職業訓練
https://qiita.com/kaizen_nagoya/items/95368b63fa21d64271ec
Day 2. Programmer
https://qiita.com/kaizen_nagoya/items/120abc94567ea8e2effd
安全分析における HAZOP による想定外の洗い出し
小川 清1) 柏原 一雄2) 田中 伸明3)
- 株式会社アテック(461-0004 名古屋市東区葵3-24-4)
- 株式会社デンソークリエイト(460-0003名古屋市中区錦2-14-19)
- ガイオ・テクノロジー株式会社(140-0002 品川区東品川2-2-4)
Unexpected identification using HAZOP in safety analysis
Kiyoshi Ogawa
Kazuo Kashiwabara
Nobuaki Tanaka
To clarification of unexpected identification in safety analysis on Self Driving Car and AUTOSAR, we use HAZOP with FTA and FMEA. In
early stage of AUTOSAR, TOPPERS open source are analyzed. HAZOP guide wards are good abstraction on SPACE/TIME, Quality/Quantity
and Upper/Lower limits. Road Administrator and Traffic regulators should be joined in safety analysis of auto driving car system using HAZOP.
KEY WORDS: Safety, safety education, diagnosis, system engineering, HAZOP, Safety Analysis, Security (C1)
.ま え が き
1.1 背景
HAZOP で,自動車,航空宇宙など人命にかかわるシステム等
を対象として分析してきた。自動運転安全にも対応するため,
FTA(1), FMEA(2)を用いた安全分析の初期段階において HAZOP(3)
と組み合わせることにより想定外の洗い出しを行っている。
日本技術士会(4)(5)(6),情報処理学会が共催している
SWEST(7)(8)(9)(10)(11),NPO 法人ソフトウェアテスト技術振興協会
が主催しているテストシンポジウム(12)(13)(14),NSPICE(15)などで
演習等を実施し,国立情報学研究所(16),世界ソフトウェア品質
会議(17),日本学術会議安全工学シンポジウム,JAXA/IPA 主催
WOCS などで発表してきた (18)。
検討できる枠組みを示すことを目的とする。
Table 1. JAXA Verification method and process(19)
Req
Analysis
Method/Phase
uire
me
nts
Mode Transition A.
Bas
ic
D.
Det
aile
d D.
Co
din
g
Inte
gra
tion
T.
Sys
tem
T.
Fiel
d T.
Op
era
tio
n
○ ○ ○ ○
Completeness A.
○ ○ ○ ○
Nominal Simulation
○ ○ ○
Software deviation a.
○ ○ ○ ○
Single Fault S. ○ ○ ○ ○
FMEA, FTA
○
1.2 従来研究
Table 1.は,JAXA における各種手法とその適用段階(19)を示し
ている。2007年当時,FMEA/FTAは全工程で取り組んでいるが,
HAZOP を初期段階での想定外の洗い出しに利用していない。
Table 1.は手法の一部で,JAXA では Nancy などによる
STAMP/STPA を始めとする代替手法(20)を用いている。最終的に
HAZOP で網羅性を確認して抜け漏れを防いでいる。
従来,HAZOP は,「時間がかかる」,「どこまでやればいいか
わからない」,「抽象的だ」,「誘導語を減らしたい」など利用
方法がうまく伝わっていなかった。想定外の洗い出しにどれ
くらい幅広く実施したいかで,HAZOPと別の手法を組み合わせ
るか,簡便な代替手法を用いるか,模型設計,模擬試験など
を構成する分析戦略による。
○
○
○
○
○
○
○
Double Fault S. ○ ○ ○
HAZOP
Code Clone A.
○
○
○
○
Traceability Analysis
○
○ ○ ○ ○ ○
Reachability A.
