safety/securityへの アジャイル開発と モデルベース …•°学のソフトウェ...
TRANSCRIPT
![Page 1: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/1.jpg)
Safety/Securityへの アジャイル開発と モデルベース開発
アプローチ
株式会社チェンジビジョン
平鍋健児
1
![Page 2: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/2.jpg)
2
≪講演概要≫
昨今、システム開発でますます使われるようになってきたモデルベース開発手法とアジャイル開発手法。
これらは、複雑化するシステム開発を一方は抽象化、可視化によって、もう一方はエンピリカルで人間中心な活動として解決しようとしている。一方、高信頼化が求められるシステム開発においても、これらのアプローチが影響をおよぼしはじめている。
本セッションでは、「アジャイル開発手法」と「モデルベース開発手法」を外観した後、それぞれの手法がセイフティやセキュリティのエリアでどのように使われるようになってきているか、ご紹介する。
![Page 3: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/3.jpg)
3
自己紹介 ㈱永和システムマネジメント
– 福井市(本社)、上野東京(支社)
– Ruby と Agileを使ったシステム開発
株式会社チェンジビジョン – 福井市(開発部)、上野東京(本社)
– astah* (旧:JUDE) の開発
平鍋健児 – UML+マインドマップエディタ astah*の開発
– 要求開発アライアンス、理事
– 翻訳、XP関連書籍、『リーン開発の本質』 『IMPACT MAPPING』等多数。
– 著書『アジャイル開発とスクラム』、『要求開発』 『ソフトウェア開発に役立つマインドマップ』
![Page 4: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/4.jpg)
4
• 顧客・技術・経営の3者をつなぐために、アジャイルと日本経営の接合点を探る
• 海兵隊の組織とアジャイル • 知識創造プロセスとアジャイル • 実践知リーダーとアジャイル • 富士通・楽天・リクルートの事例 • Jeff Sutherlandインタビュー
『アジャイル開発とスクラム』
平鍋健児+野中郁次郎著
![Page 5: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/5.jpg)
アジャイル開発の背景 (情報系から組込み系へ)
5
![Page 6: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/6.jpg)
6
市場 ビジネス IT
市場分析 発注
納品 リリース
半年から3年
ミッション・リスク分割型ビジネスと ウォーターフォール型開発(従来型)
![Page 7: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/7.jpg)
従来型の問題=要求の劣化
• Standish group study report in 2000 chaos report
7
システムの機能の利用度
全く使われない45%ほとんど使われな
い19%
たまに使う16%
いつも使う7%
よく使う13%
![Page 8: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/8.jpg)
8
市場
IT
ミッション・リスク共有型ビジネスとAgile型開発
ビジネス
市場
ビジネスとITが一体になった 「OneTeam」を作り、ミッション とリスクを共有する。 やってみて、結果から戦略を 作りながら進む。
![Page 9: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/9.jpg)
スクラムのフレームワーク
9
製品
バックログ
スプリント
バックログ
1-4 週
24 時間
出荷可能
ソフトウェア
朝会
![Page 10: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/10.jpg)
10
IDEAS
CODE DATA
BUILD LEARN
MEASURE
素早くコード
単体テスト ユーザビリティテスト
継続的結合 漸進開発
オープンソース利用 クラウド
クラスタ免疫システム JITスケーラビリティ リファクタリング
デベロパーサンドボックス
素早く測定
AB テスト 明確なプロダクトオーナ 継続的開発 ユーザビリティテスト リアルタイムモニタ 顧客代表
素早く学習
AB テスト 顧客インタビュー 顧客開発 なぜなぜ5回、真因分析 顧客アドバイザリボード 仮説検証 プロダクト・オーナーの責任 顧客タイプ分析 機能横断チーム 半自立チーム スモークテスト
漏斗分析 コホート分析
ネットプロモータスコア 検索エンジンマーケティング
リアルタイムアラート 予測的モニタリング
LeanStartup
![Page 11: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/11.jpg)
組込みシステムでも(1)…
消費者機械安全性: IPA/SEC → OMGで提案
11 出典: SEC journal http://www.ipa.go.jp/files/000024514.pdf
“ここで提案している素早い繰り返し、動的振る舞いモデルの導入、物理と数学のソフトウェアへの導入の心は日本的開発手法そのものである…”
キーワード:
D-Case, GSN, SoS,
Model-based, Safety Case
Certification Engineering,
Dependability, ISO26262
![Page 12: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/12.jpg)
組込みシステムでも(2)… DEOS: The Open Groupで標準化
12 出典: DEOS協会 http://deos.or.jp/technology/process-j.html
![Page 13: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/13.jpg)
13
![Page 14: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/14.jpg)
アジャイル開発
• (1) 市場(何を作るか)が不安定
• (2) 技術(どうやって作るか)が不安定
ともに、予見できない
• 「作って試す」繰り返しが必要
• エンピリカルで人間活動を考慮した手法
• SoS(System of Systems) やセキュリティでは「相手」を知りきれない。
14 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
本質的な不確実さ
![Page 15: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/15.jpg)
モデリング技術
15
![Page 16: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/16.jpg)
16
情報システム 組込みシステム
物
メカCAD ECAD
制御
ソフトウェア
UML (離散系/
情報系) Simulink(連続系/制御系)
UML,ER, DFD,BPMN..(データ,プロセス,..)
システムのモデルリング言語
SysML(要求、構造、振舞、制約) SysML(統合系)
システム/SoS
SysML(要求、構造、振舞、制約)
アシュランス
GSN(D-Case) 保証議論
SafeML(安全+設計情報)
SCDL (ISO26262の
安全コンセプト)
2
4
3
1
![Page 17: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/17.jpg)
SysML (Systems Modeling Language
MBSEの言語)
17
![Page 18: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/18.jpg)
SysMLを使ったRTCベースの ロボットアプリケーション開発 : 事例ケースタディとデモ
平鍋健児(Change Vision, Inc) 安藤慶昭(産総研)
一昨年OMGで発表された事例。 http://www.slideshare.net/hiranabe/using-sysml-in-a-rtcbased-robotics-application-a-case-study-with-a-demo
![Page 19: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/19.jpg)
プロジェクトメンバー
Honda R&D Team
安藤慶昭
平鍋健児
岩永寿来
岡村敏弘
関谷 眞
原 功
鳥井 豊隆
SysML to RTC 1 2 OpenRTM to Honda RTM
Geoffrey Biggs
![Page 20: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/20.jpg)
自律ロボットを遠隔操作し、2つの動き (Spiral と Back-and-
Forth) をさせる。Operatorは自律
モードとデモモード切り替えることができる。
ハードウェアアーキテクチャはあらかじめ決まっている。PCを乗せたRoombaを、Wi-Fi通信で、Kinectを使ってモードスイッチする。
問題記述
kinect
Operator Controller PC
Receiver PC
Roomba
Wi-Fi
![Page 21: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/21.jpg)
req [コア要求(問題文)]
![Page 22: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/22.jpg)
req [Robotへの要求]
![Page 23: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/23.jpg)
uc [デモユースケース]
![Page 24: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/24.jpg)
bdd [コンテキスト図]
![Page 25: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/25.jpg)
bdd [システム概要]
![Page 26: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/26.jpg)
ibd [デモシステム]
![Page 27: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/27.jpg)
ibd [controller物理構造]
![Page 28: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/28.jpg)
SysMLとSoS
• 慶応大学大学院SDM 西村秀和先生の事例
• IPA(RISE) ソフトウェア工学分野の先導的研究支援事業(2014年 実施中)
• 自動運転車を例題に、SoSアーキテクチャの参照モデルを構築
28
![Page 29: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/29.jpg)
研究概要 次世代自動運転車の導入に向け、それを取り巻く交通インフラ、各種情報システムを含む周辺環境、ドライバなどをSystem of Systems(SoS)として捉えた上で、安全性を考慮したアーキテクチャを構築する。
自動運転技術の研究のみでは、システムレベルでの安全性の確保は難しいため、安全なSoSアーキテクチャを構築することが課題と考える。
29
2014年度ソフトウェア工学分野の先導的研究支援事業
システムモデルと繰り返し型モデル検査による次世代自動運転車を取り巻くSoSのアーキテクチャ設計
Copyright©2014 Hidekazu Nishimura.
![Page 30: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/30.jpg)
Context between Automated Driving System and System of Systems[Block] ibd [ ]
transport Infrastructure System
a u t o m a t e d D r i v i n g S y s t e me g o V e h i c l e D r i v e r
p e d e s t r i a n
p h y s i c a l E n v i r o n m e n t s
n a t u r a l E n v i r o n m e n t
s u r r o u n d i n g M o b i l i t y
e g o V e h i c l e
I C T S y s t e m
Driver automated driving commandAutomated driving information
Direct driver monitoring data
Obstacle StateObstacle State
Pedestrian StatePedestrian State
Natural Environment StateNatural Environment State
Surrounding Mobility StateSurrounding Mobility State
Ego vehicle driving state
Automated driving
control command
Indirect driver monitoring dataDriver on-board system use
Driver manuever command
Navigation information
Driver navigation
system use
Transport Infrastrucure State
Transport Infrastrucure State
Navigation information
Ego vehicle navigation
related data
Surrounding vehicle
navigation related data
Transport infrastrucure information
Traction Force
Driving forceNavigation information
システムモデルの記述 コンテキストレベルのSoSの記述
ドライバ
自車
交通インフラ
周辺モビリティ
自然環境
歩行者
物理環境
自動運転 システム
ICT システム
2014年度ソフトウェア工学分野の先導的研究支援事業
システムモデルと繰り返し型モデル検査による次世代自動運転車を取り巻くSoSのアーキテクチャ設計 30
Copyright©2014 Hidekazu Nishimura.
![Page 31: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/31.jpg)
モデル検査による安全性の検証
SoS全体が本プロジェクトで定義する安全性を満たすかどうかを検証するためにモデル検査を用いる。
安全性要求
の明確化
SoS
アーキテクチャ
状態機械図
(ステートマシーン図)
モデル検査式 モデル検査用
モデル
SysMLモデル SoSを並行システムと考え、CSP(Communicating Sequential Processes)モデルを作成
CSPモデル:並行システムの
「構造」や入出力の「動作」を表すことができるモデル
アシュランスケース
31
2014年度ソフトウェア工学分野の先導的研究支援事業
システムモデルと繰り返し型モデル検査による次世代自動運転車を取り巻くSoSのアーキテクチャ設計
Copyright©2014 Hidekazu Nishimura.
![Page 32: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/32.jpg)
SERA
• システムズエンジニアリング研究会
• 発起人:内田功志(システムビューロ)、井上樹(豆蔵)。
• 日本で事例収集がし難いので、事例開発(植物工場)。
32 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 33: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/33.jpg)
Assurance Case GSN/D-Case
(Goal Structuring Notation ゴール指向で議論を記述)
33
![Page 34: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/34.jpg)
GSNの記法と例
![Page 35: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/35.jpg)
GSN(D-Case)
• ある「主張」を行うための議論構造をグラフィカルに表現した図(Goal Structuring Notation)
• ヨーク大学 Tim Kelly の研究。
• セーフティケースを記述する手法として利用される。
• ノードとして、「ゴール」(主張)、「戦略」、「コンテキスト」、「ソリューション」(証拠)、などがある。
• ゴールをサブゴールに分割し、ソリューション(証拠)と結んで立証する。
• Safety 以外にも Dependability やSecurity を Assure する用途に使えるので、 「Assurance Case」と総称する。
• D-Case: GSNを拡張し、デペンダビリティケースを表現する、DEOSで開発された記法
![Page 36: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/36.jpg)
セキュリティにGSNを利用する例
36 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
• DHS(米国国土安全保障省)のリソース
![Page 37: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/37.jpg)
GSNによるセキュリティ(1)
37
![Page 38: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/38.jpg)
GSNによるセキュリティ(2)
38
![Page 39: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/39.jpg)
SafeML (設計情報と安全情報をつなぐ)
39
![Page 40: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/40.jpg)
SafeML
• 産総研 Geoffrey Biggs 氏が SysML の拡張Profileとして開発
• 「設計情報」と「安全情報」のトレーサビリティを目的とする。
• Hazard, Harm, Context を組として、設計情報上に危険情報対応する安全情報を追加する。
• GSNとの接続事例も。
40 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 41: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/41.jpg)
SafeMLのコンセプト
Hazard(危険):
• 「危害」の潜在源
• システムは関連する危害を引き起こす可能性が常に有る。
• システムのコンポーネント、設計、使われ方(要求とユースケース)に関連。
Harm(危害):
• 直接または間接的に与えられる、人の健康に対する肉体的障害または損傷
• 特定の「状況」で特定の「危険」により及ぼされる。
Context(状況):
• 「危険」が「危害」を引き起こせる危険状況(コンテキスト)
• コンテキストが出ると「危険事象」(hazardous event)
• 「危害」が起きたら「危害事象」(harmful event)
41 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 42: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/42.jpg)
42
![Page 43: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/43.jpg)
43
![Page 44: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/44.jpg)
Safety Model and Systems Model - GSN/MARTE/SysML/SafeML integration in Robotics
Geoffrey Biggs (AIST) Toshihiro Okamura(Change Vision, Inc.)
