1. Qishi ElectronicsHome
  2. ニュース速報

自動車向けISO 26262準拠アナログ信号チェーンソリューション

ニュース速報 0

自動車向けISO 26262準拠アナログ信号チェーンソリューション

自動車向けISO 26262準拠アナログ信号チェーンソリューションは、現代の車両電子機器における重要なエンジニアリング成果を表しており、すべてのセンサーインターフェース、信号コンディショニング回路、データ変換ステージが、今日の自動車業界が要求する厳格な機能安全要件を満たすことを保証します。電気自動車(EV)、先進運転支援システム(ADAS)、自動運転技術が進化し続ける中、自動車向けISO 26262準拠アナログ信号チェーンソリューションの必要性はこれまで以上に高まっています。本包括的ガイドでは、自動車安全完整性レベル(ASIL)の適合性を達成し、安全に重要な自動車アプリケーションに必要な精度と信頼性を提供しながら、堅牢なアナログ信号チェーンを構築するために必要なアーキテクチャ、設計原則、部品選択、認証プロセスについて解説します。

自動車向けISO 26262準拠アナログ信号チェーンソリューション

目次

  1. 自動車電子機器におけるISO 26262と機能安全の理解
  2. ISO 26262準拠アナログ信号チェーンの構造
  3. 自動車アナログ信号チェーンの主要部品
  4. ASIL準拠信号コンディショニングの設計原則
  5. 診断と監視戦略
  6. 実世界の実装ケーススタディ
  7. 自動車信号チェーン設計における課題と解決策
  8. 認証プロセスと文書化要件
  9. 自動車アナログ信号チェーンの将来トレンド
  10. よくある質問

自動車電子機器におけるISO 26262と機能安全の理解

ISO 26262とは何か?

ISO 26262は、道路車両の電気・電子システムの機能安全に関する国際規格であり、産業安全のためのより広範なIEC 61508規格から派生しています。2011年に初版が発行され、2018年に大幅に更新されたISO 26262は、コンセプトと開発から生産、運用、廃止までの自動車製品の全ライフサイクルにおける機能安全を管理するための包括的なフレームワークを提供します。

この規格は、次の3つの要素に基づいて、ASIL A(最低)からASIL D(最高)までの自動車安全完整性レベル(ASIL)を定義しています:

  • 重大性(S):乗員や道路利用者に対する潜在的な危害
  • 曝露度(E):危険事象が発生する確率
  • 制御可能性(C):ドライバーや他の交通参加者が危害を回避する能力

アナログ信号チェーンにおけるISO 26262の重要性

アナログ信号チェーンは、現代の車両の感覚神経系を形成しています。ブレーキペダル位置、ステアリング角度、バッテリー電圧、モーター電流など、すべての重要な測定値は、デジタルドメインに到達する前にアナログ信号コンディショニング回路を通過します。このチェーンのいずれかの段階で障害が発生すると、壊滅的な結果につながる可能性があります。

以下に、アナログ信号チェーンの整合性が極めて重要な実際のシナリオを示します:

シナリオ1:電気自動車バッテリー管理システム(BMS) 高電圧EVバッテリーパックでは、セル電圧監視にはマイクロボルトレベルの精度を持つ精密なアナログ測定が必要です。信号チェーンで検出されない障害が発生すると、過充電、熱暴走、さらにはバッテリー火災につながる可能性があります。BMSはASIL CまたはASIL Dの適合性を達成する必要があり、これはアナログフロントエンドに冗長な測定パス、継続的な診断、フェイルセーフメカニズムを含める必要があることを意味します。

シナリオ2:電動パワーステアリング(EPS) EPSシステムのトルクセンサーは、ドライバーの入力と道路からのフィードバック力を測定します。破損した信号は、予期しないステアリングアシストや抵抗を引き起こし、車両の制御喪失に至る可能性があります。EPSシステムは通常、ASIL Dの適合性を要求し、アナログ信号チェーンにおいて最高レベルの診断カバレッジを必要とします。

シナリオ3:ブレーキバイワイヤシステム 現代のブレーキバイワイヤシステムは、油圧接続を電子センサーとアクチュエーターに置き換えます。ペダル位置センサーと圧力トランスデューサーは、絶対的な信頼性を持って正確でリアルタイムのデータを提供する必要があります。いかなる信号異常も、ミリ秒単位で検出され、安全なフォールバックモードをトリガーする必要があります。

Vモデル開発アプローチ

ISO 26262は、アナログ信号チェーン設計に適用される構造化されたVモデル開発プロセスを義務付けています:

                    システムレベル
                   /            \
            コンセプト段階    検証
                  |                |
            システム設計    システムテスト
                  |                |
            ハードウェア設計  ハードウェアテスト
                  |                |
            ソフトウェア設計  ソフトウェアテスト
                   \            /
                    統合

アナログ信号チェーンの場合、これは以下を意味します:

  1. 要件分析:各信号パスの安全目標と技術的安全要件を定義
  2. システム設計:冗長信号チェーンのアーキテクチャ設計、ASIL対応部品の選択
  3. ハードウェア設計:診断機能を持つ回路図の設計、FMEDA(故障モード、影響、診断分析)の実施
  4. 実装:適切な絶縁、フィルタリング、保護を持つPCBレイアウト
  5. 検証:診断カバレッジのテスト、安全メカニズムの検証
  6. 妥当性確認:システムがすべての動作条件下で安全目標を満たすことを確認

ISO 26262準拠アナログ信号チェーンの構造

典型的な自動車アナログ信号チェーンは複数の段階で構成されており、各段階は機能安全適合性のために慎重な検討が必要です。各段階での信号フローと潜在的な故障モードを理解することは、堅牢なシステムを設計するために不可欠です。

信号チェーンアーキテクチャの概要

センサー → 保護 → 増幅 → フィルタリング → ADC → デジタル処理
   ↓          ↓         ↓              ↓         ↓           ↓
 生信号    過渡保護   信号コンディショニング  ノイズ低減  デジタル変換  安全監視

