QNX、機能安全性規格「ISO 26262 ASIL レベルD」認証を取得した「QNX OS for Automotive Safety 1.0」を販売開始

　ソフトウェアベンダのQNXソフトウェアシステムズ（以下QNX）は11月7日、東京都内で記者会見を開催し、国際標準化団体ISOが定める自動車の機能安全性規格「ISO 26262」の最大レベルとなる「ASIL レベルD」の認証を取得した新しいOS「QNX OS for Automotive Safety 1.0」の販売を開始したことを明らかにした。

　QNXは自動車に組み込む車載情報システム（IVI、In-Vehicle Infotainment）向けのリアルタイムOS「QNX Car」を自動車メーカーなどに提供しているが、このQNX OS for Automotive Safety 1.0は、ADAS（先進安全運転支援システム）や自動運転システムなどの構築時に、ソフトウェアのバグなどから起こる問題のリスクを最小限に止める取り組み（機能安全性）が必要になってきたことを受けて開発された新しいOS。

　QNXソフトウェアシステムズ 製品マネージャ イー・ザン氏は「ISO 26262の認証を取得することは自動車メーカーにとって必要になってきているが、その取得には大きな手間がかかる。しかし、通常は2年程度かかる認証取得にかかる期間を、QNX OS for Automotive Safety 1.0を採用することで大幅に短縮し、かつコストの削減も可能になる」と述べ、すでにISO 26262 ASIL レベルDの認証を取得しているQNX OS for Automotive Safety 1.0が持つメリットをアピールした。

安全系と情報系が共存することになる“未来のクルマ”では、それに対する備えが必要

　QNXソフトウェアシステムズ 自動車部門事業開発マネージャ 中鉢善樹氏は「これまで自動車向けの情報システムでは、ナビゲーションはナビゲーション、オーディオはオーディオ、メーターはメーターなどそれぞれ別に扱われてきた。しかし、ナビにリアカメラの機能が追加されて白線検知機能が実装されるなどだんだんと統合が進んでおり、将来的にはもっと統合が進んでいくと思う」と述べ、自動車のIT化の進展に伴って1つのシステムで複数の機能を実現することがあたり前になりつつあり、特に普及価格帯の自動車ではそれがIT化を進める鍵になると指摘した。

　その上で、中鉢氏は「将来的には1つのSoCで、安全系と情報系の2つの機能を共存させるシステムなどが登場すると考えている。しかし、その場合でも安全は確保しなければならず、自動車メーカーはそうしたソリューションを求めている」と述べ、情報系と安全系が同じハードウェアプラットフォーム上で動くようなシステムを実現するには、安全を担保した上で開発を行っていく必要があるとした。

　これに加え、「そうした環境でQNXの持っているマイクロカーネルの特徴が生きてくるし、日本の自動車メーカーなどをサポートする体制を強化して臨んでいきたい」と述べ、自動車メーカーなどにQNXのソフトウェアソリューションの採用を訴えた。

自動車業界のトレンド。情報系と安全系でまったく異なるニーズの共存が課題になっている

機能安全性と認証取得が重要になりつつある

“統合コックピット”と呼ばれる情報系と安全系が共存するクルマが実現されつつある

国内での自動車のトレンド。カーナビ市場は飽和しつつあり、自動運転やADASなどが次の課題

自動車メーカーがISO 26262認証を取得する期間やコストなどを削減

QNXソフトウェアシステムズ 製品マネージャ イー・ザン氏

　引き続き、QNXソフトウェアシステムズ 製品マネージャ イー・ザン氏が登壇し、同社が同日リリースしたQNX OS for Automotive Safety 1.0についての説明を行った。ザン氏は「すでに米国では法律が改正されてGoogleの自動運転車が走り始めており、注目を浴びだしている。しかし、実際に実現するには、安全性やセキュリティに対する懸念、法的な問題などの課題があると考えられており、自動車メーカーやティア1の部品メーカーはそれを改善しようと検討を重ねている」と述べ、IT技術を利用した自動運転車やADASを実装した車両の実現などには、いくつかの乗り越えるべき壁があるとした。

　例えば安全性に関する懸念では、こうした機能はハードウェア＋ソフトウェアの組み合わせで実現されるため、ソフトウェアのバグにどうやって対処していくかなどが課題になる。また、通信機能を持つことから、例えばリモートで制御系が乗っ取られたりしないようにするセキュリティ面の課題もある。特に自動運転車では、事故の発生時にドライバーの責任ではなくなる可能性もあるので、自動車メーカーはそのあたりの責任をどうするのか、法律の枠組みまで含めて検討する必要がある。

　そうした変化する状況下で、QNXでは機能安全性をどのように実現していくのかをこれまで検討してきたという。機能安全性というのは、リスクを0にできないソフトウェアのバグといったエラーを最小限にする取り組みのことで、今後は自動車でもその機能安全性に対する注目が高まっていくだろうとザン氏は説明した。「かつて自動車のBOM（Bill of materials）コストではハードウェアが90％、ソフトウェアが10％だった。しかし、市場調査会社によれば、今後は40％がハードウェア、40％がソフトウェア、残り20％がコンテンツになると予想されている」と述べ、BOMコストと呼ばれる部材のコストに占めるソフトウェアの割合が今後はどんどん増え、自動車メーカーはそれに対処していく必要があるとした。

　そうした自動車メーカーが直面する問題に対処するために、QNXがリリースしたのが今回のQNX OS for Automotive Safety 1.0だ。ザン氏は「リアルタイムOSとしては初めてISO 26262 ASIL レベルDの認証を取得した。ISO 26262は自動車メーカーによる認知が進んでいる国際規格で、今後は多くの自動車メーカーが取り入れていくことになるだろう。通常、ISO 26262の認証取得には2年ぐらいの時間が必要だが、OSが認証を取得していることでその部分の開発コストを削減できる」と述べ、同社の製品がISO 26262を取得したことで、自動車メーカーのISO 26262の認証取得をより容易にするとアピールした。ザン氏によれば、認証には同社が提供するツールなどに関しても含まれており、自動車メーカーのISO 26262取得に大いに役立てられるとした。

　ISO（International Organization for Standardization）は工業分野の国際標準を決めている非政府組織で、ISO26262は障害の可能性に関する安全度のレベルを定めており、重大な事故につながらないようなコンポーネントにはASIL Aというレベルが、逆に重大な事故を招きそうなコンポーネントにはASIL Dというレベルが定められており、その中間に、BとCというレベルがある。今回、QNXがQNX OS for Automotive Safety 1.0で実現したのはASIL Dという一番難しいレベルになっている。

　ザン氏によれば、QNXのこうした機能安全性は自動車だけでなく、原子力発電所や航空機、医療といった多くの分野ですでに経験が積まれており、その延長線上に自動車向けの製品があるとして、これまでの経験を自動車にも生かしてくことで、自動車メーカーがより安全なクルマを設計する助けにしたいと述べた。

米国ではGoogleの取り組みなどを中心に自動運転への興味が高まっている

自動車メーカーの3つの懸念。「機能安全性」「セキュリティ」「法的責任」などについて課題がある

「機能安全性」とは継続的に機能し続け、かつセキュリティ上の懸念も小さいことを意味する

QNX OS for Automotive Safety 1.0はISO 26262 ASIL レベルDの認証を取得

すでに2012年だけで1100万台の搭載車両が全世界で出荷された

原発や医療などミッションクリティカルなほかの分野での機能安全性への取り組みが自動車にも生かされる