機能安全に必要なトレーサビリティとは

Copyright Witz Corporation 2012

TERAS第1回成果報告会

機能安全に必要な

トレーサビリティとは

IEC61508 プロセス認証

2012年3月19日

TERAS 技術委員会

株式会社ヴィッツ

組込制御開発部 機能安全開発室

森川 聡久

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

本日の内容

• 機能安全認証の取得に際してトレーサビリティ

をどのように役立てるのかを実体験から紹介し

ます。

• １．ヴィッツの会社紹介

• ２．TERASにおけるヴィッツの役割

• ３．機能安全に必要なトレーサビリティ要件

• ４．トレーサビリティ管理事例紹介

- 3 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

株式会社ヴィッツ

会社概要

設立 : 1997年6月

社員数 : 85名 (2011年9月現在 ) 得意分野:

・ ECU ( Electronic Control unit ) ソフトウェア開発 ・ 家電組込みソフトウェア開発

・ NC ( Numerical Control ) ソフトウェア開発 ・ モデルベース開発 ( HILS, SILS etc )

・ リアルタイムオペレーティングの研究開発 ・ 組込みシステム研究開発

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 ヴィッツは組込ソフトウェアのオープンソースディストリビュータであるTOPPERS プロジェクト(http://www.toppers.jp/en/index.html)を支援しています ヴィッツからいくつかのソフトウェアを提供し、TOPPERSから一般公開中 ヴィッツが提供したソフトウェア一覧 ・ TOPPERS/ATK1 Kernel

ATK=AuTomotive Kernel Version1 OSEK/VDX OS仕様準拠

・ FlexRay software セット

Time Triggered Module (TTM) for TOPPERS/ATK1 FlexRay 通信ミドルウェア

・ TOPPERS/ ASP Safety

基本仕様 μITRON 4.0 IEC 61508 SIL3 Capable

- 5 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

ヴィッツの製品 (RTOS)

Industrial Package μITRON API

IEC 61508 SIL 3 Capable with fail detect library

AUTOSAR Package AUTOSAR 4.0 API

Automotive Package OSEK/VDX API

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会 研究中のプロジェクト ( 経済産業省予算分 ): ・ 故障未然防衛機能を有した高信頼ソフトウェアプラットフォームの開発. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 名古屋大学, 産総研. ・ 組込みシステムにおける性能評価ツールの研究. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 兵庫県立大学 ・ 形式的仕様記述を用いた高信頼ソフトウェア開発プロセスの研究とツール開発. 期間: 2010年度-2012年度, 研究メンバ: ヴィッツ, 北海道企業, 産総研 等. ・ 安全技術を導入した搭乗型生活支援ロボットの研究開発. 期間: 2011年度- 2013年度, 研究メンバ: ヴィッツ, アイシン精機, 未来ロボッ ト研究所 ・ 品質説明力向上に向けたオープンツールプラットフォーム構築事業. 期間: 2011年度- 2013年度, 研究メンバ: ヴィッツ, CATS 等 研究終了プロジェクト: ・ 機能安全 (IEC 61508 SIL 3 ) に準拠した自動車プラットフォームの研究開発 ・ 保護機能 RTOS の研究開発 ・ 自動車向けタイムトリガードOSの研究開発 ・ FlexRay 通信ミドルウェアの研究開発 等.

研究実績

- 7 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

ヴィッツの機能安全への取り組み

• IEC 61508 SIL3ソフトウェア開発プロセス認証取得【日本初】

– 2010年4月22日 国際認証機関 TÜV SÜD より

• ISO 26262 ASILDソフトウェア開発プロセス認証 • 機能安全対応RTOS販売【日本製初】

– 製品名：Owls Industrial Safety Package – μITRON4.0ベース – 故障検出ライブラリ付属（アプリ側の負担を軽減） – 安全コンセプトは、認証機関のレビュー済 – １重系：SIL2、２重系：SIL3 システムに適用可能 • 高信頼ソフトウェアプラットフォームを開発中 – サポイン：2010年8月～2013年3月（３年間） • 機能安全支援ツールの開発 – トレーサビリティ管理ツール – FSMP作成支援ツール – 安全設計支援、SIL評価ツール – HAZOP支援ツール • 形式手法技術の実用化研究 – VDM、Bメソッド、Event B、Z記法 – 要求仕様書の信頼性評価とプロセス検討 TÜV SÜD による認証確認サイト http://www.tuev-sued.de/industry_and_consumer_ products/certificates （Search欄で、"Witz Corporation"と入 力してください）

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

トレーサビリティ管理支援ツール

表表示画面 図表示画面 プロジェクト 管理画面 本ツール上で、複数 文書間のレビュー、影 響分析が可能 レビュー、影響分 析のエビデンスを レポート生成 平成21年度 全国中小企業団体中央会 試作開発等支援事業

- 9 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

主な機能安全支援実績

支援項目 A社 B社 C社 D社 E社 F社 G社 機能安全管理規定の構築 ○ ○ ○ ○ ○ ○ 安全分析、安全設計 ○ ○ ○ SIL算出評価 ○ ○ ○ 機能安全対応ソフトウェア開発 ○ ○ ○ ツールの機能安全信頼性分析 ○ ○ トレーサビリティ管理ツール導入 ○ 機能安全対応RTOS導入 ○ 機能安全規格解説（無料コ ンサル） ○ ○ ○ ○ ○ ○ ○ 機能安全認証取得支援 ○ ○ ○ ○ ＜機能安全対応コスト＞ 数億円～数十億円、数年間 期間半減!! 費用半減!! を目指した支援 ＜対象規格実績＞ IEC 61508（一般） ISO 26262（自動車） ISO 13849（工作機械） IEC 61784（通信） ISO 13482（ｻｰﾋﾞｽﾛﾎﾞｯﾄ） ・プロセス構築から、技術面の評価、認証取得支援まで、全面支援が可能 ・一般規格IEC 61508の経験を活かし、広分野での支援が可能 弊社の 知見投入 わからないから 莫大なコストがか かる 2011年4月現在

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

TERASにおけるヴィッツの役割

※TERAS 要件制御WG 第2回会議資料より転用 プラットフォームWG サブリーダー （WITZ 鵜飼） 要件制御WG サブリーダー （WITZ 松岡）

トレーサビリティツールは機能安全対応にて重要！

→

役割：機能安全の必要要件・知見をTERASに投入。

担当：機能安全規 格に必要なトレーサ ビリティ要件を確保 したプラットフォーム 仕様の検討 担当：機能安全対 応に必要なALMの 機能要件の検討

- 11 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

機能安全に必要なトレーサビリティ要件の整理

設

テ

実

要

テ

要

設

テ

テ

実

プロセス規定 開発成果物

検

検

検

検

検証成果物

検

プロセス監査成果物 要件のトレーサビリティ IEC 61508:2010 1-7.14.2.2、2-7.2.2.2

c)、2-7.7.2.2、2-Table B.6、3-Table A.1、 3-Table A.2、3-Table A.4、3-Table A.5、3-Table A.6、3-A.5、3-Table A.7、3-A.5、3-Table A.9

ISO 26262:2011 2-C.2.2、3-8.4.5.1 b) 、

5-7.4.1.5、5-7.4.5.3、6-7.4.2 a)、6-8.4.5 b)、7-5.4.1.2 c)、7-6.4.1.3 d)、8-6.4.3.2、 8-14.4.3.1 a)

プロセスのトレーサビリティ

IEC 61508:2010 3-7.7.2.5、3-8、3-Table A.10 ISO 26262:2011 2-Table B.1、2-C.2.2

変更管理のトレーサビリティ IEC 61508:2010 3-Table A.8 ISO 26262:2011 8-8.4.1.1 取説

検

監

変更 管理 最新 変更記録 構成 管理 構成管理のトレーサビリティ ISO 26262:2011 8-7 過去 復元

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

トレーサビリティの種類と目的

• 目的：要件が正しく（完全性や一貫性）

実装・テストされていることを保証

– 要件のトレーサビリティ

• 目的：再現性（再検証）

– 要件のトレーサビリティ

– プロセスのトレーサビリティ

– 変更管理のトレーサビリティ

– 構成管理のトレーサビリティ

狭義の トレーサビリティ 広義のトレーサビリティ ＝管理、文書化の要件

- 13 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

要件のトレーサビリティ管理とは

• 要件毎に固有の番号を付け、管理が必要

• 全ての要求事項のトレーサビリティを、末端（テスト項目やソース

コード）まで確保が必要

• ハードウェア部品も対象

H/W仕様書 仕様書 ｼｽﾃﾑﾃｽﾄ仕様 設計書 単体テスト仕様 安全コンセプト

• トレーサビリティ管理の目的

– 厳密な一致性検証（Verification）（＝安全証明） • 過不足、矛盾が無いこと – 変更時の影響分析 これらを実現できる 「粒度」が重要

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

要件のトレーサビリティ管理の粒度

• 細かい粒度でのトレーサビリティの確保が必要

– １要求１項目の管理 – ソースコードでは関数単位相当

• トレーサビリティの粒度が粗いと・・・

– 影響分析の際に対象範囲が広域となる。 – 厳密な検証ができなくなり、安全証明の意味が薄らぐ。 例２）AUTOSAR文書 ■適切なトレーサビリティ粒度の例 例１）電動カートの仕様書（当社開発） アクセルペダルを踏み込むことにより、 モータコントローラにオペレータの意図を 伝え、モータの回転数を操作する。これ により車体が進行する速度を調節する。 [SS_SP0001-0005]

- 15 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

体験談：要件のトレーサビリティ管理の難しさ

一般的なシステムの場合 要求 仕様書 数十項目 ｱｰｷﾃｸﾁｬ 設計書 詳細 設計書 数十～ 数百項目 数百～ 数千項目 RTOSの場合 要求 仕様書 1000項目 ｱｰｷﾃｸﾁｬ 設計書 詳細 設計書 特に問題なし ※当社の実施事例

＞

＞

＞

＞

数十～ 数百項目 数百～ 数千項目

理想系

要求 仕様書 （概要） 新規作成 1000項目 ｱｰｷﾃｸﾁｬ 設計書 詳細 設計書 数十～ 数百項目 数百～ 数千項目 要求 仕様書 （詳細） 数十項目 アーキテクチャ設計は 概略レベルのため、詳 細な要求項目が一旦集 約されてしまう。 これでは、トレーサビリ ティ管理の意味がない。 汎用的なSW-Cの場合に 生じやすい問題 適切なトレーサビリティ管理をしないと、管理の利点を活かすことができなくなる。

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

体験談：要件のトレーサビリティ管理の改善

• Step1：機能安全への対応

– 要件の明確化（文書化）

– トレーサビリティ番号の付加

• Step2：トレーサビリティ番号の整理

– シンプルなトレーサビリティ関係

⇒ 検証効率、検証精度の向上

• Step3：開発文書テンプレートの改善

– 章立て

– 自然にトレーサビリティ粒度を制限

プ

ロ

セ

ス

改

善

※何度か試行錯誤するしかない。

- 17 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

要件のトレーサビリティ管理方法

①トレーサビリティマトリクス（TM）

②トレーサビリティ管理ツール

• ユーザが番号を付ける

• ツールが番号を内部管理する

設

テ

実

要

テ

設

要

実

設

• 機能安全にてツールは必須で

はない。

• 影響分析が不便

• 規模が大きくなると、ツール無し

では管理が大変

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

トレーサビリティ管理ツールに求められる機能

• 要件のトレーサビリティ

• 使用目的：開発者の検証、影響分析

• 機能：

• トレーサビリティ情報の登録のしやすさ • Verificationのしやすさ（確認、記録） • 開発文書更新時の対応のしやすさ（構成管理連携）

• 再現性のためのトレーサビリティ

• 使用目的：第３者検証

• 機能：

• プロセス規定と開発成果物とのトレーサビリティ • 開発成果物と検証成果物とのトレーサビリティ • 開発成果物と監査成果物とのトレーサビリティ • 更新内容のトレーサビリティ（変更管理、構成管理連携）

- 19 -

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

将来TERASでやりたいこと

※TERAS 要件制御WG 第2回会議資料より転用 機能安全プラグイン（便利機能）

• TERASを使って事業化

• ①TERAS（オープンツール）を上手く活用した機能安全

対策支援

• ②機能安全対応が楽になるプラグインの開発・販売

– 第３者審査を楽にするもの

– 品質・安全説明力向上

を楽にするもの

– 認証経験や認証支援

経験を活かして、

随時ツール化を予定

Copyright Witz Corporation 2012 2012/3/19 TERAS第1回成果報告会

ご清聴ありがとうございました。

本内容についてのご質問は下記にお願いします 株式会社ヴィッツ 組込制御開発部 機能安全開発室 室長 森川 聡久 [email protected] Tel: 052-223-7570 本内容の関連サイトもご覧ください。 ◎当社ホームページ：http://www.witz-inc.co.jp/ ◎プロセス認証プレス発表記事（Tech-On!）： http://techon.nikkeibp.co.jp/article/NEWS/20100512/182502/ ◎TÜV SÜD による認証確認サイト： http://www.tuev-sued.de/industry_and_consumer_products/certificates （Search欄で、"Witz Corporation"と入力してください） IEC61508 プロセス認証