情報処理推進機構(IPA)は2月2日、国内の車載ソフトウェア標準化団体である「JasPar(Japan Automotive Software Platform and Architecture)」との協定締結に関連して、安全解析手法である「STAMP(System Theoretic Accident Model and Processes)」および「STPA(System Theoretic Process Analysis)」に関する記者説明会を開催した。
自動車の制御がハードからソフトに
自動車におけるソフトウェアの重要性が増し、コネクテッド・カーや自動運転車に向けた取り組みが加速する中、システムは複雑化および大規模化している。自動車に搭載されているコードの行数はうなぎ登りであり、2005年には約200万行だったが2015年には約1億行に到達。また、自動車の電子部品比率は2005年の約19%から2015年には約40%まで増加しており、ソフトウェアが制御の中心となっている。
自動車という製品に起きている変化についてIPAの松本隆明 所長は「IoTによって色々なものがつながるようになった。データ量も飛躍的に増えつつある。自動車もこれまでは単体で動いていたが、外部とつながってきた。独立したシステムだった自動車が、(自動車同士、自動車と信号機など)外部と相互に連携する」と話す。
従来の安全解析手法ではエンジン、ブレーキ、パワーステアリングなど各コンポーネントに着目し、コンポーネントの集合体として自動車システムを解析する。しかし、自動車を独立したシステムとして捉える従来手法では、コネクテッド・カーや自動運転車など外部と通信する大規模システムに対しては限界がある。そこで威力を発揮するのがSTAMPおよびSTPAというわけだ。
構想段階でも安全検証が可能
STAMP/STPAは2012年に米マサチューセッツ工科大学のナンシー・レブソン 教授が提唱した解析手法で、ハードウェアやソフトウェアだけでなく、システム全体を取り巻く環境や人間の操作を含め、相互作用する機能単位でハザード(潜在的危険)要因を捉えていく。これを自動車に適用するのがIPAとJasParの狙いだ。
STAMP/STPAについてIPAの石井正悟 調査役は次のように説明する。「まず、STAMPは方法論であり、STPAは手法。システムを極端に表すと制御する側と制御される側に分類でき、それらの間にコントロールアクションとフィードバックデータがある。これまでの安全解析手法は、悪者探しをする考え方だったが、(大規模システムでは)漏れが発生する場合があった。STAMPの場合はまずは網羅的に全てを見る。コントロールアクションに着目し、その全てを分析していく」(石井氏)。
外部環境とのインターアクションを考慮できることに加え、従来手法と比べると設計の早い段階から安全解析を行えることもメリットだ。従来手法はトップダウン型のFTAやボトムアップ型のFMEAにしろ、アーキテクチャ設計がある程度固まっていないと安全解析ができないが、STPAは要求仕様が固まっていない構想段階でも安全を検証できる。
日本は欧米に遅れ
STAMP/STPAは欧米で普及しつつあり、自動車のほか宇宙・航空、鉄道、医薬品、次世代航空システムなどで活用されている。また、自動車機能安全の国際規格であるISO26262の次期バージョンドラフトに記載があり、公式規約となりつつある。
日本では宇宙航空研究開発機構(JAXA)や自動車など一部の業界以外では認知が低く、普及が遅れているのが現状。IPAとJasParは今後、IPAが有するSTAMP/STPAの知見を活用し、自動車開発における安全解析手法の共同策定などに取り組むほか、調査活動や普及活動について相互協力するとしている。