PTC Live Tech Forum 2012 東京 C-4 PTC Integrity 事例講演 ISO26262 ISO26262 2012 年 121 月 12 日 日立オートモティブシステムズ株式会社 技術開発本部主管技師長電子プラットフォーム技術統括 宮崎義弘 Copyright Hitachi Automotive Systems, Ltd. All rights reserved
自動車用機能安全規格 ISO26262 への取り組みとソフトウェア開発ツールの活用事例 Contents 1. 会社概要 2. 近年の車載ソフトウェア開発技術の動向 3. 機能安全への対応 4. 事例 1: 要件管理 トレーサビリティ管理 5. 事例 2: バーチャル ECU( ( 仮想 ECU) 6. まとめ Copyright Hitachi Automotive Systems, Ltd. All rights reserved
1. 会社概要 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 3
会社概要 日立の自動車機器事業は 1930 1930 年自動車用電装品の国産化から開始 2009 2009 年 7 月 : 日立製作所から分社 日立オートモティブシステムズ 商号 事業内容 代表者 日立オートモティブシステムズ株式会社 ( 英文名 :Hitachi Automotive Systems, Ltd.) 自動車部分品及び輸送用並びに産業用機械器具 システムの開発 製造 販売及びサービス 取締役社長 設立 所在地 資本金 2009 年 7 月 1 日 ( 本社事務所 ) 東京都千代田区大手町二丁目 2 番 1 号新大手町ビル 327 億円 ( 株式会社日立製作所 100% 連結ベース ) 売上高 8,115 億円 (2012 年 3 月期 連結ベース ) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 4
製品概要 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 5
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 6 主な製品より Hitachi Inside Hitachi Inside Hitachi Inside Hitachi Inside HEV HEV HEV HEV EV EV EV EV EV EV EV EV ITS ITS ITS ITS (ACC) (ACC) (ACC) (ACC) CMS CMS CMS CMS AT AT AT AT ESC ESC
自動車事業分野における日立グループ協創 先行研究 開発 研究開発本部 日立研究所中央研究所横浜研究所 大学連携 事業会社 日立オートモティブシステムズクラリオン日立ビークルエナジー日立オートモティフ システムス 阪神 World Wide のお客様にソリューション提案 半導体 材料 機能部品グループ 関連会社 海外拠点 Hitachi Automotive Systems Americas Hitachi Automotive Systems Europe 日立汽車部件有限公司 e.t.c. 日立金属 日立電線 日立化成ルネサスエレクトロニクス 日立粉末冶金 新神戸電機他 協創 グローバル対応 サポート Copyright Hitachi Automotive Systems, Ltd. All rights reserved 7
2. 近年の車載ソフトウェア開発技術の動向 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 8
走る 曲がる 止まるの電子制御化の進展 (BBW) (SBW) X-by by-wire Wire - - DI DI 1980 2000 2020 Copyright Hitachi Automotive Systems, Ltd. All rights reserved
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 10 10 10 10 車載コントローラソフトウェアの増大 80 80 80 80 80 80 80 80 ENG ENG ENG ENG AT AT AT AT NAVI AT ENG EPS ABS Power Window Power Window Power Window Power Window Mirror Mirror Mirror Mirror FlexRay/CAN//LIN FlexRay/CAN//LIN FlexRay/CAN//LIN FlexRay/CAN//LIN '81 '85 '88 '90 '92 '94 '96 '98 '00 '02 '04 '06
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 11 11 11 11 電子プラットフォームとは LAN LAN LAN LAN OS OS OS OS BIOS BIOS BIOS BIOS
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 12 12 12 12 車載ソフトウェア開発近年の対策アプローチ AUTOSAR AUTOSAR AUTOSAR AUTOSAR JasPar JasPar JasPar JasPar AUTOSAR AUTOSAR AUTOSAR AUTOSAR JasPar JasPar JasPar JasPar MAAB MAAB MAAB MAAB JMAAB JMAAB JMAAB JMAAB MAAB MAAB MAAB MAAB JMAAB JMAAB JMAAB JMAAB
電子プラットフォーム標準化 :AUTOSAR AUTOSAR (AUTomotive Open Open System System ARchitecture) 2003 2003 2003 7 2003 7 DaimlerChrysler DaimlerChrysler DaimlerChryslerBMW BMW AG Robert AG Robert Bosch Bosch GmbH GmbH Hardware Hardware Abstraction Abstraction Layer Layer OS OS 2007 2009 2007 2009 2009 Phase2 2009 Phase2 Release4.0 Release4.0 Release4.0 Release4.0 2010 2012 2010 2012 2012 Phase3 2012 Phase3 AUTOSAR Copyright Hitachi Automotive Systems, Ltd. All rights reserved 13 13
