自動車の機能安全は、単なるチェックリストへの対応ではなく、故障が起こり得ることを前提に設計へ織り込む一連の活動です。本稿はECU開発に携わるエンジニアを対象に、ISO 26262の要点、HARAとASILの決め方、SPFM・LFM・PMHFといったハードウェア安全指標、IEC TR 62380の故障率モデル、そしてDRAMメモリーの安全機構までを、実務で判断に使える観点で通して解説します。読み進めるだけで、「なぜ必要か」「どこで効くか」が自然につながる構成にしました。
1 ISO 26262の要点と自動車ECUでの位置づけ
ISO 26262は、自動車分野の特性に合わせて開発プロセスと検証方法を体系化した機能安全規格です。2011年の初版から2018年の第2版にかけて適用範囲が拡張され、実務での使い勝手が高まりました。法的拘束力はないものの事実上の業界標準として扱われ、安全関連ECUではOEMや第三者機関による準拠確認が一般的です。
設計では、故障を検出し、故障時の制御方針を定め、安全状態(フェールセーフ)へ移行する仕組みを、工程全体で一貫して成立させることが求められます。こうした要求を具体的なリスク水準へ落とし込む工程が、次章のHARAです。
2 HARAの進め方:S/E/CからASIL決定まで
HARA(Hazard Analysis and Risk Assessment)は、対象システム(アイテム)の危険源を洗い出し、
- 重大さ(Severity:S)
- 暴露頻度(Exposure:E)
- 回避可能性(Controllability:C)
の三要素でリスクを評価して、ASIL(Automotive Safety Integrity Level:A〜D)を割り当てる工程です。
例えば同じエアバッグ機能でも、誤展開は重大事故につながりやすいため高いASILが想定される一方、特定条件下の不作動は状況により回避可能性が高く、相対的に低いASILとなる場合があります。
評価で導くSafety Goal(安全目標)は、FSC(Functional Safety
Concept)へ展開され、ECUの具体的な設計へと反映されます。
図1 HARAの評価フローとASIL決定の全体像
3 ASILと要求レベル
ASILは一般にOEMの方針や車両アーキテクチャに依存して決まるため、同一機能でも要求水準が変わることがあります。一方で、機能・使用条件が同じであれば要求ASILは近い水準に収束する傾向があります。機能範囲が拡張されて故障時の影響範囲が広がると、必要なASILが引き上げられることもあります。例えば、エンジン制御にスロットルを統合する場合は、故障時の危険度が増すため、ASILの見直しが必要になるケースがあります。
図2 機能別のASIL例(イメージ)
4 故障率が必要となる理由:PMHF と安全設計のつながり
ISO 26262 のハードウェア安全では、ランダムハードウェア故障が Safety Goal に及ぼす影響を定量的に評価し、安全性をアーキテクチャ段階から保証することを目的としています。この評価の中核となるのがSPFM・LFM・PMHF の3つの指標です。
-
SPFM(Single Point Fault Metric)
単一点故障が Safety Goal を直接損なうリスクをどれだけ低減できているかを示す指標。未検出の単一点故障が少ないほど SPFM は高くなります。 -
LFM(Latent Fault Metric)
潜在故障が他の故障と組み合わさり、危険な故障モードに発展することを防ぐための評価指標。冗長構成の信頼性を評価する際に重要となります。 -
PMHF(Probabilistic Metric for random Hardware Failures)
ASIL D のような高い安全要求に対し、年間あたりの許容危険故障率(例:10⁻⁸/h 以下など)を満たしているかを評価する最終的な確率指標。ECU 全体の故障リスクを数値として示す安全性の最終判定に相当します。
ISO 26262 のハードウェア安全指標と ASIL との対応表
SPFM / LFM(診断カバレッジ指標)
| Metric | ASIL-A | ASIL-B | ASIL-C | ASIL-D |
|---|---|---|---|---|
| SPFM | Not relevant | >90% | >97% | >99% |
| LFM | Not relevant | >60% | >80% | >90% |
上表の “>〇〇%” は「ASIL を満たすために、最低限この割合以上のカバレッジが必要」という意味になります。
ASIL が高くなるほど要求値が厳しくなる点が特徴です。
PMHF(許容故障率)
| ASIL | Failure Rate | FIT 換算 | PMHF 要求 |
|---|---|---|---|
| D | <10⁻⁸ /h | <10 FIT | Required |
| C | <10⁻⁷ /h | <100 FIT | Required |
| B | <10⁻⁷ /h | <100 FIT | Advised |
| A | <10⁻⁶ /h | <1000 FIT | Informative |
-
Failure Rate:(/h)は「1時間あたりの許容故障率」
-
FIT 換算:は「10⁹時間あたりの故障数(FIT)」としての目安
-
Required(必須):ASIL 達成に必須の安全要求。未達成の場合は Safety Goal 違反となる。
-
Advised(推奨):ASIL 達成のために望ましいが、必須ではない。安全強化のために推奨される。
-
Informative(参考):参考情報であり拘束力はなく、要求への影響はない。
故障率 λ が必要となる本質的な理由
上記の指標から分かるように、ASIL が高いほど、
- 診断カバレッジ(SPFM / LFM)の要求が厳しくなる
- PMHF(≒λ×未検出率)の許容できる範囲が極めて小さくなる
という特徴があります。
つまり、PMHFを成立させるには、「電子部品ごとの故障率(λ)を正しく把握し、どれこまで診断でカバーできるか(診断カバレッジ)を定量に示すこと」が不可欠になります。
PMHFは一般に
PMHF ≒ Σ(部品の故障率 λ × 未検出率)
として計算されます。
ECU にはIC、受動部品、コネクターなど多数の部品が使われるため、それぞれの λ と診断カバレッジを FMEDA で積み上げることで、ECU の安全性が定まる構造になっています。
故障率モデルが安全設計を左右する理由
このように PMHF には正確な λ が不可欠であるため、ISO 26262 の実務では「故障率 λ をどのモデルで求めるか?」
が常に重要になります。
車載分野で長年使われてきたのは、実使用環境に基づいた故障率モデル IEC TR 62380 です。
- 温度プロファイル
- 負荷条件
- 使用時間(ミッションプロファイル)
といった要因を反映して、現実的な λ を算出できる点から実務で高く評価されています。
次章では、この IEC TR 62380 の具体的な特徴と算出プロセスを解説します。
5 故障率モデルIEC TR 62380と算出方法
ここでは、車載 ECU の FMEDA や PMHF 評価で広く参照されてきた IEC TR 62380 の故障率モデルについて、実務で使う際に必要となるポイントを整理します。また、当社が扱う半導体 IC を例に、λ(故障率)の算出プロセスと FMEDA への反映方法を解説します。
5.1 IEC TR 62380 の特徴
IEC TR 62380 は、電子部品、プリント基板(PCB)、電子機器の故障率を予測するための技術レポートで、国際電気標準会議(IEC)によって作成されました。
このモデルは、以下のような現実的な要素を反映して λ を算出します:
- 温度プロファイル(平均温度・変動幅)
- 電気的負荷(電圧・電流のストレス)
- 使用パターン(運転/停止の比率、年間稼働時間)
- 車載特有の環境変動(温度サイクル・振動など)
これらの影響係数(Influence Factors)に基づいて、「実環境を平均化した実用的な故障率」
を求められる点が、自動車業界で長く評価されてきた理由です。
なお、IEC TR 62380 自体は廃止され、後継は IEC 61709 となりますが、ミッションプロファイルの互換性が十分ではないため、現場では依然として 62380 が参照されるケースが多くあります。
5.2 故障率 λ の構成要素
半導体IC の故障率 λ は主に次の3要素で構成されます:
-
Die(半導体本体):トランジスタ数、プロセス世代、接合温度、動作寿命
-
Package(パッケージ構造):熱サイクル、パッケージ材料、リードフレーム、モールド構造
-
EOS(Electrical Over Stress):ESD、サージなど外部からのストレス耐性
これらはICメーカーが提供するデータと、OEM または Tier1 が持つ実使用条件(温度・負荷・年間動作時間など)の組み合わせで決まります。
5.3 算出方法と FMEDA への適用
