2 コンシューマデバイス規格 (Safety Sensitive Consumer Devices(SSCD)) の概要コンシューマデバイス規格自動車介護ロボットスマートハウス目的 : コンシューマデバイスという製品カテゴリーに対するディペンダビリティの保証特徴 : 日本主導型の製品の開発方法

(1)

コンシューマデバイス規格における規格策定方法論

2014年07月29日

（独）産業技術総合研究所

セキュアシステム研究部門

システムライフサイクル研究グループ

田口研治

ET-WEST 2014 IPA ブースプレゼン資料

(2)

コンシューマデバイス規格

自動車

介護ロボット

スマートハウス

・・・

目的：

コンシューマデバイスという製品カテゴリーに対するディペ

ンダビリティの保証。

特徴：

日本主導型の製品の開発方法論とシステム保証の枠組み。

システム保証

開発方法論

ディペンダビリティ保証

の枠組み

素早い反復開発

ソフトウェアに物理学を

（Physics in software）

使用実績（Proven-In-Use）

規格の主目的：

コンシューマデバイス規格（Safety Sensitive Consumer Devices（SSCD））の概要

ディペンダビリティーケースによるシ

ステム保証

使用実績（Proven-in Use）によ

る安全性の保証（フィールドデータ

に基づいた使用実績と、利用条件

などにより規定）

制御装置の動的振る舞いモデル

変化する要求への対応

(3)

• OMG (Object Management Group) System Assurance Platform Task Force

– 座長

• B. Calloni (Lockeed Martin)

• D. Campara （KDM Analytics)

• K. Taguchi （AIST)

• 2013年度のIPA/SEC コンシューマデバイス安全標準化 WG

– 主査（新誠一、電気通信大教授）、副査（田口研治、産総研）

– メンバー（大畠明、石崎直哉（トヨタ）、金川信康（日立）、中川雅通（パナソニック）、中坊嘉宏（産総

研）、松野裕（電気通信大）、宮崎比呂志（富士通））

– オブサーバー（秋山進（デンソー）、有馬仁志（dSPACE Japan）、神余浩夫（三菱電機）、小谷誠剛

（富士通）、坂本佳史（アイ・ビー・エム）、白坂成功（慶応大）、ジェフ・ビグズ、西原秀明（産総研）、関

谷眞（本田技研）、瀧澤祐太、松本正倫（経済産業省）、平鍋健児（チェンジビジョン））

– IPA 研究員（内田功志）

• 2014年度の活動

– 大畠明、石崎直哉、渡邊智（トヨタ）、春山浩行、内田功志（IPA）、田口研治（産総研）、宮崎比呂志

（富士通）、松野裕（電気通信大）

規格策定の母体

標準化の母体

(4)

コンシューマデバイス規格（SSCD）の分類

• ゴールベースの規格

– セーフティーケースによる安全の保証と

主張の系列に準じている

• メタ規格

– 他の規格の母体、ガイドラインとなる

規格

Def-Stan 00-56 [5]

（英国の軍事備品の安全規格）

ISO 26262 [6]

（車載組込みの機能安全規格）

Railway Safety Case Regulation

（英国の鉄道規格）

ISO/IEC Guide 51

IEC Guide 104

SSCD

ISO 26262 Smart House Service Robots

(5)

ディペンダビリティプロセスの定義

Dependability Assurance Framework for SSCD Specification の構造

Dependability Assurance Case Template

(DAC)

Dependability Conceptual Model

(DCM)

Dependability Assurance Framework

Dependability Process Model

(DPM)

ディペンダビリティ保証の枠組み

ディペンダビリティケースによる保証の構造記述

(6)

モデルベース規格策定方法論（Model-based Design Methodology for

Standards/Guidelines）

• 国際規格やガイドラインを、モデルベー

スで策定するという方法論。

• モデルの記述のために、自然言語より

正確に記述できる言語・表記法を利用

–

規格の曖昧さの排除

–

ステークホルダ間の合意形成を支援

• 将来的には、ツールにおいて実行可能

な規格の策定を目指す。

従来と同じ規格・ガイドライン

規格のモデル

規格の実行可能なモデル

例えば、UML プロファイルで記述。

 安全分析ツールや、何がトレーサブル

かどうかなどを記述

 ツールが解釈することで、成果物

と規格との適合性確認が自動的に可能

[18] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC

2013

(7)

DAC (Dependability Conceptual Model) 概要

 全体をUML のパッケージで記述

 主要概念のカテゴリー毎にサブ

パッケージとして記述

 抽象度が高いレベルで概念を記述

 他の規格の概念を導入することが可

能（プラグイン機能）

パッケージ間の依存関係

Architectural Concept：システムアーキテクチャに関する部分

Dependability Assurance Concept パッケージ：ディペンダビリティの保証に関する部分

System Environment Concept: システムとそれを取り巻く環境に関する部分

Requirement Concept: 要求に関する部分

Dependability Process Concept: ディペンダビリティプロセスに関する部分

この部分について詳細に

説明

(8)

 ディペンダビリティ保証のレベルの定義

概念モデルと、概念の定義が英語

で記述されている。

 規格策定における概念定義に関する議論が容易

 規格の利用者の概念に対する理解が容易

(9)

IEC 61508 における SIL の記述

• 安全評価のための基準である、

Safety Integrity Level （SIL）は、

ディペンダビリティ属性の一つなの

で、 Dependability Attribute

Assurance Level の部分クラスと

して定義

• Safety Integrity Level は４段階な

ので、それを枚挙型

（<<enumeration>>）として定義

• SIL は安全要件に割り振られる。

(10)

Dependability Process Model の概要

繰り返し開発

開発プロセスとシステム

保証プロセスの同時記述

(11)

Dependability Assurance Case

• 対象システムのディペンダビリティを保証する議論構造（テンプレート）を提供

システムの改変

に関する議論構造

システムの統合

に関する部分

使用実績

(12)

まとめ

• コンシューマデバイス規格の目的

–

コンシューマデバイスという製品カテゴリーに対するディペンダビリティの保証

–

日本主導型の製品のシステム保証と、開発方法論

–

OMG において規格策定作業を実施

• 規格の概要

–

ディペンダビリティプロセスの定義（Dependability Process Model）

–

ディペンダビリティケースによる保証の構造記述（Dependability Assurance Case)

–

ディペンダビリティ保証に関する概念規定（Dependability Conceptual Model）

• 規格の策定方法

(13)

参考文献

[1] V. Hilderman and T. Baghai: Avionics Certification -A Complete Guide to DO-178 (Software) DO-254 (Hardware), Avionics Communications Inc., 2008.

[2] 認証工学ＷＧ: http://www.sice.or.jp/~ce-wg/

[3] IEC 62278/EN 50126: Railway applications – Specification and demonstration of reliability, availability, maintainability and safety (RAMS).

[4] IEC 62280-2/EN 50159-2: Railway applications – Communication, signalling and processing systems - Part 2: Safety-related communication in open transmission systems, 2002.

[5] Def Stan 00-56: Safety Management Requirements for Defence Systems, 2007. [6] ISO 26262- Part 1~Part 10, Road vehicles – Functional safety, 2011.

[7] ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, version 3.1, revision 4, 2012.

[8] IEC 61508 Part 1~ Part 7 : Functional safety of electrical/electronic/programmable electronic safety-related systems -, 2010. [9] RTCA: Software Considerations in Airborne Systems and Equipment Certification, RTCA DO178C, 2011.

[10] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Guidance Material, 2006. [11] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Standard, 2006.

[12] E DIN VDE V 0831-102 (VDE V 0831-102):2012-05, Electric signaling systems for railways – Part 102: Protection profile for technical functions in railway signalling, 2012.

[13] EUROCAE WG 72: ED 202 – Airworthiness Security Process Specification, 2010.

[14] ISA: Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, ISA-62443-3-3, Draft 4, 2013,

[15] Dependability Assurance Framework for Safety-Sensitive Consumer Devices (SSCD), sysA/2013-11-01, 2013

[16] A. Avizienis, J-C Laprie, Randell, “Basic Concepts and Taxonomy of Dependable and Secure Computing”, IEEE Transactions on Dependable and Secure Computing, Vol. 1, 2004

[17] 大畠, 他, “消費者機械安全性・信頼性保証の国際標準化”, SEC journal No. 27, 2012年1月, 第7巻第4号

[18] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC 2013. [19] J. Rushby: Modular Certification: CSL Technical report, SRI International, 2001.