段階1:センサーインターフェースと保護

センサーインターフェースは、信号チェーンの第一線の防御を表しています。自動車環境は以下を含む厳しい条件を提示します:

  • イグニッションシステム、モーター、スイッチング電源からの電磁干渉(EMI)
  • 車両組み立てとメンテナンス中に最大25kVまでの静電気放電(ESD)事象
  • 数百ミリ秒間持続する最大100Vまでのロードダンプ過渡現象
  • バッテリー取り付け中の逆極性接続

設計考慮事項:

  1. ESD保護:高速応答時間(<1ns)と低クランプ電圧を持つ自動車グレードのTVSダイオードを使用。保護デバイスをコネクタにできるだけ近く配置。
  2. EMIフィルタリング:コモンモードチョークと差動コンデンサを使用したπフィルタネットワークを実装。30cm以上のセンサーケーブルには、適切な終端を持つシールドツイストペアを検討。
  3. 過電圧保護:シリーズ抵抗とクランプダイオードを使用して、感度の高いアンプ入力を保護。障害時の電流を制限しながら、許容可能なノイズレベルを維持する抵抗値を選択。
  4. 逆極性保護:電源ラインにはシリーズダイオードまたはMOSFETベースの理想ダイオード回路を実装。信号ラインには、負電圧を許容するレールツーレール入力アンプを使用。

段階2:信号コンディショニングと増幅

信号コンディショニングは、生のセンサー出力をアナログデジタル変換に適した電圧レベルに変換します。この段階は、測定システムの全体的な精度とノイズ性能を決定することが多いです。

増幅が重要な理由:

多くの自動車センサーは小さな出力信号を生成します:

  • 歪みゲージブリッジ:フルスケール1-20mV
  • 熱電対:40μV/°C
  • 電流検出抵抗:定格電流時10-100mV

適切な増幅がないと、これらの信号はADC量子化ノイズとシステム干渉に埋もれてしまいます。しかし、増幅はエラーも増幅するため、部品選択が極めて重要です。

ASIL適合のための部品選択基準:

パラメータ ASIL A/B要件 ASIL C/D要件 根拠
入力オフセット電圧 <500μV <100μV 低信号レベルでの測定誤差を最小化
オフセットドリフト <5μV/°C <1μV/°C 自動車温度範囲(-40°C~+125°C)で精度を維持
ゲイン誤差 <0.5% <0.1% フルスケール精度を確保
CMRR >80dB >100dB 長いケーブル走行からのコモンモードノイズを抑制
PSRR >80dB >100dB ノイズの多い自動車用電源で安定性を維持
診断機能 基本的 包括的 BIST、入出力監視、障害フラグ

推奨アンプトポロジー:

  1. 計装アンプ:ブリッジセンサーと差動測定に最適。高入力インピーダンス、優れたCMRR、単一抵抗による正確なゲイン設定を提供。
  2. ゼロドリフトアンプ:オフセット電圧とドリフトを排除するために、オートゼロまたはチョッパー安定化アーキテクチャを使用。ASIL C/Dを必要とする熱電対や電流検出アプリケーションに不可欠。
  3. プログラマブルゲインアンプ(PGA):可変出力レベルのセンサーに対して動的範囲の最適化を可能にする。内蔵障害検出とゲイン検証を持つPGAを探す。

段階3:アンチエイリアシングとノイズフィルタリング

アナログデジタル変換の前に、信号はアンチエイリアシングのため、および広帯域ノイズを低減するためにフィルタリングされる必要があります。フィルタ設計は、測定帯域幅、整定時間、ノイズ性能に直接的な影響を与えます。

フィルタ設計原則:

  1. カットオフ周波数選択:-3dBポイントを必要な信号帯域幅の2-5倍に設定し、位相歪みを最小限に抑えながら、ナイキスト周波数で適切な減衰を提供。
  2. フィルタ次数:2次フィルタは40dB/decadeのロールオフを提供し、通常12-16ビットADCを持つ自動車アプリケーションに十分。高解像度(18-24ビット)システムには、より高次のフィルタが必要な場合がある。
  3. トポロジー選択
    • Sallen-Key:シンプル、部品数が少ない、ユニティゲインアプリケーションに適している
    • 多重フィードバック:高Qフィルタとゲイン>1に優れている
    • 専用ICを使用したアクティブフィルタ:一部の自動車グレードフィルタICには内蔵診断機能が含まれる
  4. 部品許容差:温度を通じて安定したフィルタ特性のために、1%以上の抵抗とC0G/NP0セラミックコンデンサを使用。使用する場合、電解コンデンサの経年変化の影響を考慮。

段階4:アナログデジタル変換

ADCは、コンディショニングされたアナログ信号を処理用のデジタル値に変換します。ADCの選択は、システムの解像度、精度、診断機能に大きく影響します。

自動車アプリケーションの主要ADCパラメータ:

パラメータ 典型的なASIL Bシステム 典型的なASIL Dシステム 備考
解像度 12-14ビット 16-24ビット より高い解像度により、より早い障害検出が可能
サンプリングレート 1-10kSPS 10-100kSPS リアルタイム診断のためのより高速なサンプリング
INL/DNL ±2 LSB ±1 LSB 単調性とコード幅の均一性を確保
基準精度 ±0.5% ±0.1% 絶対測定精度に重要
診断機能 基準監視 BIST、冗長性、相互チェック より高いASILにはより包括的な診断が必要

ADCチャネルの診断技術:

