{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-01-28
ISO/DIS 24089(Road vehicles — Software update engineering)が2022年1月11日に発行されました。ISO/DIS 24089はUNECE WP29(自動車基準調和世界フォーラム)のUNR156(Software Update and Software Update Management System)に関連する国際標準規格として位置付けられています。UNECE WP29で採択されたUNR155(Cyber Security and Cyber Security Management System)ではISO/SAE 21434が参照先になっているのに対し、UNR156ではISO/DIS 24089を明確に参照していませんが、ソフトウェア更新を実現するための重要な国際標準規格のため、各社が対応を検討しています。
本稿では、ISO/DIS 24089で求められる要件の概要および関係性を整理します。
ISO/DIS 24089は、日本の自動車業界を中心に作成され、ISO/TC 22/SC 32(電気および電子部品と一般的なシステムの側面)より、このたびDIS(国際規格案)版として発行されました。今後DIS版に対するパブリックコメントを考慮した上で、FDIS(最終国際規格案)版やIS(国際規格)版が発行される流れが想定されます。
ISO/DIS 24089は図表1で示す通り、9個のclause(以降CL.) で構成されています。また、CL.4~CL.9の主な関係性は図表2のように表現できると考えられます。
※主要な依存関係のみの表現としており、詳細な依存関係は上記の限りではない
※機能要件およびプロセス要件に対するガバナンス要件は包含関係ではなく、前提となる要件を表現する
※車載機能用のソフトウェアの開発は対象としていない
適用範囲として、組織レベルとプロジェクトレベルの両方で、ソフトウェア更新エンジニアリングの要件と推奨事項を指定しており、OEMのみならずサプライヤーも対象に含まれています。また、車載機能用のソフトウェアの開発はソフトウェア更新エンジニアリングの対象外とされており、ソフトウェア更新パッケージ開発、ソフトウェア更新キャンペーン運用にフォーカスされた内容となります。さらに、ソフトウェア更新方法は、有線、OTA(Over-the-Air、無線ソフトウェア更新)に加えハード交換も対象となります。
引用規格としては、ISO 26262-6(機能安全 - ソフトウェアレベル製品開発)、ISO 26262-8(機能安全 - 支援プロセス)、およびISO/SAE 21434(サイバーセキュリティエンジニアリング)が記載されています。
ここでは、ソフトウェア更新エンジニアリングプロセスに従事する組織に対しての、ガバナンス要件が記述されています。
CL.4では、プロセス・ルールの確立、必要なISO規格の採用、継続的改善、組織内外への情報共有、および独立した監査を実行させることが要求されています。
CL.5では、プロジェクト計画の策定やプロジェクト単位での情報管理など、CL.4で定められた要件をブレイクダウンし、ソフトウェア更新エンジニアリングに関わる活動をプロジェクトレベルで管理することが要求されています。後述のインフラストラクチャー・車両および車両システムの機能要件(CL.6、CL.7)、およびソフトウェア更新パッケージ開発・運用のプロセス要件(CL.8、CL.9)は、CL.5を前提とした位置付けです。ただし、インフラストラクチャー・車両および車両システム開発は、組織レベル(LC.4)とプロジェクトレベル(LC.5)の両面で活動を推進する必要があると考えられます。
CL.6にはインフラストラクチャーに関する機能要件、CL.7には車両および車両システムに関する機能要件が記述されています。これらはCL.8およびCL.9のプロセス要件をサポートするための機能群という位置付けとなります。
CL.6では、インフラストラクチャー内に、リスク管理、車両構成情報管理、ソフトウェア更新キャンペーン情報管理、ソフトウェア更新パッケージ管理、およびキャンペーン中の障害管理の機能を実装することが要求されています。ここで要求されている機能は、ソフトウェア更新キャンペーンをサポートします。なお、インフラストラクチャーには、ソフトウェア更新操作で使用されるサーバー、ツールのみならず、手動によるアクティビティも含まれます。
CL.7でも同様の観点で、車両および車両システム内に実装すべき機能が定められています。CL.7で要求されている機能は、車両でのソフトウェア更新操作をサポートします。
CL.6およびCL.7における機能要件の一覧を、図表3に示します。主な要件として、更新状況管理のためのキャンペーン結果の受信機能、ソフトウェア更新前のユーザー承諾受信機能、車両の安全性を確保するためのフォールバック機能、および複数同時アクセス時の調停機能などが挙げられます。
CL.8およびCL.9には、ソフトウェア更新パッケージ開発、およびソフトウェア更新キャンペーン運用のプロセスが記述されています。前述の通り、CL.8、CL.9のプロセスは、CL.6、CL.7の機能を基に実施するという位置付けになります。
CL.8では、ソフトウェア更新パッケージ開発において、更新対象の特定、パッケージ化、検証、リリースの承認を行うことが要求されています。主な要件として、ソフトウェア更新パッケージに対する固有の識別子の設定などが記載されています。
CL.9では、ソフトウェア更新キャンペーン運用においては、目的・更新方法検討などのキャンペーン準備、更新の実行、完了処理を行うことが要求されています。CL.9のプロセスは、CL.8のプロセスが完了している(リリースが承認されている)ことが前提となります。主な要件として、更新対象(車両、ECU)のリスト化、車両における更新ソフトウェアのアクティベート前にユーザーから承諾を得ることなどが記載されています。
ISO/DIS 24089は、UNR156とは適用範囲や要件が異なる部分があるため、要件と現状のソフトウェア更新に関するプロセス・ルールとのギャップを分析し、各社で対応を検討していく必要があると考えられます。
また、前述した要件を踏まえると、開発部門だけではなく、品質保証、アフターサービス、情報システム、関連するサプライヤーなど、さまざまな関連分野を担当する組織が、車両ライフサイクル全体に対し役割分担を明確にした上で、組織立った活動を推進することが重要であると言えます。