日経エレクトロニクス（2011年1月10日号）に、自動車の電子制御系に関する安全規格ISO 26262の記事が載っていた。自動車の開発には関わった経験が無いけれど、ソフトウェアの安全性がどのように捉えられているのか興味があるので目を通してみた。

ISO 26262を一言で言ってしまうと「IEC 61508を自動車向けにカスタマイズ」したものだ。機能安全に関する規格といえばIEC 61508が有名だけど、下記の理由で自動車業界では受け入れられないものだったらしい。

IEC 61508はもともと石油化学プラントなどを想定して作られた規格であるため、自動車のような大量生産品を想定した仕組みになっていなかったからである。

日経エレクトロニクス2011年1月10日号 | 日経 xTECH（クロステック）

実際のところ、機能安全に対する様々な批判（例えば、確率論に偏りすぎている等）を受けて、機能安全以外の安全に関するアプローチも含めて、より進化した規格になっているという。伝統的な自動車部品では、個々の部品の信頼性を高めた上で全体の品質を高めるというアプローチを取っていたが、製品が大規模になって複雑化すると、そのような方策では安全性が確保できなくなってきている。

こうした流れを受けて、ISO 26262では、米国の航空宇宙産業や防衛産業で使われて来た「システム安全」の影響を強く受けて、システム全体を見渡した上でマクロ的なアプローチを取る方向になっているとのこと。これはミクロな視点での品質にこだわる、欧州生まれのIEC 61508とは「視点が180度異なる」考え方とも言える。

もっとも、細かいことにうるさい日本人に合ったのか、機能安全は既にそれなりの認知度を持ってしまった。電気通信大学の西康晴氏は、こんな状況を嘆いている。

「しかし、包括的な安全設計よりも先に、安全性のサブ概念でしかない機能安全の方がキーワードとして有名になってしまった。これは非常に危惧すべきことだ」

日経エレクトロニクス2011年1月10日号 | 日経 xTECH（クロステック）

既に関係者はISO 26262の対応に追われているようだが、そこで得られた知見が他のソフトウェアの安全性にどのような影響を及ぼしていくのか注視したいと思う。

その他、ソフトウェアに関する面でIEC 61508と比較すると、ISO 26262は下記の点が異なっているそうだ。

• 形式手法など特定技法への推奨が弱められた。（理由と根拠を示せば、別の方法でも良い）
• ソフトウェア・パーティショニングが追加された。（特定の不具合の影響が他に及ばないように対策する）
• 安全要件のトレーサビリティ管理が求められる。（要件管理ツールを流用可能）

雑誌の中ではIEC 61508策定の経緯（ドタバタ）や分かりにくいと酷評される背景も説明されており、国際規格というものは、いつの時代も変わらぬ決まり方をするようだ。機能安全を知っている人も知らない人も、自動車の開発に関わる人も関わらない人も、ソフトウェアの安全性がどのような方向に向かっているのか知る上で読んでおくべき記事だと思う。

国際規格というのは，純粋な技術論のみで決まるものではなく，各国のさまざまな企業の思惑が絡むものです。特にISO 26262はハードウエア開発とソフトウエアの開発の両方が関わることもあり，「膨大で分かりにくい」と言われることが多いようです。また，規格のバックグラウンドとなる専門書も非常に少ない状況です。

http://techon.nikkeibp.co.jp/article/TOPCOL/20110112/188654/

• ソフトウェアの安全性を考える
• SEA関西プロセス分科会（40回超記念）に参加してきた
• 規格競争に乗り遅れる日本