ソフトウェア高信頼性への道程 - ipa...スワークス)のデザインツールmatlab...
TRANSCRIPT
ソフトウェア高信頼性への道程
新 誠一
電気通信大学情報理工学研究科
2
The ENIAC(1946) was enormous. It occupied over 1,500 square feet, contained about 18,000 vacuum tubes, weighed more than 30 tonnes! and consumed about 180,000 watts of electrical power.The ENIAC could perform 5,000 additions and 300 multiplications per second.
http://www-stall.rz.fht-
esslingen.de/studentisches/Computer_G
eschichte/grp4/eniac.html
ENIAC
1971年: 4004 マイクロプロセッサ
4004は世界初のマイクロプロセッサです。この画期的な発明が、Busicom 社
の計算機の心臓部となり、パーソナル・コンピュータをはじめ生命の無い物にも知性を与える道を開きました。
http://www.intel.co.jp/jp/personal/museum/hof/?iid=jpsiteindex+personal_museum_hof&
PA
2007/10/29
愛妻号Dayファジィ
1988年布量、汚れの質と量、洗剤の種類を見分けて、約600通りの
洗濯方法から適した洗い方を選びます。ファジィ家電ブームの火つけ役となりました。
http://national.jp/labo/history/sentaku.html
2自由度制御の利用
アクティブガイド
松岡,森,岸川,佐藤:大容量超高速エレベータの開発,日立評論第88巻第12号,p.20-23(2006年12月号) 2006/12/20
人工呼吸器SSV
http://www.kssi.co.jp/tech/tech3.html
リコーJavaContest
http://ext.ricoh.co.jp/javacontest/ 2009/2/12
利便性
http://www.aisin.co.jp/products/auto/index.html
自動車は電子制御
交通事故死者数
http://www.asahi.com/national/update/0102/TKY200901020036.html
2009/1/3
2008年1年間の交通事故死者は5155人と前年より約10%減り、「10年までに5500人以下に抑える」という政府目標を大幅に下回ったことが2日、警察庁のまとめで分かった。8年連続の減少で、過去最悪だった70年(1万6765人)の31%の水準にまで減った。
ソフトの複雑化
http://techon.nikkeibp.co.jp/article/NEWS/20080610/153038/
国内自動車リコール数
http://www.mlit.go.jp/jidosha/carinf/rcl/data_sub/data004.html
V字開発
http://itpro.nikkeibp.co.jp/article/lecture/20061130/255501/
ソフトウェアレビュー
http://www.atmarkit.co.jp/im/carc/serial/review/02/02.html 2009/9/23
プロジェクト管理
http://www.thinkit.co.jp/free/project/4/1/1.html 2009/9/23
トヨタとデンソー、MATLAB R2006bに量産移行を決定
サイバネットシステムは、トヨタ自動車とデンソーが米MathWorks社(マスワークス)のデザインツールMATLAB R2006bへ移行し、量産ソフトウエアの開発に適用を開始すると発表した。トヨタとデンソーは2001年にパワートレイン分野の設計にMATLAB R12.1を量産車の設計に使用し始め、
サイバネットシステムとマスワークスと次期設計ツールの要件をまとめるなどMATLABの改善にも大きな役割を果たしてきた。R2006bの新機能
の中でも、トヨタとデンソーは、複雑化するリアルタイム組込ソフトウエアのコードを自動生成する「Real-Time Workshop Embedded Coder」による生産性向上にとりわけ期待している。
デンソーはサイバネットと協調し、包括的なモデリングガイドライン、ユーザーモデルのテストスイート、トレーニング材料などを用意し、R12.1からR2006bへの移行準備を行ってきた。移行計画が成功したことにより、トヨタとデンソーは、MATLABのモデリング、シミュレーション、自動コード
生成を生かした設計が、迅速かつ安価な新規車両の開発を可能にし、競争力維持に貢献すると見ている。両社は今後、パワートレイン制御のみならず、他の量産ソフトウエアの開発にも適用を拡大する意向を示している。
