【共催】ET・IoT Technology 名古屋：IPA 独立行政法人 情報処理推進機構

独立行政法人情報処理推進機構（

IPA)

技術本部ソフトウェア高信頼化センター（

SEC)

調査役

石井

正悟

STAMP/STPA

概要紹介

1.

STAMP

とは

2.

STPA

とは

新たな手法へのパラダイムシフト

アクシデントは構成機器の故障や

オペレーションミスに起因すると仮定

アクシデントは構成要素間の

相互作用から創発的に発生

大規模・複雑化が進むIoT時代の

コンピューターシステムへの対応が求められる 既存のハザード分析手法

は40～65年前のもの

旧来は

ハードウェア主体

パラダイムシフト

1940

•FMEA 1950 1960 •_FTA •_HAZOP •_ETA

1970

•_{Bow Tie}

(CCA) FTA+ETA

1980 1990 2000 2010

•

_STAMP

2020

現在の分析手法が確立されたのは

40-65

年前

従来の事故モデル



従来の事故モデル

…

イベントチェーンの形式



ドミノモデル



スイスチーズモデル



原因－結果（次の原因）－

…

の系列をドミノ倒しにたとえる

このドミノ倒しのどこかで手を打てば事故が避けられるとする



根本原因分析といわれる事故分析の各手法は、この考えに

立っている



防御壁とそこでの漏れをチーズの穴にたとえる

穴が重なって見通せたときに事故となる



個々の穴をふさぐことで対策とする

事故

STAMP …

新しい事故モデル



S

ystems-

T

heoretic

A

ccident

M

odel and

P

rocesses

「

システム理論に基づく事故モデル

」

MIT

の

N a n c y Leveson

教授が提唱

プロセスのコンポーネントは直接・間接に 相互作用する

プロセス

人

組織

ｻﾌﾞｼｽﾃﾑ ｻﾌﾞｼｽﾃﾑ

ｻﾌﾞｼｽﾃﾑ

複雑な

相互作用

に

起因する

創発特性

安全制約の乱れ

事故につながる

コントローラー

被コントロールプロセス

プロセスモデル

フィードバック

データ

コントロール

アクション

アルゴリズム

な 制 御 を 行 う コ ン ポーネント

制御される コンポーネント

コントローラーが想定する 被コントロールプロセスの状態

既存の考え方と

STAMP

の考え方の違い

～システム理論に基づく新しい安全分析～

運転自動化が進むと更に大規模、複雑になり、

人や環境、またそれらとの相互作用にも着目した安

全分析が必要になる

駆動系

（エンジン、変速機）

車体(ボディー)系

（メーター、エアコン）

車台(シャシー)系 （ブレーキ、ステアリング）

情報系 （ナビ、オーディオ、

ETC）

車載ネットワーク （車内通信）

車両

運転支援

システム

ドライバー

他システム

環境

STAMPのSTはSystems-Theoretic（システム理論に基づく）の略で、分析対象システムの安全に関係する

すべてを含めて考えるべきと提唱しており、今後の複雑なシステムの安全分析に適している

自動車システムを大規模な機能ブロック図等で表

1.

STAMP

とは

2.

STPA

とは

STPA … STAMP

に基づくハザード解析手法



S

ystems-

T

heoretic

P

rocess

A

nalysis



安全制約が破られうるシナリオを定義する支援に使用する



許容リスクを確実にするのに必要な安全制約

/

要求を特定する

（従来の解析と同じ）



従来の解析手法にくらべ、



コンポーネント故障以上の要因にも着目する



より多くの事故シナリオを発見できる

手法名

分析方法

特

徴

従来手法

( F TA ,

FMEA)

