センサーフュージョンの安全、信頼を守る門番


自動運転時代に求められる演算能力以上の重責を担うマイコン――インフィニオン「AURIX TC4x」

先進運転支援システム (ADAS)/自動運転システムが高度化する中で、演算能力が高いデバイスに注目が集まり、CPU/GPUを応用したSoC (システムオンチップ) の登場が相次いでいる。ただ、人の命に関わる運転を実現するには演算能力以上に重要なことがある。そこで、自動運転時代に向けて演算能力以上に重要な役割を果たすために開発されたマイコンを紹介したい。

本記事はアイティメディア株式会社より許諾を得て掲載しています。
転載元: EETimes Japan 2023年12月12日掲載記事より転載

本格的な実用化を迎えつつあるADAS/自動運転レベル2+、レベル3

 先進運転支援システム(ADAS)を搭載する車は年々増加し、ADAS機能もより高度になっている。

 ADAS機能は自動運転レベルで表現される。自動的に車間距離を維持するクルーズコントロール機能など、ブレーキやアクセルを部分的に自動操作する機能は自動運転レベル1に位置付けられる。2022年に全世界で販売された新車の36%に相当する約2900万台が、自動運転レベル1以上のADAS機能を搭載したとされている。

 自動運転レベル2は、前車追従機能やレーンキーピングアシスト機能など、ブレーキ/アクセル機能に加えてステアリング(ハンドル)を部分的に自動操作する。2022年の新車の14%に当たる約1100万台に搭載されたという。

 自動運転レベル2の1つ上として、自動運転レベル2+が定義されている。高速道路などの特定条件下においてハンドルを握らずに自動で走行できる機能で、2022年の新車の2%ほどにレベル2+のADAS機能が搭載されたという。レベル2+搭載車はまだまだわずかではあるが、2027年には新車の約10%に搭載されるという予測もあり、今後の普及が確実視されている。

 さらに、ブレーキ/アクセル、ステアリングを自動操作し、ドライバーはADASシステムからの要求がない限り車両前方から目を離してよいという自動運転レベル3のADAS/自動運転機能の実用化も目前に迫っている。

ADAS/自動運転レベルのイメージ

 今後、ADASよりも自動運転システムと呼ぶ方がふさわしいほど高度なADAS/自動運転機能が本格的に実用段階に突入するに当たって、重要性が一層増す技術がある。それがセンサーフュージョンだ。

センサーフュージョンに求められること

 高度なADAS/自動運転機能を実現するために、ドライバーに代わって車両の周囲を監視するためのセンサーが数多く搭載される。カメラやレーダー、ライダーなど複数のセンサーを組み合わせるケースが多い。そして、各センサーの情報を基に加減速、操舵(そうだ)といった自動運転を行う。センサーフュージョンとは、このときの「さまざまなセンサー情報を融合、統合し、センサーの情報を理解する技術」で、自動運転システムの核になる。

 センサーフュージョンは、センサーからの膨大なデータをリアルタイムに処理する必要がある。車両に衝突の危機が迫り、センサーがその前兆を検知していても、センサーフュージョンの処理に時間がかかるとブレーキ操作が遅れ、衝突を回避できなくなる。膨大な量のデータを瞬時に処理する極めて高い「演算能力」が要求されるため、PC用CPU/GPUといった演算能力が高いデバイス技術を応用したADAS/自動運転用SoC(システムオンチップ)が開発・製品化されている。

ADAS/自動運転システムの処理イメージ。センサーフュージョン部分は高い演算能力が求められる

 サーバやPC向けのデバイスに匹敵する高い演算能力を持つADAS/自動運転用SoCの登場によってレベル2+、レベル3といった高度なADAS/自動運転機能の実現性が高まったことは事実だが、全てがそろったわけではない。レベル2+以上の高度なADAS/自動運転機能のセンサーフュージョンを実現するには演算能力以上のものが必要になる。

 いくら演算能力が高くても、SoCが故障してしまったらどうするのか。サイバー攻撃やソフトウェアのバグで誤動作を起こしてしまったらどうなるのか。

 これまでのレベル1やレベル2のADAS機能では、このようなことが起こっても車両の操作は最終的にドライバーの判断に委ねられた。だが、レベル2+、レベル3ではシステムの誤動作、故障が事故に直結しやすくなる。レベル2+、レベル3のADAS/自動運転機能には、ドライバーに成り代わって安全を担保する存在が演算能力と同時に不可欠なのだ。

センサーフュージョンSoCが抱える課題を解決するには

 昨今は「セーフティアイランド」と呼ぶ安全を担保する回路を実装したセンサーフュージョン用SoCが登場している。セーフティアイランドは、機能安全規格「ISO 26262」で定義される最高レベルの自動車安全水準「ASIL-D」準拠の冗長性を持たせる「ロックステップモード」を実現するリアルタイムコアを備え、センサーフュージョンを処理するアプリケーションコアを監視して異常を検知する。ただ、セーフティアイランドを持つSoCにも多くの課題がある。

 同一チップ上にアプリケーションコアとロックステップ用リアルタイムコアが存在し、コア間で複雑なデータ交換を行うため、各コアの独立性を保つのが難しい。コアが独立していることを証明しなければ、第三者認証機関からASIL-D認証を取得するのは困難だ。加えて、極めて高い演算能力が求められるため、SoCは10nmや7nmといった最先端の半導体製造プロセスで生産される。回路規模が大きいがために、元々の時間当たりの故障率(FIT)は高くなってしまうという欠点がある。安全を担保するセーフティアイランド自体が故障する恐れも拭えない。

 SoC周辺回路の監視という点でも課題がある。SoCは多彩な機能を持つ半面、アナログ入力や通信入力に十分なリソースを割くことができない。そのために電源などの周辺回路の監視、制御に制約が生じる。

 こうしたセンサーフュージョンSoCの課題を解消する方法として注目されているのが、マイコンの活用だ。ご存じの通り、マイコンはこれまで自動車のあらゆる監視、制御を担ってきたデバイスであり、センサーフュージョンSoCの監視、補完にも適しているという認知が広がりつつある。

センサーフュージョンSoCを監視、補完できるマイコン「AURIX TC4x」

 欠陥ゼロという目標を掲げて、長年にわたって自動車に高品質、高信頼のマイコン製品を提供してきたインフィニオン テクノロジーズは、センサーフュージョンシステムに演算能力以上に不可欠な「安全性/信頼性」を付加するためのマイコン「AURIX TC4x」を開発した。

マイコン「AURIX TC4x」のブロック図と主な特徴

 AURIX TC4xは、車載ECU用マイコンとして実績のある「AURIXファミリー」の最新世代(第3世代)品で、センサーフュージョンSoCを監視、補完するための性能と多彩な機能を備える。

インフィニオン テクノロジーズ ジャパン オートモーティブ事業本部 ヴィークル オートメーション&シャーシ アプリケーションマーケティング マネージャー 夏目雅弘氏

 車載向けに最適化したインフィニオン独自のCPUコア(TriCore)を最大6個搭載するマルチコアマイコンで、最大動作周波数は500MHz。CPUコアに頼らずに各種処理を実現するハードウェアアクセラレーター群を実装し、「ASIL-D対応のマイコンとしては業界最高クラスの性能を誇る」(インフィニオン テクノロジーズ ジャパン 夏目雅弘氏)という。「センサーフュージョンSoCが突然停止しても迅速な緊急対応を提供し、走る、曲がる、止まるといった車両制御を維持して手動運転へのスムーズな移行を可能にする」(夏目氏)

 AURIX TC4xは、イーサネットMACやCPUコアを使用せずにデータ送受信時のルーティング処理を実行できるデータルーティングエンジン(DRE)などを搭載し、5GbpsイーサネットやPCI Express、10BASE-T1S、CAN-XLなどの高速通信に対応する。「レベル2+以降のADASには高速通信が不可欠だ。5Gbpsイーサネットなどの高速通信の処理は膨大で、高性能なSoCでも重い負荷になってセンサーフュージョン処理に影響を及ぼす可能性がある。そうした高速通信処理をAURIX TC4xが担うため、SoCはセンサーフュージョン処理に集中でき、遅延や誤動作を防げる」(インフィニオン テクノロジーズ ジャパン 稲垣昂氏)

 高速通信対応でサイバー攻撃が懸念されるが、AURIX TC4xはハードウェアセキュリティモジュール「CSRM/CSS」でセキュリティ規格「ISO 21434」準拠のセキュリティを担保できる。最大25MBのフラッシュメモリを内蔵しているため、暗号化などの処理が必要な外部メモリとの通信を最小限にできる。インフィニオンは、SoC等の外付けメモリとして、セキュリティコアを内蔵してメモリ自身がハッキングからデータやコードを保護する「SEMPER Secure NOR フラッシュ」も提供を予定している(2024年第1四半期)。こちらも「ISO 21434」対応だ。

インフィニオン テクノロジーズ ジャパン オートモーティブ事業本部 ヴィークル オートメーション&シャーシ フィールドアプリケーション エンジニアリング スタッフエンジニア 稲垣昂氏

 AURIX TC4xは、ハードウェアアクセラレーターとして各種AIアルゴリズムや制御アルゴリズムの実行に最適な並列処理ユニット(PPU)や信号処理ユニット(SPU)も搭載している。「AURIX TC4xは、SoCが生成した軌道を車両動的モデルで検証し、安全な軌道をモーションアクチュエーター、ICE/電気推進、ブレーキ、ステアリングへの信号を含む運転コマンドに分解する機能を実現する」(稲垣氏)

 SoCでは不足しがちなアナログ入力/通信入力も豊富にそろえ、各種電源監視に必要なA-Dコンバーターも最大70チャンネル分あり、多数の電源系統を監視できる。

 インフィニオンはAURIX TC4x専用のパワーマネジメントIC(PMIC)を用意している。「SoCよりもFIT値は低いものの、AURIX TC4xが故障する可能性はある。専用PMICにはAURIX TC4xを監視する機能を搭載し、万が一の場合でも安全を保てるようになっている」(稲垣氏)

ADAS/自動運転レベル2+における「AURIX TC4x」の使用イメージ
ADAS/自動運転レベル3における「AURIX TC4x」の使用イメージ

 AURIX TC4xはADAS/自動運転レベル2+やレベル3のセンサーフュージョンに要求される安全性、信頼性を担保するマイコンになっている。自動運転システムにおいては高度な演算能力を有するSoCに注目が集まる傾向が強いが、マイコンも自動運転時代の重要なキーデバイスといえる。演算能力以上の重要な役割を果たすマイコンの登場で、ADAS/自動運転レベル2+やレベル3の実用化、本格普及が期待される。