english japanese german

GSNとは?

GSN(ゴール構造表記法:Goal Structuring Notation)は、議論をグラフィカルにあらわす表記法です。GSNは、議論の構成要素(目標や回答、文脈など)とそれらの間の関係を明確に記述するために使われます。GSNによって記述された議論は、システムやサービス、組織のセーフティやセキュリティといったクリティカルな特性の保証を助けます。

GSNの用途の一つに、セーフティケースの記述が挙げられます。セーフティケースは安全性がどう保証されるかを構造化された議論で示すもので、その安全性の保証は鉄道や航空機など様々な分野で義務化されています。車載組込みシステムの機能安全規格ISO26262の例でも、安全目標と機能安全要件の定義の為にGSNを活用することができます。

GSNでは「目標」をどうやって満たすのかを、階層的に下位の「目標」に分割し、それ以上分割できない「目標」には、根拠となる「回答」を示します。その他に「目標」の分割をどのような方法で行うかを示す「戦略」や「仮定」「正当化理由」また、その目標が成立つ「文脈」などを使って議論構造を可視化します。それらにより、主張の曖昧さや抜け漏れをつかみやすくし、第三者への説明しやすさも高めます。そのため、安全ケースにかぎらず、セキュリティやディペンダビリティ、その他の議論構造の可視化などにも活用されます。

GSN解説ビデオ


「1. なぜGSN?」 (名古屋大学 山本教授)

「2. GSNとは?」(名古屋大学 山本教授)


序章

このスタンダードは2つの目的がある。1つはゴール構造表記法(以下GSN)の包括的で、正式な定義を提供すること。2つ目は、GSNの利用に当たって現時点でベストな練習教材を、工学的議論の展開と評価に興味のある(議論の所有者や読者、著者、承認者)といった人々に提供することである。
このスタンダードは、学術界や産業界から参加したGSNユーザーの間で、2007年から2011年に行われたコンセンサスによって発展してきた。その歴史としてiiiページのアウトラインには最近のコラボレーションの経過を、ivページにはスタンダード発行に関わった寄稿者のリストを載せた。

Part0: イントロダクションと概念

0.1.1 GSN Community Standard (以下Standard)において本節は、初心者がこの覚書を頼りにすることなく、表記法に従ったゴール構造を読み、理解するためのGSNに関する十分な情報を与えるものである。

0.1.2 GSNを使用し、提案された議論(Argument)は、システムやサービス、組織の決定的性質(例えば安全性、セキュリティなどの性質)に確実性を提供する手助けとなる。このような議論は保証ケース全体の鍵となる形を作ることができる。保証ケースにおける議論の役割は0.2節で説明する。

0.2 保証ケースにおける議論の効果

0.2.1 保証ケースのコンセプトは、保証ケースの発展、再検討、受容によって安全保障プロセスの主要素を形作り、多くの産業に貢献したアシュアランス分野において長年定着してきた。

0.2.2 保証ケースは、以下のように定義できる。

"明確な環境、明確な応用(application)に対して、システムやサービス、組織を目的通りに動作させる(一連の証跡による)妥当で説得力のある議論"

0.2.3 実際には、保証ケースは特定の焦点を持てる。例えば、安全ケースは、特定のシステムが、特定の背景において受容可能な安全であると示せる。

0.2.4 保証ケースがステークホルダー達によって発展、議論、挑戦、提起そして再検討され、また、製品のライフサイクルと通して調整されることを通して、明確な文書化が保証ケースには必要とされる。保証ケースの文書化された議論は必ず、全ての安全ケースのステークホルダーが理解できるように構造化されなければならない。また、各証跡がどのように議論を支えると断言できるかを明確にする必要がある。そして議論の核のコンセプトに訴えることによって、GSNがこれらの目的に対処する助けになる。

議論(Argument)とは?

