IAR Embedded Workbench
コンパイラ機能安全ライセンス
www.iar.com 無断転載/コピー禁止
IARの機能安全認証向けソリューション
•
EWARM、EWRX 機能安全バージョン
•機能安全証明書
•セーフティガイド
•バージョン固定サービス
•バグレポート
•優先サポート
•
EWARM、EWRX共通
•自己宣言書(保守契約ユーザーのみ)
•MISRA C チェッカ
•コードカバレッジ
2
直接関係する部分については、
IEC 61508 電気・電子・プログラマブル電子安全(E/E/PES)に関する規格
ISO 26262 自動車分野向け
参考:機能安全に関する対象エリア
IEC 61508からの派生した規格
産業機械
: IEC62061
原子力
: IEC61513
ロボット
: ISO10218
医療
: IEC62304
鉄道
: IEC62278
フィールドバス
: IEC61784
電子制御モータ
: IEC61800
品質を管理する必要があるものは、
ほぼ同じ仕組み
/取り組みが必要になります。
・・・
www.iar.com 無断転載/コピー禁止
参考:IEC61508とその派生規格
•
電子機器全般の機能安全規格「
IEC61508」を土台に様々
な工業分野向けの派生規格が存在
分 野 名 称 内 容 医療機器分野 IEC 62304 医療機器ソフトウェアのライフサイクル IEC 60601 医療機器の安全性 自動車分野 ISO 26262 自動車の電気/電子に関する機能安全鉄道分野 IEC 62278 RAMS: Reliability, Availability, Maintainability, Safety
IEC 62279 ソフトウェア安全性
IEC 62280 安全に関する情報伝達
IEC 62425 システムの安全性
FA分野 IEC 62061 産業機械E/E/PE(電気/電子/プログラマブル電子)制御システム
IEC 61800-5-2 電子制御モータ可変速ドライブ
IEC 13849-1 機械安全制御システム
EW機能安全ライセンスとは?
Part2: 機能安全管理 Part3: コンセプトフェーズ Part4: システム開発 Part5: ハード開発 Part6: ソフト開発 Part7: 生産と運転 Part8: 支援 Part1: 用語集 Part9: ASIL指向・安全指向分析 SWツール認定 6.5 SW開発開始 SW安全要求定義 SWアーキテクチャ設計 6.8 SW単体設計 6.9 SW単体テスト 6.10SW結合テスト SW安全要求検証 SWコンポーネント認定 ・・・ 1パートだがユーザーが 苦労を要する。 EW機能安全ライセンスが 有効www.iar.com 無断転載/コピー禁止無断転載/コピー禁止
機能安全とは?
危険には「頻度」と「程度」があります。
機能安全と本質安全では方向性が異なります。
危険の「頻度」を下げる取組
→品質改善→この究極(危険ゼロ)が本質安全
不具合などが起きた際、被害の「程度」をおさえる
→機能安全
品質改善(本質安全)と機能安全は異なるものです。
品質改善と機能安全を組み合わせて、危険を低減していきます。
例)電車踏切内の衝突事故をなくしたい時に・・・
立体交差にして衝突事故を完全に防ぐことが本質安全
踏切に遮断機、警報装置を付けるなど事故率を下げるのが機能安全
6
Risk
Compiler
Analysis Tools,
Testing product etc..
Evidence,
Document
機能安全とは?
リスクの最小化 様々な側面からリスクを最小化するのが機能安全
ソフトで解消できないリスクをハード側で吸収するやり方もあります。
ソフト資産における機能安全の取り組み
www.iar.com 無断転載/コピー禁止
機能安全認証の実態
•
エンジニアが力技で全て対応するのはほぼ不可能です
ツール認定
コンポーネント認定
変更管理
構成管理
ハザード分析
技術安全要求定義
安全妥当性確認
SW安全要求定義
コーディングガイドSW安全要求検証
管理方法
・・・
設計者が力技で対応
設計者が力技で対応し難い領域
8
機能安全認証の実態
他ユーザーの資産を公開することになるから
認証機関によってやり方、考え方が様々だから
具体例が少ない
or ないから
認証機関やコンサル会社は、「効率的な認証のとり方は」教えてくれません。
コンサル
/認証会社を使っても簡単には取れません。
www.iar.com 無断転載/コピー禁止無断転載/コピー禁止
機能安全認証の実態
単品で必ず認証が取れるというツールやデバイスは存在しません。
各項目の確認をユーザーがやると、非常に大きな工数を必要とし
ます。
一部のツール
/デバイスメーカーは、機能安全対応メニューを用意
しています。
各メーカーの機能安全メニューをうまく活用して下さい
10
機能安全対応のコツ
機能安全認証を
1つのゴールとした場合に必要なのは・・・
1.認証機関やコンサル会社の活用
2.監査に対して、どれだけエビデンスや対抗策を用意できるか。
1はユーザー側で頑張って頂く部分。
2はチップベンダ、ツールメーカーなどパートナーが協力できる部分。
機能安全対応には外部との交渉や協力が必要です
www.iar.com 無断転載/コピー禁止
例)ツールの妥当性証明
