メッセージ
先号   次号

「宇宙から地上へのメッセージ」
−安全性・信頼性は宇宙で始まり、地上で活用されるー

長谷川 義幸:6月号
第 3 回

前回まで、宇宙のソフトウエア開発手法の構想フェーズとシステム構築フェーズの重要なポイントについて説明しました。今回から開発の各フェーズ毎にどのように安全を守るためソフトウエア安全・開発保証管理を行っているのかを具体的に説明します。

■ ソフトウエアの安全とはなにか。
 国際宇宙ステーションの安全技術要求文書によれば、ソフトウエアの安全とは、「容認できない危険をシステムに引き起こすことなく動作し続けるソフトウエアの特性」のことです。 つまり、下図のようにソフトウエア自体がハザードではなく、システムに内在するハザードがソフトウエアにより引き起こされる場合に、ソフトウエアの安全が十分考慮されなければならないことを意味しています。
 現在識別されているハザードは主に火災や急減圧等であり、主にハードウエアが潜在的に有しているものです。 ソフトウエアがハザードそのものを有している訳ではないが、ハードウエアの制御に使用されるため、システムに潜んでいるハザードを顕在化させることになるのを認識しておく必要があります。 具体的には次の2つの場合です。

(1) ソフトウエアによりシステムの機能が正しく動作せずハザードを顕在化させる場合です。
 例として、温度上昇をモニターする機能が動作せず装置温度が異常上昇する場合があります。ガスストーブや風呂の自動給湯器のマイコンにバグがあったり,センサーが故障する場合もあり、その場合にも安全が確保されていなければなりません。コストダウンのために安全確保のための冗長センサーの装備を削除すると、システムの安全性は低下します。

(2) 当初の設計仕様にないソフトウエアの入出力や、設計上意図していない動作タイミングによりシステムが誤動作し、ハザードを顕在化させる場合です。
 例として、昨年事故のあったエレベーターの場合では、ドアが閉まった瞬間から数百ミリ秒以内に「開」のボタンを押すと、ドアが開いた状態で昇降カゴが上昇をはじめるように作動信号を誤って伝えるソフトウエアのミスがありました。リアルタイム制御では、ほんのわずかな状態遷移のずれがでますので、状態が確実に遷移したことを確実に検知できずに、次の状態に遷移していたようです。

 上記のようにソフトウエアの安全対策としては、「構想フェーズ」で想定される異常事態を洗い出して要求仕様書に明示し、「システム構築フェーズ」でリスク分析を行ってその対策をハードウエアとソフトウエアに機能分配して設計仕様書に盛り込みます。さらに、ソフトウエアのいかなる誤りがあってもシステムのハザードを顕在化させないことを保証する必要があります。宇宙開発では、無重量、真空、事故のときに修理に行けない特殊性がありリスク分析手法が発達しました。

■ ソフトウエアの安全保証活動とはなにか。
 宇宙開発の中で、ソフトウエアの安全・開発保証に関して、一番進んでいるのは、国際宇宙ステーションのソフトウエアの安全・開発保証管理(Software Product Assurance:以下 SPAという)で、NASAが50年以上にわたる有人宇宙船の技術開発と運用で培ったソフトウエアの安全要求を技術文書にまとめています。
  SPAの要求は、ソフトウエア供給業者の管理、受入検査等の管理要求から、ソフトウエア文書、ソースコード等に対する品質保証要求、コンフィギュレーション管理要求、不具合管理要求、トレーサビリティー管理などがあります。ソフトウエアの開発、検証に使用されるコンパイラ、デバッガ等についても使用前にコンフィギュレーション管理下に置かれ、それらのツールの修正、更新がなされた場合、変更後の確認や、更新記録が確実になされなければなりません。
 特に、宇宙での安全対策として、「動作させたいときには正しく動作し、動作してはならないときには誤って動作しない」ために,ソフトウエアの故障許容性を組み込む等の対策を課しています。つまり、ソフトウエア開発は多くの作業を人手で連鎖させて成り立っているプロセスなので、確率的にはどこかでエラーが発生する可能性が高くなります。“人が係わると、必ずエラーが発生する” ので、ヒューマンエラーを考慮した安全防護の設計を入れ込んでゆきます。 この具体的な方法については次回以降に説明します。
   ソフトウエアの信頼性・品質保証はハードウエアの信頼性・品質管理と基本的には同一の活動を行いますが、特に、ソフトウエアの安全確保のためにハザード解析独立検証及び有効性検証(IV&V)、および安全審査が必要です。また、ソフトウエアは、特に設計者の設計解や条件分岐の多様性による全ての検証は困難であるため、開発者とは独立の機関による妥当性、正当性の評価が重要になります。次回は、単一故障によりハザードが発生しないようにするため、ハザードの識別と除去と制御のやり方を説明します。

 宇宙ステーション一口メモ    宇宙飛行士に、「スペースシャトル滞在中に一番気になった騒音はなにか?」  と聞いたところ、夜寝ている時に仲間がトイレを使用したときとの答え。あまり静か過ぎると宇宙飛行士は心理的に不安定になりますし、うるさすぎると地上から呼びかけて、警報がなっても気が付かないことになるので、宇宙ステーションの騒音基準は、居住するところは、静かな部屋くらいで、実験室は静かなオフィース環境状態にするよう定量的な基準があります。当初、宇宙飛行士が居住しているロシアモジュールはこの騒音基準を超えていたので、遮音材を地上よりもってゆき取り付ける処置をとりました。現在では、快適な状態だそうです。 なお、日本の実験棟「きぼう」は騒音が非常に小さい状態になっています。
ページトップに戻る