2 コンシューマデバイス規格 (Safety Sensitive Consumer Devices(SSCD)) の概要コンシューマデバイス規格自動車介護ロボットスマートハウス目的 : コンシューマデバイスという製品カテゴリーに対するディペンダビリティの保証特徴 : 日本主導型の製品の開発方法

1 ET-WEST 2014 IPA ブースプレゼン資料コンシューマデバイス規格における規格策定方法論 2014 年 07 月 29 日 ( 独 ) 産業技術総合研究所セキュアシステム研究部門システムライフサイクル研究グループ田口研治

2 コンシューマデバイス規格 (Safety Sensitive Consumer Devices(SSCD)) の概要コンシューマデバイス規格自動車介護ロボットスマートハウス目的 : コンシューマデバイスという製品カテゴリーに対するディペンダビリティの保証特徴 : 日本主導型の製品の開発方法論とシステム保証の枠組み規格の主目的 : システム保証開発方法論ディペンダビリティ保証の枠組み使用実績 (Proven-In-Use) 素早い反復開発ソフトウェアに物理学を (Physics in software) ディペンダビリティーケースによるシステム保証使用実績 (Proven-in Use) による安全性の保証 ( フィールドデータに基づいた使用実績と利用条件などにより規定 ) 変化する要求への対応制御装置の動的振る舞いモデル

3 標準化の母体規格策定の母体 OMG (Object Management Group) System Assurance Platform Task Force 座長 B. Calloni (Lockeed Martin) D. Campara (KDM Analytics) K. Taguchi (AIST) 2013 年度の IPA/SEC コンシューマデバイス安全標準化 WG 主査 ( 新誠一電気通信大教授 ) 副査 ( 田口研治産総研 ) メンバー ( 大畠明石崎直哉 ( トヨタ ) 金川信康 ( 日立 ) 中川雅通 ( パナソニック ) 中坊嘉宏 ( 産総研 ) 松野裕 ( 電気通信大 ) 宮崎比呂志 ( 富士通 )) オブサーバー ( 秋山進 ( デンソー ) 有馬仁志 (dspace Japan) 神余浩夫 ( 三菱電機 ) 小谷誠剛 ( 富士通 ) 坂本佳史 ( アイビーエム ) 白坂成功 ( 慶応大 ) ジェフビグズ西原秀明 ( 産総研 ) 関谷眞 ( 本田技研 ) 瀧澤祐太松本正倫 ( 経済産業省 ) 平鍋健児 ( チェンジビジョン )) IPA 研究員 ( 内田功志 ) 2014 年度の活動大畠明石崎直哉渡邊智 ( トヨタ ) 春山浩行内田功志 (IPA) 田口研治 ( 産総研 ) 宮崎比呂志 ( 富士通 ) 松野裕 ( 電気通信大 )

4 コンシューマデバイス規格 (SSCD) の分類ゴールベースの規格セーフティーケースによる安全の保証と主張の系列に準じているメタ規格他の規格の母体ガイドラインとなる規格 IEC Guide 104 ISO/IEC Guide 51 Def-Stan 00-56 [5] ( 英国の軍事備品の安全規格 ) SSCD ISO 26262 [6] ( 車載組込みの機能安全規格 ) Railway Safety Case Regulation ( 英国の鉄道規格 ) ISO 26262 Service Robots Smart House SSCD

5 Dependability Assurance Framework for SSCD Specification の構造ディペンダビリティプロセスの定義 Dependability Process Model (DPM) ディペンダビリティケースによる保証の構造記述 Dependability Assurance Case Template (DAC) ディペンダビリティ概念モデルの定義 Dependability Conceptual Model (DCM) ディペンダビリティ保証の枠組み Dependability Assurance Framework

6 モデルベース規格策定方法論 (Model-based Design Methodology for Standards/Guidelines) 国際規格やガイドラインをモデルベースで策定するという方法論モデルの記述のために自然言語より正確に記述できる言語表記法を利用規格の曖昧さの排除ステークホルダ間の合意形成を支援将来的にはツールにおいて実行可能な規格の策定を目指す従来と同じ規格ガイドライン規格のモデル規格の実行可能なモデル例えば UML プロファイルで記述安全分析ツールや何がトレーサブルかどうかなどを記述ツールが解釈することで成果物と規格との適合性確認が自動的に可能 [18] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC 2013

