-------------------------------------------- http://biz3.co.jp/ ------------ 【Biz3マガジン】2011年9月号 ◆セーフティコンセプトの体系的な構築◆ ---------------------------------------------------------------------------- 発信日◇2011年9月26日(月) 発信元◇ビジネスキューブ・アンド・パートナーズ株式会社 ==<<目次>>============================== 【1】<> 今月のキーワード:『セーフティコンセプトの体系的な構築』 【2】<> 2011年10月以降のトレーニング ====================================== ---------------------------------------------------------------------------- 【1】<> 今月のキーワード:『セーフティコンセプトの体系的な構築』 ---------------------------------------------------------------------------- ISO 26262で求められているセーフティコンセプトとはどのようなものでしょうか。 セーフティコンセプトとは、ひとことで言うと「安全な商品を作りこむため、開発の 着手に先立ち、一連のシナリオを体系的にまとめたもの」というような位置づけにな ります。 安全の作りこみを行うためには、発生し得るハザードを把握し、リスクを評価した結 果、リスク低減が必要なものについてはそれらを抑え込まなければなりません。 また、組織やプロジェクトの観点としては、人に依存する部分の考慮が必要となりま す。対象製品の開発にはどのような知識、スキルが求められるのか、必要な人材をど のように育成していくのか、個別のプロジェクトにおいてはどのようにスキル不足を 補っていくのか、人のミスが混入する要因は何か、隠ぺいできない仕組みになってい るかなど考慮しなければなりません。 このような、安全のつくりこみに対して、技術的側面、管理的側面から体系的にまと めておくことが求められます。 セーフティコンセプトには様々なものが含まれますが、代表的なものとしては、技術 面ではセーフティメカニズムという技術的にどう安全を達成するかというもの、管理 面では機能安全計画書という安全に関する計画、そして安全の達成を主張するための 各種エビデンスとしてセーフティケースが求められます。 その中でも機能安全としてもっとも重要なのがセーフティメカニズムです。 セーフティメカニズムの中には、個々のハザードに対する安全要件、達成すべきセー フティゴール、故障検出や障害低減の方法、安全状態への遷移方法などがまとめられ ます。 前回のメルマガでもご説明しておりましたが、これら一連のセーフティコンセプトお よびそれに付随する安全の根拠を示す各種エビデンス(セーフティケース)は、個々 の担当者が勝手に構築すれば良いというものではなく、組織としてプロジェクトとし て体系的に構築していかなければなりません。 それでは、どうすれば発生し得るハザードに対してリスク低減ができるのでしょうか 。それぞれのシステム、サブシステムがどのように使われるか、その際にどのような ハザードが発生し得るのか、そしてハザードを引き起こす要因は何か、その要因はど のようにして発生するのか、要因を回避する、またはその影響を低減するためにはど のような機能、性能が求められるか、どうすれば必要な機能、性能を実現できるのか 、実現できたかどうかどうすれば判断できるのか、例えばこのようなことを考慮しな ければならないわけです。 例えば、エンジンに関するハザードとしては、「意図しない急加速」として、運転手 の意に反してエンジンが急に吹き上がって暴走してしまうということが考えられます。 その発生要因はいくつか考えられますが、電子制御スロットルの制御に着眼してみる と、ECUにおけるPWMの指示値の演算間違いやRAM化けによって、スロットルセンサ ーの値がすべて正常であるにも関わらず、ドライブバイワイヤのモータ制御値が突然 跳ね上がったために、瞬間的にエンジンの回転数が急上昇してしまったという事例も 実際に報告されています。 通常、スロットルは各種診断機能によって監視されており、モータに異常が発生した としてもバネ力によって閉じる方向に動作しますが、ECUがモータを制御している以上、 制御値の異常による暴走の可能性は排除できません。 このケースにおける危険状態、安全状態はそれぞれどのように定義されるのでしょう か。危険状態の一例は、「運転手がアクセルを踏んでいないのにスロットルが開く」 ということであり、安全状態の一例は、「運転手がアクセルを踏んでいないときはス ロットルが開かない」ということが考えられます。ただし、このケースにおいては実 際には他にも危険状態、安全状態が存在します。 ISO 26262では確定論的手法、確率論的手法によって安全性の証明が求められますが、 上記の例では「運転手がアクセルを踏んでいないのにスロットルが開く」という事象 を引き起こす要因の集合(最小カットセット)を導出し、その要因に対して適切に診 断機能が機能することを確認する必要があります。最小カットセットの導出にはFTA のような帰納的分析手法が用いられることが多いですが、FMEAのような演繹的分析 手法との組み合わせによって網羅性を確認することも重要です。 ---------------------------------------------------------------------------- 【2】<> 2011年10月以降のトレーニング  ---------------------------------------------------------------------------- 2011年10月以降にBiz3本社で実施するセミナー、トレーニングのスケジュール は以下の通りです。お早めにお申込ください。 ◆Automotive SPICE 対応支援コース 2011年11月21日(月): Automotive SPICE プロセス~能力レベル2~ 2011年11月21日(月): Automotive SPICE プロセス~能力レベル3~ ◆アセッサー育成支援コース 2011年12月12日(月)~15日(木): 内部アセッサートレーニング 2011年12月12日(月)~16日(金): iNTACS認定 Provisional アセッサー トレー ニング 2012年3月12日(月)~15日(木): 内部アセッサートレーニング 2012年3月12日(月)~16日(金): iNTACS認定 Provisional アセッサー トレー ニング 詳しくはこちらをご覧ください。 http://biz3.co.jp/seminar ★次回は10月28日(金)の発行を予定しています。 ************************************************************************** 発行元:ビジネスキューブ・アンド・パートナーズ株式会社 http://biz3.co.jp/ 〒150-0012 東京都渋谷区広尾1-13-1 フジキカイ広尾ビル5階 TEL: 03-5791-2121(代表)    FAX: 03-5791-2122 *************************************************************************** ★本メールは、Biz3のイベントやセミナーにご参加・ご登録頂き、お知らせをお送り することにご了承頂いた方、メールマガジンの申込みをされた方、または弊社関係者 がご挨拶し名刺交換をさせて頂いた方にお送りしております。 ★配信のお申込みはこちらからお願いします。 http://biz3.co.jp/new/magazine/request ★配信停止、配信アドレス変更、削除などは、このメールへの返信でご依頼ください。 その際は、タイトルにその旨をお書きください。 メールあて先:magazine@biz3.co.jp ★その他ご不明な点はこちらからお問い合せください。 http://biz3.co.jp/inquiry