機能安全対応の開発コストを削減、ヴィッツがパーティションOS開発：ISO26262

ヴィッツはパーティショニング機能を備えたリアルタイムOS（以下、パーティションOS）を開発した。TOPPERSプロジェクトを通じて無償公開される。車載制御システムや産業機器を機能安全規格に準拠させる際に、システム内に異なる安全要求レベルが混在する場合でも、機能安全対応範囲を限定したりすることで、開発コストの削減が可能となる。

[馬本隆綱，MONOist]

　ヴィッツは2013年5月、パーティショニング機能を備えたリアルタイムOS（以下、パーティションOS）を開発したと発表した。「TOPPERS/PARK〜BCC Light〜」の名称でTOPPERSプロジェクトを通じて無償公開される。まずは会員限定で2013年5月よりリリースを始めた。一般への公開は2013年11月中旬を予定している。

　パーティショニング機能を備えることで、車載制御システムや産業機器を機能安全規格に準拠させる際に、システム内に異なる安全要求レベルが混在する場合でも、他の機能へ影響を与えないように分離したり、機能安全対応範囲を限定したりできるので、開発コストの削減が可能になる。ヴィッツは、対象とするアプリケーションとして、移動支援ロボット、介護ロボット、航空宇宙などを想定している。

　パーティションOSは、「TOPPERS/ASPカーネル」をベースに、機能安全規格への対応などを図っている。さらにパーティション機能により、対象システムの機能を複数の集合（パーティション）に分けて、それを空間的／時間的に分離する構造としている。例えば、パーティションリブートやメモリ保護、時間保護、サービス保護／システム状態保護、周辺デバイス保護などの機能を備えている。これらの機能を持たせることで、機能安全に関連するパーティションを他のパーティションから分離して保護することができる。つまり、異なるSIL（Safety Integrity Level）／ASIL（Automotive SIL）が混在した制御システムでも、従来のように全ての制御システムを高レベルの水準に合わせて開発する必要がないため、ECU（電子制御ユニット）統合時に開発コストを低く抑えることが可能となる。

パーティションOSの機能 （クリックで拡大） 出典：ヴィッツ

　対応するシステムの要件に合わせて、パーティショニングレベルはレベル1〜4まで4段階に分けた。レベルが高いほどそのパーティショニング強度も高い。アプリケーションが要求する性質やOSの機能も、アプリケーションレベルとしてレベル0〜3まで4段階を規定している。アプリケーションレベルが高いと多くの機能が求められることになる。さらに、コンフォーマンスクラスとして、最もパーティションの強度が高い「BCC」、BCCに対して機能制限付きシステム割り込みをサポートした「BCC Plus」、BCC Plusからメモリ保護機能を削除した「BCC Light」、システム割り込みをサポートすることで実行タイミングは保護できない「ECC」、システム開発時に用いる「DCC」を用意している。

左がパーティショニングレベル、右がアプリケーションレベル。それぞれ4段階を規定している （クリックで拡大） 出典：ヴィッツ

　「TOPPERS/PARK〜BCC Light〜」の公開は、TOPPERSプロジェクト会員限定でドキュメント類を5月8日より、ソースコードを6月21日より、それぞれ早期リリースする。一般への無償公開は2013年11月中旬となる予定だ。無償公開となるのは「IEC 61508 SIL3 Capable RTOSのソースコード」、「Safety Conceptドキュメント」、「Safety Requirements Specificationドキュメント」および「TUVレポート」など、機能安全の製品認証に必要なドキュメントも含んでいる。

　さらに、ヴィッツでは無償公開版の「TOPPERS/PARK〜BCC Light〜」に、メモリ保護機能を追加したフルセット版RTOSを、2014年7月にも商用版として販売する計画である。

パーティションOSの公開スケジュール （クリックで拡大） 出典：ヴィッツ

ISO26262−自動車向け機能安全規格−

ISO26262の解説記事と最新情報を集約した特集サイト

＞＞トップページはこちらから