日立製作所と日立オートモティブシステムズは共同で、自動車制御システムの安全要件を自動検証する技術を開発したと発表した。
自動車制御システムの開発において、始めに定義する要件には、自動運転システムなどに関する要件と、主機能を構成する制御システムに不具合が起きた時にも安全を確保するための安全要件の2つの主な要件がある。ISO26262(機能安全の国際規格)に対応するためには、安全要件を漏れなく要件定義書に記述し、第三者認証機関や自動車メーカーなどに示す必要がある。
安全要件の記述には従来、日本語や英語といった言語が使用していたが、1つの言葉や単語に複数の意味や解釈があるため、曖昧、不統一な表現をしやすい上、安全要件の記述に漏れが発生する可能性もあった。専門知識を持つ設計者でも、安全要件の内容確認や検証作業に多くの時間を要していた。
今回、日立と日立オートモティブシステムズでは、これらの課題を解決するため、安全要件を記号化することで曖昧さをなくし、漏れがないことをコンピューターで自動検証する技術を開発した。
安全要件を従来の自然言語から、数学的に厳密な論理式で定義、検証ツールに入力する内容を明確化する。要件の内容を単純な式で書ける構文としたことで、設計者の安全要件の読み書きを容易にする。
安全要件は、システムで保持したい安全について概略を上位要件として記してから、下位要件として、その安全を実現するために動作するECU、センサー、アクチュエーター、通信、ソフトウェアの構成や処理について詳細を記す。このため、詳細化を進めると要件の数も増えていく。検証ツールでは、制御システムの機能を指す上位要件と、その機能を実現する細かな下位要件を自動で検証し、漏れがないかを判定する。
安全要件は、類似システム間や同じ製品システム内の構成部品間で、記載内容が類似することがあるため、検証ツールで漏れがないことが示された論理式の一部を共通パターンとして再利用できる。これにより、例えばセンサーAの異常検出を、同じ条件下で利用するセンサーBでも行う場合、センサーAで作成したパターンにセンサーBのパラメーターを入力することで、新しい要件の論理式を自動生成する。検証済みのパターンを再利用することで、新しい要件に漏れがなく、要件を新たに書き出す必要もないため、作業効率が向上する。
自動車制御システムの一つである電動パワーステアリングの制御システムに、この技術を適用した結果、要件定義書に現れる全ての安全要件を記述・検証できることが確認できたとしている。また、従来の英語での記述に対して記述量を30%削減し、約60分かかっていた目視による検証時間もコンピューターによる自動検証により約6分に短縮できた。この技術は第三者試験認証機関であるテュフズードに、機能安全規格ISO26262への対応の点で有効性を認められている。
