るためには, まず, システムの故障や逸脱を分析し, その時のシステムの振る舞いを網羅的に状態遷移図に記述することが必要となる.SpecTRM(Specification Tools and Requirements Methodology)[9] は, 解析評価のための基準となる有限状態遷移モデル

Similar documents
2. CABAC CABAC CABAC 1 1 CABAC Figure 1 Overview of CABAC 2 DCT 2 0/ /1 CABAC [3] 3. 2 値化部 コンテキスト計算部 2 値算術符号化部 CABAC CABAC

1., 1 COOKPAD 2, Web.,,,,,,.,, [1]., 5.,, [2].,,.,.,, 5, [3].,,,.,, [4], 33,.,,.,,.. 2.,, 3.., 4., 5., ,. 1.,,., 2.,. 1,,

1 Fig. 1 Extraction of motion,.,,, 4,,, 3., 1, 2. 2.,. CHLAC,. 2.1,. (256 ).,., CHLAC. CHLAC, HLAC. 2.3 (HLAC ) r,.,. HLAC. N. 2 HLAC Fig. 2

テスト設計コンテスト フロア展示資料

THE INSTITUTE OF ELECTRONICS, INFORMATION AND COMMUNICATION ENGINEERS TECHNICAL REPORT OF IEICE.

A Study on Throw Simulation for Baseball Pitching Machine with Rollers and Its Optimization Shinobu SAKAI*5, Yuichiro KITAGAWA, Ryo KANAI and Juhachi

1 Web [2] Web [3] [4] [5], [6] [7] [8] S.W. [9] 3. MeetingShelf Web MeetingShelf MeetingShelf (1) (2) (3) (4) (5) Web MeetingShelf

Table 1. Assumed performance of a water electrol ysis plant. Fig. 1. Structure of a proposed power generation system utilizing waste heat from factori

& Vol.5 No (Oct. 2015) TV 1,2,a) , Augmented TV TV AR Augmented Reality 3DCG TV Estimation of TV Screen Position and Ro

258 5) GPS 1 GPS 6) GPS DP 7) 8) 10) GPS GPS ) GPS Global Positioning System

揃 Lag [hour] Lag [day] 35

(a) 1 (b) 3. Gilbert Pernicka[2] Treibitz Schechner[3] Narasimhan [4] Kim [5] Nayar [6] [7][8][9] 2. X X X [10] [11] L L t L s L = L t + L s

IPSJ SIG Technical Report Vol.2013-IS-126 No /12/ CIO Examination of Strategic Decision Making for System Planning Phase Yukio Amagai

IPSJ SIG Technical Report Pitman-Yor 1 1 Pitman-Yor n-gram A proposal of the melody generation method using hierarchical pitman-yor language model Aki

IPSJ SIG Technical Report Vol.2016-CE-137 No /12/ e β /α α β β / α A judgment method of difficulty of task for a learner using simple

ID 3) 9 4) 5) ID 2 ID 2 ID 2 Bluetooth ID 2 SRCid1 DSTid2 2 id1 id2 ID SRC DST SRC 2 2 ID 2 2 QR 6) 8) 6) QR QR QR QR

6 2. AUTOSAR 2.1 AUTOSAR AUTOSAR ECU OSEK/VDX 3) OSEK/VDX OS AUTOSAR AUTOSAR ECU AUTOSAR 1 AUTOSAR BSW (Basic Software) (Runtime Environment) Applicat

3_23.dvi

Vol. 48 No. 3 Mar PM PM PMBOK PM PM PM PM PM A Proposal and Its Demonstration of Developing System for Project Managers through University-Indus

Vol. 48 No. 4 Apr LAN TCP/IP LAN TCP/IP 1 PC TCP/IP 1 PC User-mode Linux 12 Development of a System to Visualize Computer Network Behavior for L

IPSJ SIG Technical Report Vol.2014-CDS-10 No /5/ Intuitive appliance control method based on high-accurate indoor localization system

テスト設計コンテスト

untitled

テスト設計コンテスト

1: A/B/C/D Fig. 1 Modeling Based on Difference in Agitation Method artisoc[7] A D 2017 Information Processing

DPA,, ShareLog 3) 4) 2.2 Strino Strino STRain-based user Interface with tacticle of elastic Natural ObjectsStrino 1 Strino ) PC Log-Log (2007 6)

IPSJ SIG Technical Report Vol.2012-CG-148 No /8/29 3DCG 1,a) On rigid body animation taking into account the 3D computer graphics came

