機能安全とは？

システムまたは機器の全体的な安全性において、機能安全とは、入力または故障に反応して正しく予測可能に動作する自動保護に依存する要素です。作業者のミス、ハードウェアの故障、変動する動作環境にも対応できなければなりません。機能安全とは、あらゆる分野（航空、自動車、産業、医療、輸送など）に適用されるものです。その目的は、人間を傷害や死亡事故から守り、機器や設備が生命を脅かすような損害を受けないようにすることです。

ミッションクリティカルなシステムでは、失敗が許されません。例えば、衝突センサーを搭載した自律走行車は、人命を失わせてはなりません。人命の安全は、すべての機能安全認証の基本です。

コネクテッド化が進む世界では、データの共有とテレマティクスの可用性が、ミッションクリティカルなシステムや機器の接続とアップデートに不可欠です。

自律的に移動する機器は、人や他の機械の周りで安全に機能するために、環境の状況に反応する必要があります。

接続された自律システム、あるいは接続されたあらゆるシステムを持つ場合、そのセーフティクリティカルな要素が安全であることを証明しなければならず、さもなければ悪意のある攻撃者がシステムの安全性とデータの完全性を妨害する危険性があります。

このような課題に対処し、システムを成功させるためには、ユーザは異なるタイプのオペレーティングシステムを持つプラットフォームを組み合わせる必要があります。オープンソースのLinuxベースのソリューションにリアルタイムOSのセーフティクリティカルな機能を追加することで、自動化、自律化、統合化が進む将来のソフトウェア中心な機能に対応することができます。

安全とは、故意であるかどうかにかかわらず、人命の損失が生じないことを意味します。セキュリティとは、人、施設、業務、データなどを損失、妨害、盗難、またはネガティブな変更から保護し、故意に害を与えないことを意味します。別の言い方をすれば、安全とはシステムから世界を守ることであり、セキュリティとはシステムを世界から守ることです。どちらも重要ですが、システムがセキュアでなければ機能的に安全とは言えません。

システム、機器、装置における機能安全は、人命の保護、人身事故や環境破壊の防止に不可欠です。その目的は、人命にかかわるような危険な故障を自動的に防止する、あるいは故障が発生してもそれを制御・停止し、さらなる危険や脅威を防止するように動作する、特別に設計されたハードウェア機器やソフトウェアシステムを使用することです。

人間と自律的または半自律的なシステムの交流が多くなると、自動安全機能はエンドツーエンドシステムにおいて不可欠な要素になります。

機能安全の包括的な目的は、ハードウェアまたはソフトウェアシステムの動作から直接的または間接的に生じる人命へのリスクを防止することです。これには、機器、財産、環境などに対する損害の防止も含まれます。そのために重要なことは、安全システムあるいは安全関連システムを構成する、安全機能と呼ばれる1つ以上の組込みの自動保護機能を適切かつ正しく実行することです。

機能安全はあらゆる部分に範囲が及ぶので、コンポーネントやサブシステムのいかなる機能も、システム全体の自動保護機能の一部として扱う必要があります。したがって、機能安全の規格は電気、電子、プログラマブルなシステムに焦点を当てていますが、実際にはその手法は非電気、非電子、非プログラマブルなコンポーネントにも及ばなければなりません。

機能安全の実現とは、ハードウェアまたはソフトウェアシステムが指定された厳格な機能安全要件を満たしているという保証と証拠を、適切な試験機関や認定機関を通じた認証によって提供することです。

コンポーネント、サブシステム、システムの機能安全性を主張する場合、それぞれが独立した機能安全規の認証を受けている必要があります。認証済み製品は、限定されたアプリケーションの範囲内で、特定の安全度水準（SIL）または性能水準（PL）に対して機能的に安全であると主張することができます。認証書と、性能の範囲と限界を記述した評価報告書が、お客様に提供されます。

安全認証は、経験と堅固な技術力を持った（エレクトロニクス、プログラマブルエレクトロニクス、メカニクス、確率論的解析）独立した組織によって行われる必要があり、機能安全認証を実施するのは、公認の認証機関です。その認証機関には、公認を行う組織によって証明書が与えられます。ほとんどの国では機能安全認定機関は1つで、米国では米国規格協会（ANSI）、英国では英国認証機関認定審議会（UKAS）です。

機能安全規格は、航空、自動車、産業、医療、運輸など、さまざまな業界向けのものがあります。産業分野では、IEC 61508が機能安全規格で、IEC 61508規格の機能安全認証プログラムは、Intertek、SGS、TÜV Rheinland、TÜV SÜD、ULなどの公認認証機関によってグローバルに提供されています。

IEC 61508から派生した機能安全規格には、医療機器ソフトウェア向けの国際規格IEC 62304や、自動車の電子・電気安全関連システム全般を対象とした自動車機器向け機能安全規格ISO 26262、鉄道輸送向けのEN 50126/8/9などがあります。

航空市場向けには、米国連邦航空局が機能安全認証のための同様のプロセスを制定しています。ソフトウェアについてはRTCA DO-178C、複雑な電子ハードウェアについてはDO-254として知られており、航空宇宙産業全体に適用されている。ヨーロッパではEURICAE ED-12Cがこれに相当します。

DO-178C（Software Considerations in Airborne Systems and Equipment Certification）は、FAA、EASA、Transport Canadaの認証機関が、すべての商用ソフトウェアベースの航空宇宙用システムの審査・承認に使用する主要文書です。

