目次 1: 安全性とソフトウェア 2: 宇宙機ソフトウェアにおける 安全 とは 3:CBCS 安全要求とは 4: 宇宙機ソフトウェアの実装例 5: 安全設計から得た新たな知見 6: 今後 2

Similar documents
PowerPoint プレゼンテーション

15288解説_D.pptx

PowerPoint プレゼンテーション

X 線天文衛星ひとみ (ASTRO-H) への FRAM 適用 有人宇宙システム株式会社 IV&V 研究センター道浦康貴 宇宙航空研究開発機構第 3 研究ユニット片平真史 石濱直樹有人宇宙システム株式会社 IV&V 研究センター野本秀樹 道浦康貴 JAXA All Rights

STAMP/STPA を用いた 自動運転システムのリスク分析 - 高速道路での合流 - 堀雅年 * 伊藤信行 梶克彦 * 内藤克浩 * 水野忠則 * 中條直也 * * 愛知工業大学 三菱電機エンジニアリング 1

表 3 厚生労働省新旧ガイドライン目次比較 は新ガイドラインで追加された項目 コンピュータ使用医薬品等製造所適正管理ガイドライン 第 1 目的 1. 総則 1.1 目的 第 2 適用の範囲 2. 適用の範囲 第 3 開発業務 1. 開発検討段階 (1) 開発段階の責任体制の確立 (2) 開発マニュア

Microsoft PowerPoint - 【最終提出版】 MATLAB_EXPO2014講演資料_ルネサス菅原.pptx

目次 1. 目的 2. STPA の手順 3. エアバッグの要求仕様 4. Step 0 準備 1:Accident Hazard 安全制約の識別 5. Step 0 準備 2:Control Structure の構築 6. Step 1:UCA(Unsafe Control Action) の抽

<4D F736F F F696E74202D C A E955D89BF5F92C394678E968CCC B D89BF82CC8

安全解析 法 STAMP/STPA の概要と事例紹介 平成 26 年 1 21 有 宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

講義「○○○○」

ダンプ取得機能強化サポートオプション Enterprise Edition

2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事

2010年2月3日

Microsoft PowerPoint - 23_電子制御情報の交換(配布用a).pptx

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

目次 ペトリネットの概要 適用事例

1. はじめに Systemwalker Desktop Patrol V 以降でセキュリティ監査として BIOS パスワード設定の監査 を提供しています しかし Systemwalker Desktop Patrol メインメニュー のセキュリティ情報に表示される起動パスワード 設定パ

uPC1093 DS

PowerPoint プレゼンテーション

Microsoft Word - Œ½ŠßfiŽ‡Ì‹Ä.doc

Android スマートフォンの使用 使用方法 1 SS-one コントローラ本体の電源を入れます 2 Andorid の [ 設定 ]->[WiFi] で SS-one コントローラ本体に接続します 3 SS1 アプリを起動します カメラ画面 操作前にキーロックを左にスライドし キーロックを解除し

CLUSTERPRO MC ProcessSaver 2.3 for Windows 導入ガイド 第 5 版 2018 年 6 月 日本電気株式会社

IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用 東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

040402.ユニットテスト

項目記載事項必須 1.4 非機能性 更新業務仕様書の 3-4 非機能要件 を踏まえ 提案するシステムに関して 基本的な考え方や方針 アピールポイント等を簡潔かつ明瞭に記述すること 3-4 非機能要件 の (1) から (4) に区分し すべての項目について記述すること 1.5 他システム連携 更新業

Microsoft Word - DUQ1-196J.docx

テクニカル ホワイト ペーパー HP Sure View

資料安作 13-3 品質の低下についての考え方 総務省総合通信基盤局 電気通信技術システム課 平成 21 年 5 月 13 日

智美塾 ゆもつよメソッドのアーキテクチャ

uPC258,4558 DS

コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装

要求仕様管理テンプレート仕様書

< 目次 > 1. 操作方法 3 2. 画面遷移 5 3. 画面レイアウト 7 プロジェクト開始画面 ( 画面 1) 7 前提条件の入力 ( 画面 2-0) 8 重み付け係数の設定 ( 画面 3) 12 設計変数の入力 ( 画面 4-0) 13 データベースの一覧 更新 ( 画面 5-0) 17 出