VDM-SL ISO.VDM++ VDM-SL VDM- RT VDM++ VDM,.VDM, [5]. VDM VDM++.,,, [7]., VDM++.,., [7] VDM++.,,,,,,,.,,, VDM VDMTools OvertureTo

<95DB8C9288E397C389C88A E696E6462>

17 Proposal of an Algorithm of Image Extraction and Research on Improvement of a Man-machine Interface of Food Intake Measuring System

MmUm+FopX m Mm+Mop F-Mm(Fop-Mopum)M m+mop MSuS+FX S M S+MOb Fs-Ms(Mobus-Fex)M s+mob Fig. 1 Particle model of single degree of freedom master/ slave sy

1 UD Fig. 1 Concept of UD tourist information system. 1 ()KDDI UD 7) ) UD c 2010 Information Processing S

A Feasibility Study of Direct-Mapping-Type Parallel Processing Method to Solve Linear Equations in Load Flow Calculations Hiroaki Inayoshi, Non-member

Vol.55 No (Jan. 2014) saccess 6 saccess 7 saccess 2. [3] p.33 * B (A) (B) (C) (D) (E) (F) *1 [3], [4] Web PDF a m

IPSJ SIG Technical Report Vol.2011-EC-19 No /3/ ,.,., Peg-Scope Viewer,,.,,,,. Utilization of Watching Logs for Support of Multi-

Fig. 3 Flow diagram of image processing. Black rectangle in the photo indicates the processing area (128 x 32 pixels).

28 Horizontal angle correction using straight line detection in an equirectangular image

Table 1. Reluctance equalization design. Fig. 2. Voltage vector of LSynRM. Fig. 4. Analytical model. Table 2. Specifications of analytical models. Fig

IPSJ SIG Technical Report Vol.2009-DPS-141 No.20 Vol.2009-GN-73 No.20 Vol.2009-EIP-46 No /11/27 1. MIERUKEN 1 2 MIERUKEN MIERUKEN MIERUKEN: Spe

IPSJ SIG Technical Report Vol.2014-IOT-27 No.14 Vol.2014-SPT-11 No /10/10 1,a) 2 zabbix Consideration of a system to support understanding of f

( ) [1] [4] ( ) 2. [5] [6] Piano Tutor[7] [1], [2], [8], [9] Radiobaton[10] Two Finger Piano[11] Coloring-in Piano[12] ism[13] MIDI MIDI 1 Fig. 1 Syst

,,.,.,,.,.,.,.,,.,..,,,, i

第62巻 第1号 平成24年4月/石こうを用いた木材ペレット

Visual Evaluation of Polka-dot Patterns Yoojin LEE and Nobuko NARUSE * Granduate School of Bunka Women's University, and * Faculty of Fashion Science,

MDD PBL ET 9) 2) ET ET 2.2 2), 1 2 5) MDD PBL PBL MDD MDD MDD 10) MDD Executable UML 11) Executable UML MDD Executable UML

IPSJ SIG Technical Report Vol.2010-GN-74 No /1/ , 3 Disaster Training Supporting System Based on Electronic Triage HIROAKI KOJIMA, 1 KU

2 ( ) i

大学論集第42号本文.indb




IPSJ SIG Technical Report PIN(Personal Identification Number) An Examination of Icon-based User Authentication Method for Mobile Terminals Fum

3D UbiCode (Ubiquitous+Code) RFID ResBe (Remote entertainment space Behavior evaluation) 2 UbiCode Fig. 2 UbiCode 2. UbiCode 2. 1 UbiCode UbiCode 2. 2

システム開発プロセスへのデザイン技術適用の取組み~HCDからUXデザインへ~

Modal Phrase MP because but 2 IP Inflection Phrase IP as long as if IP 3 VP Verb Phrase VP while before [ MP MP [ IP IP [ VP VP ]]] [ MP [ IP [ VP ]]]

目次 1. 目的 2. STPA の手順 3. エアバッグの要求仕様 4. Step 0 準備 1:Accident Hazard 安全制約の識別 5. Step 0 準備 2:Control Structure の構築 6. Step 1:UCA(Unsafe Control Action) の抽


人文学部研究年報12号.indb

3 2 2 (1) (2) (3) (4) 4 4 AdaBoost 2. [11] Onishi&Yoda [8] Iwashita&Stoica [5] 4 [3] 3. 3 (1) (2) (3)


fiš„v8.dvi

,,,,., C Java,,.,,.,., ,,.,, i

[2] OCR [3], [4] [5] [6] [4], [7] [8], [9] 1 [10] Fig. 1 Current arrangement and size of ruby. 2 Fig. 2 Typography combined with printing

