TERAS 第 1 回成果報告会 機能安全に必要な トレーサビリティとは 2012 年 3 月 19 日 TERAS 技術委員会 株式会社ヴィッツ組込制御開発部機能安全開発室 森川聡久 IEC61508 プロセス認証
本日の内容 機能安全認証の取得に際してトレーサビリティをどのように役立てるのかを実体験から紹介します 1. ヴィッツの会社紹介 2.TERASにおけるヴィッツの役割 3. 機能安全に必要なトレーサビリティ要件 4. トレーサビリティ管理事例紹介 - 2 -
株式会社ヴィッツ 会社概要 設立 : 1997 年 6 月社員数 : 85 名 (2011 年 9 月現在 ) 得意分野 : ECU ( Electronic Control unit ) ソフトウェア開発 家電組込みソフトウェア開発 NC ( Numerical Control ) ソフトウェア開発 モデルベース開発 ( HILS, SILS etc ) リアルタイムオペレーティングの研究開発 組込みシステム研究開発 機能安全 ( ソフトウェア開発, コンサルタント ) - 3 -
オープンソースコントリビュータ ヴィッツは組込ソフトウェアのオープンソースディストリビュータである TOPPERS プロジェクト (http://www.toppers.jp/en/index.html) を支援しています ヴィッツからいくつかのソフトウェアを提供し TOPPERS から一般公開中 ヴィッツが提供したソフトウェア一覧 TOPPERS/ATK1 Kernel ATK=AuTomotive Kernel Version1 OSEK/VDX OS 仕様準拠 FlexRay software セット Time Triggered Module (TTM) for TOPPERS/ATK1 FlexRay 通信ミドルウェア TOPPERS/ ASP Safety 基本仕様 μitron 4.0 IEC 61508 SIL3 Capable - 4 -
ヴィッツの製品 (RTOS) Industrial Package μitron API IEC 61508 SIL 3 Capable with fail detect library AUTOSAR Package AUTOSAR 4.0 API Automotive Package OSEK/VDX API - 5 -
研究実績 研究中のプロジェクト ( 経済産業省予算分 ): 故障未然防衛機能を有した高信頼ソフトウェアプラットフォームの開発. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 名古屋大学, 産総研. 組込みシステムにおける性能評価ツールの研究. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 兵庫県立大学 形式的仕様記述を用いた高信頼ソフトウェア開発プロセスの研究とツール開発. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 北海道企業, 産総研等. 安全技術を導入した搭乗型生活支援ロボットの研究開発. 期間 : 2011 年度 - 2013 年度, 研究メンバ : ヴィッツ, アイシン精機, 未来ロボット研究所 品質説明力向上に向けたオープンツールプラットフォーム構築事業. 期間 : 2011 年度 - 2013 年度, 研究メンバ : ヴィッツ, CATS 等 研究終了プロジェクト : 機能安全 (IEC 61508 SIL 3 ) に準拠した自動車プラットフォームの研究開発 保護機能 RTOS の研究開発 自動車向けタイムトリガード OS の研究開発 FlexRay 通信ミドルウェアの研究開発等. - 6 -
ヴィッツの機能安全への取り組み IEC 61508 SIL3 ソフトウェア開発プロセス認証取得 日本初 2010 年 4 月 22 日国際認証機関 TÜV SÜD より ISO 26262 ASILD ソフトウェア開発プロセス認証 機能安全対応 RTOS 販売 日本製初 製品名 :Owls Industrial Safety Package μitron4.0 ベース 故障検出ライブラリ付属 ( アプリ側の負担を軽減 ) 安全コンセプトは 認証機関のレビュー済 1 重系 :SIL2 2 重系 :SIL3 システムに適用可能 高信頼ソフトウェアプラットフォームを開発中 サポイン :2010 年 8 月 ~2013 年 3 月 (3 年間 ) 機能安全支援ツールの開発 トレーサビリティ管理ツール FSMP 作成支援ツール 安全設計支援 SIL 評価ツール HAZOP 支援ツール 形式手法技術の実用化研究 VDM B メソッド Event B Z 記法 要求仕様書の信頼性評価とプロセス検討 TÜV SÜD による認証確認サイト http://www.tuevsued.de/industry_and_consumer_ products/certificates (Search 欄で "Witz Corporation" と入力してください ) - 7 -
トレーサビリティ管理支援ツール プロジェクト管理画面 表表示画面 本ツール上で 複数文書間のレビュー 影響分析が可能 レビュー 影響分析のエビデンスをレポート生成 図表示画面 平成 21 年度全国中小企業団体中央会試作開発等支援事業 - 8 -
主な機能安全支援実績 プロセス構築から 技術面の評価 認証取得支援まで 全面支援が可能 一般規格 IEC 61508 の経験を活かし 広分野での支援が可能 < 機能安全対応コスト > 数億円 ~ 数十億円 数年間 弊社の知見投入 わからないから莫大なコストがかかる 期間半減!! 費用半減!! を目指した支援 < 対象規格実績 > IEC 61508( 一般 ) ISO 26262( 自動車 ) ISO 13849( 工作機械 ) IEC 61784( 通信 ) ISO 13482( サーヒ スロホ ット ) 支援項目 A 社 B 社 C 社 D 社 E 社 F 社 G 社 機能安全管理規定の構築 安全分析 安全設計 SIL 算出評価 機能安全対応ソフトウェア開発 ツールの機能安全信頼性分析 トレーサビリティ管理ツール導入 機能安全対応 RTOS 導入 機能安全規格解説 ( 無料コンサル ) 機能安全認証取得支援 2011 年 4 月現在 - 9 -
TERAS におけるヴィッツの役割 トレーサビリティツールは機能安全対応にて重要! 役割 : 機能安全の必要要件 知見を TERAS に投入 担当 : 機能安全規格に必要なトレーサビリティ要件を確保したプラットフォーム仕様の検討 プラットフォーム WG サブリーダー (WITZ 鵜飼 ) 要件制御 WG サブリーダー (WITZ 松岡 ) 担当 : 機能安全対応に必要な ALM の機能要件の検討 TERAS 要件制御 WG 第 2 回会議資料より転用 - 10 -
機能安全に必要なトレーサビリティ要件の整理 要 プロセス規定 テ プロセス監査成果物 監 プロセスのトレーサビリティ IEC 61508:2010 3-7.7.2.5 3-8 3-Table A.10 ISO 26262:2011 2-Table B.1 2-C.2.2 設 実 テ 開発成果物 取説 変更管理のトレーサビリティ IEC 61508:2010 3-Table A.8 ISO 26262:2011 8-8.4.1.1 要件のトレーサビリティ IEC 61508:2010 1-7.14.2.2 2-7.2.2.2 c) 2-7.7.2.2 2-Table B.6 3-Table A.1 3-Table A.2 3-Table A.4 3-Table A.5 3- Table A.6 3-Table A.7 3-Table A.9 ISO 26262:2011 2-C.2.2 3-8.4.5.1 b) 5-7.4.1.5 5-7.4.5.3 6-7.4.2 a) 6-8.4.5 b) 7-5.4.1.2 c) 7-6.4.1.3 d) 8-6.4.3.2 8-14.4.3.1 a) 要 設 実 テ テ 変更記録 構成管理 最新 変更管理 復元 過去 構成管理のトレーサビリティ ISO 26262:2011 8-7 検証成果物 検 検検検検 検 - 11 -
トレーサビリティの種類と目的 目的 : 要件が正しく ( 完全性や一貫性 ) 実装 テストされていることを保証 要件のトレーサビリティ 狭義のトレーサビリティ 目的 : 再現性 ( 再検証 ) 要件のトレーサビリティ プロセスのトレーサビリティ 変更管理のトレーサビリティ 構成管理のトレーサビリティ 広義のトレーサビリティ = 管理 文書化の要件 - 12 -
要件のトレーサビリティ管理とは 要件毎に固有の番号を付け 管理が必要 全ての要求事項のトレーサビリティを 末端 ( テスト項目やソースコード ) まで確保が必要 ハードウェア部品も対象 安全コンセプト 仕様書 設計書 H/W 仕様書 システムテスト仕様 単体テスト仕様 トレーサビリティ管理の目的 厳密な一致性検証 (Verification)(= 安全証明 ) 過不足 矛盾が無いこと 変更時の影響分析 これらを実現できる 粒度 が重要 - 13 -
要件のトレーサビリティ管理の粒度 細かい粒度でのトレーサビリティの確保が必要 1 要求 1 項目の管理 ソースコードでは関数単位相当 トレーサビリティの粒度が粗いと 影響分析の際に対象範囲が広域となる 厳密な検証ができなくなり 安全証明の意味が薄らぐ 例 2)AUTOSAR 文書 適切なトレーサビリティ粒度の例例 1) 電動カートの仕様書 ( 当社開発 ) アクセルペダルを踏み込むことにより モータコントローラにオペレータの意図を伝え モータの回転数を操作する これにより車体が進行する速度を調節する [SS_SP0001-0005] - 14 -
> > > 体験談 : 要件のトレーサビリティ管理の難しさ 適切なトレーサビリティ管理をしないと 管理の利点を活かすことができなくなる 一般的なシステムの場合 要求仕様書 アーキテクチャ設計書 数十項目 数十 ~ 数百項目 RTOS の場合 要求仕様書 アーキテクチャ設計書 当社の実施事例 1000 項目 > 数十 ~ 数百項目 理想系 要求仕様書 ( 概要 ) 新規作成 アーキテクチャ設計書 汎用的な SW-C の場合に生じやすい問題 数十項目 数十 ~ 数百項目 要求仕様書 ( 詳細 ) 1000 項目 詳細設計書 特に問題なし 数百 ~ 数千項目 詳細設計書 数百 ~ 数千項目 アーキテクチャ設計は概略レベルのため 詳細な要求項目が一旦集約されてしまう これでは トレーサビリティ管理の意味がない 詳細設計書 数百 ~ 数千項目 - 15 -
体験談 : 要件のトレーサビリティ管理の改善 Step1: 機能安全への対応 要件の明確化 ( 文書化 ) トレーサビリティ番号の付加 プロセス改善 Step2: トレーサビリティ番号の整理 シンプルなトレーサビリティ関係 検証効率 検証精度の向上 Step3: 開発文書テンプレートの改善 章立て 何度か試行錯誤するしかない 自然にトレーサビリティ粒度を制限 - 16 -
要件のトレーサビリティ管理方法 1 トレーサビリティマトリクス (TM) 設 要 実 設 要 設 実 テ テ 機能安全にてツールは必須ではない 影響分析が不便 規模が大きくなると ツール無しでは管理が大変 2 トレーサビリティ管理ツール ユーザが番号を付ける ツールが番号を内部管理する - 17 -
トレーサビリティ管理ツールに求められる機能 要件のトレーサビリティ 使用目的 : 開発者の検証 影響分析 機能 : トレーサビリティ情報の登録のしやすさ Verificationのしやすさ ( 確認 記録 ) 開発文書更新時の対応のしやすさ ( 構成管理連携 ) 再現性のためのトレーサビリティ 使用目的 : 第 3 者検証 機能 : プロセス規定と開発成果物とのトレーサビリティ 開発成果物と検証成果物とのトレーサビリティ 開発成果物と監査成果物とのトレーサビリティ 更新内容のトレーサビリティ ( 変更管理 構成管理連携 ) - 18 -
将来 TERAS でやりたいこと TERAS を使って事業化 1TERAS( オープンツール ) を上手く活用した機能安全対策支援 2 機能安全対応が楽になるプラグインの開発 販売 第 3 者審査を楽にするもの 品質 安全説明力向上を楽にするもの 認証経験や認証支援経験を活かして 随時ツール化を予定 機能安全プラグイン ( 便利機能 ) TERAS 要件制御 WG 第 2 回会議資料より転用 - 19 -
ご清聴ありがとうございました 本内容の関連サイトもご覧ください 当社ホームページ :http://www.witz-inc.co.jp/ プロセス認証プレス発表記事 (Tech-On!): http://techon.nikkeibp.co.jp/article/news/20100512/182502/ TÜV SÜD による認証確認サイト : http://www.tuev-sued.de/industry_and_consumer_products/certificates (Search 欄で "Witz Corporation" と入力してください ) IEC61508 プロセス認証 本内容についてのご質問は下記にお願いします株式会社ヴィッツ組込制御開発部機能安全開発室室長森川聡久 morikawa@witz-inc.co.jp Tel: 052-223-7570-20 -