安全性解析手法STAMP／STPAの使いこなし方、日本ユニシスが社内展開へ：組み込み開発ニュース

日本ユニシスは、IoTなどによって複雑化するシステムの安全性解析手法として注目される「STAMP／STPA」をより具体的に運用するための研究成果を披露した。

[朴尚洙，MONOist]

　日本ユニシスは、同社の総合技術研究所を中心とする研究開発の取り組みを披露する「R＆D見本市」（2018年2月2日）において、IoT（モノのインターネット）などによって複雑化するシステムの安全性解析手法として注目される「STAMP／STPA」をより具体的に運用するための研究成果を披露した。

　従来のシステムは、IoTなどによって相互に通信することを前提としていないため、各システムの信頼性を担保することがすなわち安全性となっていた。しかし、システムが互いにつながるようになると、つながることに起因する事故が発生するようになる。つまり、各システムの信頼性を担保するだけでは、つながるシステム全体の安全性を確保できなくなる。

　STAMP／STPAは、こういったつながるシステムの安全性を解析するための手法である（関連記事：システム理論に基づくアクシデントモデルSTAMP）。米国マサチューセッツ工科大学（MIT） 教授のナンシー・レブソン（Nancy Leveson）氏が提唱したSTAMP（Systems-Theoretic Accident Model and Processes：システム理論に基づくアクシデントモデル）と、ハザード分析手法のSTPA（STAMP based Process Analysis：STAMPに基づく安全解析手法）から構成される。

　ただし、STAMP／STPAの運用については具体的な手法が定まっていない状況にある。そこで今回の研究成果では、STPAを行う際のプロセスモデル抽出方法をより具体化した。まずは、ハザードのコンテキスト（システムの条件あるいは環境）について、レブソン氏の弟子であるMITのジョン・トーマス（John Thomas）氏が提唱した「Extending STPA」のプロセス階層モデルにより詳細化する。

「Extending STPA」を用いたプロセスモデル抽出法（クリックで拡大） 出典：日本ユニシス

　Extending STPAによって得られた詳細化したプロセスモデルに対して、「6W3H」の視点によるコンテキスト特定を行ってさらにコンテキストを分解し、UCA（Unsafe Control Action：安全ではないコントロールアクション）の構造を定義する。そして、UCAの構造が分かれば、原因の特定も可能になるというコンセプトだ。

「電車の運転手が走行中にドアを開ける」というハザードを例にした「Extending STPA」によるUCA構造の定義（左）。そして、コンテキストを分解して追加のガイダンスを得る（右）（クリックで拡大） 出典：日本ユニシス

　なお6W3Hは、5W1HであるWho、What、When、Where、Why、Howに、How many、How much、Whomを追加したもので、要件定義のプロセスなどに用いられている。

「6W3H」の視点によるコンテキスト特定（クリックで拡大） 出典：日本ユニシス

　日本ユニシスの説明員は「まずは2018年度を目標に、当社内でガイドラインを展開していきたい」と述べている。