Embed Size (px)
Citation preview
Copyright Prof. Dr. Shuichiro Yamamoto 2014 1
名古屋大学 情報連携統括本部 情報戦略室
教授 山本修一郎
2014.6.27 科研集会
話題
� アーキテクチャ記述言語ArchiMate
� GSNによるアーキテクチャの保証
� GSNと形式手法
Copyright Prof. Dr. Shuichiro Yamamoto 2014 2
Copyright Prof. Dr. Shuichiro Yamamoto 20143
分類 TOGAFアーキテクチャ開発フェーズ
ArchiMate コア
ビジネス・アーキテクチャ
情報システム・アーキテクチャ
技術アーキテクチャ
動機づけ拡張
準備
アーキテクチャ・ビジョン
アーキテクチャ変更管理
要求管理
実装・移行拡張
機会とソリューション
移行計画
実装・ガバナンス
ArchiMateのメタモデル
Copyright Prof. Dr. Shuichiro Yamamoto 2014 4
ビジネス
サービス
ビジネス
プロセス/機能/相互作用
accesses
realized by
realizes
accessed by
accesses
triggered by/ flow from
価値
プロダクト
契約
意味
ビジネス
対象
表現
ビジネス
イベント
場所
assigned toassigned from
assigned from
realized by
realizes
triggers
triggered by
triggers
triggeredby
associated with associated
with
aggregates
aggregated by
associated with
associated with
ビジネス
主体
ビジネス
役割
ビジネス
インタフェース
ビジネス
連携
uses
used by
assigned to
assigned from
aggreg-ated by
aggregates
used by
assigned from
assigned toused by/
composes
uses/composed of
assigned fromassigned to
aggreg-ated by
ArchiMateのアプリケーション層メタモデル
Copyright Prof. Dr. Shuichiro Yamamoto 2014 5
アプリケーション
サービス
アプリケーション
機能/相互作用
accesses
realized by
realizes
accesses
uses
データ
対象
assigned to
uses
triggers/ flow totriggered by/ flow from
accessed by
アプリケーション
コンポーネント
ビジネス
インタフェース
uses
used by
assigned from
aggregates
assigned to
composes
uses/composed of
assigned from
aggregated by
accessed by
used by
used by
アプリケーション
連携
例題:運転診断サービス
� ガソリン販売会社が提供する運転診断サービスでは、クラウ
ドを用いて給油所を利用する車の走行情報を分析することに
より、ドライバーの安全運転を支援する。
� 車に搭載した機器が急減速回数、アイドリング時間、燃料噴
射量など、あらゆる運転情報を集める。車が給油所に入って
エンジンを停止すると、無線ネットワークを用いることにより、
前回の給油時以降に記録していた運転情報を車載機器が給
油所内の機器に送信する。運転情報が給油所内の機器から
ネットワークを経由して、クラウドサーバーに送信されると、ク
ラウドサーバー上の運転診断サービスによって分析され、運
転診断レポートがスマホを通じてドライバーに提供される。
� ドライバーの運転技術を正確に判別できるので、保険会社と
連携して運転技術ランクに応じて保険料が変わる車両保険
を提供する。
Copyright Prof. Dr. Shuichiro Yamamoto 2014 6
運転診断サービスの能動構造要素の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 7
ビジネス連携
ビジネス役割
ビジネス主体
運転診断サービスのビジネス能動要素の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 8
ビジネス機能
ビジネス役割
ビジネスサービス
運転診断サービスの動機拡張モデルの例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 9
ゴール
要求
プリンシプル
ステークホルダ
ドライバ
運転診断サービスのビジネス対象と表現の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 10
ビジネスプロセス
ビジネスイベント
ビジネス対象
表現
運転診断サービスについての意味の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 11
意味
表現
運転診断サービスの価値の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 12
運転診断サービスのアプリケーション層モデルの例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 13
アプリケーション・
コンポーネント
アプリケーション・インタフェース アプリケーション・サービス
アプリケーション機能
データ対象
ArchiMateの技術層メタモデル
Copyright Prof. Dr. Shuichiro Yamamoto 2014 14
基盤サービス
基盤機能
accesses
realized by
realizes
assigned from
uses
成果物 assigned to
triggered by/ flow to
accessed by
ノード
基盤
インタフェース
uses
used by
assigned from
assigned to
assigned to
composes
composed of
assigned from
realizes
used by
used by
デバイス
システム
ソフトウェア
通信パス
realizes
ネットワーク
realized by
associated with
associated with
associated with
associated withassigned to
realized by
assigned from
accessed by
accesses
uses
triggers/ flow totriggered by/
flow from
運転診断サービスの技術層の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 15
ノード
デバイス
ネットワーク
システムソフトウェア
運転診断サービスの実装移行拡張モデル
の例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 16
ワークパッケージ
ギャップ
プレート
デリバラブル
Archimateのアーキテクチャ階層と視点
Copyright Prof. Dr. Shuichiro Yamamoto 2014 17
アーキテクチャ階層 視点
ビジネス層 組織,ビジネス機能,ビジネスプロセス
ビジネス層,AP層
アクタ協調,ビジネスプロセス協調,プロダクト,
AP利用,サービス実現
AP層 AP挙動,AP協調,AP構造
AP層,テクノロジー層 基盤利用,実装展開
テクノロジー層 基盤
ビジネス層,AP層,
テクノロジ層
概要,情報構造,階層,全体マップ
ステークホルダ,ゴール実現,ゴール貢献,プリ
ンシプル,
要求実現,モチベーション
プロジェクト,移行,実装・移行
ArchiMate基本部の視点の次元
Copyright Prof. Dr. Shuichiro Yamamoto 2014 18
情報
判断
設計
詳細 結合 概要
概要
内容次元
目
的
次
元
ビジネスプロセス
AP構造基盤
情報構造
ビジネス機能
基盤利用
実装展開
ビジネスプロ
セス協調
プロダクト
AP利用サービス実現
階層
全体
マップ
AP挙動AP協調
アクタ
協調
組織
関連モデルとの関係
Copyright Prof. Dr. Shuichiro Yamamoto 2014 19
状態図
パラメトリック図
SysML
要求図
ビジネスアーキテクチャ図
アプリケーションアーキテクチャ図
テクノロジーアーキテクチャ図
実装移行拡張図
動機拡張図
ユースケース図
パッケージ図 ブロック定義図
クラス図
アクティビティ図 シーケンス図
BPMN
ビジネスプロセス図 制御条件
UML
ArchiMate
SysMLとArchiMate
Copyright Prof. Dr. Shuichiro Yamamoto 2014 20
SysML ArchiMate
要求図 動機拡張
ー サービス、インタフェース
振舞い図
アクティビティ図 挙動構造
