NTTグループのソリューションガイド

ICTソリューション総合誌 月刊ビジネスコミュニケーション

ビジネスコミュニケーション
第114回 安全要求の分析国立大学法人 名古屋大学 情報連携統括本部 情報戦略室 教授 山本修一郎

国立大学法人 名古屋大学 情報連携統括本部 情報戦略室 教授
(前NTTデータ フェロー システム科学研究所長)山本 修一郎

システム理論を用いた新しい安全性分析手法の研究が進んでいる。本稿では、このシステム理論に基づく新しい事故モデル手法STAMP(Systems Theoretic Accident Modeling and Processes)/システム理論に基づくハザード分析手法STPA(Systems Theoretic Process Analysis)を説明する。

STAMP(Systems-Theoretic Accident Modeling and Processes)

STAMPは、マサチューセッツ工科大学のNancy. G. Leveson教授が、提唱したシステム理論に基づく事故の発生過程についてのモデルである[1]。

「事故」は、従来「故障イベントの連鎖によって起こる」と定義されていたが、近年システムの複雑さが増し、ハードウェアのように「故障」することのないソフトウェアが多く用いられ、事故発生の仕組みが変わったのである。このためSTAMPでは、事故は単純なコンポーネント故障のみを原因とせず、コンポーネントの振る舞いやコンポーネント間の相互干渉が、システムの安全性制約(コンポーネントの振る舞いに関わる物理的、人、又は社会に関わる制約)を違反した場合に起こると考える。

スペースシャトルのチャレンジャー号事故(1986)に対して、この2つの事故モデルを比較した結果を表1に示す。

STAMPは、複数のコントローラが介在する複雑なシステムに対する事故をモデル化できる。このような複雑なシステムでは、システムを構成するサブシステムやコンポーネントに不具合がなくても、サブシステムやコンポーネントの組み合わせによって全体のシステムで不具合が発生することがある。

表1 事故モデルの比較

表1 事故モデルの比較

安全性制約

STAMPの基本概念は安全性制約である。システム理論では階層構造を考える。各階層では、階層内の活動間に制約があると考える。上位階層の制約が下位階層の活動を制御する。システムの安全状態を構成するシステム変数間の安全関連制約が指定される。原因イベントが、イベント系列に従って事故という結果をもたらすと考えるのではなく、コンポーネント間の相互作用が、システム安全性制約を逸脱した結果によって事故が発生すると考える。安全性制約を強制する制御プロセスによって、システムの挙動が安全に変更かつ適応できるようになる。もちろん、基本的なコンポーネント障害もこの事故モデルの中で考慮されている。障害イベントを識別するだけでは、類似事故を予防する十分な情報を提供することはできない。コンポーネント障害が発生する原因は、製造過程の不適切な制約、設計ミスや不適切な耐障害性の実装などの不適切な開発、コンポーネント容量とタスク要求の対応の欠落、環境外乱の対応漏れ、予防保守や物理的デグレードなどへの不適切な対応などである。

制御は物理的な装置だけで実現されるのではなく、システム設計や製造プロセスで実現される。システム論的事故モデルでは、コンポーネント故障だけではなく、なぜその故障が発生して事故に帰結したかという理由を識別する必要がある。

安全性制約をシステムに強制するには、コンポーネント故障の扱いだけでなく、不注意と注意すべき要因の制御が必要である。システム動作についての制約は、階層的制御構造によって強制される。構造水準ごとに、下位のコンポーネントの動作に必要な制約を強制する。このような制御ループの一般形を図1が示している。この図では、下向きの制御線と上向きのフィードバック線によって、制御ループが各水準の制御構造を操作する。

システム論では、制御装置は制御対象プロセスのモデルを持つ必要がある。このモデルは、制御活動が必要かどうかを判断するために使用される。図1では、制御担当者や制御ソフトの内部に、このようなモデルが組込まれる。人間の場合には、このモデルをメンタルモデルと呼んでいる。

ソフトウェアや人間のオペレータに関連する多くの事故の原因は、ソフトウェアや人間の故障ではない。そうではなく、制御対象プロセスの実際の状態と制御モデルの矛盾にある。フィードバック漏れなどの不注意でも、不正確な制御装置が味方の航空機を敵機だと誤認させることでも、類似する意図しない事故が発生することになる。

図1 制御主体と制御対象

図1 制御主体と制御対象

制御条件

システム理論ではシステムを制御するために、次の4条件が必要であるとされる。

【ゴール条件】

制御主体が、目標値や満たすべき制約条件などのゴールを持つ必要がある。

【活動条件】

外乱に際して既定義の限界または安全制約内にプロセスが操作されることを保証するようにシステム状態に影響を与えることができる必要がある。

複数の制御主体に対して、活動が協調してゴール条件を達成できるようにする必要がある。活動が協調できない場合や複数の制御主体間で制御責任の重複があると、制御されたプロセスの境界領域で事故につながる。

【モデル条件】

制御主体が制御対象システムのモデルを持つ必要がある。制御装置が持つプロセスのモデルと、実際のプロセス状態との不整合によって事故が発生することが多い。

【観測条件】

プロセス状態についてのフィードバック情報から、制御主体がシステム状態を確認する必要がある。フィードバックはプロセスモデルを維持更新するために制御主体によって利用される。



続きは本誌でご覧頂けます。→本誌を購入する
ご購入のお申込みは電話(03-3507-0560)でも承っております。

第59回以前は要求工学目次をご覧下さい。


会社概要 NTT ソリューション 広告募集 ページ先頭へ
Copyright:(C) 2000-2017 BUSINESS COMMUNICATION All Rights Reserved. ※本サイトの掲載記事、コンテンツ等の無断転載を禁じます。