試行例（松野研） Classes Yutaka Matsuno's Homepage

ETロボコンにおける

STAMP/STPAの試⾏および

ウエブベースSTPAツー の

設計と開発

阿部惇朗 古川優也 松野裕

⽇本⼤学

岡本圭史

仙台⾼専

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

内容

• 研究背景: 複雑化 ^分析

• ET ^ン STAMP/STPA 試⾏

• 他 ^{分析⼿法 ⽐較}

• 試⾏ STAMP/STPA ー 設計

• ^{ベー ー 開発 び}

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

研究背景: 複雑化するシステムの スク分析

：閉 環境 ：複雑・ネ ワー 化 環境

→ ー ン

安全性 系全体 ュ 分析 重要

STAMP 注⽬

環境

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ETロボコンにおけるSTAMP/STPAの試⾏

・ET ン

組込 分野 技術教育

ー 決 ⾛⾏体 指定 ー ⾃

律⾛⾏ 競技

同⼀ ー UML等 分析・設計

ソ 搭載 競う

ソ 優劣 競う ン

URL:hががp://くくく.eがおobo.jp/2016/

超⾳波 ン

ー ン

ン内蔵

尻尾駆動 ータ

タ チ ン

⾞輪 ータ

URL:hががp://くくく.eがおobo.jp/2016/

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ETロボコンにおけるSTAMP/STPAの試⾏

・ ー 分析対象

255mm ⾛⾏体 235mm

ー 難所 ⼀

235mm

ー

超⾳波 ン ー

検知 尻尾 出 傾斜 ⾛

ー 通過

hががp://neくか.mけnaぎi.jp/aおがicleか/2011/12/

22/eがおobocon2011_championかhip/

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

・ ン ：喪失 Loかか 伴う 事故

・ ー ： ン 状態

・安全制約： 安全 保 必要 ー

ン ー 安全制約

ー 接触 ⾞体 適切 ⾓度 傾い い い ⾞体 傾 ⾛⾏

い い

ー ン ー い い EV3 常 ン ー

い

傾斜時 転倒 ー 速い ー 後 ⼀定 速度

い

表 ン ー 安全制約 識別

Sがep0 準備 ： _ン ー 安全

制約 識別

初 STAMP/STPA参照

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

Sがep0 準備 ： ン ー チ 構築

ン

超⾳波 ン ー ン

EV3

ン ー

ーター

⾞輪 尻尾

輝度 時間

⾛⾏指⽰ 減速指⽰

傾斜指⽰

⾊ 時間

回転回数

ー 通過 ン ー チ

ン ー ョン

ー い

？ ⼤丈夫

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

Sがep1：安全 い ン ー ョン UCA

識別

ン ー ョン 与え い ー 与え ー 早 遅 誤順序 ー 早 停⽌ ⻑ 適⽤ ー

傾 超⾳波 ン EV3 測定結果 伝

わ い 傾 い

UCA1

超⾳波 ン EV3 誤 測定結

果 伝え 傾 い

UCA3

超⾳波 ン EV3 測定結果 遅

伝わ ー ぶ

UCA5

EV3 ーターへ ン ー ョン 早 停⽌ 適切

⾓度 傾 い UCA7

EV3 ーター 命令 伝わ い 傾 い

UCA2

EV3 ーター 誤 命令

わ 傾 い

UCA4

EV3 ーター 命令 遅 伝わ ー ぶ

UCA6

減速 ーター EV3 測定結果 伝わ

い 距離 測 減速 い

UCA8

ーター EV3 誤 測定結果 伝わ 任意 場所以外 減速 UCA9

ーター EV3 遅 測定結果 伝わ 任意 場所以外 減速 UCA10

⾛⾏ ー ン EV3 測定結果 伝

わ い ー

UCA11

ー ン EV3 誤 測定結

果 伝え ー

UCA13

ー ン EV3 測定結果 遅

伝わ ー

UCA15

⾛⾏命令 早 停⽌ ー

UCA17

EV3 ーター 命令 伝わ い UCA12 ー

EV3 ーター 誤 命令 伝え UCA14 ー

EV3 ーター 命令 遅 伝わ UCA16 ー

⾛⾏命令 ⻑ 適⽤ ー

UCA18

表 UCA 識別

ーター EV3 測定結果

伝わ い 距離

測 減速 い

UCA8

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

Sがep ：Hazaおd Caきかal Facがoお 特定

ン

超⾳波 ン ー ン

EV3

ン ー

ーター

⾞輪 尻尾

輝度 時間

⾛⾏指⽰ 減速指⽰

傾斜指⽰

⾊ 時間

