自動車の安心、安全を支えるマイコン 〜最新機能安全サポートに迫る:Cypress 機能安全サポート
Cypress Semiconductor(サイプレス セミコンダクタ)はこのほど、機能安全サポートを打ち出し、自動運転時代の機能安全を支えるマイコン開発体制、電子制御システム開発サポート体制を整えた。そこで、Cypressの機能安全サポートとはどのようなものなのかを検証しながら、車載マイコンにおける最新の機能安全対応状況を探りたい。
ますます高度化が求められる「機能安全」
ADAS(先進運転支援システム)、自動運転システムなど自動車において電子制御システムが果たす役割は日々、拡大している。ドライバーの運転をサポートするだけでなく、ドライバーに成り代わって運転を行うようになりつつある電子制御システムは、高性能、高度化が求められると同時に、よりハイレベルな安全が求められている。ドライバーに成り代わる電子制御システムが、故障、誤動作を引き起こせば、命に直結する事故を引き起こすためだ。
そこで、電子制御システム、ひいては自動車の安全を担保するため、重要性が増しているのが「機能安全」(=Functional Safety)という考え方だ。
機能安全とは「安全装置という機能によって実現される安全」だ。言葉で表せば、簡潔な機能安全だが、実際に機能安全を実現するのは非常に困難だ。
例えば、道路と線路が平面交差している場合に、どう安全を担保すれば良いのか考えてみよう。
道路か線路のいずれかを高架化(ないし地下化)し平面交差を解消すれば、人ないしクルマと列車による衝突事故をほぼ完全に回避できるだろう。最も安全な解決策だ。しかし、コストも時間もかかる。高架化するために必要な土地があることも前提になる。クルマ、列車ともに頻繁に通過する交差ポイントであれば、多少無理しても立体交差化は有用だろうが、たまにしか列車が通過しない場所ならば、立体交差化は過剰投資になるだろう。
そこで、もう1つの解決策が踏切設備の設置だ。遮断機で物理的に道路と線路を隔て、列車の接近を警告音と警告灯で警告する。平面交差という衝突を引き起こす根本原因は解消されていないが、踏切設備の設置により、衝突回避という目的は一定程度、果たされる。踏切が安全装置であり、踏切で実現される安全が機能安全というわけだ。
とはいえ、どの程度のレベルで安全を確保すべきか、そのためにどの程度の機能が必要なのか(=事故の発生リスクに対し、遮断器、警告音、警告灯の対策で十分かどうか)といった判断は都度、行わなければならない。その点に機能安全の難しさが存在する。
そうした中で自動車における電子制御システムの機能安全は、国際規格「IEC 61508」から派生した自動車分野の機能安全規格「ISO 26262」で標準が定められている。ISO 26262は2011年11月に正式発行され、自動車メーカー、電装品メーカー、そして半導体デバイスメーカーがISO 26262に定められた標準に準拠すべく対応を進めてきた。そのかいもあり、電子制御ユニット(ECU)やソフトウェアの改善により、交通事故は減少傾向にある。
ただ、冒頭に述べたように、電子制御システムは今後、より命を左右する存在へと進化していく過程にある。さらに高度なレベルでの安心、安全を実現すべく自動車業界は、より高度な機能安全の実現を目指している。そして、電子制御システムのキーデバイスであるマイコンを供給する半導体デバイスメーカーも、機能安全実現に向けた取り組みを強化している。例えば、Cypress Semiconductor(サイプレス セミコンダクタ)もその1社であり、このほど、機能安全サポートとした。自動運転時代の機能安全を支えるマイコン開発体制、電子制御システム開発サポート体制を整えた。
そこで、Cypressの機能安全サポートとはどのようなものなのかを検証しながら、車載マイコンにおける最新の機能安全対応状況を探りたい。
Cypress 機能安全サポートとは
「電子制御システムの安心、安全の実現には、“品質保証”と“機能安全”の双方が不可欠だと考えている」
Cypress自動車事業部の田子治氏は、機能安全を語る上での前提として、品質保証、品質コントロールの重要性を語る。「自動車業界は、機能安全の考え方が登場するまでは、品質、すなわち部品、デバイスを故障させないという概念で、安心、安全を実現してきた。特に日本の自動車業界は、高いレベルの品質を誇り、世界中に自動車を供給してきた。Cypressでも、国内自動車メーカーの要望に応えた品質レベルの車載マイコンを供給し続けてきた。故障ゼロを目標に今後も品質向上を目指す。その上で2007年10月より機能安全の実現に取り組んでいる」
品質保証と対を成す位置付けに置く機能安全については、「品質コントロールとは違い、決してマイコン単独で実現できるものではない。あくまで、電子制御システム/自動車として実現できるものであり、マイコンはその一部に過ぎない。自動車、電子制御システムとしてどのような機能安全を実現したいのかに応じて、マイコンでどういった機能安全を実現しなければならないのかが決まる。Cypress機能安全サポートは、基本的に電子制御システム/自動車としてのセーフティゴールを達成するために構築されている」と田子氏は強調する。
一律ではない、要件に応じた最適な機能安全を提供するCypress 機能安全サポート
Cypress 機能安全サポートは、自動車メーカー、電子制御システムメーカーとのコミュニケーションから始まる。ISO 26262において自動車メーカーは、電子制御システムメーカーと交わす開発インターフェース合意書(Development Interface Agreement/DIA)で“セーフティゴール”などの要件を明示する。要求される安全性の度合いは、ISO 26262で定められている安全性要求レベル(Automotive Safety Integrity Level/ASIL)で表される。ASILはA〜Dまで4段階あり、ASIL Dが最も高い安全性レベルだ。
