STAMP(Systems-Theoretic Accident Model and Processes)とは大規模・複雑化するシステムの安全解析手法として提案された、システム理論に基づく新しい安全解析方法論である。

STAMPに基づく安全解析手法STPA(System-Theoretic Process Analysis)と呼ぶ。

従来のFMEAやFTAといった安全解析手法は、各パーツ・コンポーネントにおいてどんな故障不具合が発生するか、また故障したときどんな不都合が生じるか解析することで、故障を検査・交換等で未然に防ぐとともに単一の故障が致命的な自体に至るのを防ぐフォルトトレラントを目指すものであった。

しかしながら、システムが大規模化・複雑化したことで、各コンポーネントが予想だにしない相互作用を引き起こし、各コンポーネントに何ら故障が生じていないのにもかかわらずうまく協調できずトラブルを招いてしまう可能性すら出てきた。

そこでSTAMPは、パーツごとに故障を推測するのではなく機械と機械、機械と人間といった各要素間の関係性に注目、解析する。

歴史編集

2012年、マサチューセッツ工科大学(MIT)Nancy Leveson教授が「要素間の相互作用に潜在する危険要因を考える」という新しい安全性解析手法を提唱した。[1]

従来は見落としていた欠陥を把握把握できるとして、欧米では航空宇宙産業、鉄道を中心として利用が進んだ。

日本では2010年ごろからHTV(コウノトリ)で解析が行われた。[2]この際、従来のFTAよりも多くのハザード原因を識別したものの、特に設計変更が要求される欠陥は見つからなかった。このことに対しエンジニアは"従来よりFTAの枠にとらわれずシステムの振る舞いについて考えていた"と回答した。STAMPは半ば暗黙のうちにエンジニアが行っていた解析手法を体系化、明文化する効果をもたらした。

2018年3月30日、未だ歴史が浅く十分に活用されていないSTAMPを普及させるべく、IPA(独立行政法人情報処理推進機構)はSTAMP向けモデリングツールSTAMP Workbenchをオープンソースソフトウェアとして無償公開した。[3]

手法編集

Step.0 アクシデント、ハザード、安全制約の識別とコントロールストラクチャーの構築編集

コンポーネント間の相互関係を図にしたcontrol structure diagramを作成、各コンポーネントの関係を洗い出す。

Step.1 非安全なコントロールアクションの抽出編集

相互作用(Control Action)を洗い出す。

不適切なアクション(Unsafe control Action)は次の4パターンが考えられる。

  1. A control action required for safety is not providedːシステムとしての損失の回避または目的達成に必要とされるControl Actionが実行されない
  2. An unsafe control action is providedːある状態では適切・必要なControl Actionが誤った状態で実行される
  3. A potentially safe control action is provided too late or too early (at the wrong time) or in the wrong sequenceː必要とされるControl Actionが早すぎる,遅すぎる,順番を間違えるなどのタイミングで実行される
  4. A control action required for safety is stopped too soon or applied too longː必要とされるControl Actionの実行が途中で停止する,予定より長い期間実行される

Step.2 安全制約の定義編集

ハザードを防ぐために,システムに設計されるべき安全要求または安全制約を定義する。

STAMPの観点からみた過去の事故編集

1999年12月3日、火星探査機マーズ・ポーラー・ランダーは火星大気圏に突入した。その後どこも故障が発生していないのにも関わらず地面に激突し探査機は失われた。高度40mで減速噴射が突如停止したと見られる。[2]

原因は、降下中に展開された着陸機の足によって生じた振動を、探査機ソフトウェアが地表着地の際の衝撃と勘違いして、減速噴射をやめてしまったことにあると言われる。

Step.0 着地センサの値と減速噴射の間の相互作用が原因である。Step.1 着陸直前に利用するTouch down検知ロジックを使った後で減速噴射をやめるのが本来の手順であったが、センサの値を盲信し噴射の停止を強行してしまった。A potentially safe control action is provided too late or too early (at the wrong time) or in the wrong sequence. (必要とされるControl Actionが早すぎる、順番を間違える)Unsafe control Actionといえる。Step.2シーケンスの手順を確実に履行する安全制約を設けるべきだった。

1960年11月21日、マーキュリー・レッドストーン1号は4インチほど飛行して突如エンジンが停止、その後脱出ロケットのみが宇宙船を置き去りにして飛んでいく奇っ怪な現象が起きた。

Step.0エンジンのエンジンの停止信号と脱出ロケットの間の相互作用が原因である。Step.1本来脱出ロケットは正常に加速が終了し不要になった後に飛ばすはずがエンジンの停止信号を正常に加速が終わったものと勘違いして飛ばしてしまった。 An unsafe control action is provided(あるシステムの状態に対しては適切(必要)であるControl Actionが,それ以外の状態に対して実行された)Unsafe Control Actionとなる.Step.2加速度計や高度計でタイマーで正常に加速が終わったか確認する安全制約を設けるべきだった。

脚注編集

  1. ^ STAMP/STPAとは何か” (日本語). MONOist. 2021年3月5日閲覧。
  2. ^ a b 氏家 亮, (2016). https://www.jstage.jst.go.jp/article/sicejl/55/5/55_405/_article/-char/ja “JAXAコウノトリプロジェクトへのSTAMP/STPA適用例”. 計測と制御 55 巻, 5 号,: p. 405-409. ISSN 0453-4662. https://doi.org/10.11499/sicejl.55.405, https://www.jstage.jst.go.jp/article/sicejl/55/5/55_405/_article/-char/ja. 
  3. ^ 安全解析手法「STAMP」のモデリングツール「STAMP Workbench」を無償公開~大規模・複雑化するシステムに適した安全解析手法「STAMP」の普及で システムの安全性向上を目指す~:IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2021年3月5日閲覧。