STAMP/STPAとイベントシーケンス図を用いた複数コントローラが協調するシステムにおけるハザード対策の検討支援手法の提案
ソフトウェア品質シンポジウム2023(2023年)
執筆者:
梅田 浩貴((国研)宇宙航空研究開発機構) 、森崎 修司(名古屋大学) 、植田 泰士((国研)宇宙航空研究開発機構) 、片平 真史((国研)宇宙航空研究開発機構) 、髙附 翔馬 ((国研)宇宙航空研究開発機構)
本発表では安全解析手法「STAMP/STPA」で導出したハザードシナリオに対して、対策の検討を支援する手法を紹介する。
JAXAでは下記の製品特性を有するシステムを開発している(例:宇宙機同士がドッキングするシステム)。その際、複数コントローラが協調した安全設計が必要となる。
■製品特性
制御構造として複数コントローラを有しコントローラ間で協調してミッションの遂行や安全化を行う。
上記システムの安全解析には、ハザードの要因にシステム構成要素間の相互作用を考慮できるSTAMP/STPAが有効である。しかし、STAMP/STPAではハザードシナリオを導出するまでのガイドはあるが、対策の導出は個々の製品特性に依存するため、対策を具体化するためのガイドはない。そのため下記の課題が発生した。
■課題
ハザードシナリオに対する対策の検討時に、アーキテクチャ階層を考慮した対策が導出されない。つまり、対策が個別の構成要素(分析対象のコントローラ等)に限定されがちである。
そこで、ハザードシナリオと対策後のシナリオを時系列で捉えることで、アーキテクチャ階層を考慮した対策の漏れを防ぐ方法を試みた。具体的には、STAMP/STPAで導出したハザードシナリオをイベントシーケンス図で可視化し、対策を講じるタイミングとその前提を明確にして対策の検討を支援する手法である。
実際のシステムに提案手法を適用して導出した対策を評価したところ、提案手法の有用性が示唆された。
本発表ではその内容を紹介する。
JAXAでは下記の製品特性を有するシステムを開発している(例:宇宙機同士がドッキングするシステム)。その際、複数コントローラが協調した安全設計が必要となる。
■製品特性
制御構造として複数コントローラを有しコントローラ間で協調してミッションの遂行や安全化を行う。
上記システムの安全解析には、ハザードの要因にシステム構成要素間の相互作用を考慮できるSTAMP/STPAが有効である。しかし、STAMP/STPAではハザードシナリオを導出するまでのガイドはあるが、対策の導出は個々の製品特性に依存するため、対策を具体化するためのガイドはない。そのため下記の課題が発生した。
■課題
ハザードシナリオに対する対策の検討時に、アーキテクチャ階層を考慮した対策が導出されない。つまり、対策が個別の構成要素(分析対象のコントローラ等)に限定されがちである。
そこで、ハザードシナリオと対策後のシナリオを時系列で捉えることで、アーキテクチャ階層を考慮した対策の漏れを防ぐ方法を試みた。具体的には、STAMP/STPAで導出したハザードシナリオをイベントシーケンス図で可視化し、対策を講じるタイミングとその前提を明確にして対策の検討を支援する手法である。
実際のシステムに提案手法を適用して導出した対策を評価したところ、提案手法の有用性が示唆された。
本発表ではその内容を紹介する。