Input image Initialize variables Loop for period of oscillation Update height map Make shade image Change property of image Output image Change time L

untitled

49148

Transcription:

階層型状態遷移図に基づく安全分析手法 金周慧 松原豊 高田広章 小規模な組込みシステムにおける故障の影響をより網羅的に分析することを目的に,1 つの状態遷移図に基づく安全分析手法 SASTD(Safety Analysis method based on State Transition Diagram) を提案した. 大規模な組込みシステムでは,1 つの状態遷移図に含まれる状態数が多くなるため,SASTD で網羅的に分析するのが困難であるという問題がある.1 つの状態遷移図に含まれる状態数を減らすためには, 小規模な状態遷移図に分割した階層型状態遷移図を利用するのが有効である. 本論文では,SASTD を拡張した, 階層型状態遷移図に基づく安全分析手法 SAHSTD(Safety Analysis method based on Hierarchical State Transition Diagram) を提案する.SAHSTD を話題沸騰ポットのシステム仕様に対して適用した結果, SASTD と同一の逸脱を分析できることを確認した. さらに, 同一の性質をもつ状態を階層的に整理することで, 分析者が本質的に分析すべき逸脱数が,SASTD に比べて, 状態に対する分析では 92 個から 61 個に, 状態遷移に対する分析では 284 個から 134 個に削減できることが明らかになった. Safety analysis method based on hierarchical state transition diagram Zoohaye KIM, Yutaka MATSUBARA, and Hiroaki TAKADA In order to analyze exhaustively affects of failures in small embedded systems, we proposed SASTD (Safety Analysis method based on State Transition Diagram). SASTD assumes that system specifications of an embedded system have been modeled as only one state transition diagram. Therefore it is difficult that we analyze exhaustively the state transition diagram including many states and state transitions by using SASTD. In many cases, a hierarchical state transition diagram is used to reduce the number of states in a state transition diagram. In this paper, we propose SAHSTD (Safety Analysis method based on Hierarchical State Transition Diagram). We applied both SASTD and SAHSTD to the system specification of an electric boiling pot, and compared the results of them. Consequently, we confirmed that all deviations derived by SASTD could be also derived by SAHSTD. Since several system states with same characteristics were integrated to hierarchical system states, the number of derived deviations that analyzer must decide its severity could be reduced from 92 to 61 in the analysis for system states, and from 284 to 134 in the analysis for system state transitions, respectively. 1. はじめに 近年, 飛行機や自動車などの組込み制御システムが複雑化する中で, 従来確保してきた安全性を維持 向上することが求められている. システムの安全性を確保するためには, システムの安全性を損なう故障とその要因を抽出する安全分析が重要である. また, 組込みシステムの設計においては,80% 程度に状態遷移図もしくは状態遷移表が用いられている [1]. 状態遷移図や状態遷移表を対象に安全分析を実施できる手法があると, より多くの組込みシステムに適用できるだけでなく, 安全分析の専門家以外の技術者も分析活動に参加し易くなると考えられる. 従来から用いられている安全分析手法として,FMEA(Failure Mode and Effect Analysis) [2],SFMEA[3],HAZOP(HAZards and Operability Analysis)[4],SHARD (Software Hazard Analysis and Resolution in Design)[5] がある. 我々は, 状態遷移図を用いてモデル化された組込みシステムに適用可能な安全分析手法 SASTD を提案した [6].SASTD は, 状態遷移図を対象に, 状態遷移図の各状態で満たされるべき性質が満たされないという逸脱と, 状態が遷移する際に実行されるべき処理が実行されないという逸脱を, ガイドワードを用いてより網羅的に列挙するための手法で,FMEA に比べて, より網羅的に分析できる. しかし, 大規模なシステムでは,1 つの状態遷移図に含まれる状態数が多くなるため,SASTD を適用し難いという問題がある. 本論文では,SASTD を拡張し, 階層型状態遷移図を対象とした安全分析手法 SAHSTD を提案する.1 つの状態遷移図に含まれる状態遷数を減らすため, 状態遷移図を階層構造で表現することで,1 つの状態遷移図を複数の小さな状態遷移図に分割できる.1 つの状態遷移図に含まれる状態数を少なくした階層型状態遷移図に対して, SAHSTD を適用することで, より容易に安全分析ができる.SAHSTD の適用性を確認するため, 話題沸騰ポット [7] を題材に, システム仕様に対して SAHSTD を適用し, SASTD と分析結果を比較する. その結果,SASTD と同等の安全分析結果が得られることに加えて, 同じ性質をもつ状態に対する, 重複した分析を省略することにより, SASTD に比べて本質的な分析量を減らすことができることを明らかにする. 2. 関連研究 状態遷移図に適用可能な安全分析手法を紹介する.SMHA(State Machine Hazard Analysis)[8] は, 状態遷移図を対象に, 初期状態から遷移可能なすべてのパスを網羅的に探索することで, 深刻な危害をもたらす状態に遷移するパスを見つけ出す手法である. 状態遷移図に, あらゆる障害が発生した場合の状態と, その状態へ遷移するパスが網羅的に記述されていることを前提としている. このような状態遷移図を作成す * 名古屋大学大学院情報科学研究科 Graduate School of Information Science, Nagoya University 1 c2012 Information Processing Society of Japan

