3. 記述ルール
・ノードの種類
D-Caseは安全性ケースのグラフィカルな表記法の一つである
GSN(Goal Structuring Notation) を使って表記します。
主に以下のノードにより構成されます。
このうち、モニタと外部接続はD-CaseのGSN からの拡張です。
1. ゴール(Goal)
対象システムに対して、議論すべき命題です。例えば「システムはディペンダブルである」
とか「システムは適切な安全性をみたす」などです。
2. 戦略(Strategy)
ゴールが満たされることを、サブゴールに分割して詳細化するときの議論の仕方です。例え
ば、「システムは安全である」というゴールに対して、現時点で識別されているハザードに
対処できていることによって議論したいとき、戦略ノードとして「識別されたハザードごと
に場合分け」を用いると、例えばひとつのサブゴールは「システムはハザードX に対処でき
る」となります。
3. 前提(Context)
ゴールや戦略を議論するとき、その前提となる情報です。例えば、運用環境や、システムの
スコープ、あるいは「識別されたハザードのリスト」などです。
4. エビデンス(Evidence)
詳細化されたゴールを最終的に保証するものです。例えばテストや形式手法による検証結果
などです。
5. 未達成(Undeveloped)
ゴールを保証するための十分な議論もしくはエビデンスがないことを表します。
6. モニタ(Monitor)
運用中のシステムより取得可能なエビデンスです。たとえばインターネットのアクセスログ
などです。D-Case ツールはシステムと連携し、モニタリングを用いながらディペンダビリ
ティの保証を支援します。
7. 外部接続(External)
他のシステムのD-Case へのリンクです。システムは単一でディペンダビリティを保つこと
はなく、助けあいながら保ちます。
ノードのつなげ方、矢印は以下のとおりです(図5)。
1. ゴールは戦略を通して分解されます。
2. D-Case の葉は、エビデンス、モニタ、外部接続、未達成のいずれかです。
3. 前提は、ゴール、もしくは戦略につなげられます。
4. 矢印は2種類あります。
・ゴールから戦略、戦略からゴール、ゴールからエビデンス、モニタ、外部接続、未達成
・ゴールから前提、戦略から前提(白抜きの矢印)