特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
連載
» 2018年05月11日 10時00分 公開

基礎から学ぶSTAMP/STPA(2):STPAの手順を理解する (3/4)

[石井正悟(IPA ソフトウェア高信頼化センター 調査役),MONOist]

ステップ1:非安全なコントロールアクションの抽出

 本稿ではステップ1を「非安全なコントロールアクションの抽出」としている。

 コントロールストラクチャーをベースに、制御対象のプロセスに対するコントローラーからのアクションのうち、以下の4つのタイプの安全でないコントロールアクションを抽出する。

  1. 与えられないとハザード:Not Providing
    →安全のために必要とされるコントロールアクションが与えられないことがハザードにつながる
  2. 与えられるとハザード:Providing causes hazard
    →ハザードにつながる非安全なコントロールアクションが与えられる。あるいは、本来安全のために必要とされるコントロールアクションが不適切な条件や形態で与えられる
  3. 早過ぎ、遅過ぎ、誤順序でハザード:Timing:Too early/too late, wrong order causes hazard
    →安全のためのものであり得るコントロールアクションの開始タイミングが、早すぎたり遅すぎたり、順序通りに与えられないことでハザードにつながる
  4. 早過ぎる停止、長過ぎる適用でハザード:Duration:Stopping too soon/applying too long causes hazard
    →連続的、または非離散的なコントロールアクションにおいて安全のためのコントロールアクションの停止が早すぎて適用時間が短すぎる、もしくは停止が遅すぎて適用時間が長すぎることがハザードにつながる

 ステップ1の分析に使うフォーマットに決まりはないが、非安全なコントロールアクション(Unsafe Control Action:以下、UCA)のドキュメント化のためには、次のような表を用いるのが便利とされている。

コントロールアクション 与えられないとハザード 与えられるとハザード 早過ぎ、遅過ぎ、誤順序でハザード 早過ぎる停止、長過ぎる適用でハザード
(コントロールアクション) (条件) (条件) (条件) (条件)
表1 UCA識別に用いる表の例

 UCAは、安全のために必要なルールと関連付けて考えることができるため、UCAの分析から安全制約を作り出すことも可能である。このため、安全制約をステップ1の段階で作成したり、作成済みの安全制約をUCAの分析結果をもとに見直したりすることもできる。STAMP/STPAは、分析の途中で新たな発想を得やすいという点が長所でもあり、STAMP/STPAが「強制発想手法」とも呼ばれるゆえんである。自由な発想を導き易くする手法なのである。

Copyright © ITmedia, Inc. All Rights Reserved.