2. D-Caseの必要性

 ディペンダビリティとは,「アベイラビリティ(可用性) 性能及びこれに影響を与える要因, すなわち信頼性性能,保全性性能及び保全支援能力を記述するために用いられる包括的な用語である」 と,JIS Z8115 (2000) で定義されています。 また、Avizienis らはシステムのディペンダビリティを以下の5特性で定義しています。

  • 可用性: 正しいサービスを提供できること
  • 信頼性: 正しいサービスを持続できること
  • 安全性: ユーザと環境に破滅的な事態を生じさせないこと
  • 一貫性: 不適切な変更がないこと
  • 保守性: 修理・修正できる能力

 Jackson は,ディパンダブル・システムのソフトウェアには,明示的主張(Explicit claims),証拠(Evidence),知識(Expertise) の3つが必要であると指摘しています。 この理由は,システムがディペンダブルであるというためには具体的な性質を明示的に主張することと, ディペンダビリティの主張を支持する証拠を提示する必要があるからです。システムが実行条件下で重要なディペンダビリティ要求を満足することを示すために、 ディペンダビリティケース(D-Case) が必要となります。


以下ではD-Case の必要性を規格からの要請、用途、期待効果の観点から説明します。

1. 規格からの要請

ISO 26262 は自動車の電気/電子に関する機能安全についての国際規格です。Part10 では, 機能安全についてのガイドラインが説明されています。 このガイドラインの5.3 節「安全性ケースについて理解する」で,安全性ケースの表記法として, GSN とCAE(Claims-Argument- Evidence)*3が紹介されています。このガイドラインでは, 開発対象システムとしてのプロダクトについてだけではなく,システム開発やアセスメントのプロセスについても安全性ケースが必要だと指摘しています。

2. 用途

環境と相互作用するシステムや製品が持つ不確実性やリスクに対してシステムや製品が望ましい性質を持ち,危険な状況に陥らないことを確認できます。 また,システムや製品の開発プロセスにおける計画や,生産物,人間活動,意思決定などに対する合意形成の結果を記録します。 主張に含まれる不確実性を関係者が許容できるかどうかをD-Case の作成を通じて議論します。 したがって,D-Case を作成した結果にも,主張が持つ性質の影響度とその不確実性を反映することになります。

3. 期待効果

D-Case の効果を列挙すると次のようになります。

  • 主張するサービス水準を提供できることを示すエビデンスを提供できます
  • システム異常の検出と修正を早期化できます
  • 開発・運用プロセスと生産物のリスクに対する客観的な管理を推進できます
  • システムのディペンダビリティの影響評価を早期化できます
  • システム要求の充足性に対して,客観的なエビデンスに基づく確認プロセスを提供できます
  • システム開発・運用プロセスを統合的に確認することによりプロセス改善を推進できます

 システム開発・運用プロセスに対するD-Case の構成例を図3 に示します。 D-Case を用いたディペンダブルな開発・運用プロセスと,現状の開発・運用プロセスを比較すると,図4 のようになります。 現状でも開発運用文書を用いてシステム開発や運用を効率化しています。 しかしこれらの開発運用文書では,ディペンダビリティについての主張や,主張が成立することを示す明示的な証跡がありません。 このため,システム障害やシステム改善を実施する上での活動が妥当であることを示すことが困難です。 これに対してD-Case を用いた開発運用プロセスでは,システムのディペンダビリティに対する主張,前提,証拠が明示的に記録されているので, 主張が成立することを客観的に論証できます。このため,システム障害やシステム改善の際にD-Case を活用することができ, 迅速な障害対応やシステム改善の妥当性を容易に確認できます。