Functional Safety:機能安全の実装

 前回は米Freescaleの「Qorivva MPC5643L」というマイコンをご紹介したが、こうした自動車の機能安全要件を満たした製品は、Freescale以外からも登場している。例えば米TI(Texas Instruments)は9月18日に「SafeTI design packages」という新しい製品ラインナップを発表し、ここには15品種の「Hercules RM4x」というマイコンが含まれている(Photo01)。

 これに先立つ5月10日には、独Infineonが「AURIX」と呼ばれる機能安全に対応したマイコンファミリーをやはり発表した(Photo02)。自動車向け製品では米Freescaleと共同開発を行っている伊仏合弁のSTMicroelectronicsは、やはり「SPC56EL」シリーズというPowerPCベースのマイコンをリリースしている(Photo03)。

 いずれの製品もISO-26262 ASIL-DとかIEC-61058 SIL3といった安全規格を満たしていることをアピールしており、今後の本格的な導入に向けて各自動車メーカーに積極的なアピールを行っている。

Photo01:TIのHercules RM4xの内部構造。ARMのCortex-R4というリアルタイム処理向けマイコンを2つ搭載し、この2つをLock Stepで同期させて稼動させることが可能Photo02:Infineonは同社が長く開発してきたTriCoreと呼ばれるプロセッサを3つ搭載した。もっとも「3つだからTriCore」という訳ではない。LockStep動作では、2つのTriCore 1.6Pが連動する形で、TriCore 1.6Eは別の処理となるPhoto03:SPC56ELシリーズの内部構造。前回紹介したMPC5643Lとほぼ同じ構造。

 実際、今後は国内外を問わずいずれのメーカーも、こうした「機能安全に対応した汎用マイコン」を使って、安全性が求められる部分のECUを作りこんでゆく方向性に移ってゆくのは間違いないと思われる。

 実はこれまで、国産メーカーの場合、特定の半導体メーカー(主にルネサスエレクトロニクス)に専用のマイコンを発注し、これを使うことが多かった。この専用マイコンというのが「メーカー単位で異なる」というレベルならばまだしも、どうかすると「車種単位で異なる」とかいう場合もあって、なかなか整理ができないという状況であった。

 ところが機能安全の導入により、こうした形での専用ハードウェアの利用は、今後は難しくなってきた。

 最初の理由は、マイコンに機能安全をインプリメントするためのコストが馬鹿にならない事だ。機能安全は前回・前々回と説明した通り、非常に高い耐故障性を担保するための機構であり、したがって

  • 設計が正しく機能安全を満たすようになっていること
  • 回路のインプリメントが設計を正しく反映して実装されていること
  • 実際の製品が、設計・インプリメントした通りに動作すること

を担保するために、膨大な量の設計資料やドキュメント、そして長期間にわたる大量のテストを行うことが必要である。このドキュメントの作成や、テストの実施には膨大なコストが掛かる。ということは、従来国内の自動車メーカーが望んできた「特定車種向け専用マイコンを開発」する事を今後も継続する場合、その専用マイコン1つ1つに、こうしたコストを個別に掛けなければいけない。当然ながらこんなコストは半導体メーカー側で被れるものではなく、そのまま自動車メーカーにこの追加コストを請求することになる。これは、自動車メーカーにとって好ましい話ではない。

 もちろん「機能安全なんか知らない」で済ますことも理論上はできる。実際、これまでは機能安全そのものはインプリメントされていないままで多くのEUCが製造、搭載されてきており、今もそうしたEUCを搭載した車が大量に走っているからだ。ただ途上国向けはともかく、欧米に輸出する分についってはこれが通用しないという話は前々回紹介したとおり。早ければ2014年、遅くても2015年にはEU指令としてISO 26262への準拠が必須とされることになるから、これに準拠しないと欧米には販売できなくなるし、国内でも販売できるか怪しいだろう。

 結局機能安全のコストを省けるのは、途上国向けの安価な車種向けのみ、という事になると思われる。勿論途上国向けの売り上げも伸びてきているが、だからといって欧米や国内の売り上げを無視できるわけではない(というか、メインは依然としてこちらだ)。

 次の理由は、開発方法の変化である。以前、EFIの説明をしたが、この最後でちょっとだけ、伝達関数やモデル制御と呼ばれる方法での開発が進みつつあるという話をした。実は機能安全をちゃんとインプリメントしようとすると、このモデル制御を利用した開発に、否応なく移らないといけないという状況がある。

