最初のステップでは分析の目的を明確化するために「アクシデント」「ハザード」「安全制約」の3つを決める。これらを決めるのは、他のシステムエンジニアリングのハザード分析にも共通する。ただし、STAMP/STPAでのハザードの定義は、他の分析法とは異なっている可能性があることに注意したい。それぞれの定義は以下の通りだ。
望んでもいないし計画もしていない、損失につながるようなイベントを指す。具体的には人命損失、けが、物損、環境汚染、ミッション喪失、経済的損失といったものである。STAMP/STPAでは安全工学の技法をできるだけ幅広く適用する意図で、アクシデントの種類も広域に網羅している。
システム(機器)を取り巻く環境が最悪な条件と重なることで、アクシデントにつながる状態を指す。この定義には、安全性と信頼性の混同を回避するために、単なる故障とハザードを区別し、分析可能な範囲を拡げるといった意図がある。ハザードが「コントロール対象のシステムの境界内のものである場合」と、「コントロール範囲外の環境が影響している場合」では、ハザードの“質”が異なるからだ。
ハザードが識別されると、そこからシステムを安全に保つための要件、もしくは制約を導くことができる。トップダウンで考える場合、まず高レベルの安全制約が導かれることになる。安全制約はこの段階で全て確定するとは限らず、STPAの実施によって導出、修正されることもある。
アクシデント、ハザード、安全制約を考えるのは、アクシデントのモデルやハザードの解析法によらず、一般的な手順である。STAMP/STPAのユニークな点は、コントロールストラクチャーを構築することだ。システムのコンポーネントに機能を割り当てるといったことは一般のシステムエンジニアリングの活動でも行われている。しかし、システムの安全を維持するためにコンポーネント間のインタラクションがどのように連携しているのかをモデル化した「コントロールストラクチャー」というモデルを基に考える点が、既存手法と大きく異なる。
多くの複合的で複雑なシステムにおいて、機能的な振る舞いに関する情報は、システムごとに点在している。そのため把握することが難しい。一方、STAMPのコントロールストラクチャーは、システムの安全を維持する仕組みをうまくグラフィカルにモデルとして表現しているため「共有資料」として役立てられる。
Copyright © ITmedia, Inc. All Rights Reserved.