Í ! g r Ã É² 1 4 Í - ipa5 > p n o p j > g -technology promotion agency, japan software...

Information-technology Promotion Agency, Japan

Software Engineering Center

Software Engineering Center © 2012, Information-technology Promotion Agency, Japan

ソフトウェア品質監査制度（仮称）

～制度概要と模擬実験～

2012年5月11日

独立行政法人情報処理推進機構技術本部ソフトウェア・エンジニアリング・センター

統合系プロジェクト研究員谷津弘一

SEC Software Engineering for Mo･No･Zu･Ku･Ri

Software Engineering Center 2 © 2012, Information-technology Promotion Agency, Japan

内容

ソフトウェア品質監査制度の概要

模擬実験の紹介

品質説明について

将来に向けて考えていくべき検証技術




ソフトウェア品質監査制度の概要



ソフトウェア品質監査制度の狙い

利用者【国民】（第一者）

事業者（第二者）

監査機関（第三者）

【国民生活の安全・安心】第三者である監査機関の意見を参考に製品・サービスを安心して利用できる

監査対象：ソフトウェアが重要な役割を担う製品・サービス（例：スマートコミュニティ、自動車など）

独立検証機関設計書など

【監査のための証拠】製品・サービスのテスト結果、設計書、開発手順などの証拠

必要に応じて専門家にテストを依頼し、そのテスト結果を確認

監査を受けることで製品・サービスの顧客信頼度向上

万が一の事故の場合でも品質の説明ができる証拠がある

監査結果

【監査機関の意見】＝合理的保証＊１

事業者の主張は適正です。

*1事業者の主張を合理的に保証（assuarance）するもので、障害や事故が発生しないということを保証（guarantee）するものではない。

記述書

【事業者の主張】＝品質説明この製品・サービスは一定の条件下において安全に使えます。

• 製品・サービスの安全、安心に係る品質目標

• 品質目標を達成するために必要な手段

• 手段を実施した証拠 • 品質目標、手段、証拠のトレー

サビリティ

製品・サービス



制度フレームワーク（案）



これまでの振り返りと現在、今後

2010年度 2011年度 2012年度 2013年度

調査企画検討

制度設計文書案作成

制度構築実施準備

実施

監査基準

監査実務ガイドライン

審査基準定義書

審査基準策定ガイドライン

審査基準適用ガイドライン

審査基準リファレンスガイド

制度フレームワーク案

制度規定文書

認定基準規定文書

実施体制の検討・構築

適用分野の検討等

監査人候補の選抜・育成

各文書案の修正

模擬実験・実証実験

制度全体の定義・規程

監査人の行動規範監査実務の指針

審査基準の策定指針審査基準の適用指針

各機関・文書等の認定規程




模擬実験の紹介



実施中の模擬実験

A) パッケージソフトウェア品質認証制度のフィージビリティ評価及び監査制度導入によるコスト評価

B) 独立検証機関による形式手法を用いた第三者検証のコスト評価

C) ICカードを用いた社会情報基盤システムにおける、安全性とセキュリティの同時認証に関する実証実験

D) ＣＯ２無線測定センサーを対象とした監査レベル別コスト評価

E) ソフトウェア品質監査制度（仮称）導入に伴い発生する開発工程負荷の評価・分析

F) カーナビゲーションシステムにおける利用品質（安全性）に対する監査内容の提案とコスト算出

G) 既製システムをソフトウェア品質監査制度（仮称）に適用する場合のフィージビリティスタディ

H) 製品利用情報を分類する際に係るコスト評価

I) 製品マニュアルと製品テスト結果のトレーサビリティ確保に係るコスト評価

J) 車載システム開発時に使用するソフトウェアツールに対してISO 26262の安全要求事項を満たす為に必要な具体的な作業項目の考察

K) モデルベース開発ツールを活用した際のフィージビリティの効果検証

L) トレーサビリティ確保におけるソフト開発データからの効果検証

9団体・12プロジェクトの模擬実験を実施中



模擬実験の分布

立場実験の種類焦点実験対象の製品・サービス補足事項

事業者

既存の枠組みに基く負荷の評価

公的な規格

Ｅ、Ｇ集中ドアロックシステム ISO 26262

Ｊコンパイラ(車載系コードへの) ISO 26262

C ICカードシステム IEC 61508、

ISO/IEC 15408

公開されている枠組み A パッケージソフトウェア PSQ認証制度

Ｄ CO2無線測定センサー IT検証標準工法ガイド

推奨したい技術を用いての負荷の評価

モデルベース技術Ｅ集中ドアロックシステム Modelica

Ｋ半導体製造装置内の制御コントローラ自社ツール

モデル検査 B 配電自動化システム NuSMV

トレーサビリティ

Ｅ集中ドアロックシステム TERASツール

Ｉ AV機器のマニュアル TERASツール

Ｌ通信(Bluetooth)ソフトウェア等自社システム

Assurance Case Ｇ集中ドアロックシステム GSN記法

負荷削減の工夫

複数規格の同時認証 C ICカードシステム SafSec

ツール使用Ｈ利用者情報の分類テキスト分類ツール

監査人独自の枠組みに基く

負荷の評価独自の枠組みＦカーナビゲーション自社ノウハウ




品質説明について



ソフトウェア品質監査制度における監査の流れ

監査実施

記録・文書

処理

記述書（主題情報）

想定利用者

ライフサイクル・プロセス

ソフトウェア品質

審査基準

事業責任者監査人

社内規程

遵守すべきルール

製品・サービス企画書、要件定義書等

システム企画・開発・運用・

保守等の文書

企画から廃却までのライフサイクルを通じた、製品・サービスの安全・安心に係る品質

意見表明主題

製品・サービス企画、要件定義等

監査報告書

監査基準

運用状況

整備状況

• 独立検証機関 • 弁護士 • 会計士 • 技術士 • システム・アナリスト等

専門家

専門家の利用

審査基準に照らし、主題に適合しているという事業者の主張を記載したもの

監査で保証してもらいたいこと（利用者が知りたいこと）

• 記述書の作成過程 • ライフサイクル・プロセスの実態 • 製品・サービス自体の品質等

企画要件定義・・・

国際的にも通用している会計監査のフレームワークに基く



記述書で展開される品質説明に求められること

主張される品質

エビデンス

エビデンスから品質を導く反駁可能な議論



Assurance Case

主張：目標とする品質を

保持すること

文脈：主張が有効である状況

前提：主張の前提条件

Ａ

戦略：主張の正当性の

論証方針

サブ主張サブ主張サブ主張

エビデンス：主張を正当化

する証拠


する証拠

エビデンスの具象化要求

以降の論証の進行が求められている

この戦略に従い、トップの主張が

下の３つのサブ主張に分解される

：文脈Ａ：前提

：エビデンス

：主張：論証途中：要具象化

：戦略

：解決：依存



記述書で展開される品質説明（案）

主張：目標とする品質を

保持すること

文脈：主張が有効である状況

前提：主張の前提条件

Ａ

戦略：主張の正当性の

論証方針

サブ主張サブ主張サブ主張


する証拠


する証拠

エビデンスの具象化要求

以降の論証の進行が求められている

この戦略に従い、トップの主張が

下の３つのサブ主張に分解される

主張

エビデンス

品質説明本体

主張とエビデンスを結びつける説明の論理構造の「見える化」



Safety Case の歴史的背景

北海油田における石油生産プラットフォーム Piper Alpha 事故（1988年7月6日）

処理施設から漏逸した可燃性ガスに引火し爆発

167名死亡（229名中）、270億円の被害

Cullen 卿による事故調査レポート（Cullen Report）における指摘： • 法規・規格に遵守すればよいという考え方に対する反省 • 客観的な安全性評価の必要性、ならびに、Safety Case の重要性 “Compliance with detailed prescriptive regulations was not sufficient to ensure safety.” “Primarily the safety case is a matter of ensuring that every company produces a formal safety assessment to assure itself that its operations are safe.” The Hon. Lord Cullen,

The Public Inquiry into the Piper Alpha Disaster, Vols. 1 and 2 (Report to Parliament by the Secretary of State for Energy by Command of Her Majesty, November 1990)

英国政府は石油ガス生産を行うオペレータに対し、Safety Caseの作成、提出を義務付けることとなった



Safety Case の使用が義務付けられている分野

EUROCONTROL (The European Organisation for the Safety of Air Navigation) 航空管制システムにおける安全性の保証

Rail Yellow Book

英国における鉄道信号システムの安全性の保証

MoD Defence Standard 00-56 (Safety Management Requirements for Defence Systems) 英国における防衛関連の安全性の保証

ISO 26262

車載組み込みシステムに関する機能安全規格

US. Food and Drug Administration (FDA) Infusion Pump

“A safety case is the best way to both document and review a submittal based on a risk management approach because the argument shows the proportionality of the mitigation”




将来に向けて考えていくべき検証技術



ソフトウェアだけではなく、下に示すスマートコミュニティのような Software Intensive Systems/Cyber Physical Systems(CPS)

ソフトウェア品質監査制度の監査対象

急速充電ステーションコントロールセンター

スマートハウス

小水力発電

メガソーラー

急速充電ステーション

ITS

路面電車

原子力発電所火力発電所

電力貯蔵装置

センサ等を活用した農業

陸上風車

電気自動車

スマートビル

電気バス

テレビ

ヒートポンプ給湯器省エネエアコン

洗濯乾燥機食洗機

ホームネットワーク

ホームゲートウェイ

電気自動車

太陽光発電

ＬＥＤ照明

スマートメーター

スマートハウス

Li-ion電池(交換式)

Li-ion電池(固定式)

モータ

空調インバータ

将来的に路面電車化も視野

電気バス（将来は路面電車化）

センサ等を活用した農業

電力不足時：電気自動車→家庭電力過剰時：家庭→電気自動車

架線レス路面電車

駅での停車時：電池に充電駅間の移動時：電池で駆動

EVを電力インフラとして活用

蓄電池を搭載した路面電車

電池交換式の電気バス。将来的には複数台を連結して路面電車化

各種情報を分析し、最適な生産手段を可能に

３０分で８０％充電

コントロールセンター

地域のエネルギー需給を最適化するコントロールセンター

• 太陽光発電、風力発電、小水力など自然エネルギーを電源として積極的に活用• 変動の多い自然エネルギーを地域内で有効活用するため、各家庭やオフィスで余った電力を地域内で融通• 電気バスや電気自動車の位置情報と充電状態を管理することで、これらの自動車を電力インフラとして活用

コントロールセンター

ITS

EV

バッテリー交換ステーション

バッテリーコンテナ

風車

GPS

ITS

ITS

太陽光

電気バス

電気バス

EVや電気バス同士で情報をやりとりすることにより、飛躍的な低炭素化と事故や渋滞問題の解決を同時実現

エネルギーネットワークと一体になった新しい交通インフラ

課程と結びついた病院

動作が効率化された工作機械・テーラーメード化された医療の提供・ＧＰＳを活用した自動車両誘導システム

医療／ものづくりなど



CPSの特徴

『SSR調査研究報告より』



J.Wing の CPS Flower

Jeannette M. Wing, Cyber-Physical Systems Research Charge, Cyber-Physical Systems Summit, 2008


高信頼化技術の確立 • 大容量・不確実な入力データ • 離散と連続 • 大規模・複雑化した制御システム



Hybrid Program と Dynamic Differential Logic

Andrea Platzer@CMUによるハイブリッドシステム検証のための論理体系

微分方程式等を入れて拡張したプログラムと時相的なモダリティ

航空機の衝突回避運動

微分方程式を入れた衝突回避のプログラム

微分方程式を入れた衝突回避のプログラム

証明したい性質①

証明したい性質②

プログラム通りに衝突回避運動を行えば、 ① ２つの航空機間の距離は p 以上 ② ２つの航空機の進行方向のなす角は一定となり、無事に衝突が回避できることがわかる

Andre Platzer and Edmund M. Clarke. Computing differential invariants of hybrid systems as fixedpoints. CAV 2008, LNCS 5123, pages 176-189, Springer, 2008



SysML数値制約の充足性判定

SysMLのパラメトリック図とブロック図から数値的な制約を抽出し、 SMTソルバYices上で自動検証


加藤秀明、上田賀一、中島震: SysMLモデルの制約妥当性検証に関する考察、組込みシステムシンポジウム2010論文集、pp.5 – 12、2010年10月. 「優秀論文賞受賞」




利用価値のある、よりよい制度にするために皆様の貴重なご意見・ご質問をお待ちしております。詳細は、ブース担当の研究員までお願いします。

ご清聴ありがとうございました。

Í ! g r Ã É² 1 4 Í - ipa5 > p n o p j > g -technology promotion agency, japan software...

Documents