Comments
Description
Transcript
組込みシステムの安全解析と障害原因診断の統合アプローチ
組込みシステムの安全解析と 障害原因診断の統合アプローチ 2015年11月19日 会津大学 コンピュータ理工学部 教授 兼本 茂 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 1 背景 Sec-Seminar(2015.6.18) Lecture by Nancy Leveson 2 背景 Sec-Seminar(2015.6.18) Lecture by Nancy Leveson 現代の複雑システムでは、ソフトウェアが安全性とセキュリティを コントロールしている。 →どうすればソフトウェアの信頼性を担保できるか? (1)新しいシステム安全・セキュリティ解析法 STAMP (2)Safety Critical SoftwareのV&Vの充実 独立V&V+事後V&V 3 IPA・SECの対応体制 製品・制御システム 高信頼性化部会 障害原因 診断WG • • • • 事後V&Vの確立 診断手法検討、確立 要素技術の実践 まとめ システム安全性 解析手法WG • 手法の調査、検討 • STAMP/STPA実践 • 手法提案 • 方針決定 • ステアリング 未然防止知識WG • 類似障害未然防止の 知見集積、分析 • 教訓集まとめ • 普及、展開 4 障害原因診断WG 体制 ミッション 大規模・複雑なシステムにおいて発生する障害に対して、人間とシステムや システム間相互作用に起因する複合原因を迅速かつ的確に診断する手法を 「事後V&V 」手順としてまとめる WGメンバー表 名 前(50音順) 兼本 茂 勤 務 先(略称) 会津大学 教授 副主査 金田 光範 都立産業技術研究センター 産学公連携コーディネータ(JASA) 委員 青木 利晃 北陸先端大 准教授 委員 漆原 憲博 (株)ジェーエフピー 代表取締役社長(JASA) 委員 大原 衛 都立産業技術研究センター 情報技術グループ主任研究員 委員 岡野 浩三 信州大学 准教授 委員 委員 岡本 圭史 北道 淳司 仙台高専 会津大学 准教授 教授 委員 高村 博紀 (株)アトリエ(DEOS協会) 研究員(JASA) 委員 田渕 一成 Biz3(株) 情報技術グループ(JASA) 委員 中村 洋 (株)レンタコーチ 代表取締役(JASA) 三原、十山、石井 IPA/SEC 主査 役 職 5 システム安全性解析手法WG 体制 ミッション 人とソフトウェアを含む複雑なシステムの安全性解析に関して、システム理論に 基づく事故モデル(STAMP)およびその安全解析手法(STPA)に注目しつつ、我 が国のソフトウェア開発実態に即した手法を調査・検討する WGメンバー表 主査 名 前(50音順) 荒木 啓二郎 勤 務 先(略称) 九州大学 主幹教授 委員 大原 衛 都立産業技術研究センター 情報技術グループ主任研究員 委員 委員 岡本 圭史 川野 卓 仙台高専 JR東日本 准教授 次長 委員 日下部 茂 九州大学 准教授 委員 中村 洋 (株)レンタコーチ 代表取締役 委員 野本 秀樹 有人宇宙システム株式会社 グループリーダー JR東日本 主幹研究員 会津大学 教授 有人宇宙システム株式会社 主幹技師 福田 和人 委員 関連WG 兼本 茂 主査 オブザーバー 星野 伸行 三原、石井、十山 役 職 IPA/SEC 6 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 7 ソフトウェアV&V (情報システム用語事典より) 要求仕様レベルでのValidation 要求や機能の 抽象化・形式化 (可視化) 第三者による 独立V&V 事後V&V 設計の形式化 実装コードの自動解析 コーディングレベルでのVerification 8 (有人宇宙システム株式会社) 9 2014年度の主な成果 事後V&Vフレームワークの提案 モデルの階層的表現による理解 システム要求仕様のモデル化 システム機能のモデル化 STAMP 初動調査のガイドライン 組込み系の調査マニュアル ハザード分析 STAMP/STPA FTA、FMEA、 HAZOP 障害再現手法 (テストベッド) シミュレータによる模擬実行 故障注入 仮説生成 仮説検証 障害箇所特定 障害箇所特定・切り分け手法、ログ分析 ソフトウェア検証手法 (形式検証、モデル検査 ツール等の調査、適用) フィードバック 障害事例の分析・整理 STAMP/CASTによる体系的な解釈 教育コンテンツ 整理・データ ベース化 改善・水平展開 10 第三者によるV&Vができるのか? 