ISO 26262第2版、何が変わったのか?:半導体/IP業界にとって(2/2 ページ)
ISO 26262規格の最新版「ISO 26262:2018」(ISO 26262 第2版)は、これまでとどう変わったのでしょうか。半導体/IPサプライヤーの視点から、ISO 26262 第2版を紹介します。
認証書の取得が全てではない
これは私がずっと言っていることですが、「コンプライアンス」というものは、あなたが顧客に認証書を見せたらそれで終了というような、1度限りの行為を意味するものではありません。あなたの顧客、すなわちインテグレーターにとっての主な関心事は、彼ら自身が、彼らの顧客に対し、どのようにしてコンプライアンスを実証するかということなのです。バーが上がり続けているのは、技術進化のスピードが速く、結局のところ車メーカーがライアビリティ(責任)の大半を受け持つからです。認証書はせいぜいベンダーとして競争に参入するための通行証でしかありません。
さらに言えば、コンプライアンスの全てのアスペクトを再実証し、あなたのプロセス、ワークプロダクト(提出すべき成果物)またはプロダクト(成果物)を変更するようインテグレーターから要求されることだってあるかもしれません。以前私は、デベロッパーは規格の文言にとらわれるのではなく、規格の精神についてもっとよく考える必要があると言ったことがあります。パート2第6.4.9項および、6.4.10項の確証基準および、確証レビューに関する新しいガイダンスを読んでいただければ、上記のイメージをある程度つかめるはずです。
ここで確証レビューにおける要件を一部分だけ例示してみましょう。「主なワークプロダクトが○○であるかどうかを評価する。それらのワークプロダクトが機能安全の実現に寄与しているという十分かつ説得力のあるエビデンスを提供すること」。これは言い換えれば、例えあなたが安全性に関して考え得るあらゆること(フォルトシミュレーションなど)を行ったとしても、その全てが機能安全の向上に寄与していることを独立審査機関(independent reviewer)に信じさせる必要があるということです。
IPデベロッパーとインテグレーターの協調についても記述
第2版の第11章は、半導体/IP設計チームにとってはもちろん、ファブにとっても非常に興味深いものとなるでしょう。IPデベロッパーとインテグレーターの両視点から1つ大きなセクションを割いてIPを扱っており、IPをSEooCとして統合することに関する議論を含め、両者がどう協調していくべきなのかについても記述しています。ここでは、このセクションから1カ所だけ引用します。
「IPインテグレーターが、供給されたIPで安全要件を満たすことは不可能だと判断した場合には、サプライヤーに対して変更要求を提出することができる……」
つまり、例えあなた(IPサプライヤー)が自社のIPを完成品だと考えていても、もしインテグレーターが、インテグレーター自身の安全目標を満たすために何か追加的なものを必要とするならば、あなたがそれを供給させられることになるかもしれない、ということです。もちろんファクトベースの交渉はあるでしょうが、あなたが変更しない限り顧客の承認を得られないとインテグレーターが考えているなら、あなたは恐らく、自分の顧客の新しい要件に進んで応えようという(そして、末永く関係を維持するきっかけを作ろうという)気になるでしょう。
注意すべき点は、ISO 26262認証を取得しているからといって、情報や追加的エビデンスやワークプロダクトをあなたの顧客と共有しなくても良いということにはならない、ということです。仮に、あなたが何らかの認証を取得していても、顧客の要件に応えようとする中でプロダクトまたはワークプロダクトの変更を迫られる可能性はあるということです。
かなりの進歩があったISO 26262第2版
第2版はこれだけに終わらず、例えばバイク、トラック、バスでのアプリケーションも取り上げられていますが、ベース故障率の決定に関してはかなり詳細に記載されていることを最後にお伝えしておきたいと思います。この情報は、初版では至る所に散らばっていましたが、それが第2版ではパート11第4.6節「半導体のベース故障率」にまとめられています。問題は、多くの設計が高度な半導体プロセスノードに移行しているにもかかわらず、そこでは信頼性のある情報(少なくとも自動車アプリケーションに必要な寿命期間といった情報)が乏しいことです。これらの故障率の計算に用いる前提やメカニズムについてはかなり長々と議論されています。
全体的には、ISO 26262第2版ではかなりの進歩があったと言っていいでしょう。時間を経るにつれて明らかになっていった穴をどんどん埋めていき、より理解しやすく、より使いやすいものに仕上げました。おそらくその見方が最も妥当でしょう。不要なものは取り除き、私たちが当初考えていた安全要件とガイダンスを少しずつ洗練させていきました。ISO 26262第2版では、ニューラルネットワークを用いる自律システムで起こる、非システマティックで無作為な安全上の問題を扱っていません。これはSOTIF規格で扱われます。ですので、レベル3以上のシステムに携わっているエンジニアの皆さんは、ISO 26262第2版とISO/PAS 21448:2019の両方を本棚に並べておくべきです。
著者紹介
Kurt Shuler/Arteris IP マーケティング部門バイスプレジデント
Kurt ShulerはArteris IPのマーケティング部門バイスプレジデントであり、IntelおよびTexas Instrumentsのモバイル/コンシューマ/エンタープライズ各部門においてIP、半導体、ソフトウェアの豊富なマーケティング経験を積んできた実績があります。ISO 26262/TC22/SC3/WG16作業グループの米技術諮問委員会(TAG)メンバーとして、半導体および半導体IPの安全規格策定に尽力しています。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 車載半導体設計者がADASから学ぶべき教訓
自動運転システムは、さまざまな課題を設計エンジニアらに突きつけています。そうした中で、半導体開発者がADAS(先進運転支援システム)の進化から学べることは数多くあります。過去数年の間に自動車分野の開発者らがADAS設計の効率化を図っていく中で学んできた3つの主な教訓を紹介します。 - ADAS設計のハードへの移行が自動運転の未来を変える
自動運転の実現へ期待が集まるが、自動運転システムの実現にはさらなるソフトウェア開発規模の増大という大きな課題がある。この大きな課題を解決するには、ソフトウェア中心のアプローチからカスタムハードウェア開発へと重心を移すべきではないだろうか。 - 自動運転車の安全はどう認証すべきか(前編)
米運輸省が自動運転車政策のガイドラインをまとめた。最も大きな課題は、いかにして安全性を認証できるのかという点だ。 - GUIベースの安全分析ツール、ルネサスが発売
ルネサス エレクトロニクスは、ルネサス製品搭載システムが、自動車の機能安全規格「ISO 26262」に適合できるかどうかを容易に確認できるGUIベースの安全分析ツールを発売する。 - 自動運転ではGNSSチップも機能安全対応が必須に
コネクテッドカー市場に注力するu-blox(ユーブロックス)は、次世代のV2X(Vehicle to everything)モジュールやGNSS(全地球航法衛星システム)モジュールの開発を進めている。u-bloxの共同創設者であるDaniel Ammann氏は、レベル4の自動運転車からGNSSが必須になり、それに伴ってGNSSレシーバーは機能安全対応が求められるようになると説明する。 - 「次なるTesla」を目指す、中国EV各社が優勢
Teslaは、型破りなリーダーElon Musk(イーロン・マスク)氏の指揮の下、世界の電気自動車(EV)産業を一変させた。Teslaに関しては厳しい状況が続いている中、「次なるTesla」になることを目指し、EVのスタートアップ各社が競争を繰り広げている。