MPSafe™概要入門、機能安全自動車開発へのMPSのプロセス

Tweet this article

Share this article

Share this article

役立つ情報を毎月お届けします

購読する

プライバシーを尊重します

車載用電子部品規格: AEC-Q100

自動車会社は毎年、数百万台の車両を販売しており、車両全体で使用される単一部品またはサブシステムの故障は、消費者を危険にさらし、法的問題や重傷をもたらす可能性があります。すべての車両機能が同じ安全機能を提供するわけではありません (例: ビデオプレイヤーはブレーキシステムと同じ安全機能を必要としません) が、重要なシステムは、確立されたさまざまな信頼性と安全性の認証に頼っています。

車載用ICが満たすべき基本的な基準はAEC-Q100で、ICが所定の一連のストレステストを受けることにより、車両環境に固有の過酷さに対応できるようにしています。これらのテストは、極端な電気的および環境的ストレスに直面した場合のICのパフォーマンスを調査し、車両が販売代理店から出荷された日だけではなく、車両の適切な寿命の間、ICが適切に機能することを検証するように設計されています。AEC-Q100の認証に合格することは、MPSの車載用製品にとって必須です。すべてのMPSafe™製品は、この基本的なAEC-Q100の要件から始まります。

自動車安全完全性レベル (ASIL)

自動車の安全完全性レベル (ASIL) は、ISO 26262で定義された一連の安全性の評価であり、重大度、暴露確率、および制御可能性の3つの要素を使用して、次の質問によってグレード (AからD) を決定します。

• 重大度: 障害が発生した場合、どんな結果になるでしょうか? 運転手、乗客、および/または車外の人々に影響を及ぼしますか? 重大度には、次の評価レベルがあります。
• S1 (軽傷から中程度の傷害)
• S2 (生き残る可能性が高い重傷)
• S3 (重症および致命傷)
• 暴露率: システムは、この特定の環境または状況になる頻度はどれくらいあるでしょうか? 暴露率には、次の評価レベルがあります。
• E1 (非常に低い)
• E2 (低い)
• E3 (中程度)
• E4 (高い)

たとえば、高速道路での運転の危険度レベルはE4と見なされます。これは、車両にとってよくある状況であるためです。

• 可制御性 : 故障が起きた場合、車両の周囲または運転者は、怪我や損傷をどの程度容易に回避できるでしょうか? 可制御性には、次の評価レベルがあります。
• C1 (制御が簡単)
• C2 (普通)
• C3 (困難または制御不能)

これらの3つの要素を組み合わせて、ASILの評価を簡単に決定できます (図1参照)。

図1: ASILの要件

品質管理 (QM) は、安全要件がないレベルになります。

ASIL Aは、最も簡単に達成できる安全レベルです。ASIL Aの例としては、交通渋滞中の意図しない起動 / 停止の失敗があります。このシナリオでは、暴露確率はE3 (平均運転時間の1%から10%)、重大度はS1 (速度が遅いので軽度から中程度の傷害)、制御可能性はC3 (物体が互いに非常に接近しているため、事故の回避は困難) です。

ASIL Bは、高速道路で車両が無意識に加速する場合など、軽度から中程度の状態です。この場合、暴露確率はE4 (車はほぼすべての運転サイクルで加速するため、平均運転時間の10％以上)、重大度はS3 (高速での事故)、制御可能性はC1 (ドライバはブレーキを制御して、車両を減速または停止可能)です。

ASIL Cは、中程度から重度の状態です。ASIL Cの例は、曲がっている途中でハンドルが機能を失う場合です。この状況では、暴露率はE4 (ハンドルは頻繁に使うため)、重大度はS2 (生き残る可能性が高い重傷)、可制御性はC3 (ドライバが車両を制御して事故を回避するのは困難) です。

ASIL Dは、S3 (重傷および致命傷)、E4 (高い遭遇度)、およびC3 (制御困難または不能) が唯一重なる最も難しい要件です。たとえば、車両が高速で動作しているときのブレーキの故障などです。このシナリオでは、暴露率はE4 (ドライバはほぼすべての運転でブレーキシステムを使用)、重大度はS3 (重大な傷害と生存不確定)、可制御性はC3 (ドライバが車両の減速をして事故を回避するのが困難) です。

MPSafe™は、ASIL全領域におけるシステムでの製品利用をサポートすることを目的にしています。

MPSafe^TMの手順

MPSafe™は、コンセプトのフェーズから始まり、経験豊富な安全エンジニアとICの専門家が参加します。適切でふさわしい開始コンセプトは、安全監査の成功、時間通りのスケジュール、および適切に管理されたコストを確保するのに役立ちます。

部品を最初に定義するときに対処しなければならない基本的なポイントがいくつかあります。1つは、車両やシステムの要件などのトップレベルの要件です。前に説明したように、安全性の議論は常に車両 / システムレベルから始まります。結果として、適切なIC要件を定義するために、特定の車両 / システムの安全要件を定義することが必要です。これらの要件から、ICレベルの要件に対処できます。これにより、トップレベルの要件を満たすために、ICの定義方法が決まります。言い換えれば、最初に、「車両には何が必要か?」、そして「その必要性を満たすための要件は何か? 」という、2つの質問が通常必要です。

これらの要件を満たすには、ICを最初から設計する必要があります。確実に成功するために、定義と設計の段階でさらにレビューを行います。単純なコピー / ペーストの間違いが、後で実装段階の問題を引き起こす可能性があるからです。

設計者は要件をアプリケーションエンジニア (AE) に渡すために、これらのIC要件をプロセス全体で検討する必要があります。一連のオープンなコミュニケーションにより、AEは設計者が気付かない可能性のあるミスを回避できます。IC設計者は詳細な要件をもつ部品を作る方法を知っていますが、システム全体を把握していないことがあります。この場合、IC設計者は、ICの実装がどのようにシステムを変えるか、または環境によってICの障害につながるかを完全には理解していない可能性があります。さらに、部品を使用したい顧客が、設計の正確な要件を知らない場合があります。すべての利害関係者が各部分の最終的な要件を知っていることが重要です。

図2は、MPSafe™の手順を示していて、FSM_0で始まりFSM_4で終わる5つの機能安全管理 (FSM) ゲートを含んでいます。

図2: MPSafe™の手順

MPSafe™は、以下に説明する詳細な5つのフェーズの手順に従います。

FSM_0 : コンセプト

コンセプトのフェーズは、人為的ミスの可能性が最も高い段階であるため、ほとんどの要件の下で動作します。コンセプトのフェーズには以下を含みます。

• 各貢献者の役割を定義する
• 安全計画を発表して承認する
• システムの安全コンセプトの前提を発表する
• 安全のケースごとに整理されたプロセスですべてのドキュメントを管理する
• 第三者を使用して安全・開発対策を確認する
• 全体的なプロセスと安全計画をレビューして部品の設計準備ができていることを確認する

FSM_1: 設計 / 実装

設計フェーズでは、すべての機能レポートを検証し、次の手順の一部を含みます。

• 前提とされるシステム安全コンセプトを満たすIC安全要件を定義する
• IC機能と安全メカニズムの間の一般的な障害を制限するための従属故障分析 (DFA) を実行する
• IC設計がシステムに割り当てられた安全目標 (PMHF、SPFM、およびLFM) を満たしていることを確認するために定量的安全分析 (FMEDA) を実行する
• すべての開発ツールがISO26262に従って分類および認定されていることを確認する
• プロジェクトに再利用可能なIPがある場合は、影響分析とリスク評価を実行する
• 定量的安全性分析で定義された診断の有効性を検証するために、シミュレーションを実行する
• シミュレーション結果、パッケージ不良分析、および単一点障害と一般的な障害の定性分析を実行し、安全要件を検証する
• 製品を作成するためのツールと同様に、路上テストケースを完全に定義する
• 第三者がレビューを確認する

FSM_2: サンプリング

サンプルフェーズの手順は、部品がサンプリングされている場合です。組み立てメーカーはMPSafe™および車載用グレードの要件を満たすその他のガイドラインに従います。この情報は機能安全マネージャによって確認され、逸脱していればすぐにレビューが行われます。

FSM_3: 実証と検証

部品の試験、検証、および結果は、設計の実証および検証フェーズで取得および測定されます。これらの試験には、電気的評価と信頼性評価、IC特性評価、RTの機能的および電気的検証、そしてATE試験が含まれます。すべての安全メカニズムおよび関連する診断範囲はこのフェーズで検証される必要があります。障害や問題がある場合は、影響分析が実行され、必要な変更に対処します。次に、新しいサンプルを作成して問題を解決します。

FSM_4: 生産用のリリース

すべての監視および評価試験がMPS標準に従って実行され、テストカバレッジが評価された後、製品は生産開始されます。機能安全マネージャおよび指定された第三者が、すべての安全関連のレビュー、および必要なすべてのレビューまたはテストを確認します。すべての安全に関する議論は、安全ケースに記録され、少なくとも15年間アーカイブに保存する必要があります。安全ケースが完成して開始されるまで、製品は生産開始されません。

年次監査

毎年、第三者の監査官がMPSafe™の手順の年次監査を実施します。このプロセスを認証し、設計 / 製造全体を通じて逸脱がないことを検証します。MPSの安全への取り組みは、社内監査官の利用を放棄し、当社の部品が比類のないレベルの透明性で安全要件を一貫して満たすことを保証します。

人為的ミスの削減

部品を設計する場合、失敗には2つのケースがあります: 偶発的故障と人為的ミスです。偶発的故障は、厳密なテストと認証を行った後でも、すべての電気部品に故障の可能性があることを示しています。設計者は、フェイルセーフと追加の安全機能を組み込んで、偶発的故障が安全上の問題を引き起こさないようにします。人為的ミスは、設計プロセス全体で行われたあらゆるタイプミス、伝達ミス、または失敗を指します。特に、MPSafe™は、設計者が先見性のあるデバイスを作成すると同時に、人為的ミスの可能性を減らすために定義されたプロトコルを作成することを目指しています。人間が間違いを犯すことを避けられないので、それらの間違いに対処するための十分な開発プロセスを定義することが重要です。

人為的ミスには、軽度から重度までの範囲の結果をともなう、さまざまな事故があります。たとえば、すべての設計では、設計が意図した仕様を満たしていることを確認するシミュレーションが必要です。部品を担当する設計者がシミュレーションも実行すると、設計者は設計プロセスも実行しているため、問題や矛盾を見つける可能性が低くなります。この場合、別の設計者がシミュレーションをレビューして、ソリューションを共有する前にICの設計が満足のいくものであることを確認する必要があります。この追加レビューでは、設計者が設計プロセス中に犯した可能性のある間違いを見つけるための独立した関与が得られます。MPSは、高評価のソリューションにさらなる安全性を提供するために、第三者を使用して、すべての製品が関連する安全要件を満たしていることを確認します。

部品が試験範囲を超えてシステムで使用されている場合に、起こる可能性のある、より詳細な人為的なミスの例を紹介します。電圧が4Vを下回った場合に、低電圧保護 (UVP) が作動する部品について考えます。この部品を想定せずに作られたシステムにこの部品を実装すると、しきい値が2Vに下がる場合があり、安全保護が作動せずにICが4Vを下回ることができず、障害が発生する可能性があります。

安全システムの目標が不明確な場合にも、「最高の安全性」を目指すと、システム固有のニーズを満たさない部品を作成すると同時に、コスト、市場投入までの時間、および複雑さが増して、ミスにつながる可能性があります。プロジェクトは特定の段階でさまざまなレビューのニーズがあるため、安全マネージャはMPSafe™に従い、プロセスの任意の時点でプロジェクトの正確なレビューの必要性を決定できます。たとえば、テストサンプルとデータをレビューするために複数の科学的なレビューをする人が必要になる場合がありますが、回路図では技術レビューをする1人の技術者しか必要としないかもしれません。これにより、設計プロセスの各ステップで規定の規制を受けることができ、市場投入までの時間を短縮できます。

結論

MPSの安全志向の考え方は、安全なだけではなく、カスタマイズ可能で迅速に市場に投入できるシステムアーキテクチャを生み出します。MPSafe™の導入は、MPSデバイスが安全要件を簡単に満たせるように、人為的ミスを回避するのに役立ちます。この手順により、ますます厳しくなる自動車の安全性認証を満たす車載用製品を生産できるようになります。将来の部品には、精密センサ、デジタルプログラム可能な電力コンバータ、モータ・ドライバ、高電流ソリューション用の電圧モニタとシーケンサ、LEDドライバなどが含まれます。

_______________________

興味のある内容でしたか? お役に立つ情報をメールでお届けします。今すぐ登録を!