安全解析法 STAMP/STPA の概要と事例紹介平成 26 年 1 21 有宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸

Size: px

Start display at page:

Download "安全解析法 STAMP/STPA の概要と事例紹介平成 26 年 1 21 有宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸"

なおいさやま
5 years ago
Views:

1 安全解析法 STAMP/STPA の概要と事例紹介平成 26 年 1 21 有宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸 (hoshino.nobuyuki@jamss.co.jp)

2 Contents 1. 会社紹介 (10 分 ) 2. STAMP/STPA の概要 (20 分 ) 3. 宇宙機における STAMP/STPA の事例 (30 分 ) 1

3 1. 会社紹介

4 設有宇宙システム ( 株 ) 本が初めて有宇宙システム : 国際宇宙ステーション計画を実施するにあたり平成 2 年 5 に NASDA/ 宇宙開発事業団 ( 現 JAXA/ 宇宙航空研究開発機構 ) を援する組織として発日本国際宇宙ステーションアメリカ本のモジュールの運管制宇宙実験の準備 / 実験宇宙 / 管制要員の訓練運 / 実験装置の技術援安全開発保証 JAXA 筑波宇宙センター NASA 宇宙センター 3

ソフトウェア IV&V 独検証および有効性確認 (Independent Verification and Validation) 開発組織から独した組織がうソフトウェアの信頼化安全性確保のための評価活動 IV&V による効果 ( メリット ) 開発コストの削減早期に問題点を検出することで開発の戻りを防

5 ソフトウェア IV&V 独検証および有効性確認 (Independent Verification and Validation) 開発組織から独した組織がうソフトウェアの信頼化安全性確保のための評価活動 IV&V による効果 ( メリット ) 開発コストの削減早期に問題点を検出することで開発の戻りを防システム全体としての視点で問題点を検出ソフトウェア開発ソフトウェアに偏らずシステムの安全性や信頼性に関わる問題点を識別開発者から独的な視点をとることで開発者が逃した問題点を検出ユーザの期待する動作を実現していることの確実性を向上インタフェース特に開発チームが複数あるときのチーム間のインタフェースにおける問題を識別ソフトウェア IV&V 4

6 IV&V の実績 ( 部 ) 有システムきぼう JAXA こうのとり JAXA JAXA 物実験装置 JAXA JAXA 重発装置きぼう地上官制システム組込みシステム情報システム JAXA EPSILONE H-2A JAXA JAXA かぐや JAXA JAXA ロケット安全システム GCOM-W1 JAXA JAXA GCOM-C1 ALOS-2 JAXA きずな JAXA 5 無システムロケット安全システム

7 ソフトウェア IV&V のプロセスシステム要求分析システム仕様書ソフトウェア要求分析ソフトウェア要求仕様書ソフトウェア設計ソフトウェア設計仕様書コーディングソフトウェア開発ソースコード単体試験仕様結合試験仕様単体試験統合試験仕様結合試験統合試験ソフトウェアの開発程 ( 要求分析統合試験 ) のすべての段階で実施各開発程において開発組織が作成する開発成果物を評価検証 (Verification) 前程での決定事項に対して正しく作られていることを確認有効性確認 (Validation) 正しいものが作られていることを確認ソフトウェア IV&V 検証有効性確認 6

8 JAMSS IV&V の特徴当社独上流程の IV&V ソフトウェアの要求分析設計フェーズから検証を実施することで早期に問題点を検出統合セミフォーマル検証ハザード解析技術 (STAMP/STPA 等 ) によりシステム全体の視点で評価セミフォーマル検証技術により開発者から独的な視点で評価 7

独テストの実施含む不具合の 1 20 100 改修コスト 2 ケーススタディ IV&V 実施 IV&V:9 改修 :1 不具合検出!! 10 IV&V 未実施不具合混改修 : 100 不具合検出!

9 JAMSS IV&V の特徴上流程の IV&V 上流程下流程ソフトウェア開発組込み以降システム要求分析システム仕様書ソフトウェア開発ソフトウェア要求仕様書ソフトウェア要求分析統合試験仕様統合試験ソフトウェア設計仕様書ソフトウェア設計結合試験仕様結合試験ソースコード単体試験仕様コーディング単体試験 with 統合セミフォーマル検証 IV&V を実施する他社 ( 国内数社 1 ) 1 独テストの実施含む不具合の改修コスト 2 ケーススタディ IV&V 実施 IV&V:9 改修 :1 不具合検出!! 10 IV&V 未実施不具合混改修 : 100 不具合検出!! McConnell, S( 著 ), クイープ ( 訳 ):Code Complete 第 2 版 < 上 >- 完全なプログラミングを指して, pp.34-35, 経 BP ソフトプレス (2005). など 8

10 JAMSS IV&V の特徴統合セミフォーマル検証検証対象を絞る技術フォーマルメソッドなどを基にしたセミフォーマル検証技術を組み合わせ規模システムに適統合セミフォーマル検証検証対象を絞る技術セミフォーマル検証技術ハザード解析技術 FTA STAMP/STPA 1 CBCS 2 安全要求を参考にしたハザード解析 1 Systems-Theoretic Accident Model and Process / STAMP based Process Analysis (MIT と共同研究中 ) 2 Computer-Based Control System 不具合分析技術検証対象を安全上重要な箇所に絞るモデル解析技術フォーマルメソッドトレーサビリティ確認技術 TRAD 階層型事故モデル検証対象を過去の (NTSB モデル ) 同種のソフトウェアの CAST 3 不具合分析からモデル検査技術得られたソフトウェア BLAST PAT Pro SPIN の弱点に絞るシミュレーション技術 3 Causal Analysis based on STAMP (MITと共同研究中) UltraC 然語に近い語でモデリングすることで仕様書から効率的に漏れなく情報を抽出然語モデリング技術動モデル変換ツールリーチャビリティ確認技術 RAE 状態遷移の完全性貫性確認技術 SpecTRM 9

11 2. STAMP/STPA の概要

STAMP/STPA の概要 STAMP(Systems-Theoretic Accident Model and Process): システム理論に基づく事故モデル STPA(STAMP based Process Analysis):STAMP に基づく安全解析法マサチューセッツ科学 (MIT) の Nancy.

12 STAMP/STPA の概要 STAMP(Systems-Theoretic Accident Model and Process): システム理論に基づく事故モデル STPA(STAMP based Process Analysis):STAMP に基づく安全解析法マサチューセッツ科学 (MIT) の Nancy.G.Leveson 教授が最新献 Engineering a Safer World の中で提唱複数のコントローラが介在する複雑なシステムに対する安全解析の法論システムを構成するサブシステムやコンポーネントに不具合がなくとも, サブシステムやコンポーネントの組み合わせによって全体のシステムにおける不具合が発する 11

13 STAMP/STPA の概要従来の安全解析法と STPA の違い分析法特徴従来法 (FTA, FMEA) STAMP /STPA フォールトツリー図や影響分析表をいて分析するコントロールストラクチャ図とコントロールループ図にガイドワードを適する 12 機器や組織の単故障をハザード要因として識別する分岐条件を論理的に組むことで網羅的に分析できる深く分析できる反全体的な視野での分析が難しい複数の機器や組織 ( 間 ) が相互作をう複雑なシステムにおいて相互作のハザード要因を識別する過去の事故事例データに基づくガイドワードにより網羅的に分析できるシステム全体の振る舞いを確認しながら分析ができる

14 STAMP/STPA の概要分析の流れ Step.0 ハザード制御に関わる Control Structure の作成特徴従来のハザード解析法のような個々のコンポーネント故障に着するのではなく複雑に連携するコンポーネント間の相互作に関連するシステムレベルの問題に着する Step.1 安全な Control Action の識別によるハザードシナリオの分析 4 つのガイドワードをいて危険な状態を導くコントローラの動作 ( 安全なコントロールアクション :UCA) を識別する Step.2 Control Loop の作成によるハザード要因の分析 Control Loop 上のガイドワードをいて UCA の要因を識別する特にソフトウェアやヒューマンに起因する要因として, コントローラの想定するプロセスモデルが, 実際のプロセスの状態と盾することで起きる要因を識別する Step.3 安全制約の識別ハザード要因を制御 / 除去するための安全制約を識別する 13

15 STAMP/STPA の概要 Step.0 ハザード制御に関わる Control Structure の作成システムのハザード制御に関係するコンポーネント ( システム機器計算機組織など ) 及びコンポーネント間のデータの授受を識別し Control Structure Diagram を作成するコンポーネント A コマンド 3 コマンド 1 データ 1 コンポーネント B 字 :Control Action ( 指コマンド ) 字 : フィードバックデータコマンド 2 データ 2 コンポーネント C 14

