自動運転車がシステム異常時にも安全な場所まで走るには：車載半導体（2/2 ページ）

[齊藤由希，MONOist]

「システム異常時でも安全な場所まで走る」ということ

　デモ車両の特徴は、自動車向けの機能安全規格ISO 26262で最も厳しい安全要求レベルASIL Dに対応した「フェイルオペレーション」を搭載したことと、25Wという低消費電力を実現した点にある。

　フェイルオペレーションは、緊急時に車両が制御不能になることなく安全に停止させる「フェイルセーフ」に対し、安全な場所まで走行を継続することを指す。デモでは、一部のCPUの故障やハッキングが起きた後に、事前に設定された退避場所まで走行する様子を見ることができた。

ハッキングやCPUの異常が発生すると自動運転のまま安全な場所に退避する。高速道路にある非常駐車帯のようなスペースがパイロンで作られている（クリックして拡大）

自動運転で退避中の車内。インストゥルメントパネルに内蔵された車載情報機器の画面がハッキングされたこと示している（左）。悪意のある攻撃を監視している正常な様子（右）（クリックして拡大）

　「高速道路など自動車専用道路には非常駐車帯が設けられているが、一般道の場合には路肩や、センサーが一定の幅を検知したスペースに退避することになるのではないか。また、追い越し車線より走行車線の方が車両の通行スピードが遅いことなどを踏まえて、退避場所を具体的に定義していくことになるだろう」（ルネサス エレクトロニクス 第一ソリューション事業本部 セーフティ・ソリューション事業部 シニアエキスパートの吉田直樹氏）

荷室に車両を制御するためのHADソリューションキットなどが置かれていた（クリックして拡大）

　CPUに故障や異常が起きても自動運転システムの判断機能を維持するため、3個のCPUで多数決を行っている。1個のCPUが故障しても、2個のCPUの答えが一致すれば自動運転を継続する。デモ車両で処理を担っているのは、2台の「HADソリューションキット」だ。SoC「R-Car H3」が合計4個搭載されており、3個でライダーとレーダー、V2Xの入力を統合処理する。残り1個はカメラ情報の入力と処理を担当する構成となっている。

　HADソリューションキット1台には、2個のR-Car H3の他にシャシー制御用マイコン「RH850／P1H-C」を搭載している。RH850は、R-Car H3がつながっている車載イーサネットを監視し、異常なデータをR-Car H3に破棄させる。デモ車両は、ハッキングを受けると、車載イーサネットを使わずにCANで車両を制御して安全な場所まで退避する。

　デモ車両は、4個のR-Car H3と2個のRH850を消費電力25Wで動作させている。「低消費電力とサイバーセキュリティ、フェイルオペレーションは、半導体メーカーならではの提案だ」（吉田氏）

2018年に向けて

　2018年のCESに向けてデモ車両の自動運転システムを進化させる計画だ。8個のR-Car H3を使用するとしている。「今回のデモ車両で、3個のCPUが多数決していたのは前方のセンシングが対象。次のデモ車両では、8個全てを前方監視に使うのではなく、側方や後方のセンシングにもCPUを割り振り、それぞれの方向に対して多数決を行う形にしていく。消費電力は倍増の50Wにならないように抑えていきたい」（吉田氏）。