『製品・制御システム高信頼化のための行動指針』解説

『製品・制御システム高信頼化のための行動指針』
解説
IPA/SECセミナー
2015年5月18日
独立行政法人情報処理推進機構(IPA)
技術本部 ソフトウェア高信頼化センター(SEC)
石田 茂
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
背景
社会を支える重要インフラへの適用拡大
機能の高度化、異なるシステム同志の連携、IoT
障害時の影響範囲拡大、原因究明の困難度増加
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
1
目的と特徴
企画・設計・開発・保守・運用のライフ・サイクルとその各フェーズにお
いて、提供者及び事業者が信頼性向上のために順守すべき指針
開発企業の有識者・専門家と学識者による
製品・制御システム
高信頼化のための行動指針
「製品・制御システム高信頼化部会」にて検討
-初版-
製品・制御システムに特有の技術的及び事業
的特性に配慮。
経営層及び開発責任者、品質責任者が取り
組むべきエンジニアリング・コンピテンシーを記述
https://www.ipa.go.jp/sec/reports/20150330.html
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
2
目次構成
1.概論
2.製品・制御システムの現状
3.高信頼なものづくりのマネジメント
4.エンジニアリング・コンピテンシー
5.経験知の共有による未然防止対応力の向上
6.さらなる信頼性向上に向けて
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
3
製品・制御システムの現状
物理的な制御対象
・物理的実体
・現象、動作原理
エンジニアに期待される技術力
・制御対象の原理・法則
・作る技術(メカ、電気・電子、ソフト、製造・生産、運用)
信頼性の考え方
・製品、システムごとに異なる構成要素
・信頼性の指標・基準
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
4
重要システムの分類
カテゴリA
障害により経済損失だけで
なく、人命喪失を含む人的
被害を伴う
・リスクアセスメント
・安全状態への移行、確保
カテゴリB
人的被害には至らないが社
会活動に大きな影響を与え
多大な経済損失が発生
・機能やサービス停止を回避
する対応
カテゴリC
企業イメージ低下などの影響
を含む一定の経済的損失が ・迅速なフィールド対応
発生
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
5
高信頼性なものづくりのマネジメント
『高信頼なものづくりを行う企業組織の経営者は当該製品・制御シ
ステムの重要度に応じ、必要な投資や経営資源を投入し社会的
責務を遂行する責任がある』
責任と権限の
明確化
リスクアセスメント
マネジメントサイクル
説明責任
© 2015 IPA, All Rights Reserved
企業組織風土
適切な技法・手法
Software Reliability Enhancement Center
6
エンジニアリング・コンピテンシー
企画、設計から調達、製造、保守・運用のシステムライフサイ
クル全般
経営者、開発責任者、品質責任者、担当者
そなえるべき、推奨される能力・資質
企画
要件定義
設計
調達
製造
プログラム実装
試験
運用
保守
品質マネジメント
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
7
企画・要件定義
リスク分析
・ハザード(危険源)を特定
・影響度、発生頻度低減
・HA、FTA、FME(C)A・・・
設計思想
・必要な信頼性要求を満たす設計コンセプトとこれに基づく
システムとしての設計方針(メカ、電気・電子、ソフト)
・確率論的対策、決定論的対策
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
8
設計
高信頼技術の適用
(1)冗長化・多重化
・スプリットブレインシンドロームへの対応策や負荷バランスなど
(2)自己診断
・WDT、ECC、アサーション・・・
(3)分離・パーティショニング
・安全関連部分を分離する構成法
(4)ヒューマンファクターエンジニアリング
・人間の認知特性に配慮したデバイスや機器デザイン・処理形態
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
9
設計
設計検証
・製品・システムごとに動作環境、使用条件が異なり、リスク
低減策も異なる
・要求事項が設計仕様に反映されているか
・Design Review 誰が何をするのかの実態内容
導入製品
・オープンソース、COTS(Commercial Off-The Shelf)
→ブラックボックスの前提
・SOUP(Software of Unknown Provenance:由来不明ソフト)
の検証
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
10
調達
調達仕様
・購入仕様書・・・品質・信頼性要件が明記されないことが多
・過去から慣習になっている暗黙の了解事項
・グローバル調達→調達スキーム、Qualification
・規格、法規制 ISO/IEC, EN, New Approach Directive,
,CFR, FDCA・・・
責任範囲の明確化
・サプライヤー、開発業者:合意、取り決め(例:ISO26262 DIA)
・不適合と是正処置・・・判定基準・ルール、記録
・受入検査での検収条件、エビデンス確認
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
11
製造・プログラム実装
製造・実装時の信頼性確保
・基板・コンポーネントの信頼性、規格適合
・製造装置の較正管理、環境管理
・コーディングルールや実装規約の整備、適用
・IDE、HDL(VHDL、VerilogHDL・・・)
・作業者
開発ツールの活用
・静的解析ツールによる自動化→品質向上+効率化
試作時の信頼性確保
・信頼性が担保されたハード、ソフト
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
12
試験
試験仕様
・屋外など自然環境での実試験
