Microsoft PowerPoint - EWFS_ pptx

IAR Embedded Workbench

コンパイラ機能安全ライセンス

www.iar.com 無断転載/コピー禁止

IARの機能安全認証向けソリューション

•

EWARM、EWRX 機能安全バージョン

•

機能安全証明書

•

セーフティガイド

•

バージョン固定サービス

•

バグレポート

•

優先サポート

•

EWARM、EWRX共通

•

自己宣言書（保守契約ユーザーのみ）

•

MISRA C チェッカ

•

コードカバレッジ

2

直接関係する部分については、

IEC 61508 電気・電子・プログラマブル電子安全（E/E/PES）に関する規格

ISO 26262 自動車分野向け

参考：機能安全に関する対象エリア

IEC 61508からの派生した規格

産業機械

: IEC62061

原子力

: IEC61513

ロボット

: ISO10218

医療

: IEC62304

鉄道

: IEC62278

フィールドバス

: IEC61784

電子制御モータ

: IEC61800

品質を管理する必要があるものは、

ほぼ同じ仕組み

/取り組みが必要になります。

・・・

www.iar.com 無断転載/コピー禁止

参考：IEC61508とその派生規格

•

電子機器全般の機能安全規格「

IEC61508」を土台に様々

な工業分野向けの派生規格が存在

分 野 名 称 内 容 医療機器分野 IEC 62304 医療機器ソフトウェアのライフサイクル IEC 60601 医療機器の安全性 自動車分野 ISO 26262 自動車の電気/電子に関する機能安全

鉄道分野 IEC 62278 RAMS： Reliability, Availability, Maintainability, Safety

IEC 62279 ソフトウェア安全性

IEC 62280 安全に関する情報伝達

IEC 62425 システムの安全性

FA分野 IEC 62061 産業機械E/E/PE（電気/電子/プログラマブル電子）制御システム

IEC 61800-5-2 電子制御モータ可変速ドライブ

IEC 13849-1 機械安全制御システム

EW機能安全ライセンスとは？

Part2: 機能安全管理 Part3: コンセプトフェーズ Part4: システム開発 Part5: ハード開発 Part6: ソフト開発 Part7: 生産と運転 Part8: 支援 Part1: 用語集 Part9: ASIL指向・安全指向分析 SWツール認定 6.5 SW開発開始 SW安全要求定義 SWアーキテクチャ設計 6.8 ＳＷ単体設計 6.9 ＳＷ単体テスト 6.10ＳＷ結合テスト ＳＷ安全要求検証 SWコンポーネント認定 ・・・ 1パートだがユーザーが 苦労を要する。 EW機能安全ライセンスが 有効

www.iar.com 無断転載/コピー禁止無断転載/コピー禁止

機能安全とは？

危険には「頻度」と「程度」があります。

機能安全と本質安全では方向性が異なります。



危険の「頻度」を下げる取組

→品質改善→この究極（危険ゼロ）が本質安全



不具合などが起きた際、被害の「程度」をおさえる

→機能安全

品質改善（本質安全）と機能安全は異なるものです。

品質改善と機能安全を組み合わせて、危険を低減していきます。

例）電車踏切内の衝突事故をなくしたい時に・・・



立体交差にして衝突事故を完全に防ぐことが本質安全



踏切に遮断機、警報装置を付けるなど事故率を下げるのが機能安全

6

Risk

Compiler

Analysis Tools,

Testing product etc..

