Comments
Description
Transcript
講演資料ダウンロード - 情報処理推進機構 ソフトウェア・エンジニアリング
ソフトウェア高信頼性への道程 新 誠一 電気通信大学情報理工学研究科 ENIAC The ENIAC(1946) was enormous. It occupied over 1,500 square feet, contained about 18,000 vacuum tubes, weighed more than 30 tonnes! and consumed about 180,000 watts of electrical power. The ENIAC could perform 5,000 additions and 300 multiplications per second. http://www-stall.rz.fhtesslingen.de/studentisches/Computer_G eschichte/grp4/eniac.html 2 1971年: 4004 マイクロプロセッサ 4004は世界初のマイクロプロセッサです。この画期的な発明が、Busicom 社 の計算機の心臓部となり、パーソナル・コンピュータをはじめ生命の無い物に も知性を与える道を開きました。 http://www.intel.co.jp/jp/personal/museum/hof/?iid=jpsiteindex+personal_museum_hof& PA 2007/10/29 愛妻号Dayファジィ 1988年 布量 、汚れの質と量、洗剤の 種類を見分けて、約600通りの 洗濯方法から適した洗い方を 選びます。ファジィ家電ブーム の火つけ役となりました。 http://national.jp/labo/history/sentaku.html 2自由度制御の利用 アクティブガイド 松岡,森,岸川,佐藤:大容量超高速エレベータの開発, 日立評論第88巻第12号,p.20-23(2006年12月号) 2006/12/20 人工呼吸器SSV http://www.kssi.co.jp/tech/tech3.html リコーJavaContest http://ext.ricoh.co.jp/javacontest/ 2009/2/12 利便性 自動車は電子制御 http://www.aisin.co.jp/products/auto/index.html 交通事故死者数 2008年1年間の交通事故死者は 5155人と前年より約10%減り、「1 0年までに5500人以下に抑える」と いう政府目標を大幅に下回ったこと が2日、警察庁のまとめで分かった。 8年連続の減少で、過去最悪だった 70年(1万6765人)の31%の水準 にまで減った。 http://www.asahi.com/national/update/0102/TKY200901020036.html 2009/1/3 ソフトの複雑化 http://techon.nikkeibp.co.jp/article/NEWS/20080610/153038/ 国内自動車リコール数 http://www.mlit.go.jp/jidosha/carinf/rcl/data_sub/data004.html V字開発 http://itpro.nikkeibp.co.jp/article/lecture/20061130/255501/ ソフトウェアレビュー http://www.atmarkit.co.jp/im/carc/serial/review/02/02.html 2009/9/23 プロジェクト管理 http://www.thinkit.co.jp/free/project/4/1/1.html 2009/9/23 トヨタとデンソー、MATLAB R2006bに 量産移行を決定 サイバネットシステムは、トヨタ自動車とデンソーが米MathWorks社(マ スワークス)のデザインツールMATLAB R2006bへ移行し、量産ソフトウエ アの開発に適用を開始すると発表した。トヨタとデンソーは2001年にパ ワートレイン分野の設計にMATLAB R12.1を量産車の設計に使用し始め、 サイバネットシステムとマスワークスと次期設計ツールの要件をまとめ るなどMATLABの改善にも大きな役割を果たしてきた。R2006bの新機能 の中でも、トヨタとデンソーは、複雑化するリアルタイム組込ソフトウエア のコードを自動生成する「Real-Time Workshop Embedded Coder」による 生産性向上にとりわけ期待している。 デンソーはサイバネットと協調し、包括的なモデリングガイドライン、 ユーザーモデルのテストスイート、トレーニング材料などを用意し、R12.1 からR2006bへの移行準備を行ってきた。移行計画が成功したことにより、 トヨタとデンソーは、MATLABのモデリング、シミュレーション、自動コード 生成を生かした設計が、迅速かつ安価な新規車両の開発を可能にし、 競争力維持に貢献すると見ている。両社は今後、パワートレイン制御の みならず、他の量産ソフトウエアの開発にも適用を拡大する意向を示し ている。 http://www.designnewsjapan.com/news/200709/news070912_0201.html 2007/10/15 クルマの機能安全規格のISO 26262 がついに正式発行 自動車の電子制御系に関する機能安全規 格「ISO 26262」が、6年間の策定期間を経て、 ついにISOの正式な国際規格となった。2011 年11月15日の午後(日本時間)、ISO 26262の Part 1からPart 9までの各Partのstage codeが 一斉に、発行済み規格「IS(international standard published)」を示す「60.60」となった。 http://techon.nikkeibp.co.jp/article/NEWS/20111116/201632/ 2011/11/16 C言語からMatlab double x1; double func(double u1, double u2) { if (0.5 * (u2 - u1) > x1 + 5) x1 = x1 + 5; else if (0.5 * (u2 - u1) < x1 – 5) x1 = x1 - 5; else x1 = 0.5 * (u2 - u1); return x1; } 単体テスト http://www.gaio.co.jp/product/dev_tools/pdt_mcc.html?DM332778406 2010/1/28 制御システム • システムは要素の結合 • 要素は同一または異なる • 要素は結合可能,交換可能 人 ソフト エレキ メカ 素材 環境 22 IT 仮想 モデル 現実 人 現物 ソフト エレキ メカ 素材 環境 23 多様化するHILSシミュレーション技術で 車載ECUを評価 2007年秋、三菱自動車は、同社としては初めて「フルビークルHILS」を車両 開発に適用した車種「ギャラン フォルティス」「ランサーエボリューションX」を 発売する(1)(扉参照)。フルビークルHILSは、ネットワークでつないだ車両1 台分のECU数十台を一度に評価できるHILSで、日本の完成車メーカーがフ ルビークルHILSの量産車への適用を明らかにするのは初めてだ( 図)。欧 州では、すでにDaimler Chrysler 社が「Mercedes-Benz AClass 」や「同CClass」への適用を明らかにしているほか、フランスRenault 社も車両1台分を 評価できるフルビークルHILSの設備を備えているという。 http://techon.nikkeibp.co.jp/article/HONSHI/20070726/136797/ 2008/1/20 IPAの活動(2012年度) 上流品質技術 部会 統合システム モデリング技WG 消費者機械 安全標準化PT 厳密な仕様記 述WG 2012年度体制 人材育成WG 身近な統合システムモデリング Model Based Systems Engineering トヨタの新型「プリウス」、制御の切り替 え時に油圧ブレーキの制動力が弱くなる 問題が指摘されているのは、ブレーキをかけ ながら滑りやすい路面に入ったときだ。それま では、回生ブレーキと油圧ブレーキが作動し ているが、滑りやすい路面に入ると、タイヤを ロックさせないで制動力を生み出すために、シ ステムはABSの機能を介入させる。ABSは、ス リップを検出するとブレーキの油圧を低下させ、 タイヤのグリップを回復させることで路面との 間に摩擦力を維持する役割を持つ。ABSを作 動させることで、タイヤがロックした状態で減 速するよりも短距離で停止できる効果がある。 ただし、ABSを作動させるには油圧がかかって いることが前提であるため、プリウスではABS の作動時に回生ブレーキは使わない設定に なっている。 http://techon.nikkeibp.co.jp/article/NEWS/20100206/180003/ 2010/2/8 トヨタ電子スロットル問題 トヨタの電子スロットル制御システムには、多くの センサーによる幾重(いくえ)ものフェールセーフシ ステムが組み込まれております。