RENTACO RAC0218A2 ET2016 IPAブースプレゼンテーション システム障害原因診断 〜ハザード分析に基づく仮説⽣成の試み〜 2016年11⽉18⽇ 中村 洋 株式会社レンタコーチ IPA/SEC システム安全性・信頼性分析⼿法WG Copyright© 2015-2016 RENTACO. All Rights Reserved. RAC0218A2 RENTACO はじめに 背景 障害原因診断WGは、2014年度から活動を開始し、事後V&Vフ レームワークと化学プラントシミュレータを開発。 2015年度には、倒⽴⼆輪⾞というサンプルシステムを開発し、初年 度の報告書を改訂。 今年度は、WG編成を⾒直し、STAMP/STPA⼿法との関連を深 めながら活動を継続。 ⽬的 ハザード分析に基づく障害原因仮説⽣成を試⾏し、事後V&Vフ レームワークを深化。 ⼿順 システム障害が起きた化学プラントシミュレータに関して、SysMLを ⽤いてシステムを記述する(昨年度実施済み)。 STAMP/STPA⼿法を⽤いてハザード分析を⾏い、障害原因仮説 を⽣成する(改めて実施)。 あわせて、HAZOP⼿法を⽤いてハザード分析を⾏い、 STAMP/STPA⼿法との⽐較を試みる。 Copyright© 2015-2016 RENTACO. All Rights Reserved. 2 RENTACO RAC0218A2 事後V&Vのフレームワーク モデルの階層的表現による理解 システム要求仕様のモデル化 システム機能のモデル化 初動調査のガイドライン 組込み系の調査マニュアル 事後V&V (妥当性確認と検証) 技術 ハザード分析 STAMP/STPA FTA、FMEA、 HAZOP 仮説生成 障害再現手法(テストベッド) シミュレータによる模擬実行 故障注入 仮説検証 故障箇所特定 故障箇所特定・切り分け手法、ログ分析 ソフトウェア検証手法 (形式検証、モデル検 査ツール等の調査、適用) フィードバック 障害事例の分析・整理 STAMP/CASTによる体系的な解釈 教育コンテンツ 整理・データ ベース化 Copyright© 2015-2016 RENTACO. All Rights Reserved. 改善・水平展開 3 RENTACO RAC0218A2 化学プラントシミュレータの概略構成 タンク1が溢⽔す るというシステム 障害が起きたと 想定 ⽔位計 EV1排⽔弁 出典:⼤規模・複雑化した組込みシステムのための障害診断⼿法 付録 Copyright© 2015-2016 RENTACO. All Rights Reserved. 4 RENTACO RAC0218A2 運転員による操作 uc[Package]ユースケース 化学プラント 化学プラントを起動する 緊急排⽔する 運転員 緩和排⽔する EV1排⽔弁 を開く EV1排⽔弁 を開いて、 閉める 化学プラントを停⽌する 備考:操作要求に対応する。 Copyright© 2015-2016 RENTACO. All Rights Reserved. 5 RENTACO RAC0218A2 相互接続 ibd 化学プラント :コントローラ out1:弁制御指令 out2:ポンプ制御指令 ︓操作卓 in1:~測定⽔位 oc :運転指令 in2:~運転指令 od :~運転状況 out3:運転状況 :液体循環装置 in1:~弁制御指令 in2:~ポンプ制御指令 out1:測定⽔位 備考︓〜は⼊出⼒が逆なインタフェース定義を⽰す Copyright© 2015-2016 RENTACO. All Rights Reserved. 6 RENTACO RAC0218A2 ハザードを防⽌するための制御構造 アクシデント: タンク1の溢⽔ ハザード: タンク1の溢⽔ 安全制約: タンク1の溢⽔を防⽌する。 トップダウンな ハザード定義 運転員 緩和排⽔指令を出す 緊急排⽔指令を出す 運転状況 コントローラ EV1排⽔弁を開く EV1排⽔弁を閉める 測定⽔位 液体循環装置 Copyright© 2015-2016 RENTACO. All Rights Reserved. 7 RENTACO RAC0218A2 ⾮安全な制御⾏動(UCA)を識別する 与えられないとハ ザード 与えられるとハザード 運転員︓ 緩和排⽔指令 を出す いつかアラーム⽔ 位に達するが、こ こで緊急排⽔が ⾏われれば問題 ない 緊急排⽔を⾏っ N/A ている途中に、そ れを中断して緩 和排⽔を始める と、ハザードになる 恐れがある (UCA1) 緊急排⽔指令 を出す アラーム⽔位で N/A ⾃動緊急排⽔ が⾏われていな いときに、指令 しないとハザード に⾄る(UCA2) 制御⾏動 早すぎ、遅すぎ、 早すぎる停⽌、 誤順序でハザー ⻑すぎる適⽤ ド でハザード N/A N/A N/A 仮説⽣成に関係する範囲のみ Copyright© 2015-2016 RENTACO. All Rights Reserved. 8 RENTACO RAC0218A2 ハザードシナリオと障害原因仮説 UCA シナリオ UCA1: 緊急排⽔を⾏ってい る途中に、それを中 断して緩和排⽔を始 めると、ハザードになる 恐れがある 1. コントローラーは緊急排⽔機能を実⾏し、EV1排⽔弁を開く。 2. 運転員はアラーム⽔位に驚き、間違って緩和排⽔指令する。 3. それを受けて、コントローラーは緊急排⽔機能を中断して、緩 和排⽔機能を始める。 4. コントローラーは緩和排⽔機能の⼀環として、EV1排⽔弁を 閉じる。 UCA2: 1. アラーム⽔位を越えたが、コントローラーが緊急排⽔機 アラーム⽔位で⾃動 能を開始しない。 緊急排⽔が⾏われて 2. コントローラーはアラーム⽔位を越えていることを表⽰。 いないときに、指令し 3. それを⾒て、運転員は緊急排⽔指令しようとして、間 ないとハザードに⾄る 違って緩和排⽔指令する。 4. コントローラーは緩和排⽔機能の⼀環として、EV1排⽔ 弁を閉じる。 複合的なシナリオ 仮説︓アラーム⽔位を越えたときに緩和排⽔指令を 受け付け、EV1を開くが再び閉める Copyright© 2015-2016 RENTACO. All Rights Reserved. RENTACO RAC0218A2 HAZOP⼿法を⽤いるハザード分析 状態遷移図に対するガイドワードの適⽤基準 ガイドワード 状態1 状態2 No 否定 事象が未発生 More 量的 変化 N/A Less 事象/動作 状態3 状態遷移に対する解釈 N/A As well as 質的 変化 Part of 余計な動作 Reverse N/A(Noに同じ) Other than Copyright© 2015-2016 RENTACO. All Rights Reserved. 置換 不完全な動作 事象を誤検出・誤認識 10 RENTACO RAC0218A2 分析対象となる状態遷移図 stm 化学プラント 運転 運転員から の起動指令 初期 運転員から の起動指令 停⽌ 終了 起動制御 do/起動機能 停⽌制御 do/停⽌機能 終了 運転員から の停⽌指令 緊急排⽔制御 do/緊急排⽔機能 タンク1の⽔位がア ラーム⽔位を越える OR 運転員から の緊急排⽔指 令 終了 ⽔位制御 do/⽔位制御機能 終了 緩和排⽔制御 do/緩和排⽔機能 運転員からの 緩和排⽔指令 Copyright© 2015-2016 RENTACO. All Rights Reserved. タンク1の⽔位が アラート⽔位を越 える OR 運転 員からの緩和 排⽔指令 11 RENTACO RAC0218A2 運転員指令に起因する遷移に対する分析-1 状態遷移: 運転 → 緊急排⽔制御 事象: 運転員からの緊急排⽔指令 ガイドワード No 「与えられないと ハザード」に同じ 原因と状況 結果と対策 アラーム⽔位を越えた事 象が発⽣しないときに、運 転員からの指令が出され ない 緊急排⽔ができず、タンク 1の溢⽔が起きる As well as N/A Part of N/A Other than 別の事象を誤って緊急排⽔ 指令だと認識する 結果は UCA2に相 当するが、 シナリオは 異なる 余計に緊急排⽔される 単⼀要因に関するシナリオ Copyright© 2015-2016 RENTACO. All Rights Reserved. 12 RENTACO RAC0218A2 運転員指令に起因する遷移に対する分析-2 状態遷移: ⽔位制御 → 緩和排⽔制御 事象: 運転員からの緩和排⽔指令 ガイドワード 原因と状況 結果と対策 No アラート⽔位を越えた事 象が発⽣しないときに、運 転員からの指令が出され ない 緩和排⽔が⾏われずアラーム ⽔位に達する恐れがあるが、そ のときに緊急排⽔が作動すれ ばタンク1の溢⽔は防⽌できる As well as N/A Part of N/A Other than 緊急排⽔指令⼜はア アラーム⽔位を越えているに ラーム⽔位越え事象が もかかわらず、緩和排⽔を 発⽣したが、これを誤っ ⾏い、EV1排⽔弁を閉じて て緩和排⽔指令だと しまい、タンク1の溢⽔を起 認識する こす Copyright© 2015-2016 RENTACO. All Rights Reserved. 結果は UCA1に相 当するが、 シナリオは 異なる 13 RENTACO RAC0218A2 STPAとHAZOPを⽐較してみると HAZOP STPA 分析の進め⽅ ボトムアップ︓設計意図からの トップダウン︓ハザードを定義し、 逸脱が起きるシナリオを識別し、 ⾮安全な制御⾏動を識別し、 次に、その結果がハザードとな 次に、それが起きるシナリオを検 るかを検討する。 討する。 分析対象 機能や動作などの設計意図 ガイドワード 「No」は否定であり、「与えられないとハザード」と同質。それ以外のガイ ドワードに、強い類似性はない。 ハザードシナリオ 単⼀要因に関するシナリオで 分析する。 Copyright© 2015-2016 RENTACO. All Rights Reserved. ハザードを防⽌するための制御構 造 フィードバックを含む複合的なシ ナリオを識別できる。 14 RAC0218A2 RENTACO 考察 事後V&Vフレームワークにおいて、適切なシステム記述⼿法 とハザード分析⼿法を⽤いれば、障害原因仮説を⽣成でき る可能性は⾼い。 STPAとHAZOPは、ともにガイドワードを⽤意し、系統的な 分析を可能とし、障害診断に使える。 HAZOPは、設計意図の逸脱を⼿がかりに、ボトムアップ的に ハザードを識別する。STPAは、トップダウン的にハザードを定 義し、そのハザードシナリオを識別する。障害診断では使い分 けが必要。 STPAは、フィードバックを含む複合的なシナリオを識別するこ とが可能。HAZOPでは単⼀要因で分析する。 ⽣成された仮説もとに、故障箇所特定や仮説検証等を⾏う ことになるが、これが次の課題である。 Copyright© 2015-2016 RENTACO. All Rights Reserved. 15 RAC0218A2 RENTACO ご清聴ありがとうございました 作成者: 株式会社レンタコーチ www.facebook.com/coachwokarite 問合せ先︓ 中村 洋 [email protected] Copyright© 2015-2016 RENTACO. All Rights Reserved. 16
© Copyright 2024 ExpyDoc
