IoT時代の新しい安全解析手法STAMP

～システム理論に基づく新たな事故原因モデル～

独立行政法人 情報処理推進機構（IPA）

技術本部 ソフトウェア高信頼化センター（SEC）

石井正悟

Copyright © 2017 独立行政法人情報処理推進機構

目次

1. 背景と目的

2. STAMPとは

3. STPAとは

4. IPA/SECの取り組み

5. 「はじめてのSTAMP/STPA」

6. 「はじめてのSTAMP/STPA（実践編）」

7. STAMP Workshop in Japan

2

Copyright © 2017 独立行政法人情報処理推進機構

1. 背景と目的(1)

様々なものがネットワークにつながる 情報が新たな価値を生み出す時代の到来 新たなシステムの基幹を担う要素がソフトウェア中心に変化 システム相互間の複合原因によるシステム障害が増加 想定外の原因でのトラブルが無くならない

センサー

ネットワーク組込みシステム

クラウド

情報収集

フィードバック

ビッグデータ

AI

IoTデバイス数〔ガートナー予測〕

25億（2009年）

⇩

300億（2020年）

安全対策をしていても事故を防げない現状から、複雑化したシステム

に対応した新しい分析手法・事故モデルが必要

Copyright © 2017 独立行政法人情報処理推進機構

1. 背景と目的(2)

アクシデントは構成機器の故障やオペレーションミスに起因すると仮定

アクシデントは構成要素間の相互作用から創発的に発生

大規模・複雑化が進むIoT時代のコンピューターシステムへの対応が求められる

既存のハザード分析手法は40～65年前のもの

旧来はハードウェア主体

パラダイムシフト

1940• FMEA

1950 1960 • FTA

•HAZOP

•ETA

1970•Bow Tie

(CCA) FTA+ETA

1980 1990 2000 2010• STAMP

2020

現在の分析手法が確立されたのは40-65年前コンピューターシステムはハードウェア主体からIoT時代へ

4

Copyright © 2017 独立行政法人情報処理推進機構

2. STAMPとは

• System-Theoretic Accident Model and Process

「システム理論に基づく事故モデル」マサチューセッツ工科大学(MIT)のNancy G. Leveson教授が、2012年に文献“Engineering a Safer World”の中で提唱

複数のコントローラが介在する複雑なシステムに対する安全解析の方法論 システムを構成するサブシステムやコンポーネントに不具合がなくとも，サブシス

テムやコンポーネントの組み合わせによって全体のシステムにおける不具合が発生する

Engineering a Safer World

Systems Thinking Applied to Safety

By Nancy G. Leveson

January 2012

STAMPが提唱された背景 安全対策をしているにも関わらず大型事故を防ぐことができない現状を背景に、複雑化したシステムに対応した新しい事故モデルが必要との考えから提唱

特徴 「システムの安全性は、構成要素の品質を高めるだけでは不十分」との考えから、コンポーネント（人を含む）間の相互関係に着目して安全性を分析

5

Copyright © 2017 独立行政法人情報処理推進機構

2.STAMPとは既存手法とSTAMPの考え方の違い

運転自動化が進むと更に大規模、複雑になり、人や環境、またそれらとの相互作用にも着目した安全分析が必要になる

6

駆動系（エンジン、変速機）

車体(ボディー)系（メーター、エアコン）

車台(シャシー)系（ブレーキ、ステアリング）

情報系（ナビ、オーディオ、ETC）

車載ネットワーク（車内通信）

車両

運転支援システム

ドライバー

他システム環境

STAMPのSTはSystem Theoretic（システム理論に基づく）の略で、分析対象システムの安全に関係するすべてを含めて考えるべきと提唱しており、今後の複雑なシステムの安全分析に適している

自動車システムを大規模な機能ブロック図等で表現し、システム中心視点の安全分析を行う

Copyright © 2017 独立行政法人情報処理推進機構

2.1. STAMPの基本的な考え方

• 「STAMP：システム理論に基づく事故モデル」• 前提：システム事故の多くは、構成要素の故障ではなく、安全のための制御を行う要素間の相互作用が正しく働かない事によって起きる

