セミコンポータル
半導体・FPD・液晶・製造装置・材料・設計のポータルサイト

安全・安心を認証、仮想化でシステムを使いやすくしたWind RiverのVxWorks

組み込みソフトウエア大手のWind RiverのマルチコアSoC向けのリアルタイムOS(RTOS)であるVxWorks 653 4.0マルチコア版では、仮想化構成を採ることができるが、その安全性(safety)とセキュリティについて、来日した同社ビジネス開発ディレクターのAlex Wilson氏(図1)が解説した。

図1 Wind Riverビジネス開発ディレクターのAlex Wilson氏


Wilson氏は、「安全性」はシステムが周囲に対して害を及ぼさないようにすることであり、「セキュリティ」は外からシステムに害が及ぶのを防ぐことだ、と定義する。安全性は、これまでの履歴から学ぶことができる。例えば、ロボットが作業員を殴ってしまったり、クルマが衝突事故を起こしたりした経験値を学習することで時間と共にますます安全になる。これに対してセキュリティは、何年にも渡って攻撃が巧妙になり、時間の経過とともにますます難しくなるという特徴がある。

安全性は単なる交通や航空機だけではなく、工場でのプロセス制御やオートメーション、発電所や電力系統でも問題になったことが多く、プロセス制御ではIEC 61508、電力系エネルギーではIEC 60880といった規格がある。Wind Riverは、リスクが高いほどシステムの安全を担保するという手法を採る。VxWorksはIEC 61508 SIL3レベルの認証を得ており、このRTOSをユーザーが使えば、ユーザーは認証を取得する必要がないという。VxWorksはTUVなどの第3者機関による認定書(図2)を取得しているからだ。これ以外にも、DO-178CレベルA認証や、検証テストハーネス、検証済みのOSバイナリなどの認定証明書を持つ。


IEC 61508 Functional Safety Standard

図2 安全を担保するVxWorksの認定書

VxWorks Safetyサブセットには、認証されたAPI(Application Programming Interface)サブセット、時間的・空間的なパーティショニング、リソース制御など、ユーザーが安全性を作成するうえで役に立つ機能がある。このためユーザーは自分の得意なコア技術に集中できるため、製品の開発コストや保守コストが安く済む。VxWorksのような市販のRTOSは認証済みであるため、そのためのコストは要らない上に陳腐化を防ぐこともできる。

安全性もセキュリティも担保するために、VxWorks SafetyサブセットにはもともとSIL 3で保証された安全なアプリケーションと、安全性は保証されないアプリケーションの両方を走らせることができるように空間的に分割されている。機能安全のハードウエアとしてArmコアやIntel、PowerPCプロセッサに対応している。

さらに時間的にもハイパーバイザを使って時分割のパーティショニングを行う(図3)。時刻t1では、基幹系のような非常に重要な機能(モータ制御や緊急動作など)を受け持ち、時刻t2では中程度に重要な機能(通信機能など)を受け持ち、さらに時刻t3でそれほど重要ではない機能(HMIやロギング、システムチェックなど)を受け持っていく。この仮想化プロセスでは分割数に上限はなく、顧客が決めることができるとWilson氏は言う。


TOME AND SPACE PARTITIONING SCHEDULER

図3 時分割のパーティショニングで仮想化を実現する 出典:Wind River


リソース制御では、アプリケーションからどのOSを制御すべきかを決める。システム通信では許容される通信を制限し、どのような通信にもフィルタをかけることができる。また、外部から明らかに許容されないオブジェクトがアクセスできないようにコードを守っている。メモリ容量の割り当てにも上限を設けている。

空間的(物理的)なパーティショニングに対しては、航空や工場オートメーション、自動車用となどさまざまな要求に対してもVxWorksのハイパーバイザを使って、どのOSを使うべきかをサポートする。マルチコア・マルチタスクを主力とする64ビットArmコアとIntelプロセッサを狙っている。いろいろなOSでも一度認証を受ければ他の用途にも再利用できる。


VIRTUALIZATION CONFIGURATION

図4 空間分割のパーティショニングで仮想化を実現する 出典:Wind River


例えば、航空機関係では(図4)、安全性の高いアプリケーションにはSIL 3レベルのVxWorks Safetyサブセットをコア0上で走らせ、安全性の低いアプリケーションにはWind River Linuxをコア2上で走らせることができる。ここでも安全性が担保されたVxWorksハイパーバイザで各ソフトウエアを制御する。

最後に触れておくが2009年にIntelが組み込みシステムを強化するためWind Riverを買収し、3月まで続いていたが、4月になって投資会社のTPGに売却することを決めた。これに対してWilson氏はコメントしていないが、おそらくIntelは組み込みシステムでのRTOSが不要になり、むしろクラウドのデータセンターなどハイエンドコンピューティングを強化するためであろう。やはりIntelはIoTシステムの上位レイヤーを目指す方針を固めたといえそうだ。

(2018/05/09)

月別アーカイブ