るためには, まず, システムの故障や逸脱を分析し, その時のシステムの振る舞いを網羅的に状態遷移図に記述することが必要となる.SpecTRM(Specification Tools and Requirements Methodology)[9] は, 解析評価のための基準となる有限状態遷移モデルである. ソフトウェアの内部で規定されたモードや状態変数の遷移条件の一貫性と遷移条件の網羅性の確認は可能であるが, 状態で満たすべき性質の逸脱と, 状態遷移する際に起きる逸脱については考慮しておらず, 状態遷移図の網羅的な分析には向いていない. 複数のサブシステムで構成されるシステムに対しては, 従来の分析手法だけでは不十分であるという立場から STPA(STAMP Based Process Analysis)[10] が提案されているが, システム内部もしくはシステム間における情報の流れのみ着目して分析しており, システムの状態に対する逸脱を分析することは困難である. 3. SAHSTD 3.1 分析手法の概要 SAHSTD は, 階層型の状態遷移図に記述された, 各状態で満たすべき性質と, 状態が遷移する際に実行される処理に対して, それらが正常に満たされない, もしくは実行されないという逸脱を, ガイドワードを用いてより網羅的に列挙する手法である. 階層型状態遷移図の上位と下位に分けて分析することにより,1 つの状態遷移図に対して分析する状態数が減るため, 分析が容易になる. 逸脱により発生する危害の深刻度を分析した結果, 許容できない深刻な危害をもたらす逸脱が存在する場合には, その逸脱に対して, 許容可能なレベルまで危害の深刻度を低減する対策を検討する. 3.2 階層型状態遷移図に対する逸脱の分析状態遷移図には, システムの状態と, システム状態間の遷移関係が記述されている. システムの各状態で満たさせるべき性質は, 仕様もしくは設計で規定されるものとする. 状態遷移に対しては, 状態を遷移する条件 ( イベント ) と, イベントが発生して状態が遷移する際に実行される処理 ( アクション ) が規定されるものとする. アクションとして複数の処理が規定される場合には, それらの実行順番が変わってもシステムとして正しく動作するものとする.SAHSTD の手順は, 以下の様に行われる. (1) 想定できるグローバル影響 ( 逸脱によるシステム全体, もしくはシステム利用者に対する影響 ) と深刻度 ( 深刻さを示す評価値 ) の定義 (2) 上位の状態に対する分析 (3) 上位の状態遷移に対する分析 (4) 下位の状態に対する分析 (5) 下位の状態遷移に対する分析 (6)(2) から (5) の分析をしながら, 未定義のグローバル影響を追加 SAHSTD では, 上位と下位の状態遷移図に記述された, 状態遷移図に対する逸脱の 分析を, システム状態に対する分析と, 状態遷移に対する分析の 2 段階で逸脱を分析する. 分析を 2 段階に分ける理由は, システムがある状態に留まっている状況と, イベントが発生した際にシステムが取りうる振る舞いとで逸脱の性質が異なるため, 異なる視点から逸脱を分析する必要があるからである. 分析者が逸脱を列挙することを補助するために, 表 1 と表 2 に示すガイドワードと属性を分析の各段階で使用する. これらのガイドワードと属性は, より多くの状態遷移図に適用できるよう定めたが, 分析対象のシステムによっては, これら以外のガイドワードを定めて分析する方が, より分析し易くなることもあると思われる. 状態に対する分析では, 表 1 に示すガイドワードと属性の組み合わせから逸脱を考える. ここで分析するのは, システムがある状態に留まっている間に, 常に満たすべき性質からの逸脱と, 状態遷移の発生するイベントが発生していないにもかかわらず状態が遷移してしまうという, 状態遷移条件からの逸脱である. 次に, 状態遷移に対する分析では, 表 2 に示すガイドワードと属性の組み合わせから逸脱を考える. ここで分析するのは, 状態遷移における遷移先の状態が仕様と異なる逸脱や, 状態遷移のタイミングに関する逸脱, さらに, 正しい状態に遷移した後に実行されるアクション 表 1 状態に対するガイドワード Table 1 Guidewords for derivation of deviations on states. ガイドワード属性解釈 Value 値が正しくない More Transition イベントが発生していないにも関わらず, 状態が遷移する表 2 状態遷移に対するガイドワード Table 2 Guidewords for derivation of deviations on state transitions. ガイドワード属性解釈 No Incorrect Early Late More Incorrect Missing イベントは正しく検出できたが, 状態が遷移せず, 実行されるべきアクションが, すべて実行されない Transition 間違った状態に遷移し, 実行されるべきではないアクションが実行される想定したタイミングより早く状態が遷移し, 実行されるべきアクションが実行される想定したタイミングより遅く状態が遷移し, 実行されるべきアクションが実行される正しい状態に遷移し, 実行されるべきアクションはすべて正常に実行するが, 余分なアクションも実行されてしまう正しい状態に遷移するが, 実行されるべきアクションの代わりに, 本来実行されない Action アクションが実行される正しい状態に遷移するが, 実行されるべきアクションのうち, 実行されないアクションが存在する 2 c2012 Information Processing Society of Japan

