「機能安全」の導入で何が変わるのか?:ISO 26262 準拠に向けての課題を探る(5/5 ページ)
自動車向けの機能安全規格ISO 26262の策定作業が最終段階に入った。この規格では、機能安全を実現し、それを証明するために必要となる開発プロセスが定められる。では、その新たな開発プロセスは、従来の開発プロセスとどのように異なり、それを適用する際にはどのようなことが課題になるのだろうか。本稿ではまずこの点を明らかにする。加えて、機能安全を実現する上でポイントとなるマイコンについて、各メーカーの取り組みの様子を紹介する。
■シングルコア密結合方式
上述したように、多くのマイコンメーカーがデュアルロックステップ方式を採用している。それに対して、東芝が提唱しているのが「シングルコア密結合方式」である。この方式では、1個のプロセッサコアと、そのプロセッサコアの動作を監視するコプロセッサを用いる。プロセッサコアとコプロセッサが密接に連携しているので、密結合方式と呼ばれている。
東芝は、プロセッサコアとしてARM社の「Cortex-M3」もしくはCortex-R4Fを、コプロセッサとしてイタリアYogitech社の機能安全規格向けハードウエアIP(Intellectual Property)を採用している。Yogitech社が提供するコプロセッサは、ARM社のプロセッサコアの命令によって動作するとともに、ARM社のプロセッサコアの内部信号まで監視することを特徴としている(図5)。東芝 セミコンダクター社でシステムLSI事業部 車載システム応用技術部の部長を務める鷺直和輝氏は、「デュアルロックステップ方式は、プロセッサコアの外部に出力する信号を比較することにより動作の監視を行っている。これに対してARM社のプロセッサコアとYogitech社のコプロセッサを組み合わせるシングルコア密結合方式の場合、プロセッサコア内の論理回路のどこで故障が発生したのかも検知することが可能だ」と語る。
また、シングルコア密結合方式は、デュアルロックステップ方式に対して、チップ上の回路面積やソフトウエアの規模を抑えられるというメリットもある。東芝の試算によれば、電源回路などの周辺機能も冗長化したデュアルロックステップ方式を採用するマイコンの場合、安全機構を持たないシングルコアのマイコンと比べて回路面積が約2.7倍になる。一方、同社のシングルコア密結合方式であれば、回路面積は約1.4倍に抑えられるという。また、安全機構を持たないシングルコアマイコンで用いるソフトウエアの規模に対する増加量は、シングルコア密結合方式では、周辺機能を冗長化したデュアルロックステップ方式の場合に生じる増加量の約18%程度に抑えることが可能だ。鷺直氏は、「ソフトウエア規模の増大を抑えられたのは、プロセッサコアの動作監視の多くの部分をYogitech社のハードウエアIPが担っているからだ。これまで、車載電子システムの故障検出の仕様は、自動車メーカーやティア1サプライヤによって異なっていたため、ソフトウエアで対応するしかなかった。それに対し、ISO 26262では、故障検出の仕様に最低限の規定が設けられている。つまり、このISO 26262で規定されている故障検出の動作について、ハードウエアIPを利用するという選択肢が出てきたということだ」と強調する。
東芝は、シングルコア密結合方式と、独自開発のRDC(Resolver to Digital Converter)回路やモーター制御用IPを組み合わせた、電動システム向けのマイコンを開発中である。2010年末までに、特定顧客に対して試作サンプルを供給する予定だ。一般顧客向けのサンプル出荷は、2011年中ごろを想定している。
現行マイコンを用いた対応
ドイツInfineon Technologies社は、32ビットのプロセッサコア「TriCore」を搭載する現行のマイコン「XC2000シリーズ」をそのまま用いながら、機能安全規格に対応する手法を提案している。インフィニオン テクノロジーズ ジャパンのオートモーティブ事業本部マーケティング部でマイクロコントローラ担当の部長を務める横山治彦氏は、「TriCoreは、通常のプロセッサコアとしての機能以外に、周辺機能の制御を行うPCP(Peripheral Control Processor)という回路を搭載している。このPCPを、冗長化回路として利用することができるので、機能安全規格に対応するために新たなデュアルコアプロセッサを開発する必要がなかった」と述べている。
ただし、IEC 61508のSIL 3やISO 26262のASIL Dは、XC2000シリーズだけでは実現できない。「PRO-SIL」という、PCPと連携して機能安全規格に関連する情報を管理する専用の「セーフティIC」、追加のソフトウエア、そしてInfineon社のサービスサポートを組み合わせた仕組みが必要になる。さらに、PRO-SILを適用する際には、車載電子システムのソフトウエアが、車載ソフトウエアの標準規格であるAUTOSARに準拠していることが前提となる。これは、ソフトウエア構造が階層化されているAUTOSARに準拠していなければ、先に述べた追加のソフトウエアを容易に組み込むことができないからである。
Infineon社は、90nmプロセスで製造している現行のXC2000シリーズでは、PRO-SILのみで機能安全規格に対応する方針だ。なお、同社は、台湾TSMC(Taiwan Semiconductor Manufacturing Company)社と共同開発する65nmプロセスを用いた次世代車載マイコンについては、設計段階からISO 26262への準拠を目指すことを発表している。
Copyright © ITmedia, Inc. All Rights Reserved.