安全性評価に基づく E/E アーキテクチャ評価手法 大塚敏史†1 中西健二†2 櫻井康平†2 Safety-based E/E Architecture Evaluation method SATOSHI OTSUKA†1 KENJI NAKANISHI†2 KOHEI SAKURAI†2 ねらい セーフティクリティカルシステムである自動車の電気電子(E/E)システムは,利便性向上と環境負荷低減を目 的とし大規模化を続けている.システムアーキテクチャを設計する際には,要求を実現する機能の連携を表現した論理ア ーキテクチャを構築後,複数の物理アーキテクチャ案のトレードオフを考慮して選定し,論理アーキテクチャを物理アー キテクチャに統合する。しかし物理アーキテクチャ選定および統合は無数の代替案および機能配置の組み合わせがあるた め,アーキテクチャ評価の演算量削減が必要である。本発表では統合後のアーキテクチャ評価の演算効率化を目的とした 安全性評価によるアーキテクチャ評価手法を提案し,その効果について例題評価を行った結果について示す。 キーワード E/E アーキテクチャ,評価手法,演算量削減,システムデザイン Target: Evolving E/E systems of vehicles are contributing to efficiency of fuel consumption and safe driving. To design system architecture for vehicles, system architects construct logical architecture which satisfies requirements of the system, select physical architecture with considering tradeoffs, and synthesize the logical architecture to physical architecture. However, physical architectures and synthesis have numerous patterns. Therefore, the computational load of evaluations of architecture should be reduced. In this presentation, an evaluation method which is based on safety evaluation to reduce computational load is proposed. Furthermore, evaluation results with an example are explained. Keywords: E/E architecture, evaluation method, computational load reduction ,system design 1.想定する読者・聴衆 本発表において想定する読者・聴衆は,自動車や自 動運転システムなどの大規模かつセーフティクリティ また,アーキテクチャを設計・評価する手法として ATAM[4]があり,トレードオフポイントを定めステー クホルダと議論を行い,安全性を含めてアーキテクチ ャを評価する手法を提案している。 カルなシステムを設計するシステムエンジニア,E/E ア また航空・自動車分野で用いられるアーキテクチャ ーキテクチャを構築および評価するシステムアーキテ 記述言語の AADL[5]を用い,故障の伝播モデルを構築 クト,アーキテクチャデザインをレビューするセーフ して安全分析を行う手法が提案されている[6]。 ティクリティカルシステムのステークホルダ,である。 2.背景 3.課題 従来のアーキテクチャ評価・検証手法では,大規模 自動車の E/E システムは,安全性・快適性の向上や 化するアーキテクチャの評価時間の削減方法は述べら 環境負荷低減を目的とした高度な制御を実現するため れていない。機能連携が複雑化する自動車システムで に,その制御範囲を拡大している。特に,自動運転シ は,システム全体で評価を行う全体最適が必要となる。 ステムの実現に向け,複数の E/E システム(センサ, しかし,アーキテクチャの構成要素数が多くなるに従 アクチュエータ,コントロールを行う ECU)の連携に い,物理アーキテクチャの構成数および,物理エレメ よる自動車全体の統合制御を行っている。 ント(演算装置,ネットワーク等)への論理エレメン システム設計では例えば IEEE1220[1]のシステムズ エンジニアリングプロセスに従い,要件分析,論理ア ーキテクチャ分析,物理アーキテクチャ統合を行い, システムの要件を満たす論理・物理構成を決定する。 ト(論理機能,通信)の配置数が,組み合わせ数で増 加し,トレードオフの評価と選択が困難となる。 そこで本研究では物理アーキテクチャ評価時間を削 減し,かつ安全要件を満たすアーキテクチャを選択容 自動車 E/E システムの安全設計・評価手法は,欧州 易とする安全性評価に基づくーキテクチャ評価手法 プロジェクトの SAFE[2]があり,アーキテクチャ記述 (Safety-based Architecture Evaluation Method: SBAE)を 言語の EAST-ADL[3]を用い,モデルベース開発により 提案する。 システム全体の安全設計・検証方式を提案している。 †1 †2 (株)日立製作所 研究開発グループ 日立オートモティブシステムズ(株) 1 クチュエータを制御する機能については配置を固定し, 4.提案・実験 提案方式である SBAE では高信頼システムで必須と なる安全要件をアーキテクチャ上で最初に評価して要 件を充足しない組合せを排除し,評価に伴う演算量の 削減を行う。安全要件を最初に評価する理由は,高信 不要なパターンの評価は排除した。 表 1 実験諸元 Table 1. Experimental specifications 論理エレメント数 頼システムでは安全要件を満たすことが必須であり, かつシステム全体での安全要件充足をアーキテクチャ 物理エレメント数 設計時に検証するためである。 提案手法に基づくアーキテクチャ評価手法の全体構 機能ブロック 18 データリンク 23 演算装置 12 ネットワーク 12 安全要件数 47 表 2 評価結果 成を図1に示す。最初に物理アーキテクチャのエレメ Table 2. Experimental results ント(演算装置)に対して論理アーキテクチャのエレ 総組み合わせ数 7776 配置妥当性による排除数 5184 全性評価を行う。安全性評価は,統合後の物理アーキ 独立性による排除数 1692 テクチャおよび安全要件により判定を行う。安全要件 機能連携による排除数 300 には,論理機能の要求信頼度,独立すべき論理機能の 評価組み合わせ数 600 メント(機能)を割り当てる統合を行う。 統合を行ったアーキテクチャに対して,後述する安 関係性,連携すべき安全機能,を含んでいる。判定の 結果が安全要件を満たしているアーキテクチャのみ評 提案手法により,アーキテクチャとして評価すべき 価を行うことにより,演算量を削減する。 入力 機能配置 物理アーキ 物理アーキ 物理アーキ (複数案) (複数案) (複数案) アーキ テクチャ ② 安全要件 図1 出力例 アーキテクチャ評価 ① 論理アーキ 安全要件 モデル アーキ テクチャ 物理アーキ 案A 案B ・・・ ③ 安全要件 OK NG アーキテクチャ 定量評価 CPU負荷 xx OK/NG 安全性 評価 5.効果 - 通信量 yy - コスト zz - ・・・ 定量評価不要 ⇒演算量削減 安全性評価に基づくアーキテクチャ評価手法 Fig1. Safety-based Architecture Evaluation Method 安全性評価において評価を行うアーキテクチャで満 たすべき安全性の項目を下記の様に定義した。 配置妥当性 論理機能に割り当てられる要求信頼度が要件を満た しているかを判定する。例えば物理エレメントの信頼 度より,配置された論理エレメントの要求信頼度が高 組み合わせを削減することが可能になった。これによ り,アーキテクチャの自動的な総当たり評価などが効 率的に実施可能となる。 6.まとめ(今後の課題・謝辞等) 本発表では安全度評価に基づくアーキテクチャ評価 手法を提案した。自動運転システムの例題を用いて評 価を行い,アーキテクチャの評価パターン数を,安全 性を満たす必要な組み合わせを残し,大きく削減可能 な見通しを得た。 7. 用語・文献 文 献 [1] IEEE Std 1220-2005 Systems engineering — Application and management of the systems engineering process (2005). [2] SAFE: Safe Automotive soFtware architEcture, http://www.safe-project.eu/ referenced (2014). い場合には NG として判定する。 [3] Blom, H., Lonn, H., Hagl, F., et al.: EAST-ADL: An Architecture 独立性 Description Language for Automotive Software-Intensive Systems. 安全機能は,故障時も動作継続可能とするため,冗 長化を行っている部分がある。それらが同時に故障す ることを防ぐため,論理機能間の独立性要求の充足可 EAST-ADL WhitePaper, Volume 1, (2013). [4] Kazman, R., Klein, M., and Clements, P. : ATAM: Method for Architecture Evaluation, Technical Report CMU/SEI-2000-TR-004, Software Engineering Institute, Carnegie–Mellon University, (2000). 否を統合アーキテクチャ上で評価する。 [5] Feiler, P. H., Gluch, D. P., and Hudak, J. J.: The Architecture Analysis 機能連携 and Design Language (AADL): An Introduction., Technical report, 安全にかかわる論理機能については故障発生時にも 連携して動作すべき機能がある。例えば故障検出・故 CMU/SEI-2006-TN-011, Software Engineering Institute, Carnegie–Mellon University, (2006). [6] Delange, J., Feiler, P., Gluch, D. P., and Hudak. J.: AADL Fault 障時制御・切替等の機能についてそれぞれが連携され, Modeling and Analysis within an ARP4761 Safety Assessment., 故障時も動作継続可能か否かを判定する。 Technical report, CMU/SEI-2014-TR-020, Software Engineering 本評価手法について,自動運転システムを例題とし 設計したアーキテクチャについて評価を行った。論理 機能を配置する物理エレメントは,一部のセンサ・ア Institute, Carnegie–Mellon University, (2014). 略 号 一 覧 ECU: Electronic Control Unit E/E: Electrical and Electronic 2 付録 評価に用いたアーキテクチャ 論理アーキテクチャ 主機能 センサ 認識 位置 推定 行動 予測 運動制御 軌道生成 アクチュ エータ 安全機能 図A1 論理アーキテクチャ FigA1. Logical architecture 図A2 物理アーキテクチャ FigA2. Physical architecture 3
© Copyright 2024 ExpyDoc
