ISO 26262とは — 機能安全とASILの構造、SDV時代の位置づけ
ISO 26262は、自動車の電気・電子(E/E)システムにおける機能安全(システムの故障が人を傷つけないようにする設計の考え方)の国際規格である。本記事は、ISO 26262が何を定めた規格か、中核概念であるASIL(安全度水準)とは何か、そしてSDV(ソフトウェア・デファインドな車)時代になぜこの規格だけでは足りないのかを整理する。結論を先に言えば、ISO 26262はいまも安全設計の「基盤」であり続けるが、確率的に動くAIの時代には、補完する規格と統合して使う前提に変わっている。
ISO 26262とは何か
ISO 26262とは、自動車のE/Eシステムの安全設計・開発・検証の全プロセスをカバーする機能安全の国際規格であり、2011年に初版、2018年に第2版が発行された(出典:ISO 26262:2018)。全12パートからなり、概念設計からソフトウェア設計、製造、運用、廃車までの安全ライフサイクル全体に要件を定める。とりわけソフトウェア開発を扱うPart 6は、V字モデル(要件定義から検証までを左右対称に対応づける開発手法)に基づく開発プロセスを規定し、SDV時代のソフト設計で最も頻繁に参照される。
ASIL——安全度を4段階+QMで分類する
ISO 26262の中核概念がASIL(自動車安全度水準)である。ASILは、故障が人命に与える深刻度・発生頻度・制御可能性の三軸で評価され、次のように分類される。
| 水準 | 位置づけ | 典型的な対象例 |
|---|---|---|
| QM | 安全要件なし(品質管理のみ) | 情報系の一部機能 |
| ASIL-A | 最低 | 影響の小さい制御 |
| ASIL-B / C | 中間 | 各種運転支援機能 |
| ASIL-D | 最高 | ブレーキ・ステアリング・エアバッグ展開など |
ASIL-Dが要求されるのは、故障が重大な人身事故に直結するシステムである。最高水準の認証には、全コードパスのテスト、ハードウェアの故障率計算、FMEA/FTA/HARAといった安全分析の徹底が求められる(投資額・期間は規模・体制により大きく異なるため、本記事では特定の金額・期間を断定しない)。
ASIL分解——安全と設計の柔軟性を両立する
ASIL分解は、高いASIL要件を複数の低いASILコンポーネントに分けて満たす手法である。たとえばASIL-D要件を、独立した二つのASIL-B(D)コンポーネントの冗長構成で満たすことができる。
これはSDVのアーキテクチャと相性がよい。安全制御を担う領域をASIL-Dで設計し、AI推論を担う領域をより低い水準で設計しても、両者の独立性が厳密に保証されればシステム全体としてASIL-D相当を論証できる。機能を安全度ごとに分離する設計(混在クリティカリティ)や、seL4のような形式検証済みの基盤によるVM間の隔離保証は、このASIL分解を最も厳密に実現する技術的土台になる。
ISO 26262の構造的限界——AI/MLには原理的に適合しない
ISO 26262は「決定論的ソフトウェア」(同じ入力には必ず同じ出力を返すソフト)を暗黙の前提にしている。すべてのコードパスが特定でき、すべての入力に期待出力が定義できる、という前提だ。
ところが、端から端まで一つのAIモデルで処理する方式のような確率的に動くニューラルネットワークは、この前提に原理的に適合しない。膨大なパラメータを持つモデルの全入力空間をテストすることは物理的に不可能で、ISO 26262が想定するテストカバレッジ基準をそのまま適用できない。
この限界への業界の回答が、補完する二つの規格である。ISO 21448(SOTIF=故障していないのに想定外の動作をするリスクへの対処、2022年発行)が「故障なき状態での性能限界」を、ISO/PAS 8800(車載AIの安全規格、2024年発行)が「AI特有の機能的不足」を対象とする。三規格は排他的ではなく補完的であり、SDV時代の安全設計はこれらを統合して適用する。実際に、機能安全・SOTIF・AI安全の各規格を統合して認証を取得する先行事例も現れている(特定メーカーの優劣はここでは断定しない)。
SDVでの安全認証——アーキテクチャがコスト構造を変える
安全認証のコストは、おおまかには認証対象の数に比例する。機能ごとに多数のECUが分散した従来のE/Eアーキテクチャでは、安全関連ECUごとに個別の認証が要り、プラットフォーム全体の負担が膨らみやすい。これに対し、セントラルコンピュータやゾーンアーキテクチャへ集約したSDVでは、最も厳格な認証の対象を安全制御の中核領域に限定し、その隔離保証のもとで他領域を部分再認証で対応できる可能性がある。この構造的なコスト削減が、SDVアーキテクチャの経済合理性を支える柱の一つになる。なお、高性能なADAS/AD向けの半導体(SoC)も、Part 11(半導体の機能安全)に基づく認証を前提に、ハードとソフトでASILを分担する設計が一般化している。
まとめ:ISO 26262は基盤だが、単独では足りない
ISO 26262はSDV時代も安全設計の基盤であり続けるが、単独でSDVの全安全要件をカバーすることはできない。AIの不確実性にはAI安全規格を、センサーの性能限界にはSOTIFを、隔離保証には形式検証を——というように、複数のフレームワークを統合して運用する能力が問われる。自社で具体化する際、まず確かめたい論点は次のあたりになる。
- どの機能をどのASILで設計し、ASIL分解と隔離保証でどう論証するか。
- ISO 26262に、SOTIF・AI安全規格をどう組み合わせて全領域をカバーするか。
- アーキテクチャ集約による認証コスト削減を、安全論証とどう両立させるか。
規制・安全対応の経営インパクトはSDVとサイバーセキュリティ/法規制の経営インパクトを、SDV全体像は【SDV入門】経営層が掴むSDVの全体像をあわせて参照してほしい。自社の製品・体制に即した機能安全の設計は個別性が高く、具体化の段階では外部の視点を入れると論点整理が速い。