カーエレクトロニクスのディペンダビリティ設計と説明責任 ·...

1Copyright © 2010 Toyota Motor Corporation. All rights reserved.TOYOTA

カーエレクトロニクスのディペンダビリティカーエレクトロニクスのディペンダビリティ設計設計と説明責任と説明責任

トヨタ自動車株式会社制御ソフトウエア開発部

　服部雅之　


本日の報告内容本日の報告内容

１．自動車産業１．自動車産業の状況の状況（（リーマンショック後のリーマンショック後の変化）変化）２．カーエレクトロニクス技術の現状２．カーエレクトロニクス技術の現状３．自動車における統合制御技術３．自動車における統合制御技術４．自動車における機能安全設計４．自動車における機能安全設計と説明責任と説明責任５５. . ディペンダビリティ設計への取り組みディペンダビリティ設計への取り組み６．まとめと要望６．まとめと要望


世界の世界の自動車自動車市場市場

2002 2003 2004 2006 2008 2005 2007 [ Year ]

2009 2010

60

40

20

80

0

[Million]

日本/韓国

西欧

北米

南米

中東/ｱﾌﾘｶ

中・東欧

南ｱｼﾞｱ

中国

(Source: CSM World)

１）１）近年近年経験したことの無い落ち込み経験したことの無い落ち込み

２）新興国市場の拡大２）新興国市場の拡大


自動車メーカ別シェア推移自動車メーカ別シェア推移

(Source: CSM World)　　

TOYOTA　VW　FORD　GM　

[ % ]　

[ Year ]

HYUNDAI　

2003　2004　 2005　

2006　2007　 2008　2009　

GM

FORD

VW

HYUNDAI

TOYOTA

0

2.0　

4.0　

6.0　

8.0　

10　

12

14　

16　

18　

ここ数年のここ数年の各社各社シェアシェアのの変動が著しい変動が著しい


国内国内HVHV車販売実績車販売実績

ＨＶ車の販売は年々高まっている⇒　先進国での環境対応車のニーズの広がり⇒　優遇税制の拡大


自動車業界の激変自動車業界の激変

リーマンショックを境に、それまで徐々に進んでいた変化が急速に進展

・新興国市場の拡大・新興国市場の拡大　　・自動車のコモディティ化の進展・自動車のコモディティ化の進展　　　　⇒　⇒　EVEV車の開発車の開発活発化活発化（汎用技術で実現可能）（汎用技術で実現可能）　　　⇒　新興自動車メーカの成長（中国、インド）　⇒　新興自動車メーカの成長（中国、インド）　　　⇒　低価格車の普及　⇒　低価格車の普及　　・各地域・各地域毎の自動車毎の自動車市場の差（ユーザニーズ）の市場の差（ユーザニーズ）の拡大拡大・各自動車メーカの市場シェアの激変・各自動車メーカの市場シェアの激変　　・新しいアライアンスの模索・新しいアライアンスの模索　　・自動車部品産業への新規参入企業の増加・自動車部品産業への新規参入企業の増加　　

新しい激変へのプロローグか？？新しい激変へのプロローグか？？


車に対する様々な要求車に対する様々な要求

利便性　利便性　

ｶｰﾅﾋﾞｹﾞｰｼｮﾝ、ｶｰﾅﾋﾞｹﾞｰｼｮﾝ、ETCETC　　ｽﾏｰﾄｴﾝﾄﾘｰ、自動課金　ｽﾏｰﾄｴﾝﾄﾘｰ、自動課金　

快適性快適性

ｸﾙｰｽﾞｺﾝﾄﾛｰﾙ、ｵｰﾄﾗｲﾄ　ｸﾙｰｽﾞｺﾝﾄﾛｰﾙ、ｵｰﾄﾗｲﾄ　ｵｰﾄｴｱｺﾝ、ﾚｰﾝｷｰﾌﾟ　ｵｰﾄｴｱｺﾝ、ﾚｰﾝｷｰﾌﾟ　

安全性安全性

ｴｱﾊﾞｯｸﾞ、歩行者検知、　ｴｱﾊﾞｯｸﾞ、歩行者検知、　ﾌﾟﾘｸﾗｯｼｭ、ﾌﾟﾘｸﾗｯｼｭ、ABSABS、、VSCVSC、　、　TRCTRC、、VDIMVDIM　　

環境対応　環境対応　

EFIEFI、、HVHV、、FCFC、、ﾃﾞｰｾﾞﾙ　ﾃﾞｰｾﾞﾙ　ﾌﾟﾗｸﾞｲﾝﾌﾟﾗｸﾞｲﾝHVHV、、ｱｲﾄﾞﾙｽﾄｯﾌﾟ　ｱｲﾄﾞﾙｽﾄｯﾌﾟ　


カーエレクトロニクスカーエレクトロニクスの変遷の変遷

2000年　 2005年　 2010年　 2015年　

スマートスマートグリッド対応グリッド対応

自律走行自律走行

隊列走行隊列走行

車車車車間連携間連携

路車間連携路車間連携

FCFC、、EVEV

・・・

衝突回避衝突回避

ITS

機能

安全規格標準規格

双方向ナビ双方向ナビ19981998年年

ETCETC一般利用一般利用開始開始 20012001年年

プローブカープローブカー20082008年年

・安全・ﾊﾟﾜｰﾄﾚｲﾝ　・ﾎﾞﾃﾞｰ

HVHV車車19971997年年

レーンキープレーンキープ20012001年年

SHSH--4WD4WD20042004年年

ｲﾝﾃﾘｼﾞｪﾝﾄﾍﾟﾀﾞﾙｲﾝﾃﾘｼﾞｪﾝﾄﾍﾟﾀﾞﾙ20082008年年

ｱﾗｳﾝﾄﾞﾋﾞｭｰﾓﾆﾀｱﾗｳﾝﾄﾞﾋﾞｭｰﾓﾆﾀ20072007年年

EyeSightEyeSight20102010年年

ii--STOPSTOP20020099年年

AUTOSARAUTOSAR設立設立20032003年年

JASPARJASPAR設立設立20042004年年

機能安全機能安全ISOISO化化20112011年年

路車間情報路車間情報20112011年年

ﾌﾟﾗｸﾞｲﾝﾌﾟﾗｸﾞｲﾝHVHV20112011年年

ii--MiEVMiEV20200909年年


最近のカーエレクトロニクス最近のカーエレクトロニクス

＜開発の方向性＞＜開発の方向性＞・・高機能化高機能化より、ユーザより、ユーザが真に求める機能の開発にシフトが真に求める機能の開発にシフト・高級車限定ではなく、汎用車にも展開可能な技術開発・高級車限定ではなく、汎用車にも展開可能な技術開発　　⇒　統合システム化により開発が加速　　⇒　統合システム化により開発が加速

