DDSミドルウェアを使用したソフトウェア・デファインド・ビークルのセーフティ・メカニズム
ソフトウェア・デファインド・ビークルでは、あらゆる状況下で車両を安全に運用するために、さまざまなメカニズムが必要となります。これらのメカニズムのために独自のソリューションを開発する場合、検証に大きな労力がかかり、多様なソフトウェア・アーキテクチャと統合することも困難です。セーフティ・クリティカルな分散型通信のための標準化されたソフトウェア・フレームワークはあるのでしょうか?
ソフトウェア・デファインド・ビークルへのシフト
従来の車載システムでは長年にわたって、それぞれ個別の機能を実行するプログラミング性の低い電子制御ユニット (ECU) が追加されてきました。しかし現在、先進的な車載設計は、柔軟性の高い相互運用可能なソフトウェアを少数の(ゾーン)プロセッサに分散して実行する形へと進化し始めています。分散型ソフトウェアは、自動運転、インフォテイメント、パワートレイン、ボディ制御を協調的に処理し、プロセッサ、ネットワーク、センサを共有することでシステムのコストを削減します。ソフトウェア・デファインド・ビークルへの移行は、自動車業界で最も重要なトレンドの1つであり、ソフトウェアの機能が重要な差別化要因となっています 。
自動車メーカーがこの市場で競争するには、モジュール式の分散型アプリケーションを迅速かつ簡単に構築する必要があり、そのためにはプログラマブルで信頼性が高く費用対効果に優れた半導体デバイスが必要です。そのため、POSIX やAUTOSAR® などの使いやすいアプリケーション・プログラミング・インターフェース (API) を備えた、標準化されたソフトウェア・プラットフォームの普及が進んでいます。これらのソフトウェア・プラットフォームの重要なコンポーネントの1つがミドルウェアであり、これはさまざまなオペレーティング・システムと高レベルのアプリケーションとの間に位置するソフトウェア・レイヤです(下の図を参照)。簡単に言えば、ミドルウェアとは、分散したシステム・コンポーネントが相互に通信できるようにするソフトウェア・ライブラリです。ソフトウェア・デファインド・ビークルの安全性は、分散したプロセス間で信頼性の高いリアルタイム・データ通信を行うためのミドルウェアおよび基盤となるネットワーク・プロセッサに大きく依存します。
S32Gプロセッサをベースとする自動運転用セーフティ・チェッカーのプロトタイプ
最先端の自動運転 (AD) システムは、冗長性確保のためにデュアルチャネル・アーキテクチャを採用することが多く、通常の状況でADシステムを制御するメイン・チャネルとともにフォールバック・チャネルが実装されています。メイン・チャネルに障害が発生した場合は、車両の制御がフォールバック・チャネルに切り替わります。これにより、ADシステムの安全性と可用性の両方が向上します。このようなアーキテクチャでは、メイン・チャネルの健全性を検証し、必要に応じて車両の安全な停止などのセーフティ・メカニズムを作動させるセーフティ・チェッカーが必要となります。セーフティ・チェッカーが行う計算と通信は、明らかにセーフティ・クリティカル(安全上きわめて重要)なものであり、高いフォールト・トレランスと信頼性が要求されます。
NXP S32G車載ネットワーク・プロセッサは、さまざまなセーフティ・メカニズムを備えた信頼性の高いADシステムを実装するのに最適です。S32GのArm® Cortex®-A53コアは高性能コンピューティング機能を備え、またASIL D Cortex-M7セーフティ・コアは、ロックステップ・モードでセーフティ・クリティカルな機能を実行するのに適しています。さらに、サービス指向ゲートウェイ用のS32G GoldBoxリファレンス・デザインにはSJA1110イーサネット・スイッチが統合され、ネットワーク上に分散した高レベルのADアプリケーションに、信頼性の高いリアルタイム通信を可能にするTSN (Time Sensitive Networking) 機能を提供します。
信頼性の高いハードウェアに加えて、S32GのCortex-A53コアとCortex-M7コアにまたがって動作するData Distribution Service (DDS) ミドルウェアが、分散システムのデータと通信を管理します。DDSミドルウェアのプロトコルは、Object Management Group® (OMG) によって標準化されたパブリッシュ/サブスクライブ・パターンに基づいています。DDSは、AUTOSAR AdaptiveやROS2など、各種の主要な車載プラットフォームのエコシステムに統合されています。DDSは、低レイテンシのデータ・コネクティビティ、高い信頼性、スケーラブルなデータ中心型の通信を提供します。さらに、DDSには、リソースの消費や通信の信頼性といったDDSの動作特性を制御する、豊富なサービス品質 (QoS) ポリシーが組み込まれています。DDSとQoS ポリシーの基本について知るには、インタラクティブなShapesのデモ ・アプリケーションを試すか、デモ・ビデオ をご覧ください。