定量的ハザード分析 FTA・ETAと故障率によるPRA(確率論的リスク評価) 安全解析コードによる予測(構造解析コードによる耐震性評価など) 課題1:故障率の確からしさ、境界条件の確からしさ 課題2:設計を熟知した専門家が必要 定性的ハザード分析 FTA・ETA・FMEA・HAZOP・CCA STAMP/STPA 課題1:ハザードにつながるかどうかの判定の難しさ(人へ依存) 課題2:定性的(抽象的)機能の表現法 多様性の大切さ(定性・定量の両面から見ることで見逃しを防 げる)←STAMPへの期待 11 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 12 STAMPの前提:安全工学の新しい考え方 システムや構成要素の信頼性を上げることが安全性向上につながる 高い信頼性は安全にとって必要でも十分でもない。各構成要素の挙動は正しくても、構成要 素間のコミュニケーションエラーで事故は起こる イベントチェーンを基にした確率的リスク分析は安全性や危険性の情報を評価し伝達す るためにもっともよい方法である 危険性と安全性は確率的リスク分析以外の方法で最も理解でき、伝達されやすいことがある ほとんどの事故はオペレータの間違いによって起こされる。安全行動を賞し、危険行動を 罰することは事故を大きく減らす オペレータの間違いは、それを引き起こす環境の産物である。オペレータの間違いを減らすた めにはオペレータが働く環境を変えなければならない 信頼性の高いソフトウェアは安全である 信頼性の高いソフトウェアは必ずしも安全ではない。ソフトウェアの信頼性の増加は安全性に 最小限の影響しか与えない 責任の所在を明らかにし、叱責することは事故や事件について学び、それらを避けるこ とに必要である。 非難は安全性の敵である。全体としてシステムのふるまいがどのように失敗に寄与したか理 解することに集中すべきであり、その責任をだれや何に課するかではない 13 新しい事故モデルSTAMPの目標 旧来のコンポーネント故障の解析を越えて、 複雑なソフトウェアや人間 の役割まで扱える新しいハザード解析とリスク評価法を提供する ヒューマンエラーを事故の直接原因として責任追及をするのではなく、ヒ ューマンエラーを作り出すメカニズム(行動形成要因)に焦点を当てる 運転員、管理者、規制などの様々な視点から、事故に至るプロセスの欠 陥を分析する。 事故に至る直接的なイベント(事象)や条件だけでなく、時間の経過とと もに起こる変化や適応の履歴に着目して、事故原因を追求する 14 複雑システムの安全性とセキュリティ:創発特性 Emergent properties (arise from complex interactions) Emergent Property: “The whole is greater than the sum of the parts” Process サブシステム サブシステム 複雑な相互作用に 起因する創発的特性 人 組織 外部環境 サブシステム Process components interact in direct and indirect ways Safety and security are emergent properties 15 複雑システムの安全性とセキュリティ:創発特性 Emergent properties (arise from complex interactions) システム全体の 安全制約 想定外事象 による安全制約の乱れ 創発的特性 コンポーネントの安全制約の和 ≠ システム全体の安全制約 コンポーネントの 安全制約 Safety and security are emergent properties 16 複雑システムの安全性とセキュリティの制御 (例) Controlling emergent properties 航空機の制御目標 (e.g., enforcing safety constraints) 安全性 Individual component behavior 運行効率 Component interactions 生産効率 品質(Quality) Control Actions Feedback etc. Controller