コベリティホワイトペーパーコベリティのデベロップメントテストによる ISO 26262のサポート 2011年12月コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポートコベリティのデベロップメントテストによる ISO 26262 のサポート平均的な自動車が有するソースコードの行数は、現在の 1,000 万行から 10 年後には 3 億行にまで増大すると予測されています※。また、自動車のイノベーションの 90％は、ソフトウェアおよび電子機器によるものとみられます。ソフトウェアは、ブレーキやパワーステアリングなどのセーフティ・クリティカル・システムから、ドアや窓などの基本的な車両制御、高機能の情報システムやテレマティックスまで、あらゆるものをコントロールしています。とはいえ、ソフトウェアの飛躍的な需要増加に伴い、ソフトウェアの不具合も急激に増加しています。平均的な自動車には、最大で 15 万件の不具合があるとみられていますが、この不具合の多くはブランド・イメージの失墜、顧客満足度の低下、そして極端な場合は深刻な故障の発生を引き起こしかねないものです。高級車の一流ブランドであるジャガーは最近、X タイプの自動車に、クルーズ・コントロールの停止不能を引き起こして乗員を危険にさらす重大なソフトウェアの不具合があることを発見して、約 1 万 8,000 台のリコールを余儀なくされました。 ISO 26262 の概論自動車の安全性を確保するため、ISO（国際標準化機構）は、路上走行車両の機能安全に関する標準 ISO 26262 を提示しました。この標準は、実行可能な要件およびプロセスを通じて、システム障害とランダムなハードウェア障害のリスクを防止するガイダンスを提供することを目的に制定されています。IEC61508 の適用規格である ISO 26262 は、電力供給装置、センサーなどの入力装置や、データハイウェイなどの通信パス、アクチュエータ、その他の出力装置の電気的および電子的要素を応用した機器特有のニーズに適合しています。この標準はレビューの最終段階にあり、自動車業界の多くの企業が標準に準拠する計画の策定を始めています。当ホワイトペーパーは、コベリティのデベロップメントテスト・プラットフォームを使って ISO 26262 が定めるガイドラインに準拠する方法を解説します。この標準は 10 のパートで構成されており、管理、開発、製造、運用サービス、廃棄を含む、自動車安全性の広範なライフサイクルを網羅しています。コベリティのデベロップメントテスト・プラットフォームが直接適用できるのは、パート 6 の「製品開発：ソフトウェア・レベル」です。コベリティのデベロップメントテスト・プラットフォームの概論今後ますます需要が高まりつつあるデベロップメントテストの分野には、静的解析などの一連のプロセスやソフトウェアが含まれています。こうしたプロセスやソフトウェアは、開発サイクルの早期にソースコードが書かれるのと同時に、製品の市場投入までの時間、コスト、顧客満足度に対して悪影響を与えない形で、品質およびセキュリティの問題を開発者、経営者、企業が容易に発見し、修正できるようにすることを意図して作られています。デベロップメントテストは QA 機能テスト、パフォーマンステスト、セキュリティ監査などの従来のテストを増強したもので、これにより開発チームはソースコードの不具合を開発作業の中断なく素早く簡単にテストできるため、イノベーションに重点を置いた開発が続けられます。経営者は問題に対する可視性を開発サイクルの早期に得られるため、よりよい意思決定が実現します。また、企業レベルでは高品質の製品を市場に提供し続けることで競争優位が確保できます。コベリティが開発チームおよび経営陣向けのソリューションとともに提供する業界有数のデベロップメントテスト・プラットフォームは、企業が IS0 26262 の準拠を達成できるように支援します。 ※ Frost and Sullivan 社調べ 2 コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポート Coverity® Static Analysis（静的解析）コベリティは業界でもっとも高精度の静的解析ソリューションを提供しています。世界中の開発者に使用されている当製品は、C/C++ と Java、C# の各言語で記述されたソースコードに潜む不具合を迅速に突き止めて修正できるようにし、ソースコードの品質の向上により、全体的な開発コストを削減します。静的解析はコーディング・ガイドラインへの順守を確認する公式の検証方式として ISO 26262 に組み入れられており、ISO 26262 Annex D（ソフトウェア分割による干渉の緩和）が定める、安全な関連データを保持するメモリにアクセスするソースコードのレビューに使用されます。 Coverity® Architecture Analysis（アーキテクチャ解析）このソリューションは、ISO 26262 の重要な構成要素であるソフトウェア・アーキテクチャの複雑性を可視化およびコントロールするのに役立ちます。