6年かかっていた分析が3年で終わる、新たな安全解析手法「STAMP/STPA」とは?:車載ソフトウェア(2/2 ページ)
情報処理推進機構 技術本部 ソフトウェア高信頼化センター(IPA/SEC)と車載ソフトウェアの国内標準化団体であるJasParは、東京都内でメディア向け説明会を開き、新しい安全解析手法「STAMP/STPA」を紹介した。両者は2017年1月に相互協力協定を締結しており、自動車業界に向けてSTAMP/STPAの普及促進に取り組んでいく。
従来のハザード分析とは何が違う?
STAMPは、システム事故の多くは構成部品の故障ではなく、システムの中で制御する側と制御される側の相互作用が正しく働かないために発生するという前提に立っている。従来のハザード分析は1つ1つの構成要素から“悪者探し”をするもので、見落としが生まれやすい。
FTA(Fault Tree Analysis)やFMEA(Failure Mode and Effect Analysis)といった現在のハザード分析手法は40年以上前に確立された。その当時はシステムの主体はハードウェアであり、「アクシデントの原因は構成部品の故障やオペレーションのミスによるもの」と捉えられていた。しかし、システムの大規模化や複雑化が進んだ今日では、ハードウェアの故障やオペレーションのミスを防いでも、ソフトウェアから想定外の事象が発生する。
STAMPに基づく分析は、制御する側とされる側の相互作用に着目し、起こりうるハザード要因を洗い出していく。自動車を例にとれば、運転支援システムとドライバー、運転支援システムと他の制御系、ドライバーと車外の環境というように分析対象のシステムに関係する構成要素の相互作用からハザードを検討して、想定外の事象を減らしていく。
想定外の事象を完全になくすことはできないが、対策すべきハザードを開発部隊全体で共有することができるのが利点となる。従来のハザード分析では、想定外の事象の洗い出しは個々の知識やスキルに依るところが大きかった。
従来のハザード分析との大きな差異は、概念設計の段階から取り入れられることだ。FTAやFMEAといった手法は、分岐条件を論理的に組み立てることで網羅的に分析できるが、全体的な視野で見ることが難しい。また、システムの構成要素と故障モードが確定するアーキテクチャ設計の段階でなければ適用できない。
STAMP/STPAは、概念設計の段階からハザード分析を開始できるため、開発の手戻りを減らすことができ、「提唱者のレブソン氏からは、今まで6年かかっていた作業を3年で終えることもできるようになると聞いている」(JasParの岡田氏)。
IPAとJasParの協力
協定を結んだIPAとJasParが協力し、まずは日本の自動車産業で活用を後押しする。IPA/SECは、STAMP/STPAの導入を支援する解説書「はじめてのSTAMP/STPA」を2016年4月に作成し、Webサイトを通じて公開している。JasParはこの解説書を活用して、自動車向けの具体的な活用ガイドを作成する。JasParが保有するドメインごとの知識や、現場目線を織り込む。2018年3月末までに作業を進めて、JasParの会員企業向けに公開する予定だ。
IPA/SECは自動車業界での導入実績を生かし、他業界にも展開を進めていきたいとの考えだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- IoTの課題は「接続相手の信頼性が不明」なこと――IPA/SECが調査
情報処理推進機構 技術本部 ソフトウェア高信頼化センター(IPA/SEC)は、IoT(モノのインターネット)の課題を企業がどう捉えているかについての調査結果を明らかにした。 - 自動車の情報セキュリティの“ものさし”を作る
自動運転技術やコネクテッドカーの登場により、自動車の情報セキュリティ=車載セキュリティ対策は急務になっている。国内の車載シフトウェア標準化団体・JasParで車載セキュリティ推進ワーキンググループ主査を務めるトヨタ自動車 電子プラットフォーム開発部長の橋本雅人氏に、国内外における車載セキュリティの取り組みについて聞いた。 - 新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。 - 規格準拠は“入場券”にすぎない、ISO26262をきっかけに製品開発力の強化を
日本IBMは、自動車向け機能安全規格であるISO 26262に対応する開発ツールとして、トレーサビリティ確保の観点に立って、要求管理ツール「DOORS」や構成・変更管理ツール「Rational Team Concert」を展開している。同社の根城寿氏に、国内自動車業界のISO 26262への対応状況などについて聞いた。 - 自前のテストコースとISO26262対応が電動パワーステアリング開発に必要な理由
電動パワーステアリング(EPS)で世界トップシェアを握るジェイテクト。「上流から下流へ」向かう同社EPS事業の製品開発戦略を紹介した前編に続き、後編では同社のEPSの開発体制を取り上げる。 - ISO26262の第2版の策定始まる、車載セキュリティが「ホット」な議題に
自動車向け機能安全規格であるISO 26262の第2版の策定が始まった。このISO 26262の国際標準化活動に10年近く携わってきたのが、日本自動車工業会で電子安全性分科会会長を務めるトヨタ自動車の川名茂之氏だ。川名氏に、初版の規格策定時の苦労や、国内自動車業界のISO 26262への対応状況、そして第2版の方向性などについて聞いた。