ISO 26262認証済みIPを使用した統合型ADASドメイン・コントローラSoC

統合型ADASドメイン・コントローラSoCアーキテクチャへのシフト

米国運輸省道路交通安全局（NHTSA）が2016年8月に発表したTraffic Safety Facts Research Noteによると、「2015年の全米における交通事故死者数は前年比7.2%増の35,092人で、これは過去50年ほどの間で最も大きな増加率」となっています。これら交通事故の約94%が人為的ミスによるもので、それ以外は環境および機械系の故障が原因であると分析されています。こうした自動車事故を減らす上で、先進運転支援システム（ADAS）の重要性がいっそう高まっています。自動車事故を防ぐドライバー・アシスト機能としては、衝突被害軽減ブレーキ（AEB）、歩行者検出、サラウンド・ビュー、駐車アシスト、居眠り・脇見運転検出など多くのアプリケーションがあります。図1に、ECUを集中化した統合型ADASドメイン・コントローラSoCを示します。この構成では、多数のセンサーからのデータが中央のECUに送信され、ADASプロセッサで処理されます。

新しい統合型ADASドメイン・コントローラSoCアーキテクチャへの移行は、Delphi Automotive社（現Aptiv社）やAudi社など多くの企業の新製品発表からも見て取れます。WardsAutoのJames M. Amend氏は、「Delphi: Industry Must Go Digital or Die」の中で、「コネクティビティが強化され、最終的に完全な自動運転へと向かう中で、Delphi Automotive社は、伝統的な自動車のアーキテクチャでは近い将来これらのコンピューティング・ニーズに対応できなくなると見ています。しかし同社はそれに対する解決策を持っていると自負し、このテクノロジのインテグレータとして業界をリードしたいと考えています」と述べています。更に、「これからは自動車をデジタル・プラットフォームとして見る必要があります。クルマに対する考え方はまるで違ったものになります」というDelphi AutomotiveのシニアVP兼CTO、Glen De Vos氏の発言も紹介しています。また、audi.comには「今回登場したセントラル・ドライバー・アシスタンス・コントローラ（zFAS）は、センサー・データから周囲環境の完全なイメージを永続的に構築し、幅広い運転支援機能に役立てます。これは、相補的センサー・システム、zFAS内部の冗長的データ・フュージョン、およびレーダー制御装置の組み合わせによって実現しています」という説明があります。

データ量の増大により、ADASアプリケーションでは64ビット・プロセッサの採用が進んでいます。また、分散型アーキテクチャから集中型ECUへの移行はそれ以上に広がりを見せています。しかしECUを統合することでADAS SoCは非常に複雑になっています。この結果、ADASドメイン・コントローラSoCの開発には最先端の半導体機能とプロセス技術、そして以下のようなテクノロジが求められるようになっています。

• Ethernet：リアルタイム・データを含む大量のデータ管理、および二点間配線の削減に使用します。
  
  
• LPDDR4/4x：3200 Mb/sを超えるデータ・レートにより、車載グレードSoCのDRAMを高速化します。
  
  
• MIPI Camera Serial InterfaceおよびMIPI Display Serial Interface規格：イメージングおよびディスプレイ・アプリケーションの高速コネクティビティに使用します。
  
  
• PCI Express：4Gおよび将来の5G無線、外部SSDなどで高信頼性のプロセッサ間通信に使用します。
  
  
• 5Gおよび802.11pなどのIEEE規格：クラウドとの間での地図/画像のリアルタイム更新、車車間/路車間通信に使用します。
  
  
• ハードウェアとソフトウェアのセキュリティ対策：USB、WiFi、Bluetoothなどでやりとりされるデータを保護します。
  
  
• センサーおよび制御サブシステム：ホスト・プロセッサの処理をオフロードし、各種センサーから送信されるデータをセンサー・フュージョンによって管理します。
  
  
• 先進のプロセス・テクノロジ：従来の90 nm、65 nm、40 nmから16 nm、14 nm、更には7 nm FinFETなど先端プロセスへの移行が進んでいます。

セーフティ・クリティカルなアプリケーションでは、ADAS SoCの採用が急速に進んでいます。しかしこれらのADAS SoCでは、SoCに統合されるIPなどすべての半導体コンポーネントが機能安全規格ISO 26262に適合することが要求されます。

機能安全規格ISO 26262の要求事項への適合

機能安全規格ISO 26262は、車載システムの故障の影響をASIL（Automotive Safety Integrity Level）A、B、C、Dの4段階で定義しています（最も機能安全レベルが高いのがASIL D）。ISO 26262規格は、車載開発チームがセーフティ・クリティカル・システム向け製品を開発する際に実施、および準拠する必要のあるすべてのプロセス、開発工程、基準を定義しています。ISO 26262規格は、ハードウェアに永久故障や過渡故障を含むあらゆる種類のランダム故障が発生しても、その影響を最小限に抑えることを主要な目的の1つとしており、その手段として以下のものを挙げています。

