付録

付録1：用語集

■STAMP(Systems Theoretic Accident Model and Processes)

■STPA(System-Theoretic Process Analysis)

STAMPによるアクシデントモデルを基に、システムのハザード分析を行う安全解析手法のこと。

■STRIDE

■CA(Control Action)

STAMP分析での、コントローラーから被コントロールプロセスへの必要な制御指示のこと。

■CS(Control Structure)

■UCA(Unsafe Control Action)

■SC(Safety Constraints)

あるアクシデントに対するハザードが発生しないための安全制約のこと。

■HCF(Hazard Causal Factor)

■GSN(Goal Structuring Notation)

システムが達成すべき目的や性質について、その達成を導く方法・思考を可視化する際に用いる記

法のこと。

システムの安全性は構成要素の相互作用から創発されるものであり、個々の要素を分割して分析す

るべきではない、という考えの下、システムの中で安全のための制御を行う要素（コントロー

ラー：Controller）と制御される要素（被コントロールプロセス：Controlled Process）の相互作

用が働かないことによってアクシデントは起きるというモデルのこと。

システムにおいて、安全制約の実現に関係するコンポーネント、および、コンポーネント間の相

互作用を分析し作成した、制御構造図のこと。

CSから、安全制約の実行に必要なコントローラーによるCAを識別し、4種類のガイドワードを適

用して抽出された、ハザードにつながる非安全なCAのこと。

UCA毎に、関係するコントローラーと被コントロールプロセスを識別して、コントロールループ図

を作成し、ガイドワードを適用して特定するハザード要因のこと。

システムに対するセキュリティ上の脅威として、Spoofing identity(なりすまし)/Tampering(改ざ

ん)/Repudiation(否認)/Information Disclosure(情報の暴露)/Denial of Service(サービス不

能)/Elevation of Privilege(権限の昇格)という6つに分類した脅威モデルのこと。

付録2：S

TAMP/S

TP

Aの手順

付録3：質問紙

□

はい

□

いいえ

□

はい

□

いいえ

SQiP研究会 2018年度

演習コースⅢ（セーフティ＆セキュリティ開発）

Q1. STAMP/STPAを知っていますか？

※　他者に説明を求められた時に、説明ができる場合に「はい」。

Q2. STAMP/STPAを使った分析を過去にしたことがありますか？

※　ツールハンズオンや演習などでのトライアルを含む。

Q3. 自動車自動運転レベル３の、夕暮れ時かつ雨天のシーンにおけるブレーキ周りの

セーフティならびにセキュリティ上のリスクを

5つ以上思いつく限り多くあげてください。

※　レベル３とは自動運転と手動運転が混在するものである。

Q4. Q3であげたリスクに対する対策をお答えください。

－229－

付録4：図3.3-1　実験結果一覧

抽出したリスクのセーフティ/セキュリティの割合

被験者1人当たりのリスク件数の内訳

被験者1人当たりのリスクの割合

抽出したグループ数ごとの被験者の割合

全員がある程度の割合でセキュ

セキュリティ・リスクが抽出しているのは少数

STAMPを用いた分析の方が，その他を除いた全ての項目でリスク抽出数が多く，

特にヒューマンエラーや人とシステムの認識の違いのリスクを非常に多く挙げている

STAMPを用いた分析の方が，ヒューマンエラーや人とシステムの認識の違いの比率が高い．全体的にリスク

抽出数が多いので，特にヒューマンエラーや人とシステムの認識の違いのリスクを多く抽出していると言える

グラフのピークが，右側，すなわちグループ数の大きな方にあることから，STAMPを用

いた分析が，セーフティにおいて多くのグループでリスクを検出している

グラフのピークが，右側，すなわちグループ数の大きな方にあることから，STAMPを用

いた分析が, 多くのグループでリスクを検出している

－230－

付録5：図4-1　CS図

付録6：表4-1　UCAの抽出結果

No CA

Not Providing

Providing causes hazard

Too early / Too late

Stop too soon / Applying too long

1

運転手によるブレーキペ

ダル操作

(UCA1-N) 自動運転不能時に運転手が

ペダルを踏まないと減速指令が出ず外

部環境と衝突する．

[SC1][SC2]