回転回数

ー 通過 ン ー チ

(1)未確認 範囲外 障害

(2)不正確 測定

(3)不適切 伝達

伝達 遅

(4)不適切 ン ー

(5)不適切

⽋ ン

ー ョン

(6)不適

切 伝達 伝達 遅

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

Sがep ：Hazaおd Caきかal facがoお 特定

(1)未確認 範囲外 障害 (2)不正確 測定 (3)不適切 伝達 伝達 遅 (4)不適切 ン ー (５)不適切 ⽋ ン

ー ョン (6)不適切 伝達 伝達 遅

超⾳波 ン EV3 測 定結果 伝わ い 傾 い UCA1

超⾳波 ン EV3へ 伝達 不適切

EV3 ーター 命令

伝わ い 傾 い

UCA2 ^不適切

EV3 不適切 ン

ー ョン

超⾳波 ン EV3 誤 測定結果 伝え 傾 い UCA3

外部 要因 想定外

測定結果 伝わ ^{超⾳波 ン}不正確 ^{測定結果 超⾳波 ン}不適切 伝達 ^EV3へ

EV3 ーター 誤

命令 伝え 傾

いUCA4

不適切 ^EV3ー ^不適切ョン ^ン

超⾳波 ン EV3 測 定結果 遅 伝わ

ー ぶ UCA5

超⾳波 ン EV3へ 伝達 遅

EV3 ーター 命令

遅 伝わ ー

UCA6ぶ

不適切 ^EV3ョン 遅^{ン ー}

EV3 ーターへ ン

ー ョン 早

停⽌ 適切 ⾓度 傾 い

UCA7

不適切 ^EV3ー ^不適切ョン ^ン

表 HCF 特定

対処可能 範囲

⾚ 選

外部 要因 想定外 測

定結果 伝わ

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

(1)外部 要因 想定外 測定結果 伝わ

対策： ー 通過 超⾳波 ン 測定結果 反映 い

UCA3:超⾳波 ン EV3 誤 測定結果 伝え 傾 い

(2) 超⾳波 ン 故障 誤 測定結果 伝わ

対策：想定外 値 測定結果 伝達 場合 距離 計測 傾 切

替え

対策

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ン ロー ア

ョン ^{与え い ハ ー 与え ハ ー 早}順序 ^遅ハ ー ^{誤 早} 適用^停止ハ ^長ー

傾

：超音波 ン 伝わ 測定結果いため

傾 い

：超音波 ン 誤 た測 定結果を伝えたため

傾 い

：超音波 ン 遅 伝わ測定結果ため

ー ぶ

： モー ターへの ン ロー ア ョン 早

停止 適切 角度ま 傾 い

： モー ター 命令 伝わ

いため 傾 い

： モー ター 誤 た命令

たわ ため 傾 い

： モー ター 命令 遅 伝わ ため ー

ぶ

減速

：モーター 測定結果 伝 わ いため 距離

測 減速 い

：モーター 誤 た測定結 果 伝わ ため 任 意の場所以外 減速

：モーター 遅 測定 結果 伝わ ため 任意の場所以外 減

速

走行

： ー ン 果 伝わ 測定結いため

ー アウ

： ー ン 誤 た 測定結果を伝えたた め ー アウ

： ー ン 果 遅 伝わ測定結た め ー アウ

：走行命令 早 停止

ー アウ

： モーター 命令 伝 わ いため ー

アウ

： モーター 誤 た命

令を伝えたため ー アウ

： モーター 命令 遅

伝わ ため ー アウ

：走行命令 長 適用

ー アウ

未確認 範囲外の障

害 ^{不正確 測定 不適切}の遅^{伝達 伝達 不適切}ア ^ンム^ロー モーター 命

令 伝わ いため

ー アウ ^プロ ム^ムのア不適切

ー ン 誤 た測定結果を伝

えたため ー アウ ^{外乱光 ー}想定外の測^の状態 定結果 伝わ

ー ン の測定結

果 不正確 への不適切^{ー ン} 伝達

の抽出

の特定

ッ アップ ー 近 超音波 ン 一定の距離を検知 し い プロ ムのア ム 不正確 ためモーター

命令 伝わ ^H1 起こ

飛行物体 想定外の測定結果 伝わ

超音波 ン の故障 誤 た測定結果 伝わ

ッ アップ ー 近 超音波 ン 一定の距離を検知 し い プロ ムのア ム 不正確 ためモーター 誤 た命令 い H1 起こ

ッ アップ ー 近 超音波 ン 一定の距離を検知 し い 不適切 ン ロー ア ム H1 起こ

ッ アップ ー 近 超音波 ン 一定の距離を検知 し い EV3 モーターへの遅 た ン ロー ア ョン

H1 起こ

超音波 ン 一定の距離を検知した後 不適切 ン ロー ア ム ^H1 起こ

ー を通過した モーター の測定結果 遅 伝わ H2 起こ

ー ン 検知し い プロ ムのア ム 不 正確 ためモーター 命令 伝わ ^H3 起こ

外乱光や ー の状態 ー ン の測定結果 誤 た結果 H3 起こ

ー ン 検知し い プロ ムのア ム 不 正確 ためモーター 誤 た命令 伝わ ^H3 起こ

ー ン 検知し い 不適切 ン ロー ア ム H3 起こ

