☑機能安全 ~上流で設計すべきもうひとつの品質
第7回:Black Channelと残存エラー率
株式会社制御システム研究所 森本 賢一
2011.12.22
※記事執筆時は、三菱重工業株式会社 原動機事業本部に在籍
弊社がネットワークセキュリティで社会をお騒がせしている昨今、機能安全の通信に関する解説を掲載するのは心苦しい限りですが、機能安全のシステムの構想設計を行うにあたり、通信についてもう少しお話しする必要があります。何卒お付き合い、ご容赦ください。
さて今回はガンダム ユニコーン(UC)です。この作品で前面に出てくるのが、初代ガンダムで最終決戦近くに登場した「サイコミュ」という兵器です。
これはNew Typeがもつ精神感応の能力を、機械と人のI/Fに拡張するシステムです。精神波は「サイコミユ」装置で強化され、遠方にある端末(砲台)を、距離に関係なくリアルタイムで操作します。主人公の搭乗するガンダムUCは、全身がこのサイコミュで出来ており、対峙する敵がNewTypeの場合、それを感知し「NTD」とよばれる機能が発動し機動力が大幅にアップします。
ところがこのサイコミュ、結構誤動作します。本来「対峙した相手」がNew Typeの場合それを感知し敵と見なして殲滅する仕組みなのですが、搭乗する主人公自身がNew Typeであることを想定していなかったためなのか、乗っている本人の精神に感応して発動してしまいます。おいおい。
敵はサイコミュを用いた砲台を操作し遠隔から攻撃してきますが、NTDを発動したガンダムUCにその端末を乗っ取られてしまいます。つまり遠隔で操作している敵の精神波でなく、攻撃相手のガンダムUCの搭乗者の精神波に応答してしまうのです。
前回ご紹介した「攻殻機動隊」では、ネットワークに接続された個人の「電脳」をハッキングする場合、そこに明確な人間の意図や悪意、成りすましの工夫や努力があるのですが、ガンダムUCの場合のそれは、サイコミュという通信システムが持つ本質的な脆弱性のように描写されています。これを機能安全的に捕らえると、どう考えるべきなのでしょうか?
(前回の復習)
通信をCOTS
システムとして扱い、機能安全のシステムに適用する上での考え方(=Black Channel)についてお話しました。通信経路の個々の機器の故障を論じるのではなく、通信という仕組み全体を一つのサブシステムとして捉え、それが引き起こす故障状態(Failure Mode)を定義し、通信が介在するシステムの両端でその故障状態に対する打ち手を備えることで、機能安全のシステムとして構築できるようにする考え方でした。
前回の補足リンク②のような代表的な打ち手をご紹介しました。
しかしこのような「打ち手」は、データが間違いなく届いてこそ意味を持ちます。たとえば、『パケットの時刻が古ければ捨てる』と設計していても、万一パケットの時刻部分が「化けて」新しい時刻になってしまっていれば、時刻をつけて送るという「打ち手」は、意味を持たなくなります。また、『相手のアドレスを明確に記載する』、と設計してもそのアドレスの番号が「化けて」しまい、本来の相手とは異なる相手に届いてしまっては、結局間違った通信を行うことになってしまいます。
つまり前回ご紹介した通信というサブシステムに対する「打ち手」は、経路でデータが「化ける」と、その効力が半減もしくは失われます。言い換えれば、データが「化ける」ことを適切に評価することが出来なければ、どのような「打ち手」もそれが有効なのか、有効ではないのか評価できなくなります。
前回のメルマガでは、データが化けることに対する「打ち手」として、CRCなどの誤り検出符号をつけて送れば、エラーを検知できると書きました。それは間違いではありません。しかし、CRCをつけさえすれば、万事解決といっていいのでしょうか?
今回はデータが化けても、それが間違っていることを知ることが出来ない確率、「残存エラー率」について紹介してゆきます。
前のページへ