(UCA1-P) 自動運転中に意図しないペダ

ル操作が発生し，自動運転が解除され

ブレーキが作動しなくなり外部環境と衝

突する

[SC1][SC2]

(UCA1-T) 非自動運転時にペダル操作

が遅すぎる場合，減速指令が遅れ，外

部環境と衝突する

[SC1]

(UCA1-D) 非自動運転時にペダルを踏

む時間が不足すると，減速指令が不足

して外部環境と衝突する

[SC1]

ブレーキを踏む時間が長すぎると必要

以上に減速し，渋滞の原因となる

2

ブレーキペダル操作によ

るブレーキシステムへの

減速指令

(UCA2-N) 減速指令がないと，そのまま

外部環境と衝突する

[SC1]

(UCA2-P) 不必要に強い減速指令が出

され，後方車両から追突される

[SC3]

(UCA2-T) 運転手のペダル操作に対して

減速指令が遅すぎた場合，外部環境と

の適切な距離が保てず衝突する

[SC1]

(UCA2-D) 十分な減速が行われる前に

減速指令が終了し，外部環境との適切

な距離が保てず衝突する

[SC1]

必要な減速が完了した後も減速指令を

出し続け，加速が困難になる

3

ブレーキシステムによる

車体の減速制御

(UCA3-N) 減速制御が行われないと，そ

のまま走行方向の外部環境と衝突する

[SC1][SC2]

減速指令を受けてないのに減速が発

生し，交通渋滞となる

(UCA3-P) 不必要に強い減速が生じ，後

方車両から追突される

[SC3]

(UCA3-T-1) 減速指令に対して減速が遅

すぎる場合，外部環境との適切な距離

が保てず衝突する

[SC1]

(UCA3-T-2) 外部へのブレーキ表示前に

減速を始め，後方の車両から衝突され

る

[SC3]

(UCA3-D) 減速指令が終了する前に減

速が終了し，外部環境との適切な距離

が保てず衝突する

[SC1]

減速指令が終了した後も減速制御を行

い，加速が困難になる

4

運転手による人工知能モ

ジュールへの自動運転指

示

自動運転指示が行われないと，自動

運転が開始されない

意図しない自動運転が開始され，運

転手が混乱する

-

-5

人工知能モジュールによ

るブレーキシステムへの

減速指令

(UCA5-N 自動運転時に人工知能が減

速指令を出さないとそのまま外部環境

と衝突する．

[SC1]

(UCA5-P) 不必要に強い減速指令が出

され，後方車両から追突される

[SC3]

(UCA5-T) 減速指令が遅れた場合，前方

の外部環境との適切な距離が保てず

衝突する

[SC1]

(UCA5-D) 十分な減速が行われる前に

減速指令が終了し，外部環境との適切

な距離が保てず衝突する

[SC1]

必要な減速が完了した後も減速指令を

出し続け，加速が困難になる

6

ブレーキペダル操作によ

る人工知能モジュールへ

の自動運転解除指示

自動運転の解除指示が行われない

と，運転手がブレーキ操作をするこ

とができない

(UCA6-P) 意図せず自動運転が解除さ

れ，衝突回避のためのブレーキ指令を

だすことができない

[SC1][SC2]

-

-7

人工知能モジュールによ

るセンシング補助モ

ジュールの作動/終了指

令

視界確保無しで人工知能モジュール

が外部環境を認識できない場合，作

動指令がなされないと人工知能によ

る自動運転が不可能となる

不要な視界確保動作が行われ，部品

の寿命が縮む

-

-8

運転手によるセンシング

補助モジュールの作動/

終了指令

(UCA8-N) 非自動運転かつ運転手が視

界の確保無しで運転ができない状況と

なった場合に作動指令が出せないと，

運転手が外部環境を認識できず，ブ

レーキをかけずに外部環境と衝突する

[SC1]

不要な視界確保動作が行われ，部品

の寿命が縮む

(UCA8-P) 非自動運転かつ運転手が視

界の確保無しで運転ができない状況と

なった場合で，運転手の視界確保可能

な状況となる前に終了指令が出される

と，運転手が外部環境を認識できず，

ブレーキをかけずに外部環境と衝突す

る

[SC1][SC2]

