高度な電子システムによって制御されています。それに伴い機能不全によるリスクや安全性確保の要求も高まっており、自動車業界は安全性の根拠となるISO 26262への対応を進めております。以下にISO 26262の規格について説明いたします。

１．ISO 26262とは

ISO 26262は、自動車の電気・電子システム（E/Eシステム）に関する機能安全規格です。
この規格は、車載用の電気電子部品やシステムが安全に機能することを確保するために策定されました。
ISO 26262は、国際電気標準会議（IEC）が策定したIEC 61508を基にしており、車載用のE/Eシステムのアプリケーションに特化した規格です。
この規格は、車両の設計、開発、製造、運用、廃棄に至るまでの全工程に適用されます。
主な目的は、E/Eシステムの機能不全による危険事象を低減・防止することで、これにより、ドライバーや同乗者の安全を確保し、車両の信頼性を向上させることが期待されています。

各メーカーが、部品単位での危険発生リスクを判定する基準としてISO 26262を利用することで、車道を走る多くの自動車について安全性を確保につながるため、多くの自動車関連企業がISO 26262への対応を前提に動いており、メーカーから部品サプライヤへの取引条件として、ISO 26262の遵守が要求されています。

２．ISO 26262の対象範囲について

ISO 26262の第一版は、2011年11月に発行されました。この規格は、自動車の電気・E/Eシステムに関する機能安全を確保するための国際標準規格です。総重量3.5トンまでの乗用車（運転手を含めて8名までの乗り物）に搭載されるE/Eシステムを対象としています。
また、第2版からはトラック、バス、オートバイなどの二輪車にも適用範囲が拡大されました。
ただし、安全性に関係のない電子部品は対象外です。

引用：適用範囲（一般財団法人　日本品質保証機構：安全規格の紹介）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf

３．ISO 26262の規格内容とは?

前述の通りISO 26262は構想など企画段階から開発、生産、廃車を含む全工程に関して、要求事項が定義されています。ISO 26262はPart1～Part12で構成されており、全体の枠組みは下図の構成になっています。製品開発フェーズはV字開発プロセスに従い、ライフサイクルを通じてトレーサビリティを維持することを要求しています。

引用：ISO 26262の枠組み（一般財団法人　日本品質保証機構：安全規格の紹介）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf
出展：ISO 26262-1 Figure 1

Part 1: 用語集 – 規格内で使用される専門用語の定義。
Part 2: 機能安全の管理 – 安全管理のための要件。
Part 3: コンセプトフェーズ – アイテム定義、ハザード分析、リスクアセスメント。
Part 4: システムレベルにおける製品開発 – 技術安全コンセプトの作成とシステム設計。
Part 5: ハードウェアレベルにおける製品開発 – ハードウェアの安全要件と設計。
Part 6: ソフトウェアレベルにおける製品開発 – ソフトウェアの安全要件と設計。
Part 7: 生産、運用、サービス及び廃棄 – 製品のライフサイクル全体にわたる安全要件。
Part 8: 支援プロセス – 開発委託やツール認定の要件。
Part 9: 自動車安全度水準 (ASIL)指向及び安全指向の分析 – 安全度水準の分析方法。
Part 10: ISO 26262ガイドライン – 規格の適用ガイドライン。
Part 11: 半導体への適用の指針 – 半導体製品に関する要件。
Part 12: モーターサイクルへの適用 – 二輪車に関する要件。

これらの部は、自動車の電気/電子システムの安全性を確保するための詳細なガイドラインを提供しています。

４．自動車電子部品に要求される機能安全

自動車電子部品に要求される機能安全レベルは、ISO 26262規格に基づいて定義されるASIL（Automotive Safety Integrity Level）によって分類されます。ASILは、システムの故障が引き起こすリスクのレベルを評価し、A（最低）からD（最高）までの4段階に分類します。

ⅰ．ASILの分類基準

重大さの程度（Severity）: 故障が発生した場合の影響の深刻さ。
動作状況で曝される可能性（曝露確率^※（Exposure））: 故障が発生する可能性の頻度。
操縦性（制御可能性（Controllability））: ドライバーが故障を制御できる可能性。

※ASILの暴露確率とは？
ASIL Aの例としては、交通渋滞中の意図しない起動 / 停止の失敗があります。 このシナリオでは、暴露確率はE3 (平均運転時間の1%から10%)、重大度はS1 (速度が遅いので軽度から中程度の傷害)、制御可能性はC3 (物体が互いに非常に接近しているため、事故の回避は困難) です。

引用：機能安全コンセプトの決定（一般財団法人　日本品質保証機構：安全規格の紹介）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf
出展：ISO 26262-3 Table 1、Table 2、Table 3

ⅱ．各ASILの例は以下の通りです。

ASIL A: リスクが最も低い         ：バックライト
ASIL B: 中程度のリスク              ：ヘッドライト
ASIL C: 高いリスク                      ：クルーズコントロール
ASIL D: 最も高いリスク             ：エアバッグ、アンチロック・ブレーキシステム（ABS）
これらのレベルは、ハザード分析とリスクアセスメントを通じて決定されます。各電子部品の安全性を確保するために、適切なASILを満たす設計と検証が必要です。

引用：機能安全コンセプトの決定（一般財団法人　日本品質保証機構：安全規格の紹介）
https://www.mhlw.go.jp/file/06-Seisakujouhou-11300000-Roudoukijunkyokuanzeneiseibu/0000197858.pdf
出展：ISO 26262-3 Table 4

ⅲ．各ASILレベルに要求される故障検出率

各ASIL（Automotive Safety Integrity Level）レベルに要求される故障検出率は、システムの安全性を確保するために非常に重要です。ISO 26262規格では、下表のような故障検出率が求められます。

これらの故障検出率は、システムが単一故障点（Single Point Fault）に対してどれだけ耐性があるかを示しています。ASIL Dのシステムでは、ほぼすべての故障を検出し、適切な対策を講じることが求められます。