開発工程ごとの解析項目設計においてはモデルベース開発を適用したが検証解析種別により複数の解析ツールを用途に応じて使いについては下記の理由から各種ツールを利用したコー分けている表１また図３に示すようにコード解ド解析を実施することとした析専任者が使用する解

特集組込みソフトウェア開発モデルベース開発とを用いた組込みソフトウェアの開発先進的な設計検証技術の適用事例報告書 2015年度版より編集部要約本事例はアルプス電気株式会社以降アルプス電気の自動車向け組込みソフトウェア開発における設計検証コストの改善事例である自動車の高機能化電子制御化に伴い一台の自動車に搭載されるECU 電子制御ユニット Electronic Control Unit の数は年々増加しまた要求される機能も複雑化している ECUの増加に伴い実現するソフトウェアにおいてはソースコード量の増加やECU間のネットワーク制御が必要になりソフトウェアの品質が全体の性能信頼性に大きく影響を与えると共に設計検証コストが増大する課題が表面化してきた本事例ではこれらの課題を解決するためにモデルベース開発とを適用した独自の手法であるMDD Model Driven Development にTDD Test Driven Development の思想を取り入れモデルベース開発とテスト駆動開発を融合させプロセスの洗練化を図ったものを活用したその結果従来開発に比べて開発工程が減ることでコストが削減でき視覚的に理解しやすいモデルを検証することで検証効率と品質を向上することができたまたでは市販ツールと自社開発ツールを組み合わせることで人手で行っていた検証作業をツールに置き換えスキルによらない検証が行え検証コストの削減につなげることができたウェア開発の要求量と要求スピードについていくことが 1 技術手法を導入した理由や経緯 1.1 できない状況となってきているかつて車載ソフトの開発現場ではアセンブラベースの開発からC言語ベースの開モデルベース開発発に移行することで大きな開発能力向上のブレークスルー MBD Model Based Development を経験したしかし現在ではもはやC言語ベースの改善年々加速度的に大きくなる車載ソフト規模の市場要求と開発能力の関係を図１に示すの積み重ねでは市場要求についていくことは困難になりつつある C言語ベース開発から移行する第２のブレークスルーとして制御系を含む製品開発の手法として注目されソフトの規模モデルベースでの改善 C言語モデルのブレークスルー開発能力要求ているモデルベース開発を設計に適用することにした一般的にモデルベース開発の目的は複雑なシステムを効率的に開発することで下記のような利点がある ① 仕様書の明確化と再利用性の向上 Cベースでの改善 ② シミュレーションをしながら仕様を決定できるアセンブラ C言語のブレークスルーアセンブラベースでの改善要求量が開発能力を超える対策が必要 ③ 仕様書から自動でコードが生成されるためにバグが入りにくい ④ 制御対象と制御装置を同時に開発できる将来図１モデルベースの開発の必要性開発現場での地道な改善活動により開発能力は毎年少しずつ向上しているがそれだけでは近年高まるソフト 22 モデルベース開発の手法はソフトウェアの開発規模の増大にも対応できる手法でありモデルの作成ができるとソースコードが自動生成されるのでプログラミングのミスが防止でき品質の向上が見込めると共に生産性の向上も期待できる開発手法と言える

1.2 2.2 開発工程ごとの解析項目設計においてはモデルベース開発を適用したが検証解析種別により複数の解析ツールを用途に応じて使いについては下記の理由から各種ツールを利用したコー分けている表１また図３に示すようにコード解ド解析を実施することとした析専任者が使用する解析ツールと開発工程コード解 ① 人による検証からツールによる検証への置き換え析設計者が使用する解析ツールと開発工程をそれぞ ② 顧客要求に応じた各プロジェクトのサポートれ決めている ③ ソフトウェア品質の可視化を実施することで今後増え続けるであろ表１ツール一覧う検証負荷を軽減し開発効率及び開発品質を向上する解析種別図２に示すようにの目標は統合損失品質ランタイムエラー配列オーバーフローゼロ Polyspaceʀ 割など MISRA-C MISRA-C 2004対応ソフトウェアメトリクスサイクロマティック複雑度 QAC +自作実行行数コーディングルール社内コーディングルール QAC +自作への適用ソフトウェア構造タスク間インターフェース Imagix4D などコードクローンコードクローン率損失検証コストを最小にする点を求めると共に更にそれを小さくすることであるコスト Q L=Q+C 統合損失この損失が最小になる検証量が経済合理的 C 検証コスト社内で不具合を検出するために必要なコスト技術ソフトウェア要件分析 C の向上で同じ品質損失社外への不具合流出により発生するコスト検証量が短時間でできるコスト削減検証項目の例より低コストで高品質なソフトを開発できる QAC +M2CM CCFinder ソフトウェアテスト MBTDD開発専任者ハイレベル設計検証量ツール結合テスト Statemate Rhapsody MATLAB /Simulink 技術向上による検証量の増加は設計者の検証量や検証時間を増やすものではありません Polyspace Imagix4D CC Finder QAC M2CM 自作ツール設計者ローレベル設計図２の目標単体テスト QAC M2CM 自作ツール自動コード生成図３開発工程ごとの専任体制 2 2.1 スムーズな導入と活動定着のための事前準備や工夫ワーキング活動と開発体制 MBD開発に興味のある有志を中心にワーキンググルー 3 効果測定の方法とその結果 3.1 モデルベース開発適用状況プ WG を構成し２週に１回程度の頻度で定期的に勉強現在アルプス電気では適材適所でモデルベースの開会や討論会いわゆる小集団活動でツールのカスタマイ発を実施している適用対象事例を表２に示す適材適ズなどを実施した MBDのWG活動については既に10年所のモデルベース開発ではモデル仕様に基づいて開発以上継続している WG活動の結果として従来のハンドプロセスを構築する手法である広義のMBD Model Based コーディングと同等のコードサイズを実現するMBD開発 Development と組込み制御システム開発の狭義のMBD ができるようになったがあり車載用組込みソフトで狭義のMBDは全体の20% またにおいても同様にWGを構程度にしか適用できないこのため残りの80%につい築し手法の学習や習得に努めてきた活動は２週に１時てはMDD Model Driven Development で開発し効率化間程度の周期で実施してきたを目指している 23

組込みソフトウェア開発特集表２モデルベースの開発状況名称適用対象項目従来プロセスでもモデルは使用していたもののその手法使用ツール狭義の制御系アルゴリ制御ブロックモデ MATLABʀ/ MBD ズム開発リング Simulinkʀ 主な目的はシミュレーションによるモデルの動作検証であったモデルシミュレーションで動作検証が済んだモデルをコーディングするために必要な情報を記述した構広義のMBD 造設計書を作成しそれに基づいて人手でコーディングアプリケーション開発製品機能実構造化モデリング Statemateʀ 装部 MDD プラットフォームオブジェクト指向開発ハードウェ Rhapsodyʀ モデリングア制御部していたまた単体テストも単体テスト仕様書を作成し人手による単体テストを実施していた MBTDDではモデルの中に従来の構造設計の情報を埋め込み最適なコードが生成されるようにカスタマイズしたツールのコード生成機能を用いてモデルからボタン一つでコードを生成しているまた単体テスト仕様書をプログラム化し実施を自動化した 2 MBTDD開発これらの改善によりモデルシミュレーション工程をなアルプス電気ではMDD Model Driven Development にくしモデルができたらボタン一つでコード生成し単体 TDD Test Driven Development の思想を取り入れモデテストプログラムを走らせることで従来のモデルシミュルベース開発とテスト駆動開発を融合させてプロセスの洗レーションコーディング人手による単体テストの工練を行うMBTDD Model Based Test Driven Development 程をなくすことができたまた単体テストの実施を自動アルプス電気の造語開発を実施している MBTDD開発化し何度でも簡単に実施できるようにしたことに合わせでは MDDのモデルシミュレーションの代わりにモデこの工程で簡単にテストカバレッジ及び設計者自身によルから生成されるコードについて直接テストを実施するるもできるような環境を整備した結果としここにTDDの思想を取り入れテストとモデルの洗練を繰てモデル作成工程とテスト工程を行ったり来たりしながり返し実施するコードではなくモデルを洗練することらモデルの洗練と単体テストの洗練を行うようになったで本当の意味での設計の洗練になる図４に人手によるコーディングをしていた従来プロセ 3 MATLAB /Simulink の活用事例 MATLAB /Simulink をカーナビディスプレイの開閉制スとMBTDDプロセスの比較を示す御に活用した例である図５実機での動作検証前に従来のプロセス人手によるコーディングの場合 MBTDD 