16 STAMP/STPA の概要 Step.1 安全な Control Action の識別によるハザードシナリオの分析 Control Structure からハザード制御に必要な Control Action を抽出し, それらに対して 4 つのガイドワードを適して, ハザードにつながる Unsafe Control Actions を分析する 1. Not Provided 必要なコントロールアクションが供給されない 2. Incorrectly Provided 誤った安全なコントロールアクションが供給される 3. Provided Too Early, Too Late, or Out of Sequence 意図しないタイミングで供給される 4. Stopped Too Soon 途中でまる ( または必要以上にく実施される ) 15

17 STAMP/STPA の概要 Step.2 Control Loop の作成によるハザード要因の分析 STPA Step1 で識別した Unsafe Control Actions 毎に, 関係する Controller と Controlled Process を識別して Control Loop Diagram を作成し, ガイドワードを適して, 詳細なハザード要因を分析するコントローラ上位からの指や外部情報の誤り落 Control Action が不適切無効落不分な制御アルゴリズム ( 作成上の不具合プロセスモデルがプロセス変更不致不完全不正確な修正適応 ) フィードバックの不分落遅延アクチュエータセンサー動作の遅れ不分な動作プロセスへのの誤り落制御対象プロセス部品故障経時変化不分な動作不正確な情報情報がない測定の不正確さフィードバックの遅延プロセスからの出の誤り意図しないまたは範囲外の外乱 16

18 STAMP/STPA の概要 Step.3 安全制約の識別 Step.2 で識別したハザード要因毎にハザード要因を制御 / 除去するための安全制約を識別する 17

19 3. 宇宙機における STAMP/STPA の事例

宇宙機におけるSTAMP/STPAの事例 HTV( コウノトリ ) のシステム概要 HTV の主要諸元 Items Specifications 宇宙ステーション補給機 (H-II Transfer Vehicle: HTV) 愛称 : コウノトリ全直径質量推薬補給能廃棄品搭載能軌道最ミッション期間 9.8 m (including thrusters) 4.

20 宇宙機におけるSTAMP/STPAの事例 HTV( コウノトリ ) のシステム概要 HTV の主要諸元 Items Specifications 宇宙ステーション補給機 (H-II Transfer Vehicle: HTV) 愛称 : コウノトリ全直径質量推薬補給能廃棄品搭載能軌道最ミッション期間 9.8 m (including thrusters) 4.4 m 10,500 kg 燃料 : MMH 酸化剤 : MON3 (Tetroxide) 6,000 kg - 与圧区 : 4,500 kg - 与圧区 : 1,500 kg Max. 6,000 kg 度 : km 軌道傾斜 : 51.6 degrees Solo flight: 100 時間 Stand-by (on-orbit): > 1 週 Berthed with ISS: Max. 30 間 19

21 宇宙機における STAMP/STPA の事例キャプチャフェーズへの STPA 適 HTV 運の概要 : 1. 種島からH-IIBロケットで打ち上げ 2. ISSへのランデブ 3. ロボットアームによる把持 ( キャプチャ ) 4. ISSへのドッキング 5. アンドック /ISSからの離脱 6. 再突 20

22 宇宙機におけるSTAMP/STPAの事例 Step.0 ハザード制御に関わるControl Structure の作成システムのハザード制御に関係するコンポーネント及びコンポーネント間のデータの授受を識別し Control Structure Diagram を作成する HTV: こうのとり ( 輸送船 ) ISS: 国際宇宙ステーション TDRS: データ中継衛星 NASA GS:NASA 地上局 JAXA GS:JAXA 地上局 21

23 宇宙機における STAMP/STPA の事例 Step.1 安全な Control Action の識別によるハザードシナリオの分析 Control Structure からハザード制御に必要な Control Action を抽出するここではキャプチャ時の通常のコマンドシーケンスを Control Action とする Control Action に対して 4 つのガイドワードを適して, ハザードにつながる Unsafe Control Actions を分析する ( 次ページ ) キャプチャ時の通常のコマンドシーケンス短時間 22

Category 4 Stopped Too Soon 4 つのガイドワードを基に

24 宇宙機における STAMP/STPA の事例 Step.1 安全な Control Action の識別によるハザードシナリオの分析 Category 1 Not Provided Category 2 Incorrectly Provided Category 3 Provided Too Early, Too Late, or Out of Sequence Category 4 Stopped Too Soon 4 つのガイドワードを基に想定しうるシステムの状態を開発者も交えてディスカッションした結果各セルの中で下線が引かれている部分がハザードにる可能性のあるシナリオとして識別された ( 次ページに覧表 ) 23 23

