2 Contents はじめに IV&Vとは なぜIV&Vか IV&Vのアプローチ IV&V 事 例 最 新 の 取 り 組 み NASA

生 きた 要 求 を 捕 まえる IV&Vの 狙 いと 効 果 白 坂 成 功 慶 應 義 塾 大 学 大 学 院 システムデザイン マネジメント 研 究 科

2 Contents はじめに IV&Vとは なぜIV&Vか IV&Vのアプローチ IV&V 事 例 最 新 の 取 り 組 み NASA

3 はじめに

4 自 己 紹 介 修 士 : 東 京 大 学 大 学 院 工 学 系 研 究 科 博 士 : 慶 應 義 塾 大 学 大 学 院 SDM 研 究 科 1994 年 大 手 電 機 メーカ 入 社 人 工 衛 星 開 発 に 従 事 (15 年 間 ) おりひめひこぼし( 技 術 試 験 衛 星 VII 型 )の 運 用 設 備 の 開 発 運 用 メンバー ランデブードッキング 試 験 設 備 の 開 発 宇 宙 ステーション 輸 送 機 (HTV:H-II Transfer Vehicle)のシステム 設 計 運 用 システムの 設 計 運 用 メンバー ドイツAstrium 社 に 駐 在 (ESAの 衛 星 システムシミュレータ 開 発 ) 準 天 頂 衛 星 システム 総 合 システム 開 発 のプロジェクト 管 理 システム 設 計 INCOSE 日 本 支 部 設 立 メンバー

5 自 己 紹 介 ( 継 続 ) 2004 年 より 慶 應 義 塾 大 学 非 常 勤 講 師 2010 年 4 月 より 慶 應 大 学 専 任 准 教 授 ほどよし 信 頼 性 工 学 : 適 度 なコストと 適 切 な 信 頼 性 超 小 型 人 工 衛 星 システム 開 発 方 法 論 の 研 究 人 工 衛 星 スマートグリッド 機 能 安 全 System Assurance 最 新 のシステムエンジニアリング 方 法 論 Systems of Systems, Enterprise Systems Engineering, Engineering Systems ISO JTC1/SC7/WG42 Architecture 主 査 ISO/IEC 42010 (IEEE1471) Architecture Description ISO/IEC 42030 Architecture Evaluation (WD2)

SDM 研 究 科

7 日 本 の 問 題 : 激 動 する 現 代 社 会 が 直 面 する 問 題 の 多 くは 問 題 をシステムとして 俯 瞰 的 視 点 からとらえ 全 体 として 整 合 性 のある 解 を 導 くべき 問 題 なの に 誰 もそれができないこと 環 境 問 題 農 業 小 子 高 齢 化 TPP 雇 用 領 土 問 題 防 衛 資 源 技 術 のガラパゴス 化 国 家 財 政 破 綻 セキュリティー 年 金 格 差 閉 塞 感 外 交 国 家 ビジョン 貿 易 教 育 国 際 競 争 力 の 低 迷 理 系 離 れ

8 日 本 の 問 題 : 激 動 する 現 代 社 会 が 直 面 する 問 題 の 多 くは 問 題 をシステムとして 俯 瞰 的 視 点 からとらえ 全 体 として 整 合 性 のある 解 を 導 くべき 問 題 なの に 誰 もそれができないこと 日 本 の 問 題 を 解 決 するには? 問 題 をシステムとして 俯 瞰 的 にとらえ 全 体 とし て 整 合 性 のある 解 を 導 く 方 法 を 確 立 し これを 身 につけた 人 材 の 育 成 を 行 うべき

9 システムデザイン マネジメント 研 究 科 とは? システムズエンジニアリングを 基 盤 に 複 雑 に 絡 み 合 った 問 題 をシステムとして 解 決 するための 方 法 を 伝 授 する これまで にない 文 理 融 合 型 の 大 学 院 9

10 チームでの 協 働 によりイノベーション を 生 み 出 すデザイン 思 考 を 基 盤 とす るデザイン 学 体 系 システマティッ クに 学 ぶ 手 法 を 駆 使 した 新 コンセプトデザ インと 検 証 システムズエンジニアリングを 基 盤 とするシステム 学 体 系 必 修 コア 科 目 を 中 心 にシステ ムとしての 見 方 の 基 礎 を 徹 底 的 に 教 育 国 際 性 リーダーシップ 力 システム 学 SDM デザイン 学 マネジメント 学 創 造 力 コミュニケーション 能 力 実 行 力 SDM 学 による 人 材 育 成 自 我 作 古 プロジェクトマネジメントやビジネス 系 科 目 によるマネジメント 学 体 系 PMP(Project Management Professional) 認 定 につなが る 科 目 群

