現在、自動車技術の発展に伴い、車両にはさまざまな運転支援機能が搭載され、無人運転の研究開発が本格化しています。こうした運転支援機能や無人運転機能の増加に伴い、自動車電子制御システムの機能安全性がますます注目されており、それに対応する要件が提示されており、その中には単一点故障を含むハードウェアメトリクスに対する具体的な定量的要件も含まれています。メトリック SPFM (単一点障害メトリック)、潜在障害メトリック LFM (LatengtFault メトリック)、およびランダムなハードウェア障害確率メトリック PMHF (ランダムなハードウェア障害の確率論的メトリック) です。これら 3 つの指標には、ハードウェアの設計と分析だけでなく、対応するソフトウェアの診断を含むシステム全体のセキュリティ メカニズムも考慮する必要があります。ハードウェア インジケーターの最終計算値を取得するには、ハードウェア インジケーターを計算するときにこれらのセキュリティ メカニズムを考慮する必要があります。
ハードウェア メトリックの計算中に、運用固有の問題がいくつか発生します。本稿では、機能安全解析ソフトウェア REANAと組み合わせたプロジェクトの具体的な実践を通じて、ハードウェア指標の計算に関連する概念と手順を説明し、解析および計算プロセスの操作方法についていくつかの提案を示します。
ハードウェア メトリックの計算には、いくつかの概念定義が含まれており、計算に必要な関連データを取得する必要もあります。この章では、障害の種類、故障率、および診断範囲の意味を紹介し、実際の特定の状況とツールについて説明します。は参考用です。
1. ハードウェア障害の分類
機能安全規格では、ハードウェア障害を次のように分類しています。単一点障害、残留障害、複数点障害、および安全障害です。このうち、多点故障のうち 3 つ以上の故障は一般に安全故障とみなされます (特別な場合を除く)。また、二点故障は検出可能二重点、知覚二重点、潜在二重点に分類されます。
したがって、ハードウェア障害の分類は次のようになります。安全な障害、単一点障害、残留障害、検出可能な二重点障害、認識可能な二重点障害、および潜在的な二重点障害です。障害の時間特性に従って、ハードウェア障害は一時的な障害と永続的な障害に分類することもできます。以下では、各障害を理解する方法と、具体的な実践を通じてさまざまなコンポーネントの障害を分類する方法について説明します。
(1) 安全上の不具合
安全上の欠陥には 2 つのタイプがあり、1 つは、コンポーネントが安全とは何の関係もないため、そのコンポーネントのあらゆる欠陥は安全上の欠陥です。たとえば、PCB 上のデバッグに使用される LED ライトは、通常、その障害によってシステム出力が変化することはありません。
別のタイプの状況は、コンポーネントが安全に関連しており、コンポーネントの 1 つまたは複数のタイプの障害が安全障害である可能性がある場合です。例えば、コントローラ設計の基本原則の1つは、通常、電源が供給されていないときのシステムの安全性を確保することですが、電源処理回路はコントローラの機能実現に関係するため、安全性に関係します。ただし、コントローラが電力を供給できない原因となる障害により、システムは安全な状態になり、障害のこの部分は安全障害です。別の例は、ウォッチドッグによってトリガーされる障害です。これもシステムを安全な状態に移行させます。障害のこの部分も安全障害です。
これら 2 種類のセキュリティ障害がハードウェア インジケーターの計算に及ぼす影響は異なることに注意してください。安全に関係のない部品故障の故障率はハードウェア指標の計算式には含まれておらず、そのような安全故障はハードウェア指標の計算には一切影響を与えません。安全関連コンポーネントの安全故障は、ハードウェア指標の計算式に含まれます。安全故障のこの部分の故障率の増加は、単一点故障測定 SPFM と残留故障測定 LFM を増加させますが、影響はありませんランダムなハードウェア障害確率測定 PMHF について。
(2) 単一障害点
単一障害点とは、障害の発生後、システムが安全目標に直接違反する原因となり、この種の障害を診断して対処するための安全メカニズムがシステムにないことを意味します。ASIL C および ASIL D の最高の機能安全レベルを持つシステムの場合、機能安全規格では、そのような障害の診断カバレッジが 90% を下回ってはならないと規定しています。そうでない場合は、特別な措置を追加する必要があります。一般に、ASIL C および ASIL D システムでは単一点障害は発生しません。
(3) 残留故障