ISO26262ではツール認定において4つの方法を選択するように定められ
ていますが、具体的な作業方法は明確には規定されていません。
1a.利用実績
1b.ツール開発プロセスの評価
1c.ソフトウェアツールの検証
1d.安全規格に従った開発
12
例)コンパイラ安全要求事項を満たす為に必要な作業項目を抽出するだけで・・ 出典:IPA http://www.ipa.go.jp/files/000026859.pdf (ISO 26262 における1a~d全ての項目を抽出)ツールの機能安全対応フロー
最終製品の安全度水準
SIL(主に産機向け)1~4
ASIL(自動車向け)A~D
ツールに求めら
れる信頼レベル
TCL
ツールの
妥当性証明
ツール認定
レポート
1a.利用実績 1b.ツール開発プロセスの評価 1c.ソフトウェアツールの検証 1d.安全規格に従った開発 TI ツール不具合時の影響度 TD ツール不具合時のwww.iar.com 無断転載/コピー禁止
参考:TCL(ツールの信頼水準)の決定
•
TI、TDからTCLを決定
•
TI (Tool Impact): ツールに不具合発生した時のシステムへの影響度
•
TD (Tool error Detection): ツールに不具合発生時の検出性
•
TCL (Tool Confidence Level): ツールに求められる信頼レベル
TD1: 不具合を検出できる可能性が⾼い
TD2: 不具合を検出できる可能性が中程度
TD3: 不具合を検出できる可能性が低い
TD1
TD2
TD3
TI1
TCL1
TCL1
TCL1
TI2
TCL1
TCL2
TCL3
TI1: ツール不具合が安全機能に影響を与えない
TI2: ツール不具合が安全機能に影響を与える
14
参考:ツールの認定手法
・
SIL/ASILよって、推奨されるツールの妥当性証明(認
定)の方法は異なります。
TCL3の場合
A
B
C
D
利⽤実績
++
++
+
+
ツール開発プロセスの評価
++
++
+
+
ソフトウェアツールの検証
+
+
++
++
安全規格に従った開発
+
+
++
++
TCL2の場合
A
B
C
D
利⽤実績
++
++
++
+
ツール開発プロセスの評価
++
++
++
+
ソフトウェアツールの検証
+
+
+
++
ASIL(安全度水準)www.iar.com 無断転載/コピー禁止
コンパイラの妥当性証明にかかる工数
16
使用コンパイラによって、ユーザー側の作業項目は大きく変動
出典:IPA http://www.ipa.go.jp/files/000026859.pdf 全ての認定方法で共 通する作業 認定方法毎の作業ツールの妥当性証明
ツールの妥当性はユーザーが説明する必要があります。
認証機関やコンサル会社が、特定ツールを推奨したり指定すること
はありません。
ソフトウェアツールの開発に完全適用した安全規格は存在しません。
一般保守契約に含まれる公開情報では不十分な場合、ツール提供元
との交渉や別途契約が必要です。
ツール提供元にそもそも適正なプロセスがなかったり、情報を開示
しないケースもありえます。
www.iar.com 無断転載/コピー禁止 機能安全認証 次期開発 現⾏開発
将来を⾒据えた選択が必要
18
・置き換え ・別途契約 ・認証対応 ・資産の置き換え ・別途契約 ・認証対応 膨大なコストと工 数が集中。資産の 共有性が低下。 Cost Time Cost Time コスト/工数分散 資産共有性アップ機能安全未対応
コンパイラ
・機能安全対応コンパイラ
・機能安全対応メニュー
機能安全対応
コンパイラ
機能安全対応メニュー
機能安全未対応
コンパイラ
機能安全対応メニュー
保守契約 バージョン 保守 ドキュメントなど 共通 費⽤ カスタム 契約 カスタム カスタム ・Bug detecterなど ・MISRA C チェッカ ・コードカバ レッジ(C0) 1千万円〜応相談 機能安全 ライセンス (ARM/RXのみ) 固定 サポート優先 ・TÜV SÜD によるレポー ト及び証明書 ・セーフティガイド ・バグレポート ライセンス120万円前後/ 年間保守60万円前後 通常 保守契約 最新版 通常 ・⾃⼰宣⾔書 ・リリースノートに バグ情報開⽰ ライセンス60万円前後/ 年間保守12万円前後IARのEWコンパイラは、段階に合わせたメニューを用意しています。
www.iar.com 無断転載/コピー禁止
機能安全対応Embedded Workbench-FS
機能安全に対応した特別ライセンスを用意
TUV SUDからの認証取得済
現状ARM、RXコア向けのライセンスを用意(バージョン固定)。
IAR Embedded Workbench for ARM V6.50.4 IAR Embedded Workbench for RX V2.42.4
ARMコア向け機能安全対応の統合開発環境は、
EWARMFS、RX向けはEWRXFSと呼びます。
20
EWは世界初の組込コンパイラとして30年以上の実績。
EW-FS概要: TÜV SÜD認証書&レポート
•
コンパイラとしてTÜV SÜDの認証取得済み
対応規格:
IEC61508 (SIL 3), ISO26262 (ASIL D)
www.iar.com 無断転載/コピー禁止無断転載/コピー禁止