IEC TR 62380 に基づく λ を算出した後は、FMEDA における故障モード展開へと進みます。算出された λ は次の安全指標に影響します:
-
SPFM:単一点故障および残存故障の寄与を低減できているかを評価
-
LFM:冗長構成における潜在故障の発生可能性を評価
-
PMHF:全故障モードの「未検出故障率」を積み上げ、安全目標に対する年間危険故障率を評価
図3のように、IEC TR 62380 モデルでは Die/Package/EOS の各寄与を組み合わせて λ を構成します。
この λ が FMEDA の基礎データとなるため、
「故障率モデルの選び方」=「PMHF の精度と安全アーキテクチャの妥当性」
と言ってもよいほど重要です。
図3 IEC TR 62380の故障率モデル(Die/Package/EOS)引用元:IEC TR 62380規格書
以上のように、IEC TR 62380 は現場での取り扱いやすさから長年使用されてきたモデルであり、ISO 26262 における FMEDA・ハードウェア安全評価の基盤を支える役割を担っています。次章では、この λ が特に影響を与える DRAM メモリーの安全機構 について掘り下げます。
6 DRAMメモリーの機能安全対応
近年の ADAS・自動運転 ECU では、画像処理・地図推定・AI 推論など、大容量の一時データを扱う処理が一般化しています。そのため、システム全体の安全度を左右する要素として
メモリーの信頼性 が無視できないものになっています。
特にメインメモリーである DRAM は 単なる大容量メモリー という従来の位置づけを超え、誤りがそのままセンサー情報や認識結果の誤判断につながる 「安全重要部品」 として扱う必要性が高まっています。
6.1 DRAM の故障特性と安全上のリスク
DRAM はその構造上、以下のような多様な誤りモードを持ちます:
- 単ビットのソフトエラー(α線や宇宙線による一時的なビット反転)
- アドレス/コマンドラインの誤動作
- リフレッシュ異常によるデータ保持不良
- セル疲労や微細化によるリーク増加
ADAS や自動運転向けの処理ではフレーム単位で膨大なデータが更新され続けるため、瞬間的なビット誤りがそのまま認識・制御判断に直接影響する可能性があります。
そのため、DRAM をASIL C/D システムに使う場合は、安全機構の外に置ける部品ではない という前提で設計する必要があります。
6.2 ISO 26262 に対応した DRAM の安全機構
ISO 26262 を意識した DRAM 製品では、以下のような安全メカニズムが一般的になりつつあります。これらは DRAM 単体の信頼性向上だけでなく、FMEDA における診断カバレッジ向上にも寄与します。
-
ECC(Error Correction Code)
1 ビット訂正・2 ビット検出により、読み出し時の誤りをリアルタイムで補正。ソフトエラー対策として最も効果が大きい。 -
リフレッシュ監視
リフレッシュ異常によるセルデータ消失を検出し、保持不良のリスクを低減。 -
BIST(Built-in Self-Test)
起動時や周期的にメモリー内部の潜在故障を検出する仕組み。潜在故障を早期スクリーニングすることで LFM(潜在故障指標)の改善に寄与。 -
アドレス/コマンド保護
誤配線・制御ロジック故障に起因する誤アクセスを防止。SoC との組み合わせで安全アーキテクチャを補完。 -
安全マニュアル(Safety Manual)
想定される診断カバレッジ(DC)、使用上の前提条件(電源品質・温度範囲など)、FMEDA での計上方法などを提供。
これらの安全機構により、DRAM は、ECU システム全体の PMHF 低減や診断容易性の向上に大きく貢献します。
6.3 システム適用時の注意点
DRAM は外付け部品として SoC/MCU と協調して動作するため、システム側で以下の前提条件を満たす必要があります:
-
ECC 仕様の整合性確認
ECC を SoC 側で処理する場合、SoC の ECC 機能と DRAM のビット幅・データ構造の整合性を確実に取る必要があります。 -
メモリコントローラーの診断も FMEDA に含める
DRAM 単体ではなく、アドレス線テスト、コマンドライン監視、リフレッシュ監視など 「コントローラー側の診断」 も PMHF の評価対象となります。 -
DRAM安全機能の前提条件を逸脱しない設計
電源品質・リフレッシュ周期・温度条件など、Safety Manual の前提を満たさなければ診断カバレッジは保証されません。 -
DC(検出カバレッジ)を PMHF 計算に反映
安全機能の DC を FMEDA に反映させることで、ECU 全体の PMHF を正しく評価できます。
DRAM は、大容量データ処理を担う現代の ADAS/自動運転 ECU において、PMHF・SPFM・LFM のすべてで無視できない寄与を持つ部品へと位置付けが変わっています。
適切な安全機能を備えた DRAM
を選定し、SoC/ECU 側で前提条件を満たすよう設計することで、ASIL D クラスのシステムでも安全要求に沿った形で運用が可能となります。
まとめ
ISO 26262は、自動車 ECU の安全性を 「なぜその安全機構が必要か」 の観点で工程横断で説明可能にするための共通言語です。
HARAではリスクを体系的に洗い出し、ASILによって要求レベルが明確化されます。さらに、SPFM・LFM・PMHFといったハードウェア安全指標により、アーキテクチャの妥当性を定量的に評価できる仕組みが整っています。
ハードウェア安全では、部品のランダム故障を無視することはできず、正しい故障率モデルで λ(故障率)を算出することが、安全アーキテクチャ成立の前提となります。IEC TR 62380
は、実使用条件を反映した故障率を求められるモデルとして長く実務で活用されてきた背景があり、FMEDA や PMHF の基礎データとして信頼性の高いアプローチです。
また、近年の ADAS・自動運転向け ECU
では、DRAM メモリーの安全性がシステム全体の安全度に直結しています。
ECC、リフレッシュ監視、BIST などの安全機構を備えた DRAM を適切に選定し、SoC 側の診断機能と組み合わせて FMEDA
に反映することで、ASIL C/D クラスのシステム設計でも高い信頼性を確保できます。
最後に
本稿では、ISO 26262 の基礎から DRAM の安全機構までを、実務で判断に使える観点で整理しました。
安全規格への対応は、単にチェック項目を満たす作業ではなく、設計判断の一貫性と透明性を担保する活動です。
部品選定・安全機構の検討・FMEDA の構築など、より具体的な適用方法については、当社の知見もお役に立てます。
製品仕様や評価資料の読み解きなど、お気軽にご相談ください。
お問い合わせ
関連製品情報
CodeMeterによるソフトウェア保護とライセンス付与
Wibu-SystemsのAxProtectorは、PythonやNvidia Jetsonなど多様なコードに対応し、ソフトウェア全体を強力に暗号化します。
- WIBU-SYSTEMS AG
- ICT・インダストリアル
- スマートファクトリー・ロボティクス
- ソフトウェア
F-RAM(強誘電体RAM) 超高速・高耐久・低消費電力の不揮発メモリー インフィニオンF-RAMでIoTと車載の信頼性を革新
インフィニオンのF-RAMは高速アクセスと不揮発性を両立し、耐久性と低消費電力で車載や産業機器の信頼性向上に貢献します。
- Infineon Technologies AG
- NEXT Mobility
- ICT・インダストリアル
- スマートファクトリー・ロボティクス
SLC NAND Flash
NANDフラッシュメモリーは不揮発性で高性能・高信頼性を持ち、主に大容量データ保存やシステム向けに使用されます。
- Micron Technology, Inc.
- ICT・インダストリアル
SSD
データの保存方法に変革をもたらす、Micron社のSSDについて、HDDと比較しながら特徴と製品ラインナップを紹介します。
- Micron Technology, Inc.
- ICT・インダストリアル
- スマートファクトリー・ロボティクス
CodeMeterでMATLAB CompilerスタンドアローンApplicationの保護 およびライセンシング
MATLAB Compilerを活用し、スタンドアローンアプリケーションの知的財産を保護しましょう。不正使用を防ぎ、ライセンス販売による収益化を促進します。
- WIBU-SYSTEMS AG
- ICT・インダストリアル
- スマートファクトリー・ロボティクス
- ソフトウェア
CodeMeterでPythonコード暗号化・難読化&ライセンスビジネスによる収益化
Wibu-SystemsのAxProtector Pythonで、Pythonコードを強力に暗号化し、多様なライセンスモデルで収益化を実現しましょう。
- WIBU-SYSTEMS AG
- ICT・インダストリアル
- スマートファクトリー・ロボティクス
- ソフトウェア