リソースが大きく制限された環境向けのDDSは、OMG DDS-XRCEプロトコル を使用して実装されることに注意してください。これはクライアントとエージェント間のプロトコルであり、DDS-XRCEクライアント・ノードが外部のエージェント・ノードを介してDDSネットワークと通信します。DDS-XRCEは、IoTデバイス向けの軽量DDSアプリケーションの開発に最適ですが、セーフティ・クリティカルなシステムで使用した場合、このエージェントが単一障害点となる可能性があります。しかし、S32G Cortex-M7上で動作するRTI Connext® DDS Micro は、ブリッジやブローカーなしでフル仕様のDDSネットワークと直接通信できるため、単一障害点が排除されます。また、RTI Connext DDS Microは、ASIL DまでのISO 26262車載セーフティ・コンテキスト内で構築および統合することができます。
冗長な自動運転チャネルの実装に際して特に有用ないくつかのDDS QoS ポリシーを次に示します。
- Deadline(期限)は、データの送受信の時間要件が満たされているかどうかを示します。送信および受信のタイミング制約が満たされない場合には、DataWriterおよびDataReaderがそれぞれアプリケーションに通知できます。
- Liveliness(活性)は、新しいDataWriter(DDSパブリッシャー・ノード)がネットワークに参加したかどうか、またはネットワークにまだ存在しているかどうかを示します。
- Exclusive Ownership(排他的所有権)およびOwnership Strength(所有権の強さ)は、最も強い値を持つDataWriterのみが特定のインスタンスに書き込めることを指定します。
- Transport Priority(トランスポートの優先度)は、DataWriterまたはDataReaderによって送信されるデータが特定の優先度を持つことを指定します。このQoSポリシーによってDDSのトピックがTSNストリームにリンクされる仕組みの詳細については、DDSとTSNの統合に関するウェビナーを視聴するか、GitHubでDDS-TSN統合に関するオープンソースのサンプル・プロジェクト をご確認ください。
DDSの組込みQoSポリシーは、DDSミドルウェア・レイヤを実装すればすぐに使用できます。これにより、開発プロセスが容易になり、ソフトウェア・コンポーネントの相互運用性と再利用性が大きく向上します。分散したADコンポーネントのさまざまなシステム要件に合わせて、DDSディストリビューションにはいくつかのバリエーションがあります。分散ADシステム全体にわたってDDSを実装することで、共通の通信およびデータ管理フレームワークが確立され、少ない労力でシステムの多様性が向上します。さらに、DDS上に構築されたシステムは、単一のDDS XMLファイルを使用して簡単にモデル化および構成できます。XMLファイル形式は、システム開発を容易にし、アーキテクトやアプリケーション開発者がシステムレベルでソフトウェア・デファインド・ビークルを設計するのに役立ちます。
DDS QoSポリシーを使用したセーフティ・メカニズム
DDS QoSポリシーを適切に組み合わせることで、パフォーマンス上の制限に応じてさまざまな障害処理メカニズムと安全対策を有効にすることができます。DDSミドルウェア・レイヤは、そこで動作するすべてのADコンポーネントに対して共通のフレームワークを確立します。完全な冗長ADチャネルへのフェイルオーバー やコンポーネント制御のシームレスなテイクオーバー(引き継ぎ)など、さまざまなセーフティ・メカニズムを、エンジニアリングの労力をかけずにさまざまなスケールで実装できます。以下では、概念実証デモのセットアップで実装されているセーフティ・メカニズムについて詳しく説明します。
シームレスなフェイルオーバー