＜環境対応＞＜環境対応＞

プラグインハイブリッド車プラグインハイブリッド車

＜快適・安全＞＜快適・安全＞

＜繋がる技術＞＜繋がる技術＞

プリクラッシュセイフティーシステムプリクラッシュセイフティーシステム

インフラ協調システムインフラ協調システム


電池を外部電力で充電し、モーターによるＥＶ走行電池を外部電力で充電し、モーターによるＥＶ走行レンジレンジを拡大を拡大

・・ショートトリップショートトリップは充電電力でのモーターによるは充電電力でのモーターによるEVEV走行走行

・・長距離、高速、登坂はエンジンとモーターによる走行　長距離、高速、登坂はエンジンとモーターによる走行　

ﾓｰﾀｰ電池

家庭用電源

ｴﾝｼﾞﾝ

燃料タンク

ガソリンスタンド

電気利用車両の現実的な在り方として期待電気利用車両の現実的な在り方として期待

プラグインハイブリッドプラグインハイブリッド


HVHV車車の燃料効率と加速の燃料効率と加速性能性能

10

15

20

25

30

35

40

3 3.5 4 4.5 5 5.5 6 6.5

中間加速　40-70km/h (sec)

10

・1

5モ

ード

燃費

(km

/L) 速い

燃費が良い

欧州E車

国内 B車　HV

1.4L

ｶﾑﾘ 2.4L

ﾌﾟﾚﾐｵ 2.0L

ｳﾞｨｯﾂ 1.0L

欧州D車1.9L ﾃﾞｨｰｾﾞﾙ

ｶﾛｰﾗ 1.5L

プリウスプリウス1.51.5LL

燃費と加速性能の両立燃費と加速性能の両立燃費と加速性能の両立

HVは燃費向上において加速性能を犠牲にしないHVは燃費向上において加速性能を犠牲にしない


PrePre--crash Safety Systemcrash Safety System

カメラ、レーダーで車両・歩行者を検出警報とブレーキにより追突事故､歩行者事故を低減

〈構成〉

前方監視ECU

ミリ波レーダー

カメラ

ブレーキAct.

立体音響

顔向き検知

〈検出例〉


路車間通信

歩行者との通信

車車間通信

インフラ協調システムインフラ協調システム


2008

2010

2012

2015

2020

2030

203020202010

インフラ協調インフラ協調信号機注意喚起信号機注意喚起

インフラ協調インフラ協調環境支援システム環境支援システム

エコ＆セイフティポイントエコ＆セイフティポイント

交通流交通流群制御群制御

プローブ利用プローブ利用交通情報システム交通情報システム

プローブ利用プローブ利用安全支援システム安全支援システム

プローブ利用プローブ利用環境支援システム環境支援システム

営業車プローブ営業車プローブ情報システム情報システム

地図配信地図配信

高精度位置検出運転支援高精度位置検出運転支援

POI配信

PCPC（（WebWebサイト）利用サイト）利用目的地設定目的地設定

携帯機器ナビ連携携帯機器ナビ連携

ドアツードア案内ドアツードア案内

個人適応学習個人適応学習HMIHMI

ネットワーク（分散）型ネットワーク（分散）型データベースデータベース

プラグインプラグインHVHV連携連携

ナビナビHVHV連携制御連携制御

スマートウェイスマートウェイ

運転者状態学習適応支援システム運転者状態学習適応支援システム

ホーム連携システムホーム連携システムマルチコアCPU

MEMSﾚｰﾀﾞｾﾝｻ

分散型OS

4G 携帯電話 5G 携帯電話 6G 携帯電話

創発擬似対話知能

シナリオベース擬似対話知能

交通流予測・分散制御交通流予測・分散制御

ナビナビACCACC連携制御連携制御33DD地図勾配情報利用地図勾配情報利用システムシステム

勾配学習制御

エコルート案内エコルート案内プローブ利用路面状態予測

予測交通情報

個人識別個人認証

個人特性学習（嗜好、運転スキル）

個人状態推定（体調、眠気、疲労）

個人思考推定（意図、感情）

個人情報保護行動フォローナビ行動フォローナビ

ワイヤレスブロードバンド通信

情報エージェント

高精度位置評定技術

高精度地図作成技術（衛星地図等）

3D POI

方向性音像形成

走行経路適応エネルギー収支学習

そのとき必要な情報を高鮮度で提供そのとき必要な情報を高鮮度で提供

個々人に適応したシンプル操作

個々人に適応したシンプル操作

個人適応個人適応POIPOI

ドライバー

ドライバー状況対応対応

情報提供

情報提供

インフラ利用情報提供インフラ利用情報提供

2008 2012 2015

環境に対応した環境に対応したクルマの流れを実現クルマの流れを実現

エコ運転をサポートするエコ運転をサポートする情報提供情報提供

青字：自動車会社主導青字：自動車会社主導黒字：インフラ側主導黒字：インフラ側主導

一時停止案内

ﾒﾃﾞｨｱFLOﾃﾞｼﾞﾀﾙﾗｼﾞｵ

外部機器接続

インフラ協調インフラ協調技術開発技術開発


　　　制御連携PF　　　　　　制御連携制御連携PFPF制御系制御系情報系

通信モジュール

通信

外部通信外部通信

車内通信

車内通信

マルチメディア

マルチメディア

通信通信

センター

分離技術分離技術

フェールセーフフェールセーフ

セキュリティセキュリティ

インパネ

エンジン

ブレーキ

etc…

ナビ

AMP

RSE

etc…

　　　制御系　　　制御系PFPF 情報系情報系PFPF

ドメイン分離ドメイン分離

フェールセーフフェールセーフ

信頼性ドメイン信頼性ドメイン拡張性ドメイン拡張性ドメイン

情報系の影響を制御系に与えない情報系を監視し、異常時には安全側に作用させる

拡張性ドメイン側の影響を信頼性ドメインに与えない拡張性ドメイン側を監視し、異常時には安全側に作用させる

許可されない車載データの外部通信を遮断

認証されていないマルチメディアの外部通信を遮断

認証されていないマルチメディアと車載ECUとの通信を遮断

走行支援(ソフトPF) 描画フェール

セーフ


車でのセキュリティの考え方車でのセキュリティの考え方



電子システムの統合化電子システムの統合化

個別制御から統合制御への流れが加速

●

●

●

●

●

●

●

●

●

●

●

●

●

●

●

IT・ITS

AC

C

IPA

AC

C

リモ

ート

セキ

ュリ

ティ

サスペンション

車両

運動

統合

制御

交差

点事

故低

減

レー

ンモ

ニタ

レー

ンキ

ープ

G-B

OO

K

2005 2010

周辺監視

衝突

防止

衝突安全

ステアリング

事故

回避

ブレーキ

●

●

●

ドライバ監視

警報

●

●

●

インフラ協調

センター機能

2000

ナビ・テレマ

●

●

●

●

パワトレ

●

●

●

●

●

●

●

●

AI-

SH

IFT

盗難防止･ｾｷｭﾘﾃｨ

●

●

●

●

●

●

●

●衝突

被害

軽減

●

●

●

● ●

●

● ●

● ● ●

ＩＴＳと制御系の連携の拡大

運転支援の拡大

個別から統合制御へ

システム

● ●●

エンジン

モーター

●

ＶＨ

ＶＨ

●

●

●


ﾀｲﾔ運動車両運動

最適発生力配分

ｱｸﾁｭｴｰﾀﾃﾞﾊﾞｲｽ分配

ﾊﾟﾜﾄﾚｰﾝ駆動力

ｴﾝｼﾞﾝ駆動力

ﾐｯｼｮﾝ

ｷﾞﾔ比

ﾌﾞﾚｰｷ

制動力

ｻｽﾍﾟﾝｼｮﾝ

ｻｽ荷重

ｽﾃｱﾘﾝｸﾞ

ﾋﾟﾆｵﾝ角

ｱｼｽﾄﾄﾙｸ

γ*,β*+ -

β：滑り角

γ：ﾖｰﾚｲﾄ

？Gx：前後GGy：横GM：ﾖｰﾓｰﾒﾝﾄ

α：ﾀｲﾔｽﾘｯﾌﾟ角s：ﾀｲﾔｽﾘｯﾌﾟ率

Fx：ﾀｲﾔ前後力Fy：ﾀｲﾔ横力Fz：ﾀｲﾔ接地力

VDM（運動制御）

車両状態F.B.（従来VSC）

γ,β ω：車輪速

車輪状態F.B.（従来ABS,TRC）

ω*

+ -

ﾄﾞﾗｲﾊﾞ意思ﾓﾃﾞﾙ

総合判断

外界認識

ｱｸｾﾙﾌﾞﾚｰｷﾊﾝﾄﾞﾙ

運転支援ﾓﾃﾞﾙ

ｶﾒﾗ

ﾚｰﾀﾞ

NaviGPS

SW類

VCM（車両制御）

ﾘﾝｸ,ﾉｰﾄﾞﾃﾞｰﾀ

現在地周辺地図ﾃﾞｰﾀGPS側位ﾃﾞーﾀ2D角速度走行軌跡ﾃﾞｰﾀVICS情報ﾃﾞｰﾀ局地天気ﾃﾞｰﾀ外気温　　　　　　・　　　　　　・　　　　　　・

乗員保護ﾏﾈｰｼﾞﾒﾝﾄ

ｼｰﾄﾍﾞﾙﾄ

ｱｸﾃｨﾌﾞｼｰﾄP.S.B.

ｴｱﾊﾞｯｸﾞ

ｴﾈﾙｷﾞｰﾏﾈｰｼﾞﾒﾝﾄ？

要開発強化領域

VCM（車両制御）

乗員保護ﾏﾈｰｼﾞﾒﾝﾄ？

駆動力ﾃﾞﾏﾝﾄﾞ

HIM（ﾋｭｰﾏﾝｲﾝﾀｰﾌｪｲｽ）

HIM（ﾋｭｰﾏﾝｲﾝﾀｰﾌｪｲｽ）

視界補助

操作反力

ﾌﾞｻﾞｰ，ﾗﾝﾌﾟ，ﾓﾆﾀｰﾍﾟﾀﾞﾙ反力

ﾅｲﾄﾋﾞｭｰ

AFS

ﾌﾞﾗｲﾝﾄﾞｺｰﾅｰﾓﾆﾀｰ

外界認識→運転支援

HMI

将来の将来の統合制御システム統合制御システム


脅威の事例を調査実装仕様に適用　《情報事故→車両故障》

故障→リスクランク　（定量評価）

利便機能の不具合、または多数のユーザが不快に感じる4

走行性能低下、または付加機能の停止により、ユーザが不満を感じる5

走行機能の停止により、ユーザが不満を感じる6

イレギュラーな事態により、ユーザが危険を感じる7

軽症事故の可能性がある8

死亡事故や重症事故の可能性がある9

内容リスクランク

リスクリスク分析分析

関係整理


車両制御車両制御ECUECU構成構成

高性能ﾏｲｺﾝ

（ﾏｲｺﾝ）

統合電源ICバッファ回路（汎用的IC）

出力制御各種ﾊﾞｯﾌｧ（統合IC）

入力制御ｾﾝｻ処理

通信・ﾏｲｺﾝ監視（SOC）

車両制御車両制御ECUECU用半導体の内訳用半導体の内訳　マイコン、統合　マイコン、統合ICIC（（出力制御出力制御ICIC、、入力制御入力制御ICIC、、ﾏｲｺﾝ監視ﾏｲｺﾝ監視))、、　センサ信号処理、統合電源　センサ信号処理、統合電源ICIC、、各種汎用各種汎用ICIC（（ﾛｼﾞｯｸ、ﾊﾟﾜｰﾛｼﾞｯｸ、ﾊﾟﾜｰMOSMOS））

エンジン制御エンジン制御ECUECUの事例の事例

ロバスト性を高める為には、統合ロバスト性を高める為には、統合ICICとマイコンの使い方（ソフト）が重要とマイコンの使い方（ソフト）が重要


ロバスト性が高いロバスト性が高い統合統合ICIC構造構造

EE

N+N+N+N+ BaseBase

NN--

CC

N+N+

PsubPsub

BB

BOXBOX

Poly siliconPoly silicon1212uu mm

0.80.8uumm

11 uumm

Trench isolationTrench isolation

－耐ノイズ性/高温対応のためSOI構造が有利－


車載プロセッサに対する車載プロセッサに対する要求要求

低消費電力

高性能

高計算精度

高信頼性

耐故障性

低コスト

安定供給

継続性

業界標準化

開発容易性

機能安全対応


自動車の外乱自動車の外乱ノイズノイズ（１）（１）

1 ns

電波強度

コンピュータ類から放射される電気雑音

点火装置から放射される電気雑音

電波強度

１００ｎｓ

高圧系から放射される電気雑音

受信障害

ペースメーカ干渉

人体防護指針

車載受信機性能確保

AM　FM TV放送

放送・通信

衛星

G-BOOK

GPS

Exit

ETC

ｽﾏｰﾄ

電波強度

25-100μｓ

エミッション性能


自動車の外乱自動車の外乱ノイズノイズ（２）（２）

放送局のｱﾝﾃﾅの近傍

電

波

強

度

100ms

電波強度

10ns

静電気

高圧送電線

20ms

電波強度

車載無線機

レーダー施設の近傍

電波強度

５～６μｓ

電波強度

２ｎｓ

携帯電話電波強度

0.7ns

イミュニティ性能


自動車の機能安全自動車の機能安全

車載電子制御システム車載電子制御システム対応の対応の機能機能安全対応技術を早期に確立安全対応技術を早期に確立し、し、標準化標準化をを進め進める必要が有るる必要が有る

ソフ

トウ

ェア

規模

ソフ

トウ

ェア

規模

開発年次開発年次

ソフトウェア／電子システムの高機能化ソフトウェア／電子システムの高機能化（安全機能を含めて）（安全機能を含めて）

ソフトウェア・電子システムの信頼性が重要ソフトウェア・電子システムの信頼性が重要

車載電子制御システム車載電子制御システム

•• EPSEPS•• ECBECB•• VCSVCS

･･･

･･･

各産業分野への機能安全の拡がり各産業分野への機能安全の拡がり

原子力 (IEC 61513, IEC 60880)原子力原子力 ((IECIEC 61513, IEC 60880)61513, IEC 60880)

鉄道 (IEC 62278)鉄道鉄道 ((IEC 62278)IEC 62278)

プロセス産業 (IEC 61513)プロセス産業プロセス産業 ((IEC 61513)IEC 61513)

医療機器 (IEC 62304)医療機器医療機器 ((IEC 6IEC 623042304))

分野毎にソフトウェア・電子システムの安全規格分野毎にソフトウェア・電子システムの安全規格（機能安全規格）が発効（機能安全規格）が発効

自動車分野にも波及（自動車分野にも波及（ISOISO 2626226262））

IEC

61

50

8IE

CIE

C6

15

08

61

50

8•• 厳しい開発制約の中でどう安全性を確保する厳しい開発制約の中でどう安全性を確保する

のかが課題のかが課題•• 一般の人々が扱う大量生産品に対して導入さ一般の人々が扱う大量生産品に対して導入さ

れる最初の例であり、後続する他産業分野へれる最初の例であり、後続する他産業分野への影響も大の影響も大

•• 規格の抽象度が高く、まだその解釈を巡って規格の抽象度が高く、まだその解釈を巡って試行錯誤の段階試行錯誤の段階


自動車の機能安全自動車の機能安全

IEC61508IEC61508 ISO26262ISO26262

対象領域対象領域

安全システム搭載安全システム搭載

系統エラー系統エラー

SILSILレベルレベル

使用実績使用実績

SILSILレベルレベル目標故障率目標故障率

全産業全産業自動車自動車

外付け監視可能外付け監視可能

SILSILレベルに応じたレベルに応じた遵守プロセス差別化遵守プロセス差別化

SIL 1SIL 1--44

認証時に加味認証時に加味

最少最少1010--99回回//HrHr

車載に限定車載に限定

差別化困難差別化困難

ASIL AASIL A--DD

証明で説明回避証明で説明回避

数値目標議論中数値目標議論中


車載エレクトロニクス部品の統合化の進展により、車載エレクトロニクス部品の統合化の進展により、システムレベルのディペンダビリティシステムレベルのディペンダビリティが部品に要求されるが部品に要求される

http://www.kumikomi.net/article/explanation/2005/03osek/01.htmlより引用

車両に搭載されているECU 車載ECUの統合化

車載部品の機能安全車載部品の機能安全


車載部品の機能安全車載部品の機能安全

システムレベルで半導体部品の検証が容易

1チップ化の進展によりシステムレベルで半導体部品の検証が不可能

SOC化

１）自動車業界において、部品レベル（マイコン、統合IC）のテスト　　内容の把握が必要２）半導体業界においては部品レベルでの検証能力の把握と、新しい　　検証技術の開発を望まれる

機能安全規格（ISO26262）をベースに設計できるレベルのガイドライン化が必要

従来


ディペンダビリティディペンダビリティの実現手法の実現手法

情報系ECU　　　　　　　　　　　

制御系ECU信頼性：高

情報系ECU信頼性：中

ボディ系ECU信頼性：高

制御系ECU信頼性：高

ボディ系ECU信頼性：高

信頼度の異なるシステム間接続は、全体の信頼度信頼度の異なるシステム間接続は、全体の信頼度は低い側となるは低い側となる

情報系情報系ECUECUの内部に制御系・ボディ系の内部に制御系・ボディ系ECUECUと同等と同等の高信頼な連携機能と中信頼な領域に分離の高信頼な連携機能と中信頼な領域に分離

信頼度の影響

連携機能信頼性：高

情報系機能信頼性：中

高信頼ドメイン中信頼ドメイン

サービス信頼度

サービス信頼度

高

中

機能分離で信頼度の影響を吸収

このままでは高信頼なシステムを構築このままでは高信頼なシステムを構築できないできない

制御系・ボデー系との接続は高信頼ドメ制御系・ボデー系との接続は高信頼ドメインに限定することで、信頼性を確保インに限定することで、信頼性を確保

各ドメインの必要信頼度を定義し、システム構造に織り込む


安全を担保するソフトを保護する構造を導入し、明確な分離構成とする安全を担保するソフトを保護する構造を導入し、明確な分離構成とする

メモリ保護・時間保護の構成図特別プロセスのイメージ

【システム部署】

安全を担保する

ﾌｪｰﾙｾｰﾌﾛｼﾞｯｸの

基本構成見直し

【ｿﾌﾄ開発部署】


ﾌｪｰﾙｾｰﾌｿﾌﾄを

徹底的に単純化

コードＦＩＸ

【ｿﾌﾄ監査部署】


ﾌｪｰﾙｾｰﾌｿﾌﾄは

徹底（網羅）的

に信頼性を確認

【ｿﾌﾄ開発部署】

安全性、信頼性

が確認された

ﾌｪｰﾙｾｰﾌｿﾌﾄ

を徹底流用

徹底検査ソフト隔離

徹底流用安全性第一ソフト設計

機能安全システム設計

　・リスクランクが異なる制御ソフトが、同一マイコン上に存在しても相互を隔離できる　・リスクランクが異なる制御ソフトが、同一マイコン上に存在しても相互を隔離できる

　・仮に他ソフトの設計・実装ミスがあっても、重要ソフトに影響せずロバスト性も向上　・仮に他ソフトの設計・実装ミスがあっても、重要ソフトに影響せずロバスト性も向上

　・安全性の要求されるソフト開発は、特別プロセスで実施　・安全性の要求されるソフト開発は、特別プロセスで実施

　　　　　　

　　　　　　　　　　　　　　　　　　　ＲＴＥ複合ドライバ層

ＥＣＵ依存層　

　　　　　ＣＰＵ依存層

　　　サービス層

　　　　　　　　　　　　　マイコン

　　　　　　　　　　　　　　　　　　　　　アプリケーション　　　　　　　　　　　　　　　　　　　　コンポーネント

メモリ保護機能

ＲＴＯＳ　　　　　

割込み管理機能

メモリ保護時間保護

安全を担保するﾌｪｰﾙｾｰﾌﾓｼﾞｭｰﾙ（内部監視など）

保護隔壁

ソフト設計でソフト設計での実現手法の実現手法


「制御系OS｣現号の制御ソフトPF

車両制御系連携アプリ

車両制御ECU（ソフトPF)ｴﾝｼﾞﾝECUVDIMHV-ECU

「情報系OS」多彩な情報サービスの動作基盤

「連携部OS」走る・曲る・止まるとの連携動作（車載向け機能）

制御系情報系

汎用ミドルウェア

情報系アプリ

マルチコア+マルチOSで完全分離を実現

マルチコアマイコン搭載例

情報系コア①

マルチコアOS

外部接続対応信頼性対応

アプリ

②②

制御系コア①

ハード＋ソフト設計でハード＋ソフト設計での実現手法の実現手法


CPUCPUにおける機能安全における機能安全

～2005年 2006 - 2010年 2010年～

従来方式最近の取り組み将来技術

・ｲﾘｰｶﾞﾙｱﾄﾞﾚｽ・ｲﾘｰｶﾞﾙｲﾝｽﾄﾗｸｼｮﾝ・ECC・ｳｵｯﾁﾄﾞｯｸﾞ・冗長周辺回路・ｽｰﾊﾟｰﾕｰｻﾞｰﾓｰﾄﾞ・ｸﾛｯｸ/電圧監視・ｻﾌﾞﾏｲｺﾝ監視・ﾌｪｲﾙｾｰﾌ監視ﾓｰﾄﾞ

・CPUｾﾙﾌﾁｪｯｸ・ﾋﾞﾙﾄｲﾝｾﾙﾌﾃｽﾄ・ｵﾝﾗｲﾝ周辺回路ﾁｪｯｸ

・ﾏﾙﾁｺｱ相互監視・ﾄﾗｽﾄｿﾞｰﾝ・ﾌｫﾙﾄﾄﾚﾗﾝﾄﾃﾞﾊﾞｲｽ


CPUCPUの機能安全の考え方の機能安全の考え方

メインメインCPUCPU

サブサブCPUCPU




監視監視回路回路

比較比較

通信で監視通信で監視

監視方式監視方式不具合の不具合の検出検出

フェイルフェイルセーフセーフ

不具合不具合の特定の特定

フェイルフェイル処理処理

CPUCPU比較比較

不具合検出不具合検出場所特定場所特定

可能可能

可能可能

可能可能

可能可能

可能可能

可能可能可能可能可能可能

（機能限定）（機能限定）

不可能不可能不可能不可能

一部一部可能可能不可能不可能

正常動作との比較を正常動作との比較を行い、異常行い、異常が検出されたらシステムを安全側へが検出されたらシステムを安全側へ倒す倒す


CPUCPU監視方式監視方式

データデータ　　　　

Watc

h D

og

Watc

h D

og

　　

　　

命令命令　　　　

データデータ　　

Watc

h D

og

Watc

h D

og

　　　　

命令命令　　　　

セン

サセ

ンサ

　　

電源分離電源分離

比較回路比較回路　　 OK/NGOK/NG　　


命令命令

メインメイン処理用処理用　　

H/WH/W　　ﾁｪｯｸﾁｪｯｸ　　回路回路　　

コアコアBB　　処理用処理用　　

コアコアAA　　処理用処理用　　

OK/NGOK/NG

指示指示　　ハードハード情報情報

・故障診断がソフトに依存するため診断・故障診断がソフトに依存するため診断　カバレッジが低い　カバレッジが低い・共通原因故障は排除出来ない・共通原因故障は排除出来ない　（コアアーキテクチャが同一なため）　（コアアーキテクチャが同一なため）

Dual Core Dual Core 方式方式

・故障診断ハードで実施するため診断・故障診断ハードで実施するため診断　カバレッジを上げられる　カバレッジを上げられる・ソフトと協調する事でハイレベルの・ソフトと協調する事でハイレベルの　　検出検出が可能が可能

ハード検出ハード検出方式方式


故障検出率から見た故障検出率から見た比較比較

監視方式監視方式　　CPUCPU診断診断　　カバレッジカバレッジ　　

故障箇所特定故障箇所特定共通共通原因故障原因故障　　

動作継続動作継続　　可能性可能性　　

コストコスト　　

Dual Core Dual Core 方式方式

ハード検出ハード検出方式方式

ソフトの設計ソフトの設計に依存に依存

ハードハード++ソフトソフトで対応可能で対応可能

CPUCPUの出力の出力　　比較なので比較なので　　故障箇所特故障箇所特　　定は難しい定は難しい　　

回路ブロック回路ブロック　　毎にフラグ設毎にフラグ設　　定が出来る定が出来る　　のでので故障箇所故障箇所　　特定が可能特定が可能　　

故障箇所故障箇所の　の　特定特定が困難が困難なため動作なため動作　　制限が有る制限が有る　　

故障箇所故障箇所　　を避けてを避けて　　動作が可能動作が可能

マルチマルチ　　コアコアCPUCPUが必要が必要　　

重要部分重要部分　　を選別しを選別し　　ての監ての監視視　　が可能が可能　　

○○ ○○△△

△△--×× △△


Watc

h D

og

Watc

h D

og　　

命令命令　　


Watc

h D

og

Watc

h D

og　　

命令命令　　

セン

サセ

ンサ

　　

電源分離電源分離

比較回路比較回路　　

OK/NGOK/NG

コアコアBB　　処理用処理用　　

コアコアAA　　処理用処理用　　


命令命令　　

メインメイン　　処理用処理用　　

H/WH/Wﾁｪｯｸﾁｪｯｸ回路回路

OK/NGOK/NG

指示指示ハードハード情報情報


半導体メーカでの開発事例半導体メーカでの開発事例

BridgeBridge　　 BridgeBridge　　 RAMRAM　　 DMACDMAC　　

CPU CoreCPU Core　　

Code BusCode Bus　　

System BusSystem Bus　　

BridgeBridge　　

WDTWDT　　

RSECRSEC　　

CGCG

ADCADC　　

UARTUART　　

GPIOGPIO

SEISEI　　

CANCAN

PMDPMD　　

故障診断回路

故障診断回路

故障診断回路

故障診断回路故障診断回路

故障診断回路

TimerTimer　　

故障診断回路

故障診断回路

故障診断回路

故障診断回路

他社（他社（YogitechYogitech))の故障診断回路や自社の故障診断回路を活用して、の故障診断回路や自社の故障診断回路を活用して、SIL3SIL3対応を実現：対応を実現：TUVTUV--SUDSUDの認証取得の認証取得

BootBoot　　ROMROM　　 RAMRAM　　 FlashFlash　　FlashFlash　　

故障診断回路故障診断回路

故障診断回路

故障診断回路

故障診断回路は動的再構成可能な回路で実現する案も

多くのシステム多くのシステムに適用可能に適用可能

将来案　将来案　


システム領域

ソフト領域ハード領域

ISO26262ISO26262のの内容内容


■課題■課題ISO26262ISO26262の要件の要件が曖昧かつ適用の考え方がが曖昧かつ適用の考え方が不明確なため不明確なため、、量産設計での実施量産設計での実施が困難が困難■対応■対応要件要件をを自動車会社の自動車会社の視点で解釈・具体化し、ガイドライン視点で解釈・具体化し、ガイドラインとして要件として要件をを明確化明確化

ISO26262ISO26262　　Part 4. Part 5. Part 6. Part 8Part 4. Part 5. Part 6. Part 8 機能安全開発ガイドライン機能安全開発ガイドライン

具体化具体化

ISO26262ISO26262対応対応　　

Part 6 :Part 6 :ソフト要件ソフト要件

Part 4 :Part 4 :システムシステム要件要件

Part 5 :Part 5 :ハードハード要件要件

Part 8 :Part 8 :ツール認定要件ツール認定要件


ソフトウェア要件と現状分析ソフトウェア要件と現状分析

■　開発規約（コーディングルール、命名規約etc）　・規約が守られているか実装工程で静的解析、逸脱した場合はエビデンスを残しているか？

開発準備　

設計工程　

検査工程

プロセス（CMMI、SPICE等)が充実対応していれば（ソフトに関しては）大半の要件をカバーできる内容

■ ソフトウェア単体テスト・検査計画（Ｃカバレッジ目標・テスト環境etcが）明確になっており、実践・成果物ができているか？・単体設計要件は漏れなくテストできているか（トレース管理）？

■ ソフトウェア結合テスト　・検査計画（コールカバレッジ、回帰テストetc）が明確になっており）、実践・成果物が管理できて

いるか？・構造設計からの要件（機能・非機能）は漏れなくテストできているか（トレース管理）？

■ ソフトウェア要求テスト・バスモニタ、ＨＩＬＳで行う検査計画が明確になっており、実践・成果物が管理できているか？・要件定義からの要件は漏れなくテストできているか（トレース管理）？

■ ソフトウェア要件定義・HAZOP,ASIL,FMEA等の上流での安全設計を踏まえてソフトウェア要件が定義できているか？

■　ソフトウェア構造設計・コンポーネント別にソフト構造設計が実施されており、成果物が管理できているか？

■ ソフトウェア単体設計・構造設計に基づいて単体（コンポーネント、関数）の設計ができ、成果物が管理できているか？

ISO26262ISO26262対応　対応　


高信頼性・ロバスト性高信頼性・ロバスト性お客様目線お客様目線

説明責任・エビデンス・第３者監査説明責任・エビデンス・第３者監査

BOS

EDR リモートダイアグ

リプロ

フェールセーフ設計

FMEA/FTA

ソフト監視系（通信監視,パーティショニング,データ保証他)

プロセス改善(CMMI,SPICE,BPRM他)

ISO26262

ハード監視系(ECC,CRC,MPU,LS,WD他)

エビデンス作り(R13H他)

AUTOSAR Safety Concept（E2E,プログラムフロー監視,e-GAS)

ソフト見える化・再構築

形式手法・検証

ツール

ISO26262ISO26262対応対応


ハードとの連携ハードとの連携（高信頼性・ロバスト性）（高信頼性・ロバスト性）

①① ハードハード故障検出・対処故障検出・対処　　ハードハード故障、故障率、故障、故障率、FTA/FMEAFTA/FMEAをベースにソフトウェアでのをベースにソフトウェアでの検出検出・対処・対処方法方法を検討を検討②② ハードハード・ソフト監視・ソフト監視　　マイコンマイコン構成構成((下記参考）における監視のためのソフトウェア技術・監視ロジック開発下記参考）における監視のためのソフトウェア技術・監視ロジック開発　（アサーション、データフロー監視、復旧技術）　（アサーション、データフロー監視、復旧技術）③③ 時間時間・メモリ保護（・メモリ保護（OSOS））　　エラーエラーの波及防ぐの波及防ぐOSOSおよびそれを支援するハードウェア仕様の開発・およびそれを支援するハードウェア仕様の開発・標準化標準化④④ 入出力入出力信号信号保護保護（（CANCANを含む）を含む）

従来（従来（CRCCRC、、チェックサムチェックサム、送受信ロック判定他）より更なる高信頼性を狙った、送受信ロック判定他）より更なる高信頼性を狙った通信通信ソフトウェアソフトウェア技術（技術（AUTOSAR E2EAUTOSAR E2E他他））のの開発開発

入力入力

出力出力

メインマイコンメインマイコンＶＶ850850

監視マイコン監視マイコンM16CM16C

入力入力

デュアルマイコンデュアルマイコンTMS570(WEGA)TMS570(WEGA)

マスタマスタCoreCore

監視監視CoreCore

出力出力

リセットリセット WDCWDCパルスパルス

ASICASIC

リセットリセット WDCWDCパルスパルス

ASICASIC比較器比較器

システム停止システム停止((リセットリセット))

エンジンエンジンブレーキブレーキ

ISO26262ISO26262対応　対応　


自工会検討依頼書

検討依頼

JASPAR機能安全W/G（機能安全ガイドライン開発Gr）

• 要件の具体化• ソフトウェアWG、プロセス

WGへの検討依頼

ISO26262

JASPARソフトウェアW/G

JASPARプロセスW/G

• ガイドライン化

機能安全ガイドラインソフトウェア編

機能安全ガイドラインプロセス編

検討依頼

検討結果フィードバック

最新のISO要件

• ソフトウェア• 開発プロセス（ツール）の分野でメンバーの知見を集約し、ソフトウェア・プロセス（ツール）のガイドラインを開発

活動アウトプット

自工会へフィードバック

自動車業界の動き自動車業界の動き　　


Virtual Functional Bus （VFB）を用いた

ソフトウエアコンポーネント設計

開発プロセスの全領域を

ツールによってサポート

OEM－サプライヤ間の

標準インターフェース（XMLフォーマット）

VFBとコンポーネント（部品化）により

容易にECUの再構築が可能

Basic Softwareによる

ハードウエアの抽象化

RTE（オートコード）によってVFBを実現

AUTOSAR Software Architecture• ISO準拠したAUTOSAR組み込みソフトウェアの特徴

RTE

SystemServices

Com

plexD

evice Drivers

CommunicationHardware

Abstraction

Communication Drivers

MemoryServices

CommunicationServices

Ｉ/O H

ardware

Abstraction

MemoryHardware

Abstraction

OnboardDevice

Abstraction

Ｉ/O

Drivers

Memory Drivers

Microcontoroller Drivers

Layered Software Architecture

AUTOSARAUTOSARソフト　ソフト　


RTE

SystemServices

Com

plexD

evice Drivers

CommunicationHardware

Abstraction

Communication Drivers

MemoryServices

CommunicationServices

Ｉ/O H

ardware

Abstraction

MemoryHardware

Abstraction

OnboardDevice

Abstraction

Ｉ/O

Drivers

Memory Drivers

Microcontoroller Drivers

　・概要

– AUTOSAR OSはOSEK/VDX OSを拡張した仕様となっており、

　以下に拡張された機能を示す。

・カウンタ機能

・スケジュール・テーブル

・グローバル・タイムの同期

・スタック・モニタリング

・OSアプリケーションごとのフック関数

・OSアプリケーション

・保護機構

・保護フック

・スケーラビリティ・クラス

・コンフィグレーション言語

対応レイヤ

ＡＵＴＯＳＡＲ　

ＯＳ

AUTOSARAUTOSAR OSOS　　


説明すべき事　

安全性目標が定義されている

安全性目標を満足するシステム構成を設計しハード・ソフトの安全要件が定義できている

ハード安全要件を満足するハード設計を実施

ソフト安全要件を満足するソフト設計を実施

ハード・ソフトを結合してシステムとして安全目標が達成出来ている

説明の方法　

故障事象に対して過酷さランクと許容発生率を定義する

FTA/FMEA（故障検出率も明示必要）

　　　　故障率　　　

1) 論理的検証(形式検証)2) 不具合時の冗長処理

・ガード処理

　　評価結果　　

機能間の横並びを取る

ｲﾝﾀｰﾌｪｰｽのFTA/FMEA(送受間での整合)

ｲﾝﾀｰﾌｪｰｽ信号の信頼性設計

　　ｲﾝﾀｰﾌｪｰｽの　整合評価方法　

実施事項：部門を跨る機能間の安全設計ルール策定　

機能安全

（IS

O2

62

62

）

機能安全機能安全設計設計のまとめのまとめ　　


説明責任（北米説明責任（北米の品質の品質問題）問題）

公聴会を通してメディア、議会からの指摘

１）顧客視点の欠如１）顧客視点の欠如２）顧客の満足する説明の不足２）顧客の満足する説明の不足３）対応が遅い３）対応が遅い４）不透明４）不透明５）品質責任・設計センターの一極集中５）品質責任・設計センターの一極集中

今後必要な基本的な考え方

１）調査できていない。原因が見付かっていないと言う１）調査できていない。原因が見付かっていないと言う　　と不具合を隠蔽していると見られる　　と不具合を隠蔽していると見られる２）メーカ２）メーカ//ユーザの責任領域の変化ユーザの責任領域の変化　　⇒ユーザの誤使用もメーカの責任との考え　　⇒ユーザの誤使用もメーカの責任との考え３）他地域・他車種不具合の情報の整理とリスク検証３）他地域・他車種不具合の情報の整理とリスク検証４）設計変更（改善、４）設計変更（改善、VEVEでも）は欠陥の認定と見られるでも）は欠陥の認定と見られる５）原理説明よりユーザが安心できる説明が必要５）原理説明よりユーザが安心できる説明が必要


必要な対応能力必要な対応能力

◆　◆　AccountabilityAccountability（（分かり易い説明）分かり易い説明）　　　　　　--【欧州】機能安全対応能力（【欧州】機能安全対応能力（ISO26262ISO26262）　）　　　　　　　--【【米国】オープンでフェアな説明能力米国】オープンでフェアな説明能力　　　　　　　例）ソフトウェア　　　　　　　例）ソフトウェアIV&VIV&V対応対応　　　　 --【中国】地域の特性に合わせた対応手段が必須【中国】地域の特性に合わせた対応手段が必須◆◆ Delivery Speed Delivery Speed

-- 市場対応能力：インターネット時代に対応可能な市場対応能力：インターネット時代に対応可能な　　　　　　　　　　　スピード感　　　　　　　　　　　スピード感　　　　　　-- バリエーション展開能力：多地域、他車種展開バリエーション展開能力：多地域、他車種展開　　　　　　-- 検証検証//解析能力：新たな開発プロセスの構築解析能力：新たな開発プロセスの構築◆◆ CostCost　　　　　　-- デファクト（標準）技術の採用デファクト（標準）技術の採用　　　　　　-- 汎用技術の展開汎用技術の展開◆◆ FunctionFunction　　　　　　-- 先行的な要素技術開発力先行的な要素技術開発力


まとめとお願いまとめとお願い

（１）自動車用電子システムは加速度的に複雑化が進展　　　　　　⇒⇒ ディペンダビリティを考慮ディペンダビリティを考慮((設計指針）したシステム設計が重要設計指針）したシステム設計が重要

　　　　　　 ⇒⇒ 外部インフラからの完全なセキュリティ確保が必須外部インフラからの完全なセキュリティ確保が必須⇒⇒ 安全性の説明のために、安全性の説明のために、ISO26262ISO26262準拠が必須準拠が必須

（２）自動車はエレクトロニクス無しでは成立しない　　　　　　　　　　　　　　　　⇒⇒ ディペンダビリティの良し悪しが自動車の品質ディペンダビリティの良し悪しが自動車の品質//安全性を決定安全性を決定

　　　　　⇒　⇒ エレクトロニクス化が進むとシステムの脆弱性も高まるエレクトロニクス化が進むとシステムの脆弱性も高まる　　　　　　 ⇒⇒ メカよりエレキの方が複雑で、安全性に不安を持つユーザが多いメカよりエレキの方が複雑で、安全性に不安を持つユーザが多い

（３）自動車の進化のためにはシステムの複合化が必須　　 ⇒⇒ ディペンダビリティを担保した実装技術、部品技術、ディペンダビリティを担保した実装技術、部品技術、

　　　　　　　　半導体技術（回路、製造、検査技術）、ソフト技術が重要半導体技術（回路、製造、検査技術）、ソフト技術が重要

（４）システムから半導体開発までスルーで開発出来る開発環境が必須　　　　 ⇒ 最適なハード/ソフトの機能分担、設計ツールのチェーン化　　 ⇒ 高精度/高速動作モデル：メカとエレキの境界検討

部品レベルの完璧なディペンダビリティ実現をシステム側は期待部品レベルの完璧なディペンダビリティ実現をシステム側は期待


Thank you for your attention

カーエレクトロニクスのディペンダビリティ設計と説明責任 ·...

Documents

Transcript of カーエレクトロニクスのディペンダビリティ設計と説明責任 ·...

カーエレクトロニクスのディペンダビリティ 設計と説明責任 ·...

Documents

Transcript of カーエレクトロニクスのディペンダビリティ 設計と説明責任 ·...

カーエレクトロニクスのディペンダビリティ設計と説明責任 ·...

Transcript of カーエレクトロニクスのディペンダビリティ設計と説明責任 ·...