機能安全と部品安全 - PDF Free Download

電子部品の安全な使い方セミナー講演資料自動車の機能安全と部品安全 ~ISO 26262 の概要 ~ 2015/10/21 パナソニック ( 株 ) オートモーティブ & インダストリアルシステムズ社技術本部プラットフォーム技術開発センターシステム技術開発部機能安全推進課安倍秀二

機能安全規格とその要求 2

本質安全と機能安全本質安全とは機械が人間や環境に危害を及ぼす原因そのものを低減あるいは除去する機能安全とは機能的な工夫 ( 安全を確保する機能 : 以下安全機能 ) を導入して許容できるレベルの安全を確保すること安全機能を実行する主体を安全関連系と呼ぶハードウェアだけではなくソフトウェアも対象に入る (ECU) 立体交差踏切 3

機能安全規格群親規格である IEC61508 はプラントを中心とした電気電子機器の機能安全規格分野ごとの特性に応じ派生医療機器 IEC62304 ロボット ISO10218 分野別セクター規格航空機 JAR 1309 鉄道 IEC62278 産業機械 IEC62061 親規格 IEC61508 自動車 ISO26262 原子力 IEC61513 電子制御モータ IEC61800 2011 年に制定国内外のカーメーカから規格を遵守したシステム開発が求められるサプライヤは機能安全に対する備えが必要 4

ISO 26262 規格制定の背景自動車の電子化による機能のブラックボックス化 ECU 間の連携動作や複数サプライヤ開発による複雑化事故で発生した人的被害物的損害に対し誰かが責任を取らなければならない最終的に裁判所で責任が決定される機能安全の考え方により被害 0 を目指す安全性を軸に開発業務全体を見える化し説明責任を果たすとともに訴訟に耐え得る証拠を揃える ECU: Electric Control Unit 5

ISO 26262 規格の構成自動車の組込み電気 / 電子 /PE システムの開発ライフサイクルを規定システムソフトハードの各開発段階で V 字モデルを定義 1. 用語集 2. 機能安全の管理 2-5 全体的な安全管理 2-6 コンセプトフェーズ及び製品開発中の安全管理 2-7 アイテムの生産リリース後の安全管理 3. コンセプトフェーズ 4. システムレベルにおける製品開発 4-5 システムレベルにおける製品開発の開始 4-6 技術安全要求の仕様 4-7 システム設計 3-5 アイテム定義 3-6 安全ライフサイクルの開始 3-7 ハザード分析及びリスクアセスメント 3-8 機能安全コンセプト 5. ハードウェアレベルにおける製品開発 5-5 ハードウェアレベルにおける製品開発の開始 5-6 ハードウェア安全要求の仕様 V 5-7 ハードウェア設計 5-8 ハードウェアアーキテクチャメトリックの評価 V 5-9 ランダムハードウェア故障による安全目標侵害の評価 V 5-10 ハードウェア統合と検証 4-11 生産にむけたリリース 4-10 機能安全アセスメント 4-9 安全性の妥当性検証 4-8 アイテム統合及びテスト 6. ソフトウェアレベルにおける製品開発 6-5 ソフトウェアレベルにおける製品開発の開始 V 6-6 ソフトウェア安全要求の仕様 6-7 ソフトウェアアーキテクチャの設計 6-8 ソフトウェアユニット設計と実装 V 6-9 ソフトウェアユニットテスト 6-10 ソフトウェア統合及びテスト 6-11 ソフトウェア安全要求の検証 V 7. 生産及び運用 7-5 生産 7-6 運用サービス ( 保守と修理 ) 及び廃棄 8-5 分散開発のインターフェース 8-6 安全要求の仕様及び管理 8-7 構成管理 8-8 変更管理 8-9 検証 8-10 文書化 8. 支援プロセス 8-11 ソフトエアツール使用への信頼 8-12 ソフトウェアコンポーネントの認定 8-13 ハードウェアコンポーネントの認定 8-14 使用実績による論証 9. ASIL 指向および安全指向の分析 9-5 ASILテーラリングのための要件のデコンポジション 9-6 エレメントの共存に関する基準 9-7 従属故障の分析 9-8 安全分析機能安全規格 ISO 26262:2011 より引用 10. ISO26262 ガイドライン 6

ISO 26262 規格の適用範囲車両総重量が最大 3.500kg までの量産される乗用車に組み込まれる安全関連システム E/E( 電気 / 電子 ) 安全関連システムの機能不全のふるまいによって引き起こされる可能性のある潜在的なハザードを取り扱う感電火災発煙熱放射線毒性可燃性反応性腐食エネルギーの放出および同様のハザードに関連するハザードは E/E 安全関連システムの機能不全のふるまいが直接の原因でない限り取り扱わない機械系はアザーテクノロジーとして位置づけ適用外 E/E 関連機器に設定された機能安全要求をアザ - テクノロジーに配置することで ISO 26262 の適用外になる機能安全規格 ISO 26262:2011 より引用 7

