11.16 , ET2012
D-Caseの必要性
山本修一郎 DEOS Project,
名古屋大学
©  2012 Dependable Embedded OS R&D Center
(2)
主な話題
n 
ディペンダビリティケースの必要性 n 
D-­‐Caseエディタ n 
D-­‐Case導⼊入ガイドラインの概要 n 
適⽤用事例 n 
今後の予定
©  2012 Dependable Embedded OS R&D Center
(3)
組込みシステムとディペンダビリティケース
組込み
システム
証拠
合意
安全性
要求
安全性
ケース
ディペンダビリティケース
©  2012 Dependable Embedded OS R&D Center
主張
(4)
ISO 26262における安全性ケース
n 
n 
n 
n 
ISO_26262 ⾃自動⾞車車 機能安全 パート10 n  機能安全についてのガイドライン n  5.3節「安全性ケースについて理解する」
安全性ケースを記述する⼿手法 n  GSN n  CAE(Claims-­‐ Argument-­‐ Evidence ) 安全性の議論 n  開発対象システムとしてのプロダクトについての議論 n  システム開発やアセスメントのプロセスについての議論 安全性ケースの開発ライフサイクル n  安全性ライフサイクルと統合された反復的な活動 (参考)ISO_26262-10_2012(E)- Road vehicles ̶ Functional safety ̶
Part 10:Guideline on ISO 26262
©  2012 Dependable Embedded OS R&D Center
4
(5)
ISO/IEC 15026 保証(アシュアランス)ケース
n 
n 
n 
n 
保証ケースの構造と内容に対する最低限の要求を規定
保証ケースの内容
n  システムや製品の性質に対する主張
(claim)
n  主張に対する系統的な議論
(argumentation)
n  この議論を裏付ける証跡
(evidence)
n  明示的な前提
(explicit assumption)
議論の過程で,補助的な主張を用いることにより,最上位の主張に対し
て証跡や前提を階層的に構成
ディペンダビリティに対する保証ケースがディペンダビリティケー
ス
参考) ISO/IEC 15026-2:2011, Systems and Software engineering—Systems and Software
assurance—Part2: Assurance case
©  2012 Dependable Embedded OS R&D Center
5
(6)
ディペンダビリティケースの例
G1
列車運行の
安全性が保
証されている
GSN ‒ Goal Structuring Notation
ゴール(主張)
戦略
業務の
危険性分析
事故の
予見性分析
S1
業務上の危険行為
への対策による論証
G2
安全運行速度が
制御されている
S2
危険な現場への
ATS設置による論証
G3
組織安全文化が
醸成されている
S3
危険な自然現象
への対処による論証
危険な現場
一覧
G4
危険な現場に自動列
車停止装置(ATS)
設置 されている
危険な自然
現象一覧
前提
保留
Sn1
列車運転
業務設計
©  2012 Dependable Embedded OS R&D Center
Sn2
ATS設置
完了報告書
根拠となる証拠
(7)
ディペンダビリティケースの⽤用途
n 
n 
n 
n 
環境と相互作用するシステムや製品が持つ不確実性やリス
クに対してシステムや製品が望ましい性質を持ち,危険な状
況に陥らないことを保証 ディペンダビリティケースを作成した結果にも,主張が持つ
性質の影響度とその不確実性を反映
主張に含まれる不確実性を関係者が許容できるかどうかを
ディペンダビリティケースの作成を通じて議論
システムや製品の開発プロセスにおける計画や,生産物,
人間活動,意思決定などに対する保証
©  2012 Dependable Embedded OS R&D Center
7
(8)
期待効果
①主張するサービス⽔水準を保証するための証跡を提供 ②システム異常の検出と修正の早期化
③開発・運用プロセスと生産物のリスクに対する客観的な管理の
推進
④システム安全性(ディペンダビリティ)の影響評価の早期化
⑤システムの要求適合性に対して,客観的な証跡に基づく確認・
保証プロセスの提供
⑥システム開発・運用プロセスを統合的に確認できるモデルを提
供することによるプロセス改善
©  2012 Dependable Embedded OS R&D Center
8
(9)
ディペンダビリティケースの効果例
現状の開発・運用
生産性
品質の向上
システム
障害
修正・確認
生産性,
品質の向上
開発運用
文書
文書情報
改善
活動
システム
開発運用
文書
主張
コンテクスト
証跡
実行結果
修正・確認
