この記事は、シリコン・モーションの車載および組込み製品マネージャーのスティーブ・シーが執筆し、最初に Electronic Design に掲載されたものです。

新しい自動車ではデジタル電子機器やソフトウェアへの依存度が高まっており、厳しい機能安全およびセキュリティ規格に適合する新世代の高信頼性メモリが必要になっています。

この記事の概要：

• ソフトウェア定義車両によって、高信頼性でセキュアなメモリおよびストレージソリューションの需要が拡大しています。
• 最近の自動車設計では、機能安全とサイバーセキュリティに同時に対応することが不可欠です。
• 車載グレードメモリの厳しい要件に適合するためには、ISO 26262、AEC-Q100およびASPICEなどの業界規格に準拠する必要があります。

自動車の機能安全は、自動運転車やソフトウェア定義車両（SDV）よりもずっと前から存在しています。あらゆる種類の車両においてデジタル化が進むにつれ、先進的機能のためにより多くのメモリやストレージ、信頼性と安全性の厳しい要件に適合したもの、が必要になります。

半導体使用量が増加しているので、これらの要件は、車載システム設計者が必ず考慮すべき事項です。設計者は、車載システムにおけるアーキテクチャの変化に適応しなければなりません。より多くの機能を提供すると同時に、機能安全、信頼性、セキュリティについても考慮する必要があります。ミッションクリティカルなアプリケーションで使用されるメモリやストレージでは、故障は許されません。

SDVによる半導体使用量の増加

SDVによって車載電子機器がますます進化しています。今では、より先進的なインフォテインメントシステム、先進運転支援システム（ADAS）、電気自動車（EV）パワーシステム、OTA（over-the-air）機能などがあります。V2X（車両とあらゆるものとの通信）機能があれば、車両のソフトウェアを夜間にアップグレードすることが可能になり、より詳細な最新のナビゲーション情報をダウンロードできるようにもなります。また、車両からデータを収集することによって、特定の問題を診断したり、経時的なシステム性能データを採取したりできます。

アーキテクチャについて、SDVは、「ゾーン」型を採用する方向になっています。これは、機能をまとめてグループ化し、コンピューティングを集中化すると同時に、センサおよび付近のネットワークからより多くのデータを収集するものです（図1）。新しい機能やサービスの追加に伴ってデータが増加しているので、複雑なネットワークで相互接続された電子制御ユニット（ECU）が急増しています。

ゾーンアーキテクチャへの移行によって、車両はよりプログラマブルになりましたが、このようにソフトウェアによってプログラマブルになると、さらに多くのハードウェアを必要とします。コンピューティングが増加すれば、ECUやその他のコンピューティングデバイスの数が統合整理されたとしても、半導体使用量が増加します。

データストレージの集中化および内部接続性の要求拡大だけでなく、SDVにおいては、機能安全、信頼性、セキュリティの必要性が強調されます。

機能安全とセキュリティの密接な関係

機能安全と信頼性は、ずっと前から相互に強い関連があり、今後も変わることはありません。しかし、V2X機能の出現によって、サイバーセキュリティとも関連ができています。

悪意のある攻撃者は、コネクテッドカーを攻撃できます。すべての車両には潜在的なアクセスポイントがあるからです（図2）。各ネットワーク、メモリ、ストレージデバイスは、アタックサーフェスになります。また、V2X機能に特有のセキュリティの課題が発生しています。車両ネットワークは、種類の異なるノード、さまざまな速度、間欠的な接続で成り立っており、従来のセキュリティ手法が十分である、または有効であるとは限りません。

サイバーセキュリティと機能安全には密接な関連があるので、SDVは種々のありふれた状況で脆弱性を示す可能性があります。たとえば、自動車業界でオープンソースソフトウェアを使っている場合、ハッカーは、複数の車種を対象とする共通のシステムコードを悪用できます。

