第 10 回 WOCS2 アシュアランスケースにおける品質到達性と トレーサビリティを考慮した記述ルール提案と 超小型衛星開発への適用評価 田中康平 1, 松野裕 2, 中坊嘉宏 3, 白坂成功 1, 中須賀真一 4 1 慶應義塾大学大学院システムデザイン マネジメント研究科 2 名古屋大学情報連携

第

10回WOCS2

アシュアランスケースにおける品質到達性と

トレーサビリティを考慮した記述ルール提案と

超小型衛星開発への適用評価

◯田中康平1，松野裕2，中坊嘉宏3，白坂成功1，中須賀真一4 1 慶應義塾大学大学院システムデザイン・マネジメント研究科

CONTENTS

‡ 導入 ‡ アシュアランスケースについて ‡ アシュアランスケースについて ‡ GSNについて ‡ D-Caseについて ‡ 適用結果 ‡ 適用対象 ‡ ガイドラインに沿った記述方法 ‡ 品質保証の流れ ‡ 提案する記述方法 ‡ まとめ 第10回 WOCS2 2012/09/28

2

導入：アシュアランスケースとは？

品質を保証する方法として，アシュアランスケースを利用

－GSNをベースとしたD-CASEを利用

●アシュアランスケースとは？

（ UK Defence Standard 00-56 Issue 4: の定義より）

想定している環境下において，システムが正しく動作することを， 構造化することによって，体系立てて保証する方法． Safety Case システムの“安全性”に 関して保証 Assurance Case システムの“品質”に

導入：アシュアランスケース構築の流れ

2012/8/1

4

① ② ③ ①Preliminary Safety Case ：要求仕様の整理 ②Interim Safety Case ：設計と検証の整理 ③Operational Safety Case ：全てを保証

参考：Arguing Safety – A Systematic Approach to. Managing Safety

導入：

GSNについて

●_{GSN（Goal Structuring Notation）とは？}

プロジェクトで要求する品質をトップゴールに定め，

そこから，ストラテジを用いて，サブゴールの導出を行う．

このことから，ゴール間の依存関係の定義を行うことができる．

特徴は，論理的な飛躍は起きず，要求の漏れを防ぎながら，

導入：

GSNの主なノード

Goal：1 電源システムは 「死なない」 Context：1 電源システム は2年間動作 Strategy：1 正常/異常時に 分けて保証する Evidence：1 TableSat試験 結果報告書 ノード名 記述内容 ゴール 保証したいこと，命題 コンテキスト 各ノードに対する制約・条件 ストラテジ 命題を分けるときの観点・考え方 エビデンス 命題を保証する証跡・根拠 第10回 WOCS2 2012/09/28

6

導入：

D-CASEについて

DEOS（Dependable Embedded Operating Systems for Practical Use）

で開発中の，ステークホルダ間の合意形成のために構造化されたドキュメント Timらが提案するGSNをベースに，モニタリングという概念を追加． このことにより， ◯納品段階のシステムの保証 だけでなく ◎運用まで含めたシステム開発の全ライフサイクルにおける保証 が可能となる 第10回 WOCS2 2012/09/28

8

Yutaka Matsuno, Hiroki Takamura, Yutaka Ishikawa, (2010):A Dependability Case Editor with Pattern Library, IEEE 12th HASE2010

導入：

D-CASEの主なノード

Goal：1 電源システムは 「死なない」 Context：1 電源システム は2年間動作 Strategy：1 正常/異常時に 分けて保証する Evidence：1 TableSat試験 結果報告書 Monitor：1 BATの充放電 ノード名 記述内容 ゴール 保証したいこと，命題 コンテキスト 各ノードに対する制約・条件 ストラテジ 命題を分けるときの観点・考え方 エビデンス 命題を保証する証跡・根拠 モニタ 運用状況のチェック内容

導入：

D-CASEの記述例

2012/09/28

適用対象

Hodoyoshi-3 リーズナブルなコストや信頼度で世界をリードする超小型衛星を利用 や打上げを含めて開発する「ほどよしプログラム」で開発される_50kg級 超小型衛星の3号機である． 開発主体は東京大学と次世代宇宙システム技術研究組合であり， 地球観測をミッションとする．

適用対象

「ほどよし人工衛星_{3号機 電源システム」に関して記述} 電源システムの求める品質（トップゴール） 「電源システムは死なない」 ＝運用期間中搭載機器に電力を供給し続ける 第10回 WOCS2 2012/09/28

12

ガイドラインの記述方法における課題

ガイドラインの記述方法の問題点 1. 網羅性の判断が難しい問題 2. 要求される品質を達成したかどうかが判断しにくい問題 3. フェーズ間のトレーサビリティが取れない問題 第10回 WOCS2 2012/09/28

14

→実適用性を上げるために，記述ルールを追加

品質保証の流れ

１．機能図の作成 • 各機能の定義 • 保証範囲の明確化 • 使用条件[期間・環境etc]の定義 • 各種資料の作成 ２．D-Caseを記述 • 保証したいサブシステムに関してD-Caseを記述する • ゴールをストラテジによって分解する • 各ゴールに対して必要があればコンテキストを追加する • 各ゴールに対してエビデンス・モニタを追加する ３．記述したD-Caseをレビューする • 機能図とD-Caseでの言及範囲を比較する • ゴールとサブゴール間に抜け関係がないことを確認する

１．機能図の作成

2012/09/28 第10回 WOCS2

16

MOBC Parameter ・Enable/Disable →Control_ON/OFF ・Level1/Leve2…

→The Level of threshold ・Threshold

→[V/A/degC/Time]

PCU

2.BAT-monitor

[Bat_V/Bat_I/Bat_temp] 6.SW Control

7.Over Voltage Control 8.Under Voltage Control 9.Under Temperature Control

BAT 10.BAT-Temp.x2 11.HTR-1/2[2W] Power Out J6 13.LIBM[2P8S] J4 3.HTR Control J10 J1 5.SW Control MOBC/AOBC/B-PDU M-PDU/SHU/RCS]

1.Over Voltage Control 4.Over Current Limit

J8 J9 蓄電機能の構成 +使う環境・条件を定義 保証範囲の明確化 機能の構成を記述し， 保証する範囲の明確化を行う

品質の到達性

2012/09/28 第10回 WOCS2

18

Goal2 LIBMの充電機能は 失われない Evidence：1 充電試験結果報告書 レビュー会の結果 Monitor：1 24V<Bat_V<32V Bat_I Strategy1 LIBMの充電機能と PCUの充電機能に 分けて保証する Context1 充電機能は3重 冗長構成である 各ゴールにエビデンスを付加することで， ゴールが達成していることを確認する ゴールを保証する資料・根拠を記述

トレーサビリティ

Goal2 LIBMの充電機能は 失われない Evidence：1 充電試験結果報告書 レビュー会の結果 Monitor：1 24V<Bat_V<32V Bat_I Strategy1 LIBMの充電機能と PCUの充電機能に 分けて保証する Context1 充電機能は3重 冗長構成である 各ゴールにコンテキストとモニタを付加することで， ゴールが達成していることを確認する

記述結果外観

第10回 WOCS2 2012/09/28

20

充電機能に関して 充電機能に関して 温度機能に関して トップゴール 「蓄電システムは「死なない」」 + 使用する環境・条件を定義

記述例

2012/09/28

記述例

上のゴールを分解

モニタできないことを許容 試験で保証

記述例

2012/09/28 第10回 WOCS2

24

上のゴールを分解 モニタできないことを許容 試験で保証 前提条件を記述 今のフェーズではこれ以上記述できないため ここで記述終了 レビューで保証

３．記述した

D-CASEをレビューする

Test DR

1. Over Voltage Control OK OK OK OK 2. Bat-monitor OK OK OK OK 3. HTR Control OK OK OK OK 4. Over Current Limit OK OK OK OK 5. SW Control (PCU) OK OK OK OK 6. SW Control (MOBC) OK OK OK OK 7. Over Voltage Control OK OK OK OK 8. Under Voltage Control OK OK OK OK 9. Under Temperature Control OK OK OK OK 10. Bat-temperature monitor OK OK OK OK 11. HTR -1,2 OK OK OK OK Evidence Monitor Goal Item 網羅性の判断 機能図と記述したAssurance Caseのゴールを比較し， 記述範囲の網羅性を確認する

まとめ

●人工衛星電源システムに関して品質を保証するための方法を提案し， ◯記述結果を報告した． △Assurance Caseを記述する上での課題として挙げた点 1. 網羅性の判断が難しい問題 2. 要求される品質を達成したかどうかが判断しにくい問題 3. フェーズ間のトレーサビリティが取れない問題 63rd IAC in Naples 2012/10/03

26

まとめ

●人工衛星電源システムに関して品質を保証するための方法を提案し， ◯記述結果を報告した． △Assurance Caseを記述する上での課題として挙げた点 1. 網羅性の判断が難しい問題 →機能図との比較により網羅性を判断 2. 要求される品質を達成したかどうかが判断しにくい問題 →各ゴールにエビデンスを付加 3. フェーズ間のトレーサビリティが取れない問題

ご清聴ありがとうございました．

第10回 WOCS2 2012/09/28