iot時代に求められるソフトウェアエンジニアリン …hp, sap, siemens, nec,...

Software Reliability Enhancement CenterCopyright © 2015 IPA, All Rights Reserved

IoT時代に求められるソフトウェアエンジニアリング

2015年11月19日

独立行政法人情報処理推進機構（IPA）

技術本部ソフトウェア高信頼化センター（SEC）

副所長和田恭

2Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

ソフトウェア高信頼化センター（SEC）

大学

研究機関・研究団体

連携の場

•ベスト・プラクティスの収集・普及

•開発手法・技術の開発と実証実験

•現場課題に基づく共同研究

ベンダ企業

産業界

情報システムの信頼性確保

ソフトウェア開発力の強化

我が国有数の産学官連携拠点・ソフトウェア・エンジニアリング・センターとして情報処理推進機構（ＩＰＡ）に2004年に設立・ 2013年よりソフトウェア高信頼化センターに改称

ユーザ企業

業界団体

学界 SEC


アジェンダ

❶ IoTがもたらす社会

❷ 様々なモノがつながる世界のインパクト

❸ 安全・安心なIoT社会の実現に向けた取り組みa. 障害情報の共有

b. つながる世界の開発指針

c. システム指向によるアプローチ


アジェンダ







IoT時代の到来

デバイスセンサ

モバイルサーバーPC

サービス人データ

1990 2000 2010 2020

インターネット

IoT（Internet of Things）

IoE（Internet of Everything）

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://free-illustrations.gatag.net/2014/05&ei=TwMBVffAFaHUmgWx7oGoCA&psig=AFQjCNE57v6Ok-9LLxdEiwtqUhuLLsYIOg&ust=1426216137210805

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://free-illustrations.gatag.net/2014/05&ei=TwMBVffAFaHUmgWx7oGoCA&psig=AFQjCNE57v6Ok-9LLxdEiwtqUhuLLsYIOg&ust=1426216137210805


つながることで・・・

健康・食事管理

（出典）Hapifork.com

血糖値のモニタリング

（出典）Telcare.com

貯金だって

（出典）quirky.com


どれだけのサービスにつながっていますか？

スマートホームの例

（出典）strokeforcares.org

デジタルサイネージ

インテリジェント交通システム

SNS

スマートTV

インターネット記事

センサーデータ

スマートフォン

身の回りの機器


社会インフラもIoTでつながる時代に

インターネット

環境・構造情報管理・分析センタ

社会状況データ管理・分析センタ

DB

環境・構造情報をセンシングし、可視化情報や将来予測等のアセスメント情報を提供

個人の健康状態や屋内外の環境因子をセンシングし、ヘルスケア情報を提供

社会状況をセンシングし、渋滞回避等の次のアクションのための意思決定支援情報を提供

20:00 22:00

CO2

パーソナル情報管理・分析センタ

環境・構造情報センシングパーソナル情報センシング社会状況センシング

混雑度測定

渋滞予測橋梁健全性体内環境

室内環境

移動履歴

地滑り監視

氾濫監視水質等環境監視

個人から地球環境まであらゆるところにセンシングデバイスが遍在する社会が到来し、様々な社会インフラサービスの提供が可能となる。

街頭防犯カメラ


産業と産業もつながる時代に

小売と生産がつながる事例

Walmartは製品注文につながる情報をサプライヤーと共有

物流と製造・サービスがつながる事例

（出典）ヤマトロジスティックスHP

家電、通信教育、健康機器、美術品

宅配、回収、コールセンター

サプライヤー

小売が把握したユーザーニーズ


産業と産業をつなぐための基盤

産業と産業がつながるためには、文字、コード、API、アプリケーション等様々なレベルでの標準化が必要。

工作機械分野では、通信機能をもつもの、もたないものの格差が大きい工作機械や制御機器の連携のため、ミドルウェアが開発・実装されている（（一財）機械振興協会：「ORiN」）

（出典）METIジャーナル2015年4･5月号


ポイントサービス

11

避難誘導（国ごとの避難指示など）

大使館の届出情報などをオンラインで照会

登録

本人確認

認証

観光サービス

サービス提供に必要な情報を提供

2020年の東京オリンピック・パラリンピックに向けて来日する外国人の安全は各国の最大の懸案。外国人（及び邦人）の安全・安心な滞在・観光が課題。

ネットワークで在日外国人に向けた様々なサービスをつなげ、緊急時の安否確認や、きめ細かな個人サービスを提供。

事業者

現地で必要なサービスを、ID

で紐づけ、パッケージ提供

2020年に向けて


IoTが今後企業にもたらす影響（国内）

５２.３％

４７.７％

自社の製品やサービスが変わる（3年以内）

変わらない、分からない、3年以上先

IoTは自社の製品やサービスそのものを変えるか

出典：ガートナー（2015年3月）


インターネットに繋がるモノの数（全世界）

出典：シスコシステムズ、IDC


日本国内IoT市場規模

出典：IDC Japan株式会社「国内IoT市場2014年の推移と2015年～2019年の予測」

0

2

4

6

8

10

12

14

16

18

2013 2014 2015 2016 2017 2018 2019

兆円


Industrial Internet (USA)

（出典）ICT実証フォーラム日本OMG発表資料


Internet of Things in the context of Smart Environments and Applications

Internet of Things - Smart Environments and Smart Spaces Creation

Smart Ecosystemの連携

Horizon 2020（EU）

Cyber-Physical Systems

Cyber-Physical Systemsの実現

クローズドなシステムからオープンなシステムへ

様々なドメインのシステムに、インターネットを介してアクセスできる

EUのイノベーション長期戦略（調査・研究・革新プログラム）・７年間 (2014 – 2020) 800億ユーロのファンド・科学技術・産業のリーダーシップ、社会貢献活動の実現を助ける。

（出典）DG Connect


Industrie 4.0 （ドイツ）

History

（出典）Fraunhofer IESE Presentation, SEC Special Seminar, 2015


サイバー世界とフィジカル世界の直接的融合（CPS）

これまでの

ＩＴシステム

ＩｏＴ時代の

ＩＴシステム

サーバ/PC/モバイル機器等

変換された情報によるやりとり

直接情報によるやりとり

フィジカル世界

フィジカル世界

サイバー世界

サイバー世界

センサ/デバイス

コンピューティングパワー

ハイコンピューティングパワー

AI

ビッグデータ

構造変化

G

W


標準化に向けた覇権争い

製造業を中心とした産業の高度化（政府主導）

• 機器が相互に送受信するためのデータ形式

• 製造ラインの連結（マス・カスタマイゼーションの実現）

• 安全とセキュリティの基準

クラウドサービスを起点とした産業の変革（民間主導）

• IoTのベストプラクティス、リファレンスアーキテクチャ、データ・API・ミドルウェア等各レベルにわたる標準化要求

BASF, BMW, BOSCH,

Daimler, HP, IBM, SAP,

Siemens, CISCO etc.

AT&T, Cisco, GE, IBM, Intel,

HP, SAP, Siemens, NEC,

Hitachi, Fujitsu, CISCO etc.

