バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

  • T&T HOME
  • What's New in DesignWare IP?
  • スマートな車載電子システムの設計と認証を容易にするセーフティ・クリティカル・アプリケーション向け高性能プロセッサ

2018 Mar. vol.109

スマートな車載電子システムの設計と認証を容易にするセーフティ・クリティカル・アプリケーション向け高性能プロセッサ

シノプシス シニア・プロダクト・マーケティング・マネージャー Michael Thompson

人間より運転の上手な自動車が登場するのも、そう遠い未来のことではありません。先進運転支援システム(ADAS)は安全性の向上と運転操作の負担軽減に大きな役割を果たすことが期待されており、その機能は急速に進歩しつつあります。 こうしたADASの機能が実用化へと向かっている要因として、より複雑な電子システムが次々と自動車に搭載されるようになると同時に、高性能マイクロプロセッサも進歩していることが挙げられます。 プロセッサ・アーキテクチャの改良とプロセス微細化によってプロセッサ性能は急速に向上しており、車両の内部や周囲の状況を分析し、状況に応じて正確な判断を下せる高度なシステムを構築できるようになっています。 しかしこのことは、自動車の乗員および周囲の人々の安全がADASシステムの正常な動作に委ねられることを意味します。自動車に搭載される電気/電子システムの機能安全に関するISO 26262規格が策定されたのはこのためです。 ISO 26262規格を自動車内のマイクロプロセッサおよびシステムに適用すると、システマティック故障の抑制または防止、およびハードウェアのランダム故障とその影響の抑制または軽減が可能になります。

これからの自動車市場で必須となるADAS

ADASは現在、車載システムを強化および自動化することによって安全性と運転者の利便性を高めることを目的として開発が進められていますが、この流れは間違いなく自動運転車へとつながっていきます。 現在のADASシステムは隠れた危険を運転者に警告し(例:死角検出)、状況によっては運転者に代わって車両を制御します(例:衝突回避)。 運転操作の自動化は運転者のストレス軽減に役立つため、ADASは多くの運転者に歓迎されており、最近ではAAC(アダプティブ・クルーズ・コントロール)や車線逸脱防止支援システムなどの機能も搭載が進んでいます。 これらの機能が更に進歩して、より多くの運転操作をADASが実行するようになると、最終的には人間の運転者が不要になります。完全自動運転車が実用化されるのはそう遠い未来のことではありません。 つまり、1台の自動車に数千個ものプロセッサが搭載される時代が数年先に迫っていることになります。

ADAS設計の課題

現在の自動車は、製造コストの35%を電子システムが占めています。2030年にはこの比率が50%まで上昇し、平均的な自動車でさえ3億行を超えるコードを各種プロセッサで実行するようになると予想されます。 自動車に搭載される電子システムが増え、運転操作の多くが自動車によって自律的に制御されるようになると、これら電子システムの機能不全は乗員の生命の危険に直結することになります。 一方で、電子システムの機能安全レベルを引き上げるに当たっては、コストとのバランスも考慮する必要があります。

自動車の電子システムに関する機能安全規格としては、2011年に策定されたISO 26262があります。この規格では4つのレベルのASIL(Automotive Safety Integrity Level)が定義されており、 車載システムが機能不全に陥った場合のハザード分析とリスク・アセスメントに基づいて該当するASILを決定します。たとえば、電子ステアリング・システムは故障すると自動車の乗員および周囲の人々に致命的な影響を与えるため、最も厳格なASIL Dに分類されます。 一方、リアビュー・カメラは故障しても多少不便を強いられるだけで生命を脅かすことはないため最も低いASIL Aに分類されます。ASIL分類の目的は、まず機能の要件を定義し、次に故障注入やしステマディック解析、 メトリック・レポートなどの必要な対策を設計時に講じることによってハードウェアのランダム故障を防止する、あるいは発生したとしてもその影響を最小限に抑えることにあります。しかし必要なASILを満たしたシステムを実装するにはコストがかかります。 今後、人命にかかわる操作を運転者の代わりに実行する電子システムが普及を続けると、機能安全のためのコストも増え続けることになります。

ASIL分類に必要なサポート

ISO 26262を導入することの目的は、開発の早期段階でリスクを分析し、適切な安全レベルを決定すること、そしてこの安全レベルを達成する方法を確立し、これをプロセス全体でどのようにテストするかを決定することにあります。 ISO 26262に準拠してデバイスを開発する際は、ハードウェアのテスト、およびそのハードウェアならびにその上で動作するソフトウェアに実装された安全機構のテストに関して特定の目標を達成する必要があります。 安全要件およびテストのレベルは、開発プロセスの早期段階で決定した目標およびASIL認証レベルによって決まります。ASILのレベルが上がるにつれ、設計期間、シリコン面積、テストの面でコストが大きく跳ね上がります。 たとえば故障注入はASIL AとBでは「推奨」扱いですが、ASIL CとDでは「強く推奨」されています。また、ASIL BではSPFM(Single Point Failure Metrics、単一障害の評価指標)が90%以上、LFM(Latent Failure Metrics、 潜在多重障害の評価指標)が60%以上を目標値としていますが、ASIL DではSPFMが99%以上、LFMが90%以上まで引き上げられます。ASIL Dで要求される高い故障検出率を達成するには、より多くのハードウェアおよびテスト回路を追加する必要があります。 たとえばメモリー・エラーに関しては1ワードあたり1ビットのパリティで90%の検出率をサポートできますが、99%の検出率を達成するには完全なエラー検出および訂正が必要です。 同様に、90%の検出率ならタイムアウト監視、ウォッチドッグ、情報の冗長化のいずれかで達成できますが、99%の検出率を達成するにはこれら3つをすべて使用する必要があります。

ASIL Dに適合したセーフティ・クリティカル・システムの実装例

車載システムは、機能安全に重要な役割を果たすものほど高いASIL認証が必要とされます。ICおよびシステムを開発する際は、デザインで使用するプロセッサおよびその他のIPを調達する際に、 製品に要求されるASIL認証のレベルに応じたASIL認証済みまたはASIL認証対応IPを採用すると認証の負担を軽減できます。ARC® HSプロセッサを使用したASIL D実装の例として、実際にビジョン・アプリケーションで使用されたものを図1に示します。 このアプリケーションは性能要求が非常に高く、HS38x4クワッドコア・プロセッサ構成を使用しています。また、ASIL Dのカバレッジ要件を満たすためにHS38x4にHS38x4シャドウ・コアを組み合わせてロックステップ構成としています。 このペアを、セーフティ・モニタを介してHS38x4コア外部にあるセーフティ・マネージャーに接続しています。セーフティ・マネージャーはコアおよびデバイス上のその他のプロセッサを監視し、問題があればホスト・プロセッサに報告します。 HS38x4には安全テスト用のエラー注入ハードウェアも含まれています。

画像

図1:ASIL Dに対応したARC HSクワッドコアの実装

カテゴリートップ