改訂履歴 項番版数作成日 / 改訂日変更箇所変更内容. 平成 28 年 5 月 3 日新規章構成の変更, 分冊化に伴い新規作成 (i)

HULFT8 for Windows/UNIX/Linux/zLinux の機能で発生する不具合について

CSM_E2K-F_DS_J_5_7

CSM_K2ZC-N_DS_J_2_17

CSM_D4GS-N_DS_J_7_5

CSM_D4N-_R_DS_J_6_4

CSM_E3S-C_DS_J_9_6

バリデーション基準 1. 医薬品 医薬部外品 GMP 省令に規定するバリデーションについては 品質リスクを考慮し 以下の バリデーション基準 に基づいて実施すること 2. バリデーション基準 (1) バリデーションの目的バリデーションは 製造所の構造設備並びに手順 工程その他の製造管理及び品質管理の

CSM_G7TC_DS_J_2_6

CSM_K2GR_DS_J_1_7

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

国土技術政策総合研究所 研究資料

CSM_G7T_DS_J_4_10

CSM_LimitSwitch_Connector_DS_J_6_6

CSM_E3S-CL_DS_J_5_4

CSM_Z4W-V_DS_J_3_2

CSM_D4CC_DS_J_3_12

CSM_H5AN_DS_J_4_8

CSM_M2K_DS_J_3_3

CSM_V640_Series_DS_J_10_5

CSM_A3K_DS_J_4_4

CSM_H3CR-A_DS_J_10_7

宇宙機搭載ソフトウエア開発のアセスメント

CSM_NX-EIC_DS_J_3_4

CSM_G3NA_DS_J_12_5

CSM_HL-5000_DS_J_3_8

CSM_G9SB_DS_J_6_6

CSM_Sysmac_Studio_DS_J_18_5

CSM_ZX2_DS_J_6_2

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

CSM_NX-TS_HB_DS_J_3_4

CSM_K2DG_DS_J_1_10

Microsoft Word - TA79L05_06_08_09_10_12_15_18_20_24F_J_P11_070219_.doc

Microsoft Word - TC4011BP_BF_BFT_J_P8_060601_.doc

CSM_K2OC_DS_J_1_10

1 JAXA IV&V の概要 ~IV&V と評価戦略可視化の関係 ~ 2016 年 01 月 19 日 国立研究開発法人宇宙航空研究開発機構研究開発部門第三研究ユニット Copyright 2015 JAXA all rights reserved.

CSM_G6B-4__ND_G3S4_DS_J_1_4

<4D F736F F F696E74202D2091E F C5F524E415690AE94F58C7689E65F C835B83932E707074>

CLUSTERPRO MC ProcessSaver 1.2 for Windows 導入ガイド 第 4 版 2014 年 3 月 日本電気株式会社

Microsoft PowerPoint プレス発表_(森川).pptx

CSM_G3ZA_DS_J_6_3

CSM_CJ1W-MD_DS_J_9_15

CSM_XS2_DS_J_11_2

付録2 第26号科学衛星(ASTRO-H)プロジェクトについて

はじめに コース概要と目的 Oracle を使用した開発 管理を行う上でのファースト ステップとして リレーショナル データベース管理ソフトウェアである Oracle の役割 基本機能 基本アーキテクチャを幅広く理解することを目的としています 受講対象者 これから Oracle を使用する方 データ

CSM_G5Q_DS_J_1_14

CSM_G7L_DS_J_1_15

CSM_G6J-Y_DS_J_1_8

資料9-5 イプシロンロケットの開発及び打上げ準備状況(その1)

CSM_NX-SL_SI_SO_DS_J_4_13

CSM_CJ1W-DRM21_DS_J_8_7

変更の影響範囲を特定するための 「標準調査プロセス」の提案 2014年ソフトウェア品質管理研究会(30SQiP-A)