フェールセーフと は、システムに問題が発生した場合、安全な方向 に動くという考え方です。電子スロットル制御シス テムに万が一、何らかのシステム異常が発生した 場合でも、アイドリング、もしくはエンジンストップな どの状態に戻るよう制御されています。 「決して加速の方向に動くものではない」ということ を、非常に厳しい電磁波、振動などの環境下にお いて確認しております。 http://www.toyota.co.jp/announcement/100217address.html 29 消費者機械 30 OMGへの提言 1. ISO26262のメタモデル表現 ① ① 2. MD*とMB*の統合 ① ② 3. 素早い繰り返し、入念な擦り合わせ、現地現物をどのように 組み込むかを明確にし、方向のコンセンサスを形成する。 想定外の管理(素早い繰り返し)プロセスの明確化 Multi-physics modelingをOMGの活動領域とすること MD*とMB*の統合 ソフトウェアへの物理と数学の導入 ① ② 離散事象系と連続事象系の明確化 振る舞いモデル表現 31 【ET West】トヨタ自動車、自動車やサービ ス・ロボットの安全規格をOMGで提言へ トヨタ自動車は、2011年6月16~17日に大阪で開催された組み込み技 術関連の展示会「Embedded Technology West 2011」で講演し、今後、自 動車やサービス・ロボットなど消費者が直接接触するタイプの機械製品 の安全規格について、ソフトウエア関連の標準化団体であるOMGでの 標準化を目指すことを明らかにした。2011年6月22日に米国ソルトレー クシティで開催されるOMGのTechnical Meetingにおいて同社の制御技 術者が講演し、標準化活動の開始を呼びかける。 OMGで開催するイベントは「Seminar on Systems Assurance & Safety for Consumer Devices: Automotive, Robotic & Building Automation Systems of the Future」である。OMGにおけるシステム・アシュアランス(Systems Assurance)のTask Forceと関連させる形で開催する。当日はトヨタ自動車 に加えて、産業技術総合研究所でサービス・ロボットの安全性を手掛け る研究者なども講演する。 http://techon.nikkeibp.co.jp/article/NEWS/20110617/192692/ 2011/6/22 トヨタ自動車、自動車やサービス・ロボットの 安全規格をOMGで提言へ 33 STUXNET Server Internet, DVD Engineering Tool Personal Computer Operating System USB, RS-232C, Control Net Controller Safety Function Control Function ■Stuxnetの特徴 Stuxnet の標的は、「独シーメンス社の SIMATIC WinCC とSIMATEC PCS 7 制御されている制御システム」である。 SIMATIC WinCC とは、PLCの制御用PC向けのPCであり、シーメンス社製の PLC(Programmable Logic Controller)の S7 シリーズの制御PCに使用され ることが多い。 SIMATIC PCS 7とは、 SIMATEC WinCC の可視化ソフトウェア、STEP 7 設 定ソフトウェアを統合ソリューションの総称である。 SIMATIC WinCC の画面イメージ S7シリーズの PLC SIMATIC STEP 7 の画面イメージ Control System Security Center Established in March 2012 By 30 May 2013 36 テストベッド( CSS-Base6 )概要 東北多賀城本部(TTHQ) 多賀城 東京お台場 東京研究センター (TRC) http://www.css-center.or.jp/ 「正義のハッカー」養成 サイバー模 擬攻防、宮城に施設 サイバー攻撃が急拡大する中、官民が連携して ウイルスの侵入から企業や組織を守る「正義のハッ カー」の養成に乗り出した。5月28日には宮城県多 賀城市に工場や発電所の制御システムを守るハッ カー養成施設を開設し、全国の主要都市では400人 が参加するハッカーの技術コンテストを開催、千葉 でも若手を養成する合宿を実施する。「マイナン バー」制度の導入もあり、ハッカー養成が急務となり そうだ。 ■工場やプラントも標的 「サイバー攻撃に対抗できる技術を開発し、安心 できる防御と認証の仕組みをつくる」。技術研究組 合制御システムセキュリティセンターの新誠一理事 長は28日の開所式で力強くあいさつした。新設され たのは、日本初のサイバー攻撃の模擬攻防施設だ。 技術者は攻撃を体験することでシステムの弱点を 知り、防御に生かす。 http://www.nikkei.com/article/DGXNASDD280HT_Y3A520C1XX1000/ 2013/6/4 プリウスなどのハッキング「指南書」、 米専門家が公開へ [ボストン 28日 ロイター] - 米政府の助成を受けて車のセキュリティーシステムにつ いて研究している専門家2人が、トヨタの「プリウス」などのハッキング方法を発見し、 注意喚起を目的にその「指南書」を近く公開することになった。 ツイッターの研究者チャーリー・ミラー氏とセキュリティーコンサルタント会社IOActive のクリス・バラセク氏は、プリウスのほかフォードの「エスケープ」の重要なシステムを 攻撃するための技術文書を作成。ロサンゼルスで今週開かれる、ハッカーやセキュリ ティー関係者らのイベント「デフコン」で、これらの車種をハッキングするためのソフトも 披露する。 ミラー氏らによると、プリウスについては時速約130キロで走行中に急ブレーキをか けたり、運転手の意思とは関係なくハンドルを動かしたりできたほか、エスケープは低 速走行中にブレーキが利かないようにすることができたという。 ただハッキング中は、2人とも車内からノートパソコンを使って直接車のネットワークに 侵入していたため、遠隔操作の方法が明らかになるわけではない。 2人は、今回のデータ公表をきっかけに、他の良心的なハッカーも車のセキュリティ面 の欠陥を指摘できるようになれば良いと語った。 2013年 07月 29日 14:09 JST http://jp.reuters.com/article/jpUSpolitics/idJPTYE96S04820130729 知識,ソフト→メカニズム化 モデル化 メカニズム化 x Ax Bu y Cx 自動生成 コーディング ソフトウェアをメカニズムへ 認証 第一人者 俺は正しい 第二人者. 検査しましょう. 第三人者. 貴方を認めよう. 【第5回】EDSAの認証プログラム http://techon.nikkeibp.co.jp/article/FEATURE/20130130/263302/?ST=embedded&P=5 2013/5/22 評価認証・標準化委員会 主たる担当機関:アズビル、NRIセキュア、 東芝、東芝ソリューション、 日立、富士電機、横河、電通大、倉敷芸術科学大、AIST、IPA、(事務局)MRI 目標:制御システムのセキュリティに関する評価認証の国際相互認証のスキーム確立、及び標準化活動の実施 今後の取組みについては下記の線表を予定。 委員会活動線表(評価認証) 2013 2012.7 CSSC <国際相互認証スキーム> <研究成果の活用> <国内認証試行 > ISCI認証と同等の基準で 国内向けの認証(試行)を実施 委員会活動線表(標準化) 2014.3 ISCIに準拠した相互 認証のスキーム確立 国内CSSC 研究成果の反映 CSSCウェブサイト抜粋 44 専用ツール GPS試験ツール ネットワーク試験ツール CSMS http://www.isms.jipdec.or.jp/csms/2013/koubo/csms_koubo.html 2013/5/22 ■Stuxnetの攻撃手順 ②独シーメンス社製遠 システムの脆弱性を利 隔監視ソフトウェア 用することにより、権限 (SIMATIC WinCC or 昇格や、情報システム SIMATIC PCS 7) の脆弱 環境内部でウイルスの 性を悪用して、SQL コマ 拡散などを実行 ンド経由で SIMATIC WinCC あるいは、 SIMATIC PCS 7 の稼働 する Windows システム に感染 ① WORM_STUXNET ウィルスに感染した USBメモリ ② SIMATIC WinCC 1 ①USBメモリ等の外部記録媒 体を経由して、スタックスネット のウィルスがウィンドウズOSに 感染。 独シーメンス社製ソフトウェ ③独シーメンス社製エ ア (SIMATIC STEP 7) を悪用 ンジニアリングツール して、PLC (プログラマブルロ ジックコントローラ) (SIMATIC STEPに悪質な 7) を コードの書き込み 悪用して、PLC (プログ ② ③ SIMATIC STEP 7 2 SIMATIC PCS 7 3 ラマブルロジックコント ローラ) に悪質なコード の書き込み ③ ③ PLC 6ES7-417 PLC 6ES7-315-2 ④ ④制御システム上にある装置 に対する攻撃の実行 1 SIMATIC WinCCは、 PC ベースのオペレータコントロールおよびモニタリングシステムな どの機能をもつSCADAソフトウェア。 