○ ○ ○ ○
Interface Analysis
○ ○ ○ ○
Timing Analysis
A.:Analysis, D.:Design, S.:Simulation, T.:Tet
○ ○ ○
1.3 研究の目的
自動運転分析で,自動車,交通・通信基盤,運転者・歩行者,
道路管理者,交通規制当局等のそれぞれの視点から分析を行
うにあたって,技術確認,それぞれの関連分野における知見
の蓄積方法,これまでの分析結果から今後必要となる対応が
様々な制度の試行に合わせて,それぞれの事業に対応する短
期的な目標と,安全な自動運転実現に向けた長期的な目標を
設定できるようにする。自動運転技術を交通死傷者ゼロに向
けた取組(21)に焦点を絞るとともに,ASV(22),ADAS(23)など,実
用性と将来性を見据えた分析のやり方を示す。
2.安全分析
安全分析は試行錯誤の積み重ねで,想定外を洗い出す段階
で製品・サービスの特質によって何回か繰り返すとよい。や
り方も,目的に応じて毎回変えることが,新たな想定外の発
見につながることがある(24)。作業時間の見積もりや,作業を
終わるための条件設定などは分析対象の規模による。自動運
転のように環境,製品・技術・通信規約,社会制度,利害関
係者の範囲が変化する場合には,定期的に行うことが大切で,
システムを運用している限り終わりはないかもしれない。
2.1 誘導語
HAZOPのFTA, FMEAとの大きな違いは誘導語(guide word)で
ある。Table2のように11種類ある。
空間(space)について4つ(大(more)小(less)類(as well
as)部(part of)),時間(time)についてが4つ(早(early)遅
(late)前(before)後(after))ある。空間と時間のそれぞれが,
量(quantity)についてが2つづつ,質(quality0についてが2
つづつである。量・質のどちらも,上限越え,下限越えの逆
の方向がある。合計8種類は,どのような状況においても検
討せずに置くことはできない抽象的な概念である。sym.は対
称(symmetry)な誘導語であり,空間と時間はそれぞれ対にな
っている。ID D4の対称(sym.)がID D5という具合である。空
間と時間に区分して設計する方法は従来より行われており(25),
設計の体系に即した抽象度である。これらの8種類の誘導語
は,論理的・物理的な意味が変わらないのであれば,別の単
語や複数の用語を一つの概念に用いてもよい。
無(no)は設計意図,利用意図の非存在を表し,逆(reverse)は
方向の逆を表す。これも検討は不可欠である。無,逆の対称
な概念は,設計通り(D0),利用者の意図通りを想定する。
他(other than)は,存在と方向についてno, reverse以外と
いう意味であるが,上記必須10概念以外を入れる入れ物で
あると理解するとよい。対象によって特定の誘導語を別に決
めてもよい。ただし,作業の効率,偏りの両方を測定して,
適宜取捨選択するとよい。例えば,論理回路では「同時」を
類(as well as)に分類することがあるが,「同時」を別の誘導
語として扱っても良い。機械系であれば「振動」を類(as well
as)または別(other than)として扱うことがあるが,「振動」
という誘導語を用いてもよい。最終的に11分類にする場合
には,どこに含めるかを決めておけば,他社の結果との比較
がし易くなる。誘導語の対象を物に限定するか,事に限定す
るか,両方扱うかなども検討するとよい。
2.2 班構成
設計を一人で行っている場合は,分析を一人で行い,関係
者相互で見直す(review)こともある。人の命にかかわる安全
分析は複数人で行う。安全分析は構造設計を行う建築家
(architect)が一人はいるとよい。また,システムを構成する
部品や材料の物性を知っている協力会社の方,いろいろな使
い方をする可能性のある利用者(顧客)がいるとよい。Fig.1
に,複数の視点による見え方の違いを示す。視点1では全体
はAで黄色,部分はBで緑色。視点2では全体はBで空色,
部分はAで緑色。共通なのは部分が緑色であるということだ
けである。自分の視点が正しく,相手の視点が間違いだとい
うことはない。
班構成は三人を原則としている。設計者,利用者,部品・
材料提供者がいると立体的な分析が可能になった。顧客,部
品・材料提供者が参加できない場合には,経験,専門分野な