• 「要素」と「相互作用（コントロールアクション）」に着目してメカニズムを説明• 「アクションが働かない原因」という視点を持つことで原因を有限化できる

コントローラー

被コントロールプロセス

プロセスモデル

フィードバックデータ

コントロールアクション

アルゴリズム

安全のために必要な制御を行うコンポーネント

制御されるコンポーネント

コントローラーが想定する被コントロールプロセスの

状態（コントロールアクションを発行する判断に使用）

7

Copyright © 2017 独立行政法人情報処理推進機構

2.2. 海外でのSTAMP普及状況

欧米では宇宙、航空、鉄道など大規模インフラの安全設計や事故分析へのSTAMP活用が普及しつつあるが、日本では未だ認知度は低く、取り組みが遅れている

STAMPがハザード分析に使われた米国重要インフラの例；• 宇宙開発（例：HTVこうのとり）• 軍事分野（例：無人航空機）• 原子力発電所

試験的導入が進む世界の公的機関、民間企業の例；• 米国FDA（例：医薬品リコール）• 米国FAA（例：次世代航空交通システム）• 米空軍（例：飛行機運用手順）• 航空産業（例：ボーイング、キャセイパシフィック、ブラジルの航空管制）• 自動車産業（例：欧米の自動運転、ステアリング制御、ブレーキ制御、ディーゼルエンジン）

• ロシアの巨大パイプラインプロジェクト• 鉄道（例：中国の高速鉄道事故分析）

8

Step 0：（前準備2）コンポーネントと相互作用から成る

Control Structureの構築

Step 2：UCA毎にControl loopにガイドワードを適用し、ハザード誘発要因

（HCF：Hazard Causal factor）の特定

Step 1：非安全制御行動（UCA：Unsafe Control Action）の抽出

分析手順

Step 0：（前準備1）Accident（望ましくない事象）、Hazard（Accidentに至る状態）、安全制約の識別

3. STPAとは STPAの手順

最終Stepの対策検討・まとめは、STPAに限らず、安全性分析の共通手順として行われる

UCA

UCA: 設定速度を超えた状況で制動指示が出ない

HCF: 車輪の回転を検知する車速センサーが不正値

UCA

UCA UCA

HCFHCF

HCF

HCF

イメージ

9

Copyright © 2017 独立行政法人情報処理推進機構

3.1. 従来の安全解析手法とSTPAの違い

手法名 分析方法 特徴

従来手法(FTA,FMEA)

フォールトツリー図や影響分析表を用いて、TopdownまたはBottom upでハザード要因を分析する

システムの構成要素と故障モードが決まるアーキテクチャ設計の段階から適用できる

STAMP/STPA

コントロールストラクチャーとコントロールループ図を用いてハザード要因を分析する

システムの大まかな構成要素が決まる概念設計の段階から適用できる

10

Copyright © 2017 独立行政法人情報処理推進機構

4. IPA/SECの取り組み

• 2015年4月 STAMP-WG (通称)設立

• 2015年9月 「STAMP手法に関する調査報告書」公開

• 2015年6月 SEC特別セミナー開催 Nancy Leveson教授を招聘

• 2016年1月 13thWOCS2 開催 Nancy Leveson教授を招聘

• 2016年4月 STAMP初心者向けSTPA手順解説書発行「はじめてのSTAMP/STPA ～システム思考に基づく新しい安全性解析手法～」

• 2016年12月 第1回STAMP-WS in Japan開催

• 2016年1月 SEC特別セミナー開催 Erik Hollnagel教授を招聘

• 2017年1月 JASPARと相互協力協定締結（2/2 プレス説明会)

• 2017年3月 STAMP実践者向けSTPA活用方法解説書公開「はじめてのSTAMP/STPA(実践編） ～システム思考に基づく新しい安全性解析手法～」

11

Copyright © 2017 独立行政法人情報処理推進機構

4.1 IPA/SECの取り組み～JASPARとの相互協力～

ソフトウェア高信頼化の知見

車載電子制御システムに関する知見

「機能安全の確保及び成果普及」に関する相互協力協定

・IPA/SECの成果をJASPARが活用・ワーキンググループでの意見交換、技術交流・知識・成果の相互活用、普及・推進の相互協力

12

Japan

Automotive

Software

Platform and

Architecture

Software Reliability

Enhancement

Center

5. 「はじめてのSTAMP/STPA」STAMP初心者向けSTPA手順解説書

【課題】概念や抽象的な解説だけでは理解し難い。理解したつもりになるが、いざ分析しようとすると手が動かない→ 初心者向け手順解説書を公開

各Stepでは具体的に何を(What)すべきかを提示 どうやって(How) InputからOutputを導き出すかの例を提示

http://www.ipa.go.jp/sec/reports/20160428.html

13

【課題】いざ実践してみると教科書どおりにはいかない→ 実践者向け活用方法解説書を公開

標準的な制御構造と異なる事例での活用方法を提示 対象に応じたヒントワードのパターンセットを提示

http://www.ipa.go.jp/sec/reports/20170324.html

Copyright © 2017 独立行政法人情報処理推進機構

6.「はじめてのSTAMP/STPA(実践編)」STAMP実践者向けSTPA活用方法解説書

教科書で例示されているような標準的な制御構造とは異なる事例を用いて活用方法を解説

① フィードバック構造のない事例フィードバックがないことが安全設計の強みになっている

② 組織や人が絡んだ業務ワークフローの事例ブラントエンド（管理サイド）とシャープエンド（現場サイド）の責任の持ち方や対応の迅速さを評価

③ エンタープライズ系の事例安全制御行動ではなく、損失防止のための制御行動の欠陥を見つける使い方

④ ヒントワードの提案人と機械、人と組織、組織と組織、・・・

14

①フィードバック構造のない事例とりこ検知事例

分析対象アクシデント、ハザード、安全制約の定義

制御構造図（ハード視点） 制御構造図（運転士視点）

15

Control loopに着目すべしと言われても、Feedbackが無いからloopが無いんですけれど・・・

踏切システム

検知センサー

CA2:作動開始指示

通行車・人

特殊信号発光機（Display）

運転士（Human Controller）

Controlled Process

Controller

検知センサー

列車

Controller

Controlled Process

アクチュエーター センサー

CA1:ブレーキ操作

FB:特殊信号発光機へ発光指示

FB:特殊信号発光機の発光

アクチュエーター センサー

運転士へのＦＢが無い

列車へのＦＢが無い

②業務ワークフローの事例踏切工事の事例（人と組織）

アクシデント、ハザード、安全制約の定義

制御構造図

UCA識別表

ハザード誘発要因の分析→ヒントワードの提案

コントロールプロセス：輸送指令

コントローラー：施工管理者

(1)作業開始連絡作業開始許可

⑦動作の遅れ

⑧ Control actionが欠落

⑪プロセス出力の誤り

⑤フィードバックの不十分・欠落・遅延

⑥フィードバック遅延

作業指示・内容/工事計画

走行停止指示

（HS1-N-1)作業開始許可申請を忘れて出さないと走行停止指示が出ない。（HS1--N2)作業開始許可を待たずに作業開始指示する、許可を受けた/事前に許可と勘違いして作業開始指示すると走行停止指示が出ない。(HS1-T-1)作業開始許可申請を出すことを思い出して遅れて出すと走行停止指示を出すのが遅れる(HS1-T-2)作業手順を間違えて作業が開始してから遅れて出すと走行停止指示を出すのが遅れる

列車に走行停止指示を出すのが遅れるとハザード

運転ダイヤと該当列車の現況を合わせて停止指示を出すタイミングを判断する。

16

今心配なのはコンピューターやメカじゃないんですけれど・・

設計部門工事開始指示（許可）

作業指示

工事開始報告工事終了報告

作業報告

見張り開始指示見張り終了指示

進入

指令部門

運転士

走行停止指示走行開始指示

加減速指示停止指示

列車

輸送指令

施工部門

施工管理者

見張員 作業員待避完了報告

作業開始指示作業終了指示

待避指示

③エンタープライズ系の事例

ネット通販システムへの適用事例

アクシデント ハザード 安全制約

注文した商品が、利用者に

配送されない

受注ステータスが確定と

決定された注文に対して、

商品が出荷されていない

状態

受注ステータスが確定と

決定された注文に対して、

速やかに、商品が出荷され

なければならない

アクシデント、ハザード、安全制約の定義

制御構造図

アクティビティ図によるコントロールアクションとフィードバックデータの識別

17

STAMPを適用してみたいのは制御系じゃないんですけれど・・・

Copyright © 2017 独立行政法人情報処理推進機構

④ヒントワードの提案従来のヒントワード

ハザード誘発要因（HCF）を特定するためのヒントワード（機械）対（機械）を想定した文言

18

「人」へのヒントが「生成の欠陥」？「組織」へのヒントが「コンポーネント故障」？そう言われても・・・??

Copyright © 2017 独立行政法人情報処理推進機構

④ヒントワードの提案ヒントワードのパターンセット

• 人や組織が絡んだシステムに対するハザード誘発要因（HCF：Hazard Causal Factor）特定のためのヒントワード

• 制御する側と制御される側の組合せパターン毎にヒントワードのセットを提案

19

被制御制御

人 機械 組織

人 (人)対(人) (人)対(機械) (人)対(組織)

機械 (人)対(機械) (機械)対(機械)

組織 (組織)対(人) (組織)対(組織）

組織は機械を直接制御しない。逆も然り。

7. STAMPワークショップ in Japan開催

第1回開催日：2016年12月5日(月)、6日(火)、7日(水)

開催場所 ：九州大学稲盛財団記念館（12/5）、九州大学西新プラザ（12/6,7）

参加者 ：130名、出席率94%

20

第2回STAMPワークショップ

in Japan

2017年11月@東京地区

計画中

日米欧の協調連携

STAMPワークショップ in Japan

STAMP Workshop at MIT

European STAMP Workshop

21

3 or 4月開催

9 or 10月開催11 or 12月開催

Copyright © 2017 独立行政法人情報処理推進機構

今後の活動

• 第2回STAMPワークショップ in Japan開催– 東京地区での開催を計画中

• STAMP活用拡大– 適用対象拡大、解析能力拡大、活用容易化

• レジリエンス・エンジニアリング活用– FRAM、SafetyⅡ,Safety2.0

• 各種セミナー開催– SECセミナー http://sec.ipa.go.jp/seminar/20170529.html日時：2017年5月29日（月）13：30～17：30場所：品川インターシティA棟19階

• 2016年度WG活動紹介とSTAMP/STPA概説IPA/SEC 石井正悟

• 「STAMP/STPA活用事例～エンタープライズ系システム解析事例～」解説

NEC 向山輝氏

22

Copyright © 2017 独立行政法人情報処理推進機構

ご清聴ありがとうございました

Copyright © 2017 独立行政法人情報処理推進機構

情報セキュリティマネジメント試験

◆試験実施日◆

・個人情報を扱う全ての方

・業務部門・管理部門で

情報管理を担当する全ての方

◆受験をお勧めする方◆

IT利用部門の情報セキュリティ管理の向上に役立つ国家試験

あらゆる部門で必要な、情報セキュリティ管理の知識を体系的に習得できます。

年2回実施（春期・秋期）

春期： 4月第三日曜日

秋期：10月第三日曜日

パソコンを利用して受験するCBT方式なので、都合の良いときに受験可能！お申込みはｉパスWebサイトで常時受付中！

(うえみね

あい)

すべての社会人・学生

「ｉパス」は、ITを利活用する

が備えておくべきITに関する基礎的な知識が証明できる国家試験です。

試験の主なメリット

仕事に役立つセキュリティに強くなる

就職に役立つ

戦略、財務等幅広い出題

セキュリティを積極出題

エントリーシート等活用

公式キャラクター

上峰

亜衣