ISO 26262が自動車向け電子制御系の機能安全規格として2011年11月に発行されて以来、サプライチェーンの最上流のOEM(自動車メーカー)からTier1(自動車部品メーカー)、Tier2(半導体メーカー等)へと広く確実に浸透してきている。機能安全は、何らかの不具合が発生しても、そのリスクを許容可能な範囲にまで小さくするためのリスク管理と考えることができる。その実現手法としては、何らかの安全装置を組み込むことで不具合の検出や修正などの安全対策を行い、その不具合の影響をコントロールする。IC開発、特にRTL(Register Transfer Level)設計などの上流工程では、効果的かつ低コストの安全装置を設計することが重要である。ISO 26262では、機能安全のレベルをASIL(Automotive Safety Integrity Level)と呼ばれる4段階の指標で分類する。段階はAからDで、Dが最も厳しい指標である。
ISO 26262は10のパートから構成されており、ICを含むハードウエアは主にパート5で定義される(図1)。
図1 ISO 26262全体構成
ISO 26262-10 Road vehicles-Functional safety- Part 10: Guideline on ISO 26262より引用
ISO 26262パート5で考慮する不具合としては、ソースコードの書き間違えや仕様のキャプチャー漏れなどの「systematic」な要因と、自動車が実際に使用されているときの劣化などの「random hardware」な要因とがある。前者は、人の誤りに起因する広義のバグであり、トレーサビリティー管理などのプロセス管理で対応する。後者は、いわゆる「故障」であり、ハードウエア特有の不具合である。以降、このrandom hardware要因を中心に述べていく。
