印刷・ダウンロードが必要な方は賛助会員専用へ。

JARI Research Journal
20150802
【研究活動紹介】
ISO 26262 共同研究総括
Summary of JARI ISO 26262 Joint Research Activity
長谷川
信
*1
Makoto HASEGAWA
1. はじめに
社の規格解釈の違いに起因する規格準拠のため
自動車の電気/電子(E/E)システムにおける機
の論証が複雑化,多様化する可能性がある.
能安全について規定した国際規格ISO 26262が,
これら各社共通の課題を解消するため,OEM,
2011年11月に発行された.自動車の機能安全とは,
サプライヤ,その他関連団体が一同に会し
搭載されたE/Eシステムに故障が発生しても,フ
ISO 26262 運営委員会を設置し,ISO 26262 の
ェールセーフなどの安全機構を設けることにより,
共通的な理解を得るための共同研究を実施するこ
ドライバや乗員,他の交通参加者等への危害を及
ととなった.
ぼすリスクを,許容可能なレベルまで低減する考
え方であり,車両総重量が3,500 kgまでの量産乗
2. 2 ISO 26262 運営委員会概要
ISO 26262運営委員会は共同研究事業を運営す
用車に適用される.
一般財団法人日本自動車研究所(JARI)では,自
るために,2011年2月に設置された.本委員会は
動車業界各社がISO 26262を適用し,運用する際
OEM9社,サプライヤ19社が参画し,一般社団法
の課題を検討することを目的に,2011年にISO
人日本自動車工業会(JAMA),公益社団法人自動
26262運営委員会を設置し,自動車業界各社と共
車技術会(JSAE),一般社団法人JASPAR等の関連
同研究活動を進めてきた.活動開始から4年が経
各団体の協力を得て構成され,個別の共同研究活
過し,設置当初の目的がほぼ達成されたため,そ
動がその傘下の各ワーキンググループ(WG)を中
の成果について紹介する.
心に進められた.Fig. 1にその構成図を示す.
2. ISO 26262 共同研究実施の背景
2. 1 自動車業界共通の課題認識
ISO 26262 は自動車の電気/電子(E/E)システ
ムに関し,機能安全適用時の要求事項について規
定した国際規格であるが,規格の策定段階からそ
Fig. 1 JARI ISO 26262運営委員会構成図
の運用方法について以下のような課題が認識され
3. 共同研究の各WGおよび研究内容
ていた.
1) 規格の内容が幅広く解釈できるため,要求事項
が明確でない場合があり,規格に準拠している
共同研究の各WG,およびその研究内容は以下
の通りである.
かどうかを判断することが容易でない.また,
規格に対する解釈に違いがあると,安全を十分
3. 1
解説書WG
解説書WGにおいては,前述したように規格の
に担保出来ない可能性がある.
2) 自動車メーカ(OEM)と部品メーカ(サプライ
内容が幅広く解釈できることから,規格運用場面
ヤ)双方に関連する要求が規定されているが,各
での混乱と業務の非効率化を最小化することを目
*1 一般財団法人日本自動車研究所 ITS研究部
JARI Research Journal
- 1 -
(2015.8)
的に,規格の要求の中で共通理解が難しいものに
規格には,規格への準拠状況を評価する手法
ついて議論を行い,その理解に有用と思われる補
として機能安全アセスメント,機能安全監査,
足説明を記した解説書の作成を実施した.Fig. 2
確証レビューの3つの確証方策が定義されてい
にその作成方針を示す.
るが,活動内容および実施対象が明確には記述
されていない.そのため,上記の共通的な解釈
活動方針
の検討が実施された.Fig. 4にその結果の概要を
◆解説書作成の進め方
示す.
