米国シノプシス
EDAグループ
特別アーキテクト Alessandra Nardi
アプリケーション・エンジニアリング担当ディレクター Uyen Tran
インテリジェント化の進展により、自動車はこれまで以上に多くのことを自律的に実行できるようになっています。例えば前車に近付き過ぎると、自動でブレーキがかかります。車線を逸脱しそうになったら警告を出したり、自動で車線の中央に戻したりもできます。まだ市販はされていませんが、自動運転車は現在一般道での試験走行が行われています。
現在のコネクテッド・カーは、まさにデジタル・プラットフォームそのものです。ハイエンドにもなると、センサー、カメラ、レーダー、LiDARデバイスに加え、150以上の電子制御ユニット(ECU)が搭載され、これらのECUには合計1億5千万を超えるコード行数のソフトウェアが組み込まれていることも珍しくありません。自動ブレーキ、車線逸脱警告、自動駐車などのコンセプトはソフトウェアがハードウェアと連携することによって実現しており、ソフトウェアは自動車の差別化に大きく貢献しています。
このように最新の自動車では非常に多くの機能がテクノロジによって支えられているため、自動車メーカーが車載SoCを特に重視しているのは不思議なことではありません。一部の自動車メーカーは既にSoCを自社設計しており、その他多くのメーカーもその可能性を検討しています。安心して使用できる車載SoCとするには、品質、信頼性、機能安全、セキュリティという4つの重要な特性が求められます。本稿では、車載SoCの設計においてこれら4つの分野に対処するために必要な条件について詳しくご説明します。
半導体設計において不良品が好ましくないのは当然ですが、車載SoCでは不良率に対する要求が非常に厳しくなります。製造プロセスにおける異物混入、潜在欠陥、プロセスばらつきはいずれも品質(製品の使用開始時点での仕様への適合性)に影響します。
シリコンの欠陥を効果的に特定するには、デバイスのライフサイクル全体で継続的なテストが必要です。しかし、これには当然ながら課題があります。
これらの課題は、徹底的なテスト・プログラムによって緩和できます。先進の効果的な障害モデリング・ツール、高度な圧縮および欠陥駆動型のメモリー・テスト、フィジカルを考慮したDFT、先進のツールによる効率的なインプリメンテーション、そしてオンチップ・モニターによる解析情報のリアルタイム生成などは、いずれもテスト・プログラムとデザインの強化に役立ちます。
自動車は15年以上使用されることが想定されるため、車載SoCの信頼性を高めることによってコンポーネントが途中で故障せず、最後まで十分な性能で動作できるようにする必要があります。チップの堅牢性を高めるには、故障の頻度または深刻度が許容範囲を超えないようにすることが必要です。
信頼性に影響する要因としては、(1)プロセス/電圧の変動、(2)経年劣化、熱効果、エレクトロマイグレーション(EM)、静電気放電(ESD)などによる摩耗故障、(3)電力サージなどの環境問題によるランダム故障などがあります。信頼性と長寿命化に関する自動車業界の重要な規格として、AEC(Automotive Electronics Council)が策定したAEC-Q100があります。AEC-Q100は、車載ICパッケージに対して故障メカニズムに基づいたストレス・テスト認定基準を定めています。車載ICは過酷な条件下での動作が求められるため、設計時にストレス・テストを実施することで、車載システムの信頼性を高めることができます。
SoCの信頼性に影響する問題の多くを解決するには、すべてのパスを網羅してSoCレベルで解析と修正を実行できる革新的なソリューションが必要です。デバイスの経年劣化は、SoCのストレス温度、ストレス電圧、寿命、信号確率(これらをSoCのミッション・プロファイルと呼びます)に従って解析する必要があります。デザインのすべてのパスを網羅し、低コストのライブラリ特性評価によって高い精度を実現するスタティック・タイミング解析(STA)ベースのソリューションなら、ミッション・プロファイル全体に対して解析を実行できます。プロセスばらつきの影響を受けやすいセルや、電圧変動の影響を受けやすいパスを特定できる自動のデザイン・ロバスト性解析/最適化テクノロジを使用してタイミング・エラーを防ぐことも不可欠です。
信号およびセル・レベルのEMも考慮すべき課題の1つです。自動車の信頼性を確保するには、デザインが半導体プロセス・ファウンドリの指定する信号EM要件(平均、RMS、ピーク電流)を満たす必要があります。EM解析を実行するには、デザインの配線を通る電流の正確なモデリング、抽出、および計算が必要です。信号EMの規則に加え、セルを信頼性のある条件下で使用して周波数またはトグル・レートが最大値を超えないようにする必要もあります。したがって、セル・レベルEMをライブラリ特性評価の段階でモデル化し、スルーと負荷の条件をさまざまに変化させて最大周波数を記録することが必要です。信号のEM違反は、物理インプリメンテーションにおける最適化時に修正します。セル・レベルのEM違反は、ECO時にEM要件を満たすセルに置き換えることによって修正します。
