デザインツール

Suggested Search

    アプリケーション

    機能安全におけるリスク管理

    バーバラ・コルブ | 2023年9月

    R = リスク管理 – マイクロンSAFERメモリ

    機能安全要件はこれまで自動車のティア1やOEMが対応してきましたが、現在そして未来の自動車に関連するシステムレベルの複雑性とエレクトロニクスの増加に伴い、機能安全は半導体サプライヤーにとって確実にますます大きな焦点になっています。マイクロンは、JEDEC準拠かつ車載用途認定済みの車載製品ポートフォリオの製品を通じて、マイクロンの指定するSAFER方式に従った機能安全支援に対する自動車業界のニーズに対応しています。SAFERの枠組みに基づいて設計されたマイクロンのLPDDR5メモリは、業界で最も複雑な先進運転支援システム(ADAS)向けに設計されたソリューションであり、本番使用の準備は整っています。

    コンポーネントおよびシステムレベルにおけるリスク管理

    現在増加傾向の自動車におけるADASの導入は、機能安全の重要性を強調しています。OEMやティア1がより多くの半導体を搭載したセーフティクリティカルなECUを開発する中、最新の自動車に搭載されるADASのパフォーマンス要件が大幅に向上したことで、半導体の機能安全の重要性が高まっています。車内のインフォテインメント機能がADASと絡み合うにつれて機能安全の重要性が高まり、結果システムレベルの機能安全にも影響を及ぼしています。システムレベルにおいて、半導体メモリやストレージデバイスはISO 26262のような厳しい安全要件を満たす必要があります。

    ISO 26262は、機能安全を「電気/電子システムの故障によって生じる危険による不合理なリスクが存在しないこと」と定義しています。さらにこの規格では、故障は決定論的原因故障とランダム故障の2種類に分類されるとしています。機能安全の2つの重要な要素である決定論的原因故障カバレッジとランダム故障カバレッジは、断続的でランダムなエラーが発生した際に警告サインを出すといったように、設計および意図した通りのデバイスの動作を支援することに重点を置いています。ランダムなエラーに警告サインを出すことで、システム全体がこれらのエラーを分析し、適切に対応することができます。

    決定論的原因故障に対するリスク軽減は、半導体の開発プロセスにおいて、追加の対策を実施することによって実施されます。

    • 教育的対策(ISO 26262に関するスタッフのトレーニングなど)
    • 組織的対策(専門の安全管理室の設置と外部または内部の安全認証取得など)
    • 情報提供(追加文書やレビュー要件の提供など)

    ASIL(自動車用安全度水準)が上がるごとに、製品開発プロセスにおいてより多くの段階が必要となります。ASIL Dは、機能安全に関する最も厳しい認証レベルであり、そのため製品開発プロセスに追加される段階は最も多くなります。

    ISO 26262準拠によるリスク軽減

    完全にISO 26262、ASIL-D認証されたコンポーネントは、インテグレーターにとって最も厳しい安全レベルを提供しますが、決定論的原因故障に対するリスクレベル軽減に取り組むために、ISO 26262規格では代わりとなる3つの一般的なアプローチをまとめています。

    • 品質管理ハードウェア(QM HW)エレメントの評価(ハードウェア評価)
    • 使用実績のあるQM HWエレメント
    • ASILデコンポジション

    ISO 26262規格では、クラスIIIのハードウェアエレメントについて、ISO 26262-8:2018の13.4.4.1項に従って、ハードウェアエレメントの次のバージョンがISO 26262に準拠して開発されることが計画されているため、ハードウェア評価方式は移行期間のみで使用することができます。この同じクラスⅢデバイスを採用する未来の設計に対し、デバイスは正式なコンプライアンス認証プロセスを経るべきです。ISO 26262規格準拠が認証された既存部品が市場で購入可能な場合、ハードウェア評価アプローチを採用するのではなくこのデバイスを設計に使用すべきです。この選択はリスクを管理し、統合の複雑性を軽減し、最終的に全体的なコストを削減します。

    LPDDR DRAMは、ISO 26262-8の13.4.1.1項に従って、クラスIIIのHWエレメントに分類されるべきです。

    分類基準表 分類基準表

    機能安全コンサルタント会社exidaによるハードウェアエレメントの分類基準1

    使用実績により証明済みの品質管理(QM)ハードウェアエレメントのアプローチは、返品材料のプロファイル評価に依存しており、返品保証(RMA)の低い数を基準にしてます。このアプローチでは、安全アプリケーションにおける使用を正当化することができ、現場で約500万個のコンポーネントが必要となります。

    またこのアプローチでは、ASIL-D認証を取得するまでに4~6年かかることもあります。サプライチェーンの遅延の可能性、出荷量、稼働時間を考慮すると、使用実績により証明済みのアプローチは安全保証のレベルが低く、本質的にハイリスクであり、持続可能なアプローチとして推奨されません。

    ASILデコンポジションはISO26262-9:2018の5項に記載されています。ASILデコンポジションとは簡単に言うと、システムの一部に必要なASILを減らすためにシステムに冗長性を追加する、構造化された方法です。ハードウェア評価とは異なり、ASILデコンポジションは後続世代の製品に使用できますが、冗長性によりシステムのトータルコストや部品数が大幅に増加する恐れがあります。さらに、ASILデコンポジションは回避よりも異常検出に重点を置いているため、システム全体の可用性に大きな影響を与える可能性があります。

    まとめ

    目標とするASIL KPIを達成するための選択肢がある一方で、最もリスクが低く、市場投入までの時間が短いアプローチは、マイクロンのLPDDR5 ASIL-D準拠メモリのようなASIL-D認定/準拠のコンポーネントを採用することです。

    業界初のJEDEC準拠ISO 26262、ASIL-D認証/準拠メモリの詳細については、こちらをご覧ください(本番での使用が可能です)。その他の詳細については、Micron.comの機能安全ページで、セーフティクリティカルな自動車システムにおけるDRAM自動車のメガトレンドなどに関するコラムをご覧頂けます。

    マイクロン自動車用メモリのSAFERブログシリーズ

    このシリーズでは、画期的な車載用メモリソリューションおよびサポートを検討する際のインサイトや指針をお届けします。「SAFER」は5つの重要なコンセプトの頭文字を組み合わせたものです。「S」業界で現在最も安全な(Safest)ソリューション、「A」自動車(Automotive)に関する考え方、「F」故障(Fault)検出、「E」エンジニアリング(Engineering)リーダーシップ、「R」リスク(Risk)管理という5つの鍵となるコンセプトを組み込んだものです。SAFERの各頭文字に対応する内容のブログをご用意しています。その他のブログについては、マイクロンの機能安全ページをご覧ください。機能安全への第一歩 | Micron Technology, Inc.

    1. exidaは、自動化システムの安全およびその他の安全専門分野に特化した製品認証およびナレッジサービスの会社です。

    Sr. DRAM Product Line Operations Manager

    Barbara Kolbl

    Barbara Kolbl, senior product line operations manager, is fascinated with the changes memory is driving in the automotive industry. Her previous role in marketing communication for the automotive market segment along with her current role in LPDRAM operations allows her a front row seat to the changes happening in this dynamic market.