STPAの第4ステップで忘れがちな「損失シナリオ識別」の詳細手順：今こそ知りたい！STAMP/STPAの勘所（5）（2/3 ページ）

より複雑なシステムの安全性解析の理論とその分析手法である「STAMP/STPA」を実践する上での勘所をTips形式で簡潔に分かりやすく説明する本連載。第5回は、STPA手順「第4のステップ：損失シナリオの識別」を失敗しないための重要ポイントとして、シナリオ作成の詳細手順について解説する。

[石井正悟，MONOist]

損失シナリオの2つのタイプ

　損失シナリオは下記a、bの2つのタイプを考慮する必要がある。

a．なぜ、UCAが起こるのか？

　Why would Unsafe Control Actions occur?
（指示を出す側、図2の右斜め上半分）

　CAから矢印の向きを逆にたどっていくとシナリオを作成できる。

• 非安全なコントローラーの動作←アルゴリズムに着目すると良い
• 不適切なFBと情報の原因←プロセスモデルに着目すると良い

の順に考えるということ。

b．なぜ、不適切なCAが実行されるのか、または適切なCAが実行されないのか？

　Why would control actions be improperly executed or not executed, leading to hazards?
（指示を受け取る側、図2の左斜め下半分）

　制御経路と、制御経路以外で被制御プロセスに影響を与える要因の両方を考えてシナリオを作成する。

• 制御経路を含むシナリオ←複数CA競合、アクチュエーターなどに着目すると良い
• 制御対象のプロセスに関連するシナリオ←外乱、プロセス能力限界などに着目すると良い

の両方を考える。

図2　損失シナリオの2つのタイプ

　ここからは、タイプaの「CAから矢印の向きを逆にたどっていくとシナリオを作成できる」について説明する。

　センサー、アクチュエーター、プロセスモデル、アルゴリズムを追記したCS図（図2）で、CA発行までの矢印の向きを正順にたどると、

［（1）被制御プロセス］→［（2）センサー］→［（3）プロセスモデル］→［（4）アルゴリズム］→［（5）CA」

のようになっている。これを（5）から逆順になぜなぜとたどる。

• （5）なぜそのアルゴリズムはCAを発行した？
  →プロセスモデルがそうなっているから
• （4）なぜプロセスモデルはそうなった？
  →そういうフィードバックを受けたから
• （3）なぜそういうフィードバックをした？
  →センサーがそう言ったから
• （2）なぜセンサーはそう言った？
  →被制御プロセスがそういう風に見えたから
• （1）なぜ被制御プロセスはそういう風に見える？
  →潜在的な原因

　これを下からつないでいくと損失シナリオが出来上がる、という具合い。

　ただし、全てのシナリオが（1）からスタートするものではない。例えば、センサーに不正なノイズが入ったことが原因ならば（2）からスタートする、センサーからのノイズが多過ぎてプロセスモデルの不正ノイズ除去能力を超えたならば（2）または（3）からスタートする、アルゴリズムが最新のプロセスモデルを参照していないことが原因ならば（4）からスタートする、などなど。

　なお、太字で示した例は、複合要因に起因するケースを示しており、なぜなぜ分析とは異なる例である。

※）この手順で重要なことは、なぜなぜ分析と混同しないこと。少し難しいが複数個の要因が相互作用に影響を及ぼす複合要因を見逃さずに識別するように心掛けること。繰り返すが、コンポーネントの単一故障だけを考慮するのでは基本的な考え方はFMEAと同じである。

※）決して、FMEAやFTAを否定するものではない。FMEAと同じとは、STPAのメリットを享受できないという意味である。FMEAやFTAは非常に優れた安全分析手法であり、今後も安全分析手法の主流であり続けるだろう。筆者もFMEAには開発現場で大変お世話になった。