HOME | products | LDRA | LDRA 2010セミナー


IEC61508、DO-178B など
スタンダード準拠に必要なテストの最新動向

連休前にも関わらず、50名弱の方に参加いただきました。 また講師のMike Hennell さんはアイスランドの火山噴火で予定フライトがキャンセルというアクシデントのなか、リバプールよりパリ(電車)->ニース(車)->ローマ(タクシー)と奔走して来日されました。お陰さまで活発に行われた質疑応答を以下に公開しました。

 

 
LDRA テストツールスイートは、IEC61508、DO-178B、178Cで求められる主要なテスト手法を全てサポートし、全ての安全レベルに対応し、35年以上の実績と数百に上るツール認定を有する。例えばDO-178BのレベルAの認証を支援するオブジェクトレベルのカバレッジ解析機能は、IEC61508でも求められるようになっている。そしてトレンドである要件に対するトレーサビリティの自動化支援機能も持つ。またIEC61508などで混乱を招いている形式手法の推奨にも対応している。
そして高信頼性、高安全性のみならず開発効率にも貢献できるツールとして活用されている。
 
DO-178B、IEC61508 は共にプロセス指向で安全性レベルに応じたテストのガイドラインがある。IEC61508 では”形式手法”、”確率論的テスト”、”静的解析”、”動的テストと解析”、”複雑度解析” が主に推奨されるが、規定が曖昧なことが問題となっている。また各手法には得て不得手があるので、組合わせることで欠陥の無いソフトウエア開発が行える。そしてこれらを統合的にサポートする唯一のツールがLDRAであり、DO-178Bの認証用ツールとして数百を超えるツール認定を受けている。今後予定されるDO-178Cでは、要件からテストに至るトレーサビリティがより明確に規定されるようになる方向であるが、これもTBreq にて既にサポートされている。またツール認定を要求しないIEC61508でも、LDRAが提供する認定のためのプロセスが受け入れられている。
 

 

 
<質疑応答>
 
Q1 DO-178B が適用される分野? 
 
A1 AVIONICS(航空電子機器)関連。米国では政府から委任を受けたRTCAにより定められ、法律として扱われている。米国政府が望めば、どの分野でも適応され得る。
 
Q2 false-positve message とは?
 
A2 擬陽性。ツールは欠陥と指摘するが、実際には欠陥でないこと。逆にツールが欠陥がないとレポートしても、実際に欠陥が存在していることを偽陰性(false-negative)という。
 
Q3 MATLAB/Simulink などモデルからのコード自動生成や、そのような開発プロセスと LDRA の連携?
 
A3 これに取り組んでいるDO-178Cのサブコミッティがあり、今年6月の締切に対して6000行程の文章が作成されているが、多くの利害関係者が関わり意見がまとまっていない。ただスタンダードからすれば、コード生成に手動/自動の違いは無い(いずれの場合であってもコードが仕様や設計を満たしていることを証明しなければならない)。ちなみに自動車関連のMISRAガイドラインには、コード自動生成に関する規定がにある。
 
LDRAの多くの顧客はコード自動生成を活用しており、例えば JSF(Joint Strike Fighter)の一部で MATLAB/Simulink や他のツールが使用されていて、その検証にLDRAツールを使用している。 また MathWorks 社も LDRAユーザーである。
 
Q4 CERTのセキュアコーディングについて。目標に流動性があると想像されるが?
 
A4 米国政府は、一連のルールによりソフトウエアへの侵入を防止することを要求している。方法は問わないので、とにかく実現すること。難しいのは、このプロセスが殆ど理解されていないこと。 多くの人が無知であることが大きな課題になっている。
ちなみに CERTスタンダードを満たさなければ将来米国内でソフトウエアを販売できなくなるだろう、とも言われている。
 
Q5 MISRA-C:2011の状況は?2004 との差異?
 
A5 今年中にまとめる予定。MISRA-C:2004 との違いは、180の追加ルール。
 
Q6 米国で法規制によりソフトウエアを販売できなくなる可能性があるという件に関して、例えば自動車など日本から米国に輸出する物に含まれるソフトウエアも対象になるのか?
 
A6 多分そうなると思います。例えば将来、車に対して整備時期を伝えるメッセージが送られるといったものが出てくるとしたら、そのような処理が安全に関わるソフトウエアに影響を及ぼすかもしれない。
DO-178Cの委員会では、セキュリティに関するスタンダードを盛り込む必要があるという議論がなされており、米国政府機関に問い合わせているが、まだ明確な回答はない。飛行中に地上からの通信により航空機システムへ影響が出ないのか? という懸念があり、それを利用したテロリストによる遠隔操作の可能性も考えられる。そのような問題が起こってから責任問題を問われると困るのだが、DO-178C の要件は、セキュリティではなくセーフティ。
懸念は、事が起こってから求められる事項が大きく変わること。そのようなリスクに備えておくことが賢明。
 
Q7 来月に予定されるIEC61508のバージョンアップ は、LDRAの対応に影響するか?対応予定は?
 
A7 これまでスタンダードの変更があると予測し準備をしてきているので、既に対象可能。
 
Q8 形式手法がどのようにLDRAツールで使われているかを見ることは可能か?
 
A8 ツールの深い部分に形式手法が使われており、見せることは難しい。コントロールフローをモデル化して、それぞれのアクションに注釈を付け、そのモデルに対して代数を用いて検出される欠陥を表示する。形式手法が働いていることが確認できるのは、欠陥が見つかった時、あと時間がかかっていれば形式手法が動作しているということ。
Data Flow Analysis Report 内のData Flow Anomalies UR(Undefined Reference) などは形式手法を活用している例。
 
15種類の形式手法が使われている。ソースコードを解析し、内部にデータフローモデルとコントロールフローモデルの二つのモデルを作り、解析を行う。形式手法を用いた結果の多くは、静的解析のプログラミングスタンダードチェックの中に現れる。スタンダードチェックに形式手法を用いるのはLDRAのみである。一部は1984年から使っているが、形式手法は以前に良い評判を持たれていなかったため、その使用には触れてこなかった。
 
Q9 形式手法を使った解析は、SPIN のプロメラのようなものがバックグラウンドで動作しているということか?
 
A9 いいえ。ツールの静的解析の一部として組込まれています。
 
Q10 形式手法は背後で見えない形で動いているということだが、IEC61508での形式検証用のエビデンスはどうするのか?
 
A10 使われている形式手法を説明しているドキュメントがある。(日本語版をご請求ください) またメッセージが何も発生しないということが、欠陥がないという証になる。
 
Q11 認証機関は、そのドキュメントで納得するのか? 
 
A11 いいえ。使用する形式手法の正しさを証明する必要がある。そのためのドキュメントも用意している。採用する形式手法が数学をベースにした正しいものであること、厳密なシンタックスと, セマンティックを使っていることなど。DO-178Cでは形式手法についての基準が既にまとめられている。またLDRAのツールは、実際に多くのプロジェクトで IEC61508の認定もされている。
 
Q12 IEC61508 のどの要件を LDRA ツールは満たしている?
 
A12 LDRAの資料があります。
 
Q13 TBreq と上位ツールとの連携は?
 
A13 Doors など要件管理ツールとの実績は既にある。TBreq は要件管理ツール、バージョン管理ツール 多くの外部ツールと統合できる。また、より洗練されたEmbed-X という包括的なツールも今後リリースする予定。
 
Q14 エアバスとかJSFとかの大きなプロジェクトで実績のある要件管理ツールは?
 
A14 各社で様々なツールが用いられている。エアバスでは部分的にDoorsが使われていると思う。エンブラエル社ではDoorsを積極的に使っている。いずれにせよ TBreq は様々な要件管理ツールに対応している。
 
Q15 TBreq は日本語サポートしているか? Word/Excel の記述形式は規定されるか?
 
A15 はい、日本語をサポートしています。
   Word/Excel の記述形式は、ディフォルト設定では”REQ_x”(xには数字が入る) に続く文言が要件IDとみなされます。既存のドキュメントの形式を利用する場合は "Type Editor"を用いて書式をカスタマイズすることもできます。
 
Q16 LDRA は検証のみならず ソースの修正もできるのか?
 
A16 いいえ。ソースの修正機能は持っていません。LDRAから構成管理ツール、テキストツールなどの統合化はできており、コンパイラ環境との統合も実現しているが、あくまでも検証ツール。
仮にエラーを見つけて修正をするといった機能があれば、そのようなツールはエラーをコードに埋めこむ可能性があるということになるので、ツールのクオリフィケーションは多大な時間を要する難しいものとなる。
 
Q17 静的解析ツール内に独自の制約条件をユーザで追加できるか? 
 
A17 既に様々なクラスの制約条件を持たせている。また Exact Semantic Analysis というユーザー設定条件によるアサーション機能も備わっている。
 
Q18 LDRAツールの国内実績?
 
A18 DENSO様、IHI様 など公開されているケーススタディーがある。DO-178B や IEC61508 など海外ほど多くの実績はまだこれから。
 
Q19 CPU、コンパイラ 対応?
 
A19 あらゆるCPU、コンパイラ、ターゲットに対応。静的解析はソースコードをベースにしているので、C,C++,Java、Ada、アセンブラ(x86) に対応。動的解析は、実行履歴を得るためのプローブ関数をソース内に埋め込み、コンパイル/リンクしたものを実行させた結果をJTAGデバッガーや、ターゲットのシリアル/Etherを使って取得させることで実現する。
 
Q20 ターゲットは必要か?
 
A20 ターゲット有り/無し、いずれもサポート。デモではホスト上のGNUにより実行形式までビルドし、Windowsアプリとして実行していたが、組込み用のインストラクションセットシミュレーターや、実ターゲット上で実行させることも可能。
 
Q21 コールグラフで対応できない呼び出し形式はあるか? 関数ポインタテーブル呼出しやコールバック等は?
 