・各節の「要件及び推奨(Requirements and recommendations)」を中心に、
規格要件を項目毎に議論し、補足説明を記載。
・「備考」についても、重要な観点が含まれているものについて補足説明を
記載。
確証方策の共通理解
定義
・規格原文と和訳によって、要件内容が理解できると判断したものについ
ては補足説明は記載しない。
・充分なメンバ議論を経てもなお、規格理解で意見統一ができない、規格
文の意図がわからない、などの場合には、別れた両者意見を記載。
ISO 26262 運営委員会 2013年度共同研究成果報告会
解説書WG
6
Feb. 28 2014
Fig. 2 解説書作成方針
確証方策
・エンジニア、安全管理者、アセッサなどISO 26262に係る者が各々の視
点で参考にできる解説書を目指す。
機能安全ア
セスメント
機能安全監
査
規格に準拠したプロセスの
実施を確認する
プロセス
確証レビュー
成果物の規格への準拠性
を形式的に確認する
・”公式的なイベントで”厳格
に確認するという解釈。
作業成果物 ・検証レビューが”技術的な”
観点、確証レビューが”形式
的な”観点、という解釈。
成果物の技術的な完全性
と正確性を確認する
検証レビューの観点は確証レ
作業成果物 ビューの観点と一部重なると
考えられる。
1)
検証レビュー
成果として,ISO 26262規格のPart 2,Part 3,
ISO 26262 運営委員会 共同研究WG アセスメントWG
Part 4,Part 5を対象とした「ISO 26262 解説書」
安全方策の適切性の評価と
は、設計の正しさを上から下
へ確認すること。
安全方策の有効性の評価と
は、安全目標の達成を下から
上へ確認すること。
10
March 11 2015
Fig. 4 確証方策の定義と対象
を作成し,2013年に発行した(Fig. 3).本解説書
は頒布中であり,入手方法については JARI ウェ
備考
対象
アイテムの機能安全達成を
以下の実施により評価する。
1. 安全方策の適切性と有
効性の評価
アイテム
2. 成果物の規格準拠の確
認
3. 規格に準拠したプロセス
実施の確認
3)
2) アセスメント評価シートの作成
ブサイト 2)を参照されたい.
上記活動により定義と対象が明確になった機
能安全アセスメントにおいて,実際のアセスメ
ント実施時の確認事項と評価観点に対する共通
理解を導き,その内容を記載したアセスメント
評価シートの作成を実施した.Fig. 5,6にその
概要を示す.
アセスメント評価シートの作成
方針
- 機能安全アセスメント実施時に規格の準拠性を評価するための、確認項
目や評価観点をまとめる。
- 各確認事項に対するOK/NGの判定基準は設けない。
- ISO 26262解説書(共同研究解説書WG成果物)、及びJASPAR殿発行
の機能安全解説書をインプットとして参照する。
Fig. 3 ISO 26262解説書
- チェックリストの完成形を作るのではなく、各社がチェックリストを作成す
るためのベースとして使用できる資料を目指す。
3. 2
アセスメントWG
スコープ
アセスメントWGにおいては,機能安全アセス
- 規格書Part2,3,4,5,6,8に対して、それぞれアセスメント評価シート
を作成する。
メントを中心に,規格への準拠状況を評価する確
証方策に対する共通理解を得るべく,以下の検討
を実施した.
ISO 26262 運営委員会 共同研究WG アセスメントWG
1) 確証方策の共通解釈の明確化
JARI Research Journal
Fig. 5 アセスメント評価シート概要
- 2 -
12
March 11 2015
3)
(2015.8)
Fig.8 演算部の SM と TSR
4)
成果として,演算部の異常を診断するために用
Fig. 6 アセスメント評価シート事例
いるセンサの TSR(TSR2.2)は,安全機構(SM)が
3)
正しく機能するための更新周期や精度,レイテン
JARIでは完成したアセスメント評価シートを
トフォールトメトリックを満たす必要があるとの
ベースに,JARI機能安全アセスメント実施方法を
理解が得られた.
確立し,実際のアセスメントに活用している.
3. 4
ステアリングWG
ステアリングWGにおいては,電動パワーステ
3. 3 エンジンWG
エンジン WG では,電子制御スロットルシステ
アリングシステム(EPS)を対象とし,以下の課題
ムを対象とした機能安全コンセプト(FSC),技術
を検討した.
安全コンセプト(TSC)の事例をもとに,規格解釈,
1) 安全目標を侵害するランダムハードウェア故
適用における OEM,サプライヤで協調すべき考
障率の,データベースに基づいた算出
え方を共有化することを目的に活動を実施した.
セルフステア等のEPSに関するハザードの最
TSC の事例検討では,目標スロットル開度制御
高の自動車安全度水準(ASIL)はDとなることが
量を演算する"演算部"の TSR(技術安全要求)の具
予想されるため,規格対応を行う際にランダム
体的な要求事項について検討した.Fig. 7,8 にそ
ハードウェア故障のレベルを評価する必要があ
の概要を示す.
