安全性への要求が厳しいシステムに求められるISO 26262適格要件のクリア
20
安全性への要求が厳しい車載向けIC検査に対応するシノプシスのISO 26262認証済みソリューション
シノプシス デザイン・グループ マーケティング・マネージャー Chris Allsup
最 新 技 術 情 報Technology Update
現在生産されている自動車には、セーフティ・システムとしてアンチロック・ブレーキ・システム、エアバッグ、トラクション・コントロール、横滑り防止装置などが搭載されています。一方、次世代のセーフティ・システムは、先進運転支援システム(ADAS)とも呼ばれ、近い将来の自動運転車や半自動運転車の実現に向けて着々と進歩しています。一部のADASテクノロジは、カメラとレーダーを組み合わせることで、別の車両や歩行者、何らかの物体にぶつかりそうになると、これを検知・識別してドライバーに注意喚起するだけでなく、場合によっては自動的に障害物をよけたりブレーキをかけたりして、けがや損害が最小限になるように衝突を回避します。また、安全性を高めるために、車線変更や渋滞時の運転などの操作を自動化する半自動運転オプションを提供するADASテクノロジもあります。
こうした動向は、車載向けICの設計者に対してさらなる課題を生み出しています。設計者は性能や電力効率の向上だけでなく、車載時のロバスト性、信頼性、製品化期間、費用対効果といった従来からの要求にも応える必要があります。ISO 26262やIEC 61508などの機能安全に関する業界規格は、安全性基準の厳しいアプリケーションで使用する電子システムを設計する際に、機器の損傷やけがの原因となる故障の可能性を最小限に抑えることを義務付けています。安全性への要求が厳しいシステムで高性能ICの導入が進められている現在、設計者はこれらの規格への適合性を考慮する必要があります。リスクを最小化するには、システマティック・エラーとランダム・エラーが発生する潜在的な可能性を完全になくす(または最小化する)必要がありますが、これには高品質な設計ツールおよびIPと、設計フロー全体を通じた継続的なデザイン・チェック、ならびに文書化が欠かせません。
設計者がこれらの要件を満たせるようにするため、シノプシスは、ソフトウェア開発の初期に使用できるバーチャル・プロトタイピング・ツールから車載向けIPまで、さまざまな車載向けの設計および検証ソリューションを提供しています。特にシリコン・テスト向けには、ISO 26262認証に対応した包括的な車載向けテスト・ソリューションを提供しています。このソリューションには、高品質な製造テストを生成する最先端の故障モデル、インシステム・セルフテストとパワーオン・セルフテスト、少ピン圧縮、SoC統合テストが含まれています(図1)。
本稿では、シノプシスの車載向けテスト・ソリューションが、上述の課題にどう対応しているかについて詳しくご説明します。まずはその前に、安全性基準の厳しい車載システムを構成するICをテストする際に直面する主な課題について確認しましょう。
安全性への要求が厳しい車載システムの設計では、けがなどの重大な結果を招きかねない故障の可能性を最小限に抑える必要があります。故障の可能性が高いほど、機能安全を確保するためにより厳格な対策が必要になります。このとき重要な役割を果たすのが車載向けの規格※1で、ISO 26262機能安全規格は、車載システムの潜在的リスクをAutomotive Safety Integrity Level
(ASIL)を使って定義しています(図2)。
このリスクは、故障の重大性、故障が安全上の問題につながる確率、危険な状況が発生した場合に損害を回避できる確率に基づいて定義されています。ISO 26262は、安全性基準の厳しいシステムがハイリスク(ASIL CまたはD)に指定された場合、これらのシステムを構成しているICの設計とテストで使用されるソフトウェア・ツールがエラーを引き起こしたり、エラー検出に失敗したりしないことを保証できるだけの適格性を備えていることを求めています。
図2. ISO 26262の潜在的リスクの分類(ダイアグラム提供:SGS-TÜV Saar社)
常に
E/Eシステムの機能不良による損害の発生確率
非常にまれ低い E/Eシステムの機能不良による
損害の重大性高い
重大リスク
ASIL DASIL CASIL BASIL A
リスク容認限度
容認可能な残存リスク
QM ※
※ QM(Quality Management - 品質マネジメント)
図1. ISO 26262機能安全規格の認証を受けたシノプシスの車載向けテスト ソリューションのキー コンポーネント
最先端の故障モデル
