(前NTTデータ フェロー システム科学研究所長)山本 修一郎
今回は、サンフランシスコ市で2013年5月19日に開催された、第1回ソフトウェア集約型システムのための保証ケース(Assurance case)についての国際ワークショップ、1st International Workshop on Assurance Cases for Software-intensive Systems (ASSURE 2013)[1]での発表内容について紹介しよう。
Assure 2013発表論文の概要
Assure 2013で採録された8件の論文を表1に示す。名古屋大学からも、筆者らが2件投稿してともに採録された。国別の採録件数では米国3件、カナダ2件、日本2件、英国1件であった。保証ケース分野で、名古屋大学の取組みが世界的にも評価されたことは喜ばしい。
なお、Assure 2013の論文では、保証ケースの表現法として、D-Caseが採用しているGSN(Goal Structuring Notation)を用いていた。Zarrin LangariとTom Maibaum[2]は、安全性ケースの課題を、表記法、構成要素、適用分野、認定の観点から整理している。
Charles B. Weinstock、John B. Goodenough、Ari Z. Kleinらは、消去法的推論とL. Jonathan Cohen.によるBaconian確率を適用することにより、主張と証拠によって解消された疑義についてソフトウェア開発工程全体を通じて、保証ケースの確信度を評価する手法を提案している[3]。
筆者ら[4]は、ネットワーク機器監視システムに対して実施した、アーキテクチャに基づく議論分解パターンの適用評価結果を紹介した。また、GSNコミュニティで提案されている拡張機能をD-Caseエディタで実装した結果についても報告している[5]。
異なる人が作成した議論を結合する場合、用語の一貫性を確認する必要がある。用語の不整合を識別するために、言語学モデルを利用することにより、議論の結合を支援する手法をKatrina AttwoodとPhilippa Conmyが提案している[6]。
ロケットからの脱出装置AFDNR(Abort Failure Detection, Notifi- cation, and Response)を対象として、Martin S. FeatherとLawrence Z. Markosianが故障検知機構の擬陽性に対する安全性ケースパターンについて考察している[7]。ここで、条件が成立していないのに成立していると、誤って判断することを擬陽性という。たとえば、ロケットからの脱出条件を監視するセンサーの結果が擬陽性であると、脱出すべきでないときに脱出してしまうことになり、危険である。彼らは、従来の安全性ケースパターンが有効であることを再確認している。また、従来の安全性ケースパターンよりも広いパターンである安全性アーキタイプ(Safety Archetype)を、監視システムに対して提示している。
Alma L. Juarez Dominguez、 Bruce G. Partridge、Jeffrey J. Joyceが潜水用再呼吸器のための安全性ケース作成について報告している[8]。彼らは安全性ケースの議論を、安全性(Safety)、妥当性(Confirmation)、準拠性(Compliance)に分けている。
Arnab RayとRance Cleaveland[9]が、医療装置のための安全性保証ケースの構築上の課題について報告している。彼らの仮説は、「認定する価値のある医療装置であれば、文書化されていないだけで安全性ケースは暗黙には存在している。装置の安全性を明示的かつ論理的に説明するのが安全性ケースである」というものである。
以下では、保証ケースを適用する上での課題を上述した論文から整理して紹介したい。
表1 Assure 2013発表論文一覧(クリックで拡大)
保証ケースの課題
Zarrin Langari とTom Maibaumが整理した安全性ケース(Safety case)の課題をまとめると、表2のようになる。彼らは表記法、構成要素、適用分野、認定という4つの観点から課題を整理している。
表2 安全性ケースの課題[2](クリックで拡大)
表記法の課題
保証ケースの表記では、①規模と複雑性、②読解性、③幻想という3つの課題が指摘されている。このうち①と②は、モジュール化のしくみをGSNに導入することで対処できる可能性がある。また、安全性、確信性、運用性ごとに保証ケースを作成することを提案している点が注目される。このような議論の観点として、[8]では安全性のほかに、妥当性と準拠性を挙げている(表3)。
課題③では、保証ケースを作成することで、安全性が保証できたような気になってしまう幻想を排除する必要があると指摘している。この場合、保証ケースの妥当性を確認するための基準が重要になる。たとえば、コンテクストで前提条件を明記しておく必要がある。
表3 議論の観点[8](クリックで拡大)
続きは本誌でご覧頂けます。→本誌を購入する
ご購入のお申込みは電話(03-3507-0560)でも承っております。
- 60:要求とアーキテクチャ
- 61:要求と保守・運用
- 62:オープンソースソフトウェアと要求
- 63:要求工学のオープンな演習の試み
- 64:Web2.0と要求管理
- 65:ソフト製品開発の要求コミュニケーション
- 66:フィードバック型V字モデル
- 67:日本の要求定義の現状と要求工学への期待
- 68:活動理論と要求
- 69:ビジネスゴールと要求
- 緊急:今、なぜ第三者検証が必要か
- 71:BABOK2.0の知識構成
- 72:比較要求モデル論
- 73:第18回要求工学国際会議
- 74:クラウド時代の要求
- 75:運用要求定義
- 76:非機能要求とアーキテクチャ
- 77:バランス・スコアカードの本質
- 78:ゴール指向で考える競争戦略ストーリー
- 79:要求変化
- 80:物語指向要求記述
- 81:要求テンプレート
- 82:移行要求
- 83:要求抽出コミュニケーション
- 84:要求の構造化
- 85:アーキテクチャ設計のための要求定義
- 86:BABOKとREBOK
- 87:要求文の曖昧さの摘出法
- 88:システムとソフトウェアの保証ケースの動向
- 89:保証ケースのためのリスク分析手法
- 90:サービス保証ケース手法
- 91:保証ケースのレビュ手法
- 92:要求工学手法の再利用
- 93:SysML要求図をGSNと比較する
- 94:保証ケース作成上の落とし穴
- 95:ISO 26262に基づく安全性ケースの適用事例
- 96:大規模複雑なITシステムの要求
- 97:要求の創造
- 98:アーキテクチャと要求
- 99:保証ケース議論分解パターン
- 100:保証ケースの議論分解パターン[応用編]
- 101:要求発展型開発プロセスの事例
- 102:参照モデルに対する保証ケース
- 103:参SEMATの概要
- 104:参SEMATの活用
- 105:SEMATと保証ケース
- 106:Assure 2013の概要
- 107:要求の完全性
- 108:要求に基づくテストの十分性
- 109:システムの安全検証知識体系
- 110:機能要求の分類
- 111:IREB
- 112:IREB要求の抽出・確認・管理
- 113:IREB要求の文書化
- 114:安全要求の分析
- 115:Archimate 2.0のゴール指向要求
- 116:ゴール指向要求モデルの保証手法
- 117:要求テンプレートに基づく要求の作成手法
- 118:ビジネスゴールのテンプレート
- 119:持続可能性要求
- 120:操作性要求
- 121:安全性証跡の追跡性
- 122:要求仕様の保証性
- 123:システミグラムとドメインクラス図
- 124:機能的操作特性
- 125:セキュリティ要求管理
- 126:ソフトウェアプロダクトライン要求
- 127:システミグラムと安全分析
- 128:ITモダナイゼーションとITイノベーションにおける要求合意
- 129:ビジネスモデルに基づく要求
- 130:ビジネスゴール構造化記法
- 131:保証ケース導入上の課題
- 132:要求のまとめ方
- 133:要求整理学
- 134:要求分析手法の適切性
- 135:CROS法の適用例
- 136:保証ケース作成支援ツールの概要