近年,鉄道は持続可能な社会を担う移動手段として注目を浴びており,今後,世界中で鉄道システムの普及・活用が進展すると見込まれている。
こうした中,日立製作所は車上保安装置に要求される高い安全性および演算性能を実現するため,独自の安全性方式に基づいた鉄道用の車上保安装置向けプラットフォームを開発し,国内外における鉄道信号システムへの適用を進めてきた。近年では車上保安装置にさらなる高性能化・小型化が求められており,新たに車上保安装置向け高性能プラットフォームを開発した。本稿では,この新高性能プラットフォーム開発の概要について述べる。
日立製作所では独自の安全性方式に基づいた鉄道用の車上保安装置を開発し,国内外の市場における鉄道向け信号システムへの適用を進めてきた。車上保安装置に要求される高い安全性および演算性能を実現するため,日立は独自のフェールセーフCPU(FS-CPU:Fail-safe Central Processing Unit)※1)と,FS-CPUを中核としたプラットフォームを開発した。FS-CPU上に専用のOS(Operating System)を実装し,ここにATC(Automatic Train Control:自動列車制御装置)やETCS(European Train Control System:欧州における鉄道制御システム)などの信号システムに要求される動作に応じた機能を持ったアプリケーションを適用することで,プラットフォームは車上保安装置として動作する。
既存のFS-CPUの開発から10年以上が経過し,近年の信号システムで要求される無線通信方式や,列車高密度化への対応などの新たな機能の実現のため,プラットフォームにはさらなる処理性能の向上が求められている。また,既存のプラットフォームでは処理性能の制約から複数のFS-CPUを使用してシステムを構築する場合もあり,車上保安装置全体としてハードウェアが大型化し,車両艤装スペースを圧迫するという問題が挙げられている。
このため,日立は車上保安装置の高性能化,および複数装置の統合によるシステム小型化を目標とし,新たに車上保安装置向け高性能プラットフォームを開発した。本プラットフォームでは,新規開発したFS-CPUを採用することで性能向上を実現するとともに,FS-CPU上で動作するOSを開発し,単一CPU上で安全性を保証しつつ複数のアプリケーションの並列実行を可能とした。さらに,本プラットフォームを対象として欧州安全性規格に基づいたISA(Independent Safety Assessor:安全に関する独立査定機関)による査定を実施し,SIL4(Safety Integrity Level 4:安全度水準4)準拠の安全性認証をプラットフォームとして取得した。本稿では,新高性能プラットフォーム開発の概要について述べる。
前章で述べたように,本開発では車上保安装置の高性能化,および複数装置の統合によるシステム小型化を目的とし,以下に示す実現手段によりプラットフォーム開発を実施した(図1参照)。
各手段の詳細は以降の節にて説明する。
図1|新高性能プラットフォームの開発コンセプト新高性能プラットフォームでは,既存プラットフォームにおいて分散して配置していた個々の機能を統合することによるシステム小型化を目的として開発を実施した。
日立はプラットフォーム開発に先駆け,既存FS-CPUと同じ高安全性を有し,かつ処理性能を向上したFS-CPUを新たに開発し,採用した。
FS-CPUは二つのCPUと比較器を内蔵しており,二つのCPUが実行する演算を比較器が比較・照合し,CPUの誤動作を検出することで高い安全性を保つLSIである。
新FS-CPUは従来品と同じく二つのCPUと,二つのCPUの入出力データを比較・照合する比較器をワンチップに内蔵する構成を採用している。一方,CPUとシステムバスの動作周波数をアップすることにより,従来品と比較して4倍の処理性能を実現した。また,外部装置とのインタフェースとして,既存FS-CPUでは実装していなかったイーサネット※2)通信機能を実装したほか,4チャネル分のイーサネットポートと通信バッファを内蔵し,プラットフォームへの追加LAN(Local Area Network)ボードの実装を不要としている。比較器はバスサイクルごとに診断処理を実施することで比較器自身の故障検知も可能としており,さらにチップ内レイアウト・実装設計に厳格な配置・配線ルールを適用することで,共通要因故障の潜在リスクを最小化した。さらに,大容量RAM(Random Access Memory)とキャッシュメモリにはECC(Error-correcting Code)を付加しており,車上保安装置の高安全性・高信頼性の実現に大きく寄与している。
