教訓集（組込みシステム編）重要インフラ分野のシステム障害への対策：IPA 独立行政法人情報処理推進機構

(1)

(2)

情処理高信教訓集組込編

犉立行法人情処理推逭機構

(3)

本書

構成

使い方

書 4 PART 付録成

PART 教訓集編

PART 害策手法例集

PART 害析手法例集

PART 害析手法例解書

付録A 害情扱い

付録B 信性表評価指標

PART 教訓集編情処理高信教訓集組込編体あ

PART 2013 集 35 教訓例掲載各教訓例

う整理い表構成明

教訓例示教訓容端的表現

製品特害瘠生製品特要照構成運用

観述

観察現象害瘠生時認識体的象述

部瘠生象瘠生象引起直接原因述

原因要因当象引起背要因い述合作

要因流出要因あ

然防策～出要因策述

教訓9

教訓場合期領域適設

製品特長高稼働率無停期間長期必要遒隔監視い通常故

誤動作瘠生外故瘠生動作行故

回復機能要求等高い信性求

観察現象用高稼働率実現側故場合

制御連性維持側替わい側

替わ直異常通知瘠生

部瘠生象

側替わ時期い値値

異常瘠生

原因要因機能追時管理必要領域追期領域変更

追側期領域使用い状態検査漏

い替わ場合側期いい

然防策

直接原因策

期必要領域

要因恒久策応程明

期検査目側追領域使用い状態え

範境界値確認検査目追

引わ動作良防容易

設計変更設計

変更設計場合体全体影響

解析

(4)

PART 害策手法例集教訓集中各教訓実践必要手法整理

あ教訓含体的策実施策必要背等深理解

役立教訓含策外周辺策連策検討参考活用

適用程要求義運用 10 程類各程教訓

述策手法当教訓番号述

策手法 PART 各教訓然防策欄各策行う

程応程明応程適用程一策容

欄転 ESDR ESPR等既 SECBOOK PART 参考文献[1]

～[4] 連容あ場合当目番号述

教訓番号転策含教訓番号述

PART 害析手法例集回活動中実施害析手法例調査結

あ害瘠生時原因析真因特再瘠防手立打

応手概要適用手法概い原因析利用手法手

法適用検討例通あ

原因分析の手法

故経過表 VTA (Variation Tree Analysis) 問行動析 PNA

ワ析法瘠生源検出漏析例外析析

分析手法を試行適用し事例

湘 2008 2 24 列車制御起因故

(5)

1996 6 4 慣性制御異常爆瘠故

航空 2008 10 7 意い急降繰返瘠生

PART 害析手法例解書 PART 紹害析手法害析作業体的

例う識者いい意見入解あ害瘠生時原

因析手法適用手参考活用

有識者からいい意見の例

原因析

☞ 留意

HW 要因疑いい SW 要因追求

HW 原因多あ疑う

HW 焦当

HW いわ SW 状況い注目疑い者

SW 振舞い目的焦当前提

中怪い回答拾い出い見当付い

容細確認書出

い経則経薄い人教訓集必要思う

SW要因追求術 3 観行う

見い

疑う番

→ 制約 → 術 →

付録A 害情扱い害情告録共等通様式集公

開機密保持等あ書者自害情集析

基教訓共行う参考活用頂い

(6)

全体目

序言

ＰＡＲＴ 1

1. 3

1.1 背目的 3

1.2 IPA/SEC 組意義 4

1.3 教訓集特 4

2.情処理高信教訓集製品制御組込編 5

2.1 然防知識集方針 5

2.2 教訓 10

ＰＡＲＴ 1

1. 類体系 3

2. 程策例手法 3

2.1 要求義策例 6

2.2 設計策例 7

2.3 設計策例 8

2.4 設計変更設計策例 9

2.5 実装策例 10

2.6 策例 10

2.7 策例 11

2.8 教育策例 11

2.9 策例 12

2.10 運用策例 12

3.観 13

3.1 直接原因観 13

3.2 然防観 14

3.3 活用方法 15

ＰＡＲＴ 1

1. 3

1.1 例集使用用語い 3

1.2 析手法概覧 3

2. 害瘠生析結流 4

2.1 害瘠生策検討 4

(7)

3. 析手法析例 8

3.1 8

3.2 故経過表 11

3.3 VTA VARIATION TREE ANALYSIS 14

3.4 問行動析 16

3.5 PNA ワ析法 19

3.6 瘠生源検出漏析 21

3.7 例外析 23

3.8 析 24

4. 例概要 29

4.1 湘 29

4.2 駒場 30

4.3 5 31

4.4 航空 33

ＰＡＲＴ 1

1. 3

1.1 解書概要 3

1.2 解書使用用語い 3

2. 害析手法析作業 3

2.1 害析手法析作業概覧 4

2.2 害瘠生再瘠防策立案 5

2.3各細 5

3. 害析例解 9

3.1 来都害析 9

3.2 来都害析例 21

3.3 堤水異常作動析例1 27

3.4 堤水異常作動析例2 34

4. 再瘠防活動例 43

4.1A社再瘠防活動例 43

4.2B社再瘠防活動例 47

付録A 害情扱い 1

(8)

序言

世界中ワ繋 IoT (Internet of Things) 時到来

あ IoT 捕捉情集活用産業生活

大削減新い価値生出期待いう

IoT 社会期待高いワ繋世界い

制御害想像大信性

う担保極要深刻課あう IoT 活用必須

自動車自動運転型例あ生産性観機

叫あ人類様々術革新生産性

機越え信性機

越えい必要あ

う迫機応情処理推逭機構 IPA SEC

高信要等製品制御 1 害例情

集析策整理体系等問意識持企業等力得推逭

書部会ワ検討 3 間整理体系成

あ例 7 例増えい

害例策整理体系成害再瘠然防活用

意味い実簡い各企業過去害

例行わ蓄積活用

いいいう耳整理体系例組織学習活用組

構築必要あ現場役立教訓活用

害然防教訓作成教訓集用い

術者教育開瘠回試行行充実教育洗練行

い予あ

IoT 時想外害然防過去例学習

過去例気力う養成要知識学

知識組織学習要研究あ知識学最新知見入

課組い

2016 3

組込高信部会

主査直

陸端学術大学院大学

知識学研究教授

1

本書 2013 度版び2014 度版対象製品･制御呼称い

(9)

ＰＡＲＴ

教訓集

編

(10)

