機能安全という自動車用語は、急速に注目されつつあります。この用語は「品質」と同じ意味で使われることがよくありますが、2つの用語は明確に異なります。また、「品質」と「機能安全」を区別することは、特にサプライヤーと話をするときや、システム全体のリスクを評価するために関連情報を収集するときに重要です。
まず、2つの用語が業界内でどのように定義されているかを見てみましょう。
品質(100万個あたりの欠陥数(DPM)が少ないこと)
- どれだけ優れているかを測定する尺度、または不具合、欠陥、大きなばらつきがない状態……品質を向上させ、欠陥の原因を取り除くこと……1
機能安全(上記の定義に検出と制御をプラスしたもの)
- 作動中に電気/電子(E/E)システムの故障によって引き起こされる危害によるリスクが存在しないこと……安全性の向上、故障の検出、故障の制御……つまり、不確実性の除去または排除2
この区別について少し考えてみましょう。上記の定義によると、品質とは、製品の欠陥ができるだけゼロに近くなることを基本に据えたうえで、製品、試験、歩留り処理を設計することです。
一方、機能安全では、決定論的故障の検出とランダム故障の検出という2つの側面に焦点を当てます。機能安全の1つめの側面である決定論的故障の検出は、製品が十分に定義されたプロセスと方法で設計されていることを保証します。つまり、デバイスを設計したときに使用した方法がよくなかったために体系的または本質的に欠陥のある故障モードが存在してしまったわけではないということです。
たとえば、DRAMのロウデコーダーの設計が不適切な場合、決定論的故障が発生する可能性があります。その結果、「体系的に」間違った設計がされていたため、間違ったメモリ位置のアドレスを指定することになります。品質の観点からは、歩留まりが落ちる結果にはならないでしょう。デバイスは設計された方法で動作するのであって、意図された方法で動作するわけではないからです。
機能安全の2つ目の側面であるランダム故障の検出では、電源が不安定だったり、システム内の電磁干渉(EMI)が大きくなったり、中性子でビット反転が引き起こされるような過酷な環境でデバイスが動作している場合に、こうした事象を確実に検出します。残念ながら、これらの事象はすべて発生しうることであり、実際に発生します。
DRAMのような半導体デバイスは、できる限りこのような動作に影響を受けないように設計されていますが、ビット反転(論理レベル1が論理レベル0に反転する、またはその逆)が発生する可能性があります。こうした状況は避けられませんが、このような事象にフラグを立て、システムがこの障害に対処する方法を正しく判断できるようにすることが重要です。システムデザイナーが決めるレスポンスの範囲は、システム動作を開始しないものから、メモリ障害が車両の制御を担当する電子制御ユニット(ECU)に関連していたために車両を機能停止させるものまで、さまざまです。
マイクロンは車載業界のリーダーとして、機能安全に対応するリーダーシップ製品の開発に投資してきました。マイクロンはASIL-D、ISO 26262準拠の認証メモリを提供する業界唯一のサプライヤーであるため、そうした製品をSAFER車載用メモリと呼んでいます。
機能安全とマイクロンの主力製品であるSAFERメモリの詳細については、マイクロンのウェブサイトで以下のリンクをご覧ください。
1. ISO 26262文書に基づいて記述。
2. 検出と制御は、サプライヤーまたはシステムインテグレーターのレベルで実施可能。
近日公開……マイクロンのSAFER車載用メモリに関するブログシリーズでは、機能安全においてメモリとストレージが果たす役割についてのインサイトをお伝えします。「SAFER」は5つの重要なコンセプトの頭文字を組み合わせたものです。つまり、「S」は業界で現在最も安全な(Safest)ソリューション、「A」は自動車(Automotive)に対するマインドセット、「F」は故障(Fault)検出、「E」は先駆的なエンジニアリング(Engineering)、「R」はリスク(Risk)管理を表しています。SAFERの各文字に対応する内容のブログを用意します。
