【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発

システムレベルの開発では、機能安全要求を技術安全要求へと具体化し、機能安全以外の本来の機能と合わせてシステム設計を行います。

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発|【Part3成果物】安全目標、安全状態。機能安全コンセプト(機能安全要求)。アイテム定義。システム要求仕様書、システム設計書⇒【4-6:技術安全要求の定義】技術安全要求を定義する、安全環境を定義する、ASILの分解的に要求を分解する、潜在的な故障の回避策を検討する⇒技術安全要求仕様:技術安全確認要求仕様、環境条件、制約、外部インタフェース、安全機構、でコンポジション要求(独立性要求)、潜在的故障の回避策⇒【4-7:システム設計】システマティック故障を特定する⇒システマティック故障発生原因⇒故障回避策の検討と複雑性回避の検討を行う⇒システマティック故障回避検討結果。ランダムハードウェア故障を検出し、制御する手段を特定する⇒故障率・診断率の目標値、システム基本設計(安全機構以外)、ランダム故障検出方法⇒システム構成を検討し、要求をハード・ソフトに割り当てる⇒システム設計仕様(技術安全コンセプト)、ハード・ソフトインタフェース仕様←FMEA、FTA、システム設計書

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発(技術安全要求の定義)

技術安全要求の定義では、実際の物理的なアーキテクチャで機能安全要求を実現することを想定して、機能安全要求を技術的な要求へ具体化します。さらに、技術安全要求をハードウェアで実装するのか、あるいはソフトウェアで実装するのかを特定します。

技術安全要求も機能安全要求と同様に、既存システムのフェールセーフ仕様を利用して、ハードウェア・ソフトウェアのどのような機構で安全を確保しているかを整理することにより、技術安全要求を定義することができます。

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発(技術安全要求の定義)技術安全要求仕様【機能安全要求】FSR.ENG.01.01:ドライバのアクセルペダルの踏み込み量を正しく取得できなくなるようなフォールトを検出する。ASIL:C【技術安全要求】TSR.ENG.01:アクセルペダルセンサにセンサ値が異常な値になるようなフォールトが発生していることを検出する。ASIL:C。理由:アクセルペダルセンサにフォールトが発生した時に、急加速を発生させないようにするため。説明:センサにフォールトが発生すると、信号が入力されなかったり、実際の踏み込み量とは無関係の値が入力されたりする。<H/Wへの要求:アクセルペダル踏み込み量の計測>【サブアクセルペダルセンサの搭載】~技術安全要求~TSR.ENG.01.01:システムに、メインのアクセルペダルセンサとは別にサブのアクセルペダルセンサを搭載する。ASIL:C。配置するエレメント:エンジンECU・サブアクセルセンサ【メインアクセルペダルセンサによるアクセルペダル踏込量取得】~技術安全要求~TSR.ENG.01.02:メインアクセルペダルセンサで、ドライバによるアクセルペダルの踏み込み量を計測する。ASIL:A(C)。配置するエレメント:メインアクセルセンサ【サブアクセルペダセンサによるアクセルペダル踏込量取得】~技術安全要求~TSR.ENG.01.03:サブアクセルペダルセンサで、ドライバによるアクセルペダルの踏み込み量を計測する。ASIL:B(C)。配置するエレメント:サブアクセルセンサ<H/Wへの要求:デジタルデータへの変換>【メインアクセルペダルセンサ値のデジタルデータ変換】~技術安全要求~TSR.ENG.01.11:メインアクセルペダルセンサの値をデジタルデータに変換する。ASIL:C。配置するエレメント:信号変換回路(メイン)【サブアクセルペダルセンサ値のデジタルデータ変換】~技術安全要求~TSR.ENG.01.12:サブアクセルペダルセンサの値をデジタルデータに変換する。ASIL:C。配置するエレメント:信号変換回路(サブ)

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発(システム設計)

システム設計では、技術安全要求のシステム構成要素(ハードウェアま たはソフトウェア)への配置を定義します。ここでは単純に技術安全要求を配置するだけでなく、安全機構を本来の機能とは独立して配置することで、ASIL対応に開発コストをかける箇所の局所化を検討します。

今回のサンプルではアクセルペダルセンサを二重化し、センサの故障時にモータ電流を遮断する安全機構を定義しています。更に、本来の機能で故障が起きても安全機構に波及しないよう、安全機構を独立したマイコンに配置し、ASILが求められる箇所をサブマイコンに限定しています。

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発(システム設計)機能安全対応後のシステム設計書構造図:アクセルペダル⇒エンジン制御システム(ASILなし:アクセルペダルセンサ、ASILあり:サブアクセルペダルセンサ⇒エンジンECU(⇒メイン(サブ)マイコン(ASILなし:信号変換回路(メイン)ASILあり:信号変換回路(サブ)⇒CPU(ASILなし:アクセル開度率算出部・目標トルク算出部・スロットルバルブ制御部、ASILあり:フォールト検出部・フェールセーフ判定部))⇒ASILなし:モータ制御回路、ASILあり;モータ電流遮断回路)スロットルモータ)→スロットルバルブ
【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発 トレーサビリティの構築

【研究室】車載開発~「派生開発」を続けながら機能安全規格ISO26262に対応するには:Part4:システムレベルの製品開発|pagetop