システム理論に基づくアクシデントモデルSTAMP:よりぬきSEC journal(3/3 ページ)
情報処理推進機構のソフトウェア高信頼化センター(IPA/SEC)が発行する「SEC journal」から注目の話題を紹介。今回はIoT(モノのインターネット)を活用したソフトウェア開発で必須になるとみられているアクシデントモデル「STAMP(Systems-Theoretic Accident Model and Processes)」だ。
「はじめてのSTAMP/STPA」を公開※3)
STAMP及びSTPAは非常に有効であると期待できるものの、既存の教科書は考え方を解説するものであるため、STAMP初心者にとっては理解が容易ではない。しかも、最新版を日本語に翻訳したものが公開されていない。更に、手法の実施手順についても前節のような概念的な説明であり、分析実施事例紹介でも分析実施結果のみの提示がほとんどである。そのため、いざ実際のシステムに対して分析しようとすると、どの開発ドキュメントの何と何を参照して、どのように作業すれば良いのか分からず、悩むことになる。あるいは、分かったつもりになって、誤った分析をしてしまい時間を無駄に経過させることになってしまいがちである。実際、IPA/SECがSTPAトライアルを実施したときにも上記の状況に陥った。
そこで、IPA/SECではSTAMP導入者向けに簡潔かつ具体的に手順を示す解説書を発行することとし、この度発行したのが「はじめてのSTAMP/STPA」という小冊子である。
IPA/SECでは、2015年度にシステム安全性解析手法WGを設置した。当WGでは、2015年6月にSEC特別セミナーに招聘したLeveson教授と意見交換会を実施し、それを受け我が国で実際に運用されている鉄道の踏切制御システムを対象に、STAMP有識者及び鉄道有識者を交えて、安全分析を実施した。その後2016年1月の13thWOCS2にLeveson教授を招聘した際にも意見交換会を実施し、上記分析結果を紹介したところ、Leveson教授から良好な評価を受けた。
本小冊子には、上記の分析結果を用いてSTPAの手順を具体的に解説している。
4.1 手順解説書の構成
本小冊子の構成は次のようになっている。
第1節と第2節には、我が国におけるSTAMP/STPAのエキスパートによる解説をつけた。STAMP/STPAの初学者にとって分かりやすい入門解説として有用であろう。当WGで分析対象とした鉄道の踏切制御システムについて第3節で述べ、分析の結果を第4節に示した。第5節には、支援ツールの活用、並びに、従来のシステム記述や分析によるシステムの振る舞いや特性の理解に基づいてSTPAを適用する試みについて述べた。第6節では、エンタープライズ系のシステムに対するSTAMP適用についての検討結果を示した。
4.2 手順解説書の特徴
以下に、本小冊子の特徴を記す。
分析作業の各Stepで、【Input/Process/Output】を整理して説明している。
実施例では、分析結果だけではなく、分析の際に作成した中間情報も含めて記載した。
当WGが実際に具体的なシステムのSTPAによる分析を行い、分析結果について、STAMPの専門家、鉄道分野の専門家と議論して得た知見を整理し、勘所として解説している。
【勘所】
登場人物を整理する際には、要求仕様書に記載された登場人物のみをリストアップして、実装依存の登場人物が現れないようにする。
:
◎制御とデータは区別しやすいようにする。制御は青、データは赤のように色分けしたり、制御は下向き矢印、データは上向き矢印に統一したり、など
:
コントロールストラクチャーにおけるブロック(コンポーネント)の数は4つ程度にするのが良いと言われている。
おわりに
IPA/SECが発行した「はじめてのSTAMP/STPA」が、システムの安全性に関するモデル化及び分析方法に関して、いくばくなりとも有用な情報を提供するものとなれば幸いである。
2015年度は主に、単線踏切制御という比較的にシンプルなシステムを取り上げて安全分析の検証を行ってきた。今後は、コンピューターシステムに人・組織が絡む複雑なシステムや、人と組織、組織と組織のプロセスに関する安全分析へのSTAMP適用可能性についても検証を行い、そこから得られた知見を公開していきたい。
2016年12月5、6日に九州大学にて、日本ではじめてのSTAMPワークショップが計画されているが、多くの産業界からの参加を期待したい※4)。
脚注
※1)Nancy G. Leveson:Engineering a Safer World: Systems Thinking Applied to Safety (Engineering Systems), The MIT Press, 2012.
※2)An STPA Primer, http://psas.scripts.mit.edu/home/wp-content/uploads/2015/06/STPA-Primer-v1.pdf
※3)http://www.ipa.go.jp/sec/reports/20160428.html
※4)「SEC journal」掲載当時。2017年度は11月に東京地区での開催を計画中。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
6年かかっていた分析が3年で終わる、新たな安全解析手法「STAMP/STPA」とは?
情報処理推進機構 技術本部 ソフトウェア高信頼化センター(IPA/SEC)と車載ソフトウェアの国内標準化団体であるJasParは、東京都内でメディア向け説明会を開き、新しい安全解析手法「STAMP/STPA」を紹介した。両者は2017年1月に相互協力協定を締結しており、自動車業界に向けてSTAMP/STPAの普及促進に取り組んでいく。
「システムズエンジニアリング」の正しい理解がISO26262対応に役立つ
慶應義塾大学大学院 システムデザイン・マネジメント(SDM)研究科 准教授の白坂成功氏は、宇宙機「こうのとり」のシステム設計に携わる中で学んだ「システムズエンジニアリング」を広めるべく大学で教べんをとっている。白坂氏に、宇宙機の安全設計や、ISO 26262などの機能安全規格のベースになっているシステムズエンジニアリングについて聞いた。
日本の自動車メーカーはMBSEにどう取り組むべきか、ドイツの権威が提言
モデルベースシステムズエンジニアリング(MBSE)の権威である、ドイツ・カイザースラウテルン工科大学教授のマーティン・アイグナー氏が来日。欧米の自動車メーカーと比べてMBSEへの取り組みが遅れている日本の自動車メーカーのエンジニアにMBSEの有用性を説いた。
モデリング言語 SysMLを概観する
UMLを基に、よりコンパクトな言語仕様として策定された「SysML」。その誕生の経緯を紹介するとともに、SysMLの特徴・概要を紹介する