-

-9

センシング補助モジュー

ルによる外部環境の視界

確保

(UCA9-N) 視界の確保が行われないと，

運転手

/人工知能が外部環境を認識で

きず，ブレーキをかけずに衝突する

[SC1][SC2]

(UCA9-P) 運転手/人工知能が外部環境

を認識できないほど視界の確保機能が

働き，ブレーキをかけずに衝突する

[SC1][SC2]

(UCA9-T) 視界の確保作動のタイミング

が遅すぎ，運転手

/人工知能が外部環

境を認識できない状態となり，ブレーキ

をかけずに衝突する

[SC1][SC2]

-－232－

付録7

：表4

-2

：H

CFの抽出結果

U

CA1

に対す

るH

CF

U CAx (1 ) コン トロー ル の 入力か 外 部情報が 欠け て い る か 間違っ て い る (2 ) コン トロー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け て い る フィ ー ドバック 、 フィ ー ドバック の 遅れ (6 ) 情報が 与 え られ な い か 間 違っ て い る 。測 定が 不正確。 フィ ー ドバック の 遅れ (7 ) 遅れ た ア ク シ ョン (8 ) 不適切、 有効で な い 欠 け た コン トロー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け て い る か 間違っ て い る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一因に (1 2) ア クチ ュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロー ラー との 通信が 欠け て い る か 間違っ て い る (1 5) 矛盾す る コン トロー ル ア クシ ョン Sp oo fin g（な り すまし） Ta m per in g（改ざ ん ） Rep ud ia tio n （否認） In fo rm at io n Di sc lo su re （情報漏え い） Den ia l o f S er vi ce （サ ー ビス 拒否） El ev at io n of Pr iv ileg e （特権の 昇 格） (U CA1-D) 非 自動運転時に ペ ダル を 踏む 時間が 不足する と，減 速指令が 不足し て 外部環境と 衝 突する [SC1 ] -運転手が 雨に よ る 路面摩擦 の 低下を 考慮 せず に ブ レ ー キ 操作を する 運転手が 前方 の 車両の 減速 度が 増加して い る こと に 気付 か な い -運転手が ペ ダ ル を 踏ん で は い る が ，ブ レ ー キ の あ そ び 部分し か 踏ん で い な い -運転手の 意識を そ らし，ブレ ー キ か ら足を 離すよう に しむ け る -(U CA1-N ) 自 動運転不能時に 運転手が ペ ダル を 踏ま な い と減速 指令が 出ず外部 環境と 衝突す る ． _[SC1][ SC 2] 悪天候な ど外 部環境の 情報 が 鮮明で な く， 運転手が 危険 察知を しな い 運転手が 十分 な 操作知識を _持って お らず， ペ ダル を 踏む 場 所を 誤っ て 覚え て い る 運転手が 危険 を 察知した が 自動運転を 過 信して ，ブ レ ー キ を 踏ま な い -ス ピ ー ド表示が 実際よ り低速と な って お り，危 険な 速度で あ る こと を 察知し な い -他の ペ ダル と踏 み 間違え る -人工知能モ ジュー ル が 自動 運転不能と 判 断した が ，自 動運転の 解除 警告が 通知さ れ な い -外部環境の 一部 に な りすまし，誤っ た 外部環境情報を _クラウドへ 送信， 自動運転不能な 状態で あ って も 人 工知能に 自動運 転可能で あ る と判 断さ せ，自動運 転不能警告を だ さ せな い ・ク ラウ ドか らの 情報を 改ざ ん し，自動運転不能な 状態で あ っ て も 人工知能に 自動運転可能で あ る と判断さ せる ・外部環境か らセ ン シ ン グ モ ジ ュー ル へ の 情報を 改ざ ん し，自 動運転不能な 状態で あ って も 人工知能に 自動運転可能で あ る と判断さ せ，自動運転不能警告を出さ せな い ・外部環境か らセ ン シ ン グ モ ジ ュー ル へ の 情報を 改ざ ん し，自 動運転不能な 状態で あ って も 人工知能に 自動運転可能で あ る と判断さ せ，自動運転不能警告を出さ せな い ・自動運転不能警告を 改ざ ん し( 運転手の 気を そ らす・警告 手段を 破壊する な ど），運転手へ の 警告を 遮断する -・人工知能モ ジ ュー ル に 高負荷( 物理的な も の を 含む )を 与え ， 自動運転不能で あ る こと を 報知で き な くさ せ る ・運転手に 対して 大 量o r致命的な 情報を 与え ，正常な 判断を する こと が 不可能な 状 態に する -(U CA1-P) 自 動運転中に 意図 しな い ペ ダル 操作 が 発生し，自動 運転が 解除さ れ ブ レ ー キ が 作動し な くな り外部環境 と衝突する [SC1 ][ SC 2] -自動運転解除 警告以外に 気 を とら れ ，自動 運転が 解除さ れ た こと を 認識 しな い 運転手の 足が 意図せず ペ ダ ル に 触れ て しま う -車の 振動な ど の 慣性力で ペ ダル が 動作する -自動運転解除 警告が 表示さ れ な い -・運転手以外の 何か が ペ ダル に 触れ る ・自動運転解除警告を 表示さ せな い -(U CA1-T) 非自 動運転時に ペ ダ ル 操作が 遅すぎ る 場合，減速指 _令が遅れ ，外部 環境と 衝突する [S C1 ] 外部環境が 見 え 辛く ，運転 手の 判断が 遅 れ る 体調な どで 運 転手の 判断能 力が 低下して お り，ペ ダル を 踏む の が 遅れ る -実際の 速度よ り低速で 速度 表示が な さ れ ，運転手が 危険回避ま で の 猶予が あ る と 勘違い する -ペ ダル の あ そ び が 大き く，運 転手の 指示よ り減速指令が 遅れ る -経年劣化で ペ ダル が 硬く な り，ブ レ ー キ 指 示を 出すまで に 時間が か か る 速度表示を せ ず ， 運 転 手 が 速度を 認識で き な くな る 自動運転不能 の警告が 遅 れ ，運転手が _{非自動運転で あ}ること の 認識 が 遅れ る -風な どで 信号と 運転手の 間に 障害物が 入る or 信号の 向き が か わる こと に よ り，運転手が 危険を 察知する の が 遅れ る -信号機が 破壊し，運 転手を 迷わせ る -H C F