Evidence,

Document

機能安全とは？

リスクの最小化

 様々な側面からリスクを最小化するのが機能安全

 ソフトで解消できないリスクをハード側で吸収するやり方もあります。

ソフト資産における機能安全の取り組み

www.iar.com 無断転載/コピー禁止

機能安全認証の実態

•

エンジニアが力技で全て対応するのはほぼ不可能です

ツール認定

コンポーネント認定

変更管理

構成管理

ハザード分析

技術安全要求定義

安全妥当性確認

SW安全要求定義

コーディングガイド

SW安全要求検証

_管理方法

・・・

設計者が力技で対応

設計者が力技で対応し難い領域

8

機能安全認証の実態



他ユーザーの資産を公開することになるから



認証機関によってやり方、考え方が様々だから



具体例が少ない

or ないから

認証機関やコンサル会社は、「効率的な認証のとり方は」教えてくれません。

コンサル

/認証会社を使っても簡単には取れません。

www.iar.com 無断転載/コピー禁止無断転載/コピー禁止

機能安全認証の実態



単品で必ず認証が取れるというツールやデバイスは存在しません。



各項目の確認をユーザーがやると、非常に大きな工数を必要とし

ます。



一部のツール

/デバイスメーカーは、機能安全対応メニューを用意

しています。

各メーカーの機能安全メニューをうまく活用して下さい

10

機能安全対応のコツ

機能安全認証を

1つのゴールとした場合に必要なのは・・・

１．認証機関やコンサル会社の活用

２．監査に対して、どれだけエビデンスや対抗策を用意できるか。

１はユーザー側で頑張って頂く部分。

２はチップベンダ、ツールメーカーなどパートナーが協力できる部分。

機能安全対応には外部との交渉や協力が必要です

www.iar.com 無断転載/コピー禁止

例）ツールの妥当性証明

ISO26262ではツール認定において４つの方法を選択するように定められ

ていますが、具体的な作業方法は明確には規定されていません。

1a.利用実績

1b.ツール開発プロセスの評価

1c.ソフトウェアツールの検証

1d.安全規格に従った開発

12

例）コンパイラ安全要求事項を満たす為に必要な作業項目を抽出するだけで・・ 出典:IPA http://www.ipa.go.jp/files/000026859.pdf （ISO 26262 における1a～d全ての項目を抽出）

