安全性と法令遵守入門

車両が次第に電子システムに依存するようになるにつれて、これらのシステムに関連する安全性と法令遵守規格の重要性が大幅に高まっています。メーカーは、運転中の車両の安全性を保証し、カーエレクトロニクスの故障の可能性を最小限に抑えるための不可欠な指令としてこれらの規格に依存しています。

安全基準の必要性

さまざまな理由で、カーエレクトロニクスの安全基準は重要です。主に、これらの規格は、車両の乗員だけでなく、歩行者や道路を使用する、その他の個人の安全を確保するのにも役立ちます。車両がより複雑になり、自動化機能が増えるにつれて、電子システムの故障のリスクが高まります。安全基準によって設定されたフレームワークは、電子システムの安全性を設計、テスト、検証するための手順を規定することでリスクを管理します。

さらに、安全基準は、すべてのメーカーが遵守する統一されたガイドラインを確立することで、自動車技術の進歩を促進する役割を果たします。このような行動は、業界内でバランスの取れた競争環境を確立し、明確な安全パフォーマンスの期待を確立することでイノベーションを促進することに貢献します。

電気および電子的故障の影響

安全性に関しては、運用上の危険と運用外の危険を区別する必要があります。

機能上の危険: その重要性は2つあります。電動パワーステアリングホイール (パワーステアリング) などの機能に障害が発生し、ステアリングホイールが動かなくなると、車両が制御不能になり危険が生じます。機能上の危険のもう一つの潜在的な原因は、エアバッグシステムなどの安全システムに障害が発生し、衝突時に作動できなくなり、乗員をより深刻な傷害から保護できなくなる場合に発生します。この問題は「潜在的な」障害と呼ばれることが多く、通常の動作状態では検出されないことがよくあります。

機能外の危険: 機能外の危険は、適切な機能の欠如からではなく、モジュール内の障害から発生し、有毒ガス、熱による危険、または人への感電などのリスクをもたらします。EV車の普及に伴い、自動車内での熱による危険事例が増加しています。これは主に、熱暴走に対する信頼性が低く、堅牢性も低下していることで知られるリチウムイオン電池が主なエネルギー源として広く使用されていることに起因しています。しかし、車両の場合、熱による危険の発生源はバッテリーに限りません。車両のベースにある低温定格カーペットの下にある過熱したDC/DCコンバータなどの事例は、設計上の欠陥を浮き彫りにしました。これらの状況は、非機能的安全性を考慮した設計が自動車市場において実に困難な課題となる可能性があることを示しています。

ランダムな障害と体系的な障害を区別する必要もあります。

ランダムな障害: これは、車両の寿命中にランダムに発生する部品故障の一種を指します。SN 29500やIEC 62308などの信頼性規格は、故障率を抽出するための基礎を提供します。

体系的な障害: この障害は設計上の欠陥により発生します。この障害の原因は、ハードウェア、ソフトウェア、または機械的な要因です。モジュールがさまざまなバッテリー電圧の過渡現象に対して保護されていない場合を考えてみましょう。その結果、高電圧ストレスに時々さらされると故障につながる可能性があります。もう1つの例は、筐体内のシーリングリングが、車両の寿命中に発生する可能性のある多数の熱サイクルに耐えられなくなる場合です。その結果、このシーリングリングの劣化により、筐体のIP定格が低下し、内部回路に影響を及ぼす水の浸入に関連する障害の可能性につながります。

車両において、電子的および電気的な故障の影響は、軽微な問題から重大な保護上の危険まで多岐にわたります。それほど深刻ではないレベルでも、電子的な故障により、暖房や空調システムなどの快適機能が故障する可能性があります。しかし、より重要なシステムでは、その結果ははるかに深刻になる可能性があります。

たとえば、車両内の電子制御ユニット (ECU) が故障すると、ブレーキ、エンジン、ステアリングに予期しない動作が発生する可能性があります。これにより、車両の制御が失われる可能性があります。同様に、運転者を混乱させ、最悪の場合、事故につながるような誤った反応や行動は、運転支援システムの故障によって引き起こされる可能性があります。