25 宇宙機における STAMP/STPA の事例 Step.1 安全な Control Action の識別によるハザードシナリオの分析 (1a) HTV がロボットアームにミスキャプチャされた危険な状態で FRGF を分離できず HTV が回転し始めロボットアームに衝突する (1b) HTV がキャプチャ可能領域から徐々に外れていった状態で HTV をアクティベート ( 制御開始 ) するコマンドが来ないは遅れることで HTV が浮遊状態のまま ISS に衝突する (2a) アクティベート状態のままキャプチャするとこのミスキャプチャが HTV への外乱となり意図しない姿勢制御またはアボートとなる (2b) ロボットアームによるキャプチャ前に FRGF が意図せず分離され FRGF の機構部分が浮遊物となり ISS へ衝突するまたミッションも喪失する (Ca) ロボットアームが浮遊状態になった HTV を誤って突くことで HTV が回転し始め ISS に衝突する (Cb) キャプチャが中途半端に終わり HTV がロボットアームに固定されていない状態となって回転し始めロボットアームに衝突する (3a) FRGF 分離がイネーブルの状態で FRGF 分離が実され HTV をアクティベートするコマンドが来ないは遅れることで HTV が浮遊状態のまま ISS に衝突する (3b) HTV がロボットアームに把持された状態で HTV がアクティベートされロボットアームからの張が HTV への外乱となり意図しない姿勢制御またはアボートとなる各ハザードシナリオに対して次ページの STPA Step.2 の分析をったがここでは (1b) のシナリオのみについて例として採り上げる 24

26 宇宙機における STAMP/STPA の事例 Step.2 Control Loop の作成によるハザード要因の分析 STPA Step1 で識別したハザードシナリオ (1b) について Controller と Controlled Process を識別して Control Loop Diagram を作成し, ガイドワードを適して, 詳細なハザード要因を分析する分析の結果従来のハザード解析 (FTA) では識別されなかった原因 ( 字 ) を識別 ISS 機器故障クルーによるミスオペ ( アクティベーションコマンドをうたない ) ISSクループロセスモデルの盾詳細は次ページアクティベーションの実施 / 不適切アクティベーションの遅延 HTV 機器故障 ( マルチパスによる ) 通信障害 SSRMS による外乱実際の状態とは異なる不適切なフィードバック (FreeDrift 後の時間位置 ) フィードバック遅延 (FreeDrift 後の時間位置 ) 誤ったフィードバック (FreeDrift 後の時間位置 ) 実際の状態とは異なる不適切なフィードバック (Flight Mode) フィードバック遅延 (Flight Mode) 誤ったフィードバック (Flight Mode) 地上システムからの誤った情報 25

27 宇宙機における STAMP/STPA の事例 Step.2 Control Loop の作成によるハザード要因の分析 ISS クルーの制御プロセスモデルの盾 HTVは無制御状態だが HTVが制御状態だとISSクルーが誤認しクルーはHTV 制御開始のコマンドを送信しないこのままの状況が続き HTVは安全が確保されたキャプチャ可能範囲から徐々に外れ ISSに衝突する 26

28 宇宙機における STAMP/STPA の事例 Step.3 安全制約の識別 ISS クループロセスモデルの盾クルーは HTV から送られてくるテレメトリの中の Flight Mode が Free Drift から Retreat Hold 及び Abort になったことにより HTV が無制御状態から制御状態へ変化したことを認識することがルール化する不適切なフィードバック ( 時間位置 Flight Mode) INCORRECT: パリティエラーパケットフォーマットエラー Integrity CheckやValidity Check ( 安全要求への合致 ) MISSING: 通信断 ISSとHTV 間のハートビート信号の状態を監視通信断の場合は系切替クルーへ警告 HTVの安全解析書には STPAで識別した原因の内いくつかが識別されていないが実際のHTV 設計にはこれら原因に対する安全対策があることを確認した 27

第 8 回クリティカルソフトウェアワークショップ 8 th Workshop of Critical Software (WOCS2011) Modeling and Hazard Analysis using STPA ~STAMP/STPA を用いた安全解析手法の検討 ~ M

第 8 回クリティカルソフトウェアワークショップ 8 th Workshop of Critical Software (WOCS2011) Modeling and Hazard Analysis using STPA ~STAMP/STPA を用いた安全解析手法の検討 ~ 2011.1.18 Massachusetts Institute of Technology (MIT) Takuto Ishimatsu,

安全解析 法 STAMP/STPA の概要と事例紹介 平成 26 年 1 21 有 宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸

安全解析法 STAMP/STPA の概要と事例紹介平成 26 年 1 21 有宇宙システム株式会社 Japan Manned Space Systems Corporation (JAMSS) 安全開発保証部ソフトウェアグループ星野伸