 モデル制御、というのは一般にはMBD(Model-Base Design:モデルベースデザイン)と呼ばれる事が多いが、ベースとなる考え方は「Vモデル」あるいは「V字開発」と呼ばれるものである。

 図1がそのVモデルの構図であるが、まず要求分析を行い、それを元に基本設計を行い、その中身を機能別に分割した機能設計、さらにそれを詳細レベルに落とした詳細設計までをすまして、やっと開発に入れる。これが終わったらまずは単体テスト、ついでそれを組み合わせた結合テストを行い、それらが全部組み合わせられた形でシステムテストを行う。全てがOKであれば、最後に受入テストが行われ、これが満足させられれば納品という訳だ。

 元々はソフトウェアの開発に向けた開発手法であるが、今ではもっと広範に利用されている。これがVモデルというのは、要求→開発の流れと開発→受入れの流れをあわせるとちょうどV字型になるところから来ている。高さは詳細さのレベルであって、例えば結合テストは機能設計と同じレベル、ということになる。

図1

 さて、MDBは端的に言えば、このVモデルで一番上層にあたる「要求分析」とか、その下の幾つかを人間が行うと、後はツールが行ってくれる、というものである。このMDB向けのツールで有名なのが、MathWorksの「MATLAB/Simulink」という製品であるが、Photo04はまさにそのMathWorks社の製品がISO 26262向けにどんなソリューションを出しているか、のプレゼンテーションである。

Photo04:プレゼンテーションそのものは、同社が2010年に行ったMATLAB Expo 2010における"機能安全規格(ISO26262)を支援するMathWorks"という講演で利用されたものの抜粋

 図1と比較してもらうとわかりやすいが、要求分析を行うと、その後の基本設計や機能設計はSimulinkとかStateflowといったツールが行う。その下の詳細設計は人間が手作業で行う必要があるが、開発そのものはEmbedded Coderと呼ばれるツールがやはり自動で行う。テストそのものは相変わらず人手が必要だが、ここにもTraceability report/Traceability matrix generationといったツールがあり、テスト項目の洗い出しやテスト項目そのものの作成は半自動化される。

 このソフトウェアの開発の自動化や、テスト項目作成の自動化といったところがMBDの真骨頂であり、ここを自動化することによってヒューマンエラーによる開発の遅れとかミスをなるべくなくす、という事が可能になる。

 逆に言えば、最初の要求分析とか何ステージかある設計がいい加減だといい加減な製品しか出てこないという意味でもあり、その意味では最初にきちんと「何を作るか」を厳密に定義しないと開発が即失敗に繋がりかねないあたりが敷居の高さとして存在しており、これまではあまり広く使われてこなかった技法である。ただ機能安全に関しては、FMEDAのステージで厳密に要求を定める必要があり、これをそのまま要求分析として入れればよいというあたりがMBDと非常に相性がよい。

 さて、ここまではいわば長い承前である。このMBDを使って開発を行おうとした場合、専用マイコンだと非常に都合が悪い。というのは、MBDのツールがその専用マイコンに対応していないからだ。

 MBDは色々なマイコンやFPGA(Field Programmable Gate Array:回路をプログラム的に自由に書き換えられるハードウェア)に対応しているが、専用マイコンは本来サポート外であり、どうしても対応するためには半導体メーカーがそのMBDツール専用のライブラリとかドライバなどを用意しなければならない。

 それだけではなく、MBDで出力されたプログラムは、単体で動作するというよりは自動車用OS(今はAUTOSARと呼ばれるものが主流になりつつあるが、これはこれで話がまたいっぱいあるのでまた項を改めて)の上で動作するものが多いが、となるとまず専用マイコンの上にこの自動車用OSをちゃんとインプリメントしなければならない。これは当然半導体メーカーのお仕事になる訳で、この費用も洒落にならないというか、そのチップがウン億個出荷されるというのでもない限り、まずペイしない。勿論自動車メーカーも、これを負担はしきれないだろう。

 こうした諸々の事柄から、多くのベンダーにとって汎用の機能安全対応マイコンを使ってECUを作るという方向性は、日欧米を問わずほぼ確定した方向になりつつある。逆にこうしたトレンドが明確だからこそ、FreescaleやTI、Infineon、STMicroelectronicsといったメーカーがここに新製品をどんどん投入しているわけでもある。今後も、多くの自動車用マイコンを提供しているベンダーが、この流れに沿う形で汎用品を出してくるであろうと予想される。

カーエレWatch バックナンバー
http://car.watch.impress.co.jp/docs/series/cew/


(大原雄介 )
2012年 10月 3日