残留故障とは、故障の発生後にシステムが安全目標に違反する直接の原因となることを意味します。システムは、単一点障害を診断して対処するために、対応するセキュリティ メカニズムを採用しますが、セキュリティ メカニズムは一般に、単一点障害の可能性をすべて完全にカバーすることはできません。つまり、診断範囲は通常 100% に達することはできません。機能安全規格では、低、中、高の 3 レベルの診断カバレッジ (それぞれ 60%、90%、99%) を推奨しています。したがって、単一点故障に対して安全機構を導入した後は、通常、それに対応する残留故障が発生します(たとえば、診断率99%の安全機構を採用した場合、残留故障の割合は1%です)。
一点故障測定 SPFM の対象となるのは一点故障と残留故障であり、これら 2 つの故障の故障率が増加すると SPFM が低下します。したがって、単一点故障を可能な限り回避する、つまり対応する安全機構を増やすと同時に、残留故障を減らす、つまり安全機構の診断範囲を増やす必要があります。
単一点故障と残留故障もランダムなハードウェア故障確率測定 PMHF の対象であり、これら 2 つの故障率の値を減らすことでランダムなハードウェア故障確率測定 PMHF も下げることができます。
(4) 検出可能な二重点故障
まず、二重点故障の意味を説明します。2 つの独立した故障が同時に発生し、システムが安全目標に違反する場合、これら 2 つの独立した故障は二重点故障です。
現在の実務で分析される二重点故障は、すべての故障 (故障 X と呼ばれる) と、対応する安全機構の故障 (故障 Y と呼ばれる) であり、これら 2 つの故障は相互に二重点故障です。このうち、安全機構が存在しない場合、故障 X によりシステムは安全目標に違反します。安全機構故障の故障Yは、故障Xを診断できない診断故障と、正しく診断しても安全な状態に移行できない実行故障の2つに分けられます。
検出可能な二点故障とは、独立した 2 つの故障が検出される部分を指します。安全機構によってカバーされていない故障 X の部分は残留故障であり、安全目標に直接違反する可能性があり、二重点故障には属しません。安全機構によってカバーされている故障 X の部分は検出されます。ドライバーはインジケーターライトなどで指示されます。障害はログに記録されるため、対象の部品は検出可能な二重障害点となります。安全機構も診断され、同時にドライバーに指示が出され、表示灯などによって障害が記録される場合、診断された安全機構の障害も検出可能な二重点障害になります。
(5) 認識可能な二重障害点
認識可能な二重点障害とは、検出されないがドライバーが認識できる障害を指します。システムが故障 X の発生を診断し、安全対策を講じているにもかかわらず、ドライバーに通知しない場合、ドライバーはシステム性能の変化を通じて故障の発生を認識する可能性があり、この状況は認識可能な二重故障に起因すると考えられます。失敗。実際には認識された二重点障害は発生しておらず、通常、システム内にそのような障害は存在しません。
前述したように、故障 X には残留故障と検出可能な二重点故障のみが含まれているため、検出可能な二重点故障は含まれません。対応する安全機構が診断されていない場合、安全機構が故障してもシステムの性能には通常影響はありませんが、この場合、ドライバーは安全機構の故障を認識することができません。安全目標に違反するものでもなく、二重障害点と認識されるものでもありません。
(6) 潜在二重点故障
潜在的な二重点故障とは、二重点故障のうちドライバーによって検出または認識されなかった故障を指します。
前述したように、安全機構の診断対象となる故障部分も検出可能な二重点故障であり、診断対象外の故障部分は潜在的な二重点故障である。
潜在二点故障は、潜在故障指標 LFM の調査対象であり、安全機構検出の診断範囲を向上させることで、検出可能な二点故障故障率が増加し、潜在二点故障故障率が低下し、潜在故障率が向上します。障害インデックス LFM です。
潜在的な二重点障害は、ランダムなハードウェア障害確率尺度 PMHF にも寄与しており、これと対応する二重点障害が同時に発生すると、システムは安全目標に違反します。これら 2 つの障害の同時発生の確率は、必要となります。 PMHF で計算されます。2 点故障は互いに独立しているため、2 つの故障が同時に発生する確率は、2 つの故障が独立して発生する確率の積に等しいため、PMHF に対する潜在的な 2 点故障の寄与は通常、次のようになります。残留故障よりも少ない。潜在的な二重点障害を減らすと、ランダムなハードウェア障害メトリック PMHF の確率もわずかに減少します。
(7) 瞬間故障と永久故障
一時的故障とは、外部からの干渉によりRAMのデータの1ビットが0から1に変化し、その後再度RAMデータを書き込むと結果が正常になるなど、発生後に消滅する故障のことを指します。障害は一時的な障害です。一時的な障害は通常、遅くとも次の電源投入時の初期化までに正しい状態に戻ります。
