2011年7月11日月曜日

第1回 VDAオートモーティブSYSエクスパート会議模様 ~ISO26262とISO15504/Automotive SPICE

コンピータジャパンの堀田です。毎日暑い日が続いていますね。
この度、ブログ(プロセス改善ルーム:あまりよい名称でない?)を開設しましたので活用いただければ幸です。
まずは最初の話題として、75日~6日にかけてベルリンで開かれたVDA-QMC主催の第1Automotive SYS エクスパートコンファレンスに参加してきましたのでご報告したいと思います。ベルリンに到着した日は小雨模様で、日本とはうらはらに少し肌寒いくらいでした。

会議は、約20カ国から約120名が参加していました。ドイツのOEMや供給者、コンサルタントの参加が多い中、アジアから、私を含めて日本人3名、韓国「現代」から5名が参加していたことが目立ちました。また、ISO15504のコンビーナであるアレックドーリンも参加しており、ISO15504の現状の報告がありました。
今年の会議では一般発表ととともに、ISO 26262に関する発表が多くを占めていたことが特徴です。ISO26262IEC61508の自動車への適用という位置づけのもと、開発が進められた自動車の機能安全に関する国際標準ですが、近く正式に発行される予定になっています。

ISO 26262は、自動車を構成する電気、電子(E/E)およびソフトウェアコンポーネントからなる安全性システムの安全ライフサイクルのすべての活動に適用され、E/Eシステムの相互作用を含む誤作動に起因する可能性のあるハザードを扱っています。ISO26262は、その中でISO/TS16949ISO9001あるいはそれに相当する品質管理システムを要求しており、規格の検討では、ソフトウェアライフサイクルプロセス規格であるISO12207やプロセスアセスメント規格であるISO15504, Automotive SPICE, CMM(I)等も内容的に考慮されています。

今回私が参加した目的は、システムに対する機能安全規格が具体的にソフトウェアプロセス、特にAutomotive SPICEにどのように関係するのか、どのような議論がされているのかを探ることでした。

ISO26262が注目される理由は、自動車の機能高度化に伴ってますます複雑化するE/Eシステムへの対応と分散するサプライヤインタフェースの整備の必要性です。規格の内容とともに注目されるのは、その解釈と認証の仕組みがどうなるのかということがあります。これに伴い欧州への輸出が左右されますし、では、日本としてはこの動きにどう対応していくのでしょうか。

ドイツのOEMからは、ダイムラー、BMWVWから発表がありました。中ではダイムラーの発表が包括的で一番詳しい内容でした。ダイムラーは2008年のISO26262CD(コミティドラフト)の段階から試行を重ねており、これまでの品質マニュアルに機能安全のための要素を織り込んでいます。社内のWebを通じてコミュニケーションを図るとともに、旧来のトレーニングコース、eラーニング、OJTを通じて社員教育を行っています。供給者インタフェースとしては、システムとコンポーネントの分散開発におけるプロセスと責任の記述をゴールに、次のような供給者管理フェーズを設定しています。
     サプライヤセレクション:安全に関する能力の自己評価とプレゼンテーション
     プロジェクト開始:インタフェース合意の確立(DIA)
     プロジェクト計画策定:SPPコーディネーション
     プロジェクト実行:機能安全監査/メジャー制御
     セーフティ・サーティフィケーション:セーフティケースと機能安全アセスメント
     SOP後活動
このうち、機能安全監査には、Automotive SPICEアセスメントの結果が反映される構造になっています。これまでの経験のまとめとして、コアとなるセーフティ活動の初めての実施(エンジニアの知識の確立、既存機能の再検証)、ISO26262による多くの活動に対する影響(さらなる標準化が必要、ライフサイクルを完全にカバー)、ISO26262のさまざまな解釈と解釈誤りの可能性、既存の活動の補完で実現 等が述べられました。最後に明確な責任、教育、必要なリソースの提供、State of the artの追求、よいエンジニアリング判断を忘れる事なかれといったことが協調されました。
BMWからは、’Goal oriented application of ISO26262 for safety development’’Suppliers, SPICE and Beyond –A decade’s experience report’という2つの発表がありました。それらは抽象的な議論でしたが、モデルは常に発展していくものであり、規格の厳格な適用というより、実効的な改善をしてゴールを満たすために規格を適用していくという姿勢が協調されていました。VWからは、’An Automotive SPICE Assessment of Functional Safety Processes’という発表がありました。ここでは特にAutomotive SPICE  HISスコープに対するISO26262プロセスを反映するための拡張が議論されました。Automotive SPICEISO26262にはかなりの共通点があるので、アセスメント費用を抑えるためにコンバインドアセスメントの形態が考えられます。これに伴って、アセッサの知識、経験が問題になるとともに、実施時期、アセスメント対象となるプロセスの増加により1回あたりのアセスメント期間、工数の増加が問題になります。アセッサの知識、経験としてはプロセスアセスメントに関する知識経験と、機能安全に関する知識経験の両面が必要で、この両方を併せ持つアセッサは稀であることから、「チーム」として実施する事の必要性、アセスメント期間については、1回のアセスメントで全てを検証するのではなく、フェーズに分けて実施する事などが提案されています。
(「アセスメント」という言葉は紛らわしいので、注意してください。ISO26262では、機能安全オーディット、機能安全アセスメント、コンファメーションレビューという3つの測定(コンファメーションメジャーと言います)を定義しています。上記のコンバインドアセスメントとは、Automotive SPICEアセスメントと機能安全オーディットとの合同実施を意味します。)

一方、ISO15504の標準化動向ですが、現在実際に多く使われているパートは、第1部から第5部です。これらの概要はコンピータジャパンのホームページを参照してください。第5部(ソフトウェアライフサイクルプロセスに関するアセスメントモデルの代表例)の後、第6部(システムライフサイクルプロセスに関するアセスメントモデルの代表例)、第7部(組織成熟度のアセスメント)、第8部(ITサービスマネジメントアセスメントモデルの代表例)、第9部(目標プロセスプロファイル)、第10部(セーフティ拡張)といったパートが逐次発行されています。第7部までは既に発行済みで、第8部から第9部までは、発行待ち、あるいは最終投票段階にあり、第10部は2011年第3四半期が発行の目処になっています。なお、第5部と第6部は、参照している規格(ISO12207,ISO15288)の見直しに合わせて整合のための手直しが行われています。
 国際規格は、5年以内にレビューすることが義務付けられており、現在、次世代1550433000シリーズ)の枠組みが検討されており、一部基本的なパートについてはリライト作業ならびに投票が開始されています。関連して、供給者に関するプロセスアセスメントの相互認証や登録を支援するために、検査実施機関の運営に関する規格(ISO17020)に準じたコンフォミティアセスメントの国際標準(ISO29169)の議論が進められています。

発表では、この他、ISO15504-10 (セーフティ拡張)とISO26262の比較や
ボッシュによる経験など興味深い発表がありましたが、これら及びさらなる詳細は機会を改めてまたご報告したいと思います。

今回の会議を通じて思ったことは、現状はまだいろいろ試行段階にあって、まだ確固とした方法論は必ずしも確立されていない、これまでのAutomotive SPICEはソフトウェア中心の議論であったが、ISO26262の発行を機にハードウェアへの適用やシステムへの拡張(適用)が議論されている。ISO26262一辺倒の取り組みということではなく、ソフトウェアの重要性を反映してAutomotive SPICECMMIなどのプロセスアセスメントと如何に組み合わせていくかといった議論と取り組みが活発に行われているということです。
ISO26262の議論では、ともすると監査(決められた事を守る)や認証というところが強調されがちですが、各社の発表にも共通しているように、認証をいかに受けるかではなく、いかに成果を出すか、すなわち継続的に改善していくかということが議論の中心であるということが印象的でした。本格的な適用はこれからですが、成果は一朝一夕にはならず、今から準備を進めておくことが必要だろうと思います。

コンピータジャパンでは、岡野アイエスコンサルティングと共催で『自動車と機能安全特別セミナー』を企画、ご案内しています。こちらもご参考にしてください。

0 件のコメント:

コメントを投稿