自動運転車の車載ソフトウェア開発で問われる3つの課題MONOistセミナーレポート

自動車の機能が高度化する中で車載ソフトウェアは複雑化しており、その一方でさらにコストや品質、安全も問われている。自動運転車の実現に向け、自動車メーカーやティア1サプライヤが開発を加速させているが、この自動運転時代における車載ソフトウェア開発には何が必要なのだろうか。

» 2016年10月25日 10時00分 公開
[PR/MONOist]
PR

 2016年9月7日、東京都内の御茶ノ水トライエッジカンファレンスにおいて、MONOist主催の「車載ソフトウェアセミナー2016〜自動運転車に求められる車載セキュリティとソフトウェア技術とは〜」が開催された。

 同セミナーでは、自動運転技術を実用化していく上で大きな課題となっている車載セキュリティについて、車載ソフトウェア標準化団体JasParの監事で、トヨタ自動車 電子プラットフォーム開発部 部長を務める橋本雅人氏が講演。多くの来場者が貴重な情報に聞き入った。

ソフトウェアパーティショニングが可能なリアルタイムOSとは

アドバンスド・データ・コントロールズ ビジネス開発部 担当部長の名知克頼氏 アドバンスド・データ・コントロールズ ビジネス開発部 担当部長の名知克頼氏

 橋本氏に続き、自動運転開発が加速する中で進化を続ける車載ソフトウェアについて、アドバンスド・データ・コントロールズ(ADaC) ビジネス開発部 担当部長の名知克頼氏が講演を行った。「これからの車載に求められるソフトウェア技術」と題し、ツールベンダーの視点から、リアルタイムOSや、それらを取りまく開発環境の高度な処理への対応、機能安全への取り組みなどについて説明した。

 まず名知氏は、「自動車の機能が高度化する中で車載ソフトウェアが複雑化しており、その一方でさらにコストや品質、安全も問われている」という現状を紹介。車載ソフトウェアが組み込まれるECU(電子制御ユニット)の搭載個数も、増加の一途をたどっているという。

 そういった状況下ではあるものの、これから実現を目指していく自動運転車では、ECUの統合や処理能力の向上を可能とするマルチコアマイコン、CANよりも高速な車載LAN規格である車載イーサネットやCAN FD(CAN with Flexible Data Rate)といった新たなアーキテクチャが利用可能になる。

 名知氏は、自動運転車の車載ソフトウェア開発で問われるであろう課題を3つ挙げた。「機能安全を考慮したソフトウェアが構成できるか」「車内・外との通信の複雑化に対応可能か?」「システム全体のセキュリティは考慮されているか」である。

 1つ目の「機能安全を考慮したソフトウェアが構成できるか」については、1個のECUに対して1個のASIL(機能安全要求レベル)を持つ機能を割り当てる旧来のハードウェアパーティショニングによる設計手法に対して、1個のECUに複数の機能/異なるASILを割り当てるソフトウェアパーティショニングを課題解決の手段として提案した。

 ただしソフトウェアパーティショニングを行うには、メモリ管理や周辺アクセスの制御などが可能なリアルタイムOSが必要になる。名知氏は、それらの要件を満たすリアルタイムOSとして、Green Hills Software(GHS)の「INTEGRITY」を挙げた。機能安全規格の認証も、IEC 61508のSIL3、自動車向けのISO 26262のASILBとCを取得済みで、同ASIL Dの取得作業も進めているところだ。

 またINTEGRITYは、標準規格であるAUTOSARに準拠した車載ソフトウェア開発にも適している。INTEGRITYをホストOSに用いれば、複数のAUTOSARアプリケーションを安全に分離して実行できる。1個のECUに複数の機能を組み込むことを想定していたAUTOSARにおいて、各機能が異なるASILを持つ場合に安全に統合する上で最適な手法といえよう。

リアルタイムOS「INTEGRITY」上で、複数のAUTOSARアプリケーションを組み込む際のイメージ リアルタイムOS「INTEGRITY」上で、複数のAUTOSARアプリケーションを組み込む際のイメージ

 今後は国内自動車メーカーのAUTOSAR対応が進む見通しであり、ECU統合などを目指す自動車メーカーやティア1サプライヤにとってINTEGRITYは有力な選択肢になりそうだ。

 またソフトウェアパーティショニングでは、機能のスケジューリングも重要になる。時間で区切るTDMAスケジューリングや、機能ごとに優先度を割り当てる優先度スケジューリングなどがある。現時点で、AUTOSARはTDMAスケジューリングを完全にサポートしていないこともあって、優先度スケジューリングが用いられることになる。

 ただし優先度スケジューリングは、タイミングエラーの伝播(でんぱ)を引き起こす可能性がある。このため、検討しているスケジューリングの仕様を解析/最適化し、実行時間が想定通りになるかの検証などを行わなければならない。名知氏は、最悪応答時間(WCRT)を形式的手法で導き出せるSymtavisionの「SymTA/S」や、SymTA/Sと連携可能なAbsIntの実行時間解析ツール「aiT」が役立つとした。

 ISO 26262ではタイミングに関する要求が厳しいため、ソフトウェアパーティショニングを行うとき以外でも、SymTA/Sの出番は増えそうだ。

Symtavisionの「SymTA/S」とAbsIntの「aiT」を用いたスケジューリング解析のイメージ Symtavisionの「SymTA/S」とAbsIntの「aiT」を用いたスケジューリング解析のイメージ

車載セキュリティへの対応を可能にするサービス

 2つ目の「車内・外との通信の複雑化に対応可能か?」と3つ目の「システム全体のセキュリティは考慮されているか」で話題に上ったのが、車載セキュリティである。

 特に、自動運転車では「コネクテッドカー」とも言うように、車外との間でさまざまな通信を行うようになる。IT業界における最新のセキュリティ技術の導入も視野に入れなければならないが、自動車メーカーやティア1サプライヤの技術者がセキュリティに詳しいとはいえないのが現状だ。

 さらに車外との通信だけでなく、車両内の通信ネットワークや、クラウドなどのバックエンドを含めた自動運転システム全体のセキュリティまでをカバーして開発を進めるのは容易なことではない。

 ADaCと提携しているGHSは、リアルタイムOSであるINTEGRITYの名を冠したセキュリティサービス「INTEGRITY Security Service(ISS)」を提供している。今後の搭載が加速度的に進むとみられるV2X(Vehicle to X)通信や、自動車の機能を無線通信で自動アップデートするOTA(Over the Air)、セキュアな通信に必要なSSLやTLS、IP Sec、セキュアサーバやセキュアブートといった技術に関する知見やノウハウのコンサルティングやセキュリティに関わる製品を提供する他、暗号モジュールのセキュリティ要件の規格であるFIPS 140-2の取得支援も行っている。

 橋本氏、名知氏の講演の後に行ったパネルディスカッション形式質疑応答で多数の質問が出るなど、同セミナーは熱気に満ちたものとなった。

セミナーは多くの来場者により熱気に満ちたものとなった セミナーは多くの来場者により熱気に満ちたものとなった

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社アドバンスド・データ・コントロールズ
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2016年11月24日