る.規格で使用が推奨される故障率データベー
スが複数あるため,それぞれのデータベースを
比較することにより故障率算出時の課題を検討
した.具体的には,マイコン/パワーMOS FET
を事例とし,IEC/TR 62380,UTE C80-811,
SN 29500の各データベースを用い,故障率の算
出を実施した.Fig. 9にその概要を示す.
Fig.7 演算部の TSR 詳細化
JARI Research Journal
4)
- 3 -
(2015.8)
故障率算出事例
安全アーキテクチャ
結果2 安全アーキテクチャ(代替機能,冗長系に相当)
ECUを構成する主な素子の故障率算出例
素子
マイコン
パワーMOS FET
故障率λ【FIT】
詳細
120pin 14x20 QFP
TO3P
安全アーキテクチャ(IEC61508より)
XooY=X out of Y, D=Diagnostics
IEC/TR 62380
133.387
85.900
UTE C80-811
4.860
6.030
1oo2D
可
一系統に異常があれば,他の系統に切
り替える
(例:モータ1相故障時の代替制御,センサ故
障の代替制御)
2oo2
可
一系統に異常があっても両方を出力
(例:リレーの並列化)
2oo2D
可
一系統に異常があれば,他の系統のみ
で制御
(例:センサの冗長化,駆動部の冗長化)
可
2系統以上の一致で出力
(例:マルチコアマイコン)
チャンネル1
1oo2D
SN29500
20.300
2.800
説明(例)
フェールオペ
レーション
診断
診断
チャンネル2
チャンネル1
2oo2
算出条件:IEC/TR 62380 5.8.3 Automotive のミッションプロファイルを参照し,
他のデータベースも条件を合わせた.
走行時の温度上昇(ΔT)は,マイコン:25℃,パワーMOS:42℃とした.
診断
チャンネル2
チャンネル1
2oo2D
診断
診断
チャンネル2
※ SN29500は2004年度版で算出
チャンネル1
2oo3
診断
チャンネル2
2oo3
チャンネル3
JARI ISO 26262 運営委員会 共同研究WG成果報告会
ステアリングWG
Feb 2013
Fig. 9 マイコン/パワーMOS FETの故障率算出事例
JARI ISO 26262 運営委員会 共同研究WG成果報告会
ステアリングWG
17
5)
February 28 2014
Fig. 10 安全アーキテクチャ例
成果として,以下の解釈が得られた.
11
6)
成果として,以下の理解が得られた.
・選択する故障率データベースによって,故障
・IEC 61508で示されている1oo2D以上の安全
率算出結果は異なるため,各データベースの
アーキテクチャ(冗長構成)をEPS上で構成す
特徴を把握して使用すべきである.
ることができ,故障発生後に制御が継続でき
・故障率の算出結果はデータベースの違いだけ
るフェールオペレーショナルを実現できる
では無く,算出条件(温度等)の違いによって
可能性を見出した.
も異なるため,比較する場合は算出条件を合
・フェールオペレーショナルを検討する上では
わせるべきである.
縮退性能,ベース故障率,フェールオペレー
・故障率データベースによる算出値は,実際の
ショナル中の故障検出の点において考慮が
市場データと合わない部分があるため,絶対
必要である.
的な数値ではなく,相対的な数値として扱う
べきである.
3. 5
ボディWG
ボディWGにおいては,走る、曲がる、止まる
2) フェールオペレーショナルの実現方法につい
ての検討
以外のボディ系システムおよびハーネス/コネク
タを対象に,以下の課題を検討した.
EPSに故障が発生した場合,セルフステア,
1) ボディ系システムのASIL導出検討
ステアロックといった操舵困難となる現象を回
ボディ系システムにおいては,WGメンバ間で
避するため,従来はフェールセーフとしてEPS
想定されるASILの解釈に幅が見られた.そのた
のアシスト機能を停止することが一般的であっ
め,代表的なボディ系システムを対象にハザー
た.今後の大型乗用車へのEPS普及を考慮した
ドアナリシスおよびリスクアセスメント(H&R)
場合,EPSのアシスト停止による車両操縦性へ
による,ASIL導出の事例検討を行った.以下に
の影響が増大するため,車両によっては故障し
検討アイテム,およびFig. 11にH&R事例を示す.
