ネットセキュリティとIoTに注目
かつては機械の塊であった自動車にも、数多くの電子制御ユニット(Electronic Control Unit: ECU)が搭載されるようになった。クルマはもはや動くコンピュータであり、近い将来にはロボットになるであろうとも言われている。カーエレクトロニクス分野を事業柱の1つとするメンター・グラフィックス・コーポレーション(以下、メンター・グラフィックス)の組込みシステム事業部にてシニアプロダクトマネージャーを務めるフェリックス・バウム氏は、この分野における現状を次のように語る。
「近年のカーエレクトロニクスの分野では、機能統合が特に活発になっている。以前であれば、1つのデバイスで1つの機能を動かせばよかった。しかし現在は、1つのデバイスで複数の機能に対応しなければならず、開発の難しさが増している。その一方、複数のEUCにそれぞれ機能を搭載していたためにかかっていたコストを大幅に削減できる。また、適切な機能を適切なECUに集約させることでワイヤ・ハーネスの配線長が短くなれば、軽量化にもつながる。自動車メーカーにとっては大きなメリットだ」(フェリックス・バウム氏)
|
メンター・グラフィックス・コーポレーション 組込みシステム事業部 |
ECU内のチップはシングルコアからマルチコアへと進化し、異種のコアを混在させたヘテロジニアスマルチコアのSoCも出てきている。メモリ容量や性能も劇的に向上した。そのようなハードウェア環境に対応しつつ、車載組込みシステムには、AUTOSARへの準拠、リアルタイムOS(RTOS)とLinux®やAndroid™などの混在、より快適な車内空間を提供するアプリケーションの構築などが求められている。
コネクテッドカーの出現に象徴される、IoT(Internet of Things)への対応もカーエレクトロニクス分野における重要なトレンドの1つだ。
自動車においては、「セーフティ(安全性)」と「セキュリティ」の確保が重要である。前者は「世界や環境、人をデバイスから保護すること」を意味し、後者は「世界や環境、人からデバイスを保護すること」を意味する。似て非なる概念であるが、両者は互いに相関する。これまでは、運転者や歩行者などをはじめとした車外環境に自動車が危害を及ぼさないための安全性の確保が重視されてきた。しかし、交通情報提供システム、高度運転支援システム(ADAS)、車載インフォテイメント(IVI)など、インターネット接続によって実現される機能の搭載により、悪意のあるハッキングなどの外部脅威から自動車を守るセキュリティをいかに組み上げるかも重要な取り組みとなっている。
バウム氏は、「車載組込みシステムにおける最大の課題は、アンチロックブレーキなどの高い安全性が求められる機能の追求と、セキュリティを確保しつつもオープンソースソフトウェアやその他の新しい技術を取り入れたインフォテイメントなどのアプリケーション実装を両立させなければならないことだ。特に最近は、マルチコア上で複数のアプリケーションを動かすようになっている。安全を確保しなければならない機能とセキュリティを確保しなければならない機能と、それ以外の機能が混在するシステムとして、クリティカリティの混在(さまざまな重要度が混在する)への対応が急務だ」と話している。
|
機能の重大度を混在させたシステム |
Nucleusによる安全性の確保: ISO26262への対応
メンター・グラフィックスが提供するNucleusは、軍需、航空宇宙、産業機器、医療機器などの幅広い分野で、すでに30億台以上の組込みデバイスで実績を持つ、高い拡張性と信頼性を特長とするマイクロカーネルベースのリアルタイムOS(RTOS)である。軽量なメモリパーティショニングなどの機能や自動車向け機能安全の国際規格であるISO26262に準拠したNucleus SafetyCertなどにより、カーエレクトロニクス分野でも高く評価されている。
NucleusをISO26262に準拠させた背景をバウム氏は、「これまでの自動車のセキュリティは、盗難や車上荒らしなどの防犯を主としたものだった。しかし、自動車がインターネットにつながるようになった現在、インターネットからの侵入者により車載システムが攻撃されて自動車の機能安全を損なわないためのセキュリティが必要になっている。セキュリティを高めることで安全性も高められるわけだが、その安全性の認証には、まずISO26262準拠が欠かせない」と語る。
組込みソフトウェアの安全認証は、業界標準および提供システムに求められる安全レベルに応じたアセスメントや資料の提出によって行われる。レベルが高くなるにつれ安全認証の取得は困難になり、コスト負荷も大きい。認証コストはコード1行あたり100米ドルかかるとも言われており、RTOS自体が事前に安全認証を受けている価値は高い。Nucleus SafetyCertは、ソフトウェアの安全認証を手掛ける大手独立機関であるVerocel, Inc.より認証を受けており、その対象は、IEC 61508のSIL3、IEC 62304のClass C、そしてISO 26262のASIL Bである。またDO-178CのDAL A認証に求められるアーティファクトやドキュメント一式も含まれている。
|
Nucleus SafetyCertのパッケージ |
前述の通り、機能統合とアプリケーションの複雑化が進む車載組込みシステムでは、安全認証の対象となるコードと非対象のコードが混合する。ハードリアルタイム性が求められる安全認証対象のアプリケーションにおいては、システムリソースの優先度が保障されなければならない。また、安全非対象のアプリケーションによって安全対象のアプリケーションが使用するメモリ領域を上書きされないように保護する必要もある。
しかし単一デバイスに複数機能が統合、搭載されているカーエレクトロニクスの現状では、制御系などのセイフティクリティカルな機能を司るRTOSがISO26262に準拠していても、別の機能のRTOSがISO26262に準拠していなければ、共有リソースを介して干渉してしまうことがある。この問題を解決するためにメンター・グラフィックスは、ハードウェアとRTOSの間にハイパーバイザを組み込み、ソフトウェア的に干渉を防ぐ方法も提供している。
|
ヘテロジニアスマルチコア環境における仮想化 |
自動車専用技術の開発が強み
「自動車はIoTのノードの1つになりつつある。消費者は、運転中でも自動車がインターネットにつながるのは当たり前と考えている。最近では、自動車からスマートフォンを介してガソリン補給やバッテリ充電を促す仕組みも実用化されているが、このアクセス制御にもセキュリティ対策が重要になる。セキュリティとセイフティ(安全性)は車輪の両輪のようなもので、どちらか片方に対応するだけでは不十分である」とバウム氏は言う。
車載アプリケーションに対する安全性確保の声を受け、メンター・グラフィックスは、その基幹システムとなるNucleusを機能安全規格に対応させた。これによりNucleusユーザは、ターゲットとするハードウェアと開発する車載アプリケーションレイヤに対してのみ機能安全認証を取得するだけで済むようになる。これは製品開発時の大きな利点となる。
バウム氏はさらに続けて、「メンター・グラフィックスの強みは、軍需、航空宇宙、産業機器、医療機器などのシステムをパートナーとともに構築してきた長年の経験と実績があり、このスキルやノウハウを生かして自動車専用の技術を開発していることにある。」とした。「競合企業は、自動車分野に特化していない技術を、そのまま自動車にも適用しようと考えている。これでは車載に最適とは言えない。メンター・グラフィックスの考え方は全く逆だ。」と話している。
(マイナビニュース広告企画:提供 メンター・グラフィックス・ジャパン)
[PR]提供:メンター・グラフィックス
