HOMEソフトウェア高信頼化報告書・出版物・ツール事業成果(報告書等)「はじめてのSTAMP/STPA ~システム思考に基づく新しい安全性解析手法~」の公開

本文を印刷する

ソフトウェア高信頼化

「はじめてのSTAMP/STPA ~システム思考に基づく新しい安全性解析手法~」の公開

2016年4月28日公開
独立行政法人情報処理推進機構
技術本部 ソフトウェア高信頼化センター

概要

 IPA/SECは、マサチューセッツ工科大学のNancy Leveson教授が提唱するSTAMP(System Theoretic Accident Model and Processes)の理論に基づいた「相互作用する機能単位でハザード要因を考える」新しいハザード分析手法であるSTPA(System Theoretic Process. Analysis、以下STAMP/STPA)の導入を図る開発初心者、特に大規模・複雑化するシステムの安全性確保の責務を負うシステム開発者、ソフトウェア開発者向けのSTAMP/STPA手順解説書「はじめてのSTAMP/STPA ~システム思考に基づく新しい安全性解析手法~」(以下本書)を公開しました。
 これまで、最新のSTAMP/STPAの手順を具体的に解説する日本語の資料はありませんでした。IPA/SECは実際にいくつかの事例に対してSTAMP/STPA分析を実施し、そこで得た分析結果を用いてSTPAの分析手順を具体的に解説しています。

背景

 IoT(Internet of Things)の普及に見られるように、コンピューターで制御されたシステムは、日常生活のあらゆる場面において密接に関与するようになってきました。さまざまなシステムがネットワークにつながれて大規模、かつ複雑に連携する社会では、つながるシステムとシステム、人とシステム、更に人と組織との相互作用に起因する障害も考慮しなければなりません。
 近年、システムの複雑化に起因する事故(アクシデント)は年々増大しています。その背景には、従来の安全性の考え方およびシステム開発手法では「アクシデントはシステム構成要素の故障に起因する」と仮定しており、システム構成要素の故障以外の事故原因(ハザード要因)をカバー仕切れていないことが挙げられます。
 こうした現状を踏まえ、IPA/SECではSTAMPの「アクシデントは構成要素間の相互作用から創発的に発生する(局所的な相互作用に隠れていたものが表面化して全体に影響を与える)」という概念に注目して、新しい安全性解析手法の調査・検討を進めてきました。

本書の特徴

 IPA/SECのシステム安全性解析手法ワーキンググループでは2015年7月から、STAMP/STPA実施事例として、国内で実際に運用されている踏切制御の安全設計を実施し、STAMPの専門家と鉄道・踏切の専門家を交えて議論しました。本書では、そこから得られたSTAMP/STPA初心者が勘違いしやすい点・理解しにくい点についての注意や導入の勘所をSTAMP/STPAの手順に沿って具体的に解説しています。

期待できる効果

 IPA/SECによる上記の安全設計の実施は、鉄道・踏切の専門家と、同分野のドメイン専門知識を持たない技術者が、安全設計に関して対等に議論できることを実証したことについて大きな意味を持ちます。特に、将来の安全設計の客観的検証や可視化といった視点からも、こうした議論は重要です。この成果はNancy Leveson教授からも良好な評価をいただいています。本書に記したSTAMP/STPA適用事例は、STAMP/STPA初心者にとって分かり易い入門解説書であり、IPA/SECが行った適用経験を追体験して共有することにより、STAMP/STPAの理解と修得に有益なものとなっています。そのため、本書の普及を図ることによって、大規模・複雑なシステムの安全な開発・運用への組織横断的な取組みが広がることを期待しています。

今後の展開

 2015年度は主に制御システムへのSTAMP/STPA適用について調査・研究を行いました。今後は、エンタープライズシステムも含めた、より広範なシステムへの適用について検討し、実用性向上を図っていく予定です。

ダウンロード

 ダウンロードの際にメールアドレスのご登録をお願いしています。
 (メールアドレス情報入力後にダウンロードのリンクが表示されます)

「はじめてのSTAMP/STPA ~システム思考に基づく新しい安全性解析手法」のダウンロード