|
27 |
EGASアーキテクチャ (5) |
ランダムハードウエアフォールトに関するCCFになりやすいエレメントとして、電源やマイコンが挙げられます。電源はSMが構成しにくい、電源ICやマイコンは自己診断機能があるがCCFに弱い等。このようにCCFに弱いエレメントに対するSMの強化にはどのようなものがありますか?
ChatGPT:
以下では、まずCCF(Common Cause Failure)に弱いエレメント(特に電源やマイコン)に対して、どのようなSafety Mechanism(SM)の強化策が考えられるかを整理します。
1. CCFに弱いエレメントへのSM強化策
1.1 電源まわり
電源(レギュレータや電源IC)はシステム内の複数エレメントへ同一電源を供給していることが多く、故障すると全系統に影響が及ぶため、CCFリスクが高い典型的な箇所です。また、自己診断機能を組込みにくい・故障検出が難しいという問題もあります。
- 電源の物理的・論理的分割
- メイン系とモニタ系で独立したレギュレータを使用する。
- 可能であれば異なるメーカーや異なる内部構造の電源ICを採用し、多様化(Diversity)でCCFリスクを低減する。
- 電源監視IC(スーパーバイザ)の強化
- $V_{\text{core}}, V_{\text{IO}}, V_{\text{analog}} $ など複数電源を同時監視し、閾値を下回ったり異常上昇(過電圧)を検知したら速やかにリセットや出力シャットダウンを行う。
- ウォッチドッグとは別に、独立監視ICを設けることでマイコンが暴走しても監視機能が維持される。
- バックアップ電源や冗長電源の導入
- 安全上クリティカルなECUでは、非常用のバッテリやコンデンサを利用し、一時的にでも制御を継続できる仕組みを検討する(ただし車載では大容量バッテリを多重化するのは難しいため、限定的に実装される場合が多い)。
- 物理的実装面でのノイズ・熱対策
- レギュレータ周辺の放熱設計やEMI/EMC対策が不十分だと、ノイズや熱暴走が同時に全系統へ影響しやすい。
- コンデンサやインダクタを高信頼部品にして経年変化・故障率を下げる。
1.2 マイコン(MCU, MPU)まわり
マイコンも電源と同様、システム制御の要となるため、マイコン1つが故障するとメイン系+モニタ系いずれも機能不全に陥る可能性があります。自己診断機能(BIST, ECCなど)はあるものの、同じシリコンや同じアーキテクチャを使う場合にはCCFのリスクが高いです。
- 多様化(Diversity)の検討
- メイン系とモニタ系で異なるベンダーや異なるCPUコアを使う(例:ARM系+RH850系など)。
- 同一ベンダーであってもステッピングやシリコンリビジョンをずらす。
- 自己診断機能のレイヤ分け
- マイコン内のLockstep構成(2つの演算ユニットが同時に同じ命令を実行し比較)やECC付きメモリ、クロックモニタなどの機能を活用し、単一点故障を高確率で検出する。
- モニタ系(または外付けの安全IC)が定期的にメイン系マイコンの診断情報を参照し、異常を検知した際にはフェイルセーフへ遷移。
- 物理的分離によるCCF緩和
- PCB上でメイン系マイコンとモニタ系マイコンを物理的に離し、同一箇所の熱や振動、EMIを受けにくくする(多少の効果ではあるが、ゼロにはできない)。
- クロック源やリセット回路、電源回路を別々に持ち、1つの共通不具合で両方が巻き込まれないようにする。
2. まとめ
- CCFに弱いエレメント(電源・マイコン等) のSM(Safety Mechanism)強化では、
- ハードウェア多様化(異なるIC・ベンダー)
- 監視回路の充実(電源監視IC・クロック監視等)
- 物理的分離・実装上のノイズ対策・熱対策
などが効果的です。
こうしたアプローチにより、CCFリスクを定量/定性の両面で評価・低減し、ISO 26262の要求する安全目標を満たす設計・分析が可能となります。
ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。
前のブログ
Leave a Comment