・異常試験含めた網羅性
試験環境
・自動試験設備、試験ツール
・試験装置の較正管理、規格適合
・試験員のスキル管理と維持
・求められる信頼性水準に応じた投資
導入製品
・パラメータ、設定値、バージョン→動作仕様の差異
・オリジナルベンダーとのサポート契約
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
13
運用・保守
保守機能と体制
・ログやモニタリング機能、リモートメンテナンス
・保守体制(ヒト・モノ・情報)
・保守交換パーツ
構成管理と情報共有
・HW/SWコンフィグレーション
・出荷時、運用、定期点検
・フィールドサポートに必要な情報
検証環境
・障害対応時の現象再現、原因究明
・スキル要員の確保
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
14
品質マネジメント
障害対応・再発防止
・予想される障害と発生時の影響評価
・対応手順(エスカレーション、真因究明、再発防止等)
品質保証
・基準・ルールが定められ、運用されているか
・国際標準(ISO/IEC)、業界標準(CMMI、Automotive SPICE)
、法規制への適合
トレーサビリティ管理
・要求仕様から設計、実装、試験、運用
・変更時 Impact Analysis
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
15
経験知共有による未然防止対応力の向上
情報収集
システム
構造把握
問題構造
把握
原因分析
真因
再発防止
抽象化
レビュー
能力向上
未然防止
組織学習
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
16
未然防止への取り組み
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
17
観点マップの活用
観点要素の選択
-教育・研修教訓 4
教訓タイトル
教訓選択
変数値域が広く、組合せバリエーションが非常に多くなる場合には、値域を適切な大きさ
に分割した上で境界値テストを実施する
製品の特長
化学物質を搬送トレイに分けて搬送するシステムであり、指定された経路に従って所定量
を所定間隔で搬送するもので、動作の確実性と応答時間の正確性が求められる。
観察できる現象
ある日、搬送中にラインが非常停止した。この搬送システムでは停止した場合、トレイ停
止時の方向や数量、位置に応じて所定の順序に従って再開できる仕様になっているが、こ
の時は再送がされず長時間にわたってライン停止し損失が拡大しただけでなく、搬送ライ
ン中に滞留した化学物質除去を人手で行うという危険作業を長時間せざるを得なくなっ
た。
内部で発生した
停止後の搬送再開の動作シーケンスは、停止時に想定されるトレイ方向や位置をパラメー
事象
タ表を参照し再開トレイを算出し実行することになっているが、この表を参照して算出す
るモジュールに間違いがあり、再開トレイが本来#4 であるべきところ、#5 となっていた。
原因となる要因
・当該算出処理部分について、機能は変えずモジュール統合を実施したがその際に意図
しない変更を実施してしまい元の動作仕様を結果的に変更してしまったことが原因であ
る。
・この算出ロジックは停止時の状態情報(トレイ向き、数量、停止位置等)に基づいて、
判定するのだが、その組合せと各々のパラメータの値域が非常に多い。組合せテストは
実施していたが、パラメータ組合せバリエーションを網羅しきれていなかった。
上記の未然防止
に向けた対策
直接原因への対策:
改修部分の再チェックを行い、不適合部分を修正した。
要因への恒久対策(対応工程を明記):
組合せと各々のパラメータの値域が非常に多くモレを発生させた反省から、モデル検査
技術を活用し、下記のような 2 通りの検証を行って確認する。
プロパティ検証:
変更前モジュール
制約条件
変更後モジュール
(事前条件&事後条件)
事後条件
教育・研修実施
© 2015 IPA, All Rights Reserved
成立?
ケーススタディ資料作成
Software Reliability Enhancement Center
18
観点マップの活用
テーラリング
-開発プロセスチェックリスト
追加
変更
レビュアートレーニング
© 2015 IPA, All Rights Reserved
デザインレビュー
Software Reliability Enhancement Center
19
教育・トレーニング
組織的活動
・教育・研修方法
・自部門の製品・技術に置き換え、自ら考える工夫
エンジニアの技術スキル
・ドメインに固有/共通
・体系的な取り組み、気づきを与える体得の方法
レビュアーの育成
・備えるべき能力、コンピテンシー(技術+コーチング)
・組織としての一貫した方針に基づく計画的な育成
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
20
さらなる信頼性向上に向けて
組織学習の継続
・経験から教訓を引き出し障害の発生を未然に防止することは
容易ではない
チェックリストが肥大化し見なくなる(機械的作業)
意図が伝わらなくなる
人がいなくなる
・マネジメントサイクルを通じた取り組みの継続
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
21
さらなる信頼性向上に向けて
変化しつづける事業環境
技術イノベーション
得意技術による
参入障壁
加速する商流変化
・サプライチェーン
カントリーリスク
知的財産権
© 2015 IPA, All Rights Reserved
新興国の実力向上
国際規格・法規制
Software Reliability Enhancement Center
22
さらなる信頼性向上に向けて
大規模で複雑なシステム特性
・IoT(Internet of Things) つながるヒト、モノ、機械、サービス
・SoS(System of Systems) 成長し変化し続けるシステム
システムアプローチ・手法
創発特性(emergence)に鑑みた手法、考え方
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
23
ご静聴ありがとうございました
© 2015 IPA, All Rights Reserved
Software Reliability Enhancement Center
24