<4D F736F F F696E74202D F466F72756D F D682CC8EE682E DD82C6835C A4A94AD B838B5F F38DFC E >

自動車用機能安全規格 ISO26262 への取り組みとソフトウェア開発ツールの活用事例 Contents 1. 会社概要 2. 近年の車載ソフトウェア開発技術の動向 3. 機能安全への対応 4. 事例 1: 要件管理トレーサビリティ管理 5. 事例 2: バーチャル ECU( ( 仮想 ECU) 6. まとめ Copyright Hitachi Automotive Systems, Ltd. All rights reserved

会社概要日立の自動車機器事業は 1930 1930 年自動車用電装品の国産化から開始 2009 2009 年 7 月 : 日立製作所から分社日立オートモティブシステムズ商号事業内容代表者日立オートモティブシステムズ株式会社 ( 英文名 :Hitachi Automotive Systems, Ltd.) 自動車部分品及び輸送用並びに産業用機械器具システムの開発製造販売及びサービス取締役社長設立所在地資本金 2009 年 7 月 1 日 ( 本社事務所 ) 東京都千代田区大手町二丁目 2 番 1 号新大手町ビル 327 億円 ( 株式会社日立製作所 100% 連結ベース ) 売上高 8,115 億円 (2012 年 3 月期連結ベース ) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 4

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 6 主な製品より Hitachi Inside Hitachi Inside Hitachi Inside Hitachi Inside HEV HEV HEV HEV EV EV EV EV EV EV EV EV ITS ITS ITS ITS (ACC) (ACC) (ACC) (ACC) CMS CMS CMS CMS AT AT AT AT ESC ESC

自動車事業分野における日立グループ協創先行研究開発研究開発本部日立研究所中央研究所横浜研究所大学連携事業会社日立オートモティブシステムズクラリオン日立ビークルエナジー日立オートモティフシステムス阪神 World Wide のお客様にソリューション提案半導体材料機能部品グループ関連会社海外拠点 Hitachi Automotive Systems Americas Hitachi Automotive Systems Europe 日立汽車部件有限公司 e.t.c. 日立金属日立電線日立化成ルネサスエレクトロニクス日立粉末冶金新神戸電機他協創グローバル対応サポート Copyright Hitachi Automotive Systems, Ltd. All rights reserved 7

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 10 10 10 10 車載コントローラソフトウェアの増大 80 80 80 80 80 80 80 80 ENG ENG ENG ENG AT AT AT AT NAVI AT ENG EPS ABS Power Window Power Window Power Window Power Window Mirror Mirror Mirror Mirror FlexRay/CAN//LIN FlexRay/CAN//LIN FlexRay/CAN//LIN FlexRay/CAN//LIN '81 '85 '88 '90 '92 '94 '96 '98 '00 '02 '04 '06

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 12 12 12 12 車載ソフトウェア開発近年の対策アプローチ AUTOSAR AUTOSAR AUTOSAR AUTOSAR JasPar JasPar JasPar JasPar AUTOSAR AUTOSAR AUTOSAR AUTOSAR JasPar JasPar JasPar JasPar MAAB MAAB MAAB MAAB JMAAB JMAAB JMAAB JMAAB MAAB MAAB MAAB MAAB JMAAB JMAAB JMAAB JMAAB

電子プラットフォーム標準化 :AUTOSAR AUTOSAR (AUTomotive Open Open System System ARchitecture) 2003 2003 2003 7 2003 7 DaimlerChrysler DaimlerChrysler DaimlerChryslerBMW BMW AG Robert AG Robert Bosch Bosch GmbH GmbH Hardware Hardware Abstraction Abstraction Layer Layer OS OS 2007 2009 2007 2009 2009 Phase2 2009 Phase2 Release4.0 Release4.0 Release4.0 Release4.0 2010 2012 2010 2012 2012 Phase3 2012 Phase3 AUTOSAR Copyright Hitachi Automotive Systems, Ltd. All rights reserved 13 13

====モデルベース開発手法とは (Model Based Development) ( ( MBD) MATLAB/Simulink ====Virtual World SILS Rapid HILS Real World JMAAB SILS : Software in the Loop Simulator HILS : Hardware in the Loop Simulator Copyright Hitachi Automotive Systems, Ltd. All rights reserved 14 14

モデルベース開発手法の特徴 (Data Base Management) X STEP2005 ID:001 Rev: A ID:015 Rev: C zzz...xls Simulink egi03.mdl xxx...xls xls Simulink yyyi03. 03.mdl I/O ADC DIO PWM OS ECU HILS () MBD Model Model Based Development ECU Electronic Control Unit HILS : Hardware in the Loop Simulator Copyright Hitachi Automotive Systems, Ltd. All rights reserved 15 15

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 17 17 17 17 車載電子制御システムの高度化複雑化と安全高品質への要求 ITS : Intelligent Transport Systems HEV : Hybrid Electric Vehicle ISO26262 ISO26262 ISO26262 ISO26262 11/11 11/11 11/11 11/11

機能安全規格 ISO26262 マスター規格である IEC61508 をベースに自動車用機能安全規格 ISO26262 が 2011 年 11 月に国際規格として発効国際安全規格体系 A 規格 ( 基本安全規格 ) ISO12100 ISO14121 一般設計原則規格リスクアセスメント規格 B 規格 ( グループ安全規格 ) ISO 14119 ISO 13849 IEC 60204 IEC 61508 インターロック規格安全制御システム規格電気設備安全規格機能安全規格他 C 規格 ( 製品安全規格 ) ISO/IEC ガイド 51 より工作機械化学プラント鉄道 ISO26262 自動車用機能安全規格他 ISO : International Organization for Standardization : 国際標準化機構 IEC : International Electrotechnical Commission : 国際電気標準会議 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 18 18

機能安全規格 ISO26262 日立グループは自動車産業 (ISO26262) 分野以外にも鉄道エレベータプラント制御など幅広い産業分野で機能安全に取り組み鉄道 IEC 62278 自動車 ISO 26262 産業機械 IEC 62061 機能安全規格 IEC 61508 医療機器 IEC 62304 プロセス産業 IEC 61511 電子制御モーター IEC 61800 エレベータ ISO22201 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 19 19

機能安全規格 ISO26262 の特徴 (1) 特徴 1 ISO26262 は開発初期から廃棄に至る自動車の全ライフサイクルをカバーした構成になっている 1. 用語集 2. 全般にわたる管理 3. 7. 安全度水準の決定と割付け 5. ハードウェア開発段階 4. システム開発段階 6. ソフトウェア開発段階量産以降コンセプト段階から生産廃棄まで 8. サブプロセス共通規定群 9. 安全性関連の解析 10. ISO26262 理解のためのガイド ISO26262の構成 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 20 20

機能安全規格 ISO26262 の特徴 (2) 特徴 2 機能安全の視点で設計検証したことを示すよう求められる A. ハザード解析リスク評価を実施し目標安全度水準 (ASIL) を設定する 1 自動車用安全度水準である ASIL(Automotive SIL: Safety Integrity Level) を導入 2 ASIL 導出の為の自動車専用の H&R(Hazard analysis & Risk assessment) を規定 3 つのファクタ : E(Exposure: 暴露性 / 事象に曝される頻度 ), C(Controllability: 回避性 ), S(Severity: 危害度 ) により ASIL を導出 B. 目標安全度水準 (ASIL) を達成するような安全機能のモノづくり 3 車載組み込みシステムの開発プロセス (V モデル ) にマッチした規定構成 ( 全 10 パート ) 4 TS16949 に代表されるプロセスアプローチに加え適用設計手法などに対する推奨指定 5 安全という観点で各工程での計画要求仕様設計仕様検証仕様等の作成要 C. 目標が達成されていることを証明する 6 目標に対する到達事実をエビデンスとして残すことや ( 開発部門とは独立した組織による ) 機能安全アセスメントの実施が求められている S1 S2 S3 C1 C2 C3 E1 QM QM QM E2 QM QM QM E3 QM QM A E4 QM A B E1 QM QM QM E2 QM QM A E3 QM A B E4 A B C E1 QM QM A E2 QM A B E3 A B C E4 B C D * QM : Quality Management 品質管理レベル (ISO 26262 に応ずる要求事項はない ) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 21 21

ISO26262 関連国内協調活動 ISO 国際審議国内協調活動 2009 2010 2011 DIS DIS 投票 5 名委員登録 ( うち 1 名は日立 ) DIS コメント処理 FDIS FDIS 投票 11 月 IS 翻訳 + 概説書規格審議翻訳 + 解説書日立より委員供出マイコン標準化 TF ISO26262 解説書日立より委員供出機能安全関連 WG 解説書 ( ソフト編マイコン編 ) 実証実験 ISO26262 共同研究安全設計専門 WG 解説書 WG ドキュメント標準化 WG Copyright Hitachi Automotive Systems, Ltd. All rights reserved 22 22

機能安全対応 : 日立の取り組み日立取り組み方針 : 4 重点テーマに基づき社内横断の機能安全対応を推進重点テーマ 1 規格理解と技術見通し規格審議国内標準化活動への参画日立 Gr 内有識者の知見活用重点テーマ 2 重点テーマ 3 重点テーマ 4 開発プロセス + 開発手法 & ツール対応体制 + 教育製品開発 : 標準基盤 + 個別対応プロセス差分分析社内運用ガイド社内標準規格 (SAS) の制定 & 改正各部基準の制定 & 改正開発手法 & ツールの強化従来組織へのマッピング社内専門教育教材と全社横断教育社内資格者機能安全対応マイコンおよび周辺回路機能安全対応標準基盤ソフト個別製品への展開と対応 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 23 23

取り組みの考え方 (1) 日立から見た主な差分 ISO 品質安全プロダクト認証 ( 製品毎 ) Automotive SPICE ISO26262 従来の品質管理の要求レベル要求方向が一部異なる ISO26262 規格の規定する安全度水準レベル ASIL D ASIL C プロセス認証 ( 製品毎 ) ASIL B プロセス認証 ( 組織全体 ) TS16949 ASIL A Copyright Hitachi Automotive Systems, Ltd. All rights reserved 24 24

取り組みの考え方 (2) 差分分析従来開発プロセスとの差分分析により ISO26262 要件とのギャップを抽出差分分析の進め方 1 従来開発プロセスとの差分を分析し不足部分を抽出 ( ギャップ分析 ) 2 ギャップ分析時には ISO26262 にて強く推奨 (++) 以上のものに着目 ( 強く推奨 (++) については原則として追加方向で検討 ) 3 従来プロセスの方が厳しいレベルの場合は従来レベルを維持 (ISO26262 だけ見ればレベル下げてもよいがあえて下げることはしない ) ISO26262 顧客標準コーティンクルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準製品開発システムレヘルハートウェアレヘルソフトウェアレヘル ASIL コンホーネント別に決定日立標準プロセス / 成果物コーティンクルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準ギャップ分析コーティンクルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準日立プロセスに ISO26262 を追加 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 25 25

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 26 26 26 26 開発手法開発ツールの活用 ECU ECU ECU ECU HILS HILS HILS HILS MUST MUST MUST MUST WANT WANT WANT WANT ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 29 29 29 29 要件管理とは? = CMMI CMMI CMMI CMMI (*1) (*1) (*1) (*1) Automotive SPICE Automotive SPICE Automotive SPICE Automotive SPICE (*2) (*2) (*2) (*2) (*1)CMMI (Capability Maturity Model Integration ) (*2)Automotive SPICE (SPICE Software Process Improvement and Capability determination Automotive SPICE Automotive SPICE Automotive SPICE Automotive SPICE

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 30 30 30 30 ISO26262 規格の要求 ISO26262 Part ISO26262 Part ISO26262 Part ISO26262 Part -. 6.2 6.2 6.2 6.2 6.4.3 6.4.3 6.4.3 6.4.3 6.4.3.1 6.4.3.1 6.4.3.1 6.4.3.1 a) a) a) a) b) b) b) b) c) c) c) c) NOTE3 NOTE3 NOTE3 NOTE3 d) d) d) d) e) e) e) e) f) f) f) f) ISO26262 ISO26262 ISO26262 ISO26262 6-8 8.4.5 8.4.5 8.4.5 8.4.5 ISO26262 Part8 ISO26262 Part8 ISO26262 Part8 ISO26262 Part8-9 ) b) b) b) b)

トレーサビリティ管理作業方法 1 ID ID DOC_ID DOC_ID DOC_ID DOC_ID DOC_ID SSR_EPS_1-1 ACT_EPS_0117 EPS0117 f_tqsenxxng_set UTC_SD_EPS0117 SSR_EPS_1-2 ACT_EPS_0119 EPS0117 f_tqsenxxng_set UTC_SD_EPS0117 SSR_EPS_1-3 ACT_EPS_0118 ACT_EPS_0112 EPS0118 ACT_EPS_0112 f_tqsumng_set f_fs_stkrm_chk UTC_SD_EPS0118 UTC_SD_EPS0112 SSR_EPS_1-4 ACT_EPS_0116 EPS0116 Stack_Rm_chk UTC_SD_EPS0116 SSR_EPS_1-5 ACT_EPS_0115 EPS0115 f_tqsenvf3ng_set UTC_SD_EPS0115 2 ID ID ID ID SSR_EPS_3-4 SSR_EPS_3-5 SSR_EPS_3-6 SSR_EPS_3-7 SSR_EPS_3-8 SSR_EPS_3-11 SSR_EPS_3-12 EPS0005 EPS0006 EPS0151 EPS0210 EPS0221 EPS0240 al_chk_3 Another v_xxxtmmolm_if v_xxxtmmtli_set v3_nominal_err UTC_SD_EPS0005 UTC_SD_EPS0010 UTC_SD_EPS0221 UTC_SD_EPS0462 UTC_SD_EPS0463 SSR_EPS_3-13 SSR_EPS_3-14 SSR_EPS_3-15 SSR_EPS_3-16 SSR_EPS_3-17 SSR_EPS_3-18 SSR_EPS_3-19 SSR_EPS_4-13 SSR_EPS_4-14 SSR_EPS_17-3 SSR_EPS_18-1 SSR_EPS_19-1 SSR_EPS_19-2 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 32 32

要件管理ツール例 : PTC 社 Integrity copyright 2012, Parametric Technology Corporation Microsoft /The MathWorks / HP /IBM / SPARX /dspace / BTC / Copyright Hitachi Automotive Systems, Ltd. All rights reserved 33 33

適用事例全体構想 (2) V 字で規定された一連の製品開発を以下の 2 つの機能で管理運営プロジェクト管理プロセス管理成果物管理 ( 要件管理構成管理 ) 各開発プロジェクトの工程進捗等を管理必要な作業がモレ無く実施されたか確認し状況に応じてワークフローを制御各種成果物を管理要件ー仕様間など成果物間で関連付けしトレース可能な形で管理 PJ Copyright Hitachi Automotive Systems, Ltd. All rights reserved 35 35

適用具体事例 : 紹介部位の位置付け ISO26262 Part3,4 Hazard Analysis and Risk Assesment Failure Mode Safety Goals Functional Safety Requirement(FSR) Technical Safety Requirements(TSR) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 36 36

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 40 40 40 40 バーチャル ECU( 仮想 ECU) シミュレータとは 01001010 01101011 11101010 01010111 01001010 01101011 11101010 01010111 ( ) ECU ECU ECU ECU ECU ASIC ASIC ASIC ASIC CPU CPU CPU CPU OS OS OS OS FMEA FMEA FMEA FMEA HILS HILS HILS HILS Synopsys Synopsys Synopsys Synopsys /Virtualizer Virtualizer Virtualizer Virtualizer /SBF SBF SBF SBF-SCS SCS SCS SCS No.1 No.1 No.1 No.1

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 41 41 41 41 応用例 : バーチャル HILS(vHILS) HILS 01001010 01101011 11101010 01010111 ECU ( ) Hardware Hardware Hardware Hardware-in in in in-the the the the-loop Simulator) loop Simulator) loop Simulator) loop Simulator) HILS HILS HILS HILS ) (HILS) HILS HILS HILS HILS バーチャルバーチャルバーチャルバーチャル HILS (vhils) ( ) ECU ECU ECU ECU Co-sim ( ECU) Simulator

ADAS への vhils 適用 ADAS ADAS. (ACC ADAS ECU HILS (vhils) 1ECU 2CAN HMI CAN 3 ADAS Advanced Advanced Driver Assistance Systems ACC Adaptive Adaptive Cruise Control 4 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 42 42

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 43 43 43 43 vhils 試行結果 ( 例 ) 試行結果試行結果試行結果試行結果 ( 例 ) (vhils (vhils (vhils (vhils ) = 34% ) = 34% ) = 34% ) = 34% HILS HILS HILS HILS vhils vhils vhils vhils CAN CAN CAN CAN 1/200 1/200 1/200 1/200 ( ) vhils vhils vhils vhils VM VM VM VM N PC PC PC PC N

Copyright Hitachi Automotive Systems, Ltd. All rights reserved 44 44 44 44 次世代のソフト検証環境 : V 2 Cloud User User User User VM: Virtual Machine ( ) (HILS) (HILS) (HILS) (HILS) VM VM VM VM / Test scenarios Simulation data Simulator バーチャルバーチャルバーチャルバーチャル HILS (vhils) Mechanics model Simulator Co-sim MCU model Electronics model software Simulator 1μs 2μs 4μs Time Event A B C OK OK NG Results ECU ECU ECU ECU Test 1 Test 2 Test 3 Test n vhils Computer resource vhils vhils vhils

まとめ ISO26262 PTC PTC Integrity HILS HILS (vhils) (Data Base M anagem ent) X STEP2005 zzz... xls ID:001 R ev: A Sim ulink egi03. m dl xx x... xls ID :015 R ev: C Sim ulink yyyi 03. mdl I/O ADC DIO PWM OS HILS (vhils) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 47 47

補足参考文献 JMAAB http://j-maab.cybernet.jp/ ISO26262 ITS ITS,, Vol. 90, no.12, pp. 10-19, 19, 2008,,,, Vol. 91, no.10, pp. 54-57, 57, 2009 Y.Sugure, et.al., "Virtual Engine System Prototyping with High-Resolution FFT for Digital Knock Detection Using CPU Model-Based Hardware/Software Co-simulation," SAE Paper 2009-01 01-0532 0532 Y. Ito et al, "A Model Based Software Validation for Automotive Control Systems", International Conference on Control, Automation and Systems (ICCAS), pp.102, 2010 Y. Ito, et al., "VIRTUAL HILS : A Model-Based Control Software Validation Method", SAE Paper 2011-01 01-1018 1018, 2011 CAR CAR 10 10 ECU ECU,,, 2011 10 10 :,, 2011 12 12 2 ECU ECU, Synopsys Users Meeting Japan 2012 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 48 48

ご静聴静聴ありがとうございました