先進運転支援システム(ADAS:Advanced Driver Assistance Systems)の高度化や自動運転の導入など、自動車の「知能化」が進んでいます。
自動車はソフトウェアによって制御されていて、いまや自動車自体が巨大なソフトウェアになってきています。そのソフトウェアをいち早く安全に更新するために、株式会社日立製作所、日立オートモティブシステムズ株式会社、およびクラリオン株式会社は、無線で自動車のソフトウェアを更新する「OTA(Over the Air)ソフトウェア更新技術」を開発しました。
寺岡 秀敏(てらおか ひでとし)
主任研究員
井手口 恒太(いでぐち こうた)
研究員
(2017年3月2日 公開)
寺岡ソフトウェアを無線(OTA:Over the Air)で更新する技術です。自動車に適用する場合、ソフトウェアの更新データは、OTAセンターと呼ばれるデータセンターから自動車に配信されます。更新データは、自動車の通信機器とゲートウェイを通って、自動車を制御する電子制御ユニット(ECU:Electronic Control Unit)に送られます。そして、ECUでソフトウェアを更新します。
自動車に搭載しているECUのソフトウェアの更新というと、従来はディーラーに連絡して、自分で自動車を持ち込んで、更新してもらうという流れでした。OTAソフトウェア更新技術を使うと、ソフトウェアの更新データが自動車に無線で配信されるため、ユーザーはディーラーへ行かなくても、自宅などでソフトウェアを更新できるようになります。
図1 OTAによるソフトウェアの更新方法の変化
寺岡近年、自動ブレーキに代表される先進運転支援システム(ADAS)の高度化や自動運転技術の導入などにより、ソフトウェアがますます巨大化し、品質の維持・向上が課題となっています。ですが、品質の維持・向上を目的としてソフトウェアを更新するために、都度ディーラーに自動車を持ち込んでいたのでは、ユーザーの利便性を損ねてしまいます。一方で、自動車を持ち込む手間を敬遠してソフトウェアが更新されない状態が放置されると、危ない状態が続いてしまう可能性もあります。そういった状況をどうにか改善できないか、というのがきっかけの一つです。
井手口自動車がネットワークにつながると、遠く離れた場所からでもある特定の自動車にアクセスできてしまうため、サイバー攻撃を受ける危険性が高まります。自動車が攻撃されて異常な動作を示すと、人命にかかわります。2015年には、外国のメーカーの自動車がハッキングされたというニュースが話題になりました。このときには、メーカーは、ソフトウェアの更新データが入ったメディアをユーザーに配布したそうです。ソフトウェアをいち早くアップデートして、セキュアな状態を保っていくという観点で、OTAによるソフトウェア更新は非常に重要な技術です。
寺岡例えば、スマートフォンでは買ったあとに「こういうことができるようになりました」というふうに機能が追加されていきます。自動車はいままで、ハードウェア売り切りのビジネスでした。しかしこれからは、売ったあとに新しい機能を追加するということが考えられています。そういったビジネスモデルに対応して自動車の付加価値を上げていくためにもOTAによるソフトウェア更新技術は利用できます。
寺岡自動車ならではの特性として、大きく三つ挙げられます。一つ目は、信頼性がより強く求められるということです。ソフトウェアの更新が失敗すると自動車が走れなくなってしまいますし、走れなくなると簡単には直せません。安全性やセキュリティ対策も含めた信頼性が非常に大切になってきます。
井手口二つ目は、搭載されているECUの数が非常に多いということです。ソフトウェアの更新対象であるECUは数十から100個くらいあり、それぞれ異なる特性を持っています。例えば、エンジンを制御するECUはメモリが少ないけれども、自動運転用のECUはたくさんのロジックを実装するのでたくさんのメモリが必要です。そのような特性の違いを考慮する必要があります。
寺岡三つ目は使われ方の違いですね。スマートフォンは通常ずっと電源を入れっぱなしにしていますし、ずっと通信できる状態です。ですが、車の場合は休日しか車を運転しない人もいますし、地下の駐車場に入ってしまって通信できなくなることもあります。自動車のエンジンがオフの状態で更新に長い時間が掛かると、バッテリーが上がってしまうおそれもあります。さまざまな使われ方に対応するためには、更新時間をできるだけ短くする必要があります。
井手口まず自動車の信頼性にかかわるセキュリティについてですが、OTAセンターからECUまで、全体の仕組みの中で、セキュリティ上の脅威を洗い出しました。通信データを改ざんされたり、偽物のサーバが自動車に不正なデータを送信したりと、攻撃者はどこをどのようにねらってくるかわかりません。そういう中で、どこが重要なポイントで、どれだけ守れば安全になるのか、ということを抽出しました。
寺岡このときに使用した自動車向けのセキュリティ分析の手法は、日立の研究者が編み出したものです。この手法はガイドラインとして国内の標準的な手法の一つになっています。これまで日立が培ってきた情報システムへのセキュリティ技術適用のノウハウと車載システム開発の知見を組み合わせて、OTAに関するセキュリティの対策を決めていきました。
