クルマの安全性確保にPVTモニターIPを組み込んだ半導体ICが必要な理由

自動車と一般的なコンシューマ機器では、電子機器の故障が招く結果がまるで違う

現在の自動車は、特に電動化への移行により、車載エレクトロニクスの設計者に大きな課題を突きつけています。機械的なトラブルやオイル交換が主な関心事であったのは過去の話です。今日の自動車には、自動運転システム、先進運転支援システム（ADAS）、車車間通信やクラウドとの接続、無線（OTA）ソフトウェア・アップデート、電気自動車（EV）ドライブトレイン、バッテリー電力管理など、非常に多くの機能を実行するために膨大な数の半導体チップが搭載されています。

また、ガソリン車における48Vアーキテクチャへのパラダイム・シフトによって、パワー・エレクトロニクスの分野でも新たな開発が急速に進んでいます。従来の自動車メーカーとスタートアップ企業はいずれも、新しい機能や性能に対する市場ニーズへの対応に追われています。現在の車載半導体は大型化と複雑化が進むだけでなく、極めて高い信頼性も要求され、自動車のライフサイクルが終わるまでの間、性能の低下なしに動作することが求められます。自動車は安価な消費者向けゲーム機とは違い、2～3年で旧型機を新型機で置き換えるというわけにはいきません。

自動車と一般的なコンシューマ機器では、電子機器の故障が招く結果がまるで違い、チップの誤動作はたちまち物損や人身損害、死亡事故につながります。振動、ノイズ、塵埃、極端な温度と湿度、アルファ粒子、シリコンの経年劣化など、環境面でのさまざまな危険因子が存在する中で、チップには常に正常動作が求められます。このため、故障が発生してもチップが動作を継続するか、少なくとも車両を安全にシャットダウンできるようにする機能安全（FuSa）メカニズムを構築する必要があり、このことが車載半導体の設計者にとって大きな負担となっています。

具体的には、自動車の電気・電子システムは、使用する半導体チップをはじめさまざまな側面が、路上走行車の機能安全に関する国際規格であるISO 26262に適合する必要があります。この規格は、事故のリスクを最小に抑え、自動車部品が意図した機能を適切なタイミングで正しく実行できるようにするためのガイドラインを定義しています。ISO 26262では、自動車安全水準（ASIL）の4つのレベル（ASIL A、B、C、D）、およびQM（品質管理）水準が定義されています。FuSaの観点から言えば、車載チップがどの程度安全に関与するかはさまざまであり、図1に示すように、自動車のどのシステムで使用するかによって異なる安全水準が割り当てられます。

ISO 26262で義務付けられている機能安全設計とは、システムが故障の発生を検知するか、その発生を予測し、是正措置を講じることを意味します。故障を検知し、可能であればこれらを是正する、または安全なシャットダウンを実行できるように故障を最上位システムに報告するには、安全メカニズムをデザインに挿入する必要があります。上で述べたように、このような仕組みを適切に実装することは安全の観点から極めて重要であり、まさに生死を分けることにもなりかねません。古い言葉にもあるように、「失敗という選択肢はない」のです。

安全メカニズムと回復手段を実装する方法にはさまざまなものがあり、設計者による大がかりな作業が必要になる場合もあれば、何らかの構造を自動で挿入する場合もあります。潜在的な、または実際に発生したチップの故障を検出する1つの方法として、プロセス、電圧、温度（PVT）のモニターをチップの奥深くに組み込み、シリコンの健全性をチェックするというものがあります。PVTモニターはIPブロックとして提供されており、どのような車載半導体デザインにも容易に組み込むことができます。PVTモニターは、シリコン動作の3つの重要な側面を監視します。

プロセス検出IPは、ダイの処理速度を測定するもので、プロセス立ち上げおよびテスト時の選別に役立ちます。また、フィールドにてミッション・モードで動作中のチップのオンチップばらつき（OCV）と経年劣化の監視にも使用されます。

電圧モニターIPは、フィールドで動作中のチップ内の電圧レベルを検出します。電圧の変動を計測することにより、チップが推奨動作範囲から逸脱しないようにします。また、電圧モニターからのフィードバックに基づいてデバイスの電力管理システムが電圧レベルを調整することで、最適な性能を維持できます。

温度センサーIPは、チップのダイ温度を監視します。現在のチップは微細化によって電力密度が高まっており、発熱も大きくなっています。温度センサーがチップの温度変化を検出し、デバイスの温度管理システムにアラートを送ることにより、冷却を開始することができます。これは、過温度によるチップの恒久的な損傷や性能の低下、ひいてはデバイスの短寿命化や故障を防ぐ上で極めて重要な役割を果たします。

PVTモニターIPは、効果的なシリコン・ライフサイクル管理（SLM）ソリューションの一部としても重要な役割を果たします。図2に示すように、SLMはデバイス・ライフサイクルのあらゆるフェーズでシリコンの健全性と動作指標を改善します。PVTモニターにより、シリコン・レベルの深い解析情報をシステムへすくい上げることが可能になります。すべてのライフサイクル・ステージで意味のあるデータが収集され、これを継続的に解析することで、設計、量産立ち上げ、テスト、およびフィールドでのミッション・モード動作から実用的なフィードバックを得ることができます。

シノプシスは、高度なチップ内観測、解析、および統合された自動化を基盤に構築されたPVTモニターIP群を包括的に取り揃えています。セーフティ・パッケージとともに提供されるシノプシスのIPポートフォリオは、ISO 26262 ASIL Bに適合していることが国際的な試験機関であるSGS-TÜV Saarによって認証されています。これらのIPは、車載エレクトロニクスのFuSa要件をすべて満たすなど、あらゆるセーフティ・クリティカル・アプリケーションで使用できるように設計されています。IP開発フローにはISO 26262の安全文化を取り入れ、詳細な機能安全トレーニングおよびASIL適合IPに必要な方針、プロセス、戦略を実施しています。

このIP開発フローには、ハードウェアに組み込まれた安全機能、検証プラン、セーフティ・プラン、検証レポート、セーフティ・マニュアル、故障モード影響診断解析（FMEDA）など、ISO 26262の「作業成果物」が含まれます。シノプシスIPのオートモーティブ・セーフティ・パッケージに含まれる成果物を使用して設計者がチップ・レベルのFMEDAレポートを作成することにより、設計者によるコンプライアンス作業の負担が軽減され、開発期間を短縮することができます。車載チップの設計者は、シノプシスのPVTモニターIPを採用することにより、エンド・ユーザーの安全なドライブのために万全を期すことができます。

シノプシスSLM PVTモニターIPの詳細は、こちらをご参照ください。