Reactis を使った MBD 検証プロセスの構築 ∼ MBD 採用から現在までの道のり ∼ 日産グループは、モデルベース検証プロ一般的な Validation 作業は、要求から決められモデルベース検証ツール Reactis を適用していま期待値と仕様から求められる結果とを比較してセスにおいて、Reactive Systems.,Inc の開発したす。今回、この適用事例およびその経緯を紹介します。当社の量産車における最初のモデルベース開発（以下 MBD）適用は、2000 モデルイヤーの Sentra る例題（テストケース）をテスト対象に入力し、両者が一致するか確認することなので、それ自体は特に難しい作業ではありません。ここで問題となるのは、「検証の質」、すなわち網羅性をどうやって向上するか、になります。制御仕様の源となる要求定義の大半は、その CA (Clean Air) です。このクルマは、世界初の P-Z 制御でやりたいことが記述されているのが普通 alifornia Air Resources Board) により認定されましースは「やりたいことができるか？」の観点で EV (Partial Zero Emission Vehicle) として CARB (C た。この事により MBD の推進に一気に弾みがつきました。次のテーマとなったのが、ソフトウェアの品質でした。Fig.1 が示すように年々、エンジン制御に求められる要求は増えており、制御ソフトウェアは大規模・複雑化しています。同時に、開発期間の短縮を求められています。こうした厳しい環境下でソフトウェアの品質を確保するためには、MBD のメリットを活かす体系化された検証プロセスの構築や開発支援ツール・教育などの環境整備が必要なので、これらに取り組みました。であり、当然のことながら制御仕様やテストケ作られます。これらは想定の範囲内ですから、制御仕様は正しく作られており、検証で問題が検出されることも稀です。問題となるのは、その対極にある「起きて欲しくないことが起きないか？」であり、これに対する仕様や検証が抜け漏れることです。しかも、この想定外の問題を発見できるチャンスは試作ソフトウェア完成後になるので対策コストは高くなります。逆に、「起きてほしくないこと」を完璧に要求定義できるなら、それに基づいた正しい仕様設計ができますし、検証自体も単なる確認テストとなるはずですが、これは極めて理想論で現実には実行不可能です。このような水面下に隠れた要求を明らかにして、制御仕様がそれらを満たすことを確認するために、当社では逆転の発想をしました。 Simulink® を使った「実行可能な制御仕様書」はコントローラに実装されるべき制御ロジック MBD 検証プロセス：制御ソフトウェアの検証は大別すると、制御仕様が要求を満たしているか（Validation）と、制御ロジックが制御仕様どおりか (Veriﬁcation）の二つに分けられます。Reactis は先の二つのうち、Vali dation に対して適用されています。 http://www.reactive-systems.com Copyright（C） 2013 Reactive Systems,Inc All Rights Reserved そのものであり論理的な曖昧さが排除されています。したがって、この「実行可能な制御仕様書」から、それ自体を 100% 網羅するテストケースを生成し、予め用意したテストケースと比較すれば要求定義や想定条件の網羅性がチェックできます。すなわち、両者が等価であれば、論理的に「やりたいこと」も「起きて欲しく Reactive Systems,inc Tomorrow’s Software Today® ないこと」も想定されており、そのまま結果を選定理由：ストケースが追加されているのであれば、それ自動生成できるツールはいくつかありましたが、クや要求の再定義をおこなうこととなり、同時ていました。もちろん、当社の業務プロセスに適のようにして、「実行可能な制御仕様書」に記載それらの解決も迅速なので導入しました。また、性が判断されるのです。また、従来よりも早いでも改善･機能追加要望を提案し改良を依頼してストが安くなることも見込めます。では、現在も Reactis を標準ツールとして位置付当時、Simulink® モデルからテストケースを確認するだけでよいことになります。逆に、テらの期待値を再考することで、仕様の再チェッ Reactis のコストパフォーマンスの良さは群を抜いに検証の網羅度も向上することができます。こ用するためには、いくつかの問題がありましたが、されたロジックは、全ての可能性に対して妥当検証工程における更なる効率化を図るため、現在段階で Validation 作業がおこなえるので修正コいます。この様な経緯により当社の検証プロセスただし、仕様提示前の短期間で膨大な量のテスけています。手作業では成り立ちません。そこで、Reactis を Reactis の利点：トケースを再び作成しなくてはならないため、使った自動化が必須となるのです。積分要素などの状態量を持つロジックの網羅度を適合要求把握 Reactis generates tests attaining 100% MC/DC coverage システム仕様設計システム検証コンポーネント仕様設計単なる静的解析に基づいたテストケース生成は、検証上げることが困難です。これに対し、Reactis は半自動ながら動的解析も設定できるので、手間を掛けずに 100% に近いテストケースが自動生成できます。また、自動生成で未達部分が生じても、手動でのテストケース作成を支援する強力な UI を備コンポーネント検証コンポーネント詳細設計えています。これらのアドバンテージを利用して短期間で網羅度の高いテストケースを作成することができています。コード生成インプリメンテーション Fig.2: 当社の MBD 検証プロセスにおける Reactis の位置付け MBD 検証プロセスの啓蒙：検証プロセスとルールの定義、開発環境の構築、担当者のスキルアップ、実施状況のモニターおよび改善活動をおこないました。中でも新しいルールを設計者に徹底させるための啓蒙活動に苦労しました。特に検証プロセスの業務適用当初は、 Reactis を効率的に使用するためのノウハウもあまりなく、従来プロセスと比べて作業量が増えたと実績： MBD 検証プロセスは、エンジンの VVEL(Variable Valve Event & Lift）システムや、GT-R の過給圧制御システムをはじめとする、全てのパワートレイン制御開発に適用されています。また、最近では EV、ボディ電装系の制御開発での業務適用も進んでいます。 *MATLAB®/Simulink® は、MathWorks,Inc. の登録商標です。思う設計者も少なくありませんでしたが、今日では、様々なツール改善、ノウハウ等により、効率良く検証できるようになっています。 http://www.reactive-systems.com Copyright（C） 2013 Reactive Systems,Inc All Rights Reserved Reactive Systems,inc Tomorrow’s Software Today®