1 ET 2014 IPA ブースプレゼン GSN (Goal Structuring Notation) を用いたアシュアランスケースセーフティーケース作成支援 ~ 認証支援のための方法論 ~ 2014 年 11 月 20 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライ

Size: px

Start display at page:

Download "1 ET 2014 IPA ブースプレゼン GSN (Goal Structuring Notation) を用いたアシュアランスケースセーフティーケース作成支援 ~ 認証支援のための方法論 ~ 2014 年 11 月 20 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライ"

とらふみしもね
5 years ago
Views:

1 1 ET 2014 IPA ブースプレゼン GSN (Goal Structuring Notation) を用いたアシュアランスケースセーフティーケース作成支援 ~ 認証支援のための方法論 ~ 2014 年 11 月 20 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライフサイクル研究グループ田口研治相馬大輔

2 2 自己紹介経歴産業技術総合研究所招聘研究員 ( 併任 ) 2010 年 4 月 ~ ( 株 ) シーエーブイテクノロジーズ代表取締役社長 2011 年 4 月 ( 設立 ) ~ 産業界における 11 年間の経験ソフトウェア業界における研究開発コンサルティング大学研究機関での 13 年間の経験海外の大学教員 (5 年間 ) Uppsala Uni. (Sweden), Bradford Uni. (UK) 国立情報学研究所特任教授 ( 5 年間 ) 専門分野 + 高信頼システム開発方法論 ( 形式検証国際規格認証システム保証安全脅威分析方法論 ) + 形式手法ソフトウェア工学システムアシュアランスに関する多くの主要な国際会議の PC 等を歴任 (FM 05, HASE 04, ASSURE 04, ICECCS 03) 規格国際会議関連 International Conference on Formal Engineering Methods 2012 のプログラム委員長 OMG System Assurance Platform Task Force の co-chair FP7 OPENCOSS プロジェクトの External Advisory Board Member SICE 認証工学 WG 主査共同研究 + 新列車制御システムの安全評価

3 3 著書 ( 編者著者 ) Integrated Formal Methods (ifm) 国際会議設立 (1999 年 ) 共同編者ソフトウェア科学基礎近代科学社 2008 年共同著者 ACM SIGCSE, inroads Bulletin, 2009 年共同編者 (Special Issue on Formal Methods Education and Training) セキュリティ要求工学の実効性情報処理学会学会誌 2009 年共同編者 International Conference on Formal Engineering Methods (ICFEM) 国際会議 2012 年共同編者

4 4 アシュアランスケースに関するこれまでの実績国際標準規格策定関連 OMG SACM (Structured Assurance Case Metamodel) RTF (Revision Task Force) メンバーセーフティケースに関連する国際会議関連での学会活動 ASSURE (International Workshop on Assurance Case for Software-intensive Systems) 2013, 2014 PC AAA (International Workshop on Argument for Agreement and Assurance) 2013 Program co-chair SASSUR (International Workshop on System Assurance Approaches for Safety-Critical Systems) 2013, 2014 PC 論文発表 Y. Matsuno, K. Taguchi: Parameterised Argument Structure for GSN Patterns: QSIC 11 K. Taguchi, D. Souma, H. Nishihara, T. Takai: Linking Traceability with GSN, ASSURE 14 その他 External Examiner, ヨーク大学 Linling Sun, Establishing Confidence in Safety Assessment Evidence (2012) ( 指導教官 : Tim Kelly)

5 5 内容 (1) 安全を担保するセーフティーケース制度に関する説明とセーフティーケースの作成を支援する記法である GSN (Goal Structuring Notation) がどのような背景から生まれたかを説明します背景セーフティーケースがなぜ生まれたか? セーフティケース制度 (Safety Case Regime) がどのような規格ガイドラインにより社会制度として確立しているか問題点はあるのか? セーフティーケース作成を支援する表記法である GSN の文法利用方法

6 6 セーフティーケース制度 (Safety Case Regime) の始まり 1988 年 7 月における北海油田における Piper Alpha 事故 167 名死亡 (229 名中 ) 270 億円の被害を生じた Cullen 卿による事故調査レポートにより安全ケースの重要性が強調された Compliance with detailed prescriptive regulations was not sufficient to ensure safety The Offshore Installations (Safety Case) Regulations 1992 に導入 ( 最新版 2005 [1]) 法規規格に書かれた通りにすれば安全であるという考え方への反省からセーフティケースの提出アセスメント方式の厳格化などについて社会的基盤の形成研究が進んだセーフティーケース制度 (Safety Case Regime) の導入!

7 7 セーフティケースの定義英国の防衛規格 (Defence Standard 00-56) による定義与えられた運用環境におけるシステムの適用に関して安全であることを強制的かつ理解可能妥当な事例として提供する根拠資料の集まりにより支援された構造化された議論 A structured argument, supported by a body of evidence that provides a compelling, comprehensible and valid case that a system is safe for a given application in a given operating environment.

