STAMP/STPA

STAMP（Systems-Theoretic Accident Model and Processes）とは大規模・複雑化するシステムの安全解析手法として提案された、システム理論に基づく新しい安全解析方法論である。

STPA（System-Theoretic Process Analysis / STAMP based Process Analysis）^[1]とは、STAMPに基づく安全解析手法である。

従来のFMEAやFTAといった安全解析手法は、各パーツ・コンポーネントにおいてどんな故障・不具合が発生するか、また故障したときどんな不都合が生じるか解析することで、故障を検査・交換等で未然に防ぐとともに単一の故障が致命的な自体に至るのを防ぐフォルトトレラントを目指すものであった。

しかしながら、システムが大規模化・複雑化したことで、各コンポーネントが予想だにしない相互作用を引き起こし、各コンポーネントに何ら故障が生じていないのにもかかわらずうまく協調できずトラブルを招いてしまう可能性すら出てきた。

そこでSTAMPは、パーツごとに故障を推測するのではなく機械と機械、機械と人間といった各要素間の関係性に注目、解析する。

2004年、マサチューセッツ工科大学(MIT)のナンシー・レブソン(Nancy Leveson)教授は、「A New Accident Model for Engineering Safer Systems」という論文^[2]の中で、初めてSTAMP(System-Theoretic Accident Model and Processes)という用語を用い、その基本概念を提示した。

2012年、レブソンは、「Engineering a Safer World: Systems Thinking Applied to Safety」^[3]という著書を刊行し、STAMPモデルを使用して、事故分析、ハザード分析、システム設計、運用の安全性、安全性重視システムの管理などの技術を創出する方法をまとめ、「要素間の相互作用に潜在する危険要因を考える」という新しい安全性解析手法を提起した。^[4]

従来は見落としていた欠陥を把握把握できるとして、欧米では航空宇宙産業、鉄道を中心として利用が進んだ。

日本では2010年ごろからHTV(コウノトリ)で解析が行われた。^[5]この際、従来のFTAよりも多くのハザード原因を識別したものの、特に設計変更が要求される欠陥は見つからなかった。このことに対しエンジニアは"従来よりFTAの枠にとらわれずシステムの振る舞いについて考えていた"と回答した。STAMPは半ば暗黙のうちにエンジニアが行っていた解析手法を体系化、明文化する効果をもたらした。

2018年3月30日、未だ歴史が浅く十分に活用されていないSTAMPを普及させるべく、IPA(独立行政法人情報処理推進機構)はSTAMP向けモデリングツールSTAMP Workbenchをオープンソースソフトウェアとして無償公開した。^[6]

手法

Step.0 アクシデント、ハザード、安全制約の識別とコントロールストラクチャーの構築

コンポーネント間の相互関係を図にしたcontrol structure diagramを作成、各コンポーネントの関係を洗い出す。

Step.1 非安全なコントロールアクションの抽出

相互作用（Control Action）を洗い出す。

不適切なアクション(Unsafe control Action)は次の4パターンが考えられる。^[7]

与えられないとハザード : A control action required for safety is not provided
システムとしての損失の回避または目的達成に必要とされるコントロール・アクションが実行されない
与えられるとハザード : An unsafe control action is provided
ある状態では適切・必要なコントロール・アクションが誤った状態で実行される
早すぎ、遅すぎ、誤順序でハザード : A potentially safe control action is provided too late or too early (at the wrong time) or in the wrong sequence
必要とされるコントロール・アクションが早すぎる，遅すぎる，順番を間違えるなどのタイミングで実行される
早すぎる停止、長すぎる適用でハザード : A control action required for safety is stopped too soon or applied too long
必要とされるコントロール・アクションの実行が途中で停止する，予定より長い期間実行される

Step.2 安全制約の定義

ハザードを防ぐために，システムに設計されるべき安全要求または安全制約を定義する。

STAMPの観点からみた過去の事故分析例

火星探査機マーズ・ポーラー・ランダー着陸失敗事故

→詳細は「マーズ・ポーラー・ランダー」を参照

1999年 12月3日、火星探査機マーズ・ポーラー・ランダーは火星大気圏に突入した。その後どこも故障が発生していないのにもかかわらず地面に激突し探査機は失われた。高度40mで減速噴射が突如停止したと見られる。^[5]

原因は、降下中に展開された着陸機の足によって生じた振動を、探査機ソフトウェアが地表着地の際の衝撃と勘違いして、減速噴射をやめてしまったことにあると言われる。

Step.0 着地センサの値と減速噴射の間の相互作用が原因である。

Step.1 着陸直前に利用するTouch down検知ロジックを使った後で減速噴射をやめるのが本来の手順であったが、センサの値を盲信し噴射の停止を強行してしまった。パターン - 「3.早すぎ、遅すぎ、誤順序でハザード」

Step.2シーケンスの手順を確実に履行する安全制約を設けるべきだった。

マーキュリー・レッドストーン1号発射失敗事故

→詳細は「マーキュリー・レッドストーン1号」を参照

1960年11月21日、マーキュリー・レッドストーン1号は4インチほど上昇し突如エンジンが停止し降下、その後脱出ロケットのみが分離し飛んでいく奇怪な現象が起きた。

Step.0 - エンジンのエンジンの停止信号と脱出ロケットの間の相互作用が原因である。

Step.1 - 本来の脱出ロケットは上昇後にロケット停止した時に分離し飛ばすが、事故時は信号線変更の影響でロケット停止信号が発生し飛ばした。パターン - 「2.与えられるとハザード」

Step.2 - 加速度計や高度計でタイマーで正常に加速が終わったか確認する安全制約を設けるべきだった。

手法