http://www.designnewsjapan.com/news/200709/news070912_0201.html 2007/10/15
クルマの機能安全規格のISO 26262がついに正式発行
http://techon.nikkeibp.co.jp/article/NEWS/20111116/201632/ 2011/11/16
自動車の電子制御系に関する機能安全規格「ISO 26262」が、6年間の策定期間を経て、ついにISOの正式な国際規格となった。2011年11月15日の午後(日本時間)、ISO 26262のPart 1からPart 9までの各Partのstage codeが一斉に、発行済み規格「IS(international standard published)」を示す「60.60」となった。
C言語からMatlab
double x1;
double func(double u1, double u2) {
if (0.5 * (u2 - u1) > x1 + 5)
x1 = x1 + 5;
else if (0.5 * (u2 - u1) < x1 – 5)
x1 = x1 - 5;
else
x1 = 0.5 * (u2 - u1);
return x1;
}
単体テスト
http://www.gaio.co.jp/product/dev_tools/pdt_mcc.html?DM332778406 2010/1/28
制御システム
•システムは要素の結合•要素は同一または異なる•要素は結合可能,交換可能
人 ソフト エレキ メカ 素材 環境
22
IT
人 ソフト エレキ メカ 素材 環境
仮想
現実 現物
モデル
23
多様化するHILSシミュレーション技術で車載ECUを評価
http://techon.nikkeibp.co.jp/article/HONSHI/20070726/136797/ 2008/1/20
2007年秋、三菱自動車は、同社としては初めて「フルビークルHILS」を車両開発に適用した車種「ギャランフォルティス」「ランサーエボリューションX」を発売する(1)(扉参照)。フルビークルHILSは、ネットワークでつないだ車両1台分のECU数十台を一度に評価できるHILSで、日本の完成車メーカーがフルビークルHILSの量産車への適用を明らかにするのは初めてだ(図)。欧州では、すでにDaimler Chrysler 社が「Mercedes-Benz AClass 」や「同C-Class」への適用を明らかにしているほか、フランスRenault 社も車両1台分を評価できるフルビークルHILSの設備を備えているという。
IPAの活動(2012年度)上流品質技術部会
統合システムモデリング技WG
消費者機械安全標準化PT
2012年度体制
厳密な仕様記述WG
人材育成WG
身近な統合システムモデリング
Model Based Systems Engineering
トヨタの新型「プリウス」、制御の切り替え時に油圧ブレーキの制動力が弱くなる
問題が指摘されているのは、ブレーキをかけながら滑りやすい路面に入ったときだ。それまでは、回生ブレーキと油圧ブレーキが作動しているが、滑りやすい路面に入ると、タイヤをロックさせないで制動力を生み出すために、システムはABSの機能を介入させる。ABSは、ス
リップを検出するとブレーキの油圧を低下させ、タイヤのグリップを回復させることで路面との間に摩擦力を維持する役割を持つ。ABSを作
動させることで、タイヤがロックした状態で減速するよりも短距離で停止できる効果がある。ただし、ABSを作動させるには油圧がかかっていることが前提であるため、プリウスではABS
の作動時に回生ブレーキは使わない設定になっている。
http://techon.nikkeibp.co.jp/article/NEWS/20100206/180003/ 2010/2/8
トヨタ電子スロットル問題
トヨタの電子スロットル制御システムには、多くのセンサーによる幾重(いくえ)ものフェールセーフシ
ステムが組み込まれております。フェールセーフとは、システムに問題が発生した場合、安全な方向に動くという考え方です。電子スロットル制御システムに万が一、何らかのシステム異常が発生した場合でも、アイドリング、もしくはエンジンストップなどの状態に戻るよう制御されています。
「決して加速の方向に動くものではない」ということを、非常に厳しい電磁波、振動などの環境下において確認しております。
http://www.toyota.co.jp/announcement/100217address.html 29
消費者機械
30
OMGへの提言
1. ISO26262のメタモデル表現① 素早い繰り返し、入念な擦り合わせ、現地現物をどのように
組み込むかを明確にし、方向のコンセンサスを形成する。
① 想定外の管理(素早い繰り返し)プロセスの明確化
2. MD*とMB*の統合① Multi-physics modelingをOMGの活動領域とすること