主要参加企業

ねらい

Industrie 4.0 （ドイツ） Industrial Internet Consortium （米国）


日本でも取り組みがスタート

出典：経産省、産業構造審議会情報経済小委員会中間とりまとめ報告書、2015.5.21


アジェンダ







IoTの進展はバリューチェーンの変化をもたらす

モノの製造、販売から、モノを活用したサービスの提供へ

（出典）GE

GEでは、エンジンタービンにセンサーを取り付け、ビッグデータ解析により補修時期を決定。

人でによる部品点検の場合、2億500万時間のメンテナンスが必要、10億ドルのコスト

エンジン

↓

プリペンディブ・メンテナンス

モノの販売

サービスの提供


営業

研究・開発

企画購買製造物流

サービス

IT、共有サービス

財務、税務、法務

垂直バリューチェーン生成

企業内

サプライヤー企業内お客様

サプライヤーのネットワーク

協力会社購買製造物流

企画

お客様ネットワーク

水平バリュー生成チェーン/ネットワーク水平バリューチェーンのデジタル化

垂直バリューチェーンのデジタル化：研究開発、製造、販売、運用の各段階がデジタルで結合される。→シミュレーションによる工数激減、高サイクル開発

水平バリューチェーンのデジタル化：サプライヤー→企業→顧客に製品と情報が流通するようになる。→マスカスタマイゼーション（製造モジュール化）、最適調達

情報・アセットの流れ

デジタル化による垂直統合と水平統合とは

情報・アセットの流れ垂直バリューチェーンのデジタル化


何が新しいのか

（出典）TRON Project1987 Open-Architecture Computer Systems 坂村健教授編

製造ラインのモジュール化？NC、３Dプリンタ等によるマス・カスタマイゼーション

IoTのコンセプトは３０年前から日本にも存在


何が新しいのか

Copyright © 2015 IPA, All Rights Reserved

水平統合への回答？モデルベース開発組込分野では、修正の手戻りコスト提言、コーディング量爆発対応から、モデルベース※の開発が他分野に先駆けて進展

※実際にプログラミングを行う前に、ハードウェアの制御機能や実行環境をコンピュータ上に数学的モデルとして作成し、動作確認をシミュレートしながら設計を行う開発手法。

制御（モデル）

制御対象（モデル）

環境（モデル）制御モデル作成

プログラムコード自動生成

制御（ソフトウェア）


環境（モデル）制御ソフト作成

制御（ECU）


環境（シミュレータ）ECU試作

焼き付け

制御（ECU）

制御対象（実機）

環境（実機）量産

量産

ほぼ自動生成

環境

制御対象

制御

これまではモックアップ

これまでは手作業


中小企業はどうする？

攻めのIT経営中小企業１００選（１０月２７日表彰）の中にも、IoT活用事例多数。

http://www.meti.go.jp/policy/it_policy/investment/it_keiei/100sen_gaiyou.pdf

株式会社陣屋所在地神奈川県秦野市事業内容旅館・レストラン・ブライダルの運営創業大正７年（1918年）従業員数 40名

日々の業務に必要な全ての機能を陣屋コネクト上で一元管理

タブレットで最新のお客様情報と予約情報を随時更新

（出典）陣屋、津村屋、METI発表資料

株式会社御菓子処司津村屋所在地大阪府吹田市事業内容和菓子製造・販売創業昭和41年（1966年）従業員数 5名

家族全員がスマートフォンでWeb業務に参加地場の食材を利用した製品、食の安全安心

や商品の歴史など顧客がもとめる情報を提供


IoTの進展はバリューチェーンの変化をもたらす

さまざまなデータが収集・利用される世界に

（出典）セキュリティアフェアーズ、アルマジロ、IBM、Nvidia

SNS

各種センサーデータ

CGM

位置情報

公的機関オープンデータ

インフラ保守

ウェブや現実の行動履歴

自律学習

画像認識

ビッグデータ技術

分析・付加価値化

データの収集

需要管理

コンテンツ生成

マーケティング

決済管理

遠隔監視

意思決定支援

健康情報

リアルの社会で活用

全部がサービス


データはどう使うか

データは「集める」時代から「溜まっている」時代に

ブロードバンドの整備

非RDMS、並列分散処理技術の普及

画像・音声認識技術

ディープラーニングに代表される人工知能技術

空前のAIブーム、ビッグデータブーム


AIはビジネスになるのか

「機械との競争」

国立情報学研究所（NII）「ロボットは東大に入れるか」プロジェクト

将棋「電王戦」 2015年は将棋プロが勝利

IBMワトソンは、クイズ番組Jeopardyで歴代チャンピオンに圧勝

有価証券報告書や、ニュース記事要約はすでに自動化

人工知能の得意 vs 人間でないとできないもの

認識・分析操作・創造・人との交わり（交渉・説得）

海外ではビッグデータ分析企業を巡る争奪戦

IBM Netezza、Cognos、Cloudant、SPSS

Oracle BlueKai

Dell StatSoft、EMC、 HP Autonomy、 Apple Topsy Lab など


知能のふたつの面

https://upload.wikimedia.org/wikipedia/commons/5/5c/Da_Vinci_Vitruve_Luc_Viatour2.jpghttps://upload.wikimedia.org/wikipedia/commons/1/1e/Hippocampus_image.pnghttps://www.flickr.com/photos/57570482@N06/5299266966

身体に根ざす知能

社会に根ざす知能

パターン認識

定理証明

チェス

パーセプトロンエキスパートシステム

ニュラルネット

ロボット知能

大規模知識ベース

ディープラーニング

機械学習

推論

個体の能力の進化認知力の強化、系統進化を機械が実現

個体を超えた知能へ

社会の集合知を機械が導出

コンピュータの誕生

（出典）国立情報学研究所武田英明教授資料に加筆

https://upload.wikimedia.org/wikipedia/commons/5/5c/Da_Vinci_Vitruve_Luc_Viatour2.jpg

https://upload.wikimedia.org/wikipedia/commons/1/1e/Hippocampus_image.png

https://www.flickr.com/photos/57570482@N06/5299266966


人工知能が社会で持続的に活用されるためのループ

知識提供（科学的助言技術的助言）

勧告・警告（状態観察により持続性のための可能性と社会的期待の発見）

現象・期待（行動者の行動結果として生じる現象、潜在的期待）

構成型科学者

行動者

観察型科学者

社会、地球環境

行動（専門知識に裏付けられた行動）

観察・分析（人文・社会・生命・自然科学）

構成・設計（人文・社会・工・農・医）

政府、企業、病院、文化、公共サービス

行動の同化（社会技術）

（構成による漸次的進化のループ）

人工知能設計者・開発者

人工知能観察者・分析者

（出典）国立情報学研究所武田英明教授資料


IoTの進展には法的、制度的課題も

製造物・損害賠償責任

ネット経由で機能拡張、開発当時には想定できないリスクへの対応

自律制御の結果、生じた損害賠償責任の所在

クラウドでデータを共有する際の著作権等保護

私的複製・視聴をインターネット経由で行うものは×

第三者への使用許諾を一括して行うスキーム？

個人情報に該当するか不明なデータの扱い

センサー、ビデオカメラ画像等それのみでは個人情報ではないものが、データマッシュアップで個人情報に → 今年法改正済

国際的にはビジネスが先行

（出典）文化庁


パーソナル情報に関する海外ビジネス事例Bluekai （ http://www.bluekai.com/ ）【事業】

◎匿名データの取引を中心とするデータ売買の取次ぎ事業（北米では毎月約300万の利用者）【内容`】

・サービスは2種類① Data Exchange：パートナー企業から提供を受けているデータを顧客が購入できるシス

テム（主にアドバタイズに利用されている）。データ更新は頻繁。②Data Management Platform

：データ解析サービス。顧客のウェブサイト解析（どのページにアクセスがされているか、どのページで訪問者が閉じているかや、何のデバイスで見られているかなど）が中心であるが、最近は事業者がデータ持ち込んで解析を依頼されるケースも増えている。

・プライバシーに関わる部分が残されているデータは取引等を行わない。①名前、住所などは勿論の事、１個人の医療記録や金銭面に関するもの②Minor（18歳以下、日本における未成年者）の可能性があるデータが発見された場合除外。

・全てのデータは独自のアルゴリズムを用いたツールによる審査を受けてから売買の対象になる。

Allow （ http://i-allow.com/ ）【事業概要】

◎ 個人情報を販売し、情報を提供した個人には売り上げの70％を手数料を支払っている。【パーソナル情報の取り扱い状況】

・『個人情報の積極的換金を支援する』方針を明確に打ち出している。【調査結果】

・サービス登録はイギリス国民に限定されている。・「保険」「携帯電話」「クレジットカード」に関する問いの価値が高い。

（出典）日本情報経済社会推進協会（JIPDEC）


アジェンダ







アジェンダ


❷ 様々なモノがつながる世界のリスク





0

1

2

3

4

5

6

平成23年1月

平成23年3月

平成23年5月

平成23年7月

平成23年9月

平成23年11月

平成24年1月

平成24年3月

平成24年5月

平成24年7月

平成24年9月

平成24年11月

平成25年1月

平成25年3月

平成25年5月

平成25年7月

平成25年9月

平成25年11月

平成26年1月

リコール件数（ＳＷ改修）

リコール件数（ＳＷ改修）

つながる世界では組込みシステムのトラブルも増加

（ソフトウェア原因による自動車リコール件数）

○開発失敗、納期遅延、予算超過、情報システムの故障や運用ミス、組込みソフトウェアの不具合によるトラブル等が頻発。

（報道等による組込みソフトウェアの不具合）

2006年12月日本信号自動改札機ソフトウェア不具合 260万人影響2010年2月トヨタプリウス等のブレーキ制御ソフトに不具合 43万台リコール2014年2月トヨタハイブリッド・システムの制御ソフトに不具合 190万台リコール2015年3月三菱電機テレビ視聴中または録画中に、電源がON/OFF を繰り返す不具合

（出典）報道に基づきSEC作成


システム障害不具合/ミス

の要因

設計運用試験

各プロセス／アクティビティにおける安全対策が積み重なり（多層防護）安全を確保（スイスチーズモデル）

教訓

穴をふさぐ

これまでの障害事例における設計、開発、運用段階の原因

なぜ障害情報の共有が必要なのか

システムの複雑化、連続可動化により、設計段階の作り込みには限界。

運用段階の対策（社員教育、補修等）を組み合わせて、システム障害を防止。


障害教訓情報の共有による再発防止

出典：IPA/SECホームページ http://www.ipa.go.jp/sec/system/index.html


事例分析、教訓の共有活動


教訓集の作成

2015年3月末公開

製品・制御システム分野

ITサービス分野

国民生活や社会・経済基盤に関わる「障害情報」を収集

[教訓数]

28件

[教訓数]

27件

普遍化取りまとめ

収集した情報を分析し対策を検討

＜製品・制御システム高信頼化部会＞

＜重要インフラITサービス高信頼化部会＞情報処理システム高信頼化教訓集（ITサービス編／製品・制御システム編）

【参画企業等】

トヨタ自動車（株）、日産自動車（株）

日本電気（株）、（株）日立製作所

三菱電機（株）、横河電機（株）

富士電機（株）、矢崎総業（株）

アイシン精機（株）

日本電気通信システム（株）

（株）日立産業制御ソリューションズ

三菱電機メカトロニクスソフトウェア（株）

（株）富士通コンピュータテクノロジーズ

オムロンソーシアルソリューションズ（株）

アイシン・コムクルーズ（株）

パイオニアシステムテクノロジー（株）

北陸先端科学技術大学院大学

九州大学、岡山県立大学

（一社）組込みシステム技術協会

（一社）電子情報技術産業協会

【参画企業等】

（株）三菱東京UFJ銀行

日本生命保険相互会社

東京海上日動火災保険（株）

（株）日本取引所グループ

東京電力（株）

東日本旅客鉄道（株）

KDDI（株）

（株）情報システム総研

（株）オリジネィション

日本大学

内閣官房情報通信技術総合戦略室

（一社）日本情報システム・ユーザー協会

製品・制御システム編

ITサービス編


アジェンダ







液晶テレビのトラブル

家電もほとんどソフトウェアで動いている

家電もネットワーク経由で制御されている

出所：http://itpro.nikkeibp.co.jp/atcl/news/15/040901254/


X-by-Wire システム

組込みシステム分野では、機械的機構からソフトウェア制御への進化(X-by-

Wire)が早くから進展。

Fly-by-Wire: 1988年、エアバスA320は旅客機として初めてデジタル fly-by-wire

による操縦・飛行制御システムを採用。

Brake-by-Wire: 2001年、トヨタ初代エスティマ・ハイブリッドに世界初搭載。ABS

などブレーキアシストの機能を統合制御して車両の安定性を向上。

Steer-by-Wire: 2013年、日産スカイライン（米インフィニティQ50）が世界で初めてダイレクトアダプティブステアリングとして導入、米国で発売開始。

車載組込みソフトの規模


ソフトウェアの品質確保の重要性

ソフトウェアにより

実現された高度な機能

故障・サービス停止等が生じると大きな損害が発生

ソフトウェアは目に見えないため、利用者は事前の安全性・品質の確認が困難

普段は動いてあたりまえ(ソフトウェアは意識しない)

平常時トラブル発生!!

ソフトウェアは見えない・分からない

顧客・ユーザー

故障サービス停止


ソフトウェアの品質確保の重要性

利用者

調達者

供給者

(1)ソフトウェア開発の分業化

例：自動車、鉄道等

利用者

調達者

供給者Ａ

(2)供給部品のソフトウェア仕様決定者の変化

例：スマートフォン（Android OS）、ヘルスケア機器（クラウド利用）等

製品・サービス

ソフトウェア


ソフトウェア

(3)製品・サービスを組合せて利用する形態への変化

例：スマートハウス、スマート家電

利用者

相互に連携し、新たな機能を提供

供給者B

供給者C

供給者xx

利用者

調達者

供給者（調達側仕様に

合わせたソフトウェア）

利用者

調達者

供給者（OSS）

ブラックボックス化

供給者（クラウドサービス）

一次提供者

垂直統合型水平分業型調達者仕様決定型供給者仕様決定型ユーザ組合せ型従来型


ソフトウェア


ソフトウェア通信

利用者

仕様決定

仕様決定

仕様決定

IoTの進展に伴い、ソフトウェア開発スキームが多様化⇒システムの信頼性を支えるソフトウェアの品質確保が課題

ソフトウェア開発体制が分散

オープンソースやクラウドの活用も広がる

異なるソフトウェアをユーザが連携


安全・安心な設計とは

様々な製品にソフトウェアが組み込まれ、生活に浸透している現在、安全・安心を実現するためには、開発、導入、運用の各段階にわたるセーフティ・セキュリティの配慮が必要。

セーフティ設計とは、人命や財産の安全を確保するため、設計の段階で安全を作りこむことを意味しており、そのためのリスク分析とリスク低減を行うこと。

セキュリティ設計とは、情報の機密性や完全性などのセキュリティを確保するために、設計の段階で脆弱性の低減や脅威への対策を考慮に入れることを意味しており、そのためのリスク分析とリスク低減を行うこと。


セーフティとセキュリティ

何かを危害から守るという意味では同じ

情報資産を外部からの危害から守る→ セキュリティ

人命等を内部からの危害から守る→ セーフティ

経済的なインパクトは同程度サイバーセキュリティによる被害額 (２０１３年シマンテック調査）世界全体１１兆３０００億円米国３兆８０００億円日本１兆円

システム障害(セーフティ)による被害額（２０１４年ＥＭＣの調査）米国１０兆６０００億円日本３兆４６００億円

脅威

ユーザーハザード

外部の敵

身内の不始末


セーフティ・セキュリティ設計には経営層の関与が必要

設計上の判断に、経営層や品質保証部門の責任者が関わることはありますか？

経営層が関与していると回答した組織は、開発部門のみで判断していると言う回答に比べて少ない

経営層26.4%

経営層29.8%

事故やインシデントが発生すると、損害賠償や企業の信用失墜・リコールなど、経営リスクに発展

セーフティ設計セキュリティ設計

セーフティ設計・セキュリティ設計上の判断には、

経営層の関与が必要

出典：独立行政法人情報処理推進機構「セーフティ設計・セキュリティ設計に関する実態調査結果」（平成27年9月10日）

セーフティ設計・セキュリティ設計の必要性

しかし

設計は必要100%


基本方針の有無

基本方針が無い 64.9％

明文化されたものはない 24.6％

10.5％

64.9％

基本方針が無い 54.4％

29.8％

セキュリティ設計を含む

基本方針あり

15.8％

54.4％

セーフティ設計を含む

基本方針あり

セキュリティ設計に特化した基本方針あり

セーフティ設計セキュリティ設計セーフティ設計に特化した基本方針あり

明文化されたものはない

出典：IPA/SECによる企業アンケート調査結果


つながる世界の品質ガイド

各業界におけるセーフティ／セキュリティの設計品質を高めるためのガイドブック（設計プロセスや手法を紹介）

つながる世界での品質の共通認識に有用なソフトウェア品質モデルの国際規格（SQurRE）の紹介


つながる世界における課題

故障やセキュリティ問題の影響が深刻化。影響の拡散防止などの共通的な対策が必要。

連携先が増え試験の充足性が不足。コスト負担増。複数製品サービスの保証範囲や保守範囲が不明確。

各業界毎の規制、規定、作法、常識等バラバラで統一的に扱えない。信頼性レベルの異なるモノの接続基準がない。

制御を行うシステム間での信頼性要件の確立

個人データの扱いが心配。データの信憑性や素性が不明。

安全につなぐ枠組みの構築や障害事例の共有

データの利活用推進と信用確保

試験・運用保守の環境の整備

異なる分野の製品がつながること（垂直統合）についての課題

設計、開発、生産現場がデジタル統合されること（水平統合）についての課題


つながる世界の開発指針の検討

1. 目的様々な業種間での機器・サービスの高信頼な情報連携を実現するため機器・サービスを構成するソフトウェアに求められる共通的なセキュリティ、セーフティ要件及び信頼性要件を検討し、開発指針・リファレンスとして策定する。

