　四角形のコンポーネントには、コントローラーと制御対象プロセスの他にアクチュエーターとセンサーがある。最初にCS図を描くときはなるべく抽象化したいので、アクチュエーターとセンサーはなくてもよい。ない方がコンポーネント間の関係が見易い。第4のステップでシナリオ作成する際には、アクチュエーターやセンサーを含めてCS図を精密化することも有益である。

　IPAではコンポーネント間の相互関係を識別し易くするため、上記に加え「コントロールアクションは赤線、フィードバックは青線」にすることを推奨している。また、「はじめてのSTAMP/STPA」では、コンポーネント数はまず4つくらいから始めることを推奨している。

CS図構築の思考経路

　次に、CS図作成手順（思考経路）についてもおさらいしよう。

　STPAの第2のステップ「コントロールストラクチャーをモデル化」は以下の段階を経る。これはCS図構築の思考経路である。

コンポーネントを識別
ハザードを防ぐために必要となる基本的なサブシステムを識別する
コンポーネントの責務
コントローラーを識別したら、各コントローラーに責任を割り振る
コントロールの定義
コントローラーが責任を果たすために制御対象プロセスに対して行うコントロールを定義する
コントロールに必要なプロセスモデル
コントローラーが意思決定に必要なプロセスモデルを識別する
プロセスモデルに必要なフィードバック、入出力
プロセスモデルの更新に必要なフィードバックやインプットを識別する

　この思考経路を1回たどればCS図が完成するというものではない。CS図は1回で最終版が完成するとは考えない方がよい。筆者は分析を進めて重要な問題が見えてきたら、都度その問題が見易いようにコンポーネント配置を変えてにらめっこしている。そうすることによって頭の中を整理できるし、分析結果を人に説明し易くなる。

CS図構築で誰もが犯す問題点

　CS図構築における注意点としてSTPA Handbookに記載された文言の抜粋と筆者注釈を記す。この注意点を見逃すあるいは勘違いすることが“誰もが犯す問題点”である。

コントロールストラクチャーは物理モデルではない
STPAに使用される階層コントロールストラクチャーは、物理ブロック図、概略図、又は配管および計装図のような物理モデルではない
（筆者注釈）例えば、ハードウェア構成図は典型的な物理モデルである
コントロールストラクチャーは実行可能なモデルではない
コントロールストラクチャーは、実行可能なモデルやシミュレーションモデルではない
（筆者注釈）システム機能の実行に必須であっても、今着目しているハザードに直接関与しないならば省略してもよい
コントロールストラクチャーは機能モデルである
コンポーネントおよびその接続は物理的な性質のものではなく、対象システムの機能的なコントロールストラクチャーをモデル化する
（筆者注釈）CS図はシステム仕様全てを実現するための機能モデルではない。システム仕様を実現するために必須の機能であっても分析対象でなければ省略してもよい
複雑さを管理するために抽象化する
ハザード解析における最大の課題の1つは、システムの複雑さを管理することである。コントロールの関係性を認識しやすいフィードバックループにする。全ての個々のサブシステムをそのままリスト化するのではなく、コントロール階層の2つのレベルとしてコントロールする側とコントロールされる物理的なプロセスをモデル化することによって抽象的なレベルで始める
（筆者注釈）実装依存の構成部分は抽象化した方がよい。

CS図構築の誤った例と正しい例

前のページへ 1|2|3 次のページへ