車載マイコン関係者向け 機能安全IS026262 独自解説　【ASIL編】

機能安全ISO26262 独自解説【ASIL編】

はじめに

機能安全規格「ISO26262」は、2011年に第一版が発行され、2018年には第二版が登場しました。そこから数えて、もう14年が経過しています。現在では、車載マイコンに関わる多くの方が、この規格の存在を知っていると思います。ただ、機能安全のような専門用語の多い規格は、「なんとなく知っている」のままで、深く追求せず、有耶無耶になってしまう事も多いのではないでしょうか？

今回は、そんな有耶無耶を少しでも解消すべく、機能安全関連で、気になるけど、他のwebではあまり取り上げられていない内容（私の主観です）を解説していきたいと思います。初回である今回は、ASILに関連する気になる内容(完全に主観です)を解説していきたいと思います。

ASILとQM

「機能安全」「ASIL」で検索すると、必ずと言っていいほど出てくる、おなじみの表がありますよね。※この表に関する詳細は今回の技術記事では割愛させていただきます。

 

この表では、ASIL-A〜Dに該当しない領域はすべて「QM」と書かれていますね。私が初めてこの表を見たとき、「QMって何者？急にどこから現れたの？」と不思議に思いました。同じように感じた方がいたらうれしいです。さて、この「QM」の正体ですが、言われてみれば納得ですが、QM = Quality Management（品質管理）であり、主にISO9001などの品質規格への準拠を示しています。だとしても「なぜASILに該当しない部分は、品質管理QMなの？」と疑問が残りません？

実は、ここに機能安全を理解するうえで、とても重要なポイントが隠れています。

ISO26262（機能安全規格）は、簡単に言うと「車両制御システムに故障が起きたとき、それを検出して安全な状態に導くことを目的とした規格」になります。ISO26262の中では故障を“減らす”や“ゼロにする”には言及されていません。

すごく極端な話になりますが、ISO26262だけ準拠した車は、「頻繁に故障はするけど、安全にはなる」になります。そんな車は嫌ですよね。

あるべき姿の車は「故障はほとんど起きず、万が一起きても安全である」の状態ですね。※「100%故障しないで安全」がベストですが、100%はこの世に存在しないので諦めましょう。妥協は必要です。

あるべき姿の車を実現には、以下の2つがセットで必須であり、これがないと価値のない製品(車)が出来上がってしまいます。

• 故障はほぼ発生しない　 　→ 品質管理（QM = ISO9001他）
• 仮に故障が起きても安全　 → 機能安全（ASIL = ISO26262）

つまり、ISO26262は、別の品質管理規格（QM）に準拠している事が大前提の規格 となっています。ASILが不要な場合「ASIL」のみが外れ、結果として「QM」だけが残る下記の図になるのです。

製品の”安全”は、”品質”の上にある！！！と認識いただければと思います。

 

ASIL-A or ASIL-Cマイコン？

次はASIL対応マイコンに目を向けてみましょう。世の中にASIL-BマイコンやASIL-Dマイコンはありますが、ASIL-AマイコンとASIL-Cマイコンは、ほぼ聞いた事ないですよね？何故ASIL-Aと ASI-Cマイコンがないのか？これは私も回答を持ってないので、頼りになるAI先生に聞いてみました。

——————————————————————————————–

【AI先生の回答】

・ASIL-A　　  ASIL-Bマイコン or  QM品 + 外付け安全機構　にて対応可能

・ASIL-C　　  ASIL-Dマイコンor  ASIL-Bマイコン＋外付け安全機構　にて対応可能。

ASIL-B と ASIL-Dマイコンさえあれば全てのASILは対応可能。ASIL-AとASIL-Cマイコンの用意は可能だが、需要が少ないため市場に出回っていないと考えらえる。

——————————————————————————————–

確かに、と思うと共に、今後、ASIl-AとASIL-Cマイコンが出てくる可能性は低そうだなと感じました。

という事もあり、今後も機能安全対応マイコンと言えば、「ASIL-Bマイコン」 or　「ASIL-Dマイコン」となりそうですが、そもそも、何を基準にASIL-B とASIL-D対応製品となるのか？気になる方が多い思います(主観ですが)。ここを解説させていただきたいと思います。

ASILとは何か？マイコンとの関係は？

ASIL-BとASIL-Dマイコンを理解するために、「ASILとは何か？」を理解しないといけません。ASILを理解するため、少しISO26262規格の内容に踏む込ませていただきます。

