Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
ソフトウェア品質監査制度(仮称)
~制度概要と模擬実験~
2012年5月11日
独立行政法人情報処理推進機構 技術本部ソフトウェア・エンジニアリング・センター
統合系プロジェクト 研究員 谷津 弘一
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 2 © 2012, Information-technology Promotion Agency, Japan
内容
ソフトウェア品質監査制度の概要
模擬実験の紹介
品質説明について
将来に向けて考えていくべき検証技術
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
ソフトウェア品質監査制度の概要
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 4 © 2012, Information-technology Promotion Agency, Japan
ソフトウェア品質監査制度の狙い
利用者【国民】 (第一者)
事業者 (第二者)
監査機関 (第三者)
【国民生活の安全・安心】 第三者である監査機関の意見を参考に製品・サービスを安心して利用できる
監査対象: ソフトウェアが重要な役割を担う製品・サービス (例:スマートコミュニティ、自動車など)
独立検証機関 設計書など
【監査のための証拠】 製品・サービスの テスト結果、設計書、開発手順などの証拠
必要に応じて専門家にテストを依頼し、そのテスト結果を確認
監査を受けることで製品・サービスの顧客信頼度向上
万が一の事故の場合でも品質の説明ができる証拠がある
監査 結果
【監査機関の意見】=合理的保証*1
事業者の主張は適正です。
*1事業者の主張を合理的に保証(assuarance)するもので、障害や事故が発生しないということを保証(guarantee)するものではない。
記述書
【事業者の主張】=品質説明 この製品・サービスは一定の条件下において安全に使えます。
• 製品・サービスの安全、安心に係る品質目標
• 品質目標を達成するために必要な手段
• 手段を実施した証拠 • 品質目標、手段、証拠のトレー
サビリティ
製品・サービス
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 5 © 2012, Information-technology Promotion Agency, Japan
制度フレームワーク(案)
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 7 © 2012, Information-technology Promotion Agency, Japan
これまでの振り返りと現在、今後
2010年度 2011年度 2012年度 2013年度
調査 企画検討
制度設計 文書案作成
制度構築 実施準備
実施
監査基準
監査実務ガイドライン
審査基準定義書
審査基準策定ガイドライン
審査基準適用ガイドライン
審査基準リファレンスガイド
制度フレームワーク案
制度規定文書
認定基準規定文書
実施体制の検討・構築
適用分野の検討等
監査人候補の選抜・育成
各文書案の修正
模擬実験・実証実験
制度全体の 定義・規程
監査人の行動規範 監査実務の指針
審査基準の策定指針 審査基準の適用指針
各機関・文書等の 認定規程
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
模擬実験の紹介
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 9 © 2012, Information-technology Promotion Agency, Japan
実施中の模擬実験
A) パッケージソフトウェア品質認証制度のフィージビリティ評価及び監査制度導入による コスト評価
B) 独立検証機関による形式手法を用いた第三者検証のコスト評価
C) ICカードを用いた社会情報基盤システムにおける、安全性とセキュリティの同時認証に 関する実証実験
D) CO2無線測定センサーを対象とした監査レベル別コスト評価
E) ソフトウェア品質監査制度(仮称)導入に伴い発生する開発工程負荷の評価・分析
F) カーナビゲーションシステムにおける利用品質(安全性)に対する監査内容の提案と コスト算出
G) 既製システムをソフトウェア品質監査制度(仮称)に適用する場合のフィージビリティ スタディ
H) 製品利用情報を分類する際に係るコスト評価
I) 製品マニュアルと製品テスト結果のトレーサビリティ確保に係るコスト評価
J) 車載システム開発時に使用するソフトウェアツールに対してISO 26262の安全要求事項を満たす為に必要な具体的な作業項目の考察
K) モデルベース開発ツールを活用した際のフィージビリティの効果検証
L) トレーサビリティ確保におけるソフト開発データからの効果検証
9団体・12プロジェクトの模擬実験を実施中
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 10 © 2012, Information-technology Promotion Agency, Japan
模擬実験の分布
立場 実験の種類 焦点 実験 対象の製品・サービス 補足事項
事業者
既存の枠組みに基く 負荷の評価
公的な規格
E、G 集中ドアロックシステム ISO 26262
J コンパイラ(車載系コードへの) ISO 26262
C ICカードシステム IEC 61508、
ISO/IEC 15408
公開されている枠組み A パッケージソフトウェア PSQ認証制度
D CO2無線測定センサー IT検証標準工法ガイド
推奨したい技術を 用いての負荷の評価
モデルベース技術 E 集中ドアロックシステム Modelica
K 半導体製造装置内の制御コントローラ 自社ツール
モデル検査 B 配電自動化システム NuSMV
トレーサビリティ
E 集中ドアロックシステム TERASツール
I AV機器のマニュアル TERASツール
L 通信(Bluetooth)ソフトウェア等 自社システム
Assurance Case G 集中ドアロックシステム GSN記法
負荷削減の 工夫
複数規格の同時認証 C ICカードシステム SafSec
ツール使用 H 利用者情報の分類 テキスト分類ツール
監査人 独自の枠組みに基く
負荷の評価 独自の枠組み F カーナビゲーション 自社ノウハウ
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
品質説明について
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 12 © 2012, Information-technology Promotion Agency, Japan
ソフトウェア品質監査制度における監査の流れ
監査実施
記録・ 文書
処理
記述書 (主題情報)
想定利用者
ライフサイクル・プロセス
ソフトウェア品質
審査基準
事業責任者 監査人
社内規程
遵守すべきルール
製品・サービス 企画書、 要件定義書 等
システム企画・開発・運用・
保守等の文書
企画から廃却までのライフサイクルを通じた、 製品・サービスの安全・安心に係る品質
意見表明 主題
製品・サービス企画、要件定義 等
監査 報告書
監査基準
運用状況
整備状況
• 独立検証機関 • 弁護士 • 会計士 • 技術士 • システム・アナリスト 等
専門家
専門家の利用
審査基準に照らし、 主題に適合しているという事業者の主張を 記載したもの
監査で保証してもらいたいこと (利用者が知りたいこと)
• 記述書の作成過程 • ライフサイクル・プロセスの実態 • 製品・サービス自体の品質 等
企画 要件 定義 ・・・
国際的にも通用している 会計監査のフレームワークに基く
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 13 © 2012, Information-technology Promotion Agency, Japan
記述書で展開される品質説明に求められること
主張される品質
エビデンス
エビデンスから品質を導く 反駁可能な議論
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 14 © 2012, Information-technology Promotion Agency, Japan
Assurance Case
主張: 目標とする品質を
保持すること
文脈: 主張が有効である状況
前提: 主張の前提条件
A
戦略: 主張の正当性の
論証方針
サブ主張 サブ主張 サブ主張
エビデンス: 主張を正当化
する証拠
エビデンス: 主張を正当化
する証拠
エビデンスの具象化要求
以降の論証の 進行が求められている
この戦略に従い、 トップの主張が
下の3つのサブ主張に 分解される
: 文脈 A : 前提
: エビデンス
: 主張 : 論証途中 : 要具象化
: 戦略
: 解決 : 依存
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 15 © 2012, Information-technology Promotion Agency, Japan
記述書で展開される品質説明(案)
主張: 目標とする品質を
保持すること
文脈: 主張が有効である状況
前提: 主張の前提条件
A
戦略: 主張の正当性の
論証方針
サブ主張 サブ主張 サブ主張
エビデンス: 主張を正当化
する証拠
エビデンス: 主張を正当化
する証拠
エビデンスの具象化要求
以降の論証の 進行が求められている
この戦略に従い、 トップの主張が
下の3つのサブ主張に 分解される
主張
エビデンス
品質説明本体
主張とエビデンスを結びつける 説明の論理構造の「見える化」
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 16 © 2012, Information-technology Promotion Agency, Japan
Safety Case の歴史的背景
北海油田における石油生産プラットフォーム Piper Alpha 事故(1988年7月6日)
処理施設から漏逸した可燃性ガスに引火し爆発
167名死亡(229名中)、270億円の被害
Cullen 卿による事故調査レポート(Cullen Report)における指摘: • 法規・規格に遵守すればよいという考え方に対する反省 • 客観的な安全性評価の必要性、ならびに、Safety Case の重要性 “Compliance with detailed prescriptive regulations was not sufficient to ensure safety.” “Primarily the safety case is a matter of ensuring that every company produces a formal safety assessment to assure itself that its operations are safe.” The Hon. Lord Cullen,
The Public Inquiry into the Piper Alpha Disaster, Vols. 1 and 2 (Report to Parliament by the Secretary of State for Energy by Command of Her Majesty, November 1990)
英国政府は石油ガス生産を行うオペレータに対し、Safety Caseの作成、提出を義務付けることとなった
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 17 © 2012, Information-technology Promotion Agency, Japan
Safety Case の使用が義務付けられている分野
EUROCONTROL (The European Organisation for the Safety of Air Navigation) 航空管制システムにおける安全性の保証
Rail Yellow Book
英国における鉄道信号システムの安全性の保証
MoD Defence Standard 00-56 (Safety Management Requirements for Defence Systems) 英国における防衛関連の安全性の保証
ISO 26262
車載組み込みシステムに関する機能安全規格
US. Food and Drug Administration (FDA) Infusion Pump
“A safety case is the best way to both document and review a submittal based on a risk management approach because the argument shows the proportionality of the mitigation”
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
将来に向けて考えていくべき検証技術
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 19 © 2012, Information-technology Promotion Agency, Japan
ソフトウェアだけではなく、下に示すスマートコミュニティのような Software Intensive Systems/Cyber Physical Systems(CPS)
ソフトウェア品質監査制度の監査対象
急速充電ステーションコントロールセンター
スマートハウス
小水力発電
メガソーラー
急速充電ステーション
ITS
路面電車
原子力発電所火力発電所
電力貯蔵装置
センサ等を活用した農業
陸上風車
電気自動車
スマートビル
電気バス
テレビ
ヒートポンプ給湯器省エネエアコン
洗濯乾燥機 食洗機
ホームネットワーク
ホームゲートウェイ
電気自動車
太陽光発電
LED照明
スマートメーター
スマートハウス
Li-ion電池(交換式)
Li-ion電池(固定式)
モータ
空調 インバータ
将来的に路面電車化も視野
電気バス(将来は路面電車化)
センサ等を活用した農業
電力不足時:電気自動車→家庭電力過剰時:家庭→電気自動車
架線レス路面電車
駅での停車時:電池に充電駅間の移動時:電池で駆動
EVを電力インフラとして活用
蓄電池を搭載した路面電車
電池交換式の電気バス。将来的には複数台を連結して路面電車化
各種情報を分析し、最適な生産手段を可能に
30分で80%充電
コントロールセンター
地域のエネルギー需給を最適化するコントロールセンター
• 太陽光発電、風力発電、小水力など自然エネルギーを電源として積極的に活用• 変動の多い自然エネルギーを地域内で有効活用するため、各家庭やオフィスで余った電力を地域内で融通• 電気バスや電気自動車の位置情報と充電状態を管理することで、これらの自動車を電力インフラとして活用
コントロールセンター
ITS
EV
バッテリー交換ステーション
バッテリーコンテナ
風車
GPS
ITS
ITS
太陽光
電気バス
電気バス
EVや電気バス同士で情報をやりとりすることにより、飛躍的な低炭素化と事故や渋滞問題の解決を同時実現
エネルギーネットワークと一体になった新しい交通インフラ
課程と結びついた病院
動作が効率化された工作機械・テーラーメード化された医療の提供・GPSを活用した自動車両誘導システム
医療/ものづくりなど
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 20 © 2012, Information-technology Promotion Agency, Japan
CPSの特徴
『SSR調査研究報告より』
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 21 © 2012, Information-technology Promotion Agency, Japan
J.Wing の CPS Flower
Jeannette M. Wing, Cyber-Physical Systems Research Charge, Cyber-Physical Systems Summit, 2008
『SSR調査研究報告より』
高信頼化技術の確立 • 大容量・不確実な入力データ • 離散と連続 • 大規模・複雑化した制御システム
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 22 © 2012, Information-technology Promotion Agency, Japan
Hybrid Program と Dynamic Differential Logic
Andrea Platzer@CMUによるハイブリッドシステム検証のための論理体系
微分方程式等を入れて拡張したプログラムと時相的なモダリティ
航空機の衝突回避運動
微分方程式を入れた衝突回避のプログラム
微分方程式を入れた衝突回避のプログラム
証明したい性質①
証明したい性質②
プログラム通りに衝突回避運動を行えば、 ① 2つの航空機間の距離は p 以上 ② 2つの航空機の進行方向のなす角は一定 となり、無事に衝突が回避できることがわかる
Andre Platzer and Edmund M. Clarke. Computing differential invariants of hybrid systems as fixedpoints. CAV 2008, LNCS 5123, pages 176-189, Springer, 2008
SEC Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center 23 © 2012, Information-technology Promotion Agency, Japan
SysML数値制約の充足性判定
SysMLのパラメトリック図とブロック図から数値的な制約を抽出し、 SMTソルバYices上で自動検証
『SSR調査研究報告より』
加藤秀明、上田賀一、中島震: SysMLモデルの制約妥当性検証に関する考察、 組込みシステムシンポジウム2010論文集、pp.5 – 12、2010年10月. 「優秀論文賞受賞」
Information-technology Promotion Agency, Japan
Software Engineering Center
Software Engineering Center © 2012, Information-technology Promotion Agency, Japan
利用価値のある、よりよい制度にするために 皆様の貴重なご意見・ご質問をお待ちしております。 詳細は、ブース担当の研究員までお願いします。
ご清聴ありがとうございました。