ASIL-D(Automotive Safety Integrity Level D)は、自動車の電気・電子(E/E)システムの機能安全に関する国際規格である ISO 26262 において定義されている、最高の安全完全性レベル(リスクが最も高いシステムに適用される最厳格な基準)です。
自動運転(Level 3以上)や、シャシー(EPS、ブレーキ)、パワートレイン(e-Axle)といった「万が一失陥すると人命に関わる致命的な事故に直結するシステム」において、このASIL-Dに適合した開発とシステム構築が義務づけられています。
1. ASILレベルの決定メカニズム(なぜASIL-Dになるのか)
ASILのレベル(A〜D、および安全対策不要のQM)は、ハザード解析およびリスク評価(HARA)において、以下の3つの指標の掛け合わせによって厳密に決定されます。
-
S:重大度(Severity) ── 障害が発生した際、乗員や周囲の人にどの程度深刻な危害(怪我・死亡)が及ぶか。
-
E:暴露確率(Exposure) ── そのハザードが発生し得る運転状況(高速走行中、コーナリング中など)に、車両がどのくらいの頻度・確率で遭遇するか。
-
C:制御可能性(Controllability) ── 障害が発生した際、ドライバー(または自動運転システム)が自らの操作で事故を回避・コントロールできるか。
ASIL-Dが適用される典型的なケース(例:高速走行中のEPS全損やe-Axleの意図しない最大トルク出力)
S3: 生命を脅かす、または致命的な怪我(死亡事故)につながる
E4: 通常の運転で常に発生し得る状況(高頻度)
C3: 通常のドライバーでは制御不可能、または回避が極めて困難
この「S3 + E4 + C3」の最悪条件の組み合わせが、自動的に最上位レベルのASIL-Dに指定されます。
2. ASIL-Dシステムに求められる2大要件
ASIL-Dを達成するためには、システム設計において「偶発的故障」と「組織的(開発段階の)ミス」の双方を極限まで排除する必要があります。
① ランダムハードウェア故障(偶発的故障)への定量的なアプローチ
半導体や電子部品は、使用しているうちに宇宙線によるソフトエラーや熱劣化などで突発的に壊れる(ランダム故障)ことがあります。ASIL-Dでは、これらに対して非常に厳しい数学的ターゲット(メトリクス)が課されます。
-
SPFM(単一故障メトリクス):≥ 99%
システム内の部品が1箇所壊れた際、それをシステム自身で検知して安全な状態に移行できる割合が99%以上でなければならない。
-
LFM(潜伏故障メトリクス):≥ 90%
すぐには表面化しない潜在的な故障(バックアップ系統が実は壊れていた、など)を検知できる割合が90%以上でなければならない。
-
PMHF(ハードウェア有効無効確率):< 10-8 / h(10 FIT未満)
1時間あたりのシステム致命故障確率が 100,000,000 分の1未満(10 FIT:10億時間動作させて故障が10回以下)であること。
② 組織的故障(開発プロセスのミス)の排除
設計ミスやソフトウェアのバグ、検証漏れといった「プロセス由来の不具合」を排除するため、開発手法そのものに最厳格なルールが適用されます。
-
ソースコードの静的解析(MISRA-C準拠など)の義務化。
-
要求仕様から設計、コード、テストまでが1対1で結びついていることを証明するトレーサビリティの徹底。
-
独立した第三者(安全監査機関など)による厳格なプロセス監査とアセスメント。
3. ハードウェアにおけるASIL-Dの実装アーキテクチャ
ランダムハードウェア故障を瞬時に検知・補償するため、ASIL-D対応の半導体(MCU/SoC)やシステムには独特のアーキテクチャが採用されます。
| 対策技術 | 仕組み | ASIL-Dにおける役割 |
|
デュアルコア・ロックステップ (Lockstep MCU) |
2つのCPUコアに全く同じ計算を1クロック遅れで実行させ、出力をコンパレータ(比較器)で常時監視する。 | コア内部での1ビットの計算エラーや反転(ソフトエラー)を100%瞬時に検知し、暴走を防ぐ。 |
| メモリ保護(ECC) | RAMやFlashメモリの全データにエラー訂正コード(ECC)を付加する。 | メモリデータの化けを検知し、1ビットエラーなら自動修復、2ビットエラーなら即座に検知して安全システムに通知する。 |
| 安全監視IC(SBC)の外部配置 | 制御メインマイコン(MCU)の外部に、独立した電源監視・ウォッチドッグタイマー機能を持つSystem Basis Chip(SBC)を置く。 | メインマイコン自体が完全にフリーズした場合でも、外部からそれを検知してシステム全体を強制的に安全状態(リセットや遮断)に移行させる。 |
|
Fail-Operational冗長 (先述のEPSやe-Axle) |
電源、マイコン、インバータ、センサをすべて2系統(系統A / 系統B)備える。 | 片系統が死んでもシステム全体としては機能を止めず、最低限の操縦性(MRM:ミニマム・リスク・マニューバ)を継続する。 |
4. ASIL-Dシステム開発の現在
かつて(Level 2までの時代)のASIL-Dは、故障を検知したら即座にシステムを遮断(シャットダウン)する「Fail-Safe(フェイルセーフ)」で事足りました。
しかし、自動運転(Level 3以上)や、現在のSDV(Software Defined Vehicle:ソフトウェア定義車両)、集中型のE/Eアーキテクチャ(ゾーンECU/中央ECU)への移行に伴い、ASIL-Dは「壊れても動き続ける(Fail-Operational)」システムへの進化を遂げています。
1つの巨大なSoC(システムオンチップ)の中で、自動運転のAIを動かす「QM(安全ターゲットなし)の領域」と、車両の挙動を最終制御する「ASIL-Dの領域」を仮想化技術(ハイパーバイザ)によって完全に論理隔離し、コストと安全性を両立させるミドルウェア技術などが最先端のトレンドとなっています。
出典:Google Gemini (Gemini は AI であり、間違えることがあります。)
PR:Micsig 3rd Generation Optical Isolated Probe ~20kV
https://www.micsig.com/list/546
PR:
|
|
SMM3000Xシリーズ 高精度ソースメジャーユニット・表示桁数:6½桁(2,100,000カウント) ・SMM3311X(1ch) / SMM3312X(2ch) ・価格:90万円~ |
|
・USB VNA |
・Coming soon |
 |
SDS8000Aシリーズ オシロスコープ 特長と利点 ・Coming soon |
 |
SSG6M80Aシリーズ ・Coming soon
|
 |
 |
 |
SSA6000A Series Signal Analyzer Main Features ・Coming soon
|
 |
SNA6000A Series Vector Network Analyzer Key Features
|
お礼、
T&Mコーポレーションは設立5年ですが、おかげさまで業績を着実に伸ばしており、
オフィスを港区芝(最寄り駅浜松町)に移転し、スペースも拡大いたしました。
電子計測器業界の「ゲームチェンジャー」として、高性能/高信頼/低価格/短納期を武器に
T&Mコーポレーションはお客様のご予算を最大限生かす製品群をご提案させていただいております。
T&M
即納ストア