PART

1. め

1.1 背景

目的

組込私生活社会隅々広要必要

い一方複合全体信性

困あ

従来個々製品信性損要因析策個行わ公開

製品あい業界い特前検証瘠見

い原因引起類似害瘠生あ

製品全新規開瘠少製品信性わ

活用機会無あ企業経世間共伝

手立必要あ

製品信性維持各企業等経情企業業界世断

共大あ各企業等個保持経

第者理解実践形要約必要あ犉立行法人情

処理推逭機構 IPA/SEC 要 2等組込開瘠構

築担う企業等力得害例情集析策検討既実

施策含整理体系等行う組結得

教訓業界越え幅広共類似害然防影響範

縮組構築目指あ 1.1参照

2

内サバセュセン情通信金融航空鉄道電力政府行政サビ医療水

道物流化学ッ石油 13分要ン定義い成26 5 19日要ン

(12)

1.2 IPA/SEC

取組

意義

製品信性維持各企業等経情世断共

大あ各企業等個保持経第者理解実

践形要約必要あ IPA/SEC 要等組込

開瘠構築担う企業等力得害例情集析策検討既

実施策含整理体系等行う組結得教

訓業界越え幅広共類似害然防影響範縮

組構築目指あ

一般企業生害情提供うい IPA/SEC

機密保持等国家公員法 IPA 員会規等則公的機

立場企業一析情策含提供いい情一般

象教訓情処理高信教訓集組込編

1.3 本教訓集

特徴

組込利用者利用環境前特困場合多前

検証瘠見い要因害引起あ

個々製品信性損う要因析策企業

個行わ公開製品あい業界い

う前検証瘠見い要因引起類似害瘠生

あ教訓集う害瘠生然防教訓

集

製品全新規開瘠少製品信性わ活

用機会無あ企業経知識世間共伝手立

(13)

2. 情

処理

高信頼化教訓集

製品

制御

組込

編

2.1 未然防止知識収集

方針

2.1.1 概要

教訓集産業界実践い品質問然防然防

知識象一般幅広い組込開瘠企

業い利活用教訓整備あ

品質問然防知識然防知識

然防知識再瘠防然防知識 2種類あ再瘠防

知識企業組織起故害知識再類似問

瘠生防知識あ然防知識企業

組織起故例象一般自自組織い類似

問防知識あ

然防知識的害品質知識

的害瘠現問外防知

識あ両者集象

害故用語様々意味使用教訓集害い

う用語 JIS X 0014 義害(fault) 意味用い故 (failure) (defect)

IEEE 1044 義 IEEE 982.1 載容基用語用い害計算機

確義故要求機能遂

行製品能力尽状態前様制限機能遂行能力

無い状態

2.1.2 未然防止知識

想定利用者

然防知識利用者組込開瘠わ 3者想

 設計者

 側設計者

利用特訓練いい知識利用困

あ考え想利用者外あ

2.1.3 収集

整理手順

(14)

[ 集手背 ]

然防知識集整理実施あ集各企業外例知見

然防知識録肝部出例書換え

然防知識例知見公開情当者

例知見開示困あ予想あ組込製

品多岐わ一企業あ例知見実感い

利用者近い例書換え然防知識い考えあ

[ 集枠組 ]

然防知識集整理繰返実施過程い改善あ

然防知識集整理通各企業活用然防知識集利用

確立あ集確立然防知識類

肝知識出象例書換え方法整備必要あ方法

一挙確立集整理繰返実行必要あ

[ 体的集手 ]

背踏え然防知識手集

1) 然防知識使用

述然防知識使用者直接入

段階生情あ例書換え行わい

2) 象例書換え

然防知識要象例知識書換

え行う

3) 程然防知識出

程策策う問瘠生う一覧

程然防知識出

4)

然防知識識者述過足理解い等補足

5)

(15)

[ 然防知識設計]

然防知識知識提供者入う使用あ一情

必要情過足無入う構成然防

知識述載目参考各特性考慮設計望い

2.1 然防知識設計わ概要示 2.1 あう手番

整理い然防知識完成

最初問瘠生状態整理問顕直接観察

暴走意停等現象整理現象直接

瘠生部瘠生象整理

問作込直接的原因整理原因開瘠術わ術面

人組織面等あ

原因う恒久的策行ういう検討

図2.1 未然防止知識設計方針

[ 然防知識載目]

前然防知識設計基目考慮然防知識

作成

(16)

 教訓

 背ワ

 製品

 製品特

 観察現象

 部瘠生象

 原因要因

 然防策

設計前述目観察現象部瘠生象原因要因

然防策外然防知識背述目程然防

知識追

然防知識背扱う製品信性要求合い特

等然防知識策等大異考え追い

程然防知識い程いう策施然

防知識載い問瘠生い整理追

[ 程然防知識整理方針]

程策策う問瘠生う一覧

程然防知識瞰う程整理程

(17)

程然防知識整理当例 ESPR Ver.2.0: 改訂

爮組込開瘠 [1] 基的用い

直接開瘠わ SYP

SWP SUP 限象

望い ESPR 教育程義いい程

然防知識一部用検討目あいえ組込

開瘠い多見差開瘠特然防知識い各程差開瘠あ

(18)

2.2 教訓

章集然防知識例象教訓紹

教訓

1

教訓複雑条件式変更行う場合等検証効あ

製品特空気非常用開閉行う開閉力一保速各種

等多数入力基い開閉動作非常時動作確実性求

観察現象試運用中いあ非常用開いいう態露見当信

性製造信用損う

部瘠生

象

調査開閉行う空気制御い矛盾

条件設いわ

原因要因非常開閉動電源電源効率考慮系統

融通合ううい余熱用電流系統得い変更前

う余熱用電流確保条件設いあ時電源構成

変更条件削担当者当部純

削い思い込純 1 行削変更全体要求様

いい認識

変更前

前提条件

&& 空気設値

&& ●電流要求無

|| 速異常検知

|| 温異常検知

変更合状態

前提条件

&& 空気設値

&& ●電流要求無

|| 速異常検知

(19)

策

前提条件

&& 速異常検知

|| 温異常検知

|| 空気設値

然防

策

直接原因策

当条件式確認実施

複雑設条件変更場合矛盾適合いう

作成確認元条件削追

色等比較確認気得然

誤防容易

変更前

条件式成立条件

#1 #2 #3 #4 #5

&& 前提条件 ○ ○ ○

&& 空気 >= 設定値 ○ ○ ○

&&

| | ●電源要求 = = FALSE ○

| | 速度異常 = = TRUE ○

| | ■温度異常 = = TRUE ○

変更合状態

条件式成立条件

#1 #2 #3 #4 #5

&& 前提条件 ○ ○

&& 空気 >= 設定値 ○ ○

&&

| | 速度異常 = = TRUE ○

(20)

設計変更設計

全体像把握変更

複雑条件変更場合等使用変更妥当性確認

設計意文書

設計

適規模割複雑減

(21)

教訓

2

教訓条件整理いい状態条件数 100 超えう機能 10

個条件機能場合連条件全洗い出整理整合

い確認

製品特溶剤処理伴う制御温等環境条件厳い中

使用高い信性要求

観察現象運転中系配管亀裂瘠生応処理中排気処理系一部排

気動作終了停熱焼損火災故当系統一部機

能喪失い延焼大故能性あ

部瘠生

象

排気処理系 A, B 2 あ開始指示信号ON 基い起

動起動時排気制御一時間動作様い A 起

動機能完了 A 停 B 起動排気行う回配

管亀裂温損傷瘠生影響異常時制御一部

効状態 A 起動排気制御完了前開始指示信

号 OFF い排気完了い状態 A 停焼損

原因要因従来開始信号排気完了 ON状態前提設

い排気処理動作様変わ応実施温故応

あ意動作変更排気完了

待 OFF うう原因あ

排気処理前段応程連携制御行わい担当者う制御

全般知識経薄当応機能変更考え作業行

然防

策

直接原因策

当条件式確認実施

変更前変数数等比較一効あ場合う

前大差い場合数遊い気付い

(22)

観適割等方策望い思考範

誤少短期間設計容易

変数変更規模変更前複雑変更複雑

入力変数条件数入力変数条件数

A 実行状態 8 7 8 7

A 起動 6 5 7 6

○○弁動作 7 8 9 11

○○弁開状態 5 4 5 4

開始指示 26 43

実行状態 30 58

A B 焼損う連運転避一時間動作い

う実装設計者程全般術知識

教育従来組織い信性わ知識伝能

設計変更設計

全体像把握変更

設計意文書

並列設計変更等援用検証

設計

適規模割複雑減 .

制約超えいう設計監視

変更前大差い

複雑義閾値目

条件整理いい状態条件

数 100 超えう機能 10個

(23)

教訓

3

教訓複数機能統合場合統合前条件数総和統合条件数比較差

あ場合条件抜い確認

製品特場製品掛品自動制御 AGV: Automatic Guided Vehicle

場生産性遉成経路最適制御行え高い稼働率要求

観察現象稼働中多数あ置一部故瘠生準備中自動

車接触故瘠生長時間停出荷停滞いう態

部瘠生

象

移動走行車人距等測入力情等最適

制御中自己学習動作故入力情

い条件い前方置学習指示条件中一部抜い

原因要因当機能複数構成機能統合情瘠

生構成見直実施元々動作様条件一部転

瘠生

通常開瘠環境構造確認作業実施い

瘠生担当者様条件抜あ認識

統合前統合合状態

A

B

C

FW学習●機能

FW学習指示●条件

FW学習機能

FW学習指示条件

FW学習機能

条件

FW学習機能

(24)

然防

策

直接原因策

変更前条件変更条件突合確認部追

一般的学習機能確認類組合わ膨大傾あ実機

検証い瘠見い多い前仮想環境構築実施

い網羅合限界あ

変更作業条件設防策構造

目視確認

統合前中出現指条件数総和 X

統合中指条件数 Y

義 X ≒ Y い確認結録

統合前統合合統合前

大比較

大異

条件数比較

統合前総数 19

統合合総数 4

統合前総数 19

総数 19

方法簡便誤無能性容易

設計変更設計

複数統合統合前条件数確認

(25)

教訓

4

教訓変数値域広組合非常多場合値域適大

割境界値実施

製品特学物質あ指経路従

間隔動作確実性応答時間確性求

観察現象あ中非常停停場合停

時方数置応序従再開様い

時再長時間わ停損失大

中滞留学物質去人手行ういう険作業長時間得

部瘠生

象

停再開動作停時想方置

表参照再開算出実行い表参照算出

間遊いあ再開来#4 あ #5 い

原因要因当算出処理部い機能変え統合実施意

い変更実施い元動作様結的変更原因あ

算出停時状態情数停置等基い

組合各々値域非常多い組合

実施い組合網羅い

然防

策

直接原因策

改部再行い適合部

組合各々値域非常多瘠生省検査

術活用う 2通検証行確認

検証

条件

変更前

制約条件

前条件& 条

件

変更

(26)

完全一検証

変数値域広組合非常多一般的検査

組合わ爆瘠生象行う例値域適大

割実施妥当時間検証容易

設計変更設計

複雑変更設計時大応等術

援用変更妥当性確認

変更前

変更

前条件

変更前変更

象変数結

一

複雑義閾値目

条件整理いい状態条件

数 100 超えう機能 10個

(27)

教訓

5

教訓蔵電使用場合深電時起動考慮

製品特無線通信機能蔵電 AC 充電器接無使用

能型業用端

観察現象電源端起動い

AC充電器接い充電出来い

部瘠生

象

電電極状態深電状態充電等あ一電

電電回復区間深電電端起動電閾値区間

端起動行わい様起動抑い

深電状態あ時 AC 接充電電電昇

状態電源ON操作行う充電電力含電電端起動否

行わ端起動電閾値回起動処理開始

一方端起動処理一部充電一停様充電停

電電元状態深電状態戻電源IC 持端起動電閾値

回う

端起動電閾値回状態電電十

端起動全系統電源供給停い充電停停

原因要因電電極状態深電状態想評価行わい

電電極状態深電状態 AC充電器接状態配慮足

い

然防

策

直接原因策

AC 接時端起動電閾値変更

電動作端い長時間置等電電極状態

深電状態状態策必要あ認識

電電極状態深電状態い状態

場合策検討必実装置検証行う

端起動電流電降及考慮設計織込

客調査検討様条件環境評価行う

策

(28)

AC充電器接い充電出来い

い製品充電動作良設計時防容易

設計

開瘠部門開瘠部門連携要

特性文書設計入力え

特性文書

設計

制約考慮

物理的条件網羅

実機検証行う

集越え人

教育

術者術者文交流場設

(29)

教訓

6

教訓使用場合書込回数考慮

製品特無線通信機能蔵蔵電

AC充電器接無使用能型業用端

観察現象電源端起動い

端起動中

端使用中電源断瘠生

部瘠生

象

端 OS 等保用用

特領域値壊起動出来い等合瘠生

原因要因用特領域値壊い

特領域書込回数超え書込行わ

然防

策

直接原因策

書込回数増要因書込回数減

端用場合部品認識

回数超えい様注意

回数超え能性あ場合回数監視機能回数超えい

組準備

用回数準方法等い実装置使用

方法問無い前確認

用実客様使用環境扱う把握

使用中様程書

把握

自社開瘠領域使用 OS 購入 SW FW

動作含検討

あ場合差把握評価行う

変更場合 NOR →NAND

SLC→MLC→TLC等回数異特注意

使用開瘠部門開瘠部門

(30)

電源端起動い

端起動中

端使用中電源断瘠生

い製品部品起因動作良設計時防容易

要求義

利用あ想

設計

HW 変更時影響解析行う

特 HW 使用時あ特性把握

設計診断機能実装結通知機能備

開瘠部門開瘠部門密

運用

(31)

教訓

7

教訓消費電力多い機能追場合一時的電降影響

等電源種類電場合考慮

製品特 3G無線通信機能蔵電 AC充電器接無使

用能型業用端

観察現象端起動時使用中 3G 停通知表示

降3G通信使用出来

電源端起動い

部瘠生

象

3G 動作開始直 FLASH 書込行わ書込中

電源断瘠生 File System 破壊 3G 使用出来

3G 動作開始時突入電流電源電降瘠生

3G 策 3G 電源追

電容少い場合端起動時 3G 電源時突入電流

電電降瘠生端電源

原因要因 3G無爮 3G 爮 2 商品あ

3G無爮開瘠行 3G 爮評価十あ

載部品 3G 電源電あ評価十

3G 電源追周辺回路影響検討十

電容少い状態電電い状態評価十

然防

策

直接原因策

3G 策 3G 電源追

電容少い場合策電源IC 根元

追電容少い状態端起動い様変更

設計

商品あ場合差把握評価行う

端各機能起動電流電降及回路部品考慮端起動

含設計織込

電源電降策追場合策部品配置場電源

影響確認

電動作端い電容少い状態策必要あ

認識

(32)

電源端起動い

い製品電源容起因動作良設計時防容易

設計

商品あ場合差把握評価行う

端各機能起動電流電降及回路部品考慮端起動

含設計織込

電源電降策追場合策部品配置場電源

影響確認

電動作端い電容少い状態策必要あ

認識

消費電力多い機能追場合一時的電降影響

等電源種類電場合考慮

設計

差把握評価

(33)

教訓

8

教訓想能例外形式的漏析

製品特物理現象制御組込い多機能目並行動作様々周辺

及操作参照目的遉成制御

観察現象航空機自動操縦中急降引起原因情得

姿勢情得姿勢情管理装置あ姿勢情管理装置姿勢情自動操

舵装置飛行制御い姿勢情管理装置想外大姿勢情

出力自動操舵装置誤操作行い急降繋姿勢情管理装

置電源復

姿勢情管理装置現象 1～3 想

現象 1 運転中急停害再始動操作常運転

現象2 外部入出力参照/操作機能常動作害

外部入出力種及機能種現象特い

現象 3 運転中特機能実行終了機能動作害

電源復い

部瘠生

象

誤姿勢情出力姿勢情管理装置部瘠生能性象

象1～象6 想

象1 MPU 部破壊

MPU 侵入源 MPU 入込時 IO 方

最初破壊 MPU 部到遉あ MPU 部

破壊 MPU 誤動作入力変い出力変い割込起

動い etc 又暴走 →現象1 現象2

象2 想外割込実行

外部割込瘠生入力処理実施入力値使用

害瘠生 →現象2

象3 割込連起動 CPU処理占

割込的瘠生割込 CPU 占 MPU

接周辺時間制約足出来入出力操作

出来 →現象2

(34)

破壊入力値害瘠生 →現象2

象5 出力故

破壊出力操作実施操作出来

害瘠生 →現象2

象6 入出力及故又断線

入出力又応答待場合故又断線時応答返特

機能実行抜出来機能う害

原因要因例外想様義いい

組込参照操作入出力例外考慮い

い瘠生要因あ

然防

策

直接原因策

象1 MPU 部破壊

MPU 部破壊復

割込及監視一時間動作操作実施復

入力得処理実施

入力範外あ入力範丸

象2 想外割込実行

割込起動時常割込あ断割込あ何

割込終了

象3 割込連起動 CPU処理占

象4 入力故

入力範外あ入力範丸

入力一周期監視入力応答無入力

入力復出来い場合 MPU 操作実施

象5 出力故

(35)

出力復出来い場合 MPU 操作実施

象6 入出力及故又断線

入出力又応答待設一時間応答

無象機能実行中断異常処理実施

要求析義作業実行例外害然防

例外目物理的観環境的観義

義例外目例外義

機能目例外目生成例外機能様義

外部入出力参照/操作機能常動作瘠

生害能性減少容易

要求析

例外目物理的観環境的観義

(36)

設計

(37)

教訓

9

教訓場合期領域適設

製品特高稼働率無停期間長期必要遒隔監視い通常故

誤動作瘠生外故瘠生動作行故

回復機能要求等高い信性求

観察現象用高稼働率実現側故場合

制御連性維持側替わい側

替わ直異常通知瘠生

部瘠生

象

側替わ時期い値値

異常瘠生

原因要因機能追時管理必要領域追期領域変更

追側期領域使用い状態検査漏

い替わ場合側期いい

然防

策

直接原因策

期必要領域

期検査目側追領域使用い状態え

範境界値確認検査目追

引わ動作良防容易

設計変更設計

変更設計場合体全体影響

解析

(38)

教訓

10

教訓制御象一運用条件変わ様再確

認

製品特無線LAN経通信用途製品開瘠

製品元開瘠

象製品属能端最大数製品増

観察現象端最大数属製品場合あ

部瘠生

象

端属処理い属端応 key 無線

LAN 瘡録失敗

原因要因術面

1 設計要求様無線LAN 影響箇確認漏

属端 Key 管理無線LAN 部あ管理

使用暗号方式 Key 方法異属暗

号方式番最大数属時 Key 瘡録

設計者無線LAN 様理解影響認識

2 設計遥漏

開瘠無線LAN 様理解い

3 条件組合漏

結合い最大数属通信実施い場合属

暗号方式序網羅性足い

然防

策

直接原因策

無線LAN 管理部外部

利用う無線LAN 制御部

1. 要求様影響範特要求義程

様製品要求様差影響確認

追

2. 網羅性結合程

最大数属時属暗号方式組合追

3. 適遥要求義程結合程

製品設計者設計者設計結合

(39)

容易

設計

開瘠部門開瘠部門的連携

特性文書設計入力え

特性文書劣防

設計変更設計

制約考慮

集越え人

教育

教育術者

(40)

教訓

11

教訓間間共引渡場合排期処理

行わいあい瘠生いいう注意

製品特 Windows 処理実施現場側セ制御装置通信

岐制御実績集生産管理

観察現象制御装置間通信停場停

部瘠生

象

信信削要求瘡

録信状態

信状態信出行例外処理

制御装置接 / 断繰返状態

原因要因間用信 ArrayList 使用い

ArrayList い排掛必要あ

人 ArrayList い知

然防

策

直接原因策

1 ArryList 間使用う排処理追

2 連類似見直実施

処理あ観及

規準追

時間排漏わ合指摘

容易

ンﾀ要求

要求ﾀ作成

送信ﾊﾌｧ録

削除

送信ﾊﾌｧ

異常

例外処理

ﾀ送信

送信ﾀ

件数確認

ン接

送信ﾊﾌｧ出

ﾀ送信

応答信送信ﾊﾌｧ削除

ン通信断Ｋ常

常

接完了 ACK 信

プロセ

制御装置ﾌ制御装置接

(41)

設計

並列処理考慮設計

共あ洗い出

処理あ観

及規準追

教育

(42)

教訓

12

教訓歩留あ製品良品良品検査装置全良品あい良品

検査結異常断あ

製品特半体通機能性能い検査装置

半体検査複数構成全良場合検査結良品

一方あ良場合良品断検査時間効率

通常行わい

観察現象半体検査一割合良品瘠生検査全良品

検査程通常多良品検出

全良品場合全良品場合検査自体異常あ考え

い

部瘠生

象

調査担当者良品調査良いう設調査終了

解い調査担当者設解い状態産

開始検査全良品全良品場合あい全良品場合

検査自体異常能性あ通知応

原因要因全良品場合異常通知処理

全良品場合直感的検査異常あわ全良品場合検査異

常あ考え及

然防

策

直接原因策

全良品場合様全良品場合異常通知う

良良条件わ様明確

検査装置検証目え検証自動

(43)

要求義

歩留あ製品良品良品検査装置全良品あい良品

検査結異常断あ

設計

設計中設計注意

運用

扱いい手書明確

(44)

教訓

13

教訓既性能改善実施瘠生処理期

瘠生等影響確認

製品特電子機器製品検査製造程検査装置あ PC 複数組込機器信号

瘠生機器電電流計測機器電流計測機器通信機器等構成 mS

計測精制御確認要求

開瘠形態現行品機能追

観察現象電子機器製品効通信信いわ検査装置無

no data 出力い一時

部瘠生

象

検査装置 PC 一期間信通信通信機器

出保い検査実行細解

析

電子機器製品常動作中あ一期間通信

い状況空 0s 効

保常 2 索効検出

原因要因現行検査装置機能追時処理速改善併実施要因

且検出

術面

通信い場合目足

人組織面

現行品設計意録い

変更管理甘

変更規模い断担当者依大

然防

策

直接原因策

い通信機器通信出通信

無確認処理追通信無場合保

いう変更

変更管理入徹底変更設計

設計書設計意載設計

(45)

網羅性

目出観追

⇒ い場合振舞い確認

⇒意的通信い期間途中入

能力作成遥

通信系い通信異常考慮漏防容易

設計変更設計

変更管理入徹底

設計

設計意文書

設計実装変更確認変更影響範確認確実実施

観等作成通網羅性 .

教育

作成等能力

作成等適遥行う .

(46)

教訓

14

教訓大通信経扱う場合一連処理流中作

いう注意

時間荷変動い考慮

製品特複数営業担当者携業用端授提供

営業担当者情営業支

援端社支店常時稼動遅滞

い授要求

観察現象利用者多い時間著営業情営業支援情

授非常時間断的停

部瘠生

象

解析処理高荷業用端一時

憶部通信大滞留

最適いい述あ処理時間

い文列直接比較一数値変換

比較い必要処理時間い

原因要因利用者増え想特時間

想条件様述

識者実装参い

全体統合荷実施足

⇒実環境近い試環境用意

然防

策

直接原因策

文列直接比較う最適

実環境近い試環境処理時間計測処理速改善

い確認

想条件様述

⇒ 様則実施

識者必参構築

実環境模擬試環境期手配

(47)

要求義

端数等非機能要求整理

設計

様変更う影響解析

設計

大通信経扱う場合一連処理流中作

いう注意時間荷変動い考慮

出入等う設計

(48)

教訓

15

教訓納入客様運用業業中あ異常操作

電源断置含応考え

製品特店舗用窓応業装置業処理必要信当行処

理集計時間信処理自動的実

行い

観察現象あ窓応員当装置電源 OFF 宅翌朝窓応業行う

業常立店舗業運営い状態瘠生

部瘠生

象

業処理集計信状態完了状態あ装置常起動

い

原因要因業処理集計信中処理強制

信処理完了状態直接原因あわ来信

中強制終了回再開信終了再等処

理実施あう態想機能実

装

然防

策

直接原因策

信処理中強制終了場合再再開時処理実装

要因恒久策応程明要件義

要求様検討確認強制終了時復処理盛込

業実行中操作員強制終了行う等操作応力

容易

要求義

要求様検討確認強制終了時復処理盛込

(49)

教訓

16

教訓害解析時保用処理あ様書作成影響評価実施

製品特多製造程経最終製品作製品あ途中処理

人体害学薬品処理含い各程品質状態

管理程作業情管理保

集計信程降使用い

観察現象あ時あ製造程集計中当処理異常終了製造程停

部瘠生

象

程引渡製品応一部消失

原因要因当程中薬品処理状態品質生処理程最終段状

態確認行い保い常時適合時混

いう出力

い共通処理行い真因あ明

適合時出力機能害解析時様書載い

然防

策

直接原因策

処理常時異常時々行い

書出う

設計

(50)

教訓

17

教訓断処理必要条件制限条件漏出

製品特あ要施設入出管理施設建通行職員電子

通行証施設連情通行証保者 ID 情連付運用

い要施設当敷地多数あ各施設物理的連結い施設

敷設い通過能人識通過能期間施設

当中入出回数制限等多制限情基い区域出入監視制御い

観察現象あ職員 A施設入場う異常態知警瘠生入場

一時当施設わ職員全員出入当業大

支瘠生

部瘠生

象

職員 X Y施設何回出入回数制限限遉 A施設立入

う入場処理異常い

原因要因施設立寄入場場合入出回数制限機能装備い

Y施設入場回数制限確認処理抜条件中 Y施設

異常終了い原因

然防

策

直接原因策

X Y 施設入出制限回数確認処理条件確認処理抜い確認

実装

要求義

要求条件抜漏防変条件論理式述等形式手法

適用検討

(51)

教訓

18

教訓断爭注意

製品特 Windows 処理実施現場側制御装置通信

岐制御実績集生産管理

観察現象害瘠生害解析操作制御処理

遅延場停

部瘠生

象

断爭い時 IO

荷高騰動作い書込遅延処理遅

瘠生

原因要因複数々1～300MB 程変長 30 作成 30

経過自動削う組い

変長増え断爭自動張

30 経過断爭自動的削断爭解消作成

断爭速

然防

策

直接原因策

1 場停実施断爭解消

1 々移動々断爭回避

2 無削削減

録用い変長扱う合瘠生減少

容易

設計

変長書注意

設計断爭注意予固長設計

(52)

教訓

19

教訓人変更作業起前提活用等合作込流

出防心

製品特保用用品生産管理一部要施設用品瘠管理行

う共等荷情瘠行刻

観察現象あ要施設期検急遽保部品交換必要用品瘠要施

設入検査い用品情施設入荷

結当施設作業支来検程全体大

影響及態当用品類厳格識管理要

刻金属部含い

部瘠生

象

要施設側い状態現地調査確認刻識情

一部文瘠生い ○○○ ○○○ いう文列部

原因要因原因調査直前あ来全角あ

半角い明識用品出荷あ

用品管理情担当者直接手作業編集

全全角入力変換部半角う

担当者半角い目視確認

用品管理 DB

ン

▲▲

･▲▲

全角

(53)

識用品施設様々組合わあ多い象施設

当識半角文含場合あ従来経者経依運

用い回急遽大出荷要請あ確認いう背

明

然防

策

直接原因策

手作業編集編集箇半角･

いう確認

様問瘠生う文列箇い検類似瘠生思

わ場合応検討

設計程

属人的依作業誰確実間遊い検出う

方策望い

例 Web入力等用いう全角半角入力自動

替え機能

要求義

識う情手入力い場合入力規則

設計変更設計

属人的作業依自動入力等変換然防

(54)

教訓

20

教訓信性施策場合故瘠生確率影響評価行い策確実実装

製品特あ産業用学製品製造場生成様々中間精製物純等

程制御中険状態防組

組込多設置 ms 応答性

求

観察現象固形中間生成物行う程い作業中異常通知

警告灯突然灯警瘠管理制御停

現場保員確認検含機器装置異常見制御

再起動再警瘠いう象散瘠的瘠

生うい操業影響及

部瘠生

象

動生成物数置あ確認

連結い動機構置回転数等諸元検出

制御い調査中あ動機構回転数

値通常 1→2→3→4→ いうう

当影響 1→2→5→7→ う遤移

異常断非常停いわ

原因要因一時的異常復誤警告う

含い要因いあ明

回転数測磁気回転速算出表示

速制御装置 120 出力ああ

い回転子間的逆転磁気出力間隔急変機器異常

断警瘠組い

中間生成物作業険性高いいう全体的信性

検討段階的実施故断線

間隔等検出機能処置追立省

電力機能実装結瘠生間的逆転瘠生あ機器異常

(55)

異常象能性考えう象瘠生確率算出程鑑策実

施必要性断経い改造作業い

検出停再起動改造い例え

値異常増減断等組

込い十誤あわ

い機構担当者想象瘠

生高い考え掌明確あ

然防

策

直接原因策

一時的使用状態復停再起動

設計程

信性施策場合故瘠生確率算出策効評価行い全体

策実施必要性断う

等応要象処実装場合復

手等いう識者行う

任範明確間情共

逭

(56)

設計

故瘠生確率算出等評価行い策効評価

設計

異常検知適処実装

知識必須

策時 2 副作用瘠生検討実施断

(57)

教訓

21

教訓高い信性策求大影響及象想復手十

検討

製品特ワ複数機器繋い各機器管理機器管理

機器あ各機器情目的遉成制御

観察現象管理機器瘠生管理機器監視画面常稼働いう

え一方機器管理機器状態認識い実管

理機器情信いい管理機器監視画面更新い

部瘠生

象

ワ機器全専用通信通信い通信自

身接い機器期的信一時間信い

あ断管理機器側通信各機器側通信互い

動作状況通知様い復相手復指示出

あ時管理機器接い周辺装置故瘠生影響通信

全数間滞一時間応答信管理機器通信

管理機器MPU 通知

ワ繋い全機器通知各機器管理機器復通知

あ管理機器通信停状態

管理機器自動復通信自動的再起動通信

MPU 通知消失い管理機

器通信瘠生いいう実認識各機器復通知

出各機器通信停管理機器通信

通信

機器A

管理機器

周辺装置

通信

A

機器B

通信

B

機器C

通信

C

MPU 監視

画面

故

MPU応答異常

断各機器異

常通知

(58)

録い参照様い

原因要因周辺機器故等長時間処理い状況大影響

及等情録保持組再起動時異常

状態あ認識あ想い

然防

策

直接原因策

故周辺機器交換

通信起動時調等大影響あ象瘠生

い場合当機器件管理機器通知

高い信性策求大影響及象想復手

十検討

害復手異手あいう

考慮

設計

故復設計部序復いい検討

害復十検討

設計

通信復時害瘠生前状態確認復

運用

害復手文書保者周知

通信

機器A

管理機器

周辺装置

通信

A

機器B

通信

B

機器C

通信

C

MPU 監視

画面

再起動通信途絶状態

認識復

帰通知

(59)

教訓

22

教訓処理時間活用変数う状態数

状況動作処理最大意識余裕把握設計

製品特あ成型製品溶融金属成型薬剤処理等多程経製造

学的組成要溶融成型時温管理時間制約厳諸条件

組合わ複雑温置速検知多数設置

製造中間品処理管理い

程制御多数情

置回転制御等処理必要あ割込

一周期処理行い

程制御 5ms周期動作中割込処理

付 PID制御必要 I要素 D要素計算算出行い

観察現象増産体制指示製造品種変更増決当場製造段階的

変更行わあ増設機器更新伴い程制御段階

的変更追結大規模い最中成型時間管理厳い

程い良中間品散瘠的製造象瘠生う変更計画

支来少い機会損失瘠生

部瘠生

象

調査直近実施変更行複数処理行う当

程処理い行い経過時間算出等制御

計算生結当成型時熱処理時間影響えわ

原因要因調査う状況あわ

変更結行う処理組合わ増状態場合

長熱処理 PID時間計算

5ms 超えう非常稀計算値論

(60)

元々外界入力変数多う値域状態数及

変数条件組合わ動作非常多

様書全述い割込処理荷最大算

十把握情況

担当者経足あ程制御処理荷最大状態設計的

予見い検査様複雑荷組

合わ試足い荷限界足い

割込処理間変数処理相互書込

い様案起能性あ確認作業中

わ

然防

策

直接原因策

問 PID制御時間行う最超えい

う処理連箇い様確認作業実施

設計程

特処理処理割込処理間変数割込

Mutual Exclusion 相互排問瘠生常あ基的配慮必要

処理時間変数う状態数

状況機能動作処理時間出 WCET 最実行時

(61)

静的解析利用確認う手設計組込人

差能限抑要あ

排処理等時性参照透過性等組込系要基概念

等通理解習得逭

設計

静的解析利用確認う手設計組込

設計変更設計

CPU能力余裕い大規模複雑変更え場合割込

WCET 最実行時間留意

知識必須

複雑荷組合わ試限界行う

教育

(62)

教訓

23

教訓開瘠伴わい保案件構成変更瘠生場合手等作業容妥

当性確認う経

製品特  当構成 1 共 2 管理

称型方式 2 現用系/ 替系構成

実現

 現用系/ 替系い共管理商

用 RDBMS 商用RDBMS 当実現

構成

 共領域領域構成

 当予防保全半 1回再起動実施期保作業

再起動運用使用手実施

1. 現用系停

2. 現用系商用RDBMS停 → 起動

3. 現用系起動

 あ期保作業終了 1 保案件実現一部運

用領域追

観察現象期保作業再起動現用系/ 替系立

顧客新規入瘡録

部瘠生

象

現用系商用RDBMS 再起動通常起動

結起動失敗替系替え起動試様商

用RDBMS再起動失敗

原因要因  期保作業現用系停領域

現用系商用RDBMS再起動時

 既機能影響及回避保案件利用

領域起動

領域作成

 実現各種機能領域確認応既機能影

響い思い込再起動実施

 問保案件運用応通常開瘠異

作業適用要件義書手書目作成留い

(63)

然防

策

直接原因策

 保案件領域追一部領域

再瘡録

 領域領域確保参照序性い載

作成

 必須目再起動追

開瘠伴わい保案件構成変更瘠生場合手等作業容

妥当性確認う通常開瘠適用

知識必須

相遊影響確認

保応作業容妥当性確認う

運用

(64)

教訓

24

教訓物理時間等扱う場合桁数確認

製品特電子機器製品長時間稼動試状況連撮影各種瘠生

電子機器製品表示器画像確実替わ自動機能試

装置あ PC 複数組込機器信号瘠生機器等構成

観察現象試装置電子機器製品表示器画像替応常

出力象画像誤出力場合稀あ

画像大い象外実行自動的

削機能あ保いいう問瘠生

部瘠生

象

試装置連撮影画像開始経過時間示

付[ ms] 信 Pic_<試番号>_< 値>.bmp いう

保一方試装置部浮動数数時間管理

行い値浮動数数変換各種

実行い及実行試装置保画像群中

時間一画像索象画像出力

浮動数数誤差影響一出力

い

原因要因

象画像索処理試装置部時間情浮動数数誤差

生一画像検出

例 a.画像 Pic_3_8139.bmp

b.試装置部録い画像録時間 8.1389999･･･S double

⇒b 値 1000倍値 double型 a 時間情あ 8139 long型純比

較一

然防

策

直接原因策

試装置部録い画像録時間 double 1000倍数 1桁目

四捨入 long型変換 long型士比較

浮動数誤差考慮漏い目追

設計程

(65)

設計

物理計算及系遊い留意

数含処理計算機依要素型効桁数等配慮

実装

生成時参照時型揃え

(66)

教訓

25

教訓顧客要求い目的背道意確認要求様

あいい排役立

製品特顧客注文付包瘠製品あ注瘡録瘠管理

行うあ顧客求瘠指製品瘠

う 1 配指 2 瘠

場合顧客注文付番瘠番通

う作業行い出荷指示出

例えう状況場合 A→B→C→D→E 番

付日付時間送指定日出荷予定顧客

8 2日 9:30 8 10日 0810-0900 A

8 2日 13:00 8 10日 0810-1000 B

8 2日 16:00 8 10日 0810-1030 C

8 3日 11:30 8 10日 0810-1200 D

8 3日 14:00 8 10日 0810-1430 E

観察現象近作業程必予通作業逭い多

出荷業混乱うあ時現場任者予あ

い当あ出来出荷う急改造い要

求

要求基情部門担当い N氏改善業

担当い多あ外部力会社社員X氏改造依 X氏

業経多改造い容思え最近出荷状況実

績渡あ能考え

う改造適用目論見異

状況大混乱招配業者いう

(67)

部瘠生

象

問起状況示

出荷予あいいう準備完了設実作業完了

完了時刻録出荷予参照い

う

改造準備完了中完了時刻出来出荷指示

結 5 22 B→A→C→E→D い

現場意味いう A→B→C→D→E あ

付日付時間送指定日出荷予定準備完了顧客

5 10日 12:30 5 22日 0522-1000 0522-1115 A

5 11日 9:00 5 22日 0522-1100 0522-1100 B

5 11日 14:00 5 22日 0522-1300 0522-1400 C

5 12日 11:30 5 22日 0522-1500 0522-1715 D

5 12日 15:00 5 22日 0522-1700 0522-1700 E

原因要因 X 氏出来いう言葉意味準備完了中最い

更新解釈変更い

現場任者 1時間差あ配業者手配都合あ当

初い考えい当然 2 瘠場合顧客

注文付番瘠いう要件逸脱い経問

い任者わい

経あ N氏あう現場情理解い経いX氏

理解う細い N氏明十あ

N氏領実績回う完了時刻大遅延い状態示

いい

然防

策

直接原因策

(68)

要求義程

言葉意味解釈齟齬生い変更要求領場合様確認票

目含用い顧客意道確認

［目的背］様変更追背情理等述

［要求容］変更要求様述

［変更様］要求変更容体的述

［確認署］容確認認

過去経緯現場慣習的運用い容文書実担当者理解

う教育明

要求義

要求様意背道確認あいい排

背情慣習等含要文書

(69)

教訓

26

教訓遒隔地等物理的装置ワ接稼働故等

状態検知容易い的視状態把握行う

製品特あ商品配行う物流管理配品地配品種類配

法等種自動的振動作配員指

示表示行う就業中業中断起いう管理 2 い表示装

置構成い

観察現象あ時構成変更伴いあ建移設

移設表示装置一表示い作業

態瘠生態確認ういう当表示装置

多表示容替わいいう状態配稼働率影響え

部瘠生

象

調査最初配指示表示装置い

わ管理作業指示表示処理全体的遅滞いわ

原因要因確認う状況あ明

表示装置故備え管理期的 ping

行い信 TCP 行わい

最初異常表示装置い LAN 生い状

況あ応答返い側装

置故断作業指示信

応答あ表示装置自体い信

信滞留わ

(70)

然防

策

直接原因策

信長変管理う変更

ping 信処理 TCP 相手装

置状況確認行うう検討

遒隔地等物理的装置ワ接稼働故等

状態検知容易い的視状態把握行う

要求義

遒隔地機器保様検討

設計

遒隔機器監視手段信性十検討

遒隔機器害模擬異常行う

＜表示装置＜管理

メッセーキュー

指示作成送信

：ping 送信：TCP 建屋B

(71)

教訓

27

教訓様外想外象瘠生前提自己防

衛策

製品特あ公共的業行うあ各等設置い多数端

装置構成い業信多業

時性要求業あ社製品

ワ多数接い

観察現象業処理追変更行う変更伴い端装置側

更新作業い更新端装置一斉異常停

う態瘠生多復一時的いえ公

共業運営支来態

部瘠生

象

等調査あ外部配信形跡あ

原因あ明

原因要因端装置信信中制御

う解釈行う処理い値

確認

制御解釈

1 A 2 B 3 C 4 D

5 追予 X

信い 1 2 信いう従来全体

共通様義い制御 1 2 い場合棄

い

一方業処理変更伴い新応値追

時状況応処理振実行いう様追端

側処理変更 X 追予い

従来様範

(72)

一方 X 様確値 5 外

う実装十状態あ

当外部信制御確認確

値 5 処理異常停

然防

策

直接原因策

当初様あ制御値外棄う

要求義程

設計程

程

配信自社外装置推察追求困あ

う様外象害要因考え

自己防衛策様外場合備え例外処理確実実装

要求義

環境想

設計

様外象時処理十検討

(73)

教訓

28

教訓等COTS*製品動作様相遊等情者

参照う

製品特某団体基業一 24H 運転必要全

国何様業稼働主系従系 2

構成い

観察現象業運用様変更伴いあ 2 主系

行主系異常従系替わ

全体稼働停両系停当業支来い大

経損出うあ

部瘠生

象

調査書い

監視領域溢系替え瘠生い

わ

原因要因出力容録象微

妙遊いあう程録等構成

設

従来変わ場合環境動作試

行い変更場合必全細目

実施い

回業様変更伴い実施

細容認識い稼働

(74)

然防

策

直接原因策

回変更暫処置

期的削処理追

現地変更作業当作業手測態処い前確認確実実

施

異挙動設様相遊専門組織

前検証識者確認検討

COTS* 動作様遊いい社等既知情提

供設計者常閲覧確認う環境整え益あ

*COTS Commercial Off-The-Shelf 商用既製製品

COTS 影響前検証

教育

COTS 術情容易う

あ前提開瘠考慮

運用

(75)

教訓

29

教訓複数業体要者立場視想う

害瘠生効的機管理体制構築

製品特米広域わ地域総延長200,000 950,000 ワ及電力電網(Power Grid)

観察現象 2003 8 14 米地域大規模停電瘠生 5000 人停電影響被

被害総 40～100億及

部瘠生

象

当あ FirstEnegy社 5 瘠電過荷自動停瘠生時電網監視警瘠失敗 1500MW 荷衡

あ通知電線電力流熱電線周あ伸

木立垂接触電停結当電線

電網連鎖的停電態

原因要因調査背要因含う状況あわ

UNIX 作い FirstEnegy 社電網監視警瘠

生処理い開始 30 主系従系

含異常伝

画面応答遅 FirstEnegy社 IT要員

認識運転員知運転員顧客電連絡

異常知

FirstEnegy社運転員地域統括要員当全体理解

十あ適処行う

電線周辺木立電線垂短絡故起いう剪

い剪垂電線

FirstEnegy社運転員地域統括要員等

いあ地域網い脆弱性十把握非常

時応い訓練い

然防

策

改良警確迅速状況診断機能電網問迅速確認

載

全般見直実施広範わ

監視設置

(76)

当ワ全十理解う運用手書教育

改訂

非常態応計画策木立剪作業実施強

件得 NASA 教訓

全体設計要件当者合い

全体運用情確提供

い

能限全測態考慮状

況断能力効的機管理計画策運用

運用者当全体確実理解被害連鎖大

減能

業成い大最大限強調

あ

出 NASA SYSTEM FAILURE CASE STUDIES,

https://nsc.nasa.gov/SFCS/SystemFailureCaseStudy/Details/16

要求義

害瘠生時処考慮全体要件明確

設計

運用状況情表示害瘠生時必要機能留意

教育

運用者当全体知識確実理解

的運用わ部門

運用

(77)

教訓

30

教訓過去資産使用場合容当時方法い

考慮

製品特通信

地局無線通信打時 S 1,700～2,300MHz 使用軌遈 Ku 15,250～17,250MHz 自動的替わ組

い一 Ku 替わ S Ku 異常処

使用うい

体中央部あ貨物通信 PSP Payload

Signal Processor 行わ無線確立

様い無線貨物移動貨物室貨物

使用

観察現

象

2008 11 14 打い軌遈

遉時管制局 2 通信機構打軌遈自動的

替わいい気い無線通信 Ku S あ

貨物室通信替わ無線いい S Ku

替え貨物替え手動操作実施無

還

部瘠生

象

通信潜い原因あ打立

1989 変更降数回わ変更作業作込あ

出力 compool command data

pool) い出力 compool 偶数

配置決い慣習的ワ配置使用

ワ配置指 4 使用

通信自動替実行管理 compool 出当

通信機能制御 GCIL Grand Command Interface Logic 出

原因要

因

1989 変更作業い新追 GCIL ワ配

教訓集（組込みシステム編） 重要インフラ分野のシステム障害への対策：IPA 独立行政法人 情報処理推進機構

本書

構成

使い方

全体目

序言

ＰＡＲＴ

教訓集

編

PART

目次

1.

め

1.1

背景

目的

1.2

IPA/SEC

取組

意義

1.3

本教訓集

特徴

2.

情

処理

高信頼化教訓集

製品

制御

組込

編

2.1

未然防止知識収集

方針

2.1.1

概要

2.1.2

未然防止知識

想定利用者

2.1.3

収集

整理手順

2.2

教訓

教訓

1

教訓

2

教訓

3

教訓

4

教訓

5

教訓

6

教訓

7

教訓

8

教訓

9

教訓

10

教訓

11

教訓

12

教訓

13

教訓

14

教訓

15

教訓

16

教訓

17

教訓

18

教訓集（組込みシステム編）重要インフラ分野のシステム障害への対策：IPA 独立行政法人情報処理推進機構