－9－

ケーヒン技報 Vol.5 (2016)

２モータハイブリッドシステム用 ECU の機能安全対応※

Compliance of ECU for Two-Motor Hybrid System to Function Safety Standards

論文

１．まえがき

車載用電子部品に対する国際規格として機能安全規格（ISO26262）が 2011年に発行された．自動車はますます高機能化，複雑化していく．これに伴い電子部品の故障が大事故の原因になることも考えられる．しかし，自動車開発は分散開発が主流であり，各部品個別の対応では自動車の安全を確保することが難しくなっている（１）．この対策として機能安全規格を適応し自動車の安全を確保している．機能安全規格では安全方策を組み込むことで，各部品の故障，異常が発生したときに事故につながるリスクを許容できるレベルまで下げることを要求している．２モータハイブリッド用 ECU は OEM で規定された車両挙動について ASIL B（Automotive Safety Integrity Level B）の要求を受け開発を行った．ASIL B の規格適用時は故障率が 100Fi t 以下かつ診断率90% 以上を要求されている（２）．この要求を満足させるために主にマイコン周辺の対応が課題となる．また自動車の高機能化に伴い，機能安全対応によるマイコンの処理負荷増加も課

題となっている．一般的には Dual Lock Step方式のマイコン採用，監視マイコンの採用等の対策が採られるが本稿ではコスト，基板サイズで有利となる１マイコンシステムにより機能安全規格対応を行った．

２．課題

2.1. 機能安全規格対応時の課題機能安全規格対応時の技術的な課題は，マ

イコンの診断率の向上と非干渉性の確保である．規格では SG（Safety Goal）を満足することが求められる．診断率の向上としては，Fig . 1 に示すように部品 C 故障時の車両挙動が SG を脅かすとき，部品 C の故障検知機能を追加し，部品 C が故障しても SG を脅かす前に安全状態に移行可能なシステム構成が必要となる．また非干渉性とは，Fig. 2 に示すように同一マイコンのソフトウェア内に異なる安全要求レベルのソフトウェアが混在した時，低レベルのソフトウェア（QM：Quality Management）から安全要求レベルの高いソフトウェア（SM：Safety Mechanism）への影響を

＊１ 開発本部 第七開発部　　＊２ 開発本部 第六開発部

※ 2016年8月29日受付，（公社）自動車技術会の許諾を得て，2016年秋季大会学術講演会講演予稿集No.173-16A，20166363より，加筆修正して転載

植　野　修　吾＊１ 笹　尾　拓　郎＊２ 菅　野　和　哉＊１

Shugo UENO Takuro SASAO Kazuya SUGANO

Function safety standards (ISO26262) were issued as International Standards for automotive electronic parts in 2011. In designing an ECU for the two-motor hybrid system to comply with the standards in question, we designed a system composing of one microcomputer in order to keep the addition of parts to a minimum. In this paper, we mainly discuss the safety functions surrounding the microcomputer.

Key Words: EV and HV systems, motor drive system, system technology, Functional Safety, ISO26262

－10－

２モータハイブリッドシステム用ECUの機能安全対応

SG

SM(Additional fault detection)

SG

SM

Failure of C

Failure of B

Failure of A

Failure of C

Failure of B

Failure of A

C fault detection

SMQM(Safety level low)

Memory Time

(Safety level high)

Memory Time

及ぼさないことである．さらに機能安全を対応するにあたり，ソフ

トウェアの処理負荷が増加することでモータ制御に影響することが考えられるため，ソフトウェアの追加処理を最少としなければならない．これらの課題に対応する３つの手法の特徴を説明する．※SG：本稿では OEM で規定した車両挙動を

起こさない安全目標を示す※QM：本稿では通常制御領域を指す※SM：SG を守るための安全機構

ラムが不要となりソフト処理負荷，検出時間の面で有利となる．しかし，マイコン自体のコストが高いことが課題となる．Fig. 3 に構成を示す．※BIST：組み込まれた自己テスト

Fig. 2 Conceptual diagram of partitioning

Monitoringmicrocomputer

Single core microcomputer(Main)

Safety mechanism

Fig. 4 Monitoring microcomputer additional method

Fig. 1 SM Outline

Microcomputer

Core A(Main)

Core B(For monitoring)

Comparisoncircuit

Safety mechanism

WDT

WDT

WDT: Watch Dog Timer

Fig. 3 Dual core lock step microcomputer system

2.2. Dual Core Lock Step 方式の特徴Dual Core Lock Step 方式マイコンは従

来方式のマイコンに比べ同じ処理を２つのCORE で同時に実行し，その結果を比較することで即座に異常を検出することができる．また Dual Core Lock Step 方式マイコンには BIST（Built In Self Test）が豊富に準備されていることが多く，マイコン自身でセルフチェックができる．そのため，診断用のプログ

2.3. 監視マイコンの追加時の特徴メインマイコンの診断を監視マイコンで実

行することでメインマイコン側への診断用ソフトウェアを減らすことができる．物理的に独立したマイコンを使用することで非干渉性の確保が容易になる．しかし，マイコンの追加により電源等のマイコン周辺回路も部品点数が増えることでコスト面，基板サイズが大きくなる課題がある．Fig. 4 に構成を示す．

2.4. １マイコンシステムの特徴最小限の部品で機能安全規格対応を行うた

め，コストも安価で基板サイズも小さくすることができる．しかし，診断率を高めるために診断機能を追加することでマイコンの処理負荷が大きくなってしまう．同じマイコン内にQM 領域と SM 領域のソフトウェアが混在するため非干渉性の確保が難しくなってしまう．

－11－

ケーヒン技報 Vol.5 (2016)

Microcomputer ①

②④

①/③①/⑥

⑤

CommunicationmoduleCommunication

A/Dconverter etcEach sensoroutput

SafetymechanismWDTTask

management

Motorcontrol

QM

Memory

QMSM

Check by SM

3.2. 処理負荷対応診断処理の追加によりマイコンの処理負荷

が増加する．これに対応するために，まず必要な診断機能を整理し，診断機能をハードウェア部分（マイコン内も含む）とソフトウェア部分への割り当ての最適化を行った．最適化はコスト面，基板サイズ，処理負荷，FTTI を考慮して行った（３）．診断機能としては主にマイコンのペリフェラル診断，各センサの診断，通信診断等が挙げられる．各診断機能の割り当ては次のように最適化を図った．

マイコン内に診断用ハードウェアが実装されている場合には，そのハードウェアを使用する．例えばマイコンのペリフェラル診断についてはマイコン内蔵の ECC（Error Correcting Code）機能を使用することで処理負荷影響を最少とした．

マイコン内に実装されていない診断機能，または実装されているが，処理負荷の増加影響が大きい等の理由で使用できない診断機能についてはハードウェアを追加することで実現する．例えば，時間管理面ではマイコン内蔵の WDT があるが，マイコン原振の異常が起こったときにはマイコン自身で検出ができないため，マイコン外部に WDT 等のハードウェアを追加し異常を検知できる構成とした．

その他の診断機能はソフト処理にて診断を行う．例えば，マイコン内部の演算機能診断等のソフト処理追加を行った．

またソフト設計としてはタスク管理によるソフト処理の分散化も実施した．これらの対応策により，マイコンの処理負荷追加を最小限とし，モータ制御に影響を与えずに診断処理が実行できるソフト設計を実現した．※ECC：データに異常があったときに検出し，修

正可能な場合はデータを修正する機能

3.3. 非干渉性への対応機能安全規格で定義された非干渉性を確保

するためにはソフト処理時間の保護，メモリ

Micro-computer(Main)

MonitoringMicro-

computer

SM

Microcomputer

WDT SM

CORE A

CORE BCompare

Monitoringmicrocomputer

additional method

One microcomputerSystemDual Core Lock Step

Monitoring

WDT

SM

SM

QM

Monitoring

• Easy partitioning• Software processing load small

• High cost• Many components

• Low cost• Fewer components

• Difficult partitioning• Software processing load large

• Fewer components• Software processing load small

• High cost

Merit

Problem

Constitution

Table 1 Features of each system

Fig. 5 Configuration of the peripheral microcomputer

３．対応方法

3.1. システム構成各方式の特徴をまとめた結果を Table 1 に

示す．本稿ではソフトウェアの処理負荷増加を最少とし，要求された FTTI（Fault Tolerant Time Interval）を満足し，モータ制御に影響を与えずに診断処理が実行できることから，コスト面，基板サイズでの優位性が出せる 1 つのマイコンによるシステム構成とした．基本的なシステム構成を Fig . 5 に示す．システムの概要は，まずモータ制御部の診断機能を実装し（①：図中），異常検出時には車両を安全状態に移行できる安全機構を実装する

（②：図中）．またモータ制御を実行するときに使用する機能の診断機能をそれぞれ実装する（③：図中）．非干渉性の確保には外部 WDT

（Watch dog timer）診断を行う（④：図中）．メモリの非干渉性（⑤：図中），また通信の非干渉性のために診断機能を追加する（⑥：図中）．※FTTI：個々の部品故障の発生を起点とし，

SG を逸脱するまでの時間

－12－

２モータハイブリッドシステム用ECUの機能安全対応

Safetymechanism

Timestart

Task1 Task1

Task2

start

completed completed

WDTRun timediagnosis

Abnormality detected

QM

QM can’t Access(Concealment)

RAM

SM

RAM

Unit A

DATA1 DATA2

Time

Checking the time

• Normality of reception data• Confirmation of the transmission partner• Continuity of data

Unit B

Unit A

Unit B

保護，通信の保護の３つの独立性確保が必要となる（４）．

3.3.1. 時間の保護機能安全規格では SM 領域のソフトウェア

が正しい実行タイミングで処理が行われることを要求している．これに対しソフト処理のタスク管理を行い正しいタイミングで処理が実行されるソフトウェアの構成とした．Fig. 6にこの構成を示す．ソフト処理のタイミングを外部の WDT で診断し，異常を検出した時には車両を安全状態に移行できる構成とした．

ができない構成とした．さらに RAM 診断とDMA 診断を行い，各ハードウェアが正常動作し，異常時には検知が可能となることでメモリの非干渉性を確保した．

3.3.3. 通信の保護通信の非干渉では Fig. 8 で示すように正し

い情報が受信できていることの確保が規格で求められている．具体的には通信データの周期が正しいこと，データの順番が正しく更新されていること，データフレームが正しいことを診断することで通信の非干渉性の確保を行った．

Fig. 8 Partitioning of communication

Fig. 6 Timing monitoring configuration

Fig. 7 Partitioning of RAM

４．まとめ

２モータハイブリッドシステム用 ECU の機能安全規格対応は１つのマイコンと外部WDT により対応を行ったため，部品追加が最小限となり，低コストで基板サイズの影響も最小限にすることができた．マイコンの処理負荷についてもモータ制御に影響を与えずに処理できるような構成を実現した．

Fig. 9，Fig. 10 に示すようにマイコンのコスト比は Dual Core Lock Step 方式マイコンに対し約10% 削減．基板面積比は監視マイコン追加に対し約5% 減で実現できた．今後の開発においても本稿の内容からコスト，性能等を向上させていき，競争力の高い製品の開発を行っていく．

3.3.2. メモリ保護メモリの非干渉では Fig. 7 のように QM か

ら SM で使用しているメモリへのアクセスが無いことが求められている．具体的には RAMの非干渉性，RAM へのアクセス時に使用するDMA（Direct Memory Access）の正常性，プログラムが書かれる ROM の正常性の確保が求められる．マイコンにはメモリの保護機能として MPU（Memory Protection Unit）があるがMPU の切り替えに時間がかかり処理能力不足になったため，本稿では使用できなかった．そのため SM 領域の RAM を QM 側からアドレス管理による秘匿化を行い不正なアクセス

－13－

ケーヒン技報 Vol.5 (2016)

参考文献

（１） 石末：EPS 開発における ISO26262 対応への取組み，KYB 技報第50号，p.1-4 (2015)

（２） INTERNATIONAL STANDARD ISO26262 Road vehicle-Functional safety- Part1～Part9 (2011)

（３） 小林：自動車 - 機能安全 -ISO26262 解説書発行，JARI Research Journal, p1-2 (2014)

（４） 土本：車載制御システム向けパーティショニング機構，情報処理学会研究報告書 Vol.2013-SLDM-160 No8 p1-6 (2013)

Cost

Dual Core LockStep system

One microcomputersystem

-10%

Circuit board size

Monitoring microcomputeradditional method

One microcomputersystem

-5%

Fig. 9 Comparison of microcomputer cost

Fig. 10 Comparison of area

機能安全対応した量産機種の開発をすることができました．本論文の執筆にあたりご指導，ご協力頂きました皆様に感謝申し上げます．（植野）

菅 野 和 哉

著　者

植 野 修 吾 笹 尾 拓 郎