知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024157877
(43)【公開日】2024-11-08
(54)【発明の名称】車両制御装置の設計支援システムと設計方法
(51)【国際特許分類】
G06F 30/15 20200101AFI20241031BHJP
G06F 119/20 20200101ALN20241031BHJP
【FI】
G06F30/15
G06F119:20
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2023072503
(22)【出願日】2023-04-26
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000350
【氏名又は名称】ポレール弁理士法人
(72)【発明者】
【氏名】渡邉 夏美
(72)【発明者】
【氏名】大塚 敏史
【テーマコード(参考)】
5B146
【Fターム(参考)】
5B146AA05
5B146DL03
5B146DL08
(57)【要約】
【課題】製品の安全設計において既存製品の安全設計を再利用することができる、車両制御装置の設計支援システムを提供する。
【解決手段】本発明による車両制御装置の設計支援システムは、既存製品について、主機能と主機能に紐づいた安全機能についての情報を格納している安全設計データベース11に接続可能であり、安全機能についての情報は、安全機能を実行するハードウェア(HW)の要件を含み、安全設計データベース11から、新規製品の主機能に類似する既存製品の主機能を抽出し、抽出した主機能と紐づいた安全機能を抽出する安全機能抽出部12と、安全機能抽出部12が抽出した安全機能のHW要件と新規製品のHW構成を比較し、安全機能抽出部12が抽出した安全機能を新規製品に適用可能か否かを判断する適用可否判断部14と、適用可否判断部14が新規製品に適用可能と判断した安全機能の設計情報17を出力する安全設計結果出力部16を備える。
【選択図】図2
【解決手段】本発明による車両制御装置の設計支援システムは、既存製品について、主機能と主機能に紐づいた安全機能についての情報を格納している安全設計データベース11に接続可能であり、安全機能についての情報は、安全機能を実行するハードウェア(HW)の要件を含み、安全設計データベース11から、新規製品の主機能に類似する既存製品の主機能を抽出し、抽出した主機能と紐づいた安全機能を抽出する安全機能抽出部12と、安全機能抽出部12が抽出した安全機能のHW要件と新規製品のHW構成を比較し、安全機能抽出部12が抽出した安全機能を新規製品に適用可能か否かを判断する適用可否判断部14と、適用可否判断部14が新規製品に適用可能と判断した安全機能の設計情報17を出力する安全設計結果出力部16を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
既存の車両制御装置である既存製品について、主機能についての情報と、前記主機能に紐づいた安全機能についての情報を格納している安全設計データベースに接続可能であり、
前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、
前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出部と、
前記安全機能抽出部が抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出部が抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断部と、
前記適用可否判断部が前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力部と、
を備えることを特徴とする、車両制御装置の設計支援システム。
前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、
前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出部と、
前記安全機能抽出部が抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出部が抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断部と、
前記適用可否判断部が前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力部と、
を備えることを特徴とする、車両制御装置の設計支援システム。