ハザードとリスクハザード (Hazard) 怪我や物理的なダメージを生じる可能性のある原因 ( ソース ) ( 例 ) 電気が流れている 100V の裸電線危険事象 (Hazardous event) ハザードと運用状況が組み合わさったもの裸電線に素肌の腕が触れるリスク (Risk) 危害発生の可能性とその重大さの組合わせ 100V に腕が接触した場合の傷害の程度 ( シビアリティ ) と素肌の腕が触れる可能性の積自動車の場合 ( 例 ) 作業場所にある電気が流れている裸電線自動車に内蔵されている ECU の問題 ( ハザード ) により自動車の機能が損なわれる ( 機能不全 ) 潜在リスクを取り扱う 8

頻度 = 曝露確率 (Exposure) 制御可能性 Controllability) E/E システムの問題により危害が起きる頻度自動車の機能安全でのリスク低減の考え方 ASIL=Automotive Safety Integrity Level 常に起こる QM 3 ハザード回避の制御可能性 (C) 設計上必要なリスク低減の幅 =ASIL 潜在リスク ASIL D ASIL C 滅多に起こらない小さい社会的に許容されるリスク領域 (ALARP) 残存リスク受け入れ可能な 2ハザードの曝露確率 (E) 残存リスクリスク 1 結果としての危害の大きさ (S) QM As Low As Reasonably Practicable 出展 : 日経エレクトロニクス 2011.1.11( 改変 ) シビアリティ (Severity) ASIL B ASIL A 大きい 9

リスク低減のために安全に対するリスクに応じて安全度合を決定し必要な安全機能 ( 方策 ) を選択する安全度合は安全に動作する程度安全機能はリスクを許容できる水準まで低減するための機能 < 対策例 > > > 街中の道路電車本数多い見通しが悪い田舎道電車本数少ない見通しが良い 10

ISO26262 が要求する内容開発管理活動を体系的に実施し客観的に検証が可能な証跡を残す仕組みを構築安全ライフサイクルによる安全計画の策定設計の根拠の提示検証活動の徹底確証方策による安全活動の客観的検証安全ケースによる安全論拠の提示機能安全プロセスの定義と遵守規格要求内容を含んだ機能安全プロセスの定義機能安全プロセスを遵守し人的ミスの入らない開発十分信頼の高い設計などの再利用設計ミスを起こさない開発と市場で発生する可能性のある機能安全に対するフェールセーフ 11

機能安全と品質品質信頼性機能安全故障してはいけない故障は起こるもの高信頼設計高信頼部品故障に対するリスクの備えともに満たすことが必要 12

ISO26262 の基盤 How ISO26262 What 業界モデル TS16949 VDA6.3 Automotive 自動車業界向け QMS 規格ドイツ自動車工業規格 SPICE 車載 SW 開発のプロセスモデル CMMI Dev 開発のプロセス改善に役立つプロセスモデル汎用モデル概念 ISO9001(QMS) 品質マネジメントシステムに関する規格プロセスアプローチ継続的改善 (PDCA) 13

機能不全とその原因 14

故障エラーフォールト故障 (Failure) 要求された機能を実行するシステム (ECU) の能力の停止エラー (Error 誤り ) 計算, 観測又は測定された値あるいは条件と, 実際の指定された又は理論的に正しい値あるいは条件との不一致フォールト (Fault) システムあるいは車両の故障を引き起こす可能性のある, 異常な状態システム ( エンジンシステム ) ECU の断続的機能停止機能安全規格 ISO 26262:2011 より引用フォールト Error 故障点火コイルの誤動作ワイパ動作中のエンジン機能中断断続的なコイル点火バッキング ( ガクガクした動き ) 車両挙動 15

ISO 26262 が取り扱う機能不全を引き起こす故障の種類ランダムハードウェア故障ハードウェア部品の故障についての確率分布に従い発生し発生する時を予期できない故障システマティック故障決定論的に発生する故障 16

機能安全の基本的な考え方自動車の機能不全 ( 危険事象 ) ハザード分析とリスクアセスメント侵害原因安全目標ランダムハードウェア故障システマティック故障機能安全を達成すること ( 故障が起こっても安全目標を侵害しない ) 機能安全の達成が説明できること ( 安全ケース ) 17

故障の原因と対策ランダムハードウェア故障原因電気部品の確率的に発生するフォールト対策出荷後に起きることを想定フォールトの検出と緩和の方策によりリスクを減らすシステマティック故障原因設計ミス実装ミス製造ミスなどのヒューマンエラー対策出荷前に対策するプロセス又は設計方策の適用によって防止 18

機能安全実現の基本戦略電気 / 電子部品のフォールトを検出して処置し安全状態を維持し安全状態に遷移する従来のフェールセーフの考え方の発展意図した機能 (IF) センサ故障モードコントローラ故障モードアクチュエータ故障モード意図した機能の故障検出安全機構 (SM) 検出した故障の処置通知 19

安全ケースシステムが許容可能な程度に安全であることの正当性を主張するための構造化された論証安全目標と他の関係する安全要求安全論証 ISO26262 作業成果物安全に関わる要求機能安全要求故障による安全目標違反の防止安全に関わる要求の達成の論述安全に関わる要求と作業成果物をヒモ付ける作業成果物論拠を裏付ける証拠としての実績 20

機能安全開発の備えと導入開発フェーズ開発の備え実開発開発前機能安全プロセスの構築確証レビューの体制スキル認定プログラムの確立 --- 企画 --- 開発 --- 製造 TS-16949 あるいは VDA6.3 要求の仕組みアイテムの定義 H&R の実施機能安全コンセプトの立案安全管理者の任命安全計画の立案技術安全コンセプトシステム設計ハードウェア設計ソフトウェア設計確証方策実施安全ケース安全関連特別特性の引き継ぎと実施 21

機能安全開発の組織の備え機能安全プロセスの構築 ISO 26262 TS16949 AutomotiveSPICE をベースにしたプロセスの構築機能安全の達成を客観的に評価確証方策 ( 機能安全アセスメント機能安全監査確証レビュー ) による客観的な評価機能安全スキル強化とスキル認定プロジェクトに配置する要員は事前のスキル認定が必要 22

電気 / 電子部品のフォールトとハードウェア開発 23

車載開発の特徴と機能安全調達側サプライチェーンにより部品開発を分担サプライヤ OEM や Tier が部品を調達してシステムを組み立てる調達先のサプライヤーに機能安全開発を要求それぞれの部品の安全を確保するために機能安全開発を実践システムレベルの安全の論証 DIA 作業成果物の範囲開示提出の取り決め部品の安全への達成を証明する証拠をまとめる安全ケース説明 DIA: 開発インタフェース協定サプライヤA 責任責任サプライヤB 責任責任責任サプライヤC サプライヤレベル安全ケース 24

ハードウェア設計での考慮点ハードウェアレベルのアーキテクチャ設計電気 / 電子部品のフォールトの検出と対応モジュール化適切な粒度単純性高凝集度低結合度詳細な回路設計故障率計算産業界データベースの利用 ( 通常 ) IEC62380 FIDES SN29500 ハードウェアのアーキテクチャの評価のためのメトリクス目標 ( 評価指標 ) の達成 SPFM and LFM ランダムハードウェア故障の残存リスク評価 PMHF or メソッド 2( カットセット法 ) 25

代表的な故障率データベース IEC/TR 62380 より引用 26

フォールトの分類デュアルポイントフォールト (Dual Point Fault) 他の独立したフォールトが重なる (IF+SM) と安全目標侵害高リスク低リスク SPF RF Latent DPF Perceived & Detected Safe Fault シングルポイントフォールト (Single Point Fault) 残存フォールト (Residual Fault) 潜在単独のフォールトで安全目標侵害 SM で処置されない SPF の残り知覚できる (Perceived) 検出できる (Detected) 安全側フォールト安全目標を侵害しないフォールト N>2 となるマルチプルポイントフォールト 27

ハードウェアメトリクスの評価 SPFM(Single Point Fault Metric) = 1- β/α % ASIL B ASIL C ASIL D 90% 97% 99% LFM(Latent Fault Metric) = 1- δ/(α-β) % ASIL B ASIL C ASIL D 60% 80% 90% PMHF(Probabilistic Metric for random Hardware Failures) = β+δ fit β SPF RF Latent δ α DPF Perceived & Detected ASIL B ASIL C ASIL D < 100fit < 100fit < 10fit Safe Fault 28

発注元の要求とサプライヤの対応サプライヤ開発の範囲発注元サプライヤソフトウェアを含むシステム開発安全目標 (ASIL) 安全要求 DIA( 開発インタフェース協定 ) による責任分担の契約 ISO26262 に沿った開発安全ケースの提出 ASIC などの複雑な構成の素子複雑さの定義がなく境界が曖昧安全目標 (ASIL) 安全要求 DIA( 開発インタフェース協定 ) による責任分担の契約 ISO26262 に沿った開発故障モードの分析と情報の提供安全マニュアルの提出受動部品などの単純な素子機能安全要求が無い場合明示的な機能安全要求なし故障モード按分故障率の提出要求 ( 場合による ) TS16949 に沿った開発部品仕様の提出信頼性評価結果の実施 TS16949: 自動車製造や関連する交換部品に携わる組織に ISO 9001 を適用する際の要求事項 29

まとめ A: これまでの車載品質が基本フェールセーフ過去トラ対応高信頼設計の再利用 B: 定量的な品質マネジメントシステムが基本 ASIL に基づく品質マネジメントシステム正しい作業の実施による人的ミスの防止客観的な証拠を残す C: 新規に追加される作業安全ケースの作成確証方策の実施ハードウェア故障に対する定量的評価とソフトウェアのテスト網羅の評価 A C B 車載品質 ISO 26262 30

Q&A 31