PR
安全要件の位置づけ 日立のデータ。
安全要件の位置づけ 日立のデータ。
[画像のクリックで拡大表示]
今回開発した技術のポイント 日立のデータ。
今回開発した技術のポイント 日立のデータ。
[画像のクリックで拡大表示]

 日立製作所と日立オートモティブシステムズは、自動車制御システムの設計開発時に作成する安全要件について、要件に漏れがないことをコンピューターで自動検証する技術を共同開発した(ニュースリリース)。同技術は、機能安全規格ISO26262への対応について、第三者試験認証機関ドイツTUV SUD社により有効性を認められたとする。

 自動車制御システムの開発における要件定義には、主機能(自動運転システムなど)に関する要件と、主機能を構成する制御システムに不具合が起きた時にも安全を確保するための安全要件がある。安全要件の記述には、英語や日本語が用いられてきたが、1つの言葉や単語に複数の意味や解釈があるため、曖昧で不統一な表現になりやすかった。その上、安全要件の記述に漏れが発生する恐れもあり、内容確認や検証作業には専門の技術者でも多くの時間がかかっていたという。

 今回の技術は、安全要件を記述する際、数学的に厳密な命題論理(表現の正しさを推論する数学論理学の1つ)で定義することで、検証ツールに入力する内容を明確にする。また、要件の内容を単純な式で書ける構文にすることで、設計者が読み書きしやすくする。安全要件は、まずシステムで保持したい安全について、概略を「上位要件」として記した後、安全を実現するために必要な動作や処理などの詳細を「下位要件」として記していく。下位要件には、ECU(電子制御ユニット)やセンサー、アクチュエーター、通信、ソフトウエアの構成や処理が含まれ、詳細に記述すると要件の数が増えていく。そこで、検証ツールは上位要件と下位要件を自動で検証し、漏れがないかを判定する。

 さらに、安全要件は類似システム間や同じシステム内の構成部品間で、記述内容が類似することがあるため、検証ツールで「漏れがない」と示された論理式の一部を共通パターンとして再利用する。例えば、センサーAの異常検出を同じ条件下で利用するセンサーBも行う場合、センサーAで作成したパターンにセンサーBのパラメーターを入力することで、新しい要件の論理式を自動生成する。検証済みのパターンを再利用することで、新しい要件の漏れを防ぐほか、新たに書き出す必要をなくすことで作業効率を上げる。

 発表によると、電動パワーステアリングの制御システムに今回の技術を適用したところ、要件定義書に現れるすべての安全要件を記述・検証できることを確認したとする。また、従来のように英語で記述していた場合と比べ、記述量を30%削減し、目視で約60分かかっていた検証作業を、コンピューターによる自動検証は約6分に短縮したという。