バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

2017 May Spring vol.106

安全性が重視されるハイボリューム・アプリケーション向けプロセッサ

シノプシス ARC EMプロセッサ担当プロダクト・ライン・マネージャー  Angela Raucher

しかしながら、前述したように、ASIL Dを満たすにはセーフティ・クリティカルなパスにあるアプリケーション・プロセッサ・コアをロックステップ・モードで動かす必要があります。そのためには、別途シャドウ・コアを用意し、出力を比較して故障を検出するモニタ機能を設ける必要があります。当然ながら、実現はそう容易ではありません。共有メモリーも必要ですし、出力信号がモニタ機能に届きやすいようにしなければなりません。また、両方のコアに同時に影響を与えるような事象が引き金となって故障が発生するおそれがありますので、その対策も必要です。つまり、必要とされるハードウェア安全機能を満たすプロセッサ・コアがあったとしても、ロックステップを実装するにはなお膨大な作業や経験が必要なのです。

このもう1つのギャップを解消するため、シノプシスはARC EM Safety Islandsを市場に投入しました。Safety Islandsは、ASIL D認証を取得した、構築および検証済みのプロセッサです。デュアルコア・ロックステップ方式を採用し、セルフチェック・セーフティ・モニタを組み込んでいます(図1)。Safety Islandsによって、開発期間はさらに短縮され、単純な設計によって最高レベルの自動車安全を実現できます。

図1:セーフティ・モニタを組み込んだデュアルコア・ロックステップの実装例

図1:セーフティ・モニタを組み込んだデュアルコア・ロックステップの実装例

Safety Islandsは、ARC EMプロセッサをベースとし、ECCやプログラマブル・ウォッチドッグ・タイマなど、システム障害やランタイム障害を検出するためのハードウェアの機能が盛り込まれています。プロセッサのロックステップ・インターフェイスを使用し、内蔵のセーフティ・モニタが出力を比較して故障を検出します。また、Safety Islandsは故障モード影響診断解析(FMEDA)レポートなどの安全関連文書により品質が保証されています。FMEDAレポートには、チップやシステムのレベルでのISO 26262 ASIL D認証は容易に取得できる、という結果も出ています。さらに、MetaWare Toolkit for Safetyを利用することによって、ISO 26262に準拠したARCプロセッサ向けソフトウェアの開発、デバッグ、最適化を容易に行うことができます。

ADAS、レーダー、センサーなど、ターゲットとなるアプリケーションによって、安全や性能、面積に対する要件はそれぞれ異なりますが、Safety IslandsはARC EMプロセッサ自身と同様、それらの要件に合わせて設定や拡張が可能となっています。また、EM Safety Islandの2つのコアは独立したデュアルコア・モードで動作することもできます。ASIL Bレベルの、ロックステップの実行を必要としないアプリケーションでは、デュアルコア・モードで動作させればより高い性能が得られます。さらに、システムレベル保護やレイテンシなどの要件を満たすため、メモリー保護ユニット(MPU)やmicroDMAなどのオプションも提供されています(図1)。これらのオプションは各プロセッサ・コアに密結合しているので冗長性が高く、ICの単一障害点がより少なくなっています。セルフチェック・セーフティ・モニタはパリティ付きの時間ダイバーシティでデータのやり取りをしているため、2つのコアに同時にノイズ・パルスが入ってもシステムのインテグリティが維持されます。

まとめ

セーフティ・クリティカルな車載アプリケーションの要件を満たそうとすると、コストと時間が増加し、ICの設計は複雑になります。ARC EM Safety Islandsのように、検証済みでコンフィギュラブルな、ASIL D認証取得済みのプロセッサIPソリューションを選択すれば、小型で開発期間が短いという強みを持った競争力の高い車載製品が設計できます。

カテゴリートップ