STPAの第4ステップで忘れがちな「損失シナリオ識別」の詳細手順:今こそ知りたい!STAMP/STPAの勘所(5)(3/3 ページ)
より複雑なシステムの安全性解析の理論とその分析手法である「STAMP/STPA」を実践する上での勘所をTips形式で簡潔に分かりやすく説明する本連載。第5回は、STPA手順「第4のステップ:損失シナリオの識別」を失敗しないための重要ポイントとして、シナリオ作成の詳細手順について解説する。
複合要因をどう見つけるか
前節までに複合要因を考慮すべきと繰り返し説明してきた。では、どうやって複合要因を見つけるのか?
創発的要因、複合要因の特定は分析者の自由な発想や対象ドメイン有識者の勘と経験に任される。「ここまで来て、突き放すような説明」と思われるかもしれないが、STPAは自由な発想を引き出すためのヒントを提供している、ということである。
第3のステップまでは、ドメイン知識は無くともSTPAに慣れた技術者が担当すると効果的で、第4のステップにはドメインの専門家が加わることが好ましい。
補足:「HCFの特定」から「損失シナリオの識別」へ
第4のステップについて補足する。
2013年に発行されたSTPA Primerではこのステップのタイトルが「HCF(ハザード誘発要因)の特定」であったが、2018年に発行されたSTPA Handbookでは「損失シナリオの識別」に表現が変わった。そのため、人によっては「新しいSTPAではHCFを特定せずに損失シナリオを作成するように変わった」と受け止めるかもしれないが、両書籍の同ステップに使われている説明の図/文言を見比べていただければ、ほぼ(コピペのように)同じ部分が多いことに気付かれると思う。違いは、「HCF」という単語とHCFの表(と誤解されそうな表)を使うのを止めたことと、複合要因を考慮することの必要性/重要性を強調していることである。個々のHCFに分析の主眼を置いてしまう、という勘違いを避けるためであろう。HCFの表を使って個々の詳細な要因洗い出しを始めて、その単一要因群だけを考慮するのではFMEAと同じであると説いている。
STAMP広場に掲載されているコラム、STPA分析でのHCF(ハザード因果要因)からLS(損失シナリオ)への変遷の理由(2025年10月19日、兼本茂氏)で丁寧に解説されている。
まとめ
損失シナリオ識別において、システムの潜在的な欠陥(個々の詳細な要因)を全て取り上げて、UCAにつながるかどうかを確認しようとすること(基本的にFMEAで使用されているプロセス)は、複雑なシステムでは絶望的と言って良い。かといって、何の準備もなく思い付きだけでいきなり損失シナリオを列挙しようとするのもあまりに見落としが多く不完全なものとなる。
STPAの損失シナリオ識別では、ハザード、UCAとそのコンテキスト上の要因から始めて、それから後方に向かって潜在的な原因を識別する。それでも非常に手間がかかるかもしれないが、誤りを起こす可能性のある全ての個々の詳細要因を識別し、それがUCAにつながるかどうかを調べる努力よりは桁違いに小さくなるはずである(このまとめ文言はSTPA Handbookから引用し、少し追記した)。
連載のおわりに
STAMP/STPAの手順には4つのステップがある。本連載ではSTPA Handbookに多く記載された勘所、注意事項から各ステップについて幾つかの項目をピックアップして解説した。本連載記事を読まれて、STPA Handbookにはそういうことが書かれていたのか、と気付かれたらぜひSTPA Handbook(特に第2章)、IPAの「はじめてのSTAMP」シリーズ(特に入門編の第2章、第4章)を読み直してほしい。ただ、いずれも多くの勘所や注意事項が記載されているので、一度読破して全てを理解するのは難しいことも覚悟する必要があるだろう。
両書籍に記載された説明を理解するには、いかに丁寧に読むかというよりも経験がものをいうと考えている。これは、STAMPがそれほど難しいと言っているのではない。STAMPに限らずFTAやFMEAについても、真に有効な分析結果が得られるようになるまでに皆さまが体験してきたことと同じだと思う。焦らずにSTAMP/STPAの経験を重ね、真に有効な分析ができるようになっていただけることを切に願うものである。(連載完)
筆者プロフィール
石井 正悟(いしい しょうご)
京都大学理学部卒業後、東芝にてOSカーネル、仮想計算機、システム高信頼化技術、システムシミュレーション技術の研究開発に携わる。その後IPAにて、STAMP、FRAMなどの安全性解析手法の調査研究に従事。STAMP普及促進のため、書籍「はじめてのSTAMP」シリーズ発行、STAMP支援ツール「STAMP Workbench」開発や各種教材作成などを担う。現在はIPA専門委員としてSTAMP普及活動に関わる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「今こそ知りたい!STAMP/STPAの勘所」バックナンバー
非安全なコントロールアクション「UCA」の書き方
より複雑なシステムの安全性解析の理論とその分析手法である「STAMP/STPA」を実践する上での勘所をTips形式で簡潔に分かりやすく説明する本連載。第4回は、STPA手順「第3のステップ:UCAの識別」を失敗しないための重要ポイント、注意点について解説する。
STPAの第2ステップで肝となる「CS図」は物理モデルではない
より複雑なシステムの安全性解析の理論とその分析手法である「STAMP/STPA」を実践する上での勘所をTips形式で簡潔に分かり易く説明する本連載。第3回は、STPA分析において“最もSTAMPらしい手順”であるCS図(コントロールストラクチャー図)の構築について解説する。
STAMP/STPAとは何か
システムとシステムがつながる、より複雑なシステムの安全性解析手法として注目を集めているのがSTAMP/STPAだ。本連載はSTAMP/STPAについて基礎から学ぶことを主眼とした解説記事となっている。第1回は、STAMP/STPAの生まれた理由や、従来手法との違い、実施の大まかな流れについて説明する。
STPAの手順を理解する
連載の第1回では「STAMP/STPAとは何か」「既存の分析手法と何が違うのか」に焦点を当て、分析手法の流れを紹介した。第2回は、STPAの実践手順を解説する。各ステップで「何をすべきか(What)」と、具体的に「どうすればよいのか(How)」を中心に紹介していく。
STPAの分析を実際にやってみる
第1回で「STAMP/STPAとは何か」に焦点を当てて分析手法の流れを紹介し、第2回ではSTAMP/STPAの各ステップで「何をすべきか(What)」「それはどうやればよいのか(How)」を中心に紹介してSTAMP/STPAの実践手順を解説した本連載。最終回の第3回では、実際にやってみてSTAMP/STPAの勘所や注意点を示しながら解説する。