language presentation at Workshop on critical software systems, sponsored JAXA and IPA. VDM, SPIN, coq, Alloy, Event/B, ATS, Verifirst are discussed.

1. JAXA/IPA クリティカル
ソフトウェアワークショップ
(WOCS)言語系発表とその後
proofsummit@京都大学
技術士（情報工学）・
博士（工学）
名古屋市工業研究所・
岐阜大学非常勤講師
@kaizen_nagoya, 小川清

2. 発表の目的
理論的、研究的に面白いことが、産業界とうまくつなが
らない。
軍事、航空宇宙では、低価格化のため、国際規格、民生
品を使う方向に舵をきる（ソ連崩壊後）。
Adaはある分野ではやめ。Adaに基づいたVHDLの行方は?
国際規格にもとづいた技術、自動車で応用している技術
を航空宇宙でも採用する可能性がある。
JAXAと自動車産業を見ていて、産業化の切り口を考察。
何かをどこかに提案する際、あるいは、何かをどこかか
ら依頼されたら、一声おかけください。

3. WOCS: Workshop on critical
software systems
JAXAがソフトウェア分野の技術の普及と社会からの還元
を期待して始める
第7回2008年からIPAが共催
小川清は第6回にパネリストとして参加、第8回からプログ
ラム委員長
言語系の発表を推奨するため過去のProof Summitで要請。
PPLに参加した際には発表を要請
名古屋のProof Café参加者などに発表を要請
名古屋大学結縁研を中心に企業と言語系の研究会に要請

4. 2011.1第8回クリティカルソフト
ウェアワークショップ
サニー技研, 米田真之「中小企業の形式手法への取り組み」
http://www.ipa.go.jp/files/000005327.pdf
産業技術総合研究所,
水口大知「簡易な形式仕様記述と状
態遷移表を併用した要求仕様のレビュー方法」
http://www.ipa.go.jp/files/000005328.pdf
有人宇宙システム, 中尾春香「MODELING AND HAZARD
ANALYSIS USING STPA」
http://www.ipa.go.jp/files/000005329.pdf
豊田中央研究所,
稲森豊「検出漏れのない割込み干渉検出シ
ステムの開発」http://www.ipa.go.jp/files/000005326.pdf

5. 2011.11第9回クリティカルソフト
ウェアワークショップ
「状態遷移の種類と形式検証の使いどころ」
アイシン・エィ・
ダブリュ株式会社,
久保孝行
http://www.ipa.go.jp/files/000005291.pdf
「Bメソッドを用いた組込みソフトウェア自動コード生成の実用性評
価」CAPES-B 北海道電子機器株式会社, 和田学
http://www.ipa.go.jp/files/000005292.pdf
「対話的定理証明支援系によるミドルウェア検証」有限会社ITプ
ランニング, 今井敬吾 http://www.ipa.go.jp/files/000005293.pdf
「フォーマルメソッドを活用したソフトウェアIV&V」有人宇宙シス
テム株式会社, 星野伸行http://www.ipa.go.jp/files/000005294.pdf

6. 2011.11第9回クリティカルソフトウェア
ワークショップ（続）
「Model Checking of Services Workflow Reconfiguration: a
Perspective on Dependability」University of Tsukuba, Juan Carlos
http://www.ipa.go.jp/files/000005295.pdf
「モデル検査の適用プロセスの提案」株式会社フォーマルテッ
ク,早水公二
http://www.ipa.go.jp/files/000005296.pdf
「モデルベース開発導入へのチャレンジ ～単体コード検証への
適用による導入の加速～」株式会社東海理化, 山口晶広
http://www.ipa.go.jp/files/000005297.pdf
「TOPPERS/SSPへの組込みコンポーネントシステム適用におけ
る設計情報の可視化と抽象化」株式会社ヴィッツ, 鵜飼敬幸
http://www.ipa.go.jp/files/000005299.pdf

7. 2012.9第10回クリティカルソフ
トウェアワークショップ
「モデル検査の検査式作成手法」有人宇宙システム株式会
社, 早川浩司
http://www.ipa.go.jp/files/000004112.pdf
「宇宙機におけるハイブリッドシステムの振る舞いに対する検
証方法の検討」有人宇宙システム株式会社, 星野伸行
http://www.ipa.go.jp/files/000004113.pdf
「並行システム解析支援ツール ～協調動作の可視化～」産
業技術総合研究所, 磯部祥尚
http://www.ipa.go.jp/files/000004114.pdf
「Bメソッドによる組込みソフトウェア開発の品質改善効果と開
発コストの評価」株式会社リック, 坂本謙治
http://www.ipa.go.jp/files/000004117.pdf

8. 2014.1第11回クリティカルソ
フトウェアワークショップ
強い型によるOSの開発手法の提案, Metasepi Project, 岡
部究
http://www.ipa.go.jp/files/000036232.pdf
形式手法を用いた安全・セキュリティ分析手順と要件の
抽出方法の提唱, 株式会社ヴィッツ, 和田学
http://www.ipa.go.jp/files/000036224.pdf
形式手法を用いた安全・セキュリティ検証, アーク・シ
ステム・ソリューションズ株式会社, 池田和博
http://www.ipa.go.jp/files/000036225.pdf
ソフトウェアFMEA を体系的に実施する出発点としての
MISRA-C, 株式会社ヴィッツ, 森川聡久
http://www.ipa.go.jp/files/000036235.pdf

9. 2015.1第12回クリティカルソ
フトウェアワークショップ
形式手法と脆弱性評定を組み合わせたセキュリティ評価,
アーク・システム・ソリューションズ株式会社, 池田
和博https://www.ipa.go.jp/files/000043908.pdf
MISRA-C2004から2012への移行の課題, 株式会社ヴィッ
ツ, 萩原勝
https://www.ipa.go.jp/files/000043914.pdf

10. 2016.1 第13回クリティカルソ
フトウェアワークショップ
表明とタイプ置換原理のムジュラー推論を利用したミッ
ションクリティカルシステムのための開発アプローチの提
案 ,HASHIMOTO SOFTWARE CONSULTING, 橋本隆成
https://www.ipa.go.jp/files/000050240.pdf
ATS言語による組込アプケーションの検証, 理化学研究所
計算科学研究機構, 岡部究
https://www.ipa.go.jp/files/000050241.pdf
ソフトウェアモデル作成支援ツール実現のための状態遷
移分析手法, アーク・システム・ソリューションズ株式
会社, 福井雅彦, https://www.ipa.go.jp/files/000050235.pdf
Pre-Formal メソッドとしてのSTAMP モデリング, 九州大
学, 日下部茂, https://www.ipa.go.jp/files/000050238.pdf

11. 議論
11回 強い型によるOSの開発手法の提案, Metasepi
Project, 岡部
究
氏
http://www.ipa.go.jp/files/000036232.pdf
ランタイムは何で書かれていて、どう検証しているか？
ATS言語による組込アプケーションの検証, 理化学研究
所
計算科学研究機構, 岡部究
https://www.ipa.go.jp/files/000050241.pdf
VeriFirst, Event/B, Xmosと比較してください。

12. 作業進捗における図の役割
Uppaalのように図入力からできるものは導入が容
易
Alloyのように図をいろいろ生成するものは考え
るための助けになる
SPINのように、時系列図を自動生成するものは、
検討範囲の確認の助けになる
状態遷移図から状態遷移表を生成すると抜け漏
れの発見に役立っている

13. 検討事項
確率分布、時定数の異なる現象・要素を設計する際に、
抽象的な理念では欠陥を生成する可能性がある
ソフトウェア固有の用語で話をすると、論理回路・電気
回路の過渡現象・不定状態を網羅できない可能性がある
状態遷移と状態方程式を組み合わせた模型を検証するた
めの道具
汎用的な分析手法と個別の具体的な分析結果の間を対応
づける

14. 産業界の要請例
自然言語記述段階での整合性の確認
模型(model)記述の検証
プログラミング言語の検査
連続系と離散系を含むシステムの検証
各段階での道具間の自動連携・自動生成
手作業での書き直しは不具合発生の素
図からコード
図から表、表から図
コードから図

15.
自然言語
図表
検証言語
模型検査
道具類
算譜
応用例
1
VDM++, Event
B, Z, Alloy,
SPIN, Uppaal
自動車
2
SLP
状態遷移表
汎用
3
SPIN
Understand,
LOCKSMIT
H, nesC
C, Ruby
自動車
4
宇宙
5
状態遷移図、
刻時図, Mat
lab/Simlink
simulink
design
verifier
自動車
6
B
commenC
(自動車)
7
coq
json, Ocaml
デスクトッ
プ
8
状態遷移表
Uppaal,
SpecTRM
宇宙
9
BPMN
SPIN
セキュリ
ティ
10
仕様書
状態遷移表、
時系列
SMV, SPIN,
Uppaal
汎用
11
Matlab/
Simlink
VDM,SPIN
一覧

16.
自然言
語
図表
検証言語
模型検査
道具類
算譜
応用例
12
コンポーネ
ント図
TECS
C
OS
13
SPIN
宇宙
14
Scilab/
Scicos
Phaver
宇宙
15
状態遷移
CSP
CONPASU
航空
16
Event B,
Atrier B
自動車
17
Haskel,ahjc
OS
18
Event B
セキュリ
ティ
19
Event B
セキュリ
ティ
20
MISRA C
C
自動車
21
Event B
セキュリ
ティ
22
MISRA C
C
自動車
23
ATS
汎用
24
仕様書
状態遷移
B
C
自動車
25
XSTAMPP
汎用

17. 名古屋市工業研究所
名古屋大学結縁研でん研究会の企画
VDM, Z, B, Alloy
IPAの取り組み(VDM,フェリカ)に協力
ProofCafe/Proof Summitに参加
SPIN, Event B, Alloy, Uppaalの講習会実施
SML#, ATS勉強会の開催に協力,
Veri Firstの取組を促進
MISRA C、STARC RTL 設計スタイルガイドの普及
HAZOPによる自然言語と仕様の精密化

18. 魔法の言葉(guide word) IEC HAZOP
ID
G1 (no) G0
G2 (reverse) G0
G3 (direction) (other than)
G4 (more) G5
G5 (quantity) (less) G4
G6 (as well as) G7
G7 (quality) (part of) G6
G8 (early) G9
G9 (time) (late) G8
GA (before) GB
GB (order) (after) GA

19. MISRA C/C++, CERT C/C++
MISRA C/C++は安全系特に、自動車。CERT C/C
++は、安心(security)系主に、ネット。
自動車のネットからの乗っ取り、自動運転の安
全・安心を確保するために、両対応。

20. 5.5.1 MISRA-C++のHAZOP
16/10/02(c)kaizen@wh.commufa.jp, @kaizen_nagoya
無non
bool
NUL
L
zero
unus
ed
bitwi
se
void
condi
tion
switc
h/
case
exce
ption
loop
if
empt
y
varid
大
uppe
r
case
wide
size
multi
ple
numb
er/
enum
value
/
varia
ble
integ
er
cast
const
ant
float
point
er
arith
metic
chara
cter
inc/
dec
類type
stand
ard
comp
atible
rule
conv
ersio
n
cast
exce
ption
前block
exter
nal/
inter
nal
stati
c/
dyna
mic
order
befor
e/
after
goto/
jump
thro
w/
catch
prepr
oces
sor/
defin
e
switc
h/
case
exce
ption
exit/
termi
nate