シーケンス図 ー
状態図 ー
ユースケース図 能動構造
構造図
ブロック定義図
受動構造内部ブロック定義図
パッケージ図
パラメトリック図 ー
ー 実装移行拡張
変数モデルにおける要求と仕様[Parnas, 1995]
入力デバイス
(e.g. sensors)
出力デバイス
(e.g. actuators)
M: 観測変数 I: 入力データ
C: 制御変数O: 出力データ
仕様
Copyright Prof. Dr. Shuichiro Yamamoto 2014 21
利用環境 ソフトウェア
要求
アプリケーション
アーキテクチャ
テクノロジー
アーキテクチャ
ビジネス
アーキテクチャ
STAMP 階層的制御構造とアーキテクチャ
Copyright Prof. Dr. Shuichiro Yamamoto 2014 22
制御ソフト
アクチュエータ センサ
制御対象
出力
観測変数制御変数
入力
制御方法
制御対象モデル
外乱
設定値
制御担当者
動作状況
制御要求
STAMP (Systems-Theoretic Accident Modeling and Processes)
BA
IA
TA
BA
ArchiMateの特徴
� TOGAF ADMと対応
� 包括性
� 多様な視点
� 統一性
� 一貫性
� 拡張性
Copyright Prof. Dr. Shuichiro Yamamoto 2014 23
Copyright Prof. Dr. Shuichiro Yamamoto 201424
GSNの例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 25
前提
主張
戦略
証拠
方法序説とGSN
Copyright Prof. Dr. Shuichiro Yamamoto 2014 26
規則 方法序説 GSN
明証性
明証的に真理であると認めるもの以
外を判断の中に入れないこと
正しさが確認された証拠であるこ
と
分析
検討しようとする難問を必要なだけ
の小部分に分割すること
主張を複数の下位の主張に分解す
ること
総合
もっとも単純でもっとも認識しやす
いものから段階的にもっとも複雑な
ものの認識へと昇っていくこと、
証拠によって論証できる最下位の
主張から、最上位の主張を説明す
ること
自然のままでは前後の順序がつかな
いものの間に順序を想定すること
主張を分解するための前提を明確
にすること
枚挙
最後に完全な枚挙と、全体の見直し
をして、見落としがないことを確信
すること
最上位の主張を説明するために、
完全な証拠が列挙できていること
参考)デカルト著、谷川多佳子訳、方法序説、岩波文庫、1997
論理木による第三者への説明責任の遂行
Copyright Prof. Dr. Shuichiro Yamamoto 2014 27
対象生産物が原則を満たし
ている
対象生産物の構成要素が
原則を満たしている
対象生産物の構成要素間の
関係が原則を満たしている
分解理由
分解の前提
証拠
MECE(Mutually Exclusive Collectively Exhaustive)
論理木の図式要素では表現できない
留意点
� 説明責任範囲
� 合意記述境界
� 前提境界
� 境界を識別しなければ、管理できない
� 管理できなければ、変更できない
� 変化対応のために、合意記述・前提境界の管理が必要
Copyright Prof. Dr. Shuichiro Yamamoto 2014 28
GSNによる第三者への説明責任の遂行
Copyright Prof. Dr. Shuichiro Yamamoto 2014 29
対象生産物が原則を満たし
ている
対象生産物の
構成で説明
原則
対象
生産物の構成
対象生産物の構成要素が
原則を満たしている
対象生産物の構成要素間の
関係が原則を満たしている
分解理由
分解の前提
証拠
確認記録確認記録
GSNの基本概念
Copyright Prof. Dr. Shuichiro Yamamoto 2014 30
説明対象
(モデル)
GSN
構成要素とその関係
合意基準
証拠に基づく説明によって、説明対象が
合意基準を満足することを記述
説明対象が満たすべき特性の基準
合意記述の前提、記述境界、前提境界
合意記述
(D-Case)
合意記述境界
前提境界
合意記述の前提、説明対象、証拠
Copyright Prof. Dr. Shuichiro Yamamoto 2014 31
説明責任
� 電子的に医療情報を取り扱うシステムの機能や運用方法が、
その取り扱いに関する基準を満たしていることを患者等に説
明する責任である。
� これを果たすためには、以下のことが必要である。