2. 想定範囲M2Mの自律制御デバイスから、より上位のIoT、CPS等の層まで網羅する。

3. 検討対象・成果物

①開発指針セキュリティ要件、セーフティ要件、信頼性要件

②リファレンス開発指針の各要件等を実装するときに参照する実装方法

つながる世界実現の課題

つなげる枠組みの構築（セーフティ/セキュリティ/信頼性）

知見者（大学・各種団体・企業等）

開発指針（要件）

異分野連携基盤

機器機器

異分野連携基盤

機器機器

：各要件

【リファレンス】


IoTリファレンスも様々

1. 公開されている主要なリファレンス oneM2M 「Release1」（2015年1月） IIC 「Industrial Internet Architecture」（2015年6月） Industrie4.0 「RAMI4.0」（2015年4月）

2. ISO/IECの取り組み状況 ISO/IEC JTC1 SWG5 「Study Report on IoT Reference

Architectures/Frameworks」（2014年8月）様々な分野にわたって調査されており共通のリファレンスの必要性が提言されている。

ISO/IEC JTC1 SWG5の調査等からIoTのリファレンスにつ

いては様々な標準化団体やコンソーシアムが定義していて統一されていない状況。


開発指針等の今後の展開

・開発指針・リファレンス・その他施策

関連団体との協力・制御システムセキュリティセンター

・その他団体

開発指針の規格化・ISO/IEC・業界規格・その他

複数業界間への展開・開発指針の展開・複数業界をまたがるリファレンスなど

・国の政策との連携、関連団体のとの協力体制の確保・開発指針の規格化、複数業界への横展開など

国の政策との連携・製品安全・サイバーセキュリティ・研究開発など


アジェンダ







システム指向による設計の必要性

多様な設計上の制約 ←→ コーディングコストの爆発自動運転車の開発

無数の機器が接続する環境下のサイバーセキュリティや障害対策

システム思考 VS デザイン思考全体の俯瞰・体系化アイディア→プロトタイプ→製品の実現

どちらかを優先しなければ、システム開発は不可能？

（注）「システム×デザイン指向で世界を変える」日経BP社刊慶応大学大学院前野隆司教授著を参考に記述。

システム思考 AND デザイン思考木を見て森も見る－多様な要素が関係し合う「体系」の理解

「システムズエンジニアリング」という考え方


システムズエンジニアリングとは

システムエンジニアリングとは、多様な環境（「システム」）の相互作用を考慮した「システムのシステム（SoS)」構築を体系化しようとする試みであり、爆発的に多様化・複雑化しているシステム開発の省力化、製造工程のデジタル化・標準化を通じた裾野産業の製造基盤強化等が期待される。

