特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
連載
» 2018年03月09日 10時00分 公開

基礎から学ぶSTAMP/STPA(1):STAMP/STPAとは何か (4/4)

[石井正悟(IPA ソフトウェア高信頼化センター 調査役),MONOist]
前のページへ 1|2|3|4       

Step1:非安全なコントロールアクションの抽出

 コントロールストラクチャーの構築が終わったら、安全制約の実行に必要なコントローラーによる指示(コントロールアクション)を識別し、4 種類のガイドワードを適用して、ハザードにつながる非安全なコントロールアクション(Unsafe Control Action:UCA)を抽出する(表1)。

表1 表1 非安全なコントロールアクションの抽出例。ハザードに至る例は青字で示している(クリックで拡大)

Step2:ハザード要因の特定

 Step1で抽出した非安全なコントロールアクションごとに、関係するコントローラーと被コントロールプロセスを識別する。次にコントロールループ図を作成し、ガイドワードを適用し、さらにハザード要因(Hazard Causal factor:HCF)を特定する。

 コントロールループ図とは、コントロールストラクチャー図から、あるコントロールアクションに着目して、「制御するコンポーネント」→「コントロールアクション」→「制御されるコンポーネント」→「フィードバック」→「制御するコンポーネント」のループを抜き出したものである。

 Step2では、コントローラーの想定するプロセスモデルが、実際のプロセスの状態と矛盾することなどで起きる要因を特定する。

 例えば、図6のハザード要因の特定例で、実際には「コンポーネントCは既にコマンド2を受信している」(実際のプロセスの状態)のに、コンポーネントAが「コンポーネントCはまだコマンド2を受信していない」(コンポーネントAのプロセスモデル)と誤判断すると、プロセス状態とプロセスモデルが矛盾することになる。この矛盾した状態はハザード要因の1つといえる。

図6 図6 コントロールループ図に書き込んだハザード要因の特定例(クリックで拡大)


 いかがだっただろうか。第1回目ではSTAMP/STPAと既存の分析手法の違いと、分析手法の流れを紹介した。「各機器の相互作用に着目し、関連する全てを含めたものをシステムとして捉えることが、STAMP/STPAの要」であることを覚えておいてほしい。

 次回は、STAMP/STPAの各Stepで具体的に何をすべきか(What)、それをどうやればよいのか(How)について、さらに深く掘り下げる。より具体的な分析実施例を用いて解説するので、ぜひ参考にしてほしい。

プロフィール

photo

石井 正悟(いしい しょうご) IPA ソフトウェア高信頼化センター 調査役

京都大学理学部卒業後、東芝エンジニアリングを経て東芝ソリューションにて、OSカーネル、システムシミュレーション技術の研究開発に携わる。現在はIPAにて、STAMP、FRAMなどの安全性解析手法の調査研究に従事。

IPA ソフトウェア高信頼化センター
https://www.ipa.go.jp/sec/

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.