自動車メーカー (OEM) は、モビリティ分野と先進運転支援システム (ADAS) の最前線に立ち、この急速に発展しているこの分野でリーダシップを取ろうと取り組んでいます。またシステムが進歩するにつれて、機能が増加し車両内の半導体の搭載数が増加しています。
この半導体の増加に対して、ルネサスエレクトロニクスは車載向け製品を多く開発しており、従来のマイクロコントローラ (MCU) 製品や高度に統合されたシステムオンチップ (SoC) プロセッサだけではなく、PMICも提供できるようになりました。ただし、この分野が進化するにつれて、「業界全体で、これらのコンポーネントの設計開発を標準化し、機能的に安全であることを満たせているか?」という疑問が残ります。そこでISO 26262 の初版において、大規模システム開発における下記のようなリスクを最小限に抑えるために、開発の標準化が試みられました。
- 従属関係の見落としにより設計プロセスで生じた問題、もしくは不十分な分析による問題というシステマテックリスク
- デバイス故障に起因するランダムハードウェア故障
過去10 年の間にOEM はこの規格のパート 5 を基として、ハードウェアの誤動作に対処し、「安全な」設計と考えるものを確立してきました。ルネサスは故障モード影響診断分析 (FMEDA) および従属故障分析 (DFA) を用いて、デバイスを分析し、設計のランダムハードウェア故障に対処するための対策することにより、製品の開発において同様の標準を採用しています。
ISO 26262はパート 5 と車載システムの複雑性に応じて、特に半導体コンポーネントに焦点を当てたパート 11 を含むように範囲を拡大しました。
機能安全の追加とコスト増加の抑制に対するこの新しい要求に対し、ルネサスは R-Car システムプロセッサに加えて、マルチレール・ハイパワーなPMIC を提供します。これにより、部品数が削減され、高機能なシステム開発が可能となります。
次に車載システム設計者が PMIC を採用する際に、何に注目すべきかを知るため、機能安全設計で必要な分析の概要を説明します。ルネサスのSoC向けPMIC製品はすべて、部品レベルとシステムレベルの両方で従属故障およびランダムハードウェア故障に適応するため、類似の構成を採用しています。ルネサスのPMIC を搭載した R-Car キットを見つけたときは、参考にしてみてください。
1. ISO 26262 Analysis Tools
ISO 26262 を読み進めると、規格内では機能的に安全な製品を作成するために3つの分析手法が下記のように提案されています。
- ブロックダイアグラム
- 故障モード影響診断解析 (FMEDA: Failure Modes Effects and Diagnostics Analysis)
- 従属故障分析 (DFA: Dependent Failure Analysis)
これらの分析手法は、複雑さを軽減し機能的に安全な設計をするために推奨されています。 ルネサスではランダムハードウェア故障に対処するため、各 PMIC を開発する際には、これらの各手法を採用しています。
1.1 The Block Diagram
ISO 26262 の仕様を読み進めると、”不必要な複雑さを避けること”を重視していることがわかります。そしてブロックダイアグラムの作成を標準とすることに気付きます。
- ブロック毎に専用機能を持たせ抽象化し、不必要な (そしてしばしば混乱する) 機能の挿入を排除します
- 概念的安全分析が動作の流れを容易化し、機能の実装箇所の最適化します
―例をFigure2に示します。
1.2 Failure Analysis Tools
分析を開始する前に、使用する分析手法が仕様に満足するか確認する必要があります。また これら分析手法は、安全機構とそれらが保護する要素との従属関係、およびロバスト設計で許容される故障モードの特定に役立ちます。
- DFA: この分析手法は、従属故障を特定するのに役立ちます。例えば安全機構と保護対象のコンポーネント間の機構のような従属関係を特定するという形をとる場合があります
この分析からしばしば特定されるいくつかの例を示します。
- VCC: ドリフト、ノイズまたは安全機構に電源を供給する回路の故障は、電源を供給するデバイスに悪影響を与える可能性があります
- 温度: 温度の上昇または下降が監視精度に影響を与えると同時に、制御すべき機能を低下させる可能性があります
DFA は依存関係を特定して軽減することで、影響度を小さくすることができます。
- FMEDA: この分析手法は、抵抗列の破損やドリフトなど、一般的に受け入れられている故障モードを考慮して、機能への影響を分析します。 また、故障計算としても使用され、ASILに対する安全カバレッジの妥当性を確認します
DFA は各機能の独立性を判断するために使用されますが、FMEDA はより単純なアプローチ手法です。FMEDA の目標は、機能の階層を調べて、予め想定される故障モードを各要素に適用しています。ここで取り上げている故障モードは、ISO 26262 のパート 5 で最初に導入され、その後第 2 版のパート 11 で拡張されました。それらには次のものが含まれます。
- 抵抗器の故障とドリフト変動
- メモリ内のソフトエラー率、およびデジタル ロジック回路のスタック故障
- データ転送の失敗
コンセプト設計段階では、これらの故障モードが適用され、対処方法を検討し、カバレッジが割り当てられます。
2. Introducing Renesas PMIC Architecture
ルネサスではこれらの分析の結果を踏まえて、はじめにデバイスの主要な要素を定義します。
- 電圧リファレンスの生成: 通常、バンドギャップおよびバイアス電圧を分配するための回路が含まれます
- 内部電源生成: デバイスの内部回路に電力を供給する内部電源ドメイン
- スイッチ: 入力電圧を変換するプリドライバおよびドライバ回路が含まれます
- PWM 制御回路: 制御ループ全体を構成します
- レギュレータイネーブル: 起動と停止を制御します
- デジタルコア: 上記要素を異なるアプリケーションで使用できるように構成を制御します
通常これらのシステムがPMICの基本構成です (Figure 3 を参照)。
DFA と FMEDA を組み合わせることで、構成を概念的に分析し、ハードウェア故障に対するロバスト性を向上させる安全機構と追加が必要な機能を検討できます。この分析はすべてを網羅しているわけではありませんが、何らか最終的な製品に反映します。
2.1.1 Internal Rail and Bias Generation
ルネサスでは、すべての機能ブロック間のバイアス関係を明確化することから始めます。その一例は、各回路にタップ電圧を振り分けるDACです。
DFAからの故障モデルを次のように定義します。
- 共通原因故障(CCF: Common Cause Failure):1つの故障が別々の要素で2つの故障を引き起こします
- カスケード故障:1つの要素内の故障が別要素の故障につながります
これら2つの故障モデルをFigure3に当てはめると、バイアスとVCCの生成源が共通であることがわかり、共通故障となる電圧レギュレータと監視機構に故障が伝搬することがわかります。
これに対処するために、元の構成からより独立するように訂正します。
Figure6は、この従属関係を処置する1つの方法を示します。別々のバイアス回路(バンドギャップ)と電圧DACが、別々のバイアス点を作成しています。これにより、回路間の従属関係が軽減され、しばしばデータシートでは独立したバンドギャップ、バンドギャップ監視、およびVCC監視として表されていたりします。なお、安全上の要件を厳しくするほど、解決策がより複雑になります。
2.1.2 PWM Control Circuit & Output Switches and Drivers
PMICのフィードバックループ設計は、その性能とどのような安全機構必要となるかアーキテクチャ毎に変わるため、とても重要です。
分析した故障モードの例は次のとおりです。
- ハイまたはローに固定されて出力スイッチが故障した場合:出力遮断または直接グランドまたはVINにショートすることで、スイッチングの不規則性が発生します
- 負荷変動中に設定値からの過度の変動を防ぐ制御ループ補償:ここでの潜在故障は、コントローラの帯域幅が大幅に変化した場合に過電圧または発振動作を起こす可能性があります
多くの故障により、その設定値または過度な出力電流により出力電圧がはずれるため、PMICに出力電流と出力電圧を監視する安全機構が必要です。
これらの安全機構は、しばしばコンパレータまたはアナログデジタル(A/D)コンバータで実現されています。
次に、DFAをフィードバックノードに焦点を当てます。通常フィードバック経路では、出力電圧を内部基準レベルに変換する分圧抵抗があります。その抵抗が故障した場合は、ターゲット設定値が誤った値となるため、デバイスの誤動作と同様の影響を与えます。
これにより、次の基準が導かれます。
- デバイスでは、フィードバックノードがボード上の別のピンまたは別の電圧に短絡するという従属故障に対処するために、独立したフィードバック ソースが必要になります
- この独立したフィードバックソースには、抵抗フィードバックの短絡故障モードに対処するための冗長設計が必要です
このため、フィードバックピンとは別に監視用のピンが設けられる場合があります。 もしくはフィードバック抵抗が内部にあるときは、多くの場合で冗長性をもたせるために別経路を用意します。
最後の2つのセクションでは、制御ループのつぎに監視に焦点を当てます。
2.1.3 Monitors and Controls
監視とイネーブル制御は、システムが機能的に安全であることを保証する安全メカニズムの実装に不可欠であるため、おそらくデバイスで最も重要な回路の一部です。 それらは、以下構成からなるコンパレータ回路で構成されています。
- 過電流監視
- パワーオンリセット検出
- 出力電圧(過電圧・低電圧)監視
- 内部クロック監視
FMEDAで分析する場合、コンパレータ出力のスタック故障(ハイおよびロー固着)を想定します。2つの故障のうち、ロー固着はより影響が大きく、通常動作では故障発生が見逃され、潜在故障となります。このロー固着を検出するためにルネサスのPMICではアナログビルトインセルフテスト (ABIST) を実装しています。
プロセスの概要をFigure 8 に示します。
デジタル制御回路で強制的にトリガを発生させ、コンパレータ入力を切り替え、正常動作を確認後再び通常動作に戻ります。
2.1.4 Digital Core
Figure 9に示すように、デジタル部は機能安全に関する制御を行う部分と、レギュレータの起動と制御を行う部分に分割されることがよくあります。
このアーキテクチャは、DFA 分析で見つかった依存関係を軽減するためによく使用されます。デジタル部の機能分割をより理解するために、Figure 9 を参照してください。主な機能は次のとおりです。
- 多くの場合、構成レジスタとワンタイムプログラマブルROM (OTP) で構成します
- 機能安全に関する制御。多くはステート マシンで実現されます
- 通信。I2CまたはSPIが実装されます
ここで、ワンタイム プログラマブルROM (OTP) と制御レジスタでビット欠損に関する FMEDA を実施すると、起動時と実行時のどちらかで意図しないチップ構成となる故障となることが想定されます。この問題から保護するために、巡回冗長検査 (CRC) が起動時と一定期間ごとに実行されます。また、通信インターフェースにも適用されています。
デジタル部の安全機構の実現には多くの方法があり、CRCに加えて、安全機構としてよく使用されるものに、次のものがあります。
- 必要に応じた冗長ロジック
- クロック監視
- ABISTと同様にロジック内の固着検出を行うロジックBIST(LBIST)
3. Conclusion
新製品開発ごとに、設計チームと安全チームが機能安全機構を検討・実装し、マーケティングチームがその特徴を訴求します。この記事で紹介した概念的な分析が、ルネサスがどのようにASIL レベルに応じたPMICを設計し、なぜデータシート内で「安全」関連機能が記載されるのかを理解にするのに役立ててほしいと思います。