セーフティクリティカルな機能には信頼性が要求されるため、これらの機能を検証するためのテスト手法にも同様の信頼性が要求されます。道路車両用E/Eシステムの機能安全規格であるISO 26262では、安全性に関連する機能、コンポーネント、ECU単体、およびECUネットワークのテストにHIL(Hardware-in-the-Loop)テストを使用することを強く推奨しています。その理由は、HILテストが最高水準のテストとして、セーフティクリティカルな機能のテストに長年に渡って使用されてきたからです。
ISO 26262に準拠したテストの側面
- テスト方式の定義:適切なテスト方式を定義する必要があります。これには、テスト目的、テスト対象、およびテストレベル(ソフトウェアの単体テスト、ソフトウェアの統合およびテスト、ソフトウェアの安全要件の検証、アイテムの統合およびテストなど)に関する決定が含まれます。このテスト方式を実装するには、HIL(Hardware-in-the-Loop)シミュレータなどの適切なテスト環境を選択する必要があります。
- テスト環境の適切性検証:テスト方式を定義した後は、システム全体をテストすることにより、特定の安全関連プロジェクトで使用するHILシステムが適切であるかを検証する必要があります。このテストはシステムの組み立て後に行い、システムが使用されている間は繰り返し実行する必要があります。HILシステムがハードウェアとソフトウェアで構成されている場合は、両方を合わせて検証する必要があります。
- ツールチェーン全体の適切性の確保:HILテストシステムの検証に加え、ツールチェーン全体が定義したテスト方式の実装や意図したテストの実行において適切であることを保証する必要があります。ISO 26262に適合するには、使用するソフトウェアツールによって、プロジェクトの自動車安全度水準(ASIL)に応じた必要なレベルの信頼性が確実に確保されるようにすることが必要です。dSPACEでは、ASIL AからASIL Dまでの安全関連アプリケーションで使用するツールチェーンの適切性を証明するための分類手順や認定手順をサポートしており、HILテストの自動化向けにAutomationDeskを提供しています。このソフトウェアは、IEC 61508およびISO 26262に準拠した安全関連システムのテストツールとして、TÜV SÜD社から認証を取得しています。