8 8 セーフティーケースの提出が義務付けられている分野規格 EUROCONTROL 航空管制システムにおける安全性の保証 Rail Yellow Book 英国における鉄道信号システムの安全性の保証 Railway Safety Case Regulations 英国における鉄道安全法規 IEC 62425/EN 鉄道システムのセーフティーケース規格 ISO 車載組込みシステムの機能安全規格他にも防衛原子力海上設備医療機器など

9 9 米国における軍事製品調達におけるシステム保証米国における戦略的な Safety Case への取り組み DHS (Department of Homeland Security) Common Body of Knowledge (CBK) DoD (Department of Defense) Engineering For System Assurance 2008

10 10 セーフティーケースとは? 鉄道におけるセーフティーケース規格 (IEC 62425) を例としてアセスメントの対象となる構造化された文書 Part 1: システムの定義 Part 2: 品質管理報告書 Part 3: 安全管理報告書 Part 4: 技術安全報告書 Part 1: はじめに Part 2: 正しい運用の保証 Part 3: 故障の影響

11 11 セーフティーケースが必ずしも有効でなかった例 ( Nimrod の事故例 ) 指摘された問題点を記述 ( 未完成 )

12 12 セーフティーケースアシュアランスケース自体に関する規格 OMG (Object Management Group) による SACM (Structured Assurance Case Metamodel) 規格 ISO/IEC Systems and software engineering -- Systems and software assurance -- Part 2: Assurance case 日本からの貢献 SACM は産総研田口が参加は神奈川大木下教授が参加ケースのための記法 GSN (Goal Structuring Notation) T. Kelly らによる GSN Community Standard

13 13 内容 (2) セーフティーケースを記述する記法である GSN (Goal Structuring Notation) とその書き方を説明します背景セーフティーケース作成を支援する記述法の 1 つである GSN について説明どのような書き方が正しいか? 規格への適合性確認を支援する際の書き方

Strategy : ある Goal とそれ以外の一つ以上の Goal の間に存在する推論の説明 Supported by : 推論関係や証拠関係 Goal Strategy

14 14 Goal Structuring Notation (GSN) システム保証のための構造化された議論の記述方法 T. Kelly (York University) により開発詳細な記法は GSN Community Standard トップダウン手法 Goal : 議論を構成する主張 Strategy : ある Goal とそれ以外の一つ以上の Goal の間に存在する推論の説明 Supported by : 推論関係や証拠関係 Goal Strategy Solution をつなぐ Solution : 証拠となるものへの参照 Context : Goal や Strategy の内容に対する補足情報 In Context of : 文脈上の関係 Goal Strategy から Context などへつなぐ

15 15 GSN による議論の記述例機能安全規格に従うことでどのように安全性が保障されるかその記載内容を GSN で記述することで示す対象 : IEC 鉄道分野の機能安全規格

16 16 IEC とその GSN 記述について開発プロセスは 14 の段階から構成される各段階が適切に実施されているかを GSN により記述ここでは第 3 段階リスク分析を対象とする対象

17 17 IEC 各段階の構成 IEC の各段階は以下のような項目から構成されている Objective : 段階で達成するべき事項 Input : 段階で必要となる情報やドキュメント Requirement : 目的を達成の sub-goal や成果物への記載内容など Deliverable : 段階で作成されるドキュメント Verification : 段階で実施しなくてはならない検証項目

IEC 62278 第 3 段階の GSN 図全体像 Argument for achieving objectives Argument for input Argument for safety analysis Argument

18 IEC 第 3 段階の GSN 図全体像 Argument for achieving objectives Argument for input Argument for safety analysis Argument for process for on-going risk management IEC 第 3 段階 : 2 ページ GSN 図 : Goal 36, Strategy 14, Solution 29, Context 14 18

19 19 GSN による記述の説明範囲 GSN による記述 1 GSN による記述 2

第 3 段階が適切に実施されたことをトップゴールとして配置 GSN による記述 1 6.3 第 3 段階 : リスク分析 6.3.1

ハザードに付帯するリスクを明らかにする d) リスクを継続的に管理数 r プロセスを確立する 6.3.

20 第 3 段階が適切に実施されたことをトップゴールとして配置 GSN による記述第 3 段階 : リスク分析目的この段階の目的は次のとおり a) 当該システムに関わるハザードを特定する b) ハザードの発生につながる事象を特定する c) ハザードに付帯するリスクを明らかにする d) リスクを継続的に管理数 r プロセスを確立するインプットこの段階へのインプットは要求事項成果物検証 IEC ( 英和対訳版 ) より目的ごとに達成されていることを議論する 20

6.3 第 3 段階 : リスク分析成果物が証拠となる GSN による記述 2 ハザード特定の十分性を示す方法ごとに議論する参照する文書条件などをコンテキストとして配置サブゴールとして要求事項などを配置する 6.3.1 目的この段階の目的は次のとおり a) 当該システムに関わるハザードを特定する b) ハザードの発生につながる事象を特定する c) ハザードに付帯するリスクを明らかにする d) リスクを継続的に管理数 r プロセスを確立する 6.

3.4 成果物 6.3.4.1 この段階で得た結果はこの段階で行ったすべての仮定と正当性の証明とともに文書化しなければならない 6.3.4.2 リスク分析の結果はハザードログに記録されなければならない 6.3.5

21 6.3 第 3 段階 : リスク分析成果物が証拠となる GSN による記述 2 ハザード特定の十分性を示す方法ごとに議論する参照する文書条件などをコンテキストとして配置サブゴールとして要求事項などを配置する目的この段階の目的は次のとおり a) 当該システムに関わるハザードを特定する b) ハザードの発生につながる事象を特定する c) ハザードに付帯するリスクを明らかにする d) リスクを継続的に管理数 r プロセスを確立するインプット要求事項この段階の要求事項その1は次の事項を行うことである a) その適用環境で当該システムに関わるすべての合理的に予見可能なハザードを体系的に特定し順位付けを行うこのハザードには次の原因で発生するものを含むシステムの正常運用成果物この段階で得た結果はこの段階で行ったすべての仮定と正当性の証明とともに文書化しなければならないリスク分析の結果はハザードログに記録されなければならない検証この段階では次の検証を行わなければならない c) リスク査定の完全性の査定 g) この段階の業務を行ったすべての担当者の力量の査定 IEC ( 英和対訳版 ) より 21

22 22 内容 (3) セーフティーケースや GSN などの記法に関連する話題についてより詳細な説明をします背景 GSN の書き方どう書けば良いのか? GSN の意味論的背景

23 23 GSN 記述の注意一つの要素 (Goal, Context, Solution) に複数の内容を含めない明確に記述する文の構造や語が複数の解釈が可能とならないようにする Context により曖昧な語の意味を添える論理の飛躍に注意する

など論理的に解釈が難しい要素が導入されている利用の問題点論理的導出だから正しいという誤った判断に導かれやすい図表現としての曖昧さを利用して様々な本来の意図とは異なる利用方法が容易に可能 A 論理学の導出規則 (

24 24 GSN の問題点表記法としての問題点意味論の欠如論理的導出? それとも特定のデータ構造 ( 木構造グラフ構造 ) を持った図表現? 公理的意味論? 表示的意味論? どのような意味論があるのか? 論理的導出からの逸脱本来論理的導出を基本にしていたのである程度は論理的な導出と同じしかし Justification, Assumption, Context, Solution など論理的に解釈が難しい要素が導入されている利用の問題点論理的導出だから正しいという誤った判断に導かれやすい図表現としての曖昧さを利用して様々な本来の意図とは異なる利用方法が容易に可能 A 論理学の導出規則 ( 自然演繹 ) A B - 導入論理的導出の例 A A B C (A B) C - 導入 - 導入ここまでは容易に対応関係が言えるが他の構文要素 (context など ) が入ると伝統的論理学からは逸脱する A B A B GSN の例 - 導入

25 25 議論構造の検討について以下は全てのハザードに対し十分対抗されている際に安全とする場合の GSN 図の例どちらが良い?

26 26 GSN で表せること A) どのように保証を行うかの考え方を表現例 : パターン言語を使用 B) セーフティーケースなどの規格やガイドラインへの適合性確認のための根拠資料の支援 A) の例 GSN のパターン言語 B) の例認証支援

27 27 ソフトウェアの安全性の保証規則 : 安全ソフトウェア要件 (SSR) は抽象度が高いものから詳細なものに分解される SSR は各階層において設計と連携している上位の階層から下位に洗練される R. Hawkins より引用

28 28 まとめセーフティーケース制度による安全の保証についての概要 ( 背景歴史様々な法規制規格など ) セーフティーケース作成支援のための記法 GSN (Goal Structuring Notation) の概要利用方法動画による解説

29 29 認証工学にご興味がある人 SICE の認証工学 WG ではこの発表のような GSN による認証支援を含む様々な国際規格や認証に関する課題が話合われています国際規格策定や製品プロセス認証に関する工学的科学的方法論の確立のためには課題やその解決方法について幅広く議論が出来る場が必要ですそのためにメーカー認証機関研究機関が認証や規格に関する諸問題を研究するためのフォーラムとして設立されました認証に関する新たな学問分野認証工学を確立し新たな知見を創出する場として今後活動しますご支援の程宜しくお願い申し上げます

RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1

RAMS の認証とセーフティケース 1) 独立行政法人産業技術総合研究所, 2) 西日本旅客鉄道株式会社相馬大輔 1) 田口研治 1), 西原秀明 1), 大岩寛 1), 矢田部俊介 2), 森崇 2) 1 産総研における機能安全規格への取り組み様々な ( 機能 ) 安全規格ガイドラインに対する企業の取り組みを支援電気電子機器 IEC 61508 車載組み込みシステム ISO 26262