【12thWOCS2最優秀賞受賞テーマ】 D-Caseを用いたレビューを 見える化する方法の導入事例 IoT時代のセーフティとセキュリティ 2015.03.30, IPA/SEC (株)デンソークリエイト 小林 展英 D-Case導入の目的 1 / 35 開発現場が抱える問題 • 上位者の経験が成果物に上手く反映できていない – 担当者は成果物の妥当性を論理的に説明できず、上位者は明確な判断基準 に基づいた指摘ができていないため、もぐら叩き的なレビューになってしまう 経験 基づく 成果物 担当者(作成側) 不一致 経験 上位者(依頼側) レビュー・確認する 基づく 確認記録 問題の解決方針 2 / 35 • 上位者と担当者が同じ経験に基づいて仕事に取り組む環境を整えること で問題解消を図る 成果物が満たすべき基準 経験 (常識・考え方など) 基準を 満たすように 成果物を作成 成果物 確認記録 成果物が基準を 満足することを 確認 成果物が基準を満足することが できなければ成果物を改訂 上位者の経験を担当者と正しく共有できる方法が必要 経験を正しく共有する方法 3 / 35 • 双方の経験(常識、語彙等)が揃えば相手と正しく情報を共有できるはず 依頼側・開発側ともに理解していること(世の中の常識) 開発側の背景(組織の常識) 依頼側の背景(組織の常識) 受け取る情報の前提(議論毎の常識) 受け取る情報 伝える情報の前提(議論毎の常識) 文書 伝える情報 考え方 考え方 語彙 語彙 担当者 上位者 経験を見える化して相手と共有する手段としてD-Caseを導入 D-Caseの紹介:基本的な描き方 • • 4 / 35 相手と合意形成できている前提に基づき上位の主張を下位の主張に分解 最下位の主張の妥当性を証拠に基づいて説明することで主張全体が特性基準を 満足できていることを説明する 特性基準 前提 成果物の 構成 成果物が特性基準を 満足している 成果物の構成に 従って説明する 成果物の構成要素が 特性基準を満たしている 主張 説明 成果物の構成要素間の関係が 特性基準を満たしている 証拠 構成要素が 特性基準を 満たす証拠 構成要素間の 関係が特性基準を 満たす証拠 D-Caseの適用方法 • • 5 / 35 相手と合意形成できている前提に基づき上位の主張を下位の主張に分解 最下位の主張の妥当性を証拠に基づいて説明することで主張全体が特性基準を 満足できていることを説明する 特性基準 前提 成果物の 構成 成果物が特性基準を 満足している 成果物の構成に 従って説明する 主張 確認記録 説明 経験 成果物の構成要素が 特性基準を満たしている 成果物の構成要素間の関係が 特性基準を満たしている 証拠 構成要素が 特性基準を 満たす証拠 成果物 構成要素間の 関係が特性基準を 満たす証拠 D-Caseを用いたレビューの方法 手順1:前提となる文書を揃える 知らない 知っている 新規に用意する 相手 ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 6 / 35 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の 構造を設計する 前提 構造に関する 文書 前提 条件に関する 文書 "説明したいこと" ゴール は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 構造の構成要素 は妥当である 条件を満足 できる成果物 設計品質レビューでの活用事例 7 / 35 <インタフェース仕様> ret = ConvMsec(unsigned short sec, unsigned long *msec); <変換規則> ・secを1000倍した値を*msecに格納し、E_OKを戻り値とする。 ・secが255より大きい場合は*msecに255000を格納し、 E_OVERを戻り値とする。 <設計品質レビューの報告内容> 確認事項 テスト項目数は 十分であるか? : 仕様を満足する ことが確認され ているか? 妥当性 証拠 判断 OK テスト 仕様書 : OK : テスト 報告書 妥当性判断の根拠 既存処理をコードレビューで 押さえ、追加処理の境界値に 関するテスト項目を抽出。 : テスト仕様書の該当項目がす べて合格している 設計品質レビューでの活用事例 8 / 35 テスト項目数は 十分であるか? : 仕様を満足する ことが確認され ているか? : OK : テスト 報告書 sec>255 ⑦ ⑥ ※ 妥当性判断の根拠 既存処理をコードレビューで 押さえ、追加処理の境界値に 関するテスト項目を抽出。 : テスト仕様書の該当項目がす べて合格している それ以外 妥当性 証拠 判断 OK テスト 仕様書 ret = E_OK; ① sec = MAX; ② <設計品質レビューの報告内容> 確認事項 <処理の流れ> tmp = sec×1000;③ sec==MAX ⑧ ⑨ ret = E_OVER ④ それ以外 <インタフェース仕様> ret = ConvMsec(unsigned short sec, unsigned long *msec); <変換規則> ・secを1000倍した値を*msecに格納し、E_OKを戻り値とする。 ・secが255より大きい場合は*msecに255000を格納し、 E_OVERを戻り値とする。 *msec = tmp; ⑤ ※MAX=255 手順1:前提となる文書を揃える 相手 知らない 知っている 手順1:前提となる文書を揃える ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 9 / 35 構造の構成要素 は妥当である 条件を満足 できる成果物 • 「保証対象の構造」に従って上位者の考える合格基準を明文化 保証対象 既存処理 追加処理 関係 品質保証対象 合格基準 既存処理 (C1)前回リリース時とコードの差分がない 追加処理 (C2)入力の境界値を網羅したテスト項目を実施 既存処理と追加 (C3)対象のパス毎に正常系のテスト項目を 処理の関係 1項目以上実施 手順1:前提となる文書を揃える 相手 知らない 知っている 手順2:説明の構造を設計する ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 10 / 35 構造の構成要素 は妥当である 条件を満足 できる成果物 • 上位者の考える合格基準を前提として説明の構造を見える化 手順1:前提となる文書を揃える 相手 知らない 知っている 手順3:成果物を証拠に紐付ける ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 構造の構成要素 は妥当である 条件を満足 できる成果物 11 / 35 手順1:前提となる文書を揃える 相手 知らない 知っている 手順3:成果物を証拠に紐付ける ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 12 / 35 構造の構成要素 は妥当である 条件を満足 できる成果物 手順4:D-Caseで説明(その1) 手順4:D-Caseで説明(その2) 手順1:前提となる文書を揃える 相手 知らない 知っている ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 13 / 35 構造の構成要素 は妥当である 条件を満足 できる成果物 <ConvMsec実装> ret = E_OK; ① sec>255 ⑦ ⑥ ※ sec = MAX; ② それ以外 • 上位者の合格基準(C1,2)を満足しており問題無し 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール tmp = sec×1000;③ sec==MAX ⑧ ⑨ ret = E_OVER ④ それ以外 手順4:D-Caseで説明(その1) ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する *msec = tmp; ⑤ ※MAX=255 手順1:前提となる文書を揃える 相手 知らない 知っている ③文書化 ④一緒に して理解を 文書化する 得る ②教えて ①合意形成 もらって できている 文書化 知っている 知らない 自分 手順4:D-Caseで説明する ・"構造に関する文書"に基づいて説明したい ことを手頃な大きさに分解して説明する ・説明の妥当性は、"条件に関する文書"を 成果物が満足していることで納得を得る ・上記流れで相手の納得を得られなければ 手順1から再チャレンジ! sec=255時に E_OVERが返る 前提 構造に関する 文書 前提 条件に関する 文書 は妥当である 前提に従って 説明する 構造の構成要素 は妥当である 戦略 ・・・ 手順3:成果物を証拠に紐づける ・説明の妥当性を最終的に支える証拠として 条件を満足できる成果物を紐付ける 条件に関する 文書 14 / 35 構造の構成要素 は妥当である 条件を満足 できる成果物 <ConvMsec実装> ret = E_OK; ① sec>255 ⑦ ⑥ ※ sec = MAX; ② それ以外 • 上位者の合格基準(C3)未達の証拠(Sn4, 5, 6)を検出 • Sn5, 6は合格基準を満たすため追加テストを実施 ⇒ Sn5の追加テスト時に不具合発見! 