Contact us

別ウィンドウにて開きます 別ウィンドウにて開きます

機能安全技術

東芝は機能安全技術として密結合方式を採用し「より安全に、より低コストに」を実現し、第三者認証機関からIEC61508のSIL3/Technical Report I までの認定を取得いたしました。

東芝の提案は密結合方式

これは、Dual Core Lock Step方式とシングルコア型密結合方式の構成比較を示す図です。

処理用コアAに内部信号を参照する診断回路を組み合わせ、比較と自己診断を自動実行させます。これにより従来のデュアルコア方式に比べ、ハードウエア、ソフトウエア規模の削減を図ることができます。

安価なフェールセーフ実現とフェールオペレーショナルへの提案

もしもドライブ中にエンジン制御用マイコンが壊れたら...
他社マイコン 密結合方式採用の東芝マイコン
1 out of 1 Single Core フェールセーフを実現できない (サブマイコンが必要になる)
フェールセーフを実現できない
(サブマイコンが必要になる)
不安定→安全に止める (フェールセーフを実現)
不安定→安全に止める
(フェールセーフを実現)
1 out of 2 Dual Core 不安定→安全に止める (フェールセーフを実現)
不安定→安全に止める
(フェールセーフを実現)
安定走行を継続 (フェールオペレーショナル/フォールトトレラント)
安定走行を継続
(フェールオペレーショナル/フォールトトレラント)

東芝は従来デュアルコアで対応していたフェールセーフをシングルコアで実現します。さらにデュアルコアにした場合はフェールオペレーショナル/フォールトトレラントも可能となります。

東芝の機能安全サポートパッケージ TM-SIL™

東芝はシステムの視点からのサポートに加えて、もう一歩顧客視点でのサポート環境を提供します。

これは機能安全サポートパッケージを表した図です。

特長1. デバイス視点のサポート

東芝の機能安全技術は、密結合方式を採用し、CPUのみでなく周辺回路にも監視機構を搭載しています。車載制御MCUと車載電源ICのI/Fは、機能安全ALARM出力のチェック機構を組み込むことで、よりシステム視点での機能安全対応サポートができます。

車載MCUの機能安全ブロック例(事例: 車載MCUと車載電源ICとのI/Fを含む)

これは車載MCUの機能安全ブロック例です。

機能安全ブロックの特長
  • 一部の通信制御ブロックを除く、アプリケーションで使用する全周辺機能と、CPU、BUS、Memoryについての監視機能搭載
  • 各監視機能からのアラームをハンドリングする処理ブロック(fRNET)を搭載
  • 各監視機能からのアラームを、CPUを介さずfRNETから直接外部へ出力可能
  • fRNET自身、内蔵する自己診断機能によりアラームのハンドリング機構が保護される

*1: イタリアYogitech社が提供する故障診断回路。メモリを監視
*2: Yogitech社が提供する故障診断回路。マイコンに組み込まれてバスを監視
*3: Yogitech社が提供する故障診断回路。CPU全体を監視
*4: 東芝が開発した故障診断回路
*5: Yogitch社が提供する故障診断回路。全てのアラームと故障情報を収集し、故障発生時の処理を管理する。

特長2. Fault Injection (Under Development)

Full ICE型のMCUエミュレータ装置により、お客様の実機評価環境へそのまま接続可能な故障注入テスト環境を提供します。これを用いることで導入容易かつ柔軟な故障注入テストを行うことが可能です。

これは故障注入システム開発フローを表した図です。

特長3. 機能安全IPライブラリ

機能安全IPライブラリは車載制御MCUの故障を検出するソフトウェアライブラリです。TÜV-SÜDにより認証されたソフトウェア開発プロセスに従って開発されています。

機能安全IPライブラリの提供によってユーザの開発工数を削減

これはソフトウェアライブラリの提供を表した図です。

安全メカニズム実現工数の削減
  • MCU 故障診断部の要求分析~検証を代替
  • API明確化によりシステム設計へ早期に反映
  • ASIL D を満たす故障検出率を保証

これは安全メカニズム実現工数の削減を表した図です。

説明責任に関する工数の削減
  • 説明責任達成に必要十分な資料を同梱

これは説明責任に関する工数の削減を表した図です。

機能安全について

代表的な例: 電車と道路の交差において安全性をどう確保?
  • 立体交差にする →危険を(その粒度で)本質的に回避: "本質安全"
  • 踏み切りを設ける →踏み切りという"安全機能"で回避: "機能安全"
「機能安全」採用時は、故障発生に対する各種対策が必要
  • 決定論的原因故障: HWやSWの開発時に機能上のバグは取りきれている?
  • HWランダム故障: 経年劣化や偶発事象に対応できている?
電子制御システムで対策すべきことをまとめた標準
  • 一般性がある形でまとめたもの:IEC61508(2010年4月第2版発行)→対象:原子力、鉄道、プロセス(プラント)、産業機器、車など
  • 上記を、車に特化したもの:ISO26262(2011年11月15日正式発行)

※ARMおよびCortexは、ARM Limited(またはその子会社)のEUまたはその他の国における登録商標です。

※本ページに記載されているシステムおよび製品名は、一般に各社の登録商標または商標です。

ご検討の方に

技術的なご質問
ご購入、サンプルに関するお問い合わせ
·設計および使用に際しては、本製品に関する最新の情報および本製品が使用される機器の取扱説明書などをご確認の上、これに従ってください。