2016/9/16 SQiP2016

ISO26262「確証方策」の より効率的な実施の取り組み

～組織・プロジェクトの特性に応じた フレキシブルな実施を目指して～

菅沼由美子

パナソニック株式会社 オートモーティブ＆インダストリアルシステムズ社

技術本部 プラットフォーム開発センター

システム技術開発部 機能安全推進課

ソフトウェア品質シンポジウム2016

SQiP2016

内容

2

1. 背景

2. 課題（改善したかったこと）

3. 改善方針（改善の方向）

4. 取組（取組①～④）

5. まとめ

ソフトウェア品質シンポジウム2016

SQiP2016

1.背景

3 ソフトウェア品質シンポジウム2016

SQiP2016

車載分野の機能安全

用語 説明

機能安全 安全に対するリスクを、安全方策により許容可能な範囲内に抑えるという考え方で、本質安全とは異なる概念

ISO26262 車載E&Eにおける機能安全の規格

ASIL ISO26262で用いる安全度水準で、ASIL A,B,C,Dの順に高くなる（なお、ASILA以下のQMは一般的な品質管理を意味する）

確証方策 ISO26262 Part2で要求される３つの活動で、実施者に対し、ASILに応じた第三者性の要求がある

4

1. 背景

車載分野では機能安全（ISO26262)への対応が必要

ソフトウェア品質シンポジウム2016

SQiP2016

３つの確証方策

確証レビュー 機能安全監査 機能安全 アセスメント

評価対象 作業成果物 （表1に規定あり）

機能安全に要求されているプロセスの実施

対象のアイテム

責任 作業成果物のIS0 26262要求への準拠性の評価

要求されるプロセスの実装の評価

達成された機能安全の評価

実施 タイミング

活動完了後 生産リリースまで

プロセスの実施中 順次or一括 生産リリースまで

5

1. 背景

※ISO26262 Part2 表2 より

ソフトウェア品質シンポジウム2016

SQiP2016

パナソニックの車載事業

6

http://www.panasonic.com/jp/corporate/ir/pdf/panasonic_ar2015_j.pdf Annual Report より

1. 背景

ソフトウェア品質シンポジウム2016

http://www.panasonic.com/jp/corporate/ir/pdf/panasonic_ar2015_j.pdfhttp://www.panasonic.com/jp/corporate/ir/pdf/panasonic_ar2015_j.pdf

SQiP2016

SJ2009： SQAとSPIによる 「ソフトウェア品質保証」

SJ2010： SQAの役立ちアップに向けて （スキルとリソース）

SJ2011： プロセス監査の システム製品への拡張

SQiP2012 「システム、ハード、ソフト 全プロセスに渡る システムプロセス監査の実施

SQiP2013： 「ＳＱＡ監査の品質」の 向上への取り組み

SQiP2014： SQuBOKを活用した SQA育成

私のこと…業務と関心

7

HW開発

SW開発 SPI

SQA SPI

パナソニック入社

1. 背景

所属

担当

SQiP2015： 「SQA監査」と 「確証レビュー」の融合

既発表

確証方策の、プロジェクトや組織に応じた実施への取り組みについて共有します

本発表

ソフトウェア品質シンポジウム2016

SQiP2016

2.課題（改善したかったこと）

8 ソフトウェア品質シンポジウム2016

SQiP2016

確証方策実施パターン：デフォルト

9

SYS

HW

第三者部門 開発部門

開発 プロジェクト

SQA（SW-QA)

検証 レビューア

SW開発プロセスの監査：6回

検証

機能安全の 評価：2回

機能安全監査員

機能安全アセッサ

SW

確証レビューア

2.課題

同じような確認を 何度もされる 人の割り当てと

育成が大変

どの部門が 実施する？

プロジェクトにも組織にも課題はある が、プロジェクトや組織によって課題の重さは異なるのでは？

規格遵守の レビュー：3回

機能安全プロセス監査：4回

どこまで 見る？

（回数は例）

ソフトウェア品質シンポジウム2016

SQiP2016

課題

プロジェクトにとって

イベント増加によるプロジェクトの負担増

特に小規模短期プロジェクトには負担が大きい

組織にとって

確証方策担当の割り当てと育成が必要

第三者性（ISO26262要求）を満たせるか

スキルとリソース

⇒ サプライアとして

ISO26262要求である確証方策を確実に実施したい

しかし、プロジェクトや組織の負担は最低限に抑えたい

10

2.課題

ソフトウェア品質シンポジウム2016

SQiP2016

3. 改善方針（改善の方向）

11ソフトウェア品質シンポジウム2016

SQiP2016

改善の方針

目的：組織やプロジェクトに応じ、最適な方法で確証方策が実施出来る仕組みを構築する

目標：組織やプロジェクトに応じた実施方法の選択肢を構築する

方針： プロジェクトの負担軽減を優先する

組織のリソースに応じた役割分担を可能にする 役割を技術部門、品質部門に固定しない

複数の選択肢を準備する

出来ることからやっていく 順次、選択肢を増やしていく

12

3.改善方針

ソフトウェア品質シンポジウム2016

SQiP2016

取り組み

イベントに着目(イベント統合)→プロジェクトの負担を減らす

取組① SQA監査と機能安全監査の統合

SQiP2012で発表

取組② 機能安全監査と確証レビューの統合

SQiP2015で発表

視点に着目→実施者の負担を減らす

取組③ 視点ごとに確認イベントを整理

取組④ 成果物ごとに全視点を一回で確認

13

3.改善方針

本年度取組中

ソフトウェア品質シンポジウム2016

SQiP2016

取り組み概要 1/2

イベントに着目(イベント統合)

プロジェクトの負担を減らす

取組① SQA監査と機能安全監査の統合

ソフトだけでなく、システム、ハードもプロセス定義＆監査

SQA監査と機能安全監査のチェックリストを統合

取組② 機能安全監査と確証レビューの統合

監査(プロセス)と確証レビュー(成果物)のチェックリストを統合

監査イベントにおいて確証レビューを同時に行う

14

3.改善方針

実施 パターン

SQA監査 回数

機能安全監査回数

確証レビュー 回数

機能安全アセスメント回数

イベント回数計

デフォルト ６回 4回 ３回 ２回 15回

取組① ６回 3回 2回 11回

取組② ６回 2回 8回

(想定)

ソフトウェア品質シンポジウム2016

SQiP2016

取り組み概要 2/2

視点に着目…実施者の負担を減らす

取組③ 視点ごとに確認イベントを整理

確認視点の分析と整理

視点ごとに確認イベントを整理する

チェックリストの構築視点ごとのチェックリストを構築する

取組④ 成果物ごとに全視点を一回で確認

③で、視点で整理したイベントを、成果物で統合する視点は明確化した上で、イベントを統合する

15

3.改善方針

ソフトウェア品質シンポジウム2016

SQiP2016

想定した効果

取組 想定した効果

イベントの 統合

取組① SQA監査と機能安全監査を統合

・イベント回数を削減できる (例：15回 ⇒11回）

取組② 確証レビューと機能安全監査を統合

・イベント回数を削減できる (例：15回 ⇒8回） ・監査部門による確証レビューの実施が可能

視点に 着目

取組③ 確認イベントを視点で整理して実施

・どのイベントで何を保証しているのかが、より明確化できる ・視点が明確で確認が行いやすい （ASILが高い場合に特に有効） ・部門に拘らず確証方策が実施できる

取組④ 成果物ごとに全視点を一回で確認

・成果物ごとに見ると、実施イベントが削減できる

16

3.改善方針

ソフトウェア品質シンポジウム2016

SQiP2016

4. 取組（取組①～④）

17 ソフトウェア品質シンポジウム2016

SQiP2016

取組① SQA監査と機能安全監査の統合 4. 取組

18

SYS

HW

第三者部門 技術部門

開発 プロジェクト

開発プロセス& 機能安全 プロセス の監査

SW 機能安全監査員/

SQA（SW-QA)

機能安全アセッサ

確証レビューア

検証レビューア

検証

機能安全の 評価

規格遵守の レビュー

4.取組①

SQiP2016

取組①SQA監査と機能安全監査の統合

準備 ハード、システムのプロセス定義と監査の仕組み構築(参考文献②①)

実施事項 SQA監査と機能安全監査のチェックリストを統合

通常のSQA監査対象プロセスは、機能安全的にはQMに相当

⇒QMとASIL A～Dとして統合可能

リスクと軽減策 監査員のスキル

SQA教育、機能安全教育（参考文献⑥⑦)

実施支援…機能安全プロセスのチェックリストの解説書を準備

評価 想定した効果あり（イベント回数削減によるプロジェクトの負担減）

参考文献③④

19

4.取組①

SQiP2016

取組②確証レビューと機能安全監査の統合 4. 取組

20

SYS

HW

第三者部門 技術部門

開発 プロジェクト

規格遵守の レビュー/

開発プロセス& 機能安全 プロセス の監査

SW

確証レビューア/ 機能安全監査員/ SQA（SW-QA)

機能安全アセッサ

検証レビューア

検証

機能安全の 評価

SQiP2016

取組②確証レビューと機能安全監査の統合

準備 取組①が実施されていると、より効率的

実施事項 機能安全監査チェックリストと確証レビューチェックリストを統合

プロセスチェックと成果物チェックのチェックリストを統合する

リスクと軽減策 確認視点が漏れる→確証レビューアと機能安全監査員が同時参加

イベント数削減が目的なので、監査/レビュー実施者は削減しなくてもよしとする

実施者の育成…SQA教育、機能安全教育（参考文献⑥⑦)

評価 想定した効果あり（イベント回数削減によるプロジェクトの負担減）

＋想定外のメリット…監査と確証レビューのチェック項目のダブりが削減

参考文献⑤

21

4.取組①

SQiP2016

チェックリストの構成

22

組織の 機能安全用 開発プロセス

（ガイドライン参照）

組織の 開発プロセス

SQA監査 チェック項目

確証レビュー チェック項目 （成果物ベース）

機能安全監査 チェック項目

機能安全

ガイドライン

ISO26262

要求事項

取組②

確証レビュー チェック項目 （プロセス/

アクティビティ毎）

統合

複合チェックリスト

SQiP2016

チェックリストのイメージ

23

※内容は、実際の弊社チェックリストではありません

・SQA監査項目

SQA監査項目に関連する ・確証レビュー項目 ・機能安全監査項目

確証レビューと 機能安全監査の関係

ISO26262との関係

取組②

SQiP2016

想定外のメリット

24

機能安全監査と確証レビューのダブりが削減

監査チェック項目の１６％は確証レビュー項目と同じ

機能安全監査の確認ポイントが明確になった

監査チェック項目の４７％は確証レビュー項目を参照可能

その結果、プロジェクトも確認ポイントを理解し易い

確証レビューと機能安全監査を別に行う場合にも、本チェックリストを元に、項目がダブらないよう整理可能

取組②

SQiP2016

取組③視点ごとに確認イベントを整理 4. 取組（取組①～④）

25

取組③

SQiP2016

視点に着目した理由

下記(a)(b)の視点は、一見異なる。

(a)確証レビュー…成果物のISO26262への準拠性を評価

(b)機能安全監査…機能安全プロセスの実施を評価

しかし、機能安全プロセスは、ISO26262に準拠するように定義されているため、実際には同様の評価を行う

そこで、下記の方法により、効率化を図ることが出来ると考えた。

成果物ごとに、確証方策の視点のダブりをなくす

成果物ごとに、確証レビューと機能安全監査の視点を、再度明確にして視点のダブりをなくす。

26

取組③

SQiP2016

取組③視点ごとに確認イベントを整理

準備 ISO26262で求められる要求確認視点の詳細確認

実施事項 確認視点の分析と整理…視点ごとに確認イベントを整理する

チェックリストの構築

リスクと軽減策 実施者のスキル

機能安全トレーニング体系、SQAトレーニング体系（参考文献⑥⑦）

個別指導（勉強会、OJT)

評価（現在実施中） 視点を絞ることで、チェックが行いやすい

どのイベントで何を保証しているのかが、より明確で、機能安全アセスメントでの参照が容易

部門（品質/技術）に拘らず、担当組織を割り振りしやすい

27

4.取組③

SQiP2016

ISO26262における確証方策の要求

項目 機能安全 監査

確証 レビュー

機能安全 アセスメント

対象 機能安全に要求されているプロセスの実施

作業成果物（表1) ・安全計画 ・アイテム統合とテスト計画 ・妥当性確認計画 ・安全分析 ・ソフトウェアツールの基準の評価報告と認定報告 ・セーフティーケースの完全性

アイテム定義されたアイテム （確証レビュー、機能安全監査の結果を考慮）

目的に関する記載

プロセス実施の評価 ・機能安全に要求されるプロセスの実施の評価

対象成果物の確証 ・作業成果物のISO26262の要求への準拠性の評価 ・ISO26262の要求に関して、形式、内容、適切さ、完全性についての正しさのチェックを含む

達成した機能安全の評価 ・安全計画に要求される全作業成果物の規格準拠の評価 ・機能安全プロセスの実施の評価 ・実施された安全方策の適正と効果のレビュー

28

4.取組③

次工程以降に 対する準備

準拠性確認は 全作業成果物に必要

SQiP2016

表１の確証レビュー

確証レビュー 対象成果物(表1記載)

対応する次工程

安全計画 すべての安全関連活動

アイテム統合とテスト計画 統合とテスト

妥当性確認計画 妥当性確認

安全分析 安全方策の配置

ソフトウェアツールの基準の評価報告と認定報告

ソフトウェアツールの使用

セーフティーケースの完全性 セーフティケースの論証 機能安全アセスメント

29

表１の確証レビュー対象成果物は次工程以降に対する準備 ⇒ 「次工程に対し十分か」という視点を準拠確認から分離

4.取組③

SQiP2016

視点の整理

視点 機能安全 監査

確証 レビュー

機能安全 アセスメント

プロセスを遵守しているか ○ ○

成果物が規格準拠しているか：形式、内容など

○ 表１成果物

○ 全成果物

次工程に対し十分か： 成果物の適切性、完全性

○ 表１成果物

安全方策の適正と効果 機能安全の達成

○

30

4.取組③

SQiP2016

組み換え

視点

成果物 プロセス遵守

＆規格準拠

対次工程

の確証

機能安全

の達成

表１の成果物（＋α） ○ ○

全成果物 と論証

その他：技術系成果物 ○ －

その他：管理系成果物 ○ －

31

4.取組③

・イベントを、この３つに分ける ・それぞれのチェックリストを整備する

SQiP2016

効果

現在実施中であるが、下記効果が期待できる

視点が明確で確認が行いやすい

（ASILが高い場合に特に有効）

どのイベントで何を保証しているのかが、より明確で、機能安全アセスメントでの参照が容易

部門に拘らず確証方策が実施できる

32

4.取組③

SQiP2016

取組④ 成果物ごとに全視点を一回で確認

4. 改善内容（取組①～④）

33

取組④

SQiP2016

取組④成果物ごとに全視点を一回で確認する

準備 取組③

実施事項 成果物ごとのイベントの整理

チェックリストの構築

リスクと軽減策 実施者のスキル

機能安全トレーニング体系、SQAトレーニング体系（参考文献⑥⑦）

個別指導（勉強会、OJT)

評価 （今後実施予定）

34

4.取組④

SQiP2016

統合

視点

成果物 プロセス遵守

＆規格準拠

対次工程

の確証

機能安全

の達成

表１の成果物（＋α） ○

全成果物 と論証

その他：技術系成果物 ○ －

その他：管理系成果物 ○ －

35

4.取組③

・成果物ごとにイベントを整理 （チェックリストは統合しない）

SQiP2016

5. まとめ

36

SQiP2016

選択肢まとめ

選択肢 想定するプロジェクトの例

イベントの統合

SQA監査と機能安全監査を統合

全組織

確証レビューと機能安全監査を統合

小規模短期プロジェクト 監査員のスキルが高い組織 など

方策ごとの分担

確認イベントを視点で整理して実施

ASILが高いプロジェクト 技術部門にスキルの高い第三者が居る組織 など

成果物ごとに全視点を一回で確認

ASILが高い、小規模短期プロジェクト など

37

5.まとめ

・下記の４つの選択肢を構築できた

SQiP2016

改善の効果

プロジェクトや組織に応じ、効率的に確証方策を実施し、確証方策の目的を達成出来るようになった

技術職能、品質職能を超えて、適切な担当者をアサインし、組織として最適な形で、確証方策を実施することが出来るようになった

38

5.まとめ

SQiP2016

効果まとめ

選択肢 効果 イベントの統合 SQA監査と機能安全

監査を統合

・監査イベントが１種類に統合できた

確証レビューと機能安全監査を統合

・監査部門による確証レビューの実施が可能 （職能を超えて実施方法が選べる）

・確証方策等のイベントが統合できた …４イベント計１７回→２イベント計７回、など

・機能安全監査チェック項目の63％で、確証レビューとの重複を削減できた

方策ごとの分担 確認イベントを視点で整理して実施

・視点が明確で確認が行いやすい （ASILが高い場合に特に有効） ・どのイベントで何を保証しているのかが、より明確で、機能安全アセスメントでの参照が容易 ・部門に拘らず確証方策が実施可能

成果物ごとに全視点を一回で確認

・成果物ごとの、実施イベントを削減可能

39

5.まとめ

SQiP2016

（参考文献） ① SPI-Japan 2011 「プロセス監査のシステム製品への拡張 ～機能安全を追い風に

～」 パナソニック㈱ 菅沼由美子

② SPI-Japan 2012 「車載用機能安全規格ISO26262に対応した高信頼開発プロセス ～機能安全開発を実現するソフト・ハードの協調～」 パナソニック㈱ 安倍秀二

③ SPI-Japan 2012 「車載ソフトウェア搭載製品の機能安全監査と審査」 パナソニック㈱ 菅沼由美子

④ SQiP2012 「システム、ハード、ソフト全プロセスに渡る システムプロセス監査の実施 ～車載機能安全規格要求への対応～」 パナソニック㈱ 菅沼由美子

⑤ SQiP2015 「「SQA監査」と「確証レビュー(ISO26262対応)」の融合 ～SQAの更なる役立ちに向けて～」 パナソニック㈱ 菅沼由美子

⑥ SPI-Japan 2015 「「SQuBOK」と「ワークショップ」を活用したSQA育成 ～こんなSQAを育てよう！～」 パナソニック㈱ 菅沼由美子

⑦ SPI-Japan 2015 「機能安全開発を支える安全文化の確立と実践 ～機能安全開発スキル強化とスキル認定制度～」 パナソニック㈱ 安倍秀二

40