( IEC 61508 )
ステップ 2 の電子系の安全策 が、機能安全の対象です。
4. 機能安全開発のセーフティ設計概要
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
安全目標(Safety Goal)とは
• 安全上守らなければならない機能要件
– 安全状態(Safety State)
– 安全時間(Safety Time)
例)電動パワステ(EPS)
安全目標
Safety Mechanism Main Function
例)意図しないセルフステア(電子制御システムが 勝手にハンドルを切る)が100ms以上発生しないこと
EPSの基本機能 部品が故障しても、安全目標を達成できるための対策 FTTI
ISO26262-1
安全分析にて考慮すべき故障のパターン
• 系統的原因故障(バグ) と ランダム HW 故障
• 単一故障 と 多重故障
– IEC 61508 では、単一故障のみ考慮
– ISO 26262 (自動車)では、2重故障まで考慮必要 – BS EN 50129 (鉄道)では、3重故障まで考慮必要
• 恒久故障 と 一時故障
– 一時故障の例)ノイズによるメモリ化け
• 従属故障
– ある故障が原因で、その影響を受け、別の箇所が故障する
• 共通原因故障
– 1つの原因により、複数箇所への同時故障が生じること – 例1)電源異常により、2マイコン共誤動作
– 例2)ノイズの影響(環境)により、 2マイコン共誤動作
– 例3)安全系のある変数が化け、各出力系全てが誤動作
– 例4)同一設計のソフトのため、同じ箇所にバグが存在
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
潜在故障
• 安全策( Safety Mechanism ; SM )の潜在故障
安全機能
(これが故障すると 危険に直結)
安全策1
(安全機能が故障し ていないことを監視)
②異常を検出
⇒ フェールセーフ処理
①故障
安全機能
(これが故障すると 危険に直結)
安全策1
(安全機能が故障し ていないことを監視)
①先に故障
②後に故障
⇒ 危険 a) 安全なケース
b) 危険なケース
対策例
安全機能
(これが故障すると 危険に直結)
安全策1
(安全機能と安全策 2が故障していない
ことを監視)
安全策2
(安全策1が故障して
いないことを監視)
安全性能達成のための安全アーキテクチャの例
“Design Patterns for Safety-Critical Embedded
Systems” by Ashraf Armoush より
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
安全分析が必要な工程
システム
安全要求仕様工程
システム
アーキテクチャ設計工程 安全コンセプト
ソフトウェア 安全要求仕様工程
ソフトウェア
アーキテクチャ設計工程
ソフトウェア モジュール設計工程
コーディング工程
ソフトウェア モジュールテスト工程
ソフトウェア 統合テスト工程
ソフトウェア 安全妥当性確認工程
システム 統合テスト工程
システム
安全妥当性確認工程
(HAZOP or FMEA)and/or FTA
ハードウェア 安全要求仕様工程
回路設計
基板製作
HAZOP or FMEA
FMEDA
目的:故障が生じても危険にならないことの確認
故障挿入試験( FIT : Fault Injection Test )
システム
安全要求仕様工程
システム
アーキテクチャ設計工程 安全コンセプト
ソフトウェア 安全要求仕様工程
ソフトウェア
アーキテクチャ設計工程
ソフトウェア モジュール設計工程
コーディング工程
ソフトウェア モジュールテスト工程
ソフトウェア 統合テスト工程
ソフトウェア 安全妥当性確認工程
システム 統合テスト工程
システム
安全妥当性確認工程
ハードウェア 安全要求仕様工程
回路設計
基板製作
FIT
(
ISO26262)
FIT(
ISO26262)
FIT
(
IEC61508, ISO26262)
安全分析結果
目的:故障が生じても危険にならないことの確認(実物に対して)
※黄色の工程は、ISO 26262において 安全分析を行う必要のある工程です。
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー