株式会社不二越様

IEC 61508の認証に向けての取り組みのスタート

• 株式会社不二越 ロボット事業部様は、2004年頃から産業用ロボットの機能安全認証に対する取り組みを開始し、既にあったISO 9001品質マニュアルをベースに、機能安全認証の要求に合わせたプロセスやドキュメントを整備する活動からスタートしました。この経緯について伺いました。

• – 4年ほど前になりますが、最初に弊社の単体テストツールをご検討頂いた当時、先にIEC 61508認証について活動を進められていたと伺っていますが、その当時の状況はいかがだったのでしょうか？

• 浜畑様：
  最初は、IEC 61508の認証を行っている外部の企業から情報を得る所から始めました。例えば、カバレッジ計測やその他テストツールにどのようなものを使っているかを聞き出して、そこから、カバレッジマスターやその他の静的解析ツールのことを知りました。
• 

• – それは、御社と同じような産業用ロボットを開発されている会社からですか？

• 浜畑様：
  いいえ、安全機器を開発している他業種のメーカー様からでした。当時、弊社はまだツールに関する情報をあまり持っていませんでしたが、あるメーカーの方から「こんなツールがあるよ」と言う紹介を受けたと記憶しています。ちょうど展示会（組込みシステム開発技術展）がありましたので、ガイオさんのブースで現物を見て、使って見ようかという事になったと思います。

• – 弊社のツール以外では、IEC 61508の認証に向けてどのような取り組みをされたのでしょうか？

• 浜畑様：
  まず、当時は、何から手を付けたら良いのかがさっぱり分からない状態でしたので、どのようにすれば良いかについて、自分自身が考えた方法で合っているかを、認証機関に相談し確認することから始めました。例えば、ISO 9001の品質マニュアルや標準ドキュメント等が既にあったのですが、これをベースに機能安全に適するドキュメントを整備するためには、認証機関との間で、どのようなやりとりが必要か、どのような手順が必要かとかを、IEC 61508の原文を読んだ上で相談に行きました。このようにして、不二越独自のマニュアルに仕上げてゆく事からスタートしました。

• – そのような認証機関とのやりとりなど、専任の方がかかりっきりで行うような状態だったのですか？

• 浜畑様：
  最初は、品質マニュアルに近い所を扱っていたので、マネージャーが中心となって、マニュアルを仕上げてゆく活動を行っていました。ISO 9001の品質システム全体と、機能安全の内容とどこが違うのか、どこを直さなければならないのかを開発関係者全員で仕上げました。
  マニュアルを直すために、どう取りかかって行くかを計画しながら、それと並行して、安全機器を作っているメーカーさんから情報を得る活動をしていました。当時は、海外では安全ネットワークと言うのが流行りだしていましたので、国内でもその動きがあり、情報をやりとりする場となっていました。
  安全に関するワーキンググループにも加わり、情報収集をしました。メーカーによって安全システムは別々の物ですので、その中身まで聞くことはできないのですが、何をプラスして行けば良いかとか、全く知らない内容に付いては素直にどうすればよいのかを技術者レベルで意見交換していました。

• – このお話は、今から5年ほど前だと思いますが、取り組み自体が2005年頃から始まったと言うことでしょうか？

• 浜畑様：
  丸々2年くらいはこの活動をやったと思います。カバレッジマスターを購入した時より１年以上前からスタートしていますので、やり始めたのは2004年から2005年にかけてでした。このときは、まだ国内の安全性に関するワーキンググループで認証の話は出ておらず、ヨーロッパのワーキング活動が有名だったので、そこにも聞きに行ったりしていました。これがスタートした当時の状況です。

• – IEC 61508のAppendixの中には、このような技法を使いなさいとか、ツールを使いなさいとかがあったと思いますが、
  不二越様のなかで取り組んだことは何かありますか？

• 浜畑様：
  全て初めてだったので、認証機関の方には「どうすればよいでしょうか？」ではなく、「このような方法でやろうと思っているがどうでしょうか？」と言う聞き方で情報を聞き出していました。SIL安全レベルの規定には行わなければならないことが多く書かれているのですが、全てやった訳ではなく、安全レベルを満たす項目を選択して、選択した内容がそれでよいかを確認したと言う感じでした。

