安全性解析手法STAMP/STPAセミナー@大阪 に
行ってきました。
すいません、遅れて入っていって。
主な配布物
以下に公開されている資料を書籍でいただきました。ありがとうございます。
https://www.ipa.go.jp/sec/reports/20160428.html
https://www.ipa.go.jp/sec/reports/20170324.html
あと、講演内容の資料も。
以下、その時の記録メモ。
STAMP/STPAって何?
いただいた資料『はじめてのSTAMP/STPA』の「はじめに」に、
- STAMP : Systems-Theoretic Accident Model and Processes
- STPA : System-Theoretic Process Analysis
とあります。
あれ?前者はシステムが複数、後者はシステムが単数。
まあ、誤記かなぁ?まあいいや。
先にすすんで、2ページ目「1.1.アクシデントモデル STAMP」にも説明がありました。
「STAMP(Systems-Theoretic Accident Model and Process):システム理論に基づくアクシデントモデル」
とあります。
あれ?英語の"and Process"はどこいった?
システム理論とは、一般システム理論 のことなんでしょうか?
ともかく、ここで重要そうなのは、
「制御する側(コントローラー)のプロセスモデルが、制御される側(被コントロールプロセス)の状態を正しく反映できていない」⇒「制御する側(コントローラー)が不適切なコントロールアクションを起こしてしまう」 ということのようですね。
確かにそうかも。
で、3ページ目「1.2.安全解析手法 STPA」の説明を読んでみます。
Leveson教授が提唱したSTPA(STAMP based Process Analysis) ???
あれ?さっきと違う。「STAMPに基づいたプロセス解析」ってなっていますね。
どちらが正しいんでしょうか?どちらにせよ、プロセス解析をする方法のようですね。
Step 0:(準備1)アクシデント、ハザード、安全制約の識別
Step 0:(準備2)コントロールストラクチャーの構築
Step 1:非安全なコントロールアクション(UCA)の抽出
Step 2:ハザード要因(HCF)の特定
これってプロセス解析の手順とはあんまり思えないなぁ。
ちょい疑問がわいてきました。
STAMP/STPAの個人的な理解と見解(現時点)
いまのところ、STPAは、STAMP based Process Analysisの方がしっくりきています。(後日ちゃんと調べてみたい。)
まあ、どちらにせよ、プロセスを分析する手法なんですよね。たぶん。
そして、STAMPとSTPAの関係性は、
STAMPで問題定義されている 「制御する側(コントローラー)のプロセスモデルが、制御される側(被コントロールプロセス)の状態を正しく反映できていない」⇒「制御する側(コントローラー)が不適切なコントロールアクションを起こしてしまう」 を、STPAで分析することで要求分析の時点でシステムに対する要求として安全性を担保しようということなんじゃないかなぁ?
でも、ここでのプロセスってなんなんだろう?
もしかすると、プロセス=シナリオって、捉えてみると少ししっくりきた。
プロセス分析(ここではSTPA)した結果は、HCF⇒UCAの起こるシナリオがたくさん記述できる。
STAMPに記述のある被コントロールプロセス(Controlled Process)も、
それを模したプロセスモデル(Process Model)もシナリオの塊と捉えるといいのかな?
或る意味、ふるまいと捉えてもいいのかもしれない。
たくさんの人が受講していたので、みなさんどのように捉えてみられていたのだろうか?