てもアシストを維持できるEPSが求められる.
・ASIL検討アイテム
このように故障が発生してもシステムの動作を
- 乗員保護系:エアバッグ等
継続する,フェールオペレーショナルのシステ
- はさまり系:パワーウインドウ,パワー
ム構成事例を検討した.Fig. 10にその概要を示
スライドドア,パワーバックドア等
- 視界系:ヘッドライト等
す.
- 表示計:方向指示器等
JARI Research Journal
- 4 -
(2015.8)
6. まとめ
4年間に渡り実施してきた共同研究を通じ,自
パワーバックドアシステム検討サンプル紹介
No
5
Item
パワー
バックドア
Hazard
Situation
Scenario
(including
Hazardous event &
Harm)
Exposure
Controllability
動車業界各社の機能安全適用に寄与する共通理解
Severity
の促進に貢献し,当初の目的を果たすことができ
ASIL
説明
説明
説明
荷物を車両のトランクに載せ
て50km/h以上で走行中,閉
トランクに転がり出
閉じているパワー 荷物を車両のトラン じているパワーバックドアが
フロントガラスが破
そうな荷物の積み
バックドアが突然 クに載せて走行中. 突然開く方向に作動して荷
障害物等50km/h以上で
E2 方をして走行中に C2 損しても減速により S3
開く方向に作動す 対向車が反対車線 物が反対車線に落下し,対
の衝突
対向車と遭遇
回避可能
る
を走っている
向車が回避できずに路肩の
障害物と衝突し,運転者や
同乗者が傷害を負う
た.
A
本研究成果は2013年2月,2014年2月に開催さ
れた「JARI ISO 26262運営委員会 共同研究WG
成果報告会」,および2015年3月に開催された「自
動車機能安全カンファレンス2015」にて発表,公
開されている。
注)本WGで議論しているASILには強制力はなく、最終的な判断について
各社が実施することを前提としている
ISO 26262 運営委員会 共同研究WG 成果報告会
ボディ WG
Fig. 11
H&R実施事例
参考文献
1) 小島好美他:ISO 26262 規格解説書の作成,JARI ISO
12
February 28 2014
26262運営委員会
7)
2013年度共同研究WG成果報告会
予稿集(2014)
2) 一般財団法人日本自動車研究所:
2) ハーネス/コネクタの取り扱い検討
ハーネス/コネクタについては規格の対象で
あるかどうかが規格自体に明確に示されておら
http://www.jari.or.jp/tabid/308/Default.aspx(2015.7.
2)
3) 深澤竜三他:アセスメントWG活動報告~アセスメン
ト評価シートの作成~,自動車機能安全カンファレン
ず,また偶発故障(故障率算出対象)を考慮する部
品かどうかについて,WGメンバ間で解釈の幅が
見られた.そのため,偶発故障の考慮要否,お
ス2015発表資料(2015)
4) 後呂考亮他:技術安全要求の検討における考慮点,
JARI ISO 26262運営委員会
よび考慮する場合の故障率算出の検討および考
慮しない場合の磨耗故障とする検討を実施し,
成果報告会予稿集(2014)
5) 金子貴信他:DBに基づく故障率評価アプローチ,JARI
ISO 26262運営委員会
以下の理解が得られた.
・ハーネス/コネクタの取扱いについては,偶
発故障の“あり”,
“なし”および故障率算出
ISO/TC22/SC32/WG8またはSC3/WG9で議
2012年度共同研究WG成果報
告会予稿集(2013)
6) 金子貴信他:EPSにおけるフェールオペレーションの
検討事例,JARI ISO 26262運営委員会
手法も含めて,結論を出せる段階にないと判
断した.欧州でも同様に検討中であり,今後
2013年度共同研究WG
2013年度共
同研究WG成果報告会予稿集(2014)
7) 大谷正俊他:ボディ系システムのH&RによるASIL導
論される可能性があるため,動向を注視する
出事例およびハーネス、コネクタの取り扱いに関する
共同研究WG成果報告会予稿集(2014)
必要がある.
JARI Research Journal
- 5 -
(2015.8)