Hiroaki  Takada

⾞車車載組込みシステムの現状と今後の展開

⾼高⽥田  広章2014年年3⽉月7⽇日

1

⾞車車載組込みシステムの現状と今後の展開

名古屋⼤大学  ⼤大学院情報科学研究科  教授附属組込みシステム研究センター⻑⾧長NPO法⼈人  TOPPERSプロジェクト  会⻑⾧長

Email:  hiro@ertl.jp      URL:  http://www.ertl.jp/~∼hiro/

ICD+ARC研究会

Hiroaki  Takada

⾃自⼰己紹介本務 ▶  名古屋大学 大学院情報科学研究科 情報システム学専

攻 教授／附属組込みシステム研究センター長 その他の役職（主なもの） ▶  TOPPERSプロジェクト 会長 ▶  車載組込みシステムフォーラム（ASIF）会長 ▶  組込みシステム開発技術研究会（CEST）会長 ▶  情報処理学会 組込みシステム研究会 元（初代）主査

研究分野 ▶  （組込みシステム向け）リアルタイムOS ▶  リアルタイム性解析とスケジューリング理論 ▶  システムレベル設計（SW/HW協調設計） ▶  消費エネルギー最適化技術，機能安全技術▶  車載組込みシステムと車載ネットワーク

2

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

TOPPERSプロジェクトとは?▶  ITRON仕様の技術開発成果を出発点として，

組込みシステム構築の基盤となる各種の高品 質なオープンソースソフトウェアを開発するとと もに，その利用技術を提供 組込みシステム分野において，Linuxのように広く使われるオープンソースOSの構築を⽬目指す!

プロジェクトの狙い ▶  決定版のITRON仕様OSの開発 ▶  次世代のリアルタイムOS技術の開発 ▶  組込みシステム開発技術と開発支援ツールの開発 ▶  組込みシステム技術者の育成への貢献

プロジェクトの推進主体 ▶  産学官の団体と個人が参加する産学官民連携プロジェクト ▶  2003年9月にNPO法人として組織化

3

⾞車車載組込みシステムの現状と今後の展開

←  ほぼ完了了

Hiroaki  Takada

総会

TOPPERSプロジェクトの組織と会員

運営委員会理事会

監事 事務局

教育WG

カンファレンス実行委員会

中国普及WG

展示会運営委員会

TECS WG

英語化WG

必要なWGを機動的に設置

会長，副会長，理事 運営委員（21名）

事務局長開発者会議実行委員会

韓国普及WG

▶  団体正会員：９５（企業：９４，その他：１）

▶  個人正会員：９▶  準会員（個人）：６３▶  特別会員：３３

（団体：２１，個人：１２）

合計会員数：２００（２０１３年１０月１日時点）

4

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

開発成果物の主な利利⽤用事例例

5

⾞車車載組込みシステムの現状と今後の展開

キザシ (スズキ)

ASTRO-H (JAXA)
＜開発中＞H-IIB（JAXA)

945SH
（シャープ）

PM-A970
(エプソン)

IPSiO GX e3300 (リコー)

UA-101 (Roland)

Hiroaki  Takada

TOPPERS宇宙へ⾶飛び⽴立立つ！▶  TOPPERS/HRPカーネルが用いられた誘導制御計算機等

を搭載したH-IIBロケットが，2012年7月21日に，種子島宇宙センターから打ち上げに成功

6

⾞車車載組込みシステムの現状と今後の展開

撮影：高田広章

Hiroaki  Takada

名古屋⼤大学  組込みシステム研究センター  (NCES)設立目的 ▶  組込みシステム分野の技術と人材に対する産業界からの

要求にこたえるために，組込みシステム技術に関する研 究・教育の拠点を，名古屋大学に形成

活動領域（スコープ） ▶  大学の持つ技術シーズを実現/実用化することを指向 した

研究（第二種基礎研究） ▶  プロトタイプとなるソフトウェアの開発 ▶  組込みシステム技術者の教育/人材育成

研究プロジェクトの例 ▶  次世代車載システム向けRTOS（コンソーシアム型） ▶  宇宙機向けソフトPF（スペースワイヤOS）（JAXA） ▶  次世代車載ネットワーク（オートネットワーク技術研究所）

7

☞ http://www.nces.is.nagoya-u.ac.jp/

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

次世代⾞車車載システム向けRTOSに関するコンソーシアムプロジェクトの位置付け ▶  名古屋大学 組込みシステム研究センター（NCES）が設定

した研究開発テーマに，複数の企業の参加を得て研究・開発を進めるコンソーシアム型共同研究

研究開発の内容 ▶  AUTOSAR OS仕様をベースとした次世代の車載組込み

システム向けのRTOS仕様の策定 ▶  策定した仕様に基づいたRTOSの実装 ▶  通信ミドルウェア（COM等）とRTEジェネレータの開発 ▶  RTOSと通信ミドルウェアの検証スイートの開発