妥当性確認
議事録
©  2012 Dependable Embedded OS R&D Center
ディペンダブルな開発・運用
ディペン
ダビリ
ティケー
ス
主張の妥当性を
客観的に論証
議論展開
9
(10)
ディペンダビリティケースの構成例
開発運用プロセス
SLCP
ITIL
要件定義
要件定義 D-Case
設計
設計D-Case
製造
製造D-Case
試験
試験D-Case
サービス戦略
サービス戦略D-Case
サービス設計
サービス設計D-Case
サービス移行
サービス移行D-Case
サービス運用
サービス運用D-Case
継続的サービス改善
サービス改善D-Case
開発D-Case
運用D-Case
参考) ISO/IEC 12207, IEEE Std 12207-2008, Systems and software engineering — Software life cycle processes
iTSMF, ITIL V3 Foundation Handbook, 2009
©  2012 Dependable Embedded OS R&D Center
10
(11)
D-­‐CASEエディタ
©  2012 Dependable Embedded OS R&D Center
(12)
D-­‐Caseエディタ:ディペンダビリティケースの編集ツール
http://www.dependable-os.net/tech/D-CaseEditor/
©  2012 Dependable Embedded OS R&D Center
(13)
D-­‐Case統合環境の構成例
① D-Caseを対話的に編集
②モデル構成に基づきD-Caseの部分木(テンプレート)を生成
③ D-Caseモジュールと対象責任者の範囲を管理
④システムの運用状況を提示するモニタインタフェースを提供
⑤問題状況に対するD-Caseの責任範囲を提示
開発済
開発予定
⑤説明責任遂行支援系
A
モデルベース
開発環境
②
D-Case
生成系
テンプ
レート
①
D-Caseエディタ
③
D-Case管理系
モジュール
責任範囲
④
D-Case
監視系
B
運用環境
モニタ
注)A,Bについては,既存の標準的環境を想定
©  2012 Dependable Embedded OS R&D Center
13
(14)
D-­‐CASE導⼊入ガイドラインの概要
©  2012 Dependable Embedded OS R&D Center
(15)
D-­‐Case⼊入⾨門
編
内容
⾴頁数
背景編
オープンシステム・ディペンダビリティ 要求⼯工学概論 ディペンダビリティ標準規格 システムリスク分析
14 16 12 16
基礎編
アシュアランスケース概論 D-­‐Case作成法
10 26
応⽤用編
D-­‐Case演習 議論分解パターン D-­‐Caseエディタの使い⽅方
15 15 4
©  2012 Dependable Embedded OS R&D Center
(16)
議論分解パターン(1) Bloomfieldによる分類
分解
説明
システム分解 システムを構成するサブシステムごとに,主張が成立することを確認
機能分解
システムの機能構成に基づいて,下位機能システムごとに,上位機能
の主張が成立することを確認
属性分解
対象が持つ属性ごとに,対象の主張が成立することを確認
帰納分解
第1段階で主張が整理することと,第N段階で主張が成立するとき第N
+1段階でも主張が成立することを確認
完全分解
主張がそれらのすべての要素で成立することを確認
単調分解
既存システムの問題点を将来システムで解決することに限定された主
張について確認
具体分解
対象が持つ曖昧さが解消されているという主張を確認
©  2012 Dependable Embedded OS R&D Center
(17)
議論分解パターン(2)
分解
プロセス分解
階層分解
DFD階層分解
プロセス関係分解
ECA分解
条件判断分解
代替案選択分解
矛盾解決分解
ビュウ分解
©  2012 Dependable Embedded OS R&D Center
説明
プロセスの入力,処理,出力に対して主張を分解
システムの階層構成に基づいて,主張を分解
DFDの階層構成に基づいて,主張を分解
先行プロセスと後続プロセスの関係に基づいて主張を確認
イベント,条件,活動に対して主張を分解
条件判断に対して,主張を分解
代替案選択に対して,主張を分解
矛盾とその解決策に対して,主張を分解
ビュウ構成に基づいて,主張を分解
(18)
オペレーションへの適⽤用事例
©  2012 Dependable Embedded OS R&D Center
(19)
D-­‐Caseによる運⽤用⼿手順の適⽤用評価
n 
運⽤用作業⼿手順に対して、D-­‐Caseを作成 n 
n 
n 
スパコン運⽤用⼿手順(Asis) 運⽤用作業についての議論を構造化、改善点の発⾒見見を容易化 改善点の指摘事例 1. 