CSM_CS1W-DRM21-V1_DS_J_5_5

<4D F736F F F696E74202D DD8D8782ED82B98B5A8F7082F B582BD835C F E707074>

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

脅威分析法組み込みの安全性とセキュリティを保証するために 2015/6/11 情報セキュリティ大学院大学 大久保隆夫

Microsoft PowerPoint - SKYMENUの使い方.ppt

改版履歴 版数改版履歴改版年月日 1.0 新規作成 2015/03/31 Page 2 NEC Corporation 2015

SigmaSystemCenter ネットワークアダプタ冗長化構築資料 第 3 版

第 10 回 WOCS2 アシュアランスケースにおける品質到達性と トレーサビリティを考慮した記述ルール提案と 超小型衛星開発への適用評価 田中康平 1, 松野裕 2, 中坊嘉宏 3, 白坂成功 1, 中須賀真一 4 1 慶應義塾大学大学院システムデザイン マネジメント研究科 2 名古屋大学情報連携

PowerPoint プレゼンテーション

KSforWindowsServerのご紹介

第 8 回クリティカルソフトウェアワークショップ 8 th Workshop of Critical Software (WOCS2011) Modeling and Hazard Analysis using STPA ~STAMP/STPA を用いた安全解析手法の検討 ~ M

Transcription:

宇宙機ソフトウェアにおける 安全要求と設計事例 宇宙航空研究開発機構 (JAXA) 情報 計算工学センター (JEDI) 梅田浩貴 (Hiroki Umeda)

目次 1: 安全性とソフトウェア 2: 宇宙機ソフトウェアにおける 安全 とは 3:CBCS 安全要求とは 4: 宇宙機ソフトウェアの実装例 5: 安全設計から得た新たな知見 6: 今後 2

1.1 安全性とは 安全性と信頼性の違いの例開かない踏切りは 安全であるが信頼性はない < 安全性 > 外部環境におけるシステムが人 / モノに損害を与える可能性 ( リスク ) システムに対する要件 人 / モノ システムを使用する環境 ソフトウェア ハードウェア システム ソフトウェアだけではなく ハードウェアと環境を含めて 安全性 を検討する必要がある < 信頼性 > 外部環境下で各部品がどの程度の時間 要求された機能が実現できるか ( 故障率 ) 各部品で定義できる 3

1.2 ソフトウエアが関係する安全機能 分類 1: 直接原因となる制御系 機能そのものが危険な事象に影響する機能 分類 2: 安全監視系 ケース 1) 機能不動作が人を殺す 負傷させる 必要なときに動作しない 動作中に不意に止まる 停止時に想定外の止まり方をする. ケース 2) 機能動作が人を殺す 負傷させる 動いてはいけない時に動き出す 停止しなければならない時に止まらない 動きだす時に想定外の動きをする 危険な事象を監視 検知し 抑制する機能 4

2.1 宇宙機開発における安全解析の概要 1 対象システムの分析安全要求の定義 対象システムのミッション 使用環境 システム特性等を考慮して そのシステムが存在するための前提条件である安全要求を定義する 2 ハザードの識別ハザード原因の識別 対象システムによって発生しうるハザード ( 危険事象 ) と その発生する原因を識別する 3 リスク評価と低減ハザード原因の除去 / 制御 ハザード原因に対して その対策であるハザード除去 ( 本質安全 ) やハザード制御 ( 機能安全 ) を検討し 対象となるシステムの機能を識別する 4 システム要求への反映 ハザード制御を実現するためにシステムに対して求められる要求を 安全技術要求 定義する 5 各機器とソフトウェアの設計 実装 検証 システム要求を各機器やソフトウェアに対する要求に詳細化していく これ以降 信頼性の話となる 5

2.2 宇宙機開発における安全要求 安全プロセス要求 1 安全確保の体制 2 安全解析手法 3 安全審査プロセス 安全技術要求 1 2 共通の要求 ( 基本的な考え方や共通事項など ) 個々のシステムに特有の要求 等を定め 組織的且つ系統的なアプローチによる 安全確保の進め方 を規定している 等が全体システムの仕様の一部として要求 安全プロセス ( 管理 ) 要求 安全技術要求 安全 6

