トレンドコラム

近年のIoTシステムに対する要求は、人的コストの削減と単純な通信機能だけではなく機械学習をエッジシステムにも応用しようという流れのなかで、画像識別や故障判断といった機能を現場で即座に実行する高い付加価値が求められていくと予見されています。

そういった高性能なシステムを構築するためには、PCベースのボックスコンピュータや大型の放熱機構を用いた専用プロセッサが必要です。しかし、これらは最終的な製品化の際に設計と設置方法の制約となり、さらには単価上昇にもつながる課題となっています。

加えて、基盤となるIoTシステムのアプリケーション以外にセキュリティ保全機能やリモートアップデート機能等をフルスクラッチで実装した場合、開発費までもが肥大化していきます。

これらの課題を解決するため、アットマークテクノは約5万円(LANモデル開発セット・税込価格)で導入可能なAIプロセッサコア内蔵のエッジAI端末「Armadillo-IoTゲートウェイ G4(以下、Armadillo-IoT G4)」を開発しました。本体サイズは143×100.5×26mmの小型・ファンレス設計、はがきサイズのフットプリントで装置への組み込みを実現します。専用ケースも用意されているため、アプリケーションを書き込むだけで自社製品としての販売も可能。後述のコンテナ技術やセキュアエレメントを採用しており、高性能で安全性の高いエッジIoTシステムとして安価に導入できます。

NPU内蔵のNXPセミコンダクターズ製SoC「i.MX 8M Plus」

Armadillo-IoT G4の機能の中枢を担うSoC(Syetem on Chip)には NXPセミコンダクターズ製 i.MX 8M Plusを採用しています。i.MX 8M PlusにはCPUとしてArmプロセッサを搭載し、他にAI、グラフィック、映像コーデックを担う専用のプロセッサコアを内蔵してワンチップ化することにより、小型化と高い電力効率を実現しています。

AI処理実行環境としてTensorFlow LiteやONNX、ArmNNに対応し、推論には専用のAIプロセッサコア(NPU)を使うことができます。NPUは2.3TOPSの性能をもっており、mobilenet v2による物体認識では70fpsの速度結果を得ました。

GPUとビデオコーデックも専用ハードウェアコアによる高速化を実現しており、FullHD H.264のエンコードとデコード、表示解像度4KのHDMI出力でサイネージ等のコンテンツ表示にも利用できます。

これらの高性能な専用ハードウェアコアの性能を十分に引き出すには、それを利用するアプリケーションの実行がボトルネックとならないように十分な性能のCPUコアが必要です。i.MX 8M PlusはArm Cortex-A53(1.6GHz)を4コア搭載し、複数プロセスの実行も余裕を持ってサポートすることができます。

－20℃〜＋70℃の動作環境を実現する構造設計

高性能なシステムは常に放熱が課題となります。Armadillo-IoT G4のメインボードは熱源であるSoCをコネクタ等の背の高い部品の存在しないボード裏面に搭載し、ヒートシンク等を使わずアルミ製のケースに直接放熱することによって－20℃から+70℃までの周囲環境でも安定した稼働を見込めるように設計されています。

さらにUSB3.0、HDMI、Gigabit Ethernet×2ポートといった高速インターフェースを備え、過酷な環境で動作する拡張性の高いシステムをリーズナブルに構築することが可能です。

安全性と再利用性を向上させるコンテナベースのOS

近年ではエッジIoTデバイスに対してもセキュリティリスクの高まりが問題視されています。一方で、PCとは異なり一般的な情報の少なさや固有のハードウェア設計に応じた専門知識が求められ、対策が難しい側面があります。

このような事情に対応するのが、これまでサーバーサイドで利用されてきたコンテナ技術を組み込みシステム向けに応用した新OS「Armadillo Base OS」です。ハードウェアの制御に密接に関係したOS本体とユーザーアプリケーションを分離し、アプリケーションからOSへの依存性を切り離したことが、従来の組み込み向けOSと比べて最も異なるポイントです。

Armadillo Base OSは、Alpine Linuxをベースとしたわずか200MB程度のOS本体と、アプリケーションを実行するためのコンテナエンジンを組み合わせて構成しています。コンテナエンジンにはDockerと機能面で互換性のあるPodmanを採用。コンテナ毎にコンテナエンジンのプロセスが分離しているので、単一のプロセスで全てのコンテナを制御するDockerよりも耐障害性に優れた特長をもっています。

アプリケーションの実行環境であるコンテナにはDebianやUbuntuといった任意のLinuxディストリビューションを自由に選択することができるため、アプリケーション開発の自由度と再利用性は高く維持されています。また、コンテナからのハードウェアやOS機能へのアクセス権を制限することができるため、アプリケーションの脆弱性がシステム全体のセキュリティリスクになることを低減します。

定期アップデートによるOSのセキュリティリスク低減

セキュリティリスクを減らすためには、日々発見される脆弱性に対応した最新のソフトウェアに更新していくことが必要です。しかし、アップデートによる互換性の破綻、アップデート操作そのものによるミスでシステムが止まってしまうリスクが問題点として取り上げられることが多くあります。組み込みシステムは人間の手の届かない遠隔地や閉鎖環境に設置されることも多く、アップデートによるリスクを恐れるあまり、逆にセキュリティリスクを高めてしまうこともありえます。

Armadillo Base OSには基本機能としてアップデート機能を内蔵し、BootloaderとOS本体、コンテナを二面化することでアップデートの失敗、起動不能に対しても、直前の状態に自動復帰することで操作ミスやアップデート後に起動不能となるリスクを低減することができます。

脆弱性への対応についても、常時Armadillo Base OSに対するアップデートを開発元のアットマークテクノが提供します。このアップデートにはLinuxカーネルの脆弱性への対応も含まれます。

常に最新のArmadillo Base OSを利用しつつ、自身で開発したアプリケーションを動かすコンテナには必要最小限の権限を与えることで、専門知識がなくてもセキュリティリスクを低減することが可能となります。

セキュアエレメントによる暗号鍵の管理

OSだけではなく、外部への接続もセキュリティリスクの温床となっています。組み込みシステムであってもスタンドアロンではなくクラウドサービス等への接続は既に常識になりつつありますが、その際のアクセス証明書を正しく管理するのは難しい問題です。基本的にアプリケーションは同一であり一括して管理・書き込みできる一方で、個体認証に使う証明書は一台ずつ異なるため、一元管理しづらい事情があります。

この問題に対処するため、Armadillo-IoT G4には「セキュアエレメント」が搭載されています。これを活用することにより、クラウドサービスの認証に用いるAES/RSA証明書と鍵を安全に管理することができます。一度セキュアエレメントに書き込んだ秘密鍵は読み出すことができないようにロックすることで、証明書への署名を安全なハードウェア内で実行するため、コピーすることが不可能となり、盗難時も同じ証明書を生成できるセキュアエレメントが2つとないため容易にサービスへのアクセスを禁止することができます。

まとめ

Armadillo-IoT G4はOS、コンテナ、セキュアエレメントの3つの機能により、高性能で安全性の高いエッジIoTシステムを量産、実用化することができます。最初の開発には、必要なものが全て同梱された開発セットをご利用ください。実用化に向けた製品開発や量産製造のご相談は、アットマークテクノ社の販売パートナーであるNTTPCコミュニケーションズまでお問い合わせください。

Armadillo-IoTゲートウェイ G4の詳細情報
https://armadillo.atmark-techno.com/armadillo-iot-g4

株式会社アットマークテクノ
https://www.atmark-techno.com/