11.22, ET2013 D-Case の実証評価の取り組み 山本修一郎 DEOS Project, 名古屋大学 2013 Dependable Embedded OS R&D Center

D-Caseの実証評価の取り組み

山本修一郎 DEOS Project,

名古屋大学

主な話題



DEOSにおけるD-Caseの位置づけ



パターンライブラリの構成



適用事例



今後の展開

DEOSプロセスとD-Case, D-Script

障害対応サイクル

変化対応サイクル

テスト

検証

設計

実装

ステークホルダ

合意

要求抽出・

リスク分析

合意形成

開発

障害対応

D-Case

D-Script

合意記述データベース

通常

運用

予兆検知・

障害発生

目的変化・

環境変化

説明責任遂行

原因究明

迅速対応

未然回避

D-Caseの例（システム参照モデル分解パターン）

前提

主張

戦略

D-Caseの全体構成例

要件定義

設計

製造

試験

サービス戦略

要件定義 D-Case

設計D-Case

製造D-Case

試験D-Case

サービス戦略D-Case

開発D-Case

運用D-Case

開発

プロセス

運用

プロセス

サービス設計

サービス移行

サービス運用

継続的サービス改善

サービス設計D-Case

サービス移行D-Case

サービス運用D-Case

サービス改善D-Case

DEOSプロセス

DEOS D-Case

DEOS プロセスD-Case

DEOS

プロセス

D-Caseパターンの構成

説明対象

D-Case

説明

既存D-Case

証拠文書

証拠分解

対象の表記法

対象が持つ共通構造

対象分解

参照モデル分解

条件分解

_推論分解

再分解

D-Script

迅速対応

運用監視

議論分解パターンの分類

分類

説明

対象分解

対象物の構成に基づいて主張を分解

条件分解

対象条件に基づいて主張を分解

参照モデル分解

参照モデルに基づいて主張を分解

推論分解

背理法や帰納法によって主張を分解

証拠分解

主張を証拠によって分解（説明）

再分解

既存のD-Caseを用いて主張を分解

パターンライブラリの構成

パターン 分類

説明

記述法

15

アーキテクチャ, 機能, 属性, 完全化, プロセス, プロセス依存関係 , 階

層化, データフロー図, ビュウ, ユースケース, 要求, 状態遷移, 運用要

求, シーケンス図, ビジネスモデル

参照モデル

11

DEOS プロセス,リスク, 組み込みシステム, コモンクライテリア, 要求

テンプレート, システム境界, 欠陥モード, 非機能要求グレード, テス

トケース, 問題フレーム,ITILプロセス

条件

7

ECA, 条件判断, 代替案選択 , 矛盾解消, 平衡化, 改善, 明確化

推論

5

帰納法, 消去法, 否定推論, 反駁

証拠

11

法制度, 形式的証明, モデル検査, 試験成績書, 合意文書, レビュ報告書,

シミュレーション, 評価報告書, 説明書,

モニタノード

_{, 文書}

再利用

2

水平分解、垂直分解

注）

モニタノードに

D-Scriptを対応付けることにより、監視条件からの逸脱に迅速対応

完全分解パターンの例

実証評価研究会

D-Case活用事例

分野

事例

適用組織

自動車

エンジン制御開発への適用

石崎 直哉氏 （トヨタ）

衛星

超小型人工衛星への適用

田中康平氏(NESTRA)

ロボット

ロボットの衝突安全性保証

加賀美 聡 氏(産総研)

ロボット

ETロボコンへの適用

伊東 敦 氏 (富士ゼロックス)

ロボット

ETロボコン要件定義

宇都宮 浩之氏（デンソークリエイト）

ポータル

非機能要件保証

名古屋大学

ビジネス

受入テスト十分性保証

名古屋大学

ｴﾝｽﾄ D-Case 例

トヨタにおけるｴﾝｽﾄ評価・開発のﾌﾟﾛｾｽを

D-Caseに実装

超小型人工衛星への適用例

1.

保証範囲を定義

2. アシュアランスケースを記述

3. 記述結果をチェック

システムエンジニアリング

のV-modelに沿って，

段階的にアシュアランスを記述

田中康平氏

ロボットの衝突安全性保証例

ETロボコンへのD-Case導入効果例



要求から要素技術とその検証結果まで容易に辿れる

ドリフトターン

ポイントごとに検討 _{走行戦略：ターン経路をソ} ナーで決めて、旋回、直 進でペットボトル間を通過 する(P4) 前提条件： 直進、旋回性能が高いた め3点倒立走行をする ターン経路検知 誤った位置で ドリフトを開始しない 走行できるよう旋回できる直進してペットボトル間を 正確に直進できる旋回位置まで リスク対策を検討 ターン経路探索時に ペットボトルの位置 を誤解しない ソナー指向性 実験結果 停車すべき位置への 停車率の検証結果 指定した旋回角 精度の検証結果 走行距離精度の 検証結果 ドリフト走行 リスク対策を検討 E8

階段

前提条件：_{・階段をのぼる際にはバランスを保ちやすいた} め3点倒立走行をする 走行戦略：階段のぼりは3点倒立走行、90度 ターンはライントレースで通過する(P4) ポイントごとに検討 階段のぼり 90度ターン 階段くだり リスク対策を検討 リスク対策を検討 リスク対策を検討 直進しても 脱輪しない 角度で階段を のぼれる 階段をのぼる ときに バランスを 崩さない 速度不足で 段差をのぼ れない 垂直入射の 検証結果 よいしょのぼり の検証結果 必要速度の 検証結果 急旋回して 走行路を保てる 設定P係数と 旋回成功率の 検証結果 階段をおりるときに バランスを崩さない 2輪走行の 走行成功率 階段をおりた後に 走行路を見失わない 階段通過後の ライン復帰成功率 E11 E12 E13

シーソー

前提条件： ・シーソー上での3点倒立走行は転倒のリスクが高いため2輪走行をする ・シーソーダブルをクリアする 走行戦略：2輪で走行し、シーソーの傾きに応じて ジャイロ補正して走行体をブレーキする(P4) リスク対策を検討 直進しても 脱輪しない角度で シーソーにのぼれる シーソー接地の衝撃に 耐えられる 設定ジャイロ値と 接地成功率の検証結果 進入角度と成功率_{の検証結果} 指定距離で停車して シーソーから落下しない 走行距離精度 の検証結果 シーソーに乗り上げた ことを判断できる 衝撃検知 の検証結果 E15 E14 ステートマシン図(P3) 効率化の方針ごとに検討 開発者ごとの作業量を軽減 手戻りを防ぐ 実現手段を検討 バグを発生させない 設計図を 検証できる 設計図からコードを 自動生成できる BridgePointによる コード自動生成率 DSLでの走行 戦略コード生成 時間改善率 モデル検査によるス テートマシン/タスク スケジューリングの 網羅検証結果 UT報告書 Verifierによるフ レームワークの 設計検証結果 コード解析 結果 単体テストを自動化し て機能拡張時のテス ト時間を削減できる イタレーション開発で 走行体を理解しながら 要件を獲得できる UT報告書 （テスト 実行回数） 要件 管理表 WBS 実現手段を検討 修正の度に単体 テストできる 実現手段を検討 ドメインを 分割して並行に 分担作業できる ドメイン 分析結果 クラス図(P2) タスク設計(P3) WBS

効率的な開発

E2 E3 E4 E5 E6

時間をかけずに

総合優勝する

目標要素 ごとに検討 総合優勝 評価要素 ごとに検討 モデルで エクセレント 走行で優勝 記載を省略 優勝するための_{要素ごとに検討}

効率的な

開発

難所ごとに検討 ボーナスステージで 最高タイムを獲得

リタイア

しない

短い時間

で走行

階段

シーソー

ルックアップ

ゲート

ドリフト

ターン

ガレージ

イン

短い時間で走行

実現方針を検討 できるだけ最速（3点倒立走 行で最大前進値）で走行 最短経路 で走行 実現手段を検討 カーブで外輪は最 大速度で内輪は 速度を下げる 各車輪の 速度のログ 走行体を後方へ倒 して斜面での転倒を 防ぐ 斜面の傾きと 転倒しない走行体 傾斜角度の検証 結果 実現手段を検討 PDライントレース コース形状に 沿った走行軌 跡の検証結果 E1

リタイア

しない

外部要因 を検討 光（明るさ） リスク対策 を検討 光の幅変化の 影響を受けない 影響を受けない太陽光の 影響を受けない水銀灯の バンド調整に よる輝度値の補正 結果の検証結果 外乱光除去 フィルタによる 軽減率の検証結果 ローパスフィルタ による軽減率の 検証結果 摩擦 E7 電池残量 リスク対策を検討 摩擦によらず指定 速度で走行できる PI速度制御の 検証結果 残量によらず指定 速度で走行できる リスク対策を検討

地区大会で新たに発見した

リスク及び対策を追加

ガレージ

イン

リスク対策 を検討 走行戦略：灰色マーカーから ガレージまでの距離を 指定して停車する(P4) ガレージの入口を 誤らない 壁に衝突しない マーカーエッジチェ ンジによる灰色検知 精度の検証結果 走行距離精度 の検証結果

ルックアップ

ゲート

走行戦略：走行体を倒して、 ライントレースにより ゲートをくぐる(P4) 傾斜時 輝度補正の 検証結果 リスク対策を検討 姿勢変更時 に倒れない 緩やかな 停車の 検証結果 PID尻尾制御 の検証結果 走行体角度を 変更しても ライントレースできる E9 E10 エビデンスに マークが付加されているものは、 この後のページでその証跡を示す。 示す証跡は重要度を考慮して選択した。 E ※スペースの都合上、D-Caseは分割して掲載している。 E16 目標①： 各コースとも に25秒 目標②：難所 すべてクリア 目標⑤： 上流工程で 不具合検出 目標⑥： 工数削減 目標⑧： 並行開発 目標③： リタイア せず完走 下位ゴールが 満たされれば その上位ゴールも 満たされる エビデンスによって 上位ゴールを保証する D-Case記述方法 名称 図形要素 説明 ゴール システムが達成すべき性質 ストラテジ 親ゴールを達成するアプローチの観点 コンテクスト ゴールやストラテジを議論する前提情報 エビデンス ゴールが成り立つことの証跡 P5 P5 P5 P2 P3 P3 P3 P3 P5 P5 P4 P4 P5 P4 P5 P5

トップゴール

伊東 敦 氏

ETロボコンへの適用例

非機能要求の定量評価指標のD-Caseによる保証

可用性を達成している

可用性特性で説明する

可用性の特性を達成している

特性指標について説明

特性指標を

達成している

特性指標を

達成している

証拠

テスト十分性に対するD-Case作成手順

要求仕様

要求記述表

要求逸脱分析表

結合テスト項目

正常系一覧

結合テスト項目

例外系一覧

テストD-Case

高信頼ADMの課題

ADMフェーズ

Assured ADM

準備

①アーキテクチャリポジトリでの証拠文書と保証ケースの格納

②

ディペンダビリティ委員会での主張間の優先順位の合意

A.アーキテクチャビジョン

①

ディペンダビリティスコープ定義

②

主張の定量評価尺度定義

③保証ケース能力評価

④ディペンダビリティパラメタ定義

B.ビジネスアーキテクチャ

①ディペンダビリティ原則定義

②

BA保証ケース作成

③BA保証ケースレビュ

C.情報システムアーキテクチャ ①

IA保証ケース作成

②IA保証ケースレビュ

D.技術アーキテクチャ

①TA保証ケース作成 ②TA保証ケースレビュ

E.ソリューション

①BA, IA, TA保証ケースを統合

②一貫性を確認

F.移行計画

①

運用管理の保証ケース作成

②ディペンダビリティパラメタ価値分析

G.実装監督

①

保証ケースの証拠を作成

②プロセス保証ケースの証拠を作成

③網羅的に主張と証拠の関係を確認

④運用に対する保証ケースをレビュ

H.アーキテクチャ変更管理

①

運用保証ケースの証拠を管理

②主張の不成立への対応策の確

認③保証ケースによるリスク管理

④保証ケースによる障害分析

組織構造の例

顧客

サービ

ス提供

者

コン

ポーネ

ント

開発者

第三者

機関

安全な提供

コンポーネント

_{の安全な開発}

コンポーネント

安全性評価

サービスは安全である

コンポーネントは安全である

安全評価は公正である

サービスで利用する

コンポーネントは安全である

安全基準の下

でコンポーネ

ントは安全で

ある

サービス

安全性評価

安全基準の下

でサービスは

安全である

サービスが安全に提供されている

D-Case部会の狙い



D-Case実証評価研究をD-Case部会として継続



D-Caseの教育



D-Case適用支援技術の研究・開発



D-Case統合環境の試行評価

ディペンダビリティ

技術推進協会

D-Case部会

ディペンダビリティ

技術推進協会

参加企業・法人

個人

D-Case技術

適用技術

導入上の課題解決

ニーズ，導入上の課題

山本修一郎 DEOS Project,

名古屋大学