組織体制もISO26262対応済みのジェイテクト、ADAS時代の機能安全は「冗長設計」:MONOistオートモーティブセミナーリポート(3/5 ページ)
MONOistオートモーティブフォーラム主催のセミナー「IoT時代の自動車に求められるISO 26262と車載セキュリティ」の特別講演に、電動パワーステアリング大手のジェイテクトでシステム開発部 部長を務める賀治宏亮氏が登壇。本稿では賀治氏の講演を中心に、同セミナーのリポートをお送りする。
自動車業界向け子会社を設立してISO26262対応を加速
2つ目の講演は、イーソル技術本部の宿口雅弘氏による、「イーソルのISO 26262適合支援ソリューション」である。
同社は「T-Kernel」をベースに、独自に拡張したリアルタイムOSである「eT-Kernel」をビジネスの根幹に据えた上で、単なるOSの提供のみならず、開発ツールやプラットフォーム、規格対応の支援サービスやコンサルティングまで幅広いビジネスを展開している。同社の顧客は自動車業界のみならず製造業や宇宙向けなど多岐に渡るが、最近同社は自動車関連業界にむけてイーソルトリニティという子会社を設立し、車載機器開発を包括的に支援する体制を整えた(関連記事:複雑化する車載機器開発をサポート、イーソルが専業子会社を設立)。
その同社のeT-Kernelであるが、ISO 26262のASIL DやIEC 61508のSIL 4といった各規格で最高レベルの認証を取得しており、機能安全が必要とされる分野でより利用しやすくなっている(関連記事:国産RTOS「eT-Kernel」がISO 26262とIEC61508で最高安全度水準の認証を取得)。
さて、イーソルの機能安全に関する考え方である。例えば、ECUを統合して複数の機能を1つのECUにまとめようと思った場合、片方が単に自動車品質(QM:Quality Managed)、もう片方がASIL Dだとした場合、両方をまとめてASIL Dにするのはコスト面からも難易度からも意味が無い。
そこで適切なデコンポジション環境で両者を並行して動かすことになる。ではそもそもなぜECUを統合するかといえば、より高い性能やスループットが必要という話であるが、これはいわゆるSMP(対称マルチプロセッシング)的なアプローチだ。一方で機能安全では、むしろAMP(非対称マルチプロセッシング)的なアプローチが求められており、根本的なところで相いれない。そこでイーソルの場合、こうした統合ECUにおける信頼性は、制御系処理の信頼性を維持することで実現するとし、このために情報系ソフトウェアの障害を制御系に波及させない仕組みが必要とする。
eT-Kernelはこうした目的のもとに、幾つかの実装方法を提供する。これはあくまでも一例であるが、ハイパーバイザを利用して共存させる方法、もう1つがARMのTrustZoneを利用して共存させる方法である。
前者の場合、カーナビゲーションシステムやコンソールの一部(情報系の部分)は既存のLinuxやWindows、Android系のOS上で動作させ、それとは別に走行安全系をeT-Kernel上で動作させる形だ。
後者はARM系CPUで利用できるTrustZoneを利用し、走行安全系をSecurity Areaで動作させることで完全に分離してしまう方式である。
ただ同社はこうしたOS(やミドルウェア)と開発ツールを販売するだけのメーカーではなく、機能安全を最終製品に組み込むに当たって必要となるさまざまな情報の提供や、それを利用するためのセミナー、支援サービスなども提供する。
特に支援サービスについては、同社自身がISO 26262やIEC 61508の認証を取得した経験をもとに、基礎知識に関するセミナーや開発プロセスの整備、設計や検証の支援、監査/アセスメントの実施などまで踏み込んだものであり、場合によってはソフトウェアの受託開発や、認証取得に当たって不足しているエビデンスの作成といったことまで可能としている。「当社は既にさまざまな知見を社内に蓄積しており、これを皆様の開発のお役に立てて行きたいと考えている」(宿口氏)と語り、講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.