11 多 様 な 学 生 のメルティングポット 多 様 なバックグラウンド 修 士 博 士 平 均 年 齢 32 歳 就 業 経 験 :34% 平 均 年 齢 42 歳 就 業 経 験 :89% Sports, Civil 0.9 Translation, 0.9 Food, 0.9 Pharmaceutical Design, 1.9 Servant, 1.9, 0.9 Education, 1.9 Material, 1.9 Teacher, 1.9 Logistics, 1.9 Legal, 1.9 Medical, 1.9 Publishing/Med ia, 1.9 System, 2.8 Construction, 3.7 Government, 3.7 Enegy, 3.7 Real Estate, 3.7 Finance, 4.7 Aerospace, 6.5 Informaton Technology, 9.3 Manufacturing, 19.6 Communication s, 11.2 Consulting, 10.3 留 学 生 20% 年 々 増 加 中 (%) 企 業 派 遣 :JAXA 防 衛 省 NEC NTTデータ 他 多 数

12 (1) リサーチインテンシブコース コア 科 目 (2 単 位 4 科 目 ) デザインプロジェクトALPS(4 単 位 ) SDM 研 究 (8 単 位 ) 選 択 科 目 (8 科 目 16 単 位 以 上 ) 新 卒 学 生 + 社 会 人 学 生 学 位 :SE 学 SDM 学 (2) ラーニングインテンシブコース コア 科 目 (2 単 位 4 科 目 ) デザインプロジェクトALPS(4 単 位 ) デザインプロジェクト 研 究 (2 単 位 ) 選 択 科 目 (16 科 目 32 単 位 以 上 ) 社 会 人 経 験 3 年 以 上 の 社 会 人 に 限 る 学 位 :SDM 学 1 年 次 2 年 次 コア 科 目 選 択 科 目 デザインプロジェクトALPS SDM 研 究 1 年 次 2 年 次 コア 科 目 選 択 科 目 デザインプロジェクトALPS PDM 研 究 要 望 が 多 いため 1 年 のCertificateコース 新 設 予 定 : 学 位 はないが 同 じ 授 業 を 受 講 可 能 企 業 社 内 研 修 コースの 提 供 :JAXAほか

13 デザインプロジェクト 科 目 Design Project イノベーションの 実 践 方 法 学 習 Keio+MIT+Stanford+TUDelft 年 間 を 通 してのグループプロジェクト 徹 底 的 な 社 会 ニーズの 分 析 からシステムのデザインまで 企 業 からも 持 ち 込 み 課 題 に 対 してソリューション 提 案

14

16 IV&Vとは

17 Independent Verification and Validation 検 証 :システムが 正 しく 作 られていることを 確 認 Building the thing right 妥 当 性 確 認 : 正 しいシステムが 作 られていることを 確 認 Building the right thing

18 Independent Verification and Validation

19 Definition at ISO/IEC15288:2008 verification confirmation, through the provision of objective evidence, that specified requirements have been fulfilled [ISO 9000:2005] NOTE Verification is a set of activities that compares a system or system element against the required characteristics. This may include, but is not limited to, specified requirements, design description and the system itself. validation confirmation, through the provision of objective evidence, that the requirements for a specific intended use or application have been fulfilled [ISO 9000:2005] NOTE Validation is the set of activities ensuring and gaining confidence that a system is able to accomplish its intended use, goals and objectives (i.e., meet stakeholder requirements) in the intended operational environment.

20 Independent Verification and Validation 独 立 IV&Vの 形 態 出 典 :IEEE1012 System and Software Verification and Validation

21 なぜIV&Vか

22 なぜIV&Vが 必 要 なのか? なぜV&Vではだめなのか? 開 発 担 当 では 見 つけられない 不 具 合 を 見 つけられないから? なぜみつけられないのか? 開 発 担 当 が やるべきこと を やっている やってない 知 っている 意 識 していやっているが 不 十 分 ( 抜 け 漏 れ 思 い 込 み) 時 間 がない やり 忘 れた などでやってない 知 らない 無 意 識 でやっているため 不 十 分 ( 思 いつき 思 い 込 み) やるきっかけもない

23 論 理 的 な 考 えの 不 足 開 発 に 対 する 理 解 の 不 足 手 法 に 対 する 理 解 の 不 足 対 象 に 対 する 知 識 の 不 足 開 発 担 当 が やるべきこと を 知 っている 知 らない やっている やってない 意 識 していやっているが 不 十 分 ( 抜 け 漏 れ 思 い 込 み) 時 間 がない やり 忘 れた などでやってない 無 意 識 でやっているため 不 十 分 ( 思 いつき 思 い 込 み) やるきっかけもない + 最 新 の 知 識 の 不 足 役 割 立 場 の 違 い

24 IV&Vのアプローチ

25 IV&Vのアプローチ 開 発 者 と 第 三 者 検 証 者 との 違 いの 観 点 同 じことを 別 の 人 がやる 異 なる 論 理 と 異 なる 経 験 ( 開 発 手 法 対 象 知 識 )の 活 用 同 じ 目 的 を 別 の 手 法 でやる 異 なる 目 的 のことをやる 役 割 立 場 の 違 いの 観 点 開 発 者 側 では 出 来 にくいことをやる 分 野 横 断 的 な 見 方 利 用 者 の 観 点 実 施 者 のベースの 違 いの 観 点 経 験 に 基 づくV&V: 開 発 者 とは 異 なる 経 験 論 理 に 基 づくV&V: 開 発 者 とは 異 なる 論 理

26 IV&Vのアプローチ:Process System Requirements Final Verification Results 要 求 品 質 正 しさ 完 全 性 無 矛 盾 性 追 跡 性 検 証 性 設 計 品 質 正 しさ 追 跡 性 検 証 性 System Design Subsystem Requirements Subsystem Design Component Requirements Software Requirements Component Component Design Design Software Software Design Design Module/Assembly Requirements Module/Assembly Verification Results Test Plan Module/Assembly Module/Assembly Module/Assembly Module/Assembly Design Design Design Test Drawings System Test Plan Subsystem Test Plan Component Test Plan Software Test Plan Manufacture/Coding Verification Results Products System Test Verification Results Component Component Test Test Test Software Software Test Test Test Subsystem Test 試 験 品 質 十 分 なカバレッジ 十 分 なストレス 正 しい 試 験 設 定

27 IV&Vのアプローチ:Process System Requirements Final Verification Results 要 求 品 質 正 しさ 完 全 性 無 矛 盾 性 追 跡 性 検 証 性 設 計 品 質 正 しさ 追 跡 性 検 証 性 System Design Subsystem Requirements Subsystem Design レビュー モデルベース 形 式 手 法 トレービリティ Component Requirements Software Requirements Component Component Design Design Software Software Design Design Module/Assembly Requirements Module/Assembly Verification Results Test Plan Module/Assembly Module/Assembly Module/Assembly Module/Assembly Design Design Design Test Drawings System Test Plan Subsystem Test Plan Component Test Plan Software Test Plan Manufacture/Coding Verification Results Products System Test Verification Results Component Component Test Test Test Software Software Test Test Test Subsystem Test レビュー モデルベース 形 式 手 法 トレーサビリティ 自 動 試 験 ツール 試 験 品 質 十 分 なカバレッジ 十 分 なストレス

28 IV&Vのアプローチ:Process 出 典 :IEEE1012 System and Software Verification and Validation

29 IV&Vのアプローチ:System Life Cycle ISO/IEC 15288 NASA NPG Concept Stage Development Stage Production Stage Operational Stage Utilization Phase Support Phase Retirement Phase Typical Decision Gates New Initiative Approval Concept Approval Development Approval Production Approval Operational Approval Deactivation Approval Check Points 出 典 : Visualizing Project Management トレーサビリティ 要 求 ー 設 計 ー 試 験 ー 運 用 完 全 性 論 理 性

30 ISO/IEC 15288 Concept Stage Development Stage Production Stage Operational Stage Utilization Phase Support Phase Retirement Phase User Requirements Definition Phase Verification Phase Concept Definition Phase Development Phase System Specification Phase Acq Prep Phase Source Select. Phase 出 典 : Visualizing Project Management

31 V&Vのストラテジー 自 体 のIV&Vも 必 要 出 典 : Visualizing Project Management

32 IV&V 事 例

33

34 2. こうのとり とは 出 典 : JAXA (HTV1Press Kit)

35 2. こうのとり とは 全 長 : 約 9.8m 直 径 : 約 4.4m 総 質 量 : 最 大 16.5ton 補 給 能 力 : 最 大 6ton 出 典 : JAXA (HTV1Press Kit)

36 2. こうのとり とは 出 典 : JAXA (HTV1Press Kit)

HTV IV&V 活 動 概 要 対 有 人 システムとして 安 全 に 関 する 部 分 を 対 象 米 国 C.S.Draper 研 究 所 へ 実 施 を 依 頼 対 有 人 ランデブおよび 宇 宙 機 制 御 という 分 野 における 豊 富 な 経 験 に 基 づく 活 動 輸 出 管 理 手 続 きを 経 た 情 報 の 提 供 Requirementに 注 目 した 活 動 (Task1~4) 要 求 間 のトレーサビリティチェック 要 求 の 妥 当 性 検 証 可 能 性 の 評 価 故 障 復 帰 機 能 の 欠 陥 矛 盾 のチェック 改 良 に 向 けた 技 術 的 な 提 案 Fault Tree Analysis, Hazard Reportの 評 価 出 典 :クリティカルソフトウェアワークショップ2002

HTV IV&V 活 動 概 要 対 有 人 システムとして 安 全 に 関 する 部 分 を 対 象 米 国 C.S.Draper 研 究 所 へ 実 施 を 依 頼 対 有 人 ランデブおよび 宇 宙 機 制 御 という 分 野 における 豊 富 な 経 験 に 基 づく 活 動 輸 出 管 理 手 続 きを 経 た 情 報 の 提 供 Requirementに 注 目 した 活 動 (Task1~4) 要 求 間 のトレーサビリティチェック 支 援 契 約 要 メーカ 求 の 妥 当 性 検 証 可 能 JAXA 性 の 殿 評 価 Draper 故 障 復 帰 機 能 の 欠 陥 矛 盾 のチェック 改 良 に 向 けた 技 術 的 な 提 案 契 約 Fault メーカ Tree Analysis, Hazard Draper Reportの 評 価 Engineering 独 立 評 価 レポート Engineering Communication Concept Level 独 立 評 価 レポート Conceptual Communication JAXA 殿 出 典 :クリティカルソフトウェアワークショップ2002

HTV IV&V 活 動 内 容 Original Requirements from NASA Task2 Task3,4 Tailoring System Requirements System Design Subsystem Requirements Subsystem Design Task1 Component Requirements Software Requirements Component Component Design Design Software Software Design Design Module/Assembly Requirements Module/Assembly Verification Results Test Plan Module/Assembly Module/Assembly Module/Assembly Module/Assembly Design Design Design Test Drawings Component Test Plan Software Test Plan Manufacture/Coding Task5 System Test Plan Subsystem Test Plan Verification Results Products System Test Verification Results Component Component Test Test Test Software Software Test Test Test Final Verification Results Subsystem Test 出 典 :クリティカルソフトウェアワークショップ2002

HTV IV&V 活 動 結 果 以 下 の 指 摘 を 受 け 文 書 の 改 定 を 実 施 トレースが 完 全 には 取 れない 要 求 の 存 在 不 十 分 な 要 求 のブレークダウン TBD(To Be Determined) 項 目 残 設 計 者 の 意 識 高 揚 ( 設 計 根 拠 の 論 理 的 説 明 ) ライフサイクルを 通 じて 開 発 フェーズにあわせた 実 施 価 値 の 低 い 指 摘 の 排 除 設 計 者 のやる 気 をそがない 指 摘 は 数 ではなく 質 であるという 意 識 出 典 :クリティカルソフトウェアワークショップ2002

41 こうのとり 運 用 中 の 出 来 事 :1 号 機 使 用 条 件 の 違 い 組 織 を 超 えた 思 い 込 みの 違 い 思 い 込 み? 出 典 : 宇 宙 ステーション 補 給 機 技 術 実 証 機 (HTV1)プロジェクトに 係 る 事 後 評 価 について. 宇 宙 航 空 研 究 開 発 機 構 有 人 宇 宙 環 境 利 用 ミッション 本 部 HTV プロジェクトマネージャ 虎 野 吉 彦 (2010 年 9 月 21 日 )

42 5. こうのとり 運 用 中 の 出 来 事 : 成 功 要 因 ( 機 体 関 連 ) 出 典 : 宇 宙 ステーション 補 給 機 技 術 実 証 機 (HTV1)プロジェクトに 係 る 事 後 評 価 について. 宇 宙 航 空 研 究 開 発 機 構 有 人 宇 宙 環 境 利 用 ミッション 本 部 HTV プロジェクトマネージャ 虎 野 吉 彦 (2010 年 9 月 21 日 )

43 JAXA 内 ISSプログラム パートナー 契 約 以 外 は 完 全 独 立

44 こうのとり 運 用 中 の 出 来 事 : 成 功 要 因 ( 運 用 関 連 ) 異 なる 立 場 でのチェック 出 典 : 宇 宙 ステーション 補 給 機 技 術 実 証 機 (HTV1)プロジェクトに 係 る 事 後 評 価 について. 宇 宙 航 空 研 究 開 発 機 構 有 人 宇 宙 環 境 利 用 ミッション 本 部 HTV プロジェクトマネージャ 虎 野 吉 彦 (2010 年 9 月 21 日 )

45 運 用 結 果 安 全 設 計 :3 号 機 運 用 中 の 出 来 事

46 最 新 の 取 り 組 み

47 変 化 する 環 境 への 対 応 :Enterprise Systems Engineering 出 典 :The Seven Samurai of Systems Engineering Dealing with the Complexity of 7 Interrelated Systems, James N Martine, 14 th International Symposium INCOSE, 2004

48 変 化 する 環 境 への 対 応 :Enterprise Systems Engineering 出 典 :Transforming the Enterprise Using a Systems Approach, James N Martine, International Symposium INCOSE, 2011

49 変 化 する 環 境 への 対 応 :Engineering Systems 出 典 :Engineering Systems: Meeting Human Needs in a Complex Technological World, Olivier L. de Weck, The MIT Press, 2011

50 新 たな 安 全 解 析 方 法 論 システム 思 考 に 基 づく 安 全 解 析 MIT Nancy Leveson 教 授 の 提 唱 する 手 法 STAMP/STPA : Systems-Theoretic Accident Model and Processes/(STAMP-Based Process Analysis 出 典 : Modeling and Hazard Analysis using STPA (WOCS2011)

51 ほどよし 信 頼 性 工 学 超 小 型 衛 星 開 発 を 通 じた コストをあげない 品 質 保 証 のあり 方 日 本 流 のあうんの 呼 吸 を 活 かした 開 発 コンテクストと 目 的 の 理 解 欧 米 流 の 説 明 責 任 からの 日 本 流 の 説 明 責 任 へ

52 運 用 中 に 調 整 が 可 能 な 設 計 (Adaptive) レベル1: 軌 道 上 でソフトウェアを 容 易 に 再 構 成 できる 設 計 軌 道 上 でより 最 適 なパラメタにチューニング( 打 ち 上 げ 時 は 地 球 補 足 まで 出 来 ればよい ) 想 定 外 の 状 況 に 対 しても 対 応 顧 客 の 要 望 変 化 へも 柔 軟 に 対 応 レベル2コーディングをしないソフトウェア 開 発 パラメタ 設 定 によるSDKライブラリからソフトウェアを 実 現 単 体 モジュールの 設 計 検 証 と 製 造 検 証 が 不 要 ソフトウェア 全 体 の 検 証 は 打 ち 上 げまでに 必 要 なところを 検 証

53 コーディングレスの 搭 載 ソフトウェア モード 移 行 条 件 移 行 先 モード 内 実 行 機 能 をすべてパラメタで 設 定 できるソフトウェア モード 内 におけるすべての モードが 遷 移 する 条 件 遷 移 先 すべてパラメタで 指 定 m1 m2 モード 内 における 実 行 される 機 能 順 番 タイミング すべてパラメタで 指 定 形 式 手 法 の 活 用

54 システムアシュアランス 安 全 性 のみではなく システムの 品 質 特 性 を 保 証 機 能 安 全 (IEC61508, ISO26262)からシステムアシュアラ ンス( 鉄 道 RAMS:IEC 62278)へ RAMS Reliability, Availability, Maintainability and Safety ISO/IEC 15026 Systems Assurance Smart Grid/Smart Cityのシステムアシュアランス

55 Safety Case/Assurance Case Strategicに 効 率 的 に 安 全 であること を 示 す 取 組 み Safety Caseの 活 用 GSNを 使 ったD-Case コンセプトの 構 造 化 対 応 する 設 計 の 明 確 化 必 要 な 文 書 の 識 別 日 本 流 の 開 発 実 現 へ!

56 システム 規 格 出 典 : 経 済 産 業 省

57 まとめ はじめに IV&Vとは なぜIV&Vか IV&Vのアプローチ IV&V 事 例 最 新 の 取 り 組 み