ディペンダビリティ保証入門 - 安全分析・MBSE・アシュアランスケースによる統合アプローチ -
システムの「ディペンダビリティ」をどのように確保し,保証し続けるかを体系的に解説
- 発行予定日
- 2026/08/下旬
- 判型
- A5
- ページ数
- 200ページ
- ISBN
- 978-4-339-02959-8
- 内容紹介
- まえがき
- 目次
オープンシステムの安全性や信頼性の確保に対応した「継続的ディペンダビリティ保証モデル」を提示し,本モデルを中心に新旧の安全分析,システム設計,合意形成の手法を解説。巻末の総合演習では,これらの手法を統合的に適用する。
☆発行前情報のため,一部変更となる場合がございます
本書は,複雑化・高度化する現代のシステムの安全性と信頼性を保証するための手法を体系的に解説しています。
自動運転システムをはじめとする現代のシステムは,ソフトウェアとハードウェアが密接に連携し,外部環境とつねに相互作用するオープンシステムです。このようなシステムの安全性を確保することは,従来のシステム以上に困難な課題となっています。本書では,この課題に対応するための手法として,安全・セキュリティ分析,モデルベースシステムズエンジニアリング(MBSE),そしてアシュアランスケースを統合的に解説します。本書では,開発と運用のライフサイクル全体を通じてディペンダビリティを継続的に保証するための枠組みとして「継続的ディペンダビリティ保証モデル」を提示し,このモデルを中心に各手法を体系的に位置づけています。
本書の構成は以下のとおりです。まず1章でディペンダビリティ(総合信頼性)の基礎概念とISO 26262やISO/SAE 21434などの関連する国際規格を紹介します。2章では従来の安全分析手法であるFTAとFMEA,およびセキュリティ分析への応用を解説し,3章ではMITで開発された新しい安全分析手法STAMP/STPAを紹介します。4章ではMBSEによるシステム設計手法を,5章ではGSN記法を用いたアシュアランスケースとD-Case手法による合意形成を解説します。そして6章では,L4自動駐車システム(L4 CPP)を題材に,これらの手法を統合的に適用する総合演習を行います。7章では,本書全体のまとめとして各手法の位置づけと使い分け,安全性とセキュリティの統合,今後の展望について述べます。
本書が扱う分野は,大学の教育課程に十分に組み込まれていませんが,自動車産業をはじめとする安全性が重要な分野では必須の知識です。本書を通じて,これらの手法を習得し,安全で信頼性の高いシステムの開発に役立てていただければ幸いです。
本書の内容の多くは,2006年に開始されたJST CREST研究領域「実用化を目指した組込みシステム用ディペンダブル・オペレーティングシステム」(DEOSプロジェクト,研究総括:所眞理雄先生)に端を発しています。DEOSプロジェクトでは,変化し続けるオープンシステムのディペンダビリティをいかに確保するかという課題に取り組み,オープンシステムディペンダビリティ(OSD)の概念,DEOSプロセスとアーキテクチャ,そしてアシュアランスケースによるステークホルダー間の合意形成手法であるD-Caseが生み出されました。これらの成果は,2018年に国際規格IEC 62853(Open Systems Dependability)として結実しています。
著者らは2009年頃よりこのプロジェクトに参加し,D-Caseの研究を通じてディペンダビリティ保証の考え方を深めてきました。本書で提示した継続的ディペンダビリティ保証モデルも,DEOSプロジェクトで培われた知見を基盤としています。DEOSプロジェクトの関係者の皆様に深く感謝いたします。
2026年7月
松野裕,高井利憲,岡本圭史
執筆分担
松野 裕 1,2,5,6章,7章
高井利憲 4,6章
岡本圭史 3章
☆発行前情報のため,一部変更となる場合がございます
1.ディペンダビリティの基礎
1.1 システムのディペンダビリティ:基礎概念と現代的課題
1.1.1 システムとは何か
1.1.2 ディペンダビリティの概念
1.2 ディペンダビリティの体系と用語
1.2.1 ディペンダビリティ属性
1.2.2 ディペンダビリティへの脅威
1.2.3 ディペンダビリティへの脅威に対処する手段
1.2.4 関連する国際規格
1.3 現代のシステムとディペンダビリティの課題