運転時の周辺状況

故障・危険運転

デバイス維持環境

自動車安全運転機能

自転車安全運転デバイス

誤動作

出典：山本修一郎教授資料第15回人工知能学会に加筆

システムズエンジニアリングの適用例：

自動車と自転車の接触事故を防止するセーフティーシステム開発

自動車側、自転車側システムの相互作用や、周辺状況との関連を考慮

多様な考慮要因＝７人の侍モデル

構成要素

介入機能



わかりやすく言うと、全体像を見渡すことと、ディテールの把握を同時にできる体系を作りましょうということ。

（出典）Kim Wolf http://beyondreed.com

ビーグル犬？ボクサー？

ジャーマンシェパード？

パグ犬？

パーツだけ見ていると、それぞれまったく違うシステム（＝犬種）に見えてしまう。



電気自動車の開発スコープ（従来）+ 充電システム（システムの拡大1）

自動車交通「システムズ」（システムの拡大2）

これまでの「システム」の範囲

既存の交通システムとの共存も「システム」として取り込み

これまでの「システム」開発からの抜本的転換

出典：「エンジニアリングシステムズ」慶應義塾大学出版会


つながる世界での安全性の考え方

個々のコンポーネントの信頼度を上げるだけでは、複雑につながるシステムではシステム全体の安全性向上にはつながらない。

ではどうするか

人間の関与や開放系でのシステムへの影響を考慮した設計

外部からの攻撃・不具合の影響から守る範囲の優先度付け

外部への影響の最小限化

障害原因究明では、従来のイベント連鎖による考え方では不十分で、プロセス全体で捉えて究明していく必要がある


システムの障害原因診断はますます困難に

複数のシステムが連携することで、新たなサービスや、高度な機能が広く提供システム自体や、操作する人とシステムの関わりも複雑に

複合的な要因による障害が発生すると、原因の発見は困難。影響範囲も大きい

システムの基幹を担う要素が、ソフトウェア中心に障害発生時のシステム診断や原因分析と対策を、従来の物理的要因

中心から、ソフトウェアやシステム中心のシステムズエンジニアリング視点に変える必要

システム障害がシステム視点から分析されていない実態システム相互間の複合原因や、長期間保守によるシステム劣化が原因

と考えられる障害が増えてきている

システムズエンジニアリングに基づいた障害診断手法、それを使いこなせる人材の育成が必要


事後V&V手法

人間系を含む複数の制御システムが連携して動作する大規模・複雑なシステムに対する障害診断手法の確立

（例）各種製造プラント、発送電システム、運輸機器等

障害が発生した際に、開発・運用当事者以外の客観性を持った第三者が実施可能な検証活動としての役割を確立

障害の再現を模擬することによる操作員や診断者に対する教育方法の確立

「事後V&V」手順として体系化


システムズエンジニアリングに基づく安全性設計：STAMP

安全性を信頼性の面だけでなく、コンストレイント（制約）とコントロール（制御）の面で捉える

ヒューマンエラーや機械の故障以外の原因を追求する

主観的な考えに基づいた事故モデルの構築でなく、科学的な根拠に基づいた事故モデル

設計上のミスや、複数のシステムからの干渉による不具合の発見

複雑なハイテクシステムが関係した、新しいタイプの事故災害であっても解析を可能とする

ヒューマンエラーを事故の直接原因と捉えず、ヒューマンエラーを作り出したメカニズムに焦点を当てる

責任追及のために原因を求めるのではなく、事故が起きた背景を求める

様々な視点から、様々な要因が絡んでいるという考えを持つ

STAMP： Systems-Theoretic Accident Model and Processes

出典：Nancy Leveson “Engineering a Safer World”, The MIT Press を基に作成


STAMPによるハザード分析（STAMP/STPA）

事前準備アクシデントとハザードの識別

コントロール構造の作成

Step 1

非安全なコントロール・アクションの識別

４つのガイドワード1. 安全のためのコントロール・アクションがない

2. 非安全なコントロール・アクションがある

3. 安全のためのコントロール・アクションがあるが、タイミングが遅すぎ、早すぎ、または順序がおかしい

4. 安全のためのコントロール・アクションがあるが、すぐに止まる、または適用が長すぎる

Step 2 Step1で、検出されたハザードにつながるシナリオを引き起こす原因と安全性

制約の確定

対策とコントロール構造の修正

STPA: Systems-Theoretic Process Analysis


まとめ

IoT時代を迎え、様々なスマートサービスが出現し、我々の社会生活ははるかに便利にかつ高度になる

一方で、さまざまなシステムがつながることによるリスクへの対処、新陳代謝を繰り返し止まらなくなるシステムの実現のため、様々な制度的・技術的課題を解決していく必要がある。

様々なモノがダイナミックにつながるIoT時代では、ハードウェア、ソフトウェア、人間系なども含めた「システム」指向のアプローチが求められる


ご清聴ありがとうございました

独立行政法人情報処理推進機構

ソフトウェア高信頼化センター

副所長和田恭

[email protected]

iot時代に求められる ソフトウェアエンジニアリン …hp, sap, siemens, nec,...

Documents

iot時代に求められるソフトウェアエンジニアリン …hp, sap, siemens, nec,...