バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

2019 vol.112

ISO 26262認証済みIPを使用した統合型ADASドメイン・コントローラSoC

ISO 26262認証の実施方法

SoCまたはIP製品の標準的な開発フローは、RTLデザインから始まります。これをインプリメント、検証した後、最後にプロトタイプでハードウェアとソフトウェアのバリデーションを実行します。一方、ISO 26262に準拠した開発フローでは、この標準的な設計プロセスにいくつかの工程が追加されます。まず、開発の最初の段階(すなわちコア・アーキテクチャおよびコア仕様の定義段階)で、設計者が安全機能および目標を含む安全計画を定義します。製品チームおよび安全管理者は、最終アプリケーションに対して必要と指定した機能安全が達成されるように、安全計画およびストラテジのレビューを行います。また、安全レベル(およびシステムが障害にどのように対処するか)を評価するために、故障解析を実施することも重要です。FMEDAでは永久障害と過渡障害の両方について、その影響を評価できるように故障注入解析を実施します。これらの解析および評価結果は、ISO 26262認証プロセスの一部としてFMEDAレポートと機能安全マニュアルに明確に記述します。このプロセス全体を図2に示します。

画像

図2:標準的なSoCまたはIP設計フローにISO 26262の認証工程と要件を重ね合わせた例

ISO 26262認証プロセスでは、製品の動作にとって極めて重要な安全機能を、機能安全マニュアルで定義します。ISO 26262規格には、想定される故障を安全機能で検出する際の効果に関するガイドラインが示されています。IP製品設計の安全機能は、保護メカニズム、複製、その他の3つのカテゴリに分類されます。

  • 保護メカニズム:SoCアーキテクチャに含まれるIP間インターフェイスの保護、エラスティック・バッファの保護、データパスとコンフィギュレーション・レジスタに対するパリティ保護、読み出しと書き込みの両方に対するECC(誤り訂正符号)保護などがあります。
  • 複製:重要なモジュールを二重化(または三重化)し、多数決ロジックを使用して冗長性を確保する安全機能です。
  • その他:すべてのステート・レジスタに対するパリティ・チェック、シングル・サイクル・パルス妥当性、各種の専用割り込み、不正ステートに対するホット・ステート・マシン保護などがあります。

ISO 26262の機能安全認証を取得するには、FMEDAレポートの作成、適用すべきASILレベルに対応した安全機能を定義した安全計画の指定、安全管理者の任命、すべてのマイルストーンの文書化およびすべてのステークホルダーとの文書レビューなど、非常に厳格なプロセスを実行する必要があります。また、ISO 26262の機能安全要求への適合に加え、統合型ADASドメイン・コントローラSoCの開発チームおよびデザインIPプロバイダーを含むサプライ・チェーン全体がオートモーティブ特有の信頼性および品質要求を満たす必要があります。
自動車業界で定義されている信頼性基準を満たすには、オートモーティブSoCおよびIPが非常に低い故障率(単位:dppm)を達成できるように設計とテストを行う必要があります。自動車業界では1 dppm(100万個のデバイスに対して不良品が1個)未満の故障率が要求されるため、15年というオートモーティブ製品の寿命全体で100万個あたりの不良品を0個とする目標の設定が推奨されます。また、信頼性に関しては温度グレードの基準を満たすことも要求されます。ADASの場合、最も高い動作温度グレードはグレード1で、周囲温度125 ℃または接合部温度150 ℃への対応が求められます。オートモーティブ・サプライ・チェーンでは、各企業が独自の温度ミッション・プロファイルを製品の設計とテストに使用します。SoCおよびIP設計者が各種ADASアプリケーション向けに製品を開発する際には、開発プロセスでこれらのミッション・プロファイルを考慮に入れます。これとは別に、エレクトロマイグレーション、トランジスタの劣化や自己発熱といった要件も、デバイスの種類ごとに温度ミッション・プロファイルと照らし合わせて検討する必要があります。

まとめ

これまで車両全体に分散していたADAS ECU(電子制御装置)が集中化され、統合型ADASドメイン・コントローラへと移行する傾向が見られます。こうした新しい統合型ドメイン・コントローラでは扱うデータ量が増大するため、消費電力と面積を最小限に抑えて高い演算性能を達成する必要があります。大量のデータを処理するために64ビット・プロセッサを導入するには、最新の半導体機能、半導体プロセス技術、およびIPなどの各種テクノロジが必要となります。
統合型ADAS SoCは主にセーフティ・クリティカル・アプリケーションに使用されるため、機能安全規格ISO 26262への適合が必須となります。このことは、ADAS SoCに統合されるオートモーティブIPについても同様です。必要な認証手順を踏んで開発され、SGS-TÜV Saarなどの独立系公認審査機関による認証を受けたオートモーティブ規格認証済みIPを使用すると、SoCレベルの認証にかかる期間を短縮できます。
シノプシスのオートモーティブIPポートフォリオはISO 26262のASIL認証を受け、温度グレード1および2に適合するように設計、テストされ、オートモーティブ特有の品質管理プロセスに完全に準拠しています。詳細は、オートモーティブSoC向けDesignWare IPのページをご参照ください。

カテゴリートップ