STPAの第2ステップで肝となる「CS図」は物理モデルではない：今こそ知りたい！STAMP/STPAの勘所（3）（1/3 ページ）

より複雑なシステムの安全性解析の理論とその分析手法である「STAMP/STPA」を実践する上での勘所をTips形式で簡潔に分かり易く説明する本連載。第3回は、STPA分析において“最もSTAMPらしい手順”であるCS図（コントロールストラクチャー図）の構築について解説する。

[石井正悟，MONOist]

　システムとシステムがつながる、より複雑なシステムの安全性解析の理論としてSTAMPが注目され、その手法であるSTPAの普及が進んでいる。本連載はSTAMP/STPAを実践する際に役に立つと思われる勘所の幾つかをTipsの形式で簡潔に分かり易く説明する。

　今回の第3回では、STPA手順「第2のステップ：制御構造をモデル化」を失敗しないための重要ポイント、注意点について解説する。

⇒連載「今こそ知りたい！STAMP/STPAの勘所」のバックナンバーはこちら

STAMPの肝となるコントロールストラクチャー

　本記事では、STPA分析において“最もSTAMPらしい手順”であるコントロールストラクチャーのモデル化（CS図［コントロールストラクチャー図］の構築）について解説する。“最もSTAMPらしい”というのは筆者の個人的な感想であるが、実際にSTPA分析の全ステップを実施しなくても、構築したCS図をじっとにらんで安全制御構造としての弱点を見つけた経験が多々あるので、CS図はSTAMPの肝であろうと感じている。STPA Handbookにも「CS図を描くだけで、以前に発見されていない欠陥を、いやというほど明らかにできるケースがある」と書かれている。それだけSTPAにおいてCS図は重要で効果を発揮するものであり、逆にCS図をうまく描けなければその後のステップで苦労することになる。

　残念なことに、それほど重要なCS図の描き方を勘違いして、うまく描けないことがとても多い。特に、対象分野の専門家ほどこの勘違いに陥り易い。この勘違いに陥ることは決してまれなことではない。CS図構築のコツは本を読んだだけで理解できるものではなく、一度レビューで指摘されなければ分からないのが普通であり、誰もが通る道と思ってよい。誰もが勘違いするからこそ、STPA Handbookでも（誰もが犯す）「共通の問題点」として特記している。CS図構築における勘違いはSTAMP初学者が最も陥り易い勘違いと思われるので今回はCS図構築の勘所に焦点を当てることにした。

コントロールストラクチャー構築の基本

　コントロールストラクチャー構築の基本をおさらいしよう。

　STPA手順の第2のステップでは、コントロールストラクチャー（安全制御構造または単に制御構造）と呼ぶシステムのモデルを構築する（図1）。

図1　STPA手順の第2のステップではコントロールストラクチャーを構築する

　STAMPにおけるコントロールストラクチャーは次のように定義されている。

階層的なコントロールストラクチャーは、フィードバックコントロールループで構成されたシステムモデルです。

　コントロールストラクチャーの基本要素は、コントロールアクションとフィードバックから成るコントロールループである（図2）。この基本要素を幾つかつなぎ合わせて分析対象システムの制御構造を表す。そうして構築されるのがCS図である。

図2　コントロールストラクチャーの基本要素となるコントロールループ［クリックで拡大］

　このコントロールループをつなぎ合わせてシステムをモデル化し、機能的関係性および相互作用を表現する。