20220910SSDM

Transcript

1. システム設計と安全設計の視点を接続するための マトリクス型表記法「SSDM」の提案 竹内 芳樹（株式会社レヴィ顧問） 日本システムデザイン学会第3回研究発表大会 1 © 2022 YOSHIKI TAKEUCHI

2. 概要 ➢背景 • 自動運転車、空飛ぶ車、ドローンなど、高度で複雑なシス テムによる便利な社会の実現を期待 • そのようなシステムの安全への関心や要求は高く、安全設 計は今後ますます重要 ➢課題 •

   システムの複雑さが増すほど、目的と安全性を両立させる 設計解の探索はより困難 ➢解決手法の提案 • システムの安全に関わるアーキテクチャ設計を行う方法と してSSDM（System and Safety Design Matrix）という独自の 表記法を提案 2 © 2022 YOSHIKI TAKEUCHI

3. 社会のニーズ 民間航空機 空飛ぶ車 有人宇宙船 自動運転車 無人運転車 自動運行船 無人農機 有人システム 無人システム

   ➢ 新たな便利な有人/無人システムの登場 ➢ 安全性が極めて重要 => 認証制度 ドローン スマートシティ 無人配送車 3 © 2022 YOSHIKI TAKEUCHI

4. メーカー 開発 設計 製造 審査・ 認証 機関 システム課題 1. 複雑なシステムの機能要求と安全性の同時実現

   2. 開発するメーカのみならず、認可する審査機関にとって 安全性設計および検証結果の評価が難しい 3. アーキテクチャが重要だが見え難い 設計情報 機能検証結果 安全解析・検証結果 4 © 2022 YOSHIKI TAKEUCHI

5. 安全設計にVプロセスは必須、だが十分ではない！ 運用 機能 性能 コスト 安全性 ・・・ システムズエンジニアリングの適用 ➢ 安全性も要求の一つ

   理由 ①要求フェーズに全て要求が決まらない ②ハザード解析から要求の洗い出しが必要 ③設計により新たなハザード原因が発生する 5 © 2022 YOSHIKI TAKEUCHI

6. 出展：ARP4754 rev.A 民間航空機の開発の進め方 ➢ 民間航空機の型式認証ではVプロセス内でハザード解析を要求 FHA; Functional Hazard Analysis Aircraft

   FHA Preliminary Aircraft Safety Assessment Aircraft Common Cause Analysis Aircraft Requirements Identification System FHA Preliminary System Safety Assessment System Common Cause Analysis System Requirements Identification 6 © 2022 YOSHIKI TAKEUCHI

7. コンテキスト ダイアグラム システム要求 システム仕様 機能要求 構成品構成 運用要求 ハザード制御 方法設定 構成品仕様

   ハザード識別 ハザード原因 識別(FTA) システム安全 システム設計 安全設計の進め方 課題： ➢ 全体の把握が難しい ➢ イタレーションが多い 7 © 2022 YOSHIKI TAKEUCHI

8. システム設計と安全設計の視点 ➢ 一般的なシステム設計の視点（ビュー）と安全設計の 視点を接続することが必要 機能ビュー 運用ビュー 構成品ビュー 安全解析ビュー システム 8

   © 2022 YOSHIKI TAKEUCHI

9. System & Safety Design Matrix （SSDM) System Safety （システム安全） Computer

   Based Control System Safety Requirements 新たなデザイン手法（SSDM)の提案 Systems Engineering DSM/ MDM DSM: Design Structure Matrix MDM: Multi Domain Matrix システム設計の手法 安全設計の手法 9 © 2022 YOSHIKI TAKEUCHI

10. コンピュータ制御システム(CBCS)の安全性 ⚫ CBCS（ Computer Based Control System）とは • コンピュータによりハザード制御を行っているシステム •

    国際宇宙ステーション（ISS)日本実験棟「きぼう」で適用 ⚫ CBCS安全要求 • ISSの開発に当たりNASAが設定した要求(SSP50038) • コンピュータによりハザードを制御するシステムを構築するに当たり、どのよ うなアーキテクチャで実現するのか、安全設計を行うための要求 • 部品や装置ではなく、システムやサブシステムの設計に適用 ⚫ CBCS安全要求の基本思想 • 安全解析の対象をMWFとMNWFの2つに分類し網羅 ➢ MWF(Must Work Function） 安全を確保するため動作し続ける必要がある機能、冗長性を要求 ➢ MNWF(Must Not Work Function) 安全を確保するため動作してはいけない機能、複数のインヒビット 10 © 2022 YOSHIKI TAKEUCHI

11. SSDMとは 機能 運用状態（モード） 安全要求 機能配分 インタフェース 状態遷移に対する 安全要求 機能に対する安全要求 （MW/MNWの識別）

    ➢ SSDMのフォーマット 構成品 ⚫ 2つのMDMで構成 11 © 2022 YOSHIKI TAKEUCHI

12. OFF状態 地上待機状態 手動飛行中 自動飛行中 フライト・ コントローラ 電源系 モーター/ プロペラ 無線装置

    ＧＰＳ カメラ 画像データ 送信機 ON機能 ENABLE N/A N/A N/A ｘ OFF機能 N/A ENABLE MNW MNW ｘ ｘ 手動＞自動切替え N/A DISABLE ENABLE N/A ｘ ＩＦ ＩＦ x 自動＞手動切替え N/A N/A N/A MW ｘ ＩＦ ＩＦ x 揚力発生機能 N/A ENABLE MW MW ｘ ＩＦ ｘ 姿勢制御機能 N/A N/A MW MW ｘ ＩＦ ｘ 電力供給機能 N/A ENABLE MW MW ＩＦ ｘ 無線通信機能 N/A ENABLE MW MW ＩＦ ＩＦ ｘ ＩＦ 手動操縦機能 N/A ENABLE MW INHIBIT ｘ ＩＦ ＩＦ ｘ 自動操縦機能 N/A N/A DISABLE MW ｘ ＩＦ 自己位置推定 N/A N/A N/A MW ｘ ＩＦ ｘ 画像撮影・保存機能 N/A N/A ENABLE ENABLE ｘ ＩＦ ＩＦ ｘ ｘ 画像データ送信 N/A N/A ENABLE ENABLE ｘ ＩＦ ｘ ｘ 送信機 自動飛行機能 画像撮影機能 ドローン 運用切替機能 運用 機能 基本機能 SSDMの作成例（ドローン） 12 © 2022 YOSHIKI TAKEUCHI

13. OFF状態 地上待機状態 手動飛行中 自動飛行中 フライト・ コントローラ 電源系 モーター/ プロペラ 無線装置

    ＧＰＳ カメラ 画像データ 送信機 ON機能 ENABLE N/A N/A N/A ｘ OFF機能 N/A ENABLE MNW MNW ｘ ｘ 手動＞自動切替え N/A DISABLE ENABLE N/A ｘ ＩＦ ＩＦ x 自動＞手動切替え N/A N/A N/A MW ｘ ＩＦ ＩＦ x 揚力発生機能 N/A ENABLE MW MW ｘ ＩＦ ｘ 姿勢制御機能 N/A N/A MW MW ｘ ＩＦ ｘ 電力供給機能 N/A ENABLE MW MW ＩＦ ｘ 無線通信機能 N/A ENABLE MW MW ＩＦ ＩＦ ｘ ＩＦ 手動操縦機能 N/A ENABLE MW INHIBIT ｘ ＩＦ ＩＦ ｘ 自動操縦機能 N/A N/A DISABLE MW ｘ ＩＦ 自己位置推定 N/A N/A N/A MW ｘ ＩＦ ｘ 画像撮影・保存機能 N/A N/A ENABLE ENABLE ｘ ＩＦ ＩＦ ｘ ｘ 画像データ送信 N/A N/A ENABLE ENABLE ｘ ＩＦ ｘ ｘ 送信機 自動飛行機能 画像撮影機能 ドローン 運用切替機能 運用 機能 基本機能 SSDMの作成例（ドローン） ➢ プロセス：①機能の洗い出し ➁機能の構成品への配分を行う IF: 機能達成を支 援する構成品 X: 機能を配分する 構成品 13 © 2022 YOSHIKI TAKEUCHI