永続的な障害が発生すると、それは消えずに回復することはありません。たとえば、RAM データのデータ ビットが故障した場合、それは常に 1 であり、0 を書き込むことはできません。永続的な障害が発生した後、RAM データの読み書きは修復できません。せいです。
考慮する必要がある一時的な障害は、通常、集積回路 (IC) とメモリ セルです。一時的な障害は、PMHF だけでなく SPFM と LFM の両方にも影響します。通常、過渡故障は遅くとも次の電源投入時の初期化で回復し、その最長存在時間は 1 運転サイクルであるため、PMHF による 2 点故障の計算では、過渡故障の影響は一般に無視できます。
2. 故障率FIT値と診断範囲の決定
ハードウェア メトリックを計算するには、各コンポーネントの故障率 FIT (Failures in Time) 値と、対応する安全機構の診断カバレッジ値が必要です。このセクションでは、これらの値のソースについて説明し、推奨します。
(1) 故障率の要因 FIT 値
機能安全規格には、業界で認められた故障率規格、統計データ、専門家の評価という 3 つの故障率 FIT 値の情報源があります。
故障率FIT値の単位は10~9時間ごとの故障 機能安全規格にはFIT値の信頼性に関する要件がある 統計データからFIT値を求める場合、取得するには大量の統計データが必要より正確な結果が得られます。統計データの量が少ない場合、統計結果の信頼性を高めるためには、比較的保守的または比較的大きな FIT 値を取得する必要があり、これが後続のハードウェア インデックスの計算結果に影響を与えます。市場に投入される製品の生産量が比較的大きい場合には、販売後の故障の統計を通じて比較的正確なFIT値を得ることができますが、この場合には、販売後の返品の監視と管理、および販売後の分析を適切に行う必要があります。 -販売失敗 新規開発で使用される新しいコンポーネントには適用されません。したがって、統計データからFIT値を求める方法は一般的には使用されません。
専門家による評価方法も、根拠となる一定の試験データが必要であり、評価方法にも要件があるが、このようなFIT値を求める方法は通常は使用されない。
自動車業界における機能安全ハードウェア指標の計算の現在の慣行では、FIT 値のソースは通常、業界で認められた故障率標準であり、その中で最も一般的に使用される 2 つは、IEC/TR 62380 と SN29500、FIT 値です。これら 2 つの基準によって得られる信頼度は 99% に達することがあります。これら 2 つの規格は、コンポーネントの永続的な故障を計算するために使用されます。一時的な故障については、標準 JESD89A を参照できます。一時的な故障に関するデータは、サプライヤーから入手することをお勧めします。
(2) FIT数値計算に必要なパラメータ
ハードウェア部品は、抵抗、コンデンサ、インダクタ、ICなどに分類され、それぞれが異なる種類に分類されており、例えばSN29500規格では、抵抗はカーボン皮膜、ネットワーク(皮膜回路)、金属皮膜、金属酸化物、巻線、バリアブルなどのタイプ。規格を通じて FIT 値を計算する場合、まずコンポーネントの特定のタイプを決定する必要があります。一部のタイプでは、ゲート回路の数などの特定のコンポーネントパラメータを知る必要もあり、通常はサプライヤーが関連パラメータを提供する必要があります。
同じコンポーネントの故障確率は、使用条件や環境が異なると異なります。IEC/TR62380 および SN29500 に従って各コンポーネントの故障率の FIT 値を計算する場合は、関連する環境パラメータと条件パラメータを決定する必要があります。実際の使用状況に合わせたFIT値。
図 1 REANA ソフトウェアにおける IEC61709 および SN29500 の故障率の計算式
チップ
REANA は、モデルベースの機能安全および将来の機能安全分析ツールです。ISO 26262 機能安全および ISO 21448 期待機能安全のすべての開発活動をサポートします。FUSA、SOTIF、FTA、FMEA/FMEDA、およびHAZOP/HARA、PMHF、SPF/LF、その他の指数計算機能を含むその他のツール、プリセットISO 21448、ISO 26262、SAE J2980、IEC 61882、IEC 61709、IEC 62380、SNを含む29500 およびその他の標準データベースは、セキュリティ要件とシステム アーキテクチャの関連付け、およびセキュリティ分析の自動化をサポートします。
