2022 Fiscal Year Research-status Report
A safety analysis method for software including black box part, such as machine learning software
| Project/Area Number |
22K04616
|
|---|
| Research Institution | University of Yamanashi |
|---|
Principal Investigator |
高橋 正和 山梨大学, 大学院総合研究部, 教授 (20403446)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
渡辺 喜道 山梨大学, 大学院総合研究部, 教授 (00210964)
|
|---|
| Project Period (FY) |
2022-04-01 – 2025-03-31
|
| Keywords | ハザード / ハザード解析 / STPA / Structured STPA (SSTPA) / 安全性 |
|---|
| Outline of Annual Research Achievements |
令和4年度は、システム構成要素間の相互作用により発生するハザードの原因を分析するための安全性解析手法であるSystem-Theoretic Process Analysis(STPA)を、組込みシステムの安全性解析に適用するための方法について研究した.なお、本研究ではハザードとは、それを放置するとアクシデント(人、システム自体、環境等に悪影響がある状況)となる状態と定義する.一般的にSTPAはシステム開発の上流工程で使用される手法であるため、組込みシステムのような多数のシステム構成要素(ハードウェア、ソフトウェア、使用者等.以降、コンポーネントと呼ぶ.)が関連する複雑な構成のシステムの安全性解析には適していなかった.本研究では、既存のSTPAに対して、以下の機能を追加したStructured STPA(SSTPA)を提案した.
(1)階層的にシステム構成要素を記述する方法(Structured Control Structure Diagram: SCSD)
(2)個々のシステム構成要素の挙動を明確に定義する方法(組合型構成要素、順次型構成要素、結合型構成要素)
(3)ハザードを生じさせる制御信号を起点にSCSDで記述されたシステムの挙動を逆追跡することでハザードの原因を明らかにする方法
SSTPAを列車の踏切制御システムの安全性解析に適用し、手法の評価を行った.評価の結果、従来のSTPAに比べて、より詳細なハザードの発生原因を明らかにできることが分かった.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
令和4年度は複雑なコンポーネント構成を有するシステムのコンポーネント間の相互作用に起因するハザードの要因を明らかにするSSTPA手法を提案した.そして、SSTPAの有効性を確認した.
今までに提案してきたハザード解析手法(Failure Mode and Effects Analysis: FMEA, Fault Tree Analysis: FTA, Hazard and Operability Study: HAZOP)とSSTPAを併せて、システムのハザードの要因を分析するための手法群がそろった.これらの手法を組合せてハザード解析を実施することにより、複雑なコンポーネント構造を有するシステムに発生するハザード、ハザードの要因を系統的、かつ、網羅的に検出することができるようになった.これにより適切なハザード対策を提案できるようになった.これらの結果として、網羅的なハザード対策を備えたシステムを開発できるようになり、システムの安全性を向上させることができるようになった.
|
| Strategy for Future Research Activity |
現在までの研究により、コンポーネントの内部構造が明確となっているシステムに対するハザード解析が実現できるようになった.なお、本研究では、内部構造が明確とは、コンポーネントの入出力関係が数式やアルゴリズムで記述できることと定義する.
しかし、近年ではシステムを構成するコンポーネントの中に機械学習等によって得られた内部構造が明確となっていないコンポーネントを含んだシステムも開発されるようになってきた(例えば自動運転車等.実際に内部構造が明確となっていないコンポーネントのハザードにより事故が発生している).ここで、内部構造が明確となっていないとは、コンポーネントの入出力関係が明確に定義できないうえに、一定の割合以下の誤った出力を許容するコンポーネントと定義する.
今後はシステムを構成するコンポーネントの一部に内部構造が明確となっていないコンポーネントを含むシステムのハザード解析手法について研究する.このようなシステムがハザードを発生しないようにするためには、内部構造が明確なコンポーネントで内部構造が明確となっていないコンポーネントの出力を監視する、内部構造が明確となっていないコンポーネントの出力に安全マージンを持たせる、同一機能を有する異なったコンポーネントにより出力の多数決を行う等の方法が考えられる.今後は、このような方法について研究していく.
|
| Causes of Carryover |
令和4年度は、新型コロナウィルスの影響で外国で開催される国際会議に参加できなかったため、学内において学部の学科長、大学院のコース長を任されたために研究時間が不足したため等の理由により当該助成金の次年度使用が発生した.ただし、研究全体としては大きな遅れはない.
令和5年度は、予定の研究を確実に遂行するともに、外国で開催される国際会議等に参加して最新の技術動向を収集する予定である.
|
