Freedom from Interference
安全アーキテクチャは、異なるASIL分類の機能を共存させるための基礎となるものです。これは、独立したソフトウェア要素とそのインタフェースを示しています。この安全アーキテクチャーに準拠することが FFI (Freedom from Interference) の基礎となり、機能安全を保証します。
ISO 26262に準拠した適切なソフトウェアアーキテクチャ
異なるASILやQM分類を持つ複数の安全関連機能を共通のハードウェア上で共存させるためには、ISO 26262に従った適切なソフトウェアアーキテクチャが必要です。この安全アーキテクチャの遵守が、FFIを確保するための基盤となります。
Axivionのアーキテクチャチェックは、定義されたインターフェースと選択された通信メカニズムの一貫した使用を保証します。アーキテクチャからの逸脱は、ソースコード内で即座にハイライト表示されます。これには、未指定の関数呼び出し、データの上書き、または一般的にインターフェースとして定義されていない宣言への参照が含まれます。
ウェビナーを視聴してください:アーキテクチャ解析を使用して干渉のない状態を示す方法
計画されたインターフェースへの準拠がFreedom from Interferenceを実現します。
この図は、2つのASILパーティションと1つのQMパーティションを持つ安全アーキテクチャを示しています。パーティション内にはより詳細なアーキテクチャが示されていますが、FFIの分析には関係ありません。ここでは、異なる安全性レベルのパーティション間のインターフェースが関心の対象です。これらのインターフェースは多くの方法でモデル化できますが、低安全性レベルのコードが高安全性レベルのパーティションで実行されると、安全性のケースに違反する可能性があります。このような安全アーキテクチャに違反する依存関係は、図にマークされています。
安全アーキテクチャへの準拠をチェックしないと、このような違反はプロセスの後半でハードウェアや設定されたMPU/MMUを使って検出されることになります。一方、アーキテクチャ解析を行うことで、これらの違反は即座にアーキテクチャ違反として見つかります。動的なハードウェアテストとは異なり、このチェックはCI/DevOpsパイプラインに直接統合することも可能です。
成功事例 - Schaeffler
The Schaeffler Group は、自動車および産業部門向けの主要なグローバルサプライヤーです。ISO 26262に基づく混在ASILアプローチにおいて、FFIを実証するを示すためにAxivionアーキテクチャ検証をどのように活用したかをご覧ください。
安全システム統合の簡素化
ソフトウェア要素が静的コード解析によって適切なコーディングガイドライン(AUTOSAR C++ 14 や MISRAなど)に準拠しているか追加で確認することで、未定義の動作を引き起こすプログラミングエラーを大幅に排除できます。アーキテクチャチェックと静的コード解析を組み合わせることにより、混合ASILシステムにおけるFFIをより強く証明することができます。
これらのチェックは、開発プロセスの初期段階、つまりコーディング工程で利用できます。メモリ保護を備えたパーティショニングされたシステムでは、後の統合フェーズで発生する問題(MMU/MPU例外など)で問題が大幅に減少することが期待されます。
Axivionがサポートするコーディングガイドラインについて詳しく読む