どで3つの集合に分類し,それぞれの集合から一人づつ参加
する班を構成するとよい。ソフトウェア業界で,同程度の経
験の人だけの場合には,それぞれの得意分野,興味などを事
前に回答してもらい班構成する(26)など毎回違う方法を取り新
たな想定外の発見に努めるようにしている。誤解が大事な情
報源で,HAZOPのやり方,対象の製品・サービスなどに対する
誤解は記録する。間違いは間違いとして記録すると利用者の
勘違いなどによる事故を防ぐことができる可能性が高くなる。
2.3 実施段階
想定外を発見するために発想を発散させる作業と,出てき
た課題を,どう測定し,対策案を立てるかという作業と,発
生確率・損害の予想と測定・対策を実施するかどうかを判断
する三つの作業に分類できる。想定外を洗い出す場合には
さまざまな設計指針などと一緒に用いるか,従来のFTA, FMEA
の抜け漏れを探すか,どんな手法とも一緒に利用できるのが
HAZOPの誘導語の抽象度が高い利点である。WhatifとRCAに
誘導語を組み合わせたHAZOPは,過去トラブル集を分類し抜
け漏れを探すのにも役立つ。これまで用いてきた設計指針類
は,子供の安全ガイド(27),形の設計指針(28),ユニバーサルデ
ザイン(29),高齢者・障害者設計指針(30),4M5E(31),TRIZ40
発明原理(32)はじめ十数種類用いてきた。
物理単位としての国際単位系では,基本単位7つと,固有
の名称と記号で表される一貫性のあるSI組み立て単位(33)22
のうちものさしが違うだけのセルシウス度を除いた21個の
合計28単位について,測定方法を考え,設計上の上限,下
限を見積もり,それを逸脱した時の状況を想定し,そういっ
た状況にならないための対策を検討してきた。この28単位を
測定する装置,測定方法を網羅していると,想定外の検出に
おいて役立つことがる。様々な分野,対象によっては測定が
困難な単位もあり,取捨選択することになる。
分析・試験と設計は対の作業で,分析・試験しながら設計す
るか,設計しながら分析するかは,それぞれの対象の試験の
容易性に依存する。実物の試験ではなく模擬試験で性能,仕
様の確認ができる場合には,模擬試験をしながら設計する。
自動車用ソフトウェアプラットフォーム開発事業において,
設計する前,設計審査,出荷審査の三回実施するとよいとい
う経験をした。設計前には,製品の目的,範囲,利用可能な
技術の洗い出しに役立つ。設計審査では,最終顧客の利用に
適するかなどの設計の妥当性確認,試験の網羅性,製造容易
性などを確認した。出荷審査では,試験の妥当性,製品の完
備生,説明書・運用方法の妥当性などを確認した。
主な重要事項は次の10項目である。
1)一人作業の後で3人の班で意見交換する
2)ありえないことを列記する。(確率計算は後日)
3)他の手法を併用する。(人には強制しない)
4)思いついたことは記録する。
5)間違っていても消さない。
6)時間を短く区切って3回実施する。(全体で70から180分)
7)毎回人を入れ替える。(方法は資料に例示)
8)班の意見交換では量が少ない人から報告する
9)全体報告で前の班と同じことは報告しない
10)30点(百点満点中)を目指す。
2.4 教育・訓練・
安全分析の教育・訓練を行うよりも,設計に関わる重要な
設計資料があるかどうかが重要な場合がある。教育・訓練は
技術者の技能と経験の分布に基づき,知見の集約と伝達に焦
点をあてて行った。OJTとして実作業の中で,三人の班で,一
人または二人が教育・訓練対象者を配置するようにしてきた。
安全分析を実施する前に,関連資料の用語確認を行う。特
に略号は,同じ表現で異なる意味を持つ語が存在すると関係
者間で誤解が発生し,意思疎通が円滑に行えない可能性があ
る(34)。3回,3人で実施するため,1回で一人で考えるとき
に30点をめざしている。
物理指標の網羅性の確認のための国際単位系のような指標
横顔(profile)(35)が,生物系,社会系であるとよく,現在検討
中である。生物系では,従来から地域によって異なる種を同
じ名前で呼び,同じ種を別の名前で呼ぶ事象の把握が課題で
あった。遺伝子解析により従来の種の分類がいろいろ変更が
ある(36)(37)。日本では遺伝子解析においても技術的な蓄積があ
り(38),生物系の模型の知見が物理系,社会系での類推に役立
つ可能性がある(39)。用語の重複,上下関係の逆転など,どの
