ASILとは、Automotive Safety Integrity Level(自動車安全水準)のことです。ASILは道路を走行する車の機能安全に関する、ISO 26262規格で定義されたリスク分類システムです。
この規格は機能安全を「電気・電子システムの機能不全のふるまいにより引き起こされるハザードを原因とする不合理なリスクの不存在」と定義しています。ASILは、ISO 26262に準拠する車載コンポーネントの危害発生の可能性と許容可能性に基づいて安全性要件を定めています。
ASILにはISO 26262 A、B、C、Dで識別される4つの段階があります。ASIL Aは自動車のハザードの程度が最も低く、ASIL Dは最も高いことを示します。
エアバッグ、アンチロック・ブレーキ、パワーステアリングなどのシステムは故障に伴うリスクが最も高いため、安全を確保するための最も厳しい要件であるASIL-Dグレードが求められます。安全性スペクトルの対極にあるバックライトなどのコンポーネントはASIL-Aグレードで事足ります。ヘッドライトやブレーキランプには一般にASIL-B、クルーズコントロールには一般にASIL-Cが適用されます。
ASILはハザード分析とリスクアセスメントの実施によって定められます。自動車の各電子部品について、エンジニアは次の3つの変数を評価します。
以上の各変数がさらに細かく分類されます。重大度は「負傷なし」(S0)から「生命を脅かす/致命的な負傷」(S3)までの4段階に分類されます。曝露確率は「非常に確率が低い」(E0)から「非常に確率が高い」(E4)までの5段階に分類されます。制御可能性は「総じて制御可能」(C0)から「制御不能」(C3)までの4段階に分類されます。
各変数と小分類を分析し、組み合わせて必要なASILを判定します。たとえば、最高のハザード(S3 + E4 + C3)の組み合わせはASIL Dに分類されます。
ASILの判定には多くの変数が関与し、エンジニアはさまざまな場面を仮定する必要があります。たとえば、コンポーネントが「制御不能」(C3)と想定され、機能不全が生じた場合には「生命を脅かす/致命的な負傷」(S3)を引き起こす可能性があるとされたとしても、ハザードへの曝露の確率が低ければ(E1)、ASIL A(低リスク)に分類される可能性があります。
ASILの定義は規範というよりも情報提供の要素が強く、解釈の余地があります。しかも大きな余地です。ASILの用語には「通常」、「可能性がある」、「可能性が高い」、「可能性が低い」といった曖昧な表現が用いられています。「通常」は負傷を回避すると言った場合、その確率は60%でしょうか、それとも90%でしょうか? ブラックアイスバーンへの曝露の確率はタヒチとカナダでは同じでしょうか? 交通量についても、ロサンゼルスのラッシュアワーと、オーストラリアのアウトバックに延々と続く無人の道路での昼前とでは違わないでしょうか?
つまり、ASILの分類は文脈と解釈によって異なるということです。
ASILの判定に推測が関与することに鑑みて、Society of Automotive Engineers(SAE)は2015年にJ2980「Considerations for ISO 26262 ASIL Hazard Classification(ISO 26262 ASILハザード分類のための考察)」の草案を作成しました。このガイドラインは特定のハザードの曝露確率、重大度、制御可能性の評価に関する指針をより明快に提示しています。J2980は進化を続け、SAEは2018年に改訂版を発行しました。
自動運転車の進化に伴い、現在は人間のドライバーについて定めているISO 26262の「制御可能性」の定義を改定する必要が出てくるでしょう。この規格の現在の定義に従えば、人間の運転手が不在であれば「制御可能性」は常にC3、つまり極度に「制御不能」になります。他の変数である重大度(負傷)と曝露確率(可能性)も間違いなく再検討が必要になります。
ISO 26262は「危害の回避」を目指す目標に基づいた規格です。課題はあるものの、ASILの分類は「危害の回避」を目的とし、長く、多くの場合につながりのないサプライチェーン全体にわたる多数の自動車部品について、可能な限り質の高い評価を実現するために有益です。
ASILの主な利点を以下に示します。
安全パッケージを備えたシノプシスのDesignware IP製品群はASIL BおよびDに適合したISO 26262認証を取得済みで、セーフティ・クリティカルな用途向けに作られています。また、シノプシスのASIL認証取得済みのIPは先進運転支援システム(ADAS)などの用途向けのSoC開発を迅速化します。
安全パッケージは安全性評価を迅速化し、目標となるASILへの到達を支援するために、故障モード影響診断解析(FMEDA)レポート、安全マニュアル、認証レポートで構成されています。DesignWare IPを利用することで、サプライチェーンのリスクが低減し、SoCレベルの機能安全の実現に関する全工程(要求仕様、設計、実装、統合、検証、証明、コンフィグレーション)が迅速化します。