2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事

2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事 豊山 祐一 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.

自己紹介 豊山祐一 ( とよやまゆういち ) 株式会社日立超 LSIシステムズシステム製品事業部製品ソリューション設計部主管技師 1986 年入社以来 組込みシステムのソフト開発に従事 2002~2008 年 YRP ユビキタス ネットワーク研究所に出向坂村教授のもと T-Kernel の開発などに取り組む 2009 年 ~ 日立超 LSI にて T-Kernel を中心とした組込みソフトの開発に 2015 年トロンフォーラム TRON Safe Kernel WG 幹事を務め 機能安全 OS の開発に取り組む Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 1

TRON Safe Kernel WG 組込システムの様々な分野で機能安全認証の必要性が増大 組込システム向け RTOS の機能安全対応が必要 トロン仕様 RTOS が機能安全規格に対応することが強く求められる 2015 年トロンフォーラム内に TRON Safe Kernel WG を設立 座長坂村健東京大学教授 トロンフォーラム会長 目的 機能安全規格に対応した RTOS である TRON Safe Kernel の仕様策定および開発 仕様とソースコードの一般公開をめざす Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 2

TRON Safe Kernel の目標 組込システム向け機能安全 RTOS IEC61508 SIL3 の第三者認証可能な RTOS を目標とする 機能安全 RTOS には何が必要か? 規格面 ニーズ面から分析 組込システム向けとしてリアルタイム性能は重要 IEC61508 SIL3 が OS に要求する機能を満たすこと 規格が要求する開発プロセスによる開発 異常を検出し安全状態へ移行する機能 安全水準の異なるソフトを実行 既存ソフト 機能安全に関わらないソフトも実行 すべてのソフトを SIL3 で開発するのは困難 以上を踏まえて仕様を検討 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 3

TRON Safe Kernel の要求レベル 規格面 ニーズ面の分析から機能安全 RTOS への要求を 4 つのレベルに分類 要求レベル 0 リアルタイム性能 組込システム向けの RTOS として充分なリアルタイム性能 ( 応答性 時間予測性 ) を持つこと 要求レベル 1 SIL3 認証レベルの開発 OS 自体が IEC61508 SIL3 の認証レベルで開発 V 字モデルの開発プロセス ソースコードの静的解析 動的オブジェクトの排除など 要求レベル 2 基本的な安全機能 システムの異常動作を検出し 安全状態に移行 ハードウェア ソフトウェアの故障検出 要求レベル 3 より高度な安全機能 安全水準の異なるアプリケーションを実行 非安全アプリの安全な実行 ソフトウェアの空間的 時間的分離 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 4

TRON Safe Kernel の要求レベル 0 充分なリアルタイム性能 ( 応答性 時間予測性 ) を持つこと T-Kernel/μITRON と同様のスケジューリング方式 単一スケジューラによる絶対優先度に基づくスケジューリングを採用 タイムパーティションは応答性に影響が大きいため 標準のスケジューラとしては採用しない ただし 機能安全の観点から時間監視 非安全ソフトの優先度制約などを追加する 安全ソフト 非安全ソフトのタスク スケジューリングの例高安全ソフトのタスク優先度 タスク A 優先度 タスク B タスク C タスク D 非安全ソフトのタスク優先度 低 時間 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 5

TRON Safe Kernel の要求レベル 1 OS 自体が IEC61508 SIL3 の認証レベルで開発 SIL3 開発に必要されるもの ( 例として ) 厳密な V 字開発プロセス 静的解析によるソースコード検証 (MISRA-C など ) 安全な設計手法の適用 動的な資源管理の排除 信頼できるアルゴリズムの適用 V 字開発プロセスの例 機能設計 総合テスト 方式設計 結合テスト 詳細設計 単体テスト コーディング Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 6

TRON Safe Kernel の要求レベル 2 システムの異常動作を検出し 安全状態に移行 ハードウェア ソフトウェアの故障診断 異常処理 ハードウェアやアプリケーションの故障 ( 異常 ) は 製品に固有である ただし OS として故障診断を実行し 検出した異常に対する仕組みを提供する 異常例外処理 プロセッサによる異常検出 ( メモリ違反 未定義命令など ) OS による異常検出 ( スタックオーバーフローなど ) 異常例外処理該当するハンドラを実行 異常例外異常例外ハンドラ異常例外ハンドラハンドラ 故障診断による異常検出 ( 製品毎に定義 ) Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 7

TRON Safe Kernel の要求レベル 3 安全水準の異なるアプリケーションを実行 全てのソフトウェアを機能安全に開発することは大変 既存のソフト資産を活用したい 非安全ソフトを安全に実行する機能を提供 ソフトウェアの空間的 時間的分離し 非安全ソフトが安全ソフトの実行を阻害しないようにすることにより実現 ドメインによる安全ソフトと非安全ソフトの分離 安全ドメイン 通常ドメイン 空間的分離ドメインは独立したメモリ空間ドメイン間のメモリアクセスは不可 安全アプリ (SIL3) 通常アプリ ( 非安全 ) 時間的分離ドメイン毎にプロセッサ使用時間を管理 制約が可能 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 8

TRON Safe Kernel の機能 これまでの検討をふまえて T-Kernel2.0 をベースに安全機能を拡張 故障診断機能 : 異常例外機能 : ドメイン機能 : システムの故障診断異常検出時の安全動作ソフトを空間的 時間的に分離 TRON Safe Kernel 機能仕様書 トロンフォーラムより 2016 年前半に一般公開予定 Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 9

日立超 LSI システムズの取組み トロンフォーラム WG 幹事として TRON Safe Kernel の仕様策定 開発に取り組んでいます ここで得られた知識 ノウハウ 技術をもとに 機能安全ソリューションのサービスを開始します TRON Safe Kernel を活用した機能安全ソフトウェア開発のコンサルティング 組込機器への TRON Safe Kernel の実装と適応化 詳細はホームページをご覧ください http://www.hitachi-ul.co.jp/public/jp/news/2015/nr151210.html Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved. 10