バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

2018 Mar. vol.109

ASIL対応IPを使用してISO 26262認証を達成する方法

画像

表1:故障モードの影響対策としてISO 26262で定義された各種の軽減手法とその効果

ISO 26262では完全なハードウェア冗長化が最も有効な安全メカニズムとして推奨されており、一部のASIL Dシステムで採用されています。 その他のメカニズムを、その効果に着目して分類すると次のようになります。

  • 高:コンフィギュレーション・レジスタ・テスト、メモリー上の誤り検出符号、タイムアウト監視/フレーム・カウンタ/情報冗長化の組み合わせ
  • 中:複数ビットのハードウェア冗長化、タイムアウト監視、フレーム・カウンタ、情報冗長化
  • 低:ワード単位のパリティ・ビット

たとえばデータパスに障害が発生して1ピクセルが欠落するのも故障には違いありませんが、製品の動作モード切り替えを司るコンフィギュレーション・レジスタに障害が発生した場合の方が故障としては重大です。 したがって、安全メカニズムの実装という観点では、コンフィギュレーション・レジスタを保護することが特に重要です。

これで、指定した安全機能の影響をFMEDAレポートで定義できます。安全機能は次の3つのカテゴリに分類されます。

  • 保護メカニズム:SoCアーキテクチャに含まれるIPなど、さまざまな製品間のインターフェイスを保護する、エラスティック・バッファを適切に保護する、データパスとコンフィギュレーション・レジスタをパリティで保護する、 読み出しと書き込みの両方をECC(誤り訂正符号)で保護する、などがあります。
  • 複製:重要なモジュールを二重化または三重化し、多数決ロジックを使用して冗長性を確保します。
  • その他:すべてのステート・レジスタに対するパリティ・チェック、シングル・サイクル・パルス妥当性、各種の専用割り込み、不正ステートに対するホット・ステート・マシン保護などがあります。

ISO 26262の機能安全認証を取得するには、FMEDAレポートの作成、適用すべきASILレベルに対応した安全機能を定義した安全計画の指定、安全管理者の任命、 すべてのマイルストーンの文書化およびすべてのステークホルダーとの文書レビューなど、非常に厳格なプロセスを実行する必要があります。このセクションでは、このプロセスについて簡単にご説明しました。

オートモーティブ特有のその他の要件

オートモーティブSoCはISO 26262の機能安全要件を満たすだけでなく、オートモーティブ特有の信頼性と品質の要件も満たす必要があり、そのためには開発チームを含むサプライ・チェーン全体の取り組みが必要です。

IPをはじめ、すべてのオートモーティブ製品は車載向けのAEC-Q100で定義された信頼性要件を満たしている必要があります。オートモーティブ製品の信頼性は、コンシューマ製品よりもはるかに高温の動作モードをいくつか使用して、 PPM(Parts-Per-Million)という単位の故障率として示されます。このため、SoCおよびIP設計者はターゲット・アプリケーションに応じて製品の設計とテストに適用する温度プロファイルを独自に指定します。 IPプロバイダは、IPが信頼性目標を満たしているかどうか、そして温度がトランジスタやエレクトロマイグレーション解析にどのように影響するかを確認しておく必要があります。 また、IPデザインに適用されるオートモーティブ特有の規則(付帯規則を含む)がないか、IPプロバイダとファウンドリが緊密に協力して確認する作業も必要です。

自動車サプライ・チェーンでは、オートモーティブ特有の品質管理要件を満たした製品開発が求められます。そこで、品質マニュアルやコンプライアンス・レポート以外にもDFMEA(設計故障モード影響解析)レポートを作成し、 SoCとそのコンポーネントが自動車サプライ・チェーンで要求されるオートモーティブ特有の品質管理要件を満たしていることをすべてのステークホルダーに報告する必要があります。

まとめ

自動車には機能安全、信頼性、品質に関して厳しい要件が存在し、オートモーティブSoCとその半導体コンポーネント(IPなど)はこれらの要求事項を満たしている必要があります。 機能安全に関しては、自動車サプライ・チェーン全体でISO 26262の要求事項を満たして認証を取得し、オートモーティブSoCの設計期間を短縮する必要があります。 認証プロセスは開発の最初の段階から始め、多くの工程からなるその詳細なプロセスを文書化してすべてのステークホルダーに報告する必要があります。
開発チームは製品のASILレベル、安全機能およびその効果を記載したFMEDAレポートを作成します。安全管理者は、製品設計の各工程およびマイルストーンですべてのステークホルダーと一緒にこのレポートをレビューします。 設計エンジニアと検証エンジニアも開発チームの一員として参加することが推奨されます。

また、SoC設計者およびIPプロバイダはオートモーティブ特有の信頼性および品質管理に関する要件も満たす必要があります。SoCを構成するすべてのコンポーネントが、AEC-Q100で定義された各種温度条件で高い信頼性レベルを達成する必要があります。 品質マニュアル/レポート、コンプライアンス・レポート、DFMEAレポートはすべてのステークホルダーと共有し、オートモーティブ品質管理によって定義されたとおりの品質が達成されていることを確認する必要があります。

ASIL対応IPを用いてISO 26262認証を達成する方法の詳細は、オートモーティブSoC向けDesignWare IPのページをご参照ください。

カテゴリートップ