14. OFF 地上待 機 手動 飛行中 自動 飛行中 ENABLE ENABLE ENABLE

    ENABLE ENABLE Must Work DISABLE Must Not Work Must Not Work ➢ プロセス：①運用状態（モード）を定義 ➁運用視点と安全視点から状態遷移を識別 SSDMの作成例（ドローン） ◆運用上の遷移条件： 許可：EABLE、不許可：DISABLE ◆安全上の遷移条件： 必須：Must Work、禁止：Must Not Work 14 © 2022 YOSHIKI TAKEUCHI

15. OFF状態 地上待機状態 手動飛行中 自動飛行中 フライト・ コントローラ 電源系 モーター/ プロペラ 無線装置

    ＧＰＳ カメラ 画像データ 送信機 ON機能 ENABLE N/A N/A N/A ｘ OFF機能 N/A ENABLE MNW MNW ｘ ｘ 手動＞自動切替え N/A DISABLE ENABLE N/A ｘ ＩＦ ＩＦ x 自動＞手動切替え N/A N/A N/A MW ｘ ＩＦ ＩＦ x 揚力発生機能 N/A ENABLE MW MW ｘ ＩＦ ｘ 姿勢制御機能 N/A N/A MW MW ｘ ＩＦ ｘ 電力供給機能 N/A ENABLE MW MW ＩＦ ｘ 無線通信機能 N/A ENABLE MW MW ＩＦ ＩＦ ｘ ＩＦ 手動操縦機能 N/A ENABLE MW INHIBIT ｘ ＩＦ ＩＦ ｘ 自動操縦機能 N/A N/A DISABLE MW ｘ ＩＦ 自己位置推定 N/A N/A N/A MW ｘ ＩＦ ｘ 画像撮影・保存機能 N/A N/A ENABLE ENABLE ｘ ＩＦ ＩＦ ｘ ｘ 画像データ送信 N/A N/A ENABLE ENABLE ｘ ＩＦ ｘ ｘ 送信機 自動飛行機能 画像撮影機能 ドローン 運用切替機能 運用 機能 基本機能 SSDMの作成例（ドローン） ➢ プロセス：➂状態遷移図をSSDM内で表現 手動飛行中および自動飛 行中にOFF機能は、Must Not Work 15 © 2022 YOSHIKI TAKEUCHI

16. Ｍust Not Work （機能が働くことにより墜落に至る機能） Ｍust Work（故障により墜落に至る機能） ドローン墜落 天候 （雷、強風） 操縦ミス

    姿勢制御不良 フラコン 異常 センサ 異常 モーター 異常 揚力不足 モーター 異常 プロペラ 異常 無線機 異常 不意の ＯＦＦ ビル/他機 衝突 HW 異常 電源 異常 HW 異常 電源 異常 ➢ プロセス：①ハザードおよびハザード原因の識別 ➁MWFとMNWFの洗い出し SSDMの作成例（ドローン） 16 © 2022 YOSHIKI TAKEUCHI

