ISO 26262 ASIL（アイエスオーニーロクニーロクニーエーシル）

2025年10月30日

ISO 26262 ASIL（アイエスオーニーロクニーロクニーエーシル）

英語表記: ISO 26262 ASIL (Automotive Safety Integrity Level)

概要

ISO 26262 ASILは、自動車の電気・電子システムが故障した際に生じるリスクの度合いを示す、国際的な安全水準の分類です。このレベルは、半導体チップやECU（電子制御ユニット）の設計において、どれほどの厳密さで安全対策を施すべきかを決定するための指標として使用されます。特に、自動運転技術の進化に伴い、ASICやFPGAといった半導体コンポーネントの信頼性・安全性を評価し、必要な安全要求を定義する上で欠かせない、セーフティ規格の中核をなす概念です。

詳細解説

ASILは、「半導体技術（プロセスルール, FPGA, ASIC）」の分野において、その製品が「信頼性・安全性」を担保するための「セーフティ規格」であるISO 26262の中核をなす、非常に重要な概念です。ASILはA、B、C、Dの4段階と、安全要求がないQM（Quality Management）に分類されます。このうち、Dが最も高い安全要求レベルを示し、故障が人命に関わる重大な事故につながる可能性が高い機能に適用されます。

この分類がなぜ半導体技術の文脈で重要かというと、自動車の機能安全を確保する最終的な責任は、その根幹をなす半導体コンポーネントの信頼性に大きく依存しているからです。

ASILの決定要素

ASILレベルは、特定の機能が故障した際の結果を、次の3つの要素で徹底的に分析することで決定されます。このリスク分析こそが、安全設計の出発点となります。

Severity (S: 危険度): 故障が発生した結果、搭乗者や歩行者にどれほど深刻な傷害が及ぶか（S1：軽傷、S3：生命を脅かす重傷まで）。
Exposure (E: 頻度): その故障が発生する運転状況にどれくらいの頻度で遭遇するか（E1：稀、E4：高頻度まで）。
Controllability (C: 制御性): 故障が発生した際に、運転者やシステムがどれだけ容易に危険を回避できるか（C1：容易、C3：困難まで）。

これらの3要素を組み合わせたマトリックスによって、最終的なASILレベル（A, B, C, D）が導き出されます。例えば、ブレーキシステムのように、故障が直ちに重大な結果（S3）を招き、頻繁に遭遇する状況（E4）で、回避が極めて難しい（C3）機能は、最高レベルのASIL Dが要求されることになりますね。

半導体設計への影響

ASILレベルが高ければ高いほど、その半導体チップ（カスタムASICや高性能FPGA）には、故障検出機能、フォールトトレランス（耐故障性）、そして徹底的な冗長性といった安全メカニズムを組み込むことが、設計段階から厳しく求められます。

例えば、ASIL Dが必要なシステムに使われるFPGAを設計する場合、通常の機能検証に加えて、設計ミスやランダムなハードウェア故障を極限まで排除するための厳格な検証プロセスが必要です。具体的には、デュアルコアロックステップ（DCLS）と呼ばれる、二つの独立したプロセッサコアが常に同じ命令を実行し、結果を比較することでわずかなエラーも即座に検出するような高度な二重化構造を取り入れることが一般的です。

この規格の存在意義は、自動車産業のサプライチェーン全体、つまり半導体メーカーからECUサプライヤー、完成車メーカーに至るまで、共通の安全基準でコミュニケーションを取り、設計責任を明確化することにあります。ASILは、単に高性能な半導体を作るだけでなく、「絶対に壊れない、あるいは壊れても安全を維持できる」半導体を作るための、設計者のガイドラインとして機能しているのです。

具体例・活用シーン

ASILの適用は、自動車の安全関連機能の重要度によって明確に分けられています。

ASIL Dの例（最高レベル）:
- 電子制御ブレーキシステム（EBS）や電動パワーステアリング（EPS）のコア制御ロジック。これらの故障は即座に運転不能や大事故につながるため、最高水準の安全設計が義務付けられます。
- 自動運転車の緊急停止機能や衝突回避機能に使用されるAI処理チップ。
ASIL C/Bの例:
- アダプティブクルーズコントロール（ACC）や車線維持支援システム（LKA）など、運転支援機能の一部。
ASIL A/QMの例:
- パワーウィンドウやインフォテインメントシステムの一部機能など、故障しても直ちに運転に重大な影響を与えない、あるいは運転者が容易に対処できる機能。

アナロジー：建物の耐震基準

ASILを理解するための最も分かりやすい比喩は、「建物の耐震基準」です。建物を建てる際、その用途や重要度に応じて耐震基準が変わるのと、ASILの考え方はよく似ています。

QM（品質管理）: これは、安全機能とは無関係な一般的な電子部品に相当します。倒壊しても人命に関わるリスクが低い、一般の倉庫のようなものです。最低限の品質基準は守りますが、特別な安全対策は不要です。
ASIL A/B: 一般的なオフィスビルや小規模な商業施設に相当します。ある程度の揺れには耐える必要がありますが、コストと複雑性のバランスを考慮した安全対策が施されます。
ASIL C: 大規模病院や学校、避難所など、災害時に機能維持が求められる施設に相当します。非常に高い耐震性が要求され、設計には厳格な基準が適用されます。
ASIL D（最高レベル）: これは、国の重要インフラや、大規模な災害対応拠点など、「どんな状況下でも絶対に機能停止してはならない」施設に相当します。設計、建設、メンテナンスのすべてにおいて、最も厳格で冗長な安全基準が適用されます。

半導体技術においても、ASIL Dが要求されるチップは、まるで「国の重要インフラ」を支える柱のように、設計段階から製造、テストに至るまで、極めて高い信頼性と故障対応力が求められます。この明確な基準があるからこそ、私たちは高度に電子化された自動車を安全に利用できるわけです。

資格試験向けチェックポイント

IT資格試験（ITパスポート、基本情報技術者、応用情報技術者）では、特に「半導体技術」の信頼性分野として、ASILの概念とISO 26262との関連性が問われることがあります。具体的な計算よりも、その位置づけと最高レベルを確実に押さえておきましょう。

ISO 26262との関係: ASILは、自動車の「機能安全」に関する国際規格であるISO 26262の中で定義される、リスク分類の指標である、という点を理解してください。これはセーフティ規格の文脈で非常に重要です。
最高レベルの識別: ASIL Dが最も高い安全要求レベルであり、人命に関わる重大な故障リスクを持つシステムに適用されることを覚えておきましょう。DはDanger（危険）やDrive（運転）のDとして連想すると覚えやすいかもしれません。
ASILの決定要素: Severity（危険度）、Exposure（頻度）、Controllability（制御性）の3つの要素によってASILレベルが決定される、という構造を把握しておくと、応用的な問題に対応できます。
半導体設計への影響: ASILレベルが高くなるほど、ASICやFPGAなどの半導体コンポーネントには、冗長設計や厳格な検証（セーフティメカニズムの組み込み）が求められる、という技術的な文脈も理解しておきましょう。これは、信頼性・安全性を技術で実現するための必須要件です。