車載電子システムの機能安全規格「ISO 26262」への対応が必須条件となった。ところが、機能安全対策を施す一方で、跳ね上がるコストに悩む声が増えている。「技術者塾」で「低コストを実現する機能安全設計の実践法」〔2016年7月25日(月)〕の講座を持つ、ビジネスキューブ・アンド・パートナーズコンサルティング事業部シニアコンサルタントの安斎 則嗣 氏に、機能安全対応と低コストの両立を実現するためのポイントを聞いた。(聞き手は近岡 裕)
──車載電子システムに求められる機能安全規格「ISO 26262」への対応が自動車産業で必須条件となりました。しかし、現場の技術者は対応に悩んでいると聞きます。どのような点で悩んでいるのでしょうか。
安斎氏:自動車産業ではクルマの電子化が進み、運転支援システムを搭載した車両の開発が加速して、自動運転システムの実現に向けた取り組みが盛んに行われています。こうした状況の中で、車両を構成するシステムは高機能化・大規模化・複雑化に向かって進んでいます。
ところが、システムが高機能で大規模で複雑化するということは、安全を阻害する要因も増えていくということです。つまり、クルマに求められる安全性の要求は厳しくなってきており、その厳しさは今後ますます増していくことが予想されます。
こうした中、自動車関連の機能安全規格である「ISO26262」が発行されて5年が経過しました。自動車メーカーやサプライヤーの開発現場でISO26262への取り組みが本格化しています。ところが、開発現場で実際に手掛けてみると、たくさんの課題が見つかり、悩みを訴える声も多く上がるようになっています。
こうした課題や悩みでよくあるのは、次のようなものです。「ISO26262に対応した電子回路設計を行ってみると、回路構成が複雑になってしまい、コストが高くなって製品としての競争力が低下してしまう」「検証作業が膨大になり、どこまでやればいいのか分からない」「これで本当に安全性を確保できたのだろうか?」──。
これらのケースをよく見ると、不要な回路が入っていることがよくあります。ハザード分析やリスク分析といった製品設計のインプットになる分析作業や、上位設計となるシステムの分析、設計が不十分なまま回路設計を行ってしまい、本来必要のないところに安全機能である冗長化回路などが入ってしまっていたり、診断回路が入ってしまっていたりすることが多々あるのです。
また、「単に機能が実現できればよいという設計」をした場合と、「機能安全を考慮した形で設計」をした場合とでは、当然、アーキテクチャーや回路の構成、規模、複雑さも違ってきます。
このように、回路の構成、規模が違えば直接コストに跳ね返ってきますし、回路規模や複雑さが増してくれば、それに伴って検証作業も増大して、これらもまたコストに跳ね返ってきてしまいます。
──開発コストの増大が大きな課題のようですね。解決策はありますか?
安斎氏:機能安全に対応する際にコストを増大させている大きな要因の1つは、安全機能を「後付け」していることです。
既存のモデルに機能安全規格を対応させようとしたとき、量産開発における製品開発では、多くの場合、ベースモデル、もしくは過去モデルが存在しており、そこに安全機能を「後付け」していくことを考えてしまう。すると、システムとして既に何らかのアーキテクチャーが存在しているため、技術者の心理として「アーキテクチャーの再構築をせずに、できる限り既存のアーキテクチャーのまま対応したい」という思いが働きます。
アーキテクチャーを再構築せずに安全機能を「後付け」していくと、結果としてアーキテクチャーが崩れ、システムが複雑化する可能性があります。また、どこに安全機能を持つべきかを考えたときに、心配のある部分の全てに安全機能を付加してしまっているケースも多く見られます。
このように、安全機能を「後付け」すると、システムが複雑化してコストの増大につながっていってしまうのです。
こうした課題を解決していくためには、既存のアーキテクチャーに安全機能を「後付け」していくのではなく、安全機能をシステムの一部としてアーキテクチャーに組み込み、再構築する必要があります。
安全機能が組み込まれれば、その分、回路が増えていくのは明らか。しかし、アーキテクチャーを再構築することで安全機能の組み込みを最適化すれば、結果として開発コストを低減できるのです。
