STAMPは、システム事故の多くは構成部品の故障ではなく、システムの中で制御する側と制御される側の相互作用が正しく働かないために発生するという前提に立っている。従来のハザード分析は1つ1つの構成要素から“悪者探し”をするもので、見落としが生まれやすい。
FTA(Fault Tree Analysis)やFMEA(Failure Mode and Effect Analysis)といった現在のハザード分析手法は40年以上前に確立された。その当時はシステムの主体はハードウェアであり、「アクシデントの原因は構成部品の故障やオペレーションのミスによるもの」と捉えられていた。しかし、システムの大規模化や複雑化が進んだ今日では、ハードウェアの故障やオペレーションのミスを防いでも、ソフトウェアから想定外の事象が発生する。
STAMPに基づく分析は、制御する側とされる側の相互作用に着目し、起こりうるハザード要因を洗い出していく。自動車を例にとれば、運転支援システムとドライバー、運転支援システムと他の制御系、ドライバーと車外の環境というように分析対象のシステムに関係する構成要素の相互作用からハザードを検討して、想定外の事象を減らしていく。
想定外の事象を完全になくすことはできないが、対策すべきハザードを開発部隊全体で共有することができるのが利点となる。従来のハザード分析では、想定外の事象の洗い出しは個々の知識やスキルに依るところが大きかった。
従来のハザード分析との大きな差異は、概念設計の段階から取り入れられることだ。FTAやFMEAといった手法は、分岐条件を論理的に組み立てることで網羅的に分析できるが、全体的な視野で見ることが難しい。また、システムの構成要素と故障モードが確定するアーキテクチャ設計の段階でなければ適用できない。
STAMP/STPAは、概念設計の段階からハザード分析を開始できるため、開発の手戻りを減らすことができ、「提唱者のレブソン氏からは、今まで6年かかっていた作業を3年で終えることもできるようになると聞いている」(JasParの岡田氏)。
協定を結んだIPAとJasParが協力し、まずは日本の自動車産業で活用を後押しする。IPA/SECは、STAMP/STPAの導入を支援する解説書「はじめてのSTAMP/STPA」を2016年4月に作成し、Webサイトを通じて公開している。JasParはこの解説書を活用して、自動車向けの具体的な活用ガイドを作成する。JasParが保有するドメインごとの知識や、現場目線を織り込む。2018年3月末までに作業を進めて、JasParの会員企業向けに公開する予定だ。
IPA/SECは自動車業界での導入実績を生かし、他業界にも展開を進めていきたいとの考えだ。
Copyright © ITmedia, Inc. All Rights Reserved.