• 
• 
• 
• 
• 
• 
• 
• 

欧州「機能安全」標準に準拠した監視機能搭載の車載制御用マイコンを開発・試作

欧州「機能安全」標準に準拠した監視機能搭載の車載制御用マイコンを開発・試作

東芝システムLSI事業部車載システム応用技術部参事　高野裕之氏に聞く

　東芝は、フェールセーフ機能を搭載した車載制御用マイコンを開発・試作した。このマイコンは、制御用マイコンとその動作の監視用マイコンを搭載する従来のデュアル・プロセッサ・マイコンとは大きく異なり、シングルプロセッサでフェールセーフ機能を実現している。東芝は今回開発したマイコンによって、2011年に欧州で法制化が予定されている自動車向け「機能安全」標準にもいち早く対応している。同標準の検証のため、2009年1月迄に、ドイツで有名な認証機関「TUV-SUD」のオートモーティブ部門より「Audit Report」「Concept Report」「Technical Report」を取得している。東芝は、同マイコンを2010年にサンプル出荷し、2013年に量産するとしている。同社システムLSI事業部車載システム応用技術部参事高野裕之氏に、開発の背景や機能安全の今後について伺った。

（宮崎信行 = テクノアソシエーツ）

機能安全に関するISO標準が2011年に施行予定

　最近では、車、原子力、鉄道など、人命にかかわる多くのシステムが電子・電気的なハードウェアとソフトウェアによって制御されています。人命に強く係る電子制御システムに関して、仕様・開発・製造・運用・廃棄の各段階でシステムを構成するハードウェア・ソフトウェアが守るべき規約として、機能安全標準「IEC61508」が2000年に制定されています。IEC61508では、セーフティ・インテグリティ・レベル（SIL：Safety Integrity Level）として、要求される安全レベルを4段階に分類しています。最高レベルのSIL4は実現不可能な理論上の限界を示すもので、現実にはSIL3が最も高いレベルになります。車ではステアリング・システムやブレーキ・システムなど、曲がる、止まるといった機能にSIL3が要求されます。

　欧州ではこのほかに、IEC61508を自動車向けに特化した機能安全標準「ISO 26262」が審議されています。2011年に、この標準が施行される予定です。本標準の法制化も確実な情勢となり、自動車メーカー各社はその対応に追われています。われわれは同法律が2013年ごろに、ステアリング・システム、ブレーキ・システムから徐々に適用されていくと考えています。そこで東芝ではまず、EPS（Electric Power Steering）向け制御用マイコンから製品化し、ブレーキ・システム向けなどへ拡大していく予定です。

他社はデュアル・プロセッサ・マイコンで対応

　現状のEPS向け制御用マイコンはシングル・プロセッサです。ただし8ビットのサブマイコンが制御システムに搭載されており、そのマイコンがメインマイコンの異常を監視しています。ところが、ISO 26262の機能安全標準が法制化されると、制御用マイコンの99％の故障を検出しなければなりません。その故障検出率を実現するには、8ビットのサブマイコンでは能力不足です。

　そこで車載制御用マイコンを製品化している各社は、デュアル・プロセッサ・マイコンを開発しています。制御用プロセッサとそれと同等の性能・機能を持つ監視用プロセッサを一つのチップに集積しています。しかしそれで実現できるのは、せいぜい制御用プロセッサが故障したときに車を路肩まで移動させる機能です。ユーザーによっては、制御用プロセッサが故障しても整備工場まで走行したい、あるいはそのまま走り続けたいといった要望があります。そうなるとデュアル・プロセッサ・マイコンを使っても、そうしたユーザーの要望に応えることは困難になります。要望に応えるためには、3個（2 out of 3）あるいは4個（2 out of 4）のプロセッサが必要になります。

　３個のプロセッサを搭載した場合、各プロセッサの出力結果を使って多数決をとります。例えば三つのプロセッサの出力結果が同一なら、すべてのプロセッサが正常であると判断します。仮に一つのプロセッサが他の二つのプロセッサと違う結果を出力した場合、そのプロセッサは故障していると判断し、残る二つのプロセッサを使って走行します。4個のプロセッサを搭載した場合、すなわち2個のデュアル・プロセッサ・マイコンを搭載した場合、一方が故障すればもう一方で代替します。

東芝は密結合方式を採用

　東芝の制御用マイコンは、フェールセーフ機能を搭載していない２個のプロセッサを使って実現する機能安全（フェールセーフ）と、３個あるいは4個のプロセッサを使って実現する機能安全(フェールオペレーショナル)を、それぞれ1個または2個のプロセッサで実現できます。また、１個のプロセッサでも、限定的な範囲のフェールオペレーショナル機能(デグラデーション機能)が実現できます。これによって、1チップに搭載するプロセッサの数を減らすことができ、低消費電力化、低コスト化、小型化が可能になります（図１）。

　東芝は車載制御に求められるSIL3を実現するため、マイコンのプラットフォーム・デザインを開発しました。このプラットフォーム・デザインの開発に当たり、イタリアのYogitech社と戦略パートナーシップを締結しました。同社はCPU、バス、メモリ等の基幹部品に関して機能安全を容易化するIP（Intellectual Property）を所有しており、東芝はそのIPの提供を受け、そのほかの周辺部品を同社と共同開発しました。東芝の車載制御用マイコンは、CPUの監視方式である密結合方式（シングルプロセッサの内部ハードウェアモニタ方式、1 out of 1構成）を採用しています。密結合方式では、チップ内部に監視用のハードウェアを設けることによって、プロセッサから数千本もの信号を取り出して監視することが出来ます。従来のデュアルコア・ロック・ステップ方式ではプロセッサの出力した信号、或いはソフトウエアで判別できる範囲しか監視できず、故障が出力信号に現れるまでに時間がかかったり、信号がプロセッサ内部から出力されない場合には故障検出が難しかったりします。

　また密結合方式では、デュアルコア・ロック・ステップ方式で必要なクロックの位相シフトや電源分離などが不要です。さらに監視機能をハードウェアで実現しているため、監視用のソフトウェアを大幅に削減できます。こうしたことは、サブシステム全体のSIL3を取得するうえでも大きな利点となります。

今後の課題は、ユーザーに対するマイコンの機能の理解と利点の浸透

　現在、2011年の機能安全標準「ISO 26262」の施行に向け、自動車メーカー各社はどう対応すべきか検討している段階にあります。サブマイコンの代わりに、メインマイコンと同等レベルのマイコンをもう一つ搭載し、それによってメインマイコンを監視する技術が自然な流れと思われますが、それではコストが上がってしまいます。そのコスト増を車の販売価格に転嫁するのは、自動車メーカーにとって難しい情勢です。東芝の制御用マイコンはサブマイコン程度のコスト増で、デュアル・プロセッサ・マイコンと同等以上の安全機能を実現できます。

　今回開発・試作した制御用マイコンは、このように多くの利点を備えていますが、新しい技術であるためにまだ実績がありません。TUV-SUDの認証をいち早く取得したのは、実績のない点をカバーする狙いがあります。

　自動車メーカーも単純に二つのプロセッサを使って監視機能を実現することがよいとは考えていないようです。幸いにも、われわれの提案に対して、理想的な監視・安全対策であると評価する自動車メーカーも出始めています。同マイコンの機能を理解していただき、その利点を多くの自動車メーカーに実感していただくことが今後の課題だと考えています。