Slide 1
Slide 1 text
システム設計と安全設計の視点を接続するための
マトリクス型表記法「SSDM」の提案
竹内 芳樹(株式会社レヴィ顧問)
日本システムデザイン学会第3回研究発表大会
1
© 2022 YOSHIKI TAKEUCHI
Slide 2
Slide 2 text
概要
➢背景
• 自動運転車、空飛ぶ車、ドローンなど、高度で複雑なシス
テムによる便利な社会の実現を期待
• そのようなシステムの安全への関心や要求は高く、安全設
計は今後ますます重要
➢課題
• システムの複雑さが増すほど、目的と安全性を両立させる
設計解の探索はより困難
➢解決手法の提案
• システムの安全に関わるアーキテクチャ設計を行う方法と
してSSDM(System and Safety Design Matrix)という独自の
表記法を提案
2
© 2022 YOSHIKI TAKEUCHI
Slide 3
Slide 3 text
社会のニーズ
民間航空機
空飛ぶ車
有人宇宙船
自動運転車
無人運転車
自動運行船
無人農機
有人システム 無人システム
➢ 新たな便利な有人/無人システムの登場
➢ 安全性が極めて重要 => 認証制度
ドローン
スマートシティ
無人配送車
3
© 2022 YOSHIKI TAKEUCHI
Slide 4
Slide 4 text
メーカー
開発
設計
製造
審査・
認証
機関
システム課題
1. 複雑なシステムの機能要求と安全性の同時実現
2. 開発するメーカのみならず、認可する審査機関にとって
安全性設計および検証結果の評価が難しい
3. アーキテクチャが重要だが見え難い
設計情報
機能検証結果
安全解析・検証結果
4
© 2022 YOSHIKI TAKEUCHI
Slide 5
Slide 5 text
安全設計にVプロセスは必須、だが十分ではない!
運用
機能
性能
コスト
安全性 ・・・
システムズエンジニアリングの適用
➢ 安全性も要求の一つ
理由 ①要求フェーズに全て要求が決まらない
②ハザード解析から要求の洗い出しが必要
③設計により新たなハザード原因が発生する
5
© 2022 YOSHIKI TAKEUCHI
Slide 6
Slide 6 text
出展:ARP4754 rev.A
民間航空機の開発の進め方
➢ 民間航空機の型式認証ではVプロセス内でハザード解析を要求
FHA; Functional Hazard Analysis
Aircraft FHA
Preliminary Aircraft
Safety Assessment
Aircraft Common
Cause Analysis
Aircraft
Requirements
Identification
System FHA
Preliminary System
Safety Assessment
System Common
Cause Analysis
System
Requirements
Identification
6
© 2022 YOSHIKI TAKEUCHI
Slide 7
Slide 7 text
コンテキスト
ダイアグラム
システム要求
システム仕様
機能要求
構成品構成
運用要求
ハザード制御
方法設定
構成品仕様
ハザード識別
ハザード原因
識別(FTA)
システム安全
システム設計
安全設計の進め方
課題:
➢ 全体の把握が難しい
➢ イタレーションが多い
7
© 2022 YOSHIKI TAKEUCHI
Slide 8
Slide 8 text
システム設計と安全設計の視点
➢ 一般的なシステム設計の視点(ビュー)と安全設計の
視点を接続することが必要
機能ビュー
運用ビュー
構成品ビュー
安全解析ビュー
システム
8
© 2022 YOSHIKI TAKEUCHI
Slide 9
Slide 9 text
System &
Safety
Design
Matrix
(SSDM)
System Safety
(システム安全)
Computer Based
Control System
Safety Requirements
新たなデザイン手法(SSDM)の提案
Systems
Engineering
DSM/
MDM
DSM: Design Structure Matrix
MDM: Multi Domain Matrix
システム設計の手法 安全設計の手法
9
© 2022 YOSHIKI TAKEUCHI
Slide 10
Slide 10 text
コンピュータ制御システム(CBCS)の安全性
⚫ CBCS( Computer Based Control System)とは
• コンピュータによりハザード制御を行っているシステム
• 国際宇宙ステーション(ISS)日本実験棟「きぼう」で適用
⚫ CBCS安全要求
• ISSの開発に当たりNASAが設定した要求(SSP50038)
• コンピュータによりハザードを制御するシステムを構築するに当たり、どのよ
うなアーキテクチャで実現するのか、安全設計を行うための要求
• 部品や装置ではなく、システムやサブシステムの設計に適用
⚫ CBCS安全要求の基本思想
• 安全解析の対象をMWFとMNWFの2つに分類し網羅
➢ MWF(Must Work Function)
安全を確保するため動作し続ける必要がある機能、冗長性を要求
➢ MNWF(Must Not Work Function)
安全を確保するため動作してはいけない機能、複数のインヒビット
10
© 2022 YOSHIKI TAKEUCHI
Slide 11
Slide 11 text
SSDMとは
機能
運用状態(モード)
安全要求
機能配分
インタフェース
状態遷移に対する
安全要求
機能に対する安全要求
(MW/MNWの識別)
➢ SSDMのフォーマット
構成品
⚫ 2つのMDMで構成
11
© 2022 YOSHIKI TAKEUCHI
Slide 12
Slide 12 text
OFF状態 地上待機状態 手動飛行中 自動飛行中
フライト・
コントローラ
電源系
モーター/
プロペラ
無線装置 GPS カメラ
画像データ
送信機
ON機能 ENABLE N/A N/A N/A x
OFF機能 N/A ENABLE MNW MNW x x
手動>自動切替え N/A DISABLE ENABLE N/A x IF IF x
自動>手動切替え N/A N/A N/A MW x IF IF x
揚力発生機能 N/A ENABLE MW MW x IF x
姿勢制御機能 N/A N/A MW MW x IF x
電力供給機能 N/A ENABLE MW MW IF x
無線通信機能 N/A ENABLE MW MW IF IF x IF
手動操縦機能 N/A ENABLE MW INHIBIT x IF IF x
自動操縦機能 N/A N/A DISABLE MW x IF
自己位置推定 N/A N/A N/A MW x IF x
画像撮影・保存機能 N/A N/A ENABLE ENABLE x IF IF x x
画像データ送信 N/A N/A ENABLE ENABLE x IF x x
送信機
自動飛行機能
画像撮影機能
ドローン
運用切替機能
運用
機能
基本機能
SSDMの作成例(ドローン)
12
© 2022 YOSHIKI TAKEUCHI
Slide 13
Slide 13 text
OFF状態 地上待機状態 手動飛行中 自動飛行中
フライト・
コントローラ
電源系
モーター/
プロペラ
無線装置 GPS カメラ
画像データ
送信機
ON機能 ENABLE N/A N/A N/A x
OFF機能 N/A ENABLE MNW MNW x x
手動>自動切替え N/A DISABLE ENABLE N/A x IF IF x
自動>手動切替え N/A N/A N/A MW x IF IF x
揚力発生機能 N/A ENABLE MW MW x IF x
姿勢制御機能 N/A N/A MW MW x IF x
電力供給機能 N/A ENABLE MW MW IF x
無線通信機能 N/A ENABLE MW MW IF IF x IF
手動操縦機能 N/A ENABLE MW INHIBIT x IF IF x
自動操縦機能 N/A N/A DISABLE MW x IF
自己位置推定 N/A N/A N/A MW x IF x
画像撮影・保存機能 N/A N/A ENABLE ENABLE x IF IF x x
画像データ送信 N/A N/A ENABLE ENABLE x IF x x
送信機
自動飛行機能
画像撮影機能
ドローン
運用切替機能
運用
機能
基本機能
SSDMの作成例(ドローン)
➢ プロセス:①機能の洗い出し
➁機能の構成品への配分を行う
IF: 機能達成を支
援する構成品
X: 機能を配分する
構成品
13
© 2022 YOSHIKI TAKEUCHI
Slide 14
Slide 14 text
OFF
地上待
機
手動
飛行中
自動
飛行中
ENABLE
ENABLE
ENABLE
ENABLE
ENABLE
Must Work
DISABLE
Must Not Work
Must Not Work
➢ プロセス:①運用状態(モード)を定義
➁運用視点と安全視点から状態遷移を識別
SSDMの作成例(ドローン)
◆運用上の遷移条件: 許可:EABLE、不許可:DISABLE
◆安全上の遷移条件: 必須:Must Work、禁止:Must Not Work
14
© 2022 YOSHIKI TAKEUCHI
Slide 15
Slide 15 text
OFF状態 地上待機状態 手動飛行中 自動飛行中
フライト・
コントローラ
電源系
モーター/
プロペラ
無線装置 GPS カメラ
画像データ
送信機
ON機能 ENABLE N/A N/A N/A x
OFF機能 N/A ENABLE MNW MNW x x
手動>自動切替え N/A DISABLE ENABLE N/A x IF IF x
自動>手動切替え N/A N/A N/A MW x IF IF x
揚力発生機能 N/A ENABLE MW MW x IF x
姿勢制御機能 N/A N/A MW MW x IF x
電力供給機能 N/A ENABLE MW MW IF x
無線通信機能 N/A ENABLE MW MW IF IF x IF
手動操縦機能 N/A ENABLE MW INHIBIT x IF IF x
