STPAの分析を実際にやってみる:基礎から学ぶSTAMP/STPA(3)(3/6 ページ)
Step0(準備1):アクシデント、ハザート、安全制約を識別する
最初のステップとしてアクシデント、ハザート、安全制約の3つを決める。
以下の分析を行った結果のSTAMP WorkbenchプロジェクトファイルはこのURLからダウンロードできるので、STAMP Workbenchでこのプロジェクトファイルを開いて操作しながら本稿を読み進むことをお勧めする。
⇒STAMP Workbenchプロジェクトファイルのサンプル
STPA Handbookでは、このステップで「解析目的を定義する」としている。「解析目的を定義する」には、まず解析対象システムがどういうものであるかを明確にする必要がある。通常、このステップへのインプットとして、システムの「要求仕様書」がある。システム開発の構想段階のような超上流では、いまだ要求仕様書の体裁をなしていない場合もあるかと思う。ここでは、解析作業へのインプットとして、図4のような要求仕様が与えられたものとする。
要求仕様(基本的な動き)
- i.:警報開始センサー(A,B)で列車を検知すると踏切鳴動を開始させる
- ii.:警報終止センサー(C)で列車を検知すると一定時間後に鳴動を終止させる
- iii.:AからCに向かうとき、Bをマスクする
- iv.:BからCに向かうとき、Aをマスクする
上記の要求仕様では、システム境界が不明瞭なので、どこまでを分析するのかが定まらない。そこで前提条件を設定して、システム境界を定義する。また、前提条件では、仕様についても仮に設定しなければ、安全か非安全かを区別できないこともあるので、分析しながら都度前提条件を追加/修正していくことになる。
- 進行制御システムとのインタラクションまでは考えない
- 対向で列車が来ることはないものとしても良い
- 続行で行く(複数台進入)はあり得るものとする
以下、分析の過程で追加した前提条件 - 開始/終止センサー単独では列車進行方向を判別不可
- センサーからの信号を受けた踏切制御装置が判別する
- 反対側の開始センサーからの通知をマスクする機能仕様
- 終止センサーCを通過したら、開始センサーBのマスク制御を開始
- 開始センサーBを通過したら、開始センサーBのマスク制御を解除
- 警報の鳴動と遮断機は必ず連動するものとする
- 「踏切が閉まる」≡「警報が鳴動」、「踏切が開く」≡「警報が鳴動せず」
- 開始/終止センサー間の相互作用はない
- 開始/終止センサーへのフィードバックはない
- 各センサーの短絡検知範囲は約30mで、列車の車輪の間隔は15m以内(車両長は約20m)である。よって列車通過中は短絡状態が継続する
- 警報機、遮断機から踏切制御装置へのフィードバックは考えない
STAMP Workbenchでは、図5のような前提条件表に整理していく。
次に、対象システムにおける損失(Loss)は何かを定義する。STAMPでは、その損失が発生することをアクシデントと呼んでいる。そして、アクシデントに至る可能性のある状態をハザードと呼んでいる。安全制約とは、ハザードの裏返しである。
STPA Handbookに示された損失の例は以下の通り。
- 人命の喪失または人々への負傷
- 車両の損失または損害
- 車両外部のものの損失または損害
- ミッションの喪失(例えば、輸送ミッション、監視ミッション、科学的ミッション、防衛ミッション、など)
- 顧客満足度の損失
- 機密情報の喪失
- 環境の損失
- 発電の損失
これらのうち、どれにフォーカスして解析したいのかを識別する。
STPA Handbookでは、システムレベルのハザードについて3つの基本的な基準を示している。
- ハザードは、システム状態または条件である(コンポーネントレベルの原因または環境状態ではない)
- ハザードは、いくつかの最悪ケースの環境で損失につながる
- ハザードは、防止されるべき状態または条件を言い表さなければならない
上記をヒントにして、STAMP Workbenchの「アクシデント、ハザード、安全制約表」に記入していく(図6)。
IDはツールが自動的に付加する。自動的に付加されるIDとは別に独自のIDを付ける必要があれば、それぞれの文言の先頭にでも挿入するなど、ツール活用の工夫をすると良い。
Copyright © ITmedia, Inc. All Rights Reserved.
組み込み開発の記事ランキング
- ルネサスの第5世代R-Carはチップレットで機能拡張、3nmプロセス採用で省電力に
- NVIDIAのファンCEOが断言「ロボットAI革命をリードするのは日本がふさわしい」
- イチから全部作ってみよう(14)異常系を組み込んだら仕様書が膨れ上がった!
- 東芝と理研が量子コンピュータ新素子を性能実証「100m走で9秒7台レベルの快挙」
- ソニーが産機向けCMOSセンサー商品化、グローバルシャッターで2455万画素394fps
- チャタリング対策をソフトウェアだけで行う方法
- AUTOSAR導入でコードジェネレーターのしもべに? ARXMLはもっと利活用できる
- AIサーバの液浸冷却に対応したアルミ電解コンデンサーを開発
- CAN通信におけるデータ送信の仕組みとは?
- 組み込みシステムの開発現場に対応したJTAGデバッガの製品化を発表
ITmediaはアイティメディア株式会社の登録商標です。