鉄道信号システムの安全性解析におけるSTAMP／STPAの適用について

摘要

STAMP／STPA（System Theoretic Accident Model and Processes／System Theoretic Process Analysis）は，2012年にマサチューセッツ工科大学（MIT）教授のナンシー·レブソン（Nancy Leveson）氏が提唱した新しい安全性解析手法である．従来から用いられているFTA（Fault Tree Analysis）やFMEA（Failure Mode and Effect Analysis）等は現在でも安全性解析の主流であるが，ハードウェア主体の集中システムが主流であった1940年代から60年代にかけて開発された手法であり，近年のソフトウ主アが主体で構成要素間の相互作用が複雑化したシステムの解析においては，新しい方法論を模索する必要があった．鉄道信号システムにおいても，機能向上に伴いソフトウェアの肥大化は進む一方であり，仕様の不備やソフトウェアのバグを含めたシステマチックな不具合のリスクは高まる傾向にある．STAMP／STPAは，システムのハザードにつながるランダムエラーとシステマチックエラー双方を，シンプルなアクシデントモデルとシンプルなガイドワードを用いて効果的に抽出可能な手法であり，従来とはアプローチが異なるユニークな安全性解析手法として注目されている．以下に鉄道信号システムにおける安全性解析におけるSTAMP／STPAの適用について論ずる．