Safety Concept Notation Open Conference 2016
安全設計アプローチの可視化
～ 車載電子機器開発へのSCDL適用事例 ～
2016年 7月 28日
カルソニックカンセイ株式会社
電子事業本部 電子戦略推進グループ
ISO26262推進
佐々木
喜好
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
本日ご紹介したいこと
学問的な難しい所は専門家の方々へお任せするとして
• 「SCDL」＝「お絵かき作法」ではなかった
• 可視化って素晴らしい
• カルソニックカンセイ？
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
2
会社紹介
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
会社概要
会社名
本社所在地
設立
代表取締役社長
資本金
カルソニックカンセイ株式会社
埼玉県さいたま市北区日進町2-1917
１９３８年８月２５日
森谷 弘史（CEO)
４１５億円
※’15年3月31日時点
従業員
20,904名（連結）
3,622名（単独）
※’15年3月31日時点
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
4
何をしている会社なの
６製品群の自動車製品を生産・供給する総合部品メーカー
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
5
電子・電装製品
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
6
Agenda
１．安全コンセプト設計を始めました
２．SCDLが登場しました
３．スッキリしました
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
7
１．安全コンセプト設計を始めました
２．SCDLが登場しました
３．スッキリしました
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
8
ISO26262(自動車 機能安全国際規格）対応
 2011年11月 ISO26262初版発行
 車載電子機器が対象
 ASIL-A, B, C, Dと全てのリスクレベルが対象とな
る製品群を開発
電子・電装製品
技術
ISO26262準拠
プロセス
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
9
ISO26262対応による新たな取り組み
従来の安全設計フロー（弊社）
顧客要求
製品構想
システム設計
ハードウエア設計
ソフトウエア設計
実験
新たな安全設計の導入
安全コンセプト設計
 機能安全コンセプト
 技術安全コンセプト
SCDL適用範囲
生産
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
10
安全コンセプト設計の役割
要求とアーキテクチャー構成要素に基づいて、車載電子機器
の入力から出力まで全体の
 安全なアーキテクチャーを検討
 安全であることの説明
車載電子機器
エレメント
XX機能 ASIL D
ZZ機能
エレメント
機能要求
機能要求
故障
安全要求
安全要求
QM
安全関連の機能
安全アーキテクチャー
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
安
全
なぜならば
・・・
11
安全コンセプト設計の流れ
トップダウンアプローチにて設計
機能安全/技術安全コンセプト共に共通のアプローチ
機能要求の検討
機能要求
安全分析
FMEA / FTA
安全要求の検討
安全要求
安全アーキテクチャー
安全アーキテクチャー
検証
機能要求
安全要求
安全アーキ
テクチャー図
FMEA / FTA
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
12
安全コンセプト設計の実現手段
安全アーキテクチャーはドキュメントで構成し、入力から
出力までの要求をまとめた仕様
安全アーキテクチャー仕様
安全
要求
機能
要求
安全措置
安全アーキテクチャー図
アーキテクチャー全体を俯瞰
安全分析
FMEA / FTA
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
13
安全コンセプト設計と成果物
安全アーキテクチャー仕様は安全コンセプト設計の成果物
同時に要求間のトレーサビリティーも確保
安全分析前の
機能要求
機能要求
ヘッドランプ信号を
取得する
安全分析後の
機能安全要求
技術
安全要求
機能要求
機能要求１：
運転者の操作意図を取得する
制約条件
機能要求１と安全要求１、２
は独立した構造とする
安全要求１：
運転者の操作意図を取得する
安全要求
安全要求２：
取得した運転者の操作意図を
比較する
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
気付きがありました
安全コンセプト設計を導入して見えてきた課題
機能要求の検討
①設計根拠が説明し難い
安全分析
安全要求の検討
安全アーキテクチャー
安全アーキテクチャー
検証
②作り手により
バラツキが出る
③複雑で解り難い
