【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ

コンセプトフェーズでは、アイテム(車両レベルの機能)を定義し、ハザードの識別や発生しうる危害を想定し、安全な状態を維持するための方針を決定します。

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ|【3-5:アイテム定義】システム要求仕様書・システム設計書⇒システムのスコープを明らかにする⇒アイテム定義(機能一覧・非機能要求一覧・アイテム構成)⇒【3-7:ハザード分析およびリスクアセスメント】FMEA・FTA⇒ハザードを識別する⇒ハザード定義⇒危険事象を決定する⇒危険事象⇒危険事象に対してASILを決定する⇒ASILの決定⇒危険事象に対する安全目標を決定する⇒安全目標・安全状態⇒【3-8:機能安全コンセプト】システム要求仕様書・システム設計書⇒機能安全要求を導出する⇒機能安全要求⇒機能安全要求を対応するアーキテクチャ要素に配置する⇒機能安全コンセプト

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(アイテム定義)

アイテム定義の工程ではアイテムのスコープを明らかにし、機能や制約、 およびアイテムの構成(初期のアーキテクチャ)を定義します。

つまり、既存システムのシステム要求仕様書とシステム設計書をもとにア イテム定義としてまとめれば良いということです。

ただし、アイテム定義では車両レベルの機能を対象としますが、実際には 既存システムがECU単位で定義されている場合が多いと思います。その場合には、複数ECUの仕様から必要な部分を抽出し、車両レベルの仕様として定義する必要があります。

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(アイテム定義)【エンジン制御アイテム】機能要求一覧:①トルクの発生(ドライバによるアクセルペダルの踏み込み量に従って、エンジンでトルクを発生させる)②アイドルエンジン回転数の維持(アイドル中、適切なエンジン回転数を維持する)/非機能要求一覧:①環境(可能な限り燃費を向上させること)/アイテムの構成:アクセルペダル-エンジン制御システム(アクセルペダルセンサ-エンジンECU(-メインマイコン(信号変換回路:メイン-CPU(アクセル開度率算出部-目標トルク算出部-スロットルパルプ制御部))-モータ制御回路)-スロットルモータ)-スロットルパルプ/エレメントの説明:①アクセルペダル(車両を加速させるためにドライバが踏むペダル)②アクセルペダルサンサ(アクセルペダルの踏み込み量を検知するセンサ)/制約/法規/既知のハザード

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(ハザード分析&リスクアセスメント)

ハザード分析&リスクアセスメントでは危険事象を特定し、回避・軽減するための安全目標を定義します。

ハザードは改めて分析しても良いのですが、既存システムのFTAやFMEAで分析した故障の影響をハザードとして使用できます。そして、そのハザードに対してリスクアセスメントを実施し、ASILを決定します。

ただし、既存システムでは、故障の影響が車両レベルまで分析はされていないことも多く、追加の分析が必要となる場合があります。

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(ハザード分析&リスクアセスメント)【FMEA】アクセルペダルセンサ:オープン(センサ値が0から変化しなくなる⇒意図せず減速する)ショート(センサ値が最大値から変化しなくなる)⇒センサを二重化する【リスクアセスメント結果】HZD.ENG.01:意図せず加速する~高速道路の走行中、先行車が存在するE4:(高速走行中に意図せず加速し、先行車と衝突する⇒ブレーキ操作で減速できる:C2⇒高速走行中であり危害は大きい:S3⇒ASIL:C)/信号待ちで停車している状態からの発進時:E4:(発進時、ブレーキペダルを放した時に意図せず先行車よりも加速することで、先行車と衝突する⇒ドライバの足がブレーキをすぐに踏める位置にあるため、ブレーキで回避できる:C1⇒速度は大きくないため危害は少ない:S1⇒ASIL:QM)【安全目標一覧】HZD.ENG.01:意図せず加速する~HZE.ENG.01:高速走行中に意図せず加速し、先行車と衝突する~ASIL:C~SG.ENG.01:意図しない加速が発生しないようにする~SS.ENG.01:暴走しない駆動力に制限している状態

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(機能安全コンセプト)

機能安全コンセプトの工程では、安全目標の実現に必要な機能安全要求を導出し、機能安全要求をアイテムのどの構成要素に配置するか定義します。

「ISO26262」はトップダウンの開発プロセスですが、既存システムのフェールセーフ仕様が安全目標を満たすなら、その仕様からどのように危険事象を回避・軽減するか、どのような警告をするかを整理することにより、ボトムアップのアプローチで機能安全要求を定義することができます。

既存システムのフェールセーフ仕様が安全目標を満たさないのであれば、新たなフォールト検出方法や警告方法などを検討する必要があります。

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ(機能安全コンセプト)【機能安全要求仕様】安全目標SG.ENG.01:意図しない加速が発生しないようにする、ASL:C、【機能安全要求】FSR.ENG.01:意図しない加速を引き起こすフォールトを検出した場合、急加速が発生せず退避走行ができるような所定のエンジントルクを発生するようにする、ASIL:C、理由:急加速を防ぐことで事故に至らないようにするため、説明:退避走行とは、フォールトが発生した時に安全な場所まで車を運転することである<フォールトの検出>【アクセル踏込量のフォールト検出】~機能安全要求~FDR.ENG.01.01:ドライバのアクセルペダルの踏み込み量を正しく取得できなくなるようなフォールトを検出する、ASIL:C、理由:フォールトにより誤ってドライバが加速を要求していると判定してしまうと、加速が発生するように制御してしまうため、説明:例えば、アクセルペダルセンサにフォールトが発生するとドライバのアクセルペダルの踏み込み量を正しく取得できなくなる、配置するエレメント:アクセルペダル、エンジンECU【エンジントルク推定のフォールト検出】~機能安全要求~FSR.ENG.01.02:現在のエンジントルクを正しく推定できなくなるようなフォールトを検出する、ASIL:C、理由:誤って、実際発生しているよりも少ないエンジントルクが発生していると判定することで、エンジントルクを増加するように制御してしまうため、説明:例えば、スロットルポジションセンサーにフォールトが発生するとエンジントルクを正しく推定できなくなる、配置するエレメント:エンジンECU<機能の縮退>【エンジントルクの抑制】~機能安全要求~FSR.ENG.01.11:エンジンを制御することで、急加速が発生せず退避走行ができるような所定のエンジントルクを発生するようにする、ASIL:C、理由:急加速を防ぐことで事故に至らないように、かつ安全な場所まで退避できるようにするため、説明:エンジントルクを発生しないようにするとエンジンが停止して退避走行ができなくなる、配置するエレメント:エンジンECU
【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ Part4:システムレベルの製品開発

【研究室】車載開発~「派生開発」を続けながら機能安全規格「ISO26262」に対応するには:Part3:コンセプトフェーズ|pagetop