機能安全と Linux での継続的認証

自動車業界は技術の発展とともに急速に進化しており、これまでとは異なる新しい手法でソフトウェア・デファインド・ビークルを製造できるようになっています。

この進化の過程で、オープンテクノロジーは業界における革新的なアイデアの発展やコストの削減を後押しします。しかしこうした取り組みは、機能安全の要件がある自動車業界では特に複雑です。機能安全とは何か、機能安全の継続的認証をどのように形成するかを理解することが、オープンテクノロジーで自動車業界を変革する方法を理解するための最初のステップとなります。

機能安全は、自動車業界を含めた多数の業界で適用される概念で、システムに障害が発生する可能性があるなら、予測できる方法で発生させるべきだという概念に基づいています。このようにすると障害に対して備えることができ、障害による損害を可能な限り抑制できます。

機能安全は、システムから障害の可能性を完全に除去しようとするコンセプトとは違います。障害がないことも賞賛に値する目標ではありますが、機能安全の概念からは外れます。

機能安全は以下のようにして実装されます。

• 評価対象のツールが意図された状況で動作しているときに安全システムが必要となる、すべてのポイントを洗い出す
• 当該の安全性機能のリスク低減を評価する
• 安全性機能が動作することを確認する
• 時間が経過しても安全性機能が機能し続けることを確認するための点検を行う

自動車内の電子デバイスの場合に限って言えば、機能安全とは、コンピューティングデバイスを含めた車内のすべての電子部品が、意図された状況で動作しているときに不合理なリスクをはらんでいないことと、国際標準化機構が定める ISO 26262 の要件を満たしていることを指します。すると当然ながら、次のような疑問が浮かびます。

ISO 26262 とは

ISO 26262 とは、道路運送車両用の電気電子システムの機能安全を対象とする規格です。国際電気標準会議が発行した、機能安全規格 IEC 61508 を調整したものです。当初、ISO 26262 は乗用車のみを対象としていましたが、2018 年、原動機付き自転車を除くすべての道路運送車両を含めるように拡大されました。

ISO 26262 は、自動車の電気電子 (E/E) システムが誤作動した場合に発生する可能性がある危険に対処することを目的としています。この規格は、自動車の電気電子部品に加えて、これらの部品に関連する機械サブシステムも対象としています。つまり、自動車内の多数のものが対象となります。

ISO 26262 規格はリスクベースなので、潜在的な危険を定性的に評価し、体系的な障害を低減、制御、回避するためのおおまかな安全対策となります。

機能安全認証とは

機能安全認証は、IEC 61508 規格および ISO 26262 などの特定の規格における習熟度を実証するプロセスです。これらの認証は、認知度の高い業界団体から付与され、資格、知識、経験を証明します。

機能安全認証に関連する課題とは

ISO 26262 などの機能安全規格にシステムを適合させるには、システムを認定する独立組織が存在する必要があります。このような組織は継続的に監視監査を実施してフォローアップし、該当するシステムが認証された基準を維持しているかを確認します。

自動車向け機能安全認証を得るための課題の 1 つは、1970 年代と 1980 年代に自動車業界で電子機器向けに作成された規格を基に ISO 26262 の規格が作られているということです。

閉システムの認証取得を目指すソフトウェアは、要件と仕様が理解され、要件とコード、カバレッジの間のトレーサビリティが非常に高いクリーンルーム (欠陥を生じないようにシステムから古い要素を排除することを重視) でそのほとんどが開発されます。しかし、先進的なオープンシステムは数百または数千ものコンポーネントで構成され、多数のさまざまなプロジェクトが集約されています。これらのプロジェクトはソフトウェア開発と似たアプローチを採用していますが、同一ではありません。このような違いは、プロジェクトの複雑化とともに累積していきます。

ISO 26262 規格がベースとする理念では、多数の既成コンポーネントを互いに組み合わせて新しいものを作り上げることが想定されていないため、認証プロセスがボトルネックとなります。

