• 公開日:2025年09月24日
  • | 更新日:2025年10月03日

自動車機能安全規格(ISO26262)における車載SoC/MCUのセーフティメカニズム

自動車機能安全規格とは

自動車機能安全規格とは、万が一自動車に搭載されている車両制御システムに故障が発生した場合に故障を検出しドライバーや同乗者などへの危害を許容可能なレベルまで低減し安全な状態へ導くことを目的に策定されており、国際規格としてISO26262があります。ISO26262はスイスに本部を構えるISO(International organization for standardization:国際標準化機構)で策定されており、このISOが自動車の車両制御システムに関する国際規格として策定した機能安全規格がISO26262です。(ISO9001やISO14001などもISOが策定した国際規格です)

また、ISO26262はIEC61508(International electrotechnical commission:国際電気標準会議)をベースに自動車向け規格として策定され、2018年の第2版から半導体に関する内容が追加されました。現在では世界標準の自動車機能安全規格としてISO26262が認知され世界中の様々な企業がISO26262規格に基づいて自動車用製品の開発・生産を行っています。

もしISO26262についてご興味のある方はコチラの記事をご覧ください、オススメです。

自動車機能安全規格<ISO 26262>とは | 組込み技術ラボ

車載マイコンに求められる機能安全とは

自動車業界を取り巻く環境は100年に一度の変革期と言われており、各社が自動運転技術の実現に向けた開発競争の中にあります。ADAS(Advanced Driver Assistant System:先進的運転支援システム)技術は既に多くの自動車へ搭載され、車線逸脱防止のためのステアリング制御、一定の車間距離を維持する速度制御、前方/後方車両との衝突防止のための自動ブレーキ制御など、自動運転の実現へ向け様々な技術が開発されています。

これらADAS技術は皆さんが自動車を運転される際に負担を軽減する素晴らしい技術であり、これら技術を実現するために自動車にはより高機能・高性能なシステムが要求されることに共感いただけると思いますが、一方でもしアクセルやブレーキ、ステアリングなどの制御に故障が発生した場合には重大な事故を招く可能性があります。つまり安全という観点から見ると自動車を運転される皆さんご自身が安全責任を負っているのに対し、自動運転技術の実現=安全責任は自動車が負うという事になります。

従って、自動運転技術の中枢を担う車両制御システムには機能や性能と同様により高い安全性が求められ、車両制御システムに必要不可欠な車載SoCやMCUについても高い安全性が求められています。車両制御システムが故障を起こす可能性をゼロにすることが理想ですが、実際問題可能性をゼロにすることは非常に困難を極めるため、もし故障を起こした場合でもドライバーや同乗者などへの危害を許容可能なレベルまで低減するために安全な状態へ移行することが車両制御システムに必要不可欠な一つの要素になります。

セーフティメカニズムとは

ここから本題になりますが、皆さんセーフティメカニズムとは何かご存知でしょうか。

ISO26262はもし自動車に搭載されている車両制御システムに故障が発生した場合でもドライバーや同乗者などへの被害を許容可能なレベルまで低減させることを目的に策定された規格ですが、被害を低減させるために故障を検出する手段として車載SoCやMCUに搭載されている安全機構がセーフティメカニズムです。セーフティメカニズムには様々なものがありますが、代表的なセーフティメカニズムについて紹介します。

1.ECC(Error Checking and Correcting)

幅広い製品で用いられているECCですが自動車用製品にも搭載されているセーフティメカニズムの一つです。車両制御システムでは様々なデータの送受信・読み書きを行うことになりますが、具体的にはデータ受信やデータ読み出しの際に誤りを検出し訂正することができます。これにより車両制御システムの誤動作や故障に繋がる可能性のある誤ったデータの送受信を防ぐことができるため、ECCは車載SoCやMCUの様々な周辺機能に搭載されています。

実際ECCがどのように誤りを検出し訂正するのかご興味のある方はコチラの記事をご覧ください。

ECC(Error Checking and Correcting)機能の動作 | 組込み技術ラボ

2.BIST(Built In Self Test)

BISTは車載SoCやMCUが正常に動作しているか自身で自身をテストする自己診断機能です。LBIST(Logic BIST:論理回路のテスト)とMBIST(Memory BIST:メモリのテスト)で構成され、各BISTは大きくテストパターン生成器、解析器、制御回路で構成されます。イメージ図を下記します。テストパターン生成器は疑似乱数を生成し、解析器はテスト対象の回路からの出力結果を比較し、制御回路はテストパターン生成器や解析器の開始、停止やテスト結果を外部機器へ出力したりします。解析器はテスト対象の回路から出力された結果と予めROM等に格納しておいた正常な結果を比較し、結果が一致すればテスト対象の回路が正常に動作していると判断します。

BISTを実行するタイミングについては車両制御システム毎に異なりますが、一般的には自動車のイグニッションキーがOFF(車載SoCやMCUがスタンバイ)時やイグニッションキーがON(車載SoCやMCUがウェイクアップ)になったタイミングで実行します。

3.DCLS(Dual Core Lock Step)

車載SoCやMCUの重要な中枢機能を担うCPUの安全性を担保するための最も一般的なセーフティメカニズムとしてDCLSがあります。あくまでイメージになりますが下記のような二つのCPUと比較回路で構成され、二つのCPUが同期して同じ処理を行います。処理結果は比較回路で常に比較され、結果が一致すればCPUは正常に動作していると判断しますが、万が一結果が一致しない場合にはどちらのCPUが故障しているのかまでは分かりませんが、故障をいち早く検出することで車両制御システムを安全な状態(=危害を許容可能なレベルまで低減)へ移行させることができます。

DCLSのように2重、3重に同じ機能を持つ要素で構成された設計を冗長設計といい、高い安全性の担保や、万が一故障が発生した際にも機能不全に陥ることなくシステムを安全な状態へ移行させるための重要な設計手法の一つで、数多くのSoCやMCUに様々な冗長設計が用いられています。

4.VM(Voltage Monitor)

車載SoCやMCUに限らず半導体製品全般に共通して供給される電源電圧は各製品が期待する一定の電圧範囲で安定している必要があります。もし電源電圧が期待する電圧範囲を超えてしまった場合は故障や破壊にまで至る可能性もあります。この電圧をモニタするセーフティメカニズムとしてVMがあります。電圧検出器として過電圧を検出するHDET(High voltage Detector)と低電圧を検出するLDET(Low voltage Detector)があり、あくまでイメージになりますが下記のような回路で供給されている電圧が期待する電圧範囲に収まっているかどうかを確認することができます。

今回はECC、BIST、DCLS、VMの基本的な4つのセーフティメカニズムについて説明しました。このようにより安全性の高い車両制御システムの実現に向けて車載SoC/MCUには様々なセーフティメカニズムが搭載されておりますので、ここまでお読みいただいた皆さんの一助になれば幸いです。

Renesas Electronicsの車載SoC/MCU

最後になりますがRenesas Electronicsにはセーフティメカニズムが搭載された様々な車載SoC/MCU製品ラインナップがあります。一般的に車載MCUは自動車のパワートレインやシャシー、ボディなど幅広いアプリケーションで使われており、車載SoCはADASやCDC(Cockpit Domain Controller)など高機能・高性能が求められるアプリケーションで使われております。この機会に是非下記ページもご覧いただきRenesas Electornics製品を検討してもらえると嬉しいです。

R-Car自動車用SoC (System-on-Chip) | Renesas ルネサス

RH850車載用MCU – 高性能車載用MCUマイクロコントローラ | Renesas ルネサス