セーフティとセキュリティの高次元な両立を可能にする先進的な取り組みとは

自動車は近年、電動化や自動運転、コネクテッド等のCASE対応で複雑さを増しており、機能安全の捉え方にも柔軟な対応が求められている。そんな中で重要となるのが自動車におけるセーフティ＆セキュリティへの取り組みだ。

今回はその分野で多くの実績を持つ日立産業制御ソリューションズ（以下、日立産業制御）の取り組みを紹介したい。

必須条件となる「セーフティ」と「セキュリティ」の両立
大規模化した要件をどう進めていくかが課題

自動車の高度化に付随してサイバーセキュリティ対応の必要性が高まっている

自動車の開発ではこれまでも「セーフティ＝安全」がシビアに追求されてきたが、昨今はネットワークを介して様々なものにつながる「コネクテッドカー」が普及し、それは「セキュリティ＝保護」の観点でも一際重要視されることにもなった。自動車が進化していく中では、いかに「セーフティ」と「セキュリティ」の二つを両立させ、より安全安心なシステムを構築することは避けて通れない状況にあると言っていいだろう。

そもそも車載システムの脆弱性が顕在化したのは2015年のクライスラーの大規模リコールによってだ。ホワイトハッカーによって、車両のアクセルとブレーキを外部からコントロールできることが明らかとなり、リコールを余儀なくされた。それ以降もハッキング成功例はいくつか報告されており、国際基準として国連WP.29(自動車基準調和世界フォーラム)でサイバーセキュリティとOTAによるソフトアップデートに関する国際基準が成立したのもこうした背景があったからに他ならない。

CASEによりシステムが大規模・複雑化し、開発がより困難に

ところが、CASEを進める中でその分野は多岐にわたって大規模化し、複雑に入り組むようになった。それ故、開発現場では検証過程において手戻りが多く発生する事態を招いており、もはや従来の開発手法では対応しきれなくなっている状況にある。そこでその解決手法として注目されているのが『MBSE (Model-Based-Systems-Engineering) 』だ。大規模・複雑なシステム全体を俯瞰してプロジェクトを成功させるアプローチを指し、これは航空・宇宙や防衛分野で先行して採用され、近年は自動車や医療分野へと広がっている手法でもある。

日立産業制御は、このMBSEの導入コンサルと、それに従った上流エンジニアリングを今後の組込み開発におけるソリューションとして提供する。そこではこれまで同社が自動車分野で培ってきた様々な機能安全(ISO26262)に関する開発経験を活用し、それらをMBSEと融合させることで、機能安全や組込みセキュリティ対応開発を、導入から製品開発、評価までを様々な要求を満たした一貫性のあるサポートで対応することができるのだ。

システム構築の上流から下流まで
ワンストップで提供できる仕組みを構築

MBSE適用においては、“進め方”・“形の仕方”・“考え方”が備わっていることが不可欠

日立産業制御ではそのために「ソフトウェア デファインド ソリューション本部」を2021年4月に組織名変更して立ち上げ、2019年にはシステムズエンジニアリング(SE)とMBSE関連サービスを強化すべく「MBSE DESIGN LAB.」を新設して体制を整えてきた。こうした体制作りが功を奏し、MBSEに関する日立産業制御の実績はこれまで13社35プロジェクトにも上る。この豊富な経験があるからこそ、同社は単にコンサルだけでなく設計者に寄り添ったサポートが提供できるほか、コンサルティングからエンジニアリングまでをワンストップで提供可能としているのだ。

もちろん、この実績は一朝一夕で培われたものではない。同社は日本で先駆けとなる10年ほど前からMBSEに取り組んでおり、その過程となる組込製品開発現場では大変な苦労をして経験を積み上げて来た。しかし、その苦労があったからこそ、“現場力”として大きな力につながり、同時にこれは同社の強みともなっているのだ。これは日立産業制御のもう一つの強みとして「MBSEの実務適用経験に基づいた実現力」にもつながる。それはMBSE適用におけるこだわりからもたらされた。この適用は「進め方」「形の仕方」「考え方」の3つの軸に基づく。たとえば一つ目の軸である「進め方」は、システムズエンジニアリングの考え方によって、プロセスの本質を踏まえつつ、プロジェクトの様態に応じた形で適用する。

システムを具現化することで視点を整理。
分析や検証での合理化に繋がっていく

課題解決には、MBSEを活用したシステムのモデル化が有効な手段となる

二つ目の軸となる「形の仕方」は、多様な視点の一貫性を整理しつつ、適切なモデリング手法を選んでシステムを具体化するものとなる。ここに展開されるのがAnsysの「Ansys medini analyze」というツールがあり、シミュレーションに基づく安全性・信頼性分析で、このツールの活用はモデリングにとどまらず、分析や検証での合理化にもつながる。セーフティ&セキュリティの設計事例においてもツールの活用こそが重要というわけだ。具体的に言えば、セーフティの設計においては、部品の故障に対する監視を外部部品で行うよう設計するのが定番である。これは部品の故障による異常検知を確実にするためだ。

しかし、セキュリティ設計においてはこの外部部品が攻撃の起点となるセキュリティリスクを生むことにもつながる。つまり、このような背反的な事象を解決することこそ、セーフティ＆セキュリティに与えられた命題とも言えるだろう。この命題に対して、Ansysのツールは異なる観点の要件や設計モデルを一元管理し、かつ、全体を一望できるため、セーフティ＆セキュリティの対立構造を可視化、トレーサビリティの確保に大きく役立つというわけだ。では、Ansysのツールを活用することでどんなメリットがもたらされるのだろうか。

セーフティチーム（ISO 26262/ISO 21448）とセキュリティチーム（ISO/SAE 21434）それぞれの異なるプロセスを統合するにはさまざまな問題・課題がある

そもそも、セーフティとセキュリティは分析しようとするスコープが異なる(土俵が異なる)。それ故、分析によって導かれる要件の抽象度や粒度は異なり、それが最終的に製品へ落とし込もうとすると両者の統合を難しくしてしまう。従来はエクセルを使って作業していたが、一部の変更でそれに伴う参照箇所への反映作業が膨大となることから反映漏れが発生。これが要件の漏れや手戻りといった状況も誘発していた。

そこで重要になるのが、セーフティとセキュリティを両立させるための設計だ。セーフティ観点では冗長化した方が安全性が高まるが、セキュリティ観点では守るべき資産は少ない方が安全性が高まる。しかし、相反することを両立させようとすれば外部からの攻撃の対象にもつながりやすい。これまではこの部分の解決が極めて難しかった。

具現化出来るツールを活用することで
プロジェクトの最適化を図り効率を最大化する

Ansysツールによるメリット

そうした中、Ansysのツール「Ansys medini analyze」を使うと、一つのアーキテクチャに集約して分析できるようになり、両立する上で最適な設計を達成するための気付きを与えてくれるというわけだ。特に見逃せないのは、アイテム定義のプロセスにおいてAnsys SCADE Architectの活用は、セーフティ、セキュリティのスコープとなるアーキテクチャを段階的に詳細化して設計できることにある。ここで設計されたアーキテクチャはAnsys medini analyzeにインポートでき、これは最終的に分析対象の不整合や分析粒度の不整合の解消につながる。これこそがAnsysのツールを使う最大のメリットと言えるだろう。

システムモデルによる設計の一貫性の確保しながら、デジタル化による設計・開発の進化を追求

三つ目の軸として、MBSE適用においては「考え方」の定義こそが最も重要で、そのための人材育成が肝となる。システムズエンジニアリングとして全体を俯瞰し関係要素間の関係性を明確にするシステム思考と、抽象度をコントロールしながら要素間の整合性を保ち論理的に捉えるロジカル思考により、メンバー間で本質的な議論を進めていったり、考えを徐々に整理しながら記述して全体を組み立てていく必要があるからだ。それがチーム力・企業力にもつながるわけで、日立産業制御ではそんな考え方ができる人材を育てていくカリキュラムも推進しているところだという。

そうしたMBSEへのこだわりを踏まえて将来へ向けた課題もある。システム開発を進める中で、それはツールなどのソフトウェアを使いながらやっていくが、その一方で重要なのは現場のライフサイクルマネジメント(LM)や品質管理システム(QMS)、生産管理の観点や指標(QCD)に関わる人たちの関係性を重視しながら最適設計していくことだ。そこでは開発現場のDXを牽引する「高付加価値エンジニアリングサービス」を提供していくことが欠かせず、同社ではこの実現を目指していくことにしている。冒頭でも述べたように、今や自動車の開発現場ではセーフティ＆セキュリティに対する設計の重要度が極めて高くなっている。しかし、それに対応するにも大規模化・複雑化したシステムの現実が立ち塞がる。そうした中、日立産業制御にはMBSEで経験を培ってきた現場力があり、ここにAnsysのシミュレーションに基づく安全性・信頼性分析が加わることで設計のさらなる効率化をもたらしたのだ。まさに日立産業制御の総合力が自動車の開発現場に大きな力を与えることになったと言えるだろう。

こうした中、日立産業制御とAnsysでは機能安全に向けたカンファレンスとしてオンラインで開催される「第9回 自動車機能安全カンファレンス 2021 オンライン」(2021年12月8日～10日)にLIVE開催で参加する。開催内容は以下の通り。参加は無料なので、この機会にぜひ視聴することをお勧めしたい。

●日立産業制御ソリューションズ

「ソフトウェア・ファースト時代のSafety ＆ Securityを支える、CI/CDソリューション」【A2-2 12月8日(水）15:15～15:30】

車載ソフトウェア開発においてSafety & Securityの両立を意識し、あらかじめアップデートされることを想定したソフトウェアのCI/CD(*)ソリューションを適用した事例とともに紹介する。（*=Continuous Integration/Continuous Delivery）

●Ansys

「今こそ考える「モデルベース分析」の必要性」【B1-2 12月9日(水）13:30～13:45】

なぜモデルを利用するべきなのか、モデルを利用する場合のメリットを紹介する。

「第9回 自動車機能安全カンファレンス 2021 オンライン」公式ホームページ：https://academy.impress.co.jp/event/afsc202112/index.html