に関する逸脱である. 3.3 分析項目 SAHSTD では,1 つの逸脱に対して 8 つの項目を順番に考えながら分析シートを作成する.1 つ目は, 逸脱を識別するための ID 番号である.2 つ目は, 分析対象である仕様, もしくは設計の記述である. 状態に対する分析では, 状態において満たすべき性質を, 状態遷移に対する分析では, 状態遷移に関する仕様, もしくは設計を記述する.3 つ目は, 前節で述べた分析手法を適用して列挙した逸脱の内容を, ガイドワードと属性と共に記述する.4 つ目のローカル影響は, 逸脱によるシステム内部動作への影響を記述する.5 つ目のグローバル影響は, 逸脱によるシステム全体, もしくはシステム利用者に対する影響を, ローカル影響から連鎖的に分析する.6 つ目の深刻度は, グローバル影響の深刻さを示す評価値である. 安全分析の前もしくは進める中で, システムの利用状況とグローバル影響を考慮してシステム開発者が決定する. 深刻度の決定においては, システムとして許容できるかどうかを, システムに求められる安全性, コスト制約などを踏まえて定義する必要がある.7 つ目の原因には, 逸脱が発生した原因として, ハードウェア, ソフトウェア, もしくはその両方に関連する原因を記述する.8 つ目の対策は, 逸脱の発生そのものを防ぐ対策, もしくは逸脱の発生を許容してその深刻度を低減するための対策を記述する. ソフトウェアとハードウェアの両方が含まれるシステムにおいては, 危害の発生確率を明確に算出することが困難である. 本論文では, 発生確率の大小に関わらず, すべての逸脱を列挙し, 危害の発生を許容できるかどうかを判断する際には, 深刻度のみを用いることにする. また, 許容できない深刻度をもつ逸脱に対してのみ, 原因分析と対策検討を実施するものとする. < 上位 > (H.1) コンセントを接続すると, アイドル状態になる. (H.2) アイドル状態で, 沸騰要求 ( 蓋センサー on) すると, 沸騰行為状態になる. (H.3) 沸騰行為状態で, 沸騰処理完了すると, 保温行為状態になる. (H.4) 保温行為状態で, 沸騰要求する ( 沸騰ボタン 100msec 以上押す ) と, 沸騰行為状態になる. (H.5) 沸騰行為状態で, エラーを検知すると, エラー状態になる. (H.6) 保温行為状態で, エラーを検知すると, エラー状態になる. (H.7) 沸騰行為状態で, 温度制御停止すると, アイドル状態になる. (H.8) 保温行為状態で, 温度制御停止すると, アイドル状態になる. < 下位 ( 沸騰行為状態 )> < 下位 ( 保温行為状態 )> (L.h.1) 沸騰要求すると, 加熱中状態になる. (L.k.1) 沸騰処理完了すると, 保温中状態になる. (L.h.2) 加熱中状態で, 沸点到達すると, カルキ抜き中状態になる. (L.h.3) 加熱中状態で, エラーを検知すると, エラー状態になる. (L.h.4) 加熱中状態で, 温度制御停止すると, アイドル状態になる. (L.h.5) カルキ抜き中状態で, エラーを検知すると, エラー状態になる. (L.h.6) カルキ抜き中状態で, 温度制御停止するとアイドル状態になる. (L.h.7) カルキ抜き中状態で, 沸騰処理完了すると保温行為状態になる. (L.k.2) 保温中状態で, 給湯要求すると, 給湯中状態になる. (L.k.3) 給湯中状態で, 給湯要求解除すると, 保温中状態になる. (L.k.4) 保温中状態で, エラーを検知すると, エラー状態になる. (L.k.5) 保温中状態で, 温度制御停止すると, アイドル状態になる. (L.k.6) 給湯中状態で, エラーを検知すると, エラー状態になる. (L.k.7) 給湯中状態で, 温度制御停止すると, アイドル状態になる. (L.k.8) 保温中状態で, 沸騰要求すると, 沸騰行為状態になる. 図 1 話題沸騰ポットのシステム仕様 Figure 1 System specification of the electric boiling pot. 4. 適用事例 4.1 話題沸騰ポットの概要話題沸騰ポットは, お湯を設定した温度まで加熱する機能をもつ架空の機器である. 話題沸騰ポットの内部には, ポンプ, ヒータ, 蓋センサ, 水位センサなどが接続されている. 話題沸騰ポットの上位と下位のシステム仕様を図 1 に示す. このシステム仕様から, 図 2 で示す階層型状態遷移図を作成する. 4.2 グローバル影響と深刻度の定義話題沸騰ポットにおけるグローバル影響とその深刻度を, 作業者の安全性とお湯の状態の観点から, 表 3 のように定義した. 作業者の安全性を確保するためにもっとも避けるべき状況は, お湯が入っていない状況で加熱が開始され ( 空焚きと呼ぶ ), ポット全体が非常に高温になり, 作業者がボタンを操作する際に触れて, やけどを負う状況であると考え, このときの深刻度を最も高い 9 とした. 次に避けるべきなのは, ロ Figure 2 図 2 話題沸騰ポットの階層型状態遷移図 Hierarchical state transition diagram of the electric boiling pot. 3 c2012 Information Processing Society of Japan

