Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

【SWS22-01】複数コントローラ設計に対するシーケンス分析によるコントロールループ分析支援手法の提案.pdf

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Hier ansehen

1 von 27 Anzeige

【SWS22-01】複数コントローラ設計に対するシーケンス分析によるコントロールループ分析支援手法の提案.pdf

Herunterladen, um offline zu lesen

AI/IoTシステムのための安全性シンポジウムの発表資料

【SWS22-01】複数コントローラ設計に対するシーケンス分析によるコントロールループ分析支援手法の提案.pdf

AI/IoTシステムのための安全性シンポジウムの発表資料

【SWS22-01】複数コントローラ設計に対するシーケンス分析によるコントロールループ分析支援手法の提案.pdf

Anzeige
Anzeige

Weitere Verwandte Inhalte

Aktuellste (20)

Anzeige

【SWS22-01】複数コントローラ設計に対するシーケンス分析によるコントロールループ分析支援手法の提案.pdf

  1. 1. 国立研究開発法人 宇宙航空研究開発機構 研究開発部門 第三研究ユニット 梅田浩貴 e-mail:umeda.Hiroki@jaxa.jp 発表資料 【SWS22-01】 複数コントローラ設計に対するシーケンス分析に よるコントロールループ分析支援手法の提案
  2. 2. STAMP/STPAのみでは 発表の概要 2 物理的作用の影響 制御指示等の 「順序」や 動作時間等の 「時間」に 関する制約 コントローラ間 の相互作用 の分析が漏れる 課題 STAMP/STPA + シーケンス図 工夫 提案手法は上記課題に おいてSTAMP/STPA を 補強できる 効果 コントローラA アクチュエータA コントローラB アクチュエータB
  3. 3. 目次  背景  宇宙機システムの特徴  安全解析手法  STAMP/STPAによる分析  対象とするシステム  課題  提案手法の概要  提案手法の有効性確認  方法  結果  まとめ 3
  4. 4. 宇宙機システムの特徴 4  システム故障時の損失:大  環境や人命の喪失の可能性あり  損失するコスト:大  システム故障の対応や復帰の難易度:高  地球との通信は限られた期間のみ  部品交換不可  システム故障の対策の難易度:高  想定外が発生しやすい  動作環境が過酷 (放射線によるメモリ化け発生等)  過去の知見:少  5年以上の長い開発期間  少量多品種(研究実証向け)  想定内でも実環境の試験不可 宇宙機システムの例 ロケット 人工衛星 宇宙ステーション 地上管制局 宇宙機システムの特性に応じた安全解析による 設計検証や試験が重要
  5. 5. 安全解析手法の現在 5 システム構成要素の故障 ・トップダウンアプローチ FTA(事象から原因推定) ・ボトムアップアプローチ FMEA(構成要素の状態から影響分析) システム故障 の要因 手法 FTA、FMEA STAMP/STPA システム境界に対する 構成要素間の相互作用 故障要因として モデル化可能 な構成要素 ハードウェア ハードウェア、ソフトウェア、人など サブシステム サブシステム 総合システム システム STAMP/STPAは、システム思考に基づく、「相互作用」に着目した分析である
  6. 6. STAMP/STPAの分析 6 損失(Loss)を伴 うシステムの事故 アクシデント アクシデントにつな がるシステムの状態 ハザード 非安全な コントロール アクション (UCA) ハザードにつながり 得る制御操作 ハザード 誘発要因 (HCF) UCAが起きる要因 分析の流れ 事象の流れ アクシデントやハザードからシステム境界(制御構造)を特定し 相互作用(非安全な操作)の因果関係を辿って分析する
  7. 7. STAMP/STPA適用時の課題 7 STAMP/STPAの適用時、3つのハードルがある STPA Handbook 図2.1より ■ポイント1 システム特性に合わせ システム境界を決める ことに、ノウハウが必要 ■ポイント2 非安全操作を特定するため その分析対象の「操作 や相互作用」の選択に ノウハウが必要 ■ポイント3 コントロールループによる ハザード要因の特定に ノウハウが必要 本発表 の範囲
  8. 8. 参考:コントロールループによる要因分析 8 コントロールループによるハザード誘発要因分析は、ループを辿り、 ヒントワードで分析するため、静的な側面の分析結果になりやすい。 STPA Handbook 図2.17より
  9. 9. 対象とするシステムの特性 9 コントローラ間 の相互作用 フィードバック ループ1 フィードバック ループ2 アクチュエータによる 物理的作用 階層的な責務境界(コントローラ)がある。 複数あるコントロール対象は、物理的な作用により影響がある。
  10. 10. 10 対象とするシステムの特性(例) 機器が故障しないよう制約を守り、動作した場合、 システム自身で、全て対応する必要がある 地上システム (運用者) 衛星搭載システム コントローラ 観測機器 コントローラ 観測対象 の位置や向き 衛星の位置 や向き 観測 指示 観測結果 ホイール による制御 太陽や恒星 センサによる 計測値 モーター による制御 観測センサ による観測結果 限られた 時間のみ 通信可 動くとお互いに 向きの影響あり 太陽の熱を避ける ため、向きに制約がある
  11. 11. STAMP/STPA適用時の課題(2) 11 複数のコントローラと ループがある制御構造 アクチュエータ の物理的作用 コントローラ間 の相互作用 順序や時間に 関する制約 分析者の力量に依存 分析者 複数のループの因果関係を分析する場合、 外部のコントロールループを組合わせた分析が漏れやすい。 フィードバック ループ1 フィード バック ループ2 物理的作用 【従来】 1つのループを コントロールループ 図で表現
  12. 12. STAMP/STPA適用時の課題(2) 12 課題1 外部コントローラからの指示 とコントロール対象の観測 を組み合せた分析が漏れる 課題2 外部コントローラが制御する アクチュエータの物理的作用 の影響の分析が漏れる 課題3 指示や観測値取得の順序や アクチュエータの動作時間等 の時間的制約が漏れる 複数のループの因果関係を分析する場合、 外部のコントロールループを組合わせた分析が漏れやすい。 物理的作用 コントローラ間 相互作用(論理) ループ1 (論理+物理) ループ2 (論理+ 物理) 課題1 課題2 課題3
  13. 13. 提案手法の概要 コントロールループによる原因(HCF)を特定する時 動作の順序を固定し、動作時間の制約を記述する 構成要素 シーケンス 1メッセージ ・センサの計測と周期 ・コントローラによる判断 ・アクチュエータの動作状態 ・ハザード原因となる アクチュエータ ・ハザードを防ぐコントローラ ・2つのループ ・時間の制約がある範囲 課題1 外部コントローラからの指示 とコントロール対象の観測 を組み合せた分析が漏れる 課題2 外部コントローラが制御する アクチュエータの物理的作用 の影響の分析が漏れる 課題3 指示や観測値取得の順序や アクチュエータの動作時間等 の時間的制約が漏れる 提案手法に求める記述ルール 複数メッセージ ・イベントや動作順序 ・イベント間の時間制約
  14. 14. 14 SysMLのシーケンス図にある記述ルールを システムに特性に合わせて決める 提案手法 提案手法の詳細1 構成要素 シーケンス 1メッセージ ・センサの計測と周期 ・コントローラによる判断 ・アクチュエータの動作状態 ・ハザード原因となる アクチュエータ ・ハザードを防ぐコントローラ ・2つのループ ・時間の制約がある範囲 提案手法に求める記述ルール 複数メッセージ ・イベントや動作順序 ・イベント間の時間制約 コントローラ コントロール 対象 1ループ 2ル―プ 動作時間 の上下限
  15. 15. 15 SysMLのシーケンス図にある記述ルールを システムに特性に合わせて決める 提案手法 提案手法の詳細1 構成要素 シーケンス 1メッセージ ・センサの計測と周期 ・コントローラによる判断 ・アクチュエータの動作状態 ・ハザード原因となる アクチュエータ ・ハザードを防ぐコントローラ ・2つのループ ・時間の制約がある範囲 提案手法に求める記述ルール 複数メッセージ ・イベントや動作順序 ・イベント間の時間制約 コントローラ コントロール対象 (アクチュエータ) 動作状態 判断内容 間接計測 センサ(周期) 直接計測センサ(周期) (他アクチュエータ がある場合) 物理的な作用
  16. 16. 16 SysMLのシーケンス図にある記述ルールを システムに特性に合わせて決める 提案手法 提案手法の詳細1 構成要素 シーケンス 1メッセージ ・センサの計測と周期 ・コントローラによる判断 ・アクチュエータの動作状態 ・ハザード原因となる アクチュエータ ・ハザードを防ぐコントローラ ・2つのループ ・時間の制約がある範囲 提案手法に求める記述ルール 複数メッセージ ・イベントや動作順序 ・イベント間の時間制約 コントローラ コントロール 対象 時間内で 判断する 動作時間 に上限 初期状態 初期状態 イベント1 イベント2 イベント3
  17. 17. 17 SysMLのシーケンス図にある記述ルールを システムに特性に合わせて決める 提案手法 提案手法の詳細1 構成要素 シーケンス 1メッセージ ・センサの計測と周期 ・コントローラによる判断 ・アクチュエータの動作状態 ・ハザード原因となる アクチュエータ ・ハザードを防ぐコントローラ ・2つのループ ・時間の制約がある範囲 提案手法に求める記述ルール 複数メッセージ ・イベントや動作順序 ・イベント間の時間制約 上位 コントローラ コントロール 対象 コントローラ 上位コントローラ コントローラ コントロール対象 物理的作用の指示2 物理的作用の 指示1 情報通知の指示 動作状態 の変化1 動作状態 の変化2 物理的作用 の指示2 物理的作用の指示1 情報通知の指示
  18. 18. 提案手法による作成イメージ 18 コントローラB アクチュエータB 伸展動作の指示 伸展動作 伸展が終わるまで の制限時間 コントローラA [周期=1秒] センサによる 物理量取得 振動によるセンサの精度低下 伸展具合によるセンサへの視野干渉 姿勢維持の指示 アクチュエータA 制御指示 動作 フィードバック (動作量の計測) プロセスモデル の変更 [周期=1秒] センサによる 物理量取得 制御指示誤り (UCA) プロセスモデル の変更 コントローラBの UCAから1ループ前 のループ コントローラBの UCAを含むループ 【課題1】コントローラ間の相互作用 【課題2】アクチュエータの物理的作用 【課題3】順序や時間に関する制約 外部の構成要素 分析対象の構成要素 順序固定し状況を推定しやすく、時間制約等を表現することで、 ハザード要因分析を支援する
  19. 19. 19 参考:提案手法の支援ツール モデリングコストを削減し、分析による設計検討に注力できる簡易ツールで支援 要素 要素間作用 要素の特性 コンポA 情報A 条件 周期 時間制約 ツール で変換 【ポイント】 モデリングコストを削減 → 意味がある「モデル」が 作成できるまで繰り返す 【ポイント】 モデルで決めたいことに思考誘導する → システム特性を抽出できる ガイドを作成する。
  20. 20. 20 参考:従来手法(STAMP/STPA)の作業支援 モデリングコストを削減し、分析による設計検討に注力できる簡易ツールで支援 STPA基本プロセス 支援ツール 【ST-1】 ハザード定義表 【ST-21】 制御構造抽出表 【ST-3】 非安全操作分析表 【ST-5-CLD】 制御ループ分析図 【ST-4】 制御ループ分析表 Step0:アクシデント、 ハザード、安全制約 の識別 Step0:コントロールス トラクチャ―の構築 Step1:非安全なコン トロールアクション (UCA)の抽出 Step2:ハザード誘発 要因(HCF)の特定 【ST-3-CSD】 制御構造図 【ST-1-ST】 ステートマシン図 表から図へ 自動変換 ■ツールの特徴 ExcelとPowerpointで 思考誘導する手順をツール化
  21. 21. 21 提案手法の有効性確認の流れ 従来手法 提案手法 効果計測 ハザードシナリオ(従来手法) 制約記述シーケンス図 ハザードシナリオ(提案手法) 制御構造図 コントロールループ図 アクシデント、ハザード、安全制約 非安全な操作(UCA) ハザード誘発要因(HCF) STAMP/STPAの成果物 評価ステップ 成果物 指標1: 提案手法によってハザードシナリオが増えたか? - 見落としの検出による増加 - 詳細化による増加 指標2: 増加したシナリオは、各課題に該当するか? 従来手法、提案手法の順でハザードシナリオを作成し計測
  22. 22. 有効性確認の適用対象 22 システムAの制御構造図 システムBの制御構造図 コントローラ間 の情報同期 アクチュエータ の物理的作用 順序・時間に 関する制約 各課題への有効性を確認するため、2つのシステムに対して実施 No 分析対象 製品特性 工程 1 システムA ・コントローラ間で情報を同期し、その値をもとに制御の目標値を計算す る ・異なる周期の処理があり、ある処理の事前条件に別処理での更新値 を用いる等の順序や時間に関する制約あり 設計段階 2 システムB 目的が異なる複数のアクチュエータを制御しており、物理的作用あり 試験段階
  23. 23. 効果計測結果1 23 提案手法により新規のハザードシナリオが倍以上増加 【考察】設計段階であるため、従来手法ではノミナルシナリオの精度が低い? コントローラ間 相互作用 物理的作用 順序や時間 制約 評価指標①:提案手法によって ハザードシナリオが増えたか? 指標②:増加したシナリオは、 各課題に該当するか?
  24. 24. 効果計測結果2 24 提案手法により新規の ハザードシナリオが6件増加 コントローラ間 相互作用 物理的作用 順序や時間 制約 提案手法により新規のハザードシナリオが10%増加 【考察】試験段階であるため、検証しにくい物理的作用の影響が残留
  25. 25. まとめ  結論 提案手法は、STAMP/STPAの「ハザード誘発要因(HCF)を特定する」 工程において、以下の分析を補強できる 1. 外部コントローラからの制御指示とコントロール対象の組み合せた分析 2. 外部コントローラが制御するアクチュエータの物理的作用の影響の分析 3. 制御指示や観測値取得の「順序」やアクチュエータの動作時間など「時間」 に関する制約に関する分析  提案手法の限界  シーケンス図に制約が記述できない場合、効果的ではない  今後の展開  適応対象(システムの特性)への依存性の評価を検討する  分析者(ドメイン知識、モデリング技術)への依存性の評価を検討する 25
  26. 26. 26 ご清聴 ありがとうございました
  27. 27. 参考:制約付きシーケンス図の作成方針 27

×