ニュース
自動運転時代の機能安全規格に対応する車載コンピューティングシステム向けハードウェア障害検出・予測技術を開発【ルネサス エレクトロニクス】
2016年2月2日
自動運転時代の機能安全規格に対応する
車載コンピューティングシステム向けハードウェア障害検出・予測技術を開発
~16nm FinFETプロセス 9 CPUマルチコアSoCにてISO26262 ASIL B に対応~
ルネサス エレクトロニクス㈱(代表取締役社長兼CEO:鶴丸 哲哉、以下ルネサス)は、車載コンピューティングシステム向けハードウェア障害検出・予測技術を開発し、その技術を用いて自動車機能安全規格ISO26262 ASIL Bを想定ASILとする16nm(ナノメートル、ナノは10億分の1) FinFETプロセス採用の車載コンピューティングシステム向けSoC(System-On-Chip:システムLSI)を開発しました。
近年、自動車の自動運転システムの開発が活発に行われており、2020年代には自動運転時代の到達が見込まれていますが、自動運転では電気/電子システムの安全性が非常に重要となります。国際標準化機構(ISO)は自動車向け機能安全規格ISO26262を策定しランダムハードウェア故障等の各種リスクの評価方法と対策について規定しています。
自動運転に用いられる車載コンピューティングシステムは、走行中にシステム内部で故障が発生したとしても、自動車を安全に停止、もしくは安全に走行を継続させる必要があります。したがって車載コンピューティングシステム向けSoC はカメラやセンサーなどから送られる膨大な情報を高速・短時間に処理するために従来のSoCより大規模かつ複雑な機構を持つ一方、安全機構も求められます。安全機構の実現方法としては機能の冗長化やセルフテスト機構の搭載などがありますが、大規模SoCではその複雑度や高い動作周波数のために機能全体の冗長化は困難です。また大規模SoCで信頼性の高いセルフテストを行うためには、自動運転等に必要な機能を長時間停止する必要があるため、安全性に問題がありました。
この問題を解決するため、ルネサスは先進的なセルフテスト機構によるハードウェアでの故障検出技術を開発しました。この技術により自動運転システムに用いられるような大規模SoCにおいても機能安全規格ISO26262 ASIL B基準で要求されうるDiagnostic Coverage (診断カバー率)を満たすことを可能としました。また、このハードウェア故障検出技術に加えて、ランダムハードウェア故障の一要因である瞬間的な電圧降下を予測・抑止する機構も開発し、電圧降下起因の故障の回避を可能としました。
今回開発した技術は以下のとおりです。
(1)機能ブロック別テストや時分割テストに対応したランタイム・セルフテスト機構
SoC使用中に発生するランダムハードウェア故障を検出する方法のひとつとして、SoC自身がプログラム実行を一時中断して自己テスト(ランタイム・セルフテスト)を実施する手法があります。この手法は論理回路を冗長化せずにハードウェア障害を検出できるため大規模回路での利用に適しており、またビルトイン・セルフテスト(BIST)用のハードウェアを活用して効率よく回路を検査することで、ソフトウェアのみによる自己診断と比較してテスト時間を短縮することができます。しかし、ランタイム・セルフテストを実行するためにはSoCの通常機能を停止させる必要があり、その間はプログラムを実行することができません。また、この時のテスト時間はチップが複雑化・巨大化するに従い増大し、自動運転に必要な安全機能等を長時間中断させてしまいます。
この問題を克服するため、CPUおよびGPUの機能ブロック別にBIST機構を実装、またそのBIST機構を統合制御するコントローラも実装することにより、機能ブロック別のランタイム・セルフテストや1種類のテストを複数回に分割して実行する機能を開発しました。この機能により、4CPUで構成されるCPUクラスタのうち特定のCPUのみランタイム・セルフテストを実行し、残りの3CPUでプログラム実行を継続可能としたり、特定のCPU、GPUで実行するランタイム・セルフテストを複数回に時分割することで、例えば音声処理に求められる処理中断時間2ミリ秒以下という要求に対応することが可能となりました。
このように、テスト実行によるSoC本来の使用不可時間を最小化し、安全機能の中断時間を許容可能な時間まで最小化することで、複雑・巨大な論理規模を持つSoCにおいてもISO26262 ASIL Bで要求されうるDiagnostic Coverage (診断カバー率)を実現可能としました。
(2)瞬間的な電圧降下によるハードウェア障害抑止機構
SoC上では論理回路の活性化により瞬間的な電圧降下が発生する場合があります。その電圧降下量は論理回路の動作周波数や活性化率の変化量が大きいほど顕著となります。従来は最大電圧降下に対応できるよう電圧マージンを設ける設計手法がとられましたが、プロセスの微細化に伴う電源の低電圧化および周波数増加による電流変化量増加により、電圧マージンを設けた設計が困難になってきています。
この課題を克服するため、以下の3つの機構を開発しました。
■ 高速動作の電圧検知機構
電圧差により伝搬時間が変化する可変遅延回路と、基準クロックとの時間差をデジタル値に変換するTime-to-Digital
変換機を組み合わせた高速動作可能な電圧検知機構を開発しました。この電圧検知機構は最も高い動作周波数を持つ
CPUクロックと同じ2GHzで動作可能です。
■ 電圧降下予測機構
電圧検知機構で得た電圧情報をもとに4サイクル先の電圧値を予測します。予測値があらかじめ設定したしきい値を
下回る場合は高速クロック制御機構に制御要求を出します。
■ 高機能クロック制御機構
クロックゲーティング回路とクロック分周器を組み合わせ、制御要求が届き次第即時に制御対象へのクロック供給を
停止し電圧降下を抑止します。また、クロック供給停止後はクロック供給停止前より低い周波数から徐々に周波数を
回復させることで、クロック供給再開に伴う電圧降下を最小限に抑えます。
この3つの機構を組み合わせることで発生しうる瞬間的な電圧降下を事前に検知し、それによって生じるハードウェア障害を抑止することが可能となりました。この機構は従来のSoCに導入されている、もしくはルネサスが想定するユースケースに、新たな安全性を追加するものとなります。
そして、この2つの技術を用いて自動車機能安全規格ISO26262 ASIL-Bに対応する16nm FinFETプロセス採用の車載コンピューティングシステム向けSoCを開発し、その技術の有用性を確認しました。このSoCは3種類、合計9 CPUのヘテロジニアスマルチコア構成となっており、またグラフィカルな表示や高速な演算処理を実現するGPU(Graphics Processing Unit)を搭載しています。
ルネサスはこれらの技術により、来たる自動運転時代をリードする車載コンピューティングシステム開発プラットフォームを提供し、人と環境に優しい安心・安全なクルマ創りに貢献します。
なお、当社は今回の成果を、2016年1月31日から米国サンフランシスコで開催される「国際固体素子回路会議ISSCC 2016(International Solid-State Circuit Conference 2016)」にて、現地時間の2月1日に発表およびデモ展示を行いました。デモでは本技術を実装したSoC搭載ボードを設置し、ランタイム・セルフテスト機構と電圧降下起因のハードウェア障害予測機構を動作させたままでもCPUとGPUによる継続的な画面描画が行えることを展示することで本成果の有用性を示しました。
* 本リリース中の製品名やサービス名は全てそれぞれの所有者に属する商標または登録商標です。
ニュースリリースに掲載されている情報(製品価格、仕様等を含む)は、発表日現在の情報です。 その後予告なしに変更されることがございますので、あらかじめご承知ください。
ルネサス エレクトロニクス株式会社ホームページはこちら