1.機能安全と本質安全
機能安全
機能的な工夫(安全を確保する機能:以下、安全機能)を組み込み、許容できるレベルの安全を確保すること
本質安全
機械や構造の変更などによって人間や環境に危害を及ぼす原因そのものを低減、あるいは除去すること
例えば鉄道を通行する列車と道路を通行する車輌等が交差する場合
注)立体交差において鉄道が上か自動車道が上か、物の落下や柵のつけ方、天災などによる立体交差の崩壊などによって事故の被害の大きさが変動することから、立体交差は完全に安全ではありません。しかし、踏切における安全を考えた場合、立体交差にして踏切そのもの(本質的な問題原因)を取り除くことにより、安全を確保する対応を”本質安全” としています。
安全の考え方の背景
欧米
製造業は不良品ゼロを目指しても、モノは故障し壊れる/設計にはバグがある/ヒトはミスをするという考え方がありました。さらにシステムも複雑化してくる中、本質安全の完全な達成は困難になってきたため、モノに故障やバグが発現しても、極力ヒトに危害を加えないようにする考え方、本質安全の未達成部分をカバーする”機能安全”の概念が規格化されました。
日本
製造業は設計品質向上と製造品質改善と向上の思想で、信頼性を高め、不良品ゼロを目指し、”本質安全”の完全な達成を求めてきました。そして、壊れにくく品質の良いMade in Japanを世界に広めました。製品を世界に販売するには各国の規格に適合する必要もあり、機能安全規格の適用を進めて行く中で、理にかなった考え方であることから、日本でも”機能安全”の考え方も浸透してきました。
自動車における機能安全規格(ISO 26262)策定の背景
自動車において、 1つの部品のフォールト*によって、エンジン制御ができない/ハンドル操作ができない/止まらない、などの事象が発生し、直ちにヒト(運転手、同乗者、車外)に危害を加えるようなことはあってはならないことです。
自動車の電子化による各機能のブラックボックス化、またECU(Electronic Control Unit)間の連携動作や複数サプライヤー開発による設計の複雑化によって、フォールト*やエラー*が発生し、万が一自動車の故障*によって事故が発生した場合には、人的被害・物的損害に対し誰かが責任を取る必要があります。
「機能安全」の考え方に基づき、自動車の故障による事故ゼロを目指す開発業務の全体を見える化することで、安全性の説明責任を果たすとともに、提訴された場合の証拠を揃えることにもなります。
これらのために、IEC 61508をベースとして、自動車に内蔵される電気・電子(E/E)システムの機能不全のふるまいにより引き起こされる危険事象の可能性の低減を目指した機能安全規格ISO 26262が策定されました。
*フォールト・・・システム、または車輌の故障を引き起こす可能性のある異常な状態
*エラー・・・計算、観測または測定された値、もしくは条件と真値、実際の指定されたまたは理論的に正しい値 もしくは条件との不一致
*故障・・・フォールトの発現によるシステム、または車輌の意図されたふるまいの終了
機能安全の安全機構
機能的な工夫を組み込み、許容できるレベルの安全を確保することが”機能安全”です。
自動車のシステム、コンポーネント、電子回路、およびソフトウェアは安全機構を備えることで”機能安全”を実現できます。
安全機構には、機能停止(フェイルセーフ)や機能継続(フェイルオペレーショナル)などがあり、ASILに応じた安全機構を備える必要があります。
2.ASILとは
ASILとは、Automotive Safety Integrity Level(自動車安全水準)のことで、ISO 26262規格で定義されたリスク分類システムです。
ASILは、ISO 26262に準拠する車載コンポーネントの危害発生の可能性と許容可能性に基づいて安全性要件を定めています。
ASILにはISO 26262 A、B、C、Dで識別される4つの段階があります。ASIL-Aは自動車のハザードの程度が最も低く、ASIL-Dは最も高いことを示します。
エアバッグ、アンチロック・ブレーキ、パワーステアリングなどのシステムは故障に伴うリスクが最も高いため、安全を確保するための最も厳しい要件であるASIL-Dグレードが求められます。その他、すべての電気電子システムの安全分析を実施し、例えばリアランプなどのコンポーネントはASIL-A、ヘッドランプやブレーキランプにはASIL-B、アダプティブクルーズコントロールにはASIL-CまたはASIL-Dなどと分類されます。
安全機構の実現例
冗長設計
主機能が不具合を起こしても、バックアップ機能が動作することで事故やトラブルを防止したり、被害を低減したりする設計方法です。
故障検知
主機能の異常、もしくは異常の前兆を他の部品によってモニタリングおよび通知し、危険となる事象から守るため機能を追加する方法です。
エイブリックのICが機能安全対応製品設計の構築を手助け
自動車には、多くのMCUが使用されています。
MCUの異常を想定したとき
- 供給電源の過電圧、および低電圧によるMCUの異常をモニタリングおよび通知するボルテージディテクタを追加
- ソフトウェアのバグによる、 MCUのプログラムの暴走・停止をモニタリングおよび通知するウォッチドックタイマを追加
電動車両(HEV・EVなど)においては、リチウムイオンバッテリーの異常を想定したとき
- 過電圧、および過放電をモニタリングおよび通知するリチウムイオン電池保護ICを追加
他にも、下記のような車載用ICで機能安全対応製品設計の構築を手助けいたします。
- 磁気センサ(ホールIC):スライドドアやシートポジションの位置監視など
- タイマIC:センサ類の定期監視など
- EEPROM:各種キャリブレーションデータやログの保存など
3.エイブリックの機能安全対応
エイブリックの機能安全への具体的な取り組みや対応製品などの詳細は、「エイブリックの機能安全対応」をご覧ください。