自動操縦機能 N/A N/A DISABLE MW x IF
自己位置推定 N/A N/A N/A MW x IF x
画像撮影・保存機能 N/A N/A ENABLE ENABLE x IF IF x x
画像データ送信 N/A N/A ENABLE ENABLE x IF x x
送信機
自動飛行機能
画像撮影機能
ドローン
運用切替機能
運用
機能
基本機能
SSDMの作成例(ドローン)
➢ プロセス:➂状態遷移図をSSDM内で表現
手動飛行中および自動飛
行中にOFF機能は、Must
Not Work
15
© 2022 YOSHIKI TAKEUCHI
Slide 16
Slide 16 text
Must Not Work
(機能が働くことにより墜落に至る機能)
Must Work(故障により墜落に至る機能)
ドローン墜落
天候
(雷、強風)
操縦ミス
姿勢制御不良
フラコン
異常
センサ
異常
モーター
異常
揚力不足
モーター
異常
プロペラ
異常
無線機
異常
不意の
OFF
ビル/他機
衝突
HW
異常
電源
異常
HW
異常
電源
異常
➢ プロセス:①ハザードおよびハザード原因の識別
➁MWFとMNWFの洗い出し
SSDMの作成例(ドローン)
16
© 2022 YOSHIKI TAKEUCHI
Slide 17
Slide 17 text
OFF状態 地上待機状態 手動飛行中 自動飛行中
フライト・
コントローラ
電源系
モーター/
プロペラ
無線装置 GPS カメラ
画像データ
送信機
ON機能 ENABLE N/A N/A N/A x
OFF機能 N/A ENABLE MNW MNW x x
手動>自動切替え N/A DISABLE ENABLE N/A x IF IF x
自動>手動切替え N/A N/A N/A MW x IF IF x
揚力発生機能 N/A ENABLE MW MW x IF x
姿勢制御機能 N/A N/A MW MW x IF x
電力供給機能 N/A ENABLE MW MW IF x
無線通信機能 N/A ENABLE MW MW IF IF x IF
手動操縦機能 N/A ENABLE MW INHIBIT x IF IF x
自動操縦機能 N/A N/A DISABLE MW x IF
自己位置推定 N/A N/A N/A MW x IF x
画像撮影・保存機能 N/A N/A ENABLE ENABLE x IF IF x x
画像データ送信 N/A N/A ENABLE ENABLE x IF x x
送信機
自動飛行機能
画像撮影機能
ドローン
運用切替機能
運用
機能
基本機能
SSDMの作成例(ドローン)
➢ プロセス:➂MWF/MNWFをSSDS内で表現
揚力発生機能は、手動飛
行中および自動飛行中は、
Must Work
17
© 2022 YOSHIKI TAKEUCHI
Slide 18
Slide 18 text
OFF状態 地上待機状態 手動飛行中 自動飛行中
フライト・
コントローラ
電源系
モーター/
プロペラ
無線装置 GPS カメラ
画像データ
送信機
ON機能 ENABLE N/A N/A N/A x
OFF機能 N/A ENABLE MNW MNW x x
手動>自動切替え N/A DISABLE ENABLE N/A x IF IF x
自動>手動切替え N/A N/A N/A MW x IF IF x
揚力発生機能 N/A ENABLE MW MW x IF x
姿勢制御機能 N/A N/A MW MW x IF x
電力供給機能 N/A ENABLE MW MW IF x
無線通信機能 N/A ENABLE MW MW IF IF x IF
手動操縦機能 N/A ENABLE MW INHIBIT x IF IF x
自動操縦機能 N/A N/A DISABLE MW x IF
自己位置推定 N/A N/A N/A MW x IF x
画像撮影・保存機能 N/A N/A ENABLE ENABLE x IF IF x x
画像データ送信 N/A N/A ENABLE ENABLE x IF x x
送信機
自動飛行機能
画像撮影機能
ドローン
運用切替機能
運用
機能
基本機能
SSDMの作成例(ドローン)
➢ プロセス:アーキテクチャの具体化
MNW=>
インヒビットする構
成品を識別できる
MW=>
End-to-Endで安全
設計が必要な構成品
が識別できる
18
© 2022 YOSHIKI TAKEUCHI
Slide 19
Slide 19 text
まとめ
⚫ システム設計で安全に関するアーキテクチャ設計を効率的かつ
確実に進める新たな手法としてSSDMを考案
⚫ SSDMは、以下の観点で極めて有効な手法である
• 機能、運用、構成品、安全の視点からシステムを見える化
• 運用状態(モード)に対応して、働くべき機能(MW)と働いてはなら
ない機能(MNW)を識別
• 安全に関わるシステム機能と構成品の関係をEnd-to-endで表現
⚫ 本手法は、特に複雑なシステム、大規模システムに有効
⚫ 筆者は多数のシステム検討で活用済み
19
© 2022 YOSHIKI TAKEUCHI