teras conference

平成２４年３月１９日

第１回ＴＥＲＡＳ成果報告会

電動車椅子ロボット開発への電動車椅子ロボット開発へのＴＥＲＡＳ活用Ｓ活用

（独）産業技術総合研究所

知能システム研究部門知能システム研究部門

主任研究員中坊嘉宏

02012/03/19

来場者の事前アンケト結果来場者への事前アンケート結果

0 50 100 150 200 250（人）

質問：「関心のある項目にチェックしてください（複数回答可）」

機能安全への対応機能安全への対応

効果的なトレーサビリティ活用法効果的なトレーサビリティ活用法

TERASツールの導入/運用方法

既存ツールのTERAS対応

その他

事務提供

12012/03/19

TERAS事務局提供

発表概要発表概要

• なぜ機能安全が必要か？

• なぜトレーサビリティが有効か？

• TERASの活用方法TERASの活用方法

サービスロボット（生活支援ボト）開発（生活支援ロボット）開発

2012/03/19 2

生活支援ボ社会背景生活支援ロボット ‐ 社会背景

• ロボットがサービスを支える

生活支援ロボトの市場創造• 生活支援ロボットの市場創造

2005年 2025年増減

労働力人口1)6 770万人 6 300万人 ▲470万人

労働力人

（15才～64才）6,770万人 6,300万人 ▲470万人

高齢者人口2)2 539万人 3 472万人 933万人

高齢者人

（65才～）2,539万人 3,472万人 933万人

発生するギャップ 1 403万人発生するギャップ 1,403万人

出典： 1) 厚生労働省職業安定局推計(2002年7月) 2) 国立社会保障・人口問題研究所「日本の将来推計人口」（2002年1月）2) 国立社会保障・人口問題研究所「日本の将来推計人口」（2002年1月）

32012/03/19

国際安全規格導入の背景国際安全規格 ‐導入の背景

企業や国は安全の全責任を負えるか？・企業や国は，安全の全責任を負えるか？

販売製造物責任

信頼（適合マーク）一般消費者

生産者

安全への要求の増大

責任分担構造

生産者認証機関

ロボットメーカー生産者

ロボットメーカー

信頼販売

規格適合性認証ロボットメーカー

生産者ロボットメーカー

認証機関（第三者機関）

般消費者

信頼（ブランド）

販売責任

一般消費者

企業ブランドに頼る方法安全規格（ISO/IEC →JIS）

EUなどは特に積極的に推進，TBT協定

企業ブランドに頼る方法• 現状の製品では十分• では今後の製品では？• 例えば自動運転車は可能？

4

例えば自動運転車は可能？

2012/03/19 4

取り組み例「NEDO生活支援ロボト実用化PJ」ISO TC184/SC2/WG7で規格策定中生活支援ロボット安全検証センター

取り組み例：「NEDO生活支援ロボット実用化PJ」ISO TC184/SC2/WG7で規格策定中生活支援ボット安全検証センタ

必要な試験をワンストップで実施可能な検証拠点検証拠

パッシブダミー障害物接近再現装置2012/03/19 5

IEC61508機能安全の要求プロセスIEC61508機能安全の要求プロセス

（≒ ウタ開発デ）（≒ ウォーターフォール開発モデル）

• V字モデル開発 • 全安全ライフサイクル

2012/03/19 6

先行開発のプロセス先行開発のプロセス

試行錯誤繰り返し＝試行錯誤・繰り返し

• アジャイル開発 • スパイラル開発⁻ 動けばOK

⁻ 開発チームの技量に依存

⁻ 至高の極致

プロトタイプ分析

設計評価設計評価

2012/03/19 7

ロボットソフトウア開発の課題ロボットソフトウェア開発の課題

• 機能安全プロセスに多大な工数がかかる

– 大量のドキュメント．．ガイドラインの必要性

– 開発，管理ツールの整備開発，管理ツルの整備

先行開発と量産開発ギプ• 先行開発と量産開発のギャップ

– 開発が属人的

– 品質の確保

– 要求・設計・実装・テストの整合性– 要求設計実装テストの整合性

2012/03/19 8

解決策（機能安全）解決策（機能安全）

• 全て新規ではなく，再利用する

• コンポーネントの組み合わせで作るRTミドル

ウエア• コンポーネントの組み合わせで作る

プ

ウエア

• プラットフォームを活用する

• モデルベース開発を導入する → SysML

92012/03/19

解決策（先行開発）解決策（先行開発）

• 設計図を基にプラモデルを作ることは容易

• ならば，先行開発で設計図が作れればよい

→ トレーサビリティ→ トレーサビリティ

2012/03/19 10

研究の目標研究の目標

• 設計図の設計図を作り，変更の影響を制御可能に

各程で設計する項目ドキメントデルを– 各工程で設計する項目，ドキュメント，モデルをあらかじめ定義しておく

– 定義したプロセス，アクティビティ，タスクとその成果物のトレーサビリティをとる果物のトレサビリティをとる

– 変更があった際に影響範囲を検索し、そのタスク情報を基に再計画する情報を基に再計画する

→ ウォーターフォール開発に移行しやすい環境づくり

112012/03/19

実証検証実証検証

電動車椅ボ適有効性を検証• 電動車椅子ロボット開発に適用して有効性を検証（ROBOMEC2012＠5月，浜松にて関連発表数件）

安全を実現する冗長構成

12

長

2012/03/19

モデルベース・ロボット開発のトレーサビリティ（プロセス，アクティビティ ‐ ドキュメント，タスク ‐ モデル，技法）

ミッション要求ドメインシステムユスケスアクティビティシス

アクティビティと,作成するドキュメントタスクと, 定義するモデル（主にSysML）

<目的> <機能> <文脈>

ミッション要求（要求図）

ドメイン（ブロック定義図）

システム要求定義

ユースケース（ユースケース図）

アクティビティ（アクティビティ図）

ステムエンジ

D D組込み

ハザードリスク機能安全要求定義

ニアリングプ

A CA A

みソフトウェア

<事象> <責務> <構造>

安全ゴール機能安全要求

状態遷移（状態遷移図）

コンテキスト（内部ブロック図）

システムアーキテクチャ

設計

論理構成（ブロック定義図）

論理内部ブロック（内部ブロック図）

プロセス

ソ

ア開発プロセ <目的> <機能> <文脈>

<責務>

ソフトウェア要求定義

要求（要求図）

ドメイン（ブロック定義図）

ユースケース（ユースケース図）

アクティビティ（アクティビティ図）

ソフトウェアエ

セスガイドライ

<目的> <機能> <文脈>

<責務>

ソフトウェアアーキテクチャ

設計

インタフェース（ブロック定義図）

ＲＴコンポーネント（内部ブロック図）

状態遷移（状態遷移表）

エンジニアリ

CAA AB

IEC61508 3 SIL3で推奨される技法

イン（ＥＳＰＲ

<データ> <事象>

ソフトウェア詳細設計

デバイス依存処理の詳細

ングプロセス

Semi‐formal methods

Modular approach

Block diagramsSequence diagramsFinite state machines

Technique and measures Detailed

A

B

IEC61508‐3 SIL3で推奨される技法Ｒ）

ス pp

Simulation/modeling

Failure analysis

Finite state machinesPerformance modelingFault tree analysisFMEA

C

D

< >：下流方向のトレーサビリティで追加される情報：開発の流れとトレーサビリティ

ミッション要求（SysML 要求図） req [Package] DependableBase [03 Mis s ion Requirement s ]

<<requirement>>Prov ide dependable mobi l i t y

not esThe robot base shall be capable of moving in 2 dimensions on a road-like surface. It shall provide this motion service to the utilising entity and allow the utilising entity to control it. It shall avoid collisions with static and dynamic obstacles where possible and when a collision is inevitable it shall attempt toobstacles where possible and when a collision is inevitable it shall attempt to minimise damage. It shall be safe even in the case of internal system failures.

<<requirement>> <<requirement>>qMobil it y

not esThe robot shall move in two dimensions. The motion shall becontrolled by the utilising entity.

<<requirement>>Dependabil it iy

not esThe robot shall avoid collisions where possible, and attempt to minimise damage when a collision is inevitable. It shall be safe even in the event of internal errors. The robot shall not move in an unsafe manner.

<<requirement>>F orward/reverse

mot ion

not esThe robot shall be capable of moving forwards and backwards

<<requirement>>Rot a t ion

not esThe robot shall be able torotate both on the spot and while moving.

<<requirement>>Emergency s t op

not esThe robot shall provide a facility and interface to i di t l h lt ll

<<requirement>>Int erna l error

det ect ion

not esThe robot shall be capable of detecting

<<deriveReqt>> <<deriveReqt>><<deriveReqt>> <<deriveReqt>>

forwards and backwards.

<<requirement>>Stop

not esThe robot shall be able tostop.

<<requirement>>Ex t erna l cont rol

not esThe robot's motion shall be controlled by the utilising entity.

<<requirement>>Speed l imit ing

not esThe robot shall limit its maximum speed so as to not allow unsafe motion.

<<requirement>>Obs t acle col l is ion

prevent ion

not esThe robot shall prevent

<<requirement>>Conf ined s pace

mot ion

not esThe robot shall be capable of entering confined spaces

immediately halt all motion.

capable of detecting internal errors.

<<requirement>>Report current s a fet y

s t a t us

not esThe robot shall report its current status, including detected errors,

t d li it

<<deriveReqt>><<deriveReqt>>

<<deriveReqt>> <<deriveReqt>><<deriveReqt>>

<<deriveReqt>>

<<requirement>>Res t rict cont rols

not esThe robot shall refuse to performmotion commands that would conflict with the safety goals.

collisions wherever possible.

<<requirement>>Obs t acle det ect ion

not es

<<requirement>>Col l is ion prevent ion s t ra t egy

not esWh b t l ithi i th

confined spaces.

<<requirement>>Command s t a t us

not esThe robot shall report whethera command was successfully executed or not.

current speed limits, sensor statuses, etc.

<<deriveReqt>> <<deriveReqt>>

<<deriveReqt>>

<<deriveReqt>>

<<deriveReqt>>

not esThe robot shall detect obstacles.

When an obstacle appears within a given range, the robot shall limit its speed. When an obstacle moves intoa closer range, the robot shall halt all motion. When the robot detects contact with an obstacle, it shall halt all motion.

<< i t>> << >>

<<requirement>>Report mot ion s t a t us

not esThe robot shall report its current motion status, including speed.

<<deriveReqt>>

<<deriveReqt>>

<<deriveReqt>>

<<deriveReqt>><<deriveReqt>>

<<deriveReqt>>

<<deriveReqt>>

14

<<requirement>>Override s a fet y res t rict ions

not esThe utilising entity shall be capable of overriding halted motion to allow restricted motion even in the presence of a close obstacle.

<<requirement>>Dis t ant obs t acle

det ect ion

not esThe robot shall detect obstacles at a distance and measure the distanceto them.

<<requirement>>Cont act ing obs t acle

det ect ion

not esThe robot shall detect contact with obstacles.2012/03/19

ミッションユースケース（ユースケース図） uc [Package] Dependab leBase [04 Mis s ion use cases ]

Dependable mobile robot base

Class:Dependable mobile robot base

Move forwards and backwards

Rot at e

<<include>>

<<block,external>>RoadMove

St op

Move

<<include>>

<<include>><<include>>

Cont rol mot ion

dependab ly

Ma int a in s a fet y

Avoid col l is ions

Minimis e col l is ion d

Det ect obs t ac les a t a d is t ance

<<block,external>>Obs t ac le

Det ect int erna l errors

<<include>>

<<include>>

<<include>><<include>>

<<include>>

ydamage

Det ect cont act ing obs t ac les

Limit mot ion speed

Override s a fet y res t rict ions

<<include>>

<<include>>

<<extend>><<extend>>

Ut i l is ing ent it y

When the robot's safety is jeopardized, the speed of motion should

be limited.

E xecut e emergency s t op

When motion is restricted

by safety concerns, the

user will initiate an

override.

Report s t a t us es

Report mot ion s t a t us

Report s a fet y s t a t us

15

Report command

s t a t us

論理内部ブロック図（SysML 内部ブロック図） ibd [Package] Wheelcha ir [119 Wheelcha ir log ica l int erna l b lock d ia g ram]

: DependableWheelchairRobot

<<fl P >> OLeft : LogicalController

<<fl P >> O: ObstacleSensor Right : DriveUnit

<<flowPort>> O :ObstacleInformation

<<flowPort>> SS :SensorStatus

<<flowPort>> Encoder :Angle

<<flowPort>> B :BrakeStatus






<<flowPort>> S :SensorStatus


<<flowPort>> S :SensorStatus

<<flowPort>> Resolver:Angle




EmergencyStop

MotionCommand

<<flowPort>> M :MotionStatus

<<flowPort>> Resolver :Angle

<<flowPort>>TorqueControl :Current


<<flowPort>> Resolver :Angle

<<flowPort>>TorqueControl :CurrentStatusInformation

MotionCommand

Override


<<flowPort>> B:BrakeStatus

L ft D i U it



<<flowPort>> MS :MotionStatus

: UserInterfaceUnit

<<flowPort>> MS :MotionStatus

BrakeControl

EmergencyStop

MotionCommand

StatusInformation

<<delegate>>

<<flowPort>>TorqueControl :

Left : DriveUnit

<<flowPort>>TorqueControl :

<<flowPort>> R :Angle

<<flowPort>> Control:Current

: ElectricMotor


<<flowPort>> Control:Current

<<flowPort>> T :


: Brake

<<flowPort>> T :


EmergencyStop

MotionCommand

Override

BrakeControl

BrakeControl

EmergencyStop

Override

MotionCommand

Override

<<delegate>>

<<delegate>>

<<flowPort>> M :MotionStatus<<flowPort>> M :MotionStatus

TorqueControl :CurrentTorqueControl :Current

<<flowPort>> T:Torque<<flowPort>> T:Torque

TorqueTorque

<<flowPort>> T:Torque

<<flowPort>> BrakeT :

: Wheel


<<flowPort>> BrakeT :

<<flowPort>> MS :MotionStatus<<flowPort>> MS :MotionStatus

StatusInformation

StatusInformation

<<delegate>>

<<flowPort>> FOut:Force

<<flowPort>> BrakeT :Torque

<<flowPort>>Tout :Torque

<<flowPort>> FOut:Force

<<flowPort>> BrakeT :Torque

<<flowPort>>Tout :Torque


<<flowPort>> A :Angle

: Encoder


<<flowPort>> A :Angle

EmergencyStop EmergencyStop

162012/03/19 <<flowPort>>F :Force<<flowPort>>F :Force

<<flowPort>> Encoder :Angle<<flowPort>>

FOut :Force

<<flowPort>> Encoder :Angle<<flowPort>>

FOut :Force

論理コンポーネント図（SysML 内部ブロック図） ibd [Package] Wheelcha ir [120 Log ica l cont rol ler int erna l b lock d iag ram]

Left : LogicalController

<<flowPort>> O :ObstacleInformation<<flowPort>> O :ObstacleInformation

<<flowPort>> Theirs :PartnerStatus

<<flowPort>> Mine :PartnerStatus

: PartnerMonitor





: SafetyMonitor



ObstacleInformation


ObstacleInformation



<<flowPort>> SS:SensorStatus


<<flowPort>> SS:SensorStatus

: UserInterfaceControllerStatusInformation<<delegate>>







<<flowPort>> BS :BrakeStatus


<<flowPort>> BS :BrakeStatus


<<flowPort>> MO :MotionStatus


<<flowPort>> MO :MotionStatus


StatusInformation

Override

EmergencyStop

MotionCommand

Override

EmergencyStop

<<flowPort>> SL :SafetyLevel



<<flowPort>> M :MotionStatus SafeMotionCommand

MotionCommand

Override

EmergencyStop

MotionCommand

: MotorController


: CommandProcessor


MotionCommand

Override

EmergencyStop

MotionCommand

SafeMotionCommand

g y p

MotionCommand

<<delegate>>

<<flowPort>> C :MotorControlSignal



<<flowPort>> Control :Current

<<flowPort>> C :MotorControlSignal



<<flowPort>> Control :Current

<<flowPort>> C :MotorControlSignal<<flowPort>> C :MotorControlSignal

MotionCommand

172012/03/19 <<flowPort>> Resolver :Angle <<flowPort>> TorqueControl :Current<<flowPort>> Resolver :Angle <<flowPort>> TorqueControl :Current

MotionStatus <<flowPort>> Control :CurrentMotionStatus <<flowPort>> Control :Current

トレサビリティの表示（TERAS）トレーサビリティの表示（TERAS）

18

ムービー1：「ドキュメントトレーサビリティ」ムビ 1：「ドキュメントトレサビリティ」

192012/03/19

ムービー2：「下流影響範囲の検索」の具体例ムビ 2：「下流影響範囲の検索」の具体例

202012/03/19

まとめまとめ

• 先行開発から量産開発へスムースにつなぎ，機能安全に対応するためのトレサビリティ機能安全に対応するためのトレーサビリティ（ＴＥＲＡＳ）の有効性が見えてきた

• 何のために，何のトレーサビリティをとるのかが重要が重要

• 説明力の向上にはさらに工夫が必要• 説明力の向上には，さらに工夫が必要

トレサビリティツルは「知の道具」• トレーサビリティツールは「知の道具」

212012/03/19

ご清聴ありがとうご清聴ありがとうございましたございました

222012/03/19

teras conference

Technology