【請求項2】
前記安全機能の前記ハードウェア要件は、前記主機能を実行するハードウェアと前記主機能と紐づいた前記安全機能を実行するハードウェアとが互いに異なるという、前記安全機能の独立性を含む、
請求項1に記載の、車両制御装置の設計支援システム。
請求項1に記載の、車両制御装置の設計支援システム。
【請求項3】
前記安全機能の前記ハードウェア要件は、前記安全機能の入出力データを伝送する経路の信頼性を含む、
請求項1に記載の、車両制御装置の設計支援システム。
請求項1に記載の、車両制御装置の設計支援システム。
【請求項4】
前記新規製品の前記安全機能を新たに設計するという指示の情報である安全設計要求情報を生成する安全設計要求生成部を備え、
前記安全設計要求生成部は、前記安全機能抽出部が、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出できなかった場合と、前記適用可否判断部が、前記安全機能抽出部が抽出した前記安全機能を前記新規製品に適用できないと判断した場合に、前記安全設計要求情報を生成する、
請求項1に記載の、車両制御装置の設計支援システム。
前記安全設計要求生成部は、前記安全機能抽出部が、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出できなかった場合と、前記適用可否判断部が、前記安全機能抽出部が抽出した前記安全機能を前記新規製品に適用できないと判断した場合に、前記安全設計要求情報を生成する、
請求項1に記載の、車両制御装置の設計支援システム。
【請求項5】
安全設計結果出力部は、前記安全機能抽出部が抽出した前記既存製品の前記安全機能を、前記新規製品のアーキテクチャ図の中に表示する、
請求項1に記載の、車両制御装置の設計支援システム。
請求項1に記載の、車両制御装置の設計支援システム。
【請求項6】
前記安全設計要求生成部は、前記安全設計要求情報を、前記新規製品のアーキテクチャ図の中に表示する、
請求項4に記載の、車両制御装置の設計支援システム。
請求項4に記載の、車両制御装置の設計支援システム。
【請求項7】
既存の車両制御装置である既存製品について、主機能についての情報と、前記主機能に紐づいた安全機能についての情報を格納している安全設計データベースを用い、
前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、
前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出ステップと、
前記安全機能抽出ステップで抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出ステップで抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断ステップと、
前記適用可否判断ステップで前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力ステップと、
を備えることを特徴とする、車両制御装置の設計方法。
前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、
前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出ステップと、
前記安全機能抽出ステップで抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出ステップで抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断ステップと、
前記適用可否判断ステップで前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力ステップと、
を備えることを特徴とする、車両制御装置の設計方法。
【請求項8】
前記安全機能の前記ハードウェア要件は、前記主機能を実行するハードウェアと前記主機能と紐づいた前記安全機能を実行するハードウェアとが互いに異なるという、前記安全機能の独立性を含む、
請求項7に記載の、車両制御装置の設計方法。
請求項7に記載の、車両制御装置の設計方法。
【請求項9】
前記安全機能の前記ハードウェア要件は、前記安全機能の入出力データを伝送する経路の信頼性を含む、
請求項7に記載の、車両制御装置の設計方法。
請求項7に記載の、車両制御装置の設計方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両制御装置の安全設計を支援するシステムと、車両制御装置の安全設計を行う方法に関する。
【背景技術】
【0002】
例えば公共交通機関や物流業界などにおいて、労働力不足の解消などのために車両やロボットの無人化が進められている。車両の無人運転を可能にする自動制御や自律制御のシステムには、安全性を考慮した設計(安全設計)が必須である。このようなシステムの安全設計において、設計に要する工数を削減するには、既存のシステムの構成を再利用して新たなシステムの設計に活用するのが好ましい。
【0003】
従来の技術において、過去の製品のデータから新しい製品に関連する情報を抽出することができる装置の例は、特許文献1に記載されている。特許文献1に記載された要件検出装置は、要件データを入力する要件入力部と、要件情報データベースを検索し、要件データに類似する直接類似要件を検出する直接類似要件検出部と、複数のトレース情報を格納するトレース情報データベースを検索することにより、直接類似要件検出部が検出した直接類似要件に関連するトレース情報を検出し、検出されたトレース情報に基づいてトレーサビリティ情報を構築する関連情報検索部と、関連情報検索部が構築したトレーサビリティ情報を用いることにより、直接類似要件検出部が検出した直接類似要件に関連する要件である間接類似要件を検出する間接類似要件検出部を備える。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014-164385号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に記載の要件検出装置では、過去の製品の要求定義等の成果物について、トレース情報データベースからトレース情報を予め定められた検出規則によって検出し、検出したトレース情報からトレーサビリティ情報を構築し、成果物間のトレーサビリティを予め定義しておくことで、新しい要件に関連する情報が検索可能である。しかし、過去の製品の安全設計を再利用して新しい製品を開発する場合には、特許文献1に記載の技術などの従来技術のように、新しい製品に関連する情報を抽出するだけでは、過去の安全設計のうち新製品の開発で再利用が可能な情報がどれであるかが不明確である。
【0006】
特に、車両やロボットのような人や環境に影響を与え得る製品の安全設計においては、製品による人や環境への悪影響を防止するために、網羅的な安全分析と高い信頼性を持つ安全機能の設計が要求されるので、多くの工数が必要である。安全設計に必要な工数の削減のために、既存の製品で実施した安全設計を新規の製品で再利用しようとする場合には、既存の製品に対する安全機能を新規の製品に適用できるか否かを、新規の製品の構成と安全機能の要件とを十分に比較して判断する必要がある。
【0007】
本発明の目的は、製品の安全設計において既存製品の安全設計を再利用することができる、車両制御装置の設計支援システムと設計手法を提供することである。
【課題を解決するための手段】
【0008】
本発明による、車両制御装置の設計支援システムは、既存の車両制御装置である既存製品について、主機能についての情報と、前記主機能に紐づいた安全機能についての情報を格納している安全設計データベースに接続可能であり、前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出部と、前記安全機能抽出部が抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出部が抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断部と、前記適用可否判断部が前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力部とを備える。
【0009】
本発明による、車両制御装置の設計方法は、既存の車両制御装置である既存製品について、主機能についての情報と、前記主機能に紐づいた安全機能についての情報を格納している安全設計データベースを用い、前記安全機能についての情報は、前記安全機能を実行するハードウェアに関する情報であるハードウェア要件を含み、前記安全設計データベースから、新たな車両制御装置である新規製品の前記主機能に類似する前記既存製品の前記主機能を抽出するとともに、抽出した前記主機能と紐づいた前記既存製品の前記安全機能を抽出する安全機能抽出ステップと、前記安全機能抽出ステップで抽出した前記安全機能の前記ハードウェア要件と、前記新規製品のハードウェア構成とを比較し、前記安全機能抽出ステップで抽出した前記安全機能を前記新規製品に適用可能か否かを判断する適用可否判断ステップと、前記適用可否判断ステップで前記新規製品に適用可能と判断した前記安全機能の設計情報を出力する安全設計結果出力ステップとを備える。