• 製品を開発する際に機能安全要件を定義する
  
  
• より厳格な開発プロセスを採用する
  
  
• 安全文化を定義する
  
  
• ハードウェア故障の影響を最小限に抑える安全機能を実装する
  
  
• ハードウェア故障の影響を確実に軽減できるように安全機能の影響を評価、解析する

ISO 26262認証は、SGS-TÜV Saarなど業界公認の認証機関から製品やプロセスの適合性評価を受けた上で取得することができます。

ISO 26262の認証プロセスにはいくつもの手順、ポリシー、レポートが含まれ、これらを製品開発の最初の段階から始める必要があります。たとえばFMEDA（故障モード影響診断解析）では、開発チームは機能安全の観点からISO 26262遵守に関するすべての情報を記載したレポートを作成します。設計および検証エンジニアによって作成されるこのレポートはASIL評価における非常に重要な要素です。ASIL分類は規格適合性の根拠となるだけでなく、どのASIL分類に適合したデザインにすべきかという設計目標の定義、開発フローの最後でのASIL分類評価にも使います。また、開発プロセス、マイルストーンおよび製品レビューのモニターに関して十分な研修を受けた安全管理者を開発チームの外部から任命し、この安全管理者がSoC開発フロー全体で文書化とトレーサビリティの要件が規格の定義どおりに行われていることを確認します。FMEDAレポートにも、安全機能とその開発、検証に関するサマリーを記載します。このレポートには、製品に含まれる安全機能、およびこれらの製品にランダム故障を注入した場合に製品がどのように対処するのかが明確に記述されます。FMEDAレポートは作成が義務づけられており、製品レビュープロセスに携わるすべての当事者に配布されます。

ISO 26262認証の実施方法

SoCまたはIP製品の標準的な開発フローは、RTLデザインから始まります。これをインプリメント、検証した後、最後にプロトタイプでハードウェアとソフトウェアのバリデーションを実行します。一方、ISO 26262に準拠した開発フローでは、この標準的な設計プロセスにいくつかの工程が追加されます。まず、開発の最初の段階（すなわちコア・アーキテクチャおよびコア仕様の定義段階）で、設計者が安全機能および目標を含む安全計画を定義します。製品チームおよび安全管理者は、最終アプリケーションに対して必要と指定した機能安全が達成されるように、安全計画およびストラテジのレビューを行います。また、安全レベル（およびシステムが障害にどのように対処するか）を評価するために、故障解析を実施することも重要です。FMEDAでは永久障害と過渡障害の両方について、その影響を評価できるように故障注入解析を実施します。これらの解析および評価結果は、ISO 26262認証プロセスの一部としてFMEDAレポートと機能安全マニュアルに明確に記述します。このプロセス全体を図2に示します。

ISO 26262認証プロセスでは、製品の動作にとって極めて重要な安全機能を、機能安全マニュアルで定義します。ISO 26262規格には、想定される故障を安全機能で検出する際の効果に関するガイドラインが示されています。IP製品設計の安全機能は、保護メカニズム、複製、その他の3つのカテゴリに分類されます。
 

• 保護メカニズム：SoCアーキテクチャに含まれるIP間インターフェイスの保護、エラスティック・バッファの保護、データパスとコンフィギュレーション・レジスタに対するパリティ保護、読み出しと書き込みの両方に対するECC（誤り訂正符号）保護などがあります。
  
  
• 複製：重要なモジュールを二重化（または三重化）し、多数決ロジックを使用して冗長性を確保する安全機能です。
  
  
• その他：すべてのステート・レジスタに対するパリティ・チェック、シングル・サイクル・パルス妥当性、各種の専用割り込み、不正ステートに対するホット・ステート・マシン保護などがあります。

ISO 26262の機能安全認証を取得するには、FMEDAレポートの作成、適用すべきASILレベルに対応した安全機能を定義した安全計画の指定、安全管理者の任命、すべてのマイルストーンの文書化およびすべてのステークホルダーとの文書レビューなど、非常に厳格なプロセスを実行する必要があります。また、ISO 26262の機能安全要求への適合に加え、統合型ADASドメイン・コントローラSoCの開発チームおよびデザインIPプロバイダーを含むサプライ・チェーン全体がオートモーティブ特有の信頼性および品質要求を満たす必要があります。

自動車業界で定義されている信頼性基準を満たすには、オートモーティブSoCおよびIPが非常に低い故障率（単位：dppm）を達成できるように設計とテストを行う必要があります。自動車業界では1 dppm（100万個のデバイスに対して不良品が1個）未満の故障率が要求されるため、15年というオートモーティブ製品の寿命全体で100万個あたりの不良品を0個とする目標の設定が推奨されます。また、信頼性に関しては温度グレードの基準を満たすことも要求されます。ADASの場合、最も高い動作温度グレードはグレード1で、周囲温度125 ℃または接合部温度150 ℃への対応が求められます。オートモーティブ・サプライ・チェーンでは、各企業が独自の温度ミッション・プロファイルを製品の設計とテストに使用します。SoCおよびIP設計者が各種ADASアプリケーション向けに製品を開発する際には、開発プロセスでこれらのミッション・プロファイルを考慮に入れます。これとは別に、エレクトロマイグレーション、トランジスタの劣化や自己発熱といった要件も、デバイスの種類ごとに温度ミッション・プロファイルと照らし合わせて検討する必要があります。

まとめ

これまで車両全体に分散していたADAS ECU（電子制御装置）が集中化され、統合型ADASドメイン・コントローラへと移行する傾向が見られます。こうした新しい統合型ドメイン・コントローラでは扱うデータ量が増大するため、消費電力と面積を最小限に抑えて高い演算性能を達成する必要があります。大量のデータを処理するために64ビット・プロセッサを導入するには、最新の半導体機能、半導体プロセス技術、およびIPなどの各種テクノロジが必要となります。

統合型ADAS SoCは主にセーフティ・クリティカル・アプリケーションに使用されるため、機能安全規格ISO 26262への適合が必須となります。このことは、ADAS SoCに統合されるオートモーティブIPについても同様です。必要な認証手順を踏んで開発され、SGS-TÜV Saarなどの独立系公認審査機関による認証を受けたオートモーティブ規格認証済みIPを使用すると、SoCレベルの認証にかかる期間を短縮できます。