【自動車機能安全】ISO 26262寄稿シリーズ(6): 2014年を振り返って

松土 達哉 LRQA ジャパン機能安全グループ・マネジャー

松土 達哉
LRQA ジャパン機能安全グループ・マネジャー 


ISO 26262寄稿シリーズでは、ISO 26262に関する一般的な解説や注意点、多くの方が抱く、ちょっとした疑問点などを痒いところに手が届くような解説していきたいと思っています。もし、これを読んで頂いている方で、痒いところ(ちょっとした疑問点など)がありましたら、躊躇することなく、ご連絡ください。また、弊社あるいは外部団体で実施したセミナー、教育研修、イベントなどの情報など、ISO 26262、機能安全などに関連する記事を載せたいと思います。

あと5日で2014年が終わろうとしています。2014年は、良い事も悪い事もいろいろとありました。冷凍食品農薬混入事件。このような事件がまさか日本で起きるとは思っていませんでした。2月の大雪。STAP細胞論文不正。華々しい発表と不正発覚。消費税8%。顧客情報の大量流出。品質保持期限切れの鶏肉使用。またか・・・。広島土砂災害。御嶽山噴火。まさか・・・。リニア中央新幹線着工。衆院選。

自然災害に対する人間の無力感と、人間が持つ悪意の制御の難しさを実感する出来事が多かったと感じています。

あと、自動車機能安全に関わっている者として忘れてはならないエアバッグ問題。幕引きの目処が付かない年を越しそうです。今回は、このエアバッグ問題をISO 26262的な視点で見てコメントしたいと思います。


自然災害に対する人間の無力感

第二回及び第三回の寄稿で機能安全について解説しましたが、一つ重要なキーワードを書いていませんでした。ハザード分析(Hazard Analysis)と同様の意味になるのですが、それは、「想定」あるいは「想定すること」です。

「何が危険なのか」、「どのような危険なのか」、「どんな時危険になるのか」、「どうなったら危険なのか」、まず、「想定」することから始まります。したがって、最初の「想定」から漏れた(危険)事象には何も対処(対策)もされないままになり、時に重大な結果を引き起こす可能性を持つことになります。

今年の大雪に関して、山梨県の甲府盆地で140cmの積雪になることを想定していた人はおそらくいないと思います。ちなみに、私の想定は50cm程度の積雪でした。根拠は、1)ここ20年くらいは積雪が10cmを超えたことは無かった。2)ただし、子供の頃、40cm程度の積雪が数回あった。この1)と2)に少しマージンを加えて50cmの積雪を想定しました。だから、カーポートを作る際に、積雪60cmまで対応の積雪地仕様にしていました。ご近所で何件かのカーポートが倒壊するなか、幸いに我が家のカーポートは、積雪地仕様だったことと、仕様におけるマージンのおかげで倒壊を免れました。また、屋根からの落雪による危険も、家を建てる際に想定していました。しかし、デザインと予算(経済性)の都合で屋根からの落雪に充分に対応できる形状に出来ず、結果、物置は落雪によって見事に倒壊しました。しかし、“保険”という一種の機能安全によって完全復旧しました。

災害を引き起こす自然の威力は巨大で、人間の物差しで計ることは難しいと感じます。私が想定した積雪50cmも今回の大雪の積雪140cmも自然のスケールからすれば誤差か、たまたま140cm積もっただけ。200cm積もる可能もあった訳です。しかし、危険な状態・事象などを「想定」して出来る範囲の対処(対策)をしておくことで危険や被害を最小限に抑えることは出来ると感じました。

人間が持つ悪意の制御の難しさ

2013年12月に発覚した冷凍食品農薬混入事件。このような事件がまさか日本で起きるとは思っていませんでした。また、中国の食品加工会社で発生した品質保持期限切れの鶏肉使用問題は、衝撃と「またか・・・」という諦めの気持ちになりました。

両社も食品安全や品質管理に対して積極的に取り組んでいたはずです。中国の食品加工会社に至っては、食品の製造工程における衛生・品質管理システム、いわゆるHACCP(Hazard analysis and critical control points)に基づく高度な設備と衛生管理、更に委託元の企業による厳しい監査も定期的に行われていたとされています。では、なぜ、このような事件が起きてしまったのでしょうか?