A21 関数ポインターテーブル、コールバックルーチンはコールグラフ上で関数ブロックとして表現可能。
 
Q22 他社製品比較
 
A22 静的・動的解析の両方を行い、MISRA、CERTなど業界標準を全てカバーし、形式手法を活用する製品は他にない。動的解析ではあらゆるターゲットに対応できること、その制約にも対処できること。例えばカバレッジ測定のためのインストルメントコードが大きくならないような仕組みを持つ。またLDRAほど包括的に様々なレベルのカバレッジメトリクスをカバーしているところもない。さらにLDRAのようなトレーサビリティ機能を提供できる製品は無い。

 


DO-178B、DO-178C、IEC61508、MISRA、CERT などのスタンダードや高信頼性ソフトウエアテストに貢献を続ける Prof. Mike Hennell 氏の来日に合わせて、ソフトウエアテストのセミナーを企画しました。
国際スタンダードとテストの最新情報を得る絶好の機会です。ご多忙中とは存じますが、是非ご参加を賜りたく、以下にご案内申し上げます。

参加費無料(事前登録制 定員80)  逐次通訳有り(質問は日本語でOK


 ◇日時: 2010年4月23日(金) 午後1時30分~5時00分 予定
 ◇会場: 秋葉原コンベンションホール 5F 会場 5A 
 
■内容
 
① IEC 61508, RTCA DO-178B、DO-178C、MISRA、CERT など国際スタンダードの最新情報と、それらの認証取得に必要なテストやツールの最新動向について。
 
 ツールのクアリフィケイションは 高信頼性・安全性ソフトウエアの検証に使用される上で課題となる。LDRA ツールスイートは 1994年に航空機搭載機器ソフトウエアの認証で始めてクアリフィケイションされてから多くの実績を伴って進化を続けている。そこで培われたプロセスは リリースが予定される DO-178C スタンダードにも採りこまれる。
 
② テストツールはフォーマルな開発プロセスに沿って手順どおりに活用されるのが理想的であるが、商用製品ではレガシーなSOUP(Software of Unknown Pedigree)コードを基にした派生・差分開発が現実となっている。そのような状況でもテストツールを実践的に用いれば、レガシーなSOUPコードを目的に適った信頼できるソースコードとして効果的に活用できる。
 
 コストを削減し開発チームの負担を削減するために、静的解析技術と動的解析技術を融合して要件からのトレーサビリティをサポートすることで、ソフトウエア開発ライフサイクルの各種検証作業の自動化を一貫して支援できることを紹介。
 
 - LDRA 概要 (5~10分程度)
 - スタンダードの最新情報とテストツールの支援機能 (2時間 逐次通訳)
 - レガシーなSOUPコード に対する理想的なテストプロセス+デモ (1時間 日本語)
 - Q&A
■講師紹介
 
 *Prof. Mike Hennell 氏 LDRA社を設立 最高技術責任者 
   各種テスト手法の考案や、DO-178B、DO-178C、MISRA、IEC61508 など、高信頼性ソフトウエアテストに関わる多くの貢献をしています。
 
■お申し込み方法
 下記の内容をご記入の上、LinkIconE-mail にてお申し込みください。
 
 ” お名前、会社名、部署名、住所、電話、E-mailアドレス ”
 
■LDRA は、ソフトウエアテスト自動化支援ツールです。
 
 LDRA tool suite は、ソフトウエア検証の全工程を完全にサポートする初めての自動化支援ツールです。要件管理と統合され、要件解析から静的解析・動的テストとその結果解析などソフトウエア開発に関わる全ての工程に対するテスト、検証、トレーサビリティが支援されます。様々なプログラミング標準を多角的にサポートし、あらゆる組込みシステムターゲット環境をサポートしています。
 
70%にも及ぶプロジェクトの失敗は、要件管理とそのトレーサビリティに起因すると報告されており、ソフトウエア開発ライフサイクルに亘って要件管理をすることは、この不況下においてのコスト削減策の決定打となり得ます。要件管理をTBreq を介してLDRA tool suiteに統合することで、その次世代型の管理と完全な自動化要件トレーサビリティにより、ソフトウエアのエラー、開発コスト、リソースの制約などが削減できるようになります。TBreqにより、要件、コードモジュール、検証成果物(静的解析、動的解析、ユニット・システムレベルテストなど)の関連付けを取り、非公式な変更やテスト結果も記録され、それら変更による影響を受ける要件はハイライトできることで、全開発チームメンバーは追加検証が必要となるコード・データ領域を特定することができる。
 
LDRA社は、あらゆる国際的な業界標準をサポートしています。例えば LDRA DO-178B tool qualificationサポートパッケージでは、FAA’s DO-178B levels C, B and Aで求められるソフトウエアの全工程に対する認証作業を支援しています。この FAA’s DO-178Bは航空宇宙以外の自動車、医療機器、原子力関連など安全性、機能性を求められるシステムにおいてベストプラクティスな方法論として注目され、IEC61508 などの参考にされています。