Go Back
業界
テクノロジー
DSO.ai | Synopsys
DSO.ai
もっと詳しく知る →
車載システム設計工程の前倒し
資料ダウンロード →
カスタム設計プラットフォーム →
設計/検証/製造性の追求

EDAリーディング・カンパニーのシノプシスがお届けするソリューション/サービス

ソリューション・ファミリー
光学設計ソリューション
システム・シミュレーション/モデリング
設計
3Dイメージデータ処理
検証
製造性
フォトニック・ソリューション
シリコンIP

高品質IPで皆様のシリコンでの成功を加速

インターフェイスIP
プロセッサIP
メモリーおよびライブラリ
セキュリティIP
SoCインフラストラクチャIP
SoCアーキテクチャ開発
IP Acceleratedイニシアティブ
IPマーケット
システム設計ソリューションについて

シノプシスは、ハードウェア・アシスト検証ならびに仮想プロトタイピング・ソリューションのリーディングカンパニーです

エミュレーション
System Test Generation
検証用IP
FPGAベース検証
プロトタイピング
バーチャル・プロトタイピング
すべての製品を表示 →
会社情報
リソース
Success Stories | Synopsys
Success Stories
詳細はこちら →
Synopsys Careers
Pursue Your Passion
もっと詳しく知る →

ADAS SoC向けデータ・コンバータIP

米国シノプシス 

アナログIPプロダクト・マーケティング・マネージャー Manuel Mota

データ・コンバータを必要とするセンサー・アプリケーションには、エンジン状態を識別するための温度センサーから先進運転支援システム(ADAS)を支えるレーダー/LIDARまでさまざまなものがあります。また、車車間通信や固定ネットワークとの通信に使用する無線トランシーバーでもデータ・コンバータが使われます。データ・コンバータIP(ADCおよびDAC)は、さまざまなアナログ・センサーをオートモーティブSoC(システム・オン・チップ)に接続する目的で使用します。ADASの場合、電子システムとそのコンポーネント(SoC、IPなど)は過酷な温度環境でも長期の製品寿命を維持する必要があり、最高水準の信頼性と安全を達成することが求められます。このため車載電子システムとそのコンポーネントは、オートモーティブ特有の厳格な信頼性および機能安全規格に準拠する必要があります。

 

本稿では、自動車の信頼性規格について簡単に触れた後、機能安全の要件をデータ・コンバータなどのIPと、そのIPを含むSoC機能ブロックとの間で上手に分割することによって、オートモーティブ特有の要件を最適な形で効率よく満たす方法についてご説明します。

信頼性設計

自動車業界には、AEC(Automotive Electronics Council)が策定したいくつかの認定規格があります。SoCおよびそのコンポーネント(IPなど)がサポートする必要のある温度グレードは、AEC-Q100規格で定義されています。この規格では、SoCまたはIPが正しく動作する最大周囲温度に応じてグレード0からグレード3までの温度グレードを定義しています(表1)。

表1:周囲温度グレードの定義

オートモーティブSoCまたはIPの回路シミュレーションでは、周囲温度を接合部温度に変換する必要があります。温度を正確に変換するには、SoCの平均活性化率(平均消費電力)、およびパッケージの熱抵抗(ダイから熱エネルギーを奪って周囲環境に放出する能力)を考慮します。デバイス(SoCまたはIP)に対する温度の影響を正確に評価するには、温度プロファイルを考慮します。温度プロファイルとは、SoC/IPのライフサイクル全体で温度範囲ごとに想定される動作時間の分布を記述したものです。

 

温度要件だけでなく、コンポーネントは最大故障率の要件も満たす必要があります。故障率は単位dppmで表し、オートモーティブ製品の場合は15年のライフサイクル全体で1 dppm(100万個のデバイスに対して不良品が1個)未満が求められます。この要件を満たすには、以下の点を考慮する必要があります。

 

  • デザインのばらつき:製造プロセス特性の変動によって生じるデバイスのミスマッチ。SoCに局所的に影響するもの(ランダムばらつき)とダイ全体に影響するもの(勾配効果)の両方があります。故障率を低く抑えるには、クリティカル・ブロックに対してモンテカルロ法による統計シミュレーションを行い、ミスマッチの極値分布(最大5*sigmaなど)を分析します。

  • トランジスタの劣化:SoCを構成するトランジスタの特性が、動作時間およびその期間中の動作条件の関数として変化することをいいます。劣化の原因にはHCI(Hot Carrier Injection)、NBTI(Negative-Bias Temperature Instability)、PBTI(Positive-Bias Temperature Instability)などがあり、これによってライフサイクル全体で動作条件の関数としてトランジスタのしきい値電圧が変化していきます。トランジスタの劣化を評価するには、ミッション・プロファイル、トランジスタの予想される積算通電時間(POH)、およびオートモーティブ・アプリケーションに求められる低故障率を考慮する必要があります。デザインを検証する際には、温度プロファイルをある一定温度での等価POHに変換するのが一般的です。設計段階では、定義した温度における等価POHの期間における劣化の影響を含めたシミュレーションを実行することによって、目標故障率を達成できます。

  • エレクトロマイグレーション:高密度の電流が流れたときにインターコネクト・ワイヤや接点で導体の電子が移動し、インターコネクト・トレースの抵抗が変化したり(最悪の場合は断線も)、回路のタイミング特性が変化したりすることをいいます。エレクトロマイグレーションの影響も、SoCの温度プロファイルおよびPOHによって異なります。特定のシミュレーション・モデルにより、SoCの寿命全体でエレクトロマイグレーションの問題が発生しないことを確認します。

 

また、温度プロファイルの最大温度での動作時間がSoC/IPのライフサイクル全体のごく一部であったとしても、その温度でのリアルタイム動作を保証する必要があります。これにより、SoC/IPが最大温度で動作している場合でも機能と性能の仕様が満たされ、タイミング違反などによる機能の障害が発生しないことを確認します。

機能安全設計

セーフティ・クリティカルなADASアプリケーションに使用するオートモーティブSoC/IPは、ISO 26262の認定を受ける必要があります。ISO 26262では、SoC/IPの機能安全はASIL(Automotive Safety Integrity Level)A(最も潜在的リスクが低い)~D(最も潜在的リスクが高い)のいずれかで定義されます。ADASアプリケーションで使用するオートモーティブSoC/IPは、適用すべきASILに応じた安全機能を実装する必要があります。オートモーティブIPの場合、機能安全については主に次の点を検討します。

 

  • IPが障害を検出、報告、および自己訂正できるか。障害を検出および訂正するには、誤り訂正符号(ECC)チェック、多数決回路、何らかの形によるローカル冗長性などの機能を利用します。

  • IPが障害を検出した場合、システムの他のレベルが安全対策を時間内に実行できるように十分迅速に報告できるか。

  • 外部の対策を組み入れることにより、IPより上位のシステムレベルで保護が可能か。

データ・コンバータの機能安全

データ・コンバータは、アナログ・センサーとのインターフェイスといった低レベル機能を実装します。これは、センサーから取得したアナログ信号をSoCで処理できるようにデジタル表現に変換することを目的としています。ADCインターフェイスを必要とするアナログ・センサーの例としては、車載レーダー、LiDAR、カメラなどがあります。センサーからは未知のアナログ信号が生成されます。この信号にはプロトコルまたはエラー訂正情報が一切含まれないため、従来のプロトコル・レベルの障害検出および訂正メカニズムは利用できません。アナログ/デジタル・コンバータ(ADC)自体は処理機能を持たず、信号ダイナミクスに関する知識もないため、その信号が破損しているのかどうかを判定できません。ADCのセルフテストを実行するという方法もありますが、ADCが通常動作として実行するフォアグラウンド・テストを妨げることがあるため、現実的ではありません。このような低レベルの機能ブロックでは、オートモーティブ特有の安全要求を別の方法で満たす必要があります。製品の機能や性能に影響する潜在的障害は、特性評価や製造テストで見つけることができます。SPF(単一箇所における障害)やLF(潜在的な障害)などの障害モデルによって記述される機能障害は、製造上の不具合によって生じる障害であり、テスト・パターン自動生成(ATPG)テスト手法を使用して高いカバレッジで検出できます。データ・コンバータの場合、ランプ入力信号をスイープして全範囲をチェックする特性評価時のテスト、および純粋な正弦波信号を入力して高速に動作をチェックする量産テストによってアナログ・ブロックの不良を高いカバレッジで検出できます。

 

ADCに影響する動作不良のうち、通常動作時にのみトリガーされるものについては、ADCに実装されるテスト機能を補助的に使うことによって、システムレベルで効率的に検出して対処できます。

 

  • 出力縮退障害(出力ワードが一定のレベルに固定される障害)の検出

  • レイテンシ超過障害の検出(トリガー後に変換を実行する場合)

  • キャリブレーション不全障害の検出(キャリブレーション後に変換を実行する場合)

  • 入力マルチプレクサ(MUX)の専用入力チャネルを使用してテスト用の固定入力レベルを入力し、既知の入力電圧の誤変換を検出(図1)

図1:MUXを使用して既知の電圧を計測し、故障を検出

ただし上記の方法だけでは自動車の機能安全で必要とされるカバレッジを十分に達成できないことがあり、その場合は外部の機能安全対策を組み合わせて適用することを推奨します。外部の機能安全対策は、システム全体の安全に影響を与えることなくADCの安全リスクをシステムレベルで特定して対処します。このようにADC外部で動作不良を特定する機能安全対策の1つに、機能の冗長化があります。機能の冗長化は、2つの並行な信号経路の出力が一致するかどうかを常時チェックします。出力の不一致が検出された場合、システムは何らかの不良があると判断し、機能安全の問題を解消するための措置を実行します。図2では、2つのデータ・コンバータを使用して機能を冗長化しています。2つの独立したコンバータで同じセンサー出力信号を処理し、結果が一致しているかどうかをシステムでチェックします。

 

ADCなど個々のブロック内部に機能安全対策を実装するのが望ましくない、または効率的な実装が難しい場合でも、ここに示した3つの実装のいずれかを使用すると、システム全体の機能安全カバレッジが向上します。ここには、ADCだけを冗長化したものからセンサーまでを冗長化したものまで3つの例を示しています。より多くの部品を冗長化すると、それだけ多くのブロックが外部安全対策でカバーされます。ブロックを二重化するコストはかかりますが、個々のブロック内部に機能安全対策を実装する必要はなくなります。

図2:機能の冗長化によりADCの動作不良を検出

まとめ

ADASアプリケーションにはオートモーティブ特有の信頼性と機能安全が要求されるため、車載向けIPおよびSoCを設計する際にはAEC-Q100およびISO 26262規格で定義されたすべての必須要件を満たす必要があります。これらの要件、およびSoCへの効率的な実装方法を十分に理解すれば、統合するIPの特性(および認定)を活用しながら課題を管理しやすい単位に分割してオートモーティブ認定を達成し、SoCレベルの認証にかかる期間を短縮できます。データ・コンバータなど、機能ブロックの内部に安全機能を実装することが不可能、または望ましくない場合は、別の方法で機能安全の目標を達成することにより、SoCレベルでの機能安全目標を容易に達成することができます。詳細は、ホワイトペーパー「Data Converter IP for Automotive SoCs」をご参照ください。

高品質かつシリコン実証済みのシノプシス IP ソリューション

最新のニュースリリースはこちら

日本シノプシスへのご意見、ご質問、お見積依頼、ご登録情報の変更はこちらから