ASILの機能安全目標を達成するために電圧リファレンスとスーパーバイザが果たす役割


安全性に関連する多数の車載システムは、ISO(国際標準化機構)26262で規定された安全性要求レベル(ASIL)に適合することが求められます。よくある誤解が、ISO 26262規格に則って開発されたものではないICは、機能安全目標を達成するのに使用することができないというものです。実際には、多くの自動車OEMが、ASILに非準拠の半導体デバイスの機能や信頼性を利用して、ASIL要件を目指すシステムを開発することができています。この記事を読めば、電圧リファレンスとスーパーバイザの両方が、車載システムのASIL準拠の達成にどのような役割を果たすかがわかるでしょう。

電圧リファレンスとスーパーバイザ

電圧リファレンスやスーパーバイザ(リセットIC)などのデバイスは、車載システム・インテグレータが機能安全システムを開発する際に、よく利用する半導体デバイスです。車載用アプリケーションでは、これらのデバイスは診断や二重化監視の機能を果たします。

図1は、ISO26262-10:2018, 9.2.3.4からの引用ですが、SEooC(Safety Elements out of Context)により安全メカニズムとしてどのように電圧スーパーバイザとウォッチドッグを実装できるかの一例です。

 図1:ISO 26262に規定されるSEooC設計でのシステム・レベルの想定事項

電圧リファレンスとスーパーバイザの特長とメカニズム

電圧スーパーバイザは、電源障害検知機能を提供することで、システム・レベルの機能安全目標の達成を支援します。電圧スーパーバイザは、電源で過電圧や低電圧の障害モードが検知された場合の安全メカニズムをマイコンに実装します。一部の電圧スーパーバイザは、マイコンのクロック故障を検知できるウォッチドッグ・タイマを用いたデジタル診断機能も提供します。クロック故障には、マイコンから送られるパルスが遅い場合や早い場合があり、ウィンドウ・ウォッチドッグ・タイマはこれらのパルスを監視して、システムに故障発生を警告することができます。過電圧や低電圧を監視するもう1つの方法は、精密な電圧リファレンスを備えたA/Dコンバータ(ADC)を使用して、複数の電圧レールを監視することです。図2に、ウィンドウ・ウォッチドッグ・タイマがどのように動作するかを示します。場合によって、非常に高い診断カバー率を目標としたシステムでシステム・レベルの機能安全目標を達成するためには、安全メカニズムの二重化が必要になるかもしれません。これはつまり、安全性および診断カバー率を確かなものにするために、電源電圧に障害が起きていないかをADCと電圧リファレンスにより監視するだけでなく、スーパーバイザでも同じ電圧レールを監視する必要があるということです。

 図2:ウィンドウ・ウォッチドッグのタイミング図

デバイスの機能安全性に関する資料

車載システムのリスク評価から、IC故障が原因で障害が起こり得ることがわかります。そのため、ある種の機能安全システムではデバイス・レベルでの評価が必要になります。TIでは、機能安全システムの概念に基づく要件に対してICを評価するのに必要なデバイス情報を提供しており、電圧リファレンスとスーパーバイザに関する適性レポート、故障率(FS-FIT)、故障モード分布(FMD)、設計故障モード影響分析(DFMEA)といった、デバイスの参考資料を用意しています。

機能安全性を考慮した車載用リファレンス・デザイン

「電圧監視機能を向上したADAS向け電源のリファレンス・デザイン」では、機能安全システムを実現するための電圧リファレンスとスーパーバイザの利用方法を説明しています。このリファレンス・デザインで使われる電圧リファレンスとスーパーバイザは、これらのデバイスの機能性、特長にデバイスの各種参考資料を組み合わせることで、システム・レベルの機能安全目標の達成に役立ちます。

このリファレンス・デザインは、先進運転支援システム(ADAS)においてセーフティ・マイコン向けに電圧管理とウィンドウ・ウォッチドッグが追加された車載用電源ソリューションを提供します。この設計では、温度範囲全体にわたって最大1%の精密な監視機能により正確な電圧監視が行えます。また、柔軟なリセット遅延時間設定と手動リセットなどの機能も備えています。『TPS3703-Q1』はわずかな占有面積で過電圧および低電圧の監視を行い、必要な外付け部品も最小限で済むため、実装面積が限られる場合に有用です。

図3は、『TPS3703-Q1』がどのように過電圧と低電圧を検知するかを示したものです。クロック障害の可能性に対しては、『TPS3850-Q1』は図2と図3に示すような過電圧/低電圧監視とウィンドウ・ウォッチドッグ・タイマを兼ね備え、ウォッチドッグのタイムアウト時間とウィンドウ比を変更することも、ウォッチドッグ・タイマを無効にすることも自由にできます。低電圧のみを監視すればよい場合には、超低静止電流で正確な電圧監視を行う『TPS3890-Q1』を用いることでシステムの電力消費が抑えられます。最後になってしまいましたが、電圧監視のためにADCの精密なリファレンス電圧を提供する『LM4132-Q1』にも触れておきましょう。0.05%の精密な初期精度および10ppm/℃の低い温度ドリフトにより、『LM4132-Q1』は、60µAの低い消費電流で精密な電圧監視を実現します。

 3:低電圧および過電圧ウィンドウ検出器のタイミング図

ADAS電力リファレンス・デザインでISO 26262規格に対応

このリファレンス・デザインでは、ISO 26262と、電源電圧監視およびウォッチドッグ診断についてのガイダンスを考慮に入れています。図4に示すISO26262-5:2018、付録Dからの引用により、電源障害や欠陥のあるプログラム・シーケンスの障害を検知する必要性がわ���ります。この付録は、診断機能を評��することを目的とし、システム障害を検知するための適切な安全メカニズムを選ぶガイドラインとして使われます。このリファレンス・デザインは、図4に示すようなシステム・レベルの安全メカニズムを実装するのに役立ちます。

 4ISO 26262に基づく電源およびウォッチドッグの障害に対する安全メカニズムの例

このリファレンス・デザインでは電圧スーパーバイザと電圧リファレンスを使用することで、さらなる診断機能、安全メカニズム、あるいは二重化安全監視が加わり、より一層の安全性がもたらされます。製品の障害検知機能や性能を活かして、車載システムの機能安全目標の達成が可能になります。さらにTIでは、システム・インテグレータの開発期間の短縮に役立つ参考資料もご用意しています。

参考情報

※すべての登録商標および商標はそれぞれの所有者に帰属します。
※上記の記事はこちらのBlog記事(2019年5月10日)より翻訳転載されました。
※ご質問はE2E Support Forumにお願い致します。