フェイルオーバーは、セーフティ・クリティカルなシステムで広く使用されているセーフティ・メカニズムです。これは多くの場合、障害が発生すると出力が停止するフェイルサイレント なコンポーネントによって実装されます。通常、メインのADチャネルで障害が発生して出力が停止した場合、システムは冗長セーフティ・チャネルにフォールバックし、車両を安全な状態に制御します。このメカニズムは、DDSのLivelinessおよびOwnership QoSポリシーを使用して実装できます。メイン・チャネルの車両制御DataWriterにそのような障害が発生したり、システムの他の部分との通信が失われたりした場合には、所有権の弱いセーフティ・チャネルのDataWriterによって生成されたサンプルが車両のアクチュエータに自動的に送信され、車両の制御をシームレスに開始します。一方、障害が発生したDataWriterによるDDSネットワークのLivelinessの変化は、セーフティ・チェッカーによって監視されます。このような診断情報に基づいて、再起動などの回復メカニズムを実装することができます。
シームレスなテイクオーバー
障害が発生したADコンポーネントがフェイルサイレントでない場合でも、システムの可用性を損なうことなく、不具合のあるコンポーネントや信頼性の低いコンポーネントを積極的に無効にして処理を引き継ぐ、テイクオーバー・セーフティ・メカニズムを実装できます。テイクオーバーは、DDSのExclusive OwnershipおよびOwnership Strength QoSポリシーを使用して実現できます。これらのQoS ポリシーは、どのDataWriterがDataReaderにデータを送信できるかを制御します。セーフティ・チェッカーは、期限の超過や範囲外データの送信など、プライマリDataWriterが正常に動作していないことを検出した場合、より所有権の強い正常なDataWriterがDataReaderにデータを送信するようトリガできます。
フェイルオーバーとテイクオーバーを組み合わせたハイブリッド・アプローチ
DDSのDeadline、Liveliness、Exclusive Ownership、Ownership Strengthを組み合わせて、フェイルオーバーとテイクオーバーの両方のメカニズムを活用するハイブリッド・メカニズムを実装することができます。例えば、セーフティ・チェッカーは、DDSネットワークのLivelinessを監視することで、フェイルサイレントなノードで障害が発生した場合にフェイルオーバー・メカニズムを柔軟にトリガできるほか、フェイルサイレントではない実行中のノードが不良なデータをパブリッシュしたり、期限を超過したりした場合には、テイクオーバー・メカニズムを有効にすることができます。また、さまざまなOwnership Strength QoS値に基づき、メイン・チャネルとセーフティ・チャネルをシームレスに切り替えることで、システム内の移行障害に簡単に対処することができます。
セーフティ・メカニズムの評価
S32GでのDDSベースのセーフティ・メカニズムを現実的なセットアップで評価するために、NXPはReal-Time Innovations (RTI) のオートモーティブ・エンジニアリング・チームのエキスパートと連携しました。RTIは自律システム向けソフトウェア・フレームワークのリーディング・プロバイダであり、Connext DDS と呼ばれるDDS製品とツールのファミリを販売しています。NXPとRTIは協力して、Autoware Foundation のオープンソース・プロジェクトであるAutoware.Auto に基づく自動バレー駐車(Autonomous Valet Parking:AVP)のデモに、NXPのセーフティ・チェッカーを統合しました。このデモは、車両が自動的に駐車場に入っていく様子を示すものです。Autoware.Autoは、DDSを基盤のミドルウェアとして使用するROS2ベースの本格的なエンド・ツー・エンドの自動運転フレームワークです。
デモ・セットアップのアーキテクチャ
このハードウェア・イン・ザ・ループ評価用デモ・セットアップのアーキテクチャを次の図に示します。
- Localization、Perception、Prediction、Path PlanningなどのAutoware.Auto ADスタックの大部分が、NXP BlueBox車載高性能コンピューティング開発プラットフォームに搭載されたLayerscapeプロセッサ上のROS2/DDSで動作しています。ここでのDDSミドルウェアはRTIのConnext Pro であり、RTIのrmw_connextdds RMWレイヤ・コンポーネントを介してROS2と統合されています。
- 車載ネットワーキング用NXP GoldBox内のS32Gが、このセットアップのゾーン・コントローラとして機能し、S32G Cortex-A53コア上のROS2/DDSでドライブ・バイ・ワイヤのソフトウェア・インターフェースが動作しています。実際の車両では、このインターフェースを使用して、イーサネット・パケット内の車両制御コマンドをアクチュエータへのCANメッセージに変換します。シミュレーション環境では、Autoware.Autoで使用されるフォーマットとオープンソースのLG SVLエンド・ツー・エンド・シミュレーション・プラットフォーム との間でデータを変換します。安全なテイクオーバーとフェイルオーバーのメカニズムを備えたNXPのセーフティ・チェッカーは、S32G Cortex-M7コアで動作するRTI DDS Connext Microに基づいています。
- 外部のシミュレーションPC上で動作するLG SVLシミュレータによって、道路利用者、車両のアクチュエータ、およびセンサ・データがシミュレートされます。
DDSベースのセーフティ・メカニズムを使用した障害対応のデモ・ビデオ
この評価セットアップでは、実世界の問題に似た障害をADシステムに注入し、DDSベースのセーフティ・メカニズムが状況をどのように処理するかを観察しました。以下に示すデモ・ビデオは、NXPのセーフティ・チェッカーが、ソフトウェアのクラッシュ、電源喪失、ネットワーク接続喪失などのシステム障害をどのように監視、検出して対応するかを示しています。
結論
ソフトウェア・デファインド・ビークルへの移行に対処するためには、車載システムのソフトウェアがモジュール化され、高い信頼性と拡張性を備える必要があります。Autoware.AutoのAVPデモで示されているように、NXPのS32G ASIL D Cortex-M7プロセッサ・コアは、自動運転システムのセーフティ・チェッカーとして十分に機能します。RTI Connext DDSミドルウェアは、車載システム全体にわたり、強力なプロセッサとリソースに制約のあるマイクロコントローラの両方に向けて通信フレームワークを提供することで、このプロセスに貢献します。DDSの豊富なサービス品質 (QoS) ポリシーにより、ソフトウェア・デファインド・ビークルのセーフティ・メカニズムを、高い相互運用性を確保しながら、エンジニアリングの労力を抑えて構築することが可能になります。
著者紹介
Jochen Seemann
Jochen Seemannは、オランダに拠点を置くNXP Semiconductorsの組込みソフトウェア・アーキテクトです。Baden-Württemberg Cooperative State Universityの応用計算機科学科を卒業し、産業用PCインターフェースを対象としたフルスタック・ソフトウェア開発者として5年間の経験を有しています。さらに自動車分野ではTier 1のソフトウェア・エンジニアおよびアーキテクトとして5年間の経験を持ち、IVIおよび自動運転に関連した製品開発に取り組んでいます。また、オープンソースのQtフレームワークにも貢献しています。
Yuting Fu
Yuting Fuは、オランダに拠点を置くNXP Semiconductorsのシステム・エンジニアです。アイントホーフェン工科大学とベルリン工科大学で組込みシステムの修士号を取得しています。自動運転システムにおける車両レベルの安全メカニズムの分野で3つの科学論文を執筆しています。また、IEC 61508機能安全プロフェッショナルの認定を受けています。
Andrei Terechko
Andrei Terechkoは、オランダに拠点を置くNXP Semiconductorsのシニア・プリンシパル・アーキテクトです。多国籍企業で15年、スタートアップ企業で10年の実務経験があります。現在は、自動運転のセーフティ・メカニズムとアーキテクチャに重点を置いて取り組んでいます。15件の特許、20以上の国際出版物および公開プレゼンテーションの共同執筆者です。
Emilio Guijarro Cameros
Emilio Guijarro氏は、Real-Time Innovations (RTI) のシニア車載アプリケーション・エンジニアであり、防衛および自動車業界で車載インフォテイメント・システムの開発を含む15年以上の経験を有しています。2019年にRTIに入社し、各種の車載ユース・ケースやAUTOSARエコシステムを含む特定の開発環境へのDDSの統合に取り組んできました。
