入力が無効です。特殊文字には対応していません。
「SAFER」の「R」 = リスク管理(risk management) – マイクロンSAFERメモリ
機能安全要件はこれまで自動車のティア1やOEMが対応してきましたが、現在そして未来の自動車に関連するシステムレベルの複雑性とエレクトロニクスの増加に伴い、機能安全は半導体サプライヤーにとって確実にますます大きな焦点になっています。マイクロンは、JEDEC準拠かつ車載用途認定済みの車載製品ポートフォリオの製品を通じて、マイクロンの指定するSAFER方式に従った機能安全支援に対する自動車業界のニーズに対応しています。SAFERの枠組みに基づいて設計されたマイクロンのLPDDR5メモリは、業界で最も複雑な先進運転支援システム(ADAS)向けに設計されたソリューションであり、本番使用の準備は整っています。
コンポーネントおよびシステムレベルにおけるリスク管理
現在増加傾向の自動車におけるADASの導入は、機能安全の重要性を強調しています。OEMやティア1がますます多くの半導体を搭載したセーフティクリティカルなECUを開発する中、最新の自動車に搭載されるADASのパフォーマンス要件が大幅に増加したことで、半導体の機能安全の重要性が高まっています。車内のインフォテインメント機能がADASと相互に絡み合うようになるにつれて、機能安全の重要性が高まり、結果システムレベルの機能安全にも影響を及ぼしています。システムレベルにおいて、半導体メモリやストレージデバイスはISO 26262のような厳しい安全要件を満たす必要があります。
ISO 26262は、機能安全を「電気/電子システムの故障によって生じる危険による不合理なリスクが存在しないこと」と定義しています。さらにこの規格では、故障は系統的故障とランダム故障の2種類に分類されるとしています。機能安全の2つの重要な要素である系統的故障カバレッジとランダム故障カバレッジは、断続的でランダムなエラーが発生した際に警告サインを出すといったように、設計および意図した通りのデバイスの動作を支援することに重点を置いています。ランダムなエラーに警告サインを出すことで、システム全体がこれらのエラーを分析し、適切に対応することができます。
系統的故障に対するリスク軽減は、半導体の開発プロセスにおいて、追加の対策を実施することによって行われます。
- 教育的対策(ISO 26262に関するスタッフのトレーニングなど)
- 組織的対策(専門の安全管理室の設置、外部または内部の安全認証取得など)
- 情報提供(追加文書やレビュー要件の提供など)
ASIL(自動車用安全度水準)が上がるごとに、製品開発プロセスにおいてより多くの段階が必要となります。ASIL Dは機能安全に関する最も厳しい認証レベルであり、そのため、製品開発プロセスにこれが追加される段階は最も多くなります。
ISO 26262準拠によるリスク軽減
ISO 26262のASIL-Dの正式認証を受けたコンポーネントは、インテグレーターに最も厳しい安全レベルを提供する一方、系統的故障のリスクレベル軽減に取り組むため、ISO 26262規格では3つの承認された代替的アプローチについて説明しています。
- 品質管理ハードウェア(QM HW)エレメントの評価(ハードウェア評価)
- 使用実績のあるQM HWエレメント
- ASILデコンポジション
ISO 26262規格では、クラスIIIのハードウェアエレメントについて、ISO 26262-8:2018の13.4.4.1項に従って、ハードウェアエレメントの次のバージョンがISO 26262に準拠して開発されることが計画されているため、ハードウェア評価方式は移行期間のみで使用することができます。今後、この同一のクラスIIIデバイスを採用する設計においては、正式なコンプライアンス認証プロセスを経る必要があります。ISO 26262規格準拠が認証された既存部品が市場で購入可能な場合、ハードウェア評価アプローチを採用するのではなく、このデバイスを設計に使用する必要があります。この選択はリスクを管理し、統合の複雑性を軽減し、最終的に全体的なコストを削減します。
LPDDR DRAMは、ISO 26262-8の13.4.1.1項に従って、クラスIIIのHWエレメントに分類される必要があります。
表1:LPDDR DRAMの分類基準
(画像をクリックして拡大)
機能安全コンサルタント会社exidaによるハードウェアエレメントの分類基準1。
使用実績のある品質管理(QM)ハードウェアエレメントのアプローチは、返品材料のプロファイル評価に依存しており、返品保証(RMA)の低い数を基準にしています。このアプローチでは、安全アプリケーションにおける使用を正当化することができ、現場で約500万個のコンポーネントが必要となります。
またこのアプローチでは、ASIL-D認証を取得するまでに4~6年かかることもあります。サプライチェーンの遅延の可能性、出荷量、稼働時間を考慮すると、使用実績のあるアプローチは安全保証のレベルが低く、本質的にハイリスクであり、持続可能なアプローチとして推奨されません。
ASILデコンポジションはISO26262-9:2018の5項に記載されています。ASILデコンポジションとは簡単に言うと、システムの一部のASIL要求レベルを緩和するため、システムに冗長性を追加する、構造化された方法です。ハードウェア評価とは異なり、ASILデコンポジションは後続世代の製品に使用できますが、冗長性によりシステムのトータルコストや部品数が大幅に増加する恐れがあります。さらに、ASILデコンポジションは回避よりも異常検出に重点を置いているため、システム全体の可用性に大きな影響が出る可能性があります。
結論
目標のASIL KPIを達成するための選択肢がある一方で、最もリスクが低く、市場投入までの時間が短いアプローチは、マイクロンのLPDDR5 ASIL-D準拠メモリのようなASIL-D認定/準拠のコンポーネントを採用することです。
業界初のJEDEC準拠ISO 26262、ASIL-D認証/準拠メモリの詳細については、こちらをご覧ください。現在量産を開始しております。その他の詳細については、Micron.comの機能安全ページで、セーフティクリティカルな自動車システムにおけるDRAM、自動車のメガトレンドなどに関するコラムをご覧いただけます。
マイクロン車載用メモリのSAFERブログシリーズ
このシリーズでは、画期的な車載用メモリソリューションおよびサポートを検討する際のインサイトや指針をお届けします。「SAFER」は5つの重要なコンセプトの頭文字を組み合わせたものです。「S」は業界で現在最も安全な(Safest)ソリューション、「A」は自動車(Automotive)に関する考え方、「F」は故障(Fault)検出、「E」はエンジニアリング(Engineering)リーダーシップ、「R」はリスク(Risk)管理を表しています。SAFERの各頭文字に対応する内容のブログをご用意しています。その他のブログについては、マイクロンの機能安全ページ(機能安全への第一歩 | Micron Technology, Inc.)をご覧ください。
