ARM社のプロセッサコア、IEC61508規格SIL3にも対応

英ARM社は、自動車の安全系制御システム向けに、プロセッサコア「Cortex-R4/R4F」や「Cortex-M3」で、国際的な機能安全規格である「IEC61508/ISO26262」に対応していくための機能を強化している。

» 2008年09月01日 00時00分 公開
[Automotive Electronics]

 英ARM社は、自動車の安全系制御システム向けに、プロセッサコア「Cortex-R4/R4F」や「Cortex-M3」で、国際的な機能安全規格である「IEC61508/ISO26262」に対応していくための機能を強化している。 IEC61508では、安全度水準(SIL)のレベルを安全側故障比率(SFF)に応じて3段階に分けている。SIL1はSFFが60%以上であり、例えばボディ制御などの用途に使うことが出来る。最も厳しいSIL3ではSFFが99%以上と定義されている。これは、パワートレインやブレーキシステム、エアバッグなどクリティカルな制御部分に適用される。 SIL1は一般的にプロセッサコアの実行テストで済み、☆r,210


ARM社の自動車セグメントマネージャを務めるBorisVittorelli氏 ARM社の自動車セグメントマネージャを務めるBorisVittorelli氏 

「ARM7TDMI」など自己テスト(BIST)機能を備えたプロセッサコアで対応してきた。これに対して、SIL3など安全度水準が高いレベルになるとBIST機能だけでは不十分で、そのための新たな機能の追加が必要となる。 このためARM社では、Tier1サプライヤと協力して、安全系制御システムに関する仕様の定義などを進めてきた。これに基づき、故障時にはなにも信号を送らないフェールサイレント機能や、システムの1部が故障した場合でもシステム全体に影響を与えずに動作し続けることを目標としたフォールトトレラント機能を実現する新たなソリューションを開発し、提案している。

2プロセッサとコンパレータ内蔵

 その1つが、デュアルコアロックステップと呼ばれる1oo1D構成のソリューションである。このソリューションでは、EUC(被制御機器)内に、密結合された2つのプロセッサ(Cortex-R4/R4Fなど)およびコンパレータが内蔵されている。コンパレータが2つのプロセッサの演算結果を比較して、その結果が異なった場合はプロセッサからの出力をオフにして、ほかの系統へ障害を与えないように制御する。このとき、プロセッサ内部の動作については精査しない。つまり、ここではプロセッサをブラックボックスと見なしている。また、EUC内部のメモリーはECC(error correction code)機能によりエラー訂正を行う。しかし、これだけだとSIL3のレベルに達しないために、SIL3に対応しようとすれば別な追加の対策が必要となる

Yogitech社と協力

 これに対して、1oo1D構成でプロセッサの内部エラーを監視できるようにしたホワイトボックスアーキテクチャはSIL3に対応するものである。このアーキテクチャはイタリアYogitech社と協力して開発したFMEA(故障モード影響解析)メソドロジとIPコア「fR_CPU_armcm3」を用いたもので、FMEAを実行してプロセッサの内部エラーを検証する仕組みとなっている。このIPはCortex-M3のモニタリングポートを介して接続される。

 ARM社の自動車セグメントマネージャを務めるBoris Vittorelli氏は「この技術は、第3者認証機関であるドイツTUVからIEC61508規格SIL3の認定を受けている。Tier1サプライヤからも革新的な技術であると高く評価されており、採用に向けた具体的な検討がなされている」と語る。なお現時点でCortex-R4/R4Fはモニタリングポートをサポートしていない。

1oo2D構成のソリューション

 さらに、上述した1oo1D構成のホワイトボックスアーキテクチャを並列接続してフォールトトレラント機能を実現する1oo2D構成のソリューションも用意している。片方がアクティブモードとなり、もう一方がスタンバイモードとなる。動作中のプロセッサに不具合が生じた場合は、瞬時にスタンバイモード側のプロセッサがアクティブモードに切り替わる。Vittorelli氏は「このソリューションは、1チップでも2チップ構成でも実現できる。ただ、2つのプロセッサコアを1チップ化する場合は、コモンモードエラーを削減するために、2つのチャンネルを物理的にどう分離して設計するかを十分に考慮しなければならない」と話す。

 ARM社のプロセッサコアは、ブレーキ制御システム向けに、約10年前から採用され続けてきた実績がある。エアバック用途向けでも高いシェアを持つという。こうした中でVittorelli氏は、「ARMにとって安全系の制御システム分野は重要な市場であり、機能安全に対する顧客の要求は今後もますます高まる。だからこそ、パートナー企業に対して恒久的にイノベーションを提供し続けていかなければならない」と述べた。

(馬本 隆綱)

Copyright © ITmedia, Inc. All Rights Reserved.