ツールの機能安全対応フロー

最終製品の安全度水準

SIL(主に産機向け）1～4

ASIL(自動車向け）A～D

ツールに求めら

れる信頼レベル

TCL

ツールの

妥当性証明

ツール認定

レポート

1a.利用実績 1b.ツール開発プロセスの評価 1c.ソフトウェアツールの検証 1d.安全規格に従った開発 TI ツール不具合時の影響度 TD ツール不具合時の

www.iar.com 無断転載/コピー禁止

参考：TCL（ツールの信頼水準）の決定

•

TI、TDからTCLを決定

•

TI (Tool Impact): ツールに不具合発生した時のシステムへの影響度

•

TD (Tool error Detection): ツールに不具合発生時の検出性

•

TCL (Tool Confidence Level): ツールに求められる信頼レベル

TD1: 不具合を検出できる可能性が⾼い

TD2: 不具合を検出できる可能性が中程度

TD3: 不具合を検出できる可能性が低い

TD１

TD2

TD3

TI1

TCL1

TCL1

TCL1

TI2

TCL1

TCL2

TCL3

TI1: ツール不具合が安全機能に影響を与えない

TI2: ツール不具合が安全機能に影響を与える

14

参考：ツールの認定手法

・

_{SIL/ASILよって、推奨されるツールの妥当性証明（認}

定）の方法は異なります。

TCL3の場合

A

B

C

D

利⽤実績

++

++

+

+

ツール開発プロセスの評価

++

++

+

+

ソフトウェアツールの検証

+

+

++

++

安全規格に従った開発

+

+

++

++

TCL2の場合

A

B

C

D

利⽤実績

++

++

++

+

ツール開発プロセスの評価

++

++

++

+

ソフトウェアツールの検証

+

+

+

++

ASIL(安全度水準）

www.iar.com 無断転載/コピー禁止

コンパイラの妥当性証明にかかる工数

16

使用コンパイラによって、ユーザー側の作業項目は大きく変動

出典:IPA http://www.ipa.go.jp/files/000026859.pdf 全ての認定方法で共 通する作業 認定方法毎の作業

ツールの妥当性証明



ツールの妥当性はユーザーが説明する必要があります。



認証機関やコンサル会社が、特定ツールを推奨したり指定すること

はありません。



ソフトウェアツールの開発に完全適用した安全規格は存在しません。



一般保守契約に含まれる公開情報では不十分な場合、ツール提供元

との交渉や別途契約が必要です。



ツール提供元にそもそも適正なプロセスがなかったり、情報を開示

しないケースもありえます。

www.iar.com 無断転載/コピー禁止 機能安全認証 次期開発 現⾏開発

将来を⾒据えた選択が必要

18

・置き換え ・別途契約 ・認証対応 ・資産の置き換え ・別途契約 ・認証対応 膨大なコストと工 数が集中。資産の 共有性が低下。 Cost Time Cost Time コスト/工数分散 資産共有性アップ

機能安全未対応

コンパイラ

・機能安全対応コンパイラ

・機能安全対応メニュー

機能安全対応

コンパイラ

機能安全対応メニュー

機能安全未対応

コンパイラ

機能安全対応メニュー

保守契約 バージョン 保守 ドキュメント_など 共通 費⽤ カスタム 契約 カスタム カスタム ・Bug detecterなど ・MISRA C チェッカ ・コードカバ レッジ（C0) 1千万円〜応相談 機能安全 ライセンス （ARM/RXのみ） 固定 _サポート優先 ・TÜV SÜD によるレポー ト及び証明書 ・セーフティガイド ・バグレポート ライセンス120万円前後/ 年間保守60万円前後 通常 保守契約 最新版 通常 ・⾃⼰宣⾔書 ・リリースノートに バグ情報開⽰ ライセンス60万円前後/ 年間保守12万円前後

IARのEWコンパイラは、段階に合わせたメニューを用意しています。

www.iar.com 無断転載/コピー禁止

機能安全対応Embedded Workbench-FS

機能安全に対応した特別ライセンスを用意



TUV SUDからの認証取得済



現状ARM、RXコア向けのライセンスを用意（バージョン固定）。

IAR Embedded Workbench for ARM V6.50.4 IAR Embedded Workbench for RX V2.42.4

ARMコア向け機能安全対応の統合開発環境は、

EWARMFS、RX向けはEWRXFSと呼びます。

20

EWは世界初の組込コンパイラとして30年以上の実績。

EW-FS概要： TÜV SÜD認証書＆レポート

•

コンパイラとしてTÜV SÜDの認証取得済み

対応規格：

IEC61508 (SIL 3), ISO26262 (ASIL D)

www.iar.com 無断転載/コピー禁止無断転載/コピー禁止

EW-FS概要： 固定バージョンサポート

•

固定バージョンサポート

•

リリース後に発見されたバグなどについても、固定バージョンに対して

パッチ、バグ修正を提供。

Validated version

IAR Embedded Workbench for ARM V6.50.4 IAR Embedded Workbench for RX V2.42.4

Validated version y.yy

Validated service packs Validated service packs

Non-validated feature releases x.xx.x

補足: EW-FSのセーフティガイド

•

セーフティガイドは、

EWARMを使って開発する際に検討

すべき最重要項目を

_{adviceとしてまとめたものです。}

www.iar.com 無断転載/コピー禁止

EW-FS詳細

24

EW通常保守

EW-FS（機能安全ライセンス）

対応コア ARM/ルネサス各コア/MSP430/8051な ど。コアごとに課⾦。 ARM/RXコアコアごとに課⾦。 ライセンス費⽤ EWARM-MB 648,000円（税別）

EWRX-MB 648,000円（税別） EWARMFS-MB 1,150,000円（税別）EWRXFS-MB 1,150,000円（税別） 保守費⽤ ライセンス最新定価の20% ライセンス最新定価の30% （再契約不可） 優先サポート × (通常サポートのみ） 〇 サポート対象のバージョン 最新版 固定バージョン* 使⽤バージョンに対するバグ fix、 パッチ提供 × 〇 バグレポート ×（バージョンアップ時にリリースノー トにバグ情報が記載） 〇（リリースノートより詳細なバグレポートを別途提出） TÜV SÜDからのリポートおよ び認証書 × 〇 IARによる⾃⼰宣⾔書 〇 〇 セーフティガイド × 〇 MISRA-Cチェッカ 〇 〇 カバレッジ機能 〇（C0のみ） 〇(C0のみ） ＊固定バージョンでのサポートは、オブジェクトへの影響を最小限に抑えるような修正を含みます。