TetraMAX® Automotive ATPG
インシステム セルフテストとパワーオン セルフテスト
DFTMAX™ LogicBIST DesignWare® STAR Memory System®
少ピン圧縮
DFTMAX Ultra
SoC統合テスト
DesignWareSTAR Hierarchical System
キ ッシュグループ
CPUテスト
バス
SMSプロセッサ
EEE 1500CPU
eFUSE
シリコン
ブラウザ
︵PC /
ラップトップ︶
SRAMラッパー
SMSプロセッサ
サーバTAP
IEEE 1500
IEEE 1500
IEEE 1500
ild Acc
leato
︵ATE
︶
サブ サーバ
ラッパー ラッパー ラッパー
ラッパー
ロジックBISTコア
ロジックBISTコア
ロジックBISTコア
DDR IPR
START
CLK
PASS/FAIL
DONE
PRPG seed
コントローラSignature
comparator
SEEDPRPG
Phase shifter
CompactorMISR
Signature
CPUキャッシュグループ
テスト・バス
SRAMラッパー
SMSプロセッサ
SMSプロセッサ
IEEE 1500 CPU
eFUSE
サーバTAP
信頼性要件のクリア
品質要件のクリア
21
ツールの適格性認定プロセスには、Tool Confidence Level(TCL)の指定、適格性認定計画の定義、動作要件の定義と検証、設計ツールとテスト・ツールの性能分析結果の提供、ツール関係文書(ドキュメント、フロー、安全性に影響するバグとその回避策など)の管理が含まれますが、これらに対応するには多大な費用と労力、時間がかかるだけでなく、ISO 26262要件を細部まで理解し、豊富な実績を持つ担当者が必要になります。
このため、安全性への要求が厳しい車載向けICの設計者は、自らが製造テスト・ツールの適格性認定プロセスを担当するのではなく、シノプシスの認定済み車載向けテスト・ソリューションを利用し始めています。このソリューションのキー・コンポーネント(TetraMAX Automotive ATPG、DesignWare STAR Memory System、DesignWare STAR Hierarchical System)は、最も厳格な車載向け安全性基準(ASIL D)をクリアしたことを、公認の独立系認証機関SGS-TÜV Saar社によって認証されており※2、設計がISO 26262に適格であることを認定するプロセスに必要なドキュメントはすべてテスト・ツールに付属しています。テスト担当者に必要な作業は、各ツールの安全性ドキュメントに記載された手順に従い、ツールの認証証明書をセーフティ・ケースに含めるだけです。
安全性への要求が厳しいシステムの品質基準は極めて高く、多くの一流自動車部品メーカーは使用するICに対して「究極」の品質を求めます。ISO / TS 16949はISO 9001に基づく技術仕様で、自動車関連製品の設計と生産向けの品質マネジメント・システム要件を規定したものです。仕様は、動作範囲という形で表記されることも多くあります。部品メーカーは、目標とする「仕様レベル」で動作する部品を設計しようとし、製造された部品の大部分が仕様下限値(LSL)と仕様上限値(USL)で定義された範囲内に入ることを保証しようとします。この範囲から外れた部品の個数は、目標値との標準偏差を表す「シグマ」レベルによって決まります(図3)。
では、シグマ・レベルはICテストにどう関係するのでしょうか。プロセスの変化やランダム欠陥があると、ロジック・ゲートでの遅延やリーク挙動に影響を与える場合があります。たとえば、リソグラフィ欠陥が1つでもあると、2つの電気ノード間のカップリング・キャパシタンスが過剰になり、特定の条件下で故障を発生させうる遅延が生じます。そのため、100万個当たりの不良品数(DPPM)を非常に低く抑えるには、このような検出困難な欠陥に対応した極めて高い検出率が必要です。次の表(図4)は自動車部品のDPPMレベルをシグマ値別に示したもので、欠陥モデルを使って該当する欠陥検出率のレベルの近似値を求めることができます。また、グラフでは、Agrawal-Seth欠陥モデル※3を使用して、製造歩留まりが80%の場合の一連の検出率・レベルにおけるDPPMを予測しています。