研究開発成果の取扱い ▶  開発したソフトウェア（設計書と検証スイートを除く）は，

TOPPERSプロジェクトよりオープンソース化

8

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

プロジェクトの期間 ▶  2011年度から3年間

参加企業 ▶  （株）ヴィッツ▶  （株）永和システム

マネジメント ▶  （株）OTSL▶  （株）サニー技研▶  （株）デンソー▶  （株）東芝 ▶  トヨタ自動車（株）

研究開発体制（2013年時点） ▶  参加企業から，計8名の技術者がNCESに常駐 ▶  名古屋大学の教員・研究員6名が参加

9

⾞車車載組込みシステムの現状と今後の展開

▶  （株）豊田自動織機 ▶  日本電気通信システム（株）〔2012

年度まで〕 ▶  パナソニック アドバンストテクノロ

ジー（株）

▶  富士通VLSI（株）〔2012年度まで〕 ▶  富士ソフト（株）▶  ルネサス エレクトロニクス（株）

Hiroaki  Takada

AGENDA車載組込みシステムの現状と事例 車載組込みシステム開発の課題と動向 組込みシステムの今後 ▶  組込みシステムの今後の変化 ▶  統合システム開発上の課題と求められる技術 ▶  安全性と情報セキュリティ

IT/ETにより進化する自動車と課題 ▶  IT/ETにより進化する自動車 ▶  「つながるクルマ」で何ができるか？ ▶  車車間通信による衝突警報・回避 ▶  C2C-CCによる信用保証レベルの定義

ハードウェアプラットフォームに対する要求

10

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載組込みシステムの現状と事例例

11

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載組込みシステムの現状車載制御システムの高度化 ▶  自動車に対する新しい付加価値の多くが，電子制御/コン

ピュータ/ソフトウェアで実現 ▶ 省エネルギー，低排気ガス（エンジン制御，…） ▶ 安全性の向上（ABS，エアバッグ，…） ▶ 利便性の向上，娯楽性の向上（カーナビ，…）

▶  コンピュータを活用することで，軽量化やコストダウンが可能になる場合も 例） 車載ネットワークによるワイヤハーネス（自動車内の

配線）の軽量化 ▶  統合制御システム/サービス（複数のECUの協調/連携によ

り提供するサービス）が増加 è  ⾞車車載組込みシステム/ソフトウェアが著しく複雑化

12

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載組込みシステムの⽤用途と分類制御系（駆動系＋走行系） ▶  エンジン制御，トランスミッション制御，…▶  ステアリング制御，ブレーキ制御，サスペンション制御，…

