次世代の車載E/Eアーキテクチャにおけるセントラルコンピューティング | ソリューション

集約への動き

次世代の車載セントラルコンピューティングユニットは、現在、車両全体に分散している多数のドメイン別の個別ECUが担っている複数のドメインと機能を集約、統合しています。このような高性能な車載セントラルコンピュータは、ゾーンモジュールを介して、残りの組込み制御ユニット、センサー、およびアクチュエータに接続されます。

先進の集中型E/Eアーキテクチャは、品質、コスト、性能、セキュリティの総合的な強化に役立ちます。特に電気自動車（EV）の場合、集約化によって配線の軽量化とシステムの複雑さの軽減、貴重なバッテリー電力の節約など、そのすべてが走行距離の延長につながります。その結果、車種や市場ポジショニングによっても異なりますが、車に搭載されるECUの数が現在の70～100個から20～30個に減り、なおかつより高度な機能を実現できるようになるはずです。

SDV（Software-defined vehicles）

より高度な機能が導入され、車載E/Eインフラに変化が起きています。電動化、パーソナライゼーション、コネクティビティ、自動運転、運転支援といった分野の新たな要求により、ソフトウェアを通じて実行される機能の幅はますます広がっています。次世代の集中型E/Eアーキテクチャにより、ソフト
ウェアデファインドビークルの実現が可能になります。

課題

ヘテロジニアスなマルチ・メニーコアに向けて

今日、自動運転レベル2+の自動車で使用するコード行数は1億行にまで到達しており、陸上、水上、空中の他のすべての乗り物のどれよりも多いコード数となっています。レベル5になると、コード行数は5億行にまで達すると見込まれています。

これほどの量のソフトウェアを効率的に処理し、パフォーマンス要求に応えるため、セントラルコンピューティングECUは、ヘテロジニアスなマルチコア（コア数2～8）、さらにはメニーコア（コア数8以上）に移行しつつあります。シングルコアプロセッサは、将来のE/Eアーキテクチャにおいて、小規模の周辺システム（センサーとアクチュエータ用）でしか使用されなくなる可能性があります。

スケーラビリティ

同時に、安全性とセキュリティに関する新たな重要課題も発生しており、OEMは新しいアプリケーション、機能、車種のために差別化された製品群をコスト効率よく作り上げ、許容される期間内で市場に投入する必要があります。そのため、ハードウェアとソフトウェアのスケーラビリティが不可欠になります。

集約の過程では、できるだけ多くの既存のソフトウェアアプリケーションを再利用し、同一ハード
ウェア上の大規模なミックスド・クリティカルシステムに統合する必要があります。ソフトウェアフレームワークとドライバまでを含む、アプリケーションが丸ごと再利用されることさえあります。安全性とは無関係なLinuxまたはAndroidアプリケーション（ユーザインターフェース、データ処理など）は、認証取得や安全なリアルタイム動作の証明が必要なセーフティクリティカル（安全上重要）な機能（AD/ADASなど）と一緒に使用されることになります。

セキュリティ

最終的に、これらのソフトウェア機能をすべて一つにまとめる場合、セキュリティについて慎重に検討する必要があります。一部のソフトウェアモジュールの中には、攻撃者が重要なデータを盗んだりシステムに影響を及ぼしたりすることを防止するため、セキュリティ保護されたチャネルを介した情報交換しかできないものがあります。重要なのは、アプリケーション自体が改変されずに動作すること、許可された動作のみすること、最初に承認されたアプリケーションのみが起動することを徹底させるために、セキュリティポリシーを適用することです。

システムのパフォーマンス

通信レベルでパフォーマンスの低下があると、システムの反応が非常に遅くなり、より高コストでより高性能なハードウェアで補うしかなくなります。理想的には、すべての機能が高速で動作し、相互に通信することです。

そのようなアプリケーションは並列要素が高くなります。アムダールの法則は、この並列性がシステム全体に強い影響を与えることを示しています。並列性が低下しただけでも、パフォーマンスが大幅に低下します。

マルチカーネルリアルタイムOSソリューション

車載E/Eアーキテクチャ全体が抱える多様な課題を解決する上で、ソフトウェアプラットフォームは、非常に重要な要素です。変化の激しいコンピューティング要素のすべてを集約しているOSのアーキテクチャでは、特に重要です。

サービス指向アーキテクチャ

スケーラビリティは必須であり、サービス指向アーキテクチャ（SOA）に基づくソフトウェアが実績あるアプローチです。分散型マイクロカーネルOS技術は、マルチコアおよびメニーコアから成る新しいハードウェアアーキテクチャの管理に適しており、同時に高速で決定論的なカーネル間メッセージパッシング技術によりSOAをサポートします。

分散型マイクロカーネル

分散型マイクロカーネルは元来、連結された多数のコアやプロセスへのサービスに適しているので、先進の車載E/Eアーキテクチャの新しいニーズを満たしています。イーソルは、eMCOS ®という分散型マイクロカーネルを開発し、車載アーキテクチャが高度化する中で、必要なパフォーマンスとスケーラビリティを提供しています。

この分散型マイクロカーネルOSは、小規模または大規模な関数群に対応するスケーラビリティを提供するだけでなく、パワートレインのような分野のリアルタイム制御アプリケーションに向けた高速かつ決定論的なレスポンスの実現に貢献します。OSはさまざまな形で拡張が可能で、アプリケーションはマイクロカーネル間で接続できます。さらにユーザは目的に合わせてアダプテーションレイヤをカスタマイズできます。

分散型マイクロカーネルOSは、典型的なマイクロカーネルOSとは異なります。分散型の場合、各コアは独立したマイクロカーネルを持つため、通常のシングルマイクロカーネルリアルタイムOSで発生しがちなコアのデッドロックが回避されます。分散型マイクロカーネルのすべてがまとまって、マルチ
カーネル全体を形成します。このアーキテクチャでは、パフォーマンスを低下させる同時アクセスを防ぐためのコア間のカーネルロックが不要であり、並列性が維持されます。

セミプライオリティベーススケジューリング

さらにeMCOSでは、特許取得済みのレイヤードスケジューリングメカニズムにより、ハードリアルタイム機能またはソフトリアルタイム機能にソフトウェアを簡単に割り当てることができます。ソフトリアルタイム機能は、各コアのワークロードに応じて他のコアに移動させ、機能安全性を確保しながら全体のパフォーマンスを最大化できます。このようなスケジューラにより、ハードリアルタイムな決定性を実現し、ロードバランシングとの組み合わせによる高いスループットのコンピューティングを可能にします。

タイプ1.5でリアルタイムなPOSIX準拠ハイパーバイザ

eMCOS Hypervisor®は、eMCOS POSIXの拡張機能として次のレベルへと進化し、Linuxや他のOSをまるごとゲスト環境として実行することが可能になりました。この「タイプ1.5」のリアルタイム
ハイパーバイザは、基盤となるeMCOS POSIXリアルタイムOSに直接接続されます。これにより開発者は、オープンソースソフトウェアの再利用や拡張を、権限の低いゲスト環境で行うのか、直接リアルタイムPOSIX環境で行うのか、あるいはその両方なのか、きめ細かく制御できます。
eMCOS Hypervisorは、ミックスド・クリティカルシステム内で空間/時間的な完全分離を提供しつつ、リアルタイムOSと汎用OSの両方を同一のハードウェアプラットフォーム上で同時に動作するよう統合できます。また、物理リソースと仮想リソースの共有のためのオープンスタンダードなvirtioインターフェースの実装に対応しているので、Linuxアプリケーションコードの再利用が可能になるなどの便利な機能があります。

セキュリティ

組込みシステムのサイバーセキュリティで重要なのは、常に攻撃対象領域を分析し、最も脆弱な箇所を分離することです。この最も脆弱な箇所というのは多くの場合オープンソースソフトウェアですが、最大のセキュリティ問題は一般的にデバイスドライバの周りにあります。デバイスドライバ自体が攻撃対象であるか、ハッカーが悪用しようと狙う部分のどちらかです。よってeMCOS POSIXにおいては、
ユーザーアプリケーション自体を十分に分離できる状況でドライバを実行することが推奨されます。これにより、マイクロカーネルモデルに従い、一般的な分離機能がプラットフォーム全体にもたらされます。このような対応によって、オープンソース、商用、プロジェクト固有のソフトウェアやドライバが、許容できるレベルのセキュリティを維持しながら、整然と効率的に連携できるようになります。また、eMCOSは理想的な並列性とFFI(Freedom From Interference) を実現するマルチカーネルアプローチを採用しているため、パフォーマンスも大きく向上します。

さらに、eMCOS POSIXとeMCOS Hypervisorは、暗号化や認証の分野において必要なフレームワークを備え、実績ある手法を採用しているため、アプリケーションレベルでの検証が可能となっているほか、初期認証と破損検出を実行できます。

一方、許容できるレベルのセキュリティと機能安全性（FuSa）、許容できるパフォーマンスや開発期間を実現するためには、常にこれらのバランスを取ることが求められます。イーソルのエキスパートは、お客様がこれらすべての側面を考慮に入れながら、製品の差別化要素に集中できるようお手伝いします。

先進の車載E/Eユースケースの例

eMCOSのソフトウェアプラットフォームは、先進の車載E/Eアーキテクチャに向け、2つのプロファイルを提供しています。eMCOSのプロファイル「POSIX」「POSIX-Hypervisor」からいずれかを選択することで、Linux/AndroidソフトウェアまたはROS 2ミドルウェア資産を再利用し、同じヘテロジニアスなマルチコアハードウェアプラットフォーム上で並列して動作させることができます。