失敗事例に学ぶ - ipa.go.jp ·...

Software Reliability Enhancement CenterCopyright © 2015 IPA, All Rights Reserved

組込みシステム障害未然防止のための体験型ワークショップセミナー

失敗事例に学ぶ

独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センターシステムグループ

調査役三原幸博

2015年１２月９日

2Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

１．活動の背景

ネットワークを通じてシステムが連携する新たなサービス提供が拡大している

新たなシステムの基幹を担う要素がソフトウェア中心に変化

システム相互間の複合原因や長期間の保守によるシステムの劣化が原因となったシステム障害が増加

差分開発中心による製品／システム開発ノウハウの埋没


<出典> 片岡正次郎，鶴田舞，小路泰広：重要インフラ間の相互依存構造のモデル化と地震被害波及シミュレーション，国総研資料第 510 号，国土技術政策総合研究所（国総研），平成21年2月．http://www.nilim.go.jp/lab/bcg/siryou/tnn/tnn0510.htm

相互依存の事例（災害時）

２．インフラシステム間の相互依存

インフラシステムは相互に依存し，システム間のネットワーク連携による複雑化が一層進展


△Therac-25による放射線過剰被爆事故（1985～87年）

△エアバスA320の墜落事故（1988～93年）

△名古屋空港で中華航空機が着陸に失敗炎上（1994年）

□欧州宇宙局のAriane501ロケット空中爆発（1996年）

□首都圏自動改札機起動せず4378台（2007年）

□首都圏窓口処理機起動せず101台（2007年）

□緑色公衆電話故障3207台機能停止（2008年）

△トルコ航空着陸失敗－高度計ソフトの不具合（2009年）

△電子カルテシステムの不具合（2010年）

△人身事故

□経済事故

過去の事故事例（ソフトウェア起因）

３．過去の情報処理システムの障害事例

ひとたびシステム障害が発生した場合，社会に及ぼす影響範囲が拡大し，その深刻度も増大

5Software Reliability Enhancement Center© 2015 IPA, All Rights Reserved

４．日本のモノ・コトづくりの特徴

当たり前品質と顧客満足

【日本】：★高品質ビジネス

【新興国】：★低価格ビジネス

「高品質なモノづくり」は日本の組込みシステムの競争力を支える大きな要因

当たり前品質の範囲

当たり前品質の範囲

顧客満足

顧客満足


「高品質なモノ・コトづくり」が出来る理由

（理由１）ベンダーに品質を確保・管理・保障する仕組みがある。

例えば。社内のソフトウェア工程に設計レビューがある。

設計レビュー記録を残す仕組みがある。

設計レビューでの指摘事項が解決されていることをチェックする仕組みがある。

出荷前に出荷可否判定する仕組みがある。

（理由２）開発対象ドメインの相当な技術スキルを持った人が居るから品質を作り込める。

仕組み

人材


組込み業界ベテラン世代 VS 現役の若い世代

ベテラン世代が現役の頃比較今現役の若い世代

・製品全体（電気回路/機構/ソフトウェア)・新規開拓技術

・ソフトウェア中心・踏襲/導入（購入）

・スクラッチからの新規開発が基本開発形態・差分開発が基本で全体を詳しく

知るチャンスなし。

・比較的余裕があった納期・スピード競争

・実現方法の自由度比較的大きかった・機能・非機能にアイデア出しやすかった創意工夫

・実現方法の自由度小さい・要求機能・性能を忠実に実現

・比較的失敗が許された（失敗からノウハウを学んだ）責任・失敗が許されない


事例の収集先輩のノウハウを形式化過去トラブルのDB化

事例・教訓（ノウハウ）・対策の表現現象ではなく本質を表現教訓（ノウハウ）の一般化、抽象化必要事例のモデル化必要

事例・教訓（ノウハウ）・対策の理解一般化、抽象化された教訓（ノウハウ）の意味・意図の理解（連想）利用者の理解度に合わせた教訓（ノウハウ）・事例の具体化要

効果の評価高信頼化指標の設定活動成果を高信頼化指標で評価

歯止め組織として事例・教訓DBを自律的に作成、活用する仕組み構築

５．解決すべき課題


知識継承プロセス（表出化と内面化）

送り手受け手

課題

問題意識

課題問題意識

知識知識事例表出化内面化

表出化支援

内面化支援

組織ルーチンにおける知識構造（各企業の文脈）

経験経験構造化

観点・テンプレート分析手法教育・レビュー


「気づき力」を強化するための教育（内面化支援）

内面化の難しさ

•事例を勉強しても忘れてしまう

•チェックリストも限界

•まったく同じ障害など二度と起こらない

•すべてが繋がるIoTの時代には想定外の障害がますます増える

事例を用いた教育で「何か変だな」と感じる「気づき力」をどのように強化するか？

事象

気づいたリスク

事象

気づいたリスク

事例で教育（内面化）

気づき力強化の教育の設計と効果の評価必要性

知識科学


未然防止知識収集・整理フレームワーク

観察できる現象*1)

システムの暴走システムの停止一部機能の誤動作動作環境との不整合システムが起動しない画面がロック・・・・

*1)あるいは、放置したら発生したかもしれない現象

内部で発生した事象

どんなものがあるか

ヒヤリハット

原因となる要因

〔技術面〕(1)要求

(2)設計

(3)実装

(4)テスト(5)保守

〔人・組織面〕(1)開発または運用

要求の取り違い要求の抜け

仕様の読み違い機能競合の考慮抜け要求の提示漏れ例外処理の考慮抜け条件判定処理の抜け

ファイル書き出し処理の誤り

コードと実装のギャップ NULLと空白の記述間違い

コミュニケーション不足

・・・・

データの消去、破壊割込み不正データ送受信の未完了ログデータの処理誤りメモリリーク・・・・

左記要因への対策

仕様表現の改善• 日本語レベルの見直し• 情報の再整理• ・・・・

設計規約への反映

ドキュメントテンプレートの活用

テスト網羅性の向上

障害


直接原因観点マップ


未然防止知識観点マップ


◇５２０人が守る命事故から４年後の１９８９年、米デンバー発フィラデルフィア行きのユナイテッド航空Ｄ

Ｃ１０機は、飛行中にエンジンが破壊され一部の油圧系統も損傷。１２３便と同じように制御不能となった。幸運だったのは、日航機事故の状況を知る同社のパイロットが乗客として搭乗していたことだった。当時、同社で飛行教官を務めていたこのパイロットの指導で、同機はエンジン出力だけで飛行を制御して最寄りのアイオワ州スーシティ空港に戻った。着陸には失敗したものの乗員乗客２９６人中１８５人が生き残った。２００３年には、３人の乗ったドイツの貨物会社ＤＨＬのエアバスＡ３００機がイラク・

バグダッド空港から離陸直後、地上から携帯ミサイルで攻撃され、損傷した左翼から油圧が抜けて日航機やユナイテッド機同様にかじが利かなくなった。３人のパイロットはユナイテッド機の状況を思いだして冷静にエンジンを操作。４回の旋回を繰り返しながら降下し、同空港への着陸に成功した。「いずれの機体も大きく破壊されず、飛行時の安定性は維持されていたため、日航機と状

況は違う。だが、多くの人が生還できたのは、日航機事故の教訓が生きたことは確かだ」。川幡さんも高野さんもそう口をそろえる。０５年に東京で開かれた航空安全関係のシンポジウム。エアバス機バグダッド事件を調査

したエアバス社のパイロットは講演の中で、日航機事故で亡くなった５２０人の人々について語った。

「１２３便の教訓があったから、スーシティでは１８５人の人が生き残り、バグダッドでは３人の命が救われ、機体まで生還できた。５２０人が、それらの命を守ってくれたと言えるし、これからも多くの命を守ってくれるはずだ」

日航機123便の教訓


ご清聴ありがとうございました

失敗事例に学ぶ - ipa.go.jp ·...

Documents