STAMP/STPAとは何か：基礎から学ぶSTAMP/STPA（1）（4/4 ページ）

システムとシステムがつながる、より複雑なシステムの安全性解析手法として注目を集めているのがSTAMP/STPAだ。本連載はSTAMP/STPAについて基礎から学ぶことを主眼とした解説記事となっている。第1回は、STAMP/STPAの生まれた理由や、従来手法との違い、実施の大まかな流れについて説明する。

[石井正悟（IPA ソフトウェア高信頼化センター 調査役），MONOist]

Step1：非安全なコントロールアクションの抽出

　コントロールストラクチャーの構築が終わったら、安全制約の実行に必要なコントローラーによる指示（コントロールアクション）を識別し、4 種類のガイドワードを適用して、ハザードにつながる非安全なコントロールアクション（Unsafe Control Action：UCA）を抽出する（表1）。

表1　非安全なコントロールアクションの抽出例。ハザードに至る例は青字で示している（クリックで拡大）

Step2：ハザード要因の特定

　Step1で抽出した非安全なコントロールアクションごとに、関係するコントローラーと被コントロールプロセスを識別する。次にコントロールループ図を作成し、ガイドワードを適用し、さらにハザード要因（Hazard Causal factor：HCF）を特定する。

　コントロールループ図とは、コントロールストラクチャー図から、あるコントロールアクションに着目して、「制御するコンポーネント」→「コントロールアクション」→「制御されるコンポーネント」→「フィードバック」→「制御するコンポーネント」のループを抜き出したものである。

　Step2では、コントローラーの想定するプロセスモデルが、実際のプロセスの状態と矛盾することなどで起きる要因を特定する。

　例えば、図6のハザード要因の特定例で、実際には「コンポーネントCは既にコマンド2を受信している」（実際のプロセスの状態）のに、コンポーネントAが「コンポーネントCはまだコマンド2を受信していない」（コンポーネントAのプロセスモデル）と誤判断すると、プロセス状態とプロセスモデルが矛盾することになる。この矛盾した状態はハザード要因の1つといえる。

図6　コントロールループ図に書き込んだハザード要因の特定例（クリックで拡大）

---

　いかがだっただろうか。第1回目ではSTAMP/STPAと既存の分析手法の違いと、分析手法の流れを紹介した。「各機器の相互作用に着目し、関連する全てを含めたものをシステムとして捉えることが、STAMP/STPAの要」であることを覚えておいてほしい。

　次回は、STAMP/STPAの各Stepで具体的に何をすべきか（What）、それをどうやればよいのか（How）について、さらに深く掘り下げる。より具体的な分析実施例を用いて解説するので、ぜひ参考にしてほしい。

プロフィール

石井 正悟（いしい しょうご） IPA ソフトウェア高信頼化センター 調査役

京都大学理学部卒業後、東芝エンジニアリングを経て東芝ソリューションにて、OSカーネル、システムシミュレーション技術の研究開発に携わる。現在はIPAにて、STAMP、FRAMなどの安全性解析手法の調査研究に従事。

・IPA ソフトウェア高信頼化センター
https://www.ipa.go.jp/sec/