2.3 宇宙機開発における安全設計 ) 開発プロセス 概念設計 基本設計 詳細設計 試験後 安全審査プロセス フェーズ 0 フェーズ 1 フェーズ 2 フェーズ 3 システムレベル トップ事象 ( ハザード ) の識別 ( システム FTA による分析 ) システム FTA などによる原因と制御方法の識別 制御方法の詳細 / 検証方法の検討 設計結果の反映 / 検証結果 ソフトウエアレベル 関連するソフトウエアの識別 ソフトウエア FTA による関連 ( 原因 制御方法 ) 箇所の識別 該当箇所に対するソフトウエア安全要求の適用 設計結果の反映 / 検証結果 ソフトウエアがハザードに関連するのは 原因となる場合制御方法となる場合 ソフトウエア動作としては 動作すべき機能が動作しないものと動作すべきでない機能が動作するというケース ソフトウエア FTA の基本的な考え方としてソフトウエアは故障しない システム全体のハザード識別 システム FTA/ ソフトウエア FTA ハザードに関連するソフトウエア動作を識別 制御方法 安全要求の設定 安全性検証方法の設定 検証結果の確認 7

3.1: CBCS 安全要求とは CBCS(Computer Based Control System) とは コンピュータ( ハードウェア+ソフトウェア ) によるハザード制御を行っているシステム 具体的な対象範囲は システム毎に決めていくことになる 国際宇宙ステーション きぼう の例では CBCSの範囲としてセンサーは含まないが コンピュータ制御されているアクチュエータは含めている CBCS 安全要求とは 国際宇宙ステーションを建造するにあたり NASA が規定した安全要求の 1 つ コンピュータによってハザードを制御するシステムを構築するにあたり どのようなアーキテクチャで実現するのか 安全設計を行うための要求である 前提条件は 適切なハザード解析が行われていること となっている 適用対象は ハザードに関係する 1 つの部品やソフトウェアに適用するものではなく ハザードを制御するシステムやサブシステムとなる 8

3.2 CBCS 安全要求の基本思想 基本思想 (1) ソフトウェアは故障しない ソフトウェアは経年劣化による故障は発生しない ハードウェアの 故障 と異なる概念が必要 ソフトウェアの設計 製造時に混入された不具合 条件が整えば必ず再現する決定論的な原因による故障である 注 : ソフトウェアが仕様通り動作するか ( バグがないか ) は 安全性ではなく信頼性 基本思想 (2) MWF と MNWF 安全解析の対象を二部分岐法を用いて高い網羅性を実現している MWF(Must Work Function: 作動要求機能 ) 安全を確保するため その機能が動作し続けなければならない機能 MNWF(Must Not Work Function: 不作動要求機能 ) 安全を確保するため その機能が動作してはいけない機能 基本思想 (3) MWF/MNWF に対するアーキテクチャ要求 MWF は 同等の機能をなす複数の手段をもつシステムアーキテクチャ MNWF は 簡単に起動しないよう複数のインヒビットを設置するシステムアーキテクチャ 9

3.3 CBCS 安全要求の概要 各要求の概要 ハードウェアに関する要求 意図しない停止がハザードを生じる機能を制御する場合の要求 一般要求 ソフトウェアに関する要求 開発管理に関する要求 CBCS 安全要求 MWF 要求 ( 故障許容設計 ) 冗長構成された機能の停止は 2 コマンド 各冗長化機能を制御する経路は分離 意図しない起動がハザードを生じる機能を制御する場合の要求 MNWF(FCA) 要求 ( 故障伝播抑制設計 ) MNWF(CPS) 要求 ( 制御経路分離設計 ) 複数のインヒビットを全ての計算機で制御複数の計算機を使用複数のインヒビットを1 台の計算機で制御各インヒビットを制御する経路を論理的に分離 10

4.1 宇宙機ソフトウェアの実装例 1(MWF の停止 ) Must Work Function( 作動要求 ) の実装方式は 冗長系の構成となる 2Fault Tolerant(2 故障許容 ) の場合 MWF の停止には下記の構成となる 機能 1 停止準備コマンド 機能 1 停止実行コマンド 機能 1 機能 1 停止準備コマンド 機能 1 停止実行コマンド 計 算 機 機能 2 機能 1 停止準備コマンド 機能 1 停止実行コマンド 機能 3 MWF 11

4.2 宇宙機ソフトウェアの実装例 2(MNWF) Must Not Work Function( 非作動要求 ) の実装方式は 2 種類ある Control Path Separation( 制御経路分離方式 ) Fault Containment Approach( 故障伝播抑制方式 ) コマンド 3 コマンド 2 制御パス 2 制御パス 2 CPS 制御経路分離方式 コマンド 1 制御パス 1 モジュール 1 モジュール 2 モジュール 3 電源 インヒビット 1 インヒビット 2 インヒビット 3 モータ FCA 故障伝播抑制方式 計算機 1 計算機 2 計算機 3 コマンド 1 コマンド 2 コマンド 3 12

5. 安全設計から得た知見の例 (1) CBCS 安全要求を満たす安全設計から導出された新たな知見 ISS から遠い地点の飛行 ISS に近い地点の飛行 HTV HTV ISS ISS HTV のスラスタ噴射機能は MWF と識別された 喪失すると航行不可となるため HTV のスラスタ噴射機能は MNWF と識別された ISS と衝突するため スラスタ噴射機能の MWF から MNWF への切り替えは一瞬で行うこと 仮に MNWF へ切り替わらなかった場合 即座に MWF へ自動復帰させること ISS/HTV は 2 故障許容のため 3 つのインヒビット解除コマンドは一斉発行する 13

CBCS 安全要求 5. 安全設計から得た知見の例 (2) 1 つインヒビットを解除するためのコマンドは 1 回の操作を必要とすること 3 つのインヒビットがある場合 最低 3 コマンドと 3 つの操作が必要 アクションコマンド解除されるインヒビット (1) ARM ボタンのカバーを外す (2) ARM ボタンを押す コマンド 1 インヒビット 1 (3) FIRE ボタンのカバーを外す コマンド 2 インヒビット 2 (4) FIRE ボタンを押す コマンド 3 インヒビット 3 安全設計から得た知見 従来からあるユーザインタフェースは ARM/FIRE の 2 段コマンドであるため安全設計としては ボタンにカバーをつけ操作を増やして対応した 14

5. 安全設計から得た知見の例 (3) 同等機能を実現できる 異なるソフトウェアの計算結果を照合する ソフトウェア冗長 を採用するかどうか 誘導計算に最適化された計算機 計算機 A 計算結果照合 外部入出力の計算機誘導計算も可 計算機 B 計算結果が同じでない場合 計算機 A と B のどちらが正しいか判断することはできない 計算機 A 単独の結果の方が信頼性が高くなる ロジックの変更があった際に 2 つのソフトウェアへ反映が必要 仕様変更漏れのリスクが高くなる 安全設計から得た知見 計算機毎にロジックが最適化された宇宙機のソフトウェアでは 似た機能をもつ計算機が2 台あったとしても お互いに機能を補完するソフトウェア冗長を採用することができない 15

6. 今後 現在の課題 CBCS 安全要求を満たす安全設計の結果 改善すべき点を分析する必要がある 2FT(2 故障許容 ) 且つ CBCS] 安全要求を満たせさえすれば 安全 と言えるのかさらなる検討が必要である 今後 宇宙機の安全設計事例をさらに分析し 宇宙機ソフトウェアの安全要求を洗練させていく CBCS 安全要求を満たすだけでなく 他業界の安全設計事例を分析し宇宙分野に応用できる考え方や安全要求を検討する ソフトウェアの安全性は 要求定義以前から検討をする必要があるので要求定義の手法やその検証手法も確立していく

ご静聴ありがとうございました 17

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック