機能によって安全を確保するという意味だ。例えば、危険を察知したときには、機械などを緊急停止させるような制御が必要となる。これが機能安全の一例だ。機能安全そのものは従来から行われてきたことだが、その品質が問われている。最近のエレベータでの事故などが品質にかかわる問題の例だ。機能安全に対する本格的な取り組みについては、数年前から工場のプラント設備やFA/制御の分野で話題に上っていた。

ソフトウエアを含んだシステムの安全を確保するために、機能安全に対応した自動車制御用プラットフォームの開発プロジェクトを始めた。この開発プロジェクトが目指している機能安全とは、欧州が中心となって策定した機能安全規格「IEC61508」を指している。自動車向け機能安全規格としては「ISO26262」が国際的に検討されているが、まだワーキングドラフトの状況で、規格としては成立していない。

一例を挙げると、自動車業界ではすでにECU（電子制御ユニット）内にあるメモリーをチェックする機能が用いられている。メモリーに記憶されているデータやプログラムが正常か、ハードウエア的に故障していないかどうかを確認する機能だ。これまでは、アプリケーションソフトウエアでこの機能を作り込んでいた。このチェック機能をOSに取り込めばシステムメーカーは別途ソフトウエアを開発する必要がなくなる。ただし、どのような機能をOSに取り込むべきかは、現状ですべて見えているわけではない。

今回の開発プロジェクトでは、自動車向けを主体に開発していくが、自動車以外にもさまざまな用途が考えられる。次のターゲットはFA分野になるだろう。さらに、より厳しい安全性が要求される介護ロボットでも、機能安全は必須となるだろう。

1つは、車内LAN規格であるCANやLIN、FlexRay用の通信ミドルウエアを対象として機能安全に対応していくことだ。ネットワークには、通信回線上でエラーが生じても、ネットワーク全体の機能に支障がないように対策することが必要である。ミドルウエアでどう対処すればよいのかを考えている。もう1つはドキュメントの作成である。テスト仕様書やテスト結果をまとめたものがTOPPERSプロジェクトにはなかった。これを3年間かけてまとめる。この成果をオープンにすることで今後の開発者の役に立ちたい。また、そのことが、新OSのベースとなる「TOPPERS/ASPカーネル」の品質の高さを具体的に証明することにつながる。

自動車の基本コンセプトや新しい規格の提案は欧州勢が得意とするところだ。それに対し、規格に基づいたソフトウエアの開発や、実際のものづくりについては日本企業が強みを持っている。なぜなら、日本企業は、エンジニアのモラルや品質に対する意識の高さで品質を維持してきたからだ。

　その半面、高い品質を目指すことがコスト高につながっていると反省する向きもある。低コスト化が要求される民生機器では品質の高さが見えにくくなるかもしれないが、ppmオーダーの品質が要求される自動車分野では、日本製品の高い品質が明確な強みとなる。

（聞き手＝馬本 隆綱）