したがって、自動車においては、電子的故障の影響により、カーエレクトロニクスにおける厳格な安全性と法令順守規格の必要性が強調されます。テクノロジーの継続的な進化と新機能の導入により、これらの規格を継続的に更新および拡張することが不可欠になります。これは、車両の継続的な安全性と信頼性を確保するために非常に重要です。

主要な自動車安全基準

自動車市場が革新を続ける中、近代化によって車両の安全性と信頼性が損なわれないようにするために、安全基準がますます重要になっています。カーエレクトロニクスの信頼性と安全性を形作る主要な規格は次のとおりです。

ISO 26262 - 道路走行車両の機能安全性

道路走行車両の機能安全性については、ISO 26262が国際規格です。車両内では、特に電気および電子システムに対処し、安全性のニーズを満たすための重要な安全ライフサイクル活動に注力しています。ISO 26262規格は、より広範な機能安全ガイドラインであるIEC 61508に由来しています。その設計は、自動車市場内の特有の要件を満たすように特別に調整されています。この規格では、リスク分析、設計、展開、検証、検証、および構成のフレームワークが提供されます。ISO 26262は、2018年からバスとトラックの運行上の安全ニーズを管理します。

自動車安全完全性レベル (ASIL)

車載システムの場合、ASILはISO 26262で定義されたリスク分類スキームです。これらは、車両内の特定の機能に必要な安全性と信頼性の厳格な規格を測定します。範囲は、必要な安全完全性が存在しないことを示すQMから、最高レベルの安全完全性を示すASIL Dまでにわたります。割り当てられるレベルは、危険の重大度、発生の可能性 (暴露)、および運転者の危険管理能力 (制御可能性) などの要因によって決まります。自動車のOEM (Original Equipment Manufacturers) は、歴史的に進化してきたリスク許容レベルに基づいてこれらのレベルを決定します。ASIL評価を確立するために、HARA (危険とリスクの評価) の分析手法がよく使用されます。ASIL評価が異なれば、車両内で必要な機能を提供する電子機器の許容されるランダム故障率が異なります。たとえば、パワーステアリングモジュールにASIL D要件への準拠が必要な場合、車両の制御が失われる全体的な故障率は10 FIT (Failure in Time) であり、これは、10^9時間に発生するランダム故障の数を意味します。

SN29500およびIEC62308信頼性規格

Siemens AGは、電子システム内のカーエレクトロニクスの信頼性を評価するための予測モデルとしてSN29500規格を開発しました。この規格では、故障の物理学的手法を採用し、温度や機械的ストレスなど、車両が遭遇するさまざまな環境要因を考慮します。エレクトロニクスの設計では、各要素のFITレートはSN29500によって提供されます。

対照的に、IEC 62308は、安全関連システム内に組み込まれた電気および電子機器の機能安全性を扱う包括的な規格として機能します。これは安全関連システムの設計、構築、テスト、および文書化を管理する包括的な前提条件を概説します。しかし最近では、IEC 62308は、電子部品のFITレートを計算するために使用される主要な基準として自動車市場内で注目を集めています。SN 29500と比較すると、IEC 62308はさまざまな点でより詳細です。たとえば、SN 29500に見られるように、平均温度だけに焦点を当てるのではなく、電子モジュールのミッションプロファイル全体を考慮すると、設計者はアーキテクチャ設計全体をより正確に制御できるようになります。

安全な車両の設計と開発には、自動車の分野の安全基準が重要です。厳格な安全性と信頼性の要件を満たすために、自動車の設計、開発、テストを確実に行うために必要なフレームワークをメーカーに提供しています。自動車の分野では、安全エンジニアのスキルセットの重要な要素は、これらの基準の理解と適用です。

規制遵守と認証

カーエレクトロニクスの安全性と信頼性を確保するには、規制遵守と認証が重要な役割を果たします。これらの基準は、必須の最小パフォーマンスしきい値を確立し、認証手順による法令順守の検証を必要とします。米国の連邦自動車安全基準 (FMVSS) と欧州の欧州新車評価プログラム (Euro NCAP) は、この分野における2つの極めて重要な組織です。

連邦自動車安全基準 (FMVSS)

米国では、米国道路交通安全局 (NHTSA) がFMVSSの制定を担当しており、これは自動車および関連機器を規制する包括的な一連の安全性能基準を形成しています。事故の可能性を減らし、事故が発生した場合の影響を最小限に抑えるために、これらの基準が設計されています。これらの基準は、ブレーキ機能、乗員保護、ライティング、燃料システム、ガラスの材料、その他の機能など、車両の幅広い特性をカバーしています。カーエレクトロニクスに関しては、FMVSSは、車両ライティング、アンチロック ブレーキシステム、電子安定制御などのさまざまな機能を管理する規制を定めています。これらの基準の遵守は義務付けられており、生産ラインから直接車両を入手してテストすることにより、ランダムに検証されます。

欧州新車評価プログラム (Euro NCAP)

ユーロNCAPは、車両の安全基準を強化し、新しい安全技術を向上させるために、ヨーロッパで独立して設立された機関です。広範囲にわたる車両テストプログラムで知られるEuro NCAPは、新車の安全性を評価して格付けします。FMVSSとは異なり、Euro NCAPは規制機関として機能せず、むしろ、ヨーロッパで一般的に販売されている自動車の安全性能に関する独立した透明性のある評価を消費者に提供します。評価システムには、成人乗員保護、歩行者安全、子供の乗員保護、安全支援技術の有効性の評価が含まれます。近年、Euro NCAPは、これらの機能を備えた車両の安全性評価をより強化するために、先進運転支援システム (ADAS) と自動運転技術に重点を置いています。

FMVSSやEuro NCAPなどの規制遵守と認証は、総合的に自動車市場における安全性を確保する基本的なサポートシステムを構成します。これらの組織は、高いベンチマークを確立し、自律的な評価を実施することで、車両の安全性と信頼性の向上に向けた進歩を推進しています。エンジニアを目指す学生は、これらの規格や認証が自動車分野の再編に与える影響を理解し、評価する必要があります。

設計とテストのベストプラクティス

カーエレクトロニクスの設計と開発では、安全性の確保が極めて重要です。アプリケーションには、体系的な分析、構造化された発展モデル、および厳格な規格の遵守の組み合わせが必要です。この調査では、カーエレクトロニクス設計の安全性と効率性を確保するために不可欠な実践について詳しく説明します。これらには、故障モード影響解析 (FMEA)、最悪ケースの計算、安全ライフサイクルの管理、Vモデルとアジャイルモデルの活用、8-D分析、AEC標準への準拠が含まれます。

故障モード影響解析 (FMEA)

FMEA は、プロセスを体系的に評価し、潜在的な障害ポイントを特定し、これらの障害のさまざまな影響を評価するために使用される、積極的かつ体系的なアプローチです。その目的は、優先的な変更を必要とするプロセス内の重要な領域を特定することです。カーエレクトロニクスにおいて、FMEAは、潜在的な故障点とそれがシステム全体に及ぼす影響を図表化することで、電子機器の故障を回避するための貴重なツールとして機能します。たとえば、回路での積層セラミックコンデンサの故障モードについて説明しましょう。このタイプのコンデンサは故障すると、ほとんどの場合、短絡状態になります。この現象には2つの原因が考えられます。最初の理由は、前述の信頼性基準によって規定されるランダムなハードウェア障害に関係します。2番目の原因は、コンデンサ付近のプリント基板に過度の微小ひずみ応力が作用し、コンデンサに亀裂が生じることです。これは、体系的な障害に該当する例です。微小ひずみ応力に対処するには、FMEAに予防策を組み込むことをお勧めします。たとえば、プリント基板上のネジ穴などの微小な歪みが大きい領域からコンデンサを離して配置することを検討します。

Vモデルとアジャイルモデル

自動車市場におけるVモデルのライフサイクル: プロジェクトのライフサイクルにおける各フェーズは、Vモデルと呼ばれる開発モデルのテストフェーズに関連付けられています。検証と妥当性確認を重視しているため、このモデルは自動車市場で広く普及しています。さらに、この厳格なアプローチは、安全性が重要視される車載システムの要件にもよく適合しています。

図6 : Vモデル

すべての開発層で開発手順を堅牢にするために、これに関連したテスト段階があります。

Vモデルとアジャイル開発の違い: 対照的に、アジャイル手法は、開発サイクルが短く反復的であることで知られており、柔軟性が向上し、多くの場合、より迅速な結果の提供につながります。しかし、アジャイルに固有の絶え間ない変化は、カーエレクトロニクスのような複雑で安全性が極めて重要なシステムの分野では課題になる可能性があります。

自動車市場におけるアジャイル変革の課題: アジャイルモデルには、柔軟性の向上や変更への適応性など、さまざまな利点がありますが、自動車開発においてはその実装に障害が伴います。この領域では、広範なドキュメント、厳格なテスト、基準の遵守が求められますが、これらのタスクは、アジャイルパラダイム内にシームレスに組み込むのが困難な場合があります。

8-D分析

自動車における8D分析の重要性: 製品開発と生産におけるさまざまな課題に対処するために、8つの分野 (8D) の問題解決手法が使用されます。カーエレクトロニクスでは、繰り返し発生する問題を特定、修正、排除することで製品の品質を向上させます。

図7 : 8-D分析のフローチャート

自動車における8D解析の実例: 現場から返却されたECUで観察された障害のトラブルシューティング時に8-D分析が効果的であることが証明された例です。このプロセスでは、ECUまたはその個々の部品の設計、または、製造上の問題に起因する主な原因を体系的に特定します。その後、再発を防ぐための予防措置を確実に講じながら、是正措置を実施します。システム内の根本原因の潜在的な場所に応じて、8-D分析は自動車メーカーまたは部品メーカーによって実行されます。自動車の分野では、8D分析を実施し、製品を進化させることが重要です。

最悪ケースの計算

自動車における最悪ケースの計算の重要性: 毎年、自動車メーカーによって何百万台もの自動車が生産されています。回路内では、かなりの量のため、部品の許容誤差に大きなばらつきが生じます。安全機能を実現する上で高い堅牢性を備えたモジュールを設計するには、最悪のシナリオ分析が重要です。

極値、RSS、モンテカルロ法: システムパラメータの変動を考慮した最悪の状況を特定するために、これらの統計的手法が使用されます。各パラメータ許容値の最大値を決定し、それらの値を集計することを極値分析と呼びます。提示された分析は、現実と比較して最悪のシナリオを反映しており、最も安全なアプローチであると考えられます。しかし、それは複雑でコストのかかる設計につながることがよくあります。許容差の二乗和の平方根を抽出する方法は、RSS (Root Sum Square) 法として知られています。この方法では、回路パラメータの総許容誤差に対して正規統計分布を仮定し、3シグマ偏差のみを考慮します。多くの場合、回路パラメータ許容値の総分布は正規分布から外れます。その場合はモンテカルロ解析が実行されます。モンテカルロは計算中に各パラメータをランダムに変更し、どのパラメータの組み合わせがシステムにとって最も不利な結果をもたらすかを示す結果のリストを提供します。

考慮すべき部品の許容誤差のさまざまなソース: これは温度の影響、経年劣化、製造許容差、その他の環境の影響から成ります。

開発プロセスにおける安全ライフサイクル管理

これには、製品ライフサイクル全体にわたる危険分析とリスク評価の実行、安全要件の設定、設計と実装の実行、検証と妥当性確認、および安全文書の生成が含まれます。

AEC (車載電子部品評議会)

AECとは?: 自動車の分野では、AEC (組織) が電子部品の認定基準を設定しています。この組織には自動車メーカーやサプライヤーの代表者が参加しています。

電子部品のAEC認定: 製品とプロセスの能力に関して強力なゼロ欠陥技術の最低限の要件を定義するために、AEC-Q規格が世界的に認識され、設計されています。製造業者は、データシートにAECの指定を記載することで、電子部品がこれらの規格に適合していることを証明します。

AEC認定部品サプライヤーの責任: AEC認定部品の製造業者の責任は、AEC-Q規格に照らして部品を検証するだけにとどまりません。車両に欠陥のあるAEC認定部品が組み込まれている場合、メーカーは顧客と協力し、8-D分析を実施し、解決プロセスの一環として予防措置を実施することが必須です。欠陥のある部品の正確な発生源を特定するには、AEC認定部品のトレーサビリティシステムを確立することが必須です。