Process Process components interact in direct and indirect ways 17 STAMPとは? STAMP (システム理論に基づく事故モデル):Explanatory Model System-Theoretic Accident Model and Processes Three basic constructs: (1) Safety constraints, (2) hierarchical safety control structure, (3) process models STPA (STAMPによる安全解析法) System-Theoretic Process Analysis CAST (STAMPによる事故分析法) Causal Analysis based on STAMP 対象システムを抽象化、 階層化した制御構造図と 安全制約で、その安全制 御構造を理解する 現在の複雑な組込みシステムでは、ソフト ウェアや人間・組織を含むサブシステムやコ ンポーネントで構成されており、そこに不具 合がなくとも,サブシステムやコンポーネント の相互作用によってハザードが発生する。 従って、従来型のリスク分析手法では限界 がある。 18 STAMP/STPAの手順 Step-0:制御構造図とアクシデント・ハザード・安全制約の 定義。抽象的な機能に着目してトップダウンで階層的な 制御モデル、プロセスモデルを作成 Step-1:四つのガイドワードを用いて非安全制御行為( UCA:Unsafe Control Action)を抽出 (1)Not Provided、(2)Incorrectly Provided、(3)Provided Too Early, Too Late, or Out of Sequence、(4)Stopped Too Soon, Too Late Step-2:Control Loopのガイドワードを用いて、UCAごとに 、ハザード誘発要因(HCF:Hazard Causal Factor)を分析 し、ハザードシナリオを導出 Step-3:安全制約の識別:HCFを制御・除去するためのコ ンポーネント安全制約を明示化する 19 4つのUnsafe Control Action(UCA) 1. Not providing 安全のためのコントロールアクションが実行されない 2. Incorrectly Providing (Providing causes hazard) ハザードにつながる恐れのある、安全ではないコントロールア クションが実行される 3. Too early / Too Late / Wrong Order コントロールアクションのタイミングが遅すぎる、早すぎる、また は定められた順序に実行されない 4. Stop too soon / Applying too long コントロールアクションがすぐに止まる、もしくは適用が長すぎ る 20 Unsafe Control Actionsの分類 (網羅的・排他的) 制御行動が not providing: 制御行動が行われない No 実施されたか Incorrectly providing (Providing causes hazard) 正しくない制御行動が行われる No Yes 正しいか incorrect Yes タイミングは incorrect timing/order: タイミングや順序が正しくない incorrect Correct stopped too soon/ applied too long: 早く止め過ぎるか長く続き過ぎる 持続時間は 抜けのないハザードシナリオの 発想のために、直観的で誤解 のないガイドワードであるべき providing: 適切な制御行動を提供 Correct 21 事故事例(1) 失敗実事例が、STAMPガイドワードで解釈できるか? 湘南モノレール衝突事故 西鎌倉駅で運転員のブレーキが効かず、停車できずに設置された分岐器に衝 突して停止(Not Providing) 原因は、ノイズによる割り込み禁止のソフトウェアバグで、運転員のブレーキ操 作を無視。ブレーキ操作が提供されなかったということで、 Not Providing 駒場ダム異常放水 保守後の水位設定ミス(ソフトウェアバグ)でゲートが開き異常放水(Providing causes Hazard/Incorrectly Providing) 本来、設定水位を大きく越えたとき、ダムの防護のために放水すべきところを、 設定水位が異常に小さく設定され、通常水位で放水された。