「走る」「曲がる」「止まる」といった自動車の駆動や運転に関わる技術の電子制御化が急速に進んでいる。エンジンの電子制御は1980年代から存在するが、今日ではステアリングやサスペンション、ブレーキ、モーター、バッテリーなどさまざまな制御が行われている。車載ECU(Electronic Control Unit)のソフトウェアは20年間でコード行数が数百倍に増え、すでに1億行を超える規模だ。また、制御のあり方もエンジン、モーター、ブレーキなどの単体制御の集合体から、エネルギーマネジメントをするHEV制御やアクチュエーション間協調をする車両運動統合制御、IT統合制御など、お互いが連携した統合制御へと進化している。今後、自動運転への対応が進むと、ECU周辺回路や車載ソフトウェアはさらに大規模化、複雑化する見込みだ。

車載電子制御システムの大規模化と複雑化を受けて、安全・高品質への要求も高まってきた。従来以上に安全、高品質、高効率な設計と検証を行うために、2011年にはIEC61508をベースに自動車用の機能安全規格「ISO26262」が発行された。ISO26262では「故障注入テスト」が強く推奨されており、検証のための工数も増大している。

こうしたなか、車載ECU周辺回路の故障注入に関してMATLAB、Simulink、Simscapeを用いて仮想的に検証する環境の有効性を確認したのが日立オートモティブシステムズ株式会社だ。企業理念として「『人・クルマ・社会』に新たな価値を創造し、豊かな社会の実現に貢献」することを掲げる同社は、環境、安全、快適の各分野で、パワートレインシステム、シャシーシステム、ADAS(先進運転支援システム)、コネクテッド、アフターマーケットを事業として展開。持続可能な社会の実現に向けてクルマのイノベーションを加速する取り組みを推進している。

日立オートモティブシステムズ株式会社 技術開発統括本部 技術プラットフォーム本部 ソフト開発技術部 主任技師 深野善信氏

日立オートモティブシステムズ株式会社 技術開発統括本部 技術プラットフォーム本部 ソフト開発技術部 主任技師 深野善信氏

技術開発統括本部 技術プラットフォーム本部 ソフト開発技術部 主任技師の深野善信氏は、こう話す。

「大規模化・複雑化する機能安全への対応において、さらなる高効率化と高品質な開発を目指すためには、最新の開発手法やツールを活用して、機能安全対応による工数増大を抑制していくことが重要です。ISO26262規格の本文中でも、新しい開発手法や開発ルールの利用が推奨されています。そこで取り組んだのが、MATLAB、Simulink、Simscapeによる仮想ECUテスト環境の構築です」(深野氏)

新たな開発手法の仮想FMEA環境で、機能安全規格に対応した故障注入テストを実施

ISO26262で求められる機能安全(Functional Safety)とは、本質安全(Inherent Safety)と対になる安全対策だ。本質安全がリスク発生要因を根源から排除する対策であるのに対し、機能安全は機能や仕組みによってリスクが発生する確率を許容できるレベルまで下げる対策となる。交差点での安全対策を例にすると、本質安全が立体交差を作ることだとすると、機能安全は踏切を作ることに相当するという。

「ISO26262では機能安全の視点で設計・検証したことを示すよう求めており、具体的には、1. ハザード解析・リスク評価を実施して目標安全度水準(ASIL)を設定する、2. 目標安全度水準(ASIL)を達成するような安全機能のモノづくり、3. 目標が達成されていることを証明する、という手順で実施することになります」(深野氏)

ASILには、サスペンションやステアリングなど開発する製品ごとに求められる安全対策のレベルがA~Dの4段階で定められており、このうちASIL-CとASIL-Dの製品に対しては、実施が強く推奨されているのが、故障注入テスト(Fault Injection Testing)だ。

「従来、故障注入テストは実機に基づいて実施していました。ただ、BGAやSoCといったECUハードウェアの高密度実装が進むなか、実機での故障注入は困難になっています。また、従来は何か故障があった場合に制御を停止するフェールセーフという考え方でしたが、今後は自動運転への対応をふまえて、最初の故障が発生したあとでも制御を維持するフェールオペレーショナルの考え方への移行が進んでいます。この場合、一次故障だけでなく、二次故障以降まで考慮する必要があり、テストが膨大になってきています。こうした実機テストの限界に対して有効なのが、シミュレーションを用いた仮想検証技術で、テスト工数を削減することです」(深野氏)

実際、ISO26262でも新しい開発手法・開発ツールの活用を推奨していて、「仮想HILS」「仮想FMEA」といった仮想ECUテスト環境のようなシミュレーション技術の活用もWANT要件になっている。

「仮想ECUは、モデルベース開発(MBD)の拡張というかたちで説明できると思っています。制御のアプリだけでなく、マイコン、マイコン周辺回路を含めてすべてをモデル化します。仮想ECUを使うことでさまざまなテストに対応でき、その1つの応用例がISO26262に対応した仮想HILSと仮想FMEA検証です」(深野氏)

ECU回路の作成・シミュレーションツールとして、Simscape Electricalを採用

仮想HILSは、従来の「実ECU+プラントモデル」ではなく「仮想ECU+プラントモデル」で行うテスト環境だ。実機レスですべてを仮想環境のなかで検証できるため、再現性、観測性といった実機(HILS)の短所をカバーでき、精度の高いプラントモデルとの協調利用が可能になる。

また、仮想HILSを活用し、モデルベースでFMEA検証(故障注入テスト)を行うのが、仮想FMEA検証(仮想故障注入テスト)だ。従来は実機のECU基板上で故障を注入していたものをシミュレーションベースにすることで、故障を発生させたときに、フェールセーフ機能だけでなくフェールオペレーショナル機能までが有効に動作し、システムの挙動が安全目標を侵害しないことを検証しやすくなる。

「仮想FMEA検証は、電動式パワーステアリングシステムといった量産開発品への適用検討を開始しています。安全度水準でASIL-Dに対応し、マイコンやECU回路、インバータなどを二重構成にすることでフェールオペレーショナルを実現しています」(深野氏)

従来はECU回路の作成・シミュレーションには他社ツールを利用していたが、マイコン・ECU回路・プラントの各モデルで異なるツールを利用することで協調シミュレーション実行が煩雑になるという課題があった。また、ツール間での信号の受け渡しによるオーバーヘッドも課題だった。そのようななかでMathWorksのイベントに参加したところ、Simscape Electricalに回路素子への故障注入機能があることを知ったという。

「Simscape Electricalでは、回路接続やコンポーネントの故障に対して、発生するタイミングや許容範囲、外部トリガーの設定などを任意に設定できます。また、受動素子についてもパラメータでの設定で故障の入れ込みができるなど、回路素子への故障注入モデルを容易にモデリングできます。回路接続やコンポーネント故障注入機能が充実していることから、ECU回路の作成・実行についてもSimscape Electricalを採用することを決めました」(深野氏)

Simscape Electricalを採用したことで、Simscape ElectricalのECU回路モデルをSimulinkで作成した車両モデルとつなげ、同一のシミュレーション環境で実施できるようになった。これにより、異なるツールでの協調シミュレーションを行う煩雑さやオーバーヘッドも解消された。さらに、実機テストでは実現が難しい条件の印可や評価を、安全にかつ再現性高く実施できるようになり、課題の解析や特定が容易になったのだ。

モデルベース開発はこれからの開発・検証のカギを握る技術

このようにしてMATLAB、Simulink、Simscapeを用いて仮想HILSにおける仮想FMEA検証を行った日立オートモティブシステムズだが、深野氏によるとこの取り組みによるメリットは大きく2つに集約することができるという。

1つめは、テストカバレッジの向上だ。シミュレーションにより、任意の場所やタイミングで故障注入が可能になる。また、モデルを使っているため、システム内部状態の任意の挙動を可視化できる。従来の実機ベースでは難しかった「中間値故障」などのテスト項目もカバーすることができた。

2つめは、効率向上、開発工程の短縮だ。シミュレーションであるため、実機を壊すことなく検証が可能だ。また、再現性・観測性も実機に比べて優れており、再テストやトラブル解析が簡単に行える。さらに今後は、クラウド技術を活用して並列処理によりさらに短時間で検証を行うことや、実機テストでのテスト項目の削減などの効果も期待できるとする。

「車載電子制御システムの高度化および複雑化が進むなかで、機能安全規格ISO26262対応を含めて、従来以上に安全、高品質、高効率な設計・検証が求められています。日立オートモティブシステムズでは、最新の開発手法・ツール活用を推進することで、さらに高効率・高品質な開発を目指していきます」(深野氏)

また、日立オートモティブシステムズでは、従来から取り組んでいるMBDもより推進していく構えだ。

「MBDはまだ進化の途上にあると思っています。お客様から要求されている内容をモデルとして見えるかたちに落とし込み、それを自動的にテストできるところまで進んできています。今後は、自動運転への対応などで機能安全によるテスト工数も膨大になっていきます。制御開発の視点から見ても、MBDはますます重要に、開発検証のカギを握る技術になっていきます」(深野氏)

深野氏は、自動車制御システムのモデルベース開発の推進団体であるJMAAB(Japan MBD Automotive Advisory Board)での活動にも積極的に取り組んでいる。近年は、自動車の制御システムだけでなく、さまざまな業界からの参加も増えており、MBDの適用範囲の広さをあらためて感じているという。

「仮想FMEA検証を含め、多くの企業がMBDを広い視野でより幅広い分野で活用できるよう、今後もさまざまな取り組みを進めていきます」(深野氏)

*日立オートモティブシステムズ株式会社は、2021年1月より日立Astemo株式会社に社名を変更します。
所属部署、役職等については、取材当時のものです。

[PR]提供:MathWorks