17. OFF状態 地上待機状態 手動飛行中 自動飛行中 フライト・ コントローラ 電源系 モーター/ プロペラ 無線装置

    ＧＰＳ カメラ 画像データ 送信機 ON機能 ENABLE N/A N/A N/A ｘ OFF機能 N/A ENABLE MNW MNW ｘ ｘ 手動＞自動切替え N/A DISABLE ENABLE N/A ｘ ＩＦ ＩＦ x 自動＞手動切替え N/A N/A N/A MW ｘ ＩＦ ＩＦ x 揚力発生機能 N/A ENABLE MW MW ｘ ＩＦ ｘ 姿勢制御機能 N/A N/A MW MW ｘ ＩＦ ｘ 電力供給機能 N/A ENABLE MW MW ＩＦ ｘ 無線通信機能 N/A ENABLE MW MW ＩＦ ＩＦ ｘ ＩＦ 手動操縦機能 N/A ENABLE MW INHIBIT ｘ ＩＦ ＩＦ ｘ 自動操縦機能 N/A N/A DISABLE MW ｘ ＩＦ 自己位置推定 N/A N/A N/A MW ｘ ＩＦ ｘ 画像撮影・保存機能 N/A N/A ENABLE ENABLE ｘ ＩＦ ＩＦ ｘ ｘ 画像データ送信 N/A N/A ENABLE ENABLE ｘ ＩＦ ｘ ｘ 送信機 自動飛行機能 画像撮影機能 ドローン 運用切替機能 運用 機能 基本機能 SSDMの作成例（ドローン） ➢ プロセス：➂MWF/MNWFをSSDS内で表現 揚力発生機能は、手動飛 行中および自動飛行中は、 Must Work 17 © 2022 YOSHIKI TAKEUCHI

18. OFF状態 地上待機状態 手動飛行中 自動飛行中 フライト・ コントローラ 電源系 モーター/ プロペラ 無線装置

    ＧＰＳ カメラ 画像データ 送信機 ON機能 ENABLE N/A N/A N/A ｘ OFF機能 N/A ENABLE MNW MNW ｘ ｘ 手動＞自動切替え N/A DISABLE ENABLE N/A ｘ ＩＦ ＩＦ x 自動＞手動切替え N/A N/A N/A MW ｘ ＩＦ ＩＦ x 揚力発生機能 N/A ENABLE MW MW ｘ ＩＦ ｘ 姿勢制御機能 N/A N/A MW MW ｘ ＩＦ ｘ 電力供給機能 N/A ENABLE MW MW ＩＦ ｘ 無線通信機能 N/A ENABLE MW MW ＩＦ ＩＦ ｘ ＩＦ 手動操縦機能 N/A ENABLE MW INHIBIT ｘ ＩＦ ＩＦ ｘ 自動操縦機能 N/A N/A DISABLE MW ｘ ＩＦ 自己位置推定 N/A N/A N/A MW ｘ ＩＦ ｘ 画像撮影・保存機能 N/A N/A ENABLE ENABLE ｘ ＩＦ ＩＦ ｘ ｘ 画像データ送信 N/A N/A ENABLE ENABLE ｘ ＩＦ ｘ ｘ 送信機 自動飛行機能 画像撮影機能 ドローン 運用切替機能 運用 機能 基本機能 SSDMの作成例（ドローン） ➢ プロセス：アーキテクチャの具体化 MNW=> インヒビットする構 成品を識別できる MW＝＞ End-to-Endで安全 設計が必要な構成品 が識別できる 18 © 2022 YOSHIKI TAKEUCHI

19. まとめ ⚫ システム設計で安全に関するアーキテクチャ設計を効率的かつ 確実に進める新たな手法としてSSDMを考案 ⚫ SSDMは、以下の観点で極めて有効な手法である • 機能、運用、構成品、安全の視点からシステムを見える化 • 運用状態（モード）に対応して、働くべき機能（MW)と働いてはなら

    ない機能（MNW)を識別 • 安全に関わるシステム機能と構成品の関係をEnd-to-endで表現 ⚫ 本手法は、特に複雑なシステム、大規模システムに有効 ⚫ 筆者は多数のシステム検討で活用済み 19 © 2022 YOSHIKI TAKEUCHI