ック中で, 給湯ボタンを押していないのにも関わらず, 高温のお湯が出てしまう状況で, 深刻度を 7 とした. 深刻度が 6 以降は, 作業者の安全は確保されるが, お湯の状態に問題が発生する. 設定された温度のお湯を正しく給湯できる好ましい状況の深刻度は 0 とした. なお今回の分析では, 沸騰していない場合のお湯の温度は, やけどをしない低温であると仮定している. 深刻度の定義においては, グローバル影響の相対的な関係を明確にして, システムとして許容できる危害の範囲を明確にすることが重要である. したがって, 深刻度の絶対値には特別な意味はない. 4.3 安全分析の方針話題沸騰ポットに求められる安全性は, システムがどんな誤動作をしても作業者がやけどしないことを保障することと, 作業者がボタンを押していないのに, お湯がでることを防ぐ機能をもつことである. そこで, システムとして許容できる深刻度は 5 以下であるとした. 安全分析の結果,6 以上の深刻度をもつ危害を発生させる逸脱に対しては,5 以下に低減する対策を検討する. 本論文では, 安全分析を実施するにあたり,3 つの前提をおく.1 つ目は, 作業者の操作ミスは考慮しないことである. 現実的な安全分析においては, 作業者の操作ミスを考慮する必要があるが, 分析の範囲を限定するため, システムの逸脱のみを分析 作業者の安全性 表 3 グローバル影響と深刻度の定義 Table 3 Definitions of global effects and severities. グローバル影響定義 お湯の状態 やけどする 空焚きになる お湯が蒸発し, サーミスタが 110 を越える 9 やけどする 沸騰したお湯がでる ロック中状態で, ボタンを押していないのに, 高温の 8 お湯がでる やけどする 沸騰したお湯がでる ロック解除状態で, ボタンを押していないのに, 高温 7 のお湯がでる やけどしない 沸騰していないお湯がでる ロック中とロック解除状態で, ボタンを押していない 6 のに, 低温のお湯がでる やけどしない 沸騰されない 保温状態から沸騰したいけど, 沸騰できない 5 やけどしない 設定された温度になったけお湯がでない 4 ど, 給湯できない やけどしない 沸騰されない / 保温されない作業者の意思で沸騰 / 保温を中止する 3 やけどしない 沸騰されない / 保温されないお湯は入っている 2 やけどしない 沸騰される カルキ抜きが十分に抜かれないまま保温になる 1 やけどしない 沸騰完了する 設定された温度のお湯を給湯できる 0 深刻度 する.2 つ目は, 多重故障 ( 同時に発生する 2 つ以上の原因により発生する故障 ) は, 発生確率が十分低いと想定して考慮しないことである.3 つ目は, 分析する状態遷移図は, システムの仕様書と設計書から, 漏れなく作成されていることである. 今回の事例では, 表 2 で,Incorrect transition は, 矢印の方向に関係なく線が繋がっている部分のみを考える. また,More action は, 全てのアクションで, 同一の装置を操作しているので考える必要はない. 4.4 SAHSTD による分析話題沸騰ポットのシステム仕様に対して SAHSTD を適用した結果を述べる. 階層型状態遷移図における 1 つの逸脱に対して深刻度を決定する分析のパターンは, 図 3 に示す 4 つに分類できる. a の 12 番 No transition アイドル状態で, 沸騰要求したが, 沸騰行為状態に遷移しない は, 上位のアイドル状態の分析だけで, 深刻度を判断できる.b の 47 番 No transition カルキ抜き中状態で, 沸騰処理完了しても, 保温行為状態に遷移しない は, 下位のカルキ抜き中状態の分析だけで, 深刻度を判断できる.c は, 上位の分析において深刻度を判断する際に, 下位の分析結果を参照するパターンである. 上位と下位の状態遷移に対する分析で, 赤 4,5,6 番と青 15 番の点線は上位から下位の分析結果を参照する部分を示している. 保温行為状態の正しい性質は 沸騰ランプ :OFF a. 上位のみ分析 b. 下位のみ分析 c. 上位から下位の分析結果を参照 4 c2012 Information Processing Society of Japan

