航空機、医療機器、自動車などのすべての重要なアプリケーションでは、システムの信頼性と安全性が求められます。人の命がかかわっている為これらの要件は重要であり、さまざまな業界で安全基準の開発につながりました。 機能安全の背景にある基本的な考え方は、計画外または予期しない事態が発生した場合でも、システム全体の信頼性を維持する必要があるということです。ISO 26262：機能安全（FuSa）規格は、自動車の電気/電子システムの安全性に焦点を当てた国際規格です。ISO規格は、概念の開発から製品の廃止までの推奨事項を提供します。この規格は、電気/電子（E / E）システムの誤動作に起因する障害に対応しており、火災、放射線、腐食などによるものではありません。これらの障害は、体系的な障害（開発、製造、保守中の障害）、ランダムな障害（存続期間中）、悪意のある障害（意図的な障害）の場合があります。

リスク分類

ISO規格は、関連するリスクを特定するために自動車固有のアプローチを採用しています。この規格ではリスクを4つの自動車安全水準（ASIL）に分類するために、過酷度、ハザードの発生頻度、制御可能性という3つの要素が考慮されています。過酷度は予期しないイベントが引き起こす可能性のある危害の量の尺度ですが、ハザードの発生頻度はそのようなイベントの発生確率を考慮し、制御可能性は指定された危険を回避するシステムの能力として定義されます。 このASIL分類は、ISO規格に準拠するための重要な側面であり、開発の初期段階で識別されます。ASIL分類には、ASIL AからDまでの4つのカテゴリがあります。 ASIL Aが安全性レベルが一番低く、ASIL Dが最も高いです。アンチブレーキシステム、電動ステアリングなどの最も重要なシステムはASIL Dカテゴリに属しますが、リアライトはASIL Aカテゴリの一部です。 ASIL分類に基づいて、安全目標/機能が決定されます。

故障率はコンポーネントで障害が発生する率であり、FIT（Failure InTime）で表されます。FIT率は10億時間の運用で予想される故障の数です。 ISO 26262に従いハードウェアコンポーネントの機能安全性の測定として、Single-point fault metric（SPFM）と、Latent fault metric（LFM）を使用できます。各ASILレベルの障害メトリクスを以下に示します。SPFMとLFMはアーキテクチャ メトリクスであり、安全機能によって提供されるカバレッジがそれぞれ単一ポイント障害と潜在（複数ポイント）障害に起因する障害を防ぐのに十分であるかどうかを分析します。

安全分析の背後にある動機は、安全目標からの逸脱が乗客へのリスクを最小限に抑えることを保証することです。 安全性分析は、定性的（障害の頻度を分析せずに危険を特定する）または定量的（障害の頻度とともにランダムな障害のみを特定する）に行うことができます。 いくつかの安全分析手法を以下に示します。

• HARA (Hazard Analysis and Risk Assessment): システム内で発生する可能性のあるすべての危険を評価し、重大度と制御可能性に従ってランク付けします。
• FMEA  (Failure Mode and Effects Analysis): システムの個々のコンポーネントと、その障害がシステム全体にどのように影響するかに焦点を当てます。
• FMEDA (Failure Mode Effects and Diagnostic Analysis):  エラーの原因とシステム全体への影響を詳細に調査することにより、開発の早い段階で問題を特定します。

上記の分析手法では、故障モードごとに、故障率、安全メカニズム、およびそのカバレッジが分析され、組み合わされて SPFM、LFM、およびFIT率が計算されます。 全体的なメトリクスは個々のエントリを合計することによって取得されます。

自動車の安全対策は次のようなコンポーネントで保証されます。
処理ユニット、メモリ、I / Oインターフェース、通信ユニット、センサーとアクチュエーター、クロッキング、データと制御パス、電源、制御シーケンスなど。
全体的な機能安全ワークフローは、

1. 考えられるリスク/障害を特定してアクセスする。
2. 障害を減らすための方法を決定する。
3. 機能安全機能の実装。
4. 機能安全機能の検証と妥当性確認。

安全設計

安全システムの設計は、冗長性またはチェッカーベースの設計のいずれかです。冗長性では、障害のリスクを制限するために複数の処理パスが設計されています。それは多くのIC領域を消費します。ほとんどの冗長メカニズムは MooN（M out of N）の概念で機能します。つまり、そのコンポーネントが安全に機能していると見なされるには、少なくとも M out of N の冗長パス/パーツが機能的に正しい必要があります。冗長性は、ハードウェア、ソフトウェア、情報、または時間の冗長性のいずれかです。チェッカーの設計では、システムは継続的に監視されエラーが発生するとエラーがトリガーされます。このロジックは多くの領域を消費しません。効果的な機能安全対策のいくつかを以下に示します。

• Triple Modular Redundancy（TMR）は、厳密なASILカテゴリコンポーネントで広く使用されています。 ここでは考えられる障害の影響を受ける可能性のある論理パスまたはレジスタが3回複製されます。 1つのレジスタに障害が発生し、他の2つが正しく機能している場合、2つの正しい値を取得することにより、障害がマスクされます。 相互依存の可能性を回避するために、これらの複製を互いに遠くに保つ必要があります。 この方法ではエラーの検出と訂正の両方が可能です。
• TMRと同様に、パス / コンポーネントの2つの複製が存在する Dual Modular Redundancy があります。 この方法はエラー検出は可能ですが、訂正はできません。
• Error Correction Code (ECC): フラッシュメモリがエラーの影響を受けると多くの場合、読み取られたデータが破損します。 ECCはこのような状況でのエラー検出と訂正に役立ちます。
• Cyclic Redundancy Code (CRC): メモリに保存されているすべてのデータのチェック値が計算され、データの読み取り中のエラー検出に役立ちます。
• Lockstep Processor: 非常に重要なプロセッサコアが複製され、同じ入力セットが両方のコアに同時に与えられます。 コンパレータロジックは、コアからの出力をサイクルごとに比較するように設計されています。 違いがあるとエラーがトリガーされます。
• Delayed Lockstep Processor : 時間冗長性ベースの手法。複製されたコアの1つへのすべての入力がNクロックサイクルだけ遅延します。 2番目のコアの出力は、比較の前に同じNサイクルだけ遅延します。 この時間の多様性により、障害 / ノイズが両方のコアの機能に同じように影響を与える可能性が最小限に抑えられます。

結論

機能安全は自動車システムの重要な側面です。 ASILカテゴリに基づいて、チェッカーまたは冗長性ベースの機能安全機能をさまざまなハードウェアコンポーネントに実装できます。 エラー検出と訂正の両方を提供するTMRやECCのような手法は、リスクの高いカテゴリのコンポーネントに適しています。

参考文献

1. International Organization for Standardization (ISO): ISO 26262. Road vehicles – Functional safety    Parts 1–9 (2018)
2. ”Functional Safety Methodologies for Automotive Applications” Cadence
3. “Safety requirements and validation methods for safety-related automotive electronics”
4. https://www.synopsys.com/implementation-and-signoff/resources/articles/fusa-mainstream.html 
5. https://www.cadence.com/content/dam/cadence-www/global/en_US/documents/solutions/automotive-functional-safety-wp.pdf

英語サイト