アシュアランスケース入門 · 2019. 4. 1. · アシュアランスケース入門...

Copyright © 2016 IPA, All Rights Reserved 1Software Reliability Enhancement Center

アシュアランスケース入門

ソフトウェアグループ・研究員鈴木基史

独立行政法人情報処理推進機構（IPA)技術本部ソフトウェア高信頼化センター（SEC)

2016年3月23日

本資料は2015年1月20日の12thWOCS2の発表資料から抜粋したものです

Copyright © 2016 IPA, All Rights Reserved Software Reliability Enhancement Center 2

アシュアランスケースとは

3Copyright © 2016 IPA, All Rights Reserved Software Reliability Enhancement Center

セーフティケースの歴史

1988年の北海油田Piper Alphaにおける爆発事故で167名死亡

【従来】システムの安全性確認をチェックリスト項目を認証者が判定

【課題】なぜチェックリスト項目を満たすとシステムが安全であるか、明示的な議論が行われることが少なかった

【改善点】チェックリスト項目の手順やテストだけでなく、なぜそれらの手順やテストで、システムの安全性が保たれるのか、明示された議論で証拠(エビデンス)をもとにした議論が重要

導入により北海油田における事故が減少

欧米で規格認証の際に義務付けられるまでに普及

北海油田事故の調査報告書： Safety Case(Cullen 卿)


アシュアランスケースとは

セーフティケースとは、テスト結果や検証結果をエビデンスとしてそれらを根拠にシステムの安全性を議論し、システム認証者や利用者などに保証する、あるいは確信させる(assure)ためのドキュメント

アシュアランス（Assurance:保証）+ ケース（Case:論拠）

安全性セーフティケースセキュリティセキュリティケースディペンダビリティディペンダビリティケース＊＊＊＊ケース

アシュアランスケース

総称

ISO/IEC 15026Systems and software engineeringSystems and software assurance


なぜ今、アシュアランスケースなのか？


日本メーカ製自動車の「意図しない急加速（UA）」

上記の結果ＮＡＳＡが実施したこと

調査範囲

電子スロットル制御(Electronic Throttle Control)システムの設計及び/もしくは実装に実際に意図しない加速(Unintended Acceleration)を引き起こすことが予期できる脆弱性があるかないかを決定する。