分野にも共通の課題で,階層的な用語構造は大切である。
いつも新しい発見があるようにやり方を変え続けることが
大切である。物と事,経験にも続いた発想と妄想に基づいた
発想などの両方が出るとよい。演習参加者の振り返りを分類
(40)し本研究に反映した。
3.仕様分析
3.1 AUTOSAR
自動車用ソフトウェア共通基盤AUTOSAR(41)は,現在約250
文書あり,出現する単語の数を集計すると,433,366種類
5,968,967語であった。定義済みの略号は参考文献内も含め数
百に上り,MAC, TCPなど同じ略号で異なる意味の単語が存在
している(42)。従来のISO OSEK OS(43)に基づいたClassic
Platform と自動運転で利用するISO/IEC POSIX(44)に基づいて
TCP/IP に対応したAdaptive Platform に分かれている。基本
的な通信規約もCAN(45)とTCP/IP(46)に分かれている。Classic
Platform はエンジンやモータが角速度制御の必要性からタス
クで管理するのではなく,割り込み制御を基本として,時間
制約がより緩い部分の通信,ログをタスク制御とする基本設
計である。
Adaptive Platform における Linux(47)-TCP/IP は,OSEK-CAN と
は異なり,メモリの動的管理を前提として設計しており,C
言語(48),Linux 及び TCP/IP とともに発展してきている。
Classic Platform と Classic Platform に対応した分析の比
較検討を行っている。現在では実用的なOSおよび通信ソフト
ウェアがオープンソースで提供されている。AUTOSAR は
MBSD(model based system design)(49)で様々な模擬試験を実施
して効率よく設計する上での共通の土台(platform)を構築す
るものであった。Classic Platform相当への対応は,OSEK OS
に基づいたオープンソースの事業(50)を展開する際に実施して
いる。AUTOSAR の二つの Platform に対応した OS,通信規約か
ら診断に至るまでの幅広いシステムを,設計者,分析専門家,
利用者の意図の整合性を確認することが課題となっている。
このように基本設計の異なるソフトウェアで共通の応用を行
うのは,いくつかの計算機製造業社が自社の古いOSを新しい
OS の上で実装して提供する方法の他,現在流行している
docker(51)などの仮想環境上のOSなどであり,開発現場かクラ
ウド上で実現しており,利用者や応用ソフトウェア設計者か
らは見えにくいかもしれない。
3.2 利害関係者
Table 5.に自動車及び鉄道における利害関係者の一覧を示
す。自動車では,運転者,自動車製造事業者,自動車部品製
造事業者,半導体自動車の間で,必ずしも利害が一致すると
は限らず,目標設定をどこに置くかが重要である。死亡事故
をいかに減らすかを目標設定にすると,道路管理者,交通規
制当局と制約条件をどう設定するとよいかの交換が大切であ
る。鉄道を一次元,自動車を二次元,航空宇宙を三次元と仮
定すると,自動車の分析は,鉄道と航空宇宙の両方の分析と
比較すると抜け漏れを少なくすることができるかもしれない。
鉄道のように輸送基盤,輸送機器,輸送規制を一体で行って
いる鉄道事業者の経験に学ぶことを課題設定した(52)
自動運転では,関係者との共同作業に必要な資料を道路管
理者(Road Management),交通規制当局(Regulation)との間で
うまく提供しあう仕組みが必要である。各国の道路制度の違
い,自然環境の違い,文化の違いなどを横顔(profile)にして
共通で対応できる事項と個別に対応できる事項とを区別する。
また「従来通り」という仕様に対する分析を行い,関係者の
既知の範囲の食い違いなどを確認する作業を行うとよい。
Safety Use Case Example(53) p.10 では,電池,電源供給に
ついては扱わないとしている。しかし,電源は,供給する部
品ごとに振る舞いが異なり,電池側の制御だけでは対応でき
るとは限らない。Table 6.は電源供給について HAZOP の分析
例である。Table 6.では,moreの項目にtoo large, too high,
less の項目にtoo small, too lowとあるように,誘導語は概