【発明の効果】
【0010】
本発明によると、製品の安全設計において既存製品の安全設計を再利用することができる、車両制御装置の設計支援システムと設計手法を提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施例1による、車両制御装置の設計支援システムを構成する機器の例を示す図である。
【図2】本実施例による設計支援システムの機能ブロック図である。
【図3A】新規製品のSW設計情報の例を示す図である。
【図3B】安全設計データベースが格納している安全設計情報の例を示す図である。
【図4A】安全機能抽出部が使用するカテゴリの例を示す図であり、機能カテゴリの例を示す図である。
【図4B】安全機能抽出部が使用するカテゴリの例を示す図であり、入出力カテゴリの例を示す図である。
【図5】新規製品のハードウェア設計情報の例を示す図である。
【図6】安全設計結果出力部が出力する安全設計情報と、安全設計要求生成部が出力する安全設計要求情報の例を示す図である。
【図7】安全設計結果出力部が出力する安全設計情報と、安全設計要求生成部が出力する安全設計要求情報の別の例を示す図である。
【図8】本実施例による、車両制御装置の設計方法のフローチャートを示す図である。
【発明を実施するための形態】
【0012】
以下の実施例では、既存の車両制御装置を「既存製品」と呼び、新しく安全設計を実施したい車両制御装置、すなわち新たな車両制御装置を「新規製品」と呼ぶ。
【0013】
本発明の実施例による、車両制御装置の設計支援システムと設計方法では、新規製品の主機能(ソフトウェア要件)に類似する既存製品の主機能を抽出し、抽出した主機能と紐づいた、既存製品の安全機能を抽出し、抽出した安全機能に関するハードウェア要件と新規製品のハードウェア構成を基に、既存製品の安全機能を新規製品に再利用できるか否かを判断する。再利用できる安全機能と新たな安全設計が必要な箇所は、ユーザに提示することができる。本実施例によると、新規製品の設計において、既存製品の安全設計を再利用することで開発工数を削減し、新規製品の安全設計の効率を向上させることができる。
【0014】
以下、本発明の実施例による、車両制御装置の設計支援システムと設計方法を、図面を参照して説明する。以下の実施例では、ソフトウェアを「SW」と、ハードウェアを「HW」と、それぞれ記載することもある。なお、本明細書で用いる図面において、同一のまたは対応する構成要素には同一の符号を付け、これらの構成要素については繰り返しの説明を省略する場合がある。
【実施例0015】
図1は、本発明の実施例1による、車両制御装置の設計支援システムを構成する機器の例を示す図である。本実施例による設計支援システムは、車両制御装置の安全設計を支援するシステムであり、コンピュータ1によって構成される。
【0016】
コンピュータ1は、CPU2、メモリ3、HDD等の記憶装置4、マウスやキーボード等の入力装置5、及びディスプレイ等の出力装置6を備える。記憶装置4は、OS7と、プログラム8を格納する。プログラム8は、本実施例による設計支援システムの処理をコンピュータ1に実行させるためのコンピュータプログラムである。CPU2は、プログラム8を実行する。なお、記憶装置4は、コンピュータ1に内蔵された装置であってもよく、コンピュータ1に外付けされた外部装置であってもよい。
【0017】
図2は、本実施例による設計支援システム10の機能ブロック図である。設計支援システム10は、安全設計データベース11に接続可能であり、安全機能抽出部12、適用可否判断部14、安全設計結果出力部16、及び安全設計要求生成部18を備える。
【0018】
安全設計データベース11は、既存製品についての安全設計情報を格納している。安全設計情報とは、車両制御装置の主機能についての情報と、この主機能に対応する安全機能についての情報である。主機能とは、車両制御装置が車両を制御するための機能(例えば、車両の自動走行を実現する機能)のことである。安全機能とは、車両の安全性を考慮した機能のことである。安全設計データベース11により、主機能と安全機能とを紐づけて管理することができる。
【0019】
安全機能抽出部12は、新規製品のソフトウェア設計情報13(SW設計情報13)を入力する。SW設計情報13は、ソフトウェアで実現する新規製品の機能についての情報であり、例えば、主機能の内容と、主機能が必要とする入力データと、主機能により得られる出力データに関する情報を含む。さらに、安全機能抽出部12は、安全設計データベース11から、新規製品の主機能に類似する既存製品の主機能と、この既存製品の主機能と紐づいた安全機能を、例えば後述するカテゴリを用いて抽出する。
