Owls -Automotive Protection Package-

自動車制御システムの現状と課題

近年自動車制御システムの高機能/高性能化（省エネルギー、低排気ガス、安全性・利便性の向上）により、自動車一台あたりで使用するECU数の増加、それに伴うワイヤーハーネスの配線数の増加、ソフトウェアの大規模化が進んでいる。それにより次のような課題が挙げられる。

課題：
・ソフトウェア、ハードウェアの規模拡大・複雑化
・ソフトウェア開発・管理コストの増加
・車体重量の増加、コスト上昇、設置スペース不足

解決策の一つとして、複数ECUの統合化が試されているが、部品メーカ間の設計思想･仕様の不整合により統合制御が困難となっている。そこで開発プラットフォーム（ハード、ソフト）を整備し、その上でアプリケーションを動作させる。このソフトウェアプラットフォームである"Owls -Automotive Protection Package-"を用いることで、OS上で動作するアプリケーションソフトウェアにバグがあった場合に、そのバグに起因する障害がOS自身や他のアプリケーションに波及するのを防ぐ事が可能となる。

Owls -Automotive Protection Package-を利用することで

1. 既存の専用ECUソフトウェアを、共通ECU上に統合し一つのアプリケーションとして稼動させるため、搭載ECUの削減に繋がる。⇒　ワイヤーハーネス重量も削減＝車両重量が軽減され、燃費向上に繋がる。
2. 潜在しているバグが早期に発見できる。また、アプリケーション毎に必要な信頼性レベルまで検証すればよい。⇒　ソフトウェアのテスト期間の短縮・テストコストの削減に繋がる。
3. システム内の致命的な障害を防ぐ。⇒　例：アプリケーション誤動作からシステムにおける重要な機能・　データを守ることが可能。

TOPPERS Automotive Kernel Release 1.0 を基本OSとして開発
　・OSEK/VDX Operating System Specification 2.2.1 準拠
　・OSEK/VDX OSEK Implementation Language(OIL) Version 2.5準拠
HIS拡張仕様を採用
　・HIS Requirements for Protected Applications under OSEK Version 1.0 準拠
　・HIS OSEK OS Extensions for Protected Applications Version 1.0 準拠
Owls -Automotive Protection Package-用MODISTARC検証
MISRA-C:2004対応
保護機能
　・メモリ保護、時間保護という２種類のアプローチ

メモリ保護

アプリケーション単位で、他のアプリケーションからのメモリアクセスを制限もしくは排除する。アプリケーションは設定された領域以外の領域にアクセスすることは出来ず、領域外に対してアクセスを行った場合、メモリアクセス違反を検知し、アプリケーションへ通知する。

※メモリ保護を実現するためにMPU(MemoryProtectionUnit)を実装したマイクロコンピュータへの実装を前提として設計されている。車載ソフトウェアの特徴である静的マッピングを利用し、アドレス変換を用いない。

オブジェクト保護

タスク、ISR、アラーム、リソース等のオブジェクトは所属アプリケーション情報とアクセス許可アプリケーション情報により保護機能管理する。許可されていないオブジェクトへアクセスした場合は、各APIの戻り値によりアプリケーションへ通知する。

特徴

1. アクセス属性を持つことにより、R/W/Xによる保護が可能
2. タスク毎に切り替えたいのはスタック程度と考えているが、所有領域をタスク毎に管理すれば、タスク単位での保護が可能
3. 領域データは静的に決まるため、タスク切替時に書込みのみで良い(アドレス変換は不要)