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
15
① 設計根拠が説明し難い
安全アーキテクチャー仕様は設計の結果であり、その
設計過程は見え難い
安全アーキテクチャー仕様
安全分析
結果でまとまっている
安全アーキテクチャー図
どの安全要求が
この機能要求を助けるの？
図はあくまで全体を俯瞰するための補足手段
制約条件はどこ？
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
この要求は
何のためにあるの
16
② 作り手によりバラツキが出る
あるプロジェクトの安全アーキテクチャー図。設計者は解るが・・・
中間線（赤線）
は何を表す？
入り乱れている
出力の関係性は？
要求がエレメント（部品）
を跨いでいる意図は？
ブロックの色違い
意味がある？
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
複数出力を持つ
機能の意図は？
17
③複雑で解り難い -1
 要求間の依存関係が理解出来ない
言葉の繋がりで要求の繋がりを読み解く＝誤解を招く
安全アーキテクチャー仕様
スイッチ１ と スイッチ２ を別々に取り込む
取り込んだ入力を比較する
スイッチ１を平均化をする
スイッチ２と平均化後のスイッチ１を判断し出力を許可する
スイッチ１
スイッチ２
取得
取得
平均化
判断
比較
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
出力
こういうアーキテクチャー
を想定していたが・・・
18
③複雑で解り難い -2
 制約条件の正確な理解が出来ない
安全アーキテクチャー仕様
スイッチ１とスイッチ２は独立（共倒れ故障の影響を与えない）
スイッチ１
機能
機能
出力
スイッチ２
どちらでも
間違っては
いないが
スイッチ１
安全
安全
出力
機能
スイッチ２
安全
出力
安全
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
出力
19
③複雑で解り難い -3
 そもそも、理解に時間が掛かる
言葉の繋がり、行間、言語表現などを読み解き、
安全アーキテクチャーを正確に捉える事は難しい
弊社製品の安全アーキテクチャー仕様
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
20
何が足りない
文章による仕様表現の限界ではないか
設計過程の有り方が不十分ではないか
欠けているものは何か？
言葉以外の表現 ＝ 可視化
共通会話出来るような仕組み ＝ 標準化
設計過程の見える化 ＝ 残す
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
21
１．安全コンセプト設計を始めました
２．SCDLが登場しました
３．スッキリしました
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
22
希望の光となりました
SCDL仕様 version 1.0 が、2016年4月にリリース
※SCDL=Safety Concept Description Language
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
思い出してみると
ISO26262では
要求仕様の手法について規定がある
引用元：ISO26262-8:2011 表1
要求仕様の手法
ASIL A ASIL B ASIL C ASIL D
1a 非形式記述
強く推奨 強く推奨 推奨
推奨
1b 準形式記述
推奨
推奨
強く推奨 強く推奨
1c 形式記述
推奨
推奨
推奨
推奨
準形式記述
構文形式などのルールを持つ図/表を用いた表記法
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
24
設計の有り方を考えてみました
「設計を伝える」 から 「設計を見せる」ことが必要
安全アーキテクチャー仕様を、安全アーキテクチャー図が助けるのではなく
安全アーキテクチャー図を補足するのが、安全アーキテクチャー仕様
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
25
アプローチの見直し
各検討フェーズでSCDLを活用
まずは図を書く・使う・確認する設計手法を導入
機能要求の検討
安全アーキテクチャー図
SCDL
安全分析
安全アーキテクチャー図
SCDL
安全要求の検討
安全アーキテクチャー図
SCDL
安全要求
安全アーキテクチャー
安全アーキテクチャー図
SCDL
機能要求
安全アーキテクチャー図
SCDL
FMEA / FTA
安全アーキテクチャー
検証
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
機能要求
FMEA / FTA
安全要求
26
機能要求の検討フェーズでは
安全アーキテクチャーの機能要求を明確にし、要求の
役割や依存関係を図に基づいて論じる
安全アーキテクチャー図（SCDL）
運転者の
操作
(スイッチ)
FR1
運転者の操
作意図を取得
する
エレメント：BCM
FR2
操作意図を
判定する
FR3
判定結果に基づ
き点灯要求を
送信する
※BCM: Body Control Module
安全アーキテクチャー仕様
B
FR
ライト点灯
要求
(ライト)
機能要求
ID
要求内容
配置先
FR1
運転者の操作意図を取得する
BCM
FR2
操作意図を判定する
BCM
FR3
判定結果に基づき点灯要求を送信する
BCM
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
27
安全分析フェーズでは
安全アーキテクチャー図を補足的に用いて、機能要求の
安全分析を実施し安全への影響を見極める
安全分析（FMEAのケース）
運転者の
操作
(スイッチ)
FR1
運転者の操
作意図を取得
する
故障
FR2, FR3についても同様に行う
FR2
操作意図を
判定する
FR3
判定結果に基づ
き点灯要求を
送信する
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
ライト点灯
要求
(ライト)
28
安全要求の検討フェーズでは
機能要求に対する安全要求を図表記を用いて論じる
制約条件の可視化が重要
安全アーキテクチャー図(SCDL)
運転者の
操作
(スイッチ)
運転者の
操作
(スイッチ)
FR1
運転者の
操作意図を
取得する
FR2
B
B
SM1-2
入力比較
を実施する
操作意図
を判定する
FR3
判定結果に
基づき点灯要
求を送信する
ライト点
灯要求
(ライト)
NFSR1
B
制約条件
共倒れの影響を
与えない
SM1-1 B
運転者の
操作意図を
取得する
安全アーキテクチャー仕様
機能
要求
FR1
FR
SM
機能要求
安全要求
安全アーキテクチャー仕様
分類
ID
内容
ASIL
配置先
Functional Requirement
FR1
運転者の操作意図を取得する
B
BCM
Non Functional Safety
Requirement
NFSR1
FR1とSM1-1.SM1-2は独立
共倒れ故障の影響を与えない
B
-
Safety Mechanism
SM1-1
運転者の操作意図取得する
B
BCM
Safety Mechanism
SM1-2
入力比較を実施する
B
BCM
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
29
安全アーキテクチャーフェーズでは
機能要求毎に検討した結果を一つにまとめ、安全コンセプトを
完成させる
FR1
FR2
FR1
FR3
統合
FR2
FR3
安全アーキテクチャー仕様
安全アーキテクチャー図(SCDL)
等しい
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
30
安全アーキテクチャー検証フェーズでは
統合後の安全アーキテクチャーの成立性を再検証する
安全アーキテクチャー図
安全アーキテクチャー仕様
 矛盾はないか
 過剰設計となっていないか
 最適化されているか
 制約条件は成立しているか
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
31
１．安全コンセプト設計を始めました
２．SCDLが登場しました
３．スッキリしました
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
32
ここまで色々お話して来ましたが
機能要求の検討
①設計根拠が説明し難い
安全分析
安全要求の検討
安全アーキテクチャー
安全アーキテクチャー
検証
②作り手により
バラツキが出る
③複雑で解り難い
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
33
①設計根拠が説明し難い →スッキリ
アプローチ自体が安全のエビデンスとなっている
機能要求
安全分析結果
安全アーキテクチャー
安全要求
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
34
②作り手によりバラツキが出る →スッキリ
SCDL仕様
スタイルガイドライン
SCDL仕様に準拠した
スタイルガイドラインに従う設計
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
35
③複雑で解り難い
→スッキリ
文章による言語表現だけでは上手く理解出来ない
 要求間の依存関係が理解出来ない
 制約条件の正確な理解が出来ない
 そもそも、理解に時間が掛かる
 図表記により直感的な理解が可能となった
 設計者以外も正確且つ容易な理解が可能
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
36
まとめ
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
37
まとめ
 SCDLを活用し、安全コンセプト設計の各フェーズを検
討することが、エビデンスを作り上げることに繋がる
 SCDLを取り入れることにより、より正確でスピード感あ
る理解が可能。
 設計品質、レビュー品質向上にも貢献している
 可視化の実現にはSCDLに準拠した開発ツールを活用
するのが良い（重要）
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
38
ご清聴ありがとうございました
© 2016 CALSONIC KANSEI CORPORATION. All Rights Reserved.
39

3位 3位