フィールドでの運用中は、シリコン・ライフサイクル・マネージメント(SLM)の手法を取り入れることでSoCの寿命を長期化できます。オンチップPMM(パス・マージン・モニター)を実装すると、目標とする性能プロファイルに合わせて動作電圧を下げることができます。動作電圧を下げることにより、デバイスに対する電圧および温度ストレスが軽減し、SoCの寿命を長期化できるようになります。継続的なパス・マージン・モニターからは、SoCの性能最適化に役立つ分析結果が得られます。
カーエレクトロニクスの安全リスクは、バグや実装上の誤りによるシステマティック障害と、シリコンの経年劣化やEMの影響などのイベントによるランダム・ハードウェア故障の2つが潜在的な要因となります。機能安全規格ISO 26262は、車両内で使用するセーフティ・クリティカルな機器の認証を取得するために車載ICメーカーが満たす必要のあるガイドラインを提供します。この規格のリスク分類システムであるASIL(Automotive Safety Integrity Level)は、電気電子システムの誤動作によって生じる潜在的なハザードの軽減を目的としています。
機能安全(FuSa)は、RTL-to-GDSフローにおける新しい指標となるものです。これには、FuSa検証(障害分類によるDCバリデーションなど)、解析(故障モード影響診断解析(FMEDA)など)、およびFuSa実装(安全メカニズムの挿入)が含まれます。これらの各フェーズの自動化されたフローを緊密に統合することは、以下の3つの重要な要素を実現する上で重要です。
フェイルセーフなハードウェアを設計するには、SPFM、LFM、PMHFなど特定のハードウェア・アーキテクチャ指標を遵守する必要があります。IP、サブシステム、SoCレベルでのFMEDAはこれらの指標を追跡し、従属故障解析(DFA)と組み合わせることによってランダム障害をカバーします。システマティック障害に対処するには、トレーサビリティおよび設計故障モード影響解析(DFMEA)を利用した最先端の検証が必要です。検証は、挿入された安全メカニズムが有効かどうかを確認するもので、一方のトレーサビリティは開発プロセスにおける機能安全要件の管理手段となるものです。DFMEAは、デザインに存在するエラーや潜在的なエラー要因を特定して解決するのに役立ちます。
悪意のある脅威は多くの市場分野で問題となっていますが、自動車の場合はチップがセキュリティ攻撃を受けると人命にかかわる重大な事故につながる可能性があります。また、ハッカーは接続の脆弱性を悪用することにより、アプリケーション・アップグレードの新しいビジネス・モデルであるOTA(Over-The-Air)ソフトウェア・アップデートの妨害を狙っています。このため、車載SoCおよびソフトウェアのセキュリティを維持することが絶対に欠かせません。機能安全規格ISO 26262を基盤として策定された「ISO/SAE FDIS 21434 Road Vehicles – Cybersecurity Engineering(路上走行車 — サイバーセキュリティ工学)」は、路上走行車のライフサイクル全体でのサイバーセキュリティ・フレームワークを提供します。このフレームワークは、以下の内容をカバーしています。
これは、自動車メーカーが一貫性のある繰り返し可能なプロセスを開発することにより、自動車をその使用年数全体にわたって悪意ある攻撃から保護できるようにすることを目的としています。ハードウェアへの攻撃に対する防御策としては、PUF(Physical Unclonable Function)、プローブ耐性設計、ロジック・ロック、電子透かしなどがあります。プリシリコン段階で攻撃をシミュレーションしておけば、脆弱性を特定し、軽減策が有効であるかを確認できます。ルール・チェック、プロパティ・チェック、シミュレーションなどの手法を利用したハードウェア攻撃耐性設計により、デザインの既知の弱点を防ぐことができます。
現在、EDAおよびIPソリューション・ベンダからは車載SoCデザインにおいて高いレベルの品質、信頼性、安全、セキュリティを達成するために必要なテクノロジが提供されています。例えばシノプシスは、設計から検証、インプリメンテーション、サインオフ、製造/フィールド運用まで幅広くカバーした車載向けソリューションを提供しており、ISO 26262やISO 21434などの規格への準拠を支援しています。シノプシスはさまざまな自動車標準化団体にも積極的に参加し、重要なプロトコルの策定に直接貢献しています。
現在の自動車は自動運転の域には達していませんが、安全性や車室快適性を高めるために自律機能の数々を装備しています。これらの機能を実現する上で重要な役割を果たしているのが、車載グレードのシリコン・チップです。これらのチップ・デザインが品質、信頼性、機能安全、セキュリティの4要件を満たすようにすることで、よりスマートで安全な自動車の製造が可能となります。