混合臨界

混合臨界（mixed criticality）とは、安全性への影響度（クリティカリティ）が異なる複数の機能を、同一の計算基盤上に共存させるシステム設計の概念であり、重要度の低い側の不具合や挙動が重要度の高い側の動作を妨げないことの保証を中心課題とするものである。

詳細解説

混合臨界は、リアルタイムシステム研究では2007年のVestal（Honeywell Aerospace）による固定優先度スケジューリング理論の拡張を起点とし、Burns & Davis のレビュー（2021年末までの研究を対象）が領域全体を体系化している。重要度（クリティカリティ）の水準は安全規格が定めており、たとえばIEC 61508・DO-178C・ISO 26262などでは最大5水準が識別され、その呼称は自動車のASIL、航空のDAL、汎用のSILと規格ごとに異なる（同レビュー）。

この概念の要点は、分離と共有の緊張関係にある。混合臨界システムの中心課題は、安全保証のための分割（partitioning）と、資源の効率利用のための共有（sharing）という、相反する要求の両立にある（Burns & Davis）。同レビューは、複数の重要度を持ちながら完全な分離だけを狙うシステムを multiple-criticality と呼び分け、mixed criticality という語には「分離と統合のトレードオフ＝何らかの資源共有」が含意されるとする。つまり混合臨界とは「分ければ安全だが、分けすぎれば集約の意味がない」という設計問題そのものである。

実装面では、ハイパーバイザによるVM分離が代表的な手段であり、分離の保証に形式的根拠を与える基盤として seL4 がある。seL4公式のwhitepaperは、信頼度の低いコードと同居しても重要な処理の適時性を保証する混合臨界リアルタイムシステム（MCS）の支援を明示している。

SDVにおける位置づけ

混合臨界を実務の問題にしたのはSDV化そのものである。従来の車両は機能ごとに専用ECU（マイコン）を割り当てる「物理的に分かれた」構成だったが、E/Eアーキテクチャの統合——少数の高性能SoCやセントラルコンピュータへの集約——が進むと、メータークラスタやADASのような高重要度の機能と、Android等を動かすIVIのような低重要度の機能が、否応なく同じ計算基盤に同居する。集約のコスト・性能メリットを取りながら、低重要度側の障害・侵害が高重要度側に波及しないことをどう論証するか——混合臨界は、SDVの車載コンピューティング設計が避けて通れない中心問題であり、車載OS・ハイパーバイザの選定からE/Eアーキテクチャ設計までを貫く評価軸になる。