STPAの第1ステップでハマりがちな「システム境界の定義」はどうすればいいのか:今こそ知りたい!STAMP/STPAの勘所(2)(1/2 ページ)
複雑化するシステムの安全性解析の理論「STAMP」とその分析手法である「STPA」を実践する上での勘所をTips形式で簡潔に分かり易く説明する本連載。第2回は、STPA手順「第1のステップ:解析目的を定義」を失敗しないための重要ポイントとして、分析する対象のハザードを識別する際に行う、システム境界の定義について解説する。
システムとシステムがつながる、より複雑なシステムの安全性解析の理論としてSTAMPが注目され、その手法であるSTPAの普及が進んでいる。本連載はSTAMP/STPAを実践する際に役に立つと思われる勘所の幾つかをTipsの形式で簡潔に分かり易く説明する。
STAMP/STPAをあらためて解説するとともに本連載の狙いについて紹介した第1回に続き、今回の第2回では、STAMP/STPAで分析する対象のハザードを識別する際に行う、システム境界の定義について解説する。
⇒連載「今こそ知りたい!STAMP/STPAの勘所」のバックナンバーはこちら
ハザードを識別する
分析対象のハザードを識別する際に行うシステム境界の定義では、一般的に「XXシステムをSTAMPで分析する」という表現を使う。それはもちろん正しい表現ではあるが、XXシステムに関する何から何までを一度にSTPAで分析するというのは現実的ではない。実際には対象システムの特定のハザードについて分析することになる。
一口に対象システムのハザードと言ってもいろいろなハザードが考えられると思うが、その中で特に関係者(ステークホルダー)が強く関心を持つハザードに絞り込んで分析する。よって、何を分析するかを決めるとは、どのハザードを分析するかを識別すること、に他ならない。
分析対象システムは何?
ところで、STPAで分析対象とするシステムレベルのハザードとは「システム状態」である。では、そのシステムとは何か? 分析対象のハザードを抽出し、絞り込むには分析対象システムは何か、を見極める必要がある。
分析対象システムを見極めるとは、分析対象のシステム境界を定義することと同義である。実はSTPAを実践する際、ここで勘違いするケースがとても多い。時には、この手順を省いてしまうケースもある。筆者自身もSTAMPを学び始めたころにはよくこの勘違い/間違いに陥る経験をしたし、その後に他の方の分析結果に対する幾つものレビューで指摘してきた。
というわけで、今回はシステム境界の定義についての勘所を取り上げることにした。STPAで扱うハザードに関する重要な勘所としては他にも、例えば「原因と混同しない」など幾つかある。今回はそれらには触れないので、他の記事や書籍を参照してほしい。
いつシステム境界を定義する?
STPA手順には4つのステップがあり、第1のステップで行うのが、解析目的を定義することである。STPA Handbookでは次のように図示している(図1)。
図1 STPA手順の第1のステップでは解析目的を定義するこの第1のステップはさらに次の4段階に詳細化される。
- 損失を識別する
- システムレベルのハザードを識別する
- システムレベルの安全制約を識別する
- ハザードの精密化(これは実施しない場合が多い)
システム境界の定義は、この4段階のうち「2.システムレベルのハザードを識別する」に先立って行う。つまり、1.と2.の間、あるいは2.の準備段階として行う。
少しだけ横道に逸れるがこの4段階について補足する。
「1.損失の識別」については注意してほしい事柄がたくさんある。別の機会があれば説明したい。「3.システムレベルの安全制約を識別する」は、2.で識別したハザードの裏返し、と理解していただければ分析の誤りに陥ることはないであろう。「4.ハザードの精密化」はオプションの手順であって、一般的に必須となる手順ではない。
さて、1.と2.の間でシステム境界の定義を行うが、実は1.の前にもやるべきことがある。
STPA Handbookでは第1のステップを、損失を識別するために「利害関係者を特定する」ことから始めると説明している。しかし、適用する分析手法がSTPAかFMEAかFTAかに関係なく、安全分析であれば当然最初に実施されるべき手順があることを説明していない。その手順とは、分析対象システムを含むシステム全体の概要について、分析者およびシステム開発関係者が認識を共有することである。
認識を共有するための資料としては、システム開発の構想段階であればシステム全体の構造などが詳細には決まっていない以上、ポンチ絵のような概念図あるいはシステム概要図であっても構わない。逆に、ポンチ絵レベルの抽象度で認識を共有できるとSTPAにはちょうど良いかもしれない。
おそらく、その手順はSTPA固有の手順ではないという理由でSTPA Handbookでは説明を省略しているものと思うが、STAMP初学者の中には、その手順を省略してしまう分析者が少なくないので注意してほしい。これは、システム境界の定義を省略してしまう場合と同様、その後の分析で致命的な問題となる。
Copyright © ITmedia, Inc. All Rights Reserved.
組み込み開発の記事ランキング
- FPGAを発明したXilinxとセイコーエプソンの知られざる深イイ関係
- NECが次世代ベクトル処理ユニットを開発へ、RISC-VやAIエンジンと融合
- ITだけじゃない。セキュリティの新分野「製品セキュリティ」とは
- ヒューマノイドがリングで激突!? ユニツリー「G1」がキックボクシングで対決
- ミクロン銅粉で高導電性RFIDアンテナを印刷製造する新技術を開発
- 高指向性と高出力を両立する次世代レーザーPCSELの研究成果を発表
- 建機遠隔操作の遅延問題解決へ、衛星通信と光回線の組み合わせで信頼性を確保
- 18nmプロセス技術と相変化メモリを備えた高性能マイコンを発表
- 規制解除でネクスペリア問題に進展も、中国法人は半導体供給を再開せず
- スマホ接続なしで長時間計測できるスタンドアロン型走行解析システム
コーナーリンク
よく読まれている編集記者コラム
ITmediaはアイティメディア株式会社の登録商標です。