無線アップデートが求められる理由
先進的な車両はどんどんコネクテッドデバイスとなり、電子システムの量も増加しています。システムが複雑になり、平均的な車両設計であっても、150以上のECUが搭載されています。
ECUは、インフォテインメントと通信だけでなく、パワートレイン、安全システム、運転システムも制御します。これらの機能をサポートするため、電子デバイスとそれに比例してソフトウェアも、量と複雑さが急増しており、ソフトウェアコードは約2億行に到達する見通しです。車載ソフトウェアと電子デバイスはCAGRで7%の成長をしており、自動車の売り上げは次の10年で38兆ドルにも及ぶものと見込まれています。内訳はハードウェアとソフトウェアサービスで50%ずつとなります。
-
図1 車両には多数のエレクトロニクスハードウェアとソフトウェアが搭載されている
これらの複雑なシステムを正しく安全に動作させるために、半導体の故障や経年劣化による信頼性問題のための機能安全チェックだけではなく、フィールドにおける機能安全を保証するためのモニタリングが必須となります。
IC品質に対する総体的な対応、ライフサイクルモニタリング、デバイスのアップデートを通してのみ意図した機能安全の動作を担保します。製造中、サプライチェーン内、現場での使用中にチップが侵害されないことは、Root of Trust(RoT)とチップ内のその他の階層的セキュリティメカニズムによって保証されます。2021年に設計された自動車は、おおよそ2025年に路上に出ますが、常に最新にアップデートされ、2030年代に入るまでアップグレードされ続けるようなシステムを持ちます。
これらのシステムを外部の脅威や産業の規定を前にして有効な状態を維持するためには、ハードウェアとソフトウェアで構成されたあらゆる電子システムと同様に、定期的なアップデートが必要です。自動車のためのワイヤレスやOTAアップデートは増えてきており、どこからでも利用できます。
ただし、車両デバイス内のハードウェアとソフトウェアは、デバイスのライフサイクル中に更新する必要があります。自動車業界では、システムエラーがリコールに占める割合が増加しており、全リコールの約46%に達しています。
ソフトウェアは自動車業界におけるリコールのうち大きく、そして増加しており、OTAアップデートによるOEMにとってのコスト削減は2025年までに609億ドルに到達します。
現在、無線(OTA)アップデート機能が搭載されている車両は、約2,200万台に限られます。2025年には、この数は2億5,000万台まで増加するものと予測されています。OTA技術の採用はOEMにとって、組み込みECUの柔軟なアップグレード、さらには不具合修正までも可能にします。
一方、OTAの利便性はセキュリティリスクにもなり得ます。多くのOTAは車両の情報通信システムにアクセスし、ハッキングに対して車両を手薄にする可能性があります。ソフトウェアとサービスが重要な成長市場において基礎的なものである以上、効率的で信頼のおける安全なOTAを供給ことは必要不可欠です。
自動車の安全およびセキュリティ規制
2021年中に発効される予定の新しいUNECE(国際連合欧州経済委員会)のUN-R155(WP.29/GRVA/79としても知られる)規制は、自動車のサイバーセキュリティを1つの存在として扱い、自動車のサイバーセキュリティの法的責任をOEMに負わせようとする意識的な動きです。実際に、自動車のライフサイクル全体を通して、自動車のサイバーセキュリティの責任を自動車OEMが単独で負うことが求められています。UNECE規制のアプローチは、ISOの既存および開発中の規格(26262 [機能的安全性]と21434 [サイバーセキュリティ])に忠実に従ったものです。
UNECE R155規制を順守しない場合、財務上の面倒な問題が2つあります。
- 2024年の時点で、EU、および重要な自動車市場であるアジア(特に日本)では非認証車両を販売できなくなります。
- 車両リコールが高コストになります。
OEMは、財務上の潜在的影響を最小限に抑えるために、すでに生産されている車種を含め、コンプライアンスへの移行を直ちに開始する必要があります。
R155(WP.29/GRVA/79)は、ソフトウェアのセキュリティプロセスがあらゆる設計に固有のものであり、ソフトウェアの更新にも及ぶことを明確にしています。例えばこのような文面があります。
“自動車メーカーは、市場投入後のソフトウェア、サービス、アプリケーション、またはデータの保存と実行のために、車両のタイプ(提供されている場合)に応じて専用の環境を確保するための適切かつふさわしい対策を講じる必要があります”
つまり、開発中の車両はもちろん、すでに公道を走っている車両のシステムも、この基準に合わせて「アップグレード」する必要があります。
インライフの組み込みアナリティクスの必要性
複雑な自動車システムに搭載されるSoCは、セキュリティ上の脅威に先手を打ち、進化する規制要件を順守できるように、システムに対する脅威や変化を常に認識し、ソフトウェアやセキュリティパッチなどのアップデートを適用できるようにする必要があります。
インテリジェントな組み込みアナリティクスを考慮して設計される車載用シリコン(半導体)には、製品開発時の検証と確認というメリットがあります。しかし、同じ組み込みアナリティクスIPが、システムエラーとランダムエラーの両方を検出するための強力な監視機能を「インライフ」で提供し、新たなレベルの安全機能を提供するとともに、現場でのシステム正常性監視と高度なサイバーセキュリティフォレンジックも可能にしています。
設計者は、Tessent Embedded Analyticsの半導体知的財産(SIP)を使用することで、今日の自動車エレクトロニクスの中核をなすSoCにインテリジェントな自己アナリティクス機能を組込むことができます。
今年設計される車両のシステムは、2030年代に入っても最新状態を維持し、アップグレード可能である必要があり、OTAのサポートも最低15年は継続する必要があります。つまり、今日の自動車システムに設計されたSoCは、ハッキングによる脅威や、セキュリティと安全に関する要件の変更に対応する能力が最低限必要です。組み込みアナリティクスインフラストラクチャは、車両システムへの人命に関わるような脅威を示唆する変化を監視する上で役立ちます。
脅威と設計要件が進化するということは、脅威や車載システム自体の変化に合わせて車両設計に関する業界標準が絶えず変更、開発され、絶えずアップグレードされることを意味します。
多層防御
そこで問題として浮上するのが「多層防御(Defense in Depth)」です。多層防御は、脅威およびセキュリティソリューションを多次元で捉えることでセキュアな制御システムを提供する戦略です。
これは、今日の脅威に対する防御の1つの方法ですが、一寸先に何があるのかは誰にもわかりません。明日の未知の脅威から身を守るには、脅威の阻止、検出、対応のために今できる限りの対策を施し、最大限努力する必要があります。多層防御のアプローチでは、車両の生産と使用のあらゆる側面を総合的に見て、異なる技法をできるだけ多く重ねることが求められます(図2)。
-
図2 システムのライフサイクルセキュリティと整合性のための多層防御戦略 (出典:シーメンス)
OTA実装時のセキュアアクセス
製造中、サプライチェーン内、現場での使用中にチップが侵害されないことは、Root of Trust(RoT)とチップ内のその他のセキュリティメカニズムによって保証されます。OTAアップデートでは、「適切な」公認ソフトウェアのみを車載システムに移植する必要があるため、ハードウェア組込型のRoot of Trust(RoT)が不可欠となります。最高のOTAセキュリティ基準をOEMが確実に導入するように、UNECEは、R156(ソフトウェアアップデートプロセスと管理システム)を定義しました(現在開発中のISO24089がこれに付随)。
組み込みアナリティクスにより、SoCは、安全性、セキュリティ、使用中のハードウェア構成との適合性についてビットレベルでコンプライアンスを確認できます。その基盤となるのがトレーサビリティです。ソフトウェアの構築から実装までを追跡して、ソフトウェアが完全に認証および暗号化され、ペイロードが適切に配信されていることを確認します。
設計レベルでは、センサ、セキュリティ、チップ識別子などのIPを統合したSoCを設計し、これらのIPをDFT IPと併せて設計フローの一部として挿入します。SoCサプライヤは、信頼性に優れたセキュアなシリコンライフサイクル管理を実現するためのハードウェア基盤を確立できます。
基本的には、ハードウェア設計にトレーサビリティを組み入れ、一意の永続的識別子を各チップに付与することで、現場でのプロビジョニング、データ収集、監視、管理(OTAを含む)のすべてを、個々のチップの履歴およびライフサイクルデータにリンクできるようにする必要があります(図3)。トレーサビリティとRoot トレーサビリティ識別子はチップレベルで確立されますが、「デバイスのアイデンティティ」には、チップ固有の多数の識別子を組み込むことができます。
-
図3 シリコンライフサイクル管理によるトレーサビリティの確立
ハードウェアイネーブルメントは、それだけでは不十分です。サプライチェーン内や現場の多数のチップを監視、管理するための安全なSoCデータアクセスを通じたSoCの組み込みアナリティクスは、ソフトウェアのチップからクラウドまでのインフラストラクチャプラットフォーム、オープンAPI、標準によって実現されます。
製造時の一括ゼロタッチ登録、サプライチェーンを通じたトレーサビリティ、クラウドへのオンボーディング、無線による車載デバイスの監視と管理など、多用なユースケースに対応できるようにSoCが設計されていれば、ソフトウェアのチップからクラウドまでのインフラストラクチャは、PLMやクラウドサービスプロバイダーとのパートナーシップによって進化させることができます。パートナーシップが価値を生み出すには、チップサプライヤは、エンドアプリケーションから要件を集め、それを次世代SoCの戦略基盤として利用することに重点を置く必要があります。
もちろん、セキュリティが重要なのは、セキュリティが重視される更新済みソフトウェアの配備だけではありません。セキュリティと監視のためのこれらの高度なテクノロジーを実装すれば、SoCから得られるデータはとても貴重なものになります。つまり、車両やデバイスからのデータの収集と保存が決定的に重要になります。業界では、収集するデータの種類や、車両から収集される個人情報との完全な分離について多くの議論がなされています。
シーメンスとしての取り組み
シーメンスデジタルインダストリーズソフトウェアでは、ハイレベルなアプリケーションやデータ管理から、シリコンレベルの脅威監視IPまで、さまざまなテクノロジーを用意することで、OTAアップデートと規制に関連する多くの課題に対応することを目指しています。
リー・ハリソン(Lee Harrison)