12月にOMGで発表された事例。 http://www.slideshare.net/hiranabe/omg-safety-modelsystemsmodel20141210final
http://www.slideshare.net/hiranabe/omg-safety-modelsystemsmodel20141210final
![Page 45: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/45.jpg)
SysML・UML/M
ARTE GSN
Describes system
safety cases.
Describes
system
and software
models
SafeML
Example robot (from AIST)
(Extension to SysML)
Describes hazards and harms related to the system
Goal:
• Demonstrate the effectiveness of using GSN/SafeML/SysML/MARTE together.
Overview
![Page 46: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/46.jpg)
Modelling process
GSN
• Design argument for how system will be developed to be safe (safety analyses to be performed, design methods, etc.)
SysML • Model a system that meets the requirements
SafeML
• Add safety analysis results to system model to attain traceability between safety analysis and system features (safety requirements)
SysML • Revise system design to implement required safety features
MARTE • Add implementation details and analyse model for feasibility of design
GSN
• Revise argument based on actual steps performed and work products
• Link GSN argument to system model to provide context and solutions
Language Objectives
![Page 47: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/47.jpg)
GSN model
Safety requirement verification result
Sn6
* Hazard analysis statement* Risk assessment statement
C6
DRC is acceptably safe
G1
All hazards have been identified sufficiently
G4
Basic Requirement for Safety:(1) DRC should be safe for using in the second office in the main building of AIST(2) DRC should be safe for users who are not familiar with electric wheelchair
C2
Hazard analysis statement
Sn1
Risks have been analyzed and evaluated properly. And the ways of eliminating the risks are analyzed properly.
G5
Risk assessment statement (each phase)
Sn2
Activities in each phases of the lifecycle of DRC have been figured out
G10
Primitive hazards have been figured out comprehensively by using the hazard identification checklist of JIS B 9700 and ISO13482
G12
Product brief
C7
Hazard identification checklist ofJIS B 9700:2013 (Table B.1)
C9
Hazard identification checklist of ISO13482 (Annex A)
C11 The lists of hazards for each phases of the lifecycle have been created by matching the activities and the hazards figured out by checklists
G13
Table B.3: 'List of risky activities' of JIS B 9700(Standard for safety of machinery)
C8
Phase:Specification, transport, installation, setting, maintenance, emergency response, removal
Figuring out hazards and activities to identify risks that inhibit the safety
S2
Kinds of improper use have been identified
G11
Hazard identification checklist ofJIS B 9700:2013 (Table B.3)
C10
Product brief
C1
Discuss separately with deriving safety requirements and implementing safety requirements
S1
Hazard analysis statement
C5
Required risk reduction measures have been defined properly
G17
Risks have been reduced to less than the allowable level by risk reduction measures
G18
Safety requirements have been derived properly from the risk reduction measures
G6
All safety requirements have been implemented
G3
Safety requirement definition document
Sn3
All risks have been estimated by following the estimation rules
G15
Acceptable range of risk has been decided properly
G16
Safety requirement definition document
C4
The way of estimating risks has been defined concretely
G14
Safety requirements have been led to properly
G2
Break down by activities
S3
The completed product has satisfied all safety requirements
G9
The way of testing the completed product has been defined property depending on the safety requirements
G8
Validation plan document
Sn5
Safety requirements have been adapted to the design
G7
System design model (SysML, SafeML)
Sn4
ISO13482:2014(Standard related to the safety of the personal care robots)
C3
(1)
(2) (3) (4)
![Page 48: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/48.jpg)
GSN model (1)
DRC is acceptably safe
G1
Basic Requirement for Safety:(1) DRC should be safe for using in the second office in the main building of AIST(2) DRC should be safe for users who are not familiar with electric wheelchair
C2
Product brief
C1
Discuss separately with deriving safety requirements and implementing safety requirements
S1
All safety requirements have been implemented
G3
Safety requirement definition document
C4
Safety requirements have been led to properly
G2
ISO13482:2014(Standard related to the safety of the personal care robots)
C3
![Page 49: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/49.jpg)
GSN model (2)
All hazards have been identified sufficiently
G4
Hazard analysis statement
Sn1
Activities in each phases of the lifecycle of DRC have been figured out
G10
Primitive hazards have been figured out comprehensively by using the hazard identification checklist of JIS B 9700 and ISO13482
G12
Product brief
C7
Hazard identification checklist ofJIS B 9700:2013 (Table B.1)
C9
Hazard identification checklist of ISO13482 (Annex A)
C11 The lists of hazards for each phases of the lifecycle have been created by matching the activities and the hazards figured out by checklists
G13
Table B.3: 'List of risky activities' of JIS B 9700(Standard for safety of machinery)
C8
Figuring out hazards and activities to identify risks that inhibit the safety
S2
Kinds of improper use have been identified
G11
Hazard identification checklist ofJIS B 9700:2013 (Table B.3)
C10
Safety requirements have been led to properly
G2
![Page 50: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/50.jpg)
GSN model (3)
* Hazard analysis statement* Risk assessment statement
C6
Risks have been analyzed and evaluated properly. And the ways of eliminating the risks are analyzed properly.
G5
Risk assessment statement (each phase)
Sn2 Phase:Specification, transport, installation, setting, maintenance, emergency response, removal
Hazard analysis statement
C5
Required risk reduction measures have been defined properly
G17
Risks have been reduced to less than the allowable level by risk reduction measures
G18
Safety requirements have been derived properly from the risk reduction measures
G6
Safety requirement definition document
Sn3
All risks have been estimated by following the estimation rules
G15
Acceptable range of risk has been decided properly
G16
The way of estimating risks has been defined concretely
G14
Safety requirements have been led to properly
G2
Break down by activities
S3
![Page 51: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/51.jpg)
GSN model (4)
Safety requirement verification result
Sn6
All safety requirements have been implemented
G3
Safety requirement definition document
C4
The completed product has satisfied all safety requirements
G9
The way of testing the completed product has been defined property depending on the safety requirements
G8
Validation plan document
Sn5
Safety requirements have been adapted to the design
G7
System design model (SysML, SafeML)
Sn4
![Page 52: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/52.jpg)
[ package] Safet y d iagram s [ 36a. Rid ing user t ouches a wheel during m ot ion and get s t heir hand or fingers caught ]bdd
< < Hazard> >< < block> >
M oving m echan ical com ponent s
< < Harm > >< < block> >
Dislocat ed join t s, b roken bones or choking
< < block> >Wheel cover
< < DefenceResult > >< < block> >
Wheel covers resu lt
< < block> >Elect r ic m ot or
< < block> >Wheel
< < Harm Context> >< < block> >
36a. Rid ing user t ouches a wheel during m ot ion and get s t heir hand or fingers caught
< < deriveHzd> >< < deriveHzd> > < < block> >Wheel
< < deriveHC> >
< < PassiveDefence> >< < block> >
Wheel covers
< < requirem ent> >
text = The wheels shall be covered such t hat t he user and object s
cannot t ouch t hem during m ot ion.
Id = 140
Wheel covers
< < reqDefence> >
< < sat isfy> >
SafeML
System components, activities, etc. Sources
of hazard
Hazard
Potential
harm
Hazardous
situation/event
Result of
safety measure
Safety
measure
Safety
requirement
![Page 53: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/53.jpg)
SafeML
[ package] Wheelchair robot [Wheelchair robot ]b d d
< < block> >Elect r ic m ot or
< < block> >Wheel
< < block> >Drive t rain
< < block> >Drive u n it
< < system > >< < block> >
Wh eelchair robot
Right drive un it
< < block> >Wheel cover
2
[ package] Safet y d iagram s [ 36a. Rid ing user t ouches a wheel during m ot ion and get s t heir hand or fingers caught ]bdd
< < Hazard> >< < block> >
M oving m echan ical com ponent s
< < Harm > >< < block> >
Dislocat ed join t s, b roken bones or choking
< < block> >Wheel cover
< < DefenceResult > >< < block> >
Wheel covers resu lt
< < block> >Elect r ic m ot or
< < block> >Wheel
< < Harm Context> >< < block> >
36a. Rid ing user t ouches a wheel during m ot ion and get s t heir hand or fingers caught
< < deriveHzd> >< < deriveHzd> > < < block> >Wheel
< < deriveHC> >
< < PassiveDefence> >< < block> >
Wheel covers
< < requirem ent> >
text = The wheels shall be covered such t hat t he user and object s
cannot t ouch t hem during m ot ion.
Id = 140
Wheel covers
< < reqDefence> >
< < sat isfy> >
![Page 54: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/54.jpg)
SCDL (Safety Concept Description Language: ISO26262安全コンセプトの説明性を向上)
54
![Page 55: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/55.jpg)
SCDL
• DNV 山下修平氏が、ISO26262の重要成果物のレビュー過程から発案。
• 「安全要求」の構造、「エレメント」の構造、ASILの付与規則、を記法とルールとして「言語化」
• 安全コンセプト記法研究会で仕様化中。
55 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 56: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/56.jpg)
56 http://scn-sg.com/
![Page 57: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/57.jpg)
安全コンセプト図
57 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 58: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/58.jpg)
エレメントツリー 要求ツリー エレメント構造図
エレメント
安全要求構造図
安全要求
安全コンセプト図
![Page 59: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/59.jpg)
基本構成要素(1/2)
• 「エレメント」
59 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
Sub-sys01
SYSXX
Sub-sys02
ECU01 SENS01
mC01
eSW01
![Page 60: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/60.jpg)
基本構成要素(2/2)
• 「要求」と「インタラクション」
60 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 61: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/61.jpg)
ダイアグラム ー 安全コンセプト図
• 安全コンセプトを分かりやすく設計できる図
– 要求のインタラクション
– エレメントの配置構成
– 要求とエレメントのアロケーション
– ASILアサインメント
61 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 62: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/62.jpg)
認証工学WG (SafetyとSecurityの二重認証コストをモジュール化で低減)
62
![Page 63: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/63.jpg)
認証工学
• 産総研 田口研治氏が、規格の共通点に注目し、複数の規格の認証コストを下げるための工学的手法を提唱。
• 計測自動制御学会のWGとして設置。
• 規格のメタモデル化を通して、共通部と差違部を認識し、認証を構造化、モジュール化。
63 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.
![Page 64: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/64.jpg)
64
• 安全性・信頼性・セキュリティの認証適合作業・取得のコストによる開発の圧迫。
• 認証取得で要求される成果物のレベル・質の第三者認証機関ごとの違い。 • 認証機関とのコミュニケーションギャップ、共通理解の欠如による認証取得期間の延長と市場へ
の製品出荷の遅延。 • 規格・ガイドラインの効率的な策定、合意形成のためのプロセスなどに対する方法論の欠如によ
る発行時の時代背景との乖離。
• 規格・ガイドラインの解釈が多義的であり、学習コストが高い。
• 複数の規格の認証(安全性とセキュリティなど)を取得するための効率的な方法論の確立。
• 規格に適合していても、必ずしもシステムの品質が向上しない。
以上のような課題の解決のために、工学的、科学的アプローチを行うことを目的とするのが、認証工学(Certification Engineering)になります。
http://www.sice.or.jp/org/ce-wg/
![Page 65: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/65.jpg)
Are You Modeling?
(現代モデリング技術の情報源)
65
![Page 66: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/66.jpg)
66 http://areyoumodeling.com
![Page 67: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/67.jpg)
67 http://ja.areyoumodeling.com
![Page 68: Safety/Securityへの アジャイル開発と モデルベース …•°学のソフトウェ アへの導入の心は 日本的開発手法そ のものである…” キーワード:](https://reader034.vdocuments.net/reader034/viewer/2022051321/5ad6b1787f8b9a6b668c062b/html5/thumbnails/68.jpg)
まとめ
• 情報系システム開発、スタートアップWebビジネスで主流になりつつあるアジャイル開発の考え方が、組込み系にも影響を与えている。本質的な不確実性を扱う際に必須の考え方。
• 同様に、モデリング技術もさまざまな記法が提案され、実用に入っている。情報をモデル化することで、ステークホルダー合意の構築、分析容易性向上、認証、さらに計算機利用の可能性が広がる。
68 Copyright (C) 2014 Change Vision Corporation. All Rights Reserved.