2. 
3. 
4. 
5. 
証跡がない ディペンダビリティの議論がない ディペンダビリティの基準がない コンテクスト情報が不⾜足している ディペンダビリティ対策が不⼗十分である ©  2012 Dependable Embedded OS R&D Center
(20)
アーキテクチャへの適⽤用事例
©  2012 Dependable Embedded OS R&D Center
(21)
組込みシステムの論理参照モデル
アクチュ
エータ
ユーザ
ユーザ
I/F
環境
制御装置
センサ
被制御装置
©  2012 Dependable Embedded OS R&D Center
(22)
ディペンダビリティケース アーキテクチャ
水準
説明
プロダクト
プロセス
概念
論理機能を定義
概念プロダクトに対
する安全性の議論
概念開発
プロセス安全性の
議論
統合
機械・電子要素の
統合
統合プロダクトに対
する安全性の議論
統合開発
プロセス安全性の
議論
機能
機械・ソフトウェア・
電子回路への分解
機能プロダクトに対
する安全性の議論
機能開発
プロセス安全性の
議論
環境・ユーザ
システム安全性に対
して環境・ユーザとの
相互作用を確認
ユーザの振る舞いに
ついての仮定(運転手
の反応時間など)
環境条件(道路の傾
斜,路面状況,風速な
ど)
参考) Wagner, S.; Schätz, B.; Puchner, S.; Kock, P., A Case Study on Safety Cases in the
Automotive Domain: Modules, Patterns, and Models, Software Reliability Engineering
(ISSRE), 2010 IEEE 21st International Symposium on Digital Object Identifier: 2010 , pp.
269 – 278
©  2012 Dependable Embedded OS R&D Center
(23)
今後の予定
©  2012 Dependable Embedded OS R&D Center
(24)
D-­‐Case実証評価研究会の狙い
n 
n 
n 
D-­‐Caseの教育 D-­‐Case適⽤用⽀支援技術の研究 D-­‐Case統合環境の試⾏行行評価 D-Case技術
適用技術
導入上の課題解決
参加企業・法⼈人 個⼈人
D-­‐Case実証評価 研究会
ニーズ,導入上の課題
有効性評価
©  2012 Dependable Embedded OS R&D Center
24
(25)
D-Case実証評価研究会の開催計画
研究会の期間:2012年9月∼2014年3月
9月 10月11月12月
1月 2月 3月
4月 5月 6月
7月 8月 9月
研究会
月例(予定)
第1回(9/14)
実証委員会
1期実証
研修
2期実証
分析評価
教材改訂
専門委員会
D-Case環境-0
©  2012 Dependable Embedded OS R&D Center
D-Case環境-1
研修
分析評価
教材改訂
D-Case環境-2
D-Case実証評価研究会 入会申請,お問い合わせ先
名古屋大学 情報連携統括本部(担当:石原)
電話:052-789-4357
メール : ishiharam at icts.nagoya-u.ac.jp
D-Caseの必要性
⼭山本修⼀一郎 DEOS Project,
名古屋⼤大学
©  2012 Dependable Embedded OS R&D Center
ダウンロード

D-Caseの必要性