DRIVE Xavier: 世界初の自動運転車向けシングルチップ プロセッサ、安全性において最高峰の権威から高い評価を得る

投稿者: Gary Hicok

自動車の安全性――それは購入者がその有無を確認するような「機能」ではありません。安全性は自動運転車の本質にほかならないからです。そしてそれは、新たな水準のコンピューター、かつてないタイプのソフトウェア、画期的なチップがあってこそ実現されます。

自動運転車向け NVIDIA DRIVE コンピューターには、設計段階から安全性がつくり込まれています。ハードウェアからソフトウェア スタックまで、NVIDIA のコンピューティング システムには、専門家によって随所に安全テクノロジが組み込まれています。ツールや手法は、意図したとおり、確実に、バックアップ手段を持ちながら動作するソフトウェアを創出するために、また、厳しいエンジニアリング プロセスは、隅々まで手が行き届くようにするために開発されています。

「安全第一」をモットーとするコンピューター設計は、専門知識、アーキテクチャ、デザイン、ツール、手法、ベスト プラクティスに等しく盛り込まれています。安全性をくまなく行き渡らせ、NVIDIA のエンジニアリング文化を浸透させることを目指しています。

最高峰の権威からも高評価――「Xavier は安全性を考慮して設計されている」

しかし、それだけではありません。NVIDIA は、自動車の安全性と信頼性の認証において世界トップの企業である TÜV SÜD に、最新の NVIDIA Xavier システム オン チップ (SoC) の安全コンセプトに対するアセスメントを要請しました。150 年の歴史を誇るこのドイツ企業では、24,000 人の従業員が、自動車をはじめ、工場、ビル、橋梁などのインフラについて、安全性、耐久性、品質に関する国家標準および国際標準へのコンプライアンスを評価しています。

TÜV SÜD RAIL の Xavier リード アセッサーであるアクセル ケーネン (Axel Köhnen) 氏は、次のように述べています。「NVIDIA の Xavier は、当社がこれまでに評価した中できわめて複雑なプロセッサの 1 つです。当社の徹底した技術アセスメントによって、Xavier SoC アーキテクチャが自動運転用途に適していることが確認されており、安全な自動運転を実現するという NVIDIA のコミットメントが示されました。」

「安全性」――ただそのためだけに開発された処理能力

世界初の自動運転車向けプロセッサである Xavier は、これまで開発された中でもっとも複雑な SoC です。90 億個のトランジスタを搭載しているため、膨大なデータを処理することができます。GMSL (Gigabit Multimedia Serial Link) による高速 IO によって、Xavier が、ライダー、レーダー、カメラ センサーから成るこれまでで最大のセンサー アレイに接続されます。

SoC に搭載された ISP (イメージ シグナル プロセッサ)、VPU (ビデオ プロセッシング ユニット)、PVA (プログラマブル ビジョン アクセラレータ)、DLA (ディープラーニング アクセラレータ)、CUDA GPU、CPU の 6 種類のプロセッサが、毎秒約 40 兆回の演算 (ディープラーニングだけで毎秒約 30 兆回) を処理します。

NVIDIA がこれらを実現したのは、単に可能だったからではなく、安全性において欠かせないものだったからです。

1 チップ、6 プロセッサ、40 TOPS:多様性と冗長性に必要なパフォーマンス

Xavier は自動運転車の頭脳の役割を果たします。これは、安全の観点から、多様性、冗長性、フォールト検出の機能を隅々まで組み込むということです。センサーから、特殊プロセッサ、アルゴリズム、コンピューター、さらには自動車の駆動に至るまで、各機能が複数の手法を使って実行されることで、多様性を得られます。また、重要な各機能に備わったフォールバック システムによって、冗長性が保証されます。

たとえば、レーダー、ライダー、またはカメラで検出された物体は、各種プロセッサによって処理され、コンピューター ビジョン、信号処理、ポイント クラウド等の各種アルゴリズムを使って認識されます。回避すべき物体を認識するために複数のディープラーニング ネットワークが同時に実行されるとともに、他のネットワークが安全な走行経路を判断することで、多様性と冗長性が実現されるわけです。多様なアルゴリズムを並行して実行し、相互にバックアップを行う各種プロセッサが、単一障害点が検出されない可能性を低減します。

Xavier SoC の内部 — 搭載された 6 種類のプロセッサが毎秒約 40 兆回の演算を処理

Xavier には、さまざまな種類のハードウェア診断も含まれています。ロジックの重要な領域は多重化され、ハードウェアのロックステップ機構による比較が行われます。メモリに内蔵された ECC (Error Correcting Code) によってフォールトが検出されるため、可用性が高まります。独自の組み込みセルフテスト機能を用いた診断によって、チップ上に内在するかもしれないフォールトの発見に役立ちます。

Xavier の安全アーキテクチャは、300 名を超えるアーキテクト、設計者、安全に関するエキスパートが 150 以上の安全関連モジュールを分析し、数年かけて開発されました。自動車業界で Xavier を採用することで、機能安全性規格で規定される中で最も厳しい「ASIL-D (Automotive Safety Integrity Level D)」を取得できます。

安全性に必要な多様性と冗長性を実現するには、大量の追加処理が必要になります。自動運転車にとっては、処理能力が安全につながるのです。

最高水準の評価

何千人ものエンジニアが何百万行ものコードを書く中で、意図したとおりに Xavier を機能させるにはどうすればいいでしょうか?

NVIDIA は、世界最高クラスの自動車会社の専門家が NVIDIA のプラットフォームを利用して自動車事業を強化できるように、DRIVE をオープン プラットフォームとして開発しました。また、安全性における世界的権威である TÜV SÜD に、自動車業界における機能安全性規格である ISO 26262 に対する Xavier の評価も依頼しました。

世界の主要標準化団体である ISO (国際標準化機構) によって制定された ISO 26262 は、道路走行車両のシステム、ハードウェア、ソフトウェアの機能安全 (故障に対するシステムでの回避、発見、対処能力) においてもっとも信頼できる世界標準です。

この標準を満たすには、SoC が動作中にハードウェアの故障を検出するアーキテクチャを備えるだけでは十分ではなく、システム的なフォールトのリスクを軽減するプロセスで開発されている必要もあります。つまり、SoC はできる限り故障を回避する一方で、回避できない故障を検出してそれに対処する必要があるということです。

TÜV SÜD のチームは、Xavier のアーキテクチャが、深刻な傷害につながる可能性がある状況において不合理なリスクを回避することを求める ISO 26262 の要件を満たしていると評価しました。

事故ゼロを目指す NVIDIA の取り組み

いつの日か路上の事故をなくすテクノロジを生み出すことが、NVIDIA の重要な試みの 1 つです。NVIDIA では、社会的影響の大きい、この壮大なコンピューティング上の挑戦に積極的に取り組んでいます。

そのためには、コンピューティングのあらゆる側面を一から見直す必要があり、その第一歩が Xavier プロセッサでした。処理能力はスピードではなく、安全を考慮して開発されています。ISO 26262 と、その最高安全水準である ASIL-D に従って我々自身に対する評価を行いました。その際、自らを試し、挑戦するために、最高クラスの自動車会社から TÜV SÜD まで、あらゆる専門家の力をお借りしました。

道のりは長くとも、目標までの一歩一歩に価値があると考えています。