IoT時代の安全解析手法:STAMP ~「システム理論×システム思考」の新た な事故原因モデル~ 独立行政法人 情報処理推進機構 技術本部 ソフトウェア高信頼化センター 石井 正悟 14th WOCS2 12/12/2016 © 2016 IPA 1 目次 1. 2. 3. 4. 5. 6. 背景と目的 STAMP 1. STAMPの基本的な考え方 2. 高まるSTAMPの注目度 3. 海外でのSTAMP普及状況 STPA 1. 従来の安全解析手法とSTPAの違い 2. STPAの手順 IPA/SECの取り組み 1. SEC特別セミナー、WOCSS 2. システム安全性解析手法WGを設置 3. 「はじめてのSTAMP/STPA」公開 今後の活動 1. STAMPワークショップ in Japan 2. STAMP事例分析の展開 まとめ 14th WOCS2 12/12/2016 © 2016 IPA 2 1. 背景と目的 ネットワークを通じてシステムが連携する新たなサービス拡大 新たなシステムの基幹を担う要素がソフトウェア中心に変化 システム相互間の複合原因によるシステム障害が増加 同じ原因でのトラブルが多い – 個別視点の分析に留まっている – 原因分析が充分にできていない 要求 安全対策をしていても事故を防げない現状から、複雑化したシス テムに対応した新しい分析手法・事故モデルが必要 14th WOCS2 12/12/2016 © 2016 IPA 3 安全性分析手法のパラダイムシフト パラダイムシフト アクシデントは構成機器の故障やオ ペレーションミスに起因すると仮定 アクシデントは構成要素間の相互作 用から創発的に発生 旧来は ハードウェア主体 1940 1970 • FTA • Bow Tie • HAZOP (CCA) FTA+ETA 既存のハザード分析手法 • ETA は40~65年前のもの • FMEA 1950 1960 1980 1990 2000 2010 • STAMP 2020 大規模・複雑化が進むIoT時代の コンピューターシステムへの対応が求められる 現在の分析手法が確立されたのは40-65年前 コンピューターシステムはハードウェア主体からIoT時代へ 14th WOCS2 12/12/2016 © 2016 IPA 4 2. STAMP • System-Theoretic Accident Model and Process 「システム理論に基づく事故モデル」 マサチューセッツ工科大学(MIT)のNancy G. Leveson教授が、2012年の最 新文献“Engineering a Safer World”の中で提唱 複数のコントローラが介在する複雑なシステムに対する安全解析の方 法論 システムを構成するサブシステムやコンポーネントに不具合がなくとも, サブシステムやコンポーネントの組み合わせによって全体のシステムに おける不具合が発生する STAMPが提唱された背景 安全対策をしているにも関わらず大型事故を防ぐこと ができない現状を背景に、複雑化したシステムに対応 した新しい事故モデルが必要との考えから提唱 特徴 「システムの安全性は、構成要素の品質を高めるだけ では不十分」との考えから、コンポーネント(人を含む) 間の相互関係に着目して安全性を分析 14th WOCS2 12/12/2016 © 2016 IPA Engineering a Safer World Systems Thinking Applied to Safety By Nancy G. Leveson January 2012 5 Emergent property(創発特性)と STAMPモデルの3要素 Safety and security are emergent properties 創発特性(複雑な相互作用に隠れていたハザード要因が表面化する) システム全体の安全制約 コンポーネントの安全制約 コンポーネントの安全制約の和 ≠ システム全体の安全制約 不足部分が想定外事象となり、安全制約が破られる 【STAMPモデルの3要素】 1. 構成要素間の相互作用を表すコントロールストラクチャー 2. コントロールする側がその対象プロセスをコントロールするアル ゴリズムと対象プロセスを(抽象化して)表現したプロセスモデル 3. 守るべき安全制約 14th WOCS2 12/12/2016 © 2016 IPA 6 2.1. STAMPの基本的な考え方 • 「STAMP:システム理論に基づく事故モデル」 • 前提:システム事故の多くは、構成要素の故障ではなく、シス テムの中で安全のための制御を行う要素(制御要素と被制 御要素)の相互作用が働かない事によって起きる • 「要素」と「相互作用(コントロールアクション)」に着目してメカ ニズムを説明 • 「アクションが働かない原因」という視点を持つことで原因を 有限化できる 安全のために必 要な制御を行う コンポーネント コントローラー アルゴリズム プロセスモデル コントロール アクション 制御される コンポーネント 14th WOCS2 12/12/2016 コントローラーが想定する 被コントロールプロセスの 状態 (コントロールアクション を発行する判断に使用) フィードバック データ 被コントロールプロセス © 2016 IPA 7 2.2. 高まるSTAMPの注目度 • なぜSTAMPが注目される? – IoT時代のシステムに適した 安全性分析の手法 • ネットワークを通じてシステム同士が連携するサービスが拡大 • 大規模・複雑化にともない、起こり得る事象の把握が困難 • システム相互間の複合原因によるシステム障害が増加 ⇒ コンポーネント間の相互作用に着目した分析が有効 – 安全性確保に関する努力の客観的説明として有用 • 説明責任(accountability) がますます重視される傾向 ⇒ STAMPの成果物は、分析過程を客観的に示す • 高まる注目度 – “STAMP ワークショップ” 米国(2012年~)、欧州(2013年~) で毎年開催 毎回30件以上の事例・研究発表 (参加者200人以上) 日本でも今年、第1回 STAMP ワークショップ を開催 (12/5~7) – STAMPセミナー (10/21, IPA主催) 早期に満席。多くの企業から参加 14th WOCS2 12/12/2016 © 2016 IPA 8 2.3. 海外でのSTAMP普及状況 欧米では宇宙、航空、鉄道など大規模インフラの安全設計や事故分析へ のSTAMP活用が普及しつつあるが、日本では未だ認知度は低く、取り組 みが遅れている STAMPがハザード分析に使われた米国重要インフラの例; • 宇宙開発(例:HTVこうのとり) • 軍事分野(例:無人航空機) • 原子力発電所 試験的導入が進む世界の公的機関、民間企業の例; • • • • • 米国FDA(例:医薬品リコール) 米国FAA(例:次世代航空交通システム) 米空軍(例:飛行機運用手順) 航空産業(例:ボーイング、キャセイパシフィック、ブラジルの航空管制) 自動車産業(例:欧米の自動運転、ステアリング制御、ブレーキ制御、 ディーゼルエンジン) • ロシアの巨大パイプラインプロジェクト • 鉄道(例:中国の高速鉄道事故分析) 14th WOCS2 12/12/2016 © 2016 IPA 9 3. STPA • STAMPをベースとした解析手法 STPA (STAMP based Process Analysis): 事故が起きる前に、潜在 的な事故要因を見つけ出すことを目的とした手法 CAST: 事故後に検証と分析を行うための手法 STPA-sec: セキュリティの欠陥を見つけることに特化した手法 ※他にも様々な手法が研究されている プロセス システム工学(例 仕様記述、 安全性ガイド設計、設計原理) リスク管理 管理の原則/組織設計 運用 規制 ツール(手法) 事故/イベント分析(CAST) ハザード分析(STPA) 組織的/文化的リスク分析 先行指標識別 事故モデル (方法論) 14th WOCS2 12/12/2016 早期概念分析(STECA) セキュリテイ分析(STPA-Sec) STAMP © 2016 IPA 10 STPAとは STAMP事故モデルを前提として、システムハザード 要因を分析する新しい安全性解析手法 期待される効果 安全維持に係るシステム構成要素を識別し、事故モデルの基となる階 層的な連携の仕組みを明らかにできる 安全維持に必要なコントローラによる指示(Control Action)の抜けや 誤りに着目した、具体的なハザードシナリオを導くことができる システム構成要素の単一故障だけでなく、要素間の相互連携の誤りに 関するハザード要因を識別できる ガイドワードにより、非安全なControl Action及びハザード要因を網羅 的にシステマチックに分析できる 14th WOCS2 12/12/2016 © 2016 IPA 11 3.1. 従来の安全解析手法とSTPAの違い 手法名 従来手法 (FTA, FMEA) STAMP /STPA 14th WOCS2 12/12/2016 分析方法 特徴 フォールトツリー図や影響分析 機器や組織の単一故障をハザード 表を用いてハザード要因を分析 要因として識別する する 分岐条件を論理的に組むことで網羅 システムの構成要素と故障モー 的に分析できる ドが決まるアーキテクチャ設計の 深く分析できる反面、全体的な視野 段階から適用できる での分析が難しい コントロールストラクチャーとコン トロールループ図を用いてハ ザード要因を分析する システムの大まかな構成要素が 決まる概念設計の段階から適用 できる © 2016 IPA 複数の機器や組織(人間)が、相互 作用を行う複雑なシステムにおいて、 相互作用に潜むハザード要因を識別 する 過去のアクシデント事例データに基 づくガイドワードにより網羅的に分析 できる システム全体の振る舞いを確認しな がら分析できる 12 3.2. STPAの手順 分析手順 分析内容 Step 0:(前準備1) Accident、Hazard、 安全制約の識別 対象とするAccident(望ましくない事象)、 Hazard(Accidentが潜在している状態)を定 義し、Hazardを制御するためのシステム上の安 全制約を識別する Step 0:(前準備2) Control Structureの 構築 安全制約の実現に関係するコンポーネント(サ ブシステム、機器、組織等)、及びコンポーネ ント間の相互作用(指示、フィードバックデー タ)を分析し、Control Structureを構築する Step 1:UCA (Unsafe Control Action)の抽出 Control Structureから安全制約の実行に必要な 指示(Control Action)に4つのガイドワードを適 用して、ハザードにつながる非安全なControl Action(UCA)を抽出する イメージ UCA UCA UCA UCA UCA: 設定速度を超えた 状況で制動指示が出ない Step 2:HCF (Hazard Causal factor)の特定 UCA毎に,関係するControl Loop Diagramを 抽出し、ガイドワードを適用してハザード要因 (HCF)を特定する HCF: 車輪の回転を検知す る車速センサーが不正値 HCF HCF HCF HCF 最終Stepの対策検討・まとめは、STPAに限らず、安全性分析の共通手順として行われる 14th WOCS2 12/12/2016 © 2016 IPA 13 4. IPA/SECの取り組み • 2015年4月STAMP-WG (通称)設立 • STAMPを活用した事故モデル研究に関する調査 – 「STAMP手法に関する調査報告書」公開 2015.9.18 • SEC特別セミナー「システムベースのエンジニアリング最新動向」 2015.6.18 – Nancy Leveson教授を招聘、国内STAMP有識者とのパネルディスカッション • STAMP/STPA分析実施 – 鉄道踏切の実事例に対する安全性分析 • 13thWOCS2 2016年1月19-21日 – Nancy Leveson教授を招聘、WG関係者と教授の意見交換 • STAMP初心者向けSTPA手順解説書編纂・発行 2016.4.28 – 「はじめてのSTAMP/STPA ~システム思考に基づく新しい安全性解析手法~」 • STAMP/STPA分析実施 – 複雑な鉄道踏切事例分析、業務系システムへのSTAMP/STPA適用、HCF 導出のヒントワード検討、etc. • 第1回STAMP-WS in Japan@九州大学開催 2016年12月5,6,7日 14th WOCS2 12/12/2016 © 2016 IPA 14 4.1. SEC特別セミナー 14th WOCS2 12/12/2016 © 2016 IPA 15 4.2. システム安全性解析手法WGを設置 氏名 部会・WG・PT システム安全性・信頼性分析手法WG 主査 システム安全性・信頼性分析手法WG 副主査 リスク評価手法PT リスク評価手法PT リスク評価手法PT リスク評価手法PT リスク評価手法PT リスク評価手法PT リスク評価手法PT リスク評価手法PT 製品制御システム高信頼化部会 主査 オブザーバー IPA/SEC IPA/SEC IPA/SEC IPA/SEC IPA/SEC 14th WOCS2 12/12/2016 カ ネモト シゲル 兼本 茂 クサカ ベ シゲル 日下部 茂 アラ キ ケイ ジロ ウ 荒木 啓二郎 カ ワノ タカ シ 川野 卓 キタムラ サトシ 北村 知 オカ モト ケイ シ 岡本 圭史 オオハラ マモル 大原 衛 ナカ ムラ ヒロ シ 中村 洋 ノモト ヒデキ 野本 秀樹 ムカ イ ヤマ アキラ 向山 輝 ウチ ヒラ ナオシ 内平 直志 ホシノ ノブ ユキ 星野 伸行 ミハラ 勤務先 会津大学 九州大学 九州大学 東日本旅客鉄道株式会社(JR東日本) 東日本旅客鉄道株式会社(JR東日本) 仙台高等専門学校 東京都立産業技術研究センター 株式会社レンタコーチ 有人宇宙システム株式会社(JAMSS) 日本電気株式会社(NEC) 北陸先端科学技術大学院大学 有人宇宙システム株式会社(JAMSS) ユキヒロ 三原 幸博 ミナワ トシノブ 三縄 俊信 トヤマ ケイ スケ 十山 圭介 ヤシマ シュン スケ 八嶋 俊介 イ シイ ショ ウゴ 石井 正悟 © 2016 IPA 16 4.3. 「はじめてのSTAMP/STPA」公開 【導入に向けての課題】 • 概念や抽象的な解説だけで は理解し難い。理解したつ もりになるが、いざ実践しよ うとすると手が動かない。 →導入者向け解説書を公開 各Stepでは具体的に何をす べきかを提示 InputからOutputをどうやって 導き出すかの例を提示 http://www.ipa.go.jp/sec/reports/20160428.html 14th WOCS2 12/12/2016 © 2016 IPA 17 「はじめてのSTAMP/STPA」の特徴 STPA手順のStep毎にInput/Process/Outputを整理 各Stepで何をすべきか(作業項目)を明確に提示 作業名称 UCA(Unsafe Control Action:非安全制御動作)の抽出 目的 ハザードにつながり得る制御動作の不具合を識別する(発想する) 入力 ①UCAを導き出すための4つのガイドワード(4分類) ②アクシデント、ハザード、安全制約の一覧表 ③制御構造図 処理 ①UCA識別の表を準備する ②最上列に4つのガイドワードを記す ③最左行に制御構造図中にある制御をすべて記す ④各マスごとに、当該(最左行の)制御動作が当該(最上列)状況になった場合、い ずれかの安全制約違反に成り得るかを考える。 ⑤安全制約違反に成り得るならば、UCAであると判断する 出力 ①縦軸:制御行動、横軸:ガイドワードとしたUCA一覧表。 備考 想定外を排除することを忘れないように。 14th WOCS2 12/12/2016 © 2016 IPA 18 「はじめてのSTAMP/STPA」の特徴 実際に運用されているシステムの分析実施結果を用いた具体的な解説 各Stepでどう考えて処理したかの例(分析における中間情報)も提示 シナリオ4N-5 Bを通過中に列車から針金、金属のチェーン、あるいは金属の粉などの電気伝導体が落ちて短絡し、 いつまでも列車通過中と判断し、Bのマスクが解除されない。 「マスク解除指示が出ない」のは、HCF(ハザード誘発要因)のガイドワード 「④プロセスへの入力の欠落」に相当。 シナリオ4N-5のイメージ Bを通過したのに、Bのマスク解除指示が出ない C A B 駅 駅 先行列車からの落下物(金属粉、針金など) シナリオ4N-5の事象・制御・状態 先行列車 Aに到達 到 達 列車検知 Aセンサー 非検知 列車検知 Cセンサー 非検知 列車検知 Bセンサー 非検知 通 過 先行列車 Cを通過 到 達 先行列車 先行列車 先行列車 Bに到達 貨物を落下 Bを通過 通 過 到 達 通 過 対向列車 落下物を 対向列車 Bに到達 飛ばす Bを通過 通 到 過 達 対向列車 Cに到達 到 達 列車が線路 走行中に発 生する事象 センサーから 制御装置へ の入力 鳴動 開始 指示 鳴動 停止 指示 マスク 開始 指示 Bへのマスク解除 指示が出ない マスク 解除 指示 制御装置か らの指示 警報鳴動 鳴動停止 警報が鳴動しない 状態で列車が 踏切通過 Aをマスク Aをマスク解除 指示(制御)を 受ける側の 状態 Bをマスク Bをマスク解除 14th WOCS2 12/12/2016 © 2016 IPA 19 5. 今後の活動 • 日本で最初のSTAMPワークショップ開催(2016年12月) – URL: https://sites.google.com/site/stampwsj/ • STAMP事例分析の展開 – JR踏切で、人・組織の絡んだ事例への拡張 – エンタープライズ系への拡張 • STAMP支援ツール検討 • セミナー開催 14th WOCS2 12/12/2016 © 2016 IPA 20 5.1 第1回STAMPワークショップinJapan http://www.ipa.go.jp/sec/events/20161205.html テーマ 「STAMPワークショップ in Japan」 日程 日程:12月5日,6日,7日 場所 12月5日(月) 九州大学稲盛財団記念館 九州大学伊都キャンパス内 12月6日(火) 九州大学西新プラザ 福岡市早良区西新2-16-23 12月7日(水) 九州大学西新プラザ 概要 IoTの進展に伴い、多くのシステムがつながる複合システムが多くなっています。そして複雑なシステムの安全性確 保が強く望まれています。このような要望に応えるべく、米国で開発され広く活用されているシステム安全性解析手 法STAMPに関する発表および議論の場としてワークショップを開催するものです。 実行委員長:九州大学 大学院 システム情報科学研究院 研究院長 荒木啓二郎 プログラム委員長:長崎県立大学情報システム学部情報システム学科 14th WOCS2 12/12/2016 © 2016 IPA 教授 日下部茂 21 5.2 STAMP事例分析の展開 ネット通販システムへの応用 分析対象 ユーザーがネット経由で商品を注文し、販売担当者、倉庫担当者、配送業者の連 係で商品を届ける通販システムの業務フロー 事故の定義 ユーザーが意図した商品を期日までに受け取ることができない 制御構造図(STAMPモデル) 14th WOCS2 12/12/2016 © 2016 IPA 22 まとめ • STAMPは IoT時代の安全性確保に適した手法 • 安全性確保の客観的説明としても有用 • 欧米を中心に産業利用が広まりつつある • 日本でもここ数年で急速な関心の高まり • 機械制御系だけでなく、情報系や、人・組織間 の指揮系統の分析にも有効 • IPA/SECではWGを設置して精力的に調査・普及 活動を推進 14th WOCS2 12/12/2016 © 2016 IPA 23 ご清聴ありがとうございました 14th WOCS2 12/12/2016 © 2016 IPA 24
© Copyright 2024 ExpyDoc