2 SIMATIC STEP 7は、プログラミングだけでなくパラメータ設定・構成などの機能をもつソフ トウエア。 3 SIMATIC PCS7は、プロセス制御システム。 47 ソフトウェア安全解析 • 対象ソフトウェアの制御出力を不安全にする欠陥(fault)が対 策されるか確認 – faultは部品故障、あるいは、制御対象の論理的な不整合など – faultの影響を対策するセーフティーメカニズム(SM)が機能するこ とを確認 制御ソフトウェア 基本制御 failure fault SM (検出/処置) SMでfaultの影響を対策し 制御出力の不安全を回避 SMの不備(抜け漏れ、失陥)がないか制御ソフトウェアを解析 安全解析手法 手法 説明 HAZOP (Hazard and Operability Study) 設計意図からの逸脱によるハザードを明示する 手法 FTA (Fault Tree Analysis) ハザードの発生原因を上位から下位へ論理展 開し因果関係を明示する手法 FMEA (Failure Mode and Effects Analysis) 構成部品の故障モード(failure mode)から上位 構成部品への影響を明示する手法 Copyright© 2012 OTSL Inc. All rights reserved. HAZOP • HAZOP でハザードを洗い出す – 制御出力とガイドワードで期待値からのずれを想定/解析しハザードを 導出 – 安全要求はハザードに対処するためのソフトウェア要求 – ハザードを網羅的に導出し、安全要求の不備をなくす 安全要求の不備によるSMの抜け漏れを確認/回避 ※ISO 26262におけるハザードはコンセプトフェーズのハザード解析で導出 制御出力 アクチュエータ 駆動力 設計意図と異なる挙動 期待値からの逸脱状態 (ガイドワード) シチュエーション ハザード 不作動 通常運転時 意図しない制御停止 勝手に作動 通常運転時 勝手に駆動制御 過大 通常運転時 意図より過大な駆動制御 過小 通常運転時 意図より過小な駆動制御 … … … 適切なガイドワードの列挙が網羅的なハザード導出のポイント Copyright© 2012 OTSL Inc. All rights reserved. ソフトウェアのFTA • データフローからソフトウェアFTAを実施 – データフローの構成要素のどこがどうなると望ましくない結果に至るか 解析 – ソフトウェアの事象は発生確率を規定できないので、定性解析を行う FT図 データフロー 入力1 入力2 制御量 算出 <SC001> SM … 上限値 算出 <SC002> ACT制御量が過大になる 指令値が過大 制御量 制御量が過大 上限 処理 <SC003> 上限値 上限値が 過大 指令値 ACT 制御量を過大 にする入力 入力1が 過大 制御量 演算ミス 入力2が 過小 上限値を過大 にする入力 上限処理 演算ミス 上限値 演算ミス … Copyright© 2012 OTSL Inc. All rights reserved. ソフトウェアのFMEA • 全ソフトウェアコンポーネントのSMに対する影響(侵害可能性)を解 析 – あるソフトウェアコンポーネントの故障モードがSMのソフトウェアコン ポーネントに影響するか総当たりで確認 – ソフトウェアコンポーネントの故障率は見積もれないので影響の有無を 解析 – 例えば、コンポーネントのミスで壊したメモリの値がSMコンポーネントの 利用する値だったなど、リソースを介したカスケード故障の影響を解析 ソフトウェア コンポーネント 制御量算出 <SC001> 上限値算出 <SC002> 故障モード 要因 出力過大 SMの侵害可能性 処置 SC002 SC003 ソフトウェア ハードウェア プログラムミス - - - - 出力過小 プログラムミス - - - - 遅延 想定外割り込み 1 1 ディスパッチ 外部監視 不正アクセス プログラムミス 1 1 - メモリ管理 実行時エラー プログラムミス 1 1 防衛実装 マイコンリセット 出力過大 プログラムミス - 1 … … … … … … Copyright© 2012 OTSL Inc. All rights reserved. まとめ • • • • • • コンピュータに埋め尽くされた日本 スマホ難民,デジタルデバイド化する消費者 プロも分からないソフトウェア量 文書からモデル 第三者認証 セキュリティも含んだ高信頼化