制御行動が不必要 な状況で出されたということで、Incorrectly Providingとみなせる。 遠隔再起動不可の故障は、Not Providing シンドラーエレベータ挟まれ事故 ドア開の状態でエレベータが動作し、挟まれ事故が発生 制御アクションを、「ドア閉&エレベータ動作」とすると、Not Providing(ドア閉が 実行されない)となる。 複数の制御アクションの場合、一部または全部が提供されたり、されなかったり という場合を考えないといけないので考えにくくなる。主な制御動作(エレベータ 動作)と、その条件(ドア閉)という考え方の方が考えやすいかもしれない。この 場合は、動くべきでない時に動いたと解釈できる (Providing causes Hazard/Incorrectly Providing) 22 事故事例(2) 失敗実事例が、STAMPガイドワードで解釈できるか? 蓼科ロープウェイのゴンドラの壁衝突事故(1992) 山麓運転員が到着時の運転レバーを逆転操作、同時に、保守員のミ スによる停止命令操作が重なって、制御コンピュータロックで、ブレー キ不作動(Not Providing) 乗員、山麓運転員、山頂監視員が異常に気づいたが、手動で非常停 止スイッチを押せず、壁に衝突。(Not Providing) タイタニック号沈没(1912) 氷山接触によるリベットの低温脆性破壊(コンポーネント故障) 救命ボートの不足(景観のため数を制限)(Not Providing) リバティ船の破壊沈没(1942) 大量生産の輸送船の溶接構造(応力集中)のクラックで400隻/2700 隻が沈没(コンポーネント故障) 事例:中尾政之:失敗百選(森北出版)より 23 ハザード誘発要因(HCF) コントローラ 事故原因の大別(一般論) CF2:不十分な制御アルゴリズム • CF1:入力が危険である • CF2制御アルゴリズムが危 険である CF2:不適当な、効果のない、 紛失した制御行動 • CF3:プロセスモデルが矛 盾している、不安定、不正 確である 駆動装置 • CF6:その他、外部に影響さ れる、複数のコントローラ 同士の調整ミスや状況、環 境の違いが原因となること がある CF3:不十分な、紛失した フィードバック フィードバックの遅れ センサ CF4:不十分な計測 CF5:操作の遅れ 制御プロセス 他のコン トローラ コントローラが UCAを提供 CF3:プロセスモデル (生成の欠点、 プロセスの変化、 矛盾する 誤った修正や適合) 不完全 不正確 CF5:不十分な操作 • CF4:不十分な計測に基づく 制御 • CF5:駆動装置や制御対象 に欠陥がある CF1:制御入力や外部情報の 間違いや紛失 CF6:制御行動の競合 CF4:間違った情報 情報が送られない 測定値が不正確 フィードバックの遅れ CF5:構成要素の故障 時間経過による変化 CF6:プロセスの入力の 紛失、間違い CF6:プロセスの出力が システムハザードを導く CF6:未確認のまたは 範囲外の障害 コントローラは正しく指示したが、 その通りに動かなかった 24 第三者による事後・独立V&VでのSTAMPの利用 STAMPの長所 抽象的、階層的な制御構造図による、安全制御ロジックの可視化 安全制約(システム及びコンポーネント)の明示化 より少ない専門知識での分析(抽象的・定性的機能の理解による 分析が可能)、第三者検証に有利 安全制御ロジックをトップにした分析法 四つのUCA(不安全制御行動)ガイドとハザード誘発要因ガイドに よるハザードシナリオの作成の容易化 利用上の注意点 定性的判断の限界の理解 抽象化による具体的欠陥の見逃しの可能性 制御行動の外部環境条件への依存性の考慮 具体例による検証が大切 25 複雑システムの制御の課題 Controller 状況により矛盾する 安全制御行動 例: プラットフォーム以外 の線路上で列車のド アを開けるのは危険 しかし 緊急時にドアを開け ないのも危険 複雑システムの制御で は、Context依存での 制御行動の分析とハ ザード分析が課題 Controlling emergent properties (e.g., enforcing safety constraints) Individual component behavior Component interactions Control Actions Feedback Process Process components interact in direct and indirect ways 26 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 27 検証用テストベッド(化学プラントシミュレータ) 28 Step0: Accidents and Hazardsの定義 [Accident] Tank-1からの溢水(Water overflow) ここでは、Tank-2からの溢水は、アクシデントやハザードとは考 えない [Hazard] 水位が、アラームレベル(50cm)を超えた状態 29 Step0: 制御構造図の作成 30 Step1: ハザードシナリオとUCAの抽出 制御行動 Not providing causes hazard 緊急排水 をする UCA-G ハザードなし UCA-H UCA-I 緊急時に排水が (水位が下が 水位が高くなってか 水位が十分に下が 行われない る) ら排水が始められる り切っていないのに までの時間が長い 排水を中止する Providing causes hazard Incorrect Stopped Too Timing / Order Soon / Applied too long 31 Step2:ハザード誘発要因(HCF)の抽出 緊急排水失敗 G-2:排水命令が出されるが 排水弁に伝わらない H-2:排水命令が出されるが 排水弁に伝わるまでが遅い 運転員 (制御室) G-2:排水命令が出されない G-3:水位を間違って認識する H-2:排水命令が出されるのが遅い I-2:排水命令が勝手に中断される GHI-2:判定ロジックの間違い コントローラ 排水弁 G-5:排水命令を受け取った が排水弁が動作しない H-5:排水弁の動作の遅延 運転員 (現場) タンク G-6:人が排水弁を 間違って閉める G-6:人が排水弁を 手動で開けない G-1:人が排水命令を出さない G-1:人が排水命令を中止させる G-3:水位の状態についての フィードバックの紛失や間違い H-3:水位の状態についての フィードバックの遅れ 安全系水位 センサ G-4:水位が高くなったこと が検出されない H-4:水位が高くなったこと が遅れて検出される H-5:排水弁が開いてから水位が 下がるまで時間がかかる (排水弁の容量不足) 32 FTAの結果 33 STAMP/STPAによるHCFとFTAの比較 FTAの要因 STPAの要因 安全水位センサの故障 G-4:水位が高くなったことが検出されない H-4:水位が高くなったことが遅れて検出される アラーム判定の故障 GHI-2:判定ロジックの間違い コントローラの故障 G-2:排水命令が出されない G-3:水位を間違って認識する H-2:排水命令が出されるのが遅い I-2:排水命令が勝手に中断される(制御ロジックエラー) 人間による開の指示なし G-1:人が排水命令を出さない G-1:人が排水命令を中止させる G-6:人が排水弁を間違って閉める G-6:人が排水弁を手動で開けない 緊急排水弁の故障 G-5:排水命令を受け取ったが排水弁が動作しない H-5:排水弁の動作の遅延 H-5:排水弁が開いてから水位が下がるまで時間がかかる(排水弁の容量不足) その他(通信系) G-2:排水命令が出されるが排水弁に伝わらない H-2:排水命令が出されるが排水弁に伝わるまでが遅い G-3:水位の状態についてのフィードバックの紛失や間違い H-3:水位の状態についてのフィードバックの遅れ 34 Step0:制御構造図(MIT分析) Human operator Alert & Alarm Override the process Water levels at Tanks #1 and #2 Computer Open/close valves Plant Valve Positon Emergency Valves(EV1) 35 二つの制御構造図の比較 WG作成(2014) (水位の制御という視点で書い ている) (運転員の指示は強調してい ない) ナンシー先生が作成したもの (排水弁の制御という視点で書 いている) (運転員の指示を強調している) 分析者の視点で表現できる柔軟さがある 36 (Step 1) Unsafe Control Action Not providing causes hazard ComputerAction 給水弁(SV1)開と ドレン弁(EV1)閉 ComputerAction 給水弁(SV1)閉と ドレン弁(EV1)開 水位アラームレベル に達した際、コン ピュータが給水弁を 閉しない、または、ド レン弁を開しない (UCA1) HumanAccion 運転員の手動 操作の介入(コ ンピュータ指示 に優先) コンピュータ操作 が溢水を引き起こ しそうな時に、手 動操作で介入し ない(UCA3) Providing causes hazard Incorrect Timing / Order 水位アラームレベル 状態で、コンピュー タが給水弁開とドレ ン弁閉指示を出す (UCA1) 水位アラームレベル 以下になる前に、コ ンピュータが給水弁 開とドレン弁閉指示 を出す(UCA1) コンピュータが意 図通りに動いてい る時に、運転員が 介入して溢水を引 き起こす(UCA4) Stopped Too Soon / Applied too long 水位アラームレベル に達した後X秒以内 に、コンピュータが 給水弁を閉しない、 または、ドレン弁を 開しない(UCA1) コンピュータが給水 弁が完全に閉まる 前に指示をやめる、 または、ドレン弁が 完全に開く前に指示 をやめる(UCA2) コンピュータ操作 が溢水を引き起こ しそうな時に、手 動操作の介入が X秒以上遅れる (UCA3) 誤解により運転員 が緊急排水を中 断する、または、 給水を継続する (UCA5) 37 (Step 2) ハザード誘発要因(1) [UCA2] コンピュータが給水弁が完全に閉まる前に指示をやめる、ま たは、ドレン弁が完全に開く前に指示をやめる [Scenario 2-1] コンピュータはバルブ開閉信号を出したので、バルブは指示 どうりの状態にあると、コンピュータは思っている バルブの位置情報のフィードバックがないか、間違ってい たため、開き終わったと勘違いして、開閉指示をやめる 38 (Step 2)ハザード誘発要因(2) [UCA4] コンピュータが意図通りに動いている時に、運転員が介入して溢水を 引き起こす [Scenario 4-1] コンピュータが適切に制御しているのに、運転員がこれを不十分と誤解する 運転員への、水位に関する間違った情報提示、または、不適切な操作ガイドの 提示 コンピュータの動作に関する設計を理解していない [Scenario 4-2] 不注意によるコンピュータへの間違った操作介入 操作介入機能の設計ミス(間違えやすい設計) [Scenario 4-3] 運転員の意図的な操作介入(安全マージンを犠牲にした生産効率の向上など) 過負荷やノルマなどのプレッシャー 安全文化の不備 39 人間系も含めたHCF Guideword ⑪不適切な操作 ・対象機器の取り違え ・間違った操作 ・直接操作できない設計 ⑫不適切な状況把握 ・対象機器の取り違え ・状況認識の間違い Human operator ⑩不適切なフィードバック ・不適切な情報提示による間違い ・情報なし、認識遅れ ・他のタスクに気を取られ気づかない ①不適切な外部指示、条件 ・コンピュータの誤動作に気づかない ⑨不適切な指示 ・間違った指示、指示遅れ ・別の機器を操作 ・操作方法がわからない ②不適切な制御指示 ・不十分な制御ロジック ・不完全なプロセスモデル ・複数の指示の優先度ミス ・コンピュータの故障 ・操作者の介入を受け付けない ⑬不適切な指示、プレッシャー ・過負荷、ノルマの要求 ・安全文化の欠如 Computer ④不十分なフィードバック ・センサ不動作、遅れ、送信エラー ・計測プロセス不具合 ・不正確な計測 Sensor Actuator ③操作器の不具合 ・不動作、遅れ、受信エラー ・制御対象とのミスマッチ ⑦プロセスの不具合、劣化 Controlled Process ⑤プロセスへの入力の誤り、欠落 ⑧プロセスからの出力の誤り ⑥意図しない、または、範囲外の外乱 40 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 41 対象システム 安全解析対象システム 単線の駅中間踏切制御システム 駅 A C B 駅 踏切制御装置 A警報開始センサー B警報開始センサー C警報終止センサー 警報終止センサーは踏切の直近に一つある。 要求仕様(基本的な動き) i. ii. iii. iv. 警報開始センサー(A,B)で列車を検知すると踏切鳴動を開始させる 警報終止センサー(C)で列車を検知すると一定時間後に鳴動を終止させる AからCに向かうとき、Bをマスクする BからCに向かうとき、Aをマスクする 42 STEP0:アクシデント、ハザード、安全制約の識別 アクシデント(Loss) ハザード(Hazard) 安全制約(Safty Constraints) (A1)列車と人・車が (H1)列車が在線中に (SC1)列車が在線中は 踏切内で衝突する 踏切が閉まらない(警 踏切が閉まらなければ 報が鳴らない) ならない (A1)列車と人・車が (H2)踏切遮断後、列 (SC2)列車が在線中は 踏切内で衝突する 車が在線中に踏切が 踏切が開いてはならな 開く(警報が鳴り止む) い 踏切が開かず、交 通が渋滞する 列車が不在なのに踏 列車が不在ならば踏切 切が閉まる(警報が鳴 を閉じない りだす) 踏切が開かず、交 通が渋滞する 列車が通過したのに 踏切が開かない(警 報が鳴り止まない) 列車が通過したら踏切 を開ける 在線の定義:AからC、BからCの間に列車がいる 43 STEP0:安全制御構造図の作成 ・到達 ・通過中 ・通過 レール上の物体 (列車に限らない) 開始センサーA 終止センサーC 開始センサーB ・不在を通知 ・通過中を通知 踏切制御装置 制御アクション ・鳴動開始(鳴れ) ・鳴動終了(鳴り止め) ・マスク開始(鳴るな) ・マスク解除(鳴ってよし) フィードバックなし 警報機、遮断機 44 STPA Step1:UCA(不安全制御動作)の識別-2 # コントロール アクション Not Providing Incorrectly Providing Too early / Too Late Stop too soon / Applying too long 1 鳴動指示 (UCA1)警報が鳴ら ずに列車が踏切を 通過する (踏切が閉まらな い) SC1違反 列車が来ないのに警 (UCA2) 警報開始す 報が鳴る る前に列車が踏切に 到達する (閉まるのが遅くて間 に合わない) SC1違反 (UCA3)列車が踏 切を通過する前に 鳴動停止する (閉めた後、開くの が早すぎる) SC2違反 2 鳴動停止指示 (鳴動指示の停止) 列車が通過後も警 報が鳴りっ放し (UCA3)不正に鳴動 (UCA3)列車が通過 停止指示がでるのは、 する前に鳴動停止 Too early/Too lateと SC2違反 同じ。単独で発出さ 同じ れることはない (UCA2)鳴動開始 指示のToo early/Too lateと同 じ 3 マスク開始指示 A,Cを通過した列車 がBに到達して再鳴 動する (UCA4)Aにマスク開 始指示が出て、列車 がAに到達しても警 報鳴動しない SC1違反 Cを通過した後マス ク指示が遅く、列車 がBに到達して再鳴 動する Too Late(Bを通過 後)の場合、警報 が再鳴動し、 (UCA6)マスク状態 が残り、対向から2 本続くと鳴動しない 4 マスク解除指示 (UCA5)Bに解除指 警報が再鳴動する 示が出ず、反対から 同じ 列車がBに到達して も鳴動せず SC1違反 (UCA5)(次の対抗列 車が来るほど)あまり に遅過ぎるのはNot Providingと同じ SC1違反 マスク開始指示の Too early/Too late と同じ 45 STPA Step1:UCA(不安全制御動作)の識別-2 # コントロール アクション Not Providing Incorrectly Providing Too early / Too Late Stop too soon / Applying too long 1 鳴動指示 (UCA1)警報が鳴ら ずに列車が踏切を 通過する (踏切が閉まらな い) SC1違反 列車が来ないのに警 (UCA2) 警報開始す 報が鳴る る前に列車が踏切に 到達する (閉まるのが遅くて間 に合わない) SC1違反 (UCA3)列車が踏 切を通過する前に 鳴動停止する (閉めた後、開くの が早すぎる) SC2違反 2 鳴動停止指示 (鳴動指示の停止) 列車が通過後も警 報が鳴りっ放し (UCA3)不正に鳴動 (UCA3)列車が通過 停止指示がでるのは、 する前に鳴動停止 Too early/Too lateと SC2違反 同じ。単独で発出さ 同じ れることはない (UCA2)鳴動開始 指示のToo early/Too lateと同 じ (UCA4)Aにマスク開 始指示が出て、列車 がAに到達しても警 報鳴動しない SC1違反 Cを通過した後マス ク指示が遅く、列車 がBに到達して再鳴 動する Too Late(Bを通過 後)の場合、警報 が再鳴動し、 (UCA6)マスク状態 が残り、対向から2 本続くと鳴動しない (UCA5)(次の対抗列 車が来るほど)あまり に遅過ぎるのはNot Providingと同じ SC1違反 マスク開始指示の Too early/Too late と同じ 詳細はブースプレゼンを参照下さい 3 マスク開始指示 A,Cを通過した列車 がBに到達して再鳴 動する 4 マスク解除指示 (UCA5)Bに解除指 警報が再鳴動する 示が出ず、反対から 同じ 列車がBに到達して も鳴動せず SC1違反 46 目次 背景とIPA/SECの活動 独立V&V、事後V&Vでの新しい安全解析法STAMPの活用 STAMPの概要 STAMPの利用例(1) 化学プラントシミュレータの安全解 析例 STAMPの利用例(2) 鉄道踏切の安全解析例 今後の展開 47 今後の展開 事後V&Vの要素技術 システムのモデリング STAMP、SysMLなど ハザード分析 STAMP/STPA、ガイドワードの充実 機械ー人間、組織ー組織間のコミュニケーションエラーのガイドワード 障害検知、障害箇所の特定 モデル検査 ベイジアンネットワーク、モデルベース診断 尤度比検定、機械学習(データマイニング) 障害の再現 SIMULINKによるモデリング、シミュレーション 分析事例の積み上げ 48 All rights reserved, Copyright © IPA 2015 49 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 All rights reserved, Copyright © IPA 2015 50 Windows Server 2003のサポート終了に伴う注意喚起 Windows Server 2003のサポートが2015年7月15日に終了しました。 サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が 成功する可能性が高まります。 周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。 サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの 影響調査や改修等について迅速な対応をお願いします。 業務システム・サービスの停止・破壊 重要な情報の漏えい データ消去 ホームページの改ざん 脆弱性を 悪用した攻撃 脆弱性が 未解決なサーバ 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします All rights reserved, Copyright © IPA 2015 51 IPA ソフトウェア高信頼化センター(SEC) Software Reliability Enhancement Center , Information-technology Promotion Agency , Japan Twitterで、 で、 IPA/SECの事業内容やセミナー動画をCheck! IPA/SECの最新情報をCatch! https://twitter.com/IPA_SEC ●SEC事業紹介 http://www.ipa.go.jp/sec/about/index.html SWE iPediaで、 IPA/SECの事業成果をSearch! 探したい情報を 分類やキーワードで検索! アカウント名:@IPA_SEC ●SECセミナーオンデマンド http://sec.ipa.go.jp/seminar/ondemand/ IPA/SECウェブサイトで利用者登録! IPA/SECウェブサイトから利用者登録(無料)をすると、 メルマガ ・DMの購読や、セミナーの参加申込み、ツールの 利用などができます。 是非、ご登録ください! https://sec.ipa.go.jp/entry/index.html ↓詳しくは、SECウェブサイトをClick! http://sec.ipa.go.jp/sweipedia/ 検索 All rights reserved, Copyright © IPA 2015 ソフトウェア高信頼化センター 52