STAMP/STPAとシーケンス図を用いたコントローラ間の相互作用があるシステムにおける安全設計手法の提案
ソフトウェア品質シンポジウム2022(2022年)
JAXAでは、宇宙機システムの開発における複数のコントローラが協調して他システム等と衝突を回避すること等を目的とした安全設計を実施している。下記の製品特性を持つ宇宙機システムの場合、コントローラの安全設計に安全解析手法「STAMP/STPA」を適用したところ、ハザード要因の分析において下記の課題が発生した。
■製品特性
各コントローラが別々のフィードバックループを持ち、コントローラ間の通信やアクチュエータの物理的作用により互いのフィードバックループに干渉し合う。
■課題
・外部コントローラからの制御指示と制御対象の観測値を組み合せた分析が漏れる
・外部コントローラが制御するアクチュエータの物理的相互作用の影響の分析が漏れる
・制御指示や観測値取得の「順序」や「タイミング」等の制約に関する分析が漏れる
そこで、STAMP/STPAにSysMLのシーケンス図を加えて分析することで改善を図った。このシーケンス図は下記を定めた方針に従い作成した。
■シーケンス図の作成方針に定めた内容
・登場させるシステム構成要素(ライフライン)の基準
・システム構成要素間の相互作用(メッセージ)を記述する範囲
・制御指示や観測値取得の「順序」や「タイミング」などの制約の表現方法
実システムに対して従来手法(STAMP/STPA)と提案手法(STAMP/STPA + シーケンス図)を適用し、導出されたハザードシナリオを比較したところ提案手法の有用性を確認できた。
本発表ではその内容を紹介する。
■製品特性
各コントローラが別々のフィードバックループを持ち、コントローラ間の通信やアクチュエータの物理的作用により互いのフィードバックループに干渉し合う。
■課題
・外部コントローラからの制御指示と制御対象の観測値を組み合せた分析が漏れる
・外部コントローラが制御するアクチュエータの物理的相互作用の影響の分析が漏れる
・制御指示や観測値取得の「順序」や「タイミング」等の制約に関する分析が漏れる
そこで、STAMP/STPAにSysMLのシーケンス図を加えて分析することで改善を図った。このシーケンス図は下記を定めた方針に従い作成した。
■シーケンス図の作成方針に定めた内容
・登場させるシステム構成要素(ライフライン)の基準
・システム構成要素間の相互作用(メッセージ)を記述する範囲
・制御指示や観測値取得の「順序」や「タイミング」などの制約の表現方法
実システムに対して従来手法(STAMP/STPA)と提案手法(STAMP/STPA + シーケンス図)を適用し、導出されたハザードシナリオを比較したところ提案手法の有用性を確認できた。
本発表ではその内容を紹介する。