ボディ系

▶  インパネ，キー，ドア，ウィンドウ，照明，エアコン，…▶  エアバッグ，シートベルト，…

マルチメディア系（情報・エンターテイメント系）

▶  カーオーディオ，カーナビ，VICS，…▶  バックガイドモニタ，ETC，…

統合制御システム/サービス

▶  姿勢制御，クルーズコントロール，入庫支援，…▶  レーンキープ支援，リモートサービス，ナビ連携制御，…

13

⾞車車載組込みシステムの現状と今後の展開

⾞車車載ネットワークが重要な役割

Hiroaki  Takada

⾞車車載組込みシステムの例例  〜～  回⽣生ブレーキ

14

⾃自動⾞車車とクラウドが融合する未来

システムの機能 ▶  制動時に，モータにより発電することで，減速によって熱と

して捨てられていた運動エネルギーを，走行用のエネルギーとして回収

▶  制動時には，回生ブレー キを油圧ブレーキと協調 制御して，必要な制動力 を確保

ソフトウェア制御の重要性 ▶  複雑な制御であり，ソフト

ウェアなしでは実現不可 能であろう

▶  平常時は，油圧ブレーキ も電子制御

トヨタ自動車のウェブサイトより

Hiroaki  Takada

参考図

15

⾃自動⾞車車とクラウドが融合する未来

日経 Tech-On!より

Hiroaki  Takada

⾞車車載制御システム/ネットワークの発展段階! 車載制御システム/ネットワークの発展は，4段階で捉えるこ

とができる 第0段階 ▶  車載ネットワークが使われない段階▶  エンジン制御やブレーキ制御が個別に電子化/コンピュー

タ化され，それぞれが独立に動作 第1段階 ▶  各制御システムが車載ネットワークを通して，制御品質を

向上させるために有用なデータを交換する段階

▶  各制御システムはおおよそ独立に動作▶  万一ネットワークに障害が生じても，制御品質が下がるも

のの，致命的な状況にはならない

▶  時間制約は比較的緩やか

16

⾃自動⾞車車とクラウドが融合する未来

Hiroaki  Takada

第2段階▶  車載ネットワークを通して，ミッション/セーフティクリティカ

ルでないサービスを提供する段階

▶  個々の制御システムが，車載ネットワークを通して協調動作することで，新しいサービスを提供

▶  車載ネットワークに障害が生じると，そのサービスは機能しなくなるものの，自動車の基本機能は保たれる

システム例）姿勢制御，プリクラッシュセーフティ

第3段階（A） ▶  車載ネットワークが車外のシステムともつながる段階▶  インフラ連携，車々間連携

第3段階（B） ▶  車載ネットワークを通して，ミッション/セーフティクリティカ

ルなサービスを提供する段階

17

⾃自動⾞車車とクラウドが融合する未来

現状はこの段階

近い将来に実現が期待される

実現性について意⾒見見が分かれる

Hiroaki  Takada

統合制御システムの例例  〜～  姿勢制御  (VDIM) ▶  加速度，車輪速度，操舵角，操舵トルクなどから，ブレー

キ，ステアリング，エンジンを，車輪がスリップしたりスピンが起きないように制御

18

⾃自動⾞車車とクラウドが融合する未来

VDIM = Vehicle Dynamics Integrated Management

トヨタ自動車のウェブサイトより

Hiroaki  Takada

⾞車車載組込みシステムの特性高い信頼性・安全性 ▶  組込みシステムの誤動作が自動車の誤動作に直結 ▶  製品保証が求められる（PL法の対象に含まれる） ▶  システム改修に高いコストがかかる（安全性に関わる場合

にはリコールに） 厳しい環境条件 ▶  厳しい環境条件（温度条件，EMC）から，高性能なプロ

セッサが使えない 厳しいコスト制約 ▶  製造コストの制約が厳しい．設計コストはある程度許容

リアルタイム性 ▶  制御対象によって定められる時間要件に従って動作する

ことの保証が必要

19

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載ネットワークの⽤用途,  特性,  規格ボディ系 ▶  ノード数・データの種類は多い，ほどほどの信頼性 ▶  低速な通信 ← コストダウン要求，消費電力制約

制御系（駆動系＋走行系） ▶  （基本的には）自律動作しているシステムの相互接続 ▶  レスポンスが短く保証できる（リアルタイム性が要求される） ▶  高い信頼性，データ量は少ない

マルチメディア系 ▶  帯域が広いこと（マルチメディアデータが流せる）

その他のネットワーク （本物の） by-wire系 … 将来 ▶  機械的なシステム（油圧など）の置き換え ▶  極めて高い信頼性とリアルタイム性

20

⾞車車載組込みシステムの現状と今後の展開

低速CAN, LIN

高速CAN, FlexRay?

MOST, IDB-1394

FlexRay?, TTP?

DSI, Safe-by-Wire

Hiroaki  Takada

⾞車車載組込みシステム開発の課題と動向

21

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載組込みシステム開発の課題ディペンダビリティの確保/向上 ▶  システムの大規模化により，設計品質，特にディペンダビリ

ティ（信頼性，安全性，セキュリティ，…）の確保が困難に ▶  ディペンダビリティに対する説明/証明力の向上が重要に ▶  機能安全規格（ISO 26262）への対応 ▶  情報セキュリティの確保が大きな問題に

設計生産性の向上（開発の効率化） ▶  システムの複雑化や品質要求により，設計生産性が低下

ECUの数の増加，車載ネットワークの複雑化 ▶  コストの増大や設置スペースの不足 ▶  分散システム／ネットワークの最適設計が困難

その背景にある深刻な問題 組込みシステム技術者  (⼈人財)  不不⾜足

22

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

課題に対するアプローチ安全性・信頼性の確保，説明/証明責任への対応 ▶  機能安全規格（ISO 26262）への対応は，安全性に対する

説明力/証明力の向上に有効 ▶  トップダウンな設計コンセプト（安全コンセプト）を持つこと ▶ 説明力/証明力の向上に加えて，コスト最適化にも有効

情報セキュリティの確保 ▶  なぜ今，自動車の情報セキュリティか？ ▶  「つながるクルマ」の流れから，車載組込みシステムの

ネットワーク接続が進行（自動車外との接続インタフェースも増加） ▶ マイコンやネットワークの標準化や汎用品の適用が進

み，攻撃の難易度が下がっている ▶  ここ数年，車載組込みシステムの情報セキュリティ上の脆

弱性の報告やインシデントが相次ぐ

23

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

設計生産性向上（開発効率化） ▶  ソフトウェア開発プロセスの地道な改善 ▶  設計抽象度を向上させるためのモデルベース開発 ▶  設計資産の“良い”再利用を可能にするためのプロダクト