よくある質問

EW機能安全ライセンスが有効な範囲

EWFS 備考

コンパイラの妥当性

_〇

TUV SUDの認証ドキュメントが有効です。 バグ情報/回避策の提⽰

_〇

コンパイラに仮に問題が起きとしても、適正な開⽰プロセスが あることを提⽰できます。 最適化オプション

_○

全ての最適化オプションの品質について、きちんとしたプロセ スで開発されたものであることを提⽰できます。 バグがユーザーコードに 与える影響

×

⼊⼒元に対するコンパイラの出⼒は、条件によって無数に存在するため、アプリの固有条件に関わる部分は保障されません。 これらは、ユーザー内テスト、検証ツール、検証機関などを 使ってユーザー側が証明する必要があります。 ライブラリ

_×

オブジェクト

_×

www.iar.com 無断転載/コピー禁止

補足:MISRA Cチェッカ

•

EWARMではMISRA Cチェッカを標準搭載

*1

•

MISRA C 1998/2004に対応

•

チェックしたいルールにチェックを入れ、コンパイルするだけ

※MISRA C 2012について現在対応作業中。評価版ではMISRA Cチェッカはご利用いただけません。 16ビット,32ビットマ イコンで動作が変わる 可能性が⾼い記述 コンパイル時に MISRA Cチェッ クを実施し、 違反箇所を指摘

コーディングガイドとして利用可能

26

補足：カバレッジ機能

2つのファイル の実行率が表示

データを

Refresh

◆モジュール/関数が実行されていない状態 ◆100％実行された状態 ◆ モジュール/関数のいくつかが実行された状態 ◆実行されていないステートメント

実行が進む

と

◆

が減る

www.iar.com 無断転載/コピー禁止 発注名称 EWARMFS （ARMコア全般対応標準版） EWRXFS（RXコア対応版） PC_{固定ライセンス 995,000円（税別）} EWARMFS 995,000円（税別） EWRXFS モバイルライセンス (USB_{ドングル）} 1,150,000円（税別）EWARMFS-MB 1,150,000円（税別） EWRXFS-MB ネットワークライセンス （1敷地内） 1,250,000円（税別）EWARMFS-NW 1,250,000円（税別） EWRXFS-NW グローバルライセンス （範囲無制限 ネットワークライセンス） 1,990,000円（税別） EWARMFS-GL 1,990,000円（税別） EWRXFS-GL 対応コア ARM7/9/10/11 Cortex-A/R/M RX 機能制限 フル機能 使⽤可能バージョン 6.50.4（固定） V2.42.4_（固定） 無償保守契約 1年 （2年目から1年単位での有償保守契約） 有償保守契約（1年単位） 継続契約：ライセンス最新定価の30% 再契約：不可

ARM⽤統合環境EWARM価格表

EW機能安全ライセンス価格表

28

参考資料

•

ISO26262参考資料-IARKK機能安全セミナー参考資料

http://www.iarsys.co.jp/archive/info/ISO26262参考資料-IARKK機能安全セミナー参考資料-20140917.pdf

•

機能安全規格における組込ソフト開発の基本

3ポイント

www.iar.com 無断転載/コピー禁止無断転載/コピー禁止

本紙に関する問い合わせ先：

担当営業とやり取りしている場合は、担当営 業まで直接お問い合わせ下さい。

IARシステムズ株式会社

営業チーム

Tel: 03-5298-4800

Email：info.jp@iar.com

本資料の取り扱い

本資料は送付先の企業内での閲覧にの

み限られ、外部への開⽰/転載は禁じら

れております。

30

お問い合わせ先

30

www.iar.com/jp