機能安全に必要なトレーサビリティとは

TERAS 第 1 回成果報告会機能安全に必要なトレーサビリティとは 2012 年 3 月 19 日 TERAS 技術委員会株式会社ヴィッツ組込制御開発部機能安全開発室森川聡久 IEC61508 プロセス認証

本日の内容機能安全認証の取得に際してトレーサビリティをどのように役立てるのかを実体験から紹介します 1. ヴィッツの会社紹介 2.TERASにおけるヴィッツの役割 3. 機能安全に必要なトレーサビリティ要件 4. トレーサビリティ管理事例紹介 - 2 -

株式会社ヴィッツ会社概要設立 : 1997 年 6 月社員数 : 85 名 (2011 年 9 月現在 ) 得意分野 : ECU ( Electronic Control unit ) ソフトウェア開発家電組込みソフトウェア開発 NC ( Numerical Control ) ソフトウェア開発モデルベース開発 ( HILS, SILS etc ) リアルタイムオペレーティングの研究開発組込みシステム研究開発機能安全 ( ソフトウェア開発, コンサルタント ) - 3 -

オープンソースコントリビュータヴィッツは組込ソフトウェアのオープンソースディストリビュータである TOPPERS プロジェクト (http://www.toppers.jp/en/index.html) を支援していますヴィッツからいくつかのソフトウェアを提供し TOPPERS から一般公開中ヴィッツが提供したソフトウェア一覧 TOPPERS/ATK1 Kernel ATK=AuTomotive Kernel Version1 OSEK/VDX OS 仕様準拠 FlexRay software セット Time Triggered Module (TTM) for TOPPERS/ATK1 FlexRay 通信ミドルウェア TOPPERS/ ASP Safety 基本仕様 μitron 4.0 IEC 61508 SIL3 Capable - 4 -

ヴィッツの製品 (RTOS) Industrial Package μitron API IEC 61508 SIL 3 Capable with fail detect library AUTOSAR Package AUTOSAR 4.0 API Automotive Package OSEK/VDX API - 5 -

研究実績研究中のプロジェクト ( 経済産業省予算分 ): 故障未然防衛機能を有した高信頼ソフトウェアプラットフォームの開発. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 名古屋大学, 産総研. 組込みシステムにおける性能評価ツールの研究. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 兵庫県立大学形式的仕様記述を用いた高信頼ソフトウェア開発プロセスの研究とツール開発. 期間 : 2010 年度 -2012 年度, 研究メンバ : ヴィッツ, 北海道企業, 産総研等. 安全技術を導入した搭乗型生活支援ロボットの研究開発. 期間 : 2011 年度 - 2013 年度, 研究メンバ : ヴィッツ, アイシン精機, 未来ロボット研究所品質説明力向上に向けたオープンツールプラットフォーム構築事業. 期間 : 2011 年度 - 2013 年度, 研究メンバ : ヴィッツ, CATS 等研究終了プロジェクト : 機能安全 (IEC 61508 SIL 3 ) に準拠した自動車プラットフォームの研究開発保護機能 RTOS の研究開発自動車向けタイムトリガード OS の研究開発 FlexRay 通信ミドルウェアの研究開発等. - 6 -

ヴィッツの機能安全への取り組み IEC 61508 SIL3 ソフトウェア開発プロセス認証取得日本初 2010 年 4 月 22 日国際認証機関 TÜV SÜD より ISO 26262 ASILD ソフトウェア開発プロセス認証機能安全対応 RTOS 販売日本製初製品名 :Owls Industrial Safety Package μitron4.0 ベース故障検出ライブラリ付属 ( アプリ側の負担を軽減 ) 安全コンセプトは認証機関のレビュー済 1 重系 :SIL2 2 重系 :SIL3 システムに適用可能高信頼ソフトウェアプラットフォームを開発中サポイン :2010 年 8 月 ~2013 年 3 月 (3 年間 ) 機能安全支援ツールの開発トレーサビリティ管理ツール FSMP 作成支援ツール安全設計支援 SIL 評価ツール HAZOP 支援ツール形式手法技術の実用化研究 VDM B メソッド Event B Z 記法要求仕様書の信頼性評価とプロセス検討 TÜV SÜD による認証確認サイト http://www.tuevsued.de/industry_and_consumer_ products/certificates (Search 欄で "Witz Corporation" と入力してください ) - 7 -

トレーサビリティ管理支援ツールプロジェクト管理画面表表示画面本ツール上で複数文書間のレビュー影響分析が可能レビュー影響分析のエビデンスをレポート生成図表示画面平成 21 年度全国中小企業団体中央会試作開発等支援事業 - 8 -

主な機能安全支援実績プロセス構築から技術面の評価認証取得支援まで全面支援が可能一般規格 IEC 61508 の経験を活かし広分野での支援が可能 < 機能安全対応コスト > 数億円 ~ 数十億円数年間弊社の知見投入わからないから莫大なコストがかかる期間半減!! 費用半減!! を目指した支援 < 対象規格実績 > IEC 61508( 一般 ) ISO 26262( 自動車 ) ISO 13849( 工作機械 ) IEC 61784( 通信 ) ISO 13482( サーヒスロホット ) 支援項目 A 社 B 社 C 社 D 社 E 社 F 社 G 社機能安全管理規定の構築安全分析安全設計 SIL 算出評価機能安全対応ソフトウェア開発ツールの機能安全信頼性分析トレーサビリティ管理ツール導入機能安全対応 RTOS 導入機能安全規格解説 ( 無料コンサル ) 機能安全認証取得支援 2011 年 4 月現在 - 9 -

TERAS におけるヴィッツの役割トレーサビリティツールは機能安全対応にて重要! 役割 : 機能安全の必要要件知見を TERAS に投入担当 : 機能安全規格に必要なトレーサビリティ要件を確保したプラットフォーム仕様の検討プラットフォーム WG サブリーダー (WITZ 鵜飼 ) 要件制御 WG サブリーダー (WITZ 松岡 ) 担当 : 機能安全対応に必要な ALM の機能要件の検討 TERAS 要件制御 WG 第 2 回会議資料より転用 - 10 -

機能安全に必要なトレーサビリティ要件の整理要プロセス規定テプロセス監査成果物監プロセスのトレーサビリティ IEC 61508:2010 3-7.7.2.5 3-8 3-Table A.10 ISO 26262:2011 2-Table B.1 2-C.2.2 設実テ開発成果物取説変更管理のトレーサビリティ IEC 61508:2010 3-Table A.8 ISO 26262:2011 8-8.4.1.1 要件のトレーサビリティ IEC 61508:2010 1-7.14.2.2 2-7.2.2.2 c) 2-7.7.2.2 2-Table B.6 3-Table A.1 3-Table A.2 3-Table A.4 3-Table A.5 3- Table A.6 3-Table A.7 3-Table A.9 ISO 26262:2011 2-C.2.2 3-8.4.5.1 b) 5-7.4.1.5 5-7.4.5.3 6-7.4.2 a) 6-8.4.5 b) 7-5.4.1.2 c) 7-6.4.1.3 d) 8-6.4.3.2 8-14.4.3.1 a) 要設実テテ変更記録構成管理最新変更管理復元過去構成管理のトレーサビリティ ISO 26262:2011 8-7 検証成果物検検検検検検 - 11 -

トレーサビリティの種類と目的目的 : 要件が正しく ( 完全性や一貫性 ) 実装テストされていることを保証要件のトレーサビリティ狭義のトレーサビリティ目的 : 再現性 ( 再検証 ) 要件のトレーサビリティプロセスのトレーサビリティ変更管理のトレーサビリティ構成管理のトレーサビリティ広義のトレーサビリティ = 管理文書化の要件 - 12 -

要件のトレーサビリティ管理とは要件毎に固有の番号を付け管理が必要全ての要求事項のトレーサビリティを末端 ( テスト項目やソースコード ) まで確保が必要ハードウェア部品も対象安全コンセプト仕様書設計書 H/W 仕様書システムテスト仕様単体テスト仕様トレーサビリティ管理の目的厳密な一致性検証 (Verification)(= 安全証明 ) 過不足矛盾が無いこと変更時の影響分析これらを実現できる粒度が重要 - 13 -

要件のトレーサビリティ管理の粒度細かい粒度でのトレーサビリティの確保が必要 1 要求 1 項目の管理ソースコードでは関数単位相当トレーサビリティの粒度が粗いと影響分析の際に対象範囲が広域となる厳密な検証ができなくなり安全証明の意味が薄らぐ例 2)AUTOSAR 文書適切なトレーサビリティ粒度の例例 1) 電動カートの仕様書 ( 当社開発 ) アクセルペダルを踏み込むことによりモータコントローラにオペレータの意図を伝えモータの回転数を操作するこれにより車体が進行する速度を調節する [SS_SP0001-0005] - 14 -

> > > 体験談 : 要件のトレーサビリティ管理の難しさ適切なトレーサビリティ管理をしないと管理の利点を活かすことができなくなる一般的なシステムの場合要求仕様書アーキテクチャ設計書数十項目数十 ~ 数百項目 RTOS の場合要求仕様書アーキテクチャ設計書当社の実施事例 1000 項目 > 数十 ~ 数百項目理想系要求仕様書 ( 概要 ) 新規作成アーキテクチャ設計書汎用的な SW-C の場合に生じやすい問題数十項目数十 ~ 数百項目要求仕様書 ( 詳細 ) 1000 項目詳細設計書特に問題なし数百 ~ 数千項目詳細設計書数百 ~ 数千項目アーキテクチャ設計は概略レベルのため詳細な要求項目が一旦集約されてしまうこれではトレーサビリティ管理の意味がない詳細設計書数百 ~ 数千項目 - 15 -

体験談 : 要件のトレーサビリティ管理の改善 Step1: 機能安全への対応要件の明確化 ( 文書化 ) トレーサビリティ番号の付加プロセス改善 Step2: トレーサビリティ番号の整理シンプルなトレーサビリティ関係検証効率検証精度の向上 Step3: 開発文書テンプレートの改善章立て何度か試行錯誤するしかない自然にトレーサビリティ粒度を制限 - 16 -

要件のトレーサビリティ管理方法 1 トレーサビリティマトリクス (TM) 設要実設要設実テテ機能安全にてツールは必須ではない影響分析が不便規模が大きくなるとツール無しでは管理が大変 2 トレーサビリティ管理ツールユーザが番号を付けるツールが番号を内部管理する - 17 -

トレーサビリティ管理ツールに求められる機能要件のトレーサビリティ使用目的 : 開発者の検証影響分析機能 : トレーサビリティ情報の登録のしやすさ Verificationのしやすさ ( 確認記録 ) 開発文書更新時の対応のしやすさ ( 構成管理連携 ) 再現性のためのトレーサビリティ使用目的 : 第 3 者検証機能 : プロセス規定と開発成果物とのトレーサビリティ開発成果物と検証成果物とのトレーサビリティ開発成果物と監査成果物とのトレーサビリティ更新内容のトレーサビリティ ( 変更管理構成管理連携 ) - 18 -

将来 TERAS でやりたいこと TERAS を使って事業化 1TERAS( オープンツール ) を上手く活用した機能安全対策支援 2 機能安全対応が楽になるプラグインの開発販売第 3 者審査を楽にするもの品質安全説明力向上を楽にするもの認証経験や認証支援経験を活かして随時ツール化を予定機能安全プラグイン ( 便利機能 ) TERAS 要件制御 WG 第 2 回会議資料より転用 - 19 -

ご清聴ありがとうございました本内容の関連サイトもご覧ください当社ホームページ :http://www.witz-inc.co.jp/ プロセス認証プレス発表記事 (Tech-On!): http://techon.nikkeibp.co.jp/article/news/20100512/182502/ TÜV SÜD による認証確認サイト : http://www.tuev-sued.de/industry_and_consumer_products/certificates (Search 欄で "Witz Corporation" と入力してください ) IEC61508 プロセス認証本内容についてのご質問は下記にお願いします株式会社ヴィッツ組込制御開発部機能安全開発室室長森川聡久 morikawa@witz-inc.co.jp Tel: 052-223-7570-20 -