1Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
カーエレクトロニクスのディペンダビリティカーエレクトロニクスのディペンダビリティ設計設計と説明責任と説明責任
トヨタ自動車株式会社制御ソフトウエア開発部
服部雅之
2Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
本日の報告内容本日の報告内容
1.自動車産業1.自動車産業の状況の状況((リーマンショック後のリーマンショック後の変化)変化)2.カーエレクトロニクス技術の現状2.カーエレクトロニクス技術の現状3.自動車における統合制御技術3.自動車における統合制御技術4.自動車における機能安全設計4.自動車における機能安全設計と説明責任と説明責任55. . ディペンダビリティ設計への取り組みディペンダビリティ設計への取り組み6.まとめと要望6.まとめと要望
3Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
世界の世界の自動車自動車市場市場
2002 2003 2004 2006 2008 2005 2007 [ Year ]
2009 2010
60
40
20
80
0
[Million]
日本/韓国
西欧
北米
南米
中東/アフリカ
中・東欧
南アジア
中国
(Source: CSM World)
1)1)近年近年経験したことの無い落ち込み経験したことの無い落ち込み
2)新興国市場の拡大2)新興国市場の拡大
4Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車メーカ別シェア推移自動車メーカ別シェア推移
(Source: CSM World)
TOYOTA VW FORD GM
[ % ]
[ Year ]
HYUNDAI
2003 2004 2005
2006 2007 2008 2009
GM
FORD
VW
HYUNDAI
TOYOTA
0
2.0
4.0
6.0
8.0
10
12
14
16
18
ここ数年のここ数年の各社各社シェアシェアのの変動が著しい変動が著しい
5Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
国内国内HVHV車販売実績車販売実績
HV車の販売は年々高まっている⇒ 先進国での環境対応車のニーズの広がり⇒ 優遇税制の拡大
6Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車業界の激変自動車業界の激変
リーマンショックを境に、それまで徐々に進んでいた変化が急速に進展
・新興国市場の拡大・新興国市場の拡大 ・自動車のコモディティ化の進展・自動車のコモディティ化の進展 ⇒ ⇒ EVEV車の開発車の開発活発化活発化(汎用技術で実現可能)(汎用技術で実現可能) ⇒ 新興自動車メーカの成長(中国、インド) ⇒ 新興自動車メーカの成長(中国、インド) ⇒ 低価格車の普及 ⇒ 低価格車の普及 ・各地域・各地域毎の自動車毎の自動車市場の差(ユーザニーズ)の市場の差(ユーザニーズ)の拡大拡大・各自動車メーカの市場シェアの激変・各自動車メーカの市場シェアの激変 ・新しいアライアンスの模索・新しいアライアンスの模索 ・自動車部品産業への新規参入企業の増加・自動車部品産業への新規参入企業の増加
新しい激変へのプロローグか??新しい激変へのプロローグか??
7Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
車に対する様々な要求車に対する様々な要求
利便性 利便性
カーナビゲーション、カーナビゲーション、ETCETC スマートエントリー、自動課金 スマートエントリー、自動課金
快適性快適性
クルーズコントロール、オートライト クルーズコントロール、オートライト オートエアコン、レーンキープ オートエアコン、レーンキープ
安全性安全性
エアバッグ、歩行者検知、 エアバッグ、歩行者検知、 プリクラッシュ、プリクラッシュ、ABSABS、、VSCVSC、 、 TRCTRC、、VDIMVDIM
環境対応 環境対応
EFIEFI、、HVHV、、FCFC、、デーゼル デーゼル プラグインプラグインHVHV、、アイドルストップ アイドルストップ
8Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
カーエレクトロニクスカーエレクトロニクスの変遷の変遷
2000年 2005年 2010年 2015年
スマートスマートグリッド対応グリッド対応
自律走行自律走行
隊列走行隊列走行
車車車車間連携間連携
路車間連携路車間連携
FCFC、、EVEV
・・・
衝突回避衝突回避
ITS
機能
安全規格標準規格
双方向ナビ双方向ナビ19981998年年
ETCETC一般利用一般利用開始開始 20012001年年
プローブカープローブカー20082008年年
・安全・パワートレイン ・ボデー
HVHV車車19971997年年
レーンキープレーンキープ20012001年年
SHSH--4WD4WD20042004年年
インテリジェントペダルインテリジェントペダル20082008年年
アラウンドビューモニタアラウンドビューモニタ20072007年年
EyeSightEyeSight20102010年年
ii--STOPSTOP20020099年年
AUTOSARAUTOSAR設立設立20032003年年
JASPARJASPAR設立設立20042004年年
機能安全機能安全ISOISO化化20112011年年
路車間情報路車間情報20112011年年
プラグインプラグインHVHV20112011年年
ii--MiEVMiEV20200909年年
9Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
最近のカーエレクトロニクス最近のカーエレクトロニクス
<開発の方向性><開発の方向性>・・高機能化高機能化より、ユーザより、ユーザが真に求める機能の開発にシフトが真に求める機能の開発にシフト・高級車限定ではなく、汎用車にも展開可能な技術開発・高級車限定ではなく、汎用車にも展開可能な技術開発 ⇒ 統合システム化により開発が加速 ⇒ 統合システム化により開発が加速
<環境対応><環境対応>
プラグインハイブリッド車プラグインハイブリッド車
<快適・安全><快適・安全>
<繋がる技術><繋がる技術>
プリクラッシュセイフティーシステムプリクラッシュセイフティーシステム
インフラ協調システムインフラ協調システム
10Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
電池を外部電力で充電し、モーターによるEV走行電池を外部電力で充電し、モーターによるEV走行レンジレンジを拡大を拡大
・・ ショートトリップショートトリップは充電電力でのモーターによるは充電電力でのモーターによるEVEV走行走行
・・ 長距離、高速、登坂はエンジンとモーターによる走行 長距離、高速、登坂はエンジンとモーターによる走行
モーター電池
家庭用電源
エンジン
燃料タンク
ガソリンスタンド
電気利用車両の現実的な在り方として期待電気利用車両の現実的な在り方として期待
プラグインハイブリッドプラグインハイブリッド
11Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
HVHV車車の燃料効率と加速の燃料効率と加速性能性能
10
15
20
25
30
35
40
3 3.5 4 4.5 5 5.5 6 6.5
中間加速 40-70km/h (sec)
10
・1
5モ
ード
燃費
(km
/L) 速い
燃費が良い
欧州E車
国内 B車 HV
1.4L
カムリ 2.4L
プレミオ 2.0L
ヴィッツ 1.0L
欧州D車1.9L ディーゼル
カローラ 1.5L
プリウスプリウス1.51.5LL
燃費と加速性能の両立燃費と加速性能の両立燃費と加速性能の両立
HVは燃費向上において加速性能を犠牲にしないHVは燃費向上において加速性能を犠牲にしない
12Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
PrePre--crash Safety Systemcrash Safety System
カメラ、レーダーで車両・歩行者を検出警報とブレーキにより追突事故、歩行者事故を低減
〈構成〉
前方監視ECU
ミリ波レーダー
カメラ
ブレーキAct.
立体音響
顔向き検知
〈検出例〉
13Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
路車間通信
歩行者との通信
車車間通信
インフラ協調システムインフラ協調システム
14Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
2008
2010
2012
2015
2020
2030
203020202010
インフラ協調インフラ協調信号機注意喚起信号機注意喚起
インフラ協調インフラ協調環境支援システム環境支援システム
エコ&セイフティポイントエコ&セイフティポイント
交通流交通流 群制御群制御
プローブ利用プローブ利用交通情報システム交通情報システム
プローブ利用プローブ利用安全支援システム安全支援システム
プローブ利用プローブ利用環境支援システム環境支援システム
営業車プローブ営業車プローブ情報システム情報システム
地図配信地図配信
高精度位置検出運転支援高精度位置検出運転支援
POI配信
PCPC((WebWebサイト)利用サイト)利用目的地設定目的地設定
携帯機器ナビ連携携帯機器ナビ連携
ドアツードア案内ドアツードア案内
個人適応学習個人適応学習HMIHMI
ネットワーク(分散)型ネットワーク(分散)型データベースデータベース
プラグインプラグインHVHV連携連携
ナビナビHVHV連携制御連携制御
スマートウェイスマートウェイ
運転者状態学習適応支援システム運転者状態学習適応支援システム
ホーム連携システムホーム連携システムマルチコアCPU
MEMSレーダセンサ
分散型OS
4G 携帯電話 5G 携帯電話 6G 携帯電話
創発擬似対話知能
シナリオベース擬似対話知能
交通流予測・分散制御交通流予測・分散制御
ナビナビACCACC連携制御連携制御33DD地図勾配情報利用地図勾配情報利用システムシステム
勾配学習制御
エコルート案内エコルート案内プローブ利用路面状態予測
予測交通情報
個人識別 個人認証
個人特性学習(嗜好、運転スキル)
個人状態推定(体調、眠気、疲労)
個人思考推定(意図、感情)
個人情報保護行動フォローナビ行動フォローナビ
ワイヤレスブロードバンド通信
情報エージェント
高精度位置評定技術
高精度地図作成技術(衛星地図等)
3D POI
方向性音像形成
走行経路適応エネルギー収支学習
そのとき必要な情報を高鮮度で提供そのとき必要な情報を高鮮度で提供
個々人に適応したシンプル操作
個々人に適応したシンプル操作
個人適応個人適応POIPOI
ドライバー
ドライバー状況対応対応
情報提供
情報提供
インフラ利用情報提供インフラ利用情報提供
2008 2012 2015
環境に対応した環境に対応したクルマの流れを実現クルマの流れを実現
エコ運転をサポートするエコ運転をサポートする情報提供情報提供
青字:自動車会社主導青字:自動車会社主導黒字:インフラ側主導黒字:インフラ側主導
一時停止案内
メディアFLOデジタルラジオ
外部機器接続
インフラ協調インフラ協調技術開発技術開発
15Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
制御連携PF 制御連携制御連携PFPF制御系制御系 情報系
通信モジュール
通信
外部通信外部通信
車内通信
車内通信
マルチメディア
マルチメディア
通信通信
センター
分離技術分離技術
フェールセーフフェールセーフ
セキュリティセキュリティ
インパネ
エンジン
ブレーキ
etc…
ナビ
AMP
RSE
etc…
制御系 制御系PFPF 情報系情報系PFPF
ドメイン分離ドメイン分離
フェールセーフフェールセーフ
信頼性ドメイン信頼性ドメイン 拡張性ドメイン拡張性ドメイン
情報系の影響を制御系に与えない情報系を監視し、異常時には安全側に作用させる
拡張性ドメイン側の影響を信頼性ドメインに与えない拡張性ドメイン側を監視し、異常時には安全側に作用させる
許可されない車載データの外部通信を遮断
認証されていないマルチメディアの外部通信を遮断
認証されていないマルチメディアと車載ECUとの通信を遮断
走行支援(ソフトPF) 描画フェール
セーフ
セキュリティセキュリティ
車でのセキュリティの考え方車でのセキュリティの考え方
セキュリティセキュリティ
16Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
電子システムの統合化電子システムの統合化
個別制御から統合制御への流れが加速
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
IT・ITS
AC
C
IPA
AC
C
リモ
ート
セキ
ュリ
ティ
サスペンション
車両
運動
統合
制御
交差
点事
故低
減
レー
ンモ
ニタ
レー
ンキ
ープ
G-B
OO
K
2005 2010
周辺監視
衝突
防止
衝突安全
ステアリング
事故
回避
ブレーキ
●
●
●
ドライバ監視
警報
●
●
●
インフラ協調
センター機能
2000
ナビ・テレマ
●
●
●
●
パワトレ
●
●
●
●
●
●
●
●
AI-
SH
IFT
盗難防止・セキュリティ
●
●
●
●
●
●
●
●衝突
被害
軽減
●
●
●
● ●
●
● ●
● ● ●
ITSと制御系の連携の拡大
運転支援の拡大
個別から統合制御へ
システム
● ●●
エンジン
モーター
●
VH
VH
●
●
●
17Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
タイヤ運動車両運動
最適発生力配分
アクチュエータデバイス分配
パワトレーン駆動力
エンジン駆動力
ミッション
ギヤ比
ブレーキ
制動力
サスペンション
サス荷重
ステアリング
ピニオン角
アシストトルク
γ*,β*+ -
β:滑り角
γ:ヨーレイト
?Gx:前後GGy:横GM:ヨーモーメント
α:タイヤスリップ角s:タイヤスリップ率
Fx:タイヤ前後力Fy:タイヤ横力Fz:タイヤ接地力
VDM(運動制御)
車両状態F.B.(従来VSC)
γ,β ω:車輪速
車輪状態F.B.(従来ABS,TRC)
ω*
+ -
ドライバ意思モデル
総合判断
外界認識
アクセルブレーキハンドル
運転支援モデル
カメラ
レーダ
NaviGPS
SW類
VCM(車両制御)
リンク,ノードデータ
現在地周辺地図データGPS側位デー タ2D角速度走行軌跡データVICS情報データ局地天気データ外気温 ・ ・ ・
乗員保護マネージメント
シートベルト
アクティブシートP.S.B.
エアバッグ
エネルギーマネージメント?
要開発強化領域
VCM(車両制御)
乗員保護マネージメント?
駆動力デマンド
HIM(ヒューマンインターフェイス)
HIM(ヒューマンインターフェイス)
視界補助
操作反力
ブザー,ランプ,モニターペダル反力
ナイトビュー
AFS
ブラインドコーナーモニター
外界認識→運転支援
HMI
将来の将来の統合制御システム統合制御システム
18Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
脅威の事例を調査実装仕様に適用 《情報事故→車両故障》
故障→リスクランク (定量評価)
利便機能の不具合、または多数のユーザが不快に感じる4
走行性能低下、または付加機能の停止により、ユーザが不満を感じる5
走行機能の停止により、ユーザが不満を感じる6
イレギュラーな事態により、ユーザが危険を感じる7
軽症事故の可能性がある8
死亡事故や重症事故の可能性がある9
内容リスクランク
リスクリスク分析分析
関係整理
19Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
車両制御車両制御ECUECU構成構成
高性能マイコン
(マイコン)
統合電源ICバッファ回路(汎用的IC)
出力制御各種バッファ(統合IC)
入力制御センサ処理
通信・マイコン監視(SOC)
車両制御車両制御ECUECU用半導体の内訳用半導体の内訳 マイコン、統合 マイコン、統合ICIC((出力制御出力制御ICIC、、入力制御入力制御ICIC、、マイコン監視マイコン監視))、、 センサ信号処理、統合電源 センサ信号処理、統合電源ICIC、、各種汎用各種汎用ICIC((ロジック、パワーロジック、パワーMOSMOS))
エンジン制御エンジン制御ECUECUの事例の事例
ロバスト性を高める為には、統合ロバスト性を高める為には、統合ICICとマイコンの使い方(ソフト)が重要とマイコンの使い方(ソフト)が重要
20Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
ロバスト性が高いロバスト性が高い統合統合ICIC構造構造
EE
N+N+N+N+ BaseBase
NN--
CC
N+N+
PsubPsub
BB
BOXBOX
Poly siliconPoly silicon1212uu mm
0.80.8uumm
11 uumm
Trench isolationTrench isolation
- 耐ノイズ性/高温対応のためSOI構造が有利 -
21Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
車載プロセッサに対する車載プロセッサに対する要求要求
低消費電力
高性能
高計算精度
高信頼性
耐故障性
低コスト
安定供給
継続性
業界標準化
開発容易性
機能安全対応
22Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車の外乱自動車の外乱ノイズノイズ(1)(1)
1 ns
電波強度
コンピュータ類から放射される電気雑音
点火装置から放射される電気雑音
電波強度
100ns
高圧系から放射される電気雑音
受信障害
ペースメーカ干渉
人体防護指針
車載受信機性能確保
AM FM TV放送
放送・通信
衛星
G-BOOK
GPS
Exit
ETC
スマート
電波強度
25-100μs
エミッション性能
23Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車の外乱自動車の外乱ノイズノイズ(2)(2)
放送局のアンテナの近傍
電
波
強
度
100ms
電波強度
10ns
静電気
高圧送電線
20ms
電波強度
車載無線機
レーダー施設の近傍
電波強度
5~6μs
電波強度
2ns
携帯電話電波強度
0.7ns
イミュニティ性能
24Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車の機能安全自動車の機能安全
車載電子制御システム車載電子制御システム対応の対応の機能機能安全対応技術を早期に確立安全対応技術を早期に確立し、し、標準化標準化をを進め進める必要が有るる必要が有る
ソフ
トウ
ェア
規模
ソフ
トウ
ェア
規模
開発年次開発年次
ソフトウェア/電子システムの高機能化ソフトウェア/電子システムの高機能化(安全機能を含めて)(安全機能を含めて)
ソフトウェア・電子システムの信頼性が重要ソフトウェア・電子システムの信頼性が重要
車載電子制御システム車載電子制御システム
•• EPSEPS•• ECBECB•• VCSVCS
・・・
・・・
各産業分野への機能安全の拡がり各産業分野への機能安全の拡がり
原子力 (IEC 61513, IEC 60880)原子力原子力 ((IECIEC 61513, IEC 60880)61513, IEC 60880)
鉄道 (IEC 62278)鉄道鉄道 ((IEC 62278)IEC 62278)
プロセス産業 (IEC 61513)プロセス産業プロセス産業 ((IEC 61513)IEC 61513)
医療機器 (IEC 62304)医療機器医療機器 ((IEC 6IEC 623042304))
分野毎にソフトウェア・電子システムの安全規格分野毎にソフトウェア・電子システムの安全規格(機能安全規格)が発効(機能安全規格)が発効
自動車分野にも波及(自動車分野にも波及(ISOISO 2626226262))
IEC
61
50
8IE
CIE
C6
15
08
61
50
8•• 厳しい開発制約の中でどう安全性を確保する厳しい開発制約の中でどう安全性を確保する
のかが課題のかが課題•• 一般の人々が扱う大量生産品に対して導入さ一般の人々が扱う大量生産品に対して導入さ
れる最初の例であり、後続する他産業分野へれる最初の例であり、後続する他産業分野への影響も大の影響も大
•• 規格の抽象度が高く、まだその解釈を巡って規格の抽象度が高く、まだその解釈を巡って試行錯誤の段階試行錯誤の段階
25Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自動車の機能安全自動車の機能安全
IEC61508IEC61508 ISO26262ISO26262
対象領域対象領域
安全システム搭載安全システム搭載
系統エラー系統エラー
SILSILレベルレベル
使用実績使用実績
SILSILレベルレベル目標故障率目標故障率
全産業全産業 自動車自動車
外付け監視可能外付け監視可能
SILSILレベルに応じたレベルに応じた遵守プロセス差別化遵守プロセス差別化
SIL 1SIL 1--44
認証時に加味認証時に加味
最少最少1010--99回回//HrHr
車載に限定車載に限定
差別化困難差別化困難
ASIL AASIL A--DD
証明で説明回避証明で説明回避
数値目標議論中数値目標議論中
26Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
車載エレクトロニクス部品の統合化の進展により、車載エレクトロニクス部品の統合化の進展により、システムレベルのディペンダビリティシステムレベルのディペンダビリティが部品に要求されるが部品に要求される
http://www.kumikomi.net/article/explanation/2005/03osek/01.htmlより引用
車両に搭載されているECU 車載ECUの統合化
車載部品の機能安全車載部品の機能安全
27Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
車載部品の機能安全車載部品の機能安全
システムレベルで半導体部品の検証が容易
1チップ化の進展によりシステムレベルで半導体部品の検証が不可能
SOC化
1)自動車業界において、部品レベル(マイコン、統合IC)のテスト 内容の把握が必要2)半導体業界においては部品レベルでの検証能力の把握と、新しい 検証技術の開発を望まれる
機能安全規格(ISO26262)をベースに設計できるレベルのガイドライン化が必要
従来
28Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
ディペンダビリティディペンダビリティの実現手法の実現手法
情報系ECU
制御系ECU信頼性:高
情報系ECU信頼性:中
ボディ系ECU信頼性:高
制御系ECU信頼性:高
ボディ系ECU信頼性:高
信頼度の異なるシステム間接続は、全体の信頼度信頼度の異なるシステム間接続は、全体の信頼度は低い側となるは低い側となる
情報系情報系ECUECUの内部に制御系・ボディ系の内部に制御系・ボディ系ECUECUと同等と同等の高信頼な連携機能と中信頼な領域に分離の高信頼な連携機能と中信頼な領域に分離
信頼度の影響
連携機能信頼性:高
情報系機能信頼性:中
高信頼ドメイン 中信頼ドメイン
サービス信頼度
サービス信頼度
高
中
機能分離で信頼度の影響を吸収
このままでは高信頼なシステムを構築このままでは高信頼なシステムを構築できないできない
制御系・ボデー系との接続は高信頼ドメ制御系・ボデー系との接続は高信頼ドメインに限定することで、信頼性を確保インに限定することで、信頼性を確保
各ドメインの必要信頼度を定義し、システム構造に織り込む
29Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
安全を担保するソフトを保護する構造を導入し、明確な分離構成とする安全を担保するソフトを保護する構造を導入し、明確な分離構成とする
メモリ保護・時間保護の構成図特別プロセスのイメージ
【システム部署】
安全を担保する
フェールセーフロジックの
基本構成見直し
【ソフト開発部署】
安全を担保する
フェールセーフ ソフトを
徹底的に単純化
コードFIX
【ソフト監査部署】
安全を担保する
フェールセーフ ソフトは
徹底(網羅)的
に信頼性を確認
【ソフト開発部署】
安全性、信頼性
が確認された
フェールセーフ ソフト
を徹底流用
徹底検査ソフト隔離
徹底流用安全性第一ソフト設計
機能安全システム設計
・リスクランクが異なる制御ソフトが、同一マイコン上に存在しても相互を隔離できる ・リスクランクが異なる制御ソフトが、同一マイコン上に存在しても相互を隔離できる
・仮に他ソフトの設計・実装ミスがあっても、重要ソフトに影響せずロバスト性も向上 ・仮に他ソフトの設計・実装ミスがあっても、重要ソフトに影響せずロバスト性も向上
・安全性の要求されるソフト開発は、特別プロセスで実施 ・安全性の要求されるソフト開発は、特別プロセスで実施
RTE 複合ドライバ層
ECU依存層
CPU依存層
サービス層
マイコン
アプリケーション コンポーネント
メモリ保護機能
RTOS
割込み管理機能
メモリ保護 時間保護
安全を担保するフェールセーフモジュール(内部監視など)
保護隔壁
ソフト設計でソフト設計での実現手法の実現手法
30Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
「制御系OS」現号の制御ソフトPF
車両制御系連携アプリ
車両制御ECU(ソフトPF)エンジンECUVDIMHV-ECU
「情報系OS」多彩な情報サービスの動作基盤
「連携部OS」走る・曲る・止まるとの連携動作(車載向け機能)
制御系情報系
汎用ミドルウェア
情報系アプリ
マルチコア+マルチOSで完全分離を実現
マルチコアマイコン搭載例
情報系コア①
マルチコアOS
外部接続対応 信頼性対応
アプリ
②②
制御系コア①
ハード+ソフト設計でハード+ソフト設計での実現手法の実現手法
31Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
CPUCPUにおける機能安全における機能安全
~2005年 2006 - 2010年 2010年~
従来方式 最近の取り組み 将来技術
・イリーガルアドレス・イリーガルインストラクション・ECC・ウオッチドッグ・冗長周辺回路・スーパーユーザーモード・クロック/電圧監視・サブマイコン監視・フェイルセーフ監視モード
・CPUセルフチェック・ビルトインセルフテスト・オンライン周辺回路チェック
・マルチコア相互監視・トラストゾーン・フォルト トレラント デバイス
32Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
CPUCPUの機能安全の考え方の機能安全の考え方
メインメインCPUCPU
サブサブCPUCPU
メインメインCPUCPU
メインメインCPUCPU
メインメインCPUCPU
監視監視回路回路
比較比較
通信で監視通信で監視
監視方式監視方式 不具合の不具合の検出検出
フェイルフェイルセーフセーフ
不具合不具合の特定の特定
フェイルフェイル処理処理
CPUCPU比較比較
不具合検出不具合検出場所特定場所特定
可能可能
可能可能
可能可能
可能可能
可能可能
可能可能 可能可能 可能可能
(機能限定)(機能限定)
不可能不可能 不可能不可能
一部一部可能可能 不可能不可能
正常動作との比較を正常動作との比較を行い、異常行い、異常が検出されたらシステムを安全側へが検出されたらシステムを安全側へ倒す倒す
33Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
CPUCPU監視方式監視方式
データデータ
Watc
h D
og
Watc
h D
og
命令命令
データデータ
Watc
h D
og
Watc
h D
og
命令命令
セン
サセ
ンサ
電源分離電源分離
比較回路比較回路 OK/NGOK/NG
データデータ
命令命令
メインメイン処理用処理用
H/WH/W チェックチェック 回路回路
コアコアBB 処理用処理用
コアコアAA 処理用処理用
OK/NGOK/NG
指示指示 ハードハード情報情報
・故障診断がソフトに依存するため診断・故障診断がソフトに依存するため診断 カバレッジが低い カバレッジが低い・共通原因故障は排除出来ない・共通原因故障は排除出来ない (コアアーキテクチャが同一なため) (コアアーキテクチャが同一なため)
Dual Core Dual Core 方式方式
・故障診断ハードで実施するため診断・故障診断ハードで実施するため診断 カバレッジを上げられる カバレッジを上げられる・ソフトと協調する事でハイレベルの・ソフトと協調する事でハイレベルの 検出検出が可能が可能
ハード検出ハード検出 方式方式
34Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
故障検出率から見た故障検出率から見た比較比較
監視方式監視方式 CPUCPU診断診断 カバレッジカバレッジ
故障箇所特定故障箇所特定共通共通原因故障原因故障
動作継続動作継続 可能性可能性
コストコスト
Dual Core Dual Core 方式方式
ハード検出ハード検出 方式方式
ソフトの設計ソフトの設計に依存に依存
ハードハード++ソフトソフトで対応可能で対応可能
CPUCPUの出力の出力 比較なので比較なので 故障箇所特故障箇所特 定は難しい定は難しい
回路ブロック回路ブロック 毎にフラグ設毎にフラグ設 定が出来る定が出来る のでので故障箇所故障箇所 特定が可能特定が可能
故障箇所故障箇所の の 特定特定が困難が困難なため動作なため動作 制限が有る制限が有る
故障箇所故障箇所 を避けてを避けて 動作が可能動作が可能
マルチマルチ コアコアCPUCPUが必要が必要
重要部分重要部分 を選別しを選別し ての監ての監視視 が可能が可能
○○ ○○△△
△△--×× △△
データデータ
Watc
h D
og
Watc
h D
og
命令命令
データデータ
Watc
h D
og
Watc
h D
og
命令命令
セン
サセ
ンサ
電源分離電源分離
比較回路比較回路
OK/NGOK/NG
コアコアBB 処理用処理用
コアコアAA 処理用処理用
データデータ
命令命令
メインメイン 処理用処理用
H/WH/Wチェックチェック回路回路
OK/NGOK/NG
指示指示 ハードハード情報情報
35Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
半導体メーカでの開発事例半導体メーカでの開発事例
BridgeBridge BridgeBridge RAMRAM DMACDMAC
CPU CoreCPU Core
Code BusCode Bus
System BusSystem Bus
BridgeBridge
WDTWDT
RSECRSEC
CGCG
ADCADC
UARTUART
GPIOGPIO
SEISEI
CANCAN
PMDPMD
故障診断回路
故障診断回路
故障診断回路
故障診断回路 故障診断回路
故障診断回路
TimerTimer
故障診断回路
故障診断回路
故障診断回路
故障診断回路
他社(他社(YogitechYogitech))の故障診断回路や自社の故障診断回路を活用して、の故障診断回路や自社の故障診断回路を活用して、SIL3SIL3対応を実現:対応を実現:TUVTUV--SUDSUDの認証取得の認証取得
BootBoot ROMROM RAMRAM FlashFlash FlashFlash
故障診断回路 故障診断回路
故障診断回路
故障診断回路
故障診断回路は動的再構成可能な回路で実現する案も
多くのシステム多くのシステムに適用可能に適用可能
将来案 将来案
36Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
システム領域
ソフト領域ハード領域
ISO26262ISO26262のの内容内容
37Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
■課題■課題ISO26262ISO26262の要件の要件が曖昧かつ適用の考え方がが曖昧かつ適用の考え方が不明確なため不明確なため、、量産設計での実施量産設計での実施が困難が困難■対応■対応要件要件をを自動車会社の自動車会社の視点で解釈・具体化し、ガイドライン視点で解釈・具体化し、ガイドラインとして要件として要件をを明確化明確化
ISO26262ISO26262 Part 4. Part 5. Part 6. Part 8Part 4. Part 5. Part 6. Part 8 機能安全開発ガイドライン機能安全開発ガイドライン
具体化具体化
ISO26262ISO26262対応対応
Part 6 :Part 6 :ソフト要件ソフト要件
Part 4 :Part 4 :システムシステム要件要件
Part 5 :Part 5 :ハードハード要件要件
Part 8 :Part 8 :ツール認定要件ツール認定要件
38Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
ソフトウェア要件と現状分析ソフトウェア要件と現状分析
■ 開発規約(コーディングルール、命名規約etc) ・規約が守られているか実装工程で静的解析、逸脱した場合はエビデンスを残しているか?
開発準備
設計工程
検査工程
プロセス(CMMI、SPICE等)が充実対応していれば(ソフトに関しては)大半の要件をカバーできる内容
■ ソフトウェア単体テスト・検査計画(Cカバレッジ目標・テスト環境etcが)明確になっており、実践・成果物ができているか?・単体設計要件は漏れなくテストできているか(トレース管理)?
■ ソフトウェア結合テスト ・検査計画(コールカバレッジ、回帰テストetc)が明確になっており)、実践・成果物が管理できて
いるか?・構造設計からの要件(機能・非機能)は漏れなくテストできているか(トレース管理)?
■ ソフトウェア要求テスト・バスモニタ、HILSで行う検査計画が明確になっており、実践・成果物が管理できているか?・要件定義からの要件は漏れなくテストできているか(トレース管理)?
■ ソフトウェア要件定義・HAZOP,ASIL,FMEA等の上流での安全設計を踏まえてソフトウェア要件が定義できているか?
■ ソフトウェア構造設計・コンポーネント別にソフト構造設計が実施されており、成果物が管理できているか?
■ ソフトウェア単体設計・構造設計に基づいて単体(コンポーネント、関数)の設計ができ、成果物が管理できているか?
ISO26262ISO26262対応 対応
39Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
高信頼性・ロバスト性高信頼性・ロバスト性お客様目線お客様目線
説明責任・エビデンス・第3者監査説明責任・エビデンス・第3者監査
BOS
EDR リモートダイアグ
リプロ
フェールセーフ設計
FMEA/FTA
ソフト監視系(通信監視,パーティショニング,データ保証他)
プロセス改善(CMMI,SPICE,BPRM他)
ISO26262
ハード監視系(ECC,CRC,MPU,LS,WD他)
エビデンス作り(R13H他)
AUTOSAR Safety Concept(E2E,プログラムフロー監視,e-GAS)
ソフト見える化・再構築
形式手法・検証
ツール
ISO26262ISO26262対応対応
40Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
ハードとの連携ハードとの連携(高信頼性・ロバスト性)(高信頼性・ロバスト性)
①① ハードハード故障検出・対処故障検出・対処 ハードハード故障、故障率、故障、故障率、FTA/FMEAFTA/FMEAをベースにソフトウェアでのをベースにソフトウェアでの検出検出・対処・対処方法方法を検討を検討②② ハードハード・ソフト監視・ソフト監視 マイコンマイコン構成構成((下記参考)における監視のためのソフトウェア技術・監視ロジック開発下記参考)における監視のためのソフトウェア技術・監視ロジック開発 (アサーション、データフロー監視、復旧技術) (アサーション、データフロー監視、復旧技術)③③ 時間時間・メモリ保護(・メモリ保護(OSOS)) エラーエラーの波及防ぐの波及防ぐOSOSおよびそれを支援するハードウェア仕様の開発・およびそれを支援するハードウェア仕様の開発・標準化標準化④④ 入出力入出力信号信号保護保護((CANCANを含む)を含む)
従来(従来(CRCCRC、、チェックサムチェックサム、送受信ロック判定他)より更なる高信頼性を狙った、送受信ロック判定他)より更なる高信頼性を狙った通信通信ソフトウェアソフトウェア技術(技術(AUTOSAR E2EAUTOSAR E2E他他))のの開発開発
入力入力
出力出力
メインマイコンメインマイコンVV850850
監視マイコン監視マイコンM16CM16C
入力入力
デュアルマイコンデュアルマイコンTMS570(WEGA)TMS570(WEGA)
マスタマスタCoreCore
監視監視CoreCore
出力出力
リセットリセット WDCWDCパルスパルス
ASICASIC
リセットリセット WDCWDCパルスパルス
ASICASIC比較器比較器
システム停止システム停止((リセットリセット))
エンジンエンジン ブレーキブレーキ
ISO26262ISO26262対応 対応
41Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
自工会検討依頼書
検討依頼
JASPAR機能安全W/G(機能安全ガイドライン開発Gr)
• 要件の具体化• ソフトウェアWG、プロセス
WGへの検討依頼
ISO26262
JASPARソフトウェアW/G
JASPARプロセスW/G
• ガイドライン化
機能安全ガイドラインソフトウェア編
機能安全ガイドラインプロセス編
検討依頼
検討結果フィードバック
最新のISO要件
• ソフトウェア• 開発プロセス(ツール)の分野でメンバーの知見を集約し、ソフトウェア・プロセス(ツール)のガイドラインを開発
活動アウトプット
自工会へフィードバック
自動車業界の動き自動車業界の動き
42Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
Virtual Functional Bus (VFB)を用いた
ソフトウエアコンポーネント設計
開発プロセスの全領域を
ツールによってサポート
OEM-サプライヤ間の
標準インターフェース(XMLフォーマット)
VFBとコンポーネント(部品化)により
容易にECUの再構築が可能
Basic Softwareによる
ハードウエアの抽象化
RTE(オートコード)によってVFBを実現
AUTOSAR Software Architecture• ISO準拠したAUTOSAR組み込みソフトウェアの特徴
RTE
SystemServices
Com
plexD
evice Drivers
CommunicationHardware
Abstraction
Communication Drivers
MemoryServices
CommunicationServices
I/O H
ardware
Abstraction
MemoryHardware
Abstraction
OnboardDevice
Abstraction
I/O
Drivers
Memory Drivers
Microcontoroller Drivers
Layered Software Architecture
AUTOSARAUTOSARソフト ソフト
43Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
RTE
SystemServices
Com
plexD
evice Drivers
CommunicationHardware
Abstraction
Communication Drivers
MemoryServices
CommunicationServices
I/O H
ardware
Abstraction
MemoryHardware
Abstraction
OnboardDevice
Abstraction
I/O
Drivers
Memory Drivers
Microcontoroller Drivers
・概要
– AUTOSAR OSはOSEK/VDX OSを拡張した仕様となっており、
以下に拡張された機能を示す。
・カウンタ機能
・スケジュール・テーブル
・グローバル・タイムの同期
・スタック・モニタリング
・OSアプリケーションごとのフック関数
・OSアプリケーション
・保護機構
・保護フック
・スケーラビリティ・クラス
・コンフィグレーション言語
対応レイヤ
AUTOSAR
OS
AUTOSARAUTOSAR OSOS
44Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
説明すべき事
安全性目標が定義されている
安全性目標を満足するシステム構成を設計しハード・ソフトの安全要件が定義できている
ハード安全要件を満足するハード設計を実施
ソフト安全要件を満足するソフト設計を実施
ハード・ソフトを結合してシステムとして安全目標が達成出来ている
説明の方法
故障事象に対して過酷さランクと許容発生率を定義する
FTA/FMEA(故障検出率も明示必要)
故障率
1) 論理的検証(形式検証)2) 不具合時の冗長処理
・ガード処理
評価結果
機能間の横並びを取る
インターフェースのFTA/FMEA(送受間での整合)
インターフェース信号の信頼性設計
インターフェースの 整合評価方法
実施事項:部門を跨る機能間の安全設計ルール策定
機能安全
(IS
O2
62
62
)
機能安全機能安全設計設計のまとめのまとめ
45Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
説明責任(北米説明責任(北米の品質の品質問題)問題)
公聴会を通してメディア、議会からの指摘
1)顧客視点の欠如1)顧客視点の欠如2)顧客の満足する説明の不足2)顧客の満足する説明の不足3)対応が遅い3)対応が遅い4)不透明4)不透明5)品質責任・設計センターの一極集中5)品質責任・設計センターの一極集中
今後必要な基本的な考え方
1)調査できていない。原因が見付かっていないと言う1)調査できていない。原因が見付かっていないと言う と不具合を隠蔽していると見られる と不具合を隠蔽していると見られる2)メーカ2)メーカ//ユーザの責任領域の変化ユーザの責任領域の変化 ⇒ユーザの誤使用もメーカの責任との考え ⇒ユーザの誤使用もメーカの責任との考え3)他地域・他車種不具合の情報の整理とリスク検証3)他地域・他車種不具合の情報の整理とリスク検証4)設計変更(改善、4)設計変更(改善、VEVEでも)は欠陥の認定と見られるでも)は欠陥の認定と見られる5)原理説明よりユーザが安心できる説明が必要5)原理説明よりユーザが安心できる説明が必要
46Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
必要な対応能力必要な対応能力
◆ ◆ AccountabilityAccountability((分かり易い説明)分かり易い説明) --【欧州】機能安全対応能力(【欧州】機能安全対応能力(ISO26262ISO26262) ) --【【米国】オープンでフェアな説明能力米国】オープンでフェアな説明能力 例)ソフトウェア 例)ソフトウェアIV&VIV&V対応対応 --【中国】地域の特性に合わせた対応手段が必須【中国】地域の特性に合わせた対応手段が必須◆◆ Delivery Speed Delivery Speed
-- 市場対応能力:インターネット時代に対応可能な市場対応能力:インターネット時代に対応可能な スピード感 スピード感 -- バリエーション展開能力:多地域、他車種展開バリエーション展開能力:多地域、他車種展開 -- 検証検証//解析能力:新たな開発プロセスの構築解析能力:新たな開発プロセスの構築◆◆ CostCost -- デファクト(標準)技術の採用デファクト(標準)技術の採用 -- 汎用技術の展開汎用技術の展開◆◆ FunctionFunction -- 先行的な要素技術開発力先行的な要素技術開発力
47Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
まとめとお願いまとめとお願い
(1)自動車用電子システムは加速度的に複雑化が進展 ⇒⇒ ディペンダビリティを考慮ディペンダビリティを考慮((設計指針)したシステム設計が重要設計指針)したシステム設計が重要
⇒⇒ 外部インフラからの完全なセキュリティ確保が必須外部インフラからの完全なセキュリティ確保が必須⇒⇒ 安全性の説明のために、安全性の説明のために、ISO26262ISO26262準拠が必須準拠が必須
(2)自動車はエレクトロニクス無しでは成立しない ⇒⇒ ディペンダビリティの良し悪しが自動車の品質ディペンダビリティの良し悪しが自動車の品質//安全性を決定安全性を決定
⇒ ⇒ エレクトロニクス化が進むとシステムの脆弱性も高まるエレクトロニクス化が進むとシステムの脆弱性も高まる ⇒⇒ メカよりエレキの方が複雑で、安全性に不安を持つユーザが多いメカよりエレキの方が複雑で、安全性に不安を持つユーザが多い
(3)自動車の進化のためにはシステムの複合化が必須 ⇒⇒ ディペンダビリティを担保した実装技術、部品技術、ディペンダビリティを担保した実装技術、部品技術、
半導体技術(回路、製造、検査技術)、ソフト技術が重要半導体技術(回路、製造、検査技術)、ソフト技術が重要
(4)システムから半導体開発までスルーで開発出来る開発環境が必須 ⇒ 最適なハード/ソフトの機能分担、設計ツールのチェーン化 ⇒ 高精度/高速動作モデル:メカとエレキの境界検討
部品レベルの完璧なディペンダビリティ実現をシステム側は期待部品レベルの完璧なディペンダビリティ実現をシステム側は期待
48Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA
Thank you for your attention