【0020】
適用可否判断部14は、新規製品のハードウェア設計情報15(HW設計情報15)を入力する。HW設計情報15は、新規製品が備えるハードウェア構成についての情報(新規製品のHW構成)であり、例えば、ハードウェアの性能と、ハードウェア間の接続情報を含む。さらに、適用可否判断部14は、安全機能抽出部12が抽出した安全機能のハードウェア要件(HW要件)と新規製品のHW設計情報15(HW構成)とを比較し、安全機能抽出部12が抽出した安全機能(既存製品の安全機能)を新規製品に適用可能か否かを判断する。
【0021】
安全設計結果出力部16は、適用可否判断部14が新規製品に適用可能と判断した、既存製品の安全機能の設計情報を、安全設計情報17として出力装置6(図1)に出力する。出力装置6は、安全設計情報17を表示することができる。これにより、安全設計結果出力部16は、安全設計情報17をユーザに提示することができる。安全設計情報17は、主機能と、主機能に対応する安全機能についての情報(例えば、機能名と、入力データと、出力データと、処理内容)を含む。
【0022】
安全設計要求生成部18は、後述するように、新規製品の安全機能を新たに設計するようにユーザに指示するための情報である安全設計要求情報19を生成する。
【0023】
本実施例による設計支援システム10は、以上の構成を備え、既存製品についての安全設計の中から新規製品に適用可能な安全機能を抽出してユーザに提示することができ、既存製品の安全設計を新規製品の安全設計に再利用することができて、新たな車両制御装置の開発工数を削減することができる。
【0024】
図3Aは、新規製品のSW設計情報13の例を示す図である。上述したように、SW設計情報13は、ソフトウェアで実現する新規製品の機能についての情報である。例えば、SW設計情報13は、主機能の機能名と、主機能が必要とする入力データと、主機能により得られる出力データに関する情報を含む。
【0025】
図3Bは、安全設計データベース11が格納している安全設計情報20の例を示す図である。安全設計情報20は、既存製品の主機能についての情報と、この主機能に対応する安全機能についての情報である。例えば、安全設計情報20は、主機能については、機能名と、必要とする入力データと、得られる出力データを含み、主機能に対応する安全機能については、ソフトウェア要件(SW要件)とハードウェア要件(HW要件)を含む。
【0026】
安全機能のSW要件は、ソフトウェアで実現する新規製品の安全機能についての情報であり、例えば、機能名、必要とする入力データ、得られる出力データ(例えば、異常の検出結果)、及び処理内容(例えば、何の異常を検出する処理であるか)を含む。
【0027】
安全機能のHW要件は、安全機能を実行するハードウェアに関する情報であり、例えば、性能(仕様)、主機能を実行するハードウェアからの独立性、入力するデータと出力するデータを伝送する経路の信頼性を含む。安全機能の独立性とは、主機能を実行するハードウェアと、この主機能と紐づいた安全機能を実行するハードウェアが、互いに異なることである。経路の信頼性とは、経路を構成するハードウェア部品間の接続と通信についての信頼性であり、例えば安全性能を表す規格(例えば、SIL)を用いて表すことができる。なお、図3Bにおいて、HW要件の「〇〇」は、任意の数値を表す。
【0028】
安全機能抽出部12は、安全設計情報20を参照し、安全設計データベース11から既存製品の主機能とこの主機能と紐づいた安全機能を、例えばカテゴリを用いて抽出することができる。図3Aと図3Bに示すように、主機能の機能名と入力データと出力データには、カテゴリが設定されている。
【0029】
図4Aは、安全機能抽出部12が使用するカテゴリの例を示す図であり、主機能の機能に関するカテゴリ(機能カテゴリ)の例を示す図である。機能カテゴリは、例えば、認識、判断、及び制御という3つのカテゴリからなる。
【0030】
図4Bは、安全機能抽出部12が使用するカテゴリの例を示す図であり、主機能の入力データと出力データに関するカテゴリ(入出力カテゴリ)の例を示す図である。入出力カテゴリは、例えば、センサデータ、認識結果、行動判断結果、及び制御指示という4つのカテゴリからなる。
【0031】
【0032】
例えば、車両の自動走行を実現する主機能は、障害物や車線などの車両の周辺の状況を認識するための認識機能、車両の周辺の状況や達成したい目的に応じて動作を判断するための判断機能、及び判断した動作を実現するための制御機能などに分類できる。また、これらの機能の入出力データは、車両に設置されたセンサの計測データであるセンサデータ、センサデータから物体等を検出した結果である認識結果、認識結果やタスクに基づいて判断した行動(動作)である行動判断結果、及び判断した行動を実現するための制御指示などに分類できる。これらの分類は、カテゴリとして、SW設計情報13と、安全設計情報20の主機能についての情報とに、予め設定しておく。
【0033】
安全機能抽出部12は、図4Aと図4Bに示すカテゴリを用いて、新規製品の主機能と既存製品の主機能との類似性を評価し、新規製品の主機能に類似する既存製品の主機能を抽出する。例えば、安全機能抽出部12は、新規製品の主機能に設定されたカテゴリと、既存製品の主機能に設定されたカテゴリとを比較し、これらのカテゴリが互いに一致する場合には、新規製品の主機能と既存製品の主機能が互いに類似すると判断する。
【0034】
例えば、図3Aに示す例では、新規製品の主機能の機能名「物体認識」と「車線認識」に対し、機能カテゴリ「a認識」が設定されており、これら主機能の入力データに対し入出力カテゴリ「aセンサデータ」が設定されており、出力データに対し入出力カテゴリ「b認識結果」が設定されている。安全機能抽出部12は、新規製品の主機能に設定されたこれらのカテゴリと一致する既存製品の主機能を、安全設計情報20から抽出する。図3Bに示す例では、安全機能抽出部12は、IDが「MF01」の主機能、すなわち機能名が「障害物検出」である既存製品の主機能を抽出する。
【0035】
そして、安全機能抽出部12は、IDが「MF01」の主機能「障害物検出」と紐づいた安全機能として、IDが「SF01」の安全機能「センサ故障検出」と、IDが「SF02」の安全機能「検出処理異常検出」を抽出する。
【0036】
図3Aと図3Bに示す例では、安全機能抽出部12は、このようにしてカテゴリを用いて、新規製品の主機能「物体認識」と「車線認識」に類似する既存製品の主機能「障害物検出」を抽出するとともに、既存製品の主機能「障害物検出」と紐づいた安全機能「センサ故障検出」と「検出処理異常検出」を抽出することができる。
【0037】
なお、カテゴリの使用は、安全機能抽出部12が新規製品の主機能と既存製品の主機能との類似性を評価する方法の一例である。安全機能抽出部12は、カテゴリを用いない方法で、例えば、主機能の類似性を学習した機械学習モデルを用いて、主機能の類似性を評価してもよい。
【0038】
【0039】
上述したように、HW設計情報15は、新規製品が備えるハードウェア構成についての情報である。HW設計情報15には、例えば、新規製品を構成するハードウェア部品(例えば、センサ、カメラ、制御ユニット、及びアクチュエータ等)についての情報と、ハードウェア部品の性能と信頼性についての情報と、SW設計情報13に含まれる主機能(ソフトウェアで実現される主機能)がどのハードウェア部品で実行されるかという情報(主機能の配置情報)と、ハードウェア部品間の接続構成と通信の信頼性(入力データと出力データの伝送経路の信頼性)についての情報などが含まれる。
【0040】
適用可否判断部14は、安全機能抽出部12が抽出した安全設計情報20のHW要件(既存製品の安全機能のHW要件)と、HW設計情報15(新規製品のHW構成)とを比較し、既存製品の安全機能を新規製品に適用可能か否かを判断する。適用可否判断部14は、HW設計情報15が、安全機能抽出部12が抽出した安全設計情報20のHW要件を満たしている場合(すなわち、新規製品のHW構成が、既存製品の安全機能のHW要件を満たすことができる場合)には、安全設計情報20(すなわち、既存製品の安全機能)を新規製品に適用可能と判断する。
【0041】
適用可否判断部14が考慮するHW要件には、例えば、安全機能を実行する処理装置の性能と信頼性、安全機能が主機能を実行する処理装置からの干渉を受けないための独立性、及び安全機能の入出力データが適切に伝送されるための入出力経路の信頼性などが含まれる。安全機能の独立性は、主機能を実行する処理装置(ハードウェア)と、この主機能の安全機能を実行する処理装置とが互いに異なることであり、例えば、主機能の配置情報を用いて求めることができる。入出力経路の信頼性は、安全機能の入出力データを伝送する経路の信頼性であり、例えば、この経路を構成するハードウェア部品間の接続と通信についての信頼性である。この信頼性は、例えば、SILなどの安全性能を表す規格で表すことができる。
【0042】
例えば、主機能の異常を検出したり主機能を冗長化したりする安全機能を実行するマイコンが、この主機能を実行するマイコンと同一である場合には、このマイコンが故障すると主機能とともに安全機能も正常に動作しなくなってしまう。このような状況を回避するために、安全機能の独立性をHW要件に含めて安全設計データベース11に格納しておき(図3B)、適用可否判断部14が、新規製品のHW構成において独立性の確保が可能か否かを判断する。これにより、適用可否判断部14は、安全機能抽出部12が抽出した安全機能に必要な独立性を考慮して、既存製品の安全機能を新規製品に適用可能か否かを判断することができる。
【0043】
また、安全機能に入力されるデータが失陥したりデータに誤りが発生したりした場合には、必要な安全機能が正常に動作しない可能性がある。安全機能が出力した異常検出結果や制御停止命令などが正常に伝送されない場合にも、安全機能の効果が十分に得られないことがある。これらの不具合を防ぐためには、安全機能の入出力データが伝送される経路に十分な信頼性が求められる。そこで、上述した独立性と同様に、入出力経路の信頼性を安全機能のHW要件に含めて安全設計データベース11に格納しておき(図3B)、適用可否判断部14が、新規製品のHW構成において入出力経路の信頼性の確保が可能か否かを判断する。これにより、適用可否判断部14は、安全機能の入出力データの伝送経路の信頼性を考慮して、既存製品の安全機能を新規製品に適用可能か否かを判断することができる。
【0044】
安全設計要求生成部18(図2)について説明する。安全設計要求生成部18は、安全機能抽出部12が安全設計データベース11から安全機能を抽出できなかった場合、すなわち新規製品の主機能に類似する既存製品の主機能が安全設計データベース11の中に存在しない場合と、適用可否判断部14が安全機能抽出部12に抽出された安全機能を新規製品に適用できないと判断した場合に、安全設計要求情報19を生成する。
【0045】
安全設計要求情報19は、新規製品に対し、主機能に必要な安全機能を新たに設計するようにユーザに指示するための情報である。安全設計要求情報19は、例えば、新規製品の主機能のうち、安全設計データベース11の中に類似する機能が含まれておらず、新たな安全設計が必要な主機能を提示するための情報を含む。また、安全設計要求情報19は、例えば、抽出された安全機能のうち新規製品に適用できない安全機能が必要とするHW要件を提示するための情報を含む。
【0046】
安全設計要求生成部18は、安全設計要求情報19を出力装置6(図1)に出力する。出力装置6は、安全設計要求情報19を表示することができる。
【0047】
本実施例による設計支援システム10では、安全設計要求生成部18が安全設計要求情報19を生成して出力装置6に表示することにより、新たな安全設計の検討が必要な箇所をユーザに対して明確に提示することができ、新規製品に対する安全設計の効率を向上させることができる。
【0048】
図6は、安全設計結果出力部16が出力する安全設計情報17と、安全設計要求生成部18が出力する安全設計要求情報19の例を示す図である。安全設計情報17と安全設計要求情報19は、出力装置6に表示される。
【0049】
安全設計情報17は、新規製品の主機能と、この主機能に対応する、安全機能抽出部12が抽出した安全機能についての情報を含む。主機能に対応する安全機能は、安全機能候補として、複数を提示することができる。安全機能は、安全設計情報20(図3B)に含まれるSW要件とHW要件を含む。
【0050】
安全設計要求情報19は、対応する安全機能が抽出されなかった主機能と、安全機能のうち新規製品のHW構成では達成できない安全機能のHW要件についての情報である。図6に示す例では、安全設計要求情報19は、安全設計情報17において強調して(太い枠で)表示されている。安全設計要求情報19には、新たな安全設計をユーザに指示するメッセージが含まれる。安全設計要求情報19により、新たな安全設計が必要な箇所をユーザに対して明確に提示することができる。
【0051】
図7は、安全設計結果出力部16が出力する安全設計情報17と、安全設計要求生成部18が出力する安全設計要求情報19の別の例を示す図である。図7には、安全設計情報17と安全設計要求情報19が、新規製品のアーキテクチャ図の中に表示されている例を示している。図7において、「MF」は主機能を表し、「SF」は安全機能抽出部12が抽出した安全機能を表す。図7に示すアーキテクチャ図は、出力装置6に表示される。
【0052】
図6に示した例と同様に、安全設計情報17は、新規製品の主機能(MF)と、この主機能に対応する安全機能(SF)を含む。安全設計要求情報19は、強調して(太い枠の吹き出しで)表示されており、新たな安全設計をユーザに指示するメッセージを含む。
【0053】
図7に示すような、新規製品のアーキテクチャ図の中に表示された安全設計情報17と安全設計要求情報19により、安全設計の結果と新たな安全設計が必要な箇所とを、ユーザに対してより視覚的に提示することができる。
【0054】
以下では、本実施例による、車両制御装置の設計方法について説明する。本実施例による、車両制御装置の設計方法は、本実施例による、車両制御装置の設計支援システムが実行することができる。
【0055】
図8は、本実施例による、車両制御装置の設計方法のフローチャートを示す図である。
【0056】
ステップ30で、安全機能抽出部12が、安全設計データベース11から、新規製品の主機能に類似する既存製品の主機能を抽出する。
【0057】
ステップ31で、安全機能抽出部12が、ステップ30で抽出した既存製品の主機能に紐づく安全機能を、安全設計データベース11から抽出する。ステップ31で安全機能が抽出された場合は、ステップ32を実行する。ステップ31で安全機能が抽出されなかった場合は、ステップ36を実行する。
【0058】
ステップ32で、適用可否判断部14が、ステップ31で抽出された安全機能(既存製品の安全機能)のHW要件と、新規製品のHW設計情報15(HW構成)とを比較し、新規製品のHW構成が、既存製品の安全機能のHW要件を満たしているか否かを調べる。
【0059】
ステップ33で、適用可否判断部14は、新規製品のHW構成が、既存製品の安全機能のHW要件を満たしている場合には、既存製品の安全機能を新規製品に適用可能であると判断し、満たしていない場合には、既存製品の安全機能を新規製品に適用不可であると判断する。既存製品の安全機能を新規製品に適用可能な場合は、ステップ34を実行する。
【0060】
ステップ34で、安全設計結果出力部16は、ステップ33で適用可否判断部14が新規製品に適用可能と判断した、既存製品の安全機能の設計情報を、安全設計情報17として出力装置6に出力する。ユーザは、出力装置6に表示された安全設計情報17を参照し、既存製品の安全機能を再利用して新規製品に適用することができる。
【0061】
ステップ33で、適用可否判断部14が、既存製品の安全機能を新規製品に適用不可であると判断した場合には、ユーザは、新規製品に適用不可であると判断された安全機能が、HW要件を修正することで新規製品に適用可能か否かを判断する。HW要件の修正により新規製品に適用可能な安全機能(すなわち、修正して再利用可能な安全機能)がある場合には、ステップ35を実行する。
【0062】
ステップ35で、ユーザは、安全機能のHW要件を修正し、修正した安全機能を新規製品に適用する。
【0063】
新規製品に適用不可であると判断された安全機能が、HW要件を修正しても新規製品に適用できない場合と、ステップ31で安全機能が抽出されなかった場合には、ステップ36を実行する。
【0064】
ステップ36で、安全設計要求生成部18は、安全設計要求情報19を生成して出力装置6に出力する。ユーザは、出力装置6に表示された安全設計要求情報19を参照して、ステップ30で対象とした新規製品の主機能に対し、新しく安全機能を設計することができる。
【0065】
本実施例による、車両制御装置の設計方法では、以上の手順により、既存製品の安全設計の実績から新規製品に適用可能な安全機能を抽出することで、既存製品の安全設計を新規製品の安全設計に再利用することができ、新たな車両制御装置の開発工数を削減することができる。
【0066】
以上説明したように、本実施例による、車両制御装置の設計支援システムと設計方法では、新規製品の主機能(SW設計情報13)に類似する既存製品の主機能を抽出し、抽出した主機能と紐づいた、既存製品の安全機能を抽出し、抽出した安全機能に関するHW要件と新規製品のHW構成(HW設計情報15)を基に、既存製品の安全機能を新規製品に再利用できるか否かを判断する。再利用できる安全機能(安全機能候補)は、安全設計情報17として、新たな安全設計が必要な箇所は、安全設計要求情報19として、それぞれユーザに提示される。本実施例によると、新規製品の設計において、既存製品の安全設計を再利用することで開発工数を削減することができ、新規製品の安全設計の効率を向上させることができる。
【0067】
なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。
【符号の説明】
【0068】
1…コンピュータ、2…CPU、3…メモリ、4…記憶装置、5…入力装置、6…出力装置、7…OS、8…プログラム、10…設計支援システム、11…安全設計データベース、12…安全機能抽出部、13…ソフトウェア設計情報、14…適用可否判断部、15…ハードウェア設計情報、16…安全設計結果出力部、17…安全設計情報、18…安全設計要求生成部、19…安全設計要求情報、20…安全設計情報。
【図1】
【図2】
【図3A】
【図3B】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【図8】