ページの先頭です

技術動向レポート

システムを対象とした安全解析手法の動向と展望(1/2)

サイエンスソリューション部 社会インフラチーム
チーフコンサルタント 後藤 伸寿

近年開発されたシステムの多くは、ソフトウェアやネットワークが重要な役割を果たし、大規模化・複雑化が進んでいる。本稿では、システムを対象とした新しい安全解析手法STPAと同手法に係る動向について紹介する。

はじめに

システム(1)は、個人間の情報交換から医療・金融等の各システムまで、社会基盤を支え、障害(アクシデント)が発生した場合の影響が計り知れないことから、信頼性向上の要求が高く、システムの安全について事前に十分な検討・解析・評価を実施することが要求される。

近年開発される大規模かつ複雑なシステムにおいては、多くの場合、単一の構成要素(2)の故障では安全が損なわれない設計となっている。一方、システムの大規模化・複雑化に伴い、動作が複雑化し、構成要素に故障が発生しなくても、設計者が想定していない構成要素間の相互作用が原因でアクシデントが引き起こされることがある。すなわち、このようなシステムに対しては、安全確保のための構成要素が何重にも整備されているが、2つ以上の構成要素が同時に機能を喪失する多重故障の評価のみならず、各構成要素が想定した機能を果たしていても構成要素間の予期せぬ相互作用によって、設計者が想定したシステムの機能が果たされず最終的にアクシデントに発展する事象を評価する必要がある。システムを対象とした安全解析手法は、理論的に発生する可能性があると考えられるほぼ全てのアクシデントを解析・評価する手法であり、評価結果から得られる様々な情報は一般的にリスク情報と呼ばれる。リスク情報により、実際にアクシデントを発生させることなく、事前にアクシデントに発展するシナリオ及びその原因となるシステムにおける問題点を抽出し対策を施すことが可能となる、あるいは、複数の設計案から安全面で最適なものを選択することによりアクシデントの対応コストの削減につながる、等のメリットがある。

本稿では、システムを対象とした安全解析手法の中でも筆者が特に注目する、システム理論に基づく新しいアクシデントモデルSTAMP(Systems-Theoretic Accident Model and Process)と、STAMPに基づく新しい安全解析手法STPA(STAMP based Process Analysis)について紹介し、現在の動向と今後の展望について述べる。

1. 安全解析手法の歴史背景

よく知られるシステムの安全解析手法として、フォールトツリー解析(FTA:Fault Tree Analysis)、イベントツリー解析(ETA:EventTree Analysis)及びそれらを複合させた手法である確率論的リスク評価(PRA:Probabilistic Risk Assessment)あるいは故障モード影響解析(FMEA:Failure Mode and Effect Analysis)等がある(図表1)。

安全解析手法におけるデファクトスタンダードと言えるこれら従来手法は、20世紀中頃に開発された手法である。この時代のシステムは、機械・電気品といったハードウェアを中心に構成され、構成要素が少なく、それらの役割が明確であった。また、システムにおける人間によるオペレーションも1つのシステムの構成要素として、与えられた役割も限られていた。そのため、システムのアクシデントはハードウェアの故障やオペレーションミスが根本原因であり、それが他の要素に伝搬し最終的にアクシデントに発展するものとして捉えられていた。

このため、これら従来手法の特徴として、システムの構成要素と故障モード(3)が決まるアーキテクチャ設計の段階において適用が可能となることが挙げられる。

しかし、近年開発されるシステムのほとんどはソフトウェアにより制御されると同時に、ネットワークで構成要素が相互に接続され連携し、構成要素の数が爆発的に増大する等、大規模化・複雑化する傾向にある。また、人間の役割もシステムにおける1つの構成要素としての役割を果たすにとどまらず、全体を監視し、状況に応じて適切に介入することも求められている。このため、アクシデントの発生の原因も、前述のような要素の故障やオペレーションミスに限定せず、故障あるいはオペレーションミスの発生を伴わない複数の要素間の相互作用が要因となるものについても把握することが必要となりつつある。

図表1 主な安全解析手法の概要と適用の背景
図表1
(資料)各種公開資料をもとに筆者作成

2. システム理論に基づく新しいアクシデントモデルSTAMP

前章で述べたような背景の下、2011年にマサチューセッツ工科大学(MIT:Massachusetts Institute of Technology)のLeveson教授は著書(4)の中で、システムのアクシデントは構成要素の故障のみならず、システムの中で安全のための制御を行う要素と制御される要素間の相互作用が働かないことによって起きるという、システム理論に基づく新しいアクシデントモデルSTAMPを提唱し、STAMPに基づくハザード(5)分析手法STPAを提案した。

STAMPはシステム理論に基づきアクシデントを説明するモデルである。図表2に、STAMPにおける要素間の相互作用のモデルを示す。STAMPでは、システムの安全は、安全のための制御を行う要素(Controller:コントローラ)と制御される要素(Controlled Process:被コントロールプロセス)の相互作用が適切に働くことによって実現することを前提としている。アクシデントは、コントローラから被コントロールプロセスへの必要な制御指示(Control Actions:コントロールアクション)が適切に与えられないために発生し、適切なコントロールアクションが与えられないあるいは不適切なコントロールアクションが与えられる主要な要因として、コントローラ自身が想定する被コントロールプロセスの状態(Process Model:プロセスモデル)と実際の被コントロールプロセスの状態がマッチしていないことを前提としている。すなわち、コントローラも被コントロールプロセスの故障のみならず、故障がなく仕様どおりに正しく動作していても、それぞれの認識の不整合により、最終的にアクシデントが発生するとしている。

図表2 STAMP における要素間の相互作用のモデル
図表2
(資料)各種公開資料をもとに筆者作成

  • 本レポートは当部の取引先配布資料として作成しております。本稿におけるありうる誤りはすべて筆者個人に属します。
  • レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。全ての内容は日本の著作権法及び国際条約により保護されています。
ページの先頭へ