図1　Wind Riverビジネス開発ディレクターのAlex Wilson��

Wilson��は、「�W��性」はシステムが周囲に�瓦靴導欧魑擇椶気覆い茲Δ砲垢襪海箸任△蝓◆屮札�ュリティ」は外からシステムに害が及ぶのを防ぐことだ、と定�Iする。�W��性は、これまでの履歴から学ぶことができる。例えば、ロボットが作業�^を殴ってしまったり、クルマが衝突��故を��こしたりした経�x値を学�{することで時間と共にますます�W��になる。これに�瓦靴謄札�ュリティは、何�Qにも渡って��撃が巧��になり、時間の経�圓箸箸發砲泙垢泙購Mしくなるという��徴がある。

�W��性は単なる交通や�豢�機だけではなく、工場でのプロセス�U(ku┛)御やオートメーション、発電所や電���U統でも問��になったことが�Hく、プロセス�U(ku┛)御ではIEC 61508、電���UエネルギーではIEC 60880といった��格がある。Wind Riverは、リスクが高いほどシステムの�W��を担保するという�}法を採る。VxWorksはIEC 61508 SIL3レベルの認証を�uており、このRTOSをユーザーが使えば、ユーザーは認証を�D�uする��要がないという。VxWorksはTUVなどの��3�v機関による認定書（図2）を�D�uしているからだ。これ以外にも、DO-178CレベルA認証や、検証テストハーネス、検証済みのOSバイナリなどの認定証��書を�eつ。

図2　�W��を担保するVxWorksの認定書

VxWorks Safetyサブセットには、認証されたAPI（Application Programming Interface）サブセット、時間的・空間的なパーティショニング、リソース�U(ku┛)御など、ユーザーが�W��性を作成するうえで役に立つ機�Δ�ある。このためユーザーは�O分の�u�Tなコア�\術に集中できるため、����の開発コストや保守コストが�Wく済む。VxWorksのような�x販のRTOSは認証済みであるため、そのためのコストは要らない�屬膨��慍修鯔匹阿海箸發任�る。

�W��性もセキュリティも担保するために、VxWorks SafetyサブセットにはもともとSIL 3で保証された�W��なアプリケーションと、�W��性は保証されないアプリケーションの両��(sh┫)を走らせることができるように空間的に分割されている。機���W��のハードウエアとしてArmコアやIntel、PowerPCプロセッサに�官�している。

さらに時間的にもハイパーバイザを使って時分割のパーティショニングを行う(図3)。時刻t1では、基��(chu┐ng)�Uのような��常に�_要な機�Α淵癲璽��U(ku┛)御や�g��動作など）を�pけ�eち、時刻t2では中��度に�_要な機��(通信機�Δ覆�)を�pけ�eち、さらに時刻t3でそれほど�_要ではない機�Α�HMIやロギング、システムチェックなど）を�pけ�eっていく。この仮�[化プロセスでは分割数に�峺造呂覆�、顧客が��めることができるとWilson��は言う。

図3　時分割のパーティショニングで仮�[化を実現する　出�Z：Wind River

リソース�U(ku┛)御では、アプリケーションからどのOSを�U(ku┛)御すべきかを��める。システム通信では��容される通信を�U(ku┛)限し、どのような通信にもフィルタをかけることができる。また、外�陲�ら��らかに��容されないオブジェクトがアクセスできないようにコードを守っている。メモリ容量の割り当てにも�峺造鮴澆韻討い襦�

空間的（�駘�的）なパーティショニングに�瓦靴討蓮��豢�や工場オートメーション、�O動�Z��となどさまざまな要求に�瓦靴討�VxWorksのハイパーバイザを使って、どのOSを使うべきかをサポートする。マルチコア・マルチタスクを主��とする64ビットArmコアとIntelプロセッサを狙っている。いろいろなOSでも�k度認証を�pければ他の����にも再�W(w┌ng)��できる。

図4　空間分割のパーティショニングで仮�[化を実現する　出�Z：Wind River

例えば、�豢�機関係では(図4)、�W��性の高いアプリケーションにはSIL 3レベルのVxWorks Safetyサブセットをコア0�屬覗�らせ、�W��性の低いアプリケーションにはWind River Linuxをコア2�屬覗�らせることができる。ここでも�W��性が担保されたVxWorksハイパーバイザで�Qソフトウエアを�U(ku┛)御する。

最後に触れておくが2009�QにIntelが組み込みシステムを�啣修垢襪燭�Wind Riverを�A収し、3月まで��いていたが、4月になって投�@会社のTPGに売却することを��めた。これに�瓦靴�Wilson��はコメントしていないが、おそらくIntelは組み込みシステムでのRTOSが不要になり、むしろクラウドのデータセンターなどハイエンドコンピューティングを�啣修垢襪燭瓩任△蹐Α�やはりIntelはIoTシステムの�岼魅譽ぅ筺爾鰆`指す��(sh┫)針を�wめたといえそうだ。