• 検索結果がありません。

目次 1. 目的 2. STPA の手順 3. エアバッグの要求仕様 4. Step 0 準備 1:Accident Hazard 安全制約の識別 5. Step 0 準備 2:Control Structure の構築 6. Step 1:UCA(Unsafe Control Action) の抽

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "目次 1. 目的 2. STPA の手順 3. エアバッグの要求仕様 4. Step 0 準備 1:Accident Hazard 安全制約の識別 5. Step 0 準備 2:Control Structure の構築 6. Step 1:UCA(Unsafe Control Action) の抽"

Copied!
19
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 19 ページ )

全文

(1)

STAMP/STPA演習

~エアバッグの安全性分析~

2017年9月22日

独立行政法人 情報処理推進機構(IPA)

技術本部 ソフトウェア高信頼化センター(SEC)

石井 正悟

(2)

目次

1.

目的

2.

STPAの手順

3.

エアバッグの要求仕様

4.

Step 0 準備1:Accident、Hazard、安全制約

の識別

5.

Step 0 準備2:Control Structureの構築

6.

Step 1:UCA(Unsafe Control Action)の抽出

(3)

Step 0:(前準備2)

Control Structureの

構築

Step 2:

HCF

(Hazard Causal

factor)の特定

Step 1:

UCA

(Unsafe Control

Action)の抽出

分析手順

分析内容

システムにおいて、安全制約の実現に関係する

コンポーネント(サブシステム、機器、組織

等)、及び、

コンポーネント間の相互作用

(コ

ントローラによる指示、フィードバックデー

タ)を分析し、

Control Structure

を構築する。

Control Structure Diagramから安全制約の実

行に必要なコントローラによる指示(Control

Action)を識別し、

4つのガイドワード

を適用し

て、ハザードにつながる

非安全なControl

Action(UCA)

を抽出する。

Step1で抽出したUCA毎に,関係するコント

ローラと制御対象プロセスを識別して、

Control Loop Diagram

を作成し、

ガイドワー

を適用してハザード要因(HCF)を特定する。

特に、ソフトウェアやヒューマンに起因する要

因として,コントローラの想定する

プロセスモ

デル

が,実際のプロセスの状態と矛盾すること

Step 0:(前準備1)

Accident、Hazard、

安全制約の識別

対象システムにおいて分析対象となる、

Accident(望ましくない事象)、Hazard

(Accidentが潜在している具体的な状態)を定

義し、Hazardを制御するためのシステム上の安

全制約を識別する。

2 STPAの手順

(4)

3.エアバッグの要求仕様

エアバッグ制御システムの要求仕様

(目的)自動車の衝突による衝撃から乗員を保護するため、

(手段)膨らませたエアバッグを用いて、衝突による乗員へ

の衝撃を緩和する。

【前提】

一般的な実現方法として、

・加速度センサーで衝突を検知する

・火薬を爆発させることによりバッグを瞬時に膨張させる

膨張させるだけでは衝撃を緩和できなかったり、反動ではじき返されたりするので、

・エアバッグからの反動を緩和するためにエアバッグを速やかに収縮させる

エアバッグのライフサイクルを考えると、

・自動車組立・廃棄処理の際に火薬が爆発しないようにする仕組みが必要

(5)

4. Step0 準備1:アクシデント、ハザード、安全制約の識別

作業名称

アクシデント、ハザード、安全制約の識別

目的

アクシデントを定義する

安全制約を導き出す

入力

① 要求仕様書

② [ドメイン専門家]

処理

① 分析しようとするアクシデントが何であるかを定義する

② アクシデントと成り得るハザードには何があるかを考える

③ ハザードの裏返しとなる程度の粒度で安全制約を導き出す

出力

① アクシデント、ハザード、安全制約の一覧表

備考

・アクシデント:喪失(Loss)を伴うシステムの事故

・ハザード:アクシデントにつながるシステムの状態

・安全制約:システムが安全に保たれるために必要なルール

例えば、踏切制御システムにおいて。

踏切がいつまでも開かないのは、サービス利用者・提供者に経済的

損失を与えたり、精神的苦痛を与えることになることもあるが、人の

生命に関わる事柄に焦点を絞ったときには『アクシデントではない』

と定義できる。

「はじめてのSTAMP/STPA」 P15

(6)

Step 0 アクシデント、ハザード、安全制約の識別

アクシデント(Loss)

ハザード(Hazard)

安全制約

(Safety Constraints)

A1:

(7)

5. Step 0:コントロールストラクチャーの構築

作業名称

コントロールストラクチャーの構築

目的

登場人物間の依存関係を制御構造図で表す。

制御主体と制御対象の間で行われる制御(サブシステム間の相互

作用)には何があるかを明確化する。

その後の分析作業において理解し易いイメージを共有する。

入力

① 要求仕様書

処理

① 要求仕様書から登場人物(ブロック)を抽出する

② 要求仕様書から各ブロックの役割を抽出する。

③ 役割を果たすために必要な制御、役割を果たした結果のフィー

ドバックを抽出する。

④ 制御、入出力情報(情報を与えるのみで制御を行うわけではな

い)の違いを分別する

⑤ ブロック間を矢印線で結び、制御・入出力を・・(?)センサー出力

のようなフィードバックを制御と考える??