当事者でないので、報道される記事や推測でしか言えませんが、企業など組織における何らかの「仕組みの問題」が原因の一つだと思います。ここで言う「仕組み」とは、その会社の運営システムや品質システムを言っている訳ではありません。いくつか記事を見ると、冷凍食品農薬混入事件が発生した会社では、新人事制度に対する不満や契約社員に対する待遇などに不満があったとあります。当事者の資質に寄るところが大きいですが、作業員が「悪意」を持ってしまうような状態ならば、人事制度、雇用形態を含めた「仕組み」の問題と言えます。また、中国の食品加工会社の場合も同様に、一部の作業員あるいは個人かも知れませんが、「悪意」を持ってしまうような状態があり、それを抑制(制御)するような組織文化が無かったのかもしくは、機能していなかったかもしれません。

安全文化

ISO 26262の第2部「機能安全の管理」の5.4.2節に「安全文化」という節があります。ISO 26262-1:2011の定義では、

「安全関連システムの開発、生産及び運用を支援するために組織内で使用している方針及び戦略」

とあります。また以下に、小節(5.4.2.1 – 5.4.2.8)の抜粋を記載します。

以下、ISO 26262-2:2011の抜粋

5.4.2.1

組織は、機能安全の効果的な達成を支援し、推奨する安全文化を

  創出し、育成し、実行し、維持しなければならない。

5.4.2.2

組織は、ISO 26262の要求に準拠するために組織固有の規則及びプロセスを

  策定し、実行し、維持しなければならない。

5.4.2.3

組織は、識別された機能安全のアノマリーが適切な安全管理者及び他の責任者に明確に伝わることを保証するためのプロセスを

  策定し、実行し、維持しなければならない。

5.4.2.4

機能安全上のアノマリーの分析、評価、解決、及び措置のタイムリーで効率的な方法での実施を保証するために、組織は安全上のアノマリーを解決するプロセスを

  設け実行し、維持しなければならない。

5.4.2.5

安全ライフサイクルの実行中、組織は、ISO 26262-8:2011, 10節に従って、関連する文書の作成及び管理を含む、必要な機能安全活動を実施しなければならない。

5.4.2.6

組織は、機能安全達成に必要なリソースを提供しなければならない。

5.4.2.7

組織は、以下に基づく継続的な改善プロセスを策定し、実行し、維持しなければならない。

  - 市場実績を含む、他のアイテムの安全ライフサイクル実行により得られた経験による知識

  - 後のアイテムに適用することにより得られた改善点

5.4.2.8

組織は、安全活動を実行又は支援する人がそれら責務を果たすのに充分な権限が与えられていることを保証しなければならない。

以上、ISO 26262-2:2011の抜粋

ここからは、組織は一丸となって、「安全」という大きな目標を達成するために、自らの意思と方法(プロセス)で自発的に行動し、自らの判断で道筋を選択し、止まることなく進んで行くことの出来る組織風土(組織文化)の必要性を問うていると読み取れます。「規則」や「教育」とかではなくて、「文化」というところが重要です。

「規則」を作り、それを守ることが出来れば、受動的ですが秩序が生まれます。「教育」を実施して、知識を身に付ければ、分別(ふんべつ)が付きます。しかし、それだけでは文化と言えるような知的思考や行動様式は生まれません。文化は、短期間で形成されることはありません。日々の努力、日々の教育訓練、日々の安全及び品質向上への取組みなどが組織全体に浸透し、定着したとき初めて文化となるからです。「文化は一日にして成らず」です。

ISO 26262-2:2011の付属書Bの安全文化の例(表 B.1)を読んで、自組織の状態と比べて見てください。ドッキっとする項目はありませんか?「不十分な安全文化を示す例」の中に該当する項目はありませんか?「不十分な安全文化を示す例」の中に該当する部分が全く無いと言い切れる組織は、かなり少ないと思います。

前述した食品加工会社での問題の背景には、「悪意」を持ってしまうような状態があり、それを抑制(制御)するような組織文化、つまり「安全文化」が無かったのかもしくは、未成熟で機能していなかったかもしれません。

エアバッグ問題

第5回の寄稿でも触れましたが、タカタ製エアバッグ問題の原因はエンジニアが手を抜いたからでは決して無いと強く信じています。もちろん、製造現場も同様です。

しかし、いくつかの記事にあるように、「高温多湿」が原因の一つとするならば、どの程度の高温及び湿度を想定して、設計し、テストしたのでしょうか?設計仕様、(想定した)動作環境、(想定した)保管環境、(想定した)製造工程など設計及び製造に関わる記録、さらに未公開の把握している問題の可能性のある原因を全て明らかにする必要が有ると感じます。今回起きてしまった事象は、想定内なのか想定外なのか?想定内ならば、なぜ対処出来なかったのか?想定外ならば、なぜ想定できなかったのか?明らかにして、洗いざらい公開すべきと思います。

また、米議会下院で開かれた公聴会などの公的な場所には、品質保証本部のシニアバイスプレジデント 清水博氏しか姿を見せませんでした。前述したISO 26262-2:2011の小節(5.4.2.1 – 5.4.2.8)を思い出してください。ISO 26262における安全文化や安全に関する記述の「組織」は、「経営者」あるいは「トップマネージメント」と読み替えて読むべきだと考えます。

5.4.2.1

組織は、機能安全の効果的な達成を支援し、推奨する安全文化を

  創出し、育成し、実行し、維持しなければならない。

↓↓↓

5.4.2.1

経営者は、機能安全の効果的な達成を支援し、推奨する安全文化を

  創出し、育成し、実行し、維持しなければならない。

あえて強く言うと設計者・製造現場、さらに全社員が一丸となって「安全」に対して真摯に取り組んでいたとしても、その会社のトップが公的な場所に姿を見せて説明責任を果たさないのであれば、「安全文化」が無いとしか言えません。食品にちょっと虫が入った程度の問題ではないのです。尊い命が失われているのです。

トップは、「安全文化」を築き上げる責任と「何か起きた」ときの責任を負わなければなりません。トップは、高額な報酬を得ると共に、全ての責任を負わなければならないということを認識しなければならないのです。さらに、先日同社スイス人社長の辞任報道がありましたが、もし、タカタのトップ階層に「安全文化」が根付いていたなら、このような展開にはならないはずです。

今回のエアバッグ問題で数名の尊い命が失われたことは、非常に悲しい事実です。しかし、エアバッグのおかげで救われた命もたくさんあることも事実です。一日でも早く原因が究明され、エアバッグ問題が解決することを、自動車を使用するユーザーとして期待しています。

最後になってしまいましたが、ISO 26262寄稿シリーズをお読み頂き、ありがとうございます。

来年も寄稿を続けますので、是非、ご覧ください。

それでは、良いお年をお迎えください。

掲載日:2014年12月26日 




ISO 26262-2:2011
 付属書B(参考)
安全文化評価の例 

表 B.1 – 安全文化評価の例

No. 不十分な安全文化を示す
例(A)
良い安全文化を示す
例(B)
1 責任がトレースできない。 プロセスが関連する機能安全の決定責任のトレースを保障する。
2 常に費用及びスケジュールが安全及び品質に優先する。 安全が最も優先順位が高い。
3 報酬システムが安全及び品質に対してよりも費用及びスケジュールを評価する。

報酬システムが機能安全の効果的な達成を支持し、動機付ける。

報酬システムが安全及び品質を危険にさらす近道を取る者を罰する。

4 安全、品質及びそれらの管理を評価する者が、プロセスを実行する責任に過度に影響される。 プロセスが適切なチェック及びバランスを与える。例えば、組み込まれたプロセス(安全、品質、検証、妥当性確認及びコンフィグレーション管理)の適正な独立性。
5

安全に対する受動的な態度、例えば、

  • 製品開発サイクルの最後のテストへの過度な依存
  • フィールドに問題がある場合だけ管理者が動く。

安全に対する積極的な態度、例えば、

  • 安全及び品質の問題は、製品ライフサイクルの初期の段階で発見され、解決されている。
6 必要なリソースがタイムリーに計画、配置されない。

必要なリソースが配置されている。

技能のあるリソースが割り当てられていた活動に相応しい能力を持つ。

7

”集団思考”
レビューグループを作る際に”不正工作”をする。
反対者が追放される、又は”チームの者ではない”とレッテルを貼られる。
異議は、勤務評価でマイナスに働く。
”少数派の反対者”といった扱いをされたり、レッテルを貼られる。
関連する従業員が跳ね返りを恐れている。

プロセスが率先して多様性を行使する:
  • 知的な多様性が求められ、価値を与えられ全てのプロセスに組み込まれる。
  • 多様性の行使に反対するふるまいを止めさせ、罰する。

コミュニケーションの指示及び意思決定のチャネルが存在し、管理者はそれらの行使を推奨する。 

  • 自己開示が推奨される。 
  • 他の誰による発見の公開も推奨される。 
  • 発見及び解決のプロセスがフィールドで継承される。
8 体系化された継続的な改善のプロセス、学習サイクル又は”教訓”の活用がない。 継続的な改善がすべてのプロセスに組み込まれている。
9 プロセスが”その場しのぎである”又は、”暗黙”である。

定義され、トレース可能で、管理されたプロセスに以下を含む全てのレベルで従っている:

  • 管理
  • エンジニアリング
  • 開発インターフェース
  • 検証
  • 妥当性確認
  • 機能安全監査
  • 機能安全アセスメント
Hint

ISO 26262 自動車機能安全

ISO 26262は、機能安全規格の大元であるIEC 61508から派生した自動車分野向けの機能安全規格です。プロセスも製品もISO 26262認証の対象になります。規格説明ページはこちらから。

続きを読む

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【自動車機能安全】ISO 26262寄稿シリーズ(5): ISO 26262の欧州の現状

先日、LRQAの横浜オフィスにLRQAのサポートを受けアジアでのサービスを展開しているMIRA社のデイビッド氏(写真左)と、組込みソフトウェア開発や機能安全規格教育研修の共同開発や実施にご協力頂いている株式会社東陽テクニカの二上氏(写真右)にお越し頂き、ISO 26262関連及びMISRA(Motor Industry Software Reliability Association)に関するミーティングを実施しました。

【鉄道】鉄道産業の現状と国際標準(2):IRIS規格、要求事項の概要

IRIS規格は認証のプロセスと審査方法に特徴があるため、これらの内容を各々第1章及び第2章で説明し、最後の第3章でシステム要求事項(0項~8項)を述べています。さらに、鉄道製品分類を示した『IRIS適用範囲』や、『IRIS審査工数』など、7件の附属書を加えて規格は構成されています。

【自動車】QMSファミリー セクター規格(1): ISO/TS 16949解説

自動車産業では、製品が安全と直結していることから、不良品ゼロが至上命題となっています。ISO 9001に比べ、より高度かつ多角的な品質管理が行える、自動車産業セクター規格ISO/TS 16949の認証取得が求められるようになっているのです。

【自動車機能安全】ISO 26262 - プロフェッショナルが集結して機能安全への視点を徹底解説

自動ブレーキや自律走行システムなど、自動車機構における電気・電子システムの役割が拡大する中で、各アセットメーカーやパーツメーカーもISO 26262(自動車向け機能安全マネジメントシステム)への関心を高めています。このニーズに応え、LRQA ジャパンでは、機能安全のエキスパートがISO 26262 への準拠に求められる視点を解説する「自動車機能安全セミナー2015 春」を開催しました。


お問合せ

ロイド レジスター クオリティ アシュアランス リミテッド
LRQA ジャパン
マーケティング チーム  
Tel: 045-670-7447 Fax: 045-682-5289 
E-mail:   LRQA-Japan-Marketing@lrqa.com