  1. 基準電圧監視:ADC基準を独立した基準またはバンドギャップソースと継続的に比較。基準ドリフトまたは障害を即座に検出。
  2. 入力マルチプレクサ検証:マルチチャネルADCでは、定期的に既知のテスト電圧を接続して、マルチプレクサとチャネル選択ロジックを検証。
  3. 変換結果チェック:範囲外の値、固定障害、予期しないコード遷移に対するソフトウェアチェックを実装。
  4. 冗長変換:ASIL Dでは、相互チェックを持つデュアルADCを使用。コンバータ間の不一致は安全状態をトリガー。

自動車アナログ信号チェーンの主要部品

ISO 26262準拠の信号チェーンを構築するには、自動車アプリケーション向けに設計された慎重に選択された部品が必要です。主要な半導体メーカーは、機能安全文書を含む専用製品ラインを提供しています。

ASIL対応オペアンプ

Texas Instruments SafeTI™アンプ TIのSafeTI製品ラインには、機能安全アプリケーション向けに特別に開発されたアンプが含まれています:

  • FMEDA分析を含む包括的な安全マニュアル
  • 温度グレード間のピン対ピン互換性
  • 自動車信頼性のためのAEC-Q100適合

主要製品:

  • OPAx189:14MHz帯域幅を持つゼロドリフト、低ノイズアンプ
  • INAx333:センサーインターフェース用の精密計装アンプ
  • PGAx112:SPI制御と診断フィードバックを持つプログラマブルゲインアンプ

Analog Devices機能安全プログラム ADIは、機能安全文書を含む広範なアンプポートフォリオを提供しています:

  • 障害モード分析を含む詳細な安全マニュアル
  • FIT(時間あたりの故障)率計算
  • ピンFMEA(故障モードと影響分析)

注目のデバイス:

  • ADA4522:最大5μVオフセットを持つゼロドリフトアンプ
  • AD8421:1MHz帯域幅を持つ低消費電力計装アンプ
  • AD8235:バッテリー駆動センサー用の超低消費電力アンプ

Infineon PRO-SIL™製品 InfineonのPRO-SILラインは、ハードウェアレベルの安全機能を提供します:

  • 内蔵自己テスト(BIST)機能
  • 障害検出と報告ピン
  • TÜV認定ASIL適合文書

自動車グレードデータコンバータ

Renesas安全機能付きRAファミリー RAA2S4253自動車センサー信号コンディショナーは、現代のASIL対応ADCソリューションの例です:

  • 統合センサー励起と測定
  • ハードウェアベースの診断機能
  • 適切なシステム設計でのASIL B能力

Microchip機能安全ADC Microchipは、専用の機能安全サポートを持つADCを提供しています:

  • 冗長性のためのデュアル独立ADCを持つdsPIC33 DSC
  • 包括的な安全マニュアルとFMEDAレポート
  • TÜV Rheinland認証が利用可能

NXP安全関連ADCソリューション NXPの自動車マイクロコントローラーファミリーには、ASIL適合のために設計されたADCペリフェラルが含まれています:

  • キャリブレーションと自己テスト機能
  • 結果監視と比較ロジック
  • 安全監視ユニットとの統合

信号コンディショニングASIC

高ボリュームアプリケーションでは、統合安全機能を持つ最適化された性能を提供する専用信号コンディショニングASICを使用できます:

センサー信号コンディショナー(SSC)

  • 線形化と補償を持つブリッジセンサーインターフェース
  • アナログとデジタル出力オプション
  • センサー障害検出のための内蔵診断

レゾルバデジタルコンバータ(RDC)

  • EVパワートレインのモーター位置検出に不可欠
  • 障害検出を持つトラッキングループアーキテクチャ
  • ASIL D用の冗長チャネルオプション

ASIL準拠信号コンディショニングの設計原則

ASIL適合性を達成するには、適切な部品を選択するだけでなく、設計手法全体に安全考慮事項を組み込む必要があります。

ハードウェア設計のベストプラクティス

PCBレイアウト考慮事項

  1. 信号整合性:アナログ信号をスイッチング電源とデジタルクロックラインから離して配線。低インピーダンスリターンパスを提供するために、最小限の分割を持つグラウンドプレーンを使用。
  2. 絶縁と分離:動作電圧に適したクリアランスとクリープ距離を維持。高電圧測定回路を低電圧制御電子機器から絶縁。
  3. 熱管理:精密部品の自己発熱を考慮。電力トランジスターのような熱を発生する部品から、電圧基準とアンプを離して配置。
  4. テスト容易性:生産テストと現場診断を容易にするために、重要な信号にテストポイントを含める。複雑なデジタルインターフェースにはバウンダリスキャン(JTAG)を検討。

部品デレーティング

長期信頼性を確保するために、適切なデレーティング係数を適用:

  • 電圧:最大予想電圧の1.5倍の定格を持つ部品を使用
  • 電流:定格電流の70%以下で抵抗とインダクタを動作させる
  • 温度:接合温度が最大定格より20-30°C低くなることを確認
  • 電力:連続動作では定格電力の50%以上を消費しない

ソフトウェア安全メカニズム

アナログ信号チェーンはハードウェアベースですが、ソフトウェアはASIL適合性を達成する上で重要な役割を果たします:

診断ソフトウェア機能

// 例:妥当性チェックを持つADC結果検証
bool validate_adc_result(uint16_t raw_value, uint16_t expected_range_min, uint16_t expected_range_max) {
    // 固定障害のチェック
    if (raw_value == 0x0000 || raw_value == 0xFFFF) {
        report_fault(FAULT_ADC_STUCK_AT);
        return false;
    }

    // 範囲外の値のチェック
    if (raw_value < expected_range_min || raw_value > expected_range_max) {
        report_fault(FAULT_ADC_OUT_OF_RANGE);
        return false;
    }