出力

① 制御構造(コントロールストラクチャー)図

備考

ブロックの数は4つ程度が良いと言われている。

それ以上多くなる(抽象度を下げる)と、以降の分析すべき組み合わ

せが多くなり、集中しにくくなる、検討漏れを起こしかねないので、工

夫が必要になる。

「はじめてのSTAMP/STPA」 P17

(8)
(9)

演習 STPAによるエアバッグの安全分析

5. Step 0 コントロールストラクチャーの構築

エアバッグシステムの

(10)

6. Step 1:UCA(Unsafe Control Action)の抽出

作業名称

UCA(Unsafe Control Action:非安全制御動作)の抽出

目的

ハザードにつながり得る制御動作の不具合を識別する(発想する)

入力

① UCAを導き出すための4つのガイドワード(4分類)

② アクシデント、ハザード、安全制約の一覧表

③ 制御構造図

処理

① UCA識別の表を準備する

② 最上列に4つのガイドワードを記す

③ 最左行に制御構造図中にある制御をすべて記す

④ 各マスごとに、当該(最左行の)制御動作が当該(最上列)状況

になった場合、いずれかの安全制約違反に成り得るかを考える。

⑤ 安全制約違反に成り得るならば、UCAであると判断する

「はじめてのSTAMP/STPA」 P19

(11)

6. Step 1:UCA(Unsafe Control Action)の抽出

まず、CS図から制御行動(Control Action)を抽出する

エアバッグ制御システムの制御行動(Control Action)

加速度センサーで衝突を感知したら、

バッグを膨らませる

(from)エアバッグ制御装置 (to)エアバッグ

バッグが膨張したら

バッグを収縮させる

(from)エアバッグ制御装置 (to)エアバッグ

(12)

6. Step 1 UCAの抽出

# 制御行動

適用条件

N

ot Providing

P

roviding

causes hazard

T

iming)

Too early/Too

late

D

uration)

Stop too soon

/Apply too long

(13)

7. Step 2:HCF(Hazard Causal factor)の特定

作業名称

HCF(Hazard Causal factor:誘発要因)の特定

目的

どのようなHCFがあったらUCAに成り得るのかを考え、ハザードシナ

リオを作る

入力

① HCF特定のための11個のガイドワード

② 制御構造図

③ UCA一覧表

処理

① 制御構造図からコントロールループを抜き出して、その中の各

制御に該当するガイドワードを割り当てる

② [制御構造図中の各制御に該当するガイドワードを割り当てる]

③ Step1で識別したUCA毎に、ガイドワードをひとつづつ当てはめ

てみて、ハザードと成り得るかを考える

④ ハザードと成り得るならば、どういう条件下で当該ガイドワードの

事象が発生して、その後、どういうシステム挙動になったらハ

ザードとなって、アクシデントにつながるかのシナリオを作る

出力

① 縦軸:UCA,横軸:ガイドワードとした、ハザード要因の一覧表

② ハザードシナリオ

すべてのUCAに夫々ガイドワードのすべてを当てはめて考える

「はじめてのSTAMP/STPA」 P21

(14)

HCFガイドワード

「はじめてのSTAMP/STPA」 P9

(15)

7. Step 2:HCF(Hazard Causal factor)の特定

UCA

:(SC

違反)

(16)

STPA最終Step:対策のまとめ

# 対策

関連

UCA

関連

HCF

対策対象

コンポーネント

備考

1 マスク解除は両方向の開始センサー

に行なう

UCA4

4-1

踏切制御装置、

開始センサー

UCA6

6-4

2 終始センサーが列車“到達”を検知し

たら、開始センサーへマスク指示す

UCA4

4-2

踏切制御装置、

開始センサー

列車“到達”を前提として

再度STPA分析要

3 開始センサーからの信号が途絶えた

ら警報を鳴らす

UCA1

1-1

踏切制御装置、

開始センサー

Heartbeat、Healthy信号

等による監視機能が必要

4 センサー検出順番の不正を検出した

ら警報鳴動し続ける

UCA1

1-2

踏切制御装置

順番の正誤判断基準要

5 異常に短時間の短絡は異常と判断し、

警報鳴動し続ける

UCA1

1-2

踏切制御装置、

開始/終始セン

サー

異常時間の判断基準要

UCA3

3-1

6 異常に長時間の短絡は異常と判断し、

マスク解除し、警報鳴動する

UCA5

5-1

踏切制御装置、

開始/終始セン

異常時間の判断基準要、

開始と停止の指示競合時

(17)

STPA最終Step:対策のまとめ

# 対策

関連

UCA

関連

HCF

対策対象

コンポーネント

備考

1

2

3

4

5

6

7

(18)
(19)

参照

今ダウンロードする ( PDF - 19 ページ - 1.19 MB )

関連したドキュメント

北区のエネルギー施策に関する提言

方針 3-1:エネルギーを通じた他都市との新たな交流の促進  方針 1-1:区民が楽しみながら続けられる省エネ対策の推進  テーマ 1 .

第50回東京都環境審議会 速

先ほどの事前の御意見のところでもいろいろな施策の要求、施策が必要で、それに対して財

表3 自然現象により想定される影響概略評価結果

可搬型設備は、地震、津波その他の 自然現象、設計基準事故対処設備及び

敷地の地質・地質構造について

1-2.タービン建屋 2-2.3号炉原子炉建屋内緊急時対策所 1-3.コントロール建屋 2-3.格納容器圧力逃がし装置

これまで一ヶ月の動きと今後一ヶ月の予定 6月 7月 8月 9月

 STEP ①の JP 計装ラックライン各ラインの封入確認実施期間および STEP ②の封入量乗 せ替え操作実施後 24 時間は 1 時間に

電源接続案件募集プロセスの概要について

・入札対象工事に係る当該系統連系希望 者の一般負担額と全ての応募者が連

84 ⑨ 第四次総合特別事業計画におけるカーボンニュートラルへの取組

(目標) 1 安全対策をはじめ周到な準備をした上で、燃料デブリを安全に回収し、これを十分に管理さ れた安定保管の状態に持ち込む。 2

可搬型重大事故等対処設備保管場所及び アクセスルートについて

可搬型設備は,地震,津波その他の 自然現象,設計基準事故対処設備及び