0.3.1 保証ケースで使われる議論は、主張を成立させることを目的に、その下位主張を直列接続したものと定義できる。ある主張の事実を他人に納得させようとすれば、それをサポートする主張を作ることになるが、その主張自身が、更なるサポートを必要とするかもしれない。そして議論が根付くことで、一連の作業が(推論の論理的な連鎖という)主張の階層を組み立てる。GSNの本質は、主張の階層という明確なドキュメントである。GSNの主要素は0.4節で説明する。

0.4 Goal Structuring Notation(GSN)

0.4.1 GSNは、議論のグラフィカルな表記法で、ドキュメントの中で議論や議論と証跡との関係性を表す構造と要素を明確にすることができる。GSNでは、議論の主張は「ゴール」として記録され,証跡というアイテムは「ソリューション」に記録される。GSNの要素の名前は、このStandardでは一般的な使用法と区別するためにイタリック体にしている。GSNにおける関係は以下のとおりである。

  • - ゴールと下位ゴールを結ぶ述部結論関係(Predicate-Conclusion relationship)
  • - 主張とその主張のための解決策を結ぶサポート関係
  • - 議論とその議論の背景・前提条件を結ぶ関係

0.4.2 GSNの目的は、主張(GSNにおいてゴールと表現される)が、いかに下位主張(こちらもゴールと表現される)にサポートされているかということを文書化することにある。図1は、GSNにおけるゴールの例である。

0.4.3 証跡が主張の事実をサポートしていると断言する場合、GSNではそれをソリューションによって表現する。図2はGSNにおけるソリューション(証跡への参照)の例である。

 

0.4.4 主張がいかに下位主張にサポートされているかを示す場合、推論ステップを踏むことが有効である(言い換えれば、主張と下位主張をつなぐことが議論の本質である)。GSNにおいて、それはゴールにつながる議論のストラテジーと言う。図3はGSNにおけるストラテジーの例である。


0.4.5 GSNゴール又はストラテジーを記録する時、説明されなければならない主張や推論ステップの背景・前提条件を抜き出すことも重要である。これは、GSNにおいてコンテキストとして表現される。図4はGSNにおけるコンテキストの例である。


0.4.6 幾つかの主張と議論戦略は有効な仮定に頼っている。これらの仮定はGSNにおいて、[アサンプション]要素として明示できる。[アサンプション]要素の例は、図3に見ることができる。つまり、戦略S1は、全ての信憑性のあるハザードが、納得できる議論の延長線上で、正確に確認されたという仮定の上に成り立っている。

0.4.7 議論の製作者達は、特定の主張、議論戦略の正当性に対して受容可能な理由が幾つか必要だと感じるかもしれない。これはGSNにおいて[ジャスティフィケーション]要素として実現できる。ジャスティフィケーションの例は図5に見ることができる。すなわち議論の製作者は、正当な安全規格によって認証されたSIL割り当てであるという主張によって、議論がそのSILの使用を処理する効果を正当化できる。



0.4.8 ゴール、ソリューション、ストラテジー、コンテキスト、アサンプション、そしてジャスティフィケーションはGSNの最も重要な要素である。(GSNの全て要素の完全な説明はPart1後半で行う)

0.4.9 GSNには、要素間を繋ぐSupportedByリンクとInContextOfリンクという2種類のリンクがある。SupportedByリンク(黒矢印で表される)は要素間の推論関係、又は証跡関係を表す。InContextOfリンク(白矢印で表示)は、背景・前提関係を宣言している。

0.4.10 GSNの要素が1つに連結したものを「ゴール構造」という。図6(下図)はゴール構造の例である。


0.4.11 ゴール構造は、議論における論理的な断定連鎖を(目に見える主張されたゴール分解と議論のストラテジーの記述によって)記録し、この議論がどのように(ソリューションによって)証跡にサポートされているかを指し示す。また、ゴール構造は議論の主張が前進している中で、その背景・前提条件も明確に記録する。

0.4.12 重要な事は、GSNが、断言された議論を記録する手軽な手段だということだ。また、GSNの使用自体はその議論の事実を立証しない。

0.4.13 GSNのような、保証ケースの議論を記録し、発展させる系統的アプローチを使用する主な利点は、主なステークホルダー間(例えば、システム開発者、エンジニア、外部査定者、認証機関)の理解力が改善することである。同様に、これはディベートの質を改善し、議論の承認に達する合意にかかる時間を改善できる。例えば図6のゴール構造を見れば、SIL4を主保護システムに配分し、SIL2を副保護システムに配分することが、関係する各ハザードに適合していることを効果的に明示できるかどうか、という合理的な疑問が湧くだろう。この議論が、SIL割り当ての理由を要求するように導けるかもしれない。