安全性工学の世界的権威であるMITナンシーレブソン教授が推進するSTAMPをご存じだろうか?
STAMP (Systems-Theoretic Accident Model and Processes) とは、マサチューセッツ工科大学のNancy Leveson教授が提唱したシステム理論に基づく安全分析の考え方。STAMPに基づく分析手法は、システムの構成要素単体ではなく、それらの相互作用に着目してハザード要因を考える点に特徴がある。主な手法には、システムの開発段階の安全設計に使うSTPA(Systems-Theoretic Process Analysis)と、事故発生後に原因を分析するCAST(Causal Analysis using Systems Theory)がある。筆者は毎年、3月末に開催されるMITでSTAMPワークショップに3年連続3回目の参加をしている[1] [2]。そこでSTAMPの最近の傾向について所感を述べる。
今回の参加者は28%増加し、416名。参加者の分野でみると多い順に航空153、防衛125、セーフティ104と続くが、例年に比べ、アカデミア・大学が87と大きく伸びているのが特徴である。これは、AIへの安全分析適用という新しいトピックが発生している影響もあるだろう。
レブソン教授のWelcomeスピーチでは日本の第3回STAMPワークショップも300名程度の参加者があり、盛況だった旨も伝えられた。技術動向として今後の取り組みとして“System of Systems” のハザード分析、システムアーキテクチャを生成するSTPAの利用法などが提唱された。2年前にはSTPA適用中心の発表だったが、今回はCAST本格適用やSTAMP理論にもとづくMBSE、システムズエンジニアリング、AI適用に適用の方向性が進化している。昨年のWSで発行されたSTPAハンドブックの手順に統一されている点に特徴を感じた。さらにSTPAによるセキュリティ分析で多くの事例がでていた。今後はセーフティ・セキュリティ統合分析もより本格化することであろう。
また、企業における実用化の進展を感じた。昨年、ボーイングなどで紹介された社内での取り組み紹介のコーナーが今年はさらに発展し、GM、ボーイングの他、Akamai、エンブレア航空、AAIA(Air Accident Investigation Authority)などの会社・組織が実績を披露した。また陸上輸送・航空宇宙機器分野の専門家団体であるSAE (Society of Automotive Engineers)において、STAMPの国際規格化もなされたことが発表された。
さて、QAMLプロジェクトに属する者として、最も知りたいのは、AIへの展開。
発表の中では、Thomas氏らによる「STPA for Autonomous Automobiles」が最もAIを取り扱っていた。STPAの分析結果をヒューマンシナリオとソフトウェアシナリオに分けて作成し、コントロールストラクチャに安全モニタ/保護機構を追加して、その要求事項を抽出していることなどが特徴的であった。STPA適用により、想定以上の多くのリスクが洗い出され、プロジェクトは公道での実験をキャンセル、今後は知覚ソフトウェアの開発のみに注力するという。ちなみにAIへの本格的な適用研究はまだ始まったばかりで、2年計画でJAXAと共同研究も始まるそうである。STAMPによるAIの安全性分析はこれから本格化するところだが、今までの蓄積をもとにAIの安全性分析の実用的な技術となっていく可能性は高いと期待する。
<参考文献>
[1]金子朋子,中沢 潔,システムの相互作用に着目したこれからの安全(STAMP) ,ニューヨークだより特別号(2018年 5 月)
https://www.jetro.go.jp/ext_images/_Reports/02/2018/2e64896cc069cbd3/ny201805.pdf
[2] 金子朋子,SECセミナー「2017 STAMP Workshop参加報告」,https://www.ipa.go.jp/sec/old/users/seminar/seminar_tokyo_20170529-06.pdf