トヨタ自動車株式会社様

開発に携わるドメインと業務内容について

• – 開発を担当されている車載システムのドメインと、業務内容を教えてください。

• 馬場様：
  当部（パワトレ電子システム開発部）では、自動車のパワートレーンを制御する電気電子部品を担当しています。
  エンジンやトランスミッションを動かすためのECUとその制御ソフト、センサーなど電子部品全般の開発を担当している部署です。
  なかでも私どものグループでは、通信や機能安全設計を担当しております。

• 谷島様：
  私は、自動車のエンジンやトランスミッション等、パワートレーンと呼ばれる部分の制御をするコンピュータの設計を担当しています。
  担当車種は幅広く、すべてのコンベンショナル（ハイブリッドではないガソリンエンジン、ディーゼルエンジンの自動車）車種のパワートレーンに搭載するコンピュータが対象となります。
  開発プロセスでいうと、制御担当は別でおり、様々な制御開発を機能安全の観点で推進する役割と部品としてのハードウェア部分での機能安全を推進する役割を担っています。
  
  弊社に入社当初は、制御コンピュータの中のミドルウエアを担当し、その後制御コンピュータのシステムエンジニアを担当してから、機能安全の対象部品が増えていくに従って、チームとして機能安全を対応する体制になり、そのチームの一員になり、現在に至ります。
  
  機能安全における業務範囲としては、TSC（Technical Safety Concept）、TSR（Technical Safety Requirement）を受け取って、SSR（Software Safety Requirement）とHSR（Hardware Safety Requirement）に分解するところが主なところです。

機能安全対応の経緯

• 谷島様：
  V字工程で言いますと部署としては過去から主にHSRを担当しており、従来行っていた主機能設計に加え、機能安全もカバーしていくようになりました。

• 馬場様：
  自動車分野の機能安全の標準規格ISO 26262への対応が2011年頃から始まりました。さらにさかのぼると、スロットルの電子制御が1990年代に広がった時期に当時、自動車の業界団体が中心となり安全設計の考え方をまとめる動きがありました。
  当時は、アクセル信号を多系統で取得し、マイコンの相互監視等により、故障が起きても、安全側となるように電子スロットルを多系統で出力制限を行うといった安全設計をしていました。

• 大西：
  電子制御という意味では、それこそ8bitとか16bitのマイコンの時代から対応されていたのですね。

• 馬場様：
  はい。安全設計は機能安全ISO 26262が規格化される前から当然ですが実施していました。過去からの安全設計の蓄積があったうえで機能安全にも対応したと言えます。機能安全（ISO 26262）の発行に備え、当時は原文を読みながら理解を深めましたし、E-GAS（欧州での機能安全に類した取り組み）ベースに欧州での安全設計もよく学びました。

• 大西：
  ISO 26262が発行される前から機能安全に関する対応をされていたとのことですが、ISO 26262だからこそ検討しなくてはいけない項目というものはありましたか？

• 馬場様：
  機能安全への対応としてドキュメントのトレーサビリティの確保が開発プロセスの上流から要求されます。機能安全のために開発行為自体は大きくは変えてはいないのですが、ドキュメントをしっかりと上流から分析して、かつトレーサビリティを確保しつつ、詳細設計や分析結果と紐づけていくことが当時は大変でした。

Safiliaに興味を持っていただいたきっかけ

• 大西：
  成果物間のトレーサビリティというのは、例えばIDを付与したりとか文書間のつながりということをより明確化することによって確保するということになると思います。一方で、今回ご利用いただいているSafiliaは、システムとしてどのようにSM（Safety Mechanism）を担保してそれを実際に実装の方につなげていくのかというところで使っていくツールになっていくかと思うのですが、Safiliaという製品にご興味いただいたきっかけを教えていただいてよろしいでしょうか。

• 谷島様：
  従来、トレーサビリティを人力で取っており、文書間をIDでつなげる形で対応しておりました。イメージとしては文書Aと文書Bの間を、同じIDが書いてあることによってトレーサビリティを確保する形です。システムが複雑になっていくのと、対象とする製品が多くなっていく中で、これを人力でやり続けることに限界を感じてきたとことと、より本質的な業務である安全を担保するためのセーフティーメカニズムの設計に注力していきたいという思いが強くなり、トレーサビリティを取ること自体はもっと人間の力を省けるようにしたい、ツールを使いたい思いが生まれました。

• 大西：
  SafiliaはSCDL準拠での記述がベースとなっていますが、従来は貴社の安全コンセプトはどの様な手法を使われて表現されていたのでしょうか。

• 谷島様：
  安全コンセプトにはSysMLのようなモデリング言語を使っていたわけではなくて、独自のブロック図を利用していました。そこもSafiliaの選定の理由の一つでした。SafiliaはSCDL（Safety Concept Description Language）という記述言語を使用しており、従来弊社が使っているブロック図を適用しようとしたときに、SCDLの方が（SysMLと比較して）分かりやすかったとも言えます。
  つまり、弊社の社内基準との親和性が高かったのがSCDLだったことが、Safilia採用の大きな要因となりました。

Safiliaの活用領域と嬉しさ

• 大西：
  開発において、どのような領域でSafiliaをご活用いただいているでしょうか。

• 谷島様：
  我々の部署で担当している工程でいうと、狭い範囲の工程になってしまうのですが、図と要求のトレーサビリティをほぼ自動でとってくれるというところに使っています。

• 大西：
  どのツールを使われてもお客様からお声をいただくことなんですけれど、結局トレーサビリティを取るには、自分でリンク貼らなくてはならないから結構大変だよとか、メンテナンスしづらいといったお声もあるのですが、そのあたりはいかがでしょうか。

• 谷島様：
  要求を追加したときに、いろんなビューに同時に反映され、双方向に自動に更新してくれる機能があると、トレーサビリティを取る観点でよりうれしいです。
  そういった観点でガイオさんに要望して実装していただいたビューで、ハイライト表示が実現できている部分もあります。
  要求間のつながりを今まで人力で見ていたところを、要求の上下関係が分かる、要求グループ単位に絞る、要求グループ同士の上下関係が分かるなどのハイライト表示を実装いただけたので、人力で安全コンセプト設計の結果を検証するための労力がかなり減ったことが、うれしいところです。

今後の活用方針

• 大西：
  今後、Safiliaをどのような形で活用いただくことを想定されているのか、また今後、御社の中でどのように、このツールが広がるポテンシャルがあるのかをお伺いできるでしょうか。

• 谷島様：
  開発プロセス全体を通して大きな効果を得るためにはやはり、各工程において前後の工程を巻き込むのが効果的だとは思います。
  しかしながら、ツールを普及させるとなると、なかなか大変な面があるかと考えています。

• 馬場様：
  我々の部署だけでなく、ドキュメントをやり取りする上流、下流の部署も活用する様になれば、全体を通したトレーサビリティが取れますし、要求の繋がりが変わったら、その下流工程で変化点を全部拾えると思っています。ただ、他の部署がツールを導入するかというと、既存資産がある状態だと、既存資産を少し修正した方が楽だという考えもあります。何かゼロから作るタイミングがあれば良いですが、部署をまたいで仕事をしているので、全部を変えていこうというのはなかなか難しいのが実情です。
  この様な状況ですから、我々がまず使ってみて、嬉しさを示していければ、周りも巻き込んでいけると考えています。

• 谷島様：
  我々の担当している工程の一番大きな部分がTSRからHSR、SSRに分解する工程になりますが、ソフトウェアの内部も弊社の中では細かく分担し、部署をまたいでいるので、機能安全ソフトウェアの全体像の文書を作ってSSRの詳述化は関係部署に依頼しています。こういった文書を作成する際にSafiliaのXMLデータを活用して省力化することで、工程間でうまみをもっと得られる様にしたいと考えています。
  
  ツールに求めるとするならば、現状はXMLでエクスポート機能を活用していろいろやろうと思っていますが、APIのようなものがあるともっと多様な使い方ができると思っています。
  1つのツールで機能安全のプロセスをトータルにカバーし、トレーサビリティを取るツールが世の中にはありますが、なかなかそういうツールを既存の開発プロセスを持っている会社で、そのまま適用するのは難しいと感じています。

• 馬場様：
  最近だと在宅での仕事が増え、レビューの場で昔のように紙に印刷して蛍光ペンでチェックし、新旧を並べて見たりといったことができなくなっています。私は、説明を受ける側で、レビュー対象の文書を画面にポンっと出されて説明が始まるのですが、複雑な内容になれば辛いです。Safiliaへの期待値としては、画面でチェックする立場からも、一目で差分がわかるとか、変更箇所が分かるとか、たまに先祖返りしたり、意図しないところが変わった、などを見やすくする機能があると嬉しいです。

• 大西、藤林：
  Safiliaの機能としては、既に有るものもありますが、まだ実装しきれていないものもあります。今後、Safiliaを更にご活用いただける様、御社へのサポートを継続させて頂き、レビュー時のSafiliaの利点が向上する様、使用方法も併せてご提案して参ります。

最後にメッセージ

• 馬場様：
  我々の部署ではデジタル化を一層推進したいと考えています。情報量も多いですし、人力や目視では限界があります。デジタル化で働き方を変えていく、そのようなツールを積極的に活用していきたいです。

まとめ

• 本インタビューでは、トヨタ自動車株式会社 パワトレ電子システム開発部様が、ISO 26262で求められる安全コンセプト設計や、成果物のレビューにどの様にSafiliaをご活用されているかお話を頂きました。ガイオ・テクノロジーとして、お客様のDX化を踏まえた上での、機能安全に関する成果物のトレーサビリティの確保や、ツールの有効活用のために、充実したサポートや提案活動を行ってまいりたいと思います。
• 

• 左からトヨタ自動車株式会社 パワトレ電子システム開発部 第21電子開発室 谷島様、馬場様

本稿に関するお問い合わせは

• 本ページ内容に関するお問い合わせは、ガイオ・テクノロジー営業部（ご購入前の製品についてのお問い合わせ窓口）までお願い致します。