ISO 26262とは？ — 自動車機能安全のすべて

ISO 26262とは何ですか？

ISO 26262は、自動車の電気・電子システムの機能安全（Functional Safety）を扱う国際標準です。一言で言えば、「ソフトウェアの不具合によって人が怪我をしないようにするための方法論」です。

自動車には、ブレーキ、ステアリング、エアバッグ、ADAS（先進運転支援システム）など、故障時に人身事故につながりかねないシステムが多数搭載されています。ISO 26262は、こうしたシステムの開発プロセス全体を通じて安全を体系的に確保するためのフレームワークを提供します。ASPICE（プロセス品質標準）とともに、自動車ソフトウェア開発の中核をなす標準です。

2011年に初版が発行され、2018年に発行された第2版が現在使用されています。半導体やオートバイまで適用範囲が拡大されました。

ASIL — リスクに基づく安全レベル

ISO 26262の中核概念がASIL（Automotive Safety Integrity Level）です。システム故障発生時のリスクを分析し、AからDまでの4段階に分類します。

• ASIL A — 最も低いリスク。例：室内照明制御
• ASIL B — 中程度のリスク。例：リアカメラ
• ASIL C — 高いリスク。例：ABS、エアバッグ
• ASIL D — 最も高いリスク。例：電動パワーステアリング（EPS）、自動緊急ブレーキ（AEB）

ASILレベルが高いほど、より厳格な開発手法と検証が求められます。ASIL Dのシステムでは、要求事項分析からコード作成、テストに至るすべての段階で最高水準の体系性が必要です。

ASILレベルは3つの要素で決定されます。重大度（Severity）— 事故発生時の被害の大きさ、暴露度（Exposure）— 危険な状況に置かれる頻度、制御可能性（Controllability）— ドライバーが状況を制御できる程度。この3つの要素の組み合わせによりASILレベルが決定されます。

V-ModelとISO 26262

ISO 26262はV-Modelに基づく開発プロセスに従います。V-Modelの左側は開発（要求事項→設計→実装）、右側は検証（ユニットテスト→統合テスト→システムテスト）です。

各開発段階には対応する検証段階があり、すべての段階でASILレベルに応じた手法と成果物が求められます。例えば、ASIL Dでは、ユニットテスト時にMC/DC（Modified Condition/Decision Coverage）レベルのコードカバレッジが必要です。

ISO 26262とASPICE、何が違うのか？

どちらも自動車ソフトウェア開発に適用される標準ですが、目的が異なります。

ISO 26262は「安全」に焦点を当てています。ソフトウェアの不具合が事故につながらないようにすることが目的です。安全関連システムにのみ適用されます。

ASPICEは「プロセス品質」に焦点を当てています。ソフトウェア開発プロセスが体系的で再現可能かを評価します。安全に関係のないシステムにも適用されます。

実務では2つの標準を併せて適用します。ASPICEで開発プロセスを体系化し、ISO 26262で安全要求事項を満たす方式です。プロセスの段階と成果物がかなりの部分で重複するため、一方をしっかり準備すれば他方への対応も容易になります。

実務で最も難しい部分

ISO 26262対応で最も工数がかかる部分は、やはり検証です。

ASILレベルが高くなるほど求められるテストカバレッジ水準が上がり、要求事項とテスト間のトレーサビリティが必須であり、すべてのプロセスを文書化する必要があります。手作業で行うと時間がかかり、ヒューマンエラーが発生しやすくなります。

そのため、テストケース自動生成、カバレッジ自動分析、トレーサビリティマトリクス自動構築といった自動化ツールを導入する企業が増えています。

PopcornSARのPARVISもこうした課題を解決するために開発されました。実際のプロジェクトでは、PARVIS-Verifyにより86.4%のテストカバレッジを達成し、PARVIS-Coderの適用後にMISRA-C準拠率が40%から94%にまで向上した実績があります。検証の自動化だけでなく、ASPICEコンサルティングを通じたISO 26262対応戦略の策定もサポートしています。また、自動車サイバーセキュリティの重要性が高まる中、ISO 21434 サイバーセキュリティ標準との統合対応も不可欠になりつつあります。

PARVIS製品ページでより詳しい内容をご覧いただけます。導入をご検討でしたら、お気軽にお問い合わせください。