アーキテクチャの複雑性のコントロールに加えて、ソフトウェアアーキテクトや開発者がソースコードの構造を視覚化し、依存関係の競合やインターフェース違反を特定できるようにすることでリスクを低減し、ポリシーの適用を通じてソースコードの過度な複雑化やセキュリティの脆弱化を防げるようにします。また、関数コール・グラフを使用すれば、デバッグ時間も削減できます。　Coverity® Integrity Manager（インテグリティマネジャー）このソリューションが提供する中央集中型不具合管理ワークフローにより、開発者や管理者はソースコード上の不具合を迅速に検出し、修正のための適切な対応策を取ることができます。特定の ASIL（Automotive Safety Integrity Level）に関連した不具合の特定ができ、多様なソースコードのブランチのどこで不具合が発生したかが分かります。自動車業界ではソースコードの再利用が普及しているため、この機能は開発チームにとって時間節約に大変役立ちます。 Coverity® Integrity Control（インテグリティコントロール） Coverity Integrity Control によって、ISO 26262 に定義された安全性要件に関係する一貫したポリシーを、企業が ASIL レベルで確立し、実行できるようになります。ユーザーは、ISO 26262 標準の主要な要件を満たす、明確かつ包括的なポリシーの定義が可能になります。ポリシーが確立されると、企業はそれをコベリティのテスト・ソリューションでテストし、コンポーネントおよび ASIL のレベルでプロジェクト内のリスク分野を素早く視覚化できます。管理者やエグゼクティブはリスクを階層的に把握し、不具合への対応に必要な相対的な作業量を理解、問題を掘り下げることができます。またこのことで、特定の問題の把握や特定の安全性要件が満たされているかの確認ができます。 3 コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポートコベリティのデベロップメントテストを ISO 26262 要件に適用 ASIL（Automotive Safety Integrity Level） ISO 26262 は、A、B、C、D と 4 つある ASIL のレベルのうち 1 つを使用して、許容できるリスク・レベルを達成するために必要な、品目または構成要素の安全性要件を特定します。レベル D はもっとも厳密なリスク・レベルであり、A はもっともゆるいレベルとなります。 ASIL レベルが D の構成要素は、もっとも厳しいテストを行うことが期待されます。コベリティのデベロップメントテスト・プラットフォームにより、ASIL レベルの注釈付けと視覚化が、ソフトウェア・コンポーネントのレベルで行えます。Coverity Integrity Control の利用により、ユーザーは、ASIL の各レベルが要求する、ソフトウェア・ユニットの設計および実装のためのコーディング・ガイドラインと設計原則に向けた、一貫性のあるポリシーを確立し、実行できます。管理者はポリシーのコンプライアンスを階層的なビューおよび ASIL レベルで把握できるため、開発チームはプロジェクト内のリスクに迅速に対応できます。 Coverity Static Analysis を使うことで、開発チームは IDE 内または中央のビルド・プロセスの一部分として所定のポリシーをテストできます。Coverity Static Analysis によるテストは、ソフトウェア・コーディングのガイドラインと、設計および実装原則への準拠を検証する必須の方式のひとつとなっています。不具合管理のための開発者ワークフローを提供する Coverity Integrity Manager で、開発者は特定の ASIL 分類に基づいて不具合を迅速にレビューできます。たとえば、ユーザーは ASIL 分類が D である不具合または ASIL レベルが C であるすべての不具合の確認ができます。ソフトウェア・モデリングおよびコーディングのガイドラインソフトウェアレベルでの製品開発を開始する一環として、IS0 26262 ではコーディングおよびモデリングのガイドラインを作成し、ソフトウェア開発モジュール表 1として公開しています。コベリティのデベロップメントテスト・プラットフォームは、下記のような形でこのガイドラインをサポートしています。表の凡例 CSA：Coverity Static Analysis（静的解析） ++：大いに奨励 AA：Architecture Analysis（アーキテクチャ解析） +：奨励 IC：Integrity Control（インテグリティコントロール） o：必須ではない SDK : Coverity SDK（静的解析チェッカー開発キット）モデリングおよびコーディングのガイドライン（表1）で扱われるISO 26262のトピックトピック複雑性低下の実施（1a）コベリティのデベロップメントテスト CSAはソースコードの解析と、循環的複雑度およびハルステッド指標の計算を行います。