② MD*とMB*の統合
3. ソフトウェアへの物理と数学の導入① 離散事象系と連続事象系の明確化
② 振る舞いモデル表現
31
【ET West】トヨタ自動車、自動車やサービス・ロボットの安全規格をOMGで提言へ
http://techon.nikkeibp.co.jp/article/NEWS/20110617/192692/ 2011/6/22
トヨタ自動車は、2011年6月16~17日に大阪で開催された組み込み技術関連の展示会「Embedded Technology West 2011」で講演し、今後、自
動車やサービス・ロボットなど消費者が直接接触するタイプの機械製品の安全規格について、ソフトウエア関連の標準化団体であるOMGでの標準化を目指すことを明らかにした。2011年6月22日に米国ソルトレークシティで開催されるOMGのTechnical Meetingにおいて同社の制御技術者が講演し、標準化活動の開始を呼びかける。
OMGで開催するイベントは「Seminar on Systems Assurance & Safety for Consumer Devices: Automotive, Robotic & Building Automation Systems of the Future」である。OMGにおけるシステム・アシュアランス(Systems Assurance)のTask Forceと関連させる形で開催する。当日はトヨタ自動車
に加えて、産業技術総合研究所でサービス・ロボットの安全性を手掛ける研究者なども講演する。
トヨタ自動車、自動車やサービス・ロボットの安全規格をOMGで提言へ
33
STUXNET
Safety Function
Control Function
Engineering Tool
Operating System
Internet, DVD
USB, RS-232C, Control Net
Personal Computer
Controller
Server
■Stuxnetの特徴Stuxnet の標的は、「独シーメンス社の SIMATIC WinCC とSIMATEC PCS 7
制御されている制御システム」である。
SIMATIC WinCC とは、PLCの制御用PC向けのPCであり、シーメンス社製のPLC(Programmable Logic Controller)の S7 シリーズの制御PCに使用されることが多い。
SIMATIC PCS 7とは、 SIMATEC WinCC の可視化ソフトウェア、STEP 7 設定ソフトウェアを統合ソリューションの総称である。
SIMATIC WinCC の画面イメージ
SIMATIC STEP 7 の画面イメージ
S7シリーズのPLC
Control System Security Center
36
By 30 May 2013
Established in March 2012
テストベッド(CSS-Base6 )概要
多賀城
東京お台場
東京研究センター (TRC)
東北多賀城本部(TTHQ)
http://www.css-center.or.jp/
「正義のハッカー」養成 サイバー模擬攻防、宮城に施設
http://www.nikkei.com/article/DGXNASDD280HT_Y3A520C1XX1000/ 2013/6/4
サイバー攻撃が急拡大する中、官民が連携してウイルスの侵入から企業や組織を守る「正義のハッカー」の養成に乗り出した。5月28日には宮城県多
賀城市に工場や発電所の制御システムを守るハッカー養成施設を開設し、全国の主要都市では400人
が参加するハッカーの技術コンテストを開催、千葉でも若手を養成する合宿を実施する。「マイナンバー」制度の導入もあり、ハッカー養成が急務となりそうだ。■工場やプラントも標的
「サイバー攻撃に対抗できる技術を開発し、安心できる防御と認証の仕組みをつくる」。技術研究組合制御システムセキュリティセンターの新誠一理事長は28日の開所式で力強くあいさつした。新設され
たのは、日本初のサイバー攻撃の模擬攻防施設だ。技術者は攻撃を体験することでシステムの弱点を知り、防御に生かす。
プリウスなどのハッキング「指南書」、米専門家が公開へ
[ボストン 28日 ロイター] -米政府の助成を受けて車のセキュリティーシステムにつ
いて研究している専門家2人が、トヨタの「プリウス」などのハッキング方法を発見し、注意喚起を目的にその「指南書」を近く公開することになった。
ツイッターの研究者チャーリー・ミラー氏とセキュリティーコンサルタント会社IOActiveのクリス・バラセク氏は、プリウスのほかフォードの「エスケープ」の重要なシステムを攻撃するための技術文書を作成。ロサンゼルスで今週開かれる、ハッカーやセキュリティー関係者らのイベント「デフコン」で、これらの車種をハッキングするためのソフトも披露する。
ミラー氏らによると、プリウスについては時速約130キロで走行中に急ブレーキをかけたり、運転手の意思とは関係なくハンドルを動かしたりできたほか、エスケープは低速走行中にブレーキが利かないようにすることができたという。
ただハッキング中は、2人とも車内からノートパソコンを使って直接車のネットワークに侵入していたため、遠隔操作の方法が明らかになるわけではない。
2人は、今回のデータ公表をきっかけに、他の良心的なハッカーも車のセキュリティ面の欠陥を指摘できるようになれば良いと語った。
2013年 07月 29日 14:09 JST
http://jp.reuters.com/article/jpUSpolitics/idJPTYE96S04820130729
知識,ソフト→メカニズム化
Cxy
BuAxx
コーディング
モデル化
自動生成
メカニズム化
ソフトウェアをメカニズムへ
認証
第一人者俺は正しい
第二人者.検査しましょう.
第三人者.貴方を認めよう.
【第5回】EDSAの認証プログラム
2013/5/22http://techon.nikkeibp.co.jp/article/FEATURE/20130130/263302/?ST=embedded&P=5
評価認証・標準化委員会
2012.7 2013 2014.3
CSSC
<国際相互認証スキーム>
ISCI認証と同等の基準で国内向けの認証(試行)を実施
国内CSSC研究成果の反映
<研究成果の活用>
委員会活動線表(評価認証)
委員会活動線表(標準化) CSSCウェブサイト抜粋
主たる担当機関:アズビル、NRIセキュア、東芝、東芝ソリューション、日立、富士電機、横河、電通大、倉敷芸術科学大、AIST、IPA、(事務局)MRI目標:制御システムのセキュリティに関する評価認証の国際相互認証のスキーム確立、及び標準化活動の実施
今後の取組みについては下記の線表を予定。
ISCIに準拠した相互認証のスキーム確立
<国内認証試行>
44
専用ツール
GPS試験ツールネットワーク試験ツール
CSMS
http://www.isms.jipdec.or.jp/csms/2013/koubo/csms_koubo.html 2013/5/22
■Stuxnetの攻撃手順
ウィルスに感染したUSBメモリ
WORM_STUXNET
①
SIMATICSTEP 7 2
SIMATICPCS 7 3
PLC6ES7-417
PLC6ES7-315-2
③ ③
②
③ ②
①USBメモリ等の外部記録媒体を経由して、スタックスネットのウィルスがウィンドウズOSに感染。
システムの脆弱性を利用することにより、権限昇格や、情報システム環境内部でウイルスの拡散などを実行
独シーメンス社製ソフトウェア (SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質な
コードの書き込み
④制御システム上にある装置に対する攻撃の実行
④
②独シーメンス社製遠隔監視ソフトウェア(SIMATIC WinCC or SIMATIC PCS 7) の脆弱性を悪用して、SQL コマンド経由で SIMATIC WinCCあるいは、SIMATIC PCS 7 の稼働するWindows システムに感染
独シーメンス社製ソフトウェア (SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質な
コードの書き込み
③独シーメンス社製エンジニアリングツール(SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質なコードの書き込み
SIMATICWinCC 1
1 SIMATIC WinCCは、 PC ベースのオペレータコントロールおよびモニタリングシステムなどの機能をもつSCADAソフトウェア。2 SIMATIC STEP 7は、プログラミングだけでなくパラメータ設定・構成などの機能をもつソフトウエア。3 SIMATIC PCS7は、プロセス制御システム。
47
ソフトウェア安全解析• 対象ソフトウェアの制御出力を不安全にする欠陥(fault)が対策されるか確認– faultは部品故障、あるいは、制御対象の論理的な不整合など– faultの影響を対策するセーフティーメカニズム(SM)が機能することを確認
制御ソフトウェア
基本制御
SM(検出/処置)
fault
SMでfaultの影響を対策し制御出力の不安全を回避
failure
SMの不備(抜け漏れ、失陥)がないか制御ソフトウェアを解析
安全解析手法
手法 説明
HAZOP(Hazard and Operability Study)
設計意図からの逸脱によるハザードを明示する手法
FTA(Fault Tree Analysis)
ハザードの発生原因を上位から下位へ論理展開し因果関係を明示する手法
FMEA(Failure Mode and Effects Analysis)
構成部品の故障モード(failure mode)から上位構成部品への影響を明示する手法
Copyright© 2012 OTSL Inc. All rights reserved.
HAZOP• HAZOPでハザードを洗い出す
– 制御出力とガイドワードで期待値からのずれを想定/解析しハザードを導出
– 安全要求はハザードに対処するためのソフトウェア要求– ハザードを網羅的に導出し、安全要求の不備をなくす
制御出力期待値からの逸脱状態
(ガイドワード)
設計意図と異なる挙動
シチュエーション ハザード
アクチュエータ駆動力
不作動 通常運転時 意図しない制御停止
勝手に作動 通常運転時 勝手に駆動制御
過大 通常運転時 意図より過大な駆動制御
過小 通常運転時 意図より過小な駆動制御
… … …
※ISO 26262におけるハザードはコンセプトフェーズのハザード解析で導出
安全要求の不備によるSMの抜け漏れを確認/回避
適切なガイドワードの列挙が網羅的なハザード導出のポイント
Copyright© 2012 OTSL Inc. All rights reserved.
ソフトウェアのFTA• データフローからソフトウェアFTAを実施
– データフローの構成要素のどこがどうなると望ましくない結果に至るか解析
– ソフトウェアの事象は発生確率を規定できないので、定性解析を行う
FT図データフロー
制御量算出
<SC001>
入力1
入力2
ACT制御量が過大になる
制御量演算ミス
制御量を過大にする入力
入力1が過大
入力2が過小
指令値が過大
制御量
制御量が過大
上限処理演算ミス
上限値が過大
上限値演算ミス
上限値を過大にする入力
…
SM 上限処理
<SC003>
指令値
ACT
上限値算出
<SC002> 上限値
…
Copyright© 2012 OTSL Inc. All rights reserved.
ソフトウェアのFMEA• 全ソフトウェアコンポーネントのSMに対する影響(侵害可能性)を解析– あるソフトウェアコンポーネントの故障モードがSMのソフトウェアコンポーネントに影響するか総当たりで確認
– ソフトウェアコンポーネントの故障率は見積もれないので影響の有無を解析
– 例えば、コンポーネントのミスで壊したメモリの値がSMコンポーネントの利用する値だったなど、リソースを介したカスケード故障の影響を解析
ソフトウェアコンポーネント
故障モード 要因SMの侵害可能性 処置
SC002 SC003 ソフトウェア ハードウェア
制御量算出<SC001>
出力過大 プログラムミス - - - -
出力過小 プログラムミス - - - -
遅延 想定外割り込み 1 1 ディスパッチ 外部監視
不正アクセス プログラムミス 1 1 - メモリ管理
実行時エラー プログラムミス 1 1 防衛実装 マイコンリセット
上限値算出<SC002>
出力過大 プログラムミス - 1
… … … … … …
Copyright© 2012 OTSL Inc. All rights reserved.
まとめ
• コンピュータに埋め尽くされた日本
• スマホ難民,デジタルデバイド化する消費者
• プロも分からないソフトウェア量
• 文書からモデル
• 第三者認証
• セキュリティも含んだ高信頼化