手順2:説明の構造を設計する ・手順1で揃えた文書を前提として説明の "説明したいこと" 構造を設計する ゴール tmp = sec×1000;③ sec==MAX ⑧ ⑨ ret = E_OVER ④ それ以外 手順4:D-Caseで説明(その2) ・相手と合意形成でき ている文書を揃える ・不足する場合は右記 の4状態を念頭に 新規に用意する *msec = tmp; ⑤ ※MAX=255 上位者 - 担当者の理解のズレが発生した原因 ret = E_OK; ① 既存処理をコードレビ ューで押さえ、追加処 理の境界値に関するテ スト項目を抽出。 既存処理 sec>255 ⑦ ⑥ ※ sec = MAX; ② ret = E_OK; ① ⑨ ret = E_OVER ④ ※ sec = MAX; ② *msec = tmp; ⑤ sec==MAX ⑧ 追加処理 ないため既存処理と理解していた 赤点線枠の理解のズレが発生 追加処理 担当者は⑦⑨の処理が空で追加が sec==MAX ⑧ ⑦ ⑥ tmp = sec×1000;③ それ以外 tmp = sec×1000;③ sec>255 それ以外 か? OK 既存処理 妥当性判断の根拠 追加処理 目数は十 分である 判断 <担当者の理解> それ以外 テスト項 妥当性 追加処理 確認事項 <上位者の理解> ⑨ ret = E_OVER ④ それ以外 <設計品質レビューの報告内容> 15 / 35 *msec = tmp; ⑤ ※MAX=255 D-Caseで構造化した説明内容を確認することで 不具合の流出につながる理解のズレに気づくことができた ※MAX=255 D-Caseから得られる勘所(その1) 16 / 35 • 複数のゴールが一つの証拠に集約している場合、複数の視点が一箇所に 混在した文書になっている場合が多い(文書品質が低い可能性がある) 《メモリ管理機能外部仕様書》 2. 機能仕様 2.1. 初期化 メモリ管理機能はECUの初期化要求 時に不揮発メモリを初期化する。要求 時に指定された開始アドレスからデー タ長までの範囲を初期化対象とする。 また、初期化時に指定された値を不 揮発メモリの初期値とする。データ長 の値域は0〜100までとし、それ以外 の値が設定された場合にはエラーを 返す。初期値に使用できる値域は0〜 255とする。値域外の値を渡された場 合のエラーはE_INVALIDを戻り値と して返す。関数の詳細はx.x節参照。 2.2. 不揮発メモリ書込み : 2.3. 不揮発メモリ読み出し : D-Caseから得られる勘所(その2) • 戦略にレビュー対象の構造や属性を示した前提が関連付けられていない 場合、分解されたゴールが網羅的でない場合が多い(納得感が薄い) 17 / 35 D-Caseから得られる勘所(その2) 18 / 35 • 戦略にレビュー対象の構造や属性を示した前提が関連付けられていない 場合、分解されたゴールが網羅的でない場合が多い(納得感が薄い) プロセス関連 プロダクト関連 :機能要件 プロダクト関連 :非機能要件 D-Caseから得られる勘所(その3) 19 / 35 • ゴールに証拠の判断基準となる前提が関連付けられていない場合、証拠 のレビュー基準がレビューアの感覚の場合が多い(客観的な根拠がない) インタフェースが文書化さ れていることは分かるが… インタフェースの妥当性を判断 した根拠が明文化されている プロジェクトで活用しているレビュー基準の整備状況も見える化できる 安全分析プロセスでの活用事例 20 / 35 今回採用した安全分析プロセス 手順1:ハザード分析 手順2:故障モード抽出 ・HAZOPを用いて機能の正常動作からの 逸脱をハザードとして抽出 ・FTAの末端ノードはガイドワードを用いて 故障モードとして抽出 ・システムが提供する機能の特性に 応じてHAZOPのガイドワードを決定 手順4:D-Caseで説明する ・以下の3点をD-Caseで見える化する - 故障モードの抽出結果 - 故障モードに対する対策 - システムに対する対策の組込み状況 ・ハザードをFTAのトップゴールに設定 ・システム構成に基づいてハザードを分解 手順3:故障モードの対策定義 ・故障モードを装置単体で回避できる場合、 装置毎のスコープで対策を定義 ・複数の装置に跨がった対策が必要な場合、 装置間共通の方針を定めた上で対策を定義 安全分析における重要なポイント • 安全分析の結果を第三者が納得して確認できる必要がある 安全分析プロセスの適用対象:ヘッドライト制御システム 21 / 35 提供機能 ID. 