ARINC 653 (Avionics Application Standard Software Interface) は、セーフティクリティカルなアビオニクスリアルタイムOSにおける空間と時間のパーティショニングのためのソフトウェア仕様です。統合モジュラーアビオニクス（IMA）アーキテクチャの中で、同一のハードウェア上で、異なるレベルの複数のソフトウェアアプリケーションをホストすることができます。

IEC 61508 は、産業用機能安全規格です。

ISO 26262 は、自動車産業における機能安全規格です。

EN 50128 は、鉄道制御・保護用ソフトウェアの機能安全規格です。

EN 50129 は、鉄道の安全性に関連する信号用電子システムに関する機能安全規格です。

国際規格IEC 62304は、医療用ソフトウェア開発および医療機器内のソフトウェアのライフサイクル要件を規定しています。米国と欧州連合の両方で採用されているため、両市場の規制要件に準拠するためのベンチマークとして使用できます。

未来は自律的な世界になるでしょう。機械学習やコンピュータビジョンなどのソフトウェア中心の機能を取り入れながら、接続された世界での安全性を維持しつつ、プラットフォームを進化させ、お客様の課題を解決し続けるにはどうすればよいでしょうか。

ミッションクリティカルなデバイスやシステムも、安全性の認証が不可欠です。ブレーキや補助翼が機能することを保証する必要がある場合、航空宇宙、防衛、自動車、産業、医療、鉄道など、その市場内の特定の規格に対して認定されたリアルタイムOSが必要になります。

また、レガシーの段階になったデバイスを含め、製品のライフサイクル全体を通して機能安全への配慮とサポートが必要です。

最後に、半導体メーカーがマルチコア環境へ移行するのに伴い、これらのデバイスやシステムに対するOSのサポートが必要になります。

今後、自律型ミドルウェアやAIの課題に対応するためには、ほとんどの開発がLinuxで行われることになるでしょう。Linuxは、AI、機械学習、DL向けの最も一般的な開発用OSとして、フィールドに出るデバイスのディストリビューションサイズを最小化するために重要な役割を果たすでしょう。

しかしこのことは、セーフティクリティカルなユースケースにおいては、通常はRTOSを必要とするシステムにLinuxを導入することを意味します。例えば、デバイスは性能保証のために RTOSを必要とするかもしれませんが、AI/MLアルゴリズムとの組み合わせでは主にLinuxと関連付けられます。開発者と顧客は、両方のタイプのオペレーティングシステムにまたがるアプリケーションとシステムを必要としており、システムインテグレータはこの方程式の両側で作業する必要があるのです。

最近の半導体は、1つのオンチップシステムに2～8個のコアを搭載しており、今日の複雑なシステムでは、安全認証されたRTOSと組込みLinux OSは、もはやネットワーク上の異なる2つの制御ユニットではありません。その代わりに、この2つの全く異なるオペレーティングシステムが1つのオンチップシステム上で並んで動作しています。このシナリオでは、高速通信で両者を監視する手段が重要です。そのため、認定を受け、高速で、ホストオペレーティングシステムを管理できるハイパーバイザが不可欠になります。

ハイパーバイザは、特性の異なる複数のオペレーティングシステムを、1つのオンチップシステム上で実行することを可能にします。

自律性と接続性の新時代において、安全関連システムを特定し実装することがますます重要になる中、ウインドリバー®は常に業界をリードしています。ウインドリバーのソフトウェアは、航空宇宙・防衛、鉄道、自動車、医療機器、ロボット、産業制御システム、スマート工場など、現代の最もクリティカルなインフラの「失敗できない」コンピューティングシステムを稼働させています。

他社の追随を許さない完全なコンポーネント群を提供できるのは、ウインドリバーだけです。ウインドリバーは、クラスをリードする安全認証済みリアルタイムOS、Yocto Projectをベースとした最も一般的な商用組込みLinuxソリューション、安全認証済みハイパーバイザを提供しています。

また、飛行安全（DO-178C DAL A）、産業（IEC 61508）、鉄道（EN 50126/8/9）、自動車（ISO 26262）など、重要な分野のセーフティークリティカル規格に対応してきた豊富な経験を有しています。

VxWorks^®は、ソフトウェア製品の安全認証において幅広いポートフォリオを有しており、360社を超える顧客の民間航空機、軍用機100機種以上で、600件以上のプロジェクトにおいて使用実績があります。その堅牢な安全機能は、高度な時間と空間のパーティショニング機能を提供し、シングルコアまたはマルチコアプラットフォーム上で重要度の異なる複数のアプリケーションを確実に統合することができます。POSIX^®やFACE^™規格への準拠は、VxWorksのDO-178C、IEC 61508、IEC 62304、ISO 26262安全規格に対する認証に活かされています。

VxWorks 653

VxWorks 653 Multi-core Editionは、安全、セキュア、かつ信頼性の高いリアルタイムOSです。最新のハードウェアプラットフォーム上で堅牢な時間と空間のパーティショニングを提供することにより、ARINC 653準拠のシステムを実現し、障害の抑制と最小限のテストおよび統合要求でアプリケーションをアップグレードする能力があります。

Wind River Helix Virtualization Platform

Wind River Helix Virtualization Platformは、DO-178C（Software Considerations in Airborne Systems）、IEC 61508（Industrial functional safety）、ISO 26262（Automotive safety）の各規格の厳格な要件に準拠し、セーフティークリティカルアプリケーションの認証を受けることができるよう設計されています。また、安全認証を簡素化することも可能です。リアルタイムかつ組込みのタイプ1ハイパーバイザを備えた、OSに依存しないエッジコンピューティングプラットフォームであり、VMを実行するゲストOSを変更せずに管理し、デバイスのワークロードを統合することができます。