日本型すり合わせ開発の国際 標準化(採択決定!)

日本型すり合わせ開発の国際
標準化(採択決定!)
電気通信大学大学院 情報システム学研究科 松野裕
持続可能なモノづくり・人づくり支援協会(ESD21)セミナー 2015.03.10 ©松野裕
内容
•  背景とこれまでの経過 •  OMG Dependability Assurance Framework for Safety-­‐SensiGve Consumer Devices (DAF) •  実証実験: ISO26262への適用
背景
•  トヨタ大畠明氏の基調講演がOMG(Object Management Group)で行われた(2010.9.22)
OMG @ Hyatt Regency Cambridge
Systems Assurance and
Behavior Modeling :
Requirements for OMG
September 22nd, 2010
Akira Ohata
TOYOTA MOTOR CORPORATION
hQp://sysa.omg.org/docs/Sep10/OMG_Sys_assurance100922.pdf
提案内容
•  工場等で用いられるシステムではなく、我々
の身の回りで用いられるシステム、 コンシューマデバイスのディペンダビリティを
保証(Assurance)するフレームワークをOMGで
標準化 (ISOへのFast Track) •  課題 –  変化する、多様な環境と利害関係者 –  複雑化・ネットワーク化 システムのオープン化 DEOSコンソーシアム 所真理雄 Sony CSL Founder (www.deos.or.jp)
提案内容
•  MBD(Model Based Development) •  繰り返し開発(アジャイル?) 複雑化・ネットワーク化、変化への対応 •  メタモデルによる用語定義(産総研田口氏) •  アシュアランスケース(松野) 利害関係者の合意形成(すり合わせ開発) アシュアランスケースのメタモデル(SACM)を標準化しており、 自動車分野への進出を目指すOMGと、規格策定を進めることに 合意 → OMG System Assurance Task Forceで標準化活動開始 ディペンダビリティ Dependability
•  安全性や可用性を総合した概念 ttributes.
図 1: コンシューマデバイスは、安全性は勿論、 ディペンダビリティとセキュリティの属性
可用性など他の属性も要求される
hQp://ocvs.cfv.jp/tr-­‐data/PS2009-­‐008.pdf
service.
• 可用性:正しいサービスによって即応できる
アシュアランスケースとは
•  システムが与えられた適用先と環境で、十分に ディペンダブル(安全、…)であることを提供するド
キュメント エビデンス ゴール エビデンス エビデンス 例: システムは安全である
例: FTA(Fault Tree Analysis) の結果 など
議論の構造 2013/07/31
© 2013 D-­‐Case委員会
7
アシュアランスケースの背景
•  1988年の北海油田事故(167名死亡)などを契機に、欧米で規
格認証の際に提出が義務付けられるまでに普及
–  手順のみでなく、なぜ安全性が保たれるのか、明示された議論で、エ
ビデンスをもとに保証する
–  導入により北海油田における事故が減少
•  Prescriptive(宣言的) と Goal Based(ゴール指向)
–  Prescriptive:認証者から与えられたチェックリストをチェックする
–  Goal Based: 要求される安全ゴールを満たしていることの議論を構築
する
–  ISO26262などGoal Basedな認証を要求している
2013/07/31
© 2013 D-­‐Case委員会
8
イギリスでの実績
•  “Using safety cases in industry and health care”, UK Health FoundaGon, 2012.12 –  高安全分野、医療分野におけるSafety Caseの実
績を分析 •  商用飛行機、自動車、防衛、原子力、石油化学、鉄道、
医療器具、健康管理 http://www.health.org.uk/publications/
using-safety-cases-in-industry-andhealthcare/
アシュアランスケースの呼び方
•  日本語だと保証ケース? –  Caseは法廷用語で、証拠書類などの意味 •  安全性を議論する場合は Safety Case, ディペンダビリティを議論する場
合はDependability Caseと呼ばれる Safety Case Dependability Case アシュアランスケース
Security Case …
アシュアランスケースの例
①議論すべき 命題を設定し
システム
ゴール は安全で
ある
前提
戦略
ゴール
ハザード リスト A,B
②きちんと前提を 共有した上で
ハザードごと
に議論する
ハザードAに
対処できる
モニタ
リング
結果
証拠
③議論の流れ (ゴールからサブゴール) を確認し ハザードBに ゴール
対処できる
④議論を展開し
テスト
結果
証拠
GSN(Goal Structuring NotaGon)という表記法で記述
⑤確かな証拠 によって最終的に ゴールを支える
Contributors
・ Consumer Device Safety StandardizaGon Working Group, InformaGon-­‐technology PromoGon Agency,Japan (IPA,Japan)