====モデルベース開発手法とは (Model Based Development) ( ( MBD) MATLAB/Simulink ====Virtual World SILS Rapid HILS Real World JMAAB SILS : Software in the Loop Simulator HILS : Hardware in the Loop Simulator Copyright Hitachi Automotive Systems, Ltd. All rights reserved 14 14
モデルベース開発手法の特徴 (Data Base Management) X STEP2005 ID:001 Rev: A ID:015 Rev: C zzz...xls Simulink egi03.mdl xxx...xls xls Simulink yyyi03. 03.mdl I/O ADC DIO PWM OS ECU HILS () MBD Model Model Based Development ECU Electronic Control Unit HILS : Hardware in the Loop Simulator Copyright Hitachi Automotive Systems, Ltd. All rights reserved 15 15
3. 機能安全への対応 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 16 16
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 17 17 17 17 車載電子制御システムの高度化 複雑化と安全 高品質への要求 ITS : Intelligent Transport Systems HEV : Hybrid Electric Vehicle ISO26262 ISO26262 ISO26262 ISO26262 11/11 11/11 11/11 11/11
機能安全規格 ISO26262 マスター規格である IEC61508 をベースに自動車用機能安全規格 ISO26262 が 2011 年 11 月に国際規格として発効 国際安全規格体系 A 規格 ( 基本安全規格 ) ISO12100 ISO14121 一般設計原則規格リスクアセスメント規格 B 規格 ( グループ安全規格 ) ISO 14119 ISO 13849 IEC 60204 IEC 61508 インターロック規格安全制御システム規格電気設備安全規格機能安全規格 他 C 規格 ( 製品安全規格 ) ISO/IEC ガイド 51 より 工作機械 化学プラント 鉄道 ISO26262 自動車用機能安全規格 他 ISO : International Organization for Standardization : 国際標準化機構 IEC : International Electrotechnical Commission : 国際電気標準会議 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 18 18
機能安全規格 ISO26262 日立グループは 自動車産業 (ISO26262) 分野以外にも 鉄道 エレベータ プラント制御など幅広い産業分野で機能安全に取り組み 鉄道 IEC 62278 自動車 ISO 26262 産業機械 IEC 62061 機能安全規格 IEC 61508 医療機器 IEC 62304 プロセス産業 IEC 61511 電子制御モーター IEC 61800 エレベータ ISO22201 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 19 19
機能安全規格 ISO26262 の特徴 (1) 特徴 1 ISO26262 は開発初期から廃棄に至る自動車の全ライフサイクルをカバーした構成になっている 1. 用語集 2. 全般にわたる管理 3. 7. 安全度水準の決定と割付け 5. ハードウェア開発段階 4. システム開発段階 6. ソフトウェア開発段階 量産以降 コンセプト段階から生産 廃棄まで 8. サブプロセス 共通規定群 9. 安全性関連の解析 10. ISO26262 理解のためのガイド ISO26262の構成 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 20 20
機能安全規格 ISO26262 の特徴 (2) 特徴 2 機能安全の視点で 設計 検証したことを示すよう求められる A. ハザード解析 リスク評価を実施し 目標安全度水準 (ASIL) を設定する 1 自動車用安全度水準である ASIL(Automotive SIL: Safety Integrity Level) を導入 2 ASIL 導出の為の自動車専用の H&R(Hazard analysis & Risk assessment) を規定 3 つのファクタ : E(Exposure: 暴露性 / 事象に曝される頻度 ), C(Controllability: 回避性 ), S(Severity: 危害度 ) により ASIL を導出 B. 目標安全度水準 (ASIL) を達成するような安全機能のモノづくり 3 車載 組み込みシステムの開発プロセス (V モデル ) にマッチした規定構成 ( 全 10 パート ) 4 TS16949 に代表されるプロセスアプローチに加え 適用設計手法などに対する推奨指定 5 安全 という観点で 各工程での計画 要求仕様 設計仕様 検証仕様 等の作成要 C. 目標が達成されていることを証明する 6 目標に対する到達事実をエビデンスとして残すことや ( 開発部門とは独立した組織による ) 機能安全アセスメントの実施が求められている S1 S2 S3 C1 C2 C3 E1 QM QM QM E2 QM QM QM E3 QM QM A E4 QM A B E1 QM QM QM E2 QM QM A E3 QM A B E4 A B C E1 QM QM A E2 QM A B E3 A B C E4 B C D * QM : Quality Management 品質管理レベル (ISO 26262 に応ずる要求事項はない ) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 21 21
ISO26262 関連国内協調活動 ISO 国際審議 国内協調活動 2009 2010 2011 DIS DIS 投票 5 名委員登録 ( うち 1 名は日立 ) DIS コメント処理 FDIS FDIS 投票 11 月 IS 翻訳 + 概説書 規格審議 翻訳 + 解説書 日立より委員供出 マイコン標準化 TF ISO26262 解説書 日立より委員供出 機能安全関連 WG 解説書 ( ソフト編 マイコン編 ) 実証実験 ISO26262 共同研究安全設計専門 WG 解説書 WG ドキュメント標準化 WG Copyright Hitachi Automotive Systems, Ltd. All rights reserved 22 22
機能安全対応 : 日立の取り組み 日立取り組み方針 : 4 重点テーマに基づき社内横断の機能安全対応を推進 重点テーマ 1 規格理解と技術見通し 規格審議 国内標準化活動への参画 日立 Gr 内有識者の知見活用 重点テーマ 2 重点テーマ 3 重点テーマ 4 開発プロセス + 開発手法 & ツール 対応体制 + 教育 製品開発 : 標準基盤 + 個別対応 プロセス差分分析 社内運用ガイド 社内標準規格 (SAS) の制定 & 改正 各部基準の制定 & 改正 開発手法 & ツールの強化 従来組織へのマッピング 社内専門教育教材と全社横断教育 社内資格者 機能安全対応マイコンおよび周辺回路 機能安全対応標準基盤ソフト 個別製品への展開と対応 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 23 23
取り組みの考え方 (1) 日立から見た主な差分 ISO 品質 安全 プロダクト認証 ( 製品毎 ) Automotive SPICE ISO26262 従来の品質管理の要求レベル要求方向が一部異なる ISO26262 規格の規定する安全度水準レベル ASIL D ASIL C プロセス認証 ( 製品毎 ) ASIL B プロセス認証 ( 組織全体 ) TS16949 ASIL A Copyright Hitachi Automotive Systems, Ltd. All rights reserved 24 24
取り組みの考え方 (2) 差分分析 従来開発プロセスとの差分分析により ISO26262 要件とのギャップを抽出 差分分析の進め方 1 従来開発プロセスとの差分を分析し 不足部分を抽出 ( ギャップ分析 ) 2 ギャップ分析時には ISO26262 にて 強く推奨 (++) 以上のものに着目 ( 強く推奨 (++) については 原則として追加方向で検討 ) 3 従来プロセスの方が厳しいレベルの場合は 従来レベルを維持 (ISO26262 だけ見ればレベル下げてもよいが あえて下げることはしない ) ISO26262 顧客標準 コーテ ィンク ルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準 製品開発 システムレヘ ル ハート ウェアレヘ ル ソフトウェアレヘ ル ASIL コンホ ーネント別に決定 日立標準プロセス / 成果物 コーテ ィンク ルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準 ギャップ分析 コーテ ィンク ルール ECU ソフト設計基準 ECU ソフト安全 / 品質標準 日立プロセスに ISO26262 を追加 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 25 25
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 26 26 26 26 開発手法 開発ツールの活用 ECU ECU ECU ECU HILS HILS HILS HILS MUST MUST MUST MUST WANT WANT WANT WANT ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262 ISO26262
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 27 27 27 27 ソフトウェア開発工程への影響とツールへの期待 1 2 MBD MBD MBD MBD PF PF PF PF 3 4 MBD V
4. 事例 1: 要件管理 トレーサビリティ管理 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 28 28
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 29 29 29 29 要件管理とは? = CMMI CMMI CMMI CMMI (*1) (*1) (*1) (*1) Automotive SPICE Automotive SPICE Automotive SPICE Automotive SPICE (*2) (*2) (*2) (*2) (*1)CMMI (Capability Maturity Model Integration ) (*2)Automotive SPICE (SPICE Software Process Improvement and Capability determination Automotive SPICE Automotive SPICE Automotive SPICE Automotive SPICE
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 30 30 30 30 ISO26262 規格の要求 ISO26262 Part ISO26262 Part ISO26262 Part ISO26262 Part -. 6.2 6.2 6.2 6.2 6.4.3 6.4.3 6.4.3 6.4.3 6.4.3.1 6.4.3.1 6.4.3.1 6.4.3.1 a) a) a) a) b) b) b) b) c) c) c) c) NOTE3 NOTE3 NOTE3 NOTE3 d) d) d) d) e) e) e) e) f) f) f) f) ISO26262 ISO26262 ISO26262 ISO26262 6-8 8.4.5 8.4.5 8.4.5 8.4.5 ISO26262 Part8 ISO26262 Part8 ISO26262 Part8 ISO26262 Part8-9 ) b) b) b) b)
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 31 31 31 31 安全要件のトレーサビリティ管理 / / (SPFM/LFM/PMHF) SG) FSR) TSR)
トレーサビリティ管理作業方法 1 ID ID DOC_ID DOC_ID DOC_ID DOC_ID DOC_ID SSR_EPS_1-1 ACT_EPS_0117 EPS0117 f_tqsenxxng_set UTC_SD_EPS0117 SSR_EPS_1-2 ACT_EPS_0119 EPS0117 f_tqsenxxng_set UTC_SD_EPS0117 SSR_EPS_1-3 ACT_EPS_0118 ACT_EPS_0112 EPS0118 ACT_EPS_0112 f_tqsumng_set f_fs_stkrm_chk UTC_SD_EPS0118 UTC_SD_EPS0112 SSR_EPS_1-4 ACT_EPS_0116 EPS0116 Stack_Rm_chk UTC_SD_EPS0116 SSR_EPS_1-5 ACT_EPS_0115 EPS0115 f_tqsenvf3ng_set UTC_SD_EPS0115 2 ID ID ID ID SSR_EPS_3-4 SSR_EPS_3-5 SSR_EPS_3-6 SSR_EPS_3-7 SSR_EPS_3-8 SSR_EPS_3-11 SSR_EPS_3-12 EPS0005 EPS0006 EPS0151 EPS0210 EPS0221 EPS0240 al_chk_3 Another v_xxxtmmolm_if v_xxxtmmtli_set v3_nominal_err UTC_SD_EPS0005 UTC_SD_EPS0010 UTC_SD_EPS0221 UTC_SD_EPS0462 UTC_SD_EPS0463 SSR_EPS_3-13 SSR_EPS_3-14 SSR_EPS_3-15 SSR_EPS_3-16 SSR_EPS_3-17 SSR_EPS_3-18 SSR_EPS_3-19 SSR_EPS_4-13 SSR_EPS_4-14 SSR_EPS_17-3 SSR_EPS_18-1 SSR_EPS_19-1 SSR_EPS_19-2 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 32 32
要件管理ツール例 : PTC 社 Integrity copyright 2012, Parametric Technology Corporation Microsoft /The MathWorks / HP /IBM / SPARX /dspace / BTC / Copyright Hitachi Automotive Systems, Ltd. All rights reserved 33 33
適用事例全体構想 (1) ISO26262 に対応し V 字で規定されている製品開発プロセス ならびに 開発によって生成された成果物を Integrity を活用して管理 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 34 34
適用事例全体構想 (2) V 字で規定された一連の製品開発を以下の 2 つの機能で管理運営 プロジェクト管理 プロセス管理 成果物管理 ( 要件管理 構成管理 ) 各開発プロジェクトの工程 進捗等を管理 必要な作業がモレ無く実施されたか確認し状況に応じてワークフローを制御 各種成果物を管理 要件ー仕様間など成果物間で関連付けしトレース可能な形で管理 PJ Copyright Hitachi Automotive Systems, Ltd. All rights reserved 35 35
適用具体事例 : 紹介部位の位置付け ISO26262 Part3,4 Hazard Analysis and Risk Assesment Failure Mode Safety Goals Functional Safety Requirement(FSR) Technical Safety Requirements(TSR) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 36 36
ツール導入による作業効率改善効果 ( 参考 ) (Excel) (Excel) (Integrity) (Integrity) Excel ISO26262 Part3,4 Excel integrity EXCEL Integrity H Copyright Hitachi Automotive Systems, Ltd. All rights reserved 37 37
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 38 38 38 38 活用拡大に向けての今後の改善要望 / /
5. 事例 2: バーチャル HILS (vhils) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 39 39
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 40 40 40 40 バーチャル ECU( 仮想 ECU) シミュレータとは 01001010 01101011 11101010 01010111 01001010 01101011 11101010 01010111 ( ) ECU ECU ECU ECU ECU ASIC ASIC ASIC ASIC CPU CPU CPU CPU OS OS OS OS FMEA FMEA FMEA FMEA HILS HILS HILS HILS Synopsys Synopsys Synopsys Synopsys /Virtualizer Virtualizer Virtualizer Virtualizer /SBF SBF SBF SBF-SCS SCS SCS SCS No.1 No.1 No.1 No.1
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 41 41 41 41 応用例 : バーチャル HILS(vHILS) HILS 01001010 01101011 11101010 01010111 ECU ( ) Hardware Hardware Hardware Hardware-in in in in-the the the the-loop Simulator) loop Simulator) loop Simulator) loop Simulator) HILS HILS HILS HILS ) (HILS) HILS HILS HILS HILS バーチャルバーチャルバーチャルバーチャル HILS (vhils) ( ) ECU ECU ECU ECU Co-sim ( ECU) Simulator
ADAS への vhils 適用 ADAS ADAS. (ACC ADAS ECU HILS (vhils) 1ECU 2CAN HMI CAN 3 ADAS Advanced Advanced Driver Assistance Systems ACC Adaptive Adaptive Cruise Control 4 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 42 42
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 43 43 43 43 vhils 試行結果 ( 例 ) 試行結果試行結果試行結果試行結果 ( 例 ) (vhils (vhils (vhils (vhils ) = 34% ) = 34% ) = 34% ) = 34% HILS HILS HILS HILS vhils vhils vhils vhils CAN CAN CAN CAN 1/200 1/200 1/200 1/200 ( ) vhils vhils vhils vhils VM VM VM VM N PC PC PC PC N
Copyright Hitachi Automotive Systems, Ltd. All rights reserved 44 44 44 44 次世代のソフト検証環境 : V 2 Cloud User User User User VM: Virtual Machine ( ) (HILS) (HILS) (HILS) (HILS) VM VM VM VM / Test scenarios Simulation data Simulator バーチャルバーチャルバーチャルバーチャル HILS (vhils) Mechanics model Simulator Co-sim MCU model Electronics model software Simulator 1μs 2μs 4μs Time Event A B C OK OK NG Results ECU ECU ECU ECU Test 1 Test 2 Test 3 Test n vhils Computer resource vhils vhils vhils
国内協調活動 : 仮想マイコン応用推進協議会 /vecu-mbd WG ECU ECU MBD MBD URL http://www.vecu-mbd.org/ Copyright Hitachi Automotive Systems, Ltd. All rights reserved 45
6. まとめ Copyright Hitachi Automotive Systems, Ltd. All rights reserved 46 46
まとめ ISO26262 PTC PTC Integrity HILS HILS (vhils) (Data Base M anagem ent) X STEP2005 zzz... xls ID:001 R ev: A Sim ulink egi03. m dl xx x... xls ID :015 R ev: C Sim ulink yyyi 03. mdl I/O ADC DIO PWM OS HILS (vhils) Copyright Hitachi Automotive Systems, Ltd. All rights reserved 47 47
補足 参考文献 JMAAB http://j-maab.cybernet.jp/ ISO26262 ITS ITS,, Vol. 90, no.12, pp. 10-19, 19, 2008,,,, Vol. 91, no.10, pp. 54-57, 57, 2009 Y.Sugure, et.al., "Virtual Engine System Prototyping with High-Resolution FFT for Digital Knock Detection Using CPU Model-Based Hardware/Software Co-simulation," SAE Paper 2009-01 01-0532 0532 Y. Ito et al, "A Model Based Software Validation for Automotive Control Systems", International Conference on Control, Automation and Systems (ICCAS), pp.102, 2010 Y. Ito, et al., "VIRTUAL HILS : A Model-Based Control Software Validation Method", SAE Paper 2011-01 01-1018 1018, 2011 CAR CAR 10 10 ECU ECU,,, 2011 10 10 :,, 2011 12 12 2 ECU ECU, Synopsys Users Meeting Japan 2012 Copyright Hitachi Automotive Systems, Ltd. All rights reserved 48 48
ご静聴静聴ありがとうございました