仮に自動車メーカーがASIL Dの電子制御システムを要求したならば、自ずとマイコンにもASIL Dの安全性が要求されると思いがちだ。「しかし、必ずしも、マイコンがASIL Dを満たす必要性があるとは限らない」と明かす。
「一般的に電気自動車(EV)のEVモーターコントロール用ECUは、ASIL Dが要求される。EVモーター制御マイコンも、デュアルコア構成のロックステップ方式(2個以上のCPUで全く同一の処理を行い冗長性を持たせる処理方式)を用いたASIL D対応マイコンが求められるケースが多いかもしれない。しかし、一部の電子制御システムメーカーは、ロックステップ方式ではなく、別途EVモーター制御マイコン監視用マイコンを使う手法を採り、ASIL B相当のEVモーター制御マイコンで、ASIL DのEVモーターコントロール用ECUを実現する場合がある。要は、機能安全の実現方法は1つではなく、何通りも存在する。Cypress 機能安全サポートでは、自動車メーカーの機能安全要件を認識した上で、電子制御システムメーカーとどのような手法で機能安全を実現するのかを考え、電子制御システムメーカーの要求に適したマイコン、関連文書の提供を行えるように体系化されている」という。
Cypressでは、ISO 26262に沿って自動車メーカー、電子制御システムメーカーとの入念なコミュニケーションを重ね、マイコンレベルでの要件定義を固め、マイコンおよび、ソフトウェア開発を行う。開発やサポートに当たっては、第三者認証機関や業界団体などと連携し、常にISO 26262など最新の標準規格に則って、開発、サポート文書の提供を実施している。
最新開発プロセス
Cypress 機能安全サポートにおける開発プロセスは、ハードウェア開発プロセスとソフトウェア開発プロセスに大別される。
ハードウェア開発プロセスは、自動車向け国際品質マネジメント規格「IATF 16949」をベースにISO26262の要求事項を盛り込んでいる。ソフトウェア開発プロセスについては、ASIL Dに対応できるプロセスといえる車載ソフトウェア業界標準プロセスモデル「Automotive SPICE」を採用し、同じくISO26262の要求事項を盛り込んでいる。なお、「現在、ドラフト版段階にあるISO 20262 Ver2の“半導体メーカーに求めること”として、開発から終息に至る半導体デバイスのライフサイクル全般にわたるプロセスが定義される予定である。この定義に準拠できる形でのプロセスを実現する」と付け加える。
ハードウェア開発プロセスについては、設計前段階にリスクアセスメントなどの実行可能性調査を実施する。ターゲットのシステムから要求されるであろうセーフティ用件を策定し、過去の製品から変更を行う点について、故障モード影響診断解析(Failure Modes Effects and Diagnostics Analysis/FMEDA)を行い、対処すべきところを特定し、故障率等の診断解析を行う。その上で、リスクを低減するため、ISO 26262や顧客のセーフティゴールと照らし合わせる。これらを繰り返し、「セーフティプラン」(機能安全仕様)を作成する。
セーフティプランを基に実際の設計を行い、セーフティメカニズムを実装していく。また、セーフティメカニズムの実装に関してどのように故障を検出するのかについて書かれた「セーフティマニュアル」も作成される。Cypress機能安全サポートでは、FMEDAとセーフティマニュアルでサポートを行っていく。
ソフトウェア開発もハードウェア開発同様に、コーディングルールなどを明記したセーフティプランを作成し、セーフティ/フェイルアナリシスレポート、セーフティマニュアルを作成していく。
先進のセーフティメカニズム
Cypress 機能安全サポートにおいて、実際にデバイス/ファームウェアに実装されるセーフティメカニズムも多岐にわたる。マイコンで起こりうる故障モードは、CPU、フラッシュメモリ/RAM、バス、周辺機能、I/O、そしてクロック、電源であり、Cypress 機能安全サポートでは各箇所に応じたセーフティメカニズムを用意している。
「一般的なセーフティメカニズムが多いが、Cypress独自のセーフティメカニズムも少なからずある」という。
また「クロックスーパーバイザ」は、「似たようなものは存在するが、Cypressのクロックスーパーバイザは、クロックを変更した場合にはレポートする仕組みになっている点が特長」という。
ECC(エラー訂正機能)についても「エラーが発生したメモリセクターを特定できる機能を持たせている。エラー箇所を特定できれば、メモリプロテクション機能によるエラー回避ができる」とする。
Cypress 機能安全サポートは、Cypressの提供する32ビット車載マイコンファミリー「Traveo」に適用されている。また機能安全とともに、セキュリティ対策機能(暗号化エンジン)も標準搭載する。「機能安全を実現しても、外からの脅威に弱ければ意味を成さない。セキュリティ対策については、いろいろな考え方が存在するが、Cypressでは、マイコンごとに一定のセキュリティを担保する方針を採っている」と語る。
ファームウェアについても、32ビット車載マイコンのMCUアブストラクションレイヤーでASIL Bの機能安全レベルを実現するなどしている他、現状、ASIL対応が行われていないグラフィックスドライバーについても「機能安全が求められている」としASIL B対応を行っているという。
「今後、ますます高レベルの機能安全が求められていくのは必然。Cypress 機能安全サポートもこれから一層進化させ、電子制御システム、自動車の機能安全向上に貢献していく」
Copyright © ITmedia, Inc. All Rights Reserved.
提供:サイプレス セミコンダクタ
アイティメディア営業企画/制作:EE Times Japan 編集部/掲載内容有効期限:2018年7月3日