機能安全認証に向けてのソフトウエアテストについて

• 株式会社不二越 ロボット事業部様には、ソフトウエアの単体テストツールとして、ガイオの「カバレッジマスターwinAMS」を採用頂いております。このツールを検討したきっかけや採用のポイントについて伺いました。

• – ソフトウエアのテストと言う部分では、どのように進めて行ったのでしょうか？

• 浜畑様：
  テストについて検討したのは、活動のかなり後の方でした。カバレッジマスターを購入した2006年頃は、既に機能安全の導入プロジェクトでソフトウエアのかなりの部分は作っていました。ソフトウエアテストについて考えたのは、仕様書を書く段階あたりでした。規格の中には、最初に機能安全要求仕様書がありますが、そこにはどのようにして安全を実現するかを書かなければならないのです。この中で、例えばどのようにメモリチェックを行って、どのように安全を実現するかを書く必要があり、その後、テスト計画書を作る際に、単体テストツールとして採用したカバレッジマスターや、静的解析ツールの名前などを書いて行きました。

• – カバレッジマスターwinAMSはどのような所が、御社のテストにインパクトがあったのでしょうか？

• 杉岡様：
  ソースコードをできるだけ書き換えずにテストが行える所だと思います。関数の単体テストを行う際には、これまでは関数を抜き出して、関数をコールする別のプロジェクトを作って、引数にデータを与える様なコードを書いて、単体テストを行っていました。ここに大きな手間がかかっていたのですが、カバレッジマスターだとほとんど手間がかからなかった所が大きいと思います。このツールにより単体テストを行う範囲で、認証会社からもOKという評価を得ることができました。

• – 認証という観点では、弊社のカバレッジマスターは御社にどのように役に立っているのかをお聞かせ頂けませんか？
  使ってみて、何か現場の意識に変化が起きたなどでも結構ですが。

• 杉岡様：
  組込みシステムで実オブジェクトを使ってカバレッジが計測できると言うツールは、今までに無かったと思います。パソコンでデバッグや確認をする分には十分やれていましたが、これはあくまでパソコンレベルであって、マイコンレベルにまでは手が届いてなかったと思います。これが実現できるツールであった事が、大きなポイントだったと思います。
  従来は、カバレッジを計測することにあまり意識が向いていなかったかも知れません。ですが、カバレッジマスターを使うことで、C0は100%、C1は可能な限りと言う様な網羅性を確保しようと言う意識ができたと思います。

機能安全認証を通じて得られたソフトウエア品質改善効果

• カバレッジマスターwinAMSを使用した単体テストは、認証に対する成果はもちろんのこと、開発者の品質に対する意識改善にも効果がありました。どのように品質改善に結びついたのかを伺いました。

• – 認証をきっかけにカバレッジマスターを適用することで、コードを網羅テストすると言うことでは、効果があったと言うことですね。

• 杉岡様：
  そうですね。その他では、結果が残ることや、テストレポートを定式化できることも、カバレッジマスターの適用効果としては大きいと思います。
• 

• – 認証に必要な単体テストのエビデンスは、どのようにして作成したのですか？

• 杉岡様：
  カバレッジマスターから出力されるカバレッジ計測結果や入出力テスト結果のCSVファイルをそのまま添付する形で対応できました。ですから、特に大きく手を加える様な手作業は必要ありませんでした。

• – 全ての関数に対して、テストを行いレポートを作成したと言うことですか？

• 杉岡様：
  そうです。全ての関数のレポートを作りました。結構な紙の束になりました。この時の認証対象は、安全機能の部分だけでしたので、規模としては、200～300関数でした。認証機関から、レポートのフォーマットに関しての指摘などは無かったですね。決められたテストがきちんと行われていることの確認が中心でした。

• – IEC 61508の認証をきっかけに単体テストを行ってみて、何が効果的だったのでしょうか？

• 杉岡様：
  単体テストの取り組みは、やはり結果が定量的に出たことが、ソフトの品質を考える上では良かったと思います。数字が出ることで達成感もありました。テストの工程で見つかった不具合もいくつかありました。
  テストケースを考えることが、パスや分岐を見ながらソースコードをもう一度チェックする良い機会になったことは確かです。テストケースを作りながらソースを眺めている間にバグを見つけることができましたので、カバレッジマスターの適用をきっかけに、単体テストに取り組んだことは、認証目的以外にもプラスに傾いていると思います。

• – 設計者の品質意識が変化したと言うことはありませんか？

• 浜畑様：
  確かに、設計者の品質意識は上がりました。IEC 61508の規格を読むことで、ソフトウエアだけでなくハードウエアについても多くのことが書かれていて、この内容を認証で必要な事と捉えるだけでなく、開発をチェックする手法として、今後も活かして行こうと考えるようになったと思います。
  例えば、FMEAの場合であれば（FMEA= Failure Mode and Effect Analysis、故障モード影響解析）、信頼性だけでなく安全性を考える部分でのプラスアルファがあり、品質に良い方向に働いていると思います。ソフトだけでなくハードウエアの部分にも同様のことがあります。

ハード、ソフト両面での安全性に対する取り組み

• 今回の機能安全認証を適用した製品は、有人ラインでの産業用ロボットの安全性を確保するためのユニットに対してでした。安全性の設計とはどのようなものか、また産業環境におけるロボットの安全要求事項であるISO 10218との関わりについても伺いました。

• – 今回の認証ではソフトとハードではどのくらいの工数配分だったのですか？

• 浜畑様：
  認証のための安全の設計は、ソフトとハードを合わせてどうするかで決まるものなんです。工数ではソフトウエアの設計が8割くらいで、非常に膨大です。テストの工程は、ソフトとハードで半々位でしょうか？IEC 61508では、故障モードでどうなるかのテストがあり、ハードのテストでは、部品が壊れたことを想定して、一点一点部品を外す、壊すと言うのを地道に行うのがあって、ソフトウエアで言えば、カバレッジを一行一行通して行くのと似ているのではないかと思います。
  認証のための安全の設計は、9割アイデアなんです。と言うのは、どうやって安全を立証するかという最初の考え方だけでほとんどが決まってしまうということなんです。それが決まってくれば、後はソフトであれば、カバレッジマスターなどツールを使って、テスト項目を淡々とテストして行く感じです。

• – 産業用ロボットの場合、ハード、ソフトに各々安全に関する機能が組み込まれると思いますが、今回の安全認証の対象になったのは、どのようなユニットなのですか？

• 浜畑様：
  機械の部分は本来は頑丈であればよいということが基本であり、色々な動作範囲を取りますので、これをエレキの部分やソフトにより安全性を確保するしかありません。今回のIEC 61508認証を受けることになった機能ユニットは、ソフトウエアでこの動作範囲を守る部分です。

• – 御社のロボットは、無人ではなく有人の製造ラインでも使われているのですよね？有人ラインに関するロボットの認証には、他の規格もあったと思いますが？

• 浜畑様：
  そうなんです。この分野にはISO 10218（産業環境におけるロボットの安全要求事項）があります。今回はIEC 61508から始まったのですが、これはそのままISO 10218に展開していて、有人ラインで、人とロボットが共存している所で、人とロボットの境目をゼロにしようと言う考え方が求められます。
  
• 

• 今回の認証対象の製品は、安全性を二重に付加するためのものです。通常のロボットにも当然安全性設計は入っていて、位置、速度、トルクを別に監視して、有人ラインでの安全性を二重にチェックするような部分になります。ロボットには、各動作部分に異常検知装置が付いており、通常はその異常検知が働くため、安全にできているのですが、今回のものは、さらにこれを監視して安全性を確保するユニットです。

• – 最後に、カバレッジマスターに話を戻しますと、何か使う上で不満があったと言うことはありませんか？

• 浜畑様：
  テストケースが膨大になると、実行時間が長いのが強いて言えば不満かも知れません。カバレッジマスターは元々、ツールとしてしか見ていなかったので、機能面がどうこう言うことは考えませんでした。ですが、結果的には、今回の認証のためのツールとして、ピッタリはまったと言う感じです。

• – これから機能安全認証を受けようとされている企業の方々に、非常に貴重なお話を頂けたと思います。
  ご協力を頂きまして、大変ありがとうございました。

まとめ

• 今回、不二越様へのインタビューでは、高い信頼性と安全性を両立させるための様々な取組みや工夫についてお話を伺うことができました。その中で機能安全規格への対応において、確実な単体テストを実現するという不二越様のニーズに、カバレッジマスターが応えることができたとのコメントを頂きました。
  今後ともガイオ・テクノロジーは、お客様による機能安全規格へのご対応を確実にご支援できる様、最適なツールとソリューションを展開して参ります。　（ガイオ・テクノロジー営業部）