TERAS第1回成果報告会 機能安全に必要な トレーサビリティとは 2012年3月19日 TERAS 技術委員会 株式会社ヴィッツ 組込制御開発部 機能安全開発室 森川 聡久 IEC61508 プロセス認証 Copyright Witz Corporation 2012 本日の内容 • 機能安全認証の取得に際してトレーサビリティ をどのように役立てるのかを実体験から紹介し ます。 • • • • 1.ヴィッツの会社紹介 2.TERASにおけるヴィッツの役割 3.機能安全に必要なトレーサビリティ要件 4.トレーサビリティ管理事例紹介 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -2- 株式会社ヴィッツ 会社概要 設立 : 1997年6月 社員数 : 85名 (2011年9月現在 ) 得意分野: ・ ECU ( Electronic Control unit ) ソフトウェア開発 ・ 家電組込みソフトウェア開発 ・ NC ( Numerical Control ) ソフトウェア開発 ・ モデルベース開発 ( HILS, SILS etc ) ・ リアルタイムオペレーティングの研究開発 ・ 組込みシステム研究開発 ・ 機能安全 ( ソフトウェア開発, コンサルタント ) Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -3- オープンソースコントリビュータ ヴィッツは組込ソフトウェアのオープンソースディストリビュータであるTOPPERS プロジェクト(http://www.toppers.jp/en/index.html)を支援しています ヴィッツからいくつかのソフトウェアを提供し、TOPPERSから一般公開中 ヴィッツが提供したソフトウェア一覧 ・ TOPPERS/ATK1 Kernel ATK=AuTomotive Kernel Version1 OSEK/VDX OS仕様準拠 ・ FlexRay software セット Time Triggered Module (TTM) for TOPPERS/ATK1 FlexRay 通信ミドルウェア ・ TOPPERS/ ASP Safety 基本仕様 μITRON 4.0 IEC 61508 SIL3 Capable Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -4- ヴィッツの製品 (RTOS) Industrial Package μITRON API IEC 61508 SIL 3 Capable with fail detect library AUTOSAR Package AUTOSAR 4.0 API Automotive Package OSEK/VDX API Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -5- 研究実績 研究中のプロジェクト ( 経済産業省予算分 ): ・ 故障未然防衛機能を有した高信頼ソフトウェアプラットフォームの開発. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 名古屋大学, 産総研. ・ 組込みシステムにおける性能評価ツールの研究. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 兵庫県立大学 ・ 形式的仕様記述を用いた高信頼ソフトウェア開発プロセスの研究とツール開発. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 北海道企業, 産総研 等. ・ 安全技術を導入した搭乗型生活支援ロボットの研究開発. 期間: 2011年度- 2013年度, 研究メンバ: ヴィッツ, アイシン精機, 未来ロボッ ト研究所 ・ 品質説明力向上に向けたオープンツールプラットフォーム構築事業. 期間: 2011年度- 2013年度, 研究メンバ: ヴィッツ, CATS 等 研究終了プロジェクト: ・ 機能安全 (IEC 61508 SIL 3 ) に準拠した自動車プラットフォームの研究開発 ・ 保護機能 RTOS の研究開発 ・ 自動車向けタイムトリガードOSの研究開発 ・ FlexRay 通信ミドルウェアの研究開発 等. Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -6- ヴィッツの機能安全への取り組み • IEC 61508 SIL3ソフトウェア開発プロセス認証取得【日本初】 – 2010年4月22日 国際認証機関 TÜV SÜD より • ISO 26262 ASILDソフトウェア開発プロセス認証 • 機能安全対応RTOS販売【日本製初】 – – – – – 製品名:Owls Industrial Safety Package μITRON4.0ベース 故障検出ライブラリ付属(アプリ側の負担を軽減) 安全コンセプトは、認証機関のレビュー済 1重系:SIL2、2重系:SIL3 システムに適用可能 • 高信頼ソフトウェアプラットフォームを開発中 – サポイン:2010年8月~2013年3月(3年間) • 機能安全支援ツールの開発 – – – – トレーサビリティ管理ツール FSMP作成支援ツール 安全設計支援、SIL評価ツール HAZOP支援ツール • 形式手法技術の実用化研究 – VDM、Bメソッド、Event B、Z記法 – 要求仕様書の信頼性評価とプロセス検討 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 TÜV SÜD による認証確認サイト http://www.tuevsued.de/industry_and_consumer_ products/certificates (Search欄で、"Witz Corporation"と入 力してください) -7- トレーサビリティ管理支援ツール 本ツール上で、複数 文書間のレビュー、影 響分析が可能 表表示画面 レビュー、影響分 析のエビデンスを レポート生成 プロジェクト 管理画面 図表示画面 平成21年度 全国中小企業団体中央会 試作開発等支援事業 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 -8- 主な機能安全支援実績 ・プロセス構築から、技術面の評価、認証取得支援まで、全面支援が可能 ・一般規格IEC 61508の経験を活かし、広分野での支援が可能 <機能安全対応コスト> 数億円~数十億円、数年間 弊社の 知見投入 <対象規格実績> IEC 61508(一般) ISO 26262(自動車) ISO 13849(工作機械) IEC 61784(通信) ISO 13482(サービスロボット) わからないから 莫大なコストがか かる 期間半減!! 費用半減!! を目指した支援 支援項目 機能安全管理規定の構築 安全分析、安全設計 SIL算出評価 機能安全対応ソフトウェア開発 ツールの機能安全信頼性分析 トレーサビリティ管理ツール導入 機能安全対応RTOS導入 機能安全規格解説(無料コ ンサル) 機能安全認証取得支援 Copyright Witz Corporation 2012 A社 B社 C社 D社 E社 F社 G社 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 2012/3/19 TERAS第1回成果報告会 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 2011年4月現在 -9- TERASにおけるヴィッツの役割 トレーサビリティツールは機能安全対応にて重要! → 役割:機能安全の必要要件・知見をTERASに投入。 担当:機能安全規 格に必要なトレーサ ビリティ要件を確保 したプラットフォーム 仕様の検討 プラットフォームWG サブリーダー (WITZ 鵜飼) 要件制御WG サブリーダー (WITZ 松岡) 担当:機能安全対 応に必要なALMの 機能要件の検討 Copyright Witz Corporation 2012 ※TERAS 要件制御WG 第2回会議資料より転用 2012/3/19 TERAS第1回成果報告会 - 10 - 機能安全に必要なトレーサビリティ要件の整理 プロセス監査成果物 プロセス規定 要 プロセスのトレーサビリティ テ 監 IEC 61508:2010 3-7.7.2.5、3-8、3-Table A.10 ISO 26262:2011 2-Table B.1、2-C.2.2 テ 設 変更管理のトレーサビリティ IEC 61508:2010 3-Table A.8 ISO 26262:2011 8-8.4.1.1 実 取説 開発成果物 要 要件のトレーサビリティ IEC 61508:2010 1-7.14.2.2、2-7.2.2.2 c)、2-7.7.2.2、2-Table B.6、3-Table A.1、 3-Table A.2、3-Table A.4、3-Table A.5、3Table A.6、3-Table A.7、3-Table A.9 ISO 26262:2011 2-C.2.2、3-8.4.5.1 b) 、 5-7.4.1.5、5-7.4.5.3、6-7.4.2 a)、6-8.4.5 b)、7-5.4.1.2 c)、7-6.4.1.3 d)、8-6.4.3.2、 8-14.4.3.1 a) テ 設 変更記録 テ 構成 管理 変更 管理 最新 復元 過去 実 構成管理のトレーサビリティ ISO 26262:2011 8-7 検証成果物 Copyright Witz Corporation 2012 検 検 検 検 2012/3/19 TERAS第1回成果報告会 検 検 - 11 - トレーサビリティの種類と目的 • 目的:要件が正しく(完全性や一貫性) 実装・テストされていることを保証 狭義の トレーサビリティ – 要件のトレーサビリティ • 目的:再現性(再検証) – – – – 要件のトレーサビリティ プロセスのトレーサビリティ 変更管理のトレーサビリティ 構成管理のトレーサビリティ Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 広義のトレーサビリティ =管理、文書化の要件 - 12 - 要件のトレーサビリティ管理とは • 要件毎に固有の番号を付け、管理が必要 • 全ての要求事項のトレーサビリティを、末端(テスト項目やソース コード)まで確保が必要 • ハードウェア部品も対象 安全コンセプト 仕様書 H/W仕様書 システムテスト仕様 設計書 単体テスト仕様 • トレーサビリティ管理の目的 – 厳密な一致性検証(Verification)(=安全証明) • 過不足、矛盾が無いこと – 変更時の影響分析 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 これらを実現できる 「粒度」が重要 - 13 - 要件のトレーサビリティ管理の粒度 • 細かい粒度でのトレーサビリティの確保が必要 – 1要求1項目の管理 – ソースコードでは関数単位相当 • トレーサビリティの粒度が粗いと・・・ – 影響分析の際に対象範囲が広域となる。 – 厳密な検証ができなくなり、安全証明の意味が薄らぐ。 ■適切なトレーサビリティ粒度の例 例1)電動カートの仕様書(当社開発) アクセルペダルを踏み込むことにより、 モータコントローラにオペレータの意図を 伝え、モータの回転数を操作する。これ により車体が進行する速度を調節する。 [SS_SP0001-0005] Copyright Witz Corporation 2012 例2)AUTOSAR文書 2012/3/19 TERAS第1回成果報告会 - 14 - 体験談:要件のトレーサビリティ管理の難しさ 適切なトレーサビリティ管理をしないと、管理の利点を活かすことができなくなる。 一般的なシステムの場合 数十項目 要求 仕様書 詳細 設計書 数百~ 数千項目 特に問題なし Copyright Witz Corporation 2012 理想系 数百~ 数千項目 要求 仕様書 1000項目 (詳細) アーキテクチャ 数十~ 設計書 数百項目 > 詳細 設計書 数十項目 新規作成 アーキテクチャ 数十~ 設計書 数百項目 > アーキテクチャ 数十~ 設計書 数百項目 汎用的なSW-Cの場合に 生じやすい問題 要求 仕様書 (概要) 1000項目 > > 要求 仕様書 RTOSの場合 ※当社の実施事例 アーキテクチャ設計は 概略レベルのため、詳 細な要求項目が一旦集 約されてしまう。 これでは、トレーサビリ ティ管理の意味がない。 2012/3/19 TERAS第1回成果報告会 詳細 設計書 数百~ 数千項目 - 15 - 体験談:要件のトレーサビリティ管理の改善 • Step1:機能安全への対応 – 要件の明確化(文書化) – トレーサビリティ番号の付加 プ ロ セ ス 改 善 • Step2:トレーサビリティ番号の整理 – シンプルなトレーサビリティ関係 ⇒ 検証効率、検証精度の向上 • Step3:開発文書テンプレートの改善 ※何度か試行錯誤するしかない。 – 章立て – 自然にトレーサビリティ粒度を制限 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 - 16 - 要件のトレーサビリティ管理方法 ①トレーサビリティマトリクス(TM) 要 要 設 テ 設 設 テ 実 • 機能安全にてツールは必須で はない。 • 影響分析が不便 • 規模が大きくなると、ツール無し では管理が大変 実 ②トレーサビリティ管理ツール • ユーザが番号を付ける • ツールが番号を内部管理する Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 - 17 - トレーサビリティ管理ツールに求められる機能 • 要件のトレーサビリティ • 使用目的:開発者の検証、影響分析 • 機能: • トレーサビリティ情報の登録のしやすさ • Verificationのしやすさ(確認、記録) • 開発文書更新時の対応のしやすさ(構成管理連携) • 再現性のためのトレーサビリティ • 使用目的:第3者検証 • 機能: • • • • プロセス規定と開発成果物とのトレーサビリティ 開発成果物と検証成果物とのトレーサビリティ 開発成果物と監査成果物とのトレーサビリティ 更新内容のトレーサビリティ(変更管理、構成管理連携) Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 - 18 - 将来TERASでやりたいこと • TERASを使って事業化 • ①TERAS(オープンツール)を上手く活用した機能安全 対策支援 • ②機能安全対応が楽になるプラグインの開発・販売 – 第3者審査を楽にするもの – 品質・安全説明力向上 を楽にするもの – 認証経験や認証支援 経験を活かして、 随時ツール化を予定 機能安全プラグイン(便利機能) ※TERAS 要件制御WG 第2回会議資料より転用 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 - 19 - ご清聴ありがとうございました。 本内容の関連サイトもご覧ください。 ◎当社ホームページ:http://www.witz-inc.co.jp/ ◎プロセス認証プレス発表記事(Tech-On!): http://techon.nikkeibp.co.jp/article/NEWS/20100512/182502/ ◎TÜV SÜD による認証確認サイト: http://www.tuev-sued.de/industry_and_consumer_products/certificates (Search欄で、"Witz Corporation"と入力してください) 本内容についてのご質問は下記にお願いします 株式会社ヴィッツ 組込制御開発部 機能安全開発室 室長 森川 聡久 [email protected] IEC61508 プロセス認証 Tel: 052-223-7570 Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 - 20 -
© Copyright 2024 Paperzz