UAを引き起こす可能性はあるか

通常の使用で実際に起こりうるか

実施した解析（いずれもツールを最大限活用）

実装コードの解析

ロジックの解析

モデルベースのテスト

実時間性の解析

結果

NASAの解析とテストでは、消費者が報告したような、大きなUAを引き起こすETCの不具合の証拠は見つからなかった。

2009～2010年日本メーカ製自動車の「意図しない急加速」に関するクレームが急増

米国議会や米運輸省道路交通安全局(NHTSA)から報告を求められるもメーカ側は説明に苦慮

NHTSAは米国航空宇宙局(NASA)に脆弱性の有無の調査を要請


客観的・合理的な説明の必要性

これまでの日本企業は、利用者の要望に個々に答えることで高品質というブランド力を築いてきた

実際、日本製のソフトウェアの品質は海外に比べて1桁以上高いとの調査報告もある

しかしながら、グローバル市場においては客観的・合理的な説明が求められる

客観的・合理的な説明が必要

製品自体の品質を事実に基づいて論理的に説明できなくてはならない

国際標準（ISO/IEC）等、世界的に合意されている基準類を用いた説明、または、それに準じた説明（規格適合、規格認証等）

専門性のある第三者による説明（第三者確認、第三者証明等）


論理の基礎


議論とは

Discuss: ある問題をあらゆる角度から論じる

Argue: 自分の考えを主張し相手の説を論駁(ろんばく)するために理由・証拠をあげて議論する

Debate: は公の問題を賛成・反対に分かれて公開の席上で公式に討論する

Dispute: (一時的に感情的になって）論争する

Controvert: (意見の相違の大きい問題などの長期にわたる、特に書きものなどによる）論争

Discuss / Argue / Debate /Dispute/Controvert

安全工学セーフティケース

哲学

辞書から

議論学Argumentation theory

人工知能


トゥールミン・ロジックの基礎

主張： Claim

基礎： Data

根拠： Warrant

論理の基本主張（C論理）論理として構築されるひとつの主張

基礎（D論理）論理の根拠となる、状態、事実など最初に呈示される説明情報

根拠（W論理）クレームの根拠としてデータが利用可能であることを正当化する情報

ディベートで超論理思考を手に入れるISBN 978-4-904209-13-4著者：苫米地英人脳機能学者/カーネギーメロン大学博士


トゥールミンの三角ロジック（１）

主張： Claim

基礎： Data

根拠： Warrant

窓を開けた方がいい

室温が30度だ

窓を開ければ室温が下がり、快適になる

http://kogolearn.wordpress.com/

早稲田大学人間科学学術院向後千春

トゥールミンの三角ロジック


トゥールミンの三角ロジック（２）

主張： Claim

基礎： Data

根拠： Warrant


室温が30度だ


反駁： Rebuttal↑ 温度計が狂っている

←（主張は反駁できない）

反駁(はんばく）: Rebuttal




↑ 外の方が気温が高ければ、温度は下がらない反駁： Rebuttal

トゥールミンの三角ロジックが成り立っている場合


トゥールミンの三角ロジック（３）

主張： Claim

基礎： Data

根拠： Warrant


室温が30度だ


質疑： Question↑ なぜ30度だとわかるのか？

←（主張は反駁できない）

質疑: Question




↑ なぜ窓を開けると室温が下がるのか？質疑： Question

トゥールミンの三角ロジックが成り立っている場合


トゥールミンの三角ロジック（４）

主張： Claim

基礎： Data

根拠： Warrant

窓を閉めた方がいい

室温が30度だ

クーラを入れれば、室温が下がり、快適になる

反論: Counter argument




新たな三角ロジックを立てる


トゥールミン・モデル

クレーム：Claim

データ：Data

ワラント：Warrant

論理を支える構造クレーム（C論理）論理として構築されるひとつの主張

データ（D論理）論理の根拠となる、状態、事実など最初に呈示される説明情報

ワラント（W論理）クレームの根拠としてデータが利用可能であることを正当化する情報

バッキング（B論理）ワラントが正しいことを支持する証拠、証言、統計、価値判断、信憑性などの情報

クゥオリフィアー（Ｑ論理）クレームの相対的強度の定性的な表現。また、可能であれば90％などの定量的な表現

リザベーション（Ｒ論理）クレームに対する例外を主張する論理

ディベートで超論理思考を手に入れるISBN 978-4-904209-13-4著者：苫米地英人脳機能学者/カーネギーメロン大学博士

バッキング：Backing

リザベーション：Reservation

クゥオリフィアー：Qualifier


アシュアランスケースの表記法


表記法

アシュアランスケースは通常、自然言語で記述

トゥールミン（Toulmin）モデルStephen Edelston Toulmin, 1922年3月25日 - 2009年12月4日イギリス生まれの哲学者(専門は科学哲学)

GSN（Goal Structuring Notation）イギリスヨーク大学、イギリス国防省

D-CASE 日本 DEOS（Dependable Embedded Operating Systems for Practical Use）プロジェクト

（科学技術振興機構（JST）の戦略的創造研究推進事業CRESTの研究領域のひとつとして作られた）

CAE (Claim Argument Evidence)イギリス Adelard社、City University London

グラフィックな表記法


ゴール（Goal）保証したいこと、命題（例：システムは安全である）ゴールはさらに詳細なゴール（サブゴール）に分解される

前提（Context)システムの状態、環境などゴールを議論するときの前提等（例：リスク分析の結果得られたハザードのリスト）

戦略（Strategy）ゴールをサブゴールに分けるときの考え方（例：個別の障害ごとに議論する）

ソリューション（Solution）

ゴールが成り立つことを最終的の保証するもの（例：テスト結果、運用事例など）

未展開記号（Undeveloped entity）

ゴールを保障するための十分な議論又はエビデンスがない（これはゴールやストラテジーにつけることができる）

ＧSＮ（Goal Structuring Notation）

保証のための構造化された議論の記述法(T.Kellyらにより開発）

- GSN Community Standard Ver.1.0

参考：松野、高井、山本「D-Case入門～ディペンダビリティ・ケースを書いてみよう！～」」


GSNの記述例

G1システムは安全である

S1ハザードがすべて回避されていることを保証する議論

G2ハザード１が回避されている

G3ハザード２が回避されている

Sn1ハザード1の回避方法

Sn2ハザード2の回避方法

C2同定されたハザードハザード1ハザード2

C1システム仕様書

ゴール（Goal）前提（Context)

戦略（Strategy）

サブゴール（Sub Goal）

根拠（Solution）


D-Case名称ノード解説

ゴール対象システムに対して、議論すべき命題

戦略ゴールが満たされることを、サブゴールに分割して詳細化するときの議論の仕方

前提ゴールや戦略を議論するとき、その前提となる情報

エビデンス詳細化されたゴールを最終的に保障するもの

未達成ゴールを保障するための十分な議論もしくはエビデンスがない

モニタ運転中のシステムより取得可能なエビデンス

外部接続他のシステムのD-Caseへのリンク

システムはディペンダブル

である

ハザードごとに議論する

http://www.dcase.jp/introduction2.html#a2

ハザードリスト

テスト結果

システムログ

D-CaseはGSNを使って表記します。主に右表のノードにより構成されます。このうち、モニタと外部接続はD-CaseのGSN からの拡張です。

DEOSプロジェクト研究成果集P41, 図4-5: D-Caseの例http://www.jst.go.jp/crest/crest-os/osddeos/data/DEOS-FY2013-SS-01J.pdf


CAE (Claims, Arguments and Evidence)

クレーム(Claim)

議論(Argument)

サブクレーム(Subclaim)

サブクレーム(Subclaim)

証拠(Evidence)

サポート

クレーム正しい又は誤りであると評価することができる議論の中での主張

それぞれのクレームは、いくつかのサブクレーム、議論、又は証拠でサポートされる。サブクレームは付加的な文脈に関係する資料、例えば使用される用語や範囲の説明、を含んでいるかもしれない。

議論クレームを支持して提示する議論アプローチの記述

この要素はオプションであるが、多くの場合、親クレームを満足するためのアプローチの説明を含めると良い。もしクレームをサポートするアプローチが、対象とする読者によって良く理解されているか、単純であれば、単にサポートするクレームから直接リンクすることが許容される。

証拠クレーム又は議論を支持して提示される証拠への参照

通常、証拠ノードは要約され、そして証拠を含む関連する外部レポートへリンクします。

http://www.adelard.com/asce/choosing-asce/cae.html


アシュアランスケースの国際標準化

国際標準化の活動の中心： OMG (Object Management Group)System Assurance Platform Task Force (SysA PTF)

ARM (Argumentation Metamodel)FTF beta

SAEM (Software Assurance Evidence Metamodel) FTF beta

SACM (Structured Assurance Case Metamodel)

← UML, CORBA

統合

(2012年6月)

GSNとCAEを統合したメタモデル

http://www.omg.org/spec/SACM/1.0/PDF/


GSNを例とした記法の説明


GSNの規格

GSNの仕様は、GSNワーキンググループの以下のWebサイトから入手可能

Goal Structuring NotationThe GSN Working Group Online

http://www.goalstructuringnotation.info/documents/GSN_Standard.pdf

GSN COMMUNITY STANDARD VERSION1November 2011

日本語は以下のWebサイトから入手可能https://s3-ap-northeast-1.amazonaws.com/cdn.change-vision.com/tutorials/GSN_Standard_by_ChangeVision.pdf

以下 GSN CS V1


D-Case Editor

D-Case Editorは型チェック機能などを持つ、アシュアランスケースのエディター

Eclipseのプラグインで、Eclipse GMFを使って実装。

http://www.jst.go.jp/crest/crest-os/tech/D-CaseEditor/index.html

主な機能アシュアランスケースの表記法であるGSN ( Goal Structuring Notation ) をサポート

GSNパターンライブラリ、基礎的な変数型チェック機能

D-Caseの整合性検査

対象システムのモニタリング機能

スクリーンショット


Eclipse (統合開発環境)

Eclipse（「イクリプス」または「エクリプス」）

は、IBMによって開発された統合開発環境 (IDE) の一つ。

高機能ながらオープンソースであり、Javaをはじめとするいくつかの言語に対応する。

Eclipse自体はJavaで記述されている。

http://ja.wikipedia.org/wiki/Eclipse_(%E7%B5%B1%E5%90%88%E9%96%8B%E7%99%BA%E7%92%B0%E5%A2%83)


D-Case Editorのインストール

1. パッケージ版にはEclipseにすでにD-Case Editorのプラグインが組み込み済み、またサンプルのWorkspaceも入っているので、それを指定すればすぐに利用可能

1. Java VMをダウンロードしてインストールhttps://java.com/ja/download/

2. D-Case Editorパッケージ版ダウンロード *1http://www.jst.go.jp/crest/crest-os/tech/D-CaseEditor/Download_files/eclipseWin32.zip

3. eclipseWin32.zipを解凍

4. 解凍済みフォルダーにあるeclipse.exeを起動

5. 起動時ウインドウ「Workspace Launcher」の「Workspace: 」に解凍フォルダーの下にある[workspace」を指定する

*

https://java.com/ja/download/

http://www.jst.go.jp/crest/crest-os/tech/D-CaseEditor/Download_files/eclipseWin32.zip


より簡単にGSNを書いてみたい人へ

「D-Case Stencil - PowerPoint Add-in for D-Case」がお勧め

簡単にインストールして、PowerPointが使える人なら誰でも使える

作ったデータもDcase Editorに取り込みができる

http://www.jst.go.jp/crest/crest-os/tech/D-CaseStencil/index.html

インストールマニュアルはここ

ダウンロードはここから

操作マニュアルもあります


D-Case Stencil - PowerPoint Add-in for D-Case

インストール後、D-Caseタブを選択インストールするとD-CASEタブが追加される

追加されるメニュー

D-CASE Editorへの取り込みもサポートされている

ノード


GSNノード（ゴール）

保証したいこと、主張（例：システムは安全である）

ゴールはさらに詳細なゴール（サブゴール）に分解されるGoal: G_1システムは安全である

主張

ID, ツールにより自動で設定される


GSNノード（ソリューション）

ゴールが成り立つことを最終的の保証するもの（例：テスト結果、運用事例など）

Evidence: E_1ハザード１の回避方法

D-Caseではエビデンス（根拠）

GSN CS V1はソリューション(ID: Sn1, Sn2…)

証跡（アイテム）

*1：危害要因のことリスクの原因とその属性のことを意味する

*1


GSNノードのつなげ方１（支援リンク）

Goal: G_1ハザード１が回避されている


支援リンク(SupportedBy)

黒矢印

矢印の方向に注意

この構造はソリューションで示される証跡がゴールに記載される主張が正しいことを示している


GSNノード（戦略）

ゴール(G_1)をサブゴール(G_2, G_3)に分けるときの考え方（例：ハザードがすべて回避されていることを保証する議論）

Goal: G_1システムは安全である

Strategy: S_1ハザードがすべて回避されていることを保証する議論


Goal: G_3ハザード２が回避されている

この戦略に従い、トップのゴールが下の２つのサブゴールに分解される。ここでは、ハザード分析をした結果を用いて、各ハザード毎にその安全性を保証する議論を構築する戦略である。



GSNノード（前提）

戦略での使われ方• 説明に関連する付加情報の宣言• 使用される言葉の定義や説明

ゴールでの使われ方• 主張の範囲の定義、制約• 主張と関連した補足説明（ゴールとコンテキスト間に矛盾がないように注意）






Context: C_1同定されたハザードハザード1ハザード2

システムの状態、環境などゴールを議論するときの前提等（例：リスク分析の結果得られたハザードのリスト）


GSNノードのつなげ方２（前提リンク）

前提リンクは，白矢印で表し，文脈的関係性を説明






*２

同定（どうてい）とは、ある対象について、そのものにかかわる既存の分類のなかからそれの帰属先をさがす行為。リスクの性質等を考慮しながら絞り込んでいくことを意味する。

＊２：

GSNでは白矢印

前提リンク(InContextOf)



未展開記号






*２


Undeveloped: U_1

ゴールを保障するための十分な議論又はエビデンスがない

（これはゴールやストラテジーにつけることができる）


ゴールをサブゴールに分解する

GSNは、保証したいこと（ゴール）を複数のサブゴールに分割することにより詳細化し、詳細化されたサブゴール毎にそのサブゴールが成り立つことを示す根拠により保証することにより、最初のゴールを保証するものである。

Goal: G_1ゴール

Strategy: S_1戦略

Goal: G_2サブゴール

Goal: G_3サブゴール

つまり、ゴールをどのようにサブゴールに分割するかが非常に重要である。

ゴールをどのようにサブゴールに分割するかを示すのが戦略であり、ここに議論が存在

ゴール分解に「議論分解パターン」を利用


議論分解パターン項番分解パターン説明

１アーキテクチャ分 (architecture) システム構成に従って分解

２機能分解 (functional) 主張を機能構成に従って分解

３属性分解 (set of attributes) 特性を複数の属性に分解

４帰納分解(infinite set) 帰納法による分解（N=1の時主張が成立、N=Kの時出張が成立ならＮ＝Ｋ＋１でも主張が成立）

５完全分解 (complete) 説明対象のすべての要素による分解

６単調分解 (monotonic) 新システムによる旧システムの改善点による分解

７修正分解 (concretion) 曖昧性の明確化による分解

８プロセス分解プロセスの入力、処理、出力に対して主張を分解

９プロセス関係分解プロセス先行後続関係に基づいて主張を分解

１０階層分解対象の階層構成に基づいて、主張を分解

１１ＤＦＤ分解ＤＦＤの階層構成に基づいて、主張を分解

１２ビュウ分解 UMLのビュウ構成に基づいて、主張を分解

１３ユースケース分解ユースケースに基づいて、主張を分解

１４要求記述分解要求の記述項目に対して、主張を分解

１５状態遷移分解状態遷移に対して、主張を分解

１６運用要求記述分解運用要求定義票に基づき、主張を分解

１７シーケンス分解シーケンス図に基づいて、出張を分解

１８ビジネスプロセス分解ビジネスプロセスモデル記法に基づき主張を分解

Safety and Assurance Cases: Past, Present and Possible Future – an Adelard Perspective, Robin Bloomfield and Peter Bishop http://www.scsc.org.uk/pubs/2010%20Bloomfield.pdf ( )はBloomfieldのMain types議論パターンポケットガイドアルファ版 P32 対象分解パターン参照

http://www.scsc.org.uk/pubs/2010 Bloomfield.pdf


議論分解パターン例（属性分解）

Goal: G_1システムはディペンダブルである

Context: C_1ディペンダブル属性可用性安全性信頼性保守性一貫性

Strategy: S_1属性ごとに議論

Goal: G_2システムは可用性を持つ

Goal: G_3システムは安全性を持つ

Goal: G_4システムは信頼性を持つ

Goal: G_5システムは保守性を持つ

Goal: G_5システムは一貫性を持つ

「実践D-Case ディペンダビリティケースを活用しよう！」 P67


GSNの実際の記述例

「既製システムをISO26262に適合させる場合のセーフティケースの利用とその評価実施報告書」2013年2月 IPA

http://www.ipa.go.jp/files/000026856.pdf

実験のためのモデルシステム対象：自動車用ドアロックシステム

（構造や制御の仕組みが比較的シンプルであり自動車に対する専門知識が無くても理解し易い）ライフサイクル：概要設計～システム設計ハザード分析・リスク評価技法： FMEA（Failure Mode and Effects Analysis）、FTA（Fault Tree Analysis）


アシュアランスケースの利用


正統派と非正統派

アシュアランスケース利用には、正統派と非正統派がある

正統派認証規格に利用

非正統派認証規格の利用以外の広い応用範囲への利用


アシュアランスケースと認証規格

Safety Caseの作成、提出を義務付けている規格

Yellow Book: 鉄道システムの改変時の安全管理

EUROCONTROL: 安全で機能的な航空管制管理

ISO26262: 自動車の電気、電子システムの機能安全規格

Def-Stan 00-56: 英国防衛省策定の防衛システムの安全管理

US. Food and Drug Administration (FDA)Infusion Pump Improvement Initiative:点滴ポンプなどの医療器具の病院導入時

http://hceme.blog84.fc2.com/blog-entry-2234.html

今後はセーフティだけでなく、セキュリティ等にも広がる可能性大http://lab.iisec.ac.jp/~tanaka_lab/publications/pdf/kennkyukai/kennkyukai-2013-09.pdf


どのような利用があるのか

①説明責任をはたすため

② ステークスフォルダーとの情報共有のため

③設計の再利用のため

④ソフトウェアの相互の信頼性確認のため

何か設計・実装されているか容易に分かる

欧米では説明責任をはたすために、規格として求められるケースもある

マネージャレベルでも、アシュアランスケースから何が設計されているか、理解が可能

つながる世界において、ソフトウェアの相互の信頼性確認のための基礎

• ETロボコンへの応用例：富士ゼロックス（株）伊東敦http://www.jst.go.jp/crest/crest-os/osddeos/event/201211/ET2012C805.pdf

• 計画立案時の事例：（株）デンソークリエイト小林展英http://www.jst.go.jp/crest/crest-os/osddeos/event/201402/DEOS_13.pdf

• シミュレーションへの適用例：三菱電機（株）森素子http://deos.or.jp/event/files/ET2014presentation_mitsubishielectric.pdf

http://www.jst.go.jp/crest/crest-os/osddeos/event/201211/ET2012C805.pdf

http://www.jst.go.jp/crest/crest-os/osddeos/event/201402/DEOS_13.pdf

http://deos.or.jp/event/files/ET2014presentation_mitsubishielectric.pdf


より詳しく学習するために

【書籍教材】• D-Case入門～ディペンダビリティ・ケースを書いてみよう！～

松野裕、高井利憲、山本修一郎発行所株式会社ダイテックホールディング

http://www.dcase.jp/pdf/JissenDCase.pdf

• 実践D-Case ディペンダビリティケースを活用しよう！松野裕、山本修一郎2013年3月25日発行ISBN 978-4-86293-091-0http://www.dcase.jp/pdf/JissenDCase.pdf

【ビデオ教材】• GSN解説(1) - GSN (Goal Structuring Notation)とは何か？名古屋大学山本修一郎教授 (2:58)

https://www.youtube.com/watch?v=cV8oJ4mcMwM

• GSN解説(2) - GSNの基礎とその構成要素名古屋大学山本修一郎教授 (2:32)https://www.youtube.com/watch?v=0OOxmxrnZS0

•アシュランス・セイフティーケース概論～歴史的背景と制度～産総研田口研治招聘研究員(4:54)https://www.youtube.com/watch?v=VedmkvMcBEg

•GSN記法チュートリアル～書き方のコツ～産総研相馬研究員(2:40)https://www.youtube.com/watch?v=S32kLHBT96c

基礎編５．アシュアランスケース概論６．D-Case作法

応用編７．D-Case演習８．議論分解パターン９．D-Case Editorの使い方

３．D-Case/GSNの基礎４．D-Case作成法５．議論分解パターン



https://www.youtube.com/watch?v=cV8oJ4mcMwM

https://www.youtube.com/watch?v=0OOxmxrnZS0

https://www.youtube.com/watch?v=VedmkvMcBEg

https://www.youtube.com/watch?v=S32kLHBT96c

アシュアランスケース入門 · 2019. 4. 1. · アシュアランスケース入門...

Documents