ご覧のとおり、1 DPPMを達成するには99.99%を上回る欠陥検出率が必要ですが、車載用IC設計でこのレベルの品質を達成することは可能でしょうか。ATPG(Automatic Test Pattern Generation)ツールで設計のタイミングと物理特性をうまく調整できれば、答えは「イエス」になります。シノプシスのTetraMAX Automotive ATPGは、最先端の故障モデルを使用して、非常に多岐にわたるシリコン欠陥を対象としたテスト・プログラムを生成します。この先進の故障モデルは、シノプシスの設計および解析ツール間での緊密な連携を利用して、見逃してはならないタイミング情報とフィジカル・デザイン情報を取り込みます。一例を挙げると、シノプシスのスラックベースのセル・アウェアATPGは、シノプシスのタイミング・サインオフ・ソリューション PrimeTime®と回路シミュレーション・ツールHSPICE®が生成した高精度のタイミング情報を利用して、セル内部の微小遅延故障をチェックでき、極めて高い欠陥検出率を実現します(図5)。
安全性への要求が厳しい車載システムに搭載されるICには、高い欠陥検出率だけではなく走行中のエラー・チェック能力も求められるため、ISO 26262の自動車向け機能安全規格では、設計を自動車に実装した後も定期的にさまざまなセルフテストを実行することを義務付けています。この要件をクリアするために、シノプシスはメモリーとロジックの両方に対応するインシステム・セルフテストとパワーオン・セルフテストを提供しています。DesignWare STAR Memory Systemは組み込みメモリーと外部メモリーのテスト、リペア、診断を自動化し、DFTMAX LogicBISTは高速なインシステム・セルフテストとパワーオン・セルフテストを可能にするオンチップ回路を合成します。本稿では、ロジックBISTソリューションを中心にご説明します。
図5. TetraMAX Automotive ATPGフローによるスラックベースのセル アウェア テストでは、PrimeTimeによるタイミング スラックと
HSPICEによる高精度のタイミング情報を利用して、セル内部の微小な欠陥を特定
図3. 品質レベル「5シグマ」は仕様範囲外の不良品が100万個中233個あることを意味し、「6シグマ」は4個未満になることを保証
「5シグマ」 - 仕様から外れた欠陥が233個
LSL 目標値 USL
「6シグマ」 - 仕様から外れた欠陥が3.4個
PrimeTime HSPICE
タイミングスラック
セル・テストモデル
TetraMAX
スラックベースのセル・アウェア
パターンセル・モデル
レポート
図4. 意欲的なシグマ目標とDPPM目標を達成するには極めて高い欠陥検出率が必要
3456-
66,8006,2102333.41
29.86%75.75%98.24%99.97%
>99.99%
シグマ値 DPPM 欠陥
検出率
100.097.0 97.5 98.0 98.5 99.0 99.5
歩留まり80%でのDPPM
1,000
100
10
1
欠陥検出率(%)
Support Q
&A
検証
編S
upport Q&
Aフ
ィジ
カル
編S
upport Q&
A論
理合
成編
What's N
ewin D
esignWare IP
?Technology U
pdate最
新技
術情
報Industry Trend
イベ
ント
/ セミ
ナー
レポ
ート
費用対効果の高いテストの実現
迅速なSoC統合テスト
22
DFTMAX LogicBISTは合成ベースであり、RTLの処理は必要ありません。DFTMAX LogicBISTは、RTL合成ソリューションDesign Compiler®に組み込まれているため、テスト・ロジックと機能ロジックの両方において、タイミング、消費電力、面積を最適化でき、さらには配線の過密性を緩和できます。その結果、設計とテストを繰り返す回数が減り、QoR目標を達成するまでのTAT(ターンアラウンド・タイム)が短縮されます。
シノプシスのロジックBISTフロー(図6)は、通常のDFTMAXフローとよく似ています。はじめにRTLまたはネットリストからロジックBISTを合成し、テストベンチを作成します。最終的なパターンの数と検出率が決まると、TetraMAX Automotive ATPGのデータをデザイン・プログラムに組み込みます。セルフテストのベースとなるのはチップ上での擬似ランダム・パターンの生成で、これはTetraMAXが製造テスト向けに生成するパターンとは異なります。DFTMAX LogicBIST、DFTMAX Ultra圧縮技術、TetraMAXが相互に連携することで、シードおよびシグネチャの計算やテスト・ポイントの解析と挿入といったタスクが迅速に処理されます。
製造テストでは、機能ロジックと一緒にロジックBISTレジスタがスキャン・チェーンに挿入され、スキャン・モードまたは圧縮モードのどちらかが有効化されます。このアプローチにより、特定市場における安全性への要求が厳しい回路には、極めて面積効率の高いロジックBISTアーキテクチャを適用する一方、回路の残りの部分は、汎用性の高い製造方法で対応することができます。
車載向けICの高い品質要件によって、欠陥検出率を上げてテスト漏れを減らす先進の故障モデルへの需要が高まったことは前述のとおりですが、DPPMを減らすにはコストがかかります。パターンを増やせばテスト・データが急増するため、テスト期間が延び、テスト・コストも増大します。しかし、コストをかけたからといって、それがそのまま機能安全の向上に反映されるわけではありません。採算に見合う車載向けICを生産するために、テスト・コス
トを削減することは非常に重要であると言えます。
このほかに、テスト・ピン数が削減される傾向がありますが、これは、フォーム・ファクタが小さくテスト用デジタル・ピン数の少ないミックスドシグナル・デザインが車載システムで使用されているためです。そのため、ごく少数のテスト・ピンで同時に複数のチップをテストするマルチサイト・テストのようなコスト削減手法や、SoCで広く使用されているコアベースのテスト手法を適用するケースが増えています。
ピン数を減らして高い圧縮率を実現するために、シノプシスのDFTMAX Ultra(図7)には、抜本的な再開発が施されています。TetraMAXは、不明なロジック値の管理に最大限の柔軟性を発揮するようアーキテクチャが最適化されているため、ATPG検出率を改善し、圧縮率を高め、正確な故障診断を実現することができます。その結果、テストの総コストが削減されるだけでなく、検出困難な欠陥に狙いを定めてDPPMを削減する最先端の故障モデルに基づいた大きなパターン・セットを利用することができます。
最後は、どのようにしてすべてのメモリー、ロジック、AMP / IPコアを統合し、SoC全体を効率的にテストするのかという課題です。従来の方法によるコアの統合やパターンのポーティングは非常に時間がかかり、エラーを引き起こしやすいというデメリットがあります。シノプシスのDesignWare STAR Hierarchical Systemは、IEEE 1500の階層型ネットワークをチップ上に自動作成し、全コアのアクセスおよび制御をSoCレベルで行います
(図8)。さらに、このネットワークを使用してコアレベルのパターンをSoCレベルにポーティングすることで、テスト時間やテスト消費電力を考慮したスケジュールでのコア・テストを可能にします。また、DesignWare STAR Hierarchical SystemはIEEE 1687規格に準拠しているため、組み込みテスト計器をシステムレベルのデバッグで再利用できます。
PCI Express®、USB 3.0、HDMI®、その他のSERDESインターフェイスなど、車載向けICに搭載されている標準的なミックスドシグナル・インターフェイス用IPには、アナログ・ループバック・テストを実行するためのBISTが含まれているため、エンジニアは、総合的なテスト・プログラムの一部でアナログ波形を表示できます。すべてのシノプシスのDesignWare SERDES IPはこのテスト方法をサポートしており、エンジニアは波形に基づいてアナログ出力をトリミングできます。また、DesignWare STAR Hierarchical SystemはIEEE 1500規格を使用してこれらのIPに接続し、IPテストを調整
図7. DFTMAX Ultraは、1つのスキャン チャネル、スキャン イネーブル信号、スキャン クロック信号で高い圧縮率を実現
図6. Design Compilerに組み込まれたDFTMAX LogicBISTによるテスト ロジックおよび機能ロジックのタイミング、消費電力、面積の最適化
RTLまたはネットリスト
Design Compiler
DFTMAX LogicBIST
DFTMAX Ultra
ロジックBIST情報を含むネットリス テストベンチ
TetraMAX
● シード● シグネチャ● 検出率
前ページより続く
安全性への要求が厳しい車載向けIC検査に対応するシノプシスのISO 26262認証済みソリューション
まとめ
23
し、オンチップ・ヒューズを介した波形トリミング機能を提供することで、TATを短縮します。
さらにDesignWare STAR Hierarchical Systemは、IEEE 1500に準拠したインターフェイスとインフラストラクチャを使用して、ブロックのデジタル信号を制御ならびに監視することで、カスタムのミックスドシグナル・ブロックのテストを容易にします。設計者はデジタル信号に直接アクセスできるので、主にアナログ信号の調整と監視に集中することで、テストの統合にかかる時間と手間を節約できます。
またDesignWare STAR Hierarchical Systemには、Measurement Unit(MU)の一部として新しいプロセスおよびクロック監視機能が組み込まれています。車載向けICの設計者は、クロック・インテグリティを安全に関する重要な懸念事項として考えています。また一般的な車載ICの中には、専用の
プロセス・モニタが多数組み込まれているものもあります。この新しい機能は、高周波のクロックを追加しなくても、クロック周波数とデューティ・サイクルを測定することができ、安全に関する要件に対応することができます。またDesignWare STAR Hierarchical Systemは、ファウンドリやプロセスに依存しないRTLベースのリング・オシレータによって、ウェハ・レベルでのプロセスの変化を的確に捉えます。
ISO 26262認証を受けたシノプシスの包括的な車載向けテスト・ソリューションは、コストの削減と開発期間の短縮を実現しながら、品質、安全性、信頼性を高めるという難しい課題への支援に焦点を合わせたソリューションです。詳細については、以下の資料をご参照ください。
参考文献● ウェビナー:STMicroelectronics社の事例紹介
https://event.on24.com/eventRegistration/prereg/register.jsp?eventid=1019626&sessionid=1&key=D66205B3A3303A5032DA747701F6F2FE&partnerref=SWEC● ホワイトペーパー:低DPPMテストのホワイトペーパー
http://www.synopsys.com/cgi-bin/rtl/wpdla/pdfr1.cgi?file=low_dppm_test_wp.pdf● データシート:DFTMAX LogicBIST
http://www.synopsys.com/Tools/Implementation/RTLSynthesis/Test/Pages/logicbist-ds.aspx● データシート:DFTMAX Ultra
http://www.synopsys.com/JP2/Tools/Implementation/RTLSynthesis/Test/Pages/dftmax-ultra-ds.aspx
※1 ISO International Standardsのウェブサイト:http://www.iso.org/iso/home/standards.htm※2 SGS-TÜV Saar社のウェブサイト:http://www.sgs-tuev-saar.com/en.html※3 V.D. Agrawal, S.C. Seth, P. Agrawal, “Fault coverage requirement in production testing of LSI circuits,” IEEE Journal of Solid-State Circuits, Volume 17,
Issue 1, Feb. 1982, pp. 57-61.
図8. DesignWare STAR Hierarchical Systemは車載向けSoCテストの統合を数週間短縮
著者紹介Chris Allsup : シノプシスの合成 / テスト・グループに所属するマーケティング・マネージャー。IC設計、フィールド・アプリケーション、セールス / マーケティングの幅広い分野で20年以上活躍。カリフォルニア大学サンディエゴ校にて電気工学の学士号、サンタクララ大学にてMBAを取得。設計およびテストに関する記事、論文を多数発表。
SoC
キャッシュグループ
CPUテスト・バス
SMSプロセッサ
IEEE 1500CPU
eFUSE
シリコン・ブラウザ
︵PC /
ラップトップ︶
SRAMラッパー
SMSプロセッサ
サーバTAP
IEEE 1500
IEEE 1500
IEEE 1500
Yield Accelerator
︵ATE
︶
サブ・サーバ
ラッパー ラッパー ラッパー
ラッパー
ロジックBISTコア
ロジックBISTコア
ロジックBISTコア
DDR IP
Support Q
&A
検証
編S
upport Q&
Aフ
ィジ
カル
編S
upport Q&
A論
理合
成編
What's N
ewin D
esignWare IP
?Technology U
pdate最
新技
術情
報Industry Trend
イベ
ント
/ セミ
ナー
レポ
ート