1.3.1 本書のアプローチ:継続的ディペンダビリティ保証モデル
1.4 本書の構成と各章の関係
1.4.1 各章の概要
1.4.2 手法間の関係
引用・参考文献
2.安全分析の基本手法:FTAとFMEA
2.1 FTA
2.1.1 FTAの概要と目的
2.1.2 FT図の作成
2.1.3 FT図で定性的に解析する
2.1.4 FTA実施上の留意点
2.1.5 身の回りの事象のFT図
2.2 FMEA
2.2.1 実施のタイミングと目的
2.2.2 FMEAでの主要なプロセス
2.2.3 設計FMEAの効果的な実施
2.2.4 故障モードの抽出法
2.2.5 評価結果の判断について
2.2.6 新しいFMEA手法:AIAG-VDA FMEA
2.2.7 FMEAの実践例:設計FMEA
2.3 ソフトウェアへのFTA・FMEAの適用
2.3.1 ソフトウェアへの適用における課題
2.3.2 ソフトウェアFTAの実践
2.3.3 ソフトウェアFMEAの実践
2.4 セキュリティ分析への応用
2.4.1 Attack Tree
2.4.2 TARA
2.5 本章のまとめ
2.5.1 従来手法の限界と次章への展望
引用・参考文献
3.安全分析手法STAMP/STPA
3.1 STAMPの概要
3.2 STPA
3.2.1 STPAの手順
3.2.2 Step 1:分析目的の定義
3.2.3 Step 2:安全制御構造図のモデル化
3.2.4 Step 3:非安全なコントロールアクションの識別
3.2.5 Step 4:ロスシナリオの識別
3.3 脅威分析手法STPA-Sec
3.3.1 STPA-Sec Step 1
3.3.2 STPA-Sec Step 2
3.3.3 STPA-Sec Step 3
3.3.4 STPA-Sec Step 4
3.3.5 ウォーゲーム
3.4 事例:自動車へのSTPAの適用
3.4.1 Step 1:分析目的の定義(自動車規格対応)
3.4.2 Step 2:安全制御構造図のモデル化(自動車規格対応)
3.4.3 Step 3:非安全なコントロールアクションの識別(自動車規格対応)
3.4.4 Step 4:ロスシナリオの識別(自動車規格対応)
3.5 本章のまとめ
引用・参考文献
4.モデルベースシステムズエンジニアリング(MBSE)
4.1 システムズエンジニアリングの基礎
4.1.1 システムズエンジニアリングとは
4.1.2 実例でみるシステムズエンジニアリングの役割
4.2 MBSE
4.2.1 MBSEの概念
4.2.2 システムズエンジニアリングのためのモデリング言語SysML
4.2.3 モデルの種類の例
4.2.4 SysMLによる概念の共有
4.3 事例:巨大ショッピングセンターの駐車場
4.3.1 システムズエンジニアリング活動の計画
4.3.2 課題定義
4.3.3 モデルの評価
4.3.4 本節のまとめ
引用・参考文献
5.アシュアランスケースとD-Caseによる合意形成
5.1 はじめに
5.2 アシュアランスケースの概要
5.2.1 背景と登場の経緯
5.2.2 アシュアランスケースの定義と基本構造
5.2.3 日本国内におけるアシュアランスケース導入の動き
5.3 GSNによるアシュアランスケースの可視化
5.3.1 GSN Community Standardとは
5.3.2 GSNコア要素
5.3.3 リンク(矢印)による論証構造
5.3.4 GSN Community Standardにおける拡張と実践的ガイドライン
5.3.5 GSNを用いたアシュアランスケース作成の効果と留意点
5.3.6 本節のまとめ
5.4 D-Caseによる合意形成
5.4.1 D-Caseの概要
5.4.2 D-Caseステップ
5.4.3 D-Caseステップの事例:テスト戦略の合意
5.4.4 D-Caseステップの事例:ETロボコンへの適用
5.4.5 D-Caseの活用ポイントと留意点
5.4.6 本節のまとめ
5.5 自動運転へのGSN適用事例
5.5.1 背景:オープンシステムとしての自動運転
5.5.2 事例概要:塩尻市での実証実験
5.5.3 トップレベルのアシュアランスケース構造
5.5.4 ハザード分析(GSNモジュールM2)
5.5.5 安全距離の定義
5.5.6 妥当性確認のGSN(モジュールM4)
5.5.7 モニタリングシステムとの連携
5.5.8 本事例から得られた知見
5.6 D-Caseを用いた合意形成の評価手法
5.6.1 背景:ステークホルダーとの合意形成の課題
5.6.2 事例概要:TIER IVによるレベル4実証実験
5.6.3 合意形成プロセスの概要
5.6.4 GSNモデルの構造
5.6.5 Safety Status Report(安全性現状報告書)
5.6.6 アンケートによる合意度評価
5.6.7 Consensus Score(合意度スコア)
5.6.8 従来のCAMとの比較
5.6.9 本事例から得られた知見
5.7 まとめと今後の課題
引用・参考文献
6.総合演習:自動運転システムの安全性分析と保証
6.1 演習の概要
6.1.1 対象システム
6.1.2 想定シナリオ
6.1.3 システム構成要素
6.1.4 演習の全体像
6.1.5 関連する国際規格
6.1.6 手法間の受け渡し対応表
6.2 演習1:従来手法による安全分析(FTA・FMEA)
6.2.1 FTAによるハザード分析
6.2.2 FMEAによる故障モード分析
6.2.3 従来手法の限界についての考察
6.3 演習2:STAMP/STPAによる安全分析
6.3.1 ロス・ハザード・安全制約の識別
6.3.2 安全制御構造図の作成
6.3.3 非安全制御動作(UCA)の識別
6.3.4 ロスシナリオの識別
6.3.5 FTA/FMEAとの比較
6.4 演習3:セキュリティ分析
6.4.1 Attack Treeによる脅威分析
6.4.2 TARA(ISO/SAE 21434準拠)
6.4.3 安全性・セキュリティ統合分析
6.5 演習4:MBSEによるアーキテクチャ設計
6.5.1 ステークホルダーと関心事の識別
6.5.2 ビューとオントロジーの定義
6.5.3 オントロジーの定義
6.5.4 ビューの記述
6.6 演習5:アシュアランスケースによる保証
6.6.1 トップゴールと前提の設定
6.6.2 サブゴールへの分割
6.6.3 GSN図の作成
6.6.4 D-Case手法による合意形成
6.7 総合課題:レポート作成
6.7.1 分析結果の統合
6.7.2 ディペンダビリティ特性の評価
6.7.3 国際規格への適合性
6.8 本章のまとめ
7.まとめと今後の展望
7.1 本書の振り返り
7.1.1 ディペンダビリティの基礎(1章)
7.1.2 安全分析の基本手法:FTAとFMEA(2章)
7.1.3 安全分析手法STAMP/STPA(3章)
7.1.4 モデルベースシステムズエンジニアリング(MBSE)(4章)
7.1.5 アシュアランスケースとD-Caseによる合意形成(5章)
7.1.6 総合演習(6章)
7.2 各手法の位置づけと使い分け
7.3 安全性とセキュリティの統合
7.4 今後の展望
7.4.1 AIシステムとディペンダビリティ
7.4.2 運用中の継続的保証
7.4.3 規制の動向と人材育成
7.5 実務への適用に向けて
7.6 おわりに
引用・参考文献
付録:略語・用語集
総合演習解答例
演習1:従来手法による安全分析(FTA・FMEA)
課題1-1解答例:FT図の作成
課題1-2解答例:最小カット集合の導出
課題1-3解答例:FMEAワークシート記入例
課題1-4解答例:従来手法の限界についての考察
演習2:STAMP/STPAによる安全分析
課題2-1解答例:ロス・ハザード・安全制約の識別
課題2-2解答例:制御構造図のモデル化
課題2-3解答例:UCA表の作成
課題2-4解答例:ロスシナリオの作成
課題2-5解答例:FTA/FMEAとSTPAの比較考察
演習3:セキュリティ分析
課題3-1解答例:Attack Treeの作成
課題3-2解答例:脅威分析とリスク評価(TARA)
課題3-3解答例:安全性・セキュリティ統合分析の考察
演習4:MBSEによるアーキテクチャ設計
課題4-1解答例:ステークホルダー分析
課題4-2解答例:ビューポイントとビューの定義
課題4-3解答例:オントロジーの作成
課題4-4解答例:ビューの記述
演習5:アシュアランスケースによる保証
課題5-1解答例:トップゴールの設定
課題5-2解答例:分割戦略の選択
課題5-3解答例:GSN図の作成
課題5-4解答例:ステークホルダー間の合意形成
総合課題
総合レポート解答例(要約)
ディペンダビリティ特性の評価解答例(要約)
国際規格への適合性解答例(要約)
索引