7 DAC (Dependability Conceptual Model) 概要全体を UML のパッケージで記述主要概念のカテゴリー毎にサブパッケージとして記述抽象度が高いレベルで概念を記述他の規格の概念を導入することが可能 ( プラグイン機能 ) パッケージ間の依存関係この部分について詳細に説明 Architectural Concept: システムアーキテクチャに関する部分 Dependability Assurance Concept パッケージ : ディペンダビリティの保証に関する部分 System Environment Concept: システムとそれを取り巻く環境に関する部分 Requirement Concept: 要求に関する部分 Dependability Process Concept: ディペンダビリティプロセスに関する部分

8 ディペンダビリティ保証のレベルの定義概念モデルと概念の定義が英語で記述されている規格策定における概念定義に関する議論が容易規格の利用者の概念に対する理解が容易

9 IEC 61508 における SIL の記述 SSCD 規格は様々な規格の概念を拡張概念として定義が可能安全評価のための基準である Safety Integrity Level (SIL) はディペンダビリティ属性の一つなので Dependability Attribute Assurance Level の部分クラスとして定義 Safety Integrity Level は 4 段階なのでそれを枚挙型 (<<enumeration>>) として定義 SIL は安全要件に割り振られる

10 Dependability Process Model の概要開発プロセスとシステム保証プロセスの同時記述繰り返し開発

Dependability Assurance Case 対象システムのディペンダビリティを保証する議論構造 ( テンプレート ) を提供システムの改変に関する議論構造システムの統合に関する部分使用実績に関する議論構造 11

12 まとめコンシューマデバイス規格の目的コンシューマデバイスという製品カテゴリーに対するディペンダビリティの保証日本主導型の製品のシステム保証と開発方法論 OMG において規格策定作業を実施規格の概要ディペンダビリティプロセスの定義 (Dependability Process Model) ディペンダビリティケースによる保証の構造記述 (Dependability Assurance Case) ディペンダビリティ保証に関する概念規定 (Dependability Conceptual Model) 規格の策定方法モデルベースで実施

13 参考文献 [1] V. Hilderman and T. Baghai: Avionics Certification -A Complete Guide to DO-178 (Software) DO-254 (Hardware), Avionics Communications Inc., 2008. [2] 認証工学 WG: http://www.sice.or.jp/~ce-wg/ [3] IEC 62278/EN 50126: Railway applications Specification and demonstration of reliability, availability, maintainability and safety (RAMS). [4] IEC 62280-2/EN 50159-2: Railway applications Communication, signalling and processing systems - Part 2: Safety-related communication in open transmission systems, 2002. [5] Def Stan 00-56: Safety Management Requirements for Defence Systems, 2007. [6] ISO 26262- Part 1~Part 10, Road vehicles Functional safety, 2011. [7] ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, version 3.1, revision 4, 2012. [8] IEC 61508 Part 1~ Part 7 : Functional safety of electrical/electronic/programmable electronic safety-related systems -, 2010. [9] RTCA: Software Considerations in Airborne Systems and Equipment Certification, RTCA DO178C, 2011. [10] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Guidance Material, 2006. [11] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Standard, 2006. [12] E DIN VDE V 0831-102 (VDE V 0831-102):2012-05, Electric signaling systems for railways Part 102: Protection profile for technical functions in railway signalling, 2012. [13] EUROCAE WG 72: ED 202 Airworthiness Security Process Specification, 2010. [14] ISA: Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, ISA-62443-3-3, Draft 4, 2013, [15] Dependability Assurance Framework for Safety-Sensitive Consumer Devices (SSCD), sysa/2013-11-01, 2013 [16] A. Avizienis, J-C Laprie, Randell, Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Transactions on Dependable and Secure Computing, Vol. 1, 2004 [17] 大畠, 他, 消費者機械安全性信頼性保証の国際標準化, SEC journal No. 27, 2012 年 1 月, 第 7 巻第 4 号 [18] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC 2013. [19] J. Rushby: Modular Certification: CSL Technical report, SRI International, 2001.