    // 予期しない変化率のチェック
    uint16_t delta = abs(raw_value - previous_value);
    if (delta > MAX_PLAUSIBLE_DELTA) {
        report_fault(FAULT_ADC_RATE_OF_CHANGE);
        return false;
    }

    return true;
}

監視とウォッチドッグ戦略

  1. 独立ウォッチドッグ:メインプロセッサクロックに依存しない別個のウォッチドッグタイマーを使用。アナログ信号チェーンソフトウェアは、定義された時間枠内でウォッチドッグを「キック」する必要がある。
  2. プログラムフロー監視:すべての診断ルーチンが予想される間隔で実行されることを確認するために、ソフトウェアカウンターを実装。スキップされたまたは破損したコード実行を検出。
  3. データ整合性チェック:不揮発性メモリに保存されたキャリブレーションデータにチェックサムまたはCRCを使用。キャリブレーション係数を適用する前にデータ整合性を検証。

故障モード分析

FMEDA(故障モード、影響、診断分析)

FMEDAは、安全目標が満たされることを実証するためにISO 26262が要求する定量的分析です。アナログ信号チェーンの場合、これには以下が含まれます:

  1. 部品故障率推定:業界標準データベース(IEC 61709、MIL-HDBK-217F、またはメーカー固有のデータ)を使用して、各部品の故障率を推定。
  2. 故障モード分布:障害の発生方法を決定—例えば、抵抗障害は90%開回路、10%ドリフト。コンデンサ障害は60%短絡、40%開回路。
  3. 安全メカニズムカバレッジ:各安全メカニズムの診断カバレッジを計算。例えば:
    • 基準電圧監視:基準関連障害の90%カバレッジ
    • 入力マルチプレクサテスト:マルチプレクサ障害の85%カバレッジ
    • ソフトウェア妥当性チェック:ADC変換エラーの70%カバレッジ
  4. 残留リスク計算:故障率と診断カバレッジを組み合わせて、残留故障率を決定。これは、割り当てられたASILのターゲットより下でなければならない。

信号チェーンのFMEDA例:

部品 故障モード 故障率(FIT) 安全メカニズム 診断カバレッジ 残留FIT
アンプ 出力固定高 50 出力電圧監視 99% 0.5
アンプ 出力固定低 50 出力電圧監視 99% 0.5
アンプ ゲインドリフト 20 基準チャネル比較 90% 2.0
ADC 変換エラー 30 繰り返し変換チェック 95% 1.5
基準 電圧ドリフト 40 独立基準比較 95% 2.0

診断と監視戦略

包括的な診断は、ASIL適合性の基盤です。アナログ信号チェーンは、独自の整合性を継続的に検証し、異常を報告する必要があります。

内蔵自己テスト(BIST)技術

電源投入時自己テスト(POST)

車両が起動するたびに、アナログ信号チェーンは包括的な自己テストを実行する必要があります:

  1. 基準電圧テスト:ADCを既知の基準電圧に接続し、変換結果が許容範囲内であることを確認。
  2. 入力チャネルテスト:アナログスイッチを通じてテスト電圧を適用し、信号パスの整合性を検証。
  3. アンプループバックテスト:アナログ出力を持つシステムでは、完全な信号チェーンを検証するためにループバックパスを作成。
  4. メモリテスト:CRCまたはチェックサム検証を使用して、キャリブレーションデータと設定レジスタを検証。

継続的なランタイム監視

通常動作中、非侵襲的な監視を実装:

  1. 基準監視:ADC基準を二次基準またはバンドギャップソースと継続的に比較。±1%を超える偏差は潜在的な障害を示す。
  2. 電源電圧監視:ブラウンアウト状態またはレギュレータ障害を検出するためにアナログ電源電圧を追跡。
  3. 温度監視:重要部品のダイ温度を監視。過度の温度は、近い障害または設計限界を超える環境極端を示す可能性がある。
  4. 信号妥当性:センサー読み取り値が物理的に可能な範囲内にあり、妥当な速度で変化することを確認。

冗長性アーキテクチャ

ASIL CおよびASIL Dアプリケーションでは、冗長性が最高レベルの診断カバレッジを提供します:

デュアルチャネル冗長性

センサーA → アンプA → ADC A → プロセッサA
センサーB → アンプB → ADC B → プロセッサB
                    ↓
            比較と投票ロジック

2つの独立した信号チェーンが同じセンサー入力を処理。結果が比較され、不一致は障害応答をトリガー。このアーキテクチャは以下を提供:

  • 単一点障害の99%診断カバレッジ
  • 1つのチャネルで劣化モードで動作を継続する能力
  • 障害チャネルへの明確な障害分離

トリプルモジュール冗長性(TMR)

最も重要な測定のために、投票ロジックを持つ3つの独立したチャネルは以下を提供:

  • 単一チャネル障害の自動マスキング
  • 性能劣化なしでの継続動作
  • 99.9%以上の診断カバレッジ

TMRは通常、ステアリング角度、ブレーキペダル位置、および障害が車両の制御不能な動作につながる可能性があるその他の安全に重要な入力用に予約されています。

障害応答戦略

診断が障害を検出した場合、システムはASILと障害の性質に基づいて適切に応答する必要があります:

安全状態

各障害条件に対して安全状態を定義:

  • ブレーキシステム障害:車両を安全に停止するためにブレーキを徐々に適用
  • ステアリング障害:パワーアシストを無効にし、手動ステアリングを増加した力で可能にする
  • スロットル障害:エンジン出力をアイドルに制限するか、リムホームモードを実装

劣化動作モード

完全なシャットダウンが安全でない場合は、優雅な劣化を実装:

  • 冗長チャネルに切り替える
  • 安全を維持しながらシステム性能を低下させる
  • 警告インジケーターを通じてドライバーに警告

障害記録と報告

診断と保証の目的で障害記録を維持:

  • タイムスタンプと障害コードのログ記録
  • 障害発生時の関連パラメータのスナップショット
  • CANまたはイーサネットを介して中央診断システムへの通信

実世界の実装ケーススタディ

ケーススタディ1:電気自動車用バッテリー管理システム

アプリケーション要件:

  • 96個の直列接続リチウムイオンセルを監視
  • 電圧測定精度:±5mV
  • 32箇所での温度測定
  • ASIL C適合性が必要

信号チェーンアーキテクチャ:

各セル電圧測定は、専用のアナログフロントエンドを使用:

セル端子 → 分圧器 → 絶縁アンプ → ADC → 絶縁通信
     ↓                ↓                  ↓              ↓            ↓
  高電圧        減衰           ガルバニック絶縁    16ビット    SPI経由
  (最大400V)    (100:1比)    (強化)           SAR ADC   絶縁バリア

実装された安全メカニズム:

  1. 冗長電圧測定:各セル電圧は、別個の集積回路上の2つの独立したADCによって測定されます。
  2. 妥当性チェック:セル電圧は、パック電圧(すべてのセルの合計)と比較されます。不一致>100mVは測定障害を示します。
  3. 温度相互チェック:隣接する温度センサーは同様の値を読み取る必要があります。大きな違いは診断調査をトリガーします。
  4. 通信整合性:絶縁バリアを越えるすべてのデータ送信にCRC保護。通信喪失のタイムアウト検出。

結果:

  • 単一点障害カバレッジ>99%でASIL C適合性を達成
  • 潜在障害の診断カバレッジ>90%
  • システムはTÜV機能安全評価に合格

ケーススタディ2:電動パワーステアリングトルクセンサー

アプリケーション要件:

  • -10Nm~+10Nmのステアリングトルクを測定
  • 分解能:0.01Nm
  • 帯域幅:2kHz
  • ASIL D適合性が必要

信号チェーンデザイン:

トルクセンサーは、固有の冗長性のためにデュアルレゾルバ構成を使用:

レゾルバA → RDC A → プロセッサA → 投票ロジック → モーターコントローラー
レゾルバB → RDC B → プロセッサB →     ↑
レゾルバC → RDC C → プロセッサC →     ↓

3つの独立したレゾルバが同じねじり棒のねじれを測定。RDC(レゾルバデジタルコンバーター)は、内蔵診断機能を持つ絶対位置情報を提供。

主要な安全機能:

  1. 多様な技術:3つの別個のレゾルバと独立した巻線は、共通原因の障害リスクを低減。
  2. RDC診断:各RDCは信号振幅、位相関係、トラッキングループ性能を監視。レゾルバ励起の喪失または信号破損は即座に検出されます。
  3. プロセッサ投票:3つの独立したプロセッサーが同じアルゴリズムを実行し、トルク値について投票。2/3投票方式は単一プロセッサー障害をマスク。
  4. エンドツーエンド保護:安全に重要なトルク値には、センサーからモーターコントローラーまでCRCとシーケンスカウンターが含まれます。

開発の洞察:

設計チームは、いくつかの貴重な教訓を学びました:

  • レゾルバ取り付けアライメントが重要—機械的公差スタックアップが信号品質に影響する可能性がある
  • ケーブルシールドとグラウンディングがEMI耐性に大きく影響
  • 温度補償は、自動車温度範囲で精度を維持するために不可欠

ケーススタディ3:ブレーキバイワイヤペダル位置センサー

アプリケーション要件:

  • デュアル冗長ペダル位置測定
  • 位置分解能:0.1mm
  • 応答時間:ペダル動作からアクチュエーターコマンドまで<5ms
  • ASIL D適合性

信号チェーン実装:

2つの独立したホール効果センサーICがペダル位置を測定:

磁石アセンブリ → ホールセンサーA → 信号コンディショナーA → ADC A → メインMCU
              → ホールセンサーB → 信号コンディショナーB → ADC B → 監視MCU

革新的な診断アプローチ:

  1. 逆出力コーディング:センサーAはペダル押し込みに応じて0-5Vで増加し、センサーBは5-0Vで減少。このコーディングは電源短絡などのコモンモード障害を検出。
  2. 合計監視:センサーAとセンサーBの電圧の合計は常に約5Vに等しくなる必要があります。偏差はセンサー障害を示します。
  3. 相互監視:各MCUは両方のセンサーを監視し、結果を比較。不一致は安全状態への移行をトリガー。
  4. ハードウェアウォッチドッグ:独立したウォッチドッグ回路が両方のMCUを監視。10ms以内にウォッチドッグをサービスできない場合はシステムシャットダウンをトリガー。

フィールド経験:

200万車両マイルの運用後:

  • 信号チェーンに起因する安全に重要な障害はゼロ
  • 複数の潜在障害が定期メンテナンス中に検出および修理
  • 診断カバレッジは、安全への影響の前にセンサー劣化を特定することで有効であることが証明

自動車信号チェーン設計における課題と解決策

課題1:電磁両立性(EMC)

問題:

自動車環境は極端な電磁的課題を提示します:

  • AM/FMラジオ、携帯電話、車両間通信からの放射放出
  • 燃料インジェクター、イグニッションシステム、DC-DCコンバーターからの伝導過渡現象
  • 給油、メンテナンス、乗客の乗降時の静電気放電

解決策:

  1. シールドとフィルタリング:すべてのI/Oラインにスルーフィルタを持つシールドハウジングで感度の高いアナログ回路を囲む。電源エントリポイントにはπフィルタ構成を使用。
  2. 差動信号伝送:可能な場合、良好なコモンモード抑制を持つ差動アナログ信号を使用。ツイストペアケーブリングは磁界ピックアップを低減。
  3. レイアウト最適化:感度の高いアナログ部品をスイッチングレギュレータと高速デジタルトレースから離して配置。ループ面積を最小化するためにグラウンドプレーンを使用。
  4. 部品選択:高PSRRとCMRR仕様を持つアンプとADCを選択。自動車グレード部品は厳格なEMCテストを受ける。

課題2:温度極端

問題:

自動車電子機器は極端な温度で動作する必要があります:

  • バッテリー電圧低下時の-40°Cでの冷間始動
  • 125°Cを超えるエンジンルーム温度
  • エンジン始動と運転条件からの急速な熱過渡現象

アナログ信号チェーンへの影響:

  • アンプオフセット電圧ドリフトが測定精度に影響
  • 基準電圧温度係数がADC精度に影響
  • 部品パラメータ変化がフィルタ特性を変更

解決策:

  1. ゼロドリフトアンプ:チョッパー安定化またはオートゼロアンプを使用してオフセットドリフトを排除。これらのアーキテクチャは温度変化を継続的に補正。
  2. 温度補償:温度センサーとキャリブレーションデータを使用して、ソフトウェアベースの補償を実装。キャリブレーション係数を不揮発性メモリに保存。
  3. 熱設計:サーマルビア、ヒートシンク、慎重な部品配置を使用して接合温度を管理。最悪条件に適切に部品をデレート。
  4. 材料選択:重要なタイミングとフィルタリングアプリケーションにC0G/NP0セラミックコンデンサを使用。これらはゼロに近い温度係数を持つ。

課題3:長期信頼性

問題:

自動車電子機器は、最小限のメンテナンスで15年以上持続する必要があります。部品の経年劣化、腐食、機械的ストレスが時間の経過とともに性能を低下させる可能性があります。

解決策:

  1. デレーティング:すべての部品を最大定格を大幅に下回って動作させる。これによりストレスが低減され、動作寿命が延長される。
  2. コンフォーマルコーティング:湿気浸入と腐食を防ぐためにPCAに保護コーティングを適用。
  3. 設計マージン:部品の経年劣化が車両寿命中に仕格外の動作を引き起こさないように、設計に性能マージンを含める。
  4. 予測診断:時間の経過とともに主要パラメータを監視して劣化傾向を検出。安全に重要な閾値に達する前にメンテナンスに警告。

課題4:コスト最適化

問題:

ASIL適合設計は、しばしば冗長部品と高度な診断を必要とし、コストを増加させます。自動車OEMは、過度の費用なしに安全要件を満たす費用対効果の高いソリューションを要求します。

解決策:

  1. 統合ソリューション:内蔵診断を持つ複数の機能を組み合わせたASSP(アプリケーション固有標準製品)を使用。これにより部品数と開発作業が削減される。
  2. スケーラブルアーキテクチャ:異なるASILレベルに設定できるモジュール式信号チェーンを設計。適切な部品選択でASIL AからASIL Dまで同じ基本設計を使用。
  3. ソフトウェア診断:可能な場合はハードウェアを追加するのではなく、ソフトウェアで診断機能を実装。現代の自動車MCUは、包括的な信号チェーン監視に十分な処理能力を持つ。
  4. 設計再利用:複数のアプリケーションで再利用できる標準化された信号チェーンビルディングブロックを開発。高ボリュームで開発と認証コストを償却。

認証プロセスと文書化要件

ISO 26262認証を達成するには、包括的な文書化と第三者評価が必要です。認証プロセスを理解することは、開発を効率化し、高価な作業のやり直しを回避するのに役立ちます。

文書化要件

安全計画

安全計画は、機能安全を達成するための全体的なアプローチを定義:

  • 安全活動の範囲
  • チームメンバーの役割と責任
  • 安全関連開発活動のスケジュール
  • 他の安全関連プロジェクトとのインターフェース

技術的安全コンセプト

この文書は、システムが安全目標を達成する方法を説明:

  • システムアーキテクチャと安全メカニズム
  • ハードウェアとソフトウェアへの安全要件の割り当て
  • 障害検出と応答戦略
  • 診断カバレッジの主張

ハードウェア安全分析

アナログ信号チェーンの場合、これには以下が含まれる:

  • FMEDA:故障率と診断カバレッジの定量的分析
  • FTA(フォールトツリー分析):障害が危険事象につながる方法のトップダウン分析
  • FMEA(故障モードと影響分析):部品故障モードのボトムアップ分析

安全マニュアル

各ASIL対応部品には、メーカーからの安全マニュアルが必要:

  • 安全アプリケーションでの部品の使用に関する仮定
  • 部品が提供する安全メカニズム
  • 故障率と診断カバレッジ情報
  • 主張された安全整合性を達成するための統合要件

第三者評価

TÜV Rheinland

TÜV Rheinlandは、ISO 26262認証サービスの主要プロバイダーです。彼らの評価プロセスには以下が含まれる:

  • 完全性と正確性のための文書レビュー
  • 安全要件への適合のための設計レビュー
  • 安全妥当性確認活動のテスト立ち会い
  • 認証監査と証明書発行

SGS-TÜV Saar

広範な自動車経験を持つもう1つの主要な認証機関:

  • 正式評価前のギャップ特定のための事前評価
  • オンサイト監査を伴う正式評価
  • 継続的な適合のための監視監査

認証戦略のヒント:

  1. 早期に関与:正式評価中の驚きを避けるために、開発プロセスの早い段階で認証機関に関与。
  2. 事前認定部品を使用:可能な場合、既存のASIL認定を持つ部品を使用。これにより評価の範囲が縮小され、部品の安全主張に対する信頼が提供される。
  3. トレーサビリティを維持:安全目標から要件、実装、検証まで明確なトレーサビリティを確保。DOORSやPolarionなどのツールがこの複雑さを管理するのに役立つ。
  4. 進行しながら文書化:開発の終わりまで安全文書の作成を待たない。開発プロセス全体を通じて文書を維持。

一般的な認証の落とし穴

不十分な診断カバレッジ

多くの初回申請者は、より高いASILレベルに必要な診断カバレッジを過小評価します。ASIL Dは通常、>99%の単一点障害カバレッジと>90%の潜在障害カバレッジを要求します。

