バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

2018 Mar. vol.109

ASIL対応IPを使用してISO 26262認証を達成する方法

FMEDA(故障モード影響診断解析)

FMEDA(故障モード影響診断解析)では、機能安全の観点からISO 26262遵守に関するすべての情報を記載したレポートを開発チームが作成します。 FMEDAレポートは、設計エンジニアと検証エンジニアによる協調レビューが必要です。十分な研修を受けた安全管理者が開発プロセス、マイルストーン、 製品レビューをモニターし、SoC開発フロー全体で文書化とトレーサビリティの要件が規格の定義どおりに行われていることを確認します。 これらのタスクは、SoCを構成するすべてのブロックの開発プロセス全体に適用されます。

FMEDAの評価は、ASILの要件を満たしている必要があります。ASIL分類は規格適合性の根拠となるだけでなく、どのASIL分類に適合したデザインにすべきかという設計目標の定義、開発フローの最後でのASIL分類評価にも使います。 ISO 26262規格では4段階のASIL(A、B、C、D)を定義しています。最も安全性要求の低いのがASIL Aで、最も安全製要求の高いのがASIL Dです。では、セーフティ・クリティカルな製品の開発フローを実際の例で見てみましょう。

開発フローの例

図1は、IPまたはSoCの標準的な開発フローを示したものです。 コア・アーキテクチャからコア仕様、RTLデザイン、インプリメンテーションへと進んだ後に検証を行い、最後にプロトタイプでハードウェアとソフトウェアのバリデーションを実行します。

画像

図1:市販製品の開発フローにおけるハードウェア設計および検証フロー

ISO 26262に準拠した開発は、図2に示すように開発の最初の段階(すなわちコア・アーキテクチャおよびコア仕様の定義段階)から適用します。 こうすることで、ISO 26262で定義された機能安全の要件を満たしたSoCまたはIPの開発が可能になります。

画像

図2:ISO 26262の機能安全の要求を満たしたSoCまたはIPを設計するために、ISO 26262に準拠した開発手法をフローに適用

アーキテクトおよび設計者は、ターゲットとなるADASアプリケーションに応じて安全計画を定義します。安全計画とは、安全活動の実施を管理および誘導するためのものです(図3)。 安全管理者は、各種の最終アプリケーションに対して必要と指定した機能安全レベルを達成するために開発チームが実施している安全計画とストラテジに対するレビューを行います。 安全計画は、開発フローが安全目標を達成していること、安全計画で指定した異なる機能安全レベルが実装されていること、および想定される製品故障の影響およびその故障への対応を機能安全の観点から計測していることを検証するために使用します。

ここまでのプロセス全体を文書化したものを作業成果物としてまとめます。この中には、重要なマイルストーン、リソース、それぞれの機能安全レベルを満たすために必要な異なる実装プロセスなどが含まれます。

画像

図3:アーキテクトと設計者が、安全活動の実施を管理および誘導するための安全計画を定義

FMEDAは安全フローの中で特に重要な工程であり、ここでターゲット・アプリケーションに適用すべきASILレベルを定義します。このレポートには、さまざまな工程と解析に関する詳細な内容が含まれます(図4)。 たとえば、FMEDAでは永久障害と過渡障害の両方について、その影響を評価できるように故障注入解析を実施する必要があります。 FMEDAレポートはさまざまな故障モードおよび分布モードのすべてに着目し、故障が発生した場合の製品の挙動、およびこれらの故障を特定してシステムに報告するためにどのような診断機能を製品が実装しているかを理解するために使用します。

画像

図4: さまざまな工程と解析に関する詳細な内容を含んだFMEDAレポートにより、ターゲット・アプリケーションのASILレベルを定義

ISO 26262規格には、想定される故障モードの影響を軽減する安全機能の実装方法についてのガイドラインが示されています。この規格は、SoCアーキテクチャの種類ごとに想定される故障に着目して安全機能を定義しています。 これらの故障評価解析は、SoCに統合されるIPにも適用されます。ISO 26262規格で推奨されている各種の影響軽減手法とその効果を表1に示します。

カテゴリートップ