意図機能と本質安全

意図機能といえば

もともと備わっている機能

安全機能は除く

定義そのものは特に問題ないと思います。

本質安全を構成するリミッタ

では、本質安全を構成するリミッタは意図機能 or 安全機能のどちらでしょうか?

アクチュエータ(赤枠A)は、もともと大きな出力を出せるため、間違って出力してしまうとHazardになってしまいます。そのアクチュエータ(赤枠A)を直接制御するコントローラ(オレンジC)とセンサ(オレンジS)はHazardに関連するため、機能安全関連として取り扱います。

別の機能のコントローラ(青C)とセンサ(青S)は、もともと大きな出力を必要としない支援機能のシステムで、支援機能の最大出力で間違ったとしても出力が小さいためHazardにはいたりません。

HARAでの取り扱い

HARAは安全機能なしで実施します。リミッタを安全機能と考えると、リミッタなしで分析するため、上位のシステムの最大出力でアクチュエータから最大出力が出てしまうため、上位のシステムにも高ASILが割り付けられます。

HARAにおいて意図機能は存在しています。リミッタを意図機能と考えると、上位のシステムの最大出力であってもアクチュエータからはリミッタ以下の出力が出るため、上位のシステムにはQM or 低ASILが割り付けられます。

リミッタを意図機能とする事例

レーンキープアシストシステムでは、EPSを使用します。EPSの出力は大きいため、ASIL Dが相場です。レーンキープアシストシステムではEPSの最大出力までは使用しません。レーンキープアシストシステムのASILはB - Cが相場になっています。

同様に、プリクラッシュセーフティシステムもASILはB - Cが相場になっています。ブレーキはASIL Dが相場です。

まとめ

意図機能として、もともと備わっている機能(リミッタ)とすることができます。

このようなリミッタはそのまま最後まで意図機能(QM)ではいられず、その後の安全分析で、リミッタ異常時はアクチュエータ最大異常出力を発生しうるため、高ASILが付与されることになります。

■本件に関するお問い合わせ先
SGSジャパン株式会社
C&P Connectivity 機能安全
〒240-0005
神奈川県横浜市保土ケ区神戸町134
横浜ビジネスパーク ノーススクエアI 3F
TEL: 050-3773-4508
E-mail: jp.fsafety@sgs.com