セッション名：ディペンダブルロボットのためのモデルベース開発プロセス1P1‐T04： 14：00‐15：30 (コアタイム 14:45‐15:30)

背景と課題 生活支援ロボットの実用化が期待されている

機能安全認証の取得にはウォ タ フォ ル的な開発が求められる 機能安全認証の取得にはウォーターフォール的な開発が求められる

先行開発では要求や仕様が頻繁に変更されスパイラル的な開発が求められる

開発プロセスの不適合がある

研究の目的 モデルベ ス開発とトレ サビリティ確保により開発プロセスの不適合を解決する モデルベース開発とトレーサビリティ確保により開発プロセスの不適合を解決する

研究の内容１） リファレンスワークフローの定義と実証ロボット開発のリファレンスワークフローを定義するために、独立行政法人情報処理推進機構ソフトウェアエンジニアリングセンターで定義している組込みソフトウェア開発推進機構ソフトウェアエンジニアリングセンターで定義している組込みソフトウェア開発プロセスガイド（ESPR）を参考にプロセスとアクティビティを定義した。さらにアクティビティ毎のタスクと利用手法とモデルを定義して、ドキュメントテンプレートに紐付けした。

アクティビティと作成するドキュメント

タスクと定義するモデル

<目的> <機能> <文脈>

ハザードリスク機能安全要求定義

ミッション要求（要求図）

ドメイン（ブロック定義図）

システム要求定義

ユースケース（ユースケース図）

アクティビティ（アクティビティ図）シ

ステムエンジニアリングプ A

D

C

D

A A

組込みソフトウ <事象> <責務> <構造>

安全ゴール 機能安全要求

状態遷移（状態遷移図）

コンテキスト（内部ブロック図）

システムアーキテクチャ

設計

論理構成（ブロック定義図）

論理内部ブロック（内部ブロック図）

ソフトウェア要求定義

要求（要求図）

ドメイン（ブロック定義図）

ユースケース（ユースケース図）

アクティビティ（アクティビティ図）

プロセス

ソフトウェ

A CA Aウェア開発プロセスガイドライ

<事象> <責務> <構造>

<目的> <機能> <文脈>

責務

<責務>

ソフトウェア詳細設計

デバイス依存処理の詳細

ソフトウェアアーキテクチャ

設計

インタフェース（ブロック定義図）

ＲＴコンポーネント（内部ブロック図）

状態遷移（状態遷移表）

アエンジニアリングプロセス

CAA AB

Semi‐formal methodsBlock diagramsSequence diagramsFi it t t hi

Technique and measures Detailed

A

IEC61508‐3 SIL3で推奨される技法

イン（ＥＳＰＲ）

<責務><データ> <事象>

Modular approach

Simulation/modeling

Failure analysis

Finite state machines

Finite state machines

Performance modelingFault tree analysis

FMEA

B

C

D

ドキュメント

＜＞下流方向のトレーサビリティで追加される情報→ 開発の流れとトレーサビリティ

研究の内容２） モデルベースによる電動車椅子ロボットの開発

キ を デ グ 安全分析・SysMLでメカ・エレキ・ソフトをモデリングして安全分析

・制御アプリは IEC61508 認証のRTMSafety上に構築

・安全管理部は外界の状況から安全レベルを決定するSafetyMonitorに実装。

・SafetyMonitorは ZIPC‐RT で生成したコードを採用

３） トレーサビリティ活用法の考案・プロセス/アクティビティのドキュメントからモデルへのトレーサビリティをＴＥＲＡＳツールで作成

・仕様変更の影響解析を実現

開発した電動車椅子ロボット

トレーサビリティエディタ

例） 「遠くに障害物を発見したとき」の仕様の影響範囲を検索

http://www.teras.or.jp/

ソフトウェアアーキテクチャ設計書

ソフトウェア要求図

影響範囲の検索結果からモデル要素を辿り影響を分析

※検索結果は選択表示かハイライトされる

コンポーネント図 状態遷移表

影響範囲の検索結果からモデル要素を辿り影響を分析

要求とテスト結果のトレーサビリティ（カバレッジ）を確認

結果と考察

以下の貢献によりプロセス不適合の軽減に

http://www.zipc.com/special/zipc_rt/

以下の貢献によりプロセス不適合の軽減に

効果があることがわかった。

・リファレンスワークフロー

全体と部分の関係を踏まえて設計可能

・トレーサビリティ

走行ログからセルカバレッジを表示

アーキテクチャの説明力が向上

・影響解析

仕様/設計変更の影響が把握可能※通過したセルが着色される