AUTOSAR における Safety, Security に対する最新動向 & 事例紹介株式会社デンソー電子基盤システム開発部佐藤洋介 1

Size: px

Start display at page:

Download "AUTOSAR における Safety, Security に対する最新動向 & 事例紹介株式会社デンソー電子基盤システム開発部佐藤洋介 1"

ああすひのと
5 years ago
Views:

1 AUTOSAR における Safety, Security に対する最新動向 & 事例紹介株式会社デンソー電子基盤システム開発部佐藤洋介 1

2 Introduction 本日の趣旨本発表では AUTOSAR 技術動向を紹介することで Safety&Securityに関する海外 OEM 向けECU 開発の現場感を共有したいと考えます日本との温度差やSafety&Securityに関わる実製品開発の現状を知る上での一助となれば幸いです Agenda Ⅰ. Background ECU ビジネス動向車載システム技術動向 Ⅱ. AUTOSAR 仕様策定状況技術的特徴仕様策定の年表 Ⅲ. AUTOSAR 導入の現状海外 OEM の導入モチベーション ISO26262 Cyber security 2

3 Ⅰ. Background 3

4 ECU ビジネス動向事業環境 ECU 価格競争激化 OEM からの低価格化要求への対応 OEM からの現地サポート要求への対応企画研究設計開発製造 1990 年代 2000 年代 2010 年代 2015 年? 共同研究加速 EU, US インド, 中国海外設計拠点化 EU, US インド, 中国海外移転加速 US, AU ASEAN 派遣切り社会問題化低コストグローバル開発 ( 海外設計拠点化 ) 4

車載システム技術動向 1990 2005 2010 202x Control Systems

Alone Systems Networked Sub-systems Integrated

(Vehicle and Infrastructure) ECU systems

Integrating applications Autonomous cooperation

5 車載システム技術動向 x Control Systems Environment Safety Comfort Convenience Stand Alone Systems Networked Sub-systems Integrated Vehicle Systems Service Integrated Systems (Vehicle and Infrastructure) ECU systems Processing Data communication Network system Integrating applications Autonomous cooperation system Standalone Access Network Integration On-demand 大規模複雑化車載ネットワークのオープン化 5

6 まとめ (Background) ECU ビジネス動向と製造形態の変化価格競争の激化と OEM からの低価格化要求への対応から低コストグローバル開発 ( 海外設計拠点化 ) へ車載システム動向大規模複雑化車載ネットワークのオープン化自動車業界全体としての取り組み Automotive Open System Architecture(2003 年設立 ) 開発コストの低減のための競争領域と非競争領域を意識した水平分業化オープンな標準ソフトウェアアーキテクチャ AUTOSAR 仕様の策定へ 6

7 Ⅱ. AUTOSAR 仕様策定状況 7

8 AUTOSAR Organization 10 Core Partners 24 Associate Members CapeWare 46 Premium Members 8

9 AUTOSAR の技術的特徴標準プラットフォームベース開発 / コンポーネントベース開発標準仕様に基づいたソフト PF とソフト部品の再利用標準ソフト PF のランタイムである RTE 上でソフト部品 SWC を再利用するハードウェア非依存 RTE により SWC は ECU ハードウェアに非依存となり SWC 流通が促進 AUTOSAR Software Component Application Software A 社 Component 部品 AUTOSAR B 社部品 Actuator Software Component AUTOSAR C 社部品 Sensor Software Component AUTOSAR AUTOSAR Software... D 社部品 Application Software Component AUTOSAR 競争領域 ECU Firmware Standard Software API 2 VFB & RTE relevant API 1 RTE relevant API 0 API 3 Private s inside Basic Software possible Standardized Operating System AUTOSAR Runtime Environment (RTE) Standardized Inteface Standardized Standardized AUTOSAR Services Communication Standardized Standardized Basic Software ECU-Hardware AUTOSAR ECU Abstraction Standardized Standardized Microcontroller Abstraction AUTOSAR Complex Device Drivers 協調領域 (= 標準仕様化対象 ) BSW(Basic SoftWare) 9

10 AUTOSAR 仕様の年表 2003 年 AUTOSARコンソーシアム設立 2011 年 AR2.1を使用した量産車 SOP(BMW 3 series) 2013 年多くの海外 OEMがAR3.xまたはAR4.xを導入開始 SOP: Start Of Production R1.0 R2.0 R2.1 安定版 BSW ベンダー依存仕様多 R3.0 R3.1 R3.2 R3.2.2 AUTOSAR consortium establishment 機能安全仕様 ( メモリ保護時間保護等 ) の追加コンフォーマンス仕様の追加によるベンダー間の互換性向上 R4.0 R4.0.2 R

まとめ ( What s AUTOSAR ) AUTOSAR 仕様の現状 :AR3.x vs. AR4.x AUTOSAR 3.x First specification released: End of 2007 仕様的に安定はしているが ISO26262 や Cyber Security はサポート外 AUTOSAR 4.