その後ICを使用して、循環的複雑度およびハルステッド指標を、ユーザーが定義した限度に照らし合わせることで、複雑性低下のためのポリシーが確立され、低減への活動が実施されます。 ASIL A B C D + ++ ++ ++ ++ ++ ++ ++ AAによりユーザーは、循環的依存関係と過度の複雑性を特定することで、複雑性を低減できます。言語サブセットの利用（1b）標準的でない言語構成をCSAが探知し、開発者が対応すべき不具合として、それらを検知します。コベリティSDKを用いると、これとは別のチェックが実施できます。 4 コベリティホワイトペーパー強い型付けの実施（1c）コベリティのデベロップメントテストによるISO 26262のサポート C言語およびC++言語は、明示的および非明示的なキャストをサポートしているため、Javaなどの他言語に比べて型付けが弱いとされます。 ++ ++ ++ ++ CSAは安全でないキャストを自動的に発見し、その発生を不具合として検知します。 SDKにより、別のチェックも実施できます。たとえばキャストが無効な場合、各キャストのオペレーションを不具合として検知させるための、カスタムのチェッカーが作成できます。防衛的実装技法の利用（1d） CSAは、関数の戻り値をチェックしていない箇所をハイライトすることで、防衛的プログラミングを実施します。空値のチェックだけでなく、戻り値の検証やテストも実施してエラーの可能性を探ります。 o + ++ ++ 確立された設計原則の利用（1e） AAによってアーキテクトは、設計の仕様が時間の経過とともに劣化したり、開発中に望ましくない依存関係が入り込んだりしないように設計原則を確立し、この原則に可視性とコントロールをもたらすことができます。コベリティSDKを用いることで、カスタムのチェッカーを作成し、グローバル変数の利用など、設計原則の特定の違反をテストできます。 + + + ++ 明白なグラフィック表示の利用（1f）このガイドラインは、C/C++、Java、Cの各言語には適用されません。 + ++ ++ ++ スタイルガイドの利用（1g）コベリティの拡張可能なデベロップメントテスト・プラットフォームにより、企業はスタイルガイドなどのサードパーティ製ツールをプラットフォームに統合するとともに、ガイド違反を共通ユーザーインターフェースで管理できます。 + ++ ++ ++ 命名規則の利用（1h）コベリティSDKを使い、命名規則の違反に対するカスタムのチェッカーを作成できます。 ++ ++ ++ ++ 5 コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポートソフトウェア・アーキテクチャ設計製品設計フェーズが開始されると、ガイドラインの次のステップはソフトウェア・アーキテクチャ設計です。このフェーズの目標は、ソフトウェアの安全性要件を実現するアーキテクチャの確立です。アーキテクチャ設計では、すべてのソフトウェア・コンポーネントおよび、コンポーネント同士の相互関係が階層的構造で示されます。すべてのソフトウェア・コンポーネントのインターフェースやデータ・パスといった静的側面と、制御順序やタイミングなどの動的側面を記述しなくてはなりません。コベリティの Architecture Analysis および Integrity Control が、モジュール化、カプセル化、最低限の複雑性という目標の実現を支援します。ソフトウェア・アーキテクチャ設計の原則（表4）トピックコベリティのデベロップメントテストのサポート ASIL A B C D ソフトウェア・コンポーネントの階層的構造（1a） AAおよびICを使用し、ソフトウェア・コンポーネントの階層的構造をグラフィックで提示します。 ++ ++ ++ ++ ソフトウェア・コンポーネントのサイズ制限（1b） ICはソフトウェア・コンポーネントのサイズに関してグラフィック表示を行い、また、最大許容サイズを超過したモジュールを特定するためにカスタムのチェッカーを作成することもできます。 ++ ++ ++ ++ インターフェースのサイズ制限（1c） AAを使ってインターフェースのサイズを視覚化できます。 + + + + 各ソフトウェア・コンポーネント内の高い凝集性（1d）ソフトウェアの凝集度に重点を置いたサードパーティ製ツールのレポートを、コベリティの拡張可能なプラットフォームに統合できます。 + ++ ++ ++ ソフトウェア・コンポーネント間の結合の制限（1e） AAを使ってコンポーネント間の関係、および依存関係を視覚化できます。 + ++ ++ ++ 適切なスケジューリング・プロパティ（1f）スケジューリング・プロパティに対応するサードパーティ製ツールのレポートをコベリティの拡張可能なプラットフォームに統合できます。 ++ ++ ++ ++ 割り込みの使用制限（1g）コベリティのSDKを用いて、システム・ハードウェアへの割り込みなどの動作に関するカスタムのチェッカーを作成できます。 + + + ++ 6 コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポートソフトウェア・ユニット設計および実装アーキテクチャ設計が完了すると、ISO 26262 標準における次のステージは、ソフトウェア・ユニット設計および実装になります。