ISO26262の機能安全の開発(V字プロセス開発の左側)ですが、コンセプト、システム、ハード&ソフトの順にトップダウン方式で開発が進みます。

この図中のISO26262 part3コンセプトフェーズのHARA（ハザード分析＆リスク評価）の中でASILが決定します。HARAは下記の図をご参照ください。

「ASILは、故障で引き起こされるハザードを分析した結果、得られる”危険事象”をリスクを分析して決まります」となりますが、長すぎますので、「ASILは危険事象に紐づく」と考えていただいてOKでございます。

そのため

ASILはシステムに紐づいてるわけではございません。

正しくは、xxxシステムの故障→ハザード→危険事象に対してASILが紐づいています。例えば、エアバックシステムがASIL-Dではなく、「意図せずエアバックが爆発しない」や「意図せずエアバックが爆発する」などの危険事象に、それぞれASILが紐づきます。また１つのシステム内で、危険事象が１つではなく、複数の危険事象（=ASIL）が存在する可能性があります。複数あるASILの中で、最も高いASILに合わせてシステムの機能安全開発を行う事になるので、xxxシステムではASIL-xと表現されています。

そして、当然のように

マイコンにもASILは紐づいていません！！

となると、ますます「何をもってASIL-B 、ASIL-D 対応マイコンといってるのだろうと？」と疑問に思いますよね？ここを紐解くに、ASILとは別で【SEooC】を知っていただく必要があります。あまり聞きなれない言葉かもしれませんが、機能安全対応マイコンを理解するうえで、ASILと同じくらい重要なワードだと思います。(主観です)

SEooCについて

前述のとおり、機能安全開発は、Top down方式ですので、上からの機能安全要求が決まらないと開発スタートできません。特にマイコンなどの半導体部品は、ハード(par5)やソフト(part6の)の機能安全開発スタートしないことには、何が必要になるのか、まったくわかりませんね。

とはいえ、Top down方式の上位からの要求を待ってからの開発になると、ほぼ専用開発になってしまい、多くの作業や時間がかかってしまいます。ここはマイコンに限った話ではなく、ECU、ハードウェア、ソフトウェア、モジュールでも、まったく同じ事が言えます。

この機能安全独特の問題の解決策が「SEooC（Safety Element out of Context）」となります。とても重要な機能安全用語です。もっとメジャーになってもよいワードだと思います。

 

SEooCについては、文章説明のみで恐縮ですが(よい図が思いつかず・・)

「あらかじめ”仮定(assumption)”した上位機能安全要求で、機能安全開発を行う事で、汎用的に使えるエレメントを用意する」

となります。この”エレメント”の中に、マイコン、ECU、ハード、ソフト、モジュールなどが含まれます。

このSEooCにより、機能安全対応した、汎用マイコン、汎用ソフト、汎用ECU、汎用モジュールなどの機能安全の汎用品が用意できるのです。これらSEooCで用意された製品は、機能安全プロセスに沿った開発、評価、検証が実施済みであり、これらのユーザは、機能安全開発の為の作業や時間を大幅に削減できるようになります。

 

つまりですね、機能安全マイコンは下記となるのです。

【ASIL-B 対応マイコン】

「マイコンメーカのSEooCで、仮定したASIL-B 機能安全要求を基に、機能安全開発と検証を実施済みの製品である」

【ASIL-D 対応マイコン】

「マイコンメーカのSEooCで、仮定したASIL-D 機能安全要求を基に、機能安全開発と検証を実施済みの製品である」

ASIL-B、ASIL-D対応のため、マイコンに内蔵される機能がいくつか変わります。例えばADIL-Dでは冗長コアを入れたり、BISTなどの自己診断機能が追加されます。仮定ですが、これらの機能が無いとASIL-D対応対応でいないと考えられているためです。

 

最後に「SEooCの仮定で問題ないの？」との疑問が出てくると思います。

残念ながら、この回答は私も生成AI先生も持ってないです。ここについてはマイコンユーザで、実際の機能安全要求と照らし合わせて、評価や分析を実施いただくしかないです。

この機能安全対応の評価や分析には、マイコンメーカが用意している、”提供資料”や”サポート”がとても重要です

ルネサスマイコンでは、この機能安全に関する資料やサポートが充実しております！！

https://www.renesas.com/ja/applications/automotive/automotive-functional-safety?queryID=186ac5243487037e73e8b1de4b4ce8ef

また独自の機能安全対応専用tool  CAR toolの用意がございます。

https://www.renesas.com/ja/products/automotive-products/car-tool

これら資料やtoolを使って、より素早く簡単に機能安全対応を進めていいただきたいと思います。

次回は「SPFM/LFM/PFHM」を、深堀していきたいと思います。