発表資料 （PDF）

2015 TRON Symposium セッション
「組込み機器のための機能安全対応 TRON Safe Kernel」
TRON Safe Kernel の紹介
2015/12/10
株式会社 日立超LSIシステムズ
製品ソリューション設計部
トロンフォーラム TRON Safe Kernel WG 幹事
豊山 祐一
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
自己紹介
豊山 祐一 （とよやま ゆういち）
株式会社 日立超LSIシステムズ
システム製品事業部 製品ソリューション設計部
主管技師
1986年入社 以来、組込みシステムのソフト開発に従事
2002~2008年 YRPユビキタス・ネットワーク研究所に出向
坂村教授のもとT-Kernelの開発などに取り組む
2009年~ 日立超LSIにて、T-Kernelを中心とした組込みソフトの開発に
2015年 トロンフォーラム TRON Safe Kernel WG 幹事を務め、
機能安全OSの開発に取り組む。
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
1
TRON Safe Kernel WG
 組込システムの様々な分野で機能安全認証の必要性が増大
 組込システム向けRTOSの機能安全対応が必要
 トロン仕様RTOSが機能安全規格に対応することが強く求められる
 2015年 トロンフォーラム内に
TRON Safe Kernel WGを設立
 座長 坂村健 東京大学教授・トロンフォーラム会長
 目的
機能安全規格に対応したRTOSであるTRON Safe Kernelの仕様策
定および開発、仕様とソースコードの一般公開をめざす
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
2
TRON Safe Kernel の目標
 組込システム向け機能安全RTOS
 IEC61508 SIL３の第三者認証可能なRTOSを目標とする
 機能安全RTOSには何が必要か？
規格面、ニーズ面から分析
 組込システム向けとしてリアルタイム性能は重要
 IEC61508 SIL3がOSに要求する機能を満たすこと
•
•
規格が要求する開発プロセスによる開発
異常を検出し安全状態へ移行する機能
•
•
既存ソフト、機能安全に関わらないソフトも実行
すべてのソフトをSIL3で開発するのは困難
 安全水準の異なるソフトを実行
以上を踏まえて仕様を検討
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
3
TRON Safe Kernel の要求レベル
 規格面、ニーズ面の分析から機能安全RTOSへの要求を
4つのレベルに分類
要求レベル ０ リアルタイム性能
組込システム向けのRTOSとして充分なリアルタイム性能
(応答性、時間予測性）を持つこと
要求レベル 1 SIL3認証レベルの開発
OS自体が、IEC61508 SIL3の認証レベルで開発
・ V字モデルの開発プロセス
・ ソースコードの静的解析、動的オブジェクトの排除など
要求レベル 2 基本的な安全機能
システムの異常動作を検出し、安全状態に移行
・ ハードウェア・ソフトウェアの故障検出
要求レベル 3 より高度な安全機能
安全水準の異なるアプリケーションを実行
・ 非安全アプリの安全な実行
・ ソフトウェアの空間的、時間的分離
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
4
TRON Safe Kernel の要求レベル０
 充分なリアルタイム性能(応答性、時間予測性)を持つこと
 T-Kernel/μITRONと同様のスケジューリング方式
 単一スケジューラによる絶対優先度に基づくスケジューリングを
採用
 タイムパーティションは応答性に影響が大きいため、標準のスケ
ジューラとしては採用しない
 ただし、機能安全の観点から時間監視、非安全ソフトの優先度制
約などを追加する
■
安全ソフト・非安全ソフトのタスク・スケジューリングの例
高
安全ソフトのタスク優先度
タスクA
優
先
度
非安全ソフトのタスク優先度
タスクB
タスクC
タスクD
低
時間
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
5
TRON Safe Kernel の要求レベル1
 OS自体が、IEC61508 SIL3の認証レベルで開発
 SIL３開発に必要されるもの（例として）
 厳密なV字開発プロセス
 静的解析によるソースコード検証（MISRA-Cなど）
 安全な設計手法の適用
 動的な資源管理の排除
 信頼できるアルゴリズムの適用
■ V字開発プロセスの例
機能設計
総合テスト
結合テスト
方式設計
詳細設計
単体テスト
コーディング
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
6
TRON Safe Kernel の要求レベル2
 システムの異常動作を検出し、安全状態に移行
 ハードウェア・ソフトウェアの故障診断・異常処理
 ハードウェアやアプリケーションの故障(異常)は、製品に固有である。
ただし、OSとして故障診断を実行し、検出した異常に対する仕組みを
提供する。
■
異常例外処理
プロセッサによる異常検出
(メモリ違反・未定義命令など)
OSによる異常検出
(スタックオーバーフローなど)
異常例外処理
該当する
ハンドラを実行
異常例外
異常例外
ハンドラ
異常例外
ハンドラ
ハンドラ
故障診断による異常検出
(製品毎に定義)
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
7
TRON Safe Kernel の要求レベル3
 安全水準の異なるアプリケーションを実行
 全てのソフトウェアを機能安全に開発することは大変
 既存のソフト資産を活用したい
 非安全ソフトを安全に実行する機能を提供
 ソフトウェアの空間的、時間的分離し、非安全ソフトが安全ソフトの
実行を阻害しないようにすることにより実現
■ ドメインによる安全ソフトと非安全ソフトの分離
安全ドメイン
通常ドメイン
安全アプリ
（SIL3)
通常アプリ
（非安全)
空間的分離
ドメインは独立したメモリ空間
ドメイン間のメモリアクセスは
不可
時間的分離
ドメイン毎にプロセッサ使用時
間を管理、制約が可能
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
8
TRON Safe Kernel の機能
 これまでの検討をふまえて、T-Kernel2.0をベース
に安全機能を拡張
 故障診断機能： システムの故障診断
 異常例外機能： 異常検出時の安全動作
 ドメイン機能： ソフトを空間的・時間的に分離
 TRON Safe Kernel機能仕様書
 トロンフォーラムより2016年前半に一般公開予定
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
9
日立超LSIシステムズの取組み
 トロンフォーラム WG 幹事として、TRON Safe Kernel
の仕様策定・開発に取り組んでいます。
 ここで得られた知識、ノウハウ、技術をもとに、
機能安全ソリューションのサービスを開始します。
 TRON Safe Kernelを活用した機能安全ソフトウェア開発の
コンサルティング
 組込機器へのTRON Safe Kernelの実装と適応化
★ 詳細はホームページをご覧ください
http://www.hitachi-ul.co.jp/public/jp/news/2015/nr151210.html
© Hitachi ULSI Systems Co., Ltd. 2015. All rights reserved.
10