機能 1. ユーザのライトスイッチ操作に応じてヘッドライトを点灯 2. ユーザのライトスイッチ操作に応じてヘッドライトを消灯 システム構成 ライト スイッチ IGスイッチ HW_LS HW_IG ボデー制御 CAN ECU :ワイヤハーネス :CAN通信線 HW_HLR ヘッドライト 制御ECU HW_HLL :センサ/アクチュエータ :ECU 右ヘッド ライト 左ヘッド ライト 安全分析プロセスの適用対象:ヘッドライト制御システム 22 / 35 ECUソフトウェア構成 ヘッドライト制御ECU AUTOSAR RTE COM-Stack IO-Stack CAN HW_LS HW_HLR HW_HLL RTOS アプリケーション層 AUTOSAR基盤層 Head Light Control SW-C アプリケーション 実行層 車載ソフト 共通機能提供層 今回試行の前提 • 安全分析の簡略化事項 – FMEAを組み合わせた故障モード起点の分析を省略 – 故障モードを回避する対策定義時の重要性分析などを省略 • 説明対象の省略事項 – システムを構成する装置のハードウェア詳細 – 中核を担うヘッドライト制御ECU以外のソフトウェア構成 – ECUに搭載されるソフトウェア部品の詳細 D-Caseの有効性評価に焦点を置いているため上記を前提とした 23 / 35 手順1:ハザード分析結果 手順1:ハザード分析 手順2:故障モード抽出 手順4:D-Caseで説明する 手順3:故障モードの対策定義 ・システムが提供する機能の特性に 応じてHAZOPのガイドワードを決定 ・HAZOPを用いて機能の正常動作からの 逸脱をハザードとして抽出 ・以下の3点をD-Caseで見える化する - 故障モードの抽出結果 - 故障モードに対する対策 - システムに対する対策の組込み状況 ガイドワード採用方針 ・ハザードをFTAのトップゴールに設定 ・システム構成に基づいてハザードを分解 ・FTAの末端ノードはガイドワードを用いて 故障モードとして抽出 24 / 35 ・故障モードを装置単体で回避できる場合、 装置毎のスコープで対策を定義 ・複数の装置に跨がった対策が必要な場合、 装置間共通の方針を定めた上で対策を定義 • ヘッドライトが持つ点灯、消灯という値に着目して以下のガイドワードを採用 – 無し、異なる、過多、過少 ハザード分析結果 ID. ガイドワード ハザード 1. 無し 2. 異なる 3. 過多 ヘッドライトの光量が多い 4. 過少 ヘッドライトの光量不足 ヘッドライトの完全な喪失 ユーザ操作に対するヘッドライトの点灯、消灯が逆転 手順2:故障モード分析結果 手順1:ハザード分析 手順2:故障モード抽出 手順4:D-Caseで説明する 手順3:故障モードの対策定義 ・システムが提供する機能の特性に 応じてHAZOPのガイドワードを決定 ・HAZOPを用いて機能の正常動作からの 逸脱をハザードとして抽出 ・以下の3点をD-Caseで見える化する - 故障モードの抽出結果 - 故障モードに対する対策 - システムに対する対策の組込み状況 装置種別 装置 H/W本体+入出力 起こり得る故障 ・ハザードをFTAのトップゴールに設定 ・システム構成に基づいてハザードを分解 ・FTAの末端ノードはガイドワードを用いて 故障モードとして抽出 ・故障モードを装置単体で回避できる場合、 装置毎のスコープで対策を定義 ・複数の装置に跨がった対策が必要な場合、 装置間共通の方針を定めた上で対策を定義 25 / 35 手順3:故障モードの対策定義結果 手順1:ハザード分析 手順2:故障モード抽出 手順4:D-Caseで説明する 手順3:故障モードの対策定義 ・システムが提供する機能の特性に 応じてHAZOPのガイドワードを決定 ・HAZOPを用いて機能の正常動作からの 逸脱をハザードとして抽出 ・以下の3点をD-Caseで見える化する - 故障モードの抽出結果 - 故障モードに対する対策 - システムに対する対策の組込み状況 安全対策方針 ・ハザードをFTAのトップゴールに設定 ・システム構成に基づいてハザードを分解 ・FTAの末端ノードはガイドワードを用いて 故障モードとして抽出 26 / 35 ・故障モードを装置単体で回避できる場合、 装置毎のスコープで対策を定義 ・複数の装置に跨がった対策が必要な場合、 装置間共通の方針を定めた上で対策を定義 (方針1)走行中における突然のヘッドライト喪失を回避するため、ヘッドライト制御に関 する故障検出時には点灯する側で制御する。 (方針2)通信に関する途絶・誤り検出時には受信側で方針1に基づいて制御する。 安全対策定義 ID. 構成要素 故障モード 対策 1. ボデー制 御ECU 2. IGスイッチ値のワイヤハーネス断線 H/W回路で断線時のIGスイッチ値をオンとする ノイズ印加によるIGスイッチ値の逆転 IO-StackでIGスイッチ値のチャタリングを防止する 3. CAN通信線断線 ヘッドライト制御ECU側で対応する 4. CAN送信メッセージの値化け COM-Stackで誤り検出符号を付与する : : 7. ヘッドライ ト制御 8. ECU : : : : CAN通信線断線 COM-Stackで通信途絶時のIGスイッチ値をオンとする CAN受信メッセージの値化け COM-Stackで誤り検出時のIGスイッチ値をオンとする : : : : 手順4:D-Caseを用いた説明 手順1:ハザード分析 手順2:故障モード抽出 手順4:D-Caseで説明する 手順3:故障モードの対策定義 ・システムが提供する機能の特性に 応じてHAZOPのガイドワードを決定 ・HAZOPを用いて機能の正常動作からの 逸脱をハザードとして抽出 ・以下の3点をD-Caseで見える化する - 故障モードの抽出結果 - 故障モードに対する対策 - システムに対する対策の組込み状況 ・ハザードをFTAのトップゴールに設定 ・システム構成に基づいてハザードを分解 ・FTAの末端ノードはガイドワードを用いて 故障モードとして抽出 27 / 35 ・故障モードを装置単体で回避できる場合、 装置毎のスコープで対策を定義 ・複数の装置に跨がった対策が必要な場合、 装置間共通の方針を定めた上で対策を定義 第三者の納得には数多くの情報を適切に構造化して説明できる必要がある 第三者が納得するために必要なこと 28 / 35 分析工程の構成要素 組込み状況 要求 工程n 基準A 中間 成果 工程n+1 最終 成果 基準B 以下の2点は納得する上で知っておきたい必要条件となるはず • どのような過程で、どのような判断基準に基づき分析されたか? • 要求を満足する対策は最終成果に漏れなく組込まれているのか? 【D-Caseの有効性】 安全分析の全体俯瞰(1/2) 29 / 35 【D-Caseの有効性】 安全分析の全体俯瞰(2/2) 30 / 35 【D-Caseの有効性】 判断基準の見える化 31 / 35 【D-Caseの有効性】 安全対策方針の記述品質の見える化 説明のスコープに 合わせて具体化 されている 32 / 35 【D-Caseの有効性】 対策の組込み状況の確認 導出した対策 組込み状況 の確認記録 33 / 35 各種分析手法とD-Caseの役割分担 34 / 35 分析 HAZOP FTA/FMEA 外部 内部 トレーサビリティ, テスト報告書等 D-Case 凡例 確認 :仕事の流れ :結果の総括 D-Caseの役割 • 安全分析の過程、結果のつながりを全体俯瞰する • 安全分析に用いた判断基準(ガイドワード、方針等)を見える化する • 故障モードの対策がシステムに組み込まれていることを見える化する まとめ 35 / 35 (現場が抱える問題) 上位者の経験が成果物に上手く反映できていない • 前提ノードで見える化された上位者の経験に基づいて成果 物の品質を確認できるようになった • 構造化された図表現の特性から表形式では見落としがちな 不備(横並び要素の不揃い感等)を検出できるようになった • 成果物の品質推測に活用できる勘所が導出できた 今後取り組んでいきたいこと • 新たな技術の導入に対する抵抗感を上回る価値を示したい – 成果物の不備に自分で気づけるようになった – 顧客への成果報告の成功率が高くなった、等々 D-Caseの有効性を開発現場で体感できる経験の場作りにぜひご協力下さい
© Copyright 2024 ExpyDoc
![アンケート用紙(平成26年度)[PDFファイル:92KB]](http://s1.expydoc.com/store/data/005743213_1-a4813a35f9979268663fafcd0510af99-250x500.png)