既存のシステムでは、車載用オペレーティングシステムなど複雑なフレームワークのシステム全体を認証するには 3 年から 5 年を要します。そして構成に小さな変更があれば、この変更を認証するために長い時間が必要となり、時には 1 年近くかかることもあります。システム全体の中で小さなコンポーネントが変更されると新規の認証プロセスが開始され、プロセス全体では膨大な量のリソースが必要となります。

したがって、本来のオープンな車載用オペレーティングシステムを成功させるには、特にLinux ベースの場合、認証に新しいパラダイムが必要です。それが機能安全の継続的認証プロセスです。

機能安全の最大の課題の 1 つが変更管理です。

現在、機能安全認証がある場合、特定のハードウェア上の特定のソフトウェア構成にのみ適用され、承認済みで文書化された条件と前提が想定されています。セキュリティの脆弱性がある、または新たな要件が発生した場合、この認証はやり直す必要があります。従来の方法では、小さな変更であっても再認証に多大な労力がかかります。

機能安全の継続的認証は、再認証のコストと期間を最小化して、一般にソフトウェアをアップデートしてセキュリティの問題を修復したり機能を追加したりするのと同じペースで、所定のシステムを継続的に認証することを目的としています。

この新しいパラダイムでは、認証プロセスはソフトウェア更新プロセスの一部となり、自動車メーカーがコストを要する再認証を常にタイムリーに行うのにかかる負荷を削減します。この観点から、オープンソースで Linux ベースの OS に向けた標準化は、自動車メーカーがアップデートをより迅速に、少ないリソースでプッシュすることを可能にします。

しかし、機能安全の継続的認証にはプロセスを稼働させるためのまとまったエンジニアリング労力が必要なため、ISO 26262 認証プロセスへの変更が伴う可能性があります。

Red Hat In-Vehicle Operating System

Red Hat In-Vehicle Operating System は Red Hat Enterprise Linux を自動車業界向けに拡張したもので、イノベーションのための機能安全プラットフォームを提供することを目標としています。Red Hat In-Vehicle Operating System はソフトウェア・デファインド・ビークルにおける新たな標準になることを目指しています。General Motors は Red Hat In-Vehicle OS を同社の次世代コンピューティングシステムの基盤とすることに合意し、採択しました。

自動車の重要なコンポーネントとしてオープンソース・ソフトウェアを利用すると、自動車メーカーはより優れたイノベーションを迅速に達成して、カスタマーエクスペリエンスを向上できます。Red Hat In-Vehicle Operating System は、Linux をセーフティクリティカルな自動車システムに適用して、開発を加速し、コストを削減して新しいサービスと収益源の機会を創出することで、ソフトウェア・デファインド・ビークルをサポートすることを狙っています。

しかし前述のように、このアプローチにも課題はあり、機能安全の課題を解決する必要があります。この流れにおいては、継続的な機能安全の標準化と体系化によって Red Hat In-Vehicle Operating System を実現するための取り組みが、Red Hat のリーダーシップの柱となります。

exida とは、そして Red Hat が提携した理由

exida は複数の業界において機能安全のリーダーです。2000 年に創立された同社は、自動車システムの安全性、アラーム管理、サイバーセキュリティ、可用性を専門としています。Red Hat は機能安全を認定された新たな Linux オペレーティングシステムを自動車業界に提供するプロジェクトの一環として exida と提携しています。この OS は Red Hat が開発とメンテナンスを行い、exida が継続的に認定を行います。

機能安全認定を達成すること自体簡単なことではありませんが、これをオープンソースの立場から行うには、異なる考え方と戦略が必要です。

ソフトウェア・デファインド・ビークルの未来

未来の運転体験は、オープンな Linux ベースのソリューションが自動車業界で広く利用できるようになれば、すぐにイノベーションの波を受けることになるでしょう。Red Hat は自動車業界における継続的な機能安全の未来の開発について、熱意を持ってリーダーの役割を果たしています。この取り組みは総じてソフトウェア・デファインド・ビークルの未来ともなるからです。
Red Hat In-Vehicle Operating System の詳細をご覧ください。