ASIL定義
自動車安全完全性レベル(ASIL)は、道路車両の機能安全に関するISO 26262規格で定義されたリスク分類システムである。 この規格では、機能安全を「電気・電子システムの誤動作による危険に起因する不当なリスクが存在しない状態」と定義しています。ASILは、自動車部品がISO 26262に準拠するために、危害の発生確率と許容可能性に基づいて安全要件を確立します。
一般的に、ISO 26262で規定されるASIL(自動車安全度水準)には4つのレベル(A、B、C、D)があり、ASIL-Aが自動車の危険度において最も低いレベル、ASIL-Dが最も高いレベルを表します。
電気自動車のパワートレインにおいて、最も高い安全重要度が割り当てられるのは電動モーター駆動システムとバッテリー管理システムである。パワートレインに加え、エアバッグ、アンチロックブレーキ、パワーステアリングはそれぞれASIL-D等級(安全保証に適用される最高レベルの厳格性)を必要とする。これらは故障時のリスクが最も高いためである。安全性のスペクトルの反対側では、リアランプなどの部品はASIL-A等級のみで十分である。 ヘッドライトやブレーキランプは一般的にASIL-B、クルーズコントロールは通常ASIL-Cに分類される。
各パワートレインECUのASILをどのように決定しますか?
ASILは、ハザード分析とリスク評価を実施することで決定される。車両内の各電子部品について、技術者は以下の3つの主要なパラメータを評価する:
- 深刻度(運転者および同乗者に対する潜在的な傷害の種類);
- 暴露(車両が危険にさらされる頻度);
- 制御可能性(運転者が負傷を防ぐためにどれほどできるか)。
これらの変数はそれぞれサブクラスに分類される。深刻度は「負傷なし」(S0)から「生命を脅かす/致命的な負傷」(S3)までの4段階である。暴露度は「極めて起こりえない」(E0)から「発生確率が高い」(E4)までの5段階である。 制御可能性は4段階に分類され、「一般的に制御可能」(C0)から「制御不能」(C3)までを範囲とする。
すべての変数とサブ分類を分析・統合し、必要なASILを決定する。例えば、最も高い危険度(S3 + E4 + C3)の組み合わせは、ASIL-D分類となる。
ASILは一意に決定できるか?
ASILの決定は、エンジニアの解釈に大きく依存する。ASILの定義は定量的ではなく定性的な場合が多く、したがって曖昧に解釈される可能性がある。
例えば、ある構成要素が「制御不能」(C3)と特徴付けられ、故障時に「生命を脅かす/致命的な傷害」(S3)を引き起こす可能性がある場合でも、車両が当該状況に陥る確率が低い(E1)ならば、ASIL-A(低リスク)に分類される可能性がある。
ASILはどのように変化しているのか?
ISO26262の推測作業を排除するため、SAEはJ2980「ISO 26262 ASIL危険度分類に関する考察」を発行し、最新版J2980_201804を改訂した。 このSAE推奨実務文書は、自動車用運動制御電気電子(E/E)システムのASILを決定するための手法と結果例を提示する。J2980は運動制御システムに焦点を当てている。なぜなら、それらが引き起こし得る危険は、非運動制御システムが引き起こし得る危険と比較して、一般的に高いASIL評価を受けるためである。
Typhoon ASIL要件の達成にどのように貢献しますか?
Typhoon 駆動系向け超高精度ハードウェア・イン・ザ・ループ(HIL)ソリューションは、パワートレインコントローラーのテスト設計、テスト実行、テスト自動化に最適な環境を提供します。
当社では、ASIL関連テストのセットで構成されるテストパッケージも提供しており、テスト定義、テスト展開、および目標ASILの達成を加速できます。さらに、故障モード影響診断分析(FMEDA)、安全マニュアル、認証報告書に関する支援とガイダンスを提供し、安全評価の迅速化を支援します。
Typhoon を活用することで、パワートレインECUの機能安全要件達成プロセス全体が加速されます。要件定義からテスト設計、テスト実施、ソフトウェア統合、検証、妥当性確認、構成管理に至るまでの全工程が対象です。
クレジット
免責事項 | 本文の一部はSynopsysブログ(こちら)で公開されたものを許可を得て転載しています。
テキスト | フロリアン・ローデ、イヴァン・セラノビッチ
ビジュアル | カール・ミッケイ
編集者 | デボラ・サント、セルジオ・コスタ