不十分なFMEDA詳細

FMEDAは、信頼できるソースからの実際の部品故障率に基づいている必要があります。一般的な仮定または不完全な部品リストは、評価者によって拒否されます。

欠落している共通原因分析

冗長チャネルは、複数のチャネルを同時に無効にする可能性のあるイベントである共通原因障害について分析される必要があります。物理的分離、多様な技術、独立した電源は、共通原因リスクを軽減するのに役立ちます。

不十分なツール適格性

安全関連開発で使用されるソフトウェアツール(コンパイラー、静的分析ツール、要件管理システム)は、エラーを引き起こさないことを実証するために適格性を必要とする場合がある。プロジェクトスケジュールにツール適格性の作業を計画。

自動車アナログ信号チェーンの将来トレンド

自動車業界は進化し続けており、アナログ信号チェーン技術は新しい要件を満たすために進歩しています。

トレンド1:統合と小型化

現代の車両には、信号コンディショニングを必要とする数百のセンサーが含まれています。統合トレンドには以下が含まれます:

システムインパッケージ(SiP)ソリューション 単一パッケージ内の複数のダイ(アンプ、ADC、基準、MCU)は、サイズを縮小し、信頼性を向上させます。SiPソリューションは、完全な信号チェーン統合のために受動部品を含めることができます。

センサーフュージョン 単一パッケージに統合信号コンディショニングを持つ複数のセンサータイプ(温度、圧力、加速度)を組み合わせます。配線ハーネスの複雑さを低減し、EMC性能を向上させます。

トレンド2:より高い解像度と速度

先進運転支援システムは、常に優れたセンサー性能を要求します:

精密アプリケーション用24ビットADC バッテリー管理と精密位置決めシステムは、より高い解像度のADCから恩恵を受けます。デジタルフィルタリングを持つデルタシグマアーキテクチャは、優れたノイズ性能を提供します。

高速サンプリングコンバーター 自動運転は、変化する条件への迅速な応答を要求します。1MSPS以上でサンプリングするADCは、より高速な制御ループとより早い障害検出を可能にします。

トレンド3:エッジ処理を持つスマートセンサー

インテリジェンスをセンサーに移動することで、配線を減らし、応答時間を改善:

センサーモジュール内の組み込みプロセッサー センサーデータのローカル処理により以下が可能:

  • 前処理と特徴抽出
  • ローカル診断実行
  • 生サンプルではなく処理されたデータの通信

AI強化診断 センサーモジュールで実行される機械学習アルゴリズムは以下が可能:

  • ハード障害の前に微妙な劣化パターンを検出
  • 動作条件に基づいてキャリブレーションを適応
  • 車両状態に基づいて消費電力を最適化

トレンド4:標準化とオープンアーキテクチャ

業界イニシアチブは、標準化を通じて開発コストを削減することを目指しています:

SEooC(文脈外の安全要素) SEooCとして信号チェーン部品を開発し、再認証なしに複数のアプリケーションで再利用できるようにします。部品サプライヤーは、システムインテグレーターが効率的に認証を達成できるようにする包括的な安全マニュアルを提供。

AUTOSAR統合 標準化されたソフトウェアアーキテクチャにより、信号チェーン部品のプラグアンドプレイ統合が可能。AUTOSAR準拠のドライバーと診断サービスは、ソフトウェア開発を簡素化。

トレンド5:サイバーセキュリティ考慮事項

車両がより接続されるにつれて、アナログ信号チェーンはサイバーセキュリティを考慮する必要があります:

セキュアブートと認証 信号チェーンファームウェアとキャリブレーションデータが改ざんされないことを確認。暗号認証は、不正な部品の置き換えを防ぎます。

侵入検出 サイバー攻撃を示す可能性のある異常なセンサー読み取り値を監視。スプーフィング試行を検出するために、センサーデータを物理的な妥当性と相互チェック。

よくある質問

アナログ信号チェーン設計におけるASIL AとASIL Dの違いは何ですか?

ASIL Aは、基本的な安全対策と比較的低い診断カバレッジ(通常60-70%)を要求する最低の自動車安全整合性レベルを表します。ASIL Dは、包括的な冗長性、広範な診断、>99%の単一点障害カバレッジを要求する最高レベルを表します。アナログ信号チェーンの場合、ASIL D設計は通常、デュアルまたはトリプル冗長性、継続的な自己テスト、高度な障害検出メカニズムを必要とし、ASIL A設計は基本的な監視を持つ単一チャネルを使用する可能性があります。

自動車信号チェーンに商業グレードの部品を使用できますか?

商業グレードの部品は、以下の理由から一般的に自動車アプリケーションには適していません:

  • 不十分な温度定格(通常0°C~+70°C対自動車用-40°C~+125°C)
  • 信頼性のためのAEC-Q100適合の欠如
  • 機能安全文書(FMEDA、安全マニュアル)の欠如
  • 予測不可能なサプライチェーンと廃止管理

ASIL適合設計には常に、適切な温度グレードと機能安全サポートを持つAEC-Q100適合部品を使用してください。

信号チェーンの診断カバレッジをどのように計算しますか?

診断カバレッジは、検出された危険障害と総危険障害の比率として計算され、パーセンテージで表されます:

診断カバレッジ = (検出された危険障害 / 総危険障害) × 100%

信号チェーンの各部品について:

  1. すべての可能な故障モードを特定
  2. 各モードを安全または危険として分類
  3. どの安全メカニズムが各危険障害を検出するかを決定
  4. 検出された危険障害の故障率を合計
  5. 総危険障害率で除算

ISO 26262は、安全メカニズムタイプに基づいて典型的な診断カバレッジ値のガイダンステーブルを提供します。

ASIL DとASIL Bの開発コストの典型的な増加はどのくらいですか?