－233－

付録8：表4

-3

：HC

Fの抽出結果

- UC

A2に対す

るHC

F

U CA x (1) コン トロ ー ル の 入力か 外 部情報が 欠け て い る か 間違っ て い る (2) コン トロ ー ル アル ゴ リズ ム の 生成の 欠 陥、プ ロ セ ス 変 更、不正確な 修正や 適応 (3) プロ セ ス モ デ ル の 矛盾、 不完全、不正 確 (4) コン ポ ー ネ ン ト故障、経 _時変化 (5) 不適切か 欠け て い る フィ ー ドバ ック、 フィ ー ドバ ックの 遅れ (6) 情報が 与 え られな い か 間 違っ て い る 。測 定が 不正確。 フィ ー ドバ ックの 遅れ (7) 遅れた アク シ ョン (8) 不適切、有効で な い 欠け た コン トロ ー ル アクシ ョン (9) プロ セ ス へ の 入力が 欠け て い る か 間違っ て い る (10) 識別され な い か 範囲外 の 妨害 (11) プロ セ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (12) アクチ ュ エー ター の 不適 切な オ ペ レー シ ョン (13) セ ン サ ー の 不適切な オ ペ レー シ ョン (14) 他の コン トロ ー ラー との 通信が 欠け て い る か 間違っ て い る (15) 矛盾す る コン トロ ー ル アク シ ョン Sp oo fin g （な りす まし ） Tam per in g （改ざ ん ） Rep ud iat io n （否認） In fo rm at io n D is cl os ur e （情報漏え い） D en ial o f Ser vi ce （サ ー ビス 拒 否） El ev at io n of Pr iv ileg e（特 権の 昇格） (U CA 2-D ) 十 分な 減速が 行わ れる 前に 減速指 令が 終了し ，外 部環境と の 適切 な 距離が 保て ず 衝突す る [S C1] -運転手が 濡れた 足で 操作す る こと に より ペ ダ ル が 滑り ，減速指 令が 解除される -接点不良な ど の 異常が 生 じ ，減速指令 _が出力されな い -(U CA 2-N ) 減 速指令が な い と，そ の まま 外部 環境と 衝突す る [S C1] -接点故障な ど に より ，ペ ダ ル 操作が な されて も ，減速指令 _を出力が されな い -ブレ ー キ シ ス テ ム へ の 減速指 令出力を改造 し，指令が ブ レー キ シ ス テ ム へ 届か な い よう に されて い る -ブレ ー キ ペ ダ ル が 破壊されて い る -(U CA 2-P) 不必 要に 強い 減速指 令が 出され，後 方車両か ら追突 される [SC3] -ブレ ー キ シ ス テ ム の 故障に より 緩や か な 減速 が 不能と な る -・ブレ ー キ ペ ダ ル の 遊 び に よる 減速指令の 遅れが 生じ る こと に よ る 運転手の 焦り に よ り，ペ ダ ル が 強く 踏み 込まれ る ・雨に より 制動距離が 長く な った こと に より 生 じ た 運転手の 焦り に よ り，ペ ダ ル が 強く 踏み 込まれ る -ペ ダ ル の 反力が 弱く ，必要以 上に 運転手が ペ ダ ル を踏み 込 む -ブレ ー キ シ ス テ ム へ の 指令が 改ざ ん され， 不要な 減速指 令が 出力され る -(U CA 2-T) 運転 手の ペ ダ ル 操作に 対し て 減速指令 が 遅す ぎた 場 合，外部環境と の適切な 距離が 保て ず 衝突す る [S C1] -・ペ ダ ル の 遊び が 大きく ，減 速指令が 遅れ る ・雨で ペ ダ ル が 滑り ，減速指 令が 遅れる -H CF

－234－

付録9

：表4

-4

：H

C

Fの抽出結果

UCA

3に対す

るH

C

F

U CAx (1 ) コン トロ ー ル の 入力か 外 部情報が 欠け てい るか 間違っ てい る (2 ) コン トロ ー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け てい る フィー ドバッ ク、 フィー ドバッ クの 遅れ (6 ) 情報が 与 えられ な い か 間 違ってい る。 測 定が 不正確。 フィー ドバッ クの 遅れ (7 ) 遅れ たア ク シ ョン (8 ) 不適切、 有効で な い 欠 け たコン トロ ー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け てい るか 間違っ てい る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (1 2) ア クチュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロ ー ラー との 通信が 欠け て い るか 間違って い る (1 5) 矛盾す るコ ン トロ ー ル ア クシ ョン Spo of in g （な りすま し） Ta mpe rin g （改ざ ん ） Re pu di at io n （否認） In fo rma tio n D isc lo su re （情報漏え い） D en ia l o f Se rvi ce （サ ー ビス 拒 否） El eva tio n of Pri vi le ge （特権の 昇 格） (U CA3 -D ) 減 速指令が 終了す る前に 減速が 終 了し ，外部環境 との 適切な 距離 が 保てず衝突す _{る [S}C1] -ブ レ ー キ シ ス テ ム の 故障によ り， 減 速 制 御 が 実施さ れ な い -人工知能とブ レー キ ペ ダル の 減速指令が 混 在し ，減速制 御が 停止する -(U CA3 -N) 減 速制御が 行われ な い と，そ の ま ま 走行方向の 外部 環境と衝突する [SC1 ][ SC2 ] -ブ レ ー キ シ ス テ ム が 故障し ， 減速制御が 行 われ な い -人工知能とブ レー キ ペ ダル か らの 減速指令 の 突合 -ブ レ ー キ シ ス テ ム が 破壊さ れ る -(U CA3 -P ) 不必 要に強い 減速が 生じ ，後方車両 か ら追突さ れ る [S C3 ] -ブ レ ー キ シ ス テ ム の 故障 -ブ レ ー キ ペ ダル と人 工 知 能 モ ジ ュー ル か らの 減速指令の 突 合 -(U CA3 -T ) 減速 指令に対し て減 速が 遅すぎ る場 合，外部環境と の適切な 距離が 保てず衝突する [SC1 ] (U CA1 3- T-2) 外部へ の ブ レ ー キ 表示前に減速を 始め ，後方の 車 両か ら衝突さ れ る [S C3 ] -ブ レ ー キ シ ス テ ム の 故障 -ブ レ ー キ ペ ダル 及び 人工知能 モ ジ ュー ル か ら の 減速指令の _突合 -HC F

－235－

付録1

0：表4

-5

：H

C

Fの抽出結果

UCA

5に対す

るH

C

F

U CAx (1 ) コン トロ ー ル の 入力か 外 部情報が 欠け てい るか 間違っ てい る (2 ) コン トロ ー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け てい る フィー ドバッ ク、 フィー ドバッ クの 遅れ (6 ) 情報が 与 えられ な い か 間 違ってい る。 測 定が 不正確。 フィー ドバッ クの 遅れ (7 ) 遅れ たア ク シ ョン (8 ) 不適切、 有効で な い 欠 け たコン トロ ー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け てい るか 間違っ てい る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (1 2) ア クチュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロ ー ラー との 通信が 欠け て い るか 間違って い る (1 5) 矛盾す るコ ン トロ ー ル ア クシ ョン Spo of in g （な りすま し） Ta mpe rin g（改 ざ ん ） Re pu di at io n （否認） In fo rma tio n D isc lo su re （情報漏え い） D en ia l o f Se rvi ce （サ ー ビス 拒 否） El eva tio n of Pri vi le ge （特権の 昇 格） (U CA5 -D ) 十 分な 減速が 行わ れ る前に 減速指 令が 終了し ，外 部環境との 適切 な 距離が 保てず 衝突する [SC1 ] 減速中に運転 手か ら意図し な い 自動運転 解除指示が 入 力さ れ る -人工知能の 学 習デ ー タに存 在し な い 状況 が 発生し た -・速度が 実際 よ りも遅く 計測 され た ・悪天候によ り 外部環境が 認 識で き な か った -運転手が 危険 を 察知し 急ブ レ ー キ 操作を 行う 場合に， 人工知能の 判 断が 優先さ れ る -自動運転解除指 示が 改ざ ん され ， 減速中に自動運 転が 終了さ れ る -D OS 攻撃によ りロ ー カル ダイ ナ ミッ クマ ップ が 攻 撃さ れ ，地図 参照が で き な く な る -(U CA5 -N) 自 動運転時に人工 知能が 減速指令 を 出さ な い とそ の ま ま 外部環境と 衝突する． [SC1 ] 運転手か ら意 図し な い 自動 運転解除指示 が入力さ れ る -自動運転不能 時に，運転手 への 通知が 出 力さ れ な い -ダミ ー の 信号機 を 設置し ，赤 信号の 交差点 へ 侵入さ せる ・自動運転解除指 示を 改ざ ん し，運 転手が 気付か な い 中で 自動運転が 解除さ れ る ・外部環境か ら車 へ の 情報が 改ざ ん され ，障害物が 存 在し な い よ うに見せ か け られ る -(U CA5 -P ) 不必 要に強い 減速指 令が 出さ れ ，後 方車両か ら追突 され る [S C3 ] 外部環境との 距離が 短く な っ てか ら自動運 転指令が 出さ れ ，急ブ ー レ キ とな る -人工知能が 誤った学習を し てい る ブ レ ー キ シ ス テ ム の 劣化によ り 減速指令に対 する減速度が 小さ くな り，そ の 修正によ り過 剰な 減速指令 が 出力さ れ る 外部環境を 御 認識する -歩行者が 飛び 出す ふ りを する -(U CA5 -T ) 減速 指令が 遅れ た場 合，前方の 外部 環境との 適切な 距離が 保てず衝 突する [SC1 ] 外部環境との 衝突が 迫って か ら，自動運 _転指示が 出さ れ る -人工知能の 教 師デ ー タが 不 足し てい る -雨や電磁波な どのノイ ズ によ り 外部環境の 認 識が 遅れ る -レ ー ダー が ジ ャミ ン グ され ，外部環境 の 認識が 遅れ る -HC F

－236－

付録1

1：表4

-6

：H

C

Fの抽出結果

UCA

6に対す

るH

C

F

U CAx (1 ) コン トロ ー ル の 入力か 外 部情報が 欠け てい るか 間違っ てい る (2 ) コン トロ ー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け てい る フィー ドバッ ク、 フィー ドバッ クの 遅れ (6 ) 情報が 与 えられ な い か 間 違ってい る。 測 定が 不正確。 フィー ドバッ クの 遅れ (7 ) 遅れ たア ク シ ョン (8 ) 不適切、 有効で な い 欠 け たコン トロ ー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け てい るか 間違っ てい る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (1 2) ア クチュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロ ー ラー との 通信が 欠け て い るか 間違って い る (1 5) 矛盾す るコ ン トロ ー ル ア クシ ョン Spo of in g （な りすま し） Ta mpe rin g （改ざ ん ） Re pu di at io n （否認） In fo rma tio n D isc lo su re （情報漏え い） D en ia l o f Se rvi ce （サ ー ビス 拒 否） El eva tio n of Pri vi le ge （特権の 昇 格） (U CA6 -D ) N/ A -(U CA6 -N) N/ A -(U CA6 -P ) 意図 せず自動運転が 解除さ れ ，衝突 回避の ため の ブ レ ー キ 指令を だす ことが で き な い [S C1 ][ SC2 ] -運転手が 意図 せずペ ダル 操 作を する -振動な どで ペ ダ ル が 動い てし ま う -運転手が ブ レ ー キ ペ ダル を 踏み な が ら自 動指示を 出す -(U CA6 -T ) N/ A -HC F

－237－

付録1

2：表4

-7

：H

C

Fの抽出結果

UCA

8に対す

るH

C

F

U CAx (1 ) コン トロ ー ル の 入力か 外 部情報が 欠け てい るか 間違っ てい る (2 ) コン トロ ー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け てい る フィー ドバッ ク、 フィー ドバッ クの 遅れ (6 ) 情報が 与 えられ な い か 間 違ってい る。 測 定が 不正確。 フィー ドバッ クの 遅れ (7 ) 遅れ たア ク シ ョン (8 ) 不適切、 有効で な い 欠 け たコン トロ ー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け てい るか 間違っ てい る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (1 2) ア クチュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロ ー ラー との 通信が 欠け て い るか 間違って い る (1 5) 矛盾す るコ ン トロ ー ル ア クシ ョン Spo of in g （な りすま し） Ta mpe rin g （改ざ ん ） Re pu di at io n （否認） In fo rma tio n D isc lo su re （情報漏え い） D en ia l o f Se rvi ce （サ ー ビス 拒 否） El eva tio n of Pri vi le ge （特権の 昇 格） (U CA8 -D ) N/ A -(U CA8 -N) 非 自動運転か つ運 転手が 視界の 確 保無し で 運転が で き な い 状況と な った場合に 作 動指令が 出せな い と，運転手が _{外部環境を} 認識 で き ず，ブ レ ー キ を か け ずに外部 環境と衝突する [SC1 ] -薄暗い 程度で あ るた め ，運 転可能で あ る と運 転 手 が 誤った判断を す る ・運転手が 視 界確保の 作動 指令を 出力す る方法を 知ら な い _{・運転手が} 人 工知能モ ジュー ル を 過信 し，自ら 作動 指示を 行わな い -セ ン シ ン グ 補助 モ ジ ュー ル が 作 動し てい な い に も関わら ず， 運転手に対し て作動中の 表 示が され る -運転手の レ バー な どの 操作 に対し て接点 不良な どによ り 作動指令の 出 力が 遅れ る 運転手が レ バー な どの 操作 を 誤る -人工知能よ り セ ン シ ン グ モ ジ ュー ル の 終了 指令が 出力さ れ てい る -(U CA1 8-P) 非 自動運転か つ運 転手が 視界の 確 保無し で 運転が で き な い 状況と な った場合で ， 運転手の 視界確 保可能な 状況と な る前に 終了指 令が 出さ れ ると， 運転手が 外部環 境を 認識で き ず，ブ レ ー キ を か け ずに外部環境 _と衝突 す る [S C1 ][ SC2 ] -運転手が セ ン シ ン グ 補助モ ジ ュー ル 無し で 視界確保可能 であ ると誤って 判断する -対向車両を 気 遣って運転手 がセ ン シ ン グ 補 助モ ジ ュー ル に 終了指令を 与 え る -人工知能モ ジュー ル か ら終 了指令が 出力 され る -(U CA6 -T ) N/ A -HC F

－238－

付録1

3：表4

-8

：H

C

Fの抽出結果

UCA

9に対す

るH

C

F

U CAx (1 ) コン トロ ー ル の 入力か 外 部情報が 欠け てい るか 間違っ てい る (2 ) コン トロ ー ル ア ル ゴ リズ ム の 生成の 欠 陥、 プ ロセ ス 変 更、 不正確な 修正や適応 (3 ) プ ロセ ス モ デ ル の 矛盾、 不完全、 不正 確 (4 ) コン ポ ー ネ ン ト故障、 経 時変化 (5 ) 不適切か 欠け てい る フィー ドバッ ク、 フィー ドバッ クの 遅れ (6 ) 情報が 与 えられ な い か 間 違ってい る。 測 定が 不正確。 フィー ドバッ クの 遅れ (7 ) 遅れ たア ク シ ョン (8 ) 不適切、 有効で な い 欠 け たコン トロ ー ル ア クシ ョン (9 ) プ ロセ ス へ の 入力が 欠け てい るか 間違っ てい る (1 0) 識別さ れ な い か 範囲 外の 妨害 (1 1) プ ロセ ス の 出力が シ ス テ ム ハ ザ ー ドの 一 因に (1 2) ア クチュ エ ー ター の 不適 切な オ ペ レ ー シ ョン (1 3) セ ン サ ー の 不適切な オ ペ レ ー シ ョン (1 4) 他の コン トロ ー ラー との 通信が 欠け て い るか 間違って い る (1 5) 矛盾す るコ ン トロ ー ル ア クシ ョン Spo of in g （な りすま し） Ta mpe rin g （改ざ ん ） Re pu di at io n （否認） In fo rma tio n D isc lo su re （情報漏え い） D en ia l o f Se rvi ce （サ ー ビス 拒 否） El eva tio n of Pri vi le ge （特権の 昇 格） (U CA9 -D ) N/ A -(U CA9 -N) 視 界の 確保が 行わ れ な い と，運転 手/ 人工知能が 外部環境を 認識 で き ず，ブ レ ー キ を か け ずに衝突す る [SC1 ][ SC2 ] -セ ン シ ン グ 補助 モ ジ ュー ル の 故 障 外部環境が 不 明瞭で あ るこ と を 運転手/ 人 工知能が 認識 で ず，作動指 _令が入力さ れ な い -運転手と人工 知能で 異な る 指示を 与える -セ ン シ ン グ 補助 モ ジ ュー ル の 出 力，方向が 変 更さ れ る -セ ン シ ン グ 補助 モ ジ ュー ル を 破 壊する -(U CA9 -P ) 運転 手/ 人工知能が 外部環境を 認識 で き な い ほ ど視界 の 確保機能が 働 き ，ブ レ ー キ を か け ずに衝突する _[SC1][ SC2 ] -セ ン シ ン グ 補助 モ ジ ュー ル の 故 障 -光が 乱反射す る -(U CA9 -T ) 視界 の 確保作動の タ イミ ン グ が 遅す ぎ ，運転手/ 人 工知能が 外部環 境を 認識で き な い 状態とな り，ブ レ ー キ を か け ずに 衝突する [SC1 ][ SC2 ] -セ ン シ ン グ 補助 モ ジ ュー ル の 故 障 -雨が 突然振り 出し ，運転手 /人工知能か ら の 作動指令の _入力が 遅れ る -HC F

－239－

付

録

14

：

図

4-2　

U

C

Aを

基

に

し

た

G

SN

図

－240－