EW-FS概要: 固定バージョンサポート
•固定バージョンサポート
•リリース後に発見されたバグなどについても、固定バージョンに対して
パッチ、バグ修正を提供。
Validated versionIAR Embedded Workbench for ARM V6.50.4 IAR Embedded Workbench for RX V2.42.4
Validated version y.yy
Validated service packs Validated service packs
Non-validated feature releases x.xx.x
補足: EW-FSのセーフティガイド
•
セーフティガイドは、
EWARMを使って開発する際に検討
すべき最重要項目を
adviceとしてまとめたものです。
www.iar.com 無断転載/コピー禁止
EW-FS詳細
24
EW通常保守
EW-FS(機能安全ライセンス)
対応コア ARM/ルネサス各コア/MSP430/8051な ど。コアごとに課⾦。 ARM/RXコアコアごとに課⾦。 ライセンス費⽤ EWARM-MB 648,000円(税別)EWRX-MB 648,000円(税別) EWARMFS-MB 1,150,000円(税別)EWRXFS-MB 1,150,000円(税別) 保守費⽤ ライセンス最新定価の20% ライセンス最新定価の30% (再契約不可) 優先サポート × (通常サポートのみ) 〇 サポート対象のバージョン 最新版 固定バージョン* 使⽤バージョンに対するバグ fix、 パッチ提供 × 〇 バグレポート ×(バージョンアップ時にリリースノー トにバグ情報が記載) 〇(リリースノートより詳細なバグレポートを別途提出) TÜV SÜDからのリポートおよ び認証書 × 〇 IARによる⾃⼰宣⾔書 〇 〇 セーフティガイド × 〇 MISRA-Cチェッカ 〇 〇 カバレッジ機能 〇(C0のみ) 〇(C0のみ) *固定バージョンでのサポートは、オブジェクトへの影響を最小限に抑えるような修正を含みます。
よくある質問
EW機能安全ライセンスが有効な範囲
EWFS 備考
コンパイラの妥当性〇
TUV SUDの認証ドキュメントが有効です。 バグ情報/回避策の提⽰〇
コンパイラに仮に問題が起きとしても、適正な開⽰プロセスが あることを提⽰できます。 最適化オプション○
全ての最適化オプションの品質について、きちんとしたプロセ スで開発されたものであることを提⽰できます。 バグがユーザーコードに 与える影響×
⼊⼒元に対するコンパイラの出⼒は、条件によって無数に存在するため、アプリの固有条件に関わる部分は保障されません。 これらは、ユーザー内テスト、検証ツール、検証機関などを 使ってユーザー側が証明する必要があります。 ライブラリ×
オブジェクト×
www.iar.com 無断転載/コピー禁止
補足:MISRA Cチェッカ
•
EWARMではMISRA Cチェッカを標準搭載
*1
•MISRA C 1998/2004に対応
•チェックしたいルールにチェックを入れ、コンパイルするだけ
※MISRA C 2012について現在対応作業中。評価版ではMISRA Cチェッカはご利用いただけません。 16ビット,32ビットマ イコンで動作が変わる 可能性が⾼い記述 コンパイル時に MISRA Cチェッ クを実施し、 違反箇所を指摘コーディングガイドとして利用可能
26
補足:カバレッジ機能
2つのファイル の実行率が表示データを
Refresh
◆モジュール/関数が実行されていない状態 ◆100%実行された状態 ◆ モジュール/関数のいくつかが実行された状態 ◆実行されていないステートメント実行が進む
と
◆
が減る
www.iar.com 無断転載/コピー禁止 発注名称 EWARMFS (ARMコア全般対応標準版) EWRXFS(RXコア対応版) PC固定ライセンス 995,000円(税別) EWARMFS 995,000円(税別) EWRXFS モバイルライセンス (USBドングル) 1,150,000円(税別)EWARMFS-MB 1,150,000円(税別) EWRXFS-MB ネットワークライセンス (1敷地内) 1,250,000円(税別)EWARMFS-NW 1,250,000円(税別) EWRXFS-NW グローバルライセンス (範囲無制限 ネットワークライセンス) 1,990,000円(税別) EWARMFS-GL 1,990,000円(税別) EWRXFS-GL 対応コア ARM7/9/10/11 Cortex-A/R/M RX 機能制限 フル機能 使⽤可能バージョン 6.50.4(固定) V2.42.4(固定) 無償保守契約 1年 (2年目から1年単位での有償保守契約) 有償保守契約(1年単位) 継続契約:ライセンス最新定価の30% 再契約:不可
ARM⽤統合環境EWARM価格表
EW機能安全ライセンス価格表
28
参考資料
•
ISO26262参考資料-IARKK機能安全セミナー参考資料
http://www.iarsys.co.jp/archive/info/ISO26262参考資料-IARKK機能安全セミナー参考資料-20140917.pdf
•
機能安全規格における組込ソフト開発の基本
3ポイント
www.iar.com 無断転載/コピー禁止無断転載/コピー禁止