日経テクノロジーonline SPECIAL

高度化した自動車の安全の作り込みには仮想化を進めた開発環境の活用が必須

自動車の電子制御にかかわるシステムの複雑化、大規模化が止まらない。さらに、車載コントローラー(ECU)間での連携動作やインターネットへの接続、電気自動車の電力網への接続など、単体の車載機器にとどまらない大きなシステムへと変貌を遂げている。こうした車載システムの進化は、これまで考えもしなかった故障の原因が混入する可能性を生み出している。

いかに安全な自動車を開発するか。これは昔も今も、そしてこれからも変わらない自動車業界が取り組むべき一貫したテーマだ。ただし安全確保の手段は大きく変わっている。かつては、車体の構造や機構上の工夫が中心だったが、現在は車載システムを動かすソフトに、いかにして安全性を盛り込むかが開発の焦点になった。しかも自動車向けの機能安全規格「ISO26262」が2011年に発行され、開発プロセスの中で安全性が作り込まれていることを示す証拠を提示する必要も出てきた。

安全対策はソフト技術者が先導

於保 茂氏
日本工業大学
電気電子工学科 教授 九州先端科学 技術研究所(ISIT) 特別研究員

「自動車開発において、これからはソフトの診断・検証の仕事が確実に増える」と日本工業大学 電気電子工学科 教授 九州先端科学技術研究所(ISIT) 特別研究員の於保 茂氏は断言する。ECUを動かす制御ソフトの開発では、動作解析、最終検査、故障時の影響解析、連携動作するECU間での整合性検証など、さまざまな項目の検証を実施する。こうした検証を効果的かつ効率的に進めるため、仮想ECUの利用が広がっている。ECUの振る舞いをコンピュータ上で再現することで、車載システム内部で起こっていることを可視化、的確な対策を施すことができるようになる。また、実車を使って確認しにくい故障解析でも絶大な効果を発揮する。

仮想ECUを使った検証では、制御ソフトのオブジェクト・コードを走らせる「ECUモデル」、検証の対象となる車両モデル「プラントモデル」がそれぞれ必要になる。これらの解析には別々のツールが使われることが多く、コ・シミュレーションの環境が必須になる。また、さらなるシステムの大規模化、複雑化に対応すべく、解析処理をクラウド上の仮想環境で並列実行するようにもなった。これまでの自動車開発では、安全の確保につながる検証は、機械分野の技術者がリードしてきた。於保氏は、難易度の高い検証を進めるためには、「ソフト開発者が、安全対策をリードしていく必要がある」と指摘した。

形式検証が複雑な対象で効果を発揮

宮崎 義弘氏
日立オートモティブ
システムズ 技術開発本部 主管技師長 電子プラットフォーム 技術統括

かつての自動車開発の現場では、起こり得るすべてのケースを想定して安全を確保できていることを追求してきた。しかし、システムの複雑化と大規模化によって、すべてを網羅したテストは不可能になった。

代わりに、「開発者が注目した視点でのテストのカバー率を飛躍的に上げる検証手法が求められている」と日立オートモティブシステムズ 技術開発本部 主管技師長電子プラットフォーム技術統括の宮崎義弘氏は言う。こうした要求に応える手段として、同社では“形式検証”の活用を進めている。同社では、ISO 26262 ASILCもしくはDの制御システムのソフト開発に、形式検証を活用しているとする。

形式検証には、自動化に向くがモデル作成に注意が必要な「モデル検査」と、自動化は難しいがモデルを作成しやすい「定理証明法」がある。日立では、モデル検査を採用し、米航空宇宙局(NASA)の利用実績があるフリー・ツール「SPI N」を使って検証しているという。「特に、複数の制御ユニットを組み合わせたシステムの検証で効果を発揮する」(宮崎氏)という。

ただし、検証モデル作成には注意が必要だ。同社では、検証する部分のコードを抽出する支援ツールを利用し、検証に要する工数を35%低減したという。さらに、ソフト改造時に不具合の残存を検証する回帰テストに適用した場合には、90%も低減できるとする。