機能仕様書作成機能仕様書作成モデル作成モデル作成モデルシミュレーション自動コード生成 MATLAB /Simulink でシミュレーションしシステム成立性の確認を行ったまたモデルとを使った作業図８を繰り返すことでロバスト性が高く高品質のソフト開発を構造設計書作成コーディング単体テスト仕様書作成テストプログラム作成開閉制御速度制御 VoltageCtl モーター制御 Voltage カバレッジ評価/ Current position Display 機構 Omega パルス測定ハードと結合したテスト図４従来のプロセスとMBTDDプロセスの比較 24 Omega_t 自動テスト人手による単体テストハードと結合したテスト行うことができた図５ MATLABʀ /Simulinkʀ の活用事例

3.2 不具合検出率と有効警告率 3.2.1 ツールの選定 100 アルプス電気では複数の市販ツールと自社いを達成するため市場のツールのベンチマーキングを実施しツール選定を行っている以下にその評価方法と結果を示す 80 不具合検出率開発ツールを組み合わせて使用しておりより精度の高理想 60 ALPS ツールC ツールF ツールD 40 ツールB 評価方法 20 解析ツールの選定では以下の５つのステップで評価方法を定義している図る 0 ３種類のソースコードを使い解析ツールを評価 20 40 60 80 100 有効警告率図６解析ツールの評価結果 3.2.2 ② 不具合がない３種類のソースコードを用意ツールA 0 ① 社内ソフトウェアでよく実装してしまう不具合を選別過去の不具合について洗い出しを行い類型化をツールE ソフトウェア品質の可視化ソフトウェア品質モデル Statemate ツールによる自動生成コード ISO/IEC 9126-1 Software engineering - Product quality - Rhapsody ツールによる自動生成コード Part1: Quality model で定義しているソフトウェア品質モ MATLAB /Simulink による自動生成コードデル表４の中から信頼性効率性保守性移植性 ③ 各ソースコードに選別した不具合を埋め込むの４つの品質特性を使いソフトウェア品質を評価している ②のソースコードに意図的に不具合を挿入 ④ 社内外の解析ツールで不具合埋め込みコードを解析表４ソフトウェア品質モデル ISO/IEC 9126-1 品質特性 ⑤ 解析結果を分析し結果を比較品質副特性主な内容合目的性 2 解析ツールの評価基準正確性理想的なツールとは ①すべての不具合を検出すること不具合検出率が高い及び ②正しい機能性相互運用性目的から求められる必要な機能の実装の度合いセキュリティコードを誤って不具合としない有効警告率が高いことである評価基準を表３に示す成熟性表３評価基準評価項目計算式基準不具合検出率検出された埋め込み不具合の数/ 高いほうが埋め込み数良い有効警告率埋め込み不具合に対する警告数/ 高いほうが総警告数良い信頼性障害許容性回復性理解性習得性 3 評価結果使用性時間効率性とくに重要な不具合検出率が一番高く有効警告率も中なり改善することができている分かりやすさ使いやすさの度合いいわゆる使い勝手使いやすさ操作性の概念発ツール ALPS の評価結果を示す自社開発ツールはきたまた同時に本評価結果を元に改善点も明確に運用性魅力性図６に市販のツールツールA F と自社開間に位置しており現在のツール選定の妥当性が確認で機能が正常動作し続ける度合い効率性資源効率性目的達成のために使用する資源の度合い 25

特集品質特性組込みソフトウェア開発品質副特性 ① ソフトウェア品質状況を数値化して定量的に把握する主な内容 ② 定量的データに基づき品質の良否を判断できる解析性 ③ 品質が悪い場合の改善ポイントが明確になる変更性保守性保守改訂作業に必要な努力の度合い安定性フトウェア開発が可能になる試験性 ① 不具合が除去されている ② 仕様変更に容易に対応できる環境適応性 ③ 再利用が可能である設置性移植性またその結果として次のような点で品質の良いソ別環境へ移した際そのまま動作する度合い共存性置換性 3.2.3 WGの成果各プロジェクトの品質状況を可視化しモニタリングすることで早期に適切な対処を行っている図７従来レビューで活用していたチェックリストを見直しコード解析で代用できるものを削減したその結果 30 以上のチェック項目がで代用できること 2 ソフトウェア品質の可視化の目的が分かりレビュー時間の削減に大きく貢献したまたソフトウェア品質について４つの品質特性を５段階レビューからに検証手法を変えたことで設評価したものをレーダーチャートで可視化しているこ計者のスキルに依存しない安定した検証が短時間で行れにより次の効果が得られるえるようになった解析結果推移総合解析プロジェクト件数 25件 4点 20件件数/月 5点 3点 2点 1点 10件 5件平均 α 平均平均 +α 警告ライン 12 月 11 月 10 月 9月 8月 0件 7月 11月 6月 9月 5月 7月 4月 5月年度下 20 期 13 年度上 20 期 13 年度下期 2013年度下期 20 12 0点 2012年度下期 15件図７品質状況のモニタリング 3.2.4 複数の市販解析ツールと自社開発ツールの活用貫性のチェックが実施できまた視覚的に理解しやす市販ツールにはそれぞれ得意な解析分野があるが一い開発手法であるしかし自動コード生成をするため方でアルプス電気のソフト開発では必要としない機能もあにはプログラム言語に近い記述も必要であり人為的なるアルプス電気では各市販ツールにおいて解析のためのミスやスキル不足による間違いがそのまま自動で生成さパラメータの設定をカスタマイズしている更に独自のれたコードに反映されてしまうそのため自動生成コーフィルターをかけることで効率的な解析を可能としていドでもで不具合の検証を行う必要がある図るまた市販の解析ツールのカスタマイズで対応できな８なお制御系アルゴリズム開発にはMBTDD開発をいものはツールを自作し活用している適用していないためシミュレーション図８が必要だ 3.2.5 自動生成におけるの必要性モデルベース開発はモデル自体の文法チェックや一 26 が MBTDD開発が適用できるアプリケーション開発やプラットフォーム開発では不要になる

2 生産性について人為的ミス排除上流工程の検証 MILS 制御モデル開発新手法を導入する際に開発速度の目標を２倍としていたが結果は表６に示すように改善できた自動コード生成処理系非依存のコード化シミュレーションモデルの可動化と検証結果の可視化表６開発速度の結果プロジェクト実績 A 約2.5倍 B 約2.0倍理想モデルと実装コードの比較 SILS MILS Model-in-the Loop Simulation SILS Software-in-the Loop Simulation 図８モデルとを使った開発 MATLABʀ の例従来レビューで活用していたチェックリストを見直しコード解析で代用できるものを削減したその結果 30 以上のチェック項目がで代用できることが分かりレビュー時間を大きく削減できた 4 技術や手法の導入後の改善活動今後の課題 3 開発工程ごとの専任体制による効果開発工程ごとに専任者によるの体制を構築した図３ことにより結合テスト段階で専任者によ MBD開発導入後はモデルの中に設計情報を書き入れているのであいまいになりがちな設計書を作成する必る高度な解析を行うことができソフトウェアの信頼性を確保できた要はなくなったソースについても自動生成されるのでコーディング作業は不要になった今後モデルベース開発ではモデル用のライブラリの充足及びマイコ 6 まとめン依存部やデザインパターンなどの実装を簡単にするフレームワークを整備することで再利用率を上げる予定車載向けECUソフトウェアの開発においてモデルベーであるでは有効警告率を25%から40%程ス開発とを導入することにより品質向上と度まで向上させることを目標に Polyspace Imagix4D 生産性向上の目標を十分達成することができた具体的などのツールの解析設定のカスタマイズ及び自作のには Statemate Rhapsody MATLAB /Simulink ツールの改良を実施するなどのモデルベースツールをカスタマイズしTDDと組み合わせて使用することと QAC Polyspace Imagix4D 自作ツールなどのツールを適材適所に使用す 5 結果と考察ることで従来の人手によるコーディング及び人手による検証に比べ劇的に開発効率と品質を改善したまた品質についてレビューからに検証手法を変えたことにより新手法を導入する際に品質の目標をバグ件数半減としていたが結果は表５に示すように大幅に改善できた設計者のスキルに依存しない安定した検証が短時間で行えるようになったバグの数が減ったこととバグが出ても原因の特定や対策ができるようになりバグ対策の仕事が劇的に減った打ち合わせの多くを占めていたバグ対策が激減しモデルやテストの洗練に多くの時間を割く文化が育成された表５品質の結果プロジェクトバグ件数 A 約1/4 B 約1/3 参考文献 1 アルプス電気株式会社宇治川尚悟車載向けECUのコード解析とモデルベース開発への取り組み MATLAB EXPO 2013 2 先進的な設計検証技術の適用事例報告書 2015年度版 http://www.ipa.go.jp/sec/reports/20151118.html 27