この標準では、ソフトウェア設計および実装に関する数多くのガイドラインを提供し、実行の正しい順序、インターフェースの一貫性、データフローおよびコントロールフローの正確性、簡潔性、可読性、包含性、堅牢性を確保しています。ソフトウェアのユニット設計および実装のための設計原則（表9）トピックコベリティのデベロップメントテストのサポート ASIL A B C D 副プログラムおよび関数内には1個のエントリーおよびイグジットポイント（1a） CSAがリターン・ステートメントを自動的に解析し、コンポーネントまたは関数内に複数のエントリーおよびイグジットポイントがないかを調べます。 ++ ++ ++ ++ 動的オブジェクトまたは変数の排除、あるいはその生成時にオンライン・テストを実施（1b） CSAが自動的にソースコードの解析を行い、動的オブジェクトの利用が、その生成時に適切にテストされたことを確認します。たとえば、ユーザーはソースコードを解析することで、malloc()が使用されている場合に戻り値がチェックされていることを徹底できます。 + ++ ++ ++ 変数の初期化（1c） CSAが自動的にソースコードをテストして、初期化されていない変数がないかどうか調べます。 ++ ++ ++ ++ 変数名の多重使用の禁止（1d） CSAが自動的に解析し、ローカル変数によるローカル変数の隠蔽（local hiding local）、ローカル隠蔽パラメータおよび結合衝突などの問題を、不具合として開発者に提示します。 + ++ ++ ++ グローバル変数の回避または、その使用の正当化（1e）コベリティSDKを用いて、グローバル変数の使用を探すカスタム・チェッカーを作成できます。 + + ++ ++ ポインター使用の制限（1f）コベリティSDKを用いて、ポインター計算の制限を課すためのカスタム・チェッカーを作成できます。 o + + ++ 暗黙の型変換の禁止（1g） CSAがMISRA_CASTチェッカーを使って、MISRAガイドラインが定める暗黙の型変換を自動的に検知します。 + ++ ++ ++ コベリティSDKにより、ヒープ割り当てを特定するカスタム・チェッカーが作成できます。コベリティSDKを用いて、さらなる暗黙の型変換を探すカスタム・チェッカーを作成できます。隠れたデータフローまたはコントロールフローの禁止（1h）コベリティSDKを用いて、隠れたデータフローまたはコントロールフローの存在を検知するカスタム・チェッカーを作成できます。たとえば、チェッカーはgotoラベルを持つソースコードを解析し、それらを潜在的不具合としてレポートします。 + ++ ++ ++ 無条件ジャンプの禁止（1i）コベリティSDKを用いてgotoステートメントを探知することで、無条件ジャンプを探すカスタム・チェッカーを作成できます。 ++ ++ ++ ++ 反復の禁止（1j） CSAが反復を自動的にチェックし、その存在を潜在的な不具合として検知します。 + + ++ ++ 7 コベリティホワイトペーパーコベリティのデベロップメントテストによるISO 26262のサポートまとめ ISO 26262 標準が完成に向けた最終段階にあるなかで、自動車関連企業は標準への準拠計画を確立することが重要です。コベリティのデベロップメントテスト・プラットフォームにより、企業は、自社が製造する自動車の機能的安全性を確保するのに必要なコーディング・ガイドラインおよびアーキテクチャ設計に準拠でき、増大するソースコードの複雑性をよりよく管理できるようになります。 Coverity, Inc.（コベリティインク）についてコベリティは、ソフトウェアの不具合から顧客の企業ブランドとビジネスを守る、静的解析技術をコアとしたデベロップメントテストの業界リーダーです。 Samsung、東芝、日本電気などを含む 1100 の顧客が、コベリティのデベロップメントテストスイート製品群を導入し、ソフトウェアの予期せぬ動作、クラッシュやセキュリティ脆弱性につながる重大な不具合を自動的に解析、検出しています。弊社の詳細は、http://www.coverity.com/html_ja/ をご覧ください。コベリティ日本支社〒163-0509 東京都新宿区西新宿1-26-2 新宿野村ビル 9階 TEL: 03-5909-8838 E-mail: [email protected] Website: http://www.coverity.com/index_jp.html Coverity, Inc. 米国本社 185 Berry Street, Suite 6500 San Francisco, CA 94107 USA E-mail: [email protected] Website: http://www.coverity.com http://scan.coverity.com Coverity は Coverity, Inc. の登録商標です。その他の会社名および商品名は各社の商標または登録商標です。 2012.01 発行