• 更新日
• 公開日
• 2025.02.28

　近年、自動車は高機能化が進み、自動運転に向けた取り組みが本格的になってきています。システムは複雑化し、部品点数も増加傾向にありますが、システムや機器に問題が生じた場合でも、人（運転手/同乗者/歩行者等）に危害を及ぼすことのないよう適切な安全対策を施さなければなりません。このようなリスクの軽減を目的としている活動を「機能安全」と呼びます。 本記事では国際標準規格であるISO 26262で定義されている、自動車における機能安全の概要や規格への対応について解説していきます。

1．自動車における機能安全とは

　そもそも機能安全とは、人間や環境などに危害を及ぼす可能性があるリスクに対し電子システムを配置して許容できるレベルの安全を確保する事で、私たちの生活を支えるシステムが「より安全で、信頼性の高いもの」になるために欠かせない考え方です。

本質安全と機能安全の違いとは

　立体高架のように交差しても本質的に道路を分けて事故が起きないような仕組みを本質安全といいます。

　対して線路等で電車とぶつかる危険性を遮断機という機能を使用して安全を担保している事を機能安全と呼びます。

　機能安全のベースはIEC 61508であり、組織のプロセスからシステム・コンポーネントの開発手法に至るまで、この規格の考え方が適用されています。そのため、業界に応じた個々の規格が策定され、補完されています。

自動車の機能安全とは

　自動車の機能安全とは"自動車の電気/電子システムの機能不全のふるまいにより引き起こされるハザードが原因となる不合理なリスクの不在"と定義されており、意図しない潜在的な部品などの故障によって事故が起きた時に、運転手や同乗者や歩行者である人間が重篤なケガをするリスクを無くすと解釈できます。

　日本では2004年以降リコールが増加しており、車載システムの複雑化に伴い更なる増加傾向にあるため、安全性という面でISO 26262に対する期待が高まる事となりました。

2．ISO 26262の全体プロセス

ISO 26262（機能安全規格）とは

　ISO 26262は自動車における機能安全の活動や要件を担保するために策定された国際標準規格です。特に、電子制御システム（ECUなど）の安全性を確保するための指針を定めており、ASIL、故障解析などの概念を用いて開発・検証が進められます。

　ISO 26262はPart1-Part12まで分かれており、それぞれ役割を持っております。

　以下の表で各Partでの内容について簡単にまとめております。

　Part2から7は製品開発時に気を付けるべき機能安全の要件となっており、Part4、5、6では要求仕様、設計に対する検証テストを各々実施するV字プロセスとなっております。

3．ASILの考え方

ASILとは

　ASILとは（Automotive Safety Integrity Level）の略であり、自動車安全度レベルのことです。IEC 61508ではSIL（Safety Integrity Level）が使用されており、ISO 26262で使用されるASILとは異なります。

　ASILはPart3のコンセプトフェーズで決定されますが、ASILが割り当てられたアイテム（システム群）は許容される範囲まで下げて安全を担保する必要があります。

ASIL決定の仕組み

　ASILのレベルはA～Dの4段階あり、遭遇確率（Exposure） 、回避率（Controllability）、傷害度（Severity） の3つの組み合わせで、レベルが決定されます。ASIL Dに割り当てられたアイテムが一番危害のリスクが高いため、手厚い設計、評価が必要であり、作業成果物も増加します。

　また、ASILに割り当てられなかったアイテムについてもQMと呼ばれる最低限の品質管理としての保証が必要となります。

　遭遇確率、回避率、傷害度それぞれの基準に応じたパラメータを決定し、パラメータの合計でASILのレベルが決まります。

4．まとめ

　本記事では主にISO 26262で定義されている自動車における機能安全について、概要やどのような活動をする必要があるのかについて、プロセスとASILとは何かについて解説いたしました。

　近年の自動運転技術の発展に伴い、今後ますますISO 26262の重要性が高まっていきます。またこの様な規格にいち早く対応することによって、製品の安全性を世界に証明する事にもつながる為、国際競争力の強化も期待できます。

（執筆者：渡辺秀侑、編集者：安西滉樹）