ライン開発とコンポーネントベース開発 ▶  アプリケーション開発底上げのためのプラットフォームと，

その共通化・標準化（プラットフォームベース開発） ▶ AUTOSARによるプラットフォームの標準化

▶  仮想環境（シミュレータ）による検証の効率化 ネットワーク構成の複雑化への対応 ▶  CANでは転送レートが不足しており，ネットワーク構造が

複雑化する結果に ▶  新しい車載ネットワーク技術の導入を検討すべき時期に ▶ 車載Ethernetの検討が進行中

24

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

設計抽象度度を上げる設計抽象度を上げる意義 ▶  設計物を少ないライン数で記述できるようにする ▶ 一人の技術者がある時間で開発できるライン数は，記

述言語によらずほぼ一定（と言われている） ▶  設計の早い段階（上流開発工程）での検証を可能にする ▶ 開発の手戻りを小さくする

設計抽象度を上げるアプローチ ▶  過去：アセンブリ言語からC言語へ ▶  現在：モデルベース開発 ▶ ソフトウェアの（実行可能な）モデルを記述し，そこから

プログラムを（自動）生成することで，記述量を削減 ▶ モデルの段階で設計検証を実施

25

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

設計抽象度の向上はソフトウェアに限らない ▶  ハードウェア（電子回路）設計では，動作レベル設計（≒プ

ログラミング言語による記述） ▶ レジスタ転送レベル（RTL）設計より記述量が小さい

▶  コンピュータのハードウェア（電子回路）とソフトウェアを一体で設計するシステムレベル設計（ESL）

▶  メカまで含むシステム全体のモデルベース設計 技術の例） SysML，Modelica

26

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

設計の早い段階での検証のための課題 ▶  設計の早い段階では，実機（コンピュータハードウェア，制

御対象機器）や最終的なソフトウェアがない場合が多い ▶  モデルベース開発は，最終的なソフトウェアがない段階で

の検証するための技術 ▶  実機は，シミュレーションで模擬することが必要

制御対象の機器を「動作」させる必要

▶  制御対象の機器も （機械的，電子的， 物理的，化学的，… に）複雑なシステム

▶  入力に対して正しい 出力が1通りに定ま らない

設計の早い段階での検証

27

⾞車車載組込みシステムの現状と今後の展開

一般の情報システム 組込みシステム

コンピュータ
システム

入力

出力

コンピュータ
システム

入力 出力

外界／環境

制御対象機器

Hiroaki  Takada

補足説明：入力に対して正しい出力が1通りに定まらない

28

⾞車車載組込みシステムの現状と今後の展開

A

B

C

ここは20ms周期で動作

ここは10ms周期で動作

t

0 10 20タスクA


（10ms周期）

タスクB
（20ms周期）

A+C A+C A+C

B B

タスクA
（10ms周期）

タスクB
（20ms周期）

A+C A+C A+C

B B

Hiroaki  Takada

シミュレーションによる検証環境 ▶  どの部分を検証対象とし，どの部分をシミュレーションする

かで，様々なバリエーション ▶  制御対象の正確なシミュレーションが難しい場合には，精

度に限界がある Hardware In the Loop シミュレーション（HILS）▶  ハードウェアまで含めて実際のコンピュータシステムを用

い，センサー／アクチュエータのインタフェースに制御対象機器（外界／環境も）のシミュレータを接続

▶  ハードウェアまで含めてテストできる ▶  制御対象機器をリアルタイムにシミュレーションすることが

必要なため，高いコストがかかる ▶  軍事機器分野では普通の技術．自動車分野でも適用が

広がっている

29

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

HILSのイメージ図

30

⾞車車載組込みシステムの現状と今後の展開

組込みシステム

入力

出力

外界／環境のモデル

制御対象機器のモデル

シミュレータ

シミュレーションエンジン

組込み
ソフトウェア

専用回路

センサIF

アクチュエータIF

ハードウェア

プロセッサ

Hiroaki  Takada

Software In the Loop シミュレーション（SILS）▶  テスト対象のソフトウェアに，ハードウェアおよび制御対象

機器のシミュレータを接続

▶  組込みソフトウェアのみをテスト▶  どの範囲のソフトウェアをテストするか，どの程度の時間精

度でテストするかによって，いくつかの方法が考えられる

▶ すべてのソフトウェアをテストするか（I/Oアクセスレベルでシミュレータと接続），アプリケーションのみをテストするか（システムコール／デバドラ呼出しのレベルでシミュレータと接続） ▶ テスト対象のソフトウェアを，バイナリコードでテストする

か（命令セットシミュレータを使う），ソースコードをテストするか（ホスト用にコンパイルしたコードでテストする）

31

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

SILSのイメージ図

32

⾞車車載組込みシステムの現状と今後の展開

パソコン（またはサーバ）

組込み
ソフトウェア

専用回路の
モデル

センサIFの
モデル

アクチュエータIFの


モデル

命令セット

シミュレータ

外界／環境のモデル

制御対象機器のモデル

電子回路の

シミュレータ機械・物理システムの

シミュレータ

異なる種類のシミュレータを連携させる仕組み

Hiroaki  Takada

その他の In the Loop シミュレーション ▶  Processor In the Loop シミュレーション（PILS） ▶ 命令セットシミュレータではなく，実物のプロセッサを用

いてテスト（HILSとSILSの中間） ! 命令セットシミュレータを用いるSILSのことを，PILS（または，

VPILS，SPILS）と呼んでいるケースがあるので注意 ▶  Model In the Loop シミュレーション（MILS） ▶ ソフトウェアのモデルをテスト ▶ 普通のモデルベースのシミュレーションのこと

▶  X In the Loop シミュレーション（XILS） ▶ X には，機械（これをHILSと呼ぶ場合もある，自動車分

野では比較的新しい方法），人間（例：ドライビングシミュレータ）などが入る

33

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

設計資産の再利利⽤用を促進する仕組みの構築設計資産の質の向上 ▶  設計資産の再利用は重要だが，レガシー化は避けなけれ

ばならない（設計根拠を記述したドキュメントが重要） ▶  質の高い設計資産を社内で蓄積することも重要だが，非

競争領域については業界レベルで蓄積すべき 再利用を前提とした開発プロセス ▶  設計資産の品質を維持するためには，開発プロセスや組

織から考えることが重要 è プロダクトライン型ソフトウェア開発

ソフトウェアの部品化の促進 ▶  ソフトウェアを再利用しやすい形（部品）で開発する ▶  ソフトウェアの部品化技術が重要に

34

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

プラットフォームとその共通化・標準化プラットフォームとは？ ▶  プラットフォーム＝ハードウェアPF＋ソフトウェアPF ▶  ソフトウェアPF＝OS＋ミドルウェア

応用ドメイン毎のプラットフォーム構築 ▶  多様な組込みシステムを，１つのプラットフォームでカバー

するのは不可能 ▶  適切な範囲（これが難しい）の応用ドメインを設定し，それ

に向いたプラットフォームを構築 プラットフォーム活用によるコスト低減と品質向上 ▶  多くのアプリケーションで同一のプラットフォームを用いる

ことで，プラットフォーム開発コストを削減 ▶  高品質なプラットフォームは，システムの品質向上につな

がる ▶  プラットフォームの共通化・標準化が重要に

35

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

プラットフォームの共通化・標準化の例 ▶  社内でのプラットフォーム共通化

例）パナソニックのUniPhier（ユニフィエ） ▶ プロセッサとビデオコーデックなどを含むシステムLSIと，

ミドルウェアやOSなどのソフトウェアからなるデジタル家電用の統合プラットフォーム

▶  業界内でのプラットフォーム標準化 例）AUTOSAR è http://www.autosar.org/ 例）JASPAR è http://www.jaspar.jp/ ▶ 自動車制御システム向けのプラットフォームやツ ール

の標準化 ▶  デファクト標準によるプラットフォーム標準化 ▶ モバイル情報端末（スマートフォン等）向けのプラット

フォームは，２〜３種類程度に収束しつつある

36

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車載組込みシステムにおけるプラットフォーム開発パラダイムの変革 ▶  部品ベースの開発からプラットフォームベースの開発へ

部品ベースの開発 − これまでの開発手法 ▶  まず，各部品（ECU）を開発 ▶  それを組み合わせてシステム（車両）を開発 ▶  部品メーカが，各ECUのハードウェアとソフトウェアの両方

を独立に開発 部品ベース開発の問題点 ▶  システム構成の変更・最適化が困難 ▶  ECUの数の増加に歯止めがかからない ▶  部品メーカ間の設計思想・仕様の不整合 è 統合システム/サービスの効率率率的な実現の障害に

37

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

プラットフォームベースの開発 − これからの開発手法 ▶  まず，プラットフォーム（PF）を開発 ▶ プラットフォーム＝ハードウェアPF＋ソフトウェアPF ▶ ソフトウェアPF＝OS＋ミドルウェア ! 自動車分野では，車台の意味と区別するために，電子

プラットフォームと呼ぶ場合も多い ▶  その上で，アプリケーションソフトウェアを動作させる

プラットフォームベースの開発の位置付け ▶  決して新しい考え方ではない ▶ 自動車制御システム向けOSと通信規格の標準化を目

的に1994年に開始されたOSEK/VDXプロジェクトが，すでにそれを目指していた

▶  プラットフォームベースの開発は，組込みシステム開発全体のトレンドでもある

38

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

AUTOSAR  (AUTomotive  Open  System  ARchitecture)▶  自動車，自動車部品，エレクトロニクス，半導体，ソフトウェ

ア企業によるグローバルパートナーシップ（2003年に設立） ▶ ソフトウェアの複雑性を軽減するために，ソフトウェア基

盤（infrastructure）の業界標準を作成▶  コアパートナー（2013年時点）

▶  最初の仕様書（群）は，2006年春から順次発行▶  Release 4.0の仕様書（群）が，2010年春に公開 ▶  最新の仕様書（群）はRelease 4.1 Revision 2 ▶ 約90の標準仕様書と約95の関連ドキュメントなど

39

⾞車車載組込みシステムの現状と今後の展開

BMW Daimler PSA Peugeot CitroenBosch Ford トヨタ自動車Continental GM Volkswagen

Hiroaki  Takada

AUTOSARフレームワークの概要AUTOSARアプローチ▶  アプリケーションを，ソフ ト

ウェア部品（SW-C）をVirtual Functional Busで接続した形で論理的に記述

▶  ツールにより，ネットワークで接続されたECU群にマッピング

▶  その際に，ECU記述とシステム制約記述（処理の時間制約など）を入力とする

▶  ソフトウェアプラットフォームは，RTEとBSWで構成

40

⾞車車載組込みシステムの現状と今後の展開 Virtual Functional Bus

V2.0.0 R4.0 Rev 1

ECU I

Virtual Functional Bus

AU

TOSA

RSW

-C1

AU

TOSA

RSW

-C2

AU

TOSA

RSW

-C3

AU

TOSA

RSW

-Cn...

ECU II

AU

TOSA

RSW

-C1

AU

TOSA

RSW

-C2

AU

TOSA

RSW

-C3

ECU m

AU

TOSA

RSW

-Cn

RTE

Basic Software

RTE

Basic Software

RTE

Basic Software

...

VFB view

Mapping

System ContraintDescriptionECU

DescriptionsTool supporting deployment

of SW components

Gateway

SW-CDescription

SW-CDescription

SW-CDescription

SW-CDescription

Figure 2.2: Detailed view on the activity “Configure System”

In AUTOSAR, an application is modeled as a composition of interconnected components. This is illustrated in the top half of Figure 2.2 (labeled JVFB viewK). The Jvirtual functional busK is the communication mechanism that allows these components to interact. In a design step called JConfigure SystemK, the components are mapped on specific system resources (ECUs). Thereby, the virtual connections between the components are mapped onto local connections (within a single ECU) or on network-technology specific communication mechanisms (such as CAN or FlexRay frames). Finally, the individual ECUs in such a system can be configured. The concrete interface between the components and the rest of the system on an ECU is called the Run-Time Environment (RTE), which is defined in [Specification of RTE]. A component encapsulates complete or partial automotive functionality. Components consist of an implementation and of an associated formal software-component description (defined in [SW-C Template]). The concept of the virtual functional bus allows for a strict separation between applications and infrastructure. The software components implementing the application are largely independent of the communication mechanisms through which the component interacts with other components or with hardware (such as sensor or actuators). This fulfills AUTOSARUs goal of relocatability (also see [Main Requirements]). With this the complete communication of a system can be specified including all communication sources and sinks. The VFB can therefore be used for plausibility checks concerning the communication of software components. The communication

9 of 74 Document ID 056: AUTOSAR_EXP_VFB - AUTOSAR Confidential -

AUTOSAR Virtual Function Bus 2.0.0より

Hiroaki  Takada

組込みシステムの今後〜～安全性とセキュリティ〜～

41

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

組込みシステムの今後の変化! 組込みシステムの社会インフラ化とオープン化

制御と情報処理の統合（統合システム，融合システム） ▶  組込みシステムと情報システムを結合した大規模なシステ

ム（System of Systems）の構築が重要に ▶  欧米の学会では，Cyber Physical Systemと呼ばれている

ネットワークによる機能再配置 ▶  個々のサービスの高度化・複雑化はさらに進むと思われる ▶  すべての機器がネットワーク接続されれば，すべての機器

が汎用・多機能である必要はない ! パラダイムチェンジの時期の見極めが難しい

消費電力あたりの性能の向上 ▶  新しいハードウェア技術の導入が必要

42

⾞車車載組込みシステムの現状と今後の展開

クラウドコンピューティング

Hiroaki  Takada

統合システム開発上の課題と求められる技術統合システム開発上の課題 ▶  異なる開発文化のすり合わせが不可欠 ▶  社会インフラ化することと，物理的な世界とつながることか

ら，より高いディペンダビリティが要求される ▶  膨大になりがちな開発コストの適正化

統合システムに求められる技術

▶  統合システムモデリング技術とそれを用いた（上流での）検証技術，それを支援するツール ▶ 情報システムと組込みシステムの役割分担（ディペンダ

ビリティ要求も含めて）を早期に検証することが必要 ▶  安全性（セーフティ）と情報セキュリティの両立 ▶ 難しい課題．慎重になり過ぎると，何もできなくなる

▶  ビッグデータの解析結果の圧縮技術？

43

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

安全性と情報セキュリティ安全性と情報セキュリティの違い

▶  情報セキュリティの３要素（CIA）は，（文字通り）いずれも情報に着目した性質

▶  安全性が対象にしている「人の生命，健康，財産またはその環境」の内，財産（の一部）以外は情報に該当しない

▶  「セキュリティ」という用語は，主に故意による攻撃からの防衛を意味している場合が多い ▶  national security ＝ 安全保障 ▶  home security ＝ 防犯

安全性と情報セキュリティの両立の困難性

▶  安全性は厳密なリスク評価を要求するが，ネットワークを通じた故意による攻撃は，原因の範囲も影響の範囲も絞りにくく，発生確率も重大度も評価しにくい

44

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

組込みシステムのセキュリティ守りたいもの（資産）は何か？ ▶  組込みシステムにおいては，本質的（最終的）に守りたい

のは情報とは限らない ▶ 人命，健康，自動車（物品），エネルギー，…▶ もちろん守りたい情報もある（個人情報等）

▶  自動車の盗難防止は，情報セキュリティの範囲外？ ▶ 自動車は「情報」ではないため範囲外 ▶ 盗難防止が，電子/情報技術で実現されていれば（電子

キーやイモビライザ），関係ないとは言いにくい 用語の問題 ▶  情報セキュリティという用語は狭く解釈されるおそれがあり，

別の用語を使う方が良いのでは？▶ 例えば，サイバーセキュリティとか

45

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

安全性とセキュリティの両⽴立立の困難性Clash of Cultures（Rainer Faller氏（exida社）の資料より）▶  Safety ▶  Precise targets because of well understood threats

▶  Security ▶ Moving targets because of new threats from malicious

people result in less practical guidance ▶ Application engineers ask, however, for more practical

guidelines 本質的な困難はリスク評価 ▶  機能安全規格は，厳密なリスク評価を要求する ▶  セキュリティに対するリスクを厳密に評価するのは難しい ▶ 特に脅威を正確に評価するのが困難

Guarantee文化とBest Effort文化の対立？

46

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

IT/ETにより進化する⾃自動⾞車車と課題〜～「つながるクルマ」とセキュリティ〜～

47

⾞車車載組込みシステムの現状と今後の展開

※  ET  =  Embedded  Technology

Hiroaki  Takada

IT/ETにより進化する⾃自動⾞車車! 関連しているが独立した3つの流れ

先端運転支援（ADAS） ▶  IT/ETにより，高度な運転支援を行う ▶ 自動ブレーキ，前車追従 … 急速に普及期へ

▶  「ぶつからないクルマ」 「つながるクルマ」 ▶  ネットワーク等により情報的に外部とつながる自動車 ▶ インフラ（含：クラウド）とつながる ▶ 他車とつながる，人（ドライバ，歩行者）とつながる

自動走行（自動運転） ▶  IT/ETにより，運転を行う … 近年，急速に注目を集める ▶  技術の進歩は著しいが，法的な課題が多い

48

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

「つながるクルマ」で何ができるか？自動車からのデータをクラウドに ▶  いわゆる「プローブ」 ▶  収集したデータを解析して，有用な情報を得る ▶ 交通状況，通れる道，リスクマップ（危険な場所） ▶ 自動車の故障診断・予測 ▶ 運転診断，保険に活用，中古車の評価に活用 ▶ 天候（例えば，ワイパーの動きから）

▶  集めることができるデータが質・量ともに増加 ▶ 今後は，自動車からのカメラ画像なども → リアルタイム

ストリートビューが可能かも？ ▶  プライバシー保護が大きい課題

49

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

車車間通信，路車間通信 ▶  ロードサイドユニットからの情報の活用 ▶ 交通状況や事故情報等を知らせる ▶ 死角にある車や人を“見せる”

▶  周辺の自動車との情報交換 ▶ 衝突警報・回避 … 欧米において実用化に向けての動き ▶ CACC（Cooperative ACC），隊列走行 ▶ クルマのSNS

クラウドとの連携 ▶  街全体を考えた最適化経路案内 ▶  出発地から目的地まで止まらずに行ける自動車と交通シ

ステム ▶  信号のない交差点/都市

50

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

その他/組み合わせ ▶  センサーフュージョンによる高度な運転支援 ▶ 自車，他車，道路からの画像データをフュージョンし，

周辺監視の精度を上げる ▶  ドライバの特性・状態に合わせた運転支援 ▶  アプリをダウンロード/インストールできるクルマ ▶ クルマの個性化

! ここから先はアイデア勝負

51

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

協調ITSに関する最近の動き米国の動き ▶  2014年2月3日：NHTSA（米国運輸省道路交通安全局）が

車車間通信を推進することを発表 ▶  “U.S. Department of Transportation Announces

Decision to Move Forward with Vehicle-to-Vehicle Communication Technology for Light Vehicles”

欧州の動き ▶  2014年2月12日：欧州委員会が，CENと ETSIが協調ITS

に関する標準（車車間通信，路車間通信のプロトコル）の基本セットを採択したことを発表 ▶  “New connected car standards put Europe into top gear” ▶ これを搭載した自動車が，2015年にも登場の予定

52

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾞車車⾞車車間通信による衝突警報・回避▶  協調ITSの代表的なユースケースの1つ

システムの概要 ▶  各自動車は，周期的（毎秒10回程度）に，自分の位置や

速度等の情報をブロードキャストする ▶  それを受信して，衝突警報（ドライバに知らせる）や回避

（例えば，自動ブレーキ）を行う セキュリティ上の課題 ▶  不正なメッセージより衝突警報や回避機能を誤動作させる ▶ メッセージの改ざん ▶ 偽のメッセージ ▶ DOS攻撃

▶  プライバシーの侵害 ▶ 車の走行経路を追跡する

53

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

欧州のアプローチ ▶  証明書を用いて，メッセージが正当なものであることを検

証する ▶  長期的な同一性を保証するための認証局/証明書と，匿名

性を保つための認証局/証明書を分離する このアプローチの課題 ▶  証明書の検証の性能 … 最大の技術的課題 ▶ 最悪シナリオ：250台の自動車から，毎秒10メッセージ

が送られてくると，毎秒2500メッセージを受け取る ▶ このすべてに対して，証明書の検証が必要 ▶ ソフトウェアでは性能が全く足りない．ハードウェアアク

セラレーションが不可欠

54

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

C2C-‐‑‒CCによる信⽤用保証レベルの定義概要 ▶  Car 2 Car Communication Consortium（C2C-CC）が，車々

間（および路車間）通信におけるセキュリティの扱いについて検討している

▶  その中で，信用保証レベル（Trust Assurance Level; TAL）を定義し，レベル毎のセキュリティ要件を定義しようとしている

▶  この定義のコンセプトが納得できるもので，今後注目すべき技術と考え，紹介する

参考文献 ▶  S. Goetz and H. Seudié: “Operational Security”, Car2Car

Forum 2012, 2012年11月.

55

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

信用保証レベルの必要性 ▶  車車間（路車間）通信で，他の自動車（ロードサイドユニッ

ト）から得られた情報を，どれだけ信じて使ってよいか？ ▶ 例えば，前を走る車からブレーキをかけているという情

報が送られてきた時，それを信じて使ってよいか？ ▶  信じるためには… ▶ 自動車が要求されるセキュリティ基準を満たしているこ

とを，その開発時に認証を得ておく

▶ 前を走る車が，認証を得た自動車であることを確認する セキュリティに関する他のレベル ▶  Common Criteria（CC）のEAL（Evaluation Assurance

Level） ▶  IEC 62443のSAL（Security Assurance Level）

56

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada 57

⾞車車載組込みシステムの現状と今後の展開

Trust Assurance Levels (TAL) and certification

5 C2C-CC Security WG 15/11/2012

Trust Ass. Level (TAL)

Requirements Implications Minimum Target of Evaluation (TOE)

Minimum Evaluation Assurance Level (EAL)

Minimum (Hardware) Security Functionality

Prevented (Internal) Attacker acc. to CC

Potential Security Implications

C2X Use Case Examples

0 None

None None None Not reliable against security attacks in general

Some limited,e.g. using trusted C2I infrastructures

1 + ITS Station software

EAL 3 Only software security mechanisms

Basic Not reliable against simple hardware attacks (e.g., offline flash manipulation)

Non-safety, but most privacy relevant use cases

2 + ITS Station hardware

EAL 4 + dedicated hardware security, i.e., secure memory & processing)

Enhanced Basic

Not reliable against more sophisticated hardware attacks (e.g., side-channel attacks)

C2C-CC day one use cases (e.g., passive warnings and helpers)

3 + private network of ECUs

EAL 4+ (AVA_VAN.4 vulnerability resistance)

+ basic tamper resistance

Moderate C2X box secure as stand alone device, but without trustworthy in-vehicle inputs

Safety relevant relying not only on V2X inputs

4 + relevant in-vehicle sensors and ECUs

EAL 4+ (AVA_VAN.5 vulnerability resistance)

+ moderate – high tamper resistance

Moderate – High

C2X box is trustworthy also regarding all relevant in-vehicle inputs

All

Minimum Level

※ 参考文献より

Hiroaki  Takada 58

⾞車車載組込みシステムの現状と今後の展開

C2C-CC Security WG 4

„ITS Station"

Safety critical sensor

ECU

In-vehicle network

Trust Assurance Levels in the system

Trust level 0 (no trust)

Trust level 2 Trust level 3

Private Network of ECUs

Trust level 4

ECU

SW HW

Trust level 1

…..

15/11/2012

※ 参考文献より

Hiroaki  Takada

補足 ▶  TAL毎にProtection Profile（セキュリティ機能仕様のテンプ

レート）が作成されている模様 注目すべき点 ▶  TAL 4になると，車載ネットワークやその先のECUまで

TOEに含まれる ▶ 車車間通信に限らず，1台の自動車単独に適用しても

有益と思われる（Protection Profileを見ないと判断できないが）

▶  Common Criteriaのフレームワークに基づいており，認証のスキームは明確（ただし，C2C-CCが既存のスキームを使うつもりかは不明）

残念ながら… ▶  Protection Profileは現時点では公開されていない（メンバ

限定配布と思われる）

59

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

ハードウェアプラットフォームに対する要求

60

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

⾼高性能が求められる領領域証明書の検証 ▶  （前述の通り）高速な証明書検証が要求される

画像認識，周辺環境認識 ▶  先端運転支援（ADAS）や自動運転のための画像認識 ▶  色々な画像認識アルゴリズムがあり，どれをハードウェア支

援すべきか？ モータ制御 ▶  電気で動くモータは，（エンジンなどの）従来の機械よりも

応答性が速く，より高速で制御することにより，性能が向上できる余地が大きい

61

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

信頼性が求められる領領域高い安全性が求められるシステム ▶  走行制御系のシステムの多くは，システムの誤動作が車

両の誤動作に直結する ▶  エアバッグ … やや特殊な例 ▶  デュアルコアロックステップのプロセッサが登場

機能安全への対応 ▶  ISO 26262（自動車のための機能安全規格）が2012年末に

発行された より高い安全性が求められる応用へ ▶  真の（メカによるバックアップがない）by-wire システム ▶  フェールセーフ設計が適用しにくものが増加 ▶  2重系から3重系へ？

62

⾞車車載組込みシステムの現状と今後の展開

Hiroaki  Takada

再構成ロジックの必要性これまでの考え方 ▶  自動車のような大量生産品には，FPGAのような再構成ロ

ジックは不向き（少量生産の高級車は例外） トレンドの変化 ▶  FPGAが有利となる生産個数の分界点が，ますます大きい

方へ移動 ▶  汎用の車載マイコンには，各種のアプリケーションに対応

できるように，非常に多くの周辺回路が搭載 ▶  1つのアプリケーションで使う周辺回路は，その一部分

だけ

63

⾞車車載組込みシステムの現状と今後の展開