Seiichi Shin, Chair, The University of Electro-­‐CommunicaGons, SICE, Masamichi Nakagawa, Panasonic CorporaGon, Makoto Sekiya, HONDA, Hiroo Kanamaru, Mitsubishi Electric, Nobuyasu Kanekawa, Hitachi, Ltd., Yoshihito Sakamoto, IBM Japan, Susumu Akiyama, DENSO, Seigo Kotani, TCG, Daisuke Soma, CAV Technologies, Ltd., Seiko Shirasaka, Keio University, Kenji Hiranabe, Change Vision, Inc., Hitoshi Arima, dSPACE Japan, ・ Fujitsu Limited Hiroshi Miyazaki ・ AIST Kenji Taguchi, Geoffrey Biggs, Tetsuo Kotoku, Yoshihiro Nakabo, ・ IPA, Japan Isashi Uchida ・ TOYOTA Motor CorporaGon Akira Ohata, Naoya Ishizaki ・ The University of Electro-­‐CommunicaGons Yutaka Matsuno, ・ KDM AnalyGcs Djenana Campara, Nicholai Mansourov Main Contributors
・ Safe AutomoGve soFtware architEcture ConsorGum (SAFE)
内容
•  背景とこれまでの経過 •  OMG Dependability Assurance Framework for Safety-­‐SensiGve Consumer Devices (DAF) •  実証実験: ISO26262への適用
DCM(Dependability Concept Model)
•  システムの定義
用語間の関係を明確化すること により、規格の曖昧さを排除、 利害関係者の合意形成支援 を行う
DCM(Dependability Concept Model)
•  Proven In Useの定義
Proven In Use の候補となる 既存部分
Proven In Use の基準
システムの既存部分を、その 使用実績(Field Record)、 開発実績(Development Record) をもとにその安全性などを保証する 考え方
DPM: Dependability Process Metamodel
モデルベース開発と アシュアランスケース 構築を同時に行う DAC (Dependability Assurance Case) Template
•  基本構造
トップ構造
Proven in Use による既存部分 の議論
変更部分 の議論
システム 全体の議論
DAC (Dependability Assurance Case) Template
•  DAC Templateによるすり合わせ開発
自動車の アシュアランス ケース
トップ構造
Proven in Use による既存部分 の議論
変更部分 の議論
システム 全体の議論
トップ構造
すり合わせ開発 部品やモジュールを独自に設計し,互いに 調整しながら組み合わせることで,高品質な 製品をつくりあげる作業または業務プロセス 東京大学 藤本隆宏教授
Proven in Use による既存部分 の議論
変更部分 の議論
エンジンが 更新される 場合の アシュアランスケース システムそれぞれの レベルの開発企業 がDACテンプレートを 用いることで、 すりあわせをする
エンジンの アシュアランスケース
システム 全体の議論
内容
•  背景とこれまでの経過 •  OMG Dependability Assurance Framework for Safety-­‐SensiGve Consumer Devices (DAF) •  実証実験: ISO26262への適用
実証実験
•  DAFの有効性、適用性の実証実験を実施中 •  ISO26262を例にとり、(仮想の)ABSシステム
が適合しているか、DAFを用いて認証ドキュメ
ントを作成 –  既存のABSシステムに、カーブ進入時における 機能を追加する、差分開発を想定 実証実験の流れ
DPMにそって、 モデルベース開発を したと想定し、 SysMLモデルを 記述
DACテンプレート 用いて、ISO26262 認証のための セーフティケースを 作成
SysMLモデルを 用い、ハザード 分析等を行う ISO26262の専門家による 評価
比較
DACテンプレート 用いないで、ISO26262 認証のための セーフティケースを 作成
SysMLモデルの記述 機能追加前
•  一般要求(要求図) •  ユースケース –  ユースケース図 –  ユースケース記述 •  論理アーキテクチャ –  論理アーキテクチャ(システム構造) –  論理アーキテクチャ(システム構成) • 
• 
• 
• 
ハザード分析 機能安全要求導出 要求一覧 システム仕様 –  ステートマシン –  機能定義 22
現状の進捗
•  仮想ABSシステムのSysMLモデル記述、ハザード 分析を試行 •  DACテンプレートを用いた場合、用いない場合を
作成 •  ISO26262の専門家にレビューしてもらった –  First Impressionは好評 –  しかしISO26262特有の議論を表現するのは十分では
ないとのコメント •  SysMLモデルと、アシュアランスケースは対応が
まだ明確ではない コメントをもとに、改訂中
まとめ
•  日本発の、コンシューマデバイスの ディペンダビリティ保証フレームワーク •  3つの構成要素 –  DCM(Dependability Concept Model), DPM(Dependability Process Model), DAC(Dependability Assurance Case) Template •  ISO 26262への適用実証 –  実証に基づく国際規格策定を目指す
24