2011年に発行されたISO 26262も2018年に改訂版の発行が予定されている。主な変化点として規格適用範囲の拡大(2/3輪車、バス、トラック、トレーラー)Part11(自動車向け半導体製品にISO 26262を適用するためのガイドライン)の追加、確証方策の適用範囲拡大、システム、ハードウェア、ソフトウェア、半導体レベルで実施する従属故障分析のガイダンス(従属故障イニシエーターの特定と対策)、新しい技術への適合(マルチコア、MBD、フェールオペレーショナルシステム)などが盛り込まれそうだ。予定では2018年5月に2nd Editionが発行されることになっていたがISOのWebページで確認するとライフサイクルステージは50.00であるためISO規格発行まではもう少し時間がかかりそうだ。規格発行後に内容を確認して本情報を充実していきたい。

IoT時代に突入し、より高いサービスを提供するためにつながる車、コネクテッドビークル化が急速に加速しインタフェースが外部に開放されるにつれて、サイバー攻撃による脅威事例が多数報告されるようになってきている。サイバー攻撃対策は自動車業界にとって機能安全と並び緊急性の高い取組み課題だ。従来はシステムの故障や失陥など過失的な要因が危険事象に至るリスクを取り扱ってきたが、サイバー攻撃のような故意にシステム機能を失陥させて危険事象に至るリスクも考慮してシステムを構築していく必要がある。サイバーセキュリティではサイバー攻撃から守るべき資産を定義し、資産を脅かす脅威(攻撃方法、攻撃経路など)はどのようなものが考えられるかを分析し、対策を取っていく。機能安全の視点から守るべき資産として「許容できないリスクからの解放」＝人命が含まれるのは間違いない。

SAEから自動車向けサイバーセキュリティガイダンス J3061　JAN2016：Cybersecurity Guidebook for Cyber-Physical Vehicle Systemsが2016年に発行されている。本書で推奨されているサイバーセキュリティ向けの開発プロセスはISO 26262のスキームと酷似しており、機能安全とサイバーセキュリティを考慮した統合型開発プロセスの導入が必要になるだろう。ISO　13185

技術的課題も多い。セキュリティホールが発見された場合、IT系システムであればインターネット経由でセキュリティパッチを展開することが可能だが、緊急性の高いセキュリティ対策を施そうとすれば自動車の場合、無線でのソフトウェア更新ということになるだろう。Software Over-The-Air：SOTAと呼ばれる無線技術であり自動車メーカでは実用化に向けて検討が進んでいる。自動車に向けるソフトウェア更新のシナリオを考えると、走行中に突然ソフトウェアアップデートがかかるとE/Eシステムによる安全機構が無効化される可能性があるため、このケースに限らずサイバーセキュリティと機能安全の要求が衝突しないようにシステム構築していく必要がある。

システムズエンジニアリング、システム工学はアメリカの防衛産業でミッション要求達成のための体系的アプローチから生まれた。システムズエンジニアリング普及に向けて活動しているINCOSE(The International Council on Systems Engineering)によればシステムズエンジニアリングとは「システムの実現を成功させることができる複数の専門分野にまたがるアプローチおよび手段」(INCOSE SE Handbook)と定義されている。成功とはそのシステムに関わる全てのステークホルダーが持つ要求(安いコスト、高い品質・安全性、作りやすさ、保守しやすさ、時間制約など)を高い次元でバランスをとって目標を設定し、目標達成のために必要な道筋を描き、関連する複数の技術分野と道筋を共有してエンジニアリング活動を実行しシステム実現することであろう。

ISO 26262で要求される作業成果物を作成することに注力している開発現場を見かけるが、ISO 26262　第4部で要求されている作業成果物(技術安全要求書、システムアーキテクチャ設計書、システム統合テスト結果など)を作成するだけでは本来のシステムズエンジニアリングの効果が発揮できていない。ボトムアップ的なアプローチで故障想定部位に対する局所的な安全機構を何重にも実装、また根拠なく安全方策を適用し開発工数を悪化させてしまうことはシステム実現が成功したと言えないだろう。コンセプトレベルから目標達成のために適切な安全方策を複数の分野の技術エキスパートと協議してシステムアーキテクチャとして決定する、あるいはASILや開発するシステムの特性に合わせて適切な安全方策を選定していくことが機能安全を考慮したシステムズエンジニアリングに求められる本質と考える。

これまで紹介してきたGSNやSTAPなどはある視点から分析対象を可視化したモデルを活用していると考えられる。それぞれ記法が違うもののモデルベースの考え方で、利点として自然言語記述による曖昧表現を排除しつつ考察結果の共通理解が容易ということだろう。システムアーキテクチャ設計をモデルを活用して行い、そのモデルを安全分析、影響分析、トレードオフ分析などの設計検証にあるいは安全論証のための根拠として活用することでそれぞれの成果物の一貫性がとれる。一貫性を確保して説明性を向上するためには努力が必要と思われるが、モデルベースの恩恵であるCAEの活用、工程の自動化が見込めるため開発効率を適度にレベルに改善することが可能である。