故障率の FIT 値を計算する場合、さまざまなタイプのコンポーネントのパラメータは異なります。また、異なる規格 (IEC/TR 62380 および SN29500) で使用される同じタイプのコンポーネントのパラメータも異なります。実際の適用プロセスでは、デバイスの種類と選択基準に応じて必要な関連パラメータを決定し、FIT 値を計算する必要があります。
その中でも温度パラメータは故障率に比較的大きな影響を及ぼし、どちらの規格にも温度関連のパラメータが存在します。IEC/TR62380 では、温度がミッション プロファイルとして使用され、ミッション プロファイルでは、さまざまな温度が占める時間やシステムのオンとオフの回数などのパラメータを定義する必要があります。SN29500 では、温度は平均温度として使用されます。温度パラメータを決定する際には、コンポーネントが配置されている環境の温度を決定し、作業プロセス中のコンポーネントの温度上昇も決定する必要があります。
周囲温度は、IEC/TR 62380 に規定されている自動車分野の 2 つのミッション プロファイル (モーター制御と客室) を参照することも、テスト データに従って選択することもできます。コンポーネントの温度上昇は、コンポーネントの実際の電力とコンポーネントの温度係数に従って計算する必要があります。
(3) 故障モードの原因
ハードウェア指標の計算は、各コンポーネントの故障モードに応じて分析する必要があるため、コンポーネントの全体的な故障率を取得した後、故障モードの割合に応じて各故障モードの故障率 FIT 値を決定する必要があります。 。
また、機能安全規格には故障モードとその割合の 3 つのソースがあり、これらは FIT 値のソースと同じ、業界で認められた故障率標準、統計データ、専門家の評価です。
同様の理由から、機能安全ハードウェア指標を計算する現在の慣行では、故障モードと割合のソースは業界で一般的に認識されている標準であり、その中でより一般的に使用されているものは、IEC/TR 62380、IEC61709、および EN62601 です。機能安全規格の付録には故障モードの説明がいくつかありますので、こちらも参考にしてください。
図 2 REANA ソフトウェアに統合された障害モード ライブラリ
(4) 診断範囲の情報源
残留故障および潜在二重点故障の故障率 FIT 値を決定する場合、対応する安全機構の診断範囲を取得する必要があります。
診断範囲の情報源は通常、機能安全規格の第 5 部の付録 D であり、低、中、高の 3 レベルの診断範囲が推奨されており、それぞれ 60%、90%、99% の範囲率となります。標準には、さまざまなセキュリティ メカニズムに対応する診断範囲に関する推奨事項があります。
この付録 D の診断カバレッジは推奨値であり、実際には 99% を超えるように調整するなど、実際の状況に応じてカバレッジを調整することができますが、この場合には調整についての合理的な説明が必要です。現在、標準の付録 D の推奨事項がそのまま採用されるのが一般的です。安全機構の診断期間が長すぎる、診断効果が低下する等の場合には、診断範囲を減らす必要があります。
3. ハードウェアメトリクス
機能安全規格のハードウェア メトリクスは 2 つの部分に分かれています: 最初の部分は、単一点障害メトリクス SPFM と潜在故障メトリクス LFM を含むハードウェア アーキテクチャ メトリクスであり、2 番目の部分は、障害につながるランダムなハードウェア障害の評価です。評価は 2 つの方法のいずれかで行うことができます。1 つ目の方法は一般的に使用されるランダムなハードウェア障害確率測定 PMHF であり、2 つ目の方法は安全目標に違反する可能性のある各理由の診断カバレッジです。さまざまな機能安全レベルおよびさまざまな故障率に対する FIT 値レベルの評価。方法 2 では、各障害を個別に評価する必要があり、システム全体の評価指標はありません。
現在、方法 1、つまり PMHF は、セキュリティ目標の違反につながるランダムなハードウェア障害の 2 番目の部分の評価に一般的に使用されています。
このように、最初の部分の 2 つのメトリクス SPFM と LFM に加えて、これら 3 つのハードウェア メトリクスは通常、機能安全開発で使用されます。
また、機能安全規格では、これら 3 つの指標に対して 2 種類の目標値が定義されており、1 つは規格内の機能安全レベルに基づく推奨値であり、もう 1 つは過去のプロジェクトから計算され、プロジェクトには類似性と適用性 A がなければなりません。広く信頼されている設計ソリューション。一般的に実務で使用されている規格で推奨されている値を表1に示します。
「ISO 26262 機能安全ハードウェア指数計算演習(パート 2)」を読む Niuka.com に引き続きご注目ください。