井手口結論として、車外からのさまざまな経路による攻撃から自動車を守るために、車外ネットワークと車載ネットワークを橋渡しする車載ゲートウェイに、セキュリティの根本的な機能を置きました。まずはOTAセンターとゲートウェイの間でセキュリティをEnd to Endで守り、そこをベースとして多重に防御を施し自動車のセキュリティを高める考えです。「ここにこういう機能が必要だよね」という方針を決めて、いざ実装となった段階では、二つ目の特性として述べたように、ECUの計算性能の違いなども考慮して、具体的な機能を設計していきました。
寺岡三つ目の更新時間を短くするという点では、差分更新という技術を採用しています。更新した新しいプログラムを全部送って書き換えるのではなく、更新プログラムとその前のバージョンのプログラムの差分だけを送って更新をするのが差分更新の技術です。これは携帯電話でも使われている技術ですが、ECUはメモリなどが限られているので、ECUの特徴に合わせた差分技術を開発しました。
図2 OTAセンターからECUまでのセキュリティ上の脅威と対策
井手口OTAセンターから自動車まで、End to Endでセキュリティを確保することです。安全性にかかわるセキュリティは絶対にゆずれませんからね。
寺岡OTAセンターから自動車に搭載するECUまで、日立はOTAにかかわるシステム全体を開発しています。各パーツに必要な機能や、パーツ間のインタフェースのあり方を明確にして技術開発をしているので、それぞれに最適なものを作れます。こういったアプローチができるのは日立ならではだと自負しています。
井手口通信に関しても、一般的に車載システムに搭載されるマイコンの性能はあまり高くないので、軽量な暗号技術や暗号プロトコルを使ったシステムにしました。また、OTAセンターには何百万台という車が接続しますので、センター側の負荷も小さくなるような仕組みにしました。
寺岡もちろん、一部が他社のパーツであってもOTAシステムは組み上げられます。できるだけ標準的な技術や標準プロトコルを使って、ちょっとしたカスタマイズで各自動車メーカーのみなさんと一緒に機能確認ができる準備をしています。
井手口2015年と2016年に、OTAによるソフトウェア更新技術について、お客さま向けの展示会で紹介させていただきましたが、評判は良かったです。OTAとセキュリティは両輪でまわしていく技術だね、そういう取り組みを日立がしているのはいいことですね、というお声をいただきました。
寺岡2015年の時点では、法規制がどうなのとか、本当にこんなのができるようになるのか、という声がありました。一方2016年は、OTAによるソフトウェア更新は必要になるという前提で、やらなければいけない、やった方がいい、実現するためには具体的にはどうするのか、というふうに、自動車メーカーのみなさんの感覚や質問も変わってきていて、日立のOTAソフトウェア更新技術に対する期待の大きさを感じました。
寺岡わたしはこのプロジェクトの立ち上げから参加しているのですが、OTAセンターから車載ECUまでトータルでの開発ということで、センターシステムを担当する事業部、ECUを作っている事業部、通信モジュールを作っている事業部など、多くの事業部や関連会社と連携して技術開発を行いました。そのような中、研究所としてはシステム全体を見て、ハブとして個々の部署だけではカバーしにくいところをサポートする必要がありました。わたし自身、さまざまな拠点を訪問して頻繁に会話をして進めていったのですが、こういった経験が個人的には初めてだったこともあり、印象に残っています。
前述の展示会では、各部署や関連会社が作ったものをつないでトータルのシステムとして展示しました。システム全体をうまく作り上げて動作させ、形のある実際に動くものとして見ていただくことで、お客さまから良いフィードバックをいただけたのは特にうれしかったですね。
井手口一つは、自動車のライフサイクルを通してのセキュリティの確保です。自動車を設計する段階から、工場で製造して、10~20年乗って、最後に廃車にする。もしくは再販されて第2の人生を送る。そういった長いスパンでセキュリティを管理していく必要があります。どこか一つでもセキュリティを破られると非常に危険なことになってしまうので、自動車のライフサイクルを通して通信に使用する暗号鍵の管理をしていくことが重要です。
また、自動車が実際にサイバー攻撃を受けたときに、そのサイバー攻撃に対してなるべく早く対処するという技術も必要です。日立はそのあたりの技術やノウハウをすでに公共や金融向けの情報システムで持っていますので、それを自動車向けにカスタマイズしたり、そこに必要となる新たな技術を開発したりしていきたいと考えています。
井手口先ほどもお話ししましたが、実際に自動車がハッキングされたことがニュースになるなど、セキュリティやOTAはまさにホットなトピックです。わたしはこれまでは基礎寄りの研究に携わることが多かったのですが、いまはまさに時代が動いている中で、それに関する技術を研究しているなと感じます。研究していることの一歩先がすぐに使われる技術だと実感できています。
寺岡OTAソフトウェア更新技術の実用化に向けて、これからも各部署や関連会社、さらには自動車メーカーのみなさんと会話を重ねて、システム全体をさらに良いものにしていきたいですね。