� システムの仕様や運用方法を明確に文書化すること
� 仕様や運用方法が当初の方針の通りに機能しているかどうか
を定期的に監査すること
� 監査結果をあいまいさのない形で文書化すること
� 監査の結果、問題があった場合は、真摯に対応すること
� 対応の記録を文書化し、第三者が検証可能な状況にすること
Copyright Prof. Dr. Shuichiro Yamamoto 2014 32
参考)医療情報システムの安全管理に関するガイドライン、第4.1版平成22年2月厚生労働省http://www.mhlw.go.jp/shingi/2010/02/dl/s0202-4a.pdf
医療情報システム安全管理のGSN
Copyright Prof. Dr. Shuichiro Yamamoto 2014 33
教育の適切性の説明
Copyright Prof. Dr. Shuichiro Yamamoto 2014 34
研修がISD原則を満たしている
コースマップの構成で説明
ISD原則
コースマップ
コース単元がISD原則を満た
している
単元間の関係がISD原則を満
たしている
コース単元がISD原則
を満たしている証拠
単元間の関係がISD原則
を満たしている証拠
Instructional Systems Design Principle
SS2014 最新教育技術のトレンドWGと、D-CaseWGとの合同討論より
GSNによる保証範囲
� レビュ原則
� 「すべての前提条件と説明対象について確認すること」
� 「前提条件と説明対象の重要性について合意すること」
� 「重要性の高いGSNについてレビュすること」
Copyright Prof. Dr. Shuichiro Yamamoto 2014 35
前提条件 P
説明対象 X
GSN(X, P)
Copyright Prof. Dr. Shuichiro Yamamoto 201436
保証対象
� 各層のアーキテクチャ
� 層間の関係
Copyright Prof. Dr. Shuichiro Yamamoto 2014 37
ビジネス・アーキテクチャ
情報システム・アーキテクチャ
技術アーキテクチャ
ArchiMateのためのGSN方法論
Copyright Prof. Dr. Shuichiro Yamamoto 2014 38
ゴールモデル
要求モデル
ビジネスプロセス
データモデル、APモデル
配置モデル
作業モデル、成果物モデル
動機拡張
技術層
ArchiMate
ビジネス層
AP層
実装移行拡張
ゴールGSN
要求GSN
ビジネスプロセスGSN
データ・AP GSN
技術層 GSN
作業・成果 GSN
O-DA/ GSN
ArchiMate
/GSN
パターン
ArchiMateモデルに対して開発
ソフトウェアアーキテクチャの要素
Copyright Prof. Dr. Shuichiro Yamamoto 2014 39
分類 説明
要素 ソフトウェアを構成する要素
関係 ソフトウェア構成要素間の関係
特性 ソフトウェア構成要素が満たすと想定できる性質
アーキテクチャの保証とは
Copyright Prof. Dr. Shuichiro Yamamoto 2014 40
特性 C
構成要素 E
要素間関係 R
アーキテクチャ
アーキテクチャAが
特性Cを持つ
Aの構成要素Eが
特性Cを持つ
Aの要素間関係R
が特性Cを持つ
AND
任意の時点で成立する
アプリケーションDB連携サービスに対するテクノロジー層モデルの例
Copyright Prof. Dr. Shuichiro Yamamoto 2014 41
テクノロジー層モデル例の保証ケース(全体)
Copyright Prof. Dr. Shuichiro Yamamoto 2014 42
テクノロジー層モデル例の構成要素に対する分解(1)
Copyright Prof. Dr. Shuichiro Yamamoto 2014 43
テクノロジー層モデル例の構成要素に対する分解(2)
Copyright Prof. Dr. Shuichiro Yamamoto 2014 44
テクノロジー層モデル例の構成要素関係に対する分解
Copyright Prof. Dr. Shuichiro Yamamoto 2014 45
高信頼ADMの概要
工程 AADM
準備
①アーキテクチャリポジトリでの証拠文書と保証ケースの格納
②ディペンダビリティ委員会での主張間の優先順位の合意
A.アーキテクチャビジョン
①ディペンダビリティスコープ定義 ②主張の定量評価尺度定義
③保証ケース能力評価 ④ディペンダビリティパラメタ定義
B.ビジネスアーキテクチャ
①ディペンダビリティ原則定義 ②BA保証ケース作成
③BA保証ケースレビュ
C.情報システムアーキテクチャ ①IA保証ケース作成 ②IA保証ケースレビュ
D.技術アーキテクチャ ①TA保証ケース作成 ②TA保証ケースレビュ
E.ソリューション ①BA, IA, TA保証ケースを統合 ②一貫性を確認
F.移行計画
①運用管理の保証ケース作成
②ディペンダビリティパラメタ価値分析
G.実装監督
①保証ケースの証拠を作成 ②プロセス保証ケースの証拠を作成
③網羅的に主張と証拠の関係を確認
④運用に対する保証ケースをレビュ
H.アーキテクチャ変更管理
①運用保証ケースの証拠を管理 ②主張の不成立への対応策の確
認③保証ケースによるリスク管理 ④保証ケースによる障害分析
要求管理 保証ケースの主張と要求の追跡管理
Copyright Prof. Dr. Shuichiro Yamamoto 2014 46Ref. Open Group Standard, Real-Time and Embedded Systems:, Dependability through Assuredness™ (O-DA) Framework, 2013
アーキテクチャの妥当性保証のための
Copyright Prof. Dr. Shuichiro Yamamoto 201447
GSNと形式手法
Copyright Prof. Dr. Shuichiro Yamamoto 2014 48
形式手法 GSN
検証された証拠
検証範囲、表明についての合意
形式記述の前提、記述境界、前提境界
形式記述
(機能仕様)
形式記述境界
GSN境界
GSN=形式記述の前提、証拠
Copyright Prof. Dr. Shuichiro Yamamoto 2014 49
GSNの
前提、証拠
GSNの前提境界
形式手法とGSNによるアーキテクチャ保証方式
Copyright Prof. Dr. Shuichiro Yamamoto 2014 50
機能仕様の検証
ArchiMate 形式手法 GSN
ビジネス・アーキテクチャ ◎
BAとISAの関係 ◎
情報システム・アーキテクチャ ◎AP機能仕様 〇前提、証拠の説明
ISAとTAの関係 ◎
テクノロジーアーキテクチャ ◎
会計業務プロセスとアプリケーション
Copyright Prof. Dr. Shuichiro Yamamoto 2014 51
発注申請 発注承認
発注記録
発注書 納品書 請求書
発注書
作成
発注 納品確認 検収
発注申請
機能
発注承認
機能
発注書
作成機能
発注機能
納品確認
機能
検収機能
予算
発注業務プロセス 検収業務プロセス
会計アプリケーション・コンポーネント
会計業務プロセスとアプリケーションの保証
Copyright Prof. Dr. Shuichiro Yamamoto 2014 52
発注
申請
発注
承認
発注記録
発注書 納品書 請求書
発注書
作成
発注
納品
確認
検収
発注申請
機能
発注承認
機能
発注書
作成機能
発注
機能
納品確
認機能
検収
機能
予算
発注業務 検収業務
会計アプリケーション・コンポーネント
FMで
厳密に
検証
GSNで合意により
保証
■業務と機能の実現関係
■業務プロセス
■機能仕様
ビジネスアーキテクチャ
アプリケーションアーキテクチャ
GSNによる会計業務プロセスの妥当性保証
Copyright Prof. Dr. Shuichiro Yamamoto 2014 53
形式手法によるAP機能仕様の正当性検証
Copyright Prof. Dr. Shuichiro Yamamoto 2014 54
� アーキテクチャ記述言語ArchiMate
� GSNによるArchiMate記述の保証方法
� GSNと形式手法の連携方式
Copyright Prof. Dr. Shuichiro Yamamoto 201455
保証指向開発:Assurance Based Creation
Copyright Prof. Dr. Shuichiro Yamamoto 2014 56
作成対象
(モデル)
GSN
②特性基準を満たす
ように対象を作成
特性基準
(作成原則)
③作成対象が特
性基準を満足する
ことを、証拠に基
づいて、確認
①説明対象が満たすべき
特性基準を定義
④作成対象が特性基準を満足することが
確認できなければ、作成対象を改訂確認範囲を選択することに
より、自律化・効率化できる
今後の予定
� ArchiMateに基づく、O-DA AADM の具体化
� 教科書ドラフト版
� 事例研究 TOGAF OP3.0
� 組込み共通問題 自転車事故防止システム
Copyright Prof. Dr. Shuichiro Yamamoto 2014 57