ー ン 検知し い ^EV3 モーターへの遅 た ン ロー ア ョン ^H3 起こ

ー ン 検知した後走行命令 出さ 不適切 ン ロー ア ム H3 起こ

ー ン 検知した後走行命令 出さ 不適切 ン ロー ア ム H3 起こ

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

Step2-2:HCF_{の 対策}

概要 分析 _{機能モ 構造モ 振 舞いモ}

日大応用情報

※_{こ ⾏を 求めた 個 列を準備 選択した 個 ガイドワード した表 ⼀部 あ}

シナ オと対策 _{ー 通過時 ー ン 図}

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

結果と原因

・東京⼤会 予選敗退

本番 ⽬標 完⾛ 達成

結果

原因

・EV3 タン 効 ( ー 故障)

ー ⼤丈夫 思い込 対策 怠 (予備 機体 買う)

・実際 ー ⾛⾏ ⼗分

研究室内 実際 運⽤状況 ⼤ 異 認

識 い

STAMP 分析 チ 項⽬ 有⽤ あ 思い込

活

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

疑問点

・ ン ー チ 粒度 ⼤ 決定

・ ー い ？

・同 ワー ⼀ ン ー ー 複数回出 いい

・ ン ー チ ワー 対応 ワー 解釈

・UCA選択 基準

UCA ⾄ 適切 選択 ⾔え い

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

FTAとの⽐較

・頂上事象 ー 通過 い 定 ー解

析 ⾏

ー 通過 い

⾛⾏不能 ー ー 接触

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

中間事象 解析結果

⾛⾏不能

⾛⾏停⽌

EV3 故

転倒 障

ン 故障

ーター 不備

故障 ⼀定値以上

foくaおd

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

中間事象 解析結果

ー

備 不

ーター 故障

ン ー 故

障

想定外 輝度値

ー ソ 外乱

外乱光

⽩ ⿊ 値

⼀定値以上

foくaおd ^不適切 _Tきおn値

網羅性 満 い ？

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ー 接触

傾斜 い ー

超⾳波 ン 故

障

ーター 故障

中間事象 解析結果

不備

中間事象 ー

へ 繋

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ー ソ 他

FTA ・ ン

・ ー ン

・超⾳波 ン

・ ーター

・EV3

・速度 設定

・曲 時 強

・輝度値 設定

・外乱光

STAMP ・ ン

・ ー ン

・超⾳波 ン

・ ーター

・EV3 ・ ー

・ 全体

・待機時間 ^・外乱光

・ ー 関 STAMP 繋 ー 着⽬

・ソ 関 FTA 関数や ーター ベ 分析 STAMP

全体 ベ 分析

全体 STAMP 分析 細 い部分 FTA 分析

分析結果 ⽐較

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

STAMPとFTAの⽐較

着眼点 粒度 網羅(MECE)

性

FTA ⽊構造

ー ^{ン ーネン} 単体 ^{細 い 確信 持} い場合 あ

STAMP ン ー

ネ チ ワー

ン ーネン

ネン 間 流 ン ー

⼤ ン ー

描 チ

そ 範囲 網羅性

定義

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

試⾏を とにしたSTAMP/STPAツー の設計

・STAMP/STPA Sがep ⼿順 わ 易い

・Sがep ⾏ 来 分析 い 表 巨⼤

・既存 ー XSTAMPP あ eclipかe ン あ

⼿軽 使え 少 い

わ や 保 機能 絞 かがep ⾏ 来 容易 あ

前⼿順 引 継 ⼿軽 使え くebベー ー

設計

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

STAMP/STPA ー

間 ⾏ 来 い 可能

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

ン ー ョン ワー 指定

後 引 継

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史

まと

・STAMP/STPA ET ン 例 試⾏

⼤枠 捉え 分析 ⾏う

・FTA分析 ⽐較

ン ーネン 間 繋 着⽬

詳細 分析 FTA ⽅ 良い？

・Sがep ⾏ 来 容易 前⼿順 引 継 ー

設計 ベー 開発中

© 2016 阿部惇朗 古川優也 松野裕 岡本圭史