6年かかっていた分析が3年で終わる、新たな安全解析手法「STAMP／STPA」とは？：車載ソフトウェア（2/2 ページ）

情報処理推進機構 技術本部 ソフトウェア高信頼化センター（IPA/SEC）と車載ソフトウェアの国内標準化団体であるJasParは、東京都内でメディア向け説明会を開き、新しい安全解析手法「STAMP／STPA」を紹介した。両者は2017年1月に相互協力協定を締結しており、自動車業界に向けてSTAMP／STPAの普及促進に取り組んでいく。

[齊藤由希，MONOist]

従来のハザード分析とは何が違う？

　STAMPは、システム事故の多くは構成部品の故障ではなく、システムの中で制御する側と制御される側の相互作用が正しく働かないために発生するという前提に立っている。従来のハザード分析は1つ1つの構成要素から“悪者探し”をするもので、見落としが生まれやすい。

STAMPは構成部品の相互作用に着目してハザードを分析する（クリックして拡大） 出典：IPA/SEC

　FTA（Fault Tree Analysis）やFMEA（Failure Mode and Effect Analysis）といった現在のハザード分析手法は40年以上前に確立された。その当時はシステムの主体はハードウェアであり、「アクシデントの原因は構成部品の故障やオペレーションのミスによるもの」と捉えられていた。しかし、システムの大規模化や複雑化が進んだ今日では、ハードウェアの故障やオペレーションのミスを防いでも、ソフトウェアから想定外の事象が発生する。

ハザード分析は主体がハードウェアからソフトウェアになる中でパラダイムシフトが起こった（クリックして拡大） 出典：IPA/SEC

　STAMPに基づく分析は、制御する側とされる側の相互作用に着目し、起こりうるハザード要因を洗い出していく。自動車を例にとれば、運転支援システムとドライバー、運転支援システムと他の制御系、ドライバーと車外の環境というように分析対象のシステムに関係する構成要素の相互作用からハザードを検討して、想定外の事象を減らしていく。

自動車に関わる構成要素はどのように相互作用を起こすか（クリックして拡大） 出典：IPA/SEC

　想定外の事象を完全になくすことはできないが、対策すべきハザードを開発部隊全体で共有することができるのが利点となる。従来のハザード分析では、想定外の事象の洗い出しは個々の知識やスキルに依るところが大きかった。

　従来のハザード分析との大きな差異は、概念設計の段階から取り入れられることだ。FTAやFMEAといった手法は、分岐条件を論理的に組み立てることで網羅的に分析できるが、全体的な視野で見ることが難しい。また、システムの構成要素と故障モードが確定するアーキテクチャ設計の段階でなければ適用できない。

従来の安全解析手法とは何が異なるのか（クリックして拡大） 出典：IPA/SEC

　STAMP／STPAは、概念設計の段階からハザード分析を開始できるため、開発の手戻りを減らすことができ、「提唱者のレブソン氏からは、今まで6年かかっていた作業を3年で終えることもできるようになると聞いている」（JasParの岡田氏）。

IPAとJasParの協力

　協定を結んだIPAとJasParが協力し、まずは日本の自動車産業で活用を後押しする。IPA/SECは、STAMP／STPAの導入を支援する解説書「はじめてのSTAMP／STPA」を2016年4月に作成し、Webサイトを通じて公開している。JasParはこの解説書を活用して、自動車向けの具体的な活用ガイドを作成する。JasParが保有するドメインごとの知識や、現場目線を織り込む。2018年3月末までに作業を進めて、JasParの会員企業向けに公開する予定だ。

　IPA/SECは自動車業界での導入実績を生かし、他業界にも展開を進めていきたいとの考えだ。

IPAとJasParが協力し、自動車業界での活用を支援（クリックして拡大） 出典：IPA/SEC