念例であって,具体的には単位系によって用語が違うことを
示している。as well asにおける質の違いに分類するかother
than に分類するかなどは,分析対象ごとに一貫性があれば抜
け漏れは防ぐことができる。実際には,Wiring mistake のよ
うな抽象的な表現ではなく,接続を間違えた素子名と端子名
を具体的に記載する必要がある。Voltage is too low であれ
ば,具体的な二つの端子名を記載する。
想定外を洗い出してから,検出方法の検討,対策の検討は
別途行うことがあり Table 6 には検出方法,対策は示してい
ない。設計者のように分析時点で検出方法,対策を思いつく
場合には記載してもらっている。Table 7.にプログラマ用に
それぞれの誘導語に対応するプログラミング時の文の C 言語
風記載例を紹介する(54)。想定外をなくすことに焦点をあてる
初期の段階と,二回目以降は一回目とやり方を変えることに
よる網羅性の確保を図っている。また,それぞれの段階で時
間を設定し,全体の作業の中で,取りまとめ担当以外は一日
以内の作業で終わるように時間配分を行なっている。
3.4 道具
開発過程でネットワークを利用する方法については,従来
から検討してきた(58)。公開可能な資料はgithubのPublicに
おき(59),非公開の資料は gitlab の Private に置いている。
AUTOSAR の UML モデル及メタモデルは EnterPrise Architect
のファイルが配布されている(60)。また田中伸明が提案してい
る道具はEnterPrise Architect アドオンとして評価している
(61)。道具立てとしては,逆の誘導語と一緒に図に表示する方
法,空間と時間の4つづつを同時に表示する方法などを検討
している。図が同じで,誘導語だけ違う図を何枚も複写する
のは手間がかかる上に,一覧性を失いかねないからである。
関連する研究のうち,プログラミングに関する事項は異なる
cloud サービス間でも容易に移行できるように,docker で作
成し,docker hubに登録する方法も取っている(62)。
自動運転では自動車だけではなく,地図・道路運行状況・
信号などの外部との通信が重要であり,自動車が乗っ取られ
るだけでなく,サーバ,ネットワークが乗っ取られた場合な
どのサイバーセキュリティ対策の工夫が必要である(55)。
AUTOSAR は,IoT, Cloud の仕様について言及しておらず,仕
様の組み合わせを実現していくかはこれからである。自動車
製造業とCloud サービスとの提携(56)における技術仕様のうち,
標準化するとよい境界の確認はこれからである。また,サイ
バー攻撃への対策を検討するための洗い出しは,日本では内
閣府などが主導して取り組むことを宣言している(57)。
想定外を整理し、検出、対策を発想し、発生確率、影響度を
積算する道具だてとの連携を検討している。
4.まとめ
HAZOP は,洗い出した事象の抽象的な網羅性の確認に役立つ。
しばしば逆を検討しないことにより抜け漏れが発生したり,
空間か時間,質か量,上限か下限という一方だけ検討し他方
を検討しない傾向を排除することができる。未知のサイバー
攻撃のような,想定外の洗い出しは,新しい仕様,新しい材
料,新しい機構に対して,TRIZ を始めとする複数の設計指針
とHAZOP を用いることによって発想してきた。自動運転のオ
ープンソースであるAutoware(63)は docker 上でも展開できる
構成になっているが,一定以上の性能が必要であり,動かし
ながらの分析はこれからである。多数の利害関係者の各分野
の最先端の知見者の参加を募り,HAZOPなどの手法の利用と道
具の整備(64)によって効率的な分析を進めて行きたい。特に、
more, less の分析から低速走行と高速走行に分離した分析に
が、実用性と将来性を展望した分析領域として焦点を当てる。
参 考 文 献
(1)JIS C 5750-4-4:2011 ディペンダビリティ マネジメント
第4-4 部:システム信頼性のための解析技法―故障の木解析
(FTA), 東京, 日本規格協会, 2011.
(2) JIS C 5750-4-3:2011 ディペンダビリティ マネジメント
第4-3 部:システム信頼性のための解析技法―故障モード・
影響解析(FMEA)の手順, 東京, 日本規格協会, 2011.
(3) IEC 61882:2016 Hazard and operability studies
(4) 小川清:遠隔 HAZOP 演習,日本技術士会情報工学部会,
2012
(5)小川清:HAZOP による安全分析について, 日本技術士会中
部航空部会, 2016
(6)小川清:安全・安心シリーズ 想定外を減らす 11 個の「魔
法の言葉」,東京,日本技術士会,技術士(602), 2017 p.16-19
(7)小川清:HAZOP 演習,SWEST, https://bit.ly/2UAqXMZ, 2010
(8)小川清:想定外をなくす 実践安全分析(HAZOP) 2.0, SWEST,
https://bit.ly/3bsksCG, 2011
(9)小川清:HAZOP 演習,SWEST, https://bit.ly/2QK2N1F, 2013
(10)小川清:HAZOP3.0,SWEST, https://bit.ly/2wCeZKT, 2017
(11)小川清:図を使って分析すればこんなに簡単,SWEST,
https://bit.ly/3dsd3Fj, 2019
(12) 柏原一雄:ソフトウェア開発における HAZOP 入門,
JaSST2018 Tokai, https://bit.ly/2UFXwJq, 2018
(13) 柏原一雄ほか:ソフトウェア開発における HAZOP 入門,
JaSST2019 Tokai, https://bit.ly/3dsbibb,2019
(14) 柏原一雄ほか:ソフトウェア開発における HAZOP 入門,
JaSST2019 Shikoku, https://bit.ly/3dp8X0R,2019
(15)小川清:分析手法組み合わせのヒント, NCPICE.net, 2017
(16) Kiyoshi Ogawa: An application on Hazard and
operability Study for digital system, 5th World Congress
for Software Quality, 2011, Shanhai China
(17)小川清:形式手法教育の課題 HAZOP UML モデル検証, 先
端ソフトウェア工学に関する Grace 国際シンポ 形式手法の
産業応用ワークショッフ, https://bit.ly/39VduG1, 2010
(18) 小川清:効率的HAZOP, https://bit.ly/33eT7B7, 2019
(19) プロセス改善ナビゲーションガイドベストプラクティ
ス編, https://www.ipa.go.jp/files/000005129.pdf, 2008
(20) Nancy G.Leveson, Safeware, Addison-Wesley, 1995,700p
(21) 鯛渕健ほか:交通事故死傷者ゼロに向けた最新の先進安
全・自動運転技術とその展望, 東京, 自動車技術会,自動車技
術Vol.74, No.3(2020)p.10-16
(22) 国土交通省 ASV 推進検討会, クルマの高度化による更
なる交通事故の削減を目指して http://www.mlit.go.jp/
jidosha/anzen/01asv/resourse/data/asv6pamphlet.pdf
(23) 塩見幸弘: ADASに対応する法制化の動きと課題, 将来動
向, 東京,自動車技術会,自動車技術Vol.74,
No.3(2020)p.85-90
(24) 小川清: 安全分析においてHAZOPで想定外を洗い出すた
めに, https://bit.ly/38XN5WW, 2020
(25) 緒方隆司: 効率的な製品開発を支援する機能ベースの
課題分析法, 日刊工業新聞社,機械設計 2017年12月号, p.50
(26) 小川清:科学四分類, https://bit.ly/2U2UkXY, 2016
(27) 消費者庁: 子どもを事故から守る!!事故防止ハンドブ
ック, https://bit.ly/2IU44ik, 2019
(28) 小川清: プログラマが知っているとよい設計指針(2)
形の設計指針, https://bit.ly/38SBNmF, 2019
(29)ユニバーサルデザイン, https://bit.ly/3d4UVBk
(30) JIS S 8341-1:2010 高齢者・障害者配慮設計指針ソフト
ウェア及びサービス—第1部:共通指針,東京,日本規格協会
(31) 小川清:4M5E, https://bit.ly/3bslSNO, 2020
(32) 高木芳徳: トリーズの発明原理40, 東京, ディスカ
ヴァー・トゥエンティワン, 2014, 187p
(33) 国際単位系(SI)日本語版第 8 版,(独)産業技術総合研
究所計量標準総合センター, https://bit.ly/2UbKS5X, 2006
(34) 小川清: 用語の衝突, https://bit.ly/2TCokLv, 2019
(35) 小川清: 確率・統計, https://bit.ly/39jk7ku,2020