21. 5.6.1 CERT C++のHAZOP
16/10/02(c)kaizen@wh.commufa.jp, @kaizen_nagoya
無
if,
while
for
switc
h
cast
NUL
L
race
atomi
c
defin
e
retur
n
decle
ar
invali
d
refer
ence
retur
n
prepr
oces
sor
大
enum
erati
on
for
case
cast
rando
m
name
spac
e
value
numb
er
va_ar
g
const
raints
floati
ng
refer
ence
point
er
argu
ment
s
類
gener
ic
librar
y
std
cast
safet
y
rule
funct
ion
defin
e
exce
ption
macr
o
error
file
form
at
type
前
doma
in
range
switc
h
signal
ascti
me
prepr
oces
sor
sequ
ence
EOF
const
racto
r

22. RTL
設計スタイルガイド
Verilog-HDL編, VHDL編がある
空間と時間の両方の規則がある
SWEST
で優先順位付けの演習を実施
推奨規則の優先順位が高かった
学会発表を繰り返す
規則が発表に基づき、必須・推奨を変更した

23. 16/10/02(c)kaizen@wh.commufa.jp, @kaizen_nagoya

24. 二つの設計指針共通
各個人で実際の仕事での優先順位をつける
言語処理系
OS, Network, DBなどサービス処理
応用ソフトウェア（対人）
類似の仕事をしている人の間の共通部分を確認
する

25. C/C++とHDL
コーディング標準間の違い
HDLではコードを書くことを設計という
実装は回路の配置・配線
HDLでは空間と時間の両方の規則がある
Verilog HDLでは//コメントを推奨し、/* */を排
除している。MISRA C 2004までは/* */コメン
トを推奨し、//コメントを排除していた

26. お願いしたいこと
言語の機能、処理についてよく使うこと、その言語固有
の便利なことを、順序を示して、順序よく教えること
キラーアプリケーションを題材にして、そこで利用してい
る機能を説明すると興味が湧く
コンパイルエラー・警告がある場合には、エラー・警告
の分類と対応を資料として作ることを推奨すること。
分析手法で国際規格になっているFTA, FMEA, HAZOPに慣
れているとよい
WOCS, 安全工学シンポジウムのような横断的な行事で発
表するとよい

27. JAXA/IPA
14thクリティ
カルソフト
ウェアシステ
ムズワーク
ショップ
2016年12月12日（月）13
日(火)開催
一般発表募集８月末締
切ってます。ごめんなさ
い。

28. 来年のWOCS
来年もあったら、ぜひ応募してください。ただ
し、組織の都合で５月以降しか開催するかどう
かが決まります。

29. おまけ：分析例(WOCS)
名古屋市工業研究所
小川
清
氏 「一人HAZOP
を組み合わせた効率的な分析作業」
「HAZOPによるTOPPERS/SSPの分析」
名古屋市工業研究所 小川 清

30. おまけ：WOCSお勧め動画
Safety Assessment Method for FlightOperation System.～ Lessons
from “RNPAR approaches” to Haneda Airport., DNVビジネス・ア
シュアランス・ジャパン株式会社
代表取締役
社長, 前田直樹
制御系セキュリティの国内での取り組み, 技術研究組合制御システム
セキュリティセンター
理事長／
電気通信大学 教授, 新誠一
つながるクルマのセーフティ＆セキュリティ, 株式会社デンソー電子基
盤技術統括部
DP-情報セキュリティ開発室室長, 早川浩史
Holistic Approach to Finding the Whole Solution: Using Systems
Principles and Concepts, Dr.James N. Martin --- Principal Engineer, The
Aerospace Corporation
社会とテクノロジーの統合はどうすればデザインできるか？, 慶應義塾
大学大学院システムデザイン・マネジメント研究科
准教授, 白坂
成功
一覧
https://researchmap.jp/josvhrsga-49935/#_49935

31. おまけ: WOCS名古屋市
工業研究所連名発表
8回,東芝,
飯田卓郎「製品、作業、人に着目した
効率的な作業診断の実践」
10回,「中小企業における機能安全対応への取り
組み」株式会社サニー技研, 尾仲洋和
12回, SPEAK-IPAを用いた設計指向による公開ア
セスメントの試み, A&D, 佐藤克
13回, プロセスアセスメントの分類とアセッサ教
育, 株式会社NSD,村上孝