JAJA765A December   2023  – May 2024 AM2432 , AM2434 , AM6421 , AM6422 , AM6441 , AM6442

 

  1.   1
  2.   概要
  3. 1機能安全目標と安全コンセプト
  4. 2HARA および安全コンセプトの評価段階
  5. 3SIL と ASIL の分類
  6. 4ランダム故障および決定論的原因故障
  7. 5AM243x および AM64x:安全診断および例
  8. 6AM243x および AM64x:FFI サポート付きセーフティー MCU
  9. 7コンテキスト外安全要素
  10. 8機能安全のリソースおよび例

3 SIL と ASIL の分類

多くの産業用アプリケーションでは、SIL レベルを使用して危険を分類し、安全コンセプト部品の許容可能な故障率を定義しています。SIL レベルを割り当てる基準は、国際電気標準会議 (IEC) 61508 の機能安全規格で定義されています。IEC 61508 は多くの業界で使用されており、電気、電子、プログラマブル電子デバイス (またはこれら 3 つの機能の任意の組み合わせ) を内蔵する安全関連システムに適用されています。

IEC 61508 では、各危険は結果、頻度と暴露時間、回避できない可能性、望ましくない発生の確率によって分類されています。

図 3-1 に、各危険を SIL 1 から SIL 4 (SIL 1 が最低の危害リスク) に評価するために使用されるマトリックスを示します。

AM6442 IEC 61508 のリスク グラフ、危険分類マトリクス図 3-1 IEC 61508 のリスク グラフ、危険分類マトリクス

車載アプリケーションでは、ASIL レベルを使用して危険を分類し、安全コンセプト部品の許容可能な故障率を定義しています。ASIL レベルを割り当てる基準は、国際標準化機構 (ISO) 26262 規格で定義されています。IEC 61508 と ISO 26262 は、目的は似ていますが、使用する手法や安全メトリクスが異なります。

ISO 26262 では、危害の重大度 (S)、暴露の可能性 (E)、および危険を回避できるレベルを示す制御可能性 (C) を使用して各危険を分類しています。図 3-2 に示したマトリクスを使用して、各危険は品質管理 (QM)、または ASIL A から ASIL D までの 4 つのレベルのいずれかに分類されます。QM 定格は、特定された危険がリスクを低減するための専用の安全目標を必要としないことを示します。ASIL D 定格は、危害の可能性が最も高いことを示します。

注: 集積回路 (IC) の場合は、QM 評価をサポートするには、標準的な半導体の品質管理設計 / 製造プロセスで対応できます。
AM6442 ISO 26262 の危険分類マトリクス図 3-2 ISO 26262 の危険分類マトリクス

FIT 率は、IEC 61508 と ISO 26262 の両方で許容可能なリスク レベルを定義するための主要なコンプライアンス メトリクスです。FIT は、109 時間の動作間隔 (動作時間 10 億時間) での故障回数 (Failures In Time) として定義されます。

すべての故障が潜在的な危害という点で同じであるとは限りらないため、故障は、非安全関連の故障、検出された安全な故障、検出されない安全な故障、検出された危険な故障、検出されない危険な故障など、さまざまなカテゴリに分類されます。明らかな理由から、最も重要なカテゴリは検出されない危険な故障です。他の故障カテゴリは、安全上の重大な懸念をもたらさないか、診断によって検出され、潜在的な危害を排除するために緩和できます。部品レベルでの FIT 率は、時間の経過とともに発生する可能性のある、検出されない危険な故障の最大数を定義します。

表 3-1表 3-2 に、IEC 61508 SIL と ISO 26262 ASIL の各メトリクスを示します。

表 3-1 IEC 61508 SIL のメトリクス
HFT = 0HFT = 1
SIL レベル (タイプ B システム)PFHSFFPFHSFF
SIL 1≤ 1000 FIT≥60%≤ 1000 FIT60% 未満
SIL 2≤ 100 FIT90% 以上≤ 100 FIT60% 以上
SIL 3≤ 10 FIT99% 以上≤ 10 FIT90% 以上
SIL 4達成不可能≤ 1 FIT99% 以上
表 3-2 ISO 26262 ASIL のメトリクス
ASIL レベルPMHFSPFMLFM
ASIL A≤ 1000 FIT指定なし指定なし
ASIL B≤ 100 FIT90% 以上60% 以上
ASIL C≤ 100 FIT97% 以上80% 以上
ASIL D≤ 10 FIT99% 以上90% 以上

IEC 61508 規格では、PFH (Probability of Failure per Hour:1 時間あたりの故障の確率) を使用して 1 時間あたりの検出されない危険な故障の総数を表しています。SFF (Safe Failure Fraction:安全故障率) は、検出されない危険な故障に分類されないすべての故障タイプの割合を表します。

PFH メトリクスと同様に、ISO 26262 では、PMHF (Probabilistic Metric for random Hardware Failures:ランダム ハードウェア故障率メトリクス) を使用して検出されない危険な故障の総数を表しています。SPFM (Single Point Fault Metric:シングル ポイント故障メトリクス) は、SFF に類似しています。

ISO 26262 には、IEC 61508 にはない診断ハードウェアに対する LFM (Latent Fault Metric: 潜在故障メトリクス) と呼ばれる追加のフォルト メトリクスが追加されています。診断ハードウェアの故障は、通常の動作中は検出できず、検出可能な故障が検出されない場合にのみ明らかになるため、潜在的な故障と見なされます。LFM 故障の数を減らすために、診断ハードウェアはテスト適用範囲が高い割合になるように設計し、現場への導入前に広範にテストする必要があります。