　その中で自動運転車が実現したときに最も気になる「セーフティ＆セキュリティ」に関するデモがあった。自動運転車を模擬したミニチュアカーには、自動運転の頭脳となるSoC「R-Car H2」のボードと、車載マイコン「RH850/P1x」のボードが搭載されており、両ボードはイーサネットで通信している。このミニチュアカーに不測の事態が起こったときにどのような対応ができるかをデモで見せた。

「セーフティ＆セキュリティ」デモのミニチュアカー。写真左側にあるのがサーバを模擬したWi-FiルータとノートPC。写真下側にあるタブレット端末には自動運転のステータスが示されている（クリックで拡大）

　不測の事態とは、自動運転車が走行中に両ボードをつなぐイーサネットの切断である。イーサネットの切断による異常を検知すると、自動運転車は路側など安全な場所に停車する。「従来のISO 26262の考え方であれば、取りあえず安全な場所に停車する『フェイルセーフ』が実現できていれば良かった。しかしわれわれは、不具合への対策を行うことで、ディーラーや整備工場などまで乗員を送り届ける『フェイルオペレーショナル』の実現までを視野に入れている」（同社の説明員）という。

自動運転中に（左）、イーサネットを切断（中央）。異常が検知されると、まずは安全に停止する（右）（クリックで拡大）

　安全な場所での停車中は両方のボードで故障箇所を診断。そして、自動運転車と携帯電話通信で無線接続されているサーバに診断結果を送信する。サーバは、フェイルオペレーショナルを実現するのに必要な対策ソフトウェアを用意する。今回用意したのは、ミニチュアカーの2つのボードがCAN FDでも接続されていることを利用し、CAN FDを使って徐行で自動運転できる対策ソフトウェアだ。

故障箇所を診断してサーバに送信（左）。サーバ側で対策ソフトウェアを用意し（中央）、適用する（右）（クリックで拡大）

　車両側は、この対策ソフトウェアをダウンロード／適用して、制御ソフトウェアを書き換える。これで、ディーラーまで乗員を運べるというわけだ。

対策ソフトウェアが切断されたイーサネットからバックアップのCAN FDにネットワークに切り替え（左）。ディーラーに向けて自動運転を再開する（右）（クリックで拡大）

「TriCore」は真にスケーラブルな32ビット車載マイコン

　インフィニオンテクノロジーズジャパンは、32ビット車載マイコン「AURIX」について紹介した。

　AURIXは同社の独自32ビットプロセッサコア「TriCore」を搭載する車載マイコンファミリだ。プロセッサコアの搭載数は1～5個で。5個の場合は、2個のプロセッサコアが互いの動作を参照して機能安全に対応するデュアルロックステップコア×2とシングルコアの構成になる。4個の場合はデュアルロックステップコア×2、3個の場合はデュアルロックステップコア×2＋シングルコア、2個の場合はデュアルロックステップコア、1個の場合はシングルコアになる。

　さらにプロセッサの個数やメモリ容量の異なる品種間でのパッケージ互換性も確保している。「真にスケーラブルな32ビット車載マイコンは、当社のAURIXだけだろう」（同社の説明員）という。

　展示では「モーターコントロールアプリケーションキット」を披露。「評価ボードやソフトウェアなども含めて1パッケージになっており、開封から3分でモーターを回すところまで持ってこれる」（同説明員）として、、手軽にモーター制御の原理試作を行えることをアピールした。