Top > Search of Japanese Patents > (In Japanese)ディペンダビリティ維持システム、変化対応サイクル実行装置、障害対応サイクル実行装置、ディペンダビリティ維持システムの制御方法、制御プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体

(In Japanese)ディペンダビリティ維持システム、変化対応サイクル実行装置、障害対応サイクル実行装置、ディペンダビリティ維持システムの制御方法、制御プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体

Patent code P130010104
File No. AF10P005
Posted date Nov 26, 2013
Application number P2012-546760
Patent number P5280587
Date of filing Nov 14, 2011
Date of registration May 31, 2013
International application number JP2011076219
International publication number WO2012073686
Date of international filing Nov 14, 2011
Date of international publication Jun 7, 2012
Priority data
  • P2010-267461 (Nov 30, 2010) JP
  • P2011-177322 (Aug 12, 2011) JP
Inventor
  • (In Japanese)横手 靖彦
  • (In Japanese)所 真理雄
  • (In Japanese)山本 修一郎
  • (In Japanese)松野 裕
Applicant
  • (In Japanese)国立研究開発法人科学技術振興機構
Title (In Japanese)ディペンダビリティ維持システム、変化対応サイクル実行装置、障害対応サイクル実行装置、ディペンダビリティ維持システムの制御方法、制御プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
Abstract (In Japanese)本発明のワークスペースコンピュータ(101)および/またはランタイムコンピュータ(102)は、対象システムのディペンダビリティに関する要求・仕様を記述したディペンダビリティ記述データに基づいて、対象システムのディペンダビリティの価値を定量的に示すD値を求める。
Outline of related art and contending technology (In Japanese)

昨今、銀行のオンラインシステムの停止、携帯電話やIP電話の通信障害、各種商用サービスのセキュリティ障害、等の重要な社会インフラストラクチャを担うシステムやサービス停止が目立ってきており、我々の生活に影響を与えている。その原因は、ひとえにそれらの組み込み型コンピュータシステムを利用した商品やサービスにおいて、その規模や複雑度が劇的に増してきていることに帰することができる。その原因をさらに掘り下げて調べてみると、人為的なミスが原因であることがかなりのケースで存在している。

従来から、コンピュータシステムの信頼性、可用性、保守性、安全性、完全性、機密性に関しては、ディペンダビリティというコンピュータシステムの備えるべき性質として議論されてきている(非特許文献3)。組み込みシステム開発においては、最初に開発計画を立て、対象システムやサービスの機能要件および非機能要件を仕様としてきっちり書き出し、検証やテストを長期にわたって行い、デプロイする手法がとられてきた。しかし、上述のように、障害が日に日に件数を増してきている。CMMIやISO 26262をはじめとする規格では、人為的エラーを減らす試みもなされている。しかし、これら既存の技術・規格では、オープン環境におけるシステムという特性に対する考慮が欠けている。

従来からの手法は、開発の開発時点における仕様が、コンピュータプログラムとして確実に実装され、かつその仕様が商品やサービスのデプロイ後も不変であるという仮定に基づいている。しかし、オープン環境では、開発の開発時点とデプロイ時点では環境が変化している。さらに、デプロイ後も環境は変化している。その結果、それらの変化への対応が求められる。

そこで、独立行政法人科学技術振興機構は、CRESTプログラムにおいてDEOS(Dependable Embedded Operating Systems/Dependability Engineering for Open Systems)プロジェクト(http://www.crest-os.jst.go.jp/)を立ち上げ、組み込みシステム用のディペンダブル・オペレーティングシステムの研究開発を行っている。DEOSプロジェクトでは、オープン環境におけるディペンダビリティを、オープンシステムディペンダビリティとして次のように定義している。「現代の大規模ソフトウェアシステムは機能、構造、システム境界が時間的に変化し、これに起因する不完全さと不確実さを完全に排除することができず、未来に障害となりうる要因(開放系障害要因)を本質的に抱えている。オープンシステムディペンダビリティとは、それらの要因を顕在化する前にできる限り取り除き、また、顕在化した後に迅速かつ適切に対応し、影響を最小とするようにマネージし、利用者が期待する便益をできる限り安全にかつ継続的に提供し、社会への説明責任を全うし、およびそれらを継続的に行う能力を言う。」(非特許文献1参考)
また、従来、組み込みシステム開発においては(当該開発には限定されないが)、ステークホルダ群からの要求、及び当該要求に対する仕様書を作成し、それに基づいてシステム開発が行われている。具体的には、対象システムの機能要求、および非機能要求をまとめた仕様書群に従ってシステムは開発される。そして、運用中にシステムの一部を変更する場合には、仕様書群と当該システムの実装とが無矛盾に更新される。

当該仕様書群と当該システム実装の更新が無矛盾に行われる必要がある理由の一つとして、当該システムのディペンダビリティ(非特許文献1あるいは非特許文献3等を参照)は、いかに環境が変化しても維持しなければならないことがあげられる。そのため、当該仕様書に対応したディペンダビリティ記述データの更新と、それを実現するためのシステムを監視制御するモジュールの開発・追加が、常に当該仕様書群と無矛盾に行われることを保証しなければならない。

また、非特許文献2には、Safety Caseと呼ばれるシステムの安全性を示すドキュメントを、システムのライフサイクル(概念、開発、運用、保守、更新、廃棄など)を通じて、システムの変更に応じて更新することの必要性が記載されている。

Safety Caseは、イギリスなどで、原子力発電所など、高い安全性が求められるシステムを開発・運用する際に認証機関に提出が義務付けられるまでに普及している、システムの安全性の根拠(エビデンス)を示すための、構造化されたドキュメントである。自動車の機能安全規格であるISO 26262でも提出が義務付けられるなど世界的に普及しつつある。

Field of industrial application (In Japanese)

本発明は、時間軸上で変化可能なディペンダビリティ要求に対して、ある時刻における当該要求を表現したディペンダビリティ記述データを備える対象システムにおけるディペンダビリティの価値を計測、評価することを可能にし、当該対象システムのディペンダビリティを維持する装置等に関するものである。

Scope of claims (In Japanese)
【請求項1】
 
対象システムのディペンダビリティを維持するためのディペンダビリティ維持システムであって、
上記対象システムの開発時あるいは運用時における上記対象システムの更新時に、上記対象システムのディペンダビリティに関する要求・仕様を記述したディペンダビリティ記述データを上記対象システムに関する要求・仕様の変更に合わせて追加・修正する変化対応サイクルを実行する変化対応サイクル実行装置と、
上記対象システムの運用時に、障害発生または障害予兆を検知したとき、上記ディペンダビリティ記述データに基づいて、上記対象システムの停止を回避する障害対応サイクルを実行する障害対応サイクル実行装置と、
上記障害対応サイクル実行装置が障害発生または障害予兆を検知し、上記対象システムの停止が不回避であるとき、上記変化対応サイクル実行装置に対して、上記ディペンダビリティ記述データの変更要求を送信する変更要求送信手段と、を備えることを特徴とするディペンダビリティ維持システム。

【請求項2】
 
上記ディペンダビリティ記述データを格納するディペンダビリティ記述格納部を備え、
上記変化対応サイクル実行装置および上記障害対応サイクル実行装置が、上記ディペンダビリティ記述格納部に格納されている上記ディペンダビリティ記述データを共有しながら、上記変化対応サイクルおよび上記障害対応サイクルを一方ずつまたは両方同時に実行することを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項3】
 
上記障害対応サイクル実行装置が上記障害発生または障害予兆を検知したとき、上記ディペンダビリティ記述データに基づいて、当該対象システムを再構成する再構成手段を備えることを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項4】
 
上記ディペンダビリティ記述データには上記再構成の手順が記載されており、
上記再構成手段は、上記ディペンダビリティ記述データに記載されている再構成の上記手順に従って、当該対象システムを再構成することを特徴とする請求項3に記載のディペンダビリティ維持システム。

【請求項5】
 
上記ディペンダビリティ記述データの変更要求を受信したとき、上記変化対応サイクル実行装置が上記ディペンダビリティ記述データを変更することを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項6】
 
上記ディペンダビリティ記述データを上記ディペンダビリティ記述格納部から取得し、上記対象システムのディペンダビリティの価値を定量的に示す評価値を求めるディペンダビリティ値決定手段を備え、
上記ディペンダビリティ値決定手段が、上記評価値を、上記変化対応サイクルまたは上記障害対応サイクルにおいて決定することを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項7】
 
上記ディペンダビリティ記述データは、互いに関連づけられたゴールノードとモニタノードとの組を規定するデータであり、
上記ゴールノードは、要求・仕様がゴール形式にて記述されたノードであり、
上記モニタノードは、上記ゴールノードに記述されたゴールが充足されていることを表明するエビデンスであるとともに、上記対象システムの監視点に対応付けられており、
上記ディペンダビリティ値決定手段は、対応付けられた上記監視点から取得されたデータがモニタノードに関連づけられた変動許容範囲に基づいて、上記評価値を計算することを特徴とする請求項6に記載のディペンダビリティ維持システム。

【請求項8】
 
上記ディペンダビリティ値決定手段は、上記対象システムをモニタして取得されたモニタ値が変動許容範囲に対して良好であったエビデンスに基づいて、上記評価値を計算することを特徴とする請求項7に記載のディペンダビリティ維持システム。

【請求項9】
 
上記障害対応サイクル実行装置が上記障害発生または障害予兆を検知したとき、上記ディペンダビリティ記述データに含まれるスクリプトを実行するスクリプト処理手段を備え、
上記スクリプトは上記対象システムを変動許容範囲の状態に回復させるシナリオを含むことを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項10】
 
上記対象システムの状態を監視し、必要な場合に対策を実行する障害監視制御部と、
上記ディペンダビリティ記述データを格納するディペンダビリティ記述格納部と、
上記障害監視制御部の動作を制御する障害監視制御用データを、上記ディペンダビリティ記述格納部から読み出した上記ディペンダビリティ記述データから生成して、上記障害監視制御部に供給するディペンダビリティ記述変換手段と、を備え、
上記障害監視制御用データに従って、上記障害監視制御部が動作することにより、上記対象システムの状態を監視し、必要な場合に対策を実行することを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項11】
 
上記対象システムの状態を監視する1以上のモニタモジュールと、
必要な場合に上記対象システムに対して対策を実行する1以上のアクションモジュールと、
上記障害監視制御部の制御により、上記モニタモジュールの選択および動作の制御を行うモニタ管理部と、
上記障害監視制御部の制御により、上記アクションモジュールの選択および動作の制御を行うアクション管理部と、を含むことを特徴とする請求項10に記載のディペンダビリティ維持システム。

【請求項12】
 
他のディペンダビリティ維持システムとネットワークを介して接続されていることを特徴とする請求項1に記載のディペンダビリティ維持システム。

【請求項13】
 
請求項1に記載のディペンダビリティ維持システムを構成する変化対応サイクル実行装置。

【請求項14】
 
請求項1に記載のディペンダビリティ維持システムを構成する障害対応サイクル実行装置。

【請求項15】
 
上記ディペンダビリティ記述データをディペンダビリティ記述格納部から読み出すとともに、
上記対象システムの状態を監視し、必要な場合に対策を実行する障害監視制御部の動作を制御するための障害監視制御用データを、読み出した上記ディペンダビリティ記述データから生成するディペンダビリティ記述変換手段を備えたことを特徴とする請求項14に記載の障害対応サイクル実行装置。

【請求項16】
 
上記障害監視制御部は、上記対象システムの状態を監視し、必要な場合に対策を実行するために使用するモジュールを、複数のモジュールから選択して制御可能であり、
上記ディペンダビリティ記述データは、1つの記述が、上記モジュールを特定するためのモジュール特定情報を値として設定可能な変数を少なくとも含む形式であり、
上記ディペンダビリティ記述変換手段は、あらかじめ設定された、上記モジュール特定情報と上記障害監視制御用データとの対応関係を示す情報に基づいて、上記ディペンダビリティ記述データに含まれる変換対象の記述を、該記述に含まれるモジュール特定情報に対応する障害監視制御用データに変換することを特徴とする請求項15に記載の障害対応サイクル実行装置。

【請求項17】
 
上記ディペンダビリティ記述データの1つの記述から変数部分を除いた固定部分に対応して、上記対応関係が設定されており、
上記ディペンダビリティ記述変換手段は、上記ディペンダビリティ記述データの記述に含まれる上記固定部分に対応する上記対応関係を参照して、該記述を対応する障害監視制御用データに変換することを特徴とする請求項16に記載の障害対応サイクル実行装置。

【請求項18】
 
対象システムのディペンダビリティを維持するためのディペンダビリティ維持システムの制御方法であって、
上記ディペンダビリティ維持システムの変化対応サイクル実行装置が、上記対象システムの開発時あるいは運用時における上記対象システムの更新時に、上記対象システムのディペンダビリティに関する要求・仕様を記述したディペンダビリティ記述データを上記対象システムに関する要求・仕様の変更に合わせて追加・修正する変化対応サイクルと、
上記ディペンダビリティ維持システムの障害対応サイクル実行装置が、上記対象システムの運用時に、障害発生または障害予兆を検知したとき、上記ディペンダビリティ記述データに基づいて、上記対象システムの停止を回避する障害対応サイクルと、
上記障害対応サイクル実行装置が障害発生または障害予兆を検知し、上記対象システムの停止が不回避であるとき、上記変化対応サイクル実行装置に対して、上記ディペンダビリティ記述データの変更要求を送信する変更要求送信ステップと、を含むことを特徴とするディペンダビリティ維持システムの制御方法。

【請求項19】
 
上記ディペンダビリティ記述データをディペンダビリティ記述格納部から読み出す読み出しステップと、
上記対象システムの状態を監視し、必要な場合に対策を実行する障害監視制御部の動作を制御するための障害監視制御用データを、読み出した上記ディペンダビリティ記述データから生成する変換ステップと、を含むことを特徴とする請求項18に記載のディペンダビリティ維持システムの制御方法。

【請求項20】
 
請求項1から12のいずれか1項に記載のディペンダビリティ維持システムの上記各手段としてコンピュータを機能させるための制御プログラム。

【請求項21】
 
請求項15から17のいずれか1項に記載の障害対応サイクル実行装置の上記ディペンダビリティ記述変換手段としてコンピュータを機能させるための制御プログラム。

【請求項22】
 
請求項20または21に記載の制御プログラムを記録したコンピュータ読み取り可能な記録媒体。
IPC(International Patent Classification)
F-term
Drawing

※Click image to enlarge.

JP2012546760thum.jpg
State of application right Registered
Reference ( R and D project ) CREST Dependable Operating Systems for Embedded Systems Aiming at Practical Applications AREA
Please contact us by E-mail or facsimile if you have any interests on this patent.


PAGE TOP

close
close
close
close
close
close
close