ASIL Dの適合性を達成することは、通常、以下の理由でASIL Bと比較して開発コストを3-5倍増加させます:

  • 冗長ハードウェア部品(2-3倍の部品コスト)
  • 安全分析と文書化のための追加エンジニアリング作業
  • 第三者認証コスト
  • 拡張された妥当性確認とテスト要件
  • 診断と監視機能のためのより複雑なソフトウェア

しかし、これらのコストは、多くの場合、アプリケーションの重要性によって正当化され、高い生産ボリュームで償却することができます。

ASIL適合システムでセンサー障害をどのように処理しますか?

センサー障害の処理は、アプリケーションの重要性に依存します:

ASIL A/Bアプリケーションの場合:

  • 範囲外または不自然なセンサー値を検出
  • 障害コードを設定し、警告ランプを点灯
  • デフォルト値またはリムホームモードを使用

ASIL C/Dアプリケーションの場合:

  • 投票ロジックを持つ冗長センサーを使用
  • 関連する測定を相互チェックするためにセンサーフュージョンを実装
  • 冗長性が失われた場合は安全状態に移行
  • 可能な場合は、突然のシャットダウンではなく優雅な劣化を提供

常に各特定のアプリケーションの安全状態を考慮—気候制御システムにとって「安全」なことは、ステアリングシステムにとって安全なこととは異なります。

アナログ信号チェーンの安全性においてソフトウェアはどのような役割を果たしますか?

ソフトウェアは、アナログ信号チェーンで高いASILレベルを達成するために不可欠です:

診断実行:ソフトウェアは、ハードウェア単独では提供できないBISTルーチン、妥当性チェック、障害検出アルゴリズムを実装します。

障害応答:ソフトウェアは、検出された障害への適切な応答を決定し、安全状態への移行と障害記録を含みます。

キャリブレーションと補償:ソフトウェアは、動作条件全体で精度を維持するために、温度補償、線形化、およびキャリブレーションを適用します。

通信:ソフトウェアは、信号チェーン部品とシステムコントローラー間の安全に重要な通信を管理し、エンドツーエンド保護を含みます。

ISO 26262 Part 6は、コーディング標準、テスト、および検証方法を含むソフトウェア開発要件に対処します。

アナログ信号チェーンの自己テストをどのくらいの頻度で実行すべきですか?

自己テストの頻度は、障害許容時間間隔(FTTI)—障害発生と潜在的な危険事象の間の時間—に依存します:

電源投入時自己テスト(POST):システムを通常動作に移行する前に、すべての車両起動時に包括的なテストを実行。

継続的監視:動作中に非侵襲的な診断(基準監視、妥当性チェック)を継続的に実行。

定期的なBIST:アイドル期間中または定義された間隔で、より包括的なテストを実行。例えば、これらの測定が不要な期間中に未使用のADCチャネルをテスト。

診断テスト間隔は、安全への影響の前に障害検出を確保するために、FTTIより大幅に短くなければなりません。重要なシステムの場合、これはミリ秒単位のテスト間隔を必要とする場合があります。

既存の信号チェーンデザインをより高いASIL適合性にアップグレードできますか?

既存のデザインをより高いASILにアップグレードすることは可能ですが、慎重な分析が必要です:

ASIL AからASIL Bへ:ハードウェア変更なしに、強化されたソフトウェア診断と追加のテストを通じて達成できることが多い。

ASIL BからASIL Cへ:追加のハードウェア冗長性またはより高度な診断を必要とする場合があります。既存の部品に十分な診断機能がない場合、部品のアップグレードが必要な場合があります。

ASIL CからASIL Dへ:通常、デュアルまたはトリプル冗長性を持つ大幅な再設計を必要とします。単一チャネルアーキテクチャは、ソフトウェアの複雑さに関係なくASIL Dを達成できません。

アップグレードする場合、危険分析、安全要件、妥当性確認テストを含む、安全ライフサイクル全体を再検討してください。

結論

自動車向けISO 26262準拠アナログ信号チェーンソリューションを設計することは、機能安全原則の包括的な理解、慎重な部品選択、厳格な設計手法を要求します。最初の危険分析からFMEDA文書化と第三者認証まで、すべての段階で、現代の自動車システムの性能要件を満たしながら安全を優先する必要があります。

ASIL適合信号チェーン設計への投資は、車両安全性の向上、責任リスクの低減、機能安全にますます焦点を当てている業界での競争優位性を通じて配当を支払います。電気自動車、自動運転、先進運転支援システムが進化し続ける中、堅牢で認定されたアナログ信号チェーンの重要性はますます高まります。

本ガイドで概説されている原則—高ASILレベルのための冗長性、包括的な診断、適切な部品選択、徹底した文書化—に従うことで、エンジニアは、自動車アプリケーションが要求する厳格な要件を満たしながら、ISO 26262の厳格な要件を満たすアナログ信号チェーンを開発できます。

自動車電子機器の未来は、物理世界を正確かつ確実に感知する私たちの能力に依存しています。自動車向けISO 26262準拠アナログ信号チェーンソリューションは、その能力の基盤を提供し、すべての測定がより安全でより信頼性の高い車両に貢献することを保証します。

タグとキーワード

ISO26262, 自動車機能安全, アナログ信号チェーン, ASIL適合, 信号コンディショニング, 自動車電子機器, ADAS, バッテリー管理システム, 機能安全, 信号整合性, 自動車センサー, 安全に重要なシステム, EMC設計, 障害耐性, 自動車ADC, 安全整合性レベル, トルクセンサー, ブレーキバイワイヤ, 電気自動車, 信号チェーン設計

Tags: , , , , , , , , , , , , , , , , , , ,

Previous:

相关推荐

CHAOBRO

We will reply within 24 hours.

2026-04-17 23:48:52

Hello, please contact us if you have any questions!

We have received your work order and will contact you as soon as possible!
取消
[QQ Customer Service]
2781198
Add me on WeChat
[Contact by phone]
+8613267091606
[e-mail]
chao.open@gmail.com
[CHAOBRO]
+8613267091606
[chaoneo]
chaoneo
Choose a chat tool: