Software
Engineering
C
Center
本格的なM2M時代の到来に備えた
統
信頼性 考
統合システムの信頼性を考える
2011年11月17日
年
月
日
独立行政法人 情報処理推進機構
技術本部
技術本部
ソフトウェア・エンジニアリング・センター
副
/統
プ ジ
ダ
立石 譲二
1
ET2011
Copyright ©2011IPA, All Rights ReservedSoftware Engineering Center
SEC
Software Engineering for Mo・No・Zu・Ku・Ri高度情報ネットワーク社会の登場
国民生活にとってITは水や空気のように「当たり前に」存在するもの
国民生活にとってITは水や空気のように「当たり前に」存在するもの
リレーションシップID rId3 のイメージ パーツがファイルにありませんでした。SEC
Software Engineering for Mo・No・Zu・Ku・Ri コントロ ルセンタ 太陽光発電 風力発電 小水力など自然エネルギ を電源として積極的に活用新成長戦略が描くスマートコミュニティの将来像
原子力発電所 架線レス路面電車 蓄電池を搭載した路面電車 コントロールセンター 地域のエネルギー需給を最適化するコントロールセンター • 太陽光発電、風力発電、小水力など自然エネルギーを電源として積極的に活用 • 変動の多い自然エネルギーを地域内で有効活用するため、各家庭やオフィスで余った電力を地域内で融通 • 電気バスや電気自動車の位置情報と充電状態を管理することで、これらの自動車を電力インフラとして活用 EVや電気バス同士で情報をやりとりすることにより、 エネルギーネットワークと一体になった新しい交通インフラ 急速充電ステ シ ン 原子力発電所 火力発電所 電力貯蔵装置 陸上風車 スマートビル 駅での停車時:電池に充電 駅間の移動時:電池で駆動 GPS 太陽光 EVや電気バス同士で情報をやりとりすることにより、 飛躍的な低炭素化と事故や渋滞問題の解決を同時実現 急速充電ステーション コ ントロールセンター メ ガソーラー 急速充電ステーション ITS 路面電車 気自 車 気バ 30分で80%充電 コントロールセンター ITS バッテリー交換ステーション バッテリーコンテナ 風車 ITS ITS 電気バス スマートハウス 小水力発電 センサ等を活用した農業 電気自動車 電気バス EV 電気バス 課程と結びついた病院 動作が効率化された工作機械 ・テーラーメード化された医療の 提供 ・GPSを活用した自動車両誘導 医療/ものづくりなど テレビ 洗濯乾燥機 食洗機 太陽光発電 LED照明 スマ トメ タ スマートハウス Li-ion電池 (固定式) 空調 インバータ 電気バス(将来は路面電車化) センサ等を活用した農業 EVを電力インフラとして活用 電池交換式の電気バス。将来的には複数台を連結して路面電車化 各種情報を分析し、 最適な生産手段を可能に システム 省エネエアコン ホームネットワーク ホームゲートウェイ スマートメーター Li-ion電池 (交換式) モータ 将来的に 路面電車化も視野 電力不足時:電気自動車→家庭 電力過剰時 家庭 電気自動車3
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
3
(出所)スマートコミュニティ関連システムフォーラム資料、三菱重工資料より経済産業省作成 ヒートポンプ給湯器 省 ネ アコン 電気自動車 電力過剰時:家庭→電気自動車SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri「デジタル革命」 ~エネルギーの情報化~
電力の需要と供給
例 米カリフォルニア州の一日の需要と供給予測
(2010年4月26日早朝4:00時点)
5
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri電気料金(電力量料金)の設定状況
日本の電気料金(電力量料金 季節別時間帯別)
東京電力管内の例
SEC
Software Engineering for Mo・No・Zu・Ku・Ri電力の価格調整機能(デマンド・レスポンス)
(参考)米カリフォルニア州デマンド・レスポンス・プログラム
電力中央研究所(平成23年3月) 「米国における家庭用デマンドレスポンス・プログラムの現状と展望」より7
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Riエネルギー・マネジメント・システム(xEMS)
¥
¥
¥
¥
¥
¥
¥
¥
¥
¥
ホーム・エネルギー・マネジメント・システム
ホーム・エネルギー・マネジメント・システム
(
(HEMS
HEMS)
)
(
(HEMS
HEMS)
)
9
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
統合システムとサブシステム
SEC
Software Engineering for Mo・No・Zu・Ku・Ri安心・安全 の要素とディペンダビリティ(Dependability)
可 用 性
信 頼 性
安 全 性
ディペンダビリティ
偶発的
セキュリティ
人為的
機 密 性
偶発的
人為的
完 全 性
不正アクセス
サービス妨害
バグの顕在化
操作ミス
保 全 性
HP改ざんなど
装置の故障など
SEC
Software Engineering for Mo・No・Zu・Ku・Ri情報システムの事故の状況
件数
・1~2件/月
影響
範囲の拡大
・範囲の拡大
損失の拡大
・損失の拡大
・市民の安全をおびやかす事故
・市民の安全をおびやかす事故
(医療機器・航空機・電子カルテシステムなど)
13
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri組込みソフトウェアの不具合事例
エアバスA320の墜落事故
初めて全面的なフライバイワイヤ (電気信号による自動操縦) を
採用した航空機A320 4機が墜落事故を起こす (1988~1993)
原因:コンピュータの接地検出ミス
(当初は、パイロットミスと見られていた)
Therac-25による放射線過剰被爆事故
ソフトウェア制御の放射線治療を行なう医療装置
4つの医療センターで6名の患者が莫大な被爆をし
放射線過剰被爆事故
4つの医療センタ で6名の患者が莫大な被爆をし、
少なくとも5名が死亡 (1985~1987)
原因:ソフトウェアのバグ 不十分な検査
原因:ソフトウェアのバグ、不十分な検査
SEC
Software Engineering for Mo・No・Zu・Ku・Ri求
有
依然として上流工程が課題というけれど...
製品への要求や設計思想を全工程チームで共有
製品への要求や設計思想をサプライチェーン全体で共有することは至難
企業内
セットメーカー
要求分析 基本設計セットメ カ
ハード開発 統合システム ハードウェアサプライヤ Tier1
ソフト開発 ソフトウェア“神の業”
QA ト 詳細設計 テスト コード開発Tier2
16
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・RiDependableなソフトウェアに向けた
2つの視点
1
高い品質のソフトウ アを
作る
こと
1.
高い品質のソフトウェアを
作る
こと
仕様通り
ソフトウェアを正しく作る
用途に適合した
正しいソフトウェアを作る
上流工程の品質強化:
要件定義、形式的仕様記述など
要件定義、形式的仕様記述など
SEC
Software Engineering for Mo・No・Zu・Ku・Ri上流工程の重要性 1
安全問題の多くは要件のエラー
要件を正しく実装しているが、システムの見地から安全でない
要件がシステムの安全に必要な動作を指定していない
要件の指定を超えて意図されない危険な動作をする
要件 指定 超
意図さ
危険 動作
その多くは 人間に絡む要件
その多くは、人間に絡む要件
運用の問題
運用の問題
利用上の問題など
特に、消費者向け組込みソフトウェア
18
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri上流工程の重要性 2
組込みソフトウェアの例
の不具合は要件定義工程で発生する
25%
25%
その内、
50%
50%
以上は結合テスト以降に発見される
業務ソフトウェアの例
の不具合は要件定義・設計工程で発生する
30%
30%
具
要件
義 設
発
その内、
47%
47%
47%
47%
は統合テスト以降に発見される
SEC
Software Engineering for Mo・No・Zu・Ku・Riバグはどこで混入し、どこで発見されるか?
発見工程
要件定義
設計
コーディング
トテスト
統合
ベータテスト
出荷後
計
Financial Electronic Data Interchange (FEDI)ソフトの例
混入工程
設計
ユニットテスト
統合
ヘ タテスト
出荷後
計
要件定義
6 7
%
9 5
%
6 1
%
5 3
%
2 8
%
30 3
%
設計
6.7
9.5
6.1
5.3
2.8
30.3
コーディング
コ テ ィンク
ユニットテスト
-
32.2
14.3
6.3
5.0
57.8
統合
-
-
7.9
1.8
2.3
11.9
計
6.7
41.7
28.3
13.3
10.0
100
20
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri上流工程の品質向上策:形式的仕様記述
形式手法の利用レベル
レベル0 : 形式的仕様記述
数学的な記法を用いて厳密な仕様を記述
数学的な記法を用いて厳密な仕様を記述
証明や分析までは行わない
レベル1 : 形式的開発及び検証
段階的詳細化によりプログラムを作成
機械支援に
段階的詳細化によりプログラムを作成
レベル2 : 機械支援による証明
定理証明器や証明支援器を用いてプログラムの性質を証明する
SEC
Software Engineering for Mo・No・Zu・Ku・Ri利用例 1:モバイル FeliCa 開発
要求の獲得
獲得 記述 検証
獲得 記述 検証
仕様の開発
記述
検証
記述
検証
設計
記述
検証
記述
検証
実装
記述
検証
テスト
テストの準備
実行
・分析
要件の獲得~実行
外部仕様書:VDM++ 約10万行
プロトコルマニュアル:自然言語記述383頁
22
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri利用例 2:自動改札機運賃計算
運賃計算仕様書 (約
ジ)
課題
運賃計算仕様書 (約160ページ)
運賃計算のルールを文章や表で記述
相互乗り入れの増加
運賃計算ルールの複雑化
専門知識のない設計者に
運賃計算のル ルを文章や表で記述
専門知識のない設計者に
とっては正しい理解が困難
形式的仕様
述
形式的仕様記述
• 形式的言語VDM++9400行で記述
• 記述工数 : 6人月 (仕様理解の時間は除く)
仕様書の不備指摘件数
29件
• 仕様書の不備指摘件数 : 29件
あいまいさ19件 + 矛盾3件 + 漏れ7件
(仕様書に書かれていない暗黙知 各社固有の用語 特有のル ルなど)
(仕様書に書かれていない暗黙知、各社固有の用語、特有のルールなど)
SEC
Software Engineering for Mo・No・Zu・Ku・RiDependableなソフトウェアに向けた
2つの視点
1
高い品質のソフトウ アを
作る
こと
1.
高い品質のソフトウェアを
作る
こと
仕様通り
ソフトウェアを正しく作る
用途に適合した
正しいソフトウェアを作る
上流工程の品質強化:
要件定義、形式的仕様記述など
2.
高い品質を
客観的に説明
できること
24
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
要件定義、形式的仕様記述など
SEC
Software Engineering for Mo・No・Zu・Ku・Ri自動車の電子スロットル制御に関する調査
NHTSA: 米国運輸省 国家道路交通安全局
26
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・RiNASAによる調査レポート (2011年1月)
NASA 技術安全センタ
トヨタ車の予期しない急加速問題についてのNHTSAの調査への技術支援
NASA 技術安全センタ
ー
SEC
Software Engineering for Mo・No・Zu・Ku・Riソフトウェア品質監査制度 (仮称)
第三者によるソフトウェアの検証・妥当性確認
利用者
ソフトウェア製品
監査結果・意見表明
技術説明
監査機関
事業者
監査機関
技術ドキュメント
事業者
技術ドキュメント
開発エビデンス
企業会計における会計監査と同様の役割
28
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Riソフトウェア品質監査の対象は?
組込みソフトウェア
統合系システムのソフトウ ア
統合系システムのソフトウェア
ホームエネルギー制御ソフト
監査レベル
ロボット制御ソフト 他
パッケージソフトウェア
3
4
4
4
3
3
3
3
4
4
4
4
←
産
監査レベル
パッケ ジソフトウェア
その他
4
3
2
1
1
1
2
3
4
4
3
3
3
3
3
2
2
2
産
業へ
の
影
2
2
4
4
3
1
0
3
1
0
0
影
響度
利用者への影響度 →
SEC
Software Engineering for Mo・No・Zu・Ku・Riソフトウェア品質監査制度 (仮称) の枠組み
ソフトウェア製品
プロダクトおよび開発プロセス
監査
対
プロダクトおよび開発プロセス
監査機関
対
象
基準となる品質特性
審査員
審
監査
基準となる品質特性
基準となる手法
基準となるプロセス など
査基
準
認定
準
認
認定
認
定基
準
認 定 機 関
30
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri制度に対する主な要件
国際的
な制度
先端開発にも適応できる高い
機密保持性
を持つ制度
ストとのバランス
が取れる制度
コストとのバランス
が取れる制度
義務ではなく
任意の制度
義務ではなく
任意の制度
既存の規格認証との重複が少ない/しない
制度
システムに関係する
複数の業界で共有・支持できる
制度
制度
品質向上に有効
品質向
有効
な制度
な制度
SEC
Software Engineering for Mo・No・Zu・Ku・Riソフトウェア品質監査の観点
各工程での作業の妥当性
採用規格・技術の妥当性
採用規格 技術の妥当性
従事者の妥当性
利用者要求への充足性 など
利用者要求への充足性 など
既存の認証/監査を補完、重複を避ける
実
施
基
実
施
基
運用テスト
要件定義
ト
施
状況
の
証
基
づ
く
確
施
状況
の
証
基
づ
く
確
外部設計
内部設計
システムテスト
結合テスト
証
拠に
確
認
証
拠に
確
認
内部設計
プログラミング
結合テスト
単体テスト
32
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri開発へのインパクト
開発プロセス
作
準
開発工程・作業項目・手順の標準化
開発手順の忠実な実施
開発手順の忠実な実施
実施状況の証跡
第三者の理解し易い開発
形式的仕様記述、モデルベース開発など
標準
準拠
標準への準拠
ツールの活用 など
ツ ルの活用 など
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
現場カルチャーや業務ドメインの壁を越えた連携
34
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
ET2011
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・RiDependabilityを確立するための
2つの視点
1
高い品質のソフトウェアを
作る
こと
1.
高い品質のソフトウェアを
作る
こと
2
高い品質を
客観的に説明
できること
2.
高い品質を
客観的に説明
できること
ソフトウ ア品質監査制度 (仮称)
ソフトウェア品質監査制度 (仮称)
36
Software Engineering Center
Copyright ©2011IPA, All Rights Reserved