フ ォ ー ル ト ツ リ ー 図 や 影 響 分 析 表

を用 いて 、トップダ ウンま たはボ ト

ムアップでハザード要因を分析

システムの構成要素と故障モー

ド が 決 ま る

ア ー キ テ ク チ ャ 設 計

の段階から適用

STAMP/

STPA

コントロールストラクチャーとコント

ロールループ図を用いてハザード

要因を分析

Step 0

（準備２）：

コンポーネントと

相互作用から成る

コントロールストラクチャーの構築

Step 2

：

ＵＣＡ毎に

コントロールループ

にガイドワードの

適用

→

ハザード誘発要因（ＨＣＦ：

Ｈａｚａ

r

ｄ

Ｃａｕｓａ

l

Ｆａｃ

t

ｏ

r

）の特定

Step 1

：

非安全なコントロールアクション（ＵＣＡ：

Ｕｎｓａ

f

ｅ

Ｃｏｎ

tr

ｏ

l

Ａｃ

ti

ｏｎ）の抽出

解析手順

Step 0

（準備

1

）：

アクシデント（望ましくない事象）、

ハザード

（アクシデントに至る状態）、

安全制約の識別

UCA

UCA: 設定速度を超えた状況で 制動指示が出ない

HCF:車輪の回転を検知する 車速センサーが不正値

UCA UCA UCA HCF HCF HCF HCF

STPA

の概略手順

制動 指示

制動 指示

1.

STAMP

とは

2.

STPA

とは

STAMP

支援ツール開発の背景



IPA/SEC

は

2015

年から安全分析技術向上手段のひとつとして、

STAMP

に

注目して調査・研究を開始

⇒

STAMP

の有効性

について感触を得た



海外では

STAMP

が、これからの複雑システムの安全分析手法のデファクト

スタンダードになりつつある。国内では認知度が低い。

⇒

海外に追いつくには、

STAMP

普及展開の急加速

が必要



具体的な分析手順が分からない。ガイドブックがない

⇒

STAMP/STPA

の具体的手順を解説するガイドを提供

STAMP

普及の課題と対策

【ガイドブックだけでは解決できない課題】



STAMP/STPA

は自由な発想を引き出す強制発想手法！

なのに

思考に専念

できない



図表の作成・編集に手間がかかる



修正に伴う影響範囲の更新に手間がかかる



ツール活用が有効！

しかし、

分析を支援

するツールがない

【対策】



IPA

が

STAMP

支援ツールを開発し、無償公開



公的機関が

STAMP

支援ツールの協調領域機能を無償提供し、

STAMP

適用のすそ野を広げる

STAMP Workbench

の基本コンセプト



STPA

手順を誘導し、分析者は

思考に専念

できる



可能な限り自動化



自由な発想を引き出し、積極的に繰り返し

分析を支援



リアルタイムモデル連携

により、分析者を図表修正の煩わし

さから解放



分析結果の妥当性を説明するためのエビデンス作成

を支援



CS

図生成過程の情報を記録（図から表、表から図の双方向

を支援）



要求仕様を整理する表（コンポーネント抽出表）から

CS

図の雛型を

自動生成

（

表

➡

図

）

STAMP Workbench

の概念図

（１）本ツール開発範囲 （ソースコードおよびバイナリー公開）

汎用形式 データ出力

STAMP図 生成

STAMP表 生成

外部ツール 連携I/F

STPA基本 手順支援

（２）実績のある既存モデルベース開発支援ツールのプラットフォーム （バイナリー公開）

ファイル 管理機能

モデル描画 基本機能

GUI

基本機能

API

基本機能 モデル編集

基本機能

利用者が自社向けにツール強化、またはツールベンダーが強化して提供

自社ツール 形式データ

出力

STAMP図 テンプレート

追加

STAMP

表 拡張

自社ツール 連携

STPA手順 カスタマイズ

トレーサビリティ 機能追加等、・・・

IPA提供

ツール開発 受注者提供

ツール利用者が開 発して社内利用 ツールベンダーが機

能強化して提供

他手法手順の追加

(CAST,STPA-Sec

等)

STAMP Workbench

β

版の評価

Step0, 43件

31%

Step1, 16件

12% Step2, 33件

24% Step3, 3件

2%

全般, 42件

31%

該当

Step

別コメント



IPA/SEC

と活動連携する団体、有識者による

β

版評価で

は、概ね良好な評価を戴いた



基本コンセプトの目標は達成できているとの評価



Advanced/Extended

活用方法への対応についてご要望多数

その他, 1件

1%

機能拡張,48件

35%

仕様変更,51件

37%

質問, 3件

2%

不具合, 5件

4%

良い点,

29件

21%

ご静聴有難うございました

続きましてデモを交えて

STAMP Workbench