11 まとめ ( What s AUTOSAR ) AUTOSAR 仕様の現状 :AR3.x vs. AR4.x AUTOSAR 3.x First specification released: End of 2007 仕様的に安定はしているが ISO26262 や Cyber Security はサポート外 AUTOSAR 4.x First specification released: End of 2009 新機軸である ISO26262, Cyber security, Partialnet, Ethernet,,, 対応 In 2017 多くの ECU へ AR4.x 対応要求 AR3.x 対応要求は減少傾向海外 OEM とビジネスする上で AUTOSAR 対応は必須であり AR4.x が主流となる 11

12 Ⅲ. AUTOSAR 導入の現状 12

13 海外 OEM の導入モチベーション低コスト開発への対応グローバル開発のインフラ ( 共通開発環境 ) としてこれまでOEM 毎に独自であった通信仕様を標準化されたAUTOSAR COM/DIAGに置き換えることにより独自仕様評価パッケージ作成コストを削減することができるグローバルスタンダードな標準仕様を導入することで新たなサプライヤの参入障壁を引き下げることができる新機軸対応 Safety: ISO26262 Cyber security(csm/she) エコ (Partialnet) 高速化 (Ethernet,CAN FD) 本日の報告内容 ISO26262 規格概要については情報獲得が容易であるため本発表では解説しません 13

14 Safety: ISO26262 ISO26262 認証のポイント安全に設計されていることを証明するため開発 & 設計の中身 ( 技術 ) が安全であること開発 & 設計の進め方 ( プロセス ) が適切であることを認証機関にエビデンス (= セーフティケース ) を示して論理的体系的に説明できることが求められる 6. 製品開発 : ソフトウェアレベル 6-5 ソフトウェアレベルにおける製品開発の開始 6-6 ソフトウェア安全要求事項の詳細仕様 6-7 ソフトウェアアーキテクチャ設計 6-8 ソフトウェアユニットの設計および実装 6-9 ソフトウェアユニット試験 6-10 ソフトウェアの結合および試験ソフトウェア設計上の観点同一コンポーネント内に異なる ASIL のサブコンポーネントを配置する場合異常の伝播が発生しないこと (= ソフトウェアパーティショニングが正しく設計されていること ) の説明を要求している静的動的なパーティションで区切り影響範囲を狭めることが重要 6-11 ソフトウェア安全性要求事項の整合性検証 14

Safety: ISO26262 事例 AUTOSAR を利用した ISO26262 対応 BSW を使用する上での課題 BSW に潜在する不具合 : Safety SWC に異常が伝搬する BSW が Safety process に沿って開発されていない Non Safety Functions (QM) Safety (ASIL) AUTOSAR 仕様で定義されている Safety

15 Safety: ISO26262 事例 AUTOSAR を利用した ISO26262 対応 BSW を使用する上での課題 BSW に潜在する不具合 : Safety SWC に異常が伝搬する BSW が Safety process に沿って開発されていない Non Safety Functions (QM) Safety (ASIL) AUTOSAR 仕様で定義されている Safety Functions OS Scalability Class SC1 : OSEK + Basic scheduling SC2 : Timing Protection SC3 : Memory Protection (w/ HW support) SC4 : SC2+SC3 OS Application (Partition) Trusted : Supervisor execution (No restriction) Non trusted : User execution (restricted) Trusted, Non-trusted の範囲設定をどうするか? 15

16 Safety: ISO26262 事例 AUTOSAR を利用した ISO26262 対応 Trusted, Non trusted の範囲設定のアプローチ手段 1 BSW + Safety App を Trusted とする手段 2 Safety App のみを Trusted とする Non-Trusted Trusted Non-Trusted Trusted Trusted Non-Trusted BSW ASIL Trusted (ASIL OS: 100,000,000) QM Non trusted (OS: 4,000,000) Non safety App QM Non trusted QM Non trusted Safety App ASIL Trusted ASIL Trusted BSW 本体を Trusted とするよりも BSW に ISO26262 対応用機能を持たせる形が現実的 16

17 Safety: ISO26262 事例 ISO26262 対応用機能の例 ISO26262 対応用機能の例 :Vector 社製 MICROSAR SafeContext: 異常を伝搬させない空間保護 SafeWatchdog: Checkpoint による実行監視機能出典 17

18 Cyber security 車載システムに求められる技術的セキュリティ SR.1: 電子制御によるセーフティ機能のデータの完全性と信頼性の保証セーフティ機能にかかわる認証や制御を行う際に制御の命令等のデータが攻撃者によって書き換えられること等を防ぐ SR.2: ECU またはファームウェアのインストール設定の完全性信頼性の保証アップロードされる新しいセキュリティアルゴリズムセキュリティ機能の秘密の情報動作の許可など認可情報を保護 SR.3: セキュアな実行環境の提供 ECU への攻撃が成功したとしてもキーとなる秘密の情報が格納されたトラストゾーンへのアクセスを防ぐ SR.4: 自動車の機能データへのアクセス制御機能の提供 SR.5: 車載 ECUプラットフォームの信用性 (trusted) の保証 SR.6: セキュアな車載ストレージの提供 SR.7: 特定の車載通信と外部通信の機密性の保証 SR.8: プライバシの保証 SR.9: セキュリティ機能の干渉防止出典 IPA 発行自動車の情報セキュリティへの取組みガイド車載ネットワークのオープン化により車載ネットワークを介した脅威が増加 18

19 Cyber security 実製品における Cyber security 要求 IVER: Integration Vehicle Engineering Release 2016 年 IVER 製品における Cyber security 動向各 OEM 毎に Secure requirements specification を整備 Requirements to both software and hardware Process requirements Requirements to Tier1 Configuration Management Programming guidelines Secure flash boot loader Encrypted data communication AUTOSAR BSW の下記モジュールで実現する CSM: Crypto Service Manager (CRY: Cryptographic Library) SHEDRV: Driver for Secure Hardware Extension 喫緊で暗号化の要求が増大しているため AUTOSAR では暗号化から仕様化を開始 19

外部バスを経由した通信が傍受可能な外付けセキュリティチップを用いた方法を上回るルネサス製 RH850 F1M や Spansion 製

20 Cyber security AUTOSAR における Cyber security CSM/SHE Controller へ暗号化複合化セキュリティロジックを一体化することにより従来のソフトのみの構成や外部バスを経由した通信が傍受可能な外付けセキュリティチップを用いた方法を上回るルネサス製 RH850 F1M や Spansion 製 Coretex R4 などが SHE 規格に対応 AES128 暗号化 MAC 生成乱数発生セキュアブート鍵管理などが主な機能暗号機能部制御用マイコン接続部鍵格納用ストレージ出典 20

21 実製品への導入の流れと傾向 Release 3.x を導入する OEM 特定ベンダー (Vector など ) 依存従来通信仕様を継続使用 Release 4.x を導入する OEM 特定ベンダーに非依存 AUTOSAR 通信仕様準拠 (COM,DIAG,FBL) 21

22 まとめ (AUTOSAR 導入の現状 ) AUTOSAR を取り巻く技術動向仕様面 :Infotainment, Connectivity 分野の拡大が顕著製品面 : 新機能 (Safety,Security,,,) の導入が開始対応が求められる AUTOSAR は新機能導入のフレームワークとして動いている AUTOSAR 導入のタイミングは車載システム形態が変化するとき 22

23 終わりに車載システム全体の動向 ECU 価格競争の激化と OEM からの低価格化要求への対応から低コストグローバル開発 ( 海外設計拠点化 ) へ大規模複雑化車載ネットワークのオープン化 AUTOSAR 仕様策定状況 2017 年以降では AR4.x が主流となる新機軸である ISO26262, Cyber security, Partialnet, Ethernet, CAN FD などを取り込みながら仕様を策定中海外自動車業界の動向グローバル開発のインフラ ( 共通開発環境 ) として AUTOSAR 導入開始 AUTOSAR は新機軸導入のフレームワークとして動いている 23

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション JaSST 16 Tokyo テクノロジーセッション AUTOSAR Acceptance Test の自動化の取り組み株式会社ベリサーブオートモーティブ検証サービス開発部須原秀敏 1 自己紹介項目所属内容株式会社ベリサーブ名前須原秀敏 ( すはらひでとし ) 経歴車載電子機器 ( 以後 ECU) のシステムテストを 6 年活動 SNS WACATE STAC JaSST SQiP

AUTOSAR における Safety, Security に対する 最新動向 & 事例紹介 株式会社デンソー電子基盤システム開発部佐藤洋介 1

AUTOSAR における Safety, Security に対する最新動向 & 事例紹介株式会社デンソー電子基盤システム開発部佐藤洋介 1