2019 Fiscal Year Research-status Report
ソフトウェアの相互作用に起因するハザード原因の複数の安全解析手法の連携による解析
| Project/Area Number |
19K04920
|
|---|
| Research Institution | University of Yamanashi |
|---|
Principal Investigator |
高橋 正和 山梨大学, 大学院総合研究部, 教授 (20403446)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
渡辺 喜道 山梨大学, 大学院総合研究部, 教授 (00210964)
|
|---|
| Project Period (FY) |
2019-04-01 – 2022-03-31
|
| Keywords | 故障木解析(FTA) / HAZOP / STPA / 品質機能展開(QFD) / ソフトウェアコンポーネント / ソフトウェアテスト |
|---|
| Outline of Annual Research Achievements |
本研究では主に組込みソフトウェアのハザード分析する方法を研究する.その中で令和元年度は、(1)組込みソフトウェア向けの故障木解析手法の研究、(2)組込みソフトウェア向けのHAZOP(Hazard and Operability Study)手法の研究、および(3)組込みソフトウェア向けのSTPA(System-Theoretic Process Analysis)手法の研究を実施した.
(1)については、組込みソフトウェアで使用される命令に対応した部分故障木のテンプレートを作成し、さらにハザードを頂上事象としてソフトウェアの命令の実行過程を逆追跡しながら部分故障木のテンプレートを結合して故障木を作成するルールを定義した.それらを既存のシステムに適用して提案手法の評価を行った.結果は良好であった.
(2)については組込みソフトウェアのハザード明らかにするためのガイドワードを定義した.そして、ガイドワードを別途作成した組込みソフトウェアのデータフローと制御フローの中のデータに対して適用し、データフローを追跡する方法を定義した.これにより、データにガイドワードの事象が生じた時、システムがどのような状態となるかを明らかにできるようにした.そして、この手法の妥当性を評価した.
(3)については組込みソフトウェアのコンポーネント(ソフトウェア部品やクラス等)ごとの状態遷移とコンポーネント間のコントロール信号の定義し、組込みシステムの取りうる状態を網羅的に定義する方法を規定した.さらに、その時の状態の制約条件と制御信号受信時の制約条件を論理式で表し、それを検証することで矛盾持った状態(ハザードを生じる状態)を明らかにする方法を規定した.そして、この手法の妥当性を評価した.
さらに、上記を実施する上で必要となる品質機能展開を用いた信頼性向上手法、テスト手法などの研究を行った.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
(1)の組込みソフトウェア向けの故障木解析手法については、研究は順調に進んでいる.提案する故障木解析手法の既存システムへの適用も行い、手法の妥当性も確認できた.この成果について学術論文誌に投稿を行った(1件結果待ち).
(2)の組込みソフトウェア向けのHAZOPについては、研究はやや遅れている.提案するHAZOP手法を規定したが、現時点で小規模なシステムへの適用しかできていない.さらに、新型コロナウィルスの影響で、企業との打ち合わせ、投稿を予定していた国際会議が中止となった.そのため、学術論文、国際会議、研究会等への投稿はできていない.
(3)の組込みソフトウェア向けのSTPAについてはほぼ予定通りに研究が進んでいる.状態遷移図を用いてソフトウェア構成要素(コンポーネント)間の相互作用に起因するハザードを検出する方法を規定し、小規模ソフトウェアへの適用を行った.この成果を国際会議に投稿し、採録された(1件).さらに品質機能展開を用いて安全性を実現するために必要となる項目を明確にする方法を提案し、国際会議に投稿し、採録された(1件).
その他として、上記の手法の実現ために用いるソフトウェアのテスト方法、ソフトウェアの変更に伴う影響評価手法について研究し、それぞれ国際会議に投稿し、に採録された(各1件).
令和元年度は、新型コロナウィルスの影響で、予定していた研究会、国際会議への参加、企業との打ち合わせ等ができなかった.
|
| Strategy for Future Research Activity |
(1)については企業等への説明を行うとともに、企業と協力して実際の組込みソフトウェアへの適用を行う.さらに、成果について論文誌や国際会議への投稿を行う.
(2)については提案手法の既存システムへの適用を行い、提案手法の妥当性を評価する.さらに、そこで明らかになった問題点の解決策を提案手法に反映させて改善を行う.その成果をまとめて論文誌、国際会議、研究会等に投稿し、成果の公開を行うとともに同分野の専門家からの評価を受ける.可能であれば、企業との協力も開始する.
(3)については、提案手法の「コンポーネント間のコントロール信号と状態遷移の組合せにもとづいたハザードの候補を列挙する方法」では、ハザードの候補の数が莫大となることが分かった.このすべてのハザード候補のハザード内容を、人力で確認することには困難(確認ミス、長時間の作業)である.そこで、状態遷移の条件とコントロール信号の受信の条件を論理式で記述して、それを論理演算することで、自動的にハザードが発生するか否かを判断する方法を検討する.そして、その方法を小規模な組込みソフトウェアに適用して妥当性を評価する.可能であれば、国際会議、研究会等での発表を行い、同分野の研究者からの評価を受ける.
上記の研究を行うために必要となるQFDを用いた安全性項目の展開、ハザードへの対策のまとめ、ハザード対策を行った場合(組込みソフトウェアを修正した場合)、対策を行った組込みソフトウェアの機能に誤りがないことを確認するテストの範囲と項目を明らかにする方法を検討する.そして、その成果を論文誌、国際会議、研究会等で発表し、成果の公開を行う.
|
| Causes of Carryover |
以下の理由により次年度使用額が発生した.(1)新型コロナウイルスの影響により、参加を予定していた研究会、国際会議が中止になったため.(2)投稿した論文の査読結果が戻ってこなかったため(掲載料を繰り越したため).
上記について以下の対策を行う.(1)については、オンラインの研究会、国際会議が開催されるようになったので、それ等への投稿を検討する.(2)については、当面、査読結果の返却を待つ.
令和2年度は当初計画に、上記項目を追加して、研究活動を行う.
|