しかし、現代の車両で脅威攻撃者が混乱を発生させようと利用する媒介は、あらゆるコンピューティングと同様に、ソフトウェアだけではありません。ハードウェアが改ざんの対象になることが増加しており、全体の機能安全に効果的に対応するためには、ハードウェアは本質的にセキュアでなければなりません。したがって、設計者は、機能安全や信頼性基準と同時に、サイバーセキュリティ基準も考慮する必要があります。

デジタル化により安全上のリスクが拡大

車両のデジタル化が進み、電子機器への依存度が高まるにつれて、自動車の機能安全を規定する重要な規格が導入されました。自動運転車の出現とEV市場の発展に伴って、これらの規格の改良および拡張が必要になっています。

機能安全は、開発フェーズから始まります。製品仕様、生産実装、統合、検証、妥当性確認、および最終リリースを対象としています。潜在的なハザードおよびハザードシナリオも含めて、リスクを評価することは、あらゆる自動車の機能安全プログラムに必要不可欠です。

一般的に、自動車のOEMは、すべての車両レベルの機能に対してハザード分析およびリスクアセスメント（HARA）を実施し、特定されたそれぞれの潜在的ハザードについて必要なリスク低減レベルを決定します。これには、特定の運転シナリオにおいてハザードが発生する確率および期間、誤作動または故障の発生時に起こりうる結果などが含まれます。

HARAはコンポーネントレベルの深さまで進むことはありません。しかし、半導体は、最近の自動車の主要なビルディングブロックになっているので、メモリおよびストレージデバイスは、車載グレードでなければなりません。すなわち、高温から低温までの厳しい環境および振動に対応できる必要があります。

半導体業界には独自の安全規格があり、これは他の規格、特に自動車に関する規格を適用する以前に対応する必要があります。その規格は、SEooC（Safety Element out of Context）という概念に基づいており、ソフトウェア、ハードウェアまたはシステム要素の開発をボトムアップ方式で実施するものです。これは、さまざまな品目や車両に適用可能です。

さらに、故障モード影響診断解析（FMEDA）と呼ばれる体系的解析手法を使って、サブシステム／デバイスレベルの故障率、故障モード、診断能力を決定します。FMEDAは、すべての設計コンポーネントを対象として、コンポーネントの機能、各コンポーネントの故障モード、コンポーネントの故障モードがデバイスの機能に及ぼす影響、故障を検出する自動診断の能力などを確認します。FMEDAの手法によって、指定された故障モードごとに故障率を推定することができ、これは自動車の機能安全規格への準拠を実現するのに使用可能です。

自動車の安全規格はメモリおよびコンピューティングにまで拡張

複数の規格が自動車の機能安全を規定しており、ソフトウェアとハードウェアの両方に関連しています。

その中でも重要なものがISO 26262です。この規格は、事故のリスクを最小化し、自動車コンポーネントが所定の機能を正常に、かつ適切なタイミングで確実に実行するためのガイドラインの概要を示しています。また、ISO 26262は、自動車安全度水準（ASIL）を規定しています。低リスクの「A」から高リスクの「D」まであり、走行中のステアリング制御システムの故障は、高リスクと考えられています。

車両の自律性が高くなるほど、ASILの評点がさらに重要になります。レベル5の自動運転に対応するためには、ASIL D適合が必須です。

その他に関係のある機能安全規格は、AEC-Q100規格です。信頼性に重点を置いて電子部品の安全性を確保するもので、たとえば、車載用アプリケーションにおいてICにストレステストを実施します。

ISO 26262はソフトウェアの欠陥などのシステマティック誤差を対象としていないので、Automotive SPICE（ASPICE）が策定されました。これは、車載ソフトウェアにおけるベストプラクティスの現在の標準を示すものです。しかし、まだ世界中で採用されているわけではありません。SPICE（ISO/IEC 15504、Software Process Improvement and Capability Determination（ソフトウェアプロセス改善および能力決定））は、ソフトウェアプロセス評価のためのフレームワークです。開発の要素を評価するように考案されており、これによって評価者は、対象の組織が効果的かつ高信頼性のソフトウェア製品を提供する能力を備えているかどうかを判定できます。

ASPICEは、このフレームワークを自動車業界に適用して、自動車開発における組込みソフトウェアのベストプラクティスを規定しています。ISO 26262などの機能安全規格と異なる点は、安全が重要事項ではない場合の設計方法も対象としていることです。自動車の設計者は、ASPICEおよびISO 26262のガイドラインを採用して、効果的な安全プラクティスを確実に行う必要があります。

その一方で、サイバーセキュリティの脅威に対して保護された車両設計の必要性が高まっていることを反映して、ISO/SAE 21434が策定されました。車載用システムオンチップ（SoC）などのハードウェア、ソフトウェア、または最新車両の開発に使われる設計ツールも対象とすることができます。

NANDフラッシュは、車載用アプリケーションの主要部品となっており、さまざまな形態で使用されているので、ミッションクリティカルなアプリケーションのために高い信頼性を備えていなければなりません。したがって、過酷な環境条件への耐性を備え、また、たとえば衝突などによる突然の故障発生時にもデータを保持できるように、NANDフラッシュは、AEC-Q100などの規格にも適合する必要があります。

SDVがコネクテッドであるという性質のために、車載用NANDデバイスは、本質的にセキュアである必要もあります。あらゆる改ざんは安全に影響する可能性があるからです。したがって、セキュアストレージおよびOTA（over-the-air）更新には、AES-256ビットのフルディスク暗号化が実装されています。

NANDフラッシュの性能と信頼性が同時に向上

車載用アプリケーションにおけるNANDフラッシュデバイスの機能、安全性、信頼性、セキュリティは、コントローラなどのさまざまなシステム要素によって決まります。

シリコン・モーションの車載グレードコントローラは、AEC-Q100、IATF 16949、ISO 26262、ASPICEなどの国際的な機能安全規格および信頼性規格に適合しています（図3）。これらの規格に準拠しているのは、設計者が、フルコネクテッド、データドリブン、直感的な車内エクスペリエンスのためにインフォテインメントシステムを設計しているからです。たとえば、V2X機能を利用した没入型エンタテインメント、没入型インフォテインメント、ADASであり、これらには、堅牢で高性能なデータストレージが必要です。

シリコン・モーションが開発した車載グレードのeMMC、UFS、SSDコントローラは、他のアプリケーション向け製品と同じ機能を多数備えています。また、拡張温度範囲をサポートし、低いDPPM（100万個あたりの不良部品数）を実現しており、ASPICE規格に準拠して設計されています。

これらのコントローラは、AEC-Q100グレード2/3、ISO 26262、ISO 21434、IATF 16949認証への適合など、厳格なテストを受けています。

当社の最新SSDコントローラSM2264XT-ATは、特に車載用アプリケーション向けに設計され、シングルルートI/O仮想化（SR-IOV）をサポートしています。この機能があるので、集中型アーキテクチャの実装を必要とする将来の自動車に最適です。

また、SM2264XT-ATは、最大8個の仮想機能をサポートしており、SSDに同時にアクセスする複数の仮想マシンを効率的に管理して、CPUの負荷を軽減します。この機能は、低いレイテンシでさまざまなアプリケーションに対して高速な応答時間を確保することが重要なソフトウェア定義車両には必要不可欠です。

このコントローラは、厳格なテストを受けており、AEC-Q100、ISO 26262 ASIL-B対応認証、サプライヤーチェーンコンプライアンスのIATF 16949認証、ASPICE CL3など、さまざまな自動車用プロセスおよび認証に適合しています。

コネクテッドカーは、オンボードインテリジェンスや完全自動運転をサポートするV2X機能によってさらに複雑になっているので、メモリおよびストレージに対する需要は増加する一方です。したがって、設計者は、機能安全を考慮して設計されたストレージやコントローラなどのソリューションを必要としています。