既存の車上保安装置のソフトウェアは,ATCやETCSなど適用する信号システムの動作に応じた機能を持ったアプリケーションと,アプリケーションからの要求に基づきハードウェアを制御するOSで構成される。本開発では既存構成において複数装置に分散されていた機能を単一のFS-CPU上で並列実行可能となるよう,OSを新規開発した。新OSでは,OSが車上保安装置のアプリケーションを管理,監視,制御する方式として,下記の三つの課題を解決することで,安全性を損なわずに複数のアプリケーションを並列実行可能とした。
図4|新高性能プラットフォームの外観と装置構成新高性能プラットフォームは,新FS-CPUを搭載したCPU基板を中心に,各種インタフェース基板を機能に応じたバスにより接続することで構成される。写真はETCS車上装置向けEVC装置構成の外観を示している。
新プラットフォームは,FS-CPUとOSを組み込んだ基板を中心に,鉄道車両のブレーキ回路など外部機器との入出力や通信を行うインタフェース基板により構成される。
FS-CPUはプラットフォームの中核となるCPU基板に組み込まれ,安全に関する演算を実行し,ブレーキ指令など安全性が求められる出力には二重化された専用バスを用いた出力回路を適用している。また,プラットフォーム外の装置とのインタフェース回路を基板単位で実装し,これらの基板を汎用バスで接続することで,個別システムに要求されるインタフェースに応じた基板を任意に設定・実装することが可能となっている(図4参照)。
これにより,汎用性と拡張性を高めると同時に,必要最小限の基板を実装することでシステムの小型化に寄与している。また,実案件適用において追加のインタフェース基板が必要な場合には,共通のバスインタフェース基板と,対象に応じたドライバを追設することで,中核となるCPU基板およびOSを変更することなく適用が可能である。
また,実装素子の小型化と,既存装置からの回路構成を見直すことにより,装置単位での小型化を実現した。前述の高性能化による装置統合と合わせ,ETCS車上装置向けEVC(European Vital Computer)装置※3)に適用した場合,従来から50%の装置サイズの低減を可能とした。
図5|認証の段階と新プラットフォームの適用範囲安全性認証では,システムの開発・適用段階に応じてGP,GA,SAの3段階に分けられる。新プラットフォームは以降の製品適用(GA,SA)の際,共通に適用可能なGPとしての安全性認証を取得した。
本開発では欧州規格EN50126※4),EN50128※5),EN50129※6)に基づいた開発プロセスに従って設計,評価を実施し,独立安全認証機関であるISAによる査定を受け,SIL4準拠の安全性認証をプラットフォームとして取得した。
認証の段階と本開発における認証取得のスコープを図5に示す。既存のプラットフォームにおける認証スキームでは,製品適用が前提であり,プラットフォームとアプリケーションを包括したGA(Generic Application)※7),もしくはSA(Specific Application)※8)が認証のターゲットであった。このスキームでは,プラットフォームの認証結果がGP(Generic Product)※9)として共通適用ができないという問題があった。
このため,本開発ではプラットフォームをGPとし,これを安全認証取得範囲としてスキームの整理を実施した(同図参照)。本スキームでは,実案件からプラットフォームへの安全性・信頼性の要件抽出を行い,これを満足させる設計を行った。実案件適用時の安全に関する制約事項はSRAC(Safety Related Application Condition)として管理され,以降のGA,SAにおける認証活動ではSRACの条件をすべて満たすことで,本開発の安全性認証を共通に適用することが可能となる。なお,本活動の結果は,GPSC(Generic Product Safety Case)としてまとめられ,ISAによる査定が実施された。
評価においてはシステム要件に応じた機能試験に加え,EVC装置に応じたサブラックに実装したうえで温湿度,振動衝撃,EMC(Electromagnetic Compatibility)指令など欧州規格に対応した環境試験を実施し,新プラットフォームが実車両運用で要求される信頼性を備えていることを実証した。
本開発では,車上保安装置向けプラットフォームの性能向上と複数装置の統合を目標とし,FS-CPUおよびOSの新規開発,車上保安装置として動作する高性能プラットフォームを開発した。また,プラットフォームとしてSIL4準拠の安全性認証を取得し,安全性に関する評価を完遂した。さらに,開発したプラットフォームを対象として,国内向け車上保安装置相当のアプリケーションを実装し,要求される機能および処理性能を満たすことを検証した。
今後は,本プラットフォームに車上保安装置に対応したアプリケーションを適用し,国内外の市場での鉄道向け信号システムへの製品展開を進める。