Figure 4 a. 上位の状態 b. 下位の状態図 4 重複した分析の例 An example of duplicate analysis between a higher state and a lower state. d. 下位から上位の分析結果を参照図 3 SAHSTD の分析パターン Figure 3 Analysis patterns of SAHSTD. 保温ランプ :ON, ヒータ :ON, ポンプ : 下位 ( 保温行為 ) である. ポンプの状態は, 保温行為状態の下位状態に対する分析結果を参照しないと深刻度を判断することができない. 赤の点線は, ポンプが閉めていて, 青の点線はポンプが開いている.d は, 下位の分析において深刻度を判断する際に, 上位の分析結果を参照するパターンである. 上位と下位の状態遷移に対する分析で, 赤と青の点線は下位から上位の分析結果を参照する部分を示している. 下位 48 番 Incorrect transition カルキ抜き中状態で, 沸騰処理完了すると, アイドル状態になる では, 上位 19 番 沸騰行為状態で, 沸騰処理完了すると, アイドル状態になる の分析結果を参照することで深刻度を決定できる.49 番も同様に, 上位 20 番の分析結果を参照する. 図 4 は, 上位の状態遷移図の沸騰行為状態に対して分析した結果と沸騰行為状態の下位の状態である加熱中状態に対して分析した結果である. どちらの分析においても同一の逸脱を分析しており, 重複した分析である. どちらの状態で満たされる性質も 沸騰ランプ ON, 保温ランプ OFF, ヒータ ON, ポンプ閉 という性質が共通であるため, このような場合には上位の分析だけで十分であり, 下位の分析を省略しても良いと考えられる. ただし, 上位と下位の状態で満たされる性質が異なる場合は, 上位と下位の分析を別々に行う必要がある. 4.5 SASTD と SAHSTD の分析結果の比較話題沸騰ポットに対して SASTD と SAHSTD を実施した結果を比較する. まず, 深 刻な危害をもたらす逸脱の分析結果は全て同じであることから,SASTD で分析可能な逸脱は,SAHSTD でも分析可能であることを確認した. 次に,SASTD と SAHSTD の分析数を表 4 と表 5 に示す.SAHSTD の分析数は, 上位の分析数と下位の分析数に分けて示している. 上位で分析済み は, 下位で分析した数のうち, 上位の分析で既に同一の分析を実施している数を示している. 下位の分析を参照 は, 上位 ( 沸騰行為状態と保温行為状態 ) の分析において, 下位の分析結果を参照することで深刻度を判断した数である. 本質的な分析数 は, 全ての分析数から, 上位で分析済み の数と 下位の分析を参照 の数を除いた, 深刻度を純粋に決定した分析数である. 状態に対する分析では,SASTD は 72 個,SAHSTD は全体で 92 個の分析を行ったが本質的な分析数は 61 個であった. 状態遷移に対する分析では, SASTD は 215 個であるのに対して,SAHSTD は全体で 284 個の分析を行ったが, 本質的な分析数は 134 個であった. 今回の事例では, SAHSTD の分析において, 上位と下位で重複する分析を省略し, さらに, 上位の分析において, 下位の分析結果を参照することで分析の重複を防ぐことにより,SASTD よりも本質的に必要な分析数を減らすことができた. このことは, 1 つの状態遷移図において満たすべき性質が同じである複数の状態を, 階層型状態遷移図で階層化することで, 重複した分析をなくすことができることを意味する. 5. おわりに 本論文では, 階層型状態遷移図に基づく安全分析手法 SAHSTD を提案した. 状態遷移図を階層化することで,1 つの状態遷移図に含まれる状態数を減らすことで分析の負担を軽減できる. さらに, 適用事例において, 上位と下位の分析で重複した分析をなくすことで,SASTD に比べて分析数を削減できることを明らかにした. 従って,1 つの状態遷移図を対象にする SASTD より分析が容易になったといえる. ただし, 組 5 c2012 Information Processing Society of Japan

込みシステムの安全分析において, 分析の網羅性をより向上させるためには, SAHSTD と複数の安全分析手法を組み合わせて適用することが望ましいと考えられる. 今後の課題としては, 話題沸騰ポットに適した安全機能の検討や, 並列に動作する 2 つの状態遷移が存在するシステムに対する安全分析手法を検討する. 表 4 状態に対する分析結果 Table 4 Analysis results for system states. SASTD 上位 SAHSTD 下位 上位で分析済み下位の分析を参照本質的な分析数 アイドル 8 8 8 エラー 7 7 7 沸騰行為 10 1 9 保温行為 10 7 3 加熱中 10 10 9 1 カルキ抜き中 10 10 9 1 保温中 19 19 3 16 給湯中 18 18 2 16 合計 72 92 23 8 61 表 5 状態遷移に対する分析結果 Table 5 Analysis results for state transitions of the system. SASTD SAHSTD 上位 下位 上位で分析済み下位の分析を参照本質的な分析数 コンセント アイドル 10 11 11 アイドル 沸騰行為 11 11 アイドル 加熱中 13 沸騰行為 保温行為 12 12 保温行為 沸騰行為 12 12 沸騰行為 エラー 12 12 カルキ抜き中 保温中 13 保温中 加熱中 15 保温行為 エラー 12 12 0 沸騰行為 アイドル 12 12 保温行為 アイドル 12 12 0 保温行為 加熱中 12 7 5 加熱中 カルキ抜き中 14 13 0 13 加熱中 アイドル 14 13 11 2 カルキ抜き中 アイドル 13 13 11 2 加熱中 エラー 13 13 11 2 カルキ抜き中 エラー 13 13 11 2 カルキ抜き中 保温行為 13 11 2 沸騰行為 保温中 12 11 1 保温中 沸騰行為 13 11 2 保温中 給湯中 15 13 0 13 給湯中 保温中 13 12 0 12 保温中 アイドル 15 13 11 2 給湯中 アイドル 13 12 10 2 保温中 エラー 15 13 11 2 給湯中 エラー 13 12 10 2 合計 215 284 126 24 134 参考文献 1) 経済産業省, 組込みソフトウェア産業実態調査 : プロジェクト責任者向け調査,2010. 2) N.G. Leveson, Failure Mode and Effect Analysis, Safeware: System Safety and Computers, pp.317-326, Addison-Wesley, 1995. 3) R.Lutz and M.Woodhouse, Experience Report: Contributions of SFMEA to Requirements Analysis, IEEE International Conference on Requirements Engineering, 1999. 4) N.G. Leveson, Hazards and Operability Analysis, Safeware: System Safety and Computers, pp.335-341, Addison-Wesley, 1995. 5) D. J. Pumfrey, The Principled Design of Computer System Safety Analyses, PhD Thesis, York University, 1999. 6) 金周慧, 松原豊, 高田広章, 状態遷移図に着目した安全分析手法, 電子情報通信学会論文誌 A, Vol.J95-A,No.2, Feb 2012. 7) SESSAME, 話題沸騰ポット (GOMA-1015 型 ) 要求仕様書第 7 版 8) N.G. Leveson, J.L. Stolzy, Safety Analysis Using Petri Nets, IEEE Transactions on Software Engineering, Vol. SE-13, No. 3, pp. 386-397,The Institute of Electrical and Electronics Engineers, 1987. 9) N.G. Leveson, The SpecTRM-RL language, 1998. 10) T. Ishimatsu, N. Leveson, J. Thomas, M. Katahira, Y. Miyamoto, H. Nakao, Modeling and Hazard Analysis using STPA, 4th IAASS Conference, 2010. 6 c2012 Information Processing Society of Japan

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック