2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事

株式会社 日立超LSIシステムズ 製品ソリューション設計部

2015/12/10

豊山 祐一

TRON Safe Kernel の紹介

トロンフォーラム TRON Safe Kernel WG 幹事

2015 TRON Symposium セッション

自己紹介

豊山 祐一 （とよやま ゆういち）

株式会社 日立超LSIシステムズ

システム製品事業部 製品ソリューション設計部

主管技師

1986年入社 以来、組込みシステムのソフト開発に従事

2002~2008年 YRPユビキタス・ネットワーク研究所に出向

坂村教授のもとT-Kernelの開発などに取り組む

2009年~ 日立超LSIにて、T-Kernelを中心とした組込みソフトの開発に

2015年 トロンフォーラム TRON Safe Kernel WG 幹事を務め、

機能安全OSの開発に取り組む。

TRON Safe Kernel WG

 組込システムの様々な分野で機能安全認証の必要性が増大

 組込システム向けRTOSの機能安全対応が必要

 トロン仕様RTOSが機能安全規格に対応すること

が強く求められる

 2015年 トロンフォーラム内に

TRON Safe Kernel WG

を設立

 座長 坂村健 東京大学教授・トロンフォーラム会長

 目的

機能安全規格に対応したRTOSであるTRON Safe Kernelの仕様策

定および開発、仕様とソースコードの一般公開をめざす

TRON Safe Kernel の目標

 組込システム向け機能安全RTOS

 IEC61508 SIL３

の第三者認証可能なRTOSを目標とする

 機能安全RTOSには何が必要か？

規格面、ニーズ面から分析

 組込システム向けとしてリアルタイム性能は重要

 IEC61508 SIL3がOSに要求する機能を満たすこと

•

規格が要求する開発プロセスによる開発

•

異常を検出し安全状態へ移行する機能

 安全水準の異なるソフトを実行

•

既存ソフト、機能安全に関わらないソフトも実行

•

すべてのソフトをSIL3で開発するのは困難

以上を踏まえて仕様を検討

 規格面、ニーズ面の分析から機能安全RTOSへの要求を

4つのレベルに分類

TRON Safe Kernel の要求レベル

要求レベル ０ リアルタイム性能

組込システム向けのRTOSとして充分なリアルタイム性能

(応答性、時間予測性）を持つこと

要求レベル 1 SIL3認証レベルの開発

OS自体が、IEC61508 SIL3の認証レベルで開発

・ V字モデルの開発プロセス

・ ソースコードの静的解析、動的オブジェクトの排除など

要求レベル 2 基本的な安全機能

システムの異常動作を検出し、安全状態に移行

・ ハードウェア・ソフトウェアの故障検出

要求レベル 3 より高度な安全機能

安全水準の異なるアプリケーションを実行

・ 非安全アプリの安全な実行

・ ソフトウェアの空間的、時間的分離

TRON Safe Kernel の要求レベル０

 充分なリアルタイム性能(応答性、時間予測性)を持つこと

 T-Kernel/μITRONと同様のスケジューリング方式

 単一スケジューラによる絶対優先度に基づくスケジューリングを

採用

 タイムパーティションは応答性に影響が大きいため、標準のスケ

ジューラとしては採用しない

 ただし、機能安全の観点から時間監視、非安全ソフトの優先度制

約などを追加する

高

優

安全ソフトのタスク優先度

■ 安全ソフト・非安全ソフトのタスク・スケジューリングの例

TRON Safe Kernel の要求レベル1

 OS自体が、IEC61508 SIL3の認証レベルで開発

 SIL３開発に必要されるもの（例として）

 厳密なV字開発プロセス

 静的解析によるソースコード検証（MISRA-Cなど）

 安全な設計手法の適用

 動的な資源管理の排除

 信頼できるアルゴリズムの適用

機能設計

方式設計

詳細設計

コーディング

単体テスト

結合テスト

総合テスト

■ V字開発プロセスの例

TRON Safe Kernel の要求レベル2

 システムの異常動作を検出し、安全状態に移行

 ハードウェア・ソフトウェアの故障診断・異常処理

 ハードウェアやアプリケーションの故障(異常)は、製品に固有である。

ただし、OSとして故障診断を実行し、検出した異常に対する仕組みを

提供する。

プロセッサによる異常検出

(メモリ違反・未定義命令など)

OSによる異常検出

(スタックオーバーフローなど)

異常例外処理

該当する

ハンドラを実行

異常例外

ハンドラ

異常例外

ハンドラ

異常例外

ハンドラ

■ 異常例外処理

TRON Safe Kernel の要求レベル3

 安全水準の異なるアプリケーションを実行

 全てのソフトウェアを機能安全に開発することは大変

 既存のソフト資産を活用したい

 非安全ソフトを安全に実行する機能を提供

 ソフトウェアの空間的、時間的分離し、非安全ソフトが安全ソフトの

実行を阻害しないようにすることにより実現

安全ドメイン

安全アプリ

（SIL3)

通常ドメイン

通常アプリ

（非安全)

■ ドメインによる安全ソフトと非安全ソフトの分離

空間的分離

ドメインは独立したメモリ空間

ドメイン間のメモリアクセスは

不可

時間的分離

ドメイン毎にプロセッサ使用時

間を管理、制約が可能

 これまでの検討をふまえて、T-Kernel2.0をベース

に安全機能を拡張

 故障診断機能： システムの故障診断

 異常例外機能： 異常検出時の安全動作

 ドメイン機能： ソフトを空間的・時間的に分離

 TRON Safe Kernel機能仕様書

 トロンフォーラムより2016年前半に一般公開予定

 トロンフォーラム WG 幹事として、TRON Safe Kernel

の仕様策定・開発に取り組んでいます。

 ここで得られた知識、ノウハウ、技術をもとに、

機能安全ソリューションのサービスを開始します。

 TRON Safe Kernelを活用した機能安全ソフトウェア開発の

コンサルティング

 組込機器へのTRON Safe Kernelの実装と適応化

★ 詳細はホームページをご覧ください

http://www.hitachi-ul.co.jp/public/jp/news/2015/nr151210.html