(36) The Angiosperm Phylogeny Group: An update of the
Angiosperm Phylogeny Group classification for the orders
and families of flowering plants: APG IV, 2016
(37)ANGIOSPERM
PHYLOGENY
WEBSITE,
version
14.,
http://www.mobot.org/MOBOT/Research/APweb/, 2017
(38) 伏見譲: DNAと遺伝情報の物理, 岩波講座 物理の世界物
理と情報, 東京, 岩波書店, 2005, 97p
(39) 曹纓ほか: 分子系統樹推定におけるモデルの ミスス
ペシフィケーション 脊椎動物の系統進化を例として, 東京,
統計数理研究所,統計数理第 50 巻 第 1 号(2002) p.69–85
(40) ワークショップ「ソフトウェア開発におけるHAZOP入門」
の勧め or 進め方, 小川清, https://bit.ly/2vd1lx2, 2020
(41) AUTOSAR(AUTomotive Open System Architecture):
https://www.autosar.org
(42) docker: https://hub.docker.com/
(43) ISO 17356-3:2005, Open interface for embedded
automotive applications Part 3: OSEK/VDX Operating System
(OS)
(44) ISO/IEC/IEEE 9945:2009, Portable Operating System
Interface (POSIX®) Base Specifications, Issue 7
(45) ISO 11898-1:2015 Controller Area Network(CAN),
(46) TCP/IP, TCP(Transmission Control Protocol),
RFC793:1981,IP(Internet Protocol), RFC791:1981
(47) ISO/IEC 23360:2006 Linux Standard Base (LSB) core
specification 3.1
(48) ISO/IEC 9899:2018, Programming languages C
(49) 久保孝行: 組込みエンジニアのための状態遷移設計手
法, 東京, TechShare, 2012
(50) 尾仲洋和ほか: 中小企業における機能安全対応への取
り組み, JAXA/IPA 10thWOCS,2012
(51) 小川清ほか: HAZOP-TRIZ 連携による交通安全分析, 日
本学術会議安全工学シンポジウム, 2017
(52) 小川清:Autosar 単語帳, https://bit.ly/33cCaHA, 2020
(53) 小川清: https://github.com/kaizen-nagoya/Safety_
Analysis_ self_driving_car, 2020
(54) AUTOSAR, Modeling Guidelines of Basic Software EA UML
Model, https://bit.ly/33bjSGA, 2016
(55) 経済産業省 中部経済産業局,平成23年度 市場競争環境
評価調査事業 中小ものづくり産業IT基盤ツールに係る環境
競争調査 報告書,平成24年3月, https://bit.ly/2x3N3PN
(56) 田中伸明ほか:安全分析の図的表現方法,及び設計文書
と親和性の高いツールの提案, 東京,日本学術会議,安全工学
シンポジウム(2019).p.280-283
(57) 小川清:https://hub.docker.com/repository/docker/
kaizenjapan/autosar
(58) AUTOSAR: Safety Use Case Example, https://bit.ly/
3aFPIOm, 2019
(59)ちょけむさ,ちょけねこたんじょうびのおくりもの,2020
(60) 日本学術会議: 自動運転のあるべき将来に向けて 学
術界から見た現状理解,工学システムに関する安全・安心・リ
スク検討分科会, https://bit.ly/2U5suuc, 2017
(61) Tara Prakriya, Microsoft Connected Vehicle Platform,
https://bit.ly/2Uksub2, 2019
(62) 内閣府: 戦略的イノベーション創造プログラム(SIP)
自動運転(システムとサービスの拡張) 研究開発計画,
https://bit.ly/2w2oxOS, 2019
(63) Autoware: https://www.autoware.ai
(64) 田中伸明ほか:安全分析とモデルベース設計を統合する
ことによる説明力の向上策, 自動車技術会春季, 2020