AUTOSARとISO26262を両立するには？ ベクターのベーシックソフトウェア：車載ソフトウェア

ベクター・ジャパンは「第2回オートモーティブ・ソフトウェア・フロンティア」において、国内自動車業界で導入が広がっている車載ソフトウェアの標準であるAUTOSARと、既に必須となっている自動車向け機能安全規格のISO 26262の両方を満たすためのポイントを紹介した。

[齊藤由希，MONOist]

　先進運転支援システム（ADAS）や自動運転の開発では、より高い安全要求に対応した設計が求められている。そのため、国内自動車業界で導入が広がっている車載ソフトウェアの標準であるAUTOSARと、既に必須となっている自動車向け機能安全規格のISO 26262の両方を満たさなければならない。

　この課題の解決に向けた取り組みを、2017年3月9〜10日に東京都内で開催された「第2回オートモーティブ・ソフトウェア・フロンティア」において、ベクター・ジャパン 組込みソフト部 中部西日本エリア プログラムマネージャーの稲垣毅氏が説明した。

AUTOSARのベーシックソフトウェアでASIL D

ベクター・ジャパンの稲垣毅氏

　ドイツのVector Informatik（ベクター）はソフトウェアの安全要求の高まりに対応し、ISO 26262の安全要求レベルで最も厳しいASIL Dのプロセスに沿って開発したAUTOSAR Release 4.x（R4.x）対応ベーシックソフトウェアを提供している。

　機能安全対応のアプローチとしては、安全関連および非安全関連のソフトウェアコンポーネントのデータをそれぞれ独立したメモリ領域に格納するなどの手法がある。この構成ではASILとQM（Quality Management、通常の品質管理）で安全要求レベルが混在する。

　しかし、高度なADASや自動運転では、緊急時に安全に停止する「フェイルセーフ」だけでなく、不具合が起きても修理工場まで安全に移動できるように動作する「フェイルオペレーショナル」が求められるようになる。そのため、機能自体の冗長化が必要になり、全てのソフトウェアをASIL対応にするなど、AUTOSAR対応のベーシックソフトウェア（BSW）に対する要求も変わっているという。

　こうした傾向を受けてベクターは、AUTOSAR対応BSW「MICROSAR Safe」でASIL Dの第三者認証を取得した。AUTOSARのBSWがASIL Dの認証を受けるのは「世界初」（ベクター）としている。

　BSWがASILに対応するメリットとしては、安全関連アプリケーションソフトウェアと同じパーティション内で非安全関連アプリケーションソフトウェアを実行することが可能になり、タスクの切り替え、メモリ保護ユニットのリプログラミング、追加のコピー操作が不要になる。これによりパフォーマンスの大幅な向上に貢献する。

　自動運転ではセキュリティも重要な課題となる。AUTOSARでも車載ネットワークの通信セキュリティに関し、「セキュアオンボードコミュニケーション（SecOC）」の仕様書を発表している。

　しかし、AUTOSARの中で実装して使う上で全ての必要な機能はサポートされておらず、セキュリティモジュールが多くないのが現状だという。また、要件定義はされているが、実装仕様までブレークダウンしなければティア1サプライヤーが使えないというギャップもある。

　これを受けてベクターは拡張モジュールの開発を進めている他、自動車メーカーとサプライヤー、BSWのベンダーで実装仕様のすり合わせや意識合わせが必要だと述べた。

AUTOSARのBSWを実際に使ってみると

　AUTOSAR対応のBSW導入が進んだことで自動車業界の課題も明らかになったという。

　BSWの導入前は、自動車メーカーとティア1サプライヤー、BSWのベンダーが縦割りで機能安全プロジェクトを進めてしまい、後々に問題が発生しやすくなっていた。

　これに対し稲垣氏は、議論をスムーズに進めるためにSecOCのコンセプトについて知見を持った担当者が自動車メーカーとサプライヤーの両方に必要だと指摘。また、スケジュールを管理しながらバージョンアップ対応を進めるためにも、SecOCについての事前のすり合わせが欠かせないと説明した。