「機能安全」の導入で何が変わるのか?:ISO 26262 準拠に向けての課題を探る(4/5 ページ)
自動車向けの機能安全規格ISO 26262の策定作業が最終段階に入った。この規格では、機能安全を実現し、それを証明するために必要となる開発プロセスが定められる。では、その新たな開発プロセスは、従来の開発プロセスとどのように異なり、それを適用する際にはどのようなことが課題になるのだろうか。本稿ではまずこの点を明らかにする。加えて、機能安全を実現する上でポイントとなるマイコンについて、各メーカーの取り組みの様子を紹介する。
マイコンに安全機構を適用、ASIL Dの達成を可能に
ISO 26262に準拠した車載電子システムを開発するには、搭載する半導体や電子部品についてもさまざまなことが求められる。特に、最高レベルの安全性を求められるASIL Dを達成するためには、ECUの中核を成すマイコンに高い安全性を実現できるような仕組みを盛り込むことが必要になる。ここからは、ASIL Dの達成に向けたマイコンメーカーの取り組みを紹介する。
目標故障率と故障検出率
ISO 26262では、車載電子システムのハードウエアに発生する故障については、統計的手法によって算出される故障の発生頻度(故障率)を用いて評価を行うことになっている。特に、ASIL Dのように、高い安全性レベルが求められる電子システムのハードウエアを構成する半導体/電子部品については、表2に示すような目標故障率を満たす必要がある。
ここで、ASIL Dの目標故障率の10−8/hというのは、半導体/電子部品業界で広く用いられているFIT(Failure in Time:1FITは10億時間当たりに1回の故障が起きる確率)で表すと10FITに相当する。しかし、車載マイコンの故障率は最高でも20FIT程度と言われており、10FITには満たない。これでは、ASIL Dの電子システムに、車載マイコンを用いることができないことになる。
この問題を解決するのが、故障検出率という指標である。一定の確率で故障が発生するのは仕方がないとしても、発生した故障を検出する仕組み(安全機構)を組み込んでおけば、最終的に実害が発生する確率を、半導体/電子部品の故障率よりもさらに低減することができる。そうした安全機構によって故障を検出できる確率が、ここで言う故障検出率である。
故障検出率については、表2のように、ASILのB〜Dに対して、SPFM(Single Point Failure Metrics)というタイプの故障と、LFM(Latent Failure Metrics)というタイプの故障に分けて目標値が設定されている。なお、SPFMでは、車載電子システムの安全に直接影響するような故障を検出する安全機構が備えるべき故障検出率の指標が示される。一方、LFMでは、故障を検出するための安全機構で発生する故障を検出するための指標が示される。
プロセッサコアの監視
ISO 26262の正式発行に向けて、車載マイコンメーカーが取り組んでいるのが、ASIL Dを満たすことが可能な安全機構を持ったマイコンの開発である。各メーカーが共通して導入している安全機構としては、RAMやフラッシュメモリーなどに付加するECC(誤り検出訂正)回路や、自己診断を行うBIST(Built in Self Test)回路などが挙げられる。これらに対して、メーカーごとに方式が異なるのが、マイコンのプロセッサコアの動作を監視するのに用いられている安全機構である。
■デュアルロックステップ
ASIL Dを達成するためのプロセッサコアの動作を監視する安全機構として、最も一般的な方式がデュアルロックステップである。同方式では、1つのダイに搭載した2つのプロセッサコアのクロックを同期させながら、それぞれのコアで同じ処理を行う。そして、それぞれのコアの処理結果を比較回路で比較して、同じ処理結果だったときだけ実行する。
デュアルロックステップ方式を採用しているのは、米Texas Instruments(以下、TI)社、ルネサス エレクトロニクス、米Freescale Semiconductors社、スイスSTMicroelectronics社などである。
TI社は、英ARM社のプロセッサコア「Cortex-R4F」を2つ搭載し、デュアルロックステップ方式を採用したマイコン「TMS570シリーズ」を展開している(図4)。現在、製造プロセスが130nmで、最大動作周波数が160MHzの品種「LS2x」のサンプルを出荷している段階だ。また、LS2xについては、開発キットの販売も行っている。TMS570シリーズの特徴は、ISO 26262がベースとしているIEC 61508の安全性要求レベルSIL(Safety Integrity Level)のレベル3を満足する製品として、ドイツexida社からの認証を得ていることである。日本テキサス・インスツルメンツのオートモーティブマーケティング システムグループで主査を務める三根清氏は、「TMS570シリーズはIEC 61508だけでなく、ISO 26262のASIL Dも満たすことのできる製品に仕上がっている」と述べている。さらに、2010年末には、65nmプロセスで製造し、最大動作周波数が180MHzの「LS3x」を発表する予定。そして、2011年までには、最大動作周波数が225MHzの「MC4x」を投入する計画だ。三根氏は、「TI社では、マイコンとDSPを合わせて、『組み込みプロセッシング製品』と呼んでいる。ISO 26262への対応で先行するなどして、車載向け組み込みプロセッシング製品の売上高を、現在の約3億米ドルから、10年後には10億米ドルまで伸ばすことが目標だ」と語る。
ルネサスは、シャーシ系システム向けの32ビットマイコンとして、デュアルロックステップ方式によりASIL Dを満たす製品を開発中である。ルネサスのMCU事業本部で自動車システム統括部長を務める金子博昭氏は、「顧客である自動車メーカーやティア1サプライヤが、最優先でASIL Dを達成すべき車載電子システムとして考えているのは、シャーシ系システムの1つである電動パワーステアリング(EPS)だ。そのため、シャーシ系システム向けのマイコンから対応を進めている」と語る。同社のシャーシ系システム向けマイコンには、旧NECエレクトロニクスの「V850」コアと旧ルネサス テクノロジの「SH-2A」コアを用いた製品がある。これらのうち、V850コアの製品については、2010年3月に、IEC 61508のSIL 3を満たすマイコンであるという認証取得を完了している。また、SH-2Aコアの製品についても、2010年内にIEC 61508のSIL 3の認証を取得する予定である。
Freescale社は、Powerアーキテクチャベースの32ビットプロセッサコア「e200」を2つ搭載するマイコン「MPC564xL」により、ASIL Dへの対応を進めている。MPC564xLの製造プロセスは90nmで、動作周波数は120MHz。すでにサンプル出荷を開始しており、2011年1〜3月期から量産を始める予定だ。
MPC564xLは、プロセッサコアだけでなく、電源管理ユニット、タイマー関連機能、メモリーコントローラユニットなどのサブシステムも2系統分搭載していることを特徴としている。また、機能安全規格に対応するために、温度/電圧/クロックに関する情報の管理と制御を行うFCCU(Fault Collection&Control Unit)を新たに搭載した。さらには、デュアルロックステップ方式の動作だけでなく、2つのプロセッサコアに処理を分散して性能を向上する動作モードも備えている。フリースケール・セミコンダクタ・ジャパンのマーケティング本部 オートモーティブ マーケティングでMCUマーケティングマネージャを務める武藤功二氏は、「デュアルロックステップ方式は、ISO 26262がベースとするIEC 61508などで長く熟成されてきた技術だ。ASIL Dへの対応も、同方式が基軸となるだろう」と見ている。
なお、MPC564xLのプラットフォームは、Freescale社とSTMicroelectronics社が共同開発し、2009年10月に発表したものである。STMicroelectronics社は、このプラットフォームを用いた機能安全規格対応のマイコン製品として「SPC56EL」を展開している。
ちなみに、Freescale社は、ASIL B〜Cを達成できるシングルコアマイコン「MPC560xP」のサンプル出荷も開始している。MPC560xPは、プロセッサコアとしてe200を1つ搭載するだけだが、追加機能としてFCU(Fault Collection Unit)を搭載することを特徴としている。FCUは、温度/電圧/クロックに関する情報を管理する回路である。FCCUとは異なり、それらの情報の制御は行わない。武藤氏は「MPC560xPは、ASIL Dを達成できるマイコンではない。しかし、既存の32ビットマイコンとほぼ変わらない価格でASIL B〜Cを達成できるので、一定の需要があるだろう」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.