機能安全とASIL評価 : その意味と重要な理由
はじめに
エレクトロニクスは、設計者がますます幅広い機能にセンサやコントローラを使用できるようにすることで、近年の自動車を変革してきました。しかし、エレクトロニクスの役割の増大は、安全性の観点から興味深い課題を提起しています。エレクトロニクスは、自動車をより効率的に、より環境に優しく、より快適にするために使用されています。また、重要な要素が故障した場合、人による運転では制御するための入力と意思決定能力が少なくなるため、リスクが増大することになります。
自動車市場は安全性が重要であることを認識しており、ISO26262として知られる車載用の電子関連部品向けの特定規格を開発しました。ISO26262は、2011年に最初発行され、2018年に更新されました。ISO26262は、1つ以上の電気および / または電子システムを含み、モペットを除く大量生産の道路車両に搭載される安全関連システムの機能安全規格を規定しています。
ISO 26262には、自動車用安全度水準 (ASIL) と呼ばれる、潜在的なリスクを分類するための構造が含まれています。ASIL評価システムは、自動車のさまざまな機能について特定および定量化された安全リスクのリストを反映しています。ASI評価を通じて、メーカーは、自動車内の特定システムまたは部品に、乗員と車両を保護する安全冗長性が組み込まれていることを実証できます。これらの安全機能は、センサが隣の車線に車両がいることを感知できない場合や、夜間に車のヘッドライトが消えた場合など、製品に故障が発生した場合に不可欠です (図1参照)。これらの冗長性は、単一障害点と呼ばれる個々の部品の障害を軽減するように設計されています。また、単一障害点を検出するメカニズムに問題が発生した場合に備えて、追加のバックアップも含まれています。このような問題は潜在的な障害として知られており、真に堅牢な機能安全アプローチに必要な複数の冗長層を示す良い例です。
図1 : 自動ライティングシステムをバックアップできる機能安全製品
ASIL評価は追加の安全バックアップ機能を反映しており、ISO9001およびIATF16949の一部として自動車部門が品質管理 (QM) を保証するために開発した品質評価システムとは異なる目標を持っています。QM基準は引き続き関連しており、車両で使用される多くの製品は、故障しても安全性に影響を与えないため (無線の電源など)、ASIL評価は適用されません。しかし、自動車の重要な機能の中心となる製品について、自動車メーカーは ASIL評価された製品が提供するさらなる安全保証をますます求めるようになっています。
個々の部品のリスクレベルを分類して格付けすることで、設計者はリスクを軽減するために必要なバックアップの種類を具体的に知ることができます。たとえば、何らかの理由で検出されなかった出力過電圧、高周波障害そのようなリスクの1つです。この障害を特定するためにバックアップ検出デバイスを追加することは、機能安全性の適切な追加になります。
ASIL評価を使用してこれらの機能安全保護がどれほど堅牢であるかを説明すると、これらの製品の安全性に関する貴重な情報が顧客に提供されます。これは、車両開発におけるオートパイロット機能の強化など、新たなイノベーションにおいて安全性が最優先であることを目に見える形で示しています。これは、潜在的な危険について学習し、事故が発生する前に適切な介入策の選択を促す防衛手段です。
関連コンテンツ
-
ビデオ
MPSafe™ 車載機能安全の開発
MPSAFE™製品は、安全志向のソリューションを開発する際にお客様が直面する多くの一般的な課題に対処できるように設計されています
-
寄稿文
MPSafe™概要入門、機能安全自動車開発へのMPSのプロセス
MPSafe™は、MPSの車載用製品の新しい高度な安全開発プロセスです
-
事例
自動運転の使用事例
この使用事例では、自動運転でMPQ2967-AEC1、MPQ86960、MPQ79500FS-AEC1とMPQ79700FS-AEC1のアプリケーションを検証します
-
リファレンスデザイン
MobileyeのEyeQ6Lプラットフォーム向けMPSafeTM 電源サブシステム ソリューション
EVME6L_00Aは、MobileyeのEyeQ6Lプラットフォームに電力を供給する、MPSafeTM電源サブシステムソリューションで、 自動車の自動運転を可能にします
ASIL評価の開発方法
ASIL評価は、危険分析とリスク評価を実行することによって決定されます。次に、機能安全エンジニアは、これらの特定されたリスクを基にして車両内の各電子部品を測定し、その障害が車両全体に及ぼす影響を評価します。
ASILには大きく分けて4つのカテゴリがあります (ASIL-A、ASIL-B、ASIL-C、ASIL-D)。ASIL-Aは関連するリスクの合計レベルが最も低く、ASIL-Dは合計リスクレベルが最も高くなります。
この評価では、障害の潜在的な重大度、障害の状況にさらされる頻度、および制御可能性という3つの特定の変数を使用します。
リスクの定量化をより具体的にするために、これらの変数はさらにサブクラスに分類されます。これらの変数について以下で説明します。
- 重大度(S) : 重大度は、運転者と同乗者が経験する可能性のある怪我の種類を表します。重症度には、怪我なし (S0) から生命を脅かす / 致命的な怪我 (S3) までの4つのクラスがあります。
- 暴露 (E) : 暴露とは、車両が危険にさらされる頻度を表します。暴露には、非常に可能性が低い (E0) から可能性が非常に高い (E4) までの5つのクラスがあります。
- 制御可能性 (C) : 制御可能性は、運転者が怪我を防ぐためにどの程度の主体性を持っているかを表します。制御可能性には、一般的に制御可能 (C0) から制御不能 (C3) までの4つのクラスがあります。
次に、これらすべての変数を組み合わせて、必要なASIL分類を決定する数値スコアを作成します (図2参照)。最も高いスコアは最も高い潜在的危険性を反映しており、ASIL-Dの分類を獲得します。一方、より低いスコアはASIL-AまたはASIL-Bの分類を与えられます。
図2 : ASIL評価
ASILの分類を理解するための重要な概念は、これらの評価が静的ではないということです。ICのリスクレベルが、特定のシステム内でのその役割と用途に関連しているため、ICにはデフォルトのASIL評価がありません。たとえば、クルーズコントロールシステムには、ソフトウェア部品とアクチュエータコントローラの両方が含まれています。定義されたリスクが特定のしきい値を超える加速度である場合、ソフトウェア要素からの信号とそれが意味するリスクは、アクチュエータコントローラもより高いASILレベルに分類される可能性があります。
QM部品の設計には安全性がすでに含まれているため、安全機能を追加するということは、多くの場合、最初のバックアップシステムが故障した場合に追加のバックアップソリューションを提供することを意味します。特定の部品では、安全性の測定は出力を調整する基準電圧 (VREF) になる可能性があります。ASIL定格製品の追加機能として、最初の電圧が安全範囲内にあることを保証する2番目の電圧が考えられます。
MPSおよびASIL評価の電源ソリューション
MPSでは、2つの方法で機能安全を追加して自動車市場向けの電源ソリューションを設計できます。これらの製品の一部は、MPS安全マニュアルに基づく使用を前提に汎用部品として開発されています。その他の製品は、特定の顧客のニーズに合わせて設計されています。このような場合、設計は安全仕様に基づいて行われます。
設計の観点から見ると、機能安全機能を導入する際の課題の1つは、ソリューションが自動車の電源を無効にしたり、目的の用途を中断したりする必要がある場合でも、車両と乗員を安全な状態に戻す方法に厳密に焦点を当てていることです。根底にある哲学はシンプルです。「機能安全メカニズムは何よりも安全を優先する」です。これは、製品内の他のメカニズムが正常に動作しない場合、機能安全バックアップが即座に対応して、事故の可能性を軽減または排除することを意味します。
MPSの電源ソリューションには、独自のASIL評価があるわけではありません。むしろASILの規格は、特定のアプリケーションから発生する特有のハザードのような車載システム全体に左右されます。さらに、ASILの規格は真の安全を保障するものではありません。特定の製品がその用途に適しているか、また適切なアプリケーションの標準に準拠しているかどうかを確認するのは、ユーザーまたはシステムインテグレータの責任です。
そうは言っても、MPSの電源ソリューション製品は、顧客が自動車システムの指定された安全基準 (ASIL認証を含む) の実現を支援するように特別に設計されています。ASIL-B評価システムの例には、スマート・ジャンクション・ボックス、インストルメントクラスタ、加熱と冷却、およびステアリングホイールセンサなどがあります。たとえば、 MPQ70240FS-AEC1は、360°ビューカメラの電源ソリューションを提供するように設計されています。これには、高解像度カメラモジュールのサイズと効率を再定義する、2つの第1段階の降圧コンバータが含まれます。これはASIL-BまでのアプリケーションをサポートするASIL認定製品です。
自動車部門が自動運転車に移行するにつれて、ASIL-D認証を満たすことができる製品の需要が高まっています。MPSは、これらの安全基準を満たす製品幅を拡大しており、現在さらに多くの製品を開発中です。人気商品のひとつ、MPQ79700FSは、自動運転プラットフォーム用に設計された12チャネルの機能安全パワーシーケンサです (図3参照)。設計の柔軟性により、さまざまなアプリケーションやシステムで使用できるほか、使用状況に関係なく、高い診断幅を提供する内蔵セルフテスト (BIST) 機能を備えています。この診断テスト機能は、MPSの高度なMPSafeTM機能安全製品の開発プロセスを使用して開発されました。これは、ISO26262ガイドラインを満たすことが独立して認定されています。
図3 : MPQ79700FS-AEC1 – 12 チャネル、機能安全電源シーケンサ
MPQ79500FS-AEC1もその一例です。この6チャネル電圧モニタは、アダプティブクルーズコントロールなど、幅広い先進運転支援システム (ADAS) に最適です 、多くの場合ASIL-Dソリューションが必要です。その電圧モニタ入力には、設定可能な過電圧 (OV) と低電圧 (UV) のしきい値があり、高周波 (HF) と低周波 (LF) の両方の部品に対して高い精度を実現します。MPQ79500FS-AEC1は、電源シーケンスのタイムスタンプと命令を記録できます。また、同期I/O機能も備えており、マルチデバイス・シーケンスの同期とタグ付けに使用できます。そのBIST、診断、書き込み保護などの機能安全機能により、ASIL-Dアプリケーションに最適です。
結論
自動車のASIL評価は、車載システムの特定のリスクを分離して対処するように設計されています。これにより、車内により多くの電動システムや自動システムが搭載されることで、運転手や同乗者、他の道路上の人たちが不注意でより危険にならないようすることに役立ちます。人命への影響という観点から、さまざまなシステム障害の相対的なリスクをランク付けすることで、さらなる保護による事故の防止という優先順位を確保します。MPSは、自動車市場の厳しい安全性の重視を、この需要に完全に対応した電源ソリューションを使って実現することの重要性を認識しています。業界をより良く支援するために、MP70240FS-AEC1、MPQ79700FS-AEC1およびMPQ79500FS-AEC1など、多数のASIL評価製品をリリースしてきました。そして、さらなる幅広い機能安全製品オプションの開発に取り組んでいます。MPSの幅広い機能安全自動車製品の詳細については、MPSのウェブサイトをご覧ください。
